經(jīng)典等級(jí)保護(hù)方案介紹(精)

1、信息系統(tǒng)安全等級(jí)保護(hù)方案安全解決方案業(yè)務(wù)部公司概況1、業(yè)務(wù)概況：安全及系統(tǒng)管理本部作為系統(tǒng)科技戰(zhàn)略本部的核心業(yè)務(wù)單.位, 承載著神州數(shù)碼在信息安全和應(yīng)用交付領(lǐng)域業(yè)務(wù)發(fā)展的重要戰(zhàn)略職責(zé)專注于IT 應(yīng)用時(shí)代的安全管理和系統(tǒng)管理。信息安全1 .等級(jí)保護(hù)定級(jí)備案2 .等級(jí)保護(hù)差距分析3.等級(jí)保護(hù)整改設(shè)計(jì)4.等級(jí)保護(hù)整改實(shí)施5 .等級(jí)保護(hù)測(cè)評(píng)咨詢苫全運(yùn)維.,1.云IT服務(wù)平臺(tái)3.云計(jì)售安全管理4.云計(jì)算環(huán)境管理5.云計(jì)算虛執(zhí)交付1.信息安全方案與集成2.安全整體皆詢、服務(wù)3.安全產(chǎn)品全線分傳4.安全平臺(tái)應(yīng)用交付1.安全運(yùn)維平臺(tái)2.安全運(yùn)維隊(duì)伍3.安全運(yùn)譙流程4.安全運(yùn)維制度5.安全運(yùn)維報(bào)告系統(tǒng)科技安全管

2、理本部公司概況2、專業(yè)的服務(wù)能力:60名高級(jí)工程師,包括CISP安全工程師、CCIE網(wǎng)絡(luò) 專家、F5認(rèn)證安全工程師、BlueCoat認(rèn)證安全工程師、RSA認(rèn)證工程師、 Checkpoint認(rèn)證安全匚程師以及來自廠商的安全費(fèi)訊專家，提供從產(chǎn)品交付 到解次方案定制，從應(yīng)用集成到整體咨詢的全方位服務(wù)o3、豐富的客戶實(shí)踐：擁有在金融（銀行、基金、證券、保險(xiǎn)、期貨）、運(yùn) 營商（電信、移動(dòng)、聯(lián)通、廣電、設(shè)備商）、政府（黨政機(jī)關(guān)、公檢法司、 匚商財(cái)稅、國防軍工、海關(guān)、社保、國土資源）、公共事業(yè)（電力、石油石 化、醫(yī)療、教育、交通、郵政）、高端制造業(yè)（汽車、鋼鐵、冶煉、機(jī)械電 子、食品、煙草等）、傳媒及互聯(lián)網(wǎng)

3、（廣播、電視、紙媒、電子商務(wù)）等豐 富的成功客戶經(jīng)驗(yàn)。我們?cè)趯?duì)每個(gè)用戶系統(tǒng)深入分析和理解的基礎(chǔ)上，憑 借出色的行業(yè)經(jīng)驗(yàn)和解決方案能力，成為眾多大中型客戶的首選安全解決方 案提供商。4、遍布全國的服務(wù)網(wǎng)絡(luò)：直接覆蓋全國15個(gè)重點(diǎn)一、二級(jí)城市，同時(shí)通過 戰(zhàn)略合作伙伴全面覆蓋全國20多個(gè)三、四級(jí)城市。本地化銷售和技術(shù)團(tuán)隊(duì)在 深入了解客戶需求的基礎(chǔ)上，更快更好的為客戶提供專業(yè)化服務(wù)。Q等級(jí)保護(hù)背景與必要性等級(jí)保護(hù)安全等級(jí)劃分 傷 等級(jí)保護(hù)安全建設(shè)模型 等級(jí)保護(hù)整改方案設(shè)計(jì)SSP等保安全服務(wù)平臺(tái) 等級(jí)保護(hù)安全檢查與整改目錄目錄0等級(jí)保護(hù)背景與必要性等級(jí)保護(hù)安全等級(jí)劃分 等級(jí)保護(hù)安全建設(shè)模型 等級(jí)保護(hù)整改

4、方案設(shè)計(jì)SSP等保安全服務(wù)平臺(tái) 等級(jí)保護(hù)安全檢查與整改等級(jí)保護(hù)背景與必要性全球背景全球網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻，信息安全問題不僅僅是組織自身的事情,也 涉及到國家和社會(huì)安全。計(jì)算機(jī)病毒、黑客攻擊、信息泄雷、軟硬件故 障等信息安全問題給組織單位造成了極大的風(fēng)險(xiǎn)?；ヂ?lián)網(wǎng)空間正日益成為國際競(jìng)爭(zhēng)的新焦點(diǎn),在制定本國信息系統(tǒng)安全等 級(jí)管理標(biāo)準(zhǔn)之外，美國、英國、德國等歐美發(fā)達(dá)國家紛紛制定網(wǎng)絡(luò)安全 國家戰(zhàn)略，參與爭(zhēng)奪全球網(wǎng)絡(luò)空間主導(dǎo)權(quán)。美國2009年6月，美軍成立網(wǎng)絡(luò)司令部；日本防衛(wèi)省在2011年度建立 一支專門的“網(wǎng)絡(luò)空間防衛(wèi)隊(duì)”；韓國在2009年宣布組建網(wǎng)絡(luò)司令夸口 ”,2011年韓國國防部提升為獨(dú)立部隊(duì)。等級(jí)

5、保護(hù)背景與必要性國內(nèi)背景國際信息安全環(huán)境日趨復(fù)雜，西方加緊對(duì)我國的網(wǎng)絡(luò)遏制，并加快利用網(wǎng)絡(luò) 進(jìn)行意識(shí)形態(tài)滲透;另一方面，重要信息系統(tǒng)、工業(yè)控制系統(tǒng)的安全風(fēng)險(xiǎn)曰益 突出，信息安全網(wǎng)絡(luò)監(jiān)管的難度和復(fù)雜性持續(xù)加大。網(wǎng)絡(luò)安全成為關(guān)系經(jīng)濟(jì)平穩(wěn)運(yùn)行和安全的重要因素，國民經(jīng)濟(jì)對(duì)信息網(wǎng)絡(luò)和 系統(tǒng)的依賴性增強(qiáng)，我國重要信息系統(tǒng)和工業(yè)控制系統(tǒng)多使用國外的技術(shù)和產(chǎn) 品，這些技術(shù)和產(chǎn)品的漏洞不可控，使網(wǎng)絡(luò)和系統(tǒng)更易受到攻擊，致使敏感信 息泄露、系統(tǒng)停運(yùn)等重大安全事件多發(fā)，安全狀況堪憂。信息安全領(lǐng)域存在多頭管理現(xiàn)象，相關(guān)職能部門涉及多個(gè)部委和管理機(jī)構(gòu)， 部門之間職責(zé)界定不清晰，管理權(quán)限存在交叉，決策權(quán)分散，各個(gè)相關(guān)管理

6、機(jī) 構(gòu)之間缺乏充分的溝通和協(xié)調(diào)，部門間作用發(fā)揮不均。等級(jí)保護(hù)背景與必要性等保發(fā)展?fàn)顩r2007年，四部委聯(lián)合發(fā)布的關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保 護(hù)定級(jí)工作的通知（公信安2007 861號(hào)）2008年，國家發(fā)展和改革委員會(huì)、中華人民共和國公安部、國家保密 局關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知 （發(fā)改高技2008 2071號(hào)）2009年，四部委聯(lián)合發(fā)布關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè) 和開展等級(jí)測(cè)評(píng)工作的通知，要求201陣底前完成測(cè)評(píng)體系建設(shè),完 成30%第三級(jí)（含）以上信息系統(tǒng)的測(cè)評(píng)工作,2012年底之前完成第三 級(jí)（含）以上信息系統(tǒng)的安全建設(shè)整改工作。等級(jí)保護(hù)背

7、景與必要性國家政策、標(biāo)準(zhǔn)2005年公安部標(biāo)準(zhǔn)基本要求定級(jí)指南實(shí)施指南測(cè)評(píng)準(zhǔn)則浙江北京 北京2003年9月中辦國辦頒發(fā)美丁加強(qiáng)信息安 個(gè)保障I：作的適見 中沙發(fā)（200327，2004年11月四部委會(huì)簽關(guān)于信息安全等 級(jí)保護(hù)工作的實(shí)施 意見I* 通字2004）66號(hào)2005年9月國信辦文件（關(guān)于轉(zhuǎn)發(fā)電r 政務(wù)信息安全等級(jí) 保護(hù)實(shí)施指南的 通知國侑辦2004J25號(hào)2007年,公安部、 保密局、密碼管 理H、國信辦聯(lián) 令制定r信息 安全等級(jí)保護(hù)管 理辦法，標(biāo)志 右我國等級(jí)保護(hù) 制度的初步形成國家級(jí)政策文件國家級(jí)技術(shù)標(biāo)準(zhǔn)國家級(jí)政策文件地方政策文件等級(jí)保護(hù)背景與必要性國家政策、標(biāo)準(zhǔn)J信息系統(tǒng)定級(jí)：定級(jí)

8、指南GB22240.2008濟(jì)作系統(tǒng)數(shù)據(jù)昨網(wǎng)絡(luò)PKI等級(jí)保護(hù)實(shí)施：實(shí)施指南信安字200710，信息系統(tǒng)安全建設(shè)：基本要求GB/T22239.2008通用安全技術(shù)要求 GBrT20271-2006安全技術(shù)設(shè)計(jì)要求GB/T24856-2009等10個(gè)要求和規(guī)范等級(jí)測(cè)評(píng)：測(cè)評(píng)要求報(bào)批稿/測(cè)評(píng)過程要求報(bào)批稿/ GZVT713-2007技術(shù)要求 評(píng)估準(zhǔn)則- 測(cè)試方法 配置指南網(wǎng)關(guān)股務(wù)器入侵檢測(cè)防火增應(yīng)用類路由器產(chǎn)品類 等保安全 其他類建設(shè)整改交換機(jī)他產(chǎn)品計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則風(fēng)險(xiǎn)評(píng)估：信息安全 風(fēng)險(xiǎn)坪估規(guī)范 GB/T20984-2007事件管理：信息安全 事件管理指南GB/Z20985-20

9、07信息安全事件分類分 級(jí)指南GB/Z20986- 2007信息系統(tǒng)災(zāi)難恢規(guī) 范GB/T20988-2007省市/行業(yè)進(jìn)展I教育部辦公廳關(guān)于開展信息系統(tǒng)安全等級(jí)保 護(hù)工作的通知（教辦廳函2009 80號(hào)）2010年6月，民政部選動(dòng)民政部信息系統(tǒng)等 級(jí)保護(hù)柩體規(guī)劃建設(shè)方案2011年6月，國家廣電總局科技司印發(fā)了關(guān) 于開展廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)定 級(jí)L作的通知出臺(tái)廣播電視相關(guān)信息系統(tǒng) 安全等級(jí)保護(hù)定級(jí)指南和廣播電視相關(guān)信 息系統(tǒng)安全等級(jí)保護(hù)基本要求行業(yè)標(biāo)準(zhǔn)2007年，發(fā)布稅務(wù)信息系統(tǒng)安全等級(jí)保護(hù) 定級(jí)工作指南2010年8月25日,國家稅總在 上海組織不開了稅務(wù)系統(tǒng)信息安全等級(jí)保護(hù) 上海試

10、點(diǎn)測(cè)評(píng)階段總結(jié)會(huì)。國家電網(wǎng)公司2011不免成10多個(gè)網(wǎng)省的等級(jí) 保護(hù)整改任務(wù)等級(jí)保護(hù)背景與必要性教育部I2011年8月，教育部辦公廳關(guān)于進(jìn)一步加強(qiáng)網(wǎng)絡(luò)信息系統(tǒng)安全保 障工作的通知教辦廳函（2011） 83號(hào)要求各地教育行政部門和學(xué)校要 將本單位的信息系統(tǒng)定級(jí)結(jié)果報(bào)主管部門審批。在2011年12月底前，完 成所有信息系統(tǒng)的定級(jí)備案。各地教育行政部門和學(xué)校的第二級(jí)及以上 信息系統(tǒng)，要參照國家和教育行業(yè)有關(guān)標(biāo)準(zhǔn)規(guī)范，在定級(jí)備案后2年內(nèi)完 成首次安全建設(shè)整改和等級(jí)測(cè)評(píng)工作。已定級(jí)的第三級(jí)及以上信息系統(tǒng) 要安全整改方案由教育部組織專家審定，在2012年底前完成首次安全建 設(shè)整改和等級(jí)測(cè)評(píng)工作。2010年

11、4月教育部教育管理信息中心成立“信息安全測(cè)評(píng)部”，負(fù) 責(zé)信息安全等級(jí)保護(hù)測(cè)評(píng)工作。2009年11月，教育部辦公廳印發(fā)關(guān)于開展信息系統(tǒng)安全等級(jí)保護(hù) 工作的通知（教辦廳函200980號(hào)），決定在教育系統(tǒng)全面開展信息 安全等級(jí)保護(hù)工作，并由教育部教育管理信息中心具體組織實(shí)施。等級(jí)保護(hù)背景與必要性等級(jí)保護(hù)背景與必要性衛(wèi)生部J2011年11月，衛(wèi)生部印發(fā)了衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指 導(dǎo)意見通知，通知明確提出衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意 見，包括工作目標(biāo)、工作原則、工作機(jī)制、工作任務(wù)、工作要求等，有 力促進(jìn)衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的開展。行業(yè)指導(dǎo)，屬地管理：地方各級(jí)衛(wèi)生行政部門承擔(dān)本地衛(wèi)

12、生信息安 全貢任，信息化工作領(lǐng)導(dǎo)小組統(tǒng)殍組織本地衛(wèi)生信息安全等級(jí)保護(hù)工作 。衛(wèi)生部信息化工作領(lǐng)導(dǎo)小組負(fù)貢對(duì)全國衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工 作的組織協(xié)調(diào)、監(jiān)督指導(dǎo)，并組織開展部機(jī)關(guān)信息安全等級(jí)保護(hù)I：作定 級(jí)，備案，建設(shè)，整改，定級(jí)評(píng)測(cè)，宣傳，培訓(xùn)，監(jiān)督檢查。等級(jí)保護(hù)背景與必要性甘肅二廣西、安徽J(rèn)甘肅省四部門印發(fā)信息安全等級(jí)保護(hù)安全建設(shè)整改工作的實(shí)施意見(2010-09-03)廣西舉辦信息安全等級(jí)保護(hù)技術(shù)高級(jí)研修班(2010-09-03)安徽省四部門下發(fā)重要信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)工作方案(2010- 09-03)五級(jí)損害四級(jí)損害信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害 ,

13、但不損害國家安全、社會(huì)秩序和公共利益信息系統(tǒng)受到破壞后，會(huì)對(duì)國家安全 造成特別嚴(yán)重?fù)p害.系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造 別嚴(yán)重?fù)p害，或者對(duì)國家安全造成嚴(yán)重?fù)p害.三級(jí)損害信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán) 重?fù)p害，或者對(duì)國家安全造成損害.二級(jí)損害信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重 損害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國家安全.威脅I信息安全面臨的威脅因素等級(jí)保護(hù)背景與必要性威脅描述備注F2-1,雷擊、地震和臺(tái)風(fēng)等自然災(zāi)難 第五婿安士區(qū)域邊界或第五娘安與計(jì)其環(huán)境松第四娘安d通信網(wǎng)絡(luò)B 1 a 第四次安全區(qū)域邊界超 第日蝮安和計(jì)算環(huán)境公

14、一第級(jí)安全通信網(wǎng)絡(luò)W *依安W區(qū)域邊能雄安全汁IBI環(huán)級(jí)安全通信網(wǎng)絡(luò)統(tǒng)安全區(qū)域邊界-星級(jí)安全計(jì)耳環(huán)境一品五級(jí)安仝管理中心第二飯安全管理中心第三級(jí)安全管理中心第四圾安仝管理,心定級(jí)系統(tǒng)互成I 安全互聯(lián)圈件至笏；系統(tǒng)安全管理中心等級(jí)保護(hù)整改方案設(shè)計(jì)之技術(shù)設(shè)計(jì)信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求(GB/T248552009)等級(jí)保護(hù)整改方案設(shè)計(jì)之技術(shù)設(shè)計(jì)安全技術(shù)方案詳細(xì)設(shè)計(jì)J從安全技術(shù)設(shè)施和安的主機(jī)房、輔助機(jī)房全設(shè)0器黯缸注意：整改指南設(shè)計(jì)同-G B/T24856-2009的不同之處,對(duì)信息系統(tǒng)所涉. 前者是在參考后者 用的安基礎(chǔ)上做出的詳細(xì)設(shè)計(jì)。對(duì)信息系統(tǒng)涉4咄2即必:戢蠹迅_ 二 代用/中間件平臺(tái))對(duì)信息系統(tǒng)的業(yè)4 4據(jù)安全和系統(tǒng)服務(wù)連續(xù)性進(jìn)行安全設(shè)等級(jí)保護(hù)整改方案設(shè)計(jì)之技術(shù)設(shè)計(jì)安全域劃分：針對(duì)系統(tǒng)內(nèi)部的不 同業(yè)務(wù)區(qū)域進(jìn)行不同等級(jí)的保護(hù)安全域劃分是進(jìn)行信息安全等級(jí)保護(hù)的首要步驟等級(jí)保護(hù)整改方案設(shè)計(jì)技未設(shè)計(jì)類別要求二級(jí)解決方案三級(jí)解決方案差異分析物理 安全物理位 置的選擇機(jī)房和辦公場(chǎng)地應(yīng)選 擇具有防震、防風(fēng)和 防雨等能力應(yīng)避免設(shè)在建筑物的高層 或地卜.室，以及用水設(shè)備 的下層或隔壁三級(jí)要求進(jìn)行樓層的選擇物理訪 問控制按照基本要求進(jìn)行