中金所信息安全等级保护工作实施经验介绍.pptVIP

等保测评经验分享 测评：实事求是，目的就是要发现问题 测评工作中，实事求是，保持开放的态度，不回避问题，测评机构提出的检查点全力配合。 “一句谎话要用十句谎话去圆”，抱着与测评机构相同的目的才能真正找到问题，更加有利于整改。一次查到问题要比下一次继续掩盖好得多。 对测评机构不怀有抵触情绪，配合检查才能发现潜在问题！ 等保测评经验分享 整改：问题要扎扎实实整改 测评中发现的问题，要扎扎实实地整改，确保下次不再发生。 部分测评项几乎很难满足，可以和测评机构进行沟通、解释、说明，最终是否认可取决于测评机构。 除关键问题外，有些问题虽然存在，但如果有合理的补偿控制措施，在整体评估中会被视为符合。 及早将问题整改能大大降低信息系统风险！ 等保测评经验分享 提高：靠日常管理，不靠年年“搞运动” 信息系统安全的提高主要应该依靠日常管理和控制，不能靠年年“搞运动”。 风险是随着系统运行不断累加的，仅仅依靠测评来降低系统风险不切实际。日常的信息安全管理才是最重要的。 测评是检查手段，不是检查目的。 日常工作中加强信息安全管理，测评就变得简单！ 主要内容 一、中金所等保工作情况简介 二、等保工作开展的原则和思路 四、测评关键点注意 三、等保测评经验分享 测评关键点注意 测评通过的基本原则 原则上测评所有项中，符合率大于60%，不符合率小于15%，且不存在高风险安全问题即可通过。 但由于各单位系统规模、重要程度以及对保密性、可用性方面的要求有所不同，很难对高风险问题作一个绝对的判断，一般还是根据实际情况分析确定。 所以要向测评机构详细说明业务重要程度等信息。 测评关键点注意 常见高风险安全问题 1、网络访问控制措施存在明显不足，甚至无任何访问控制设备，主机所有端口全部暴露在外的。 2、主要网络设备、安全设备配置极其不当的，如口令很弱、甚至无口令、直接可通过Internet登录等。 3、Windows主机无任何防恶意代码措施，且网络上也未采取补偿措施的。 测评关键点注意 常见高风险安全问题 4、主机操作系统、数据库存在极高风险漏洞、弱口令等情况，可被直接利用进行攻击的。 5、应用系统存在SQL注入等极高风险安全漏洞的。 6、应用系统存在访问控制旁路漏洞，可在未进行身份鉴别，或以低权限用户身份就可越权访问高权限用户才能使用的功能。 测评关键点注意 常见高风险安全问题 7、对可用性要求较高的系统存在明显单点故障隐患。 8、对保密性要求较高的系统（如网上交易系统）存在敏感信息（如用户口令）明文传输、保存等问题。 9、管理制度、记录等文档缺失严重。 　 谢　谢！ 中国期货业协会： 信息安全等级保护工作实施经验介绍 主要内容 一、中金所等保工作情况简介 二、等保工作的原则和思路 三、等保测评经验分享 四、测评关键点注意 中金所等保工作情况简介 基本情况 中金所目前申报信息安全等级保护定级备案的系统有三个，其中两个三级系统，一个二级系统。 1、交易系统（三级）； 2、业务系统（三级）； 3、互联网网站系统（二级）。 中金所等保工作情况简介 测评情况 2009年申报定级并正式备案。2010年起，三个系统均每年测评一次。 2010年的测评情况，两个三级系统测评项符合率均超过88%；一个二级系统测评项符合率超过96%。 2011年的测评情况，两个三级系统测评项符合率均超过90%，高于上一年度；一个二级系统测评项符合率超过96%，与上年度基本持平。 中金所等保工作情况简介 系统建设 中金所于2006年开始筹备，并于当年开始信息系统建设工作。 在系统设计上，遵循国内外通行的信息安全基本原则，严格遵守国家有关法律法规、上级单位的有关规定，吸收借鉴行业内的先进经验。 中金所等保工作情况简介 自查与测评 2007年，中金所信息系统建设已经初步完善。 在国家正式发布《信息安全等级保护管理办法》之后。我所依据信息安全等级保护已发布的相关标准文件进行了深入自查，并邀请有关单位对我所系统进行了测评，测评结果良好，但也发现了一些需要整改与完善的问题。 中金所等保工作情况简介 整改与提高 2008-2009年，我所对测评中发现的问题进行认真分析与讨论，在所领导统一部署下，分阶段完成了问题整改与系统完善工作； 2009年，信息系统正式