等保交流-基礎(chǔ)知識(shí)-v

信息安全等級(jí)保護(hù)基礎(chǔ)知識(shí)與安全產(chǎn)品在等保中的應(yīng)用第一頁(yè)，共二十七頁(yè)。提綱：1、等級(jí)保護(hù)的基本知識(shí)2、等保工作的流程3、等保解決方案第二頁(yè)，共二十七頁(yè)。等級(jí)保護(hù)的基礎(chǔ)知識(shí)第三頁(yè)，共二十七頁(yè)。等級(jí)保護(hù)的一些基礎(chǔ)知識(shí)等級(jí)保護(hù)是一個(gè)體系建設(shè)工作，將來會(huì)是在未來指導(dǎo)我國(guó)信息安全工作的根本；等級(jí)保護(hù)所有標(biāo)準(zhǔn)為推薦標(biāo)準(zhǔn)（GBT），所以不是強(qiáng)制執(zhí)行，且各行業(yè)會(huì)制定自己的標(biāo)準(zhǔn)；等級(jí)保護(hù)的定級(jí)是針對(duì)業(yè)務(wù)系統(tǒng)，但是進(jìn)行等級(jí)保護(hù)建設(shè)時(shí)講究的是整體環(huán)境建設(shè)滿足等級(jí)要求；當(dāng)網(wǎng)絡(luò)環(huán)境內(nèi)運(yùn)行多個(gè)業(yè)務(wù)系統(tǒng)時(shí)，應(yīng)當(dāng)按照定級(jí)高的業(yè)務(wù)系統(tǒng)進(jìn)行環(huán)境建設(shè)；等級(jí)保護(hù)的定級(jí)分為三個(gè)緯度SAG，S指的是業(yè)務(wù)信息安全類，A指的是系統(tǒng)服務(wù)保證類，G是基本要求。比如三級(jí)分為：S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3，并非等保三級(jí)指的是一個(gè)要求;第四頁(yè)，共二十七頁(yè)。三個(gè)分等級(jí)等級(jí)保護(hù)的定義：是指對(duì)國(guó)家秘密信息、法人或其他組織及公民專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)進(jìn)行響應(yīng)、處置。等級(jí)保護(hù)，即分等級(jí)保護(hù)，分等級(jí)監(jiān)管。什么是信息安全等級(jí)保護(hù)？第五頁(yè)，共二十七頁(yè)。等保與分保的區(qū)別：等級(jí)保護(hù)分級(jí)保護(hù)管理體系不同公安機(jī)關(guān)國(guó)家保密工作部門標(biāo)準(zhǔn)體系不同國(guó)家標(biāo)準(zhǔn)（GB、GB/T推薦標(biāo)準(zhǔn))國(guó)家保密標(biāo)準(zhǔn)（BMB，強(qiáng)制執(zhí)行）保護(hù)對(duì)象不同各種信息系統(tǒng)國(guó)家涉密信息系統(tǒng)劃分級(jí)別第一級(jí)（自主保護(hù)）第二級(jí)（指導(dǎo)保護(hù)）第三級(jí)（監(jiān)督保護(hù)）第四級(jí)（強(qiáng)制保護(hù)）第五級(jí)（專控保護(hù)）秘密級(jí)機(jī)密級(jí)絕密級(jí)資質(zhì)要求測(cè)評(píng)：公安部備案的具有測(cè)評(píng)資質(zhì)的機(jī)構(gòu)。安全產(chǎn)品：等保三級(jí)以上系統(tǒng)，應(yīng)優(yōu)先考慮國(guó)內(nèi)安全產(chǎn)品，除非國(guó)外安全產(chǎn)品無法使用國(guó)內(nèi)產(chǎn)品替代時(shí)，才允許使用國(guó)外安全產(chǎn)品。集成：保密局發(fā)的涉密集成資質(zhì)單項(xiàng)：保密局發(fā)的涉密單項(xiàng)資質(zhì)安全產(chǎn)品：保密局發(fā)的涉密檢測(cè)報(bào)告密碼產(chǎn)品：國(guó)密局發(fā)的密碼資質(zhì)防病毒軟件；公安部的檢測(cè)報(bào)告軍隊(duì)：軍用安全產(chǎn)品檢測(cè)報(bào)告；全部禁止使用國(guó)外安全產(chǎn)品第六頁(yè)，共二十七頁(yè)。等級(jí)保護(hù)目標(biāo)客戶：（一）電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，經(jīng)營(yíng)性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。（二）鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險(xiǎn)、外交、科技、發(fā)展改革、國(guó)防科技、公安、人事勞動(dòng)和社會(huì)保障、財(cái)政、審計(jì)、商務(wù)、水利、國(guó)土資源、能源、交通、文化、統(tǒng)計(jì)、工商行政管理、郵政、國(guó)防工業(yè)等關(guān)系到國(guó)計(jì)民生的信息系統(tǒng)（生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)）。（三）教育、國(guó)家科研等單位的信息系統(tǒng)（四）市（地）級(jí)以上黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)（五）中央企業(yè)以及國(guó)資委下屬企業(yè)

第七頁(yè)，共二十七頁(yè)。目前國(guó)家出臺(tái)了哪些有關(guān)等保的政策？國(guó)家：國(guó)務(wù)院147號(hào)令《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（94年）公通字[2004]66號(hào)《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》公通字[2007]43號(hào)《信息安全等級(jí)保護(hù)管理辦法》陜西?。宏兊缺＾k[2010]1號(hào)《關(guān)于組織開展全省重要信息系統(tǒng)安全等級(jí)保護(hù)工作專項(xiàng)檢查的通知》陜等保辦[2011]2號(hào)《陜西省信息安全等級(jí)保護(hù)安全建設(shè)整改工作指導(dǎo)意見》的通知陜公通字[2011]27號(hào)《關(guān)于進(jìn)一步推進(jìn)我省企業(yè)信息系統(tǒng)安全等級(jí)保護(hù)工作的通知》陜等保辦[2012]1號(hào)《關(guān)于開展“十八大”重要信息系統(tǒng)等級(jí)保護(hù)檢查工作的通知》第八頁(yè)，共二十七頁(yè)。西安市西等辦[2012]01號(hào)《關(guān)于開展信息安全等級(jí)保護(hù)等級(jí)測(cè)評(píng)工作的通知》銀行西銀辦[2011]273號(hào)《關(guān)于進(jìn)一步推動(dòng)陜西省銀行業(yè)信息安全等級(jí)保護(hù)工作的通知》銀發(fā)[2012]163號(hào)《中國(guó)人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)的指導(dǎo)意見》法院（最近一次）：法（辦）明傳（2012）14號(hào)《關(guān)于進(jìn)一步推進(jìn)人民法院信息安全等級(jí)保護(hù)工作的通知》教育（最近一次）：陜教保辦[2012]20號(hào)《關(guān)于進(jìn)一步落實(shí)全省教育信息系統(tǒng)安全等級(jí)保護(hù)工作的通知》第九頁(yè)，共二十七頁(yè)。醫(yī)院衛(wèi)辦發(fā)〔2011〕85號(hào)《衛(wèi)生部關(guān)于印發(fā)<衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見>的通知》衛(wèi)辦綜函〔2011〕1126號(hào)《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的通知》交通（最近一次）：陜交函[2011]845號(hào)《關(guān)于交通運(yùn)輸行業(yè)在用信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)及測(cè)評(píng)工作的通知》廣電（最近一次）：陜公通字[2011]65號(hào)《關(guān)于開展我省廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)工作的通知》保險(xiǎn)、證券。第十頁(yè)，共二十七頁(yè)。等級(jí)保護(hù)的流程第十一頁(yè)，共二十七頁(yè)。等級(jí)保護(hù)流程及相關(guān)部門定級(jí)建設(shè)規(guī)劃整改測(cè)評(píng)備案自查與定期檢查評(píng)審與審批二級(jí)以上信息系統(tǒng)按標(biāo)準(zhǔn)選產(chǎn)品選擇評(píng)測(cè)機(jī)構(gòu)信息安全監(jiān)管部門檢查國(guó)家管理部門公安網(wǎng)監(jiān)安全服務(wù)商安全產(chǎn)品提供商各省安全評(píng)測(cè)機(jī)構(gòu)信息安全監(jiān)管部門等級(jí)保護(hù)流程各階段任務(wù)相關(guān)部門第十二頁(yè)，共二十七頁(yè)。等級(jí)保護(hù)的技術(shù)規(guī)范與標(biāo)準(zhǔn)等保工作實(shí)施依據(jù)：實(shí)施指南安全等級(jí)確定依據(jù)：定級(jí)指南設(shè)計(jì)、建設(shè)和整改工作依據(jù)：□劃分準(zhǔn)則□基本要求(SAG)

S:信息安全類要求A：服務(wù)保障類要求G：通用安全保護(hù)類要求□通用安全技術(shù)要求□網(wǎng)絡(luò)基礎(chǔ)安全/操作系統(tǒng)/數(shù)據(jù)庫(kù)管理/服務(wù)器/終端計(jì)算機(jī)/信息安全管理/信息安全工程管理技術(shù)要求等保測(cè)評(píng)工作依據(jù)：評(píng)測(cè)指南第十三頁(yè)，共二十七頁(yè)。定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系第十四頁(yè)，共二十七頁(yè)。等級(jí)保護(hù)的安全模型框架測(cè)評(píng)項(xiàng)Ⅱ級(jí)Ⅲ級(jí)技術(shù)要求79136管理要求96154總計(jì)175290第十五頁(yè)，共二十七頁(yè)。等級(jí)測(cè)評(píng)周期：三級(jí)：應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)四級(jí)：應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng)二級(jí)：參照三級(jí)要求進(jìn)行測(cè)評(píng)（每二年至少進(jìn)行一次等級(jí)測(cè)評(píng)）第十六頁(yè)，共二十七頁(yè)。等級(jí)保護(hù)解決方案介紹第十七頁(yè)，共二十七頁(yè)。等級(jí)保護(hù)方案介紹方案定位：是建議！不是設(shè)計(jì)方案，不是整改方案，不是實(shí)施方案是針對(duì)客戶進(jìn)行等級(jí)保護(hù)建設(shè)時(shí)碰到的問題，我們

依據(jù)產(chǎn)品給出的符合等級(jí)保護(hù)要求的解決方案可以作為客戶進(jìn)行等保設(shè)計(jì)方案和改造方案時(shí)的參考第十八頁(yè)，共二十七頁(yè)。方案的目標(biāo)：在等保項(xiàng)目中賣產(chǎn)品；等保是個(gè)體系建設(shè)，不是說客戶按照我們這個(gè)方案都做了就完成等保建設(shè)了，只是在我們提到的這些方面滿足等保的要求；等級(jí)保護(hù)方案介紹第十九頁(yè)，共二十七頁(yè)。區(qū)域邊界隔離與審計(jì)挖掘需求：在進(jìn)行等級(jí)保護(hù)建設(shè)時(shí)，首先要按照業(yè)務(wù)類型、重要程度等因素進(jìn)行安全域的劃分。在安全域與安全域之間，需要嚴(yán)格控制信息流向，對(duì)通過安全域邊界進(jìn)行的數(shù)據(jù)交換應(yīng)該進(jìn)行嚴(yán)格的控制，這些控制手段通常包括：訪問控制、入侵檢測(cè)與防御、惡意代碼防范、網(wǎng)絡(luò)行為審計(jì)等。技術(shù)要求：網(wǎng)絡(luò)安全-訪問控制網(wǎng)絡(luò)安全-入侵防范網(wǎng)絡(luò)安全-惡意代碼防范網(wǎng)絡(luò)安全-安全審計(jì)網(wǎng)絡(luò)安全–邊界完整性產(chǎn)品方案：防火墻:智能防火墻，功能完善，解決多產(chǎn)品串聯(lián)糖葫蘆串的問題；IPS：訪問控制、入侵防范、惡意代碼防范信息安全審計(jì)：網(wǎng)絡(luò)安全審計(jì)第二十頁(yè)，共二十七頁(yè)。網(wǎng)絡(luò)結(jié)構(gòu)安全與冗余部署挖掘需求：目前多數(shù)骨干數(shù)據(jù)交換系統(tǒng)均采用中央、省、市、縣多級(jí)組網(wǎng)，通過專線或者VPN連接，實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的上報(bào)和交換，并實(shí)現(xiàn)數(shù)據(jù)大集中。技術(shù)要求：網(wǎng)絡(luò)安全-結(jié)構(gòu)安全網(wǎng)絡(luò)安全-通信完整性網(wǎng)絡(luò)安全-通信保密性數(shù)據(jù)安全-數(shù)據(jù)傳輸保密性數(shù)據(jù)安全-備份與恢復(fù)方案：SSLVPN：加密功能解決通信與數(shù)據(jù)的保密性；上網(wǎng)行為管理：解決結(jié)構(gòu)安全中的業(yè)務(wù)帶寬保障管理需求第二十一頁(yè)，共二十七頁(yè)。用戶接入、身份鑒別挖掘需求：等級(jí)保護(hù)的業(yè)務(wù)系統(tǒng)常常有這種情況，需要有許多單個(gè)的用戶從不同的地點(diǎn)接入，這些用戶分布比較分散，缺乏控制，終端設(shè)備難以預(yù)測(cè)，甚至有些用戶是移動(dòng)用戶，需要使用移動(dòng)智能終端接入業(yè)務(wù)系統(tǒng)。技術(shù)要求：應(yīng)用安全-身份鑒別、訪問控制、安全審計(jì)應(yīng)用安全-通信保密性、通信完整性方案：SSLVPN：遠(yuǎn)程用戶接入時(shí)的身份鑒別、權(quán)限控制、安全審計(jì)，并保證通信保密性和完整性；服務(wù)器群組防護(hù)：用戶訪問時(shí)進(jìn)行身份鑒別，保證訪問業(yè)務(wù)系統(tǒng)的安全性與邊界隔離；堡壘機(jī)：設(shè)備用戶權(quán)限管理的安全問題；第二十二頁(yè)，共二十七頁(yè)。安全管理中心挖掘需求：隨著信息化建設(shè)的進(jìn)行，服務(wù)器和網(wǎng)絡(luò)設(shè)備越來越多，業(yè)務(wù)系統(tǒng)越來越多，用戶沒有精力逐個(gè)監(jiān)控，迫切的需要有一個(gè)系統(tǒng)能夠監(jiān)控整個(gè)網(wǎng)絡(luò)的情況，尤其是監(jiān)控所有業(yè)務(wù)系統(tǒng)的健康狀況，并且當(dāng)業(yè)務(wù)系統(tǒng)出現(xiàn)問題時(shí)，能夠進(jìn)行即使的告警。另外，需要實(shí)現(xiàn)對(duì)設(shè)備的統(tǒng)一的策略管理和下發(fā)。技術(shù)要求：應(yīng)用安全-資源控制主機(jī)安全-資源控制監(jiān)控管理和安全管理中心網(wǎng)絡(luò)安全管理方案：服務(wù)器群組防護(hù)：服務(wù)器運(yùn)行狀態(tài)的監(jiān)控與告警；SOC：設(shè)備的集中管理與控制；第二十三頁(yè)，共二十七頁(yè)。等級(jí)保護(hù)我們的結(jié)合點(diǎn)技術(shù)規(guī)范要求需求結(jié)合點(diǎn)1.身份鑒別和自主訪問控制SSLVPN/堡壘機(jī)2.安全審計(jì)信息安全審計(jì)/上網(wǎng)行為管理3.完整性和保密性保護(hù)IPSEC/SSLVPN4.邊界保護(hù)防火墻/IPS5.資源控制防火墻/服務(wù)器群組防護(hù)/VPN/WAF6.入侵防范和惡意代碼防范IPS/IDS7.安全管理平臺(tái)設(shè)置SOC8.備份與恢復(fù)9.強(qiáng)制訪問控制10.可信路徑設(shè)置(四級(jí))11.系統(tǒng)防滲透措施(四級(jí))

12.密碼技術(shù)應(yīng)用VPN13.環(huán)境與設(shè)施安全

14.系統(tǒng)運(yùn)維管理SOC第二十四頁(yè)，共二十七頁(yè)。安全技術(shù)Ⅲ級(jí)信息系統(tǒng)安全產(chǎn)品部署（依據(jù)《等?；疽蟆罚┩饴?lián)區(qū)匯聚接入?yún)^(qū)DMZ區(qū)服務(wù)器區(qū)核心區(qū)日志補(bǔ)丁網(wǎng)絡(luò)版殺毒軟件認(rèn)證異地災(zāi)備中心WAF·信息審計(jì)IDSFWSOC服務(wù)器群組防護(hù)IPS第二十五頁(yè)，共二十七頁(yè)。謝謝第二十六頁(yè)，共二十七頁(yè)。內(nèi)容梗概信息安全等級(jí)保護(hù)基礎(chǔ)知識(shí)。等級(jí)保護(hù)是一個(gè)體系建設(shè)工作，將來會(huì)是在未來指導(dǎo)我國(guó)信息安全工作的根本。等級(jí)保護(hù)所有標(biāo)準(zhǔn)為推薦標(biāo)準(zhǔn)（GBT），所以不是強(qiáng)制執(zhí)行，且各行業(yè)會(huì)制定自己的標(biāo)準(zhǔn)。等級(jí)保護(hù)的定級(jí)是針對(duì)業(yè)務(wù)系統(tǒng)，但是進(jìn)行等級(jí)保護(hù)建設(shè)時(shí)講究的是整體環(huán)境建設(shè)滿足等級(jí)要求。當(dāng)網(wǎng)絡(luò)環(huán)境內(nèi)運(yùn)行多個(gè)業(yè)務(wù)系統(tǒng)時(shí)，應(yīng)當(dāng)按照定級(jí)高的業(yè)務(wù)系統(tǒng)進(jìn)行環(huán)境建設(shè)。比如三級(jí)分為：S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3，并非等保三級(jí)指的是一個(gè)要求。測(cè)評(píng)：公安部備案的具有測(cè)評(píng)資質(zhì)的機(jī)構(gòu)。密碼產(chǎn)品：國(guó)密局發(fā)的密碼資質(zhì)。（一）電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，經(jīng)營(yíng)性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要