1、主要内容等级保护简介等级保护制度等级保护工作的主要内容等级测评简介测评流程测评方法测评内容不同安全等级的区别(二级和三级)安全保护能力要求区别在测评上的区别主要内容等级保护简介等级保护制度等级保护工作的主要内容等级测评简介测评流程测评方法测评内容不同安全等级的区别(二级和三级)安全保护能力要求区别在测评上的区别国家对等级保护制度的要求中华人民共和国计算机信息系统安全保护条例(国务院147号令)中明确指出:“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。”国家信息化领导小组关于加强信息安全保障工作的意见(中公办发201927号)规定:“要重
2、点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。”等级保护制度的地位和作用是国家信息安全保障工作的基本制度、基本国策。是开展信息安全工作的基本方法。是促进信息化、维护国家信息安全的根本保障。主要内容等级保护简介等级保护制度等级保护工作的主要内容等级测评简介测评流程测评方法测评内容不同安全等级的区别(二级和三级)安全保护能力要求区别在测评上的区别等级保护工作主要内容信息系统分等级进行安全保护和监管。系统定级备案安全建设整改等级测评监督检查信息安全产品分等级使用和管理。信息安全事件分等级响应和处置。等
3、保工作中各部门的职责和义务职能部门:制定管理规范和技术标准,组织实施,开展监督、检查、指导。行业主管部门:监督、检查和指导本行业开展等保工作。经营使用单位:开展系统定级、备案、建设整改、等级测评和自查等工作,落实制度各项要求。安全服务机构:开展技术支持、服务等工作,接受监管部门监督管理。信息系统分等级保护定级备案建设整改测评监督检查信息系统分等级保护定级备案建设整改测评监督检查信息系统定级从信息系统对国家安全、经济建设、公共利益等方面的重要性,以及信息系统被破坏后造成危害的严重性角度对信息系统确定的等级:重要性定级。信息系统定级定级原则:自主定级、专家评审、主管部门审批、公安机关审核。具体参照
4、关于开展全国重要信息系统安全等级保护定级工作的通知(公通字2019861号)参考标准:定级指南定级流程:确定对象、确定安全保护等级、专家评审、主管部门审批、公安机关审核。分级保护:损害程度的解释一般损害:是指对客体造成一定损害和影响,经采取恢复或弥补措施,可消除部分影响。严重损害:是指对客体造成严重损害,经采取恢复或弥补措施,仍产生较大影响。造成特别严重损害:是指对客体造成特别严重损害,后果特别严重,影响重大且无法弥补。信息系统分等级保护定级备案建设整改测评监督检查信息系统备案第二级以上信息系统,由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续,填写信息系统安全
5、等级保护备案表。信息系统分等级保护定级备案建设整改测评监督检查安全建设整改第二级信息系统:经过安全建设整改工作,信息系统具有抵御小规模、较弱强度恶意攻击的能力,抵抗一般的自然灾害的能力,防范一般性计算机病毒和恶意代码危害的能力;具有检测常见的攻击行为,并对安全事件进行记录的能力;系统遭到损害后,具有恢复系统正常运行状态的能力。第三级信息系统:经过安全建设整改工作,信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;在系统
6、遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能立即恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。信息系统分等级保护定级备案建设整改测评监督检查主要内容等级保护简介等级保护制度等级保护工作的主要内容等级测评简介测评流程测评方法测评内容不同安全等级的区别(二级和三级)安全保护能力要求区别在测评上的区别等级测评流程四个阶段:准备阶段方案编制阶段现场测评阶段报告编制阶段准备阶段方案编制阶段现场测评阶段报告编制阶段主要内容等级保护简介等级保护制度等级保护工作的主要内容等级测评简介测评流程测评方法测评内容不同安全等级的区别(二级和三级)安全保护能力
7、要求区别在测评上的区别测评方法访谈访谈是指测评人员通过与信息系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据以表明信息系统安全保护措施是否有效落实的一种方法。在访谈范围上,应基本覆盖所有的安全相关人员类型,在数量上可以抽样。检查检查是指测评人员通过对测评对象进行观察、查验、分析等活动,获取相关证据以证明信息系统安全保护措施是否有效实施的一种方法。在检查范围上,应基本覆盖所有的对象种类(设备、文档、机制等),数量上可以抽样。测试测试是指测评人员针对测评对象按照预定的方法/工具使其产生特定的响应,通过查看和分析响应的输出结果,获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法
8、。在测试范围上,应基本覆盖不同类型的机制,在数量上可以抽样。主要内容等级保护简介等级保护制度等级保护工作的主要内容等级测评简介测评流程测评方法测评内容不同安全等级的区别(二级和三级)安全保护能力要求区别在测评上的区别测评内容技术要求:物理安全网络安全主机安全应用安全数据安全管理要求:管理制度管理机构人员管理系统建设系统运维主要内容等级保护简介等级保护制度等级保护工作的主要内容等级测评简介测评流程测评方法测评内容不同安全等级的区别(二级和三级)安全保护能力要求区别在测评上的区别安全保护能力的区别第二级信息系统:经过安全建设整改工作,信息系统具有抵御小规模、较弱强度恶意攻击的能力,抵抗一般的自然灾
9、害的能力,防范一般性计算机病毒和恶意代码危害的能力;具有检测常见的攻击行为,并对安全事件进行记录的能力;系统遭到损害后,具有恢复系统正常运行状态的能力。第三级信息系统:经过安全建设整改工作,信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能立即恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。主要内容等级保护简介等
10、级保护制度等级保护工作的主要内容等级测评简介测评流程测评方法测评内容不同安全等级的区别(二级和三级)安全保护能力要求区别在测评上的区别具体体现逐级增强;控制点增加;要求项增加;控制强度增强。逐级增强三级基本要求:在二级基本要求的基础上,技术方面,在控制点上增加了网络恶意代码防范、剩余信息保护、软件容错、抗抵赖等。同时,对身份鉴别、安全审计、数据完整性、数据保密性等均有更进一步的要求。管理方面,增加了系统备案、安全测评、监控管理和安全管理中心等控制点,要求设置安全管理中心,对恶意代码、补丁和审计等进行集中管理。加强了安全管理制度的评审以及人员安全的管理,对系统建设过程加强了质量管理。控制点增加控
11、制点增加,表明对系统的关注点增加,因而安全要求的级别差异就体现出来。比较突出的控制点增加,如,二级控制点增加了安全审计,三级控制点增加了强制访问控制。由于在二级的安全目标中增加了对访问系统、网络资源行为进行记录的能力,因此安全审计成为二级网络安全和主机系统安全的新控制点。同样,三级安全目标增加了对网络、系统和应用的访问进行严格控制的能力,故控制点在主机系统安全方面增加了强制访问控制。控制点增加安全要求类安全要求类层面层面一级一级二级二级三级三级四级四级技术要求技术要求物理安全7101010网络安全3677主机系统安全4679应用安全47911数据安全2333管理要求管理要求安全管理机构2333
12、安全管理制度4555人员安全管理4555系统建设管理991111系统运维管理9121313合计合计/48667377级差级差/1874要求项增加同一控制点,具体的安全项目数量增加,表明对该控制点的要求更细化,更严格,从而表现为该控制点的强度增强。如,对于控制点身份鉴别,在二级只要求标识唯一性、鉴别信息复杂性以及登录失败处理等要求;而在三级,对该控制点增加了采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别的新要求,该控制点的强度得到增强。要求项增加安全要求类安全要求类层面层面一级一级二级二级三级三级四级四级技术要求技术要求物理安全9193233网络安全9183332主机系统安全619323
13、6应用安全7193136数据安全24811管理要求管理要求安全管理机构371114安全管理制度492020人员安全管理7111618系统建设管理20284548系统运维管理18416270合计合计/85175290318级差级差/9011528要求强度增强范围增大:如,对物理安全的“防静电”,二级只要求“关键设备应采用必要的接地防静电措施”;而三级则在对象的范围上发生了变化,为“主要设备应采用必要的接地防静电措施”。范围的扩大,表明了该要求项强度的增强。要求细化:如,人员安全管理中的“安全意识教育和培训”,二级要求“应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训;”,而三级在对培训计划进行了进一步的细化,为“应针对不同岗位制定不同培训计划;”,培训计划有了针对性,更符合各个岗位人员的实际需要。粒度细化:如,网络安全中的“访问控制”,二级要求“控制粒度为网段级”,而三级要求则将控制粒度细化,为“控制粒度为端口级”。由“网段级”到“端口级”,粒度上的细化,同样也增强了要求的强度。谢谢!