等級保護流程培訓課件

信息安全等級保護體系與東軟網絡安全產品介紹信息安全等級保護體系與東軟網絡安全產品介紹等級保護概述等級保護工作流程１2目錄等級保護安全防御設計思路34東軟行業(yè)優(yōu)勢及建設案例等級保護與東軟安全產品562016年商機前沿快報等級保護概述等級保護工作流程１2目錄等級保護安全防御設計思路等級保護的概述等級保護的概述國家信息安全等級保護制度—由國家層面推動并要求遵照執(zhí)行的信息安全要求。等級保護按照是否涉及國家秘密劃分—等級保護：適用于政府、央企等非涉密網絡的信息安全政策、制度及標準體系?！旨壉Ｗo：適用于政府、軍隊、兵工廠等涉密網絡的信息安全政策、制度及標準體系。是政府、央企信息安全建設的主要依據和主要推動力。國家信息安全制度國家信息安全等級保護制度國家信息安全制度等級保護的第一個法律文件——國務院令《中華人民共和國計算機信息系統(tǒng)安全保護條例》（1994年2月18日國務院147號令）

第九條：計算機信息系統(tǒng)實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定。該條明確了三個內容：一是確立了等級保護是計算機信息系統(tǒng)安全保護的一項制度；二是明確了公安部的牽頭地位；三是提出了需要出臺配套的規(guī)章和技術標準。等級保護的第一個法律文件——國務院令《中華人民共和國計算機信等級保護安全等級定義文件《計算機信息系統(tǒng)安全保護等級劃分準則》（1999頒發(fā)的GB17859）第一級：用戶自主保護級；

第二級：系統(tǒng)審計保護級；

第三級：安全標記保護級；

第四級：結構化保護級；

第五級：訪問驗證保護級。提出了等級保護在技術防護層面與安全管理層面的建設防護要求。

等級保護安全等級定義文件《計算機信息系統(tǒng)安全保護等級劃分準則中央文件中辦[2003]27號文件《國家信息化領導小組關于加強信息安全保障工作的意見》

“要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南。”中央27號文件的下達標志著等級保護從計算機信息系統(tǒng)安全保護的一項制度提升到國家信息安全保障一項基本制度。同時明確了各級黨委和政府在信息安全保障工作中的領導地位，以及“誰主管誰負責，誰運營誰負責”的信息安全保障責任制。中央文件中辦[2003]27號文件國家四部委文件

2004年9月公安部會同國家保密局、國家密碼管理局和國務院信息辦聯合出臺了《關于信息安全等級保護工作的實施意見》（公通字[2004]66號），明確了信息安全等級保護制度的原則和基本內容，以及信息安全等級保護工作的職責分工、工作實施的要求等。2007年6月公安部會同國家保密局、國家密碼管理局和國務院信息辦聯合《信息安全等級保護管理辦法》（公通字[2007]43號），明確了信息安全等級保護制度的基本內容、流程及工作要求，再進一步明確了信息系統(tǒng)運營使用單位和主管部門、監(jiān)管部門在信息安全等級保護工作中的職責、任務，為開展信息安全等級保護工作提供了規(guī)范保障。國家四部委文件等級保護發(fā)展歷程1994年《中華人民共和國計算機信息系統(tǒng)安全保護條例》

（國務院147號令）1999年《計算機信息系統(tǒng)安全保護等級劃分準則》GB17859-19992003年《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號)2004年《關于信息安全等級保護工作的實施意見》

（公通字［2004］66號）2007年《信息安全等級保護管理辦法》

（公通字［2007］43號）2007年《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安[2007]861號）2007年《信息安全等級保護備案實施細則》（公信安[2007]1360號）2008年《公安機關信息安全等級保護監(jiān)督檢查工作規(guī)范》（公信安[2008]736號）2009年《關于開展信息安全等級保護安全建設整改工作的指導意見》(公信安[2009]1429號)等級保護發(fā)展歷程1994年《中華人民共和國計算機信息系統(tǒng)安全等級保護各方職責國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術標準，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護，對等級保護工作的實施進行監(jiān)督、管理。公安機關負責信息安全等級保護工作的監(jiān)督、檢查、指導。保密工作部門負責等級保護工作中有關保密工作的監(jiān)督、檢查、指導。密碼管理部門負責等級保護工作中有關密碼工作的監(jiān)督、檢查、指導。國信辦負責等級保護工作的部門間協(xié)調。其他涉及其他職能部門管轄范圍的事項，由有關職能部門依照國家法律法規(guī)的規(guī)定進行管理。信息系統(tǒng)主管部門應當依照本辦法及相關標準規(guī)范，督促、檢查、指導本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運營、使用單位的信息安全等級保護工作。信息系統(tǒng)的運營、使用單位信息系統(tǒng)的運營、使用單位應當依照本辦法及其相關標準規(guī)范，履行信息安全等級保護的義務和責任。國信辦——工信部信息安全協(xié)調司——中網辦信息安全協(xié)調局等級保護各方職責國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和等級保護法律政策體系等級保護法律政策體系等級保護標準體系等級保護標準體系等級保護工作流程等級保護工作流程等級保護基本框架等級保護基本框架等級保護建設四大原則等級保護建設同步建設原則重點保護原則自主保護原則動態(tài)調整原則等級保護建設四大原則等級保護建設同步建設原則重點保護原則自主等級保護與信息系統(tǒng)生命周期的關系等級保護實施過程新建信息系統(tǒng)生命周期已建信息系統(tǒng)等級保護實施過程啟動設計開發(fā)實施運行維護終止系統(tǒng)定級安全規(guī)劃設計安全實施安全運行管理（變更/應急響應/監(jiān)督檢查）終止終止系統(tǒng)定級安全規(guī)劃設計安全實施安全運行管理等級保護與信息系統(tǒng)生命周期的關系等級保護實施過程新建信息系統(tǒng)等級保護實施過程局部調整重大變更等級保護實施過程局部調整重大變更等級保護工作流程總圖等級保護過程及各階段工作安全運行管理階段

階段性風險評估持續(xù)性安全服務應急響應系統(tǒng)業(yè)務安全域劃分安全實施/實現階段安全規(guī)劃設計階段

安全定級備案階段

自主定級等級保護差距評估

信息系統(tǒng)風險評估安全建設整體規(guī)劃

安全基線設計安全技術體系等級實施改造安全崗位培訓等級測評安全管理體系等級實施改造

專家評審安全要求導出安全制度演練系統(tǒng)自查配合主管單位安全檢查等級安全解決方案設計主管部門批準網監(jiān)定級備案等級保護工作流程總圖等級保護過程及各階段工作安全運行管理階段系統(tǒng)定級與備案安全定級備案階段

系統(tǒng)定級與備案安全定級備案階段系統(tǒng)定級與備案確認具有唯一的安全責任單位一般是使用或運營單位滿足信息系統(tǒng)的基本要素單機和純局域網不定級承載相對獨立的業(yè)務應用含多個業(yè)務應用的綜合系統(tǒng)盡量劃分系統(tǒng)定級與備案確認具有唯一的安全責任單位系統(tǒng)定級要素兩個定級要素：等級保護對象受到破壞時客體受到侵害的程度。

受侵害的客體：公民、法人和其他組織的合法權益；社會秩序、公共利益；國家安全。

客體的侵害程度：一般損害；嚴重損害；特別嚴重損害。系統(tǒng)定級要素兩個定級要素：受侵害的客體：公民、法人和其他等級與侵害客體、侵害程度關系等級對象侵害客體侵害程度監(jiān)管強度第一級一般系統(tǒng)公民、法人合法利益一般損害自主保護第二級公民、法人合法權益嚴重損害指導保護社會秩序和公共利益一般損害第三級重要系統(tǒng)社會秩序和公共利益嚴重損害監(jiān)督保護國家安全一般損害第四級社會秩序和公共利益特別嚴重損害強制保護國家安全嚴重損害第五級極端重要系統(tǒng)國家安全特別嚴重損害?？乇Ｗo等級與侵害客體、侵害程度關系等級對象侵害客體侵害程度監(jiān)管強度系統(tǒng)定級矩陣圖業(yè)務信息安全或系統(tǒng)服務安全被破壞時受侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級系統(tǒng)定級矩陣圖業(yè)務信息安全或系統(tǒng)服務安全被破壞時受侵害的客體信息系統(tǒng)定級業(yè)務信息安全（S）業(yè)務信息安全是指：確保業(yè)務信息系統(tǒng)內信息的保密性、完整性和可用性等。通俗來講，承載的信息非常重要。系統(tǒng)服務安全（A）系統(tǒng)服務安全是指：確保信息系統(tǒng)可以及時、有效地提供服務，以完成預定的業(yè)務目標。通俗來講，承載的服務有效性和連續(xù)性非常重要。信息系統(tǒng)定級業(yè)務信息安全（S）信息系統(tǒng)定級流程圖3、綜合評定對客體的侵害程度2、確定業(yè)務信息安全受到破壞時所侵害的客體6、綜合評定對客體的侵害程度5、確定系統(tǒng)服務安全受到破壞時所侵害的客體7、系統(tǒng)服務安全保護等級4、業(yè)務信息安全保護等級8、定級對象的安全保護等級1、確定定級對象SA信息系統(tǒng)定級流程圖3、綜合評定對客體的侵害程度2、確定業(yè)務信信息系統(tǒng)定級安全保護等級業(yè)務信息安全等級和信息服務安全等級的組合第一級S1A1G1第二級S1A2G2，S2A2G2，S2A1G2第三級S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4第五級S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A5G5，S5A4G5，S5A3G5，S5A2G5，S5A1G5信息系統(tǒng)定級安全保護等級業(yè)務信息安全等級和信息服務安全等級的安全規(guī)劃與實施安全規(guī)劃與實施安全規(guī)劃與實施安全規(guī)劃與實施基本要求主要內容基本要求主要內容基本要求的組織方式基本要求的組織方式《基本要求》要求項在各層面的分布安全要求類層面一級二級三級四級技術要求物理安全9193233網絡安全9183332主機安全6193236應用安全7193136數據安全及備份恢復24811管理要求安全管理制度371114安全管理機構492020人員安全管理7111618系統(tǒng)建設管理20284548系統(tǒng)運維管理18416270合計/85175290318級差//9011528《基本要求》要求項在各層面的分布安全要求類層面一級二級三級四基本技術要求控制點基本技術要求控制點基本管理要求基本管理要求等級測評等級測評等級測評等級測評關于等級測評信息安全等級管理辦法（公通字【2007】43號）第十四條規(guī)定：信息系統(tǒng)建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦法規(guī)定條件的測評機構，依據《信息系統(tǒng)安全等級保護測評要求》等技術標準，定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應當每年至少進行一次等級測評，第四級信息系統(tǒng)應當每半年至少進行一次等級測評，第五級信息系統(tǒng)應當依據特殊安全需求進行等級測評。關于等級測評信息安全等級管理辦法（公通字【2007】43號）對測評機構的要求三級以上信息系統(tǒng)應當選擇使用符合以下條件的等級保護測評機構在中華人民共和國境內注冊成立（港澳臺除外）由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺除外）從事相關檢測評估工作兩年以上，無違法記錄工作人員僅限于中國公民法人及其主要業(yè)務、技術人員無犯罪紀錄使用的技術裝備、設施應當符合本辦法對信息安全產品的要求具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度對國家安全、社會秩序、公共利益不構成威脅對測評機構的要求三級以上信息系統(tǒng)應當選擇使用符合以下條件的等公安部推薦的測評機構全國等級保護測評機構推薦目錄查詢：/webdev/web/QueryCpjgAction.do公安部推薦的測評機構全國等級保護測評機構推薦目錄查詢：htt等級保護安全防御設計思路等級保護安全防御設計思路等級保護安全技術設計框架等級保護安全技術設計框架等級保護設計步驟等級保護設計步驟資產識別資產識別了解信息系統(tǒng)的構成，包括網絡拓撲、業(yè)務應用、業(yè)務流程、設備信息、安全措施狀況等。初步確定每個等級信息系統(tǒng)的分析對象，包括整體對象，如機房、辦公環(huán)境、網絡等，也包括具體對象，如邊界設備、網關設備、服務器設備、工作站、應用系統(tǒng)等。資產識別資產識別差距分析差距分析對照標準逐條列出不滿足要求的項基本要求現狀描述差距分析符合情況a)應保證主要網絡設備的業(yè)務處理能力具備冗余空間，滿足業(yè)務高峰期需要；設備上層有冗余鏈路，下層連接主機為單鏈路；建議關鍵業(yè)務使用冗余鏈路或建立冗余端口部分符合b)應保證網絡各個部分的帶寬滿足業(yè)務高峰期需要；能夠滿足符合c)應在業(yè)務終端與業(yè)務服務器之間進行路由控制建立安全的訪問路徑；開啟了靜態(tài)路由；并單獨劃分了VLAN符合d)應繪制與當前運行情況相符的網絡拓撲結構圖；與當前的網絡環(huán)境和拓撲相符符合差距分析差距分析基本要求現狀描述差距分析符合情況a)應保證主風險評估風險評估安全域劃分定義安全域（SecurityZone）是指同一系統(tǒng)內有相同的安全保護需求，相互信任，并具有相同的安全訪問控制和邊界控制策略的IT要素集合，相同的安全域共享相同的安全策略。安全域劃分定義安全域劃分安全域劃分區(qū)域邊界安全設計訪問控制要求邏輯隔離、物理隔離、安全強隔離入侵防范要求DDOS攻擊、應用層攻擊防惡意代碼要求防病毒網關網絡設備安全防護要求運維審計堡壘機安全審計要求區(qū)域邊界安全設計訪問控制要求通信網絡安全設計數據傳輸完整性/機密性和通信網絡可信接入保護安全準入控制、IPSECVPN、SSLVPN、網絡加密機安全審計安全管理中心集中審計管理通信網絡安全設計數據傳輸完整性/機密性和通信網絡可信接入保護計算環(huán)境安全設計主機安全商用操作系統(tǒng)（二級）、操作系統(tǒng)安全增強（三級）、安全操作系統(tǒng)（四級）終端安全管理系統(tǒng)應用安全WEB安全應用軟件安全增強：中間件、數據庫數據安全及備份恢復關鍵數據存儲加密數據備份：本地備份、異地備份系統(tǒng)冗余設計計算環(huán)境安全設計主機安全安全管理中心設計系統(tǒng)管理系統(tǒng)運行監(jiān)控、系統(tǒng)配置管理安全管理身份認證管理、風險管理、防病毒管理、補丁分發(fā)管理審計管理數據庫審計、應用審計、網絡審計、運維審計安全管理中心設計系統(tǒng)管理安全管理制度框架安全管理制度框架東軟行業(yè)優(yōu)勢及建設案例4東軟行業(yè)優(yōu)勢及建設案例4東軟行業(yè)優(yōu)勢及近期等保部分案例上海曙光醫(yī)院南陽市社保北京醫(yī)院河北省人民醫(yī)院勞動部寧波云醫(yī)院安徽省工商局延安醫(yī)療集團醫(yī)療衛(wèi)生行業(yè)重慶開縣人民醫(yī)院政府機關滁州市法院佛山市社?！瓥|軟行業(yè)優(yōu)勢及近期等保部分案例上海曙光醫(yī)院南陽市社保北京醫(yī)院案例：醫(yī)療行業(yè)醫(yī)院信息系統(tǒng)一般可分成兩部分：一是滿足管理要求的管理信息系統(tǒng)；二是滿足臨床醫(yī)療要求的臨床信息系統(tǒng)。管理信息系統(tǒng)包括門診掛號、門診收費、住院登記、住院收費、設備管理、醫(yī)務統(tǒng)計、輔助決策支持等系統(tǒng)。臨床信息系統(tǒng)包括門診醫(yī)生工作站、病區(qū)醫(yī)生工作站、病區(qū)護士工作站、合理用藥系統(tǒng)、臨床檢驗系統(tǒng)、醫(yī)學影像系統(tǒng)、手術麻醉系統(tǒng)、重癥監(jiān)護系統(tǒng)等。案例：醫(yī)療行業(yè)醫(yī)院信息系統(tǒng)一般可分成兩部分：一是滿足管理要求業(yè)務分布圖核心業(yè)務系統(tǒng)一般業(yè)務系統(tǒng)業(yè)務分布圖核心業(yè)務系統(tǒng)一般業(yè)務系統(tǒng)等保技術防護通信網絡區(qū)域邊界計算環(huán)境（主機）計算環(huán)境（主機）計算環(huán)境（終端）計算環(huán)境（終端）通信網絡區(qū)域邊界區(qū)域邊界網絡審計系統(tǒng)VPN防火墻入侵防御系統(tǒng)防病毒網關WAF網頁防篡改服務器加固安全補丁/防病毒網絡審計系統(tǒng)防火墻入侵防御系統(tǒng)入侵檢測系統(tǒng)入侵檢測系統(tǒng)基于VLAN的ACL基于VLAN的ACL數據庫審計系統(tǒng)防火墻服務器加固安全補丁/防病毒終端安全管理系統(tǒng)安全補丁/防病毒終端安全管理系統(tǒng)安全補丁/防病毒安全管理中心身份認證系統(tǒng)漏洞掃描系統(tǒng)運維審計堡壘機RAID磁帶庫/虛擬帶庫數據遠程備份防病毒服務器補丁更新服務器SOC安全運維監(jiān)控平臺等保技術防護通信網絡區(qū)域邊界計算環(huán)境計算環(huán)境計算環(huán)境計算環(huán)境等級保護與東軟安全產品5等級保護與東軟安全產品5對應的安全產品等級保護建設方案技術要求管理要求物理安全網絡安全主機安全應用安全數據安全訪問控制安全審計邊界完整性惡意代碼防護身份鑒別訪問控制可信路徑入侵防范安全審計惡意代碼防護入侵防范身份鑒別訪問控制可信路徑入侵防范安全審計FW/NISGESM/SOCFW/NISGNISG-IPSIDS/NISG-IPSNABHFW/NISGFW/NISGFW/IPS/IDSNABH/ESM/SOCNISG-IPSNIBHFW/NISGFW/NISGNISG-IPS/WAFESM/NABH資源控制與監(jiān)控SOCFW:防火墻IDS:入侵檢測系統(tǒng)NISG:下一代防火墻NABH:身份認證管控系統(tǒng)NISG-IPS:入侵防御系統(tǒng)ESM:網絡審計系統(tǒng)WAF:WEB應用防火墻SOC:安全運維監(jiān)控系統(tǒng)NIBC:上網行為管理DBA:數據庫審計系統(tǒng)數據訪問審計DBA…..對應的安全產品等級保護建設方案技術要求管理要求物理安全網絡安16年商機前沿快報616年商機前沿快報616年等保商機教育行業(yè)1、2016年教育部撥款30億為全國75所直屬985高校建設等級保護，今年內須全部建設完成。2、普通高校等級保護項目；政府行業(yè)1、全國法院開展非涉密重要信息系統(tǒng)安全等級保護建設服務項目；系統(tǒng)名稱：司法查控系統(tǒng)；2、檢察院電子檢務系統(tǒng)3、中央辦公廳的直屬機構省委機要局在大力開展安全可靠項目；4、財政電子支付平臺（無紙化平臺）安全建設項目，安全等級要達到三級；5、國稅地稅等保三級系統(tǒng)，東軟在國稅系統(tǒng)成功入圍；6、國土資源局等級保護項目。。。。。。。16年等保商機教育行業(yè)政府行業(yè)謝謝各位！謝謝各位！演講完畢，謝謝觀看！演講完畢，謝謝觀看！信息安全等級保護體系與東軟網絡安全產品介紹信息安全等級保護體系與東軟網絡安全產品介紹等級保護概述等級保護工作流程１2目錄等級保護安全防御設計思路34東軟行業(yè)優(yōu)勢及建設案例等級保護與東軟安全產品562016年商機前沿快報等級保護概述等級保護工作流程１2目錄等級保護安全防御設計思路等級保護的概述等級保護的概述國家信息安全等級保護制度—由國家層面推動并要求遵照執(zhí)行的信息安全要求。等級保護按照是否涉及國家秘密劃分—等級保護：適用于政府、央企等非涉密網絡的信息安全政策、制度及標準體系?！旨壉Ｗo：適用于政府、軍隊、兵工廠等涉密網絡的信息安全政策、制度及標準體系。是政府、央企信息安全建設的主要依據和主要推動力。國家信息安全制度國家信息安全等級保護制度國家信息安全制度等級保護的第一個法律文件——國務院令《中華人民共和國計算機信息系統(tǒng)安全保護條例》（1994年2月18日國務院147號令）

第九條：計算機信息系統(tǒng)實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定。該條明確了三個內容：一是確立了等級保護是計算機信息系統(tǒng)安全保護的一項制度；二是明確了公安部的牽頭地位；三是提出了需要出臺配套的規(guī)章和技術標準。等級保護的第一個法律文件——國務院令《中華人民共和國計算機信等級保護安全等級定義文件《計算機信息系統(tǒng)安全保護等級劃分準則》（1999頒發(fā)的GB17859）第一級：用戶自主保護級；

第二級：系統(tǒng)審計保護級；

第三級：安全標記保護級；

第四級：結構化保護級；

第五級：訪問驗證保護級。提出了等級保護在技術防護層面與安全管理層面的建設防護要求。

等級保護安全等級定義文件《計算機信息系統(tǒng)安全保護等級劃分準則中央文件中辦[2003]27號文件《國家信息化領導小組關于加強信息安全保障工作的意見》

“要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南?！敝醒?7號文件的下達標志著等級保護從計算機信息系統(tǒng)安全保護的一項制度提升到國家信息安全保障一項基本制度。同時明確了各級黨委和政府在信息安全保障工作中的領導地位，以及“誰主管誰負責，誰運營誰負責”的信息安全保障責任制。中央文件中辦[2003]27號文件國家四部委文件

2004年9月公安部會同國家保密局、國家密碼管理局和國務院信息辦聯合出臺了《關于信息安全等級保護工作的實施意見》（公通字[2004]66號），明確了信息安全等級保護制度的原則和基本內容，以及信息安全等級保護工作的職責分工、工作實施的要求等。2007年6月公安部會同國家保密局、國家密碼管理局和國務院信息辦聯合《信息安全等級保護管理辦法》（公通字[2007]43號），明確了信息安全等級保護制度的基本內容、流程及工作要求，再進一步明確了信息系統(tǒng)運營使用單位和主管部門、監(jiān)管部門在信息安全等級保護工作中的職責、任務，為開展信息安全等級保護工作提供了規(guī)范保障。國家四部委文件等級保護發(fā)展歷程1994年《中華人民共和國計算機信息系統(tǒng)安全保護條例》

（國務院147號令）1999年《計算機信息系統(tǒng)安全保護等級劃分準則》GB17859-19992003年《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號)2004年《關于信息安全等級保護工作的實施意見》

（公通字［2004］66號）2007年《信息安全等級保護管理辦法》

（公通字［2007］43號）2007年《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安[2007]861號）2007年《信息安全等級保護備案實施細則》（公信安[2007]1360號）2008年《公安機關信息安全等級保護監(jiān)督檢查工作規(guī)范》（公信安[2008]736號）2009年《關于開展信息安全等級保護安全建設整改工作的指導意見》(公信安[2009]1429號)等級保護發(fā)展歷程1994年《中華人民共和國計算機信息系統(tǒng)安全等級保護各方職責國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術標準，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護，對等級保護工作的實施進行監(jiān)督、管理。公安機關負責信息安全等級保護工作的監(jiān)督、檢查、指導。保密工作部門負責等級保護工作中有關保密工作的監(jiān)督、檢查、指導。密碼管理部門負責等級保護工作中有關密碼工作的監(jiān)督、檢查、指導。國信辦負責等級保護工作的部門間協(xié)調。其他涉及其他職能部門管轄范圍的事項，由有關職能部門依照國家法律法規(guī)的規(guī)定進行管理。信息系統(tǒng)主管部門應當依照本辦法及相關標準規(guī)范，督促、檢查、指導本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運營、使用單位的信息安全等級保護工作。信息系統(tǒng)的運營、使用單位信息系統(tǒng)的運營、使用單位應當依照本辦法及其相關標準規(guī)范，履行信息安全等級保護的義務和責任。國信辦——工信部信息安全協(xié)調司——中網辦信息安全協(xié)調局等級保護各方職責國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和等級保護法律政策體系等級保護法律政策體系等級保護標準體系等級保護標準體系等級保護工作流程等級保護工作流程等級保護基本框架等級保護基本框架等級保護建設四大原則等級保護建設同步建設原則重點保護原則自主保護原則動態(tài)調整原則等級保護建設四大原則等級保護建設同步建設原則重點保護原則自主等級保護與信息系統(tǒng)生命周期的關系等級保護實施過程新建信息系統(tǒng)生命周期已建信息系統(tǒng)等級保護實施過程啟動設計開發(fā)實施運行維護終止系統(tǒng)定級安全規(guī)劃設計安全實施安全運行管理（變更/應急響應/監(jiān)督檢查）終止終止系統(tǒng)定級安全規(guī)劃設計安全實施安全運行管理等級保護與信息系統(tǒng)生命周期的關系等級保護實施過程新建信息系統(tǒng)等級保護實施過程局部調整重大變更等級保護實施過程局部調整重大變更等級保護工作流程總圖等級保護過程及各階段工作安全運行管理階段

階段性風險評估持續(xù)性安全服務應急響應系統(tǒng)業(yè)務安全域劃分安全實施/實現階段安全規(guī)劃設計階段

安全定級備案階段

自主定級等級保護差距評估

信息系統(tǒng)風險評估安全建設整體規(guī)劃

安全基線設計安全技術體系等級實施改造安全崗位培訓等級測評安全管理體系等級實施改造

專家評審安全要求導出安全制度演練系統(tǒng)自查配合主管單位安全檢查等級安全解決方案設計主管部門批準網監(jiān)定級備案等級保護工作流程總圖等級保護過程及各階段工作安全運行管理階段系統(tǒng)定級與備案安全定級備案階段

系統(tǒng)定級與備案安全定級備案階段系統(tǒng)定級與備案確認具有唯一的安全責任單位一般是使用或運營單位滿足信息系統(tǒng)的基本要素單機和純局域網不定級承載相對獨立的業(yè)務應用含多個業(yè)務應用的綜合系統(tǒng)盡量劃分系統(tǒng)定級與備案確認具有唯一的安全責任單位系統(tǒng)定級要素兩個定級要素：等級保護對象受到破壞時客體受到侵害的程度。

受侵害的客體：公民、法人和其他組織的合法權益；社會秩序、公共利益；國家安全。

客體的侵害程度：一般損害；嚴重損害；特別嚴重損害。系統(tǒng)定級要素兩個定級要素：受侵害的客體：公民、法人和其他等級與侵害客體、侵害程度關系等級對象侵害客體侵害程度監(jiān)管強度第一級一般系統(tǒng)公民、法人合法利益一般損害自主保護第二級公民、法人合法權益嚴重損害指導保護社會秩序和公共利益一般損害第三級重要系統(tǒng)社會秩序和公共利益嚴重損害監(jiān)督保護國家安全一般損害第四級社會秩序和公共利益特別嚴重損害強制保護國家安全嚴重損害第五級極端重要系統(tǒng)國家安全特別嚴重損害專控保護等級與侵害客體、侵害程度關系等級對象侵害客體侵害程度監(jiān)管強度系統(tǒng)定級矩陣圖業(yè)務信息安全或系統(tǒng)服務安全被破壞時受侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級系統(tǒng)定級矩陣圖業(yè)務信息安全或系統(tǒng)服務安全被破壞時受侵害的客體信息系統(tǒng)定級業(yè)務信息安全（S）業(yè)務信息安全是指：確保業(yè)務信息系統(tǒng)內信息的保密性、完整性和可用性等。通俗來講，承載的信息非常重要。系統(tǒng)服務安全（A）系統(tǒng)服務安全是指：確保信息系統(tǒng)可以及時、有效地提供服務，以完成預定的業(yè)務目標。通俗來講，承載的服務有效性和連續(xù)性非常重要。信息系統(tǒng)定級業(yè)務信息安全（S）信息系統(tǒng)定級流程圖3、綜合評定對客體的侵害程度2、確定業(yè)務信息安全受到破壞時所侵害的客體6、綜合評定對客體的侵害程度5、確定系統(tǒng)服務安全受到破壞時所侵害的客體7、系統(tǒng)服務安全保護等級4、業(yè)務信息安全保護等級8、定級對象的安全保護等級1、確定定級對象SA信息系統(tǒng)定級流程圖3、綜合評定對客體的侵害程度2、確定業(yè)務信信息系統(tǒng)定級安全保護等級業(yè)務信息安全等級和信息服務安全等級的組合第一級S1A1G1第二級S1A2G2，S2A2G2，S2A1G2第三級S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4第五級S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A5G5，S5A4G5，S5A3G5，S5A2G5，S5A1G5信息系統(tǒng)定級安全保護等級業(yè)務信息安全等級和信息服務安全等級的安全規(guī)劃與實施安全規(guī)劃與實施安全規(guī)劃與實施安全規(guī)劃與實施基本要求主要內容基本要求主要內容基本要求的組織方式基本要求的組織方式《基本要求》要求項在各層面的分布安全要求類層面一級二級三級四級技術要求物理安全9193233網絡安全9183332主機安全6193236應用安全7193136數據安全及備份恢復24811管理要求安全管理制度371114安全管理機構492020人員安全管理7111618系統(tǒng)建設管理20284548系統(tǒng)運維管理18416270合計/85175290318級差//9011528《基本要求》要求項在各層面的分布安全要求類層面一級二級三級四基本技術要求控制點基本技術要求控制點基本管理要求基本管理要求等級測評等級測評等級測評等級測評關于等級測評信息安全等級管理辦法（公通字【2007】43號）第十四條規(guī)定：信息系統(tǒng)建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦法規(guī)定條件的測評機構，依據《信息系統(tǒng)安全等級保護測評要求》等技術標準，定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應當每年至少進行一次等級測評，第四級信息系統(tǒng)應當每半年至少進行一次等級測評，第五級信息系統(tǒng)應當依據特殊安全需求進行等級測評。關于等級測評信息安全等級管理辦法（公通字【2007】43號）對測評機構的要求三級以上信息系統(tǒng)應當選擇使用符合以下條件的等級保護測評機構在中華人民共和國境內注冊成立（港澳臺除外）由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺除外）從事相關檢測評估工作兩年以上，無違法記錄工作人員僅限于中國公民法人及其主要業(yè)務、技術人員無犯罪紀錄使用的技術裝備、設施應當符合本辦法對信息安全產品的要求具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度對國家安全、社會秩序、公共利益不構成威脅對測評機構的要求三級以上信息系統(tǒng)應當選擇使用符合以下條件的等公安部推薦的測評機構全國等級保護測評機構推薦目錄查詢：/webdev/web/QueryCpjgAction.do公安部推薦的測評機構全國等級保護測評機構推薦目錄查詢：htt等級保護安全防御設計思路等級保護安全防御設計思路等級保護安全技術設計框架等級保護安全技術設計框架等級保護設計步驟等級保護設計步驟資產識別資產識別了解信息系統(tǒng)的構成，包括網絡拓撲、業(yè)務應用、業(yè)務流程、設備信息、安全措施狀況等。初步確定每個等級信息系統(tǒng)的分析對象，包括整體對象，如機房、辦公環(huán)境、網絡等，也包括具體對象，如邊界設備、網關設備、服務器設備、工作站、應用系統(tǒng)等。資產識別資產識別差距分析差距分析對照標準逐條列出不滿足要求的項基本要求現狀描述差距分析符合情況a)應保證主要網絡設備的業(yè)務處理能力具備冗余空間，滿足業(yè)務高峰期需要；設備上層有冗余鏈路，下層連接主機為單鏈路；建議關鍵業(yè)務使用冗余鏈路或建立冗余端口部分符合b)應保證網絡各個部分的帶寬滿足業(yè)務高峰期需要；能夠滿足符合c)應在業(yè)務終端與業(yè)務服務器之間進行路由控制建立安全的訪問路徑；開啟了靜態(tài)路由；并單獨劃分了VLAN符合d)應繪制與當前運行情況相符的網絡拓撲結構圖；與當前的網絡環(huán)境和拓撲相符符合差距分析差距分析基本要求現狀描述差距分析符合情況a)應保證主風險評估風險評估安全域劃分定義安全域（SecurityZone）是指同一系統(tǒng)內有相同的安全保護需求，相互信任，并具有相同的安全訪問控制和邊界控制策略的IT要素集合，相同的安全域共享相同的安全策略。安全域劃分定義安全域劃分安全域劃分區(qū)域邊界安全設計訪問控制要求邏輯隔離、物理隔離、安全強隔離入侵防范要求DDOS攻擊、應用層攻擊防惡意代碼要求防病毒網關網絡設備安全防護要求運維審計堡壘機安全審計要求區(qū)域邊界安全設計訪問控制要求通信網絡安全設計數據傳輸完整性/機密性和通信網絡可信接入保護安全準入控制、IPSECVPN、SSLVPN、網絡加密機安全審計安全管理中心集中審計管理通信網絡安全設計數據傳輸完整性/機密性和通信網絡可信接入保護計算環(huán)境安全設計主機安全商用操作系統(tǒng)（二級）、操作系統(tǒng)安全增強（三級）、安全操作系統(tǒng)（四級）終端安全管理系統(tǒng)應用安全WEB安全應用軟件安全增強：中間件、數據庫數據安全及備份恢復關鍵數據存儲加密數據備份：本地備份、異地備份系統(tǒng)冗余設計計算環(huán)境安全設計主機安全安全管理中心設計系統(tǒng)管理系統(tǒng)運行監(jiān)控、系統(tǒng)配置管理安全管理身份認證管理、風險管理、防病毒管理、補丁分發(fā)管理審計管理數據庫審計、應用審計、網絡審計、運維審計安全管理中心設計系統(tǒng)管理安全管理制度框架安全管理制