单位信息安全等级保护.pptx

单位名称 我们毕业啦 其实是答辩的标题地方 信息安全等级保护工作汇报 2016-01-18 当前，我国信息化发展正进入全面深化的新阶段。 新型信息技术发展应用，给我国网络与信息安全保 障工作提出了新任务。 前言 法律法规： 信息安全等级保护管理办法（公通字200743号） 中华人民共和国计算机信息系统安全保护条例 广东省计算机信息系统安全保护条例 最高人民法院、最高人民检察院2015年10月30日联合发 布关于执行中华人民共和国刑法确定罪名的补充规定( 六)对适用刑法的部分罪名进行了补充或修改，其中增加了 拒不履行信息网络安全管理义务罪、非法利用信息网络罪、 帮助信息网络犯罪活动罪。 一、等级保护背景 二、等级保护概念 三、等保评定内容 四、推进等保工作的一些探讨 五、本单位的问题和建议 目录 一、等级保护背景 等保背景 中央网信办 2016年第1期网络安全信息与动态周报(12月28日-01月03日) 等保背景 当前面临的安全威胁：当前面临的安全威胁： 独立黑客：黑客攻击越来越频繁，影响企事业正常的业务运作。 内部员工： 1、信息安全意识薄弱的员工误用、滥用等； 2、管理员权限过大，如：系统管理员越权访问数据； 3、不稳定、情绪不满的员工。如：员工离职带走企业秘密。 竞争对手：法制环境不健全，行业不正当竞争（如：窃取机密 ）。 国外政府或机构：法制环境不健全，行业不正当竞争（如：窃取 机密，破坏企业的业务服务）。 等保背景 2014年8月1日，浙江温州有线数字电视被攻击，电视屏幕 叠加反动字幕和图片，50万用户、80万机顶盒受影响。 等保背景 等保背景 重要网站和信息系统被植入木马后门 等保背景 网络病毒和网络攻击已形成一个黑色产业链，侵害 政府公信力、社会公共安全、公民个人利益和隐私。 l破坏数据、应用、服务、硬件； l盗取数据、资金； l对外传播危害信息，对内传播木马扩大危害范围 ； l利用被控制的电脑从事犯罪活动。 等保背景 一个巴掌拍不响！ 外因是条件，内因才是根本。 全省3523个重点网站安全技术检测结果： l存在安全漏洞的网站2621个，占被检网站数量 74.4%；其中高危网站1633个，占检测网站的 46.35%； l发现安全漏洞数量93760个，其中高危漏洞25578 个。 l平均1个网站有26个漏洞，7个高危漏洞。 l本行业的漏洞，本单位网站漏洞：详见粤等保办 201413号 2014年上半年我省重点网站安全检测情 况通报 等保背景 安全意识薄弱 人、财、物等保障不到位； 重建设、重应用、轻安全、轻管理； 系统建设与安全建设不同步，有的废弃后仍未关停， 有的服务器长期未打补丁，有的虽然配备安全设备但 配置不科学。 等保背景 等保背景 u信息安全责任不清 未成立领导机构、未明确责任、缺乏追责制度等。 u缺乏长远信息安全规划 安全策略不当、安全措施不合理、没有数据备份和恢复 等。 u监测预警和应急处理能力欠缺 缺乏人员、技术、系统和预案、演练，各单位发现问题、 处理问题能力有待提高。 二、等级保护概念 等保概念 什么是信息安全等级保护工作？ 概念： 信息安全等级保护是指对国家秘密信息、法人和其 他组织及公民的专有信息以及公开信息和存储、传输、 处理这些信息的信息系统分等级实行安全保护，对信息 系统中使用的信息安全产品实行按等级管理，对信息系 统中发生的信息安全事件分等级响应、处置。 信息安全等级保护的核心是对信息系统分等级、按 标准进行建设、管理和监督。 等保概念 什么是信息安全等级保护工作？ 意义： 信息安全等级保护制度是国家信息安全保障的基本制 度、基本策略、基本方法 ；是当今发达国家的通行做法 ，也是我国多年来信息安全工作经验的总结 。 开展信息安全等级保护工作：有利于同步建设 ；有利于 指导和服务；有利于保障重点；有利于明确责任 ；有利 于企事业单位保护商业秘密和知识产权。 等保概念 实施等级保护工作的基本原则： 自主保护原则：信息系统运营、使用单位及其主管部门按照国家相关法规和 标准，自主确定信息系统的安全保护等级，自行组织实施安全保护。 重点保护原则：根据信息系统的重要程度、业务特点，通过划分不同安全保 护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心 业务或关键信息资产的信息系统。 同步建设原则：信息系统在新建、改建、扩建时应当同步规划和设计安全方 案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相 适应。 动态调整原则：要跟踪信息系统的变化情况，调整安全保护措施。由于信息 系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的 ，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安 全保护等级，根据信息系统安全保护等级的调整情况，重新实施安全保护。 等保概念 信息系统的安全保护等级分为以下五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法 权益造成损害，但不损害国家安全、社会秩序和公共利益； 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法 权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损 害国家安全； 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重 损害，或者对国家安全造成损害； 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别 严重损害，或者对国家安全造成严重损害； 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 等保概念 信息安全等级保护工作 定级备案检查等级测评安全建设整改 关于开 展全国重 要信息系 统安全等 级保护定 级工作的 通知（ 公通字 2007861 号） 信息安 全等级保 护备案实 施细则 （公信安 20071360 号） 关于开 展信息安 全等级保 护安全建 设整改工 作的指导 意见（ 公信安 20091429 号） 关于加强 国家电子政 务工程建设 项目信息安 全风险评估 工作的通知 （发改高 技2008 2071号） 关于推动 信息安全等 级保护测评 体系建设和 开展等级测 评工作的通 知（公信 安 2010303 号） 公安机关 信息安全等 级保护检查 工作规范（ 试行）（ 公信安 2008736号 ） 信息系统 安全等级测 评报告模版 （试行） （公信安 20091487 号） 信息安全等级保护管理办法（公通字200743号） 关于信息安全等级保护工作的实施意见（公通字200466号） 中华人民共和国计算机信息系统安全保护 条例（国务院147号令） 国家信息化领导小组关于加强信息安全保障 工作的意见（中办发200327号） 等保概念 等级保护实施过程中涉及的角色和职责： 等保概念 等级保护实施的基本流程： 三、等保评定内容 评定内容 等级测评内容： 物理安全 技术要求管理要求 基本要求 网络安全 主机安全 应用安全 数据安全 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 评定内容 等级测评内容： 物理位置选择 物理安全(三级) 物理访问控制 防盗窃 和防破坏 防雷击 防火 防水和防潮 温湿度控制 电力供应 电磁防护 防静电 物理层面构成组件包括信息系统工作的设施环境以及构 成信息系统的硬件设备和介质等。 评定内容 n物理安全解读 基本要求指标项实施建议 重要区域应配置电子门禁系统，控制、鉴 别和记录进入的人员。 对安装网络与重要服务器等核心设备的机房或 区域应配置门禁系统，并采用密码或指纹识别 技术。 应将设备或主要部件进行固定，并设置明 显的不易除去的标记； 标记应明确服务对象、IP 地址、固定资产编 号、物理位置、设备维护责任人等信息，并粘 贴在明显的位置。 应将通信线缆铺设在隐蔽处，可铺设在地 下或管道中； 在线缆的两端做好标记。 应对机房设置监控报警系统。 应在机房入口、机柜走道、重要服务器等位置 安装摄像头和图像存储、监控系统。 评定内容 n物理安全解读2 基本要求指标项实施建议 机房应采取区域隔离防火措施，将重要设 备与其他设备隔离开。 政务外网的重要设备如广域网核心路由器、城 域网核心交换机等，应与其他网络和应用设备 隔离放置，并按消防要求采取相应的防火措 施。 应采取措施防止机房内水蒸气结露和地下 积水的转移与渗透； 在机房内做好隔热层，并注意楼层之间的温差 不要太大。 机房应设置温、湿度自动调节设施，使机 房温、湿度的变化在设备运行所允许的范 围之内。 一般机房日常温度应控制在1028，湿度30 70%。应具有联网监控和自动报警、并及时 通知相关运维人员等功能。 电源线和通信线缆应隔离铺设，避免互相 干扰； 电源线和通信线应隔离铺设，平行超过30米时 ，其铺设间隔应大于200毫米。 评定内容 等级测评内容： 结构安全和网段划分 网络安全(三级) 网络访问控制 网络安全审计 边界完整性检查 网络入侵检测 恶意代码防护 网络设备防护 评定内容 n网络安全解读 基本要求指标项实施建议 应绘制与当前运行情况相符的网络拓 扑结构图； 拓扑图应与实际部署一致，其各类安全设备也应标 注在图上，建议拓扑图挂在机房内，以便故障处置 ，有利于运维人员直观、便捷的查看 应在会话处于非活跃一定时间或会话 结束后终止网络连接 网络应有实时监控功能，对会话处于非活跃30分钟 以上或会话结束后及时终止网络连接 应按用户和系统之间的允许访问规则 ，决定允许或拒绝用户对受控系统进 行资源访问，控制粒度为单个用户； 可在应用服务器前设置防火墙、认证网关或授权管 理系统，对单个用户的访问进行策略控制。 应能够根据记录数据进行分析，并生 成审计报表； 对数据进行分析时，应能发现异常并主动告警，审 计报表应能根据用户需要修改，相关信息应能上报 到安全管理系统。 评定内容 n网络安全解读2 基本要求指标项实施建议 应对审计记录进行保护，避免受到未预期 的删除、修改或覆盖等。 审计记录应保存至少半年以上。 当检测到攻击行为时，记录攻击源IP、攻 击类型、攻击目的、攻击时间，在发生严 重入侵事件时应提供报警 应部署安全管理系统（SOC)， 对网络攻击行 为进行综合分析，对发现有严重入侵事件时应 实时告警。 身份鉴别信息应具有不易被冒用的特点， 口令应有复杂度要求并定期更换； 用户口令应不少于12位，数字和字母组成，至 少3 个月更换一次。 应具有登录失败处理功能，可采取结束会 话、限制非法登录次数和当网络登录连接 超时自动退出等措施； 当一次登录密码错误次数超过6次，应能自动 关闭并告警。 评定内容 等级测评内容： 身份鉴别 主机系统安全(三级) 访问控制 安全审计 剩余信息保护 入侵防范 恶意代码防范 资源控制 评定内容 n主机安全解读 基本要求指标项实施建议 应对登录操作系统和数据库系统的用 户进行身份标识和鉴别； 对网络管理系统和安全管理系统的管理员 登陆地址应进行限制，禁止在内部网络中 的任何终端均可登陆到管理系统，应在管 理系统前的防火墙上做好访问控制。 操作系统和数据库系统管理用户身份 标识应具有不易被冒用的特点，口令 应有复杂度要求并定期更换； 系统管理员的登录身份标识应唯一，口令 应至少12 位以上，且数字和字母大小写 组合，每半年应更改一次。 应启用登录失败处理功能，可采取结 束会话、限制非法登录次数和自动退 出等措施； 当登录次数错误超过6次，应自动退出并 告警 评定内容 n主机安全解读2 基本要求指标项实施建议 应及时删除多余的、过期的帐户，避 免共享帐户的存在。 应定期（每半年）清理服务器中多余、 过期的账户。 应能够根据记录数据进行分析，并生 成审计报表； 审计分析系统应具有这些功能，并对异 常行为实时告警。 应保护审计记录，避免受到未预期的 删除、修改或覆盖等。 审计记录至少应保存半年。 评定内容 等级测评内容： 身份鉴别 应用安全(三级) 访问控制 通信完整性 通信保密性 安全审计 剩余信息保护 抗抵赖 软件容错 资源控制 评定内容 n应用安全解读 基本要求指标项实施建议 应提供专用的登录控制模块对登录用户进 行身份标识和鉴别 可采用堡垒机等方式，对登录用户的身份进行 标识和鉴别。 应由授权主体配置访问控制策略，并严格 限制默认帐户的访问权限； 在应用服务器和数据库服务器前部署网关或授 权管理系统，对主体配置访问控制策略。 当应用系统的通信双方中的一方在一段时 间内未作任何响应，另一方应能够自动结 束会话； 如果通信双方中有一方在10分钟内未作任何响 应，则应自动结束会话，释放网络连接。 应能够对系统服务水平降低到预先规定的 最小值进行检测和报警； 在网络管理系统或安全管理系统中，对重要服 务器运行状况设定门限值，实时监测，低于门 限值时，应及时告警。 评定内容 等级测评内容： 数据完整性 数据安全(三级) 数据保密性安全备份 评定内容 n数据安全解读 基本要求指标项实施建议 应采用加密或其他保护措施实现系统管理数 据、鉴别信息和重要业务数据存储保密性。 在数据存储前，增设安全加密网关设备，通过密 码技术对重要数据实现加密存储。 应提供本地数据备份与恢复功能，完全数据 备份至少每天一次，备份介质场外存放； 对网络管理和安全管理系统等重要信息系统应提 供本地的数据备份和恢复功能，并按要求备份。 应提供异地数据备份功能，利用通信网络将 关键数据定时批量传送至备用场地； 对重要信息系统的数据，应提供异地数据备份的 功能，定时批量或增量备份，数据异地备份至少 每月一次。 应提供主要网络设备、通信线路和数据处理 系统的硬件冗余，保证系统的高可用性。 广域网和城域网的关键设备应采用双电源、双引 擎，通信线路应采用环型或双链路等手段，保证 网络的高可用性。 评定内容 等级测评内容： 岗 位设置 安全管理机构(三级) 人员配备 授权和审批 沟 通与合作 审核和检查 评定内容 等级测评内容： 管理制度 安全管理制度(三级) 制订和发布评审和修订 安全管理制度一般是文档化的，被正式制定、评审、 发布和修订，内容包括策略、制度、规程、表格和记录等 ，构成一个塔式结构的文档体系。 评定内容 等级测评内容： 人员录用 人员安全管理(三级) 人员离岗 人员考核 安全意识教育和培训 外部人员访问管理 评定内容 等级测评内容： 系统定级 系统建设管理(三级) 安全方案设计 产品采购和使用 自行软件开发 外包软件开发 工程实施 测试验收 系统交付 安全服务商选择 系统备案 评定内容 等级测评内容： 环境管理 系统运维管理(三级) 资产管理 设备管理 介质管理 运行管理和监控管理 网络安全管理 系统安全管理 恶意代码防范管理 变更管理 密码管理 备份和恢复管理 安全事件处置 应急预案管理 评定内容 n管理安全解读 基本要求指标项实施建议 安全管理员应负责定期进行安全检查，检查 内容包括系统日常运行、系统漏洞和数据备 份等情况； 安全管理员应至少每月对管辖的系统和设备日 志、系统漏洞、数据备份情况检查一次。 应对关键岗位的人员进行全面、严格的安全 审查和技能考核； 考察内容主要应包括技能、工作责任心、保密意 识和工作态度、再学习能力等各方面。 应在软件安装之前检测软件包中可能存在的 恶意代码； 应用软件上线前，应委托第三方对软件中可能存 在的恶意代码专门进行检测，并提交检测报告。 应指定和授权专门的部门对信息系统的安全 建设进行总体规划，制定近期和远期的安全 建设工作计划； 可委托信息化工程建设咨询单位对管辖内的政务 外网安全建设进行总体规划。 评定内容 n管理安全解读2 基本要求指标项实施建议 应指定或授权专门的部门或人员负责工程实 施过程的管理； 应采用监理制，加强工程实施过程中的管理。 应对通信线路、主机、网络设备和应用软件 的运行状况、网络流量、用户行为等进行监 测和报警，形成记录并妥善保存； 应定期分析政务外网广域网、城域网的运行状况 （如可用率），及网络利用率（如流量），应定 期对监测和报警记录进行分析形成分析报告，发 现可疑行为时，应采取必要的应对措施，其设备 记录的保存时间应与设备使用生命周期相同。 应组织相关人员定期对监测和报警记录进行 分析、评审，发现可疑行为，形成分析报告 ，并采取必要的应对措施； 应能按周、月、季和年度形成分析报告，并指导 采取相应的解决措施。 评定内容 n管理安全解读3 基本要求指标项实施建议 应定期进行漏洞扫描，对发现的系统安全 漏洞及时进行修补； 至少每半年对系统服务器等进行漏洞扫描，对 高危漏洞应及时修补。 应安装系统的最新补丁程序，在安装系统 补丁前，首先在测试环境中测试通过，并 对重要文件进行备份后，方可实施系统 补丁程序的安装； 为防止系统因补丁程序导致瘫痪，影响工作， 测试和备份是必须要做的，并应做好记录。 应定期对运行日志和审计数据进行分析， 以便及时发现异常行为。 应每月对系统运行日志和审计数据进行分析， 并提交分析报告。 评定内容 n管理安全解读4 基本要求指标项实施建议 应定期检查信息系统内各种产品的恶意代码 库的升级情况并进行记录，对主机防病毒产 品、防病毒网关和邮件防病毒网关上截获的 危险病毒或恶意代码进行及时分析处理，并 形成书面的报表和总结汇报。 每个月应检查一次信息系统内各类恶意代码库的 升级情况。 应建立变更管理制度，系统发生变更前，向 主管领导申请，变更和变更方案经过评审、 审批后方可实施变更，并在实施后将变更情 况向相关人员通告； 应制定系统变更的管理制度和流程，明确软件开 发商、集成商、管理、运维等各方的职责和工作 内容，并根据系统的影响范围通告相关人员和领 导。 应定期执行恢复程序，检查和测试备份介质 的有效性，确保可以在恢复程序规定的时间 内完成备份的恢复。 每年应至少执行恢复程序一次，可与应急演练相 结合，并保证其有效性和可靠性。 评定内容 n管理安全解读5 基本要求指标项实施建议 应报告所发现的安全弱点和可疑事件，但 任何情况下用户均不应尝试验证弱点； 对于所发现的问题，应及时报告，禁止在生产 网络环境中尝试验证，而应在模拟环境中验证 或通知相关厂商处置。 应从人力、设备、技术和财务等方面确保 应急预案的执行有足够的资源保障； 在运维费用中，应充分保证应急处置时有足够 的资源。 应定期对应急预案进行演练，根据不同的 应急恢复内容，确定演练的周期； 对各类的应急预案，根据不同的情况，每年至 少进行一次应急演练，检验预案的可操作性及 应急处置能力。 应规定应急预案需要定期审查和根据实际 情况更新的内容，并按照执行。 每年应审查应急预案并及时更新相关内容。 四、推进等保工作的一些探讨 探讨 安全管理制度体系典型结构 安全方针 管理规定、规范 作业指导书、操作规程 记录、日志 第一级 方针，是信息安全管理工作的纲领性文件 。 第二级 管理规定和规范，规定所要求的管理制 度或技术控制措施。 第三级 作业指导书、操作规程，规定各种工 作和活动的细节。 第四级 记录、日志，记录管理活动的 客观证据。 探讨 PDCA（戴明环） u大环套小环，小环保大环，推动大循环 PDCA循环环作为质为质 量管理的基本方法 ，不仅仅适用于整个工程项项目，也适应应于 整个单位和单位内的处室、队伍以至个人 。各级级部门门根据单位的方针针目标标，都有 自己的PDCA循环环，层层层层 循环环，形成大 环环套小环环，小环环里面又套更小的环环。大 环环是小环环的母体和依据，小环环是大环环的 分解和保证证。各级级部门门的小环环都围绕围绕 着 企业业的总总目标标朝着同一方向转动转动 。通过过 循环环把单位上下或工程项项目的各项项工作 有机地联联系起来，彼此协协同，互相促进进 。 探讨 PDCA（戴明环） u不断前进、不断提高 PDCA循环就像爬楼梯一样，一个循环运 转结束，生产的质量就会提高一步，然后再制 定下一个循环，再运转、再提高，不断前进， 不断提高，是一个螺旋式上升的过程。 探讨 思考与建议 当前的要求与原则 总体要求:坚持积极防御、综合防范的方针，全面提高 信息安全防护能力，保障和促进信息化发展，保护公 众利益，维护企业商业利益。 主要原则：立足国情，以我为主，坚持管理与技术并 重；正确处理安全与发展的关系，以安全促发展，在 发展中求安全；统筹规划，突出重点，强化基础性工 作；明确国家、企业、个人的责任和义务，充分发挥 各方面的积极性，共同构筑国家信息安全保障体系。 探讨 （1）加强顶层设计 应加强统筹规划、顶层设计，在战略发展规划、信息化专项规划的 基础上，做好信息安全体系的设计，制定信息安全专项规划或工作计 划。充分重视信息资源、资产的梳理、界定工作，将信息安全与商业信 息、个人信息保护工作密切结合。 （2）强化组织保障 应明确专门信息安全管理机构和安全管理负责人，并对该负责人和 关键岗位的人员进行安全背景审查。信息化工作领导小组组长应承担起 信息安全的领导责任，建立并完善信息化管理部门与保密及其他业务部 门齐抓共管、协同配合的信息安全工作机制，并逐级落实信息安全责任 制。 应加强信息安全人才培养，打造适应信息化要求的专业人才队伍。 建立健全信息安全专业岗位持证上岗制度。加强全员信息安全教育培训 工作，把相关培训纳入员工培训计划。定期对从业人员进行网络安全教 育、技术培训和技能考核，积极组织或参与信息安全知识技能竞赛，形 成培养、选拔、吸引和使用信息安全人才的良性机制。 探讨 安全保障体系架构 探讨 想做做不到：外包服务单位的人员素质、业务结 构、管理水平等客观因素都会对信息系统的安全和发 展带来风险，而外包单位也会显得无能为力。 没想到