天融信等级保护培训课件

《天融信等级保护培训课件》由会员分享，可在线阅读，更多相关《天融信等级保护培训课件（50页珍藏版）》请在装配图网上搜索。

1、天融信等级保护培训23 September 2023培训对象培训对象q公司销售人员（总部、分支机构）公司销售人员（总部、分支机构）q等保客户分类等保客户分类u超大型用户（北京移动）超大型用户（北京移动）u行业用户行业用户u中小型用户中小型用户q培训内容定位：中小型用户的等级保护建设培训内容定位：中小型用户的等级保护建设q其他：给出一般性建议其他：给出一般性建议议题议题q什么是等级保护？什么是等级保护？q谁是等级保护的目标客户？谁是等级保护的目标客户？q谁主管等级保护事宜？谁主管等级保护事宜？q等级保护项目我们能做什么？等级保护项目我们能做什么？q等级保护相关标准、政策等级保护相关标准、政策q天

2、融信天融信等级保护实力等级保护实力q销售工作步骤销售工作步骤等级保护的含义q官方说法：信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。q一句话：系统重要程度有多高，安全保护就应当有多强，既不能保护不足，也不能过渡保护。q要点：平衡安全与成本q实行等级保护的目的u遵循客观规律，信息安全的等级是客观存在的u有利于突出重点，加强安全建设和管理u有利于控制安全的成本用户进行等保建设的动机？国家标准政绩工程保障业务申请项目对我

3、们的益处？等保建设扩大了需求深入挖掘用户需求提升公司专业形象等级保护的实现原理重点关注2、3级信息系统安全保护等级划分q第一级第一级，信息系统受到破坏，信息系统受到破坏后后，会对公民、法人和其他组，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；公共利益；q第二级第二级，信息系统受到破坏后，会对公民、法人和其他组，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；造成损害，但不损害国家安全；q

4、第三级第三级，信息系统受到破坏后，会对社会秩序和公共利益，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；造成严重损害，或者对国家安全造成损害；q第四级第四级，信息系统受到破坏后，会对社会秩序和公共利益，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；造成特别严重损害，或者对国家安全造成严重损害；q第五级第五级，信息系统受到破坏后，会对国家安全造成特别严，信息系统受到破坏后，会对国家安全造成特别严重损害。重损害。各级别的概念四级强制保护，比如中央核心系统，重要行业核心业务系统，建设内容很多，每年都要检查，容易形成长期销售机

5、会，但是该级别信息系统数量很少，技术门槛很高，应谨慎跟踪（最好分期建设，先作容易的，后做难的）三级监督保护，比如省级信息系统，核心业务系统等大都是此级别，此类项目需要备案，测评，并且每年检查一次，建设内容包括产品集成、安全服务，容易形成长期销售机会，应重点跟踪！重点是集成二级指导保护，比如市级信息系统，非核心业务系统都是此级别，此类系统需要备案，测评，等保建设以产品为主，有少量的安全服务。重点是产品一级自主建设，基本没多少内容，可能会有少量的产品常见的二级系统举例（仅做参考）地市政府办公自动化系统（内部使用的）地市政府办公自动化系统（内部使用的）地市政府政务公开网站（外部信息发布）地市政府政务

6、公开网站（外部信息发布）地市政府间协同办公系统地市政府间协同办公系统企业电子商务网站企业电子商务网站银行网站银行网站特点：与核心业务无关特点：与核心业务无关常见的三级系统举例（仅做参考）省政府办公自动化系统（内部使用的）省政府办公自动化系统（内部使用的）省政府政务公开系统（交互式）省政府政务公开系统（交互式）省政府公文交换系统省政府公文交换系统企业企业ERP系统系统银行生产网银行生产网特点：与业务密切相关的特点：与业务密切相关的常见的四级系统举例（仅做参考）国家电力调度系统（国家电力调度系统（EMS)中国人民银行官方网站中国人民银行官方网站财政部财政支付系统财政部财政支付系统交通部应急指挥调度

7、系统交通部应急指挥调度系统银行生产系统银行生产系统特点：重要部门与核心业务密切相关的特点：重要部门与核心业务密切相关的议题议题q什么是等级保护？什么是等级保护？q谁是等级保护的目标客户？谁是等级保护的目标客户？q谁主管等级保护事宜？谁主管等级保护事宜？q等级保护项目我们能做什么？等级保护项目我们能做什么？q等级保护相关标准、政策等级保护相关标准、政策q天融信天融信等级保护实力等级保护实力q销售工作步骤销售工作步骤谁是等级保护的目标客户n 电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。n 铁路、银行、海关

8、、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。n 市（地）级以上党政机关的重要网站和办公信息系统。n 不是分级保护的范围，就是等级保护的范围 n 其他已经定级的信息系统目标客户怎么来找？q2007年底到2008年初，各地已经完成了定级备案工作u备案情况：2级 大约32000多个，三级 25000个，四级 200多个；-摘自郭处长在信息安全高峰论坛上的讲话u备案情况：属地化管理，各地在各自公安的网监大队备案留底u等级保护

9、主导单位：公安部q我们了解到的情况u电监会、银监会、证监会、保监会等国务院监督部门在开始着手组织编写行业等级保护建设标准；u外交部、海关、发改委、交通局、新闻出版署等单位开始着手组织等级保护试点工作；u公安部三所着手在各地建设测评分中心，为等级保护测评工作做准备；u公安部一所牵头，申请了863课题，研究等级保护的技术设计要求，并组织一些公司开发等级保护建设模型u北京、黑龙江、上海、武汉、广州、成都、浙江等发达城市，已开展了等级保护技术支持单位的评审工作u今年是等级保护的启动年，也是为我们争取时间的关键一年。议题议题q什么是等级保护？什么是等级保护？q谁是等级保护的目标客户？谁是等级保护的目标客

10、户？q谁主管等级保护事宜？谁主管等级保护事宜？q等级保护项目我们能做什么？等级保护项目我们能做什么？q等级保护相关标准、政策等级保护相关标准、政策q天融信天融信等级保护实力等级保护实力q销售工作步骤销售工作步骤等级保护的形成的产业链项目实施流程相关单位定级评估方案集成规划整改服务测评服务商和集成商产品厂商2+3X客户主管部门技术支撑（测评）标准单位等级保护相关管理机构与分工等级保护相关管理机构与分工vv等保工作办公室等保工作办公室负责等保工作的落实情况进行督办和检查负责等保工作的落实情况进行督办和检查负责对辖区等保工作组织、协调和指导负责对辖区等保工作组织、协调和指导vv公安局公安局负责除辖区

11、电子政务和涉密以外信息系统的等保监督、指导和检查工作负责除辖区电子政务和涉密以外信息系统的等保监督、指导和检查工作vv工信局工信局负责辖区电子政务等保工作的监督、指导负责辖区电子政务等保工作的监督、指导vv保密局保密局负责涉密系统的等保工作监督、指导负责涉密系统的等保工作监督、指导负责对泄密事件进行查处负责对泄密事件进行查处vv密码委密码委负责等保中的密码进行分级管理，监督指导密码配备、使用和管理负责等保中的密码进行分级管理，监督指导密码配备、使用和管理北京市的等级保护的管理结构工信部工信部工信部工信部公安部网监局公安部网监局公安部网监局公安部网监局管理职能：管理职能：管理职能：管理职能：监管

12、和测评监管和测评监管和测评监管和测评技术支持单位：技术支持单位：技术支持单位：技术支持单位：定级、测评定级、测评定级、测评定级、测评安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商服务实施单位：服务实施单位：服务实施单位：服务实施单位：咨询、实施、产咨询、实施、产咨询、实施、产咨询、实施、产品、运维品、运维品、运维品、运维北京市信息办北京市信息办北京市信息办北京市信息办北京测评中心北京测评中心北京测评中心北京测评中心北京公安局网监处北京公安局网监处北京公安局网监处北京公安局网监处北京等保测评机构北京等保测评机构北京

13、等保测评机构北京等保测评机构安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商政策、宏观管政策、宏观管政策、宏观管政策、宏观管理、协调理、协调理、协调理、协调电子政务领域电子政务领域电子政务领域电子政务领域其他行业领域其他行业领域其他行业领域其他行业领域北京市属北京市属北京市属北京市属的电子政的电子政的电子政的电子政务系统务系统务系统务系统地处北京地处北京地处北京地处北京的各部委的各部委的各

14、部委的各部委各行业各行业各行业各行业国家测评中心国家测评中心国家测评中心国家测评中心公安部三所公安部三所公安部三所公安部三所解放军测评中心解放军测评中心解放军测评中心解放军测评中心各地的模式基本类同，其中公安部明确是等级保护建设的主导单位，但由于电子政各地的模式基本类同，其中公安部明确是等级保护建设的主导单位，但由于电子政务项目的建设在工信局，因此电子政务等级保护的主导单位是工信局务项目的建设在工信局，因此电子政务等级保护的主导单位是工信局议题议题q什么是等级保护？什么是等级保护？q谁是等级保护的目标客户？谁是等级保护的目标客户？q谁主管等级保护事宜？谁主管等级保护事宜？q等级保护项目我们能做

15、什么？等级保护项目我们能做什么？q等级保护相关标准、政策等级保护相关标准、政策q天融信天融信等级保护实力等级保护实力q销售工作步骤销售工作步骤等级保护的建设过程定级咨询服务定级咨询服务安全运维服务安全运维服务等级评估服务等级评估服务管理整改服务管理整改服务测评支持服务测评支持服务技术整改服务技术整改服务安全加固服务安全加固服务下一步等级保护工作开展的重点等级保护服务包1/2（仅作参考）等级评估咨询服务包等级评估咨询服务包CPAS3三级系统等级三级系统等级评估咨询评估咨询服务服务按照国家等级保护三级标准进行评估，出具等级评估报告，并制定建设整改解决方案每个三级系统120台设备XXXX2150台设

16、备XXXX50台以上设备XXXXCPAS2二级系统等级二级系统等级评估咨询评估咨询服务服务按照国家等级保护二级标准进行评估，出具等级评估报告，并制定建设整改解决方案每个二级系统120台设备XXXX2150台设备XXXX50台以上设备XXXX等级保护整改服务包等级保护整改服务包 CPPS3三级系统管理三级系统管理整改服务整改服务 根据三级系统要求，编制符合等级保护要求的安全制度文档，涵盖安全组织、安全建设和安全运维等方面的各种制度、流程、表格、技术标准和规范等；进行等级测评前的辅导与培训，配合准备和整理测评所需的文档资料，帮助客户熟悉和更好地准备等级测评。每个三级系统有特殊要求价格面议XXXXC

17、PPS2二级系统管理二级系统管理整改服务整改服务 根据二级系统要求，编制符合等级保护要求的安全制度文档，涵盖安全组织、安全建设和安全运维等方面的各种制度、流程、表格、技术标准和规范等；进行等级测评前的辅导与培训，配合准备和整理测评所需的文档资料，帮助客户熟悉和更好地准备等级测评。每个二级系统有特殊要求价格面议XXXXCPHS1设备安全加固设备安全加固服务服务 根据系统安全等级的指标和测评标准，对主机、网络设备、数据库、安全设备等制定加固方案，通过打补丁、修改安全配置、增加安全机制等方法，合理加强设备的安全性，以满足等级要求每台设备每台设备XXXX等级保护服务包2/2（仅作参考）等级保护测评服务

18、等级保护测评服务CPCS3三级系统测评三级系统测评服务服务按照国家等级保护三级测评标准进行文档审核与现场测评，出具测评报告每个三级系统120台设备XXXX2150台设备XXXX50台以上设备XXXXCPCS2二级系统测评二级系统测评服务服务按照国家等级保护二级测评标准进行文档审核与现场测评，出具测评报告每个二级系统120台设备XXXX2150台设备XXXX50台以上设备XXXX 等级保护整体服务包等级保护整体服务包CPTS3三级系统整体服务提供等级保护三级整体服务，包含三级评估服务，三级管理整改服务，设备安全加固服务和三级测评服务，并最终出具测评报告。客户另外进行产品采购和集成后，即可以完成等

19、级保护全过程。每个三级系统120台设备XXXX2150台设备XXXX50台以上设备XXXXCPTS3二级系统整体服务提供等级保护二级整体服务，包含二级评估服务，二级管理整改服务，设备安全加固服务和二级测评服务，并最终出具测评报告。客户另外进行产品采购和集成后，即可以完成等级保护全过程。每个二级系统120台设备XXXX2150台设备XXXX50台以上设备XXXX等级保护产品包1/2-三级（参考）基本要求技术要求控制点防护措施网络安全结构安全（G3）配置与加固服务-网络设备加固访问控制（G3）网络与边界防护-防火墙安全审计（G3）监控与审计防护-网络安全审计、日志审计系统边界完整性检查（S3）主机

20、安全防护-终端安全管理（非法外联与非法接入）入侵防范（G3）网络与边界防护-入侵检测系统、入侵防护系统恶意代码防范（G3）网络与边界防护-防病毒网关网络设备防护（G3）配置与加固服务-网络设备加固主机安全身份鉴别（S3）配置与加固服务-服务器加固、数据库加固；主机安全防护-服务器核心加固访问控制（S3）配置与加固服务-服务器加固安全审计（G3）监控与审计防护-主机审计、日志审计系统剩余信息保护（S3）配置与加固服务-服务器加固入侵防范（G3）主机安全防护-漏洞扫描系统、服务器核心防护、主机入侵检测恶意代码防范（G3）主机安全防护-主机防病毒资源控制（A3）配置与加固服务-服务器加固等级保护产品

21、包2/2-三级（参考）基本要求技术要求控制点防护措施应用安全身份鉴别（S3）统一认证平台访问控制（S3）统一认证平台安全审计（G3）监控与审计防护-网络安全审计剩余信息保护（S3）配置与加固服务-WEB安全加固、MAIL安全加固通信完整性（S3）网络与边界防护-VPN、CA认证通信保密性（S3）网络与边界防护-VPN、CA认证抗抵赖（G3）CA认证软件容错（A3）配置与加固服务资源控制（A3）配置与加固服务数据安全数据完整性（S3）网络与边界防护-VPN数据保密性（S3）网络与边界防护-VPN安全备份（A3）数据冗灾备份防火墙、入侵检测、入侵防护、审计、VPN、服务器加固、网络设备加固、安全设

22、备加固、漏洞扫描、主机入侵检测、CA认证、主机防病毒、灾备、终端安全管理、信息安全管理平台（三权分立）等级保护产品包1/2-二级（参考）基本要求技术要求控制点防护措施网络安全结构安全（G2）配置与加固服务-网络设备加固访问控制（G2）网络与边界防护-防火墙安全审计（G2）监控与审计防护-日志审计系统边界完整性检查（S2）主机安全防护-终端安全管理（非法外联与非法接入）入侵防范（G2）网络与边界防护-入侵检测系统、入侵防护系统网络设备防护（G2）配置与加固服务-网络设备加固主机安全身份鉴别（S2）配置与加固服务-服务器加固、数据库加固；主机安全防护-服务器核心加固访问控制（S2）配置与加固服务-

23、服务器加固安全审计（G2）监控与审计防护-主机审计、日志审计系统入侵防范（G2）主机安全防护-漏洞扫描系统、服务器核心防护、主机入侵检测恶意代码防范（G2）主机安全防护-主机防病毒资源控制（A2）配置与加固服务-服务器加固等级保护产品包2/2-二级（参考）基本要求技术要求控制点防护措施应用安全身份鉴别（S2）统一认证平台访问控制（S2）统一认证平台安全审计（G2）监控与审计防护-网络安全审计通信完整性（S2）网络与边界防护-VPN、CA认证通信保密性（S2）网络与边界防护-VPN、CA认证软件容错（A2）配置与加固服务资源控制（A2）配置与加固服务数据安全数据完整性（S2）网络与边界防护-VP

24、N数据保密性（S2）网络与边界防护-VPN安全备份（A2）数据冗灾备份防火墙、入侵检测、入侵防护、审计、VPN、服务器加固、网络设备加固、安全设备加固、漏洞扫描、主机入侵检测、CA认证、主机防病毒、灾备、终端安全管理、信息安全管理平台（三权分立）等级保护中我们可以卖什么？-中小型客户n安全服务包u等级评估咨询服务u等级保护整改服务（含等级保护管理安全整改建设+加固服务）u等级保护测评服务u等级保护整体服务=等级保护评估咨询服务+等级保护整改服务+等级保护测评服务n整改建设包u安全集成建设u等级保护整改服务+等级保护测评服务n整改产品包u网络安全：防火墙、入侵检测、入侵防护、病毒过滤网关、抗拒绝

25、服务攻击、网站防护系统等；u主机安全：服务器核心防护、数据库核心防护、防病毒软件、主机入侵检测、主机审计u应用安全：安全审计、身份认证（CA/双因素）u数据安全：VPN、存储议题议题q什么是等级保护？什么是等级保护？q谁是等级保护的目标客户？谁是等级保护的目标客户？q谁主管等级保护事宜？谁主管等级保护事宜？q等级保护项目我们能做什么？等级保护项目我们能做什么？q等级保护相关标准、政策等级保护相关标准、政策q天融信天融信等级保护实力等级保护实力q销售工作步骤销售工作步骤等级保护的政策标准的演进20032003年年9 9月月中办国办颁发中办国办颁发关于加强信息安全保关于加强信息安全保障工作的意见障

26、工作的意见（中办发（中办发200327200327号）号）20042004年年1111月月四部委会签四部委会签关于信息安全等级保关于信息安全等级保护工作的实施意见护工作的实施意见（公通字（公通字200466200466号）号）20052005年年9 9月月国信办文件国信办文件 关于转发关于转发电子政务信息电子政务信息系统信息安全等级保护实施系统信息安全等级保护实施指南指南的通知的通知 （国信办（国信办200425200425号）号）20052005年年 公安部标准公安部标准等级保护安全要求等级保护安全要求等级保护定级指南等级保护定级指南等级保护实施指南等级保护实施指南等级保护测评准则等级保护测

27、评准则总结成一种安全工总结成一种安全工作的方法和原则作的方法和原则最先作为最先作为“适度适度安全安全”的工作思的工作思路提出路提出确认为国家信息安确认为国家信息安全的基本制度，安全的基本制度，安全工作的根本方法全工作的根本方法形成等级保护的基形成等级保护的基本理论框架，制定本理论框架，制定了方法，过程和标了方法，过程和标准准19941994年年国务院颁布国务院颁布中华人民中华人民共和国计算机信息系统共和国计算机信息系统安全保护条例安全保护条例20062006年年 四部委会签四部委会签公通字公通字2006720067号文件号文件（关于印发（关于印发信息安全信息安全等级保护管理办法（试等级保护管理

28、办法（试行）行）的通知）的通知）明确做等级保护，等级保明确做等级保护，等级保护工作的重点是护工作的重点是 基础信息基础信息网络和关系国家安全、经网络和关系国家安全、经济命脉、社会稳定等方面济命脉、社会稳定等方面的重要信息系统的重要信息系统定义了五个保护级别、定义了五个保护级别、监管方式、职责分工监管方式、职责分工和时间计划和时间计划定义了电子政务等级定义了电子政务等级保护的实施过程和方保护的实施过程和方法法定义了等级保护的管理办法，定义了等级保护的管理办法，后被后被4343号文件取代。号文件取代。首次提出计算机首次提出计算机信息系统必须实信息系统必须实行安全等级保护。行安全等级保护。提出了等级

29、保护的定级方法、提出了等级保护的定级方法、实施办法，并对不同等级需实施办法，并对不同等级需要达到的安全能力要求进行要达到的安全能力要求进行了详细的定义，同时对系统了详细的定义，同时对系统保护能力等级评测指出了具保护能力等级评测指出了具体的指标。体的指标。等级保护的政策标准的演进20072007年年7 7月月1616日日 四部门会签四部门会签公信安公信安20078612007861号文件：四号文件：四部门下发部门下发关于开展全国重要关于开展全国重要信息系统安全等级保护定级工信息系统安全等级保护定级工作的通知作的通知提出了等级保护的推提出了等级保护的推进和管理办法进和管理办法为等级保护工作开展提为

30、等级保护工作开展提供了参考供了参考开始了等级保护的实质性开始了等级保护的实质性工作的第一阶段工作的第一阶段20072007年年 四部委会签四部委会签公通字公通字200743200743号文件号文件信息安全等级保护管信息安全等级保护管理办法理办法 替代公通字替代公通字2006720067号文件，号文件，明确了等级保护的具体操明确了等级保护的具体操作办法和各部委的职责，作办法和各部委的职责，以及推进等级保护的具体以及推进等级保护的具体事宜事宜20062006年年 公安部、国信办公安部、国信办下发了下发了关于开展信息系关于开展信息系统安全等级保护基础调查统安全等级保护基础调查工作的通知工作的通知从从

31、20062006年年1 1月月1010日到日到4 4月月1010日，分三个阶段对国家重日，分三个阶段对国家重要的基础信息系统进行摸要的基础信息系统进行摸底，包括党政机关、财政、底，包括党政机关、财政、海关、能源、金融、社会海关、能源、金融、社会保障等行业保障等行业2007年年7月至月至10月在全国范围内月在全国范围内组织开展重要信息系统安全等组织开展重要信息系统安全等级保护定级工作级保护定级工作，其中包括公，其中包括公用通信网、广播电视传输网等用通信网、广播电视传输网等基础信息网络基础信息网络 以及铁路、银行、以及铁路、银行、海关、税务、民航、电力、证海关、税务、民航、电力、证券、保险、外交、

32、人事劳动和券、保险、外交、人事劳动和社会保障、财政、等行业社会保障、财政、等行业等级保护的政策标准的演进信息安全技术信息安全技术 信息安全等信息安全等级保护技术设计要求级保护技术设计要求报批稿，报批稿，对等级保护的方案设计提出了对等级保护的方案设计提出了参考。提出参考。提出“一个中心下的三一个中心下的三重防护重防护”体系体系等级保护的落地迈出等级保护的落地迈出了实质性的一步了实质性的一步等级保护有了国家标准等级保护有了国家标准作为参考依据作为参考依据同步提出了等级保护基础同步提出了等级保护基础技术的课题研究技术的课题研究20082008年年7 7月，公安部发月，公安部发布布公安机关信息安公安机

33、关信息安全等级保护检查工作全等级保护检查工作（试行）文件，提（试行）文件，提出等级保护检查工作出等级保护检查工作的细则，并发布到重的细则，并发布到重点政府行业用户点政府行业用户 20082008年，国家标准化委员年，国家标准化委员会正式批复并发布会正式批复并发布信息信息安全技术安全技术 信息安全等级保信息安全等级保护基本要求护基本要求和和信息安信息安全技术全技术 信息安全等级保信息安全等级保护定级指南护定级指南，编号分别，编号分别为为GB/T22239-2008GB/T22239-2008、GB/T22240-2008GB/T22240-2008目前已正式颁布的有：GB/T 22239-200

34、8 信息安全技术 信息系统安全等级保护基本要求GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南公安机关信息安全等级保护检查工作规范2008年定级备案工作基本结束2+2X用户已完成在公安机关的定级备案工作；备案的四级系统大约200多个；三级系统大约25000多个；二级系统大约32000多个。其他参考政策文件关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技20082071号）p提出“电子政务工程建设项目”的验收：必须有一证两报告p一证：等级备案证明p两报告：信息系统安全风险评估报告、信息系统安全等级保护测评报告p强制执行！重要标准简要解读-基本要求物理

35、安全物理安全网络安全网络安全主机安全主机安全应用安全应用安全数据安全数据安全身份鉴别（身份鉴别（S）安全标记（安全标记（S）访问控制（访问控制（S）可信路径（可信路径（S）安全审计（安全审计（G）剩余信息保护（剩余信息保护（S）物理位置的选择（物理位置的选择（G）物理访问控制（物理访问控制（G）防盗窃和破坏防盗窃和破坏（G G）防雷防雷/火火/水水（G G）温湿度控制温湿度控制（G G）电力供应电力供应（A A）数据完整性（数据完整性（S）数据保密性（数据保密性（S）备份与恢复（备份与恢复（A）防静电防静电（G G）电磁防护电磁防护（S S）入侵防范（入侵防范（G）资源控制（资源控制（A）恶意

36、代码防范（恶意代码防范（G）结构安全（结构安全（G）访问控制（访问控制（G）安全审计（安全审计（G）边界完整性检查（边界完整性检查（S）入侵防范（入侵防范（G）恶意代码防范（恶意代码防范（G）网络设备防护（网络设备防护（G）身份鉴别（身份鉴别（S）剩余信息保护（剩余信息保护（S）安全标记（安全标记（S）访问控制（访问控制（S）可信路径（可信路径（S）安全审计（安全审计（G）通信完整性（通信完整性（S）通信保密性（通信保密性（S）抗抵赖（抗抵赖（G）软件容错（软件容错（A）资源控制（资源控制（A）技术要求技术要求公司产品重点覆盖需要第三方产品服务器加固主机入侵检测防病毒系统等公司可以卖的：安全加

37、固服务CA认证为主安全加固服务VPN数据存储、灾备重要标准简要解读-基本要求管理要求管理要求安全管理制度安全管理制度安全管理机构安全管理机构人员安全管理人员安全管理系统建设管理系统建设管理系统运维管理系统运维管理人员录用人员录用人员离岗人员离岗人员考核人员考核安全意识和培训安全意识和培训外部访问人员外部访问人员管理制度管理制度制定和发布制定和发布评审和修改评审和修改岗位设置岗位设置人员配置人员配置授权和审批授权和审批沟通和合作沟通和合作审核和检查审核和检查系统定级系统定级工程实施工程实施安全方案设计安全方案设计产品采购和使用产品采购和使用自行软件开发自行软件开发外包软件开发外包软件开发测试验收

38、测试验收系统交付系统交付系统备案系统备案等级测评等级测评服务商选择服务商选择环境管理环境管理资产管理资产管理介质管理介质管理设备管理设备管理监控和安全管理监控和安全管理网络安全管理网络安全管理系统安全管理系统安全管理恶意代码防范管理恶意代码防范管理密码管理密码管理变更管理变更管理备份与恢复管理备份与恢复管理安全事件处理安全事件处理应急预案管理应急预案管理管理整改服务等级保护技术设计要求：一个中心下的三重防护安全操作系统安全数据库服务器加固系统主机入侵检测防病毒系统CA认证系统漏洞扫描系统桌面安全管理平台安全加固服务主机审计防火墙/网闸入侵检测入侵防御病毒网关非法接入/外联网站防护系统UTM抗拒

39、绝服务攻击网络审计VPN流量控制设备加固安全管理中心、安全审计中心（TSM/日志审计）、系统管理中心议题议题q什么是等级保护？什么是等级保护？q谁是等级保护的目标客户？谁是等级保护的目标客户？q谁主管等级保护事宜？谁主管等级保护事宜？q等级保护项目我们能做什么？等级保护项目我们能做什么？q等级保护相关标准、政策等级保护相关标准、政策q天融信等级保护实力天融信等级保护实力q销售工作步骤销售工作步骤q组织与参与国内多个的试点案例组织与参与国内多个的试点案例国信办河南济源电子政务等保试点国信办河南济源电子政务等保试点参与公安部参与公安部1313个省试点中的个省试点中的北京、山西、浙江、湖北、重庆北京

40、、山西、浙江、湖北、重庆五省的试点五省的试点工作工作国内最典型的案例：通过三年规划，实施了十几个项目，基本建成符合国内最典型的案例：通过三年规划，实施了十几个项目，基本建成符合等级保护制度的安全体系等级保护制度的安全体系q参与多个等级项目的建设参与多个等级项目的建设国家统计局等级保护定级备案工作国家统计局等级保护定级备案工作国资委等级保护规划设计工作国资委等级保护规划设计工作五矿等级保护规划及评估服务五矿等级保护规划及评估服务北京市农业局等级保护评估规划服务北京市农业局等级保护评估规划服务北京市农村商业银行等级保护建设北京市农村商业银行等级保护建设q安全服务具有丰富的经验安全服务具有丰富的经验

41、具有电信，银行，政府，能源等行业的多个成功安服项目案例具有电信，银行，政府，能源等行业的多个成功安服项目案例q成为多个省级等级保护技术支持单位成为多个省级等级保护技术支持单位湖北、四川、黑龙江、重庆、广州湖北、四川、黑龙江、重庆、广州组织并参与多个试点等级等级保护保护q天融信等级保护白皮书q天融信等级保护手册q天融信等级保护方案建设模版q天融信等保专栏推出针对等级保护系列服务推出系列符合等级保护要求的产品安全管理类安全管理类n终端安全管理n安全信息管理n策略统一管理n入侵防御n入侵检测n日志审计n内容/行为审计检测、防御、审计检测、防御、审计n防火墙p银河p猎豹p千兆p百兆pARESnVPNp

42、IPSEC、SJW11pVONEnUTMn过滤网关n隔离与信息交换网关类产品网关类产品推出系列符合等级保护要求的服务等级评估咨询服务包等级评估咨询服务包等级保护整改服务包等级保护整改服务包等级保护测评服务包等级保护测评服务包等级保护整体服务包在推进等级保护工作中积累经验议题议题q什么是等级保护？什么是等级保护？q谁是等级保护的目标客户？谁是等级保护的目标客户？q谁主管等级保护事宜？谁主管等级保护事宜？q等级保护项目我们能做什么？等级保护项目我们能做什么？q等级保护相关标准、政策等级保护相关标准、政策q天融信等级保护实力天融信等级保护实力q销售工作步骤销售工作步骤销售和负责人必须清楚销售和负责人

43、必须清楚q当地主管机关是谁？当地主管机关是谁？q举例：武汉、上海、哈尔滨举例：武汉、上海、哈尔滨q哪些用户都做了定级？哪些用户都做了定级？q定级了哪些信息系统？定级了哪些信息系统？q信息系统信息系统q相对分保相对分保,等保政策的目标范围要广、用户需求差等保政策的目标范围要广、用户需求差异性要大、技术弹性较大、项目伸缩性大，这些特异性要大、技术弹性较大、项目伸缩性大，这些特点反而有利于公司推动等级保护项目点反而有利于公司推动等级保护项目q能否通过等级保护测评？u一般来说只能是基本通过，肯定有整改意见u天融信可以承诺协助用户通过测评u能否通过测评，与测评中心的关系有很大影响q能否通过等级保护的逐年

44、检查？u逐年检查就是逐年测评u逐年检查为等级保护的总体建设单位带来持续的商机q怎样运作？u立项：等级保护建设项目u可申请的资金：等级保护技术整改预算（产品为主，天融信应争取的）等级保护技术整改预算（产品为主，天融信应争取的）等级保护管理整改预算（服务为主，天融信应争取的）等级保护管理整改预算（服务为主，天融信应争取的）等级保护测评预算（测评中心挣的）等级保护测评预算（测评中心挣的）u可分别单独招服务商、集成商、产品供应商，也可只招总集成商，提供一揽子的服务客户普遍关心的问题销售工作步骤q拜码头拜访当地网监部门u讲解天融信公司做等级保护的实力u了解各地等级保护备案单位名单u各备案单位备案系统名单

45、q拉关系-与测评中心的关系q找客户u召集客户的等级保护交流会议，宣传公司在等级保护方面的实力u拜访个体客户，了解备案情况u了解等级保护建设阶段u了解等级保护相关工作计划q决策u根据用户阶段，考虑以什么身份介入u服务商?整改集成商？产品供应商？q执行u树立典型案例（总部会直接支持）u参与用户整改工作u帮助用户完成等级保护建设及测评工作u最好是做总体集成商（服务、集成产品）技术应该做哪些支持？q总部（售前、方案部）u培训分支机构技术/销售u编制等级保护白皮书u编制等级保护销售工具箱u提供等级保护典型方案u直接支持地方一两个典型等级保护项目u等级保护整改部分实施-安全服务类u协助分支机构开展行业等保

46、研讨会议q分支机构技术u客户初步技术交流与方案u等级保护整改部分实施-产品集成类总部可提供的支持q等级保护各类资料u等级保护培训PPT-销售版u等级保护培训PPT-案例版u等级保护培训PPT-技术版u等级保护宣传PPT-客户版u等级保护白皮书u等级保护典型解决方案q等级保护技术交流u等级保护行业会议支持u等级保护深层次技术交流q等级保护项目支持u典型项目全程支持-定级、评估、整改、测评u等级保护实施支持服务q等级保护其他支持u定期培训u分支机构咨询响应总结“一二三四”1 12 23 34 41个政策：以公安部等级保护政策标准为主2个目标：以2级、3级信息系统为主要目标3个关系：主管部门、测评机构、客户4类服务：等保评估服务、等保整改服务（管理）、等保测评支持服务、等保产品集成服务（含各类产品）