三級等保培訓

1、三級等保系統(tǒng)整改三級等保系統(tǒng)整改解決方案解決方案n第一級自主保護級 主要對象為一般的信息系統(tǒng)，其業(yè)務信息安全性或業(yè)務服務保證性受到破壞后，會對公民、法人和其他組織的合法權益產生損害，但不損害國家安全、社會秩序和公共利益；本級系統(tǒng)依照國家管理規(guī)范和技術標準進行自主保護。n第二級為指導保護級 主要對象為一般的信息系統(tǒng)，其業(yè)務信息安全性或業(yè)務服務保證性受到破壞后，會對社會秩序和公共利益造成輕微損害，但不損害國家安全；本級系統(tǒng)依照國家管理規(guī)范和技術標準進行自主保護，必要時，信息安全監(jiān)管職能部門對其進行指導。n第三級為監(jiān)督保護級 主要對象為涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)，其業(yè)務信息安全性

2、或業(yè)務服務保證性受到破壞后，會對國家安全、社會秩序和公共利益造成嚴重損害；本級系統(tǒng)依照國家管理規(guī)范和技術標準進行自主保護，信息安全監(jiān)管職能部門對其進行監(jiān)督、檢查。等級保護概念n第四級為強制保護級 主要對象為涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)，其業(yè)務信息安全性或業(yè)務服務保證性受到破壞后，會對國家安全、社會秩序和公共利益造成嚴重損害；本級系統(tǒng)依照國家管理規(guī)范和技術標準進行自主保護，信息安全監(jiān)管職能部門對其進行強制監(jiān)督、檢查。n第五級為?？乇Ｗo級 主要對象為涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)的核心子系統(tǒng)，其業(yè)務信息安全性或業(yè)務服務保證性受到破壞后，會對國家安全、社會秩序和公共

3、利益造成特別嚴重損害；本級系統(tǒng)依照國家管理規(guī)范和技術標準進行自主保護，國家指定專門部門、專門機構進行專門監(jiān)督、檢查。等級保護概念等級保護定級 信息系統(tǒng)定級主要考慮兩方面，一是業(yè)務信息受到信息系統(tǒng)定級主要考慮兩方面，一是業(yè)務信息受到破壞客體是誰，二是對客體侵害程度如何。兩方面結破壞客體是誰，二是對客體侵害程度如何。兩方面結合起來根據(jù)下表制定信息系統(tǒng)應該定位第幾級。合起來根據(jù)下表制定信息系統(tǒng)應該定位第幾級。nBefore 2005Before 2005中華人民共和國計算機信息系統(tǒng)安全保護條例中華人民共和國計算機信息系統(tǒng)安全保護條例（1994年 國務院147號令）國家信息化領導小組關于加強信息安全保

4、障工作的意見國家信息化領導小組關于加強信息安全保障工作的意見（中辦發(fā)200327號）關于信息安全等級保護工作的關于信息安全等級保護工作的（公通字200466號）n20072007信息安全等級保護信息安全等級保護（公通字200743號） 關于開展全國重要信息系統(tǒng)安全關于開展全國重要信息系統(tǒng)安全的通知的通知 （公信安2007861號）上海市：滬公發(fā)2007319號上海市迎世博信息安全保障兩年行動計劃上海市迎世博信息安全保障兩年行動計劃n2009200920092009年信息安全等級保護工作內容及具體要求年信息安全等級保護工作內容及具體要求（公信安（公信安20092322009232號）號）關于組織

5、開展關于組織開展20092009年度本市重要信息系統(tǒng)年度本市重要信息系統(tǒng)的通知的通知 （滬公發(fā)2009187號）滬公發(fā)2009173號、滬密局200939號、。等級保護政策推進過程n基礎類基礎類 n應用類應用類 信息系統(tǒng)通用安全技術要求GB/T 20271-2006 信息系統(tǒng)等級保護安全設計技術要求 信息系統(tǒng)安全等級保護測評過程指南 信息系統(tǒng)安全管理要求GB/T 20269-2006 信息系統(tǒng)安全工程管理要求GB/T 20282-2006 等級保護十大核心標準等級保護完全實施過程信息系統(tǒng)定級信息系統(tǒng)定級安全總體規(guī)劃安全總體規(guī)劃安全設計與實施安全設計與實施安全運行維護安全運行維護信息系統(tǒng)終止信息

6、系統(tǒng)終止安全等級測評安全等級測評信息系統(tǒng)備案信息系統(tǒng)備案安全整改設計安全整改設計等級符合性檢查等級符合性檢查應急預案及演練應急預案及演練安全要求整改安全等級整改局部調整等級變更能力、措施和要求安全保護能力基本安全要求等保3級的信息系統(tǒng)基本技術措施基本管理措施具備包含包含滿足滿足實現(xiàn)等級保護基本安全要求某級系統(tǒng)物理安全技術要求管理要求基本要求網(wǎng)絡安全主機安全應用安全數(shù)據(jù)安全安全管理機構安全管理制度人員安全管理系統(tǒng)建設管理系統(tǒng)運維管理三級系統(tǒng)的控制類及控制項指標類指標類技術技術/管理管理層面層面類數(shù)量類數(shù)量項數(shù)量項數(shù)量S S類類(3(3級級)A A類類(3(3級級)G G類類(3(3級級)小計小計

7、小計小計安全技術物理安全1181032網(wǎng)絡安全106733主機安全313732應用安全522931數(shù)據(jù)安全21038安全管理安全管理制度N/A311安全管理機構520人員安全管理516系統(tǒng)建設管理1145系統(tǒng)運維管理1360合 計三級系統(tǒng)安全保護要求物理安全物理安全主要涉及的方面包括環(huán)境環(huán)境安全（防火、防水、防雷擊等）設備設備和介質介質的防盜竊防破壞等方面。物理安全具體包括：1010個控制點個控制點 物理位置的選擇（G）、 物理訪問控制（G）、 防盜竊和防破壞（G）、 防雷擊（G)、 防火（G）、防水和防潮（G） 、防靜電（G） 、溫濕度控制（G）、電力供應（A）、 電磁防護（S）物理位置的選

8、擇物理位置的選擇基本防護能力高層、地下室高層、地下室物理訪問控制物理訪問控制基本出入控制分區(qū)域管理分區(qū)域管理在機房中的活動電子門禁電子門禁防盜竊和防破壞防盜竊和防破壞存放位置、標記標識監(jiān)控報警系統(tǒng)監(jiān)控報警系統(tǒng)防雷擊防雷擊建筑防雷、機房接地設備防雷設備防雷防火防火滅火設備、自動報警自動消防系統(tǒng)自動消防系統(tǒng)區(qū)域隔離措施區(qū)域隔離措施防防靜電靜電關鍵設備主要設備主要設備防靜電地板防靜電地板電力供應電力供應穩(wěn)定電壓、短期供應主要設備主要設備冗余冗余/并行線路并行線路備用供電系統(tǒng)備用供電系統(tǒng)電磁防護電磁防護線纜隔離接地防干擾接地防干擾電磁屏蔽電磁屏蔽防水和防潮防水和防潮溫濕度控制溫濕度控制物理安全的整改要

9、點不做硬性要求三級系統(tǒng)安全保護要求網(wǎng)絡安全網(wǎng)絡安全主要關注的方面包括：網(wǎng)絡結構、網(wǎng)網(wǎng)絡結構、網(wǎng)絡邊界以及網(wǎng)絡設備絡邊界以及網(wǎng)絡設備自身安全等。網(wǎng)絡安全具體包括：7 7個控制點個控制點 結構安全(G)、訪問控制(G)、安全審計(G)、 邊界完整性檢查(A)、入侵防范(G)、 惡意代碼防范(G)、網(wǎng)絡設備防護(G)結構安全結構安全關鍵設備冗余空間主要設備冗余空間主要設備冗余空間訪問控制訪問控制訪問控制設備（用戶、網(wǎng)段）應用層協(xié)議過濾應用層協(xié)議過濾撥號訪問限制會話終止會話終止安全審計安全審計日志記錄審計報表審計報表邊界完整性檢查邊界完整性檢查內部的非法聯(lián)出非授權設備私自外聯(lián)非授權設備私自外聯(lián)網(wǎng)絡安全

10、的整改要點子網(wǎng)/網(wǎng)段控制核心網(wǎng)絡帶寬整體網(wǎng)絡帶寬整體網(wǎng)絡帶寬重要網(wǎng)段部署重要網(wǎng)段部署路由控制路由控制帶寬分配優(yōu)先級帶寬分配優(yōu)先級端口控制端口控制最大流量數(shù)及最大連接數(shù)最大流量數(shù)及最大連接數(shù)防止地址欺騙防止地址欺騙審計記錄的保護審計記錄的保護定位及阻斷定位及阻斷入侵防范入侵防范檢測常見攻擊記錄、報警記錄、報警惡意代碼防范惡意代碼防范網(wǎng)絡邊界處防范網(wǎng)絡邊界處防范網(wǎng)絡設備防護網(wǎng)絡設備防護基本的登錄鑒別組合鑒別技術組合鑒別技術特權用戶的權限分離特權用戶的權限分離三級系統(tǒng)安全保護要求主機安全主機系統(tǒng)安全是包括服務器、終端服務器、終端/ /工作站工作站等在內的計算機設備在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)操作系統(tǒng)及數(shù)據(jù)

11、庫系統(tǒng)層面的安全。主機安全具體包括：7 7個控制點個控制點 身份鑒別(S)、訪問控制(S)、安全審計(G)、 剩余信息保護(S)、入侵防范(G)、 惡意代碼防范(G)、資源控制(A)身份鑒別身份鑒別基本的身份鑒別訪問控制訪問控制安全策略管理用戶的權限分離管理用戶的權限分離特權用戶的權限分離安全審計安全審計服務器基本運行情況審計審計報表審計報表剩余信息保護剩余信息保護空間釋放及信息清除空間釋放及信息清除主機安全的整改要點組合鑒別技術組合鑒別技術敏感標記的設置及操作敏感標記的設置及操作審計記錄的保護審計記錄的保護入侵防范入侵防范最小安裝原則重要服務器：檢測、記錄、報警重要服務器：檢測、記錄、報警惡

12、意代碼防范惡意代碼防范主機與網(wǎng)絡的防范產品不同主機與網(wǎng)絡的防范產品不同資源控制資源控制監(jiān)視重要服務器監(jiān)視重要服務器最小服務水平的檢測及報警最小服務水平的檢測及報警重要客戶端的審計重要客戶端的審計升級服務器重要程序完整性重要程序完整性防惡意代碼軟件、代碼庫統(tǒng)一管理對用戶會話數(shù)及終端登錄的限制比較超前較難實現(xiàn)三級系統(tǒng)安全保護要求應用安全應用系統(tǒng)的安全就是保護系統(tǒng)的各種應用程序應用程序安全運行。包括基本應用基本應用，如：消息發(fā)送、web瀏覽等；業(yè)務應用業(yè)務應用，如：電子商務、電子政務等。應用安全具體包括：9 9個控制點個控制點 身份鑒別（S）、訪問控制（S）、安全審計 （G）、剩余信息保護（S）、通

13、信完整性（S）、 通信保密性（S）、抗抵賴（G）、軟件容錯（A）、資源控制（A）身份鑒別身份鑒別基本的身份鑒別訪問控制訪問控制安全策略最小授權原則安全審計安全審計運行情況審計（用戶級）審計報表審計報表剩余信息保護剩余信息保護空間釋放及信息清除空間釋放及信息清除應用安全的整改要點組合鑒別技術組合鑒別技術敏感標記的設置及操作敏感標記的設置及操作審計過程的保護審計過程的保護通信完整性通信完整性校驗碼技術密碼技術密碼技術軟件容錯軟件容錯自動保護功能自動保護功能資源控制資源控制資源分配限制、資源分配優(yōu)先級資源分配限制、資源分配優(yōu)先級最小服務水平的檢測及報警最小服務水平的檢測及報警數(shù)據(jù)有效性檢驗、部分運行

14、保護對用戶會話數(shù)及 系統(tǒng)最大并發(fā)會話數(shù)的限制審計記錄的保護通信保密性通信保密性初始化驗證整個報文及會話過程加密整個報文及會話過程加密敏感信息加密抗抵賴抗抵賴比較超前較難實現(xiàn)比較超前較難實現(xiàn)可通過配置服務達到部分要求三級系統(tǒng)安全保護要求數(shù)據(jù)安全與備份恢復數(shù)據(jù)安全主要是保護用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務數(shù)據(jù)務數(shù)據(jù)的保護。將對數(shù)據(jù)造成的損害降至最小。備份恢復也是防止數(shù)據(jù)被破壞后無法恢復的重要手段，主要包括數(shù)據(jù)備份、硬件冗余和異地數(shù)據(jù)備份、硬件冗余和異地實時備份實時備份。數(shù)據(jù)安全和備份恢復具體包括：3 3個控制點個控制點 數(shù)據(jù)完整性（S）、數(shù)據(jù)保密性（S）、 備份和恢復（A）數(shù)據(jù)完整性

15、數(shù)據(jù)完整性鑒別數(shù)據(jù)傳輸?shù)耐暾詡浞莺突謴蛡浞莺突謴椭匾獢?shù)據(jù)的備份數(shù)據(jù)安全及備份恢復的整改要點各類數(shù)據(jù)傳輸及存儲各類數(shù)據(jù)傳輸及存儲異地備份異地備份網(wǎng)絡冗余、硬件冗余網(wǎng)絡冗余、硬件冗余本地完全備份本地完全備份硬件冗余檢測和恢復檢測和恢復數(shù)據(jù)保密性數(shù)據(jù)保密性鑒別數(shù)據(jù)存儲的保密性各類數(shù)據(jù)的傳輸及存儲各類數(shù)據(jù)的傳輸及存儲每天每天1次次備份介質場外存放備份介質場外存放僅世博相關單位管理要求方面的整改26管理制度管理制度管理機構管理機構人員管理人員管理系統(tǒng)建設管理系統(tǒng)建設管理系統(tǒng)運維管理系統(tǒng)運維管理環(huán)境管理、資產管理、介質管理、設備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡安全管理、系統(tǒng)安全管理、惡意代碼防范管理、

16、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理信息系統(tǒng)三級系統(tǒng)安全保護要求安全管理制度安全管理制度包括信息安全工作的總體方針、總體方針、策略、規(guī)范策略、規(guī)范各種安全管理活動的管理制度管理制度以及管理人員或操作人員日常操作的操作規(guī)程操作規(guī)程。安全管理制度具體包括：3 3個控制點個控制點 管理制度、制定和發(fā)布、評審和修訂整改要點：整改要點：形成信息安全管理制度體系、 統(tǒng)一發(fā)布、定期修訂等三級系統(tǒng)安全保護要求安全管理機構安全管理機構主要是在單位的內部結構上建立一整套從單位最高管理層最高管理層（董事會）到執(zhí)執(zhí)行管理層行管理層以及業(yè)務運營層業(yè)務運營層的管理結構來約束和保證各項安全管理措施

17、的執(zhí)行。安全管理機構具體包括：5 5個控制點個控制點 崗位設置、人員配備、授權和審批、 溝通和合作、審核和檢查整改要點：整改要點：信息安全領導小組與職能部門、專職安全員、定期全面安全檢查、定期協(xié)調會議、外部溝通與合作等三級系統(tǒng)安全保護要求人員安全管理對人員安全的管理，主要涉及兩方面： 對內部內部人員人員的安全管理和對外部人員外部人員的安全管理。人員安全管理具體包括：5 5個控制點個控制點 人員錄用、人員離崗、人員考核、 安全意識教育及培訓、外部人員訪問管理整改要點：整改要點：全員保密協(xié)議、關鍵崗位人員管理、針對不同崗位的培訓計劃、外部人員訪問管理三級系統(tǒng)安全保護要求系統(tǒng)建設管理系統(tǒng)建設管理分別從定級、設計建設實施、驗收交付、定級、設計建設實施、驗收交付、測評測評等方面考慮，關注各項安全管理活動。系統(tǒng)建設管理具體包括：1111個控制點個控制點 系統(tǒng)定級、安全方案設計、產品采購和使用、 自行軟件開發(fā)、外包軟件開發(fā)、工程實施、 測試驗收、系統(tǒng)交付、系統(tǒng)備案、等級測評、 安全服務商選擇整改要點：整改要點：系統(tǒng)定級的論證、總體規(guī)劃、產品選型測試、開發(fā)過程的人員控制、工程實施制度化、第三方委托測試、運行起30 天內備案、每年進行1次等級測評、安全服務商的選擇三級系統(tǒng)安全保護要求系統(tǒng)運維管理系統(tǒng)運維管理涉及日常管理、變更管理、制度化管理、日常管理、變更管理、制度化管理、安全事件