信息安全等級保護演示文稿

信息安全等級保護演示文稿本文檔共49頁；當前第1頁；編輯于星期三\2點5分優(yōu)選信息安全等級保護本文檔共49頁；當前第2頁；編輯于星期三\2點5分密保（分保）——

分三級（絕密、機密、秘密）

涉密環(huán)境（網(wǎng)絡(luò)、終端、應用系統(tǒng)及數(shù)據(jù)）的信息安全等保——

分五級

非涉密環(huán)境（網(wǎng)絡(luò)、終端、應用系統(tǒng)及數(shù)據(jù)）的信息安全信息安全管理分類本文檔共49頁；當前第3頁；編輯于星期三\2點5分內(nèi)容概要信息安全的屬性特征和管理分類什么是等級保護等級保護的國家政策與標準規(guī)范等級保護的工作內(nèi)容等級保護的建設(shè)流程等級保護各參與部門的角色定位涉及國家秘密信息系統(tǒng)的分保護管理本文檔共49頁；當前第4頁；編輯于星期三\2點5分什么是等級保護信息系統(tǒng)等級保護的定義

是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置。信息安全等級保護是基本制度、基本國策等級保護工作分為五個環(huán)節(jié)：定級、備案、建設(shè)整改、等級測評、監(jiān)督檢查。本文檔共49頁；當前第5頁；編輯于星期三\2點5分等級保護的等級劃分準則根據(jù)信息和信息系統(tǒng)遭到破壞或泄露后，對國家安全、社會秩序、公共利益及公民、法人和其他組織的合法權(quán)益的危害程度來進行定級。1、受侵害客體；2、受侵害程度；本文檔共49頁；當前第6頁；編輯于星期三\2點5分等級保護的等級劃分準則本文檔共49頁；當前第7頁；編輯于星期三\2點5分公安部關(guān)于等級保護文件規(guī)定第一級為自主保護級第二級為指導保護級第一級為監(jiān)督保護級第一級為強制保護級第一級為專控保護級本文檔共49頁；當前第8頁；編輯于星期三\2點5分等級保護涉及的幾個基本概念主動用戶、進程主體被動文件、存儲設(shè)備客體訪問：讀、寫、執(zhí)行權(quán)限安全策略安全審計強制訪問控制本文檔共49頁；當前第9頁；編輯于星期三\2點5分第一級用戶自主保護級第二級系統(tǒng)審計保護第三級安全標記保護第四級結(jié)構(gòu)化保護第五級訪問驗證保護用戶自主控制資源訪問訪問行為需要被審計通過標記實現(xiàn)強制訪問控制可信計算基結(jié)構(gòu)化所有的過程都需要驗證等級保護的等級劃分準則本文檔共49頁；當前第10頁；編輯于星期三\2點5分第一級自主安全保護第二級審計安全保護第三級強制安全保護第四級結(jié)構(gòu)化保護第五級訪問驗證保護級自主訪問控制身份鑒別完整性保護自主訪問控制身份鑒別完整性保護系統(tǒng)審計客體重用自主訪問控制身份鑒別完整性保護系統(tǒng)審計客體重用強制訪問控制標記自主訪問控制身份鑒別完整性保護系統(tǒng)審計客體重用強制訪問控制標記自主訪問控制身份鑒別完整性保護系統(tǒng)審計客體重用強制訪問控制標記隱蔽通道分析可信路徑隱蔽通道分析可信路徑可信恢復

本文檔共49頁；當前第11頁；編輯于星期三\2點5分如何理解信息系統(tǒng)的五個安全保護等級第一級：一般適用于小型私營、個體企業(yè)、中小學、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級單位中一般的信息系統(tǒng)。第二級：一般適用于縣級某些單位中的重要信息系統(tǒng)；地市級以上國家機關(guān)、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)，如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)等。第三級：一般適用于地市級以上國家機關(guān)、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng)，例如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)；跨省或全國聯(lián)網(wǎng)運行的用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制等方面的重要信息系統(tǒng)以及這類系統(tǒng)在省、地市的分支系統(tǒng)；中央各部委、?。▍^(qū)、市）門戶網(wǎng)站和重要網(wǎng)站；跨省連接的網(wǎng)絡(luò)系統(tǒng)等。第四級：一般適用于國家重要領(lǐng)域、重要部門中的特別重要系統(tǒng)以及核心系統(tǒng)。例如電力、電信、廣電、鐵路、民航、銀行、稅務(wù)等重要部門的生產(chǎn)、調(diào)度、指揮等涉及國家安全、國計民生的核心系統(tǒng)。第五級：一般適用于國家重要領(lǐng)域、重要部門中的極端重要系統(tǒng)。本文檔共49頁；當前第12頁；編輯于星期三\2點5分內(nèi)容概要信息安全與等級保護什么是等級保護等級保護的國家政策與標準規(guī)范等級保護的工作內(nèi)容等級保護的建設(shè)流程等級保護各參與部門的角色定位涉及國家秘密信息系統(tǒng)的分保護管理本文檔共49頁；當前第13頁；編輯于星期三\2點5分頒布時間文件名稱文號頒布機構(gòu)內(nèi)容及意義1994年2月18日《中華人民共和國計算機信息系統(tǒng)安全保護條例》國務(wù)院147號令國務(wù)院第一次提出信息系統(tǒng)要實行等級保護，并確定了等級保護的職責單位。2003年9月7日《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》中辦國辦發(fā)[2003]27號中共中央辦公廳國務(wù)院辦公廳等級保護工作的開展必須分步驟、分階段、有計劃的實施。明確了信息安全等級保護制度的基本內(nèi)容。2004年9月15日《關(guān)于信息安全等級保護工作的實施意見》公通字[2004]66號公安部國家保密局國家密碼管理委員會辦公室（國家密碼管理局）國務(wù)院信息化工作辦公室將等級保護從計算機信息系統(tǒng)安全保護的一項制度提升到國家信息安全保障的一項基本制度。2007年6月22日《信息安全等級保護管理辦法》公通字[2007]43號明確了信息安全等級保護制度的基本內(nèi)容、流程及工作要求，明確了信息系統(tǒng)運營使用單位和主管部門、監(jiān)管部門在信息安全等級保護工作中的職責、任務(wù)。2007年7月16日《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》公信安[2007]861號就定級范圍、定級工作主要內(nèi)容、定級工作要求等事項進行了通知。等級保護的國家政策本文檔共49頁；當前第14頁；編輯于星期三\2點5分等級保護的技術(shù)標準規(guī)范GB/T20009-2005信息安全技術(shù)操作系統(tǒng)安全評估準則國家已出臺70多個國標、行標以及報批標準，從基礎(chǔ)、設(shè)計、實施、管理、制度等各個方面對等保系統(tǒng)提出了要求和建議。本文檔共49頁；當前第15頁；編輯于星期三\2點5分《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）

《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）

《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》

（GB/T20272-2006）《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》（GB/T22239-2008）《信息安全技術(shù)信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》面向評估者技術(shù)標準：面向建設(shè)者技術(shù)標準：等級保護的技術(shù)標準規(guī)范本文檔共49頁；當前第16頁；編輯于星期三\2點5分《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）《信息系統(tǒng)安全管理體系標準》（ISO/IEC27001）《信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南》（GB/Txxxxx-2007

）管理類標準：等保方案類標準：系統(tǒng)定級類標準：《信息安全技術(shù)信息系統(tǒng)安全保護等級定級指南》（GB/T22240-2008）

等級保護的技術(shù)標準規(guī)范本文檔共49頁；當前第17頁；編輯于星期三\2點5分《信息系統(tǒng)安全等級保護基本要求》(GB/T22239-2008)

《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》（已審批）《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）

最早提出的基礎(chǔ)性、強制性標準；粒度較粗，是一個指導性標準；公安部作為等保系統(tǒng)建設(shè)、評測的重要依據(jù)等保系統(tǒng)設(shè)計時的主要依據(jù)：一個中心三重防御國家已出臺約70余個標準，重點需要了解的有：等級保護的技術(shù)標準規(guī)范本文檔共49頁；當前第18頁；編輯于星期三\2點5分內(nèi)容概要信息安全與等級保護什么是等級保護等級保護的國家政策與標準規(guī)范等級保護的工作內(nèi)容等級保護的建設(shè)流程等級保護各參與部門的角色定位涉及國家秘密信息系統(tǒng)的分保護管理本文檔共49頁；當前第19頁；編輯于星期三\2點5分等級保護的建設(shè)目標某級信息系統(tǒng)技術(shù)要求管理要求基本要求建立安全技術(shù)體系建立安全管理體系具有某級安全保護能力的系統(tǒng)本文檔共49頁；當前第20頁；編輯于星期三\2點5分等級保護的建設(shè)要求物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機安全應用安全數(shù)據(jù)安全安全管理機構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理本文檔共49頁；當前第21頁；編輯于星期三\2點5分等級保護的建設(shè)要求環(huán)境安全防其他自然災害機房與設(shè)施安全環(huán)境與人員安全設(shè)備安全防止電磁泄露發(fā)射防盜與防毀防電磁干擾介質(zhì)安全介質(zhì)的管理介質(zhì)的分類介質(zhì)的防護物理安全本文檔共49頁；當前第22頁；編輯于星期三\2點5分等級保護的建設(shè)要求網(wǎng)絡(luò)安全1.網(wǎng)絡(luò)結(jié)構(gòu)安全2.網(wǎng)絡(luò)訪問控制3.網(wǎng)絡(luò)安全審計4.邊界完整性檢查5.網(wǎng)絡(luò)入侵防范6.惡意代碼防護7.網(wǎng)絡(luò)防護設(shè)備主機安全身份鑒別強制訪問控制系統(tǒng)安全審計4.剩余信息保護5.入侵防范6.惡意代碼防范7.資源控制

應用安全

1.身份認證

2.安全審計

3.剩余信息保護

4.通信完整性和機密性保護數(shù)據(jù)安全1.數(shù)據(jù)機密性保護2.數(shù)據(jù)完整性保護5.控制軟件容錯；

6.嚴格的訪問；

7.自動保護功能；

8.資源控制；本文檔共49頁；當前第23頁；編輯于星期三\2點5分等級保護的建設(shè)模式滿足政策要求滿足標準要求滿足用戶自身要求安全現(xiàn)狀差異性分析基本要求需求物理安全網(wǎng)絡(luò)安全主機安全應用安全數(shù)據(jù)安全與備份恢復本文檔共49頁；當前第24頁；編輯于星期三\2點5分等級保護的體系架構(gòu)其它定級系統(tǒng)安全接入/隔離設(shè)備計算環(huán)境區(qū)域邊界通信網(wǎng)絡(luò)網(wǎng)站/應用服務(wù)器交換設(shè)備用戶終端安全管理中心通信網(wǎng)絡(luò)區(qū)域邊界計算環(huán)境安全管理中心本文檔共49頁；當前第25頁；編輯于星期三\2點5分構(gòu)筑由安全管理中心統(tǒng)一管理下的計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防御體系。安全區(qū)域邊界可信計算環(huán)境安全管理中心安全通信網(wǎng)絡(luò)

等級保護的技術(shù)實現(xiàn)依據(jù)本文檔共49頁；當前第26頁；編輯于星期三\2點5分內(nèi)容概要信息安全與等級保護什么是等級保護等級保護的國家政策與標準規(guī)范等級保護的工作內(nèi)容等級保護的建設(shè)流程等級保護各參與部門的角色定位涉及國家秘密信息系統(tǒng)的分保護管理本文檔共49頁；當前第27頁；編輯于星期三\2點5分等級保護的建設(shè)流程達標等保體系安全措施業(yè)務(wù)應用信息網(wǎng)絡(luò)已運營系統(tǒng)業(yè)務(wù)應用安全措施新建系統(tǒng)等保整改等保建設(shè)本文檔共49頁；當前第28頁；編輯于星期三\2點5分等級保護整改建設(shè)流程1.信息系統(tǒng)定級2.等保建設(shè)立項3.信息安全威脅分析4.等保方案設(shè)計5.安全體系部署6.等保體系測評7.等保整改建設(shè)完成定級工作08年已基本完成專業(yè)機構(gòu)整改意見總設(shè)詳設(shè)專家論證項目實施內(nèi)部驗收專業(yè)機構(gòu)測評報告未通過本文檔共49頁；當前第29頁；編輯于星期三\2點5分

2007年開始，我國在全國范圍展開了信息系統(tǒng)等級保護的定級工作，并在公安部進行了相關(guān)的備案。定級依據(jù)：《信息系統(tǒng)安全保護等級定級指南》（國家）

《XX行業(yè)信息系統(tǒng)安全保護等級定級指南》

流程一：信息系統(tǒng)定級誰主管、運營誰定級；擬確定為四級以上的信息系統(tǒng)需請國家信息安全保護等級專家評審委員會評審；信息系統(tǒng)定級情況要在公安部門報備；本文檔共49頁；當前第30頁；編輯于星期三\2點5分根據(jù)信息和信息系統(tǒng)遭到破壞或泄露后，對國家安全、社會秩序、公共利益及公民、法人和其他組織的合法權(quán)益的危害程度來進行定級。受侵害的客體對客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級1.受侵害客體；2.受侵害程度；

流程一：信息系統(tǒng)定級本文檔共49頁；當前第31頁；編輯于星期三\2點5分

信息系統(tǒng)等級保護建設(shè)，經(jīng)過信息系統(tǒng)的運營、管理部門以及有關(guān)政府部門的批準，并列入信息系統(tǒng)運營單位或政府計劃的過程。一項基本國策，一項基本制度，具有政策的強制性

流程二：等保建設(shè)立項是辦公電子化、業(yè)務(wù)信息化發(fā)展必需的保障手段用戶業(yè)務(wù)開展的實際需求本文檔共49頁；當前第32頁；編輯于星期三\2點5分需請相應級別、具有資質(zhì)的測評中心進行風險評估；

流程三：風險評估

風險評估是對信息資產(chǎn)面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用而帶來風險的可能性的評估。風險評估是確定信息安全需求的一個重要途徑。風險評估完成后出具《評估報告》和《整改意見》；本文檔共49頁；當前第33頁；編輯于星期三\2點5分1整改意見需求分析2總體設(shè)計詳細設(shè)計3應急方案災備方案5方案與產(chǎn)品安全性論證6項目預算7項目實施方案設(shè)計4產(chǎn)品選型技術(shù)指標信息系統(tǒng)等保體系建設(shè)目標

流程四：等保方案設(shè)計思路本文檔共49頁；當前第34頁；編輯于星期三\2點5分重視安全技管兼行遵循政策符合標準需求主導突出重點整體規(guī)劃分步實施

流程四：等保方案設(shè)計原則全局管理統(tǒng)一標準適度安全減少影響本文檔共49頁；當前第35頁；編輯于星期三\2點5分滿足政策要求滿足標準要求滿足用戶自身要求安全現(xiàn)狀差異性分析基本要求需求流程四：需求分析方法物理安全網(wǎng)絡(luò)安全主機安全應用安全數(shù)據(jù)安全與備份恢復本文檔共49頁；當前第36頁；編輯于星期三\2點5分安全現(xiàn)狀與《基本要求》的差異分析對照標準要求是否滿足相應措施物理安全網(wǎng)絡(luò)安全主機安全應用安全數(shù)據(jù)安全

流程四：需求分析方法本文檔共49頁；當前第37頁；編輯于星期三\2點5分等級保護建設(shè)方案章節(jié)：二、安全需求分析一、項目背景

流程四：設(shè)計方案章節(jié)四、等保技術(shù)體系設(shè)計三、方案總體設(shè)計六、等保管理安全設(shè)計五、等保物理安全設(shè)計八、產(chǎn)品選型與技術(shù)指標七、應急與災備設(shè)計九、方案與產(chǎn)品安全性論證十一、實施方案設(shè)計十、項目預算需求背景政策依據(jù)以《基本要求》中“網(wǎng)絡(luò)、主機、應用、數(shù)據(jù)”部分要求為目標，以《設(shè)計要求》為方法以《基本要求》中物理安全部分為依據(jù)以《基本要求》中管理安全部分為依據(jù)經(jīng)過信息安全等級保護專家論證通過本文檔共49頁；當前第38頁；編輯于星期三\2點5分其它定級系統(tǒng)安全接入/隔離設(shè)備計算環(huán)境區(qū)域邊界通信網(wǎng)絡(luò)網(wǎng)站/應用服務(wù)器交換設(shè)備用戶終端安全管理中心通信網(wǎng)絡(luò)區(qū)域邊界計算環(huán)境安全管理中心

流程四：等保體系整體架構(gòu)本文檔共49頁；當前第39頁；編輯于星期三\2點5分

流程五：等保體系部署統(tǒng)一規(guī)劃，分步實施規(guī)范管理，責任落實確保安全，影響最小專家論證，內(nèi)部驗收計算環(huán)境區(qū)域邊界通信網(wǎng)絡(luò)本文檔共49頁；當前第40頁；編輯于星期三\2點5分等保體系達標需請相應級別、具有資質(zhì)的測評中心進行等保測評；

流程六：等保體系測評

以相應的政策、標準為基準，對等保體系進行風險評測，從面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用角度，分析信息系統(tǒng)的等保體系是否達標。等保測評完成后出具《測評報告》和《整改意見》；等保體系測評信息等保整改通過未通過本文檔共49頁；當前第41頁；編輯于星期三\2點5分構(gòu)筑由安全管理中心統(tǒng)一管理下的計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防御體系。安全區(qū)域邊界安全計算環(huán)境安全管理中心安全通信網(wǎng)絡(luò)

流程七：等保體系整改建設(shè)完成本文檔共49頁；當前第42頁；編輯于星期三\2點5分內(nèi)容概要信息安全與等級保護什么是等級保護等級保護的國家政策與標準規(guī)范等級保護的工作內(nèi)容等級保護的建設(shè)流程等級保護各參與部門的角色定位涉及國家秘密信息系統(tǒng)的分保護管理本文檔共49頁；當前第43頁；編輯于星期三\2點5分等級保護各參與部門的角色定位《信息安全等級保護管理辦法》公安機關(guān)負責信息安全等級保護工作的監(jiān)督、檢查、指導——公安部及地方公安部門、網(wǎng)監(jiān)部門國家保密工作部門負責等級保護工作中有關(guān)保密工作的監(jiān)督、檢查、指導——國家保密局及地方保密局國家密碼管理部門負責等級保護工作中有關(guān)密碼工作的監(jiān)督、檢查、指導——國密辦及地方密碼管理局/辦國務(wù)院信息化領(lǐng)導小組負責等級保護工作的部門間協(xié)調(diào)——國信辦、工信部及地方信息辦等級保護測評機構(gòu)負責按照國家相關(guān)