等保三級(jí)系統(tǒng)加固及測(cè)評(píng)關(guān)鍵點(diǎn)課件

等保三級(jí)系統(tǒng)加固及測(cè)評(píng)關(guān)鍵點(diǎn)等保三級(jí)系統(tǒng)加固及測(cè)評(píng)關(guān)鍵點(diǎn)第1頁(yè)Before《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（1994年國(guó)務(wù)院147號(hào)令）《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作意見(jiàn)》（中辦發(fā)[]27號(hào)）《關(guān)于信息安全等級(jí)保護(hù)工作實(shí)施意見(jiàn)》（公通字[]66號(hào)）《信息安全等級(jí)保護(hù)管理方法》（公通字[]43號(hào)）《關(guān)于開(kāi)展全國(guó)主要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作通知》（公信安[]861號(hào)）－－－上海市：滬公發(fā)[]319號(hào)《上海市迎世博信息安全保障兩年行動(dòng)計(jì)劃》《年信息安全等級(jí)保護(hù)工作內(nèi)容及詳細(xì)要求》（公信安[]232號(hào)）《關(guān)于組織開(kāi)展年度本市主要信息系統(tǒng)等級(jí)保護(hù)工作通知》

（滬公發(fā)[]187號(hào)）－－－滬公發(fā)[]173號(hào)、滬密局[]39號(hào)、。。。等級(jí)保護(hù)－－政策推進(jìn)過(guò)程等保三級(jí)系統(tǒng)加固及測(cè)評(píng)關(guān)鍵點(diǎn)第2頁(yè)基礎(chǔ)類《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》GB17859-1999《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》GB/TCCCC-CCCC報(bào)批稿

應(yīng)用類定級(jí)：《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》GB/T22240-建設(shè)：《信息系統(tǒng)安全等級(jí)保護(hù)基礎(chǔ)要求》GB/T22239-

《信息系統(tǒng)通用安全技術(shù)要求》GB/T20271-《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》測(cè)評(píng)：《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》GB/TDDDD-DDDD報(bào)批稿

《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》管理：《信息系統(tǒng)安全管理要求》GB/T20269-《信息系統(tǒng)安全工程管理要求》GB/T20282-等級(jí)保護(hù)－－十大關(guān)鍵標(biāo)準(zhǔn)等保三級(jí)系統(tǒng)加固及測(cè)評(píng)關(guān)鍵點(diǎn)第3頁(yè)等級(jí)保護(hù)－－完全實(shí)施過(guò)程信息系統(tǒng)定級(jí)安全總體規(guī)劃安全設(shè)計(jì)與實(shí)施安全運(yùn)行維護(hù)信息系統(tǒng)終止安全等級(jí)測(cè)評(píng)信息系統(tǒng)立案安全整改設(shè)計(jì)等級(jí)符合性檢驗(yàn)應(yīng)急預(yù)案及演練安全要求整改安全等級(jí)整改局部調(diào)整等級(jí)變更等保三級(jí)系統(tǒng)加固及測(cè)評(píng)關(guān)鍵點(diǎn)第4頁(yè)能力、辦法和要求安全保護(hù)能力基礎(chǔ)安全要求等保3級(jí)信息系統(tǒng)基礎(chǔ)技術(shù)辦法基礎(chǔ)管理辦法具備包含包含滿足滿足實(shí)現(xiàn)等保三級(jí)系統(tǒng)加固及測(cè)評(píng)關(guān)鍵點(diǎn)第5頁(yè)等級(jí)保護(hù)基礎(chǔ)安全要求某級(jí)系統(tǒng)物理安全技術(shù)要求管理要求基礎(chǔ)要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理等保三級(jí)系統(tǒng)加固及測(cè)評(píng)關(guān)鍵點(diǎn)第6頁(yè)三級(jí)系統(tǒng)控制類及控制項(xiàng)指標(biāo)類技術(shù)/管理層面類數(shù)量項(xiàng)數(shù)量S類(3級(jí))A類(3級(jí))G類(3級(jí))小計(jì)小計(jì)安全技術(shù)物理安全1181032網(wǎng)絡(luò)安全106733主機(jī)安全313732應(yīng)用安全522931數(shù)據(jù)安全21038安全管理安全管理制度N/A311安全管理機(jī)構(gòu)520人員安全管理516系統(tǒng)建設(shè)管理1145系統(tǒng)運(yùn)維管理1360合

計(jì)73（類）290（項(xiàng)）等保三級(jí)系統(tǒng)加固及測(cè)評(píng)關(guān)鍵點(diǎn)第7頁(yè)物理安全主要包括方面包含環(huán)境安全（防火、防水、防雷擊等）設(shè)備和介質(zhì)防偷竊防破壞等方面。物理安全詳細(xì)包含：10個(gè)控制點(diǎn)物理位置選擇（G）、物理訪問(wèn)控制（G）、防偷竊和防破壞（G）、防雷擊（G)、防火（G）、防水和防潮（G）、防靜電（G）、溫濕度控制（G）、電力供給（A）、電磁防護(hù)（S）三級(jí)系統(tǒng)安全保護(hù)要求—物理安全等保三級(jí)系統(tǒng)加固及測(cè)評(píng)關(guān)鍵點(diǎn)第8頁(yè)物理位置選擇基礎(chǔ)防護(hù)能力高層、地下室物理訪問(wèn)控制基礎(chǔ)出入控制分區(qū)域管理在機(jī)房中活動(dòng)電子門(mén)禁防偷竊和防破壞存放位置、標(biāo)識(shí)標(biāo)識(shí)監(jiān)控報(bào)警系統(tǒng)防雷擊建筑防雷、機(jī)房接地設(shè)備防雷防火滅火設(shè)備、自動(dòng)報(bào)警自動(dòng)消防系統(tǒng)區(qū)域隔離辦法防靜電關(guān)鍵設(shè)備主要設(shè)備防靜電地板電力供給穩(wěn)定電壓、短期供給主要設(shè)備冗余/并行線路備用供電系統(tǒng)電磁防護(hù)線纜隔離接地防干擾電磁屏蔽防水和防潮溫濕度控制物理安全整改關(guān)鍵點(diǎn)等保三級(jí)系統(tǒng)加固及測(cè)評(píng)關(guān)鍵點(diǎn)第9頁(yè)物理位置選擇物理訪問(wèn)控制防偷竊和防破壞防雷擊、防火、防水和防潮、防靜電、溫濕度控制電力供給電磁防護(hù)不做硬性要求等保三級(jí)系統(tǒng)加固及測(cè)評(píng)關(guān)鍵點(diǎn)第10頁(yè)網(wǎng)絡(luò)安全主要關(guān)注方面包含：網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界以及網(wǎng)絡(luò)設(shè)備本身安全等。網(wǎng)絡(luò)安全詳細(xì)包含：7個(gè)控制點(diǎn)

結(jié)構(gòu)安全(G)、訪問(wèn)控制(G)、安全審計(jì)(G)、邊界完整性檢驗(yàn)(A)、入侵防范(G)、惡意代碼防范(G)、網(wǎng)絡(luò)設(shè)備防護(hù)(G)三級(jí)系統(tǒng)安全保護(hù)要求—網(wǎng)絡(luò)安全等保三級(jí)系統(tǒng)加固及測(cè)評(píng)關(guān)鍵點(diǎn)第11頁(yè)結(jié)構(gòu)安全關(guān)鍵設(shè)備冗余空間主要設(shè)備冗余空間訪問(wèn)控制訪問(wèn)控制設(shè)備（用戶、網(wǎng)段）應(yīng)用層協(xié)議過(guò)濾撥號(hào)訪問(wèn)限制會(huì)話終止安全審計(jì)日志統(tǒng)計(jì)審計(jì)報(bào)表邊界完整性檢驗(yàn)內(nèi)部非法聯(lián)出非授權(quán)設(shè)備私自外聯(lián)網(wǎng)絡(luò)安全整改關(guān)鍵點(diǎn)子網(wǎng)/網(wǎng)段控制關(guān)鍵網(wǎng)絡(luò)帶寬整體網(wǎng)絡(luò)帶寬主要網(wǎng)段布署路由控制帶寬分配優(yōu)先級(jí)端口控制最大流量數(shù)及最大連接數(shù)預(yù)防地址坑騙審計(jì)統(tǒng)計(jì)保護(hù)定位及阻斷入侵防范檢測(cè)常見(jiàn)攻擊統(tǒng)計(jì)、報(bào)警惡意代碼防范網(wǎng)絡(luò)邊界處防范網(wǎng)絡(luò)設(shè)備防護(hù)基礎(chǔ)登錄判別組合判別技術(shù)特權(quán)用戶權(quán)限分離等保三級(jí)系統(tǒng)加固及測(cè)評(píng)關(guān)鍵點(diǎn)第12頁(yè)結(jié)構(gòu)安全訪問(wèn)控制安全審計(jì)增加違規(guī)外聯(lián)檢測(cè)阻斷產(chǎn)品邊界完整性檢驗(yàn)入侵防范增加網(wǎng)關(guān)型防毒墻產(chǎn)品惡意代碼防范網(wǎng)絡(luò)設(shè)備尤其配置服務(wù)網(wǎng)絡(luò)設(shè)備防護(hù)增加網(wǎng)絡(luò)安全審計(jì)產(chǎn)品等保三級(jí)系統(tǒng)加固及測(cè)評(píng)關(guān)鍵點(diǎn)第13頁(yè)主機(jī)系統(tǒng)安全是包含服務(wù)器、終端/工作站等在內(nèi)計(jì)算機(jī)設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)層面安全。主機(jī)安全詳細(xì)包含：7個(gè)控制點(diǎn)身份判別(S)、訪問(wèn)控制(S)、安全審計(jì)(G)、剩下信息保護(hù)(S)、入侵防范(G)、惡意代碼防范(G)、資源控制(A)三級(jí)系統(tǒng)安全保護(hù)要求—主機(jī)安全等保三級(jí)系統(tǒng)加固及測(cè)評(píng)關(guān)鍵點(diǎn)第14頁(yè)身份判別基礎(chǔ)身份判別訪問(wèn)控制安全策略管理用戶權(quán)限分離特權(quán)用戶權(quán)限分離安全審計(jì)服務(wù)器基礎(chǔ)運(yùn)行情況審計(jì)審計(jì)報(bào)表剩下信息保護(hù)空間釋放及信息去除主機(jī)安全整改關(guān)鍵點(diǎn)組合判別技術(shù)敏感標(biāo)識(shí)設(shè)置及操作審計(jì)統(tǒng)計(jì)保護(hù)入侵防范最小安裝標(biāo)準(zhǔn)主要服務(wù)器：檢測(cè)、統(tǒng)計(jì)、報(bào)警惡意代碼防范主機(jī)與網(wǎng)絡(luò)防范產(chǎn)品不一樣資源控制監(jiān)視主要服務(wù)器最小服務(wù)水平檢測(cè)及報(bào)警主要客戶端審計(jì)升級(jí)服務(wù)器主要程序完整性防惡意代碼軟件、代碼庫(kù)統(tǒng)一管理對(duì)用戶會(huì)話數(shù)及終端登錄限制等保三級(jí)系統(tǒng)加固及測(cè)評(píng)關(guān)鍵點(diǎn)第15頁(yè)身份判別訪問(wèn)控制安全審計(jì)增加身份認(rèn)證系統(tǒng)剩下信息保護(hù)入侵防范訪問(wèn)控制策略配置服務(wù)比較超前較難實(shí)現(xiàn)主機(jī)入侵防范策略配置服務(wù)惡意代碼防范資源控制網(wǎng)管軟件和主機(jī)配置服務(wù)等保三級(jí)系統(tǒng)加固及測(cè)評(píng)關(guān)鍵點(diǎn)第16頁(yè)應(yīng)用系統(tǒng)安全就是保護(hù)系統(tǒng)各種應(yīng)用程序安全運(yùn)行。包含基礎(chǔ)應(yīng)用，如：消息發(fā)送、web瀏覽等；業(yè)務(wù)應(yīng)用，如：電子商務(wù)、電子政務(wù)等。應(yīng)用安全詳細(xì)包含：9個(gè)控制點(diǎn)身份判別（S）、訪問(wèn)控制（S）、安全審計(jì)（G）、剩下信息保護(hù)（S）、通信完整性（S）、通信保密性（S）、抗抵賴（G）、軟件容錯(cuò)（A）、資源控制（A）三級(jí)系統(tǒng)安全保護(hù)要求—應(yīng)用安全等保三級(jí)系統(tǒng)加固及測(cè)評(píng)關(guān)鍵點(diǎn)第17頁(yè)身份判別基礎(chǔ)身份判別訪問(wèn)控制安全策略最小授權(quán)標(biāo)準(zhǔn)安全審計(jì)運(yùn)行情況審計(jì)（用戶級(jí)）審計(jì)報(bào)表剩下信息保護(hù)空間釋放及信息去除應(yīng)用安全整改關(guān)鍵點(diǎn)組合判別技術(shù)敏感標(biāo)識(shí)設(shè)置及操作審計(jì)過(guò)程保護(hù)通信完整性校驗(yàn)碼技術(shù)密碼技術(shù)軟件容錯(cuò)自動(dòng)保護(hù)功效資源控制資源分配限制、資源分配優(yōu)先級(jí)最小服務(wù)水平檢測(cè)及報(bào)警數(shù)據(jù)有效性檢驗(yàn)、個(gè)別運(yùn)行保護(hù)對(duì)用戶會(huì)話數(shù)及系統(tǒng)最大并發(fā)會(huì)話數(shù)限制審計(jì)統(tǒng)計(jì)保護(hù)通信保密性初始化驗(yàn)證整個(gè)報(bào)文及會(huì)話過(guò)程加密敏感信息加密抗抵賴等保三級(jí)系統(tǒng)加固及測(cè)評(píng)關(guān)鍵點(diǎn)第18頁(yè)身份判別訪問(wèn)控制安全審計(jì)應(yīng)用軟件本身配置或升級(jí)剩下信息保護(hù)通信完整性訪問(wèn)控制策略配置服務(wù)通信保密性抗抵賴軟件容錯(cuò)資源控制系統(tǒng)審計(jì)配置服務(wù)比較超前較難實(shí)現(xiàn)增加通訊加密伎倆建立統(tǒng)一CA中心比較超前較難實(shí)現(xiàn)可經(jīng)過(guò)配置服務(wù)到達(dá)個(gè)別要求等保三級(jí)系統(tǒng)加固及測(cè)評(píng)關(guān)鍵點(diǎn)第19頁(yè)數(shù)據(jù)安全主要是保護(hù)用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)保護(hù)。將對(duì)數(shù)據(jù)造成損害降至最小。備份恢復(fù)也是預(yù)防數(shù)據(jù)被破壞后無(wú)法恢復(fù)主要伎倆，主要包含數(shù)據(jù)備份、硬件冗余和異地實(shí)時(shí)備份。數(shù)據(jù)安全和備份恢復(fù)詳細(xì)包含：3個(gè)控制點(diǎn)

數(shù)據(jù)完整性（S）、數(shù)據(jù)保密性（S）、備份和恢復(fù)（A）三級(jí)系統(tǒng)安全保護(hù)要求—數(shù)據(jù)安全與備份恢復(fù)等保三級(jí)系統(tǒng)加固及測(cè)評(píng)關(guān)鍵點(diǎn)第20頁(yè)數(shù)據(jù)完整性判別數(shù)據(jù)傳輸完整性備份和恢復(fù)主要數(shù)據(jù)備份數(shù)據(jù)安全及備份恢復(fù)整改關(guān)鍵點(diǎn)各類數(shù)據(jù)傳輸及存放異地備份網(wǎng)絡(luò)冗余、硬件冗余當(dāng)?shù)赝耆珎浞萦布哂鄼z測(cè)和恢復(fù)數(shù)據(jù)保密性判別數(shù)據(jù)存放保密性各類數(shù)據(jù)傳輸及存放天天1次備份介質(zhì)場(chǎng)外存放等保三級(jí)系統(tǒng)加固及測(cè)評(píng)關(guān)鍵點(diǎn)第21頁(yè)數(shù)據(jù)完整性數(shù)據(jù)保密性備份與恢復(fù)建立統(tǒng)一CA中心增加通訊加密伎倆僅世博相關(guān)單位等保三級(jí)系統(tǒng)加固及測(cè)評(píng)關(guān)鍵點(diǎn)第22頁(yè)23管理要求方面整改管理制度管理機(jī)構(gòu)人員管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理信息系統(tǒng)等保三級(jí)系統(tǒng)加固及測(cè)評(píng)關(guān)鍵點(diǎn)第23頁(yè)安全管理制度包含信息安全工作總體方針、策略、規(guī)范各種安全管理活動(dòng)管理制度以及管理人員或操作人員日常操作操作規(guī)程。安全管理制度詳細(xì)包含：3個(gè)控制點(diǎn)

管理制度、制訂和公布、評(píng)審和修訂整改關(guān)鍵點(diǎn)：形成信息安全管理制度體系、統(tǒng)一公布、定時(shí)修訂等三級(jí)系統(tǒng)安全保護(hù)要求—安全管理制度等保三級(jí)系統(tǒng)加固及測(cè)評(píng)關(guān)鍵點(diǎn)第24頁(yè)安全管理機(jī)構(gòu)主要是在單位內(nèi)部結(jié)構(gòu)上建立一整套從單位最高管理層（董事會(huì)）到執(zhí)行管理層以及業(yè)務(wù)運(yùn)行層管理結(jié)構(gòu)來(lái)約束和確保各項(xiàng)安全管理辦法執(zhí)行。安全管理機(jī)構(gòu)詳細(xì)包含：5個(gè)控制點(diǎn)崗位設(shè)置、人員配置、授權(quán)和審批、溝通和合作、審核和檢驗(yàn)整改關(guān)鍵點(diǎn)：信息安全領(lǐng)導(dǎo)小組與職能部門(mén)、專職安全員、定時(shí)全方面安全檢驗(yàn)、定時(shí)協(xié)調(diào)會(huì)議、外部溝通與合作等三級(jí)系統(tǒng)安全保護(hù)要求—安全管理機(jī)構(gòu)等保三級(jí)系統(tǒng)加固及測(cè)評(píng)關(guān)鍵點(diǎn)第25頁(yè)對(duì)人員安全管理，主要包括兩方面：對(duì)內(nèi)部人員安全管理和對(duì)外部人員安全管理。人員安全管理詳細(xì)包含：5個(gè)控制點(diǎn)人員錄用、人員離崗、人員考評(píng)、安全意識(shí)教育及培訓(xùn)、外部人員訪問(wèn)管理整改關(guān)鍵點(diǎn)：全員保密協(xié)議、關(guān)鍵崗位人員管理、針對(duì)不一樣崗位培訓(xùn)計(jì)劃、外部人員訪問(wèn)管理三級(jí)系統(tǒng)安全保護(hù)要求—人員安全管理等保三級(jí)系統(tǒng)加固及測(cè)評(píng)關(guān)鍵點(diǎn)第26頁(yè)系統(tǒng)建設(shè)管理分別從定級(jí)、設(shè)計(jì)建設(shè)實(shí)施、驗(yàn)收交付、測(cè)評(píng)等方面考慮，關(guān)注各項(xiàng)安全管理活動(dòng)。系統(tǒng)建設(shè)管理詳細(xì)包含：11個(gè)控制點(diǎn)系統(tǒng)定級(jí)、安全方案設(shè)計(jì)、產(chǎn)品采購(gòu)和使用、自行軟件開(kāi)發(fā)、外包軟件開(kāi)發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、系統(tǒng)立案、等級(jí)測(cè)評(píng)、

安全服務(wù)商選擇整改關(guān)鍵點(diǎn)：系統(tǒng)定級(jí)論證、總體規(guī)劃、產(chǎn)品選型測(cè)試、開(kāi)發(fā)過(guò)程人員控制、工程實(shí)施制度化、第三方委托測(cè)試、運(yùn)行起30天內(nèi)立案、每年進(jìn)行1次等級(jí)測(cè)評(píng)、安全服務(wù)商選擇三級(jí)系統(tǒng)安全保護(hù)要求—系統(tǒng)建設(shè)管理等保三級(jí)系統(tǒng)加固及測(cè)評(píng)關(guān)鍵點(diǎn)第27頁(yè)系統(tǒng)運(yùn)維管理包括日常管理、變更管理、制度化管理、安全事件處置、應(yīng)急預(yù)案管理和安管中心等。系統(tǒng)運(yùn)維管理詳細(xì)包含：13個(gè)控制點(diǎn)環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、