信息系统等级保护.pptx

1、信息系统等级保护信息系统等级保护 综合篇综合篇内容概要信息安全与等级保护信息安全与等级保护什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容等级保护的建设流程等级保护各参与部门的角色定位 信息安全与等级保护密保（分保）密保（分保）分三级（绝密、机密、秘密）分三级（绝密、机密、秘密）涉密环境（网络、终端、应用系统及数据）的信息涉密环境（网络、终端、应用系统及数据）的信息安全安全等保等保 分五级分五级 非涉密环境（网络、终端、应用系统及数据）的信非涉密环境（网络、终端、应用系统及数据）的信息安全息安全信息安全的宏观范畴信息安全的宏观范畴内容概要信息安全与等级保护什么是等级保护什么是等级保

2、护等级保护的国家政策与标准规范等级保护的工作内容等级保护的建设流程等级保护各参与部门的角色定位 什么是等级保护信息系统等级保护的定义信息系统等级保护的定义 是是指指对对国国家家秘秘密密信信息息、法法人人和和其其他他组组织织及及公公民民的的专专有有信信息息以以及及公公开开信信息息和和存存储储、传传输输、处处理理这这些些信信息息的的信信息息系系统统分分等等级级实实行行安安全全保保护护，对对信信息息系系统统中中使使用用的的信信息息安安全全产产品品实实行行按按等等级级管管理理，对对信信息息系系统统中中发发生生的的信息安全事件信息安全事件分等级响应、处置分等级响应、处置。等级保护的等级划分准则根根据据信

3、信息息和和信信息息系系统统遭遭到到破破坏坏或或泄泄露露后后，对对国国家家安安全全、社社会会秩秩序序、公公共共利利益益及及公公民民、法法人人和和其他组织的合法权益其他组织的合法权益的的危害程度危害程度来进行定级。来进行定级。1、受侵害客体；、受侵害客体；2、受侵害程度；、受侵害程度；等级保护的等级划分准则等级保护涉及的几个基本概念主动主动主动主动用户、进程用户、进程用户、进程用户、进程主体主体主体主体被动被动被动被动文件、存储设备文件、存储设备文件、存储设备文件、存储设备客体客体客体客体访问：读、写、执行访问：读、写、执行权限权限权限权限安全策略安全策略安全审计安全审计强制访问控制强制访问控制第

4、一级第一级 用户自主保护级用户自主保护级第二级第二级 系统审计保护系统审计保护第三级第三级 安全标记保护安全标记保护第四级第四级 结构化保护结构化保护第五级第五级 访问验证保护访问验证保护用户自主控制资源访问用户自主控制资源访问访问行为需要被审计访问行为需要被审计通过标记实现强制访问控制通过标记实现强制访问控制可信计算基结构化可信计算基结构化所有的过程都需要验证所有的过程都需要验证等级保护的等级划分准则第一第一级 自主安全保自主安全保护第二第二级 审计安全保安全保护第三第三级 强制安全保强制安全保护第四第四级 结构构化保化保护第五第五级 访问验证保保护级自主访问控制自主访问控制 身份鉴别身份鉴

5、别 完整性保护完整性保护自主访问控制自主访问控制 身份鉴别身份鉴别 完整性保护完整性保护系统审计系统审计 客体重用客体重用自主访问控制自主访问控制 身份鉴别身份鉴别 完整性保护完整性保护系统审计系统审计 客体重用客体重用强制访问控制强制访问控制 标记标记自主访问控制自主访问控制 身份鉴别身份鉴别 完整性保护完整性保护系统审计系统审计 客体重用客体重用强制访问控制强制访问控制 标记标记自主访问控制自主访问控制 身份鉴别身份鉴别 完整性保护完整性保护系统审计系统审计 客体重用客体重用强制访问控制强制访问控制 标记标记隐蔽通道分析隐蔽通道分析 可信路径可信路径隐蔽通道分析隐蔽通道分析 可信路径可信路

6、径可信恢可信恢复复 等级保护的等级划分准则内容概要信息安全与等级保护什么是等级保护等级保护的国家政策与标准规范等级保护的国家政策与标准规范等级保护的工作内容等级保护的建设流程等级保护各参与部门的角色定位颁布时间颁布时间文件名称文件名称文号文号颁布机构颁布机构内容及意义内容及意义19941994年年2 2月月1818日日中华人民共和国中华人民共和国计算机信息系统安计算机信息系统安全保护条例全保护条例国务院国务院147147号令号令国务院国务院第一次第一次提出信息系统要实行提出信息系统要实行等级保护，并确定了等级保等级保护，并确定了等级保护的职责单位。护的职责单位。20032003年年9 9月月7

7、 7日日国家信息化领导国家信息化领导小组关于加强信息小组关于加强信息安全保障工作的意安全保障工作的意见见中办国办发中办国办发200327200327号号中共中央办公厅中共中央办公厅国务院办公厅国务院办公厅等级保护工作的开展必须分等级保护工作的开展必须分步骤、分阶段、有计划的实步骤、分阶段、有计划的实施。明确了信息安全等级保施。明确了信息安全等级保护制度的护制度的基本内容基本内容。20042004年年9 9月月1515日日关于信息安全等关于信息安全等级保护工作的实施级保护工作的实施意见意见公通字公通字200466200466号号公安部公安部国家保密局国家保密局国家密码管理委国家密码管理委员会办公

8、室员会办公室（国家密码管理（国家密码管理局）局）国务院信息化工国务院信息化工作办公室作办公室将等级保护从计算机信息系将等级保护从计算机信息系统安全保护的一项制度提升统安全保护的一项制度提升到国家信息安全保障的一项到国家信息安全保障的一项基本制度基本制度。20072007年年6 6月月2222日日信息安全等级保信息安全等级保护管理办法护管理办法公通字公通字200743200743号号明确了信息安全等级保护制明确了信息安全等级保护制度的度的基本内容、流程及工作基本内容、流程及工作要求要求，明确了信息系统运营，明确了信息系统运营使用单位和主管部门、监管使用单位和主管部门、监管部门在信息安全等级保护工

9、部门在信息安全等级保护工作中的作中的职责、任务职责、任务。20072007年年7 7月月1616日日关于开展全国重关于开展全国重要信息系统安全等要信息系统安全等级保护定级工作的级保护定级工作的通知通知公信安公信安20078612007861号号就就定级范围、定级工作主要定级范围、定级工作主要内容、定级工作要求内容、定级工作要求等事项等事项进行了通知。进行了通知。等级保护的国家政策等级保护的技术标准规范GB17859-1999 计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则信息系统安全等级保护定级指南信息系统安全等级保护定级指南GB/T20269-2006 信息系统安全管理

10、要求信息系统安全管理要求GB/T20282-2006 信息安全技术信息安全技术 信息系统安全工程管理要求信息系统安全工程管理要求GB/T 20270-2006信息安全技术信息安全技术 网络基础安全技术要求网络基础安全技术要求GB/T 20271-2006信息安全技术信息安全技术 信息系统通用安全技术要求信息系统通用安全技术要求GB/T 20272-2006信息安全技术信息安全技术 操作系统安全技术要求操作系统安全技术要求GB/T 20273-2006信息安全技术信息安全技术 数据库管理系统通用安全技术要求数据库管理系统通用安全技术要求GB/T22239-2008信息安全技术信息安全技术 信息系

11、统安全等级保护基本要求信息系统安全等级保护基本要求信息安全技术信息安全技术 信息系统等级保护安全设计技术要求信息系统等级保护安全设计技术要求(已送批已送批)信息系统安全等级保护实施指南信息系统安全等级保护实施指南GB/T20009-2005信息安全技术信息安全技术 操作系统安全评估准则操作系统安全评估准则国国家家已已出出台台7070多多个个国国标标、行行标标以以及及报报批批标标准准，从从基基础础、设设计计、实施、管理、制度实施、管理、制度等各个方面对等保系统提出了要求和建议。等各个方面对等保系统提出了要求和建议。计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则（GB 178

12、59-1999GB 17859-1999）信息安全技术信息安全技术 信息系统通用安全技术要求信息系统通用安全技术要求 （GBGB/T 2027T 20271 1-2006-2006）信息安全技术信息安全技术 操作系统安全技术要求操作系统安全技术要求 （GB/T 20272-2006GB/T 20272-2006）信息安全技术信息安全技术 信息系统安全等级保护基本要求信息系统安全等级保护基本要求（GB/T 22239-2008GB/T 22239-2008）信息安全技术信息安全技术 信息系统等级保护安全设计技术要求信息系统等级保护安全设计技术要求 面向评估者技术标准：面向评估者技术标准：面向建设

13、者技术标准：面向建设者技术标准：等级保护的技术标准规范信息安全技术信息安全技术 信息系统安全工程管理要求信息系统安全工程管理要求（GB/T 20282-2006GB/T 20282-2006）信息系统安全管理体系标准信息系统安全管理体系标准（ISO/IEC 27001ISO/IEC 27001）信息安全技术信息安全技术 信息系统安全等级保护实施指南信息系统安全等级保护实施指南（GB/T xxxxx-2007GB/T xxxxx-2007）管理类标准：管理类标准：等保方案类标准：等保方案类标准：系统定级类标准：系统定级类标准：信息安全技术信息安全技术 信息系统安全保护等级定级指南信息系统安全保护

14、等级定级指南（GB/T 22240-2008GB/T 22240-2008）等级保护的技术标准规范信息系统安全等级保护基本要求信息系统安全等级保护基本要求(GB/T 22239-2008)(GB/T 22239-2008)信息系统等级保护安全设计技术要求信息系统等级保护安全设计技术要求（已审批）（已审批）计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则（GB 17859-1999GB 17859-1999）最早提出的基础性、强制性标准；最早提出的基础性、强制性标准；最早提出的基础性、强制性标准；最早提出的基础性、强制性标准；粒度较粗，是一个指导性标准；粒度较粗，是一个指导性

15、标准；粒度较粗，是一个指导性标准；粒度较粗，是一个指导性标准；公安部作为等保系统建设、评测的重要依据公安部作为等保系统建设、评测的重要依据公安部作为等保系统建设、评测的重要依据公安部作为等保系统建设、评测的重要依据等保系统设计时的主要依据：等保系统设计时的主要依据：等保系统设计时的主要依据：等保系统设计时的主要依据：一个中心三重防御一个中心三重防御一个中心三重防御一个中心三重防御国家已出台国家已出台约约70余个标准，重点需要了解的有：余个标准，重点需要了解的有：等级保护的技术标准规范内容概要信息安全与等级保护什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容等级保护的工作内容等级保护

16、的建设流程等级保护各参与部门的角色定位 等级保护的建设目标某级信息系统技术要求管理要求基本要求建立安全技术体系建立安全管理体系具有某级安全保护能力的系统 等级保护的建设要求物物理理安安全全技术要求管理要求基本要求网网络安安全全主主机机安安全全应用用安安全全数数据据安安全全安安全全管管理理机机构构安安全全管管理理制制度度人人员安安全全管管理理系系统建建设管管理理系系统运运维管管理理 等级保护的建设要求环境安全环境安全防其他自然灾害防其他自然灾害机房与设施安全机房与设施安全环境与人员安全环境与人员安全设备安全设备安全防止电磁泄露发射防止电磁泄露发射防盗与防毁防盗与防毁防电磁干扰防电磁干扰介质安全介

17、质安全介质的管理介质的管理介质的分类介质的分类介质的防护介质的防护物理安全物理安全 等级保护的建设要求 网络安全网络安全1.1.网络结构安全网络结构安全2.2.网络访问控制网络访问控制3.3.网络安全审计网络安全审计4.4.边界完整性检查边界完整性检查5.5.网络入侵防范网络入侵防范6.6.恶意代码防护恶意代码防护7.7.网络防护设备网络防护设备 主机安全主机安全1.1.身份鉴别身份鉴别2.2.强制访问控制强制访问控制3.3.系统安全审计系统安全审计4.4.剩余信息保护剩余信息保护5.5.入侵防范入侵防范6.6.恶意代码防范恶意代码防范7.7.资源控制资源控制 应用安全应用安全 1.1.身份认

18、证身份认证 2.2.安全审计安全审计 3.3.剩余信息保护剩余信息保护 4.4.通信完整性和机密性保护通信完整性和机密性保护 数据安全数据安全1.1.数据机密性保护数据机密性保护 2.2.数据完整性保护数据完整性保护 5.5.控制软件容错；控制软件容错；6.6.严格的访问；严格的访问；7.7.自动保护功能；自动保护功能；8.8.资源控制；资源控制；等级保护的建设模式满足政策要求满足政策要求满足标准要求满足标准要求满足用户自身要求满足用户自身要求安全现状安全现状差异性分析差异性分析基本要求基本要求需求需求物理物理物理物理安全安全安全安全网络网络网络网络安全安全安全安全主机主机主机主机安全安全安全

19、安全应用应用应用应用安全安全安全安全数据安数据安数据安数据安全与备全与备全与备全与备份恢复份恢复份恢复份恢复 等级保护的体系架构其它定级系统其它定级系统其它定级系统其它定级系统安全接入安全接入安全接入安全接入/隔离设备隔离设备隔离设备隔离设备计算环境计算环境计算环境计算环境区域边界区域边界区域边界区域边界通信网络通信网络通信网络通信网络网站网站网站网站/应用服务器应用服务器应用服务器应用服务器交换设备交换设备交换设备交换设备用户用户用户用户终端终端终端终端安全管理中心安全管理中心安全管理中心安全管理中心通信网络通信网络区域边界区域边界计算环境计算环境安全管理安全管理中心中心构构筑筑由由安安全全

20、管管理理中中心心统统一一管管理理下下的的计计算算环环境境、区域边界、通信网络区域边界、通信网络三重防御体系。三重防御体系。安全区域边界安全区域边界可信计算环境可信计算环境可信计算环境可信计算环境安全管理中心安全管理中心安全管理中心安全管理中心安全通信网络安全通信网络 等级保护的技术实现依据内容概要信息安全与等级保护什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容等级保护的建设流程等级保护的建设流程等级保护各参与部门的角色定位 等级保护的建设流程达标等保体系达标等保体系安全措施安全措施业务应用业务应用信息网络信息网络已运营系统已运营系统业务应用业务应用安全措施安全措施新建系统新建系统

21、等保整改等保整改 等保建设等保建设 等级保护整改建设流程1.1.信息系统定级信息系统定级2.2.等保建设立项等保建设立项3.3.信息安全威胁分析信息安全威胁分析4.4.等保方案设计等保方案设计5.5.安全体系部署安全体系部署6.6.等保体系测评等保体系测评7.7.等保整改建设完成等保整改建设完成定级工作定级工作定级工作定级工作08080808年已基本完成年已基本完成年已基本完成年已基本完成专业机构专业机构专业机构专业机构 整改意见整改意见整改意见整改意见总设总设总设总设 详设详设详设详设 专家论证专家论证专家论证专家论证项目实施项目实施项目实施项目实施 内部验收内部验收内部验收内部验收专业机构

22、专业机构专业机构专业机构 测评报告测评报告测评报告测评报告未通过未通过 2007年年开开始始，我我国国在在全全国国范范围围展展开开了了信信息息系系统统等等级级保保护护的定级工作，并在公安部进行了相关的备案。的定级工作，并在公安部进行了相关的备案。定级依据：定级依据：信息系统安全保护等级信息系统安全保护等级定级指南定级指南（国家）（国家）XX行业行业信息系统安全保护等级信息系统安全保护等级定级指南定级指南 流程一：信息系统定级谁谁主主管管、运运营营谁谁定定级级；拟拟确确定定为为四四级级以以上上的的信信息息系系统统需需请请国家信息安全保护等级专家评审委员会国家信息安全保护等级专家评审委员会评审；评

23、审；信息系统定级情况要在信息系统定级情况要在公安部门公安部门报备；报备；根根据据信信息息和和信信息息系系统统遭遭到到破破坏坏或或泄泄露露后后，对对国国家家安安全全、社社会会秩秩序序、公公共共利利益益及及公公民民、法法人人和和其他组织的合法权益其他组织的合法权益的的危害程度危害程度来进行定级。来进行定级。受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级1.受侵害客体；受侵害客体；2.受侵害程度；受侵害程度；流程一：信息系统定级 信信息息系系统统等等级级保保护护建建设设，经经过过信

24、信息息系系统统的的运运营营、管管理理部部门门以以及及有有关关政政府府部部门门的的批批准准，并并列列入入信信息息系系统统运运营营单单位位或或政政府计划的过程。府计划的过程。一项一项基本国策基本国策，一项，一项基本制度基本制度，具有，具有政策的强制性政策的强制性 流程二：等保建设立项是办公电子化、业务信息化发展必需的保障手段是办公电子化、业务信息化发展必需的保障手段用户业务开展的实际需求用户业务开展的实际需求需请需请相应级别相应级别、具有资质具有资质的测评中心进行风险评估；的测评中心进行风险评估；流程三：风险评估 风风险险评评估估是是对对信信息息资资产产面面临临的的威威胁胁、存存在在的的弱弱点点、

25、造造成成的的影影响响，以以及及三三者者综综合合作作用用而而带带来来风风险险的的可可能能性性的的评估。风险评估是确定信息安全需求的一个重要途径。评估。风险评估是确定信息安全需求的一个重要途径。风险评估完成后出具风险评估完成后出具评估报告评估报告和和整改意见整改意见；1 1整改意见整改意见需求分析需求分析2 2总体设计总体设计详细设计详细设计3 3应急方案应急方案灾备方案灾备方案5 5方案与产品方案与产品安全性论证安全性论证6 6项目预算项目预算7 7项目实施项目实施方案设计方案设计4 4产品选型产品选型技术指标技术指标信息系统等保体系信息系统等保体系建设目标建设目标 流程四：等保方案设计思路重视

26、安全重视安全 技管兼行技管兼行遵循政策遵循政策 符合标准符合标准需求主导需求主导 突出重点突出重点整体规划整体规划 分步实施分步实施 流程四：等保方案设计原则全局管理全局管理 统一标准统一标准适度安全适度安全 减少影响减少影响满足政策要求满足政策要求满足标准要求满足标准要求满足用户自身要求满足用户自身要求安全现状安全现状差异性分析差异性分析基本要求基本要求需求需求 流程四：需求分析方法物理物理物理物理安全安全安全安全网络网络网络网络安全安全安全安全主机主机主机主机安全安全安全安全应用应用应用应用安全安全安全安全数据安数据安数据安数据安全与备全与备全与备全与备份恢复份恢复份恢复份恢复安全现状与安

27、全现状与基本要求基本要求的差异分析对照的差异分析对照标准要求是否满足相应措施物理安全网络安全主机安全应用安全数据安全 流程四：需求分析方法等级保护建设方案章节：等级保护建设方案章节：二、安全需求分析二、安全需求分析一、项目背景一、项目背景 流程四：设计方案章节四、等保技术体系设计四、等保技术体系设计三、方案总体设计三、方案总体设计六、等保管理安全设计六、等保管理安全设计五、等保物理安全设计五、等保物理安全设计八、产品选型与技术指标八、产品选型与技术指标七、应急与灾备设计七、应急与灾备设计九、方案与产品安全性论证九、方案与产品安全性论证十一、实施方案设计十一、实施方案设计十、项目预算十、项目预算

28、需求背景需求背景需求背景需求背景政策依据政策依据政策依据政策依据以以以以基基基基本本本本要要要要求求求求中中中中“网网网网络络络络、主主主主机机机机、应应应应用用用用、数数数数据据据据”部部部部分分分分要要要要求求求求为为为为目目目目标标标标，以以以以设设设设计要求计要求计要求计要求为方法为方法为方法为方法以以以以基基基基本本本本要要要要求求求求中中中中物物物物理理理理安安安安全全全全部分为依据部分为依据部分为依据部分为依据以以以以基基基基本本本本要要要要求求求求中中中中管管管管理理理理安安安安全全全全部分为依据部分为依据部分为依据部分为依据经经过过信信息息安安全全等等级级保保护护专专家家论论

29、证证通过通过其它定级系统其它定级系统其它定级系统其它定级系统安全接入安全接入安全接入安全接入/隔离设备隔离设备隔离设备隔离设备计算环境计算环境计算环境计算环境区域边界区域边界区域边界区域边界通信网络通信网络通信网络通信网络网站网站网站网站/应用服务器应用服务器应用服务器应用服务器交换设备交换设备交换设备交换设备用户用户用户用户终端终端终端终端安全管理中心安全管理中心安全管理中心安全管理中心通信网络通信网络区域边界区域边界计算环境计算环境安全管理安全管理中心中心 流程四：等保体系整体架构 流程五：等保体系部署统一规划，分步实施统一规划，分步实施规范管理，责任落实规范管理，责任落实确保安全，影响最

30、小确保安全，影响最小专家论证，内部验收专家论证，内部验收计算计算环境环境区域边界区域边界通信网络通信网络等保体系达标等保体系达标需请需请相应级别、具有资质相应级别、具有资质的测评中心进行等保测评；的测评中心进行等保测评；流程六：等保体系测评 以以相相应应的的政政策策、标标准准为为基基准准，对对等等保保体体系系进进行行风风险险评评测测，从从面面临临的的威威胁胁、存存在在的的弱弱点点、造造成成的的影影响响，以以及及三者综合作用角度，分析信息系统的等保体系是否达标。三者综合作用角度，分析信息系统的等保体系是否达标。等保测评完成后出具等保测评完成后出具测评报告测评报告和和整改意见整改意见；等保体系测评

31、等保体系测评信息等保整改信息等保整改通过通过未通过未通过构构筑筑由由安安全全管管理理中中心心统统一一管管理理下下的的计计算算环环境境、区域边界、通信网络区域边界、通信网络三重防御体系。三重防御体系。安全区域边界安全区域边界安全计算环境安全计算环境安全计算环境安全计算环境安全管理中心安全管理中心安全管理中心安全管理中心安全通信网络安全通信网络 流程七：等保体系整改建设完成内容概要信息安全与等级保护什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容等级保护的建设流程等级保护各参与部门的角色定位等级保护各参与部门的角色定位等级保护各参与部门的角色定位信息安全等级保护管理办法信息安全等级保护

32、管理办法 公公安安机机关关负负责责信信息息安安全全等等级级保保护护工工作作的的监监督督、检检查查、指指导导 公安部及地方公安部门、网监部门公安部及地方公安部门、网监部门国国家家保保密密工工作作部部门门负负责责等等级级保保护护工工作作中中有有关关保保密密工工作作的的监督、检查、指导监督、检查、指导 国家保密局及地方保密局国家保密局及地方保密局国国家家密密码码管管理理部部门门负负责责等等级级保保护护工工作作中中有有关关密密码码工工作作的的监督、检查、指导监督、检查、指导 国密办及地方密码管理局国密办及地方密码管理局/办办国国务务院院信信息息化化领领导导小小组组负负责责等等级级保保护护工工作作的的部部门门间间协协调调 国信办、工信部及地方信息办国信办、工信部及地方信息办等等级级保保护护测测评评机机构构负负责责按按照照国国家家相相关关技技术术标标准准和和要要求求对对信息系统进行等级保护的分析测评工作信息系统进行等级保护的分析测评工作