等級保護課件

等級保護概述等級保護安全等級劃分等級保護整改方案設(shè)計目錄CONTENTS對比項等級保護分級保護主管部門公安部網(wǎng)絡(luò)安全局國家保密局網(wǎng)絡(luò)承載信息非涉密涉密級別劃分1-5級秘密/機密/絕密測評要求自主性強制性安全產(chǎn)品選型中國信息安全測評中心/認(rèn)證中心國家保密科技測評中心密碼產(chǎn)品選型商用密碼普通密碼核心標(biāo)準(zhǔn)《定級指南》《基本要求》《實施指南》《測評要求》《技術(shù)要求》《管理規(guī)范》《設(shè)計指南》《測評指南》等級保護與分級保護的區(qū)別信息安全等級保護制度是國家信息安全保障工作的基本制度、基本策略和基本方法，是促進(jìn)信息化健康發(fā)展，維護國家安全、社會秩序和公共利益的根本保障。重點保護對象為基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)。等級保護定義基礎(chǔ)類

產(chǎn)品類

運維類等保安全建設(shè)整改《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》信息系統(tǒng)定級：《定級指南》GB/T22240-2008信息系統(tǒng)安全建設(shè)：《基本要求》GB/T22239-2008等級保護實施：《實施指南》信安字[2007]10號等級測評：《測評要求》GA/T713-2007風(fēng)險評估：《信息安全風(fēng)險評估規(guī)范》GB/T20984-2007事件管理：《信息安全事件管理指南》GB/Z20985-2007《信息安全事件分類分級指南》GB/Z20986-2007《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》GB/T20988-2007操作系統(tǒng)數(shù)據(jù)庫網(wǎng)絡(luò)PKI網(wǎng)關(guān)服務(wù)器入侵檢測防火墻路由器交換機其他產(chǎn)品技術(shù)要求評估準(zhǔn)則測試方法配置指南等級保護標(biāo)準(zhǔn)體系1信息系統(tǒng)定級2安全總體規(guī)劃3安全設(shè)計與實施4安全運行維護6信息系統(tǒng)終止5安全等級測評信息系統(tǒng)備案安全整改設(shè)計安全要求整改安全等級整改局部調(diào)整等級變更等級保護-實施過程

等級保護-定級原則一級二級三級四級信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。五級信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害?！缎畔踩燃壉Ｗo管理辦法》規(guī)定的五級要求等級保護-等級劃分

定級建議參考四級信息系統(tǒng)：國家級電信、廣電、銀行、鐵道、海關(guān)、稅務(wù)、民航、證券、電力、保險、公安、財政、金融、社保、工商、審計、能源、化工、社會服務(wù)保障、衛(wèi)生、交通運輸、國土資源、郵政、應(yīng)急搶險等行業(yè)所屬全程全網(wǎng)的特大型信息系統(tǒng)，特大型國有企業(yè)所屬全程全網(wǎng)的特大型信息系統(tǒng)，省級黨政機關(guān)、事業(yè)單位所屬的重要信息系統(tǒng)，重點科研機構(gòu)的重要信息系統(tǒng)。五級信息系統(tǒng)：國家級電信、廣電、銀行、鐵道、海關(guān)、稅務(wù)、民航、證券、電力、保險等重要信息系統(tǒng)中的核心子系統(tǒng)，涉及國防、重大外交、航天航空、核能源、尖端科學(xué)技術(shù)等重要信息系統(tǒng)中的核心子系統(tǒng)，國家級黨政機關(guān)重要信息系統(tǒng)中的核心子系統(tǒng)。等級保護-定級

定級建議參考稅務(wù)系統(tǒng)等級定義參考稅務(wù)系統(tǒng)各單位定級工作參照以下定級原則：（1）稅務(wù)總局負(fù)責(zé)設(shè)計、開發(fā)、推廣、運行維護，全國范圍使用，為納稅人提供網(wǎng)上辦稅業(yè)務(wù)的信息系統(tǒng)確定安全保護等級為三級，核心數(shù)據(jù)庫系統(tǒng)可定為四級(全國使用的，稅務(wù)總局集中的)，其他信息系統(tǒng)可定為二級；（2）省國稅局和省地稅局負(fù)責(zé)設(shè)計、開發(fā)、推廣、運行維護，全省范圍使用，為納稅人提供網(wǎng)上辦稅業(yè)務(wù)的信息系統(tǒng)安全保護等級最高定為三級，其他信息系統(tǒng)可定為二級；（3）市國稅局和市地稅局的信息系統(tǒng)安全保護等級定為二級；（4）稅務(wù)總局機關(guān)內(nèi)部使用的信息系統(tǒng)安全保護等級原則定為二級；（5）省國稅局和省地稅局機關(guān)內(nèi)部使用的信息系統(tǒng)安全保護等級最高定為二級。等級保護-定級

定級建議參考衛(wèi)生系統(tǒng)等級定義參考《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》規(guī)定以下重要衛(wèi)生信息系統(tǒng)安全保護等級原則上不低于第三級：

（1）衛(wèi)生統(tǒng)計網(wǎng)絡(luò)直報系統(tǒng)、傳染性疾病報告系統(tǒng)、衛(wèi)生監(jiān)督信息報告系統(tǒng)、突發(fā)公共衛(wèi)生事件應(yīng)急指揮信息系統(tǒng)等跨省全國聯(lián)網(wǎng)運行的信息系統(tǒng)；

（2）國家、省、地市三級衛(wèi)生信息平臺，新農(nóng)合、衛(wèi)生監(jiān)督、婦幼保健等國家級數(shù)據(jù)中心；

（3）三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)；

（4）衛(wèi)生部網(wǎng)站系統(tǒng)；

（5）其他經(jīng)過信息安全技術(shù)專家委員會評定為第三級以上（含第三級）的信息系統(tǒng)。等級保護-定級等級保護概述等級保護安全等級劃分等級保護整改方案設(shè)計目錄CONTENTS等級保護-整改工作流程應(yīng)用軟件系統(tǒng)軟件應(yīng)用層表示層會話層物理層應(yīng)用安全主機安全網(wǎng)絡(luò)安全物理安全應(yīng)用層表示層會話層支撐軟件物理安全主要涉及的方面包括環(huán)境安全（防火、防水、防雷擊等）設(shè)備和介質(zhì)的防盜竊防破壞等方面。物理安全具體包括：10個控制點物理位置的選擇（G）、物理訪問控制（G）、防盜竊和防破壞（G）、防雷擊（G)、防火（G）、防水和防潮（G）、防靜電（G）、溫濕度控制（G）、

電力供應(yīng)（A）、電磁防護（S）等級保護-物理安全概述等級保護-物理安全整改要點不做硬性要求網(wǎng)絡(luò)安全主要關(guān)注的方面包括：網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界以及網(wǎng)絡(luò)設(shè)備自身安全等。網(wǎng)絡(luò)安全具體包括：7個控制點

結(jié)構(gòu)安全(G)、訪問控制(G)、安全審計(G)、邊界完整性檢查(A)、入侵防范(G)、惡意代碼防范(G)、網(wǎng)絡(luò)設(shè)備防護(G)等級保護-網(wǎng)絡(luò)安全概述增加違規(guī)外聯(lián)檢測阻斷產(chǎn)品增加網(wǎng)關(guān)型防毒墻產(chǎn)品網(wǎng)絡(luò)設(shè)備特別配置服務(wù)增加網(wǎng)絡(luò)安全審計產(chǎn)品主機系統(tǒng)安全是包括服務(wù)器、終端/工作站等在內(nèi)的計算機設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全。主機安全具體包括：7個控制點身份鑒別(S)、訪問控制(S)、安全審計(G)、剩余信息保護(S)、入侵防范(G)、惡意代碼防范(G)、資源控制(A)等級保護-主機安全概述增加身份認(rèn)證系統(tǒng)訪問控制策略配置服務(wù)比較超前較難實現(xiàn)主機入侵防范策略配置服務(wù)網(wǎng)管軟件和主機配置服務(wù)應(yīng)用系統(tǒng)的安全就是保護系統(tǒng)的各種應(yīng)用程序安全運行。包括基本應(yīng)用，如：消息發(fā)送、web瀏覽等；業(yè)務(wù)應(yīng)用，如：電子商務(wù)、電子政務(wù)等。應(yīng)用安全具體包括：9個控制點身份鑒別（S）、訪問控制（S）、安全審計（G）、

剩余信息保護（S）、

通信完整性（S）、通信保密性（S）、抗抵賴（G）、

軟件容錯（A）、資源控制（A）等級保護-應(yīng)用安全概述等級保護-應(yīng)用安全整改要點應(yīng)用軟件本身配置或升級訪問控制策略配置服務(wù)系統(tǒng)審計配置服務(wù)比較超前較難實現(xiàn)增加通訊加密手段建立統(tǒng)一的CA中心比較超前較難實現(xiàn)可通過資源分配達(dá)到部分要求典型案例小結(jié)—技術(shù)整改措施技術(shù)整改措施32管理制度管理機構(gòu)人員管理建設(shè)管理運維管理環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理信息系統(tǒng)等級保護管理規(guī)范33管理制度管理機構(gòu)人員管理運維管理建設(shè)管理系統(tǒng)定級、安全方案設(shè)計、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、系統(tǒng)備案、等級測評、安全服務(wù)商選擇信息系統(tǒng)等級保護管理規(guī)范34管理制度管理機構(gòu)運維管理建設(shè)管理人員管理人員錄用、人員離崗、人員考核、安全意識教育及培訓(xùn)、外部人員訪問管理信息系統(tǒng)等級保護管理規(guī)范35管理制度運維機構(gòu)人員管理建設(shè)管理管理機構(gòu)崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查信息系統(tǒng)等級保護管理規(guī)范36運維管理管理機構(gòu)人員管理建設(shè)管理管理制度管理制度、制定和發(fā)布、評審和修訂信息系統(tǒng)等級保護管理規(guī)范典型案例小結(jié)—管理整改措施管理整改措施結(jié)構(gòu)安全訪問控制安全審計邊界完整性檢查入侵防范惡意代碼防范網(wǎng)絡(luò)設(shè)備防護設(shè)備的冗余網(wǎng)絡(luò)邊界控制網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄對非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等網(wǎng)絡(luò)邊界處對惡意代碼進(jìn)行檢測和清除設(shè)備的登陸控制拓?fù)涞娜哂嗷诙丝?、IP地址、服務(wù)、連接數(shù)等安全策略內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)惡意代碼庫的升級協(xié)議的冗余子網(wǎng)劃分、QoS網(wǎng)絡(luò)安全及備份恢復(fù)的整改要點身份識別訪問控制安全審計剩余信息防護入侵防范惡意代碼防范資源控制操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的安全策略操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的操作數(shù)據(jù)的消除對重要服務(wù)器進(jìn)行入侵的行為與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫網(wǎng)絡(luò)準(zhǔn)入控制兩種或兩種以上組合的鑒別管理用戶的最小權(quán)限授權(quán)介質(zhì)的銷毀對重要程序的完整性進(jìn)行檢測支持防惡意代碼的統(tǒng)一管理重要服務(wù)器進(jìn)行監(jiān)視特權(quán)用戶的權(quán)限分離操作系統(tǒng)應(yīng)遵循最小安裝的原則補丁統(tǒng)一發(fā)放檢測和報警重要信息資源設(shè)置敏感標(biāo)記主機安全及備份恢復(fù)的整改要點身份識別訪問控制安全審計剩余信息防護通信完整/保密/抗抵賴軟件容錯資源控制應(yīng)用系統(tǒng)的用戶基于用戶對文件、數(shù)據(jù)庫表等客體的訪問應(yīng)用系統(tǒng)用戶的操作數(shù)據(jù)的消除CA+KM人機接口輸入校驗會話的連接限制、超時登出、賬戶的資源分配兩種或兩種以上組合的鑒別管理用戶的最小權(quán)限授權(quán)介質(zhì)的銷毀自動保護功能檢測和報警重要信息資源設(shè)置敏感標(biāo)記代碼安全防護（代碼規(guī)范、代碼審查）應(yīng)用安全及備份恢復(fù)的整改要點TCSEC（美國可信計算機系統(tǒng)評估準(zhǔn)則）將計算機的安全分為