信息安全等級保護(hù)演示文稿

1、信息安全等級保護(hù)演示文稿第一頁，共四十九頁。優(yōu)選信息安全等級保護(hù)第二頁，共四十九頁。密保（分保） 分三級（絕密、機(jī)密、秘密） 涉密環(huán)境（網(wǎng)絡(luò)、終端、應(yīng)用系統(tǒng)及數(shù)據(jù)）的信息安全等保 分五級 非涉密環(huán)境（網(wǎng)絡(luò)、終端、應(yīng)用系統(tǒng)及數(shù)據(jù)）的信息安全信息安全管理分類第三頁，共四十九頁。內(nèi)容概要信息安全的屬性特征和管理分類什么是等級保護(hù)等級保護(hù)的國家政策與標(biāo)準(zhǔn)規(guī)范等級保護(hù)的工作內(nèi)容等級保護(hù)的建設(shè)流程等級保護(hù)各參與部門的角色定位涉及國家秘密信息系統(tǒng)的分保護(hù)管理第四頁，共四十九頁。 什么是等級保護(hù)信息系統(tǒng)等級保護(hù)的定義 是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信

2、息系統(tǒng)分等級實(shí)行安全保護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。信息安全等級保護(hù)是基本制度、基本國策等級保護(hù)工作分為五個(gè)環(huán)節(jié)：定級、備案、建設(shè)整改、等級測評、監(jiān)督檢查。第五頁，共四十九頁。等級保護(hù)的等級劃分準(zhǔn)則根據(jù)信息和信息系統(tǒng)遭到破壞或泄露后，對國家安全、社會秩序、公共利益及公民、法人和其他組織的合法權(quán)益的危害程度來進(jìn)行定級。1、受侵害客體；2、受侵害程度；第六頁，共四十九頁。等級保護(hù)的等級劃分準(zhǔn)則第七頁，共四十九頁。公安部關(guān)于等級保護(hù)文件規(guī)定第一級為自主保護(hù)級第二級為指導(dǎo)保護(hù)級第一級為監(jiān)督保護(hù)級第一級為強(qiáng)制保護(hù)級第一級為?？乇Ｗo(hù)級第八

3、頁，共四十九頁。等級保護(hù)涉及的幾個(gè)基本概念主動用戶、進(jìn)程主體被動文件、存儲設(shè)備客體訪問：讀、寫、執(zhí)行權(quán)限安全策略安全審計(jì)強(qiáng)制訪問控制第九頁，共四十九頁。第一級 用戶自主保護(hù)級第二級 系統(tǒng)審計(jì)保護(hù)第三級 安全標(biāo)記保護(hù)第四級 結(jié)構(gòu)化保護(hù)第五級 訪問驗(yàn)證保護(hù)用戶自主控制資源訪問訪問行為需要被審計(jì)通過標(biāo)記實(shí)現(xiàn)強(qiáng)制訪問控制可信計(jì)算基結(jié)構(gòu)化所有的過程都需要驗(yàn)證等級保護(hù)的等級劃分準(zhǔn)則第十頁，共四十九頁。第一級 自主安全保護(hù)第二級 審計(jì)安全保護(hù)第三級 強(qiáng)制安全保護(hù)第四級 結(jié)構(gòu)化保護(hù)第五級 訪問驗(yàn)證保護(hù)級自主訪問控制 身份鑒別 完整性保護(hù)自主訪問控制 身份鑒別 完整性保護(hù)系統(tǒng)審計(jì) 客體重用自主訪問控制 身份鑒別

4、 完整性保護(hù)系統(tǒng)審計(jì) 客體重用強(qiáng)制訪問控制 標(biāo)記自主訪問控制 身份鑒別 完整性保護(hù)系統(tǒng)審計(jì) 客體重用強(qiáng)制訪問控制 標(biāo)記自主訪問控制 身份鑒別 完整性保護(hù)系統(tǒng)審計(jì) 客體重用強(qiáng)制訪問控制 標(biāo)記隱蔽通道分析 可信路徑隱蔽通道分析 可信路徑可信恢復(fù) 第十一頁，共四十九頁。如何理解信息系統(tǒng)的五個(gè)安全保護(hù)等級第一級：一般適用于小型私營、個(gè)體企業(yè)、中小學(xué)、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級單位中一般的信息系統(tǒng)。第二級：一般適用于縣級某些單位中的重要信息系統(tǒng)；地市級以上國家機(jī)關(guān)、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)，如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)等。第三級：一般適用于地市級以上國家機(jī)關(guān)、企業(yè)、事業(yè)單位內(nèi)部

5、重要的信息系統(tǒng)，例如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)；跨省或全國聯(lián)網(wǎng)運(yùn)行的用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制等方面的重要信息系統(tǒng)以及這類系統(tǒng)在省、地市的分支系統(tǒng)；中央各部委、?。▍^(qū)、市）門戶網(wǎng)站和重要網(wǎng)站；跨省連接的網(wǎng)絡(luò)系統(tǒng)等。第四級：一般適用于國家重要領(lǐng)域、重要部門中的特別重要系統(tǒng)以及核心系統(tǒng)。例如電力、電信、廣電、鐵路、民航、銀行、稅務(wù)等重要部門的生產(chǎn)、調(diào)度、指揮等涉及國家安全、國計(jì)民生的核心系統(tǒng)。第五級：一般適用于國家重要領(lǐng)域、重要部門中的極端重要系統(tǒng)。第十二頁，共四十九頁。內(nèi)容概要信息安全與等級保護(hù)什么是等級保護(hù)等級保護(hù)的國家政策與標(biāo)準(zhǔn)規(guī)范等級保護(hù)的工作內(nèi)容等級

6、保護(hù)的建設(shè)流程等級保護(hù)各參與部門的角色定位涉及國家秘密信息系統(tǒng)的分保護(hù)管理第十三頁，共四十九頁。頒布時(shí)間文件名稱文號頒布機(jī)構(gòu)內(nèi)容及意義1994年2月18日中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例國務(wù)院147號令國務(wù)院第一次提出信息系統(tǒng)要實(shí)行等級保護(hù)，并確定了等級保護(hù)的職責(zé)單位。2003年9月7日國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見中辦國辦發(fā)200327號中共中央辦公廳國務(wù)院辦公廳等級保護(hù)工作的開展必須分步驟、分階段、有計(jì)劃的實(shí)施。明確了信息安全等級保護(hù)制度的基本內(nèi)容。2004年9月15日關(guān)于信息安全等級保護(hù)工作的實(shí)施意見公通字200466號公安部國家保密局國家密碼管理委員會辦公室（

7、國家密碼管理局）國務(wù)院信息化工作辦公室將等級保護(hù)從計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的一項(xiàng)制度提升到國家信息安全保障的一項(xiàng)基本制度。2007年6月22日信息安全等級保護(hù)管理辦法公通字200743號明確了信息安全等級保護(hù)制度的基本內(nèi)容、流程及工作要求，明確了信息系統(tǒng)運(yùn)營使用單位和主管部門、監(jiān)管部門在信息安全等級保護(hù)工作中的職責(zé)、任務(wù)。2007年7月16日關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知公信安2007861號就定級范圍、定級工作主要內(nèi)容、定級工作要求等事項(xiàng)進(jìn)行了通知。 等級保護(hù)的國家政策第十四頁，共四十九頁。等級保護(hù)的技術(shù)標(biāo)準(zhǔn)規(guī)范GB/T20009-2005信息安全技術(shù) 操作系統(tǒng)安全評估準(zhǔn)則

8、國家已出臺70多個(gè)國標(biāo)、行標(biāo)以及報(bào)批標(biāo)準(zhǔn)，從基礎(chǔ)、設(shè)計(jì)、實(shí)施、管理、制度等各個(gè)方面對等保系統(tǒng)提出了要求和建議。第十五頁，共四十九頁。計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則（GB 17859-1999） 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求 （GB/T 20271-2006） 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求 （GB/T 20272-2006）信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求（GB/T 22239-2008）信息安全技術(shù) 信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求 面向評估者技術(shù)標(biāo)準(zhǔn)： 面向建設(shè)者技術(shù)標(biāo)準(zhǔn)：等級保護(hù)的技術(shù)標(biāo)準(zhǔn)規(guī)范第十六頁，共四十九頁。信息安全技術(shù) 信息系統(tǒng)安全工程管理要求（GB/

9、T 20282-2006）信息系統(tǒng)安全管理體系標(biāo)準(zhǔn)（ISO/IEC 27001） 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)實(shí)施指南（ GB/T xxxxx-2007 ） 管理類標(biāo)準(zhǔn)：等保方案類標(biāo)準(zhǔn)：系統(tǒng)定級類標(biāo)準(zhǔn)：信息安全技術(shù) 信息系統(tǒng)安全保護(hù)等級定級指南（GB/T 22240-2008） 等級保護(hù)的技術(shù)標(biāo)準(zhǔn)規(guī)范第十七頁，共四十九頁。信息系統(tǒng)安全等級保護(hù)基本要求(GB/T 22239-2008) 信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求（已審批） 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則（GB 17859-1999） 最早提出的基礎(chǔ)性、強(qiáng)制性標(biāo)準(zhǔn)；粒度較粗，是一個(gè)指導(dǎo)性標(biāo)準(zhǔn)；公安部作為等保系統(tǒng)建設(shè)、評測的重要依據(jù)

10、等保系統(tǒng)設(shè)計(jì)時(shí)的主要依據(jù)：一個(gè)中心三重防御國家已出臺約70余個(gè)標(biāo)準(zhǔn)，重點(diǎn)需要了解的有：等級保護(hù)的技術(shù)標(biāo)準(zhǔn)規(guī)范第十八頁，共四十九頁。內(nèi)容概要信息安全與等級保護(hù)什么是等級保護(hù)等級保護(hù)的國家政策與標(biāo)準(zhǔn)規(guī)范等級保護(hù)的工作內(nèi)容等級保護(hù)的建設(shè)流程等級保護(hù)各參與部門的角色定位涉及國家秘密信息系統(tǒng)的分保護(hù)管理第十九頁，共四十九頁。 等級保護(hù)的建設(shè)目標(biāo)某級信息系統(tǒng)技術(shù)要求管理要求基本要求建立安全技術(shù)體系建立安全管理體系具有某級安全保護(hù)能力的系統(tǒng)第二十頁，共四十九頁。 等級保護(hù)的建設(shè)要求物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理第二

11、十一頁，共四十九頁。 等級保護(hù)的建設(shè)要求環(huán)境安全防其他自然災(zāi)害機(jī)房與設(shè)施安全環(huán)境與人員安全設(shè)備安全防止電磁泄露發(fā)射防盜與防毀防電磁干擾介質(zhì)安全介質(zhì)的管理介質(zhì)的分類介質(zhì)的防護(hù)物理安全第二十二頁，共四十九頁。 等級保護(hù)的建設(shè)要求 網(wǎng)絡(luò)安全1. 網(wǎng)絡(luò)結(jié)構(gòu)安全2. 網(wǎng)絡(luò)訪問控制3. 網(wǎng)絡(luò)安全審計(jì)4. 邊界完整性檢查5. 網(wǎng)絡(luò)入侵防范6. 惡意代碼防護(hù)7. 網(wǎng)絡(luò)防護(hù)設(shè)備 主機(jī)安全身份鑒別強(qiáng)制訪問控制系統(tǒng)安全審計(jì)4. 剩余信息保護(hù)5. 入侵防范6. 惡意代碼防范7. 資源控制 應(yīng)用安全 1.身份認(rèn)證 2. 安全審計(jì) 3. 剩余信息保護(hù) 4. 通信完整性和機(jī)密性保護(hù) 數(shù)據(jù)安全1.數(shù)據(jù)機(jī)密性保護(hù) 2.數(shù)據(jù)完整

12、性保護(hù) 5.控制軟件容錯(cuò)； 6.嚴(yán)格的訪問； 7. 自動保護(hù)功能； 8. 資源控制；第二十三頁，共四十九頁。 等級保護(hù)的建設(shè)模式滿足政策要求滿足標(biāo)準(zhǔn)要求滿足用戶自身要求安全現(xiàn)狀差異性分析基本要求需求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全與備份恢復(fù)第二十四頁，共四十九頁。 等級保護(hù)的體系架構(gòu)其它定級系統(tǒng)安全接入/隔離設(shè)備計(jì)算環(huán)境區(qū)域邊界通信網(wǎng)絡(luò)網(wǎng)站/應(yīng)用服務(wù)器交換設(shè)備用戶終端安全管理中心通信網(wǎng)絡(luò)區(qū)域邊界計(jì)算環(huán)境安全管理中心第二十五頁，共四十九頁。構(gòu)筑由安全管理中心統(tǒng)一管理下的計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防御體系。安全區(qū)域邊界可信計(jì)算環(huán)境安全管理中心安全通信網(wǎng)絡(luò) 等級保護(hù)的技術(shù)實(shí)現(xiàn)依據(jù)第二十

13、六頁，共四十九頁。內(nèi)容概要信息安全與等級保護(hù)什么是等級保護(hù)等級保護(hù)的國家政策與標(biāo)準(zhǔn)規(guī)范等級保護(hù)的工作內(nèi)容等級保護(hù)的建設(shè)流程等級保護(hù)各參與部門的角色定位涉及國家秘密信息系統(tǒng)的分保護(hù)管理第二十七頁，共四十九頁。 等級保護(hù)的建設(shè)流程達(dá)標(biāo)等保體系安全措施業(yè)務(wù)應(yīng)用信息網(wǎng)絡(luò)已運(yùn)營系統(tǒng)業(yè)務(wù)應(yīng)用安全措施新建系統(tǒng)等保整改 等保建設(shè) 第二十八頁，共四十九頁。 等級保護(hù)整改建設(shè)流程1.信息系統(tǒng)定級2.等保建設(shè)立項(xiàng)3.信息安全威脅分析4.等保方案設(shè)計(jì)5.安全體系部署6.等保體系測評7.等保整改建設(shè)完成定級工作08年已基本完成專業(yè)機(jī)構(gòu) 整改意見總設(shè) 詳設(shè) 專家論證項(xiàng)目實(shí)施 內(nèi)部驗(yàn)收專業(yè)機(jī)構(gòu) 測評報(bào)告未通過第二十九頁，共

14、四十九頁。 2007年開始，我國在全國范圍展開了信息系統(tǒng)等級保護(hù)的定級工作，并在公安部進(jìn)行了相關(guān)的備案。定級依據(jù)：信息系統(tǒng)安全保護(hù)等級定級指南（國家） XX行業(yè)信息系統(tǒng)安全保護(hù)等級定級指南 流程一：信息系統(tǒng)定級誰主管、運(yùn)營誰定級；擬確定為四級以上的信息系統(tǒng)需請國家信息安全保護(hù)等級專家評審委員會評審；信息系統(tǒng)定級情況要在公安部門報(bào)備；第三十頁，共四十九頁。根據(jù)信息和信息系統(tǒng)遭到破壞或泄露后，對國家安全、社會秩序、公共利益及公民、法人和其他組織的合法權(quán)益的危害程度來進(jìn)行定級。受侵害的客體對客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第

15、二級第三級第四級國家安全第三級第四級第五級1.受侵害客體；2.受侵害程度； 流程一：信息系統(tǒng)定級第三十一頁，共四十九頁。 信息系統(tǒng)等級保護(hù)建設(shè)，經(jīng)過信息系統(tǒng)的運(yùn)營、管理部門以及有關(guān)政府部門的批準(zhǔn)，并列入信息系統(tǒng)運(yùn)營單位或政府計(jì)劃的過程。一項(xiàng)基本國策，一項(xiàng)基本制度，具有政策的強(qiáng)制性 流程二：等保建設(shè)立項(xiàng)是辦公電子化、業(yè)務(wù)信息化發(fā)展必需的保障手段用戶業(yè)務(wù)開展的實(shí)際需求第三十二頁，共四十九頁。需請相應(yīng)級別、具有資質(zhì)的測評中心進(jìn)行風(fēng)險(xiǎn)評估； 流程三：風(fēng)險(xiǎn)評估 風(fēng)險(xiǎn)評估是對信息資產(chǎn)面臨的威脅、存在的弱點(diǎn)、造成的影響，以及三者綜合作用而帶來風(fēng)險(xiǎn)的可能性的評估。風(fēng)險(xiǎn)評估是確定信息安全需求的一個(gè)重要途徑。風(fēng)險(xiǎn)

16、評估完成后出具評估報(bào)告和整改意見；第三十三頁，共四十九頁。1整改意見需求分析2總體設(shè)計(jì)詳細(xì)設(shè)計(jì)3應(yīng)急方案災(zāi)備方案5方案與產(chǎn)品安全性論證6項(xiàng)目預(yù)算7項(xiàng)目實(shí)施方案設(shè)計(jì)4產(chǎn)品選型技術(shù)指標(biāo)信息系統(tǒng)等保體系建設(shè)目標(biāo) 流程四：等保方案設(shè)計(jì)思路第三十四頁，共四十九頁。重視安全 技管兼行遵循政策 符合標(biāo)準(zhǔn)需求主導(dǎo) 突出重點(diǎn)整體規(guī)劃 分步實(shí)施 流程四：等保方案設(shè)計(jì)原則全局管理 統(tǒng)一標(biāo)準(zhǔn)適度安全 減少影響第三十五頁，共四十九頁。滿足政策要求滿足標(biāo)準(zhǔn)要求滿足用戶自身要求安全現(xiàn)狀差異性分析基本要求需求 流程四：需求分析方法物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全與備份恢復(fù)第三十六頁，共四十九頁。安全現(xiàn)狀與基本要求的差

17、異分析對照標(biāo)準(zhǔn)要求是否滿足相應(yīng)措施物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全 流程四：需求分析方法第三十七頁，共四十九頁。等級保護(hù)建設(shè)方案章節(jié)：二、安全需求分析一、項(xiàng)目背景 流程四：設(shè)計(jì)方案章節(jié)四、等保技術(shù)體系設(shè)計(jì)三、方案總體設(shè)計(jì)六、等保管理安全設(shè)計(jì)五、等保物理安全設(shè)計(jì)八、產(chǎn)品選型與技術(shù)指標(biāo)七、應(yīng)急與災(zāi)備設(shè)計(jì)九、方案與產(chǎn)品安全性論證十一、實(shí)施方案設(shè)計(jì)十、項(xiàng)目預(yù)算需求背景政策依據(jù)以基本要求中“網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)”部分要求為目標(biāo)，以設(shè)計(jì)要求為方法以基本要求中物理安全部分為依據(jù)以基本要求中管理安全部分為依據(jù)經(jīng)過信息安全等級保護(hù)專家論證通過第三十八頁，共四十九頁。其它定級系統(tǒng)安全接入/隔離設(shè)備計(jì)算環(huán)

18、境區(qū)域邊界通信網(wǎng)絡(luò)網(wǎng)站/應(yīng)用服務(wù)器交換設(shè)備用戶終端安全管理中心通信網(wǎng)絡(luò)區(qū)域邊界計(jì)算環(huán)境安全管理中心 流程四：等保體系整體架構(gòu)第三十九頁，共四十九頁。 流程五：等保體系部署統(tǒng)一規(guī)劃，分步實(shí)施規(guī)范管理，責(zé)任落實(shí)確保安全，影響最小專家論證，內(nèi)部驗(yàn)收計(jì)算環(huán)境區(qū)域邊界通信網(wǎng)絡(luò)第四十頁，共四十九頁。等保體系達(dá)標(biāo)需請相應(yīng)級別、具有資質(zhì)的測評中心進(jìn)行等保測評； 流程六：等保體系測評 以相應(yīng)的政策、標(biāo)準(zhǔn)為基準(zhǔn)，對等保體系進(jìn)行風(fēng)險(xiǎn)評測，從面臨的威脅、存在的弱點(diǎn)、造成的影響，以及三者綜合作用角度，分析信息系統(tǒng)的等保體系是否達(dá)標(biāo)。等保測評完成后出具測評報(bào)告和整改意見；等保體系測評信息等保整改通過未通過第四十一頁，共四

19、十九頁。構(gòu)筑由安全管理中心統(tǒng)一管理下的計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防御體系。安全區(qū)域邊界安全計(jì)算環(huán)境安全管理中心安全通信網(wǎng)絡(luò) 流程七：等保體系整改建設(shè)完成第四十二頁，共四十九頁。內(nèi)容概要信息安全與等級保護(hù)什么是等級保護(hù)等級保護(hù)的國家政策與標(biāo)準(zhǔn)規(guī)范等級保護(hù)的工作內(nèi)容等級保護(hù)的建設(shè)流程等級保護(hù)各參與部門的角色定位涉及國家秘密信息系統(tǒng)的分保護(hù)管理第四十三頁，共四十九頁。等級保護(hù)各參與部門的角色定位信息安全等級保護(hù)管理辦法 公安機(jī)關(guān)負(fù)責(zé)信息安全等級保護(hù)工作的監(jiān)督、檢查、指導(dǎo) 公安部及地方公安部門、網(wǎng)監(jiān)部門國家保密工作部門負(fù)責(zé)等級保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo) 國家保密局及地方保密局國家密碼管理部門負(fù)責(zé)等級保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo) 國密辦及地方密碼管理局 /辦國務(wù)院信息化領(lǐng)導(dǎo)小組負(fù)責(zé)等級保護(hù)工作的部門間協(xié)調(diào) 國信辦、工信部及地方信息辦等級保護(hù)測評機(jī)構(gòu)負(fù)責(zé)按照國家相關(guān)技術(shù)標(biāo)準(zhǔn)和要求對信息系統(tǒng)進(jìn)行等級保護(hù)的分析測評工