等级保护流程培训V1.0PPT.ppt

信息安全等级保护体系与东软网络安全产品介绍信息安全等级保护体系与东软网络安全产品介绍信息安全等级保护体系与东软网络安全产品介绍信息安全等级保护体系与东软网络安全产品介绍等级保护概述等级保护工作流程2目录目录等级保护安全防御设计思路34东软行业优势及建设案例等级保护与东软安全产品562016年商机前沿快报等级保护的概述国家信息安全等级保护制度由国家层面推动并要求遵照执行的信息安全要求。等级保护按照是否涉及国家秘密划分等级保护：适用于政府、央企等非涉密网络的信息安全政策、制度及标准体系。分级保护：适用于政府、军队、兵工厂等涉密网络的信息安全政策、制度及标准体系。是政府、央企信息安全建设的主要依据和主要推动力。国家信息安全制度等级保护的第一个法律文件国务院令中华人民共和国计算机信息系统安全保护条例（1994年2月18日国务院147号令）第九条：计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。该条明确了三个内容：一是确立了等级保护是计算机信息系统安全保护的一项制度；二是明确了公安部的牵头地位；三是提出了需要出台配套的规章和技术标准。等级保护安全等级定义文件计算机信息系统安全保护等级划分准则（1999颁发的GB 17859）第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。提出了等级保护在技术防护层面与安全管理层面的建设防护要求。中央文件中办200327号文件国家信息化领导小组关于加强信息安全保障工作的意见 “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。”中央27号文件的下达标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。同时明确了各级党委和政府在信息安全保障工作中的领导地位，以及“谁主管谁负责，谁运营谁负责”的信息安全保障责任制。国家四部委文件 20042004年年9 9月公安部会同国家保密局、国月公安部会同国家保密局、国家密码管理局和国务院信息办联合出台家密码管理局和国务院信息办联合出台了了关于信息安全等级保护工作的实施关于信息安全等级保护工作的实施意见（公通字意见（公通字200466200466号）号），明确了，明确了信息安全等级保护制度的原则和基本内信息安全等级保护制度的原则和基本内容，以及信息安全等级保护工作的职责容，以及信息安全等级保护工作的职责分工、工作实施的要求等。分工、工作实施的要求等。2007 2007年年6 6月公安部会同国家保密局、月公安部会同国家保密局、国家密码管理局和国务院信息办联合国家密码管理局和国务院信息办联合信息安全等级保护管理办法（公通信息安全等级保护管理办法（公通字字200743200743号），号），明确了信息安全等级明确了信息安全等级保护制度的基本内容、流程及工作要求，保护制度的基本内容、流程及工作要求，再进一步明确了信息系统运营使用单位再进一步明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级和主管部门、监管部门在信息安全等级保护工作中的职责、任务，为开展信息保护工作中的职责、任务，为开展信息安全等级保护工作提供了规范保障。安全等级保护工作提供了规范保障。等级保护发展历程1994年中华人民共和国计算机信息系统安全保护条例（国务院147号令）1999年计算机信息系统安全保护等级划分准则GB17859-19992003年国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)2004年关于信息安全等级保护工作的实施意见（公通字200466号）2007年信息安全等级保护管理办法（公通字200743号）2007年关于开展全国重要信息系统安全等级保护定级工作的通知（公信安2007861号）2007年信息安全等级保护备案实施细则（公信安20071360号）2008年公安机关信息安全等级保护监督检查工作规范（公信安2008736号）2009年关于开展信息安全等级保护安全建设整改工作的指导意见(公信安20091429号)等级保护各方职责国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。公安机关负责信息安全等级保护工作的监督、检查、指导。保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。国信办负责等级保护工作的部门间协调。其他涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。信息系统的运营、使用单位信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。国信办工信部信息安全协调司中网办信息安全协调局等级保护法律政策体系等级保护标准体系2等级保护工作流程等级保护基本框架等级保护建设四大原则等级保护建设等级保护建设同步建设原则同步建设原则重点保护原则重点保护原则自主保护原则自主保护原则动态调整原则动态调整原则等级保护与信息系统生命周期的关系等级保护实施过程新建信息系统生命周期已建信息系统等级保护实施过程启动设计开发实施运行维护终止系统定级安全规划设计安全实施安全运行管理（变更/应急响应/监督检查）终止终止系统定级安全规划设计安全实施安全运行管理等级保护实施过程系统定级、备案总体安全规划安全设计与实施安全运行与维护系统废弃局部调整重大变更等级保护工作流程总图等级保护过程及各阶段工作等级保护过程及各阶段工作安全运行管理阶段安全运行管理阶段 阶段性风险评估阶段性风险评估 持续性安全服务持续性安全服务应急响应应急响应系统业务安全域划分系统业务安全域划分安全实施安全实施/实现阶段实现阶段 安全规划设计阶段安全规划设计阶段 安全定级备案阶段安全定级备案阶段 自主定级自主定级等级保护差距评估等级保护差距评估 信息系统风险评估信息系统风险评估安全建设整体规划安全建设整体规划 安全基线设计安全基线设计安全技术体系等级实施改造安全技术体系等级实施改造安全岗位培训安全岗位培训等级测评等级测评安全管理体系等级实施改造安全管理体系等级实施改造 专家评审专家评审安全安全要求要求导出导出安全制度演练安全制度演练系统自查系统自查配合主管单位安全检查配合主管单位安全检查等级安全解决方案设计等级安全解决方案设计主管部门批准主管部门批准网监定级备案网监定级备案系统定级与备案安全定级备案阶段 系统定级与备案确认具有唯一的安全责任单位一般是使用或运营单位满足信息系统的基本要素单机和纯局域网不定级承载相对独立的业务应用含多个业务应用的综合系统尽量划分系统定级要素两个定级要素：等级保护对象受到破坏时客体受到侵害的程度。受侵害的客体：公民、法人和其他组织的合法权益；社会秩序、公共利益；国家安全。客体的侵害程度：一般损害；严重损害；特别严重损害。等级与侵害客体、侵害程度关系等级对象侵害客体侵害程度监管强度第一级一般系统公民、法人合法利益一般损害自主保护第二级公民、法人合法权益严重损害指导保护社会秩序和公共利益一般损害第三级重要系统社会秩序和公共利益严重损害监督保护国家安全一般损害第四级社会秩序和公共利益特别严重损害强制保护国家安全严重损害第五级极端重要系统国家安全特别严重损害专控保护系统定级矩阵图业务信息安全或系统服务安全被破坏时受侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级信息系统定级业务信息安全（S）业务信息安全是指：确保业务信息系统内信息的保密性、完整性和可用性等。通俗来讲，承载的信息非常重要。系统服务安全（A）系统服务安全是指：确保信息系统可以及时、有效地提供服务，以完成预定的业务目标。通俗来讲，承载的服务有效性和连续性非常重要。信息系统定级流程图3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体7、系统服务安全保护等级4、业务信息安全保护等级8、定级对象的安全保护等级1、确定定级对象SA信息系统定级安全保护等级业务信息安全等级和信息服务安全等级的组合第一级S1A1G1第二级S1A2G2，S2A2G2，S2A1G2第三级S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四级S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4第五级S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A5G5，S5A4G5，S5A3G5，S5A2G5，S5A1G5安全规划与实施安全规划与实施基本要求主要内容基本要求的组织方式基本要求要求项在各层面的分布安全要求类安全要求类层面层面一级一级二级二级三级三级四级四级技术要求技术要求物理安全物理安全9193233网络安全网络安全9183332主机安全主机安全6193236应用安全应用安全7193136数据安全及备份恢复数据安全及备份恢复24811管理要求管理要求安全管理制度安全管理制度371114安全管理机构安全管理机构492020人员安全管理人员安全管理7111618系统建设管理系统建设管理20284548系统运维管理系统运维管理18416270合计合计/85175290318级差级差/9011528基本技术要求控制点基本管理要求安全管理制度安全管理制度管理制度管理制度制度和发表制度和发表评审和修订评审和修订安全管理机构安全管理机构岗位设置岗位设置人员配备人员配备授权和审批授权和审批沟通和合作沟通和合作审核和检查审核和检查人员安全管理人员安全管理人员录用人员录用人员离岗人员离岗人员考核人员考核安全意识教育安全意识教育和培训和培训外部访问人员外部访问人员管理管理系统建设管理系统建设管理系统定级系统定级安全方案设计安全方案设计产品采购和使用产品采购和使用自行软件开发自行软件开发外包软件开发外包软件开发工程实践工程实践测试验收测试验收系统交付系统交付系统备案系统备案等级测评等级测评安全服务商选择安全服务商选择系统运维管理系统运维管理环境管理环境管理资产管理资产管理介质管理介质管理设备管理设备管理监控管理和安全监控管理和安全管理中心管理中心网络安全管理网络安全管理系统安全管理系统安全管理恶意代码防范管恶意代码防范管理理密码管理密码管理变更管理变更管理备份与恢复管理备份与恢复管理安全事件处置安全事件处置应急预案管理应急预案管理等级测评等级测评关于等级测评信息安全等级管理办法（公通字【2007】43号）第十四条规定：信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据信息系统安全等级保护测评要求等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。对测评机构的要求三级以上信息系统应当选择使用符合以下条件的等级保护测评机构在中华人民共和国境内注册成立（港澳台除外）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台除外）从事相关检测评估工作两年以上，无违法记录工作人员仅限于中国公民法人及其主要业务、技术人员无犯罪纪录使用的技术装备、设施应当符合本办法对信息安全产品的要求具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度对国家安全、社会秩序、公共利益不构成威胁公安部推荐的测评机构全国等级保护测评机构推荐目录查询：http:/ Zone）是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的IT要素集合，相同的安全域共享相同的安全策略。安全域划分区域边界安全设计访问控制要求逻辑隔离、物理隔离、安全强隔离入侵防范要求DDOS攻击、应用层攻击防恶意代码要求防病毒网关网络设备安全防护要求运维审计堡垒机安全审计要求通信网络安全设计数据传输完整性/机密性和通信网络可信接入保护安全准入控制、IPSEC VPN、SSL VPN、网络加密机安全审计安全管理中心集中审计管理计算环境安全设计主机安全商用操作系统（二级）、操作系统安全增强（三级）、安全操作系统（四级）终端安全管理系统应用安全WEB安全应用软件安全增强：中间件、数据库数据安全及备份恢复关键数据存储加密数据备份：本地备份、异地备份系统冗余设计安全管理中心设计系统管理系统运行监控、系统配置管理安全管理身份认证管理、风险管理、防病毒管理、补丁分发管理审计管理数据库审计、应用审计、网络审计、运维审计安全管理制度框架东软行业优势及建设案例4东软行业优势及近期等保部分案例上海曙光医院南阳市社保南阳市社保北京医院河北省人民医院劳动部部宁波云医院安徽省工商局安徽省工商局延安医疗集团医疗卫生行业重庆开县人民医院政府机关滁州市法院佛山市社保案例：医疗行业医院信息系统一般可分成两部分：一是满足管理要求的管理信息系统；二是满足临床医疗要求的临床信息系统。管理信息系统包括门诊挂号、门诊收费、住院登记、住院收费、设备管理、医务统计、辅助决策支持等系统。临床信息系统包括门诊医生工作站、病区医生工作站、病区护士工作站、合理用药系统、临床检验系统、医学影像系统、手术麻醉系统、重症监护系统等。业务分布图核心业务系统核心业务系统一般业务系统一般业务系统等保技术防护通信网络区域边界计算算环境境（主机）（主机）计算环境（主机）计算算环境境（终端端）计算算环境境（终端）端）通信网络区域边界区域边界网络审计系统VPN防火墙入侵防御系统防病毒网关WAF网页防篡改服务器加固安全补丁/防病毒网络审计系统防火墙入侵防御系统入侵检测系统入侵检测系统基于VLAN的ACL基于VLAN的ACL数据库审计系统防火墙服务器加固安全补丁/防病毒终端安全管理系统安全补丁/防病毒终端安全管理系统安全补丁/防病毒安全管理安全管理中心中心身份认证系统漏洞扫描系统运维审计堡垒机RAID磁带库/虚拟带库数据远程备份防病毒服务器补丁更新服务器SOC安全运维监控平台等级保护与东软安全产品5对应的安全产品等级保护建设方案技术要求管理要求物理安全网络安全主机安全应用安全数据安全访问控制安全审计边界完整性恶意代码防护身份鉴别访问控制可信路径入侵防范安全审计恶意代码防护入侵防范身份鉴别访问控制可信路径入侵防范安全审计FW/NISGESM/SOCFW/NISGNISG-IPSIDS/NISG-IPSNABHFW/NISGFW/NISGFW/IPS/IDSNABH/ESM/SOCNISG-IPSNIBHFW/NISGFW/NISGNISG-IPS/WAFESM/NABH资源控制与监控SOCFW:防火墙IDS:入侵检测系统NISG:下一代防火墙NABH:身份认证管控系统NISG-IPS:入侵防御系统ESM:网络审计系统WAF:WEB应用防火墙SOC:安全运维监控系统NIBC:上网行为管理DBA:数据库审计系统数据访问审计DBA.16年商机前沿快报616年等保商机教育行业1、2016年教育部拨款30亿为全国75所直属985高校建设等级保护，今年内须全部建设完成。2、普通高校等级保护项目；政府行业1、全国法院开展非涉密重要信息系统安全等级保护建设服务项目；系统名称：司法查控系统；2、检察院电子检务系统3、中央办公厅的直属机构省委机要局在大力开展安全可靠项目；4、财政电子支付平台（无纸化平台）安全建设项目，安全等级要达到三级；5、国税地税等保三级系统，东软在国税系统成功入围；6、国土资源局等级保护项目。谢谢各位！592024/11/1 周五