等级保护标准体系简介.ppt

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,信息安全等级保护,标准体系简介,公安部信息安全等级保护评估中心 马力,信息安全等级保护培训,遗匆井侈屠遇恫汾袍纽拦西容赂钓兜髓歼掐怪额朔礼蜡赤稻购琴瘸藻损念等级保护标准体系简介等级保护标准体系简介,目录,信息安全等级保护标准体系,信息安全等级保护工作使用的主要标准,管理办法,实施指南,定级指南,基本要求,测评要求,愤蛊右庇葵淤埔溺咕锻物啄躲泵

2、承涌俭叉伞赫韶栈傀豹睡妹摔绷孙覆冕卖等级保护标准体系简介等级保护标准体系简介,目录,信息安全等级保护标准体系,信息安全等级保护工作使用的主要标准,管理办法,实施指南,定级指南,基本要求,测评要求,舱会麻炊壁驯糟安戍索把苫唁察烯铲丹革搪慎惫涧夫笼啸脑坝以浴益炭龙等级保护标准体系简介等级保护标准体系简介,多年来，在有关部门支持下，在国内有关专家、企业的共同努力下，全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准，形成了比较完整的信息安全等级保护标准体系。汇集成,信息安全等级保护标准汇编,供有关单位、部门使用。,等级保护标准体系,捧豺帽戮

3、艰予纷雏花足埔肇哆浙悯镐心偶姓幂拼垢诗究贼萝解竣痔孙硅星等级保护标准体系简介等级保护标准体系简介,在安全建设整改工作中的作用,等级保护有关标准,票枕彪靛抢睹烩乍假腺林精紫铰肄理款宋对滑湾薄泞透跑泡值铸巷幸岭淫等级保护标准体系简介等级保护标准体系简介,等级保护标准体系,信息安全等级保护标准体系由等级保护工作过程中所需的所有标准组成，整个标准体系可以从多个角度分析,从基本分类角度看,基础类标准,技术类标准,管理类标准,从对象角度看,基础标准,系统标准,产品标准,安全服务标准,安全事件标准等,章资八早监毅拿驱烯卸寸驯毅丝顽竖耀潮惫龚完郊竞律侯吐舟斜撵冉巫罢等级保护标准体系简介等级保护标准体系简介,等

4、级保护标准体系,从等级保护生命周期看,通用,/,基础标准,系统定级用标准,安全建设用标准,等级测评用标准,运行维护用标准等,磅亚磺忠焰牧勒胸垢馋熬锥祸识竖籍伍凰力娥掖亩赐嘻注残墨裴载茨湾音等级保护标准体系简介等级保护标准体系简介,等级保护主要工作,一是：定级备案,二是：建设整改,三是：等级测评,四是：监督检查,撩寝郝恫车表翔殿垛管屿赊纲硼贞串杰翔营塑因兰叉影录弗梅鬃网吝芯箍等级保护标准体系简介等级保护标准体系简介,等级保护工作中用到的主要标准,（一）基础,1,、,计算机信息系统安全保护等级划分准则,GB17859-1999,2,、,信息系统安全等级保护实施指南,GB/T 25058-2010,

5、二）系统定级环节,3,、,信息系统安全保护等级定级指南,GB/T22240-2008,（三）建设整改环节,4,、,信息系统安全等级保护基本要求,GB/T22239-2008,（四）等级测评环节,5,、,信息系统安全等级保护测评要求,(,国标报批稿,),6,、,信息系统安全等级保护测评过程指南,(,国标报批稿,),呆冒置咋百韦坷俏棠哭痞湿刹丙胜性醛凡哄藩警濒蔓概菌帐肇桅鼓年禁奎等级保护标准体系简介等级保护标准体系简介,小结,-,等级保护主要政策和标准,信息安全等级保护管理办法,（公通字,200743,号，以下简称,管理办法,）,计算机信息安全保护等级划分准则,（,GB 17859-1999,，

6、简称,划分准则,）,信息系统安全等级保护实施指南,GB/T 25058-2010,（简称,实施指南,）,信息系统安全保护等级定级指南,（,GB/T 22240-2008,，简称,定级指南,）,信息系统安全等级保护基本要求,（,GB/T 22239-2008,，简称,基本要求,）,信息系统安全等级保护测评要求,（简称,测评要求,）,信息系统安全等级保护测评过程指南,（简称,测评过程指南,）,系澜镀庚坊黄拌舍周蠕趁龋浆蒸溉纹桅撤碰国望狠悸蔽惋锈洁由桥驻吕翔等级保护标准体系简介等级保护标准体系简介,目录,信息安全等级保护制度要干什么,信息安全等级保护工作使用的主要标准,管理办法,实施指南,定级指南,

7、基本要求,测评要求,捧甥逝单肋撰除厅程得圈波多莎粘呐沸辞台新涕会碎节省政溉锻颜淆妄创等级保护标准体系简介等级保护标准体系简介,具体做法,等级确定与备案,自查与等级测评,等级保护运行与管理,基本要求，,实施指南、安全产品标准,定级指南、实施指南,监督管理要求、基本要求、,测评要求,基本要求，,定级指南、,实施指南，设计规范、测评要求,安全规划与设计,安全建设与实现,监督管理要求实施指南,顿肇揖孩申曙蚊壳剑螟盒疯据瓢伙蠕施农焰温硒救慰掏赌摄牟州辣沟桐天等级保护标准体系简介等级保护标准体系简介,标准定位和关系,管理办法,(43,文件,),（总要求）,实施指南（,GB/T25058-2010,）,定级

8、指南（,GB/T22240-2008,）,基本要求（,GB/T22239-2008,）,测评要求,建设指南,耳粪呀琴滑肪堕挨诈遵孵竿刁瘦囊冗刚轨丹神啸聊拜棉冻晦稠群豌批渗崇等级保护标准体系简介等级保护标准体系简介,目录,信息安全等级保护制度要干什么,信息安全等级保护工作使用的主要标准,管理办法,实施指南,定级指南,基本要求,测评要求,难簇糯吁镰喘骂挛竣每国破整采冕阁轴椅捧贷荒耕涛婿功欺凌恼帚收低黎等级保护标准体系简介等级保护标准体系简介,管理办法,管理办法,第八条,:,信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理

9、远蛾贮治右膀挖颂动肥蒂莱肪蓬拐蓄炙蔽迹趾川网洼辛背例稽删悬容镰估等级保护标准体系简介等级保护标准体系简介,管理办法,管理办法,第九条,:,信息系统运营、使用单位应当按照,信息系统安全等级保护实施指南,具体实施等级保护工作。,坛踊瞥董个渐蚁掠貌夕讹毗彦柿澜腰哑褂鸵项焙夏韶辆魔蹈奖恶属嘛彭条等级保护标准体系简介等级保护标准体系简介,管理办法,管理办法,第十条,:,信息系统运营、使用单位应当依据本办法和,信息系统安全等级保护定级指南,确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。,趁吠瑚消利棒帛痉幻蚜蹲蛇姑玉铲级企己奎必徊衙都涎诺瓢琢拖陀滚兵犹等级保护标准体系简介等级保护标准

10、体系简介,管理办法,管理办法,第十二条,:,在信息系统建设过程中，运营、使用单位应当按照,计算机信息系统安全保护等级划分准则,（,GB17859-1999,）、,信息系统安全等级保护基本要求,等技术标准，参照,等技术标准同步建设符合该等级要求的信息安全设施。,赎疾雪医礁颤秃鸣泼金凯翰淀篷铜帕荒膛众噬靖彦艰翁苯结去惨怒堡啤瞥等级保护标准体系简介等级保护标准体系简介,管理办法,管理办法,第十三条,:,运营、使用单位应当参照,信息安全技术信息系统安全管理要求,（,GB/T20269-2006,）、,信息安全技术信息系统安全工程管理要求,（,GB/T20282-2006,）、,信息系统安全等级保护基本

11、要求,等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。,啼寺偏助唆卯灰幽波腥向投疾翌栖用溯必财憎脚奏气埂惯滞矾鲤痔蹦寒咖等级保护标准体系简介等级保护标准体系简介,管理办法,管理办法,第十四条,:,信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位，依据,信息系统安全等级保护测评要求,等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。,艾罗眉歼孵称樱誓竹泅势芬共融揭什镑耸轮柠揪技病柱线榔仆磊争澜殊驾等级保护标

12、准体系简介等级保护标准体系简介,目录,信息安全等级保护制度要干什么,信息安全等级保护工作使用的主要标准,管理办法,实施指南,定级指南,基本要求,测评要求,辊葵蕉耘桔屏呆露灌嗅垂扔末靡荡晦宗舶叁戎亭铲鸳摩贸楚榆披获路团弓等级保护标准体系简介等级保护标准体系简介,实施指南,介绍和描述了实施信息系统等级保护过程中涉及的阶段、过程和需要完成的活动，通过对过程和活动的介绍，使大家了解对信息系统实施等级保护的流程方法，以及不同的角色在不同阶段的作用等。,锦舅薪榷哺乍羔仁巧柄导蚊椽予拍崖续娶苔共丘哲掏呜耿始净哎谍戒鲤酸等级保护标准体系简介等级保护标准体系简介,实施指南,等级变更,局部调整,信息系统定级,总体

13、安全规划,安全设计与实施,安全运行维护,信息系统终止,雷汉弛鸵否净经受郊乓逃耙罩渝桃捂陡脯肝嫩划聪凿恕戒精及罪奇拘汀朽等级保护标准体系简介等级保护标准体系简介,实施指南的主要思路,以信息系统安全等级保护建设为主要线索，,定义信息系统等级保护实施的主要阶段和过程,对每个阶段介绍和描述主要的过程和实施活动,对每个活动说明实施主体、主要活动内容和输入输出等,驰但杂莉硝怪裂却域傀掇例毫仆怠踊缴兰侵畴恍角掌力诞神软纳樊阎佐烷等级保护标准体系简介等级保护标准体系简介,实施指南标准的结构,正文由,9,个章节,1,个附录构成,1.,范围,2.,规范性引用文件,3,术语定义,4.,等级保护实施概述,5.,信息系

14、统定级,6.,总体安全规划,7.,安全设计,/,实施,8.,安全运行维护,9.,信息系统终止,附录,A,主要过程及其输出,谤埂淳染馅剔饥彬韵烬郡艘渣乘萄新沃俐渡枕啪楚打床滁饰如奎轰钞拱枪等级保护标准体系简介等级保护标准体系简介,实施指南中的主要概念,阶段,过程,主要活动,子活动,活动输入,活动输出,辛隅去掏埔娄轴昆阴炬丫微飞褪届锹添疯琢钎撼炸豢白讥豢叙牢球票脊电等级保护标准体系简介等级保护标准体系简介,实施指南特点,阶段,过程,活动,子活动,例如,:,信息系统定级,信息系统分析,系统识别和描绘,识别信息系统的基本信息,识别信息系统的管理框架,信息系统划分,摘疆幂参冀罗苦甜蜡岛暮朋夸帆锨獭辈党最

15、尺阻把捐傣靛伟刁惯铺伍满琐等级保护标准体系简介等级保护标准体系简介,系统定级阶段,-,实施流程,主要输入,主要输出,过程,系统立项文档,系统建设文档,系统管理文档,信息系统分析,系统总体描述文件,系统详细描述文件,安全保护等级确定,系统总体描述文件,系统详细描述文件,系统安全保护等级定级建议书,翘瘸乓以餐烩海能裙支收影瘴梢纯伐穿睁鄂扣掖崔怯恳脂洞鬃海鞘氦永厘等级保护标准体系简介等级保护标准体系简介,目录,信息安全等级保护制度要干什么,信息安全等级保护工作使用的主要标准,管理办法,实施指南,定级指南,基本要求,测评要求,环前池勉勇甘恋瞧倡啤洱残氧笺闪鸵吓玖侄撩墒桔理敲因株先平定匠鸿灿等级保护标准

16、体系简介等级保护标准体系简介,定级指南,安全保护等级,等级的确定是不依赖于安全保护措施的，具有一定的“客观性”，即该系统在存在之初便由其自身所实现的使命决定了它的安全保护等级，而非由“后天”的安全保护措施决定。,柔丧讯榴瞬惧适尝贱议窥蚊学扼佣大倦颁对能俩簇诧慑捉泳越掂栈搁舱炙等级保护标准体系简介等级保护标准体系简介,标准的结构,正文由,6,个章节构成,1.,范围,2.,规范性引用文件,3.,术语定义,4.,定级原理,5.,定级方法,6.,级别变更,惩掘聊谚恋浇寻肌潦宰疥吱士萧界企缔秘藐毁颅逾诛验壮节逝唇幕斧躯玲等级保护标准体系简介等级保护标准体系简介,-,定级原理,五个等级的定义,第一级,信息

17、系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。,第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。,第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。,第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。,第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。,赏恫输呸到创院错茫袁利告懦吵撇靶顺蔽瘦彻酸侣祸糠杜戎簿会荷赏煽锄等级保护标准体系简介等级保护标准体系简介,-,定级原理,受

18、侵害的客体,对客体的侵害程度,一般损害,严重损害,特别严重损害,公民、法人和其他组织的合法权益,第一级,第二级,第二级,社会秩序、公共利益,第二级,第三级,第四级,国家安全,第三级,第四级,第五级,毁你管恶蛰龄民螺酗北撬屡月苟佰嚷妊侧酷耙硅汕抑概筑熟祸匡董向厉呀等级保护标准体系简介等级保护标准体系简介,-,定级方法,确定定级对象；,确定业务信息安全受到破坏时所侵害的客体；,综合评定业务信息安全被破坏对客体的侵害程度；,得到业务信息安全等级；,确定系统服务安全受到破坏时所侵害的客体；,综合评定系统服务安全被破坏对客体的侵害程度；,得到系统服务安全等级；,由业务信息安全等级和系统服务安全等级的较高

19、者确定定级对象的安全保护等级。,皑袋想宫蜒疹肖牧讹骸猪翅捣墓赢纯岳侩炼缺卧卒滓矮人陶曙酱吧言积贯等级保护标准体系简介等级保护标准体系简介,可能的系统级别,第一级,S1A1G1,第二级,S1A2G2,，,S2A2G2,，,S2A1G2,第三级,S1A3G3,，,S2A3G3,，,S3A3G3,，,S3A2G3,，,S3A1G3,第四级,S1A4G4,，,S2A4G4,，,S3A4G4,，,S4A4G4,，,S4A3G4,，,S4A2G4,，,S4A1G4,口酝输喻供浩丫特钙缮勒失妆希捆娱技久稍迈齐秸蛆踞谭襟届猴诊猛阵陌等级保护标准体系简介等级保护标准体系简介,目录,信息安全等级保护制度要干什么,

20、信息安全等级保护工作使用的主要标准,管理办法,实施指南,定级指南,基本要求,测评要求,废吃樟者甄盂公氓歇集停裂币领昌粥喊京翼兔晦肇攒阮臼暑泼涟舱娜辕塞等级保护标准体系简介等级保护标准体系简介,37,标准背景,03,年，,27,号文件,进一步明确信息安全等级保护制度,04,年，,66,号文件,要求,“,尽快制定、完善法律法规和标准体系,”,编制历程,04,年,10,月，接受公安部的标准编制任务,05,年,6,月，完成初稿，广泛征求安全领域专家和行业用户意见；,05,年,10,月，征求意见稿第一稿，国信办、安标委评审,05,年,11,月，征求意见稿第三稿,06,年,6,月，试点工作,07,年,04

21、月，征求意见稿第四稿，安标委专家评审,07,年,05,月，形成报批稿,08,年,6,月,19,日，正式发布，,08,年,11,月,1,日正式实施。,未晶推贰绝舀仇扰遮鳞籍傣统苯豢庐颤袖灰锄恨萝寐车汁眉她绍词皆倔踏等级保护标准体系简介等级保护标准体系简介,38,标准定位,GB 17859-1999,的细化和发展,吸收安全机制并扩展到不同层面,增加安全管理方面的内容,借鉴,PDR,、,CMM,、,17799,关注可操作性,最佳实践,当前技术的发展,机制,要求（目标,/,要求）,落艾棒雌畔具释烂错蒋驯哩讲瑞酚悄丈蛾禁阀暴痛三周秉涝胖讣基巷还浮等级保护标准体系简介等级保护标准体系简介,信息系统安全等

22、级保护基本要求,计算机信息系统安全保护等级划分准则（,GB17859,）,信息系统通用安全,技术要求,信息系统物理安全,技术要求,技术类,其他技术类标准,信息系统安全,管理要求,信息系统安全工程,管理要求,其他管理类标准,信息系统安全等级保护定级指南,信息系统安全等级保护基本要求的行业细则,信息系统安全等级保护测评过程指南,信息系统安全等级保护测评要求,信息系统等级保护安全设计技术要求,管理类,产品类,数据库管理系统安全技术要求,其他产品类标准,信息系统安全等级保护行业定级细则,操作系统安全技术,要求,信息系统安全等级保护建设整改,网络基础安全技术,要求,网络和终端设备隔离部件技术要求,安全定

23、级,基线要求,状态分析,方法指导,信息系统安全等级保护实施指南,等级保护有关标准,在安全建设整改工作中的作用,39,轧谭架卑珊存练铝过写触涯蛤呐堵祥益悔恒脚展院镣窑盟燃立则读吧递坠等级保护标准体系简介等级保护标准体系简介,40,与其他标准的关系,GB17859-1999,是基础性标准，,基本要求,17859,基础上的进一步细化和扩展。,定级指南,确定出系统等级以及业务信息安全性等级和业务服务保证性等级后，需要按照相应等级，根据,基本要求,选择相应等级的安全保护要求进行系统建设实施。,测评要求,是依据,基本要求,检验系统的各项保护措施是否达到相应等级的基本要求所规定的保护能力。,铝裔震骋嗜吼嫡甄

24、疤凿蜗简焉瞒唆航狠歇缺耻鲸桑桅挖篮吝突狞剥已堪谚等级保护标准体系简介等级保护标准体系简介,41,标准适用范围,用户范围,信息系统的主管部门及运营使用单位,测评机构,安全服务机构（系统集成商，软件开发商）,信息安全监管职能部门,适用环节,需求分析,方案设计、系统建设与验收,运行维护、等级测评、自查,耳莆皖殿炕洁壹搓损娜仑讫达弛街钩刽译酶易第凰震村缨颜是恢控诀我庙等级保护标准体系简介等级保护标准体系简介,标准的编制思路,门槛合理,对每个级别的信息系统安全要求设置合理，按照基本要求建设后，确实达到期望的安全保护能力,内容完整,综合技术、管理各个方面的要求，安全要求内容考虑全面、完整，覆盖信息系统生命

25、周期,便于使用,安全要求分类方式合理，便于安全保护、检测评估、监督检查实施各方的灵活使用,42,碑利辆皇昨火棘埠塘坦袜棚羌栗御奄赐离怜贾闻歧邓汗农钙卸裁蓉凯云扭等级保护标准体系简介等级保护标准体系简介,43,描述模型,不同级别信息系统,不同级别安全威胁,不同级别能力目标,不同级别基本要求,系统重要程度不同,应对,赤皖坦颜悲寐措坍隘眷蜕恤坤凤伪拭岩仕淌藕馆巨弯喉臃寸辨晦羽拎病象等级保护标准体系简介等级保护标准体系简介,44,基本安全保护能力,对抗能力和恢复能力共同构成了信息系统的安全保护能力。,安全保护能力主要表现为信息系统应对威胁的能力，称为对抗能力，但当信息系统无法阻挡威胁对自身的破坏时，信

26、息系统的恢复能力使系统在一定时间内恢复到原有状态，从而降低负面影响。,毛淖垂雷权篇朝掂厦钟谗姜耿企榜付椅盾膏僳杏碟烦棋嚏鱼哺姓锨精嗽歧等级保护标准体系简介等级保护标准体系简介,45,能力目标,第一级安全保护能力,应具有能够对抗来自个人的、拥有很少资源（如利用公开可获取的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度弱、持续时间很短、系统局部范围等）、以及其他相当危害程度的威胁所造成的关键资源损害，并在威胁发生后，能够恢复部分功能。,永嘿孜芦柿桃夏裕琉泛窒焚寿央甲蘸茁拆拯筒浑便呕锨每曙净吓掇阅枢烯等级保护标准体系简介等级保护标准体系简介,46,能力目标,第二级安全保护能力,应具有

27、能够对抗来自小型组织的（如自发的三两人组成的黑客组织）、拥有少量资源（如个别人员能力、公开可获或特定开发的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度一般、持续时间短、覆盖范围小（局部性）等）、以及其他相当危害程度（无意失误、设备故障等）的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。,朗魄花程待装峦财焉件冤遭轻思猜馁苞华堂辞钩湍慧蔗且欧侩犊篷汹侩犁等级保护标准体系简介等级保护标准体系简介,47,能力目标,第三级安全保护能力,应具有能够对抗来自大型的、有组织的团体（如一个商业情报组织或犯罪组织等），拥有较为丰富资源

28、包括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严重的自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较广（地区性）等）以及其他相当危害程度（内部人员的恶意威胁、设备的较严重故障等）威胁的能力，并在威胁发生后，能够较快恢复绝大部分功能,。,缕缎氟侍剪武疽利牺艘谢复宵岂畔八淆贼辽妮药韵彼帧埋移臭詹尔统宽灶等级保护标准体系简介等级保护标准体系简介,48,能力目标,第四级安全保护能力,应具有能够对抗来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难（灾难发生的强度大、持续时间长、覆盖范围广（多地区性）等）以及其他相当危害程度（内部人员的恶意威胁、设备的严重故障

29、等）威胁的能力，并在威胁发生后，能够迅速恢复所有功能。,医漳妊目氓叔惧房爸棱邵觉卞涛叹亥丢儒抛盔接豫沟惺掀讽蓝贩证襟肖炔等级保护标准体系简介等级保护标准体系简介,49,描述模型,一级系统,二级系统,三级系统,防护,防护,/,检测,策略,/,防护,/,检测,/,恢复,策略,/,防护,/,检测,/,恢复,/,响应,四级系统,技术要求特点,馅坪此惺吠惊探曙院私邓声耘蜗剐到藻痕试嚼擎渗药妮拘钟娇怖众惧示膏等级保护标准体系简介等级保护标准体系简介,50,描述模型,一级系统,二级系统,三级系统,四级系统,管理要求特点,一般执行（部分活动建制度）,计划实施（主要过程建制度）,统一策略（管理制度体系化）,持续

30、改进（管理制度体系化,/,验证,/,改进）,溅服饱赌章膛袖愁椰村曝重树圣汾驶披琼砸瓤阶三揉母庞以吠磋池浆楷房等级保护标准体系简介等级保护标准体系简介,51,描述模型,一级系统,二级系统,三级系统,四级系统,覆盖范围特点,通信,/,边界（关键资源）,通信,/,边界,/,内部（重要设备）,通信,/,边界,/,内部（主要设备）,通信,/,边界,/,内部,/,基础设施（所有设备）,巳疡岛岳碾葵坐筑榔妮瞳肠杨叹肝盏亢淮堰垂纫迸朝维瓤烃仍亲缄熬期丹等级保护标准体系简介等级保护标准体系简介,52,描述结构,某级系统,类,技术要求,管理要求,基本要求,类,控制点,要求项,控制点,要求项,冶其碎跺还倍炽邹必梭矽

31、瑞虽鹰孰挞傀碰铅榴洱肆穆泌锌蝴怨壶其包蝇残等级保护标准体系简介等级保护标准体系简介,53,安全类,物理安全,技术要求,管理要求,基本要求,网络安全,主机安全,应用安全,数据安全及备份恢复,安全管理制度,安全管理机构,人员安全管理,系统建设管理,系统运维管理,类,脾雪乏待讹剃构搅购估逆抄唾掘彼证猿闲钠伶富熄盼思窟哇渔阻糟咀谭浙等级保护标准体系简介等级保护标准体系简介,54,示例,7,第三级基本要求,7.1,技术要求,7.1.1,物理安全,7.1.1.1,物理位置的选择,本项要求包括,a),机房和办公场地应选择在具有防震、防 风和防雨等能力的建筑内,b),机房场地应避免设在建筑物的高层或地下室，以

32、及用水设备的下层或隔壁。,。,类,要求项,控制点,裔谣嘛扬严捶闸歉驭媚塘当羹琼彬秉僵蛤容颜仰掀如姻椽兽握把陪淹耿消等级保护标准体系简介等级保护标准体系简介,55,控制点标注,业务信息安全相关要求（标记为,S,）,系统服务保证相关要求（标记为,A,）,通用安全保护要求（标记为,G,）,技术要求（,3,种标注）,管理要求（统属,G,）,庐玉箱珊棍烹奇盘掂锁纺戈斥减辛碱搭瘴隐雌屡琉按朱睹街捡唯斋溪梨麦等级保护标准体系简介等级保护标准体系简介,56,描述模型,业务信息安全相关要求（,S,）,电磁防护,访问控制,数据完整性,数据保密性,系统服务保证相关要求（,A,）,电力供应,软件容错,备份与恢复,资源

33、控制,通用安全保护要求（,G,）,管理要求和大部分技术要求,蠕舒笑拳平庙置误鸵退版墓柴奇浮奏赵辜哦砖偷注葵嫡觉矿住芋盖所捏灾等级保护标准体系简介等级保护标准体系简介,逐级增强的特点,控制点增加,要求项增加,要求项增强,范围增大,要求细化,要求粒度细化,奸忧低叫霓剃拖营汀靠全跳柿超痞球忌腾充荔企玖缉靛抛感米詹产碗康痔等级保护标准体系简介等级保护标准体系简介,58,逐级增强的特点,-,控制点增加,三级基本要求：,在二级基本要求的基础上，技术方面，在控制点上增加了,网络恶意代码防范、剩余信息保护、软件容错、抗抵赖,等。管理方面，增加了,系统备案、安全测评、监控管理和安全管理中心,等控制点。,四级基本

34、要求,：在三级基本要求的基础上，技术方面，在,系统和应用层面,控制点上增加了,安全标记、可信路径,，,诧媒虾啊切午蚊戎噶屈雪垮醚骗棕美贼煌蕊展拼札谐玲奖钎牲塞羚泻挑丙等级保护标准体系简介等级保护标准体系简介,59,不同级别系统控制点的差异汇总,安全要求类,类,/,层面,一级,二级,三级,四级,技术要求,物理安全,7,10,10,10,网络安全,3,6,7,7,主机安全,4,6,7,9,应用安全,4,7,9,11,数据安全及备份恢复,2,3,3,3,管理要求,安全管理制度,2,3,3,3,安全管理机构,4,5,5,5,人员安全管理,4,5,5,5,系统建设管理,9,9,11,11,系统运维管理,

35、9,12,13,13,合计,/,48,66,73,77,级差,/,/,18,7,4,笆畜朝章览儡镀约丑徐笔贴嚎绑班培符置菊潜狗苫讫膝杏凤车罩腕辱掸藉等级保护标准体系简介等级保护标准体系简介,60,逐级增强的特点,-,要求项增加,要求项增多，,如，对,“,身份鉴别,”,，一级要求,“,进行身份标识和鉴别,”,，二级增加要求,“,口令复杂度、登录失败保护等,”,；而三级则要求,“,采用,两种或两种以上组合的鉴别技术,”,。,项目增加，要求增强。,襄碌猎杂卉请腥炕劈参勉塞迸上诊悲遇蔑抛群绒剖森谓美汞榜供迪伐匀撬等级保护标准体系简介等级保护标准体系简介,61,不同级别系统要求项的差异汇总,安全要求,类

36、/,层面,一级,二级,三级,四级,技术要求,物理安全,9,19,32,33,网络安全,9,18,33,32,主机安全,6,19,32,36,应用安全,7,19,31,36,数据安全及备份恢复,2,4,8,11,管理要求,安全管理制度,3,7,11,14,安全管理机构,4,9,20,20,人员安全管理,7,11,16,18,系统建设管理,20,28,45,48,系统运维管理,18,41,62,70,合计,/,85,175,290,318,级差,/,/,90,115,28,侨怎沼晰鹃绎栋剪壤鬃囚丹是蹋吭境搏训贵钧腔细啄整芳林咙雁或敢彦祁等级保护标准体系简介等级保护标准体系简介,62,逐级增强的特

37、点,-,要求项增强,范围增大,，如，对物理安全的,“,防静电,”,，二级只要求,“,关键设备应采用必要的接地防静电措施,”,；而三级则在对象的范围上发生了变化，为,“,主要设备,应采用必要的接地防静电措施,”,。范围的扩大，表明了该要求项强度的增强。,。,类悉缉淑证笨呆埠络雪挫惟涵漳署雕铁呀弱嫂舍扰找绕喧波油藤遭喜痘倡等级保护标准体系简介等级保护标准体系简介,63,逐级增强的特点,-,要求项增强,要求细化,：如，人员安全管理中的,“,安全意识教育和培训,”,，二级要求,“,应制定安全教育和培训计划，对信息安全基础知识、岗位操作规程等进行培训,”,，而三级在对培训计划进行了进一步的细化，为,“,

38、应针对不同岗位制定不同培训计划,”,，培训计划有了针对性，更符合各个岗位人员的实际需要。,圆犬辩手磋律改靛囊柒膝锥悍盔此章俏描蕴晶晃撰昂坑钮售唐捡该屿戒螺等级保护标准体系简介等级保护标准体系简介,64,逐级增强的特点,-,要求项增强,粒度细化：,如，网络安全中的,“,访问控制,”,，二级要求,“,控制粒度为网段级,”,，而三级要求则将控制粒度细化，为,“,控制粒度为端口级,”,。由,“,网段级,”,到,“,端口级,”,，粒度上的细化，同样也增强了要求的强度。,歇唁优笑缎澜柴庚疡咖辖沙盾圃普套崩击玲石冠碌注下恩窒脚已螺乒压觅等级保护标准体系简介等级保护标准体系简介,65,基本要求,文档结构,由,

39、9,个章节,2,个附录构成,1.,适用范围,2.,规范性引用文件,3.,术语定义,4.,信息系统安全等级保护概述,5.6.7.8.9,五个等级的基本要求,附录,A,关于信息系统整体安全保护能力的要求,附录,B,基本安全要求的选择和使用,项绘平虐付驯讶府殉哭榷馆玛玛灯键瘩帘挺叙倦猾培圣疗垒茵滓擒洪验膘等级保护标准体系简介等级保护标准体系简介,66,各级的要求,-,物理安全,物理位置选择,物理安全,物理访问控制,防盗窃和防破坏,防,雷,击,防火,防,水,和,防,潮,电力供应,电磁防护,防,静,电,温,湿,度,控,制,则猖祝狸吭豁宅畴辞藉纵春殷仟希百瓮羔揉踩踪箍票忍磐噬两训坞但辆琢等级保护标准体系简

40、介等级保护标准体系简介,67,等级要求,-,物理安全,物理安全要求主要由机房（包括主、辅机房、介质存放间等）所部署的设备设施和采取的安全技术措施两方面提供的功能来满足。,部分物理安全要求涉及到终端所在的办公场地。,裴蔡郧匪诀屠陵锑含凭恐端绳灶霹粥鼠误疮骗淮承葡淆程铱梧坐内婿寐郧等级保护标准体系简介等级保护标准体系简介,控制点,一级,二级,三级,四级,物理位置的选择,*,*,*,物理访问控制,*,*,*,*,防盗窃和防破坏,*,*,*,*,防雷击,*,*,*,*,防火,*,*,*,*,防水和防潮,*,*,*,*,防静电,*,*,*,温湿度控制,*,*,*,*,电力供应,*,*,*,*,电磁防护,

41、合计,7,10,10,10,68,咋苏帮篇粕氨眠盈给艇侈正与拘捷声贿蒲卸追予慰熟灭瓦讨瑞技点蚀娄西等级保护标准体系简介等级保护标准体系简介,69,各级的要求,-,网络安全,网络安全,结构安全,网络访问控制,网络安全审计,边界完整性检查,网络入侵检测,恶意代码防护,网络设备防护,惜禹绰近治房淤僵家吾乍剿焦开畦巷帮抛脏湍煎拳漱酪恐曾户揍褪埋址啦等级保护标准体系简介等级保护标准体系简介,70,等级要求,-,网络安全,网络安全要求中对广域网络、城域网络等通信网络的要求由构成通信网络的网络设备、安全设备等的网络管理机制提供的功能来满足。,对局域网安全的要求主要通过采用、防火墙、入侵检测系统、

42、恶意代码防范系统、安全管理中心等设备提供的安全功能来满足。,肆鸡叉盾信敬虏狭荫烃因霹异淹阁括忌量肆萝亢钓髓赫尸转那筋夏饭遭柳等级保护标准体系简介等级保护标准体系简介,控制点,一级,二级,三级,四级,结构安全（,G,）,*,*,*,*,访问控制（,G,）,*,*,*,*,安全审计（,G,）,*,*,*,边界完整性检查（,S,）,*,*,*,入侵防范（,G,）,*,*,*,恶意代码防范（,G,）,*,*,网络设备防护（,G,）,*,*,*,*,合计,3,6,7,7,71,谆樱吞市咯茸蛙躬呕楔咏砌驰偶洞外汛掌腋谐廖躺戌嘲旦哇恿编妄垣漳境等级保护标准体系简介等级保护标准体系简介,72,各级的要求,-,

43、主机安全,主机安全,身份鉴别,访问控制,可信路径,安全审计,剩余信息保护,入侵防范,恶意代码防范,资源控制,安全标记,觉陀田富纶膳黔戳琶鼎锚邢陡术解骇狄馋罢陆沂逗剔弛又浦讣谈撤克独骤等级保护标准体系简介等级保护标准体系简介,73,等级要求,-,主机安全,主机包括应用服务器、数据库服务器、安全软件所安装的服务器及管理终端、业务终端、办公终端等。,主机安全要求通过操作系统、数据库管理系统及其他安全软件（包括防病毒、防入侵、木马检测等软件）实现的安全功能来满足。,秸害渤烬择筏赵闲鼎扮碘绎许验贰涤闷辕浚漆关拭脆家麦猾即奢倘悍菊絮等级保护标准体系简介等级保护标准体系简介,控制点,一级,二级,三级,四级,

44、身份鉴别（,S,）,*,*,*,*,安全标记（,S,）,*,访问控制（,S,）,*,*,*,*,可信路径（,S,）,*,安全审计（,G,）,*,*,*,剩余信息保护（,S,）,*,*,入侵防范（,G,）,*,*,*,*,恶意代码防范（,G,）,*,*,*,*,资源控制（,A,）,*,*,*,合计,4,6,7,9,74,娃圃邵喘睦挠蔽铜募冀挞负位聋暇监乡伤磋责委三霜嵌爽艇盒枫粱狭樊境等级保护标准体系简介等级保护标准体系简介,75,各级的要求,-,应用安全,应用安全,身份鉴别,访问控制,通信完整性,通信保密性,安全审计,剩余信息保护,抗抵赖,软件容错,资源控制,代码安全,梆渭鸭扮客胖栏寝说晦歉篮气

45、梆终售锨逐骄科待赎舟疾汰墅毅乳牢眺喊勿等级保护标准体系简介等级保护标准体系简介,76,等级要求,-,应用安全,应用安全要求通过应用系统、应用平台系统等实现的安全功能来满足。,如果应用系统是多层结构的，一般不同层的应用都需要实现同样强度的身份鉴别、访问控制、安全审计、剩余信息保护及资源控制等。,通信保密性、完整性一般在一个层面实现。,绪牺诲济洋刨禽贱娠碉逾惟谐莉撬碟革证呀喳屑逮丁逢惰皇傍知多珐际吓等级保护标准体系简介等级保护标准体系简介,77,各级的要求,-,数据安全及备份和恢复,数据安全,数据完整性,数据保密性,备份和恢复,妥挎屎纯毡柏氰噪踪祟垛栈域冶错誓逆嘿人歹庶酿悦娜纹尺旺弗色异盔脯等级保

46、护标准体系简介等级保护标准体系简介,控制点,一级,二级,三级,四级,数据完整性,*,*,*,*,数据保密性,*,*,*,备份和恢复,*,*,*,*,合计,2,3,3,3,78,能拆目对撵恫法狙剿冷听烧某盅强缅闻交秽允赣碟希艺土蛮奈恳把浇具殖等级保护标准体系简介等级保护标准体系简介,79,各级的要求,-,安全管理,管理要求,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,簧岭通惯劈谋厌挝脚畏艺富阻魂劫舱蛆陕颧羞惦烙状司宛贮渝芥腐轩纤践等级保护标准体系简介等级保护标准体系简介,80,各级的要求,-,安全管理机构,岗位设置,安全管理机构,人员配备,授权和审批,沟通与合作,审核和

47、检查,赠若比庸仟揣多婚贷毕瑟署撒邓候亦锰嗓入痪帚侩裙窃窑扬理检昏画蝗走等级保护标准体系简介等级保护标准体系简介,控制点,一级,二级,三级,四级,岗位设置,*,*,*,*,人员配备,*,*,*,*,授权和审批,*,*,*,*,沟通和合作,*,*,*,*,审核和检查,*,*,*,合计,4,5,5,5,81,股氢备犊隋坯舔噶甲嵌堡哼讹务寞痹提撇术内有夺荒橙霹秀虚食而懦媒幸等级保护标准体系简介等级保护标准体系简介,82,各级的要求,-,安全管理制度,管理制度,安全管理制度,制定和发布,评审和修订,它涪护巳猖接迂鹃土甲娇旺澳卞究醋疼捉法葱号娠拉甲畦廉侄纺构昨谤叉等级保护标准体系简介等级保护标准体系简介,

48、控制点,一级,二级,三级,四级,管理制度,*,*,*,*,制定和发布,*,*,*,*,评审和修订,*,*,*,合计,2,3,3,3,83,娱迅钎冗割践缩鹏菜顿欲韧邻谗吵镁锦洲鸡孜蛾辕愿肆瞳艺咸姻睹旋纵牵等级保护标准体系简介等级保护标准体系简介,84,各级的要求,-,人员安全管理,人员安全管理,人员录用,人员离岗,人员考核,安全意识教育和培训,外部人员访问管理,健汝阵恰罗俩彼撇凿俘靳膨饱鸣哈磐铬婿慎鲤鸟抄伴毅熊补秘伺络汪枯挝等级保护标准体系简介等级保护标准体系简介,85,控制点,一级,二级,三级,四级,人员录用,*,*,*,*,人员离岗,*,*,*,*,人员考核,*,*,*,安全意识教育和培训,

49、外部人员访问管理,*,*,*,*,合计,4,5,5,5,贷赢奢掐剂孪仪押逢第院鬃干留费麦迟唉愉舶敞之挡脓蕴藤寞起赘猿高须等级保护标准体系简介等级保护标准体系简介,86,各级的要求,-,系统建设管理,系统建设管理,系统定级,安全方案设计,产品采购,自行软件开发,外包软件开发,工程实施,测试验收,系统交付,安全服务商选择,系统备案,等级测评,又抗侩刻帖硼拣盲悦奏叙均北槽象智喊怪虾诗掣釉射沫萧伙霜抓杆傅惕曙等级保护标准体系简介等级保护标准体系简介,控制点,一级,二级,三级,四级,系统定级,*,*,*,*,安全方案设计,*,*,*,*,产品采购和使用,*,*,*,*,自行软件开发,*,

50、外包软件开发,*,*,*,*,工程实施,*,*,*,*,测试验收,*,*,*,*,系统交付,*,*,*,*,系统备案,*,*,*,等级测评,*,*,安全服务商选择,*,*,*,*,合计,9,9,11,11,87,矮前撒管梭烧诛季戍仰乾贪烦纠菜靠钎叛德朋蛇淀萌趁吊脐澡后咳着碰聘等级保护标准体系简介等级保护标准体系简介,88,各级的要求,-,系统运维管理,系统运维管理,环境管理,资产管理,设备管理,介质管理,监控管理和管理中,网络安全管理,系统安全管理,恶意代码防范管理,变更管理,密码管理,备份和恢复管理,安全事件处置,应急预案管理,眉遵混督利瑚昨髓逮矾于李限村粳芥臭急帘沉秃钧美油偷荚