構建安全能力提升業務價值等級保護交流TOPSEC安徽平臺羅川CISS、等保流程介紹等級保護介紹等級保護是對涉及國計民生的基礎信息網絡和重要信息系統按其重要程度及實際安全需求，合理投入，分級進行保護，分類指導，分階段實施，保障信息系統安全正常運行和信息安全，提高信息安全綜合防護能力，保障國家安全，維護社會秩序和穩定，保障并促進信息化建設健康發展，拉動信息安全和基礎信息科學技術發展與產業化的國家層面的信息安全制度。進而牽動經濟發展，提高綜合國力。針對等級保護，國家陸續出臺了一系列的標準、制度，使其作為國家層面的信息安全保障基本制度在全社會廣泛執行。信息安全等級保護政策體系系統定級安全建設整改等級測評安全自查與監督檢查系統備案信息系統定級原則：“自主定級、專家評審、主管部門審批、公安機關審核”。定級工作流程：摸底調查、確定定級對象、對信息系統進行重要性分析、確定信息系統安全保護等級、組織專家評審、主管部門審批、公安機關審核。等級保護實施過程——系統定級

系統定級安全建設整改等級測評安全自查與監督檢查系統備案1、信息系統備案第二級以上信息系統，由信息系統運營使用單位到所在地設區的市級以上公安機關網絡安全保衛部門辦理備案手續，填寫《信息系統安全等級保護備案表》。隸屬于中央的在京單位，其跨省或者全國統一聯網運行并由主管部門統一定級的信息系統，由主管部門向公安部備案；其他信息系統向北京市公安局備案。跨省或者全國統一聯網運行的信息系統在各地運行、應用的分支系統，應當向當地設區的市級以上公安機關備案。各部委統一定級信息系統在各地的分支系統，即使是上級主管部門定級的，也要到當地公安網絡安全保衛部門備案。2、受理備案與審核公安機關對備案材料進行審核，定級準確、材料符合要求的頒發由公安部統一監制的備案證明。發現定級不準的，通知備案單位重新審核確定。3、備案管理將備案信息系統錄入重要信息系統安全管理系統進行管理。備案材料1《信息系統安全等級保護備案表》二級以上2系統拓撲結構及說明三級以上3系統安全組織機構和管理制度4系統安全保護設施設計實施方案或者改建實施方案5系統使用的信息安全產品清單及其認證、銷售許可證明6測評后符合系統安全保護等級的技術檢測評估報告7信息系統安全保護等級專家評審意見8主管部門審核批準信息系統安全保護等級的意見等級保護實施過程——系統備案系統定級安全建設整改等級測評安全自查與監督檢查系統備案范圍：已備案的第二級（含）以上信息系統納入安全建設整改的范圍。尚未開展定級備案的信息系統，要先定級備案，定級不準的要先糾正，再開展安全建設整改。新建系統要同步開展安全建設工作。步驟：第一步：制定信息系統安全建設整改工作規劃，對信息系統安全建設整改工作進行總體部署；第二步：開展信息系統安全保護現狀分析，從管理和技術兩個方面確定信息系統安全建設整改需求；第三步：確定安全保護策略，制定信息系統安全建設整改方案；第四步：開展信息系統安全建設整改工作，建立并落實安全管理制度，落實安全責任制，建設安全設施，落實安全措施；第五步：開展安全自查和等級測評，及時發現信息系統中存在安全隱患和威脅，進一步開展安全建設整改工作。等級保護實施過程——建設整改

系統定級安全建設整改等級測評安全自查與監督檢查系統備案信息系統安全管理基本要求系統定級安全建設整改等級測評安全自查與監督檢查系統備案信息系統安全技術基本要求等級保護二級、三級系統主要控制措施對比安全類別控制項主要安全措施二級保護措施三級保護措施物理安全物理訪問控制機房安排專人負責，來訪人員須審批和陪同■■重要區域配置門禁系統

■防盜竊和防破壞暴露在公共場所的網絡設備須具備安全保護措施■■主機房安裝監控報警系統

■防雷擊機房計算機系統接地符合GB50057

1994《建筑物防雷設計規范》中的計算機機房防雷要求■■機房電源、網絡信號線、重要設備安裝有資質的防雷裝置

■防火機房設置滅火設備和火災自動報警系統■■機房配置自動滅火裝置

■電力供應機房及關鍵設備應配置UPS備用電力供應■■醫院重要科室應采用雙回路電源供電■■環境監控機房設置溫、濕度自動調節設施■■機房設置防水檢測和報警設施

■對機房關鍵設備和磁介質實施電磁屏蔽

■等級保護二級、三級系統主要控制措施對比網絡安全結構安全網絡應按職能和重要程度不同劃分網段■■重要網段之間應采用技術隔離，如防火墻

■訪問控制網絡邊界部署防火墻或網閘■■安全審計網絡日志審計、網絡運維管理安全審計■■邊界完整性檢查采用準入控制系統實現準入控制、非法外聯檢查■■采用準入控制系統實現準入控制及非法外聯可阻斷

■入侵防范入侵檢測系統/入侵防御系統■■惡意代碼防范防病毒網關

■主機安全入侵防范采用服務器安全加固■■安全審計采用終端管理系統實現安全審計■■惡意代碼防范防病毒軟件■■應用安全身份鑒別采用雙因素如數字證書認證措施

■安全審計安全審計系統■■數據安全與備份恢復備份與恢復本地數據備份與恢復■■硬件冗余關鍵網絡設備、線路和服務器硬件冗余■■異地備份異地數據備份

■等級保護二級和三級系統涉及主要安全產品對比二級涉及安全產品防火墻入侵檢測防病毒軟件安全審計VPN……三級涉及安全產品防火墻入侵防御網絡病毒防護安全審計VPN強身份認證安全管理中心終端安全管理……系統定級安全建設整改等級測評安全自查與監督檢查系統備案信息系統安全建設整改完成后要進行等級測評，在工程預算中應當包括等級測評費用。對第三級（含）以上信息系統每年要進行等級測評，并對測評費用做出預算。在公安部備案的信息系統應選擇國家信息安全等級保護工作協調小組辦公室推薦的等級測評機構實施等級測評；在省（區、市）、地市級公安機關備案的信息系統，備案單位應選擇本省（區、市）信息安全等級保護工作協調小組辦公室或國家信息安全等級保護工作協調小組辦公室推薦的等級測評機構實施等級測評。目前國家級7家，北京市級10家。測評時機：建設整改后開展等級測評，檢驗整改效果。測評頻率：第三級以上定期；第二級參照。測評費用：參照國家信息化項目人工計費標準或根據被測設備數量與測評項預算測評費用。測評目的一是掌握信息系統安全狀況、排查系統安全隱患和薄弱環節、明確信息系統安全建設整改需求；二是能夠衡量出信息系統安全保護措施是否符合等級保護基本要求，是否具備了相應等級的安全保護能力。等級保護實施過程——等級測評系統定級安全建設整改等級測評安全自查與監督檢查系統備案備案單位應定期開展自查，掌握信息系統安全狀況、安全管理制度及技術保護措施的落實情況等。行業主管部門定期組織對本行業、本部門等級保護工作開展情況進行檢查，督促落實信息安全等級保護制度，達到重點督促，以點帶面的目的。第三級、第四級信息系統，由受理備案的公安機關進行檢查。對第三級信息系統每年至少檢查一次，對第四級信息系統每半年至少檢查一次。對跨省或者全國統一聯網運行的信息系統的檢查，應當會同其主管部門進行。公安機關監督檢查內容包括：等級保護工作部署和組織實施情況信息系統安全等級保護定級備案情況信息安全設施建設情況和信息安全整改情況運營、使用單位信息安全管理制度建立和措施落實情況信息安全產品選擇和使用情況聘請測評機構開展技術測評工作情況運營、使用單位對信息系統安全狀況定期自查情況及其主管部門督導檢查情況等級保護實施過程——安全自查與監督檢查基于等級保護生命周期的安全服務系統定級安全建設整改等級測評安全自查與監督檢查系統備案定級咨詢服務安全規劃與整改方案設計服務整改集成實施服務協助測評服務系統調查系統定級定級報告專家評審協助備案安全需求分析安全策略設計解決方案設計安全建設規劃技術整改管理整改安全加固安全培訓測評準備協助測評風險評估服務差距評估服務測評準備方案編制現場評估報告編制安全巡檢應急響應安全通告售后服務安全運維服務等級保護體系框架設計思路安全技術體系設計安全管理體系設計安全運維服務設計安全計算環境設計安全區域邊界設計安全通信網絡設計安全管理中心設計安全管理體系設計流程安全管理組織體系建設安全管理制度體系建設人員安全規劃系統建設規劃系統安全監控人員駐場值守事件應急響應網絡及安全設備維護系統安全維護完善安全管理制度等級保護解決方案

安全服務確保技術與管理有效落地、執行和改進安全域邊界保護等級保護安全服務安全事件管理網絡準入安全管理桌面安全管理安全區域細分細化區域邊界訪問控制策略安全邊界安全監控核心數據區域安全審計互聯網出口管理網絡準入認證與授權控制移動辦公安全安全補丁收集、分發系統弱點自動發現、分析能力終端合規行為管理事件監控能力事件快速響應能力周期性安全巡檢完善安全管理制度目錄二、等保實力介紹標準參與者參與多項等級保護國家標準的起草《實施指南》，《定級指南》，《基本要求》國信辦25號文件《電子政務等級保護實施指南》信產部《電信網和互聯網安全等級保護實施指南》系列標準試點主力軍組織與參與國內多個的試點案例國信辦河南濟源電子政務等保試點參與公安部13個省試點中的北京、山西、浙江、湖北、重慶五省的試點工作國內最典型的案例：通過三年規劃，實施了十幾個項目，基本建成符合等級保護制度的安全體系參與多個等級保護試點工程項目北京市農業局等級保護評估規劃服務北京市農村商業銀行等級保護建設山西省新聞網信息安全等級保護建設武漢物價局信息安全等級保護建設溫州電子政務信息安全等級保護建設重慶軌道交通安全等級保護建設安全服務具有豐富的經驗具有電信，銀行，政府，能源等行業的多個成功安服項目案例成為多個省級等級保護技術支持單位湖北、四川、黑龍江、重慶、廣州物理安全網絡安全主機安全應用安全數據安全身份鑒別（S）安全標記（S）訪問控制（S）可信路徑（S）安全審計（G）剩余信息保護（S）物理位置的選擇（G）物理訪問控制（G）防盜竊和破壞（G）防雷/火/水（G）溫濕度控制（G）電力供應（A）數據完整性（S）數據保密性（S）備份與恢復（A）防靜電（G）電磁防護（S）入侵防范（G）資源控制（A）惡意代碼防范（G）結構安全（G）訪問控制（G）安全審計（G）邊界完整性檢查（S）入侵防范（G）惡意代碼防范（G）網絡設備防護（G）身份鑒別（S）剩余信息保護（S）安全標記（S）訪問控制（S）可信路徑（S）安全審計（G）通信完整性（S）通信保密性（S）抗抵賴（G）軟件容錯（A）資源控制（A）技術要求防火墻UTM流量控制網絡審計日志審計終端安全管理IDS/IPS防病毒網關堡壘機安全加固服務網管系統數據庫審計日志審計漏洞掃描堡壘機終端安全安管平臺安全加固系統網管系統病毒軟件PKI/CAWeb防火墻Web防篡改VPN安全加固服務VPN數據安全產品數據存儲、備份提供等保落地安全產品※天融信安全服務團隊由一批經驗豐富，富有責任心和使命感的專業技術人員組成，多人擁有TCSP、CISP、CISSP、C