1、信息系统等级保护内容概要什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容等级保护的建设流程等级保护各参与部门的角色定位 信息安全与等级保护密保(分保)密保(分保) 分三级(绝密、机密、秘密)分三级(绝密、机密、秘密) 涉密环境(网络、终端、应用系统及数据)的信息涉密环境(网络、终端、应用系统及数据)的信息安全安全等保等保 分五级分五级 非涉密环境(网络、终端、应用系统及数据)的信非涉密环境(网络、终端、应用系统及数据)的信息安全息安全信息安全的宏观范畴信息安全的宏观范畴内容概要信息安全与等级保护等级保护的国家政策与标准规范等级保护的工作内容等级保护的建设流程等级保护各参与部门的角色
2、定位 什么是等级保护信息系统等级保护的定义信息系统等级保护的定义 是指对国家秘密信息、法人和其他组织及公民的是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息专有信息以及公开信息和存储、传输、处理这些信息的的信息系统分等级实行安全保护信息系统分等级实行安全保护,对信息系统中使用,对信息系统中使用的的信息安全产品信息安全产品实行实行按等级管理按等级管理,对信息系统中发生,对信息系统中发生的的信息安全事件信息安全事件分等级响应、处置分等级响应、处置。等级保护的等级划分准则根据信息和信息系统遭到破坏或泄露后,对根据信息和信息系统遭到破坏或泄露后,对国国家安全、社
3、会秩序、公共利益及公民、法人和家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益其他组织的合法权益的的危害程度危害程度来进行定级。来进行定级。1、受侵害客体;、受侵害客体;2、受侵害程度;、受侵害程度;等级 对象 侵害客体 侵害程度 监管强度 第一级 合法权益 损害 自主保护 合法权益 严重损害 第二级 一般系统 社会秩序和公共利益 损害 指导 社会秩序和公共利益 严重损害 第三级 国家安全 损害 监督检查 社会秩序和公共利益 特别严重损害 第四级 重要系统 国家安全 严重损害 强制监督检查 第五级 极端重要系统 国家安全 特别严重损害 专门监督检查 等级保护的等级划分准则等级保护涉及
4、的几个基本概念访问:读、写、执行访问:读、写、执行安全策略安全策略安全审计安全审计强制访问控制强制访问控制第一级第一级 用户自主保护级用户自主保护级第二级第二级 系统审计保护系统审计保护第三级第三级 安全标记保护安全标记保护第四级第四级 结构化保护结构化保护第五级第五级 访问验证保护访问验证保护用户自主控制资源访问用户自主控制资源访问访问行为需要被审计访问行为需要被审计通过标记实现强制访问控制通过标记实现强制访问控制可信计算基结构化可信计算基结构化所有的过程都需要验证所有的过程都需要验证等级保护的等级划分准则第一第一级级 自主安全保自主安全保护护第二第二级级 审计审计安全保安全保护护第三第三级
5、级 强制安全保强制安全保护护第四第四级级 结构结构化保化保护护第五第五级级 访问验证访问验证保保护级护级自主访问控制自主访问控制 身份鉴别身份鉴别 完整性保护完整性保护自主访问控制自主访问控制 身份鉴别身份鉴别 完整性保护完整性保护系统审计系统审计 客体重用客体重用自主访问控制自主访问控制 身份鉴别身份鉴别 完整性保护完整性保护系统审计系统审计 客体重用客体重用强制访问控制强制访问控制 标记标记自主访问控制自主访问控制 身份鉴别身份鉴别 完整性保护完整性保护系统审计系统审计 客体重用客体重用强制访问控制强制访问控制 标记标记自主访问控制自主访问控制 身份鉴别身份鉴别 完整性保护完整性保护系统审
6、计系统审计 客体重用客体重用强制访问控制强制访问控制 标记标记隐蔽通道分析隐蔽通道分析 可信路径可信路径隐蔽通道分析隐蔽通道分析 可信路径可信路径可信恢可信恢复复 等级保护的等级划分准则内容概要信息安全与等级保护什么是等级保护等级保护的工作内容等级保护的建设流程等级保护各参与部门的角色定位颁布时间颁布时间文件名称文件名称文号文号颁布机构颁布机构内容及意义内容及意义19941994年年2 2月月1818日日中华人民共和国中华人民共和国计算机信息系统安计算机信息系统安全保护条例全保护条例国务院国务院147147号令号令国务院国务院第一次第一次提出信息系统要实行提出信息系统要实行等级保护,并确定了等
7、级保等级保护,并确定了等级保护的职责单位。护的职责单位。20032003年年9 9月月7 7日日国家信息化领导国家信息化领导小组关于加强信息小组关于加强信息安全保障工作的意安全保障工作的意见见中办国办发中办国办发200327200327号号中共中央办公厅中共中央办公厅国务院办公厅国务院办公厅等级保护工作的开展必须分等级保护工作的开展必须分步骤、分阶段、有计划的实步骤、分阶段、有计划的实施。明确了信息安全等级保施。明确了信息安全等级保护制度的护制度的基本内容基本内容。20042004年年9 9月月1515日日关于信息安全等关于信息安全等级保护工作的实施级保护工作的实施意见意见公通字公通字2004
8、66200466号号公安部公安部国家保密局国家保密局国家密码管理委国家密码管理委员会办公室员会办公室(国家密码管理(国家密码管理局)局)国务院信息化工国务院信息化工作办公室作办公室将等级保护从计算机信息系将等级保护从计算机信息系统安全保护的一项制度提升统安全保护的一项制度提升到国家信息安全保障的一项到国家信息安全保障的一项基本制度基本制度。20072007年年6 6月月2222日日信息安全等级保信息安全等级保护管理办法护管理办法公通字公通字200743200743号号明确了信息安全等级保护制明确了信息安全等级保护制度的度的基本内容、流程及工作基本内容、流程及工作要求要求,明确了信息系统运营,明
9、确了信息系统运营使用单位和主管部门、监管使用单位和主管部门、监管部门在信息安全等级保护工部门在信息安全等级保护工作中的作中的职责、任务职责、任务。20072007年年7 7月月1616日日关于开展全国重关于开展全国重要信息系统安全等要信息系统安全等级保护定级工作的级保护定级工作的通知通知公信安公信安20078612007861号号就就定级范围、定级工作主要定级范围、定级工作主要内容、定级工作要求内容、定级工作要求等事项等事项进行了通知。进行了通知。 等级保护的国家政策等级保护的技术标准规范GB17859-1999 计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则信息系统安全
10、等级保护定级指南信息系统安全等级保护定级指南GB/T20269-2006 信息系统安全管理要求信息系统安全管理要求GB/T20282-2006 信息安全技术信息安全技术 信息系统安全工程管理要求信息系统安全工程管理要求GB/T 20270-2006信息安全技术信息安全技术 网络基础安全技术要求网络基础安全技术要求GB/T 20271-2006信息安全技术信息安全技术 信息系统通用安全技术要求信息系统通用安全技术要求GB/T 20272-2006信息安全技术信息安全技术 操作系统安全技术要求操作系统安全技术要求GB/T 20273-2006信息安全技术信息安全技术 数据库管理系统通用安全技术要求
11、数据库管理系统通用安全技术要求GB/T22239-2008信息安全技术信息安全技术 信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息安全技术信息安全技术 信息系统等级保护安全设计技术要求信息系统等级保护安全设计技术要求 (已送批已送批)信息系统安全等级保护实施指南信息系统安全等级保护实施指南GB/T20009-2005信息安全技术信息安全技术 操作系统安全评估准则操作系统安全评估准则国家已出台国家已出台7070多个国标、行标以及报批标准,从基础、设计、多个国标、行标以及报批标准,从基础、设计、实施、管理、制度实施、管理、制度等各个方面对等保系统提出了要求和建议。等各个方面对等保系统
12、提出了要求和建议。计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则(GB 17859-1999GB 17859-1999) 信息安全技术信息安全技术 信息系统通用安全技术要求信息系统通用安全技术要求 (GBGB/ /T 2027T 20271 1-2006-2006) 信息安全技术信息安全技术 操作系统安全技术要求操作系统安全技术要求 (GB/T 20272-2006GB/T 20272-2006)信息安全技术信息安全技术 信息系统安全等级保护基本要求信息系统安全等级保护基本要求(GB/T 22239-2008GB/T 22239-2008)信息安全技术信息安全技术 信息系
13、统等级保护安全设计技术要求信息系统等级保护安全设计技术要求 面向评估者技术标准:面向评估者技术标准: 面向建设者技术标准:面向建设者技术标准:等级保护的技术标准规范信息安全技术信息安全技术 信息系统安全工程管理要求信息系统安全工程管理要求(GB/T 20282-2006GB/T 20282-2006)信息系统安全管理体系标准信息系统安全管理体系标准(ISO/IEC 27001ISO/IEC 27001) 信息安全技术信息安全技术 信息系统安全等级保护实施指南信息系统安全等级保护实施指南( GB/T xxxxx-2007GB/T xxxxx-2007 ) 管理类标准:管理类标准:等保方案类标准:
14、等保方案类标准:系统定级类标准:系统定级类标准:信息安全技术信息安全技术 信息系统安全保护等级定级指南信息系统安全保护等级定级指南(GB/T 22240-2008GB/T 22240-2008) 等级保护的技术标准规范信息系统安全等级保护基本要求信息系统安全等级保护基本要求(GB/T 22239-2008)(GB/T 22239-2008) 信息系统等级保护安全设计技术要求信息系统等级保护安全设计技术要求(已审批)(已审批) 计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则(GB 17859-1999GB 17859-1999) 国家已出台国家已出台约约70余个标准,重点需
15、要了解的有:余个标准,重点需要了解的有:等级保护的技术标准规范内容概要信息安全与等级保护什么是等级保护等级保护的国家政策与标准规范等级保护的建设流程等级保护各参与部门的角色定位 等级保护的建设目标某级信息系统技术要求管理要求基本要求建立安全技术体系建立安全管理体系具有某级安全保护能力的系统 等级保护的建设要求物理安全物理安全技术要求管理要求基本要求网络网络安全安全主机安全主机安全应应用安全用安全数数据安全据安全安全管理机安全管理机构构安全管理制度安全管理制度人人员员安全管理安全管理系系统统建建设设管理管理系系统运维统运维管理管理 等级保护的建设要求环境安全环境安全防其他自然灾害防其他自然灾害机
16、房与设施安全机房与设施安全环境与人员安全环境与人员安全设备安全设备安全防止电磁泄露发射防止电磁泄露发射防盗与防毁防盗与防毁防电磁干扰防电磁干扰介质安全介质安全介质的管理介质的管理介质的分类介质的分类介质的防护介质的防护物理安全物理安全 等级保护的建设要求 网络安全网络安全1. 1. 网络结构安全网络结构安全2. 2. 网络访问控制网络访问控制3. 3. 网络安全审计网络安全审计4. 4. 边界完整性检查边界完整性检查5. 5. 网络入侵防范网络入侵防范6. 6. 恶意代码防护恶意代码防护7. 7. 网络防护设备网络防护设备 主机安全主机安全1.1. 身份鉴别身份鉴别2.2. 强制访问控制强制访
17、问控制3.3. 系统安全审计系统安全审计4. 4. 剩余信息保护剩余信息保护5. 5. 入侵防范入侵防范6. 6. 恶意代码防范恶意代码防范7. 7. 资源控制资源控制 应用安全应用安全 1.1.身份认证身份认证 2. 2. 安全审计安全审计 3. 3. 剩余信息保护剩余信息保护 4. 4. 通信完整性和机密性保护通信完整性和机密性保护 数据安全数据安全1.1.数据机密性保护数据机密性保护 2.2.数据完整性保护数据完整性保护 5. 5.控制软件容错控制软件容错; 6. 6.严格的访问严格的访问; 7. 7. 自动保护功能;自动保护功能; 8. 8. 资源控制;资源控制; 等级保护的建设模式满
18、足政策要求满足政策要求满足标准要求满足标准要求满足用户自身要求满足用户自身要求安全现状安全现状差异性分析差异性分析基本要求基本要求 等级保护的体系架构通信网络通信网络区域边界区域边界计算环境计算环境安全管理安全管理中心中心构筑由构筑由安全管理中心安全管理中心统一管理下的统一管理下的计算环境、计算环境、区域边界、通信网络区域边界、通信网络三重防御体系。三重防御体系。安全区域边界安全区域边界安全通信网络安全通信网络 等级保护的技术实现依据内容概要信息安全与等级保护什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容等级保护各参与部门的角色定位 等级保护的建设流程达标等保体系达标等保体系安全
19、措施安全措施业务应用业务应用信息网络信息网络已运营系统已运营系统业务应用业务应用安全措施安全措施新建系统新建系统 等级保护整改建设流程1.1.信息系统定级信息系统定级2.2.等保建设立项等保建设立项3.3.信息安全威胁分析信息安全威胁分析4.4.等保方案设计等保方案设计5.5.安全体系部署安全体系部署6.6.等保体系测评等保体系测评7.7.等保整改建设完成等保整改建设完成未通过未通过 2007年开始,我国在全国范围展开了信息系统等级保护年开始,我国在全国范围展开了信息系统等级保护的定级工作,并在公安部进行了相关的备案。的定级工作,并在公安部进行了相关的备案。定级依据:定级依据:信息系统安全保护
20、等级信息系统安全保护等级定级指南定级指南(国家)(国家) XX行业行业信息系统安全保护等级信息系统安全保护等级定级指南定级指南 流程一:信息系统定级谁谁主管、运营主管、运营谁定级;拟确定为谁定级;拟确定为四级以上四级以上的信息系统需的信息系统需请请国家信息安全保护等级专家评审委员会国家信息安全保护等级专家评审委员会评审;评审;信息系统定级情况要在信息系统定级情况要在公安部门公安部门报备;报备;根据信息和信息系统遭到破坏或泄露后,对根据信息和信息系统遭到破坏或泄露后,对国国家安全、社会秩序、公共利益及公民、法人和家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益其他组织的合法权益的的危害
21、程度危害程度来进行定级。来进行定级。受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级1.受侵害客体;受侵害客体;2.受侵害程度;受侵害程度; 流程一:信息系统定级 信息系统等级保护建设,经过信息系统的运营、管理部信息系统等级保护建设,经过信息系统的运营、管理部门以及有关政府部门的批准,并列入信息系统运营单位或政门以及有关政府部门的批准,并列入信息系统运营单位或政府计划的过程。府计划的过程。一项一项基本国策基本国策,一项,一项基本制度基本制度,具有,具有政策的强制性政策的强制性
22、流程二:等保建设立项是办公电子化、业务信息化发展必需的保障手段是办公电子化、业务信息化发展必需的保障手段用户业务开展的实际需求用户业务开展的实际需求需请需请相应级别相应级别、具有资质具有资质的测评中心进行风险评估;的测评中心进行风险评估; 流程三:风险评估 风险评估是对信息资产风险评估是对信息资产面临的威胁、存在的弱点、面临的威胁、存在的弱点、造成的影响造成的影响,以及三者综合作用而带来风险的可能性的,以及三者综合作用而带来风险的可能性的评估。风险评估是确定信息安全需求的一个重要途径。评估。风险评估是确定信息安全需求的一个重要途径。风险评估完成后出具风险评估完成后出具评估报告评估报告和和整改意
23、见整改意见;整改意见整改意见需求分析需求分析总体设计总体设计详细设计详细设计应急方案应急方案灾备方案灾备方案方案与产品方案与产品安全性论证安全性论证项目预算项目预算项目实施项目实施方案设计方案设计产品选型产品选型技术指标技术指标信息系统等保体系信息系统等保体系建设目标建设目标 流程四:等保方案设计思路重视安全重视安全 技管兼行技管兼行遵循政策遵循政策 符合标准符合标准需求主导需求主导 突出重点突出重点整体规划整体规划 分步实施分步实施 流程四:等保方案设计原则全局管理全局管理 统一标准统一标准适度安全适度安全 减少影响减少影响满足政策要求满足政策要求满足标准要求满足标准要求满足用户自身要求满足
24、用户自身要求安全现状安全现状差异性分析差异性分析基本要求基本要求 流程四:需求分析方法安全现状与安全现状与基本要求基本要求的差异分析对照的差异分析对照标准要求是否满足相应措施物理安全网络安全主机安全应用安全数据安全 流程四:需求分析方法等级保护建设方案章节:等级保护建设方案章节:二、安全需求分析二、安全需求分析一、项目背景一、项目背景 流程四:设计方案章节四、等保技术体系设计四、等保技术体系设计三、方案总体设计三、方案总体设计六、等保管理安全设计六、等保管理安全设计五、等保物理安全设计五、等保物理安全设计八、产品选型与技术指标八、产品选型与技术指标七、应急与灾备设计七、应急与灾备设计九、方案与
25、产品安全性论证九、方案与产品安全性论证十一、实施方案设计十一、实施方案设计十、项目预算十、项目预算经过信息安全等经过信息安全等级保护专家论证级保护专家论证通过通过通信网络通信网络区域边界区域边界计算环境计算环境安全管理安全管理中心中心 流程四:等保体系整体架构 流程五:等保体系部署统一规划,分步实施统一规划,分步实施规范管理,责任落实规范管理,责任落实确保安全,影响最小确保安全,影响最小专家论证,内部验收专家论证,内部验收计算计算环境环境区域边界区域边界通信网络通信网络等保体系达标等保体系达标需请需请相应级别、具有资质相应级别、具有资质的测评中心进行等保测评;的测评中心进行等保测评; 流程六:
26、等保体系测评 以相应的以相应的政策、标准政策、标准为基准,对等保体系进行风险为基准,对等保体系进行风险评测,从评测,从面临的威胁、存在的弱点、造成的影响面临的威胁、存在的弱点、造成的影响,以及,以及三者综合作用角度,分析信息系统的等保体系是否达标。三者综合作用角度,分析信息系统的等保体系是否达标。等保测评完成后出具等保测评完成后出具测评报告测评报告和和整改意见整改意见;等保体系测评等保体系测评信息等保整改信息等保整改通过通过未通过未通过构筑由构筑由安全管理中心安全管理中心统一管理下的统一管理下的计算环境、计算环境、区域边界、通信网络区域边界、通信网络三重防御体系。三重防御体系。安全区域边界安全
27、区域边界安全通信网络安全通信网络 流程七:等保体系整改建设完成内容概要信息安全与等级保护什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容等级保护的建设流程等级保护各参与部门的角色定位信息安全等级保护管理办法信息安全等级保护管理办法 公安机关公安机关负责负责信息安全等级保护信息安全等级保护工作的监督、检查、指工作的监督、检查、指导导 公安部及地方公安部门、网监部门公安部及地方公安部门、网监部门国家保密工作部门国家保密工作部门负责等级保护工作中有关负责等级保护工作中有关保密工作保密工作的的监督、检查、指导监督、检查、指导 国家保密局及地方保密局国家保密局及地方保密局国家密码管理部门国家密码管理部门负责等级保护工作中有关负责等级保护工作中有关密码工作密码工作的的监督、检查、指导监督、检查、指导 国密办及地方密码管理局国密办及地方密码管理局 /办办国务院信息化领导小组国务院信息化领导小组负责等级保护工作的负责等级保护工作的部门间协部门间协调调 国信办、工信部及地方信息办国信办、工信部及地方信息办等级保护测评机构等级保护测评机构负责按照国家相关技术标准和要求对负责按照国家相关技术标准和要求对信息系统进行等级保护的分析测评工作信息系统进行等级保护的分析测评工作