协助测评
类别 安全管理 机构
要求
岗位设置 人员配置 授权与审批 沟通和合作 审核与检查 制度制定与执行 制度制定与执行 制度制定与执行 制度制定与执行 制度制定与执行
项目可研、立项
系统定级
风险评估 差距分析
方案设计集成实施
解决方案
协助测评
类别 人员安全 管理
要求
人员录用 人员离岗 人员考核 安全意识教育与培训 外部人员访问管理 制度制定与执行 制度制定与执行 制度制定与执行 制度制定与执行 制度制定与执行
依照标准执行
依照标准执行
依照标准执行
项目可研、立项
类别 系统运维 管理
系统定级 要求
风险评估 差距分析
方案设计集成实施
解决方案
协助测评
环境管理 资产管理 介质管理 设备管理 监控管理和安全管理中心 网络安全管理 系统安全管理 恶意代码防范管理 密码管理 变更管理 备份与恢复管理 安全事件处置 应急预案管理
风险评估 差距分析
方案设计集成实施
协助测评
全面、广泛
项目可研、立项
系统定级
风险评估 差距分析
方案设计集成实施
协助测评
项目可研、立项
系统定级
风险评估 差距分析
方案设计集成实施
协助测评
物理环境
网络区域
人和组织
业务和使命
策略和流程
主机和系统
项目可研、立项 类别
物理安全
系统定级
风险评估 差距分析
方案设计集成实施
项目可研、立项
类别 要求
系统定级
风险评估 差距分析
方案设计集成实施
解决方案
协助测评
网络安全
结构安全
中心网络分为二个区域，分别用一、二两级防火墙进行隔 离，保证重要网段与其他网段之间进行可靠的隔离； 核心交换设备和接入设备采用双机冗余配置方式，同时互 联网出口链路、内部服务域、安全服务域、安全用户域等 主要安全域均采用双机冗余部署； 互联网出口处部署流量管理系统； 重要业务系统服务器部署服务器负载均衡系统； 部署防火墙，配置包括：端口级的控制粒度；常见应用层 协议命令过滤；会话控制；流量控制；连接数控制；防地 址欺骗等策略 在第一区域和第二区域交换机上分别旁路部署网络安全审 计系统 部署日志服务器进行审计记录的保存 互联网出口部署上网行为管理系统
差距分析
方案设计
集成实施
协助测评
工作成果：
信息系统定级报告
项目可研、立项
风险评估 方案设计 系统定级 差距分析
集成实施
协助测评
人工检查 管理专家参与 参与制定多种管理标准
检查项的数量超额满足要求 每月更新的检查列表 技术能力强的实施团队
工作成果：
黑白相结合的测试方法 安全漏洞挖掘专家的支持 定制工具能力强
依照标准执行 依照标准执行 依照标准执行
依照标准执行
依照标准执行
依照标准执行
应急预案与定期演练
项目可研、立项
系统定级
风险评估 差距分析
方案设计
集成实施 协助测评
等保项目集成实施阶段的主要工作：
1.缺少的信息安全设备的采购与实施； 2.业务系统的安全漏洞整改； 3.安全加固，包括：服务器、数据库、网络设备、中间件等； 4.信息安全管理制度整理； 5.测评申请书以及相关测评资料准备；
入侵防范
恶意代码防范 网络设备防护
项目可研、立项
类别 主机安全
系统定级 要求
风险评估 差距分析
方案设计集成实施
解决方案
协助测评
身份鉴别 访问控制 安全审计
安全加固配置 管理员进行分级权限控制，重要设定访问控制策略进 行访问控制 部署终端安全管理系统，进行主机审计 通过对操作系统及数据库系统进行安全加固配置，及 时清除剩余信息的存储空间 部署vsp虚拟安全桌面，实现虚拟桌面退出时及时清 除剩余信息
安鼎等保安全服务建设思路
等级保护整改和建设阶段
项目可研、立项 系统定级 风险评估 差距分析 方案设计 集成实施 协助测评
阶段名称
项目准备阶段 定级阶段 确定定级对象 定级报告编写
主要工作描述
成立项目工作组织 明确安全建设范围和思路 制定工作计划 摸底调查与分析 摸底调查与分析 定级汇报评审 定级备案
终端安全管理 系统
安全管理区域
终端安全审计、终端端口管理、 终端防火墙入侵防御等；
运维堡垒主机
安全管理区域
运维审计
典型案例：中纪委
典型案例：东湖开发区
初步调研内容：
1. 共有几个系统 2. 级别 3. 设备数量（服务器、网络设备、安全设备等） 4. 物理部署地点 5. 除测评外，咨询服务的具体内容 6. 其他要求
信息系统风险评估报告
评估手段
网络专家支持 丰富经验支持
网络架构 分析 安全访谈
漏洞扫描
先进的扫描工具 强大的漏洞分析能力
精心设计的问卷 访谈内容覆盖面宽 丰富的经验支持
项目可研、立项
风险评估 方案设计 系统定级 差距分析
集成实施
协助测评
工作成果：
信息系统差距分析报告
项目可研、立项
系统定级
项目立项，招标
系统定级
风险评估 差距分析
方案设计
集成实施
协助测评
• 项目的可行性研究（内部立项）
• 项目的初步设计，报发改委 （外部立项）
• 立项通过后，需要进行招标
• 整个项目建设的需要符合国家 发改委的55号令 • 安全建设达标的硬性指标为需 要通过等级保护的测评
项目可研、立项
系统定级 风险评估
数据安全-通信保密性
信息安全设备在项目中的部署
产品名称 防病毒系统 部署位置 安全管理区域 产品作用 满足政策要求 主机安全-恶意代码过滤
主机防病毒服务器，同时在终端 安装病毒软件
数据库审计系 统
安全管理区域
数据库访问的审计
主机安全-安全审计
漏洞扫描系统
安全管理区域
漏洞扫描
主机安全-入侵防范 主机安全-安全审计 主机安全-访问控制 主机安全-入侵防范 网络安全-非法外联 网路安全-网络设备防护
访问控制
安全审计
项目可研、立项
类别 网络安全
系统定级 要求
风险评估 差距分析
方案设计集成实施
解决方案
协助测评
边界完整性检查
部署终端安全管理系统，在进行非法外联和安全准入 检测的同时要进行有效阻断 区域和第二区域交换机上分别旁路部署IDS入侵检测 系统 互联网出口最外侧部署下一代防火墙 通过漏洞扫描进行主动防范 在互联网边界处部署下一代防火墙并开启AV模块 根据基本要求配置网络设备自身的身份鉴别与权限控 制；对网络设备进行安全加固。
项目可研、立项
系统定级
风险评估 差距分析
方案设计
协助测评 集成实施
如何协助客户进行测评？
1.帮客户联系测评中心，并建立良好的商务关系； 2.帮助客户整理所有测评相关的资料； 3.现场测评时，作为客户方的工程师直接应对测评中心的测评师；
整体解决方案
信息安全设备在项目中的部署
产品名称 防火墙 入侵防御 防病毒模块 部署位置 互联网出口 互联网出口 互联网出口 产品作用 隔离互联网和内部网络 防范网络入侵攻击 网络层恶意代码过滤 满足政策要求 网络安全-访问控制 网络安全-入侵防范 网络安全-恶意代码过滤
项目可研、立项
类别 系统建设 管理
系统定级 要求
风险评估 差距分析
方案设计集成实施
解决方案
协助测评
系统定级 安全方案设计 产品采购和使用 自行软件开发 外包软件开发 工程实施 测试验收 系统交付 系统备案 等级测评 安全服务商选择
依照标准执行 依照标准执行 依照标准执行 依照标准执行
数据安全 数据完整性
数据保密性 备份与恢复
项目可研、立项
协助测评
类别 安全管理 制定
要求
管理制度 制定与发布 评审与修订 制度制定 制度制定与执行 制度制定与执行
解决方案
项目可研、立项
系统定级
风险评估 差距分析
方案设计集成实施
解决方案
Web防火墙
隔离业务服务器区和其他区域，并 防范web层的网络攻击
网络安全-访问控制 网络安全-入侵防范 网络安全-资源控制 主机安全-资源控制 应用安全-资源控制
应用性能管理
安全管理区 网络设备、服务器、应用系统监控； 域 资源阈值告警和预警；
SSL VPN
安全管理区 域
远程用户接入的身份认证和加密
剩余信息保护
入侵防范
恶意代码防范 资源控制
部署终端安全管理系统进行补丁及时分发
部署终端防恶意代码软件
进行安全加固配置，进行资源监控、检测报警
项目可研、立项
类别 应用安全
系统定级 要求
风险评估 差距分析
方案设计集成实施
解决方案
协助测评
身份鉴别
根据要求进行身份认证模块的开发 采用PKI体系进行统一身份鉴别 采用SSL VPN进行统一身份鉴别
谢谢！
采用PKI体系中的完整性校验功能进行完整性检查，保 障通信完整性 应用系统自身开发数据加密功能； 采用VPN或PKI体系的加密功能保障通信保密性
项目可研、立项
系统定级
风险评估 差距分析
方案设计集成实施
协助测评
类别
要求
解决方案
配置存储系统 利用VPN保障传输数据完整性 配置应用系统 利用VPN实现传输保密性 本地备份与异地备份
访问控制
安全审计
通过安全加固措施制定严格用户权限策略，保证账号、 口令等符合安全策略 应用系统根据要求开发应用审计功能