等保交流-基礎知識-v

信息安全等級保護基礎知識與安全產(chǎn)品在等保中的應用第一頁，共二十七頁。提綱：1、等級保護的基本知識2、等保工作的流程3、等保解決方案第二頁，共二十七頁。等級保護的基礎知識第三頁，共二十七頁。等級保護的一些基礎知識等級保護是一個體系建設工作，將來會是在未來指導我國信息安全工作的根本；等級保護所有標準為推薦標準（GBT），所以不是強制執(zhí)行，且各行業(yè)會制定自己的標準；等級保護的定級是針對業(yè)務系統(tǒng)，但是進行等級保護建設時講究的是整體環(huán)境建設滿足等級要求；當網(wǎng)絡環(huán)境內運行多個業(yè)務系統(tǒng)時，應當按照定級高的業(yè)務系統(tǒng)進行環(huán)境建設；等級保護的定級分為三個緯度SAG，S指的是業(yè)務信息安全類，A指的是系統(tǒng)服務保證類，G是基本要求。比如三級分為：S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3，并非等保三級指的是一個要求;第四頁，共二十七頁。三個分等級等級保護的定義：是指對國家秘密信息、法人或其他組織及公民專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級進行響應、處置。等級保護，即分等級保護，分等級監(jiān)管。什么是信息安全等級保護？第五頁，共二十七頁。等保與分保的區(qū)別：等級保護分級保護管理體系不同公安機關國家保密工作部門標準體系不同國家標準（GB、GB/T推薦標準)國家保密標準（BMB，強制執(zhí)行）保護對象不同各種信息系統(tǒng)國家涉密信息系統(tǒng)劃分級別第一級（自主保護）第二級（指導保護）第三級（監(jiān)督保護）第四級（強制保護）第五級（專控保護）秘密級機密級絕密級資質要求測評：公安部備案的具有測評資質的機構。安全產(chǎn)品：等保三級以上系統(tǒng)，應優(yōu)先考慮國內安全產(chǎn)品，除非國外安全產(chǎn)品無法使用國內產(chǎn)品替代時，才允許使用國外安全產(chǎn)品。集成：保密局發(fā)的涉密集成資質單項：保密局發(fā)的涉密單項資質安全產(chǎn)品：保密局發(fā)的涉密檢測報告密碼產(chǎn)品：國密局發(fā)的密碼資質防病毒軟件；公安部的檢測報告軍隊：軍用安全產(chǎn)品檢測報告；全部禁止使用國外安全產(chǎn)品第六頁，共二十七頁。等級保護目標客戶：（一）電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎信息網(wǎng)絡，經(jīng)營性公眾互聯(lián)網(wǎng)信息服務單位、互聯(lián)網(wǎng)接入服務單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。（二）鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、統(tǒng)計、工商行政管理、郵政、國防工業(yè)等關系到國計民生的信息系統(tǒng)（生產(chǎn)、調度、管理、辦公等重要信息系統(tǒng)）。（三）教育、國家科研等單位的信息系統(tǒng)（四）市（地）級以上黨政機關的重要網(wǎng)站和辦公信息系統(tǒng)（五）中央企業(yè)以及國資委下屬企業(yè)

第七頁，共二十七頁。目前國家出臺了哪些有關等保的政策？國家：國務院147號令《中華人民共和國計算機信息系統(tǒng)安全保護條例》（94年）公通字[2004]66號《關于信息安全等級保護工作的實施意見》公通字[2007]43號《信息安全等級保護管理辦法》陜西?。宏兊缺＾k[2010]1號《關于組織開展全省重要信息系統(tǒng)安全等級保護工作專項檢查的通知》陜等保辦[2011]2號《陜西省信息安全等級保護安全建設整改工作指導意見》的通知陜公通字[2011]27號《關于進一步推進我省企業(yè)信息系統(tǒng)安全等級保護工作的通知》陜等保辦[2012]1號《關于開展“十八大”重要信息系統(tǒng)等級保護檢查工作的通知》第八頁，共二十七頁。西安市西等辦[2012]01號《關于開展信息安全等級保護等級測評工作的通知》銀行西銀辦[2011]273號《關于進一步推動陜西省銀行業(yè)信息安全等級保護工作的通知》銀發(fā)[2012]163號《中國人民銀行關于銀行業(yè)金融機構信息系統(tǒng)安全等級保護定級的指導意見》法院（最近一次）：法（辦）明傳（2012）14號《關于進一步推進人民法院信息安全等級保護工作的通知》教育（最近一次）：陜教保辦[2012]20號《關于進一步落實全省教育信息系統(tǒng)安全等級保護工作的通知》第九頁，共二十七頁。醫(yī)院衛(wèi)辦發(fā)〔2011〕85號《衛(wèi)生部關于印發(fā)<衛(wèi)生行業(yè)信息安全等級保護工作的指導意見>的通知》衛(wèi)辦綜函〔2011〕1126號《衛(wèi)生部辦公廳關于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》交通（最近一次）：陜交函[2011]845號《關于交通運輸行業(yè)在用信息系統(tǒng)安全等級保護定級及測評工作的通知》廣電（最近一次）：陜公通字[2011]65號《關于開展我省廣播電視相關信息系統(tǒng)安全等級保護工作的通知》保險、證券。第十頁，共二十七頁。等級保護的流程第十一頁，共二十七頁。等級保護流程及相關部門定級建設規(guī)劃整改測評備案自查與定期檢查評審與審批二級以上信息系統(tǒng)按標準選產(chǎn)品選擇評測機構信息安全監(jiān)管部門檢查國家管理部門公安網(wǎng)監(jiān)安全服務商安全產(chǎn)品提供商各省安全評測機構信息安全監(jiān)管部門等級保護流程各階段任務相關部門第十二頁，共二十七頁。等級保護的技術規(guī)范與標準等保工作實施依據(jù)：實施指南安全等級確定依據(jù)：定級指南設計、建設和整改工作依據(jù)：□劃分準則□基本要求(SAG)

S:信息安全類要求A：服務保障類要求G：通用安全保護類要求□通用安全技術要求□網(wǎng)絡基礎安全/操作系統(tǒng)/數(shù)據(jù)庫管理/服務器/終端計算機/信息安全管理/信息安全工程管理技術要求等保測評工作依據(jù)：評測指南第十三頁，共二十七頁。定級要素與安全保護等級的關系第十四頁，共二十七頁。等級保護的安全模型框架測評項Ⅱ級Ⅲ級技術要求79136管理要求96154總計175290第十五頁，共二十七頁。等級測評周期：三級：應當每年至少進行一次等級測評四級：應當每半年至少進行一次等級測評二級：參照三級要求進行測評（每二年至少進行一次等級測評）第十六頁，共二十七頁。等級保護解決方案介紹第十七頁，共二十七頁。等級保護方案介紹方案定位：是建議！不是設計方案，不是整改方案，不是實施方案是針對客戶進行等級保護建設時碰到的問題，我們

依據(jù)產(chǎn)品給出的符合等級保護要求的解決方案可以作為客戶進行等保設計方案和改造方案時的參考第十八頁，共二十七頁。方案的目標：在等保項目中賣產(chǎn)品；等保是個體系建設，不是說客戶按照我們這個方案都做了就完成等保建設了，只是在我們提到的這些方面滿足等保的要求；等級保護方案介紹第十九頁，共二十七頁。區(qū)域邊界隔離與審計挖掘需求：在進行等級保護建設時，首先要按照業(yè)務類型、重要程度等因素進行安全域的劃分。在安全域與安全域之間，需要嚴格控制信息流向，對通過安全域邊界進行的數(shù)據(jù)交換應該進行嚴格的控制，這些控制手段通常包括：訪問控制、入侵檢測與防御、惡意代碼防范、網(wǎng)絡行為審計等。技術要求：網(wǎng)絡安全-訪問控制網(wǎng)絡安全-入侵防范網(wǎng)絡安全-惡意代碼防范網(wǎng)絡安全-安全審計網(wǎng)絡安全–邊界完整性產(chǎn)品方案：防火墻:智能防火墻，功能完善，解決多產(chǎn)品串聯(lián)糖葫蘆串的問題；IPS：訪問控制、入侵防范、惡意代碼防范信息安全審計：網(wǎng)絡安全審計第二十頁，共二十七頁。網(wǎng)絡結構安全與冗余部署挖掘需求：目前多數(shù)骨干數(shù)據(jù)交換系統(tǒng)均采用中央、省、市、縣多級組網(wǎng)，通過專線或者VPN連接，實現(xiàn)業(yè)務數(shù)據(jù)的上報和交換，并實現(xiàn)數(shù)據(jù)大集中。技術要求：網(wǎng)絡安全-結構安全網(wǎng)絡安全-通信完整性網(wǎng)絡安全-通信保密性數(shù)據(jù)安全-數(shù)據(jù)傳輸保密性數(shù)據(jù)安全-備份與恢復方案：SSLVPN：加密功能解決通信與數(shù)據(jù)的保密性；上網(wǎng)行為管理：解決結構安全中的業(yè)務帶寬保障管理需求第二十一頁，共二十七頁。用戶接入、身份鑒別挖掘需求：等級保護的業(yè)務系統(tǒng)常常有這種情況，需要有許多單個的用戶從不同的地點接入，這些用戶分布比較分散，缺乏控制，終端設備難以預測，甚至有些用戶是移動用戶，需要使用移動智能終端接入業(yè)務系統(tǒng)。技術要求：應用安全-身份鑒別、訪問控制、安全審計應用安全-通信保密性、通信完整性方案：SSLVPN：遠程用戶接入時的身份鑒別、權限控制、安全審計，并保證通信保密性和完整性；服務器群組防護：用戶訪問時進行身份鑒別，保證訪問業(yè)務系統(tǒng)的安全性與邊界隔離；堡壘機：設備用戶權限管理的安全問題；第二十二頁，共二十七頁。安全管理中心挖掘需求：隨著信息化建設的進行，服務器和網(wǎng)絡設備越來越多，業(yè)務系統(tǒng)越來越多，用戶沒有精力逐個監(jiān)控，迫切的需要有一個系統(tǒng)能夠監(jiān)控整個網(wǎng)絡的情況，尤其是監(jiān)控所有業(yè)務系統(tǒng)的健康狀況，并且當業(yè)務系統(tǒng)出現(xiàn)問題時，能夠進行即使的告警。另外，需要實現(xiàn)對設備的統(tǒng)一的策略管理和下發(fā)。技術要求：應用安全-資源控制主機安全-資源控制監(jiān)控管理和安全管理中心網(wǎng)絡安全管理方案：服務器群組防護：服務器運行狀態(tài)的監(jiān)控與告警；SOC：設備的集中管理與控制；第二十三頁，共二十七頁。等級保護我們的結合點技術規(guī)范要求需求結合點1.身份鑒別和自主訪問控制SSLVPN/堡壘機2.安全審計信息安全審計/上網(wǎng)行為管理3.完整性和保密性保護IPSEC/SSLVPN4.邊界保護防火墻/IPS5.資源控制防火墻/服務器群組防護/VPN/WAF6.入侵防范和惡意代碼防范IPS/IDS7.安全管理平臺設置SOC8.備份與恢復9.強制訪問控制10.可信路徑設置(四級)11.系統(tǒng)防滲透措施(四級)

12.密碼技術應用VPN13.環(huán)境與設施安全

14.系統(tǒng)運維管理SOC第二十四頁，共二十七頁。安全技術Ⅲ級信息系統(tǒng)安全產(chǎn)品部署（依據(jù)《等?；疽蟆罚┩饴?lián)區(qū)匯聚接入?yún)^(qū)DMZ區(qū)服務器區(qū)核心區(qū)日志補丁網(wǎng)絡版殺毒軟件認證異地災備中心WAF·信息審計IDSFWSOC服務器群組防護IPS第二十五頁，共二十七頁。謝謝第二十六頁，共二十七頁。內容梗概信息安全等級保護基礎知識。等級保護是一個體系建設工作，將來會是在未來指導我國信息安全工作的根本。等級保護所有標準為推薦標準（GBT），所以不是強制執(zhí)行，且各行業(yè)會制定自己的標準。等級保護的定級是針對業(yè)務系統(tǒng)，但是進行等級保護建設時講究的是整體環(huán)境建設滿足等級要求。當網(wǎng)絡環(huán)境內運行多個業(yè)務系統(tǒng)時，應當按照定級高的業(yè)務系統(tǒng)進行環(huán)境建設。比如三級分為：S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3，并非等保三級指的是一個要求。測評：公安部備案的具有測評資質的機構。密碼產(chǎn)品：國密局發(fā)的密碼資質。（一）電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎信息網(wǎng)絡，經(jīng)營性公眾互聯(lián)網(wǎng)信息服務單位、互聯(lián)網(wǎng)接入服務單位、數(shù)據(jù)中心等單位的重要