2、等级保护交流

构建安全能力提升业务价值等级保护交流TOPSEC安徽平台罗川CISS、等保流程介绍等级保护介绍等级保护是对涉及国计民生的基础信息网络和重要信息系统按其重要程度及实际安全需求，合理投入，分级进行保护，分类指导，分阶段实施，保障信息系统安全正常运行和信息安全，提高信息安全综合防护能力，保障国家安全，维护社会秩序和稳定，保障并促进信息化建设健康发展，拉动信息安全和基础信息科学技术发展与产业化的国家层面的信息安全制度。进而牵动经济发展，提高综合国力。针对等级保护，国家陆续出台了一系列的标准、制度，使其作为国家层面的信息安全保障基本制度在全社会广泛执行。信息安全等级保护政策体系系统定级安全建设整改等级测评安全自查与监督检查系统备案信息系统定级原则：“自主定级、专家评审、主管部门审批、公安机关审核”。定级工作流程：摸底调查、确定定级对象、对信息系统进行重要性分析、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核。等级保护实施过程——系统定级

系统定级安全建设整改等级测评安全自查与监督检查系统备案1、信息系统备案第二级以上信息系统，由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续，填写《信息系统安全等级保护备案表》。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部备案；其他信息系统向北京市公安局备案。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。各部委统一定级信息系统在各地的分支系统，即使是上级主管部门定级的，也要到当地公安网络安全保卫部门备案。2、受理备案与审核公安机关对备案材料进行审核，定级准确、材料符合要求的颁发由公安部统一监制的备案证明。发现定级不准的，通知备案单位重新审核确定。3、备案管理将备案信息系统录入重要信息系统安全管理系统进行管理。备案材料1《信息系统安全等级保护备案表》二级以上2系统拓扑结构及说明三级以上3系统安全组织机构和管理制度4系统安全保护设施设计实施方案或者改建实施方案5系统使用的信息安全产品清单及其认证、销售许可证明6测评后符合系统安全保护等级的技术检测评估报告7信息系统安全保护等级专家评审意见8主管部门审核批准信息系统安全保护等级的意见等级保护实施过程——系统备案系统定级安全建设整改等级测评安全自查与监督检查系统备案范围：已备案的第二级（含）以上信息系统纳入安全建设整改的范围。尚未开展定级备案的信息系统，要先定级备案，定级不准的要先纠正，再开展安全建设整改。新建系统要同步开展安全建设工作。步骤：第一步：制定信息系统安全建设整改工作规划，对信息系统安全建设整改工作进行总体部署；第二步：开展信息系统安全保护现状分析，从管理和技术两个方面确定信息系统安全建设整改需求；第三步：确定安全保护策略，制定信息系统安全建设整改方案；第四步：开展信息系统安全建设整改工作，建立并落实安全管理制度，落实安全责任制，建设安全设施，落实安全措施；第五步：开展安全自查和等级测评，及时发现信息系统中存在安全隐患和威胁，进一步开展安全建设整改工作。等级保护实施过程——建设整改

系统定级安全建设整改等级测评安全自查与监督检查系统备案信息系统安全管理基本要求系统定级安全建设整改等级测评安全自查与监督检查系统备案信息系统安全技术基本要求等级保护二级、三级系统主要控制措施对比安全类别控制项主要安全措施二级保护措施三级保护措施物理安全物理访问控制机房安排专人负责，来访人员须审批和陪同■■重要区域配置门禁系统

■防盗窃和防破坏暴露在公共场所的网络设备须具备安全保护措施■■主机房安装监控报警系统

■防雷击机房计算机系统接地符合GB50057

1994《建筑物防雷设计规范》中的计算机机房防雷要求■■机房电源、网络信号线、重要设备安装有资质的防雷装置

■防火机房设置灭火设备和火灾自动报警系统■■机房配置自动灭火装置

■电力供应机房及关键设备应配置UPS备用电力供应■■医院重要科室应采用双回路电源供电■■环境监控机房设置温、湿度自动调节设施■■机房设置防水检测和报警设施

■对机房关键设备和磁介质实施电磁屏蔽

■等级保护二级、三级系统主要控制措施对比网络安全结构安全网络应按职能和重要程度不同划分网段■■重要网段之间应采用技术隔离，如防火墙

■访问控制网络边界部署防火墙或网闸■■安全审计网络日志审计、网络运维管理安全审计■■边界完整性检查采用准入控制系统实现准入控制、非法外联检查■■采用准入控制系统实现准入控制及非法外联可阻断

■入侵防范入侵检测系统/入侵防御系统■■恶意代码防范防病毒网关

■主机安全入侵防范采用服务器安全加固■■安全审计采用终端管理系统实现安全审计■■恶意代码防范防病毒软件■■应用安全身份鉴别采用双因素如数字证书认证措施

■安全审计安全审计系统■■数据安全与备份恢复备份与恢复本地数据备份与恢复■■硬件冗余关键网络设备、线路和服务器硬件冗余■■异地备份异地数据备份

■等级保护二级和三级系统涉及主要安全产品对比二级涉及安全产品防火墙入侵检测防病毒软件安全审计VPN……三级涉及安全产品防火墙入侵防御网络病毒防护安全审计VPN强身份认证安全管理中心终端安全管理……系统定级安全建设整改等级测评安全自查与监督检查系统备案信息系统安全建设整改完成后要进行等级测评，在工程预算中应当包括等级测评费用。对第三级（含）以上信息系统每年要进行等级测评，并对测评费用做出预算。在公安部备案的信息系统应选择国家信息安全等级保护工作协调小组办公室推荐的等级测评机构实施等级测评；在省（区、市）、地市级公安机关备案的信息系统，备案单位应选择本省（区、市）信息安全等级保护工作协调小组办公室或国家信息安全等级保护工作协调小组办公室推荐的等级测评机构实施等级测评。目前国家级7家，北京市级10家。测评时机：建设整改后开展等级测评，检验整改效果。测评频率：第三级以上定期；第二级参照。测评费用：参照国家信息化项目人工计费标准或根据被测设备数量与测评项预算测评费用。测评目的一是掌握信息系统安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求；二是能够衡量出信息系统安全保护措施是否符合等级保护基本要求，是否具备了相应等级的安全保护能力。等级保护实施过程——等级测评系统定级安全建设整改等级测评安全自查与监督检查系统备案备案单位应定期开展自查，掌握信息系统安全状况、安全管理制度及技术保护措施的落实情况等。行业主管部门定期组织对本行业、本部门等级保护工作开展情况进行检查，督促落实信息安全等级保护制度，达到重点督促，以点带面的目的。第三级、第四级信息系统，由受理备案的公安机关进行检查。对第三级信息系统每年至少检查一次，对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。公安机关监督检查内容包括：等级保护工作部署和组织实施情况信息系统安全等级保护定级备案情况信息安全设施建设情况和信息安全整改情况运营、使用单位信息安全管理制度建立和措施落实情况信息安全产品选择和使用情况聘请测评机构开展技术测评工作情况运营、使用单位对信息系统安全状况定期自查情况及其主管部门督导检查情况等级保护实施过程——安全自查与监督检查基于等级保护生命周期的安全服务系统定级安全建设整改等级测评安全自查与监督检查系统备案定级咨询服务安全规划与整改方案设计服务整改集成实施服务协助测评服务系统调查系统定级定级报告专家评审协助备案安全需求分析安全策略设计解决方案设计安全建设规划技术整改管理整改安全加固安全培训测评准备协助测评风险评估服务差距评估服务测评准备方案编制现场评估报告编制安全巡检应急响应安全通告售后服务安全运维服务等级保护体系框架设计思路安全技术体系设计安全管理体系设计安全运维服务设计安全计算环境设计安全区域边界设计安全通信网络设计安全管理中心设计安全管理体系设计流程安全管理组织体系建设安全管理制度体系建设人员安全规划系统建设规划系统安全监控人员驻场值守事件应急响应网络及安全设备维护系统安全维护完善安全管理制度等级保护解决方案

安全服务确保技术与管理有效落地、执行和改进安全域边界保护等级保护安全服务安全事件管理网络准入安全管理桌面安全管理安全区域细分细化区域边界访问控制策略安全边界安全监控核心数据区域安全审计互联网出口管理网络准入认证与授权控制移动办公安全安全补丁收集、分发系统弱点自动发现、分析能力终端合规行为管理事件监控能力事件快速响应能力周期性安全巡检完善安全管理制度目录二、等保实力介绍标准参与者参与多项等级保护国家标准的起草《实施指南》，《定级指南》，《基本要求》国信办25号文件《电子政务等级保护实施指南》信产部《电信网和互联网安全等级保护实施指南》系列标准试点主力军组织与参与国内多个的试点案例国信办河南济源电子政务等保试点参与公安部13个省试点中的北京、山西、浙江、湖北、重庆五省的试点工作国内最典型的案例：通过三年规划，实施了十几个项目，基本建成符合等级保护制度的安全体系参与多个等级保护试点工程项目北京市农业局等级保护评估规划服务北京市农村商业银行等级保护建设山西省新闻网信息安全等级保护建设武汉物价局信息安全等级保护建设温州电子政务信息安全等级保护建设重庆轨道交通安全等级保护建设安全服务具有丰富的经验具有电信，银行，政府，能源等行业的多个成功安服项目案例成为多个省级等级保护技术支持单位湖北、四川、黑龙江、重庆、广州物理安全网络安全主机安全应用安全数据安全身份鉴别（S）安全标记（S）访问控制（S）可信路径（S）安全审计（G）剩余信息保护（S）物理位置的选择（G）物理访问控制（G）防盗窃和破坏（G）防雷/火/水（G）温湿度控制（G）电力供应（A）数据完整性（S）数据保密性（S）备份与恢复（A）防静电（G）电磁防护（S）入侵防范（G）资源控制（A）恶意代码防范（G）结构安全（G）访问控制（G）安全审计（G）边界完整性检查（S）入侵防范（G）恶意代码防范（G）网络设备防护（G）身份鉴别（S）剩余信息保护（S）安全标记（S）访问控制（S）可信路径（S）安全审计（G）通信完整性（S）通信保密性（S）抗抵赖（G）软件容错（A）资源控制（A）技术要求防火墙UTM流量控制网络审计日志审计终端安全管理IDS/IPS防病毒网关堡垒机安全加固服务网管系统数据库审计日志审计漏洞扫描堡垒机终端安全安管平台安全加固系统网管系统病毒软件PKI/CAWeb防火墙Web防篡改VPN安全加固服务VPN数据安全产品数据存储、备份提供等保落地安全产品※天融信安全服务团队由一批经验丰富，富有责任心和使命感的专业技术人员组成，多人拥有TCSP、CISP、CISSP、C