1、LOGO信息安全等级保护的定义信息安全等级保护的内容信息安全等级保护制度是我国信息安全工作保障工作的基本制度和基本国策,是开展信息安全工作的基本方法,是促进信息化、维护国家信息安全的基本保障。信息系统信息安全产品信息安全事件第一级安全保护第二级安全保护第三级安全保护第四级安全保护第五级安全保护EAL1EAL2EAL3EAL4EAL5特别重大事件(I级)重大事件(II级)较大事件(III级)一般事件(IV级)等级对象侵害客体侵害程度监管程度第一级一般系统合法权益损害自主保护第二级合法权益严重损害指导保护社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督检查国家安全损害第四级社会秩
2、序和公共利益特别严重损害强制监督检查国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查中华人民共和国计算机信息系统安全保护条例(国务院147号令)国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)关于信息安全等级保护工作的实施意见(公通字200466号)信息安全等级保护管理办法(公通字200743号)关于开展全国重要信息系统安全等级保护定级工作的通知(公信安2007861号)信息安全等级保护备案实施细则(公信安20071360号)关于开展信息安全等级保护安全建设整改工作的指导意见(公信安20091429号)关于加强国家电子政务工程建设项目信息安全风险评估工
3、作的通知(发改高技20082071号)关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安303号文)关于印发信息系统安全等级测评报告模版(试行)的通知(公信安20091487号)公安机关信息安全等级保护检查工作规范(公信安2008736号)信息安全等级保护工作定级备案整改测评检查计算机信息系统安全保护等级划分准则(GB17859)信息系统安全等级保护定级指南信息系统安全等级保护基本要求技术类信息系统通用安全技术要求信息系统物理安全技术要求网络基础安全技术要求其它技术类标准管理类信息系统安全管理要求信息系统安全工程管理要求其它管理类标准产品类操作系统安全技术要求数据库管理系统安
4、全技术要求网络和终端设备隔离部件安技术要求其它产品类标准信息系统安全等级保护基本要求的行业细则信息系统安全等级保护基本要求的定级细则信息系统安全等级保护测评过程指南信息系统等级保护安全设计技术要求信息系统安全等级保护实施指南信息系统安全等级保护测评要求信息安全等级保护安全建设整改工作安全等级安全要求现状分析方法指导通用类1.计算机信息系统安全等级保护划分准则(GB17859)2.信息系统安全等级保护实施指南(GB/T25058)3.信息安全技术信息系统安全等级保护基本要求(GB/T22239)4.信息安全技术信息系统安全保护等级定级指南(GB/T22240)5.信息安全技术信息系统安全等级保护
5、测评要求6.信息安全技术信息系统安全等级保护测评过程指南。安全技术类1.信息系统等级保护安全设计技术要求2.信息安全技术网络基础安全技术要求(GB/T20270)3.信息安全技术信息系统安全通用技术要求(GB/T20271)4.信息安全技术信息系统物理安全技术要求(GB/T21052)5.信息安全技术服务器安全技术要求(GB/T21028)6.信息安全技术操作系统安全技术要求(GB/T20272)7.信息安全技术数据库管理系统安全技术要求(GBT20273)。安全管理类1.信息安全技术信息系统安全管理要求(GB/T20269)2.信息安全技术信息系统安全工程管理要求(GB/T20282)3.信
6、息技术安全技术信息安全事件管理指南(GB/Z20985)4.信息安全技术信息安全事件分类分级指南(GB/Z20986)。为了适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用、情况下信息安全等级保护工作的开展,需对GB/T 2239-2008进行修订 新等保系列标准目前主要有六个部分uGB/T 22239.1 信息安全技术 网络安全等级保护基本要求 第1部分 安全通用要求uGB/T 22239.2 信息安全技术 网络安全等级保护基本要求 第2部分 云计算安全扩展要求uGB/T 22239.1 信息安全技术 网络安全等级保护基本要求 第3部分 移动互联安全扩展要求uGB/T 2223
7、9.1 信息安全技术 网络安全等级保护基本要求 第4部分 物联网安全扩展要求uGB/T 22239.1 信息安全技术 网络安全等级保护基本要求 第5部分 工业控制安全扩展要求uGB/T 22239.1 信息安全技术 网络安全等级保护基本要求 第6部分 大数据安全扩展要求行业主管部门:负责依照国家信息安全等级保护的管理规范和技术标准,督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。公安机关:非涉密信息系统等级保护具体工作的监督、检查、指导。保密部门:涉密信息系统等保工作的监督、检查、指导。密码管理部门:密码工作的监督、检查、指导。国务院信息化工作办公室及地方
8、信息化领导小组办事机构:各部门间的工作协调。测评机构:对信息系统和信息安全产品进行等级保护测评,出具测评结论。信息安全服务机构:协助信息系统运营、使用单位完成安全保护等级、安全需求分析、安全总体规划、实施安全建设和安全改造等。信息系统运营、使用单位:确定安全保护等级,安全保护的规划设计,定级进行等保测评,建立信息安全事件应急响应体系。信息安全产品供应商:开发符合等级保护相关要求的信息安全产品,按照等级保护相关要求销售信息安全产品并提供相关服务。定级备案整改测评检查信息安全等级保护工作流程1.确定信息系统的安全防护等级,形成定级报告。2.持定级报告到当地公安机关网监部门进行备案。3.参照信息系统
9、当前等级要求和标准,对信息系统进行整改加固。4.委托具备测评资质的测评机构对信息系统进行等级测评,形成正式的测评报告。5.向当地公安机关网监部门提交测评报告,配合完成对信息安全等级保护实施情况的检查。由信息系统运营单位确定信息系统的安全保护等级。1由运营单位业务部门确定实施信息安全等级保护的信息系统。2参照定级标准和流程获得信息等级的安全保护等级信息。3最终形成信息系统安全保护等级确认报告。业务信息安全保护等级矩阵表业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公司、法人和其他组织的合法利益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第
10、四级第四级系统服务安全保护等级矩阵表系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公司、法人和其他组织的合法利益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第四级1.确定定级对象2.确定业务信息安全受到破坏时所侵害的客体3.综合评定对客体的侵害程度4.业务信息安全等级(S)5.确定系统服务安全受到破坏时所侵害的客体6.综合评定对客体的侵害程度7.系统服务安全等级(A)8.定级对象的安全保护等级(SxAxGx)由信息系统运营单位持定级报告到当地公安机关网监部门进行信息系统安全保护等级信息备案。1按照运营单位所在地确定受理备案的机构(
11、省公安厅/市公安局)。2由运营单位填写信息系统安全等级保护备案表格。3提交备案表格,获得备案回执信息(通过审核/限期整改)。按照信息系统已备案的等级信息,参照信息安全等级保护基本要求,组织开展差距分析及整改加固的相关工作。由信息系统运营单位开展自查及整改工作,不断完善信息安全等级保护的各项要求。委托具备测评资质的测评机构开展信息系统安全等级保护差距分析,配合运营单位完成整改及安全加固工作。委托具备测评资质的第三方测评机构,对已定级的信息系统进行信息安全等级保护测评,并出具正式的测评报告和测评结论。1明确被测评系统的安全保护等级,制定测评方案和实施计划。2由运营单位配合完成测评过程中的人员访谈、
12、配置检查、安全测试等工作。3出具最终的测评报告和测评结论(符合/基本符合/不符合)。等级测评项目启动信息收集与分析工具和表单准备测评准备活动测评对象确定测评指标确定测评内容确定工具测评方法确定测评指导书开发测评方案编制方案编制活动现场测评准备现场测评和结果记录结果确认和资料归还现场测评活动单项测评结果判定单元测评结果判定整体测评风险分析等保测评结论形成测评报告编制报告编制活动沟通与洽谈公安机关网监部门定期对信息系统运营单位的信息安全等级保护实施情况进行检查和监督。1第三级信息系统每年一次;第四级信息系统每半年一次。2检查内容包括:定级备案情况、安全整改情况、安全管理制度建设和落实情况、测评实施
13、情况等。3由公安机关网监部门出具检查报告或整改通知书。安全运维管理系统建设管理信息安全等级保护基本要求物理和环境安全网络和通信安全设备和计算安全安全策略和管理制度安全管理机构和人员应用和数据安全安全建设管理技术要求物理和环境安全物理位置的选择物理访问控制防盗窃和防破坏防雷/火/水/潮防静电温湿度控制电力供应电磁防护网络和通信安全网络架构通信传输边界防护访问控制入侵防范恶意代码防范安全设计集中管控设备与计算安全身份鉴别访问控制安全审计入侵防范恶意代码防范资源控制应用和数据安全身份鉴别访问控制安全审计软件容错资源控制数据完整性数据保密性数据备份恢复剩余信息保护个人信息保护技术方面安全审计、边界完整
14、性检查、入侵防范、资源控制以及通信保密性控制点网络安全不仅要满足网络安全运行的基本保障,同时要考虑网络处理能力要满足业务极限时的需要加强了网络边界的防护,增加了安全审计、边界完整性检查、入侵防范等控制点对网络设备的防护不仅局限于简单的身份鉴别,同时对标识和鉴别信息都有了相应的要求二级是等级保护二级要求的扩展加强三级要求主干链路冗余,设备性能有冗余技术方面网络恶意代码防范、剩余信息保护、抗抵赖访问控制增加了对重要新信息资源设置敏感标记,对身份鉴别、访问控制、安全审计、数据完整性、数据保密等均有更进一步的要求网络安全对网络处理能力增加了“优先级”考虑,保证重要主机能够在网络拥堵时仍能狗正常运行网络
15、边界的访问控制扩展到应用层,网络边界的其他防护措施进一步增强,不仅能够被动的“防”,还应能够主动发出一些动作,如报警、阻断等,网络设备的防护手段要求两种身份鉴别技术综合使用三级三级系统安全保护环境基本要求与对应产品三级系统安全保护环境基本要求与对应产品使用范围使用范围基本要求基本要求产品类型举例产品类型举例安全计算环境网络结构(VLAN划分)三层交换机(防火墙)MPLS VPN访问控制(权限分离)主机核心加固系统入侵防范(检测告警)主机入侵检测产品备份恢复(数据备份)设备冗余、本地备份(介质场外存储)数据完整性、保密性VPN设备剩余信息管理终端综合管理系统身份认证(双因素)证书、令牌、保密卡恶
16、意代码防范(统一管理)网络版主机防病毒软件安全区域边界区域边界访问控制(协议检测)防火墙(IPS)资源控制(优先级控制)带宽管理、流量控制设备区域边界入侵检测IDS区域边界恶意代码防范防病毒网关,沙箱区域边界完整性保护终端综合管理系统安全通信网络通信网络安全审计上网行为管理数据传输完整性、保密性保护VPN设备安全管理中心系统管理安全管理平台审计管理(网络、主机、应用)安全审计系统 在云计算环境中,应将云服务方侧的云计算平台单独作为顶级对象定级,云租户侧的等级保护对象也应作为单独的顶级对象定级 对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象 云平台上需要划分资源池,资源池之间隔离 三级(含)以下,逻辑隔离 四级,物理隔离 云平台开放安全接口 虚拟机只能在同级别的资源池内迁移 云服务方对云租户系统和数据的操作可被云租户审计 虚拟机之间可以设置访问控制策略 不同等级的网络边界应有访问控制措施和设备,如虚拟防火墙、防火墙、网闸等LOGO
