单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,信息系统安全等级保护业务介绍,广东南方信息安全产业基地有限公司,2010,年,06,月,目 录,一、南方基地简介,二、信息系统安全等级保护概述,三、南方基地的等级保护服务,四、竞争战略,五、广东出入境检验检疫局等保情况介绍,一、南方基地简介,南方基地的成立,南方基地诞生于,2004,年，是依据广东省有关部门指示精神成立的从事信息安全关键领域核心技术攻关、成果转化、应用推广的创新型高新技术企业，肩负着建立和完善广东省信息安全保障体系，带动广东信息安全产业体系的发展和完善的重要使命。,南方基地的主要股东包括广东省科技厅（通过广东拓思软件科学园进行控股）等，属于省政府重点扶持类企业。,。,南方基地的成就,南方基地自,2004,年成立以来，依托省政府的各项政策扶持和与国内多所著名高校的合作，拥有了一支由两院院士、博士生导师、行业专家组成的专家顾问团队，并培养了一大批优秀的安全产品研发、安全咨询服务和技术支持人才。经过这些年的积累，南方基地在双因子认证、终端安全防护、移动存储安全、可信计算平台、高速流加密芯片、,RFID,芯片等领域已经达到行业领先水平，陆续推出了各类安全产品和解决方案，获得了市场和政府的一致好评。,。,南方基地的定位及战略,南方基地将依托省政府的各项政策扶持,整合资源优势,构建产业链,打造广东信息安全产业集群创新和服务平台，带动广东信息安全产业体系的发展和完善，打造成为广东乃至全国信息安全知名公司。,公司将一如既往，集技术、产品和服务等优势，以振兴民族信息安全产业为己任，为各级政府部门和企事业单位提供可靠的安全产品和安全服务。,。,南方基地的等保服务,2006,年，南方基地应广东省政府相关部门的要求，开始着手研究如何在广东省内推行信息系统安全等级保护理念，如何建立一个有广东自主特色的安全等级保护实施规范。在这个调研过程中，南方基地提出了广东省的安全等级保护工作应遵循,“,本地化、标准化、专业化、独立化、行业化,”,的思路，推行,“,定级需求分析差距测评差距分析提交整改方案整改验收测评培训备案,”,的等级保护实施规范，并应由公安厅主导对差距测评机构和验收测评机构进行认证和备案，这为广东省安全等级保护工作打下了良好的基础。,。,2009,年初，广东省公安厅发粤公通字,200945,号要求在全省推行信息系统安全等级保护工作。作为差距测评备案机构之一的南方基地迅速响应，积极配合广东省公安厅开展等级保护检查、系统定级、差距测评工作。目前，全省已实施或正在实施的等级保护测评项目中有一半以上均是由南方基地负责。,。,南方基地的等保服务,沈昌祥院士,广东南方信息安全产业基地顾问，中国工程院院士，国家等级保护专家组组长，国务院国家信息化专家咨询委员会委员,中国工程院信息学部常委，北京大学、国防科技大学、浙江大学、中科院研究生院、上海交通大学等多所著名高校博士生导师，国家密码管理委员会办公室顾问,国家保密局专家顾问,公安部,“,金盾工程,”,特邀顾问,中国人民银行信息安全顾问,国家税务总局信息技术咨询委员会委员,中国计算机学会信息保密专业委员会主任。沈院士从事计算机信息系统、密码工程、信息安全体系结构、系统软件安全（安全操作系统、安全数据库等）、网络安全等方面的研究工作。先后完成了重大科研项目二十多项，取得了一系列重要成果，曾获国家科技进步一等奖,2,项、二等奖,3,项、三等奖,3,项，军队科技进步奖十多项。,。,南方基地的团队介绍,南相浩研究员,解放军某部研究员、博士生导师，中国第一代密码专家，我国著名的信息安全科学家，首批享受国务院特殊津贴；解放军信息工程大学、北京大学兼职教授；中国计算机学会理事、信息保密专业委员会顾问；中国人民银行信息安全专家组成员；中国民生银行信息安全技术顾问。拥有一批重大科研成果并在国家重要部门广泛应用，多次荣获国家科技进步二、三等奖、军队科技进步一、二等奖。,。,南方基地的团队介绍,。,南方基地的安全服务资质,。,南方基地的安全服务资质,我们的资质,信息安全服务资质证书,广东省计算机信息系统安全服务登记证（二级）,广东省安全技术防范系统设计、施工、维修资格证书（二级）,ISO9001:2000,质量管理体系认证证书,国家商用密码定点生产单位之一,国家商用密码产品销售许可证,CMM3,认证证书,高新技术企业证书,广东省计算机信息网络安全协会常务理事单位证书,广州信息协会会员单位证书,。,。,南方基地的资质,二、信息系统安全等级保护概述,什么是等级保护？,安全等级保护是指：对国家秘密信息、法人和其他组织及公民的专有信息、公开信息分类分级进行管理和保护，是国家信息安全保障的,基本制度,、,基本策略,和,基本方法,。开展信息安全等级保护工作，就是为了解决国家信息安全面临的威胁和存在的主要问题，进一步提高信息安全的保障能力和防护水平，维护国家安全、公共利益和社会稳定，保障和促进信息化建设的健康发展。,信息系统存在的问题,1.,信息安全滞后于信息化的发展,2.,信息安全阻碍了信息化的发展,4.,偏重产品，忽视体系和管理,3.,忽视了内部的非法行为,5.,关键技术、产品受制于人,我们面对的威胁,西方发达国家信息技术优势明显，我国面临信息强国的冲击、挑战和威胁，信息安全领域始终面临信息战和网络恐怖袭击的威胁；,敌对势力的网上煽动、渗透和破坏活动愈加突出，针对信息系统进行的破坏活动日益严重，利用网络实施的违法犯罪案件持续大幅上升；,受威胁的对象是操作系统、数据库系统和信息系统，攻击的目的是使系统瘫痪、信息被窃取、篡改、毁坏。而且现在任何信息系统参与人都可能成为攻击者。,当前的要求与原则,总体要求,:,坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保护基础网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。,主要原则：立足国情，以我为主，坚持管理与技术并重；正确处理安全与发展的关系，以安全促发展，在发展中求安全；统筹规划，突出重点，强化基础性工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。,当前的九项任务,全面实行信息安全等级保护制度,加强以密码技术为基础的信息保护和网络信任体系建设,建设和完善信息安全监控体系,重视信息安全应急处理工作,加强信息安全技术研究开发，推进信息安全产业发展,加强信息安全法制建设标准化建设,加快信息安全人才培养，增强全民信息安全意识,保证信息安全资金,加强对信息安全保障工作的领导，建立健全信息安全管理责任制,等级保护相关法规介绍,1994,年,中华人民共和国计算机信息系统安全保护条例,1999,年,计算机信息系统安全保护等级划分准则,2003,年中央办公厅、国务院办公厅转发,国家信息化领导 小组关于加强信息 安全保障工作的意见,2004,年四部委联合签发了,关于信息安全等级保护工作的实施意见,2007,年四部委联合签发了,信息安全等级保护管理办法,2007,年,12,月,20,日通过了,广东省计算机信息系统安全保护条例,2009,年,3,月,16,日由广东省公安厅、国保局等四单位联合印发了,广东省深化信息安全等级保护工作方案,，开始在全省范围内推动信息安全等级保护实施工作。,政策推动,2009,年,11,月,关于做好,2010,年广州亚运会信息网络安全保卫前期工作的通知,（粤等保办,200912,号）,2010,年,3,月,关于积极推进信息系统等级保护整改和测评工作的通知,（粤等保办,20101,号）,2010,年,4,月,关于开展,“,保平安、迎亚运,”,信息安全大检查的通知,（粤等保办,20102,号）,不做等级保护的影响,?,在,广东省信息安全等级保护备案工作实施细则,第十一条中，对拒不履行备案义务的单位或相关责任人员，公安机关将责令限期整改，如逾期仍不备案的，将予以警告，并向其上级主管部门通报。,在,2007,年颁布的,广东省计算机信息系统安全保护条例,第四十、四十二、四十三条中，对违反计算机信息系统安全保护规定的行为明确了相应的法律责任，对计算机信息系统运营使用单位或相关责任人员违反信息安全等级保护相关要求（如系统投入使用前未经符合国家规定的安全等级测评机构测评合格等），公安机关可处以警告、罚款、停机整顿等处罚 。,此外，在,中华人民共和国计算机信息系统安全保护条例,中还规定，违反相关要求的单位或相关责任人员如给国家、集体或者他人 财产造成损失的，还将依法承担民事责任。,等级保护制度的主要内容,根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；信息系统必须达到的基本的安全保护水平等因素，对信息和信息系统划分以下五个安全保护和监管等级：,第一级,信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。,信息系统运营、使用单位依照国家有关管理规范和技术标准进行保护。,第二级,信息系统受到破坏后，会对公民,、法人和其他组织的合法权益产生严重损害,或者对,社会秩序和公共利益造成损害，但不损害国家安全。,信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。,第三级,信息系统受到破坏后，会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。,信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。,第四级,信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。,信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。,第五级,信息系统受到破坏后,会对国家安全造成特别严重损害；,信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。,系统定级,业务信息,/,系统服务安全被破坏时所侵害的客体,对相应客体的侵害程度,一般损害,严重损害,特别严重损害,公民、法人和其他组织的合法权益,第一级,第二级,第二级,社会秩序、公共利益,第二级,第三级,第四级,国家安全,第三级,第四级,第五级,等级保护工作的职责分工,公安机关负责信息安全等级保护工作的监督、检查、指导。,国家保密工作部门负责等级保护工作中有关保密工作的监 督、检查、指导。,国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。,在信息安全等级保护工作中，涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。,国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。,等级保护工作的职责分工,信息和信息系统的建设、运行、维护、使用单位和个人，按照,“,谁主管、谁负责,”,的原则，在信息安全等级保护工作中承担具体的安全责任。,行业主管部门负责在本行业内贯彻落实信息安全等级保护工作，并对行业内信息系统运营、使用单位的落实情况进行管理。,等级保护十大核心标准,基础类,计算机信息系统安全保护,等级划分准则,GB 17859-1999,信息系统安全等级保护,实施指南,GB/T CCCC-CCCC,报批稿,应用类,定级：,信息系统安全保护,等级定级指南,GB/T 22240-2008,建设：,信息系统安全等级保护,基本要求,GB/T 22239-2008,信息系统通用安全技术要求,GB/T 20271-2006,信息系统等级保护安全设计技术要求,测评：,信息系统安全等级保护,测评要求, GB/T DDDD-DDDD,报批稿,信息系统安全等级保护测评过程指南,管理：,信息系统安全管理要求,GB/T 20269-2006,信息系统安全工程管理要求,GB/T 20282-2006,等级保护完全实施过程,信息系统定级,安全总体规划,安全设计与实施,安全运行维护,信息系统终止,安全等级测评,信息系统备案,安全整改设计,等级符合性检查,应急预案及演练,安全要求整改,安全等级整改,局部调整,等级变更,等级保护基本安全要求,某级系统,物理安全,技术要求,管理要求,基本要求,网络安全,主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,三、南方基地的等级保护服务,南方基地能做什么？,委托定级,帮助用户顺利完成定级事宜，包括确定目标等级、提交定级报告和自检表等相关定级材料。,等级保护差距测评,根据用户所定等级对用户信息系统进行等级保护评估实施工作，向用户提供差距测评报告、差距分析报告、整改方案等相关文档，并帮助用户顺利通过整改方案评审和备案。我们可以使用户了解自身的安全风险，了解与相应安全等级之间的差距，了解通过何种手段达到相应的安全等级要求。,整改实施,可根据整改方案的内容和用户的实际情况，从技术和管理两个方面帮助用户完成合规性整改，以满足相应安全等级的要求。,南方基地能做什么？,验收备案准备工作,积极配合并协助用户进行验收备案的有关准备工作，协助通过等级保护验收测评，提交系统备案表，并通过网监部门的验收备案。,安全运维,根据用户的要求，依照相应的安全等级为用户的安全系统提供整体运维服务，包括定期巡检、应急响应、安全事件处置、提交运维报告。针对安全等级为二级及以上的用户，协助其顺利通过相关部门的监督检查。,系统终止,当用户系统需要终止时，协助用户对数据、设备、存储介质进行处置，并提交相应的文档报告，并帮助用户顺利通过相关部门的检查和备案。,类型,主要内容,物理环境,位于中心机房和各处配线间，主要考察信息系统相关的防火、防水、防雷、防盗和不间断电源等保障物理安全的各种设施。,计算机网络,网络拓扑结构、城域网和互联网连接的路由器、交换机、防火墙或其他信息安全设备、各应用服务器和整体网络的数据流信息。,操作系统,检查所有网络设备、信息安全设备和服务器的操作系统的安全配置，对所有设备的,windows,、,Linux,和专业操作系统是否及时安装最新补丁进行针对性检查。,应用系统,所有业务系统和门户网站等重要信息系统。,数据库,对各种数据库进行安全检测。例如某业务系统中数据库是否安装最新补丁，管理帐户是否存在弱口令等进行检测，访问控制策略等。,防病毒及恶意软件,检查所有服务器的杀毒软件系统和单机防恶意软件系统。,灾难恢复策略：审核并检查数据备份及灾难恢复计划，了解是否进行应急演练，并提出改进建议 。,安全控制策略,边界访问控制的防火墙、入侵检测系统、网络防病毒系统、内网安全管理系统等设备的配置策略。负责安全政策的编制管理人员、办公人员的安全意识、各种安全管理规章制度等。,南方基地测评范围,。,南方基地测评内容,。,项目阶段名称,项目阶段工作内容,项目启动,在正式合同签订后的,2,个工作日内，召开项目启动会，成立测评团队，确定项目工作进度,安全需求分析,测评团队通过访谈、检查等方式完成对测评系统的初步调研，确定测评范围、测评方法、测评对象的安全技术和安全管理现状,制定工作计划,根据调研结果估算工作量，依此制定测评工作方案，并对项目实施成本和可能存在的风险的估算，提出注意事项,安全技术差距测评,针对定级系统的物理安全、网络安全、主机安全、应用安全、数据安全和备份恢复,5,个技术层面,通过访谈、检查、测试方式,进行现场测评和差距分析，记录相关的测评结果,安全管理差距测评,针对定级系统的安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理这,5,个管理层面进行现场测评和差距分析，记录相关的测评结果,系统整体差距测评,结合定级系统的安全现状和实际情况，对系统进行一个整体性的评测和风险评估，依照整体测评结果对需要加强和规避的技术和管理风险进行整理和分析。,测评报告撰写、评审、定稿,依照,等级保护现场测评记录表,中所记录的定级系统的技术和管理测评结果，结合系统整体差距测评结果及风险评估结果，按照公安部标准测评报告模板撰写测评报告，完成初稿后交由用户方和专家顾问小组进行评审，并最终定稿，交至省公安厅完成测评报告备案,整改方案设计、评审、定稿、备案,依照,等级保护测评报告,中的测评结论和整改建议及风险评估相关报告的结论，结合定级系统的实际情况，设计系统整改方案，并由我方与用户方就方案内容进行沟通和协商，并最终定稿，交至省公安厅完成整改方案备案,培训,进行等级保护理论、等级保护技术与管理要求培训,四、竞争战略,主要竞争对手,主要厂家为国内主要安全公司与测评机构。,产品为主的公司：蓝盾、启明、天融信、绿盟与东软等。,测评为主的机构：赛宝、华南测评中心、协会、本地备案的测评机构,SWOT,分析,1.,本土化服务,2.,国资委企业，形象良好,3.,专业信息安全，技术雄厚,4.,服务导向型，客观公正,5.,保证质量，责任追究,6.,不错的市场份额,优势,劣势,威胁,机会,SWOT,分析模型,1.,团队成员过于年轻,2.,经典案例客户不全面,3.,销售策略不够清晰,1.,借亚运东风，督促等保推进,2.,广佛同城，信息化需要同步,3.,信息安全形势严峻,1.,安全厂商持续关注等保,2.,本土老牌系统集成商介入,3.,经济衰退，不重视信息安全,五、广东出入境检验检疫局等保情况介绍,广东出入境检验检疫局定级情况,级别,系统名称,服务对象,三级,CIQ2000,综合业务管理系统,本系统工作人员,三级,广东局广域网,本系统工作人员,三级,广东局局域网,本系统工作人员,三级,电子监管系统,其他（企业,+,本系统人员）,二级,广东局政务网站,社会公众,二级,办公自动化,本系统工作人员,广东出入境检验检疫局定级情况,级别,系统名称,服务对象,二级,航行港澳小型船舶卫生监督网络系统,本系统工作人员,二级,进出口商品检验鉴定风险预警网络系统,本系统工作人员,二级,食品化妆品风险预警报告系统,本系统工作人员,二级,LRP2000,实验室管理系统,本系统工作人员,二级,评审中心应用系统,本系统工作人员,二级,邮件系统,本系统工作人员,广东出入境检验检疫局等保进度介绍,级别,系统名称,目前实施进展,三级,CIQ2000,综合业务管理系统,已测评应用、主机、存储,三级,广东局广域网,已测评部分,三级,广东局局域网,已检测部分,三级,电子监管系统,已测评应用、主机、存储,二级,广东局政务网站,已测评应用、主机、存储,二级,办公自动化,尚未测评,广东出入境检验检疫局等保进度情况,级别,系统名称,目前实施进展,三级,CIQ2000,综合业务管理系统,已测评应用、主机、存储,三级,广东局广域网,已测评部分,三级,广东局局域网,已检测部分,三级,电子监管系统,已测评应用、主机、存储,二级,广东局政务网站,已测评应用、主机、存储,二级,办公自动化,尚未测评,谢谢各位领导！,