信息安全等级保护评估中心.ppt

信息安全等级保护,福建省网络与信息安全测评中心 康仲生,一、信息安全等级保护工作概述,（一）开展信息安全等级保护工作的政策和法律依据。,1994年，中华人民共和国计算机信息系统安全保护条例 （国务院147号令）规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定” 。 1995年2月18日人大12次会议通过并实施的中华人民共和国警察法第二章第六条第十二款规定，公安机关人民警察依法履行“监督管理计算机信息系统的安全保护工作”。法律依据。 1999年，强制性国家标准计算机信息系统安全保护等级划分准则GB 17859）。,（一）开展信息安全等级保护工作的政策和法律依据。,2003年，中办、国办转发的国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）明确指出“实行信息安全等级保护”。 “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南” 。 2004年，公安部、国家保密局、国家密码管理局、国信办联合印发了关于信息安全等级保护工作的实施意见（66号文件） 2007年6月，公安部、国家保密局、国家密码管理局、国信办联合制定了信息安全等级保护管理办法（公通字200743号）,（二）近年来信息安全等级保护工作进展,一是制定了50多个国标和行标，初步形成了信息安全等级保护标准体系 二是开展了等级保护基础调查工作 三是开展了等级保护试点工作 四是出台了66号文、43号文、861号文等政策文件。 五是召开“全国重要信息系统安全等级保护定级工作电 视电话会议” 六是成立“国家信息安全等级保护协调小组”,（三）开展信息安全等级保护工作的重要意义,信息安全等级保护制度是国家信息安全保障的基本制度、基本策略、基本方法 ；是当今发达国家的通行做法，也是我国多年来信息安全工作经验的总结 。 开展信息安全等级保护工作：有利于同步建设 ；有利于指导和服务；有利于保障重点；有利于明确责任 ；有利于产业发展,（四）开展等级保护工作的总体要求,1、各基础信息网络和重要信息系统，按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作 。 2、公安机关和保密、密码工作部门要及时开展监督检查，严格审查信息系统所定级别，严格检查信息系统开展备案、整改、测评等工作。 3、对故意将信息系统安全级别定低，逃避公安、保密、密码部门监管，造成信息系统出现重大安全事故的，要追究单位和人员的责任。,二、明确各方责任义务,（一）、管理办法中第二条明确了国家的责任,国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。 信息安全监管部门包括公安机关、保密部门、国家密码工作部门。信息安全监管部门代表国家制定等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。,（二）、管理办法第三条明确了信息安全监管部门的职责,公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。,（三）、管理办法中第四条、第五条分别明确了信息系统主管部门和运营使用单位的责任义务,信息系统主管部门应当依照管理办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。信息系统的运营、使用单位应当依照管理办法及其相关标准规范，履行信息安全等级保护的义务和责任。,（四）、公民、法人和其他组织的责任义务,公民、法人和其他组织应当按照国家有关等级保护的管理规范和技术标准开展等级保护工作，服从国家对信息安全等级保护工作的监督、指导，保障信息系统安全。信息安全产品的研制、生产单位，信息系统的集成、等级测评、风险评估等安全服务机构，依据国家有关管理规定和技术标准，开展相应工作，并接受国家信息安全职能部门的监督管理。,三、信息系统安全保护等级的划分 与保护,1、运营使用单位和主管部门是信息系统安全的第一责任人，对所属信息系统安全负有直接责任。 2、公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导，对重要信息系统安全负监管责任。,（一）“自主定级、自主保护”与国家监管,（二）信息系统安全保护等级的定级要素,受侵害的客体 ： 一是公民、法人和其他组织的合法权益；二是社会秩序、公共利益；三是国家安全。 对客体的侵害程度： 一是造成一般损害；二是造成严重损害；三是造成特别严重损害。,（三）信息系统安全保护等级,（四）五级保护和监管 管理办法第八条规定，信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。,四、信息系统安全保护等级的确定与实施,（一）定级范围,一是电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。 二是国家重要行业、领域的重要信息系统。 三是市（地）级以上党政机关的重要网站和办公信息系统。 四是涉及国家秘密的信息系统。,电信基础信息网络也是重要信息系统,（二）、系统定级,定级是等级保护工作的首要环节，是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。信息系统安全级别定不准，系统建设、整改、备案、等级测评等后续工作都失去了针对性。 需要特别说明的是：信息系统的安全保护等级是信息系统的客观属性，不以已采取或将采取什么安全保护措施为依据，也不以风险评估为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据，确定信息系统的安全等级。,定级工作的步骤：,第一步：摸底调查，掌握信息系统底数。（信息系统的业务类型、应用或服务范围、系统结构基本情况） 第二步：确定定级对象 第三步：初步确定信息系统等级,定级的一般流程：,信息系统安全包括业务信息安全和系统服务安全。信息安全是指确保信息系统内信息的保密性、完整性和可用性等，系统服务安全是指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标。 业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全等级。 由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。,定级基本流程1,一、定级对象的三个条件 具有唯一确定的安全责任单位 作为定级对象的信息系统应能够唯一地确定其安全责任单位，这个安全责任单位就是负责等级保护工作部署、实施的单位，也是完成等级保护备案和接受监督检查的直接责任单位。 满足信息系统的基本要素 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如单台的服务器、终端或网络设备等作为定级对象。,定级阶段-关于定级对象确定,承载相对独立的业务应用 定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流程、部分业务功能独立，同时与其他信息系统的业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程，可以是完整的业务流程的一部分。,定级阶段-关于定级对象确定,定级阶段-定级对象举例,某期货交易所 办公系统 生产系统 交易系统 清算系统 网站系统,定级阶段-定级对象举例,定级对象结果1 办公信息系统 生产信息系统 定级对象结果2 办公信息系统 生产信息系统 交易信息系统 清算信息系统 网站信息系统,定级阶段-定级对象举例,证券公司集中交易系统 公司总部 各个营业部 数据中心 柜台委托 自助委托 电话委托 网上委托,定级阶段-定级对象举例,交易系统 行情系统 清算系统 客户管理系统 等,定级阶段-定级对象举例,定级对象结果1 总部信息系统 营业部信息系统 定级对象结果2 总部 数据中心系统(平台) 外部委托系统(平台) 营业部 外部委托系统(平台),定级阶段-定级对象举例,定级对象结果3 总部 交易系统 行情系统 清算系统 客户管理系统 营业部 交易系统 行情系统 客户管理系统,定级阶段-定级对象举例,某电力集团公司 公司本部 供电局(分公司) 电力调度系统 综合信息系统,定级阶段-定级对象举例,骨干网 城域网 数据中心局域网 大楼用户局域网 供电所局域网 三产公司局域网 等,定级阶段-定级对象举例,电力营销系统 生产管理系统 工程管理系统 物资管理系统 财务管理系统 OA系统 EAI/EIP系统 等,定级阶段-定级对象举例,定级对象结果1 本部信息系统 供电局信息系统 定级对象结果2 本部 电力调度系统 综合信息系统 营业部 电力调度系统 综合信息系统,定级阶段-定级对象举例,定级对象结果3 本部 数据中心系统 用户局域网系统 骨干网系统 供电局 数据中心系统 用户局域网系统 城域网系统,定级阶段-定级对象举例,定级对象结果4 电力营销系统 生产管理系统 工程管理系统 物资管理系统 财务管理系统 OA系统 EAI/EIP系统,定级阶段-定级对象举例,信息系统划分的一些常见方法,例如对内服务与对外运营的业务系统，对内服务的办公系统，一般来说其中的信息和提供的服务是面向本单位的，涉及到的等级保护客体一般是本单位，而对外运营的业务系统往往关系到其他单位、个人或面向社会，因此这两类业务可能涉及不同的客体，可能具有不同的安全保护等级，可以考虑划分为不同的信息系统。又比如处理涉及国家秘密信息的信息系统与处理一般单位敏感信息的信息系统应分开。 例如全国大集中系统数据中心的数据量和服务范围都远大于各省级节点和市级节点，其受到破坏后的损害程度和影响范围也有很大差别，可能具有不同的安全等级，可以考虑划分为不同的信息系统。 一般单位的信息系统建设和网络布局，一般都会或多或少考虑系统的特点、业务重要性及不同系统之间的关系，进行信息系统的等级划分应尽可能以现有网络条件为基础进行划分，以免引起不必要的网络改造和建设工作，影响原有系统的业务运行。 有些信息系统中不同业务的重要程度虽然会有所差异，但是由于业务之间联系紧密，不容易拆分，可以作为一个信息系统按照同样级别保护。但是，如果其中某一个业务面临风险或威胁较大，比如与互联网相连，可能会影响到其它的业务，就应当将其从该信息系统中分离出来，单独作为一个信息系统而实施保护。,系统边界不应出现在服务器内部，服务器共用的系统一般归入同一个信息系统，因此不同信息系统的共用设备一般是网络/边界设备或终端设备。 两个信息系统边界存在共用设备时，共用设备的安全保护等级按两个信息系统安全保护等级较高者确定。 例如，一个2级系统和一个3级系统之间有一个防火墙或两个系统共用一个核心交换机，此时防火墙和交换机可以作为两个系统的边界设备，但应满足3级系统的要求。,定级阶段-关于系统边界,信息系统的管理终端是与相应被管理设备相对应的，服务器、网络设备及安全设备等属于哪个系统，终端就应归在哪个信息系统中。 如果无法做到不同等级的信息系统使用不同的终端设备，则应将终端设备划分为其他的信息系统，并在服务器与内部用户终端之间建立边界保护，对终端通过身份鉴别和访问控制等措施加以控制。 处理涉密信息的终端必须划分到相应的信息系统中，且不能与非涉密系统共用终端。,定级阶段-关于系统边界,业务信息 业务系统处理的不同类型的数据 系统服务 业务系统的服务范围 业务系统的服务对象 业务系统的服务人数 业务系统的服务时间要求,定级阶段-关于业务信息和系统服务的确定,三种受侵害的客体: 国家安全 体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全等方面利益。 社会秩序和公共利益 包括政治、经济、生产、生活、科研、工作等各方面的正常秩序和社会公众生产、生活、教育、卫生等方面的利益。 合法权益 是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益，,定级阶段-关于侵害客体和侵害程度,关于国家安全 重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等；广播、电视、网络等重要新闻媒体的发布或播出系统，其受到非法控制可能引发影响国家统一、民族团结和社会安定的重大事件；尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信息系统，以及电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统等。,定级阶段-关于侵害客体和侵害程度,关于社会秩序 各级政府机构的社会管理和公共服务系统，如财政、金融、工商、税务、公检法、海关、社保等领域的信息系统，也包括教育、科研机构的工作系统，以及所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统。,定级阶段-关于侵害客体和侵害程度,关于公共利益 借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方面，例如：公共通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施、公共服务设施等。 公共利益与社会秩序密切相关，社会秩序的破坏一般会造成对公共利益的损害。,定级阶段-关于侵害客体和侵害程度,定级指南中指出“各行业可根据本行业业务特点，分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系，从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。” 各行业的不同类型的系统，系统遭受破坏的程度造成的主要关注点不相同，例如银行系统一般关注业务能力下降的影响，党政系统主要关注管理职能的履行等。行业主管部门通过梳理本行业信息系统的现状，通过对这些不同类型、不同程度后果的定量、半定量描述，给出对等级保护客体一般损害、严重损害和特别严重损害的指导性意见，以便本行业的信息系统运营使用单位可以参照执行，确定本单位信息系统的安全保护等级，只有这样，一个行业内确定的安全保护等级才具有较好的一致性。,定级阶段-关于侵害客体和侵害程度,关于危害后果 影响行使工作职能，工作职能包括国家管理职能、公共管理职能、公共服务职能等国家或社会方面的职能。 导致业务能力下降，下降的表现形式可能包括业务范围的减少、业务处理性能的下降、可服务的用户数量的下降以及其他各种业务指标的下降，每个行业务都有本行业关注的业务指标。例如电力行业关注发电量和用电量，税务行业关注税费收入，银行业关注存款额、贷款额、交易量等，证券经纪行业关注股民数和交易额。,定级阶段-关于行业定级指导意见,关于危害后果 引起法律纠纷是比较严重的影响，在较轻的程度时可能表现为投诉、索赔、媒体曝光等形式。 导致财产损失，包括系统资产被破坏的直接损失、业务量下降带来的损失、直接的资金损失、为客户索赔所支付的资金等，以及由于信誉下降、单位形象降低、客户关系损失等导致的间接经济损失。 直接造成人员伤亡，例如医疗服务系统，公安行业的某些系统等。 造成社会不良影响，包括在社会风气、执政信心等方面的影响。,定级阶段-关于行业定级指导意见,直接的结果和间接的影响: 威胁直接作用的结果信息系统的破坏,但是确定对客体侵害的程度时，必须考虑间接的对客体产生的侵害和影响。 按照国家安全社会秩序和公共利益-公民、法人和组织的合法利益的顺序考虑,定级阶段-关于侵害客体和侵害程度,定级阶段信息系统等级评审,在信息系统安全保护等级确定过程中，可以聘请专家进行咨询评审，并出具定级评审意见。对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审，出具评审意见。评审意见及时反馈信息系统运营使用单位工作组。涉密信息系统按照国家保密局有关规定进行等级评审。 信息系统运营使用单位参考专家定级评审意见，最终确定信息系统等级，形成定级报告。如果专家评审意见与运营使用单位意见不一致时，由运营使用单位自主决定系统等级，信息系统运营使用单位有上级主管部门的，应当经上级主管部门对安全保护等级进行审核批准。,定级划分实例,例如某证券公司的信息系统，该信息系统所承载的业务有多个，该单位在全国遍布多处分支机构。在总部的信息系统中，总体上形成了办公和业务两大网络区域，且二者之间相互隔离。其中，业务网承载着集中交易、网上交易、数据中心等业务；办公网络主要承载着OA等服务。核心交易业务进行了数据大集中，数据处理中心在总部，处理中心和分支机构所处理的交易业务相对于整个交易业务来讲，都只是一个阶段业务。 对于这样的跨地域大系统，进行系统划分时必须综合考虑系统划分方法中的多个方面。首先，从信息系统的管理机构来考虑，虽然总部和分支机构都处理交易业务，但各自管理机构所承担的安全责任不同，即，总部具体负责总部核心交易系统的运行、维护等安全责任；而分支机构直接负责其所在的系统的运行、维护和安全责任。所以从管理机构的不同来考虑，应将两个机构的信息系统进行划分，形成总部信息系统和分支机构信息系统。 然后分析总部业务网，总部业务网络承载着多项业务，其中集中交易业务和网上交易业务重要程度最高，因此这两个系统应首先单独进行划分，分别形成集中交易系统和网上交易系统。其他业务重要程度相近的、并且各自是相对独立的，也单独形成信息系统。 对于总部办公网络来讲，主要为内部员工提供公文管理、信息管理、日常办公、辅助办公及邮件收发等服务功能，因此可单独形成办公信息系统。 从以上分析可以得出，该单位总部的信息系统可以划分为：集中交易系统、网上交易系统、其他系统以及办公信息系统等。,定级实例1,某省政府网站系统ZFWZ，用于发布政务公开信息、地方行政法规和管理措施、领导讲话、政府办事流程、新闻发布、政府公告、举报投诉、省内经济形势介绍、电子表单下载等信息，服务对象主要是省内企业和市民。 ZFWZ系统是省政府对社会办公的窗口，其中发布的信息内容代表政府形象和体现政府的社会管理和社会服务职能，因此该信息安全被破坏可能对社会秩序造成一定影响；由于省政府网站的访问量并不很大，信息被篡改可能造成的不良社会影响不会很大，因此对社会秩序的侵害程度为一般损害；查表知ZFWZ系统的业务信息安全保护等级为第二级，如下表所示。,定级实例2,某省电力集团公司的省级电力实时监控系统，主要运行调度自动化控制系统和能量管理系统（SCADA/EMS）DDZDH，负责省级超高压输电变电站的调度控制和数据采集。系统实时性要求极高，达到秒级。 电力系统是国家重要基础设施，省级DDZDH系统负责全省范围内的电力调度，调度控制指令或调度程序被修改，可能造成的停电事故会影响几乎所有行业的正常生产和工作，其所侵害的客体为社会秩序和公共利益；调度控制指令或调度程序被修改可能造成全省范围大面积停电、人员伤亡和巨额财产损失，同时对其它行业的生产和工作造成非常严重的影响，因此对社会秩序和公共利益的侵害程度为特别严重损害；查表知DDZDH系统的业务信息安全保护等级为第四级，如下表所示。,政府部门对外服务的系统一般为二级,对内服务一般为三级。 银行数据中心的系统一般为三级,下级系统和内部办公系统一般为二级。 电力系统的电力调度系统为四级,其他的系统二、三级。 证券生产系统一般为三级，内部办公系统为二级。 电信、广电行业的公用通信网的基础信息网络一般定位三级。,单位基本信息 了解单位基本信息有助于判断单位的职能特点，单位所在行业及单位在行业所处的地位和所用，由此判断单位主要信息系统的宏观定位。 业务种类、流程和服务 应重点了解定级对象信息系统中不同业务系统提供的服务在影响履行单位职能方面具体方式和程度，影响的区域范围、用户人数、业务量的具体数据等。,定级阶段-关于定级报告的关注点,主要的软硬件设备 了解与定级对象信息系统相关的服务器、网络、终端、存储设备以及安全设备等，设备所在网段，在系统中的功能和作用。调查设备的位置和作用主要就是发现不同信息系统在设备使用方面的共用程度。 定级结果理由的说明 了解不同业务数据和系统服务在被破坏后对国家、社会、本单位造成的影响的说明。,定级阶段-关于定级报告的关注点,五、备案和备案审核,管理办法第十五条规定，已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 (9月1日开始接受备案，9月26日备案结束，9月30日前地市公安机关向省公安厅报送备案数据（电子）。新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。,（一）备案范围与时间安排,二级以上的信息系统需要备案,省公安厅信息系统等级保护办公室联系电话：87411982 联系人：许微 张慧源,（二）备案材料,表一 单位基本情况,表二 （/）信息系统情况,表三（/）信息系统定级情况,表四（/）第三级以上信息系统提交材料情况,根据定级工作通知要求，信息系统安全保护等级确定后，第二级以上的信息系统运营使用单位或主管部门到公安部网站（）、省公安厅（79:211）下载信息系统安全等级保护备案表（见附件）和辅助备案工具，持填写的备案表和利用辅助备案工具生成的备案电子数据，到公安机关办理备案手续，提交有关备案材料及电子数据文件。其中，第二级信息系统的备案单位只需填写备案表中的表一、表二和表三（注：第二级信息系统备案单位可以先提交电子备案表。公安机关审核后再提交纸制材料，并领取备案证明）。第三级以上信息系统的备案单位还应当在建设、整改、测评等工作完成后，再行提交备案表表四所列各项内容的书面材料。,（二）备案材料,跨省的系统，全国联网本省分支系统到公安厅网安总队备案。 跨地市的系统，到公安厅网安总队备案，各地市分支系统应向对应地市的公安局网安处、科备案。 厅直级的信息系统到公安厅网安总队备案。 地市级以下（包括地市级）的系统，到设区市的公安局网安处、科备案。,（三）“属地”备案原则,管理办法第十七条规定，信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明；发现不符合本办法及有关标准的，应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正；发现定级不准的，应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。运营、使用单位或者主管部门重新确定信息系统等级后，应当按照本办法向公安机关重新备案。,（四）备案审核,各地区、各部门要结合本地区、本行业开展定级工作的实际，认真总结经验和不足，提出改进和完善定级方法的意见和建议，及时总结定级工作经验，形成定级工作总结报告，并于10月1日前报送公安厅。,（五）及时总结并提交报告（公安）,六、信息系统安全建设整改、等级测评,一、主要依据信息系统安全等级保护基本要求,基本要求是针对每个等级的信息系统提出相应安全保护要求，“基本”意味着这些要求是针对该等级的信息系统达到基本保护能力而提出的，也就是说，这些要求的实现能够保证系统达到相应等级的基本保护能力，但反过来说，系统达到相应等级的保护能力并不仅仅完全依靠这些安全保护要求。同时，基本要求强调的是“要求”，而不是具体实施方案或作业指导书，基本要求给出了系统每一保护方面需达到的要求，至于这种要求采取何种方式实现，不在基本要求的描述范围内。,基本要求在整体框架结构上以三种分类为支撑点，自上而下分别为：类、控制点和项。其中，类表示基本要求在整体上大的分类，其中技术部分分为：物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大类，管理部分分为：安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5大类，一共分为10大类。控制点表示每个大类下的关键控制点，如物理安全大类中的“物理访问控制”作为一个控制点。而项则是控制点下的具体要求项，如“机房出入应安排专人负责，控制、鉴别和记录进入的人员。”,主机安全入侵防范：(G2) a.操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方 式保持系统补丁及时得到更新。 主机安全入侵防范：(G3） a.应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目 的、攻击的时间，并在发生严重入侵事件时提供报警； b.应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施； c.操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方 式保持系统补丁及时得到更新。 网络安全入侵防范：(G3） a.应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓 冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等； b.当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件 时应提供报警。 网络安全入侵防范：(G4） a.应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓 冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等； b.当检测到攻击行为时，应记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入 侵事件时应提供报警及自动采取相应动作。,不同级别系统控制点的差异,不同级别系统要求项的差异,基本要求的定位,是系统安全保护、等级测评的一个基本“标尺”，同样级别的系统使用统一的“标尺”来衡量，保证权威性，是一个达标线； 每个级别的信息系统按照基本要求进行保护后，信息系统具有相应等级的基本安全保护能力，达到一种基本的安全状态; 是每个级别信息系统进行安全保护工作的一个基本出发点，更加贴切的保护可以通过需求分析对基本要求进行补充，参考其他有关等级保护或安全方面的标准来实现;,（二）、信息系统安全建设整改,管理办法第十一条规定，信息系统的安全保护等级确定后，运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作。,系统建设和改建阶段相关技术环节 安全需求分析方法 系统的安全等级保护设计、实施方案设计 系统改建实施方案设计,系统建设和改建阶段,安全需求分析的目的是使信息系统按照等级保护相应等级的要求进行设计、规划和实施，将来源于国家政策性要求、机构使命性要求、系统可能面临的环境和影响以及机构自身的需求相结合作为信息系统的安全需求，使具有相同安全保护等级的信息系统能够达到相应等级的基本的保护水平和保护能力。,系统建设阶段-需求分析方法,一、选择、调整基本安全要求 定级指南在确定信息系统的安全保护等级的同时确定了信息系统在业务信息安全和系统服务安全两个方面的安全保护等级 。 系统的安全保护等级与这两者的关系是： 系统的安全保护等级=L (信息等级，服务等级) =Max(信息等级，服务等级） 例如：L(3,1)=L(3,2)= L(3,3)= L(1,3)= L(2,3)= 3,系统建设阶段-需求分析方法,一、选择、调整基本安全要求 形成了5个等级，25个安全需求类。表明同样等级的信息系统，其安全需求有所不同，因此对其实施的保护也应该有不同的要求。 为了区别不同安全技术要求和管理要求在保护信息系统的业务信息安全和系统服务安全所起的作用，将所有技术要求和管理要求进行了标识，标识分为三种S、A和G。,系统建设阶段-需求分析方法,一、选择、调整基本安全要求 三类基本要求 S类业务信息安全保护类关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改。 A类系统服务安全保护类关注的是保护系统连续正常的运行，避免因对系统的未授权修改、破坏而导致系统不可用。 G类通用安全保护类既关注保护业务信息的安全性，同时也关注保护系统的连续可用性。 例如，以S2表示2级的业务信息安全保护类要求，A3表示3级的系统服务安全保护类要求。,系统建设阶段-需求分析方法,一、选择、调整基本安全要求 需求分析步骤： 第一步 根据其等级从基本要求中选择相应等级的基本安全要求。 第二步 根据定级过程中确定业务信息安全保护等级和系统服务安全保护等级，确定该信息系统的安全需求类。 第三步 根据系统所面临的威胁特点调整安全要求。,系统建设阶段-需求分析方法,二、明确系统特殊安全需求 特殊需求来自两个方面： 等级保护相应等级的基本要求中某些方面的安全措施所达到的安全保护不能满足本单位信息系统的保护需求，需要更强的保护。 由于信息系统的业务需求、应用模式具有特殊性，系统面临的威胁具有特殊性，基本要求没有提供所需要的保护措施，例如有关无线网络的接入和防护基本要求中没有提出专门的要求，需要作为特殊需求。,系统建设阶段-需求分析方法,二、明确系统特殊安全需求 两种解决方式： 第一种 选择基本要求中更高级别的安全要求达到本级别基本要求不能实现的安全保护能力 第二种 参照管理办法第十二条和第十三条列出的等级保护的其它标准进行保护。 等级保护基本安全要求和特殊安全需求共同构成系统的总的安全需求。,系统建设阶段-需求分析方法,根据等级保护要求进行信息系统安全的设计是系统建设前必须完成的工作。 设计分为总体安全设计和详细安全设计。总体设计指导全局，一般针对整个单位，详细设计指导具体项目的建设实施。,系统建设阶段-保护方案设计,引入等级保护概念，系统安全防护设计思路有所不同： 在设计思路上应突出对等级较高的信息系统的重点保护。 满足等级保护要求不意味着各信息系统独立实施保护，而应本着优化资源配置的原则，合理布局，构建纵深防御体系。 要解决等级系统之间的互连问题，因此必须在总体安全设计中规定相应的安全策略。 如何在同一个组织机构的管理控制下，根据不同等级的系统需要满足不同的安全管理要求。,系统建设阶段-保护方案设计,一、总体安全设计方法 总体安全设计方法主要针对略有规模的信息系统，比如信息系统本身是由多个不同级别的系统构成、信息系统分布在多个物理地区、信息系统之间横向和纵向连接关系复杂等。 总体安全设计的基本方法是将复杂信息系统进行简化，提取共性形成模型，针对模型要素结合相应等级的保护能力和安全需求提出安全策略和安全措施要求，指导信息系统中各个组织、各个安全层面和各个对象安全策略和安全措施的具体实现。,系统建设阶段-保护方案设计,总体安全设计可参照以下步骤完成： 1、局域网内部抽象处理，划分为多个具有等级安全域（边界访问控制策略相同）。 2、局域网内部安全域之间互联的抽象处理 3、局域网之间安全域互联的抽象处理 4、局域网安全域与外部单位互联的抽象处理 5、安全域内部抽象处理 6、信息系统抽象模型描述,系统建设阶段-保护方案设计,系统建设阶段-保护方案设计,四级安全域,三级安全域,二级安全域,一级安全域,局域网内部安全域之间互联的抽象处理,系统建设阶段-保护方案设计,四级安全域,三级安全域,二级安全域,一级安全域,三级安全域,二级安全域,一级安全域,四级安全域,双向访问,单向推送,局域网之间安全域互联的抽象处理,系统建设阶段-保护方案设计,四级安全域,三级安全域,二级安全域,一级安全域,外部机构/单位,国际互联网,双向推送,局域网安全域与外部单位互联的抽象处理,双向访问,7、 制定总体安全策略 规则1 通过骨干网/城域网只能建立同级安全域的连接，实现上、下级单位的同级安全域的互接； 规则2 4级安全域通过专网的VPN通道进行数据交换；3级安全域可以通过公网的VPN通道进行数据交换； 规则3 4级安全域不能与2级安全域、1级安全域直接连接；3级安全域不能与1级安全域直接连接； 规则4 只有1级安全域可以直接访问Internet。 等等。,系统建设阶段-保护方案设计,8、关于等级边界进行安全控制的规定 规定1 4级安全域与3级安全域之间必须采用接近物理隔离的专用设备进行隔离； 规定2 各级别安全域网络与外部网络的边界处必须使用防火墙进行有效的边界保护； 规定3 通过3级安全域与外部单位进行数据交换时，必须把要交换的数据推送到前置机，外部单位从外部接入网络的前置机或中间件将数据取走，反之亦然；,系统建设阶段-保护方案设计,三、实施方案设计 总体设计方案的设计原则和安全策略需要具体落实到若干个具体的建设项目中，一个设计方案的实施可能可以分为若干个实施方案，分期、分批建设，实现统一设计、分步实施。 实施方案不同于设计方案，实施方案需要根据阶段性的建设目标和建设内容将信息系统安全总体设计方案中要求实现的安全策略、安全技术体系结构、安全措施和要求落实到产品功能或物理形态上，提出能够实现的产品或组件及其具体规范，并将产品功能特征整理成文档。使得在信息安全产品采购和安全控制开发阶段具有依据。,系统建设阶段-保护方案设计,实施方案的设计过程包括： 结构框架设计 功能要求设计 性能要求设计 部署方案设计 制定安全策略实现计划 管理措施实现内容设计 形成系统建设的安全实施方案,系统建设阶段-保护方案设计,系统建设的安全实施方案包含以下内容： 本期建设目标和建设内容； 技术实现框架； 信息安全产品或组件功能及性能； 信息安全产品或组件部署； 安全策略和配置； 配套的安全管理建设内容； 工程实施计划； 项目投资概算。,系统建设阶段-保护方案设计,本节的目的是针对已建成并投入运行的系统如何找出现有安全防护与相应等级基本要求的差距，如何根据差距分析结果设计系统的改建方案，使其能够指导该系统后期具体的改建工作，逐步达到相应等级系统的保护能力。 系统改建方案设计的主要依据是安全需求分析的结果，和对信息系统目前保护措施与基本要求的差距的分析和评估。系统改建方案的主要内容则是解决如何针对这些存在的差距，分析其存在的原因以及如何进行整改。 系统改建设实施方案与新建系统的安全保护设施设计实施方案都是备案所需要提交的技术文件。(三级以上）,系统建设阶段-改建实施方案设计,一、确定系统改建的安全需求 1、根据确定的安全保护等级，参照前述的安全需求分析方法，确定本系统的总体安全需求，其中包括经过调整的等级保护基本要求和本单位的特殊安全需求。 2、由信息系统的运营使用单位自己组织人员或由