联想网御安全服务-cisp和等级保护介绍0916课件_第1页
联想网御安全服务-cisp和等级保护介绍0916课件_第2页
联想网御安全服务-cisp和等级保护介绍0916课件_第3页
联想网御安全服务-cisp和等级保护介绍0916课件_第4页
联想网御安全服务-cisp和等级保护介绍0916课件_第5页
已阅读5页,还剩65页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

CISP培训和等级保护联想网御2008年9月联想网御2008年工作计划目录安全服务产品线CISP培训及典型案例公司CISP培训政策目前的等级保护进展公司等保优势定级测评后等保服务等保典型案例安全服务产品线5培训服务业务的目标及定位培养高素质信息安全人才,助力提升我国各政府机构及企事业单位信息系统的安全保障水平基于联想领先的信息安全顾问咨询经验和专业培训运作经验,面向客户提供权威、实用的、专业的信息安全培训服务业务目标培训服务的位置6评估体系规划体系建设实施体系运行客户角度价值提高安全意识、统一认识、推动体系、提高安全维护保障和审计的技能提高意识统一认识方案宣贯体系推动体系提高安全维护保障和审计的技能7培训课程体系LCTCCISP注册信息安全专业人员(CertifiedInformationSecurityProfessional)CISECISOCISA联想信息安全培训中心(LenovoSecurityTrainingCenter)注册信息安全工程师(CertifiedInformationSecurityEngineer)注册信息安全管理人员(CertifiedInformationSecurityOfficer)注册信息安全审核员(CertifiedInformationSecurityAuditor)定制培训LSPE联想认证安全产品工程师(LenovoCertifiedSecurityProductEngineer)CISM注册信息安全员(CertifiedInformationSecurityMember)可根据实际需要选择任意信息安全培训课程9CISP培训“注册信息安全专业人员”——CertifiedInformationSecurityProfessional,简称CISP,是(Engineer、Officer、Auditor)统称背景

1、中国信息安全产品测评认证中心实施国家认证

2、是国家对人员资质的最高认可

3、相关机构必备的信息安全管理、技术人员10推出机构课程费用认证程序课程内容目前通过认证的人数以及人员构成特点前景

CISP培训CISP费用测评中心规定的统一价格全部费用12800元/人联想网御收取注册培训费9800元/人,包括培训费、教材费、授权管理费、培训期间的午餐费(不含学员住宿费和其他餐费),由联想网御开具发票测评中心收取的费用3000元/人,包括考试费1000元/人,认证费500元/人,注册费和注册维持费1500元/人/3年,由测评中心开具发票13CISE课程主要内容信息安全保障体系信息安全理论信息安全技术信息安全管理信息安全标准与法律法规CISP培训14信息安全理论(1.5天)信息安全保障体系信息安全模型信息安全测评认证信息安全技术(6天)密码技术网络与通信安全防火墙入侵检测技术VPNPKI/CAUNIX安全管理Windows安全管理数据库安全管理恶意代码安全编程安全工程及管理(4.5天)安全管理体系风险评估安全工程应急响应灾难备份和恢复安全攻防物理安全安全标准和法规(1.5天)信息安全标准信息安全法律法规考试(0.5天)考试信息安全工程师15信息安全理论(2天)信息安全概述信息安全保障体系信息安全模型信息安全测评认证信息安全技术(4天)密码技术网络与通信安全防火墙入侵检测技术VPNPKI/CA系统安全管理恶意代码安全工程及管理(6天)信息安全管理体系风险评估安全工程应急响应灾难备份和恢复安全攻防物理安全安全标准和法规(1.5天)信息安全标准信息安全法律法规考试(0.5天)考试信息安全管理人员前景国内第一国内外培训产品竞争激烈18CISP成功案例九期共160多人CISP培训通过率90%以上公司品牌推广客户关系维系联想网御2008年工作计划目录安全服务产品线CISP培训及典型案例公司CISP培训政策目前的等级保护进展公司等保优势定级测评后等保服务等保典型案例公司CISP培训政策开班条件北京开班人数不低于10人,在外地开班人数不低于12人如不够开班人数,则所报人员顺延到满足开班条件时开班如遇到特殊情况(如奥运,两会等),开班时间另行通知公司CISP培训政策培训形式开班时间为每年3月、6月、9月、12月上旬在北京主办CISP培训外地不受固定时间限制,只受开班条件限制;如果有满足开班条件且急需培训的,各地均可随时向北京申请开班公司CISP培训政策优惠与鼓励措施在北京开班培训人数10人时,按注册培训费原价收取第11人到第15人注册培训费九折优惠第16人到第20人注册培训费八折优惠第21人以上注册培训费按7000元/人收取(相当于七点一折优惠)在外地开班培训时,相当于在北京开班培训人数基础上增加2人,既可以享受以上各段折扣优惠。低于以上注册培训费折扣价格时,需要根据公司现有相关流程审批考试费、认证费和年金(共计3000元/人)由测评中心收取的固定费用,没有任何折扣联想网御2008年工作计划目录安全服务产品线CISP培训及典型案例公司CISP培训政策目前的等级保护进展公司等保优势定级测评后等保服务等保典型案例目前的等级保护进展定级完毕测评在进行中怎样具体整改?政策真空期按需防御的等级保护基于丰富的安全定级知识库、风险评估知识库和安全体系知识库为理论基础,以等级化支撑平台为支撑,以等级安全体系为架构,以安全需求为导向,通过专业安全服务和高性能安全产品,保证安全定级合理准确、体系建设科学规范、安全运维持续稳定。等级化安全体系核心技术核心技术1234安全定级知识库风险评估知识库安全体系知识库等级化支撑平台核心技术-安全定级知识库信息系统定级是实施等级保护的首要步骤,是明确信息系统重要程度和安全目标的有效方法。安全定级知识库通过细化的定级要素和科学的定级算法,保证不同行业、不同类型信息系统定级的合理准确。系统分类库:第一层针对行业特点分类第二层针对应用特点分类定级要素库:通用定级要素行业定级要素系统分类定级要素等级算法库:S&I算法:系统服务保证性和业务信息安全性制定的等级算法CIA算法:保密性、完整性、可用性制定的等级算法报告模版库:通用等级报告模版行业等级报告模版定级备案模版核心技术-风险评估知识库联想网御与国家信息中心共同成立了风险评估联合实验室,总结国内外相关标准和最佳实践,结合多个风险评估项目的实施经验形成了风险评估知识库。风险评估知识库可以为安全风险评估和等级评估提供支持。风险评估知识库通过及时更新的资产漏洞库、全面的威胁信息库和规范的评估方法,保证风险评估工作的客观全面。资产漏洞库:用于分析系统安全弱点覆盖全面,大多数品牌的各类主机、网络产品威胁信息库:是基于威胁来源、威胁途径、威胁手段的安全威胁资源库,用于分析系统安全威胁评估方法库:是风险评估各阶段评估方法、评估流程、检查列表库报告模版库:是评估过程各阶段报告模版库核心技术-安全体系知识库安全体系是实现等级保护的基础框架。联想网御总结了多年安全体系咨询和等级保护项目的实施经验,结合国家和行业相关信息安全指标,形成了安全体系知识库。安全体系知识库以分级分域为核心思想,采用等级化和体系化的方法,保证信息安全体系科学规范。分类方法:第一层针对行业特点分类第二层针对应用特点分类第三层针对安全等级分类第四层针对单元类型分类各指标库包含内容:等级安全指标测评方法解决方法适用产品体系模版包含内容:体系架构设计模版安全区域设计模版产品解决方案模版各类操作手册模版各类制度模版联想网御2008年工作计划目录安全服务产品线CISP培训及典型案例公司CISP培训政策目前的等级保护进展公司等保优势定级测评后等保服务等保典型案例安全运维体系建设评估定级等级化安全体系实施流程安全风险评估安全风险现状信息系统资产库系统定级对策策略组织技术运行安全管理解决方案安全技术解决方案安全体系框架设计区域架构安全对策框架需求安全规划安全预警安全监控安全审计系统监控风险评估等级测评方案实施等级化安全区域架构风险评估等级测评验收系统改进安全加固应急响应等级测评等级保护安全要求分析?物理安全技术手段解决安全加固管理手段解决等级保护安全要求10个单元网络安全主机安全应用安全数据及备份恢复管理要求5个单元安全产品审核表单安全制度怎样依据等级完成等级保护建设?风险评估信息系统安全需求安全管理解决等级测评安全加固解决安全产品解决达到系统等级要求信息系统定级2级系统解决方案按需防御的等级保护解决方案建设阶段适用安全等级方案名称主要安全目标产品配置2级系统体系建设2级二级系统边界安全解决方案互联网边界访问控制外联网访问控制网关防病毒网络入侵检测防火墙入侵检测系统防病毒网关综合安全网关2级二级系统内网安全解决方案桌面防病毒补丁分发管理周期性风险评估加固(每年1次)终端管理补丁管理安全加固日志分析2级二级系统应用安全解决方案应用健康监控数据存储备份安全审计应用安全管理2级二级系统安全管理解决方案设备安全监控日志审计部署定期发布正式安全策略安全策略设计3级系统解决方案按需防御的等级保护解决方案建设阶段适用安全等级方案名称主要安全目标产品配置3级系统体系建设3级三级系统边界安全解决方案互联网边界访问控制外联网访问控制内网区域隔离访问控制网络加密传输网关防病毒网关防垃圾邮件网络入侵检测网络入侵防护网络抗DDos防火墙网络密码机入侵检测系统防病毒网关入侵防护系统安全隔离网闸综合安全网关3级三级系统内网安全解决方案可信终端管理桌面防病毒补丁分发管理周期性风险评估加固(每半年1次)终端管理补丁管理风险评估安全加固日志分析3级三级系统应用安全解决方案用户身份双因素认证应用健康监控数据库审计数据存储备份定期渗透性测试(每半年1次)CA数字证书系统安全审计应用安全管理渗透性测试3级三级系统安全管理解决方案设备安全监控日志审计部署设备集中管理集中策略分发定期发布及更新文档化的正式安全策略安全管理系统安全策略设计评估定级服务组件评估定级服务组件分类服务组件描述输出评估定级服务风险评估通过对系统中主机安全、网络安全、应用安全、安全管理等方面的评估,发现系统的安全风险和安全现状。《风险评估报告》《安全需求分析报告》系统定级划分系统的安全域架构,分析系统业务特性和信息特性制定定级规则,确定系统的安全保护等级。《系统定级报告》等级评估以等级安全指标要求为基线,评估系统当前的安全措施与等级要求之间的差距。《等级评估报告》体系设计服务组件按需防御的等级保护服务组件分类服务组件描述输出等级安全体系设计服务等级安全体系框架设计根据客户现状和发展趋势要求,通过识别信息资产和建立分级分域的保护对象框架,设计各等级安全指标,构建机构整体信息安全体系。《等级安全体系框架建议》等级保护安全技术方案设计根据客户现状和发展趋势要求,为用户提供完整全面的安全建议,形成全面解决方案和实施指南,从而对安全风险进行有效控制。《等级保护解决方案建议》等级保护安全管理方案设计根据用户安全现状和发展趋势要求,指导客户设计对包括敏感信息在内的信息资产进行管理、保护和利用的规则,制订各类安全管理制度、标准、规范、流程等策略文件。《等级保护安全管理制度建议》等级保护安全规划设计分析客户安全需求得出安全控制措施,并对安全控制的相关性、紧迫性、可实施性、难易程度和预期效果等进行分析,对客户未来3-5年信息安全工作进行规划。《等级保护体系安全规划建议》安全运维服务组件按需防御的等级保护服务组件分类服务组件描述输出安全运维服务安全预警采用安全通告等方式,在大规模病毒、网络攻击等爆发之前,发布安全预警信息,提前做好安全防范。《安全预警通告》安全监控结合人工与工具平台的分析方法,对主机设备、安全设备等进行监控,找到当前系统及设备存在的隐患和被攻击痕迹,并提出的问题提供修补建议。《安全监控报告》安全加固通过定期的安全巡检,进行漏洞检查、补丁管理、安全加固等工作,防范系统因安全漏洞导致安全风险。《安全加固报告》安全审计通过采集关键服务器、防火墙、路由器、交换机等设备的日志,进行日志分析和恶意行为取证。《安全审计报告》应急响应在安全事件发生后迅速采取措施和行动,快速恢复系统的保密性、完整性和可用性,降低安全威胁事件给组织带来的严重影响。《应急响应报告》联想网御2008年工作计划目录安全服务产品线CISP培训及典型案例公司CISP培训政策目前的等级保护进展公司等保优势定级测评后等保服务等保典型案例等级保护服务案例清单序号案例名称1广东省电子政务等级保护试点项目2农业部信息系统安全定级服务项目3徐州市地税系统等级保护试点项目4天津市电子政务等级保护试点项目5江门市电子政务等级保护试点项目6天津市电子政务等级保护服务项目7佛山市电子政务等级保护服务项目8南海电子政务等级保护服务项目9北京移动等级化安全体系咨询项目10中国农业银行等级化体系服务项目等级保护对业务价值Page44of121:符合国家法律和政策政策要求,避免法律风险3:体现组织利益,投资节省,实现重点保护4:安全工作规范化,安全工作思路清晰5:精细化安全管理,全面提高信息安全保障水平2:符合行业需求,保护合作伙伴利益6:扩大服务范围、提搞服务质量、增强客户满意度7:提高企业声誉,增强竞争力8:促进区域、部门合作,知识资本发挥最大效益安全直接效益业务推动效益等级保护试点工作内容系统调查与评估等级化服务项目分域保护框架建设对象资产调查总体安全建议电子政务系统等级划分建议方案和管理规范应用与业务调查定级规范调查系统定级分域设计网络调整方案安全组织管理办法系统风险和安全措施调查评估加固方案体系和规划建议项目报告风险评估知识库应用举例风险评估知识库应用举例系统调查评估电子政务定级规范细化定级过程定级结果示例序号系统名称三性安全等级系统安全等级保密性等级完整性等级可用性等级1XX市社会保险管理信息系统33332XX市民政业务系统22223XX市社会保障(市民)卡业务系统22224XX市大社保平台数据中心系统23235XX市社会保险公共服务系统2222分域保护网络安全性改造与安全域解决方案示例安全解决方案管理体系建设电子政务安全组织管理办法电子政务网络系统安全规范电子政务互联网服务安全规范电子政务安全业务系统接入规范电子政务系统等级安全措施指标电子政务信息安全应急预案电子政务安全运行维护作业计划技术体系建设网络安全改造与安全域隔离周期性安全评估与加固政务网安全审计平台安全监管中心平台电子政务容灾备份中心等级保护管理制度示例安全体系规划某大型通信企业等级化安全体系咨询项目如何开展等级保护工作Page58of121.全面评估现有系统2.制定符合组织特点的等级划分规则并定级3.制定公司级安全制度和三年安全规划1.制定部门级安全制度2.解决风险评估技术问题3.实施部分技术改造4.设计信息安全管理平台1.全面推广公司安全策略2.安全运维工作外包3.完善信息安全管理平台全面了解组织IT资产和业务流程确定保护重点对象和内容确定公司的安全政策完成安全域改造完成全网审计完成操作性制度安全培训推广安全制度运维外包完成风险转移平台建立实现安全信息管理等级化安全体系解决方案设计流程保护对象公司部门系统计算区域网络基础设施边界核心服务器区域终端接入区域第三方接入区域安全目标公司安全目标部门安全建设目标系统安全建设目标安全要求机密性完整性可用性安全组织安全策略安全运作安全技术安全措施策略解决方案等级保护成果--风险评估(直接效果)Page60of12等级保护的成果安全组织Page61of12主管领导(主管安全)领导小组组长Xx部门负责人成员Xx部门负责人成员Xx部门负责人成员Xx部门负责人工作组组长Xx部门负责人成员Xx系统管理员成员Xx系统管理员成员Xx系统管理员成员Xx系统管理员办公室负责人Xx系统管理员成员安全管理员安全技术员信息安全办公室安全组织在公司中地位得到确认等级保护工作成果安全技术Page62of12防病毒监控审计认证第三方统一接入安全域访问控制访问控制访问控制主机安全边界隔离数据库安全应用安全安全域边界隔离形成公司安全技术体系:6大部分(6件事)不同等级系统的技术要求等级保

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论