XX政府等保建设规划方案
安全体系推广与落实 项目建设的安全管理 安全风险管理与控制 日常安全运行与维护
安全教育、培训与资质认证
内部与第三方人员安全管理
保 护 对 象 框 架
应用系统安全增强 统一身份认证与授权管理 统一鉴别认证平台 第三方统一安全接入平台 数据备份与冗灾 第三方统一安全接入平台 应用加密 设备安全配置与加固 终端管理和防病毒集中管理平台 防病毒、补丁和终端管理平台 终端管理和防病毒集中管理平台 安全域和网络访问控制
说明
如:协同办公、政府资源管理等
如:信息平台、机房、基础网络等
系统分级
序号
1 2 3 4
信息系统类别
网站 面向内部管理的信息系统 面向公众服务的信息系统 基础支撑系统 三级 三级 三级 三级
建议定级
第二步:评估并确定防护强度
等级差距评估/预测评 物理弱点评估 主机系统弱点评估 网络配置弱点评估 渗透测试 应用系统弱点评估 整合技术要求
XX政府等保建设规划方案ຫໍສະໝຸດ 启明星辰公司简介目录
基于等保的建设方案综述 XX政府安全建设子项分述 安全设备配置清单
启明星辰
【简介】
启明星辰公司成立于1996年,是由留美博士严望佳女士创建的拥有完全自主知识产权的网络
安全高科技企业。是国内最具实力的网络安全产品、可信安全管理平台、专业安全服务与解决方案 的综合提供商。
《关于开展信息安全等级保护安全建设整改工作的指导意见 ( 公信安
[2009]1429号)》
《关于开展全国重要信息系统安全等级保护定级工作的通知(公信安 [2007]861号)》
《信息安全等级保护管理办法(公通字[2007]43号)》
《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知
1
1 2 11 1 1 2 4 4 13 3 3 2
模式匹配
ddos 拓扑发现 P2P 风险评估 聚类 入侵检测 病毒检测 云计算 垃圾邮件 Web安全 漏洞扫描
标准制定
•参与了IDS、IPS、UTM、审计类 安全产品的国家标准制定 •参与了国家信息安全等级保护标 准制定 •受聘国家信息安全等级保护安全 建设指导专家委员会 •......
【企业愿景】
【愿景】
提供具有国际竞争力的自主创新的安全产品和最佳实践服务,帮助客户全面提升其IT基础
设施的安全性和生产效能,成为中国最具主导地位的企业级网络安全供应商,稳步迈入国际网
络安全领导企业行列。
接受两代领导人接见与首肯
江泽民、李岚清、曾庆红等 党和国家领导人亲切视察启明星辰公司
胡锦涛总书记亲切接见 启明星辰公司CEO严望佳博士
XX政府等级保护定级建议
原则上,政府行业信息安全保护等级不超三级,以下重要信息系统保护等级不低于 第三级:
(1)跨省全国联网运行的信息系统; (2)省级应用系统和数据中心; (3)内网的核心业务信息系统; (4)其他经过信息安全技术专家委员会评定为三级的系统。
系统分类
序号 1 2 3 4
信息系统类别 网站 面向内部管理的信息系统 面向公众服务的信息系统 基础支撑系统
5、确定系统服务安 全受到破坏时所侵 害的客体
公民、法人和其他组织 的合法权益
第一级
第二级
第二级
3、综合评定对客 体的侵害程度
6、综合评定对客 体的侵害程度
社会秩序、公共利益
第二级
第三级
第四级 4、业务信息安全 保护等级 7、系统服务安全 保护等级
国家安全
第三级
第四级
第五级
8、定级对象的安全 保护等级
计算环境域 边界接入域
网络基础设施域
支撑性设施域(网络管理和安全管理)
以ISO27001标准进行管理体系设计
以安全域为基础进行技术体系建设
第四步 进行实施整改
建 成 后 的 等 级 保 护 体 系
组织体系
安全组织设置和岗位职责
等级保护管理体系
策略体系
安全策略体系设计 安全策略与流程推广实施
运作体系
(发改高技[2008]2071号)》
《 信 息 安 全 等 级 保 护 备 案 实 施 细 则 ( 公 信 安 [2007]1360 号 ) 》
第一步
对相应客体的侵害程度 业务信息安全或系统服 务安全被破坏时受 侵害的客体 一般损害 严重损害
进行系统定级
1、确定定级对象
特别严重损 害
2、确定业务信息安 全受到破坏时所侵 害的客体
2007
2009
受邀加入微软MAPP 成立核心技术研究院
2010
2011
2012
技术研究能力领先
启明星辰公司专利
TM
15
3 2 8 5 1 27 3 12 2 10 3
LM DR HZAH
日志管理
漏洞攻击 网络攻击 恶意代码 垃圾邮件 木马 蠕虫 SQL注入 XSS 协议解析 异常流量 关联分析 爬虫
安 全 管 理 运 行 中 心
全程全网监控和审计平台 统一监控与审计管理
应用及数据安全
网络及主机安全
等级保护技术体系
第五步 进行等级测评
第三次测评 (监督性测评)
第一次测评 (现状测评)
第二次测评 (符合性测评)
合格 某级 信息系统 定级 基本保护 整改 测评
达到基本的 安全保护
测评
存在缺陷项
标准《定级指南》 GB/T 22240-2008 标准《基本要求》 GB/T 22239-2008
发现的CVE漏洞占亚洲2/3 国家漏洞库占60%以上
139项公开专利
超过同类厂商专利数总和
IDS、SOC、审计等产品 市场占有率第一
国家及行业标准制定
启明星辰公司简介
目录
基于等保的建设方案综述 XX政府安全建设子项分述 安全设备配置清单
公安部及省厅等保建设文件
《关于信息安全等级保护工作的实施意见(公通字[2004]66号)》
等级保护 技术要求
工具扫描评估
代码分析
数据弱点评估
分等级的 技术措施
等级保护 管理要求
组织体系安全评估 整合管理要求
调查问卷与人工访谈
业务流程安全评估 管理运维安全评估
分等级的 管理措施
第三步:规划设计方案
依据等级保护测评结果,结合现状 和需求,提出体系设计要求 根据体系设计要求,以ISO27001和安全域理论基础 制定安全整改方案,落实建设方案 安全整改实施
国内唯一
我们接受过两任国家最高领导人的亲切接见
专业的技术支撑团队
成立积极防御实验室ADLAB 建立博士后工作站
1999 2000
成立安全专家团服务高端客户
2002
建立以客户需求为导向的产品管理团队
2006
联合网络设备厂商涉足高端硬件 建立专业终端安全研究团队
扩大安全关注范围, 整合网域星云资源, 涉及应用安全 进一步扩充专业队伍