信息系统安全保护——领导版

作者：胡朝俊信息系统安全保护解决方案蓝盾信息安全技术股份有限公司BluedonInformationSecurityTechnologiesCo.，Ltd.中国蓝盾ksert@139.com86+15818890661TLE中国蓝盾讲义大纲叁蓝盾的优势壹等级保护介绍肆典型案例与客户贰蓝盾等保服务与解决方案有朋自远方来不亦乐乎中国蓝盾信息安全等级保护基本概念信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件等级响应、处置。这里所指的信息系统，是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络；信息是指在信息系统中存储、传输、处理的数字化信息。中国蓝盾信息系统安全保护得到重视2003年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）以及2004年9月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。2009年4月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45号)中又再次指出，“通过深化信息安全等级保护，全面推动重要信息系统安全整改和测评工作，增强信息系统安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，提高信息安全保障能力，维护国家安全、社会稳定和公共利益，保障和促进信息化建设”。中国蓝盾国家标准及政策文件2003年9月中办国办颁发《关于加强信息安全保障工作的意见》中办发[2003]27号2004年11月四部委会签《关于信息安全等级保护工作的实施意见》公通字[2004]66号2005年9月国信办文件《关于转发《电子政务信息安全等级保护实施指南》的通知》国信办[2004]25号2006年1月四部委会签《关于印发《信息安全等级保护管理办法的通知》公通字[2006]7号2005年公安部标准《基本要求》《定级指南》《实施指南》《测评准则》北京北京政府第9号令浙江浙江省人民政府令广东广东省深化信息安全等级保护工作方案粤公通字[2009]45号国家级政策文件国家级技术标准国家级政策文件地方政策文件……中国蓝盾中国蓝盾中国蓝盾信息系统的安全保护的等级划分第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。中国蓝盾讲义大纲叁蓝盾的优势壹等级保护介绍肆典型案例与客户贰蓝盾等保服务与解决方案有朋自远方来不亦乐乎中国蓝盾等保实施生命周期内的主要活动安全规划设计阶段等级化风险评估分级保护模型化处理安全策略规划安全建设规划安全建设详细方案设计安全实施/实现阶段安全产品采购安全控制开发安全控制集成测试与验收安全等级测评运行批准系统备案运行管理和状态监控阶段操作管理和控制配置管理和控制变更管理和控制安全状态监控安全事件处理和应急预案监督和检查持续改进系统定级阶段系统调查和描述子系统划分子系统定级子系统边界设定定级结果文档化信息系统等级保护实施生命周期内的主要活动中国蓝盾安全组织与职责设计安全培训与资质认证安全策略体系与流程设计网络与应用加密服务平台业务应用系统安全改造数据备份与冗灾平台统一身份认证与授权管理平台设备安全配置与加固安全域划分与边界访问控制平台安全管理运行中心安全策略与流程推广实施安全体系推广与常年咨询防病毒、补丁和终端管理平台统一安全监控与审计平台安全技术体系建设安全组织体系建设安全策略体系建设安全运行体系建设安全调查与风险评估等级保护体系设计等级保护定级咨询等级保护测评支持与咨询定级阶段规划阶段整改阶段常年安全运维外包服务安全托管监控与管家服务等级保护阶段蓝盾等保服务与解决方案安全规划方案设计等保技术整改集成等保管理整改服务等保评估服务等保定级服务等保测评支持服务测评阶段中国蓝盾蓝盾等保服务与解决方案等保定级服务：在用户等级保护建设的定级阶段提供。蓝盾将协助用户对信息系统进行划分，并根据信息系统的价值确定信息系统的保护等级，等级确定后协助用户完成保护等级的备案工作；等保评估服务：在用户等级保护建设的规划阶段提供。蓝盾针对用户的信息系统进行全面的评估，根据评估的结果和信息系统确认的保护等级，结合“信息系统安全等级保护基本要求”中对各级别信息系统的技术和管理要求，调整相应的安全保护措施，并完成安全保障系统的整体规划；等保管理整改服务：在用户等级保护建设的整改阶段提供。蓝盾将根据等级保护基本管理要求，结合用户的实际需求，协助用户建设相应的组织体系、策略体系、运行体系，从而全面提升用户安全管理的层次和能力；等保测评支持服务：在用户等级保护建设的测评阶段提供。在完成等级保护整改活动后，蓝盾将协助用户，准备测评材料，在测评过程中提供技术支持服务。等保技术整改集成服务：在用户等级保护建设的整改阶段提供。蓝盾将根据等级保护基本技术要求，结合用户的实际需求，协助用户完成安全设备的选型、采购、安装、策略配置等活动，协助用户搭建完善的技术防护系统，保障应用系统的安全可靠；中国蓝盾讲义大纲叁蓝盾的优势壹等级保护介绍肆典型案例与客户贰蓝盾等保服务与解决方案有朋自远方来不亦乐乎中国蓝盾蓝盾的优势作为首家获得《广东省计算机信息系统安全服务资质证》和《广东省信息安全等级保护测评机构》（粤测评GA001)一级安全服务资质的公司，蓝盾信息安全技术股份有限公司是国内最早从事网络安全服务的专业性公司之一。早在2006年，广州市商业银行(现广州银行)作为广东省首家银行信息系统等级保护的试点单位就与公司签订了信息安全服务协议。在公司的协助下，顺利的完成了信息系统等级保护的相关工作。公司通过多年来在安全产品的研发、客户服务中，逐步形成了一套完善的信息安全工程体系，它以专业理论和技术为支撑；以多种专业测试工具为手段（包含自主研发的安全检测工具）；以国际和国家信息安全标准为实施规范。蓝盾公司安全服务为客户提供全面的，专业的安全支持。一级粤测评GA001中国蓝盾中国蓝盾讲义大纲叁蓝盾的优势壹等级保护介绍肆典型案例与客户贰蓝盾等保服务与解决方案有朋自远方来不亦乐乎中国蓝盾典型案例丰富的案例自从蓝盾安全评估服务中心成立以来，已经具有丰富的各个行业的成功安全服务案例，先后与上海证券交易所、省交通厅、省水利厅、中山市信息中心等360多个单位做了安全评估服务，获得了良好的社会效果。360中国蓝盾广州市商业银行广州市商业银行是广东省首家信息系统等级保护的试点单位，在等级保护试点实施工作中认真贯彻了2003年中央办公厅、国务院办公厅下发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中发办[2003]27号）以及2004年9月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件精神，结合广州市商业银行信息系统的实际情况，遵循《信息系统安全等级保护实施指南》，在等级保护试点实施工作中，初步定位等级保护三级，并对信息系统按等级保护基本要求按三级进行测评。达到通过公安部信息系统安全等级保护评审的目的，成为通过省内首个通过安全等级保护条令评审的金融机构。中国蓝盾广东电网广东电网作为南方电网供电能力最大的子公司，是全国乃至亚洲最大的省级电力供应系统。其信息系统的安全直接影响着广东省21个地市的供电安全。因此根据国家信息系统安全等级保护要求、南方电网风险管理体系建设要求，对广东电网本部和21个地市供电局信息系统（共计约160余个二三级信息系统）进行等级保护测评、风险评估和信息安全评价体系建设。为了符合《广东省深化等级保护工作方案》工作部署，现已完成等级保护测评工作。下一阶段将依据ISO27001和GB/T-20984对信息系统进行风险评估和评价体系建设。中国蓝盾东莞供电局东莞供电局作为广东电网的重要组成部门承担了东莞市的电力保障任务。按《广东省深化等级保护工作方案》要求，需要在8月前完成等级保护安全整改建设。在此基础上，东莞供电局进一步希望通过风险评估找到现有信息系统中存在的重大风险。因此将从2009年9月起，对东莞供电局管理系统进行全面的风险评估，在风险评估基础上识别关键资产、威胁、脆弱性和安全控制措施，并建立其信息安全风险评价体系。逐步完善依据ISO27001的信息安全管理体系。中国蓝盾广州市电视台广州市电视台是国内较有规模的城市电视台。1988年1月10日开播综合频道。1994年开办有线广播电视，现有线节目六套，分别为英语频道、影视频道、新闻频道、经济频道、竞赛频道、少儿频道。现有线网络用户为160万户，转播传输43套优质电视节目。为了更好保护市电视台综合信息系统的安全运行，对其综合信息网依据《等级保护定级指南》协助其编制定级材料。在通过广州市网监备案后，依据等级保护二级标准进行了等级保护测评。由于综合信息系统安全建设基础较好，顺利通过了等级保护测评，并提交广州市网监分局备案。中国蓝盾广东集成利期货公司佛山市目前已完成等级保护的定级工作，有约600家单位在佛山市网监进行了定级报告的备案工作，按佛山市网监的要求，当前需要启动对所有定级单位进行等级测评工作，广东集成利期货公司作为首批佛山等保测评试点单位。对其主要信息系统进行了等级保护定级，共计5个等级保护二级系统。再次基础上，依据《等级保护测评准则》对其进行等级保护测评。在测评过程中，发现较多不符合项。因此在初步测评的基础上，进行了等级保护安全整改方案设计。中国蓝盾佛山市人口和计划生育局佛山市人口和计划生育局目前已完成等级保护的定级工作，按佛山市网监的要求，当前需要启动对所有定级单位进行等级测评工作，佛山市人口和计划生育局作为首批在佛山市进行等保此项工作的单位。佛山市网监引入第三方测评公司进行此项工作，蓝盾信息安全技术股份有限公司作为广东省首个具备等级保护合格测评资质的单位来开展此项工作。对其主要信息系统进行了等级保护定级，共计1个等级保护二级系统。再次基础上，依据《等级保护测评准则》对其进行等级保护测评。在测评过程中，发现较多不符合项。因此在初步测评的基础上，进行了等级保护安全整改方案设计。中国蓝盾中共广东省委党校中共广东省委党校需要按照等级保护的技术要求，对当前网络进行规划建设，其主要信息系统有1个等级保护二级系统。依据《等级保护测评准则》对该系统进行测评，在对中共广东省委党校信息系统现有安全状况进行详细的需求分析和调研的基础上，针对中共广东省委党校的安全改造需求制定了整改方案，将安全策略、安全技术体系架构、安全措施和要求落实到具体的网络安全产品上，指导中共广东省委党校等级保护的建设过程。中国蓝盾行业客户中国蓝盾行业客户作者：胡朝俊!ありがとう中国蓝盾ksert@139.com86+15818890661TLE蓝盾信息安全技术股份有限公司BluedonInformationSecurityTechnologiesCo.，Ltd.