信息安全等級保護介紹課件

信息安全等級保護介紹信息安全等級保護介紹internetSOCIDS審計漏掃終端管理DLPIPSWAF堡壘機行為管理DBFISP1ISP2/internetVPN負載均衡無線IPS信息安全架構(gòu)UTMFW準(zhǔn)入網(wǎng)關(guān)系統(tǒng)加固桌面網(wǎng)關(guān)internetSOCIDS審計漏掃終端管理DLPIPSWA目錄等保的等級劃分等保的具體要求等保的建設(shè)依據(jù)等保的由來等保的建設(shè)流程等保狀況分析目錄等保的等級劃分等保的具體要求等保的建設(shè)依據(jù)等保的由來等保第一部分：等級保護的由來<國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見>(中辦發(fā)[2003]27號)<關(guān)于信息安全等級保護工作的實施意見>(公通字[2004]66號)<信息安全等級保護管理辦法>(公通字[2007]43號)等級劃分原則等級保護基本要求通用安全技術(shù)要求網(wǎng)絡(luò)基礎(chǔ)安全基本要求…<關(guān)于加強信息安全保障工作中保密管理的若干意見>(中保委發(fā)[2004]7號)<涉及國家秘密的信息系統(tǒng)分級保護管理辦法>(國保發(fā)[2005]16號)分級保護技術(shù)要求分級保護管理要求分級保護策評指南…分級保護設(shè)計指南非涉密信息系統(tǒng)涉密信息系統(tǒng)等級保護分級保護國家信息安全保障體系第一部分：等級保護的由來<國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全第一部分：等級保護的由來什么是等級保護信息系統(tǒng)受到侵害，對社會造成的影響不同伴隨著我們國家信息建設(shè)與應(yīng)用的不斷深入第一部分：等級保護的由來什么是等級保護信息系統(tǒng)受到侵害，對社第一部分：等級保護的由來什么是等級保護信息系統(tǒng)受到侵害，影響到公民/法人合法利益影響到公民/法人合法權(quán)益第一部分：等級保護的由來什么是等級保護信息系統(tǒng)受到侵害，影響第一部分：等級保護的由來什么是等級保護信息系統(tǒng)受到侵害，影響到社會秩序、公共利益影響到社會秩序公共利益第一部分：等級保護的由來什么是等級保護信息系統(tǒng)受到侵害，影響第一部分：等級保護的由來什么是等級保護信息系統(tǒng)受到侵害，影響到國家安全影響到國家安全第一部分：等級保護的由來什么是等級保護信息系統(tǒng)受到侵害，影響第一部分：等級保護的由來等級保護要保護什么影響到國家安全影響到社會秩序公共利益影響到公民/法人合法權(quán)益等級保護—是指對會影響到國家安全、社會秩序、公共利益、公民法人合法權(quán)益的信息系統(tǒng)實行分等級的信息安全保護，保障信息系統(tǒng)正常運行，維護國家利益、公共利益和社會穩(wěn)定。第一部分：等級保護的由來等級保護要保護什么影響到影響到影響到第一部分：等級保護的由來“等級保護”的漫長歷史過程1994《中華人民共和國計算機信息系統(tǒng)安全保護條例》國務(wù)院147號令

“安全等級的劃分標(biāo)準(zhǔn)和安全等級保護的具體辦法，由公安部會同有關(guān)部門制定?！钡谝徊糠郑旱燃壉Ｗo的由來“等級保護”的漫長歷史過程1994《第一部分：等級保護的由來“等級保護”的漫長歷史過程19941999《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》GB17859-1999）《中華人民共和國計算機信息系統(tǒng)安全保護條例》國務(wù)院147號令國家對信息系統(tǒng)實行五級保護第一部分：等級保護的由來“等級保護”的漫長歷史過程19941第一部分：等級保護的由來“等級保護”的漫長歷史過程199419992003《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》GB17859-1999）《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）《中華人民共和國計算機信息系統(tǒng)安全保護條例》國務(wù)院147號令

實行信息安全等級保護制度，重點保護基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)。第一部分：等級保護的由來“等級保護”的漫長歷史過程19941第一部分：等級保護的由來“等級保護”的漫長歷史過程1994199920032004《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》GB17859-1999）《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）《關(guān)于信息安全等級保護工作的實施意見》（公通字[2004]66號）《中華人民共和國計算機信息系統(tǒng)安全保護條例》國務(wù)院147號令明確了信息安全等級保護制度的主要工作方向和工作內(nèi)容，規(guī)定了等級保護實施的具體步驟和時間表第一部分：等級保護的由來“等級保護”的漫長歷史過程19941第一部分：等級保護的由來“等級保護”的漫長歷史過程1994199920032004《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》GB17859-1999）《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）《關(guān)于信息安全等級保護工作的實施意見》（公通字[2004]66號）《中華人民共和國計算機信息系統(tǒng)安全保護條例》國務(wù)院147號令20052005年公安部標(biāo)準(zhǔn)《等級保護安全要求》《等級保護定級指南》《等級保護實施指南》《等級保護測評準(zhǔn)則》第一部分：等級保護的由來“等級保護”的漫長歷史過程19941第一部分：等級保護的由來“等級保護”的漫長歷史過程19941999200620032004《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》GB17859-1999）《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）《關(guān)于信息安全等級保護工作的實施意見》（公通字[2004]66號）《信息安全等級保護管理辦法（試行）》(公通字[2006]7號)《中華人民共和國計算機信息系統(tǒng)安全保護條例》國務(wù)院147號令20052005年公安部標(biāo)準(zhǔn)《等級保護安全要求》《等級保護定級指南》《等級保護實施指南》《等級保護測評準(zhǔn)則》第一部分：等級保護的由來“等級保護”的漫長歷史過程19941第一部分：等級保護的由來“等級保護”的漫長歷史過程19941999200620032004《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》GB17859-1999）《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）《關(guān)于信息安全等級保護工作的實施意見》（公通字[2004]66號）《信息安全等級保護管理辦法（試行）》(公通字[2006]7號)《中華人民共和國計算機信息系統(tǒng)安全保護條例》國務(wù)院147號令20052005年公安部標(biāo)準(zhǔn)《等級保護安全要求》《等級保護定級指南》《等級保護實施指南》《等級保護測評準(zhǔn)則》2007《信息安全等級保護管理辦法》（公通字[2007]43號）取代[2006]7號文關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知（公信安[2007]861）2007年7月到10月在全國范圍內(nèi)組織開展重要信息系統(tǒng)安全等級保護定級工作代替公通字[2006]7號文件，明確了等級保護的具體操作辦法，明確了等級保護工作的主要內(nèi)容是定級、備案、系統(tǒng)建設(shè)整改、等級測評、監(jiān)督檢查第一部分：等級保護的由來“等級保護”的漫長歷史過程19941第一部分：等級保護的由來“等級保護”的漫長歷史過程19941999200620032004《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》GB17859-1999）《關(guān)于信息安全等級保護工作的實施意見》（公通字[2004]66號）《信息安全等級保護管理辦法（試行）》(公通字[2006]7號)《中華人民共和國計算機信息系統(tǒng)安全保護條例》國務(wù)院147號令20052007關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知（公信安[2007]861）《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）2005年公安部標(biāo)準(zhǔn)《等級保護安全要求》《等級保護定級指南》《等級保護實施指南》《等級保護測評準(zhǔn)則》《信息安全等級保護管理辦法》（公通字[2007]43號）取代[2006]7號文2008《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知》（發(fā)改高技【2008】2071號）《公安機關(guān)信息安全等級保護檢查工作規(guī)范（試行）（公信安【2008】736號）第一部分：等級保護的由來“等級保護”的漫長歷史過程19941第一部分：等級保護的由來“等級保護”的漫長歷史過程19941999200620032004《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》GB17859-1999）《關(guān)于信息安全等級保護工作的實施意見》（公通字[2004]66號）《信息安全等級保護管理辦法（試行）》(公通字[2006]7號)《中華人民共和國計算機信息系統(tǒng)安全保護條例》國務(wù)院147號令20052007關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知（公信安[2007]861）《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）2005年公安部標(biāo)準(zhǔn)《等級保護安全要求》《等級保護定級指南》《等級保護實施指南》《等級保護測評準(zhǔn)則》《信息安全等級保護管理辦法》（公通字[2007]43號）取代[2006]7號文2008《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知》（發(fā)改高技【2008】2071號）《公安機關(guān)信息安全等級保護檢查工作規(guī)范（試行）（公信安【2008】736號）2009《關(guān)于開展信息系統(tǒng)等級保護安全建設(shè)整改工作的指導(dǎo)意見》（公信安【2009】1429號）關(guān)于印發(fā)《信息系統(tǒng)安全等級測評報告模板（試行）》的通知（公信安【2009】1487號）第一部分：等級保護的由來“等級保護”的漫長歷史過程19941第二部分：等級保護等級劃分信息系統(tǒng)定級受侵害的客體對客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第三級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級等級第一級第二級第三級第四級第五級監(jiān)督強度自主性保護指導(dǎo)性保護監(jiān)督性保護強制性保護?？匦员Ｗo第二部分：等級保護等級劃分信息系統(tǒng)定級受侵害的客體對客體的第二部分：等級保護等級劃分決定信息系統(tǒng)等級的因素系統(tǒng)所屬類型業(yè)務(wù)信息類別系統(tǒng)服務(wù)范圍業(yè)務(wù)依賴程度業(yè)務(wù)信息安全性業(yè)務(wù)服務(wù)保證性信息系統(tǒng)安全保護等級侵害的程度如何？（對客體造成侵害的程度）一般損害嚴重損害特別嚴重損害受到破壞時侵害了什么？（客體）公民、法人社會秩序、公共利益國家安全二者取高第二部分：等級保護等級劃分決定信息系統(tǒng)等級的因素系統(tǒng)所屬類型第三部分：等級保護項目建設(shè)流程等級保護工作基本流程安全檢查發(fā)現(xiàn)問題自查階段安全技術(shù)措施實施安全管理措施實施安全建設(shè)實施制定整改方案專家評審整改建設(shè)方案市級黨政機關(guān)到市信息辦備案；區(qū)縣黨政機關(guān)到區(qū)縣信息辦備案。匯總后報市信息辦涉密系統(tǒng)報市和區(qū)縣國家保密工作部門；其他到公安機關(guān)辦理備案手續(xù)；受理單位備案審核；差距評估市級黨政機關(guān)到市信息辦備案；區(qū)縣黨政機關(guān)到區(qū)縣信息辦備案。匯總后報市信息辦涉密系統(tǒng)報市和區(qū)縣國家保密工作部門；其他到公安機關(guān)辦理備案手續(xù)；受理單位備案審核；系統(tǒng)備案摸底調(diào)查專家評審新系統(tǒng)建設(shè)同時同步確定等級，按等級同步規(guī)劃建設(shè)安全設(shè)施系統(tǒng)定級第三方測評整改測評階段評估和現(xiàn)狀檢測（可請評估或檢測機構(gòu)）差距評估報告第三部分：等級保護項目建設(shè)流程等級保護工作基本流程安全檢查自第四部分：等級保護項目建設(shè)依據(jù)等級保護項目建設(shè)依據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務(wù)院147號令）《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)【2003】27號）《關(guān)于信息安全等級保護工作的實施意見》（公通字【2004】66號）《信息安全等級保護管理辦法》（公通字【2007】43號）《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公通字【2007】861號）《信息安全等級保護備案實施細則》（公信安【2007】1360號）《關(guān)于開展信息系統(tǒng)等級保護安全建設(shè)整改工作的指導(dǎo)意見》（公信安【2009】1429號）《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知》（發(fā)改高技【2008】2071號）關(guān)于印發(fā)《信息系統(tǒng)安全等級測評報告模板（試行）》的通知（公信安【2009】1487號）《公安機關(guān)信息安全等級保護檢查工作規(guī)范（試行）（公信安【2008】736號）定級備案安全建設(shè)整改等級測評檢查信息安全等級保護工作第四部分：等級保護項目建設(shè)依據(jù)等級保護項目建設(shè)依據(jù)《中華人民第四部分：等級保護項目建設(shè)依據(jù)等級保護項目建設(shè)依據(jù)第四部分：等級保護項目建設(shè)依據(jù)等級保護項目建設(shè)依據(jù)總體安全規(guī)劃第五部分：等級保護的具體要求等級保護工作過程等級變更局部調(diào)整信息系統(tǒng)定級安全設(shè)計與實施安全運行維護信息系統(tǒng)終止總體安全規(guī)劃第五部分：等級保護的具體要求等級保護工作過程等級第五部分：等級保護的具體要求等級保護總體框架第一級第二級第三級第四級第五級技術(shù)要求物理安全網(wǎng)絡(luò)安全

主機安全應(yīng)用安全數(shù)據(jù)安全備份恢復(fù)管理要求管理制度

管理機構(gòu)

人員管理

建設(shè)管理

運維管理

第五部分：等級保護的具體要求等級保護總體框架第一級第二級第三第五部分：等級保護的具體要求技術(shù)要求—物理安全物理位置選擇物理安全(3級)物理訪問控制防盜竊和防破壞防雷擊防火防水和防潮溫濕度控制電力供應(yīng)電磁防護防靜電第五部分：等級保護的具體要求技術(shù)要求—物理安全物理位置選擇物第五部分：等級保護的具體要求技術(shù)要求—網(wǎng)絡(luò)安全結(jié)構(gòu)安全網(wǎng)絡(luò)安全(3級)訪問控制安全審計邊界完整性檢查入侵防范惡意代碼防范網(wǎng)絡(luò)設(shè)備防護第五部分：等級保護的具體要求技術(shù)要求—網(wǎng)絡(luò)安全結(jié)構(gòu)安全網(wǎng)絡(luò)安第五部分：等級保護的具體要求技術(shù)要求—主機安全身份鑒別主機系統(tǒng)安全(3級)訪問控制安全審計剩余信息保護入侵防范惡意代碼防范系統(tǒng)資源控制第五部分：等級保護的具體要求技術(shù)要求—主機安全身份鑒別主機系第五部分：等級保護的具體要求技術(shù)要求—應(yīng)用安全身份鑒別應(yīng)用安全(3級)訪問控制通信完整性通信保密性安全審計剩余信息保護抗抵賴軟件容錯資源控制第五部分：等級保護的具體要求技術(shù)要求—應(yīng)用安全身份鑒別應(yīng)用安第五部分：等級保護的具體要求技術(shù)要求—數(shù)據(jù)安全數(shù)據(jù)完整性數(shù)據(jù)安全(3級)數(shù)據(jù)保密性數(shù)據(jù)備份與恢復(fù)第五部分：等級保護的具體要求技術(shù)要求—數(shù)據(jù)安全數(shù)據(jù)完整性數(shù)據(jù)第五部分：等級保護的具體要求管理要求—安全管理機構(gòu)崗位設(shè)置安全管理機構(gòu)(3級)人員配備授權(quán)和審批溝通和合作審核和檢查第五部分：等級保護的具體要求管理要求—安全管理機構(gòu)崗位設(shè)置安第五部分：等級保護的具體要求管理要求—安全管理制度管理制度安全管理制度(3級)制訂和發(fā)布評審和修訂第五部分：等級保護的具體要求管理要求—安全管理制度管理制度安第五部分：等級保護的具體要求管理要求—人員安全管理人員錄用人員安全管理(3級)人員離崗人員考核安全意識教育和培訓(xùn)外部人員訪問管理第五部分：等級保護的具體要求管理要求—人員安全管理人員錄用人第五部分：等級保護的具體要求管理要求—系統(tǒng)建設(shè)管理系統(tǒng)定級系統(tǒng)建設(shè)管理(3級)安全方案設(shè)計產(chǎn)品采購和使用自行軟件開發(fā)外包軟件開發(fā)工程實施測試驗收系統(tǒng)交付安全服務(wù)商選擇等級測評第五部分：等級保護的具體要求管理要求—系統(tǒng)建設(shè)管理系統(tǒng)定級系第五部分：等級保護的具體要求管理要求—系統(tǒng)運維管理系統(tǒng)運維管理(3級)環(huán)境管理資產(chǎn)管理設(shè)備管理介質(zhì)管理監(jiān)控管理網(wǎng)絡(luò)安全管理系統(tǒng)安全管理惡意代碼防范管理變更管理密碼管理備份和恢復(fù)管理安全事件處置應(yīng)急預(yù)案管理第五部分：等級保護的具體要求管理要求—系統(tǒng)運維管理系統(tǒng)運維管第五部分：等級保護的具體要求不同的保護等級技術(shù)要求不同例如：入侵防范要求（針對不同等級系統(tǒng)，保護的基本要求也不同）第一級，防范病毒第二級，（增加要求項）檢測入侵攻擊網(wǎng)絡(luò)系統(tǒng)的要求；第三級，（增加要求項）防范惡意代碼植入、傳播，提供告警、清除措施第四級，（增加要求項）實時告警和清除措施；例如：安全審計第二級才開始有審計要求第三級、第四級，分別又增加要求項；第五部分：等級保護的具體要求不同的保護等級技術(shù)要求不同例如：第五部分：等級保護的具體要求等保三級與二級要求對比表等保三級與二級要求對比表第五部分：等級保護的具體要求等保三級與二級要求對比表等保三級第七部分：年度等保狀況分析等保測評機構(gòu)統(tǒng)計

國家信息安全等級保護工作協(xié)調(diào)小組辦公室推薦測評機構(gòu)國家級：6家華北地區(qū)：19家

北京市10家，天津3家，河北2家，山西3家，內(nèi)蒙古1家。東北地區(qū)：8家遼寧5家，黑龍江3家。華東地區(qū)：23家上海3家，江蘇6家，浙江5家，安徽1家，江西1家，山東7家。中南地區(qū)：15家河南3家，湖北3家，湖南1家，深圳5家，廣西2家，海南3家。西南地區(qū)：6家重慶1家，四川1家，貴州1家，云南2家西北地區(qū)：4家陜西3家，甘肅1家。

參照：

具體更新數(shù)據(jù)。

第七部分：年度等保狀況分析等保測評機構(gòu)統(tǒng)計國家信息安全等級