等级保护三级系统安全解决方案.docx

目录

1.等级保护现状

2.等级保护需求分析

3.华为等级保护安全方案

4.成功案例

Page

行业信息安全事件

金融电力企业政府

金融

电力

企业

2011年7月77%企业机构数据遭泄密2009年8月XX政府建设厅网站被恶意挂马2009年9月XX政府科技厅网站被恶意篡改

2011年7月77%企业机构数据遭泄密

2009年8月XX政府建设厅网站被恶意挂马

2009年9月XX政府科技厅网站被恶意篡改

2003年4月外国工程调式设备将病毒带至电网调度系统，造成大面积瘫痪

2010年11月上交所交易系统出现技术故障，导致主机系统瘫痪3小时

2006年7月XX电网XX机密信息提前泄露

Page

等级保护背景介绍-发展历程

?信息安全等级保护是基本制度、基本国策、基本方法

–信息安全等级保护是党中央国务院决定在信息系统安全领域实施的基本国策

–信息安全等级保护是国家信息安全保障工作的基本制度

发展阶段–信息安全等级保护是国家信息安全保障工作的基本方法

发展阶段

起步阶段

起步阶段

推行阶段2010年

推行阶段

2010年3月公安部发文《关于推动信息安全等级保护测评体系建设和开展等级测评

工作的通知》（公信安[303]

号）

中华人民共和国计算机信息

系统安全保护条例(1994年

2月18日中华人民共和国国

务院令147号发布)

2007年6月公安部、保密局、国密局、国信办联合印发《信息安全等级保护管理办

法》（公通字［2007］43号）

2005年9月国信办文件《关于转发《电子政务信息安全等级保护实施指南》的通知》（国信办[2004]25号）

2009年公安部发文《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）

2008年发布GB/T22239—

2008《信息系统安全等级

保护基本要求》、GB/T

22240—2008《信息系统

安全等级保护定级指南》

2003年9月中办国办颁发《关于加强信息安全保障工

作的意见》（中办发

[2003]27号）

2004年11月四部委会签《关

于信息安全等级保护工作的

实施意见》（公通字

[2004]66号）

2006年1月四部委会签《关

于印发《信息安全等级保护

管理办法的通知》（公通字[2006]7号）

2007年7月《关于开展全国重要信息系统安全等级保护

定级工作的通知》（公信安[2007]861号）

Page

行业等级保护整改现状

整改

社保，广电，教育整改进行中……

定级等级保护建设

金融：

测评检查生产系统和重要管理系统：3级办公系统2级

测评检查

电力：

实时调度系统：4级

信息管理系统：3级

信息委：

信息委，税务、金融，电力整改完毕

信息委，税务、金融，电力整改完毕，测评检查中……

政务专网办公系统：2级

央企：

国资委2010

《定级国资委关于进一步推进中央企业信息安全等级保护工作的通知》

等级保护安全建设参考政策和标准

Page

系统运维管理

系统建设管理

人员安全管理

管理要求安全管理制度

管理要求

安全管理机构

基本要求

基本要求

数据安全

应用安全

主机安全

技术要求网络安全

技术要求

等级保护基本要求框架物理安全

等级保护基本要求框架

Page

等级保护安全建设思路

差距分析

差距分析

风险分析

第一步：需求分析

第二步：方案设计

第二步：方案设计

建设方案设计

建设方案评审

第三步：安全实施

安全管理建设

安全管理建设

安全技术建设

第四步：等级测评

第四步：等级测评

选择测评机构

系统等级测评

目录

1.等级保护现状

2.等级保护需求分析

3.华为等级保护安全方案

4.成功案例

Page

等级保护安全建设需求来源

识别关键信息资产识别威胁识别信息系统弱点风险分析

安全建设需求

安全建设需求

信息系统定级差距分析

Page

互联网边界风险企业IT架构面临的主要安全风险

互联网边界风险

1)

1)病毒、蠕虫、木马、后门、间谍软件等恶意代码

2)非授权访问资源、篡改网络配置信息

3)网络探测、漏洞探测和信息采集

4)拒绝服务、系统运行的控制和破坏

5)用户身份伪造和欺骗、用户或业务数据的窃取和破坏

内网服务器侧风险

一般业务系统网管系统核心业务系统安全管理风险外联前置系统1)系统内