1、等級保護安全培訓(xùn)2014年年6月月議題議題q什么是等級保護？什么是等級保護？q誰是等級保護的目標客戶？誰是等級保護的目標客戶？q誰主管等級保護事宜？誰主管等級保護事宜？q等級保護項目我們能做什么？等級保護項目我們能做什么？q等級保護相關(guān)標準、政策等級保護相關(guān)標準、政策等級保護的含義q 官方說法：信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。q 一句話：系統(tǒng)重要程度有多高，安全保護就應(yīng)當有多強，既不能保護不足，也不能

2、過渡保護。q 要點：平衡安全與成本q 實行等級保護的目的u遵循客觀規(guī)律，信息安全的等級是客觀存在的u有利于突出重點，加強安全建設(shè)和管理u有利于控制安全的成本用戶進行等保建設(shè)的動機？國家標準政績工程保障業(yè)務(wù)申請項目對我們的益處？等保建設(shè)擴大了需求深入挖掘用戶需求提升單位專業(yè)形象等級保護的實現(xiàn)原理重點關(guān)注2、3級信息系統(tǒng)安全保護等級劃分q 第一級第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益；公共利益；q 第二級第二級，信息系統(tǒng)受到破壞后，會對

3、公民、法人和其他組，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全；造成損害，但不損害國家安全； q 第三級第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害；造成嚴重損害，或者對國家安全造成損害；q 第四級第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害；造成特別嚴重損害，或者對國家安全造成嚴重損害；q

4、第五級第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。重損害。 各級別的概念四級強制保護，比如中央核心系統(tǒng)，重要行業(yè)核心業(yè)務(wù)系統(tǒng)，建設(shè)內(nèi)容很多，每年都要檢查，容易形成長期銷售機會，但是該級別信息系統(tǒng)數(shù)量很少，技術(shù)門檻很高，應(yīng)謹慎跟蹤（最好分期建設(shè)，先作容易的，后做難的）三級監(jiān)督保護，比如省級信息系統(tǒng)，核心業(yè)務(wù)系統(tǒng)等大都是此級別，此類項目需要備案，測評，并且每年檢查一次，建設(shè)內(nèi)容包括產(chǎn)品集成、安全服務(wù)，容易形成長期銷售機會，應(yīng)重點跟蹤！重點是集成二級指導(dǎo)保護，比如市級信息系統(tǒng)，非核心業(yè)務(wù)系統(tǒng)都是此級別，此類系統(tǒng)需要備案，測評，等保建設(shè)以產(chǎn)品為

5、主，有少量的安全服務(wù)。重點是產(chǎn)品一級自主建設(shè)，基本沒多少內(nèi)容，可能會有少量的產(chǎn)品常見的二級系統(tǒng)舉例（僅做參考）地市政府辦公自動化系統(tǒng)（內(nèi)部使用的）地市政府辦公自動化系統(tǒng)（內(nèi)部使用的）地市政府政務(wù)公開網(wǎng)站（外部信息發(fā)布）地市政府政務(wù)公開網(wǎng)站（外部信息發(fā)布）地市政府間協(xié)同辦公系統(tǒng)地市政府間協(xié)同辦公系統(tǒng)企業(yè)電子商務(wù)網(wǎng)站企業(yè)電子商務(wù)網(wǎng)站銀行網(wǎng)站銀行網(wǎng)站特點：與核心業(yè)務(wù)無關(guān)特點：與核心業(yè)務(wù)無關(guān)常見的三級系統(tǒng)舉例（僅做參考）省政府辦公自動化系統(tǒng)（內(nèi)部使用的）省政府辦公自動化系統(tǒng)（內(nèi)部使用的）省政府政務(wù)公開系統(tǒng)（交互式）省政府政務(wù)公開系統(tǒng)（交互式）省政府公文交換系統(tǒng)省政府公文交換系統(tǒng)企業(yè)企業(yè)ERP系統(tǒng)系統(tǒng)銀

6、行生產(chǎn)網(wǎng)銀行生產(chǎn)網(wǎng)特點：與業(yè)務(wù)密切相關(guān)的特點：與業(yè)務(wù)密切相關(guān)的常見的四級系統(tǒng)舉例（僅做參考）國家電力調(diào)度系統(tǒng)（國家電力調(diào)度系統(tǒng)（EMS)中國人民銀行官方網(wǎng)站中國人民銀行官方網(wǎng)站財政部財政支付系統(tǒng)財政部財政支付系統(tǒng)交通部應(yīng)急指揮調(diào)度系統(tǒng)交通部應(yīng)急指揮調(diào)度系統(tǒng)銀行生產(chǎn)系統(tǒng)銀行生產(chǎn)系統(tǒng)特點：重要部門與核心業(yè)務(wù)密切相關(guān)的特點：重要部門與核心業(yè)務(wù)密切相關(guān)的議題議題q什么是等級保護？什么是等級保護？q誰是等級保護的目標客戶？誰是等級保護的目標客戶？q誰主管等級保護事宜？誰主管等級保護事宜？q等級保護項目我們能做什么？等級保護項目我們能做什么？q等級保護相關(guān)標準、政策等級保護相關(guān)標準、政策q金普威等級保護實

7、力金普威等級保護實力q銷售工作步驟銷售工作步驟目標客戶怎么來找？q 2007年底到2008年初，各地已經(jīng)完成了定級備案工作u 備案情況：2級 大約32000多個，三級 25000個，四級 200多個；-摘自郭處長在信息安全高峰論壇上的講話u 備案情況：屬地化管理，各地在各自公安的網(wǎng)監(jiān)大隊備案留底u 等級保護主導(dǎo)單位：公安部q 我們了解到的情況u 電監(jiān)會、銀監(jiān)會、證監(jiān)會、保監(jiān)會等國務(wù)院監(jiān)督部門在開始著手組織編寫行業(yè)等級保護建設(shè)標準；u 外交部、海關(guān)、發(fā)改委、交通局、新聞出版署等單位開始著手組織等級保護試點工作；u 公安部三所著手在各地建設(shè)測評分中心，為等級保護測評工作做準備；u 公安部一所牽頭，

8、申請了863課題，研究等級保護的技術(shù)設(shè)計要求，并組織一些單位開發(fā)等級保護建設(shè)模型u 北京、黑龍江、上海、武漢、廣州、成都、浙江等發(fā)達城市，已開展了等級保護技術(shù)支持單位的評審工作u 今年是等級保護的啟動年，也是為我們爭取時間的關(guān)鍵一年。議題議題q什么是等級保護？什么是等級保護？q誰是等級保護的目標客戶？誰是等級保護的目標客戶？q誰主管等級保護事宜？誰主管等級保護事宜？q等級保護項目我們能做什么？等級保護項目我們能做什么？q等級保護相關(guān)標準、政策等級保護相關(guān)標準、政策q金普威等級保護實力金普威等級保護實力q銷售工作步驟銷售工作步驟等級保護相關(guān)單位關(guān)系項目實施流程相關(guān)單位定級評估方案集成規(guī)劃整改服務(wù)

9、測評服務(wù)商和集成商產(chǎn)品廠商2+3X客戶主管部門技術(shù)支撐（測評）標準單位等級保護相關(guān)管理機構(gòu)與分工等級保護相關(guān)管理機構(gòu)與分工議題議題q什么是等級保護？什么是等級保護？q誰是等級保護的目標客戶？誰是等級保護的目標客戶？q誰主管等級保護事宜？誰主管等級保護事宜？q等級保護項目我們能做什么？等級保護項目我們能做什么？q等級保護相關(guān)標準、政策等級保護相關(guān)標準、政策q金普威等級保護實力金普威等級保護實力q銷售工作步驟銷售工作步驟等級保護的建設(shè)過程定級咨詢服務(wù)定級咨詢服務(wù)安全運維服務(wù)安全運維服務(wù)等級評估服務(wù)等級評估服務(wù)管理整改服務(wù)管理整改服務(wù)測評支持服務(wù)測評支持服務(wù)技術(shù)整改服務(wù)技術(shù)整改服務(wù)安全加固服務(wù)安全加

10、固服務(wù)下一步等級保護工作開展的重點等級保護服務(wù)包1/2（僅作參考）等級評估咨詢服務(wù)包等級評估咨詢服務(wù)包CPAS3三級系統(tǒng)等級三級系統(tǒng)等級評估咨詢評估咨詢服務(wù)服務(wù)按照國家等級保護三級標準進行評估，出具等級評估報告，并制定建設(shè)整改解決方案每個三級系統(tǒng)120臺設(shè)備XXXX2150臺設(shè)備XXXX50臺以上設(shè)備XXXXCPAS2二級系統(tǒng)等級二級系統(tǒng)等級評估咨詢評估咨詢服務(wù)服務(wù)按照國家等級保護二級標準進行評估，出具等級評估報告，并制定建設(shè)整改解決方案每個二級系統(tǒng)120臺設(shè)備XXXX2150臺設(shè)備XXXX50臺以上設(shè)備XXXX等級保護整改服務(wù)包等級保護整改服務(wù)包 CPPS3三級系統(tǒng)管理三級系統(tǒng)管理整改服務(wù)整

11、改服務(wù) 根據(jù)三級系統(tǒng)要求，編制符合等級保護要求的安全制度文檔，涵蓋安全組織、安全建設(shè)和安全運維等方面的各種制度、流程、表格、技術(shù)標準和規(guī)范等；進行等級測評前的輔導(dǎo)與培訓(xùn)，配合準備和整理測評所需的文檔資料，幫助客戶熟悉和更好地準備等級測評。每個三級系統(tǒng)有特殊要求價格面議XXXXCPPS2二級系統(tǒng)管理二級系統(tǒng)管理整改服務(wù)整改服務(wù) 根據(jù)二級系統(tǒng)要求，編制符合等級保護要求的安全制度文檔，涵蓋安全組織、安全建設(shè)和安全運維等方面的各種制度、流程、表格、技術(shù)標準和規(guī)范等；進行等級測評前的輔導(dǎo)與培訓(xùn)，配合準備和整理測評所需的文檔資料，幫助客戶熟悉和更好地準備等級測評。每個二級系統(tǒng)有特殊要求價格面議XXXXCP

12、HS1設(shè)備安全加固設(shè)備安全加固服務(wù)服務(wù) 根據(jù)系統(tǒng)安全等級的指標和測評標準，對主機、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、安全設(shè)備等制定加固方案，通過打補丁、修改安全配置、增加安全機制等方法，合理加強設(shè)備的安全性，以滿足等級要求每臺設(shè)備每臺設(shè)備XXXX等級保護服務(wù)包2/2（僅作參考）等級保護測評服務(wù)等級保護測評服務(wù)CPCS3三級系統(tǒng)測評三級系統(tǒng)測評服務(wù)服務(wù)按照國家等級保護三級測評標準進行文檔審核與現(xiàn)場測評，出具測評報告每個三級系統(tǒng)120臺設(shè)備XXXX2150臺設(shè)備XXXX50臺以上設(shè)備XXXXCPCS2二級系統(tǒng)測評二級系統(tǒng)測評服務(wù)服務(wù)按照國家等級保護二級測評標準進行文檔審核與現(xiàn)場測評，出具測評報告每個二級系統(tǒng)120

13、臺設(shè)備XXXX2150臺設(shè)備XXXX50臺以上設(shè)備XXXX等級保護整體服務(wù)包等級保護整體服務(wù)包CPTS3三級系統(tǒng)整體服務(wù)提供等級保護三級整體服務(wù)，包含三級評估服務(wù)，三級管理整改服務(wù)，設(shè)備安全加固服務(wù)和三級測評服務(wù)，并最終出具測評報告?？蛻袅硗膺M行產(chǎn)品采購和集成后，即可以完成等級保護全過程。每個三級系統(tǒng)120臺設(shè)備XXXX2150臺設(shè)備XXXX50臺以上設(shè)備XXXXCPTS3二級系統(tǒng)整體服務(wù)提供等級保護二級整體服務(wù)，包含二級評估服務(wù)，二級管理整改服務(wù)，設(shè)備安全加固服務(wù)和二級測評服務(wù)，并最終出具測評報告。客戶另外進行產(chǎn)品采購和集成后，即可以完成等級保護全過程。每個二級系統(tǒng)120臺設(shè)備XXXX215

14、0臺設(shè)備XXXX50臺以上設(shè)備XXXX等級保護產(chǎn)品包1/2-三級（參考）基本要求技術(shù)要求控制點防護措施網(wǎng)絡(luò)安全結(jié)構(gòu)安全（G3）配置與加固服務(wù)-網(wǎng)絡(luò)設(shè)備加固訪問控制（G3）網(wǎng)絡(luò)與邊界防護-防火墻安全審計（G3）監(jiān)控與審計防護-網(wǎng)絡(luò)安全審計、日志審計系統(tǒng)邊界完整性檢查（S3）主機安全防護-終端安全管理（非法外聯(lián)與非法接入）入侵防范（G3）網(wǎng)絡(luò)與邊界防護-入侵檢測系統(tǒng)、入侵防護系統(tǒng)惡意代碼防范（G3）網(wǎng)絡(luò)與邊界防護-防病毒網(wǎng)關(guān)網(wǎng)絡(luò)設(shè)備防護（G3）配置與加固服務(wù)-網(wǎng)絡(luò)設(shè)備加固主機安全身份鑒別（S3）配置與加固服務(wù)-服務(wù)器加固、數(shù)據(jù)庫加固；主機安全防護-服務(wù)器核心加固訪問控制（S3）配置與加固服務(wù)-服務(wù)

15、器加固安全審計（G3）監(jiān)控與審計防護-主機審計、日志審計系統(tǒng)剩余信息保護（S3）配置與加固服務(wù)-服務(wù)器加固入侵防范（G3）主機安全防護-漏洞掃描系統(tǒng)、服務(wù)器核心防護、主機入侵檢測惡意代碼防范（G3）主機安全防護-主機防病毒資源控制（A3）配置與加固服務(wù)-服務(wù)器加固等級保護產(chǎn)品包2/2-三級（參考）基本要求技術(shù)要求控制點防護措施應(yīng)用安全身份鑒別（S3）統(tǒng)一認證平臺訪問控制（S3）統(tǒng)一認證平臺安全審計（G3）監(jiān)控與審計防護-網(wǎng)絡(luò)安全審計剩余信息保護（S3）配置與加固服務(wù)-WEB安全加固、MAIL安全加固通信完整性（S3）網(wǎng)絡(luò)與邊界防護-VPN、CA認證通信保密性（S3）網(wǎng)絡(luò)與邊界防護-VPN、CA

16、認證抗抵賴（G3）CA認證軟件容錯（A3）配置與加固服務(wù)資源控制（A3）配置與加固服務(wù)數(shù)據(jù)安全數(shù)據(jù)完整性（S3）網(wǎng)絡(luò)與邊界防護-VPN數(shù)據(jù)保密性（S3）網(wǎng)絡(luò)與邊界防護-VPN安全備份（A3）數(shù)據(jù)冗災(zāi)備份防火墻、入侵檢測、入侵防護、審計、VPN、服務(wù)器加固、網(wǎng)絡(luò)設(shè)備加固、安全設(shè)備加固、漏洞掃描、主機入侵檢測、CA認證、主機防病毒、災(zāi)備、終端安全管理、信息安全管理平臺（三權(quán)分立）等級保護產(chǎn)品包1/2-二級（參考）基本要求技術(shù)要求控制點防護措施網(wǎng)絡(luò)安全結(jié)構(gòu)安全（G2）配置與加固服務(wù)-網(wǎng)絡(luò)設(shè)備加固訪問控制（G2）網(wǎng)絡(luò)與邊界防護-防火墻安全審計（G2）監(jiān)控與審計防護-日志審計系統(tǒng)邊界完整性檢查（S2）主

17、機安全防護-終端安全管理（非法外聯(lián)與非法接入）入侵防范（G2）網(wǎng)絡(luò)與邊界防護-入侵檢測系統(tǒng)、入侵防護系統(tǒng)網(wǎng)絡(luò)設(shè)備防護（G2）配置與加固服務(wù)-網(wǎng)絡(luò)設(shè)備加固主機安全身份鑒別（S2）配置與加固服務(wù)-服務(wù)器加固、數(shù)據(jù)庫加固；主機安全防護-服務(wù)器核心加固訪問控制（S2）配置與加固服務(wù)-服務(wù)器加固安全審計（G2）監(jiān)控與審計防護-主機審計、日志審計系統(tǒng)入侵防范（G2）主機安全防護-漏洞掃描系統(tǒng)、服務(wù)器核心防護、主機入侵檢測惡意代碼防范（G2）主機安全防護-主機防病毒資源控制（A2）配置與加固服務(wù)-服務(wù)器加固等級保護產(chǎn)品包2/2-二級（參考）基本要求技術(shù)要求控制點防護措施應(yīng)用安全身份鑒別（S2）統(tǒng)一認證平臺訪

18、問控制（S2）統(tǒng)一認證平臺安全審計（G2）監(jiān)控與審計防護-網(wǎng)絡(luò)安全審計通信完整性（S2）網(wǎng)絡(luò)與邊界防護-VPN、CA認證通信保密性（S2）網(wǎng)絡(luò)與邊界防護-VPN、CA認證軟件容錯（A2）配置與加固服務(wù)資源控制（A2）配置與加固服務(wù)數(shù)據(jù)安全數(shù)據(jù)完整性（S2）網(wǎng)絡(luò)與邊界防護-VPN數(shù)據(jù)保密性（S2）網(wǎng)絡(luò)與邊界防護-VPN安全備份（A2）數(shù)據(jù)冗災(zāi)備份防火墻、入侵檢測、入侵防護、審計、VPN、服務(wù)器加固、網(wǎng)絡(luò)設(shè)備加固、安全設(shè)備加固、漏洞掃描、主機入侵檢測、CA認證、主機防病毒、災(zāi)備、終端安全管理、信息安全管理平臺（三權(quán)分立）等級保護中我們可以提供什么？n安全服務(wù)包u等級評估咨詢服務(wù)u等級保護整改服務(wù)（

19、含等級保護管理安全整改建設(shè)+加固服務(wù)）u等級保護測評服務(wù)u等級保護整體服務(wù)=等級保護評估咨詢服務(wù)+等級保護整改服務(wù)+等級保護測評服務(wù)n整改建設(shè)包u安全集成建設(shè)、基礎(chǔ)設(shè)施建設(shè)u等級保護整改服務(wù)+等級保護測評服務(wù)n整改產(chǎn)品包u網(wǎng)絡(luò)安全：防火墻、入侵檢測、入侵防護、病毒過濾網(wǎng)關(guān)、抗拒絕服務(wù)攻擊、網(wǎng)站防護系統(tǒng)等；u主機安全：服務(wù)器核心防護、數(shù)據(jù)庫核心防護、防病毒軟件、主機入侵檢測、主機審計u應(yīng)用安全：安全審計、身份認證（CA/雙因素）u數(shù)據(jù)安全：VPN、存儲議題議題q什么是等級保護？什么是等級保護？q誰是等級保護的目標客戶？誰是等級保護的目標客戶？q誰主管等級保護事宜？誰主管等級保護事宜？q等級保護項

20、目我們能做什么？等級保護項目我們能做什么？q等級保護相關(guān)標準、政策等級保護相關(guān)標準、政策q金普威等級保護實力金普威等級保護實力q銷售工作步驟銷售工作步驟等級保護的政策標準的演進20032003年年9 9月月中辦國辦頒發(fā)中辦國辦頒發(fā)關(guān)于加強信息安全保關(guān)于加強信息安全保障工作的意見障工作的意見（中辦發(fā)（中辦發(fā)200327200327號）號）20042004年年1111月月四部委會簽四部委會簽關(guān)于信息安全等級保關(guān)于信息安全等級保護工作的實施意見護工作的實施意見（公通字（公通字200466200466號）號）20052005年年9 9月月國信辦文件國信辦文件 關(guān)于轉(zhuǎn)發(fā)關(guān)于轉(zhuǎn)發(fā)電子政務(wù)信息電子政務(wù)信息系

21、統(tǒng)信息安全等級保護實施系統(tǒng)信息安全等級保護實施指南指南的通知的通知 （國信辦（國信辦200425200425號）號）20052005年年 公安部標準公安部標準等級保護安全要求等級保護安全要求等級保護定級指南等級保護定級指南等級保護實施指南等級保護實施指南等級保護測評準則等級保護測評準則總結(jié)成一種安全工總結(jié)成一種安全工作的方法和原則作的方法和原則最先作為最先作為“適度適度安全安全”的工作思的工作思路提出路提出確認為國家信息安確認為國家信息安全的基本制度，安全的基本制度，安全工作的根本方法全工作的根本方法形成等級保護的基形成等級保護的基本理論框架，制定本理論框架，制定了方法，過程和標了方法，過程和

22、標準準19941994年年國務(wù)院頒布國務(wù)院頒布中華人民中華人民共和國計算機信息系統(tǒng)共和國計算機信息系統(tǒng)安全保護條例安全保護條例20062006年年 四部委會簽四部委會簽公通字公通字2006720067號文件號文件（關(guān)于印發(fā)（關(guān)于印發(fā)信息安全信息安全等級保護管理辦法（試等級保護管理辦法（試行）行）的通知）的通知） 明確做等級保護，等級保明確做等級保護，等級保護工作的重點是護工作的重點是 基礎(chǔ)信息基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)的重要信息系統(tǒng)定義了五個保護級別、定義了五個保護級別、監(jiān)管方式、職責分工監(jiān)管方式、職責分工和時

23、間計劃和時間計劃定義了電子政務(wù)等級定義了電子政務(wù)等級保護的實施過程和方保護的實施過程和方法法定義了等級保護的管理辦法，定義了等級保護的管理辦法，后被后被4343號文件取代。號文件取代。首次提出計算機首次提出計算機信息系統(tǒng)必須實信息系統(tǒng)必須實行安全等級保護。行安全等級保護。提出了等級保護的定級方法、提出了等級保護的定級方法、實施辦法，并對不同等級需實施辦法，并對不同等級需要達到的安全能力要求進行要達到的安全能力要求進行了詳細的定義，同時對系統(tǒng)了詳細的定義，同時對系統(tǒng)保護能力等級評測指出了具保護能力等級評測指出了具體的指標。體的指標。等級保護的政策標準的演進20072007年年7 7月月1616日

24、日 四部門會簽四部門會簽公信安公信安20078612007861號文件：四號文件：四部門下發(fā)部門下發(fā)關(guān)于開展全國重要關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工信息系統(tǒng)安全等級保護定級工作的通知作的通知提出了等級保護的推提出了等級保護的推進和管理辦法進和管理辦法為等級保護工作開展提為等級保護工作開展提供了參考供了參考開始了等級保護的實質(zhì)性開始了等級保護的實質(zhì)性工作的第一階段工作的第一階段20072007年年 四部委會簽四部委會簽公通字公通字200743200743號文號文件件信息安全等級保信息安全等級保護管理辦法護管理辦法 替代公通字替代公通字2006720067號文件，號文件，明確了等級保護的

25、具體操明確了等級保護的具體操作辦法和各部委的職責，作辦法和各部委的職責，以及推進等級保護的具體以及推進等級保護的具體事宜事宜20062006年年 公安部、國信辦公安部、國信辦下發(fā)了下發(fā)了關(guān)于開展信息系關(guān)于開展信息系統(tǒng)安全等級保護基礎(chǔ)調(diào)查統(tǒng)安全等級保護基礎(chǔ)調(diào)查工作的通知工作的通知從從20062006年年1 1月月1010日到日到4 4月月1010日，分三個階段對國家重日，分三個階段對國家重要的基礎(chǔ)信息系統(tǒng)進行摸要的基礎(chǔ)信息系統(tǒng)進行摸底，包括黨政機關(guān)、財政、底，包括黨政機關(guān)、財政、海關(guān)、能源、金融、社會海關(guān)、能源、金融、社會保障等行業(yè)保障等行業(yè)2007年年7月至月至10月在全國范圍內(nèi)月在全國范圍內(nèi)

26、組織開展重要信息系統(tǒng)安全等組織開展重要信息系統(tǒng)安全等級保護定級工作級保護定級工作 ，其中包括公，其中包括公用通信網(wǎng)、廣播電視傳輸網(wǎng)等用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)基礎(chǔ)信息網(wǎng)絡(luò) 以及鐵路、銀行、以及鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證海關(guān)、稅務(wù)、民航、電力、證券、保險、外交、人事勞動和券、保險、外交、人事勞動和社會保障、財政、等行業(yè)社會保障、財政、等行業(yè)等級保護的政策標準的演進信息安全技術(shù)信息安全技術(shù) 信息安全等信息安全等級保護技術(shù)設(shè)計要求級保護技術(shù)設(shè)計要求報批報批稿，對等級保護的方案設(shè)計稿，對等級保護的方案設(shè)計提出了參考。提出提出了參考。提出“一個中一個中心下的三重防護心下的三重防護

27、”體系體系等級保護的落地邁出等級保護的落地邁出了實質(zhì)性的一步了實質(zhì)性的一步等級保護有了國家標準等級保護有了國家標準作為參考依據(jù)作為參考依據(jù)同步提出了等級保護基礎(chǔ)同步提出了等級保護基礎(chǔ)技術(shù)的課題研究技術(shù)的課題研究20082008年年7 7月，公安部發(fā)月，公安部發(fā)布布公安機關(guān)信息安公安機關(guān)信息安全等級保護檢查工作全等級保護檢查工作（試行）文件，提出（試行）文件，提出等級保護檢查工作的等級保護檢查工作的細則，并發(fā)布到重點細則，并發(fā)布到重點政府行業(yè)用戶政府行業(yè)用戶 20082008年，國家標準化委員年，國家標準化委員會正式批復(fù)并發(fā)布會正式批復(fù)并發(fā)布信息信息安全技術(shù)安全技術(shù) 信息安全等級保信息安全等級保

28、護基本要求護基本要求和和信息安信息安全技術(shù)全技術(shù) 信息安全等級保信息安全等級保護定級指南護定級指南，編號分別，編號分別為為GB/T22239-2008GB/T22239-2008、GB/T22240-2008GB/T22240-2008目前已正式頒布的有：GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求GB/T 22240-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南公安機關(guān)信息安全等級保護檢查工作規(guī)范2008年定級備案工作基本結(jié)束2+2X用戶已完成在公安機關(guān)的定級備案工作；備案的四級系統(tǒng)大約200多個；三級系統(tǒng)大約25000多個；二級系統(tǒng)大約32000多個。

29、其他參考政策文件關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風險評估工作的通知（發(fā)改高技20082071號）p提出“電子政務(wù)工程建設(shè)項目”的驗收：必須有一證兩報告p一證：等級備案證明p兩報告：信息系統(tǒng)安全風險評估報告、信息系統(tǒng)安全等級保護測評報告p強制執(zhí)行！重要標準簡要解讀-基本要求物理安全物理安全網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全主機安全主機安全應(yīng)用安全應(yīng)用安全數(shù)據(jù)安全數(shù)據(jù)安全身份鑒別（身份鑒別（S）安全標記（安全標記（S）訪問控制（訪問控制（S）可信路徑（可信路徑（S）安全審計（安全審計（G）剩余信息保護（剩余信息保護（S）物理位置的選擇（物理位置的選擇（G）物理訪問控制（物理訪問控制（G）防盜竊和破壞防盜竊和

30、破壞（G G）防雷防雷/火火/水水（G G）溫濕度控制溫濕度控制（G G）電力供應(yīng)電力供應(yīng)（A A）數(shù)據(jù)完整性（數(shù)據(jù)完整性（S）數(shù)據(jù)保密性（數(shù)據(jù)保密性（S）備份與恢復(fù)（備份與恢復(fù)（A）防靜電防靜電（G G）電磁防護電磁防護（S S）入侵防范（入侵防范（G）資源控制（資源控制（A）惡意代碼防范（惡意代碼防范（G）結(jié)構(gòu)安全（結(jié)構(gòu)安全（G）訪問控制（訪問控制（G）安全審計（安全審計（G）邊界完整性檢查（邊界完整性檢查（S）入侵防范（入侵防范（G）惡意代碼防范（惡意代碼防范（G）網(wǎng)絡(luò)設(shè)備防護（網(wǎng)絡(luò)設(shè)備防護（G）身份鑒別（身份鑒別（S）剩余信息保護（剩余信息保護（S）安全標記（安全標記（S）訪問控制（訪

31、問控制（S）可信路徑（可信路徑（S）安全審計（安全審計（G）通信完整性（通信完整性（S）通信保密性（通信保密性（S）抗抵賴（抗抵賴（G）軟件容錯（軟件容錯（A）資源控制（資源控制（A）技術(shù)要求技術(shù)要求單位產(chǎn)品重點覆蓋需要第三方產(chǎn)品服務(wù)器加固主機入侵檢測防病毒系統(tǒng)等單位可以賣的：安全加固服務(wù)CA認證為主安全加固服務(wù)VPN數(shù)據(jù)存儲、災(zāi)備重要標準簡要解讀-基本要求管理要求管理要求安全管理制度安全管理制度安全管理機構(gòu)安全管理機構(gòu)人員安全管理人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理系統(tǒng)運維管理人員錄用人員錄用人員離崗人員離崗人員考核人員考核安全意識和培訓(xùn)安全意識和培訓(xùn)外部訪問人員外部訪問人員管理制度管理制度制定和發(fā)布制定和發(fā)布評審和修改評審和修改崗位設(shè)置崗位設(shè)置人員配置人員配置授權(quán)和審批授權(quán)和審批溝通和合作溝通和合作審核和檢查審核和檢查系統(tǒng)定級系統(tǒng)定級工程實施工程實施安全方案設(shè)計安全方案設(shè)計產(chǎn)品采購和使用產(chǎn)品采購和使用自行軟件開發(fā)自行軟件開發(fā)外包軟件開發(fā)外包軟件開發(fā)測試驗收測試驗收系統(tǒng)交付系統(tǒng)交付系統(tǒng)備案系統(tǒng)備案等級測評等級測評服務(wù)商選擇服務(wù)商選擇環(huán)境管理環(huán)境管理資產(chǎn)管理資產(chǎn)管理介質(zhì)管理介質(zhì)管理設(shè)備管理設(shè)備管理監(jiān)控和安全管理監(jiān)