等级保护相关标准解读-PPT课件.ppt

1、等级保护相关标准解读等级保护相关标准解读 提纲提纲 等级保护背景等级保护背景 等保相关标准等保相关标准 中软华泰公司参与等级保护建设工作中软华泰公司参与等级保护建设工作 设计技术要求的框架和方案设计技术要求的框架和方案 安全建设整改技术路线安全建设整改技术路线一、等级保护背景一、等级保护背景政策和标准政策和标准国务院国务院147号文号文法律政策依据法律政策依据科学技术依据科学技术依据GB17859201950多个配套标准多个配套标准中办国办中办国办27号文号文四部委四部委66号文件号文件四部委四部委43号文件号文件第一次提出信息系统要实行等第一次提出信息系统要实行等级保护，并确定了等级保护的级

2、保护，并确定了等级保护的职责单位职责单位-公安部会同有关部公安部会同有关部门。门。要重点保护基础信息网络和要重点保护基础信息网络和关系国家安全、经济命脉、关系国家安全、经济命脉、社会稳定等方面的重要信息社会稳定等方面的重要信息系统。系统。等级保护从计算机信息系统等级保护从计算机信息系统安全保护的一项制度提升到安全保护的一项制度提升到国家信息安全保障的一项基国家信息安全保障的一项基本制度。本制度。等级保护工作的开展必须分步等级保护工作的开展必须分步骤、分阶段、有计划的实施。骤、分阶段、有计划的实施。明确了信息安全等级保护制度明确了信息安全等级保护制度的基本内容。的基本内容。明确了信息安全等级保护

3、制明确了信息安全等级保护制度的基本内容、流程及工作度的基本内容、流程及工作要求，明确了信息系统运营要求，明确了信息系统运营使用单位和主管部门、监管使用单位和主管部门、监管部门在信息安全等级保护工部门在信息安全等级保护工作中的职责、任务。作中的职责、任务。5等级保护的标准体系等级保护的标准体系GB17859-2019 计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则信息系统安全等级保护定级指南信息系统安全等级保护定级指南GB/T20269-2019 信息系统安全管理要求信息系统安全管理要求GB/T20282-2019 信息安全技术信息安全技术 信息系统安全工程管理要求信息系统

4、安全工程管理要求GB/T 20270-2019信息安全技术信息安全技术 网络基础安全技术要求网络基础安全技术要求GB/T 20271-2019信息安全技术信息安全技术 信息系统通用安全技术要求信息系统通用安全技术要求GB/T 20272-2019信息安全技术信息安全技术 操作系统安全技术要求操作系统安全技术要求GB/T 20273-2019信息安全技术信息安全技术 数据库管理系统通用安全技术要求数据库管理系统通用安全技术要求GB/T22239-2019信息安全技术信息安全技术 信息系统安全等级保护基本要求信息系统安全等级保护基本要求GB/T 24856-2009信息安全技术信息安全技术 信息系

5、统等级保护安全设计技术要求信息系统等级保护安全设计技术要求 信息系统安全等级保护实施指南信息系统安全等级保护实施指南信息系统等级保护分级标准信息系统等级保护分级标准等级 对象 侵害客体 侵害程度 监管强度 第一级 合法权益 损害 自主保护 合法权益 严重损害 第二级 一般系统 社会秩序和公共利益 损害 指导 社会秩序和公共利益 严重损害 第三级 国家安全 损害 监督检查 社会秩序和公共利益 特别严重损害 第四级 重要系统 国家安全 严重损害 强制监督检查 第五级 极端重要系统 国家安全 特别严重损害 专门监督检查 n 07年年6月份开始，全国范围内的重要信息系月份开始，全国范围内的重要信息系统

6、普遍开展了信息安全等级保护定级工作统普遍开展了信息安全等级保护定级工作,到去年为止定级工作基本上已经落实。到去年为止定级工作基本上已经落实。n 通过信息系统的定级，国家掌握了重要信通过信息系统的定级，国家掌握了重要信息系统在全国范围内的分布、使用情况以息系统在全国范围内的分布、使用情况以及其重要程度。及其重要程度。n 在定级基础上，应开展信息系统安全建设在定级基础上，应开展信息系统安全建设和整改，达到相应等级的安全防护能力。和整改，达到相应等级的安全防护能力。二、等级保护相关标准解读二、等级保护相关标准解读需要了解的几个法规、政策需要了解的几个法规、政策9几个与等级保护有关的标志性政策、文件：

7、几个与等级保护有关的标志性政策、文件：国家信息化领导小组关于加强信息安全保障工作的意见国家信息化领导小组关于加强信息安全保障工作的意见（中办发（中办发201927号）。号）。信息安全等级保护管理办法信息安全等级保护管理办法（公通字（公通字201943号）号）关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的实施意见（公通字（公通字 201966号）号）中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例（147号令）号令）几个重要的技术标准几个重要的技术标准10信息系统安全等级保护基本要求信息系统安全等级保护基本要求(GB/T22239-2019)信息系统

8、等级保护安全设计技术要求信息系统等级保护安全设计技术要求（GB/T24856-2009）计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则（GB17859-2019）国家已出台国家已出台约约50余个标准，重点需要了解的有：余个标准，重点需要了解的有：11标准间的关系介绍标准间的关系介绍GB/T22239-2019 信息系信息系统统安全等安全等级级保保护护基本要求基本要求信息系信息系统统等等级级保保护护安全安全设计设计技技术术要求要求GB17859-2019 计计算机信息系算机信息系统统安全保安全保护护等等级划级划分准分准则则计算机信息系统安全保护等级划分准则计算机信息系统安全

9、保护等级划分准则12第一第一级级 用用户户自主保自主保护级护级第二第二级级 系系统审计统审计保保护级护级第三第三级级 安全安全标记标记保保护级护级第四第四级级 结构结构化保化保护级护级第五第五级级 访问验证访问验证保保护级护级自主访问控制自主访问控制 身份鉴别身份鉴别 完整性保护完整性保护自主访问控制自主访问控制 身份鉴别身份鉴别 完整性保护完整性保护系统审计系统审计 客体重用客体重用自主访问控制自主访问控制 身份鉴别身份鉴别 完整性保护完整性保护系统审计系统审计 客体重用客体重用强制访问控制强制访问控制 标记标记自主访问控制自主访问控制 身份鉴别身份鉴别 完整性保护完整性保护系统审计系统审计

10、 客体重用客体重用强制访问控制强制访问控制 标记标记自主访问控制自主访问控制 身份鉴别身份鉴别 完整性保护完整性保护系统审计系统审计 客体重用客体重用强制访问控制强制访问控制 标记标记隐蔽通道分析隐蔽通道分析 可信路径可信路径隐蔽通道分析隐蔽通道分析 可信路径可信路径可信恢可信恢复复 信息系统安全等级保护基本要求信息系统安全等级保护基本要求的定位的定位 是系统安全保护、等级测评的一个基本“标尺”；按照基本要求进行保护后，信息系统具有相应等级的基本安全保护能力;针对本系统更具体的保护要求可以参考相关标准实现。各级系统的保护要求的内容各级系统的保护要求的内容某某级级系系统统物理安全物理安全技技术术

11、要求要求管理要求管理要求基本要求基本要求网络网络安全安全主机安全主机安全应应用安全用安全数数据安全据安全安全管理机安全管理机构构安全管理制度安全管理制度人人员员安全管理安全管理系系统统建建设设管理管理系系统运维统运维管理管理技术设计要求的思路技术设计要求的思路 信息系统等级保护安全技术设计要求信息系统等级保护安全技术设计要求 以信息（应用）系统为核心，统筹规划以信息（应用）系统为核心，统筹规划 强调安全体系，一个中心支撑下的三重防御体强调安全体系，一个中心支撑下的三重防御体系（计算环境、区域边界、通信网络）系（计算环境、区域边界、通信网络）严格的访问控制，操作人员行为控制严格的访问控制，操作人

12、员行为控制 将网络安全、主机安全、应用安全、数据安全将网络安全、主机安全、应用安全、数据安全综合考虑综合考虑 信息系统等级保护安全技术设计框架信息系统等级保护安全技术设计框架16安全安全计计算算环环境由定境由定级级系系统统中完成中完成信息存信息存储与处储与处理的理的计计算机系算机系统统硬硬件和系件和系统软统软件以及外部件以及外部设备设备及其及其连连接部件接部件组组成，也可以是成，也可以是独独立的立的或移或移动动的的计计算机系算机系统统。安全安全区区域域边边界是定界是定级级系系统统中安全中安全计计算算环环境的境的边边界以及安全界以及安全计计算算环环境境与与安全通信安全通信网络网络之之间实现联间实

13、现联接接功能的部分，功能的部分，对对安全安全计计算算环环境及境及进进出安全出安全计计算算环环境的信息境的信息进进行保行保护护。安全通信安全通信网络网络是定是定级级系系统统中中实现实现安全安全计计算算环环境之境之间间信息信息传输传输功能功能的部分。的部分。安全管理中心是安全管理中心是对对部署在安全部署在安全计计算算环环境、安全境、安全区区域域边边界和安全通界和安全通信信网络网络上的安全策略上的安全策略与与机制机制实实施施统统一管理的一管理的设设施。施。等级保护核心要求（三级及以上）等级保护核心要求（三级及以上）身份鉴别身份鉴别 安全标记安全标记 （保密性级别、完整性级别、范畴）（保密性级别、完整

14、性级别、范畴）主体（用户、进程）主体（用户、进程）客体（文件、程序、设备、网络端口等）客体（文件、程序、设备、网络端口等）强制访问控制强制访问控制 自主访问控制自主访问控制 客体重用客体重用 数据完整性数据完整性 审计审计 非授权用户非授权用户“五不五不”“进不来进不来”“拿不走拿不走”“看不懂看不懂”“改不了改不了”“赖不掉赖不掉”防内为主防内为主n 安全标记保护级（三级）涉及到重要性信息的系安全标记保护级（三级）涉及到重要性信息的系统，要具有抵御来自外部有组织的恶意攻击能力统，要具有抵御来自外部有组织的恶意攻击能力，和防内部人员攻击的能力，不仅要对安全事件，和防内部人员攻击的能力，不仅要对

15、安全事件有审计纪录，还要能追踪、能响应处理，要实现有审计纪录，还要能追踪、能响应处理，要实现多重保护制度。多重保护制度。n 结构化保护级（四级）要有能抵御来自敌对组织结构化保护级（四级）要有能抵御来自敌对组织的大规模攻击的能力，和防止内部人员内外勾结的大规模攻击的能力，和防止内部人员内外勾结的恶意攻击的能力。不仅要全面审计违规行为还的恶意攻击的能力。不仅要全面审计违规行为还要具有及时报警和应急处理能力。要具有及时报警和应急处理能力。三、我公司参与等级保护建设情况三、我公司参与等级保护建设情况中软华泰致力于等级保护建设中软华泰致力于等级保护建设 2019年初，公安部为制订年初，公安部为制订信息系

16、统等级保护安全技术信息系统等级保护安全技术设计要求设计要求的国家标准，进行等级安全应用技术平台示范的国家标准，进行等级安全应用技术平台示范系统搭建工作。系统搭建工作。我公司在众多竞争者中脱颖而出，承接了目前最高等级四我公司在众多竞争者中脱颖而出，承接了目前最高等级四级系统的建设任务，目前已经完成项目验收。级系统的建设任务，目前已经完成项目验收。国家标准即将出台；国家标准即将出台；示范系统搭建在公安部第一研究所；示范系统搭建在公安部第一研究所；我公司还成为等级保护国家标准我公司还成为等级保护国家标准863课题研究参与单位，课题研究参与单位，目前正在配合国家主管单位参与国家重大支持项目的研究目前正

17、在配合国家主管单位参与国家重大支持项目的研究工作。工作。二、我公司参与等级保护建设情况二、我公司参与等级保护建设情况产品和服务体系产品和服务体系 形成了信息系统等级保护建设和整改的体系结构、技术框形成了信息系统等级保护建设和整改的体系结构、技术框架、解决方案体系架、解决方案体系 相关安全产品相关安全产品 高等级操作系统高等级操作系统 终端安全防护终端安全防护 服务器安全防护服务器安全防护 应用安全网关应用安全网关 网站防护系统网站防护系统 安全管理平台等安全管理平台等四、技术设计框架和方案四、技术设计框架和方案n建设信息系统的可信计算基（建设信息系统的可信计算基（TCB），即），即为信息系统建

18、立基本的保护环境，并提供为信息系统建立基本的保护环境，并提供安全保护所要求的附加服务。安全保护所要求的附加服务。n下面以三级系统为例，展示在安全管理中下面以三级系统为例，展示在安全管理中心支持下的计算环境、区域边界和通信网心支持下的计算环境、区域边界和通信网络三重安全防护结构框架。络三重安全防护结构框架。26等保系统整体架构等保系统整体架构计算环境计算环境区域边界区域边界通信网络通信网络区域边界区域边界计算环境计算环境安全管理安全管理中心中心 保护环境框架图保护环境框架图 通过在操作系统核心层、通过在操作系统核心层、系统层设置以强制访问控制为系统层设置以强制访问控制为主体的系统安全机制，形成了

19、主体的系统安全机制，形成了一个严密牢固的防护层，通过一个严密牢固的防护层，通过对用户行为的控制，可以有效对用户行为的控制，可以有效防止非授权用户访问和授权用防止非授权用户访问和授权用户越权访问，确保信息和信息户越权访问，确保信息和信息系统的保密性和完整性安全，系统的保密性和完整性安全，从而为典型应用子系统的正常从而为典型应用子系统的正常运行和免遭恶意破坏提供支撑运行和免遭恶意破坏提供支撑和保障。和保障。 保护环境框架图保护环境框架图 安全保护环境为应用系统安全保护环境为应用系统（如安全（如安全OAOA系统等）提供安全系统等）提供安全支撑服务。通过实施三级安全支撑服务。通过实施三级安全要求的业务

20、应用系统，使用安要求的业务应用系统，使用安全保护环境所提供的安全机制，全保护环境所提供的安全机制，为应用提供符合三级要求的安为应用提供符合三级要求的安全功能支持和安全服务。全功能支持和安全服务。 保护环境框架图保护环境框架图 区域边界子系统通过对进区域边界子系统通过对进入和流出安全保护环境的信息入和流出安全保护环境的信息流进行安全检查，确保不会有流进行安全检查，确保不会有违背系统安全策略的信息流经违背系统安全策略的信息流经过边界，是三级信息系统的第过边界，是三级信息系统的第二道安全屏障。二道安全屏障。 保护环境框架图保护环境框架图 通信网络子系统通过对通通信网络子系统通过对通信数据包的保密性和

21、完整性进信数据包的保密性和完整性进行保护，确保其在传输过程中行保护，确保其在传输过程中不会被非授权窃听和篡改，使不会被非授权窃听和篡改，使得数据在传输过程中的安全得得数据在传输过程中的安全得到了保障，是三级信息系统的到了保障，是三级信息系统的外层安全屏障。外层安全屏障。 保护环境框架图保护环境框架图 系统管理子系统系统管理子系统 用户身份管理，用户身份管理，资源管理，资源管理，应急处理等。应急处理等。 保护环境框架图保护环境框架图 标记管理，授权管理，策标记管理，授权管理，策略管理等。略管理等。安全管理子系统通过制定安全管理子系统通过制定相应的系统安全策略，并且强相应的系统安全策略，并且强制节

22、点子系统、区域边界子系制节点子系统、区域边界子系统、通信网络子系统及节点子统、通信网络子系统及节点子系统执行，从而实现对整个信系统执行，从而实现对整个信息系统的集中管理，为三级信息系统的集中管理，为三级信息系统的安全提供了有力保障息系统的安全提供了有力保障 保护环境框架图保护环境框架图 审计子系统是系统的监督审计子系统是系统的监督中枢，安全审计员通过制定审中枢，安全审计员通过制定审计策略，强制实现对整个信息计策略，强制实现对整个信息系统的行为审计，确保用户无系统的行为审计，确保用户无法抵赖违背系统安全策略的行法抵赖违背系统安全策略的行为，同时为应急处理提供依据。为，同时为应急处理提供依据。n安

23、全管理流程安全管理流程 安全管理流程主要由安全管理中心的安全管理员安全管理流程主要由安全管理中心的安全管理员系统管理员和系统审计员实施，分别实施系统维护系统管理员和系统审计员实施，分别实施系统维护、安全策略部署和审计策略部署等机制。、安全策略部署和审计策略部署等机制。n访问控制流程访问控制流程 访问控制流程是在系统运行时执行，实施自主访访问控制流程是在系统运行时执行，实施自主访问控制、强制访问控制等。问控制、强制访问控制等。主要流程主要流程 1 1）策略初始化流程）策略初始化流程n节点子系统在运行之前，系统管理员确定所有用节点子系统在运行之前，系统管理员确定所有用户的身份、工作密钥、证书等，即

24、确定业务系统户的身份、工作密钥、证书等，即确定业务系统正常运行所需要使用的执行程序等资源配置。正常运行所需要使用的执行程序等资源配置。n安全管理员为所有主安全管理员为所有主客体实施标记管理，生成全客体实施标记管理，生成全局客体安全标记列表和全局主体安全标记列表，局客体安全标记列表和全局主体安全标记列表，为主体实施授权管理，生成访问控制列表和级别为主体实施授权管理，生成访问控制列表和级别调整检查列表。调整检查列表。n安全审计员制定审计策略，实施系统的审计跟踪安全审计员制定审计策略，实施系统的审计跟踪管理。管理。 2 2）计算节点启动流程）计算节点启动流程n策略初始化完成后，节点系统在启动时需要对

25、策略初始化完成后，节点系统在启动时需要对所装载的可执行代码进行可信验证，确保其在所装载的可执行代码进行可信验证，确保其在可执行代码预期值列表中。可执行代码预期值列表中。n用户登录系统验证登录用户是否是该节点上的用户登录系统验证登录用户是否是该节点上的授权用户。授权用户。n下载与该用户相关的系统安全策略，并初始化下载与该用户相关的系统安全策略，并初始化用户工作空间。用户工作空间。37全程访问控制全程访问控制区域边界区域边界通信网络通信网络区域边界区域边界五、安全建设整改技术路线五、安全建设整改技术路线 1）要加强定级对象信息系统整体防护）要加强定级对象信息系统整体防护 建设管理中心支持下的计算环

26、境、区域边界、通信网络三重建设管理中心支持下的计算环境、区域边界、通信网络三重防护体系结构，实施多层隔离和保护，以防止某薄弱环节影响防护体系结构，实施多层隔离和保护，以防止某薄弱环节影响整体安全。整体安全。 1）要加强定级对象信息系统整体防护）要加强定级对象信息系统整体防护 2）要重点做好操作人员使用的终端防护）要重点做好操作人员使用的终端防护 要在框架体系上解决问题，而不是在一些内部的点上解决问要在框架体系上解决问题，而不是在一些内部的点上解决问题。题。要创造可信安全的保护环境，然后在可信的环境中实施各种要创造可信安全的保护环境，然后在可信的环境中实施各种操作。操作。要重点做好操作人员行为控

27、制，使其不能违规操作，防止发要重点做好操作人员行为控制，使其不能违规操作，防止发生攻击行为。生攻击行为。要改变以往在网络上封堵的观念，首先搞好终端源头的防御要改变以往在网络上封堵的观念，首先搞好终端源头的防御这样才能符合人、技术、操作的纵深防御策略，而且将降低建这样才能符合人、技术、操作的纵深防御策略，而且将降低建设成本。设成本。 1）要加强定级对象信息系统整体防护）要加强定级对象信息系统整体防护 2）要重点做好操作人员使用的终端防护）要重点做好操作人员使用的终端防护 3）要以防内为主，内外兼防）要以防内为主，内外兼防 安全保护体系搭建好以后，病毒失去了对系统的攻击能力。三级安全保护体系搭建好

28、以后，病毒失去了对系统的攻击能力。三级以上的系统强制访问控制，严格控制了几乎所有的有害程序，并通以上的系统强制访问控制，严格控制了几乎所有的有害程序，并通过校验方法对文件真实性加以验证，使病毒无法发挥作用。过校验方法对文件真实性加以验证，使病毒无法发挥作用。要实施自主防御，加强内部的控制，这样可以降低保护成本。要实施自主防御，加强内部的控制，这样可以降低保护成本。要使非法攻击者进不去，进去以后拿不到，拿到了以后也看不懂要使非法攻击者进不去，进去以后拿不到，拿到了以后也看不懂，想篡改也改不掉。，想篡改也改不掉。 1）要加强定级对象信息系统整体防护）要加强定级对象信息系统整体防护 2）要重点做好操

29、作人员使用的终端防护）要重点做好操作人员使用的终端防护 3）要以防内为主，内外兼防）要以防内为主，内外兼防 4）加强技术平台支持下的安全管理，与日常安）加强技术平台支持下的安全管理，与日常安 全管理制度相适应全管理制度相适应 以前的安全管理比较抽象，譬如防火墙和以前的安全管理比较抽象，譬如防火墙和IDSIDS的配置不同，的配置不同，难以理解和管理。难以理解和管理。我们要求安全管理跟日常的管理一样，规定什么级别的人只我们要求安全管理跟日常的管理一样，规定什么级别的人只能做与其权限相符的事，对照着进行管理就行。能做与其权限相符的事，对照着进行管理就行。应该技术与管理并重，要在技术平台支持下进行管理

30、，才能应该技术与管理并重，要在技术平台支持下进行管理，才能做到真正的有效管理。做到真正的有效管理。 1）要加强定级对象信息系统整体防护）要加强定级对象信息系统整体防护 2）要重点做好操作人员使用的终端防护）要重点做好操作人员使用的终端防护 3）要以防内为主，内外兼防）要以防内为主，内外兼防 4）加强技术平台支持下的安全管理，与日常安）加强技术平台支持下的安全管理，与日常安 全管理制度相适应全管理制度相适应 5）为便于技术方案实施，整改时不改或少改原）为便于技术方案实施，整改时不改或少改原 有的应用系统，尤其是用户应用程序不能改有的应用系统，尤其是用户应用程序不能改 如果对原应用和数据要进行安全设计和改造，那么会涉及整如果对原应用和数据要进行安全设计和改造，那么会涉及整个系统，修改程序就要重新调试系统，是不可行的。个系统，修改程序就要重新调试系统，是不可行的。huatechsec谢谢 谢谢!