分级保护项目实施培训

Copyright©2015NeusoftCorporation.Allrightsreserved.2015年4月分级保护项目实施培训Copyright©2015NeusoftCorporation.Allrightsreserved.培训题纲一．培训背景二．涉密信息系统建设简介三．实施准备阶段四．实施阶段五．初步验收阶段六．测评申请书提交阶段七．培训及现场考察阶段八．测评阶段九．终验阶段Copyright©2015NeusoftCorporation.Allrightsreserved.一、培训背景培训目的：交流分级保护实施经验，列出了一般分级保护的实施流程，实施注意事项，实施各阶段的提交成果参考，仅供分级保护实施参考，分享项目经验和知识。项目特点：分级保护项目实施时间长，投入资源多，从合同上看不出具体的工作范围，只能看出项目的最终目的，标准保密，造成分保项目对项目实施经理的相关项目经验要求非常高。术语：分级保护项目：依据国保发（2005）16号文件和*M*17确定系统的保护等级进行防护，按照*M*20的要求进行管理，按照*M*18的要求进行工程监理。以通过国家保密局测评作为验收条件之一的信息系统建设项目。Copyright©2015NeusoftCorporation.Allrightsreserved.培训题纲一．培训背景二．涉密信息系统建设简介三．实施准备阶段四．实施阶段五．初步验收阶段六．测评申请书提交阶段七．培训及现场考察阶段八．测评阶段九．终验阶段Copyright©2015NeusoftCorporation.Allrightsreserved.2.1涉密信息系统管理过程（八个过程）1.系统定级2.方案设计3.工程实施4.系统测评5.系统审批6.日常管理7.测评与检查8.系统报废二、涉密信息系统建设简介Copyright©2015NeusoftCorporation.Allrightsreserved.二、涉密信息系统建设简介Copyright©2015NeusoftCorporation.Allrightsreserved.二、涉密信息系统建设简介Copyright©2015NeusoftCorporation.Allrightsreserved.2.2涉密集成建设（七个阶段）1.实施准备阶段2.实施阶段3.初步验收阶段4.测评申请书提交阶段5.培训及现场考察阶段6.正式测评阶段7.项目验收阶段二、涉密信息系统建设简介Copyright©2015NeusoftCorporation.Allrightsreserved.项目启动会立项/预算/工作交接项目实施准备测评申请书提交阶段产品布署培训及现场考察阶段设备及厂家资质文档准备成立项目组网络割接/网关设备布署初验收过程文档测评阶段培训陪同人员培训现场测评模拟打分实施阶段验收第一次提交第二次提交终端用户人员培训制度相关文档编写三员培训现场考察测评后整改验收2.2涉密集成建设（七个阶段）初验二、涉密信息系统建设简介Copyright©2015NeusoftCorporation.Allrightsreserved.分保项目工时估算（一个建筑物1个机房200终端）二、涉密信息系统建设简介2.2涉密集成建设（七个阶段）Copyright©2015NeusoftCorporation.Allrightsreserved.分保项目工时估算（一个建筑物1个机房200终端）二、涉密信息系统建设简介2.2涉密集成建设（七个阶段）Copyright©2015NeusoftCorporation.Allrightsreserved.2.3普通集成项目（四个阶段）1.实施准备阶段2.实施阶段3.初步验收阶段4.项目终验阶段二、涉密信息系统建设简介项目启动会立项/预算/工作交接项目实施准备产品布署文档准备成立项目组网络割接/网关设备布署初验阶段初验实施阶段终验试运行终验测试Copyright©2015NeusoftCorporation.Allrightsreserved.2.4涉密集成建设VS普通集成项目阶段不同（7个阶段VS4个阶段）范围不同（以测评要求为范围VS以合同为范围）客户的负责人不同（信息化领导小组组长VS信息中心主任）干系方不同（4大干系方VS2大干系方）二、涉密信息系统建设简介Copyright©2015NeusoftCorporation.Allrightsreserved.培训题纲一．培训背景二．涉密信息系统建设简介三．实施准备阶段四．实施阶段五．初步验收阶段六．测评申请书提交阶段七．培训及现场考察阶段八．测评阶段九．终验阶段Copyright©2015NeusoftCorporation.Allrightsreserved.三、实施准备阶段3.1准备阶段的工作内容1.熟悉前期情况本阶段主要是工作任务是建立项目组并熟悉前期情况，将项目前期资料进行熟悉（合同、集成产品清单、设计方案、保密局的评审意见、及客户的联系方式等），对项目集成来讲，是一个阶段性的过度。2.编写文档项目组需要制订《项目计划》，编写详细的《实施方案》以及《测试方案》。3.差异和风险分析和类似涉密项目进行对比，对比分析，对发现的问题进行通报。Copyright©2015NeusoftCorporation.Allrightsreserved.三、实施准备阶段3.2准备阶段注意事项项目经理要清楚合同主体、分保级别、项目范围及项目最终目的；根据项目实际情况费用估算，一般情况下实施的大部分费用需要划入到产品合同；需要制订项目计划及实施方案，比较重要的文档需要多人审核后提交；通过协商制定内部和外部的项目沟通交流方式；项目组养成整理保存文件记录的习惯；制定文档规范，如文档编号，文档分类格式等。在本阶段，有必要开始提醒客户，分级保护项目最终测评过程是客户主导，厂商配合的。Copyright©2015NeusoftCorporation.Allrightsreserved.三、实施准备阶段3.3沟通需求项目前期，公司内部需要和负责本项目的销售人员，售前人员，专家团成员积极沟通，了解前期对客户的承诺，我方在项目中的地位，客户的背景及可能遇到的问题。对于和客户的协调，需要了解客户的大体预期时间安排，需要了解重要项目干系人（项目相关各方）对本次项目的重视程度，特别是客户保密办，客户信息中心领导的意见。Copyright©2015NeusoftCorporation.Allrightsreserved.三、实施准备阶段3.4阶段提交物及检查本阶段的形成的文档在测评期间，主要集中装订在实施过程文档里面。《实施方案》《实施计划》《测试方案》需要和监理及客户最后认可。实施方案目前保密局还没有正式的标准。Copyright©2015NeusoftCorporation.Allrightsreserved.培训题纲一．培训背景二．涉密信息系统建设简介三．实施准备阶段四．实施阶段五．初步验收阶段六．测评申请书提交阶段七．培训及现场考察阶段八．测评阶段九．终验阶段Copyright©2015NeusoftCorporation.Allrightsreserved.四、实施阶段4.1实施阶段工作内容4.2实施阶段注意事项4.3实施阶段沟通需求4.4实施阶段提交物及检查Copyright©2015NeusoftCorporation.Allrightsreserved.四、实施阶段4.1实施阶段工作内容4.1.1设备交付4.1.2安全域划分4.1.3物理环境4.1.4电磁屏蔽相关产品安装4.1.5网络安全产品安装4.1.6保密管理制度4.1.7终端和应用Copyright©2015NeusoftCorporation.Allrightsreserved.四、实施阶段4.1.1实施阶段工作内容(设备交付)产品到货后同甲方验货并签署《设备交付书》。到货后给监理提交《付款申请书》。《设备交付书》装订在实施过程文档里面。Copyright©2015NeusoftCorporation.Allrightsreserved.四、实施阶段4.1.2实施阶段工作内容（安全域划分）关于安全域的划分依照分保设计方案的设计进行；所有人员对安全域划分为几个子域，每个子域的安全级别如何要有统一的认识；每个安全域包括哪些资产，安全域之间采用的隔离措施，安全域之间访问策略是否符合标准；测评申请书有单独的一个章节《安全域划分情况》需要对安全域进行详细说明；安全域后期可以调整。Copyright©2015NeusoftCorporation.Allrightsreserved.四、实施阶段4.1.3实施阶段工作内容(物理环境)确定用户院落周边物理环境是否符合要求，是否有相关物理安全保密措施的整改。确定院落及办公楼主要进出通道是否有相关物理安全措施。确定用户单位重要涉密部门、重要涉密部位，以及相关的物理安全保密措施（3铁2器）是否具备。统计汇总院落周边、重要涉密部位及办公楼楼层的物理环境相关数据。统计相关台帐，对用户单位现有以及项目中增加的相关物理安全保密措施（监控、红外报警、红外对射、门禁、UPS、空调等）进行统计（部署位置、品牌型号、IP地址）。确定大楼整体综合布线情况（布线结构图、信息点位、配线表、交换机端口表），机房、配线间中涉密网和非密网设备及线路物理分隔距离，非光纤线路需增加线路传导干扰器。涉密终端摆放位置避免对门对窗，涉密终端与非密终端安全距离间隔，最远端涉密终端增加视频干扰器，涉密终端供电需采用红黑电源（注：避免红黑电源接黑设备）。Copyright©2015NeusoftCorporation.Allrightsreserved.四、实施阶段4.1.4实施阶段工作内容(电磁屏蔽产品安装)屏蔽机房或屏蔽机柜需要有相关部门的资质证书；红黑电源隔离插座进行电源电磁泄漏防护，红黑电源隔离插座需要相关部门的资质证书；非屏蔽线布线的网络应当采用线路传导干扰器。线路传导干扰器需要相关部门的资质证书；屏幕干扰器主要在朝向窗外、临向居民区、商业区或其他机构的涉密计算机显示器配置视频干扰器；现场测评阶段有单独一组对电磁进行测评。Copyright©2015NeusoftCorporation.Allrightsreserved.四、实施阶段4.1.5实施阶段工作内容(网络及安全产品部署)所有的安全产品需要有相应的资质证书；保证安装的产品和资质证书的版本一致；安全产品一般包括安全网关或防火墙、网络审计系统、漏洞扫描系统、终端管理与审计系统、网络入侵检测系统、安全管理平台系统、安全隔离与信息交换系统、身份认证系统、入侵保护系统、三合一系统、防病毒系统等；产品的安装需要紧密和测评进行配合，做好台账（交换机端口台账，安全设备台账），做好细化的策略说明（策略文档化）；现场测评阶段有单独一组对网络和安全产品进行测评。Copyright©2015NeusoftCorporation.Allrightsreserved.四、实施阶段4.1.6实施阶段工作内容(保密管理制度）制度制定客户主导（保密办会非常关心）物理环境与设施管理制度设备与介质管理制度运行与开发管理制度信息保密管理制度应急响应管理制度制度必须是发布的制度现场测评阶段有单独一组对制度进行测评，按照*M*22一条一条过，制度总分是30分。Copyright©2015NeusoftCorporation.Allrightsreserved.四、实施阶段4.1.7实施阶段工作内容(终端和应用）终端：实施阶段终端主要的工作是常用五类客户端软件（杀病毒、补丁管理、身份鉴别准入认证、三合一）软件安装，BIOS密码设置，系统加固。终端计算机台账，比如涉密终端台账（人员、处室、密级、帐户、房间、计算机编号、计算机型号、MAC地址、IP地址、UKEY编号、UKEY序列号、打印机编号、打印机型号、视频保护仪编号、红黑电源编号、