信息安全等級保護培訓課件_第1頁
信息安全等級保護培訓課件_第2頁
信息安全等級保護培訓課件_第3頁
信息安全等級保護培訓課件_第4頁
信息安全等級保護培訓課件_第5頁
已閱讀5頁,還剩51頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

信息安全等級保護培訓安全服務部陳堅城

等級保護基本要求

等級保護基本概念介紹

等級保護定級123

等級保護測評實施4等級保護基本概念介紹《信息安全等級保護管理辦法》指出

信息安全等級保護是以信息為核心。根據信息和信息系統在國家安全、經濟建設、社會生活中的重要程度;遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度;針對信息的保密性、完整性和可用性要求及信息系統必須要達到的基本的安全保護水平等因素,對最核心的信息和信息系統劃分為五個安全保護和監(jiān)管等級,實行分等級保護。什么是等級保護?為什么實行等級保護?

“一個提高,六個有利于”實施信息安全等級保護,可以有效地提高我國信息安全建設的整體水平。有利于在信息化建設過程中同步建設信息安全設施,保障信息安全與信息化建設相協調;有利于加強對涉及國家安全、經濟秩序、社會穩(wěn)定和公共利益的信息系統的安全保護和管理監(jiān)督;有利于明確國家、法人和其他組織、公民的安全責任,強化政府監(jiān)管職能,共同落實各項安全建設和安全管理措施;有利于提高安全保護的科學性、整體性、針對性,推動信息安全產業(yè)水平,逐步探索一條適應社會主義市場經濟發(fā)展的信息安全發(fā)展模式。有利于明確國家、法人和其他組織、公民的安全責任,強化政府監(jiān)管職能,共同落實各項安全建設和安全管理措施;有利于提高安全保護的科學性、整體性、針對性,推動信息安全產業(yè)水平,逐步探索一條適應社會主義市場經濟發(fā)展的信息安全發(fā)展模式。近期重大信息泄密事件2010年7月26日,Wikileaks(維基泄密)的網站在《紐約時報》《衛(wèi)報》和《鏡報》配合下,在網上公開了多達9.2萬份的駐阿美軍高度秘密文件,引起軒然大波。近期,一些同阿桑奇發(fā)生糾葛的組織和個人遭到在線攻擊,似乎是黑客為該網站進行報復而采取的行動。這一泄密行為很可能危及到目前在阿美軍士兵的安全。電腦戰(zhàn)爭爆發(fā)轟癱伊朗核電站伊朗2010年9月26日向外界證實,“震網”(Stuxnet)電腦病毒入侵伊朗布什爾核電站。導致伊朗核計劃延遲1年以上。為什么實行等級保護?銀行網站被“釣魚”者仿冒真正的中國工商銀行網站

假冒的中國工商銀行網站

為什么實行等級保護?揚州市城鄉(xiāng)建設局網站信息安全保護的必要性和緊迫性據近期全球信息安全調查報告顯示,中國內地企業(yè)在信息安全管理方面存在滯后,信息安全與隱私保障方面已被印度趕超。數據顯示,內地企業(yè)44%的信息安全事件與數據失竊有關,而全球的平均水平只有16%。42%的中國內地受訪企業(yè)都經歷了應用軟件、系統和網絡的安全事件。由此可以看出,泄密給中國企業(yè)造成了巨大的損失,中國的企業(yè)迫切的需要一種全新的數據安全產品改善這種不完善的信息安全機制,只有企業(yè)的核心數據得到有效的保護,企業(yè)的核心競爭力才能得到更大的提升。信息安全等級保護的標準體系基礎類《計算機信息系統安全保護等級劃分準則》GB17859-1999《信息系統安全等級保護實施指南》GB/T25058-2010應用類定級:《信息系統安全保護等級定級指南》GB/T22240-2008建設:《信息系統安全等級保護基本要求》GB/T22239-2008

《信息系統通用安全技術要求》GB/T20271-2006

《信息系統等級保護安全設計技術要求》GB/T25070-2010測評:《信息系統安全等級保護測評要求》《信息系統安全等級保護測評過程指南》管理:《信息系統安全管理要求》GB/T20269-2006

《信息系統安全工程管理要求》GB/T20282-2006信息安全等級保護的標準體系技術類GB/T21052-2007信息安全技術

信息系統物理安全技術要求GB/T20270-2006信息安全技術

網絡基礎安全技術要求GB/T20271-2006信息安全技術

信息系統通用安全技術要求GB/T20272-2006信息安全技術

操作系統安全技術要求GB/T20273-2006信息安全技術

數據庫管理系統安全技術要求其他信息產品、信息安全產品等其它類GB/T20984-2007信息安全技術

信息安全風險評估規(guī)范GB/T20285-2007信息安全技術

信息安全事件管理指南GB/Z20986-2007信息安全技術

信息安全事件分類分級指南GB/T20988-2007信息安全技術

信息系統災難恢復規(guī)范等級保護標準與工作環(huán)節(jié)的關系信息安全等級保護安全建設整改工作安全等級現狀分析方法指導信息系統安全等級保護定級指南信息系統安全等級保護測評過程指南信息系統安全等級保護測評要求安全要求信息系統安全等級保護實施指南信息系統等級保護安全設計技術要求信息系統安全等級保護行業(yè)定級細則信息系統安全等級保護基本要求計算機信息系統安全保護等級劃分準則(GB17859)技術類管理類信息系統安全等級保護基本要求的行業(yè)細則產品類操作系統安全技術要求數據庫管理系統安全技術要求網絡和終端設備隔離部件技術要求其他產品類標準信息系統通用安全技術要求信息系統物理安全技術要求網絡基礎安全技術要求其他技術類標準信息系統安全管理要求信息系統安全工程管理要求其他管理類標準信息安全等級保護工作要求遵循以下基本原則:自主保護原則信息系統運營、使用單位及其主管部門按照國家相關法規(guī)和標準,自主確定信息系統的安全保護等級,自行組織實施安全保護。重點保護原則根據信息系統的重要程度、業(yè)務特點,通過劃分不同安全保護等級的信息系統,實現不同強度的安全保護,集中資源優(yōu)先保護涉及核心業(yè)務或關鍵信息資產的信息系統。同步建設原則信息系統在新建、改建、擴建時應當同步規(guī)劃和設計安全方案,投入一定比例的資金建設信息安全設施,保障信息安全與信息化建設相適應。動態(tài)調整原則要跟蹤信息系統的變化情況,調整安全保護措施。由于信息系統的應用類型、范圍等條件的變化及其他原因,安全保護等級需要變更的,應當根據等級保護的管理規(guī)范和技術標準的要求,重新確定信息系統的安全保護等級,根據信息系統安全保護等級的調整情況,重新實施安全保護。信息安全等級保護要做什么?全面完成定級備案進一步清理本單位信息系統看是否有否未定級所定的級別是否準確定級偏低百害而無一利上級領導的重視程度自然減弱經費保障也不到位出了安全問題承擔責任落實等保經費保障國家發(fā)展和改革委員會、公安部、保密局聯合發(fā)出《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》省發(fā)改委、公安廳、保密局已轉發(fā)。組織實施安全整改自檢測評整改方案整改實施整改后的測評加強系統監(jiān)督檢查運營、使用單位對于第三級信息系統應當每年至少進行一次等級測評,第四級信息系統應當每半年至少進行一次等級測評。第三級信息系統應當每年至少進行一次自查,第四級信息系統應當每半年至少進行一次自查。將安全測評納入自查環(huán)節(jié),在自查結束后將自查報告連同測評報告報公安網監(jiān)部門。國家對等級保護測評的要求《信息安全等級保護管理辦法》“等級保護的實施與管理”第十四條指出:信息系統建設完成后,運營、使用單位或者其主管部門應當選擇符合本辦法規(guī)定條件的測評單位,依據《信息系統安全等級保護基本要求》等技術標準,定期對信息系統安全等級狀況開展等級測評。第三級信息系統應當每年至少進行一次等級測評,第四級信息系統應當每半年至少進行一次等級測評,第五級信息系統應當依據特殊安全需求進行等級測評。廣東省安全保護條例對測評要求第十二條第二級以上計算機信息系統建設完成后,運營、使用單位或者其主管部門應當選擇符合國家規(guī)定的安全等級測評機構,依據國家規(guī)定的技術標準,對計算機信息系統安全等級狀況開展等級測評,測評合格后方可投入使用。第十三條計算機信息系統的運營、使用單位及其主管部門應當按照國家規(guī)定定期對計算機信息系統開展安全等級測評,并對計算機信息系統安全狀況、安全管理制度及措施的落實情況進行自查。計算機信息系統安全狀況經測評或者自查,未達到安全等級保護要求的,運營、使用單位應當進行整改。等級保護實施的基本流程系統備案公安網監(jiān)審核安全需求分析定級不準材料不齊頒發(fā)證書規(guī)劃等保整改方案檢查報告及整改方案提交網監(jiān)備案等保整改實施等保驗收測評測評報告提交網監(jiān)備案運營單位系統自運維材料齊、定級準合格不合格合格不合格已建運行系統在定級確定后,新建系統在通過立項申請后,30日內由所屬公安機關辦理備案手續(xù)根據等保有關規(guī)定和標準,分析系統安全建設整改需求,可委托等保技術支持單位進行??晌杏械缺U暮拖到y集成資質的單位進行,采用集成項目實施方法進行。選擇第三方等級測評機構進行測評,其中新建系統可以在試運行階段進行。三級系統每年一次,四級系統每半年一次,選擇第三方等級測評機構進行測評系統定級系統運營單位按照《信息系統信息安全等級保護定級指南》自行申報。等級保護工作的實施過程定級備案安全需求分析(差距測評)安全整改驗收測評項目驗收定期檢查階段定級備案安全需求分析安全整改驗收測評項目驗收定期檢查主要負責系統運營使用單位網監(jiān)安全咨詢服務機構系統運營使用單位等級測評機構系統運營使用單位系統運營使用單位配合工作安全咨詢服務機構系統運營使用單位系統運營使用單位安全咨詢服務機構系統運營使用單位等級測評機構等級測評機構監(jiān)督檢查網監(jiān)/網監(jiān)網監(jiān)網監(jiān)網監(jiān)網監(jiān)廣東省等保驗收測評機構等級保護定級關于定級范圍(一)電信、廣電行業(yè)的公用通信網、廣播電視傳輸網等基礎信息網絡,經營性公眾互聯網信息服務單位、互聯網接入服務單位、數據中心等單位的重要信息系統。(二)鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、統計、工商行政管理、郵政等行業(yè)、部門的生產、調度、管理、辦公等重要信息系統。

(三)市(地)級以上黨政機關的重要網站和辦公信息系統

標準定位《GB/T22240-2008信息系統安全等級保護定級指南》

※系統定級是開展信息系統安全等級保護工作的“基本出發(fā)點”。

※定級結果應當成為安全保護的總體安全需求。7、系統服務安全等級定級方法與流程26保護對象受到破壞時受侵害的客體對客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級等級保護定級方法保護對象對客體的侵害程度客體:社會關系受侵害的客體信息系統安全等級系統服務安全等級業(yè)務信息安全等級3、綜合評定對客體的侵害程度2、確定業(yè)務信息安全受到破壞時所侵害的客體6、綜合評定對客體的侵害程度5、確定系統服務安全受到破壞時所侵害的客體4、業(yè)務信息安全等級8、定級對象的安全保護等級8=MAX(4,7)1、確定定級對象(系統邊界)一般流程等級確定定級指南表1-定級要素與安全保護等級的關系等級保護基本要求

基本要求的作用基本要求監(jiān)管機構檢查測評機構測評使用單位自查集成廠商指導建設基本要求的定位是系統安全保護、等級測評的一個基本“標尺”,同樣級別的系統使用統一的“標尺”來衡量,保證權威性,是一個達標線;每個級別的信息系統按照基本要求進行保護后,信息系統具有相應等級的基本安全保護能力,達到一種基本的安全狀態(tài);是每個級別信息系統進行安全保護工作的一個基本出發(fā)點,更加貼切的保護可以通過需求分析對基本要求進行補充,參考其他有關等級保護或安全方面的標準來實現?;疽蟮亩ㄎ荒臣壪到y基本要求技術要求管理要求建立安全技術體系建立安全管理體系某級系統等級保護基本要求構架基本要求技術要求物理安全網絡安全主機安全應用安全數據安全管理要求安全管理機構安全管理制度人員安全管理系統建設管理系統運維管理某級系統基本要求標注方式信息系統安全等級保護基本要求技術要求管理要求要求標注業(yè)務信息安全類要求

(標記為S類)系統服務保證類要求

(標記為A類)通用安全保護類要求

(標記為G類)基本要求的選擇和使用一個3級系統,定級結果為S3A2,安全保護類型應該是S3A2G3第1步:選擇標準中3級基本要求的技術要求和管理要求;第2步:要求中標注為S類和G類的不變;標注為A類的要求可以選用2級基本要求中的A類作為基本要求;安全保護和系統定級的關系34安全保護等級信息系統定級結果的組合第一級S1A1G1第二級S1A2G2,S2A2G2,S2A1G2第三級S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3第四級S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4第五級S1A5G5,S2A5G5,S3A5G5,S4A5G5,S5A4G5,S5A3G5,S5A2G5,S5A1G5基本保護要求(最低)保護能力對抗能力+恢復能力技術要求+管理要求物理、網絡、主機、應用、數據制度、機構、人員、建設、運維縱深防御、互補關聯、強度一致、

平臺統一、集中安管業(yè)務信息安全類要求S系統服務保證類要求A通用安全保護類要求G整體安全保護能力關鍵控制點安全類具體要求項控制強度安全要求類層面一級二級三級四級技術要求物理安全7101010網絡安全3677主機安全4679應用安全47911數據安全及備份恢復2333管理要求安全管理制度2333安全管理機構4555人員安全管理4555系統建設管理991111系統運維管理9121313合計/48667377級差//1874控制點各個級別的控制點35安全要求類層面一級二級三級四級技術要求物理安全9193233網絡安全9183332主機安全6193236應用安全7193136數據安全及備份恢復24811管理要求安全管理制度371114安全管理機構492020人員安全管理7111618系統建設管理20284548系統運維管理18416270合計/85175290318級差//9011528控制項36各個級別的具體控制項等級保護測評實施等級保護測評中的角色和職責關系系統承建單位主管\使用\運行單位測評機構專家組支持測評提供技術、工程和質量文檔實施的配合公安網監(jiān)部門對方案評審對評估結論進行評審測評工作

組織與監(jiān)管制定測評計劃和方案等相關文檔在相關單位支持下實施等級測評提交測評報告測評工作組織協調確保技術、工程和質量文檔、提供運營相關文檔的提供評審實施方案等相關文檔配合等級測評實施測評過程中的風險管理和應急管理等級保護測評的實施方法等保評測資產對象調研技術類管理類物理安全核查網絡安全核查主機安全核查應用安全核查數據安全核查漏洞掃描安全管理機構核查安全管理制度核查人員安全管理核查系統建設管理核查系統運維管理核查安全分析/整改設計技術類管理類物理安全合規(guī)性網絡安全合規(guī)性主機安全合規(guī)性應用安全合規(guī)性數據安全合規(guī)性安全管理機構合規(guī)性安全管理制度合規(guī)性人員安全管理合規(guī)性系統建設管理合規(guī)性系統運維管理合規(guī)性項目

驗收資產調研表網絡拓撲圖等級保護安全整改方案等級保護測評報告驗收報告等級保護測評過程40等級測評過程方案編制測評準備分析與報告編制現場測評項目啟動、信息收集和分析、工具和表單準備文檔R&R測評對象確定、測評指標確定、

測試工具接入點確定、測評內容確定、

測評實施手冊開發(fā)、測評方案編制現場測評方法確定(一般包括:訪談、檢查、工具測試等)、

現場測評和結果記錄、結果確認和資料歸還單項測評結果判定、單元測評結果判定、整體測評、風險分析、等級測評結論形成、測評報告編制等級保護測評方法(1/2)測評方法測評采用訪談、檢查和測試三種方法,測評對象是測評實施過程中涉及到的信息系統的構成成份,包括人員、文檔、機制、軟件、設備。測評的層面涉及物理安全、網絡安全、主機安全、應用系統安全、數據安全以及安全管理。測評要求使用測評表進行具體檢查時,首先按詢問、查驗、檢測等工作方式將所有檢查項目分類。以訪談方式檢查的項目,在與有關人員的談話或會議上進行;以檢查方式檢查的項目,將需要的文檔清單在檢查現場提交給被檢查方,請被檢查方當前提供并進行查驗;以測試方式檢查的項目,按檢測部門或設備分類后,根據具體情況選擇檢測順序。等級保護測評方法(2/2)對技術要求“訪談”方法:目的是了解信息系統的全局性。范圍一般不覆蓋所有要求內容?!皺z查”方法:目的是確認信息系統當前具體安全機制和運行的配置是否符合要求。范圍一般要覆蓋所有要求內容。“測試”方法:目的是驗證信息系統安全機制有效性和安全強度。范圍不覆蓋所有要求內容。對管理要求對人員方面的要求,重點通過“訪談”的方式來測評,檢查為輔;對過程方面的要求,通過“訪談”和“檢查”的方式來測評;對規(guī)范方面的要求,以“檢查”文檔為主,“訪談”為輔等級保護測評案例某公司(簡稱“AAA”)用電信息系統承載著該公司的電力營銷業(yè)務,由數據存儲、業(yè)務處理、接入、對外服務和外聯等五個功能區(qū)域組成,是一個安全等級為三級的信息系統?,F場測評小組分為管理組(2人)和技術組(4人)兩組,分別完成安全管理和安全技術方面的測評。

被測系統為承載著AAA公司電力營銷業(yè)務,是AAA公司的重要信息系統,其安全等級定為三級(S3A2G3)。

被測系統由數據存儲、業(yè)務處理、接入、對外服務和外聯等五個功能區(qū)域組成.對外有可以為大客戶單位、internet網、撥號用戶等提供電費數據查詢、交納、業(yè)務擴充、投訴等服務的功能模塊。數據存儲功能區(qū)位于屏蔽機房,其它功能區(qū)域位于中心機房。

測評對象(1/4)根據用信息系統的實際情況,分別確定物理安全、網絡安全、主機系統安全、應用安全等各層面的測評對象。物理方面主要是測評屏蔽機房和主機房。網絡方面主要測評的設備有:路由器、交換機、防火墻、IDS、外聯檢測、防病毒等。序號功能區(qū)域設備名稱用途設備信息抽查說明1外聯區(qū)DW3600(Internet)外部接入路由器(Internet)型號:CISCO3600IP:查1臺2DW36002、3、4(DDN)外部接入路由器(DDN)型號:CISCO3600IP:查1臺3DW36005、6(PSTN)外部接入路由器(PSTN撥號接入)型號:CISCO3600IP:查1臺4對外服務區(qū)DW208FWDW208FW防火墻,系統內外隔離型號:Netscreen208

IP:192.168.32-33/24查1臺測評對象(2/4)主機方面主要測評的主機服務器(包括數據庫服務器)。序號設備名稱用途設備信息抽查說明1S1對外服務業(yè)務邏輯處理IBMPC服務器,WIN2003查1臺2S2對外服務網站IBMPC服務器,WIN2003查1臺31#業(yè)務用電業(yè)務處理中間件IBMPC服務器,LINUX查1臺4DB1(數據庫服務器1)用電數據存儲服務器IBM小型機,AIX,SYBASE查1臺5用電業(yè)務客服機運行用電業(yè)務客服端程序DELLPC,WIN2000查1臺6…………測評對象(3/4)應用方面主要測評的應用系統。序號系統名稱系統描述抽查說明1用電應用系統主要完成的功能包括業(yè)務擴充、電量計量、電費計算、查詢、統計等業(yè)務。涉及到的業(yè)務信息包括用戶登錄權限認證信息、用電業(yè)務數據等于電力公司服務業(yè)務相關的信息抽查2對外服務網站系統…3……測評對象(4/4)安全管理,主要測評對象為與信息安全管理有關的策略、制度、操作規(guī)程、運行記錄、管理人員、技術人員和相關設備設施等。測評指標選取被測系統的定級結果為:安全保護等級為3級,業(yè)務信息安全等級為S3,系統服務安全等級為A2;則該系統的測評指標應包括《基本要求》“技術要求”中的3級通用指標類(G3),3級業(yè)務信息安全指標類(S3),2級系統服務安全指標類(A2),以及第3級“管理要求”中的所有指標類。評測指標技術/管理層面類數量S類(3級)A類(2類)G類(3級)小計安全技術物理安全11810網絡安全1067主機安全3137應用安全5229數據安全2103安全管理安全管理機構0033安全管理制度0055人員安全管理0055系統建設管理001111系統運維管理001313合計73類測評工具和接入點根據3級信息系統的測評強度要求,在測試的廣度上,應基本覆蓋不同類型的機制,在數量、范圍上可以抽樣;在測試的深度上,應執(zhí)行功能測試和滲透測試,功能測試可能涉及機制的功能規(guī)范、高級設計和操作規(guī)程等文檔,滲透測試可能涉及機制的所有可用文檔,并試圖智取進入信息系統等。因此,對其進行測評,應涉及到漏洞掃描工具、滲透測評工具集等多種測試工具。使用的測試工具主要有:網絡漏洞掃描器、數據庫安全掃描器、滲透測試工具集等。測評內容—物理安全物理安全測評將通過訪談、文檔審查和實地察看的方式測評信息系統的的物理安全保障情況。主要涉及對象為屏蔽機房和主機房。序號評測指標評測內容描述1物理位置的選擇通過訪談物理安全負責人,檢查屏蔽機房和主機房等過程,測評屏蔽機房和主機房等信息系統物理場所在位置上是否具有防震、防風和防雨等多方面的安全防范能力。2物理訪問控制通過訪談物理安全負責人,檢查屏蔽機房和主機房出入口、機房分區(qū)域情況等過程,評測信息系統在物理訪問控制方面的安全防范能力?!瓬y評內容—網絡安

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論