信息系统安全等保护.pptx

信息系统安全等级保护讲义 沈阳实现科技发展有限公司刘志 内容 安全等级保护概述安全等级保护定级原理安全等级保护定级方法安全等级保护定级管理安全等级保护技术和管理要求 原因 互联网安全环境 发展史 1994年 国务院颁布 计算机信息系统安全保护条例 147号令 第九条计算机信息系统实行安全等级保护 安全等级的划分标准和安全等级保护的具体办法 由公安部会同有关部门制定 1999年9月13日 颁布 计算机信息系统安全保护等级划分准则 GB T17859 1999 于2000年开始实施 它是我国计算机信息系统安全保护等级工作的基础 2003年 国家信息化领导小组关于加强信息安全保障工作的意见 中办发 2003 27号 明确提出 实行信息安全等级保护 发展史 2004年 全国信息安全保障工作会议 专门将信息安全等级保护工作作为信息安全保障工作的一项重要任务来部署 2004年9月 公安部 保密局 密码管理局 国信办联合出台了 关于信息安全等级保护工作的实施意见 公通字 2004 66号 明确了信息安全等级保护制度的原则和基本内容 以及信息安全等级保护工作的职责分工 工作实施的要求等 2007年 公安部 保密局 密码管理局 国信办联合制定了 信息安全等级保护管理办法 标志着我国等级保护制度的初步形成 定级范围 运营商和服务提供商电信 广电行业的公用通信网 广播电视传输网等基础信息网络 经营性公众互联网信息服务单位 互联网接入服务单位 数据中心等单位的重要信息系统 重要行业铁路 银行 海关 税务 民航 电力 证券 保险 外交 科技 发展改革 国防科技 公安 人事劳动和社会保障 财政 审计 商务 水利 国土资源 能源 交通 文化 教育 统计 工商行政管理 邮政等行业 部门的生产 调度 管理 办公等重要信息系统 重要机关市 地 级以上党政机关的重要网站和办公信息系统 涉密系统涉及国家秘密的信息系统 职责分工 公安机关负责信息安全等级保护工作的监督 检查 指导 国家密码管理部门负责等级保护工作中有关密码工作的监督 检查 指导 其他相关部门涉及其他职能部门管辖范围的事项 由有关职能部门依照国家法律法规的规定进行管理 信息化领导机构国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调 信息系统主管部门依照本办法及相关标准规范 督促 检查 指导本行业 本部门或者本地区信息系统运营 使用单位的等级保护工作 信息系统的运营 使用单位应当依照本办法及其相关标准规范 履行信息安全等级保护的义务和责任 政策法规 中华人民共和国计算机信息系统安全保护条例 国务院147号令 国家信息化领导小组关于加强信息安全保障工作的意见 中办发 2003 27号文件 中办 国办 关于信息安全等级保护工作的实施意见 公通字 2004 66号文件 公安部 保密局 国密办以及国信办 信息系统安全等级保护基本要求 标准GB T22239 2008 信息系统安全等级保护定级指南 标准GB T22240 2008 信息系统安全等级保护实施指南 标准GB T25058 2010 信息系统安全等级保护测评准则 报批稿 信息安全等级保护管理办法 公通字 2007 43号文件 公安部 保密局 国密办以及国信办 关于开展全国重要信息系统安全等级保护定级工作的通知 公信安 2007 861号文件 公安部 保密局 国密办以及国信办 国家标准 信息技术词汇 第8部分 安全 GB T5271 8 信息技术计算机信息系统安全保护等级划分准则 GB17859 1999 信息技术信息技术安全性评估准则 GB T18336 2000 信息技术信息安全管理实用规则 GB T19716 2005 信息技术信息系统通用安全技术要求 GB T20271 2006 信息技术网络基础安全技术要求 GB T20270 2006 信息技术操作系统安全技术要求 GB T20272 2006 信息技术数据库管理系统安全技术要求 GB T20273 2006 信息技术服务器技术要求 GB T21028 2007 信息技术终端计算机系统安全等级技术要求 GA T671 2006 信息技术信息系统安全管理要求 GB T20269 2006 信息技术信息系统安全工程管理要求 GB T20282 2006 其他国家标准 内容 安全等级保护概述安全等级保护定级原理安全等级保护定级方法安全等级保护定级管理安全等级保护技术和管理要求 定级准则 坚持自主定级 自主保护的原则 应当根据信息系统在国家安全 经济建设 社会生活中的重要程度 信息系统遭到破坏后对国家安全 社会秩序和公共利益以及公民 法人和其他组织的合法权益 受侵害客体 的危害程度等因素确定 等级划分 第一级 自主保护级 信息系统受到破坏后 会对公民 法人和其他组织的合法权益造成损害 但不损害国家安全 社会秩序和公共利益 第二级 指导保护级 信息系统受到破坏后 会对公民 法人和其他组织的合法权益产生严重损害 或者对社会秩序和公共利益造成损害 但不损害国家安全 第三级 监督保护级 信息系统受到破坏后 会对社会秩序和公共利益造成严重损害 或者对国家安全造成损害 第四级 强制保护级 信息系统受到破坏后 会对社会秩序和公共利益造成特别严重损害 或者对国家安全造成严重损害 第五级 专控保护级 信息系统受到破坏后 会对国家安全造成特别严重损害 第五级 第四级 第三级 第二级 定级监管部门 第一级 单位自主 公安部门 公安部门和国密部门 国密部门 定级要素 受侵害的客体 等级保护对象受到破坏时所侵害的客体包括以下三个方面 公民 法人和其他组织的合法权益 社会秩序 公共利益 国家安全 对客体的侵害程度 对客体的侵害程度由客观方面的不同外在表现综合决定 表现为对等级保护对象的破坏 通过危害方式 危害后果和危害程度加以描述 侵害程度归结为以下三种 造成一般损害 造成严重损害 造成特别严重损害 定级要素与等级的关系 等级 定级要素 监管关系 内容 安全等级保护概述安全等级保护定级原理安全等级保护定级方法安全等级保护定级管理安全等级保护技术和管理要求 确定安全对象 业务信息安全保护等级从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级 以业务为主题 如不同应用系统系统服务安全保护等级从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级 以服务为主题 如不同子网 数据中心 定级流程 确定定级对象 流程1 具有唯一确定的安全责任单位 一个单位 这种定级对象是能够唯一地确定其安全责任单位 如果一个单位的某个下级单位负责信息系统安全建设 运行维护等过程的全部安全责任 则这个下级单位可以成为信息系统的安全责任单位 如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任 则该信息系统的安全责任单位应是这些下级单位共同所属的单位 具有信息系统的基本要素 一个系统 这种定级对象是由相关的和配套的设备 设施按照一定的应用目标和规则组合而成的有形实体 应避免将某个单一的系统组件 如服务器 终端 网络设备等作为定级对象 承载相对独立的业务应用 一种应用 这种定级对象是指其业务应用的主要业务流程独立 同时与其他业务应用有一定的数据交换 定级对象可能会与其他业务应用共享一些设备 尤其是网络传输设备 确定受侵害的客体 流程2 5 A 侵害国家安全影响国家政权稳固和国防实力 影响国家统一 民族团结和社会安定 影响国家对外活动中的政治 经济利益 影响国家重要的安全保卫工作 其他影响国家安全的事项 B1 侵害社会秩序影响国家机关社会管理和公共服务的工作秩序 影响各种类型的经济活动秩序 影响各行业的科研 生产活动秩序 影响公众在法律约束和道德规范下的正常生活秩序等 其他影响社会秩序的事项 B2 影响公共利益影响社会成员使用公共设施 影响社会成员获取公开信息资源 影响社会成员接受公共服务等方面 其他影响公共利益的事项 C 影响公民 法人和其他组织的合法权益指由法律确认的并受法律保护的公民 法人和其他组织所享有的一定的社会权利和利益 确定对客体的侵害程度 流程3 6 一般损害工作职能受到局部影响 业务能力有所降低但不影响主要功能的执行 出现较轻的法律问题 较低的财产损失 有限的社会不良影响 对其他组织和个人造成较低损害 严重损害工作职能受到严重影响 业务能力显著下降且严重影响主要功能执行 出现较严重的法律问题 较高的财产损失 较大范围的社会不良影响 对其他组织和个人造成较严重损害 特别严重损害工作职能受到特别严重影响或丧失行使能力 业务能力严重下降且或功能无法执行 出现极其严重的法律问题 极高的财产损失 大范围的社会不良影响 对其他组织和个人造成非常严重损害 确定对客体的危害后果 影响行使工作职能 导致业务能力下降 引起法律纠纷 导致财产损失 造成社会不良影响 对其他组织和个人造成损失 其他影响 确定定级对象的安保等级 流程4 7 业务信息安全保护等级矩阵表系统服务安全保护等级矩阵表 表A 业务信息安全保护等级矩阵表 表B 系统服务安全保护等级矩阵表 内容 安全等级保护概述安全等级保护定级原理安全等级保护定级方法安全等级保护定级管理安全等级保护技术和管理要求 定级监督管理 第一级信息系统运营 使用单位应当依据国家有关管理规范和技术标准进行保护 国家信息安全监管部门对该级信息系统信息安全等级保护工作进行备案 第二级信息系统运营 使用单位应当依据国家有关管理规范和技术标准进行保护 国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导 第三级信息系统运营 使用单位应当依据国家有关管理规范和技术标准进行保护 国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督 检查 第四级信息系统运营 使用单位应当依据国家有关管理规范 技术标准和业务专门需求进行保护 国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督 检查 第五级信息系统运营 使用单位应当依据国家管理规范 技术标准和业务特殊安全需求进行保护 国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督 检查 等级测评与自查 第三方测评运营 使用单位或者其主管部门应当选择符合规定条件的测评机构 依据 信息系统安全等级保护测评要求 等技术标准 定期对信息系统安全等级状况开展等级测评 测评周期第三级 每年至少一次第四级 每半年至少一次第五级 应当依据特殊安全需求进行等级测评 自查信息系统运营 使用单位及其主管部门应当定期对信息系统安全状况 安全保护制度及措施的落实情况进行自查 自查周期第三级 每年至少一次第四级 每半年至少一次第五级 应当依据特殊安全需求进行自查 定级申报材料 编写 信息系统安全等级保护定级报告 填写 信息系统安全等级保护备案表 第三级以上信息系统应当同时提供以下材料 系统拓扑结构及说明 系统安全组织机构和管理制度 系统安全保护设施设计实施方案或者改建实施方案 系统使用的信息安全产品清单及其认证 销售许可证明 测评后符合系统安全保护等级的技术检测评估报告 信息系统安全保护等级专家评审意见 主管部门审核批准信息系统安全保护等级的意见 信息系统安全等级保护定级报告 一 XXX信息系统描述简述确定该系统为定级对象的理由 1 描述承担信息系统安全责任的相关单位或部门 说明本单位或部门对信息系统具有信息安全保护责任 该系统为本单位或部门的定级对象 2 定级对象具有的信息系统基本要素 描述基本要素 系统网络结构 系统边界和边界设备 3 定级对象是否承载着单一或相对独立的业务 业务情况描述 二 XXX信息系统安全保护等级确定 一 业务信息安全保护等级的确定 1 业务信息描述 2 业务信息受到破坏时所侵害客体的确定 3 信息受到破坏后对侵害客体的侵害程度的确定 4 业务信息安全等级的确定 二 系统服务安全保护等级的确定 1 系统服务描述 2 系统服务受到破坏时所侵害客体的确定 3 系统服务受到破坏后对侵害客体的侵害程度的确定 4 系统服务安全等级的确定 三 整体安全保护等级的确定 由业务信息安全等级和系统服务安全等级较高者决定 最终确定该系统的安全保护等级 信息系统安全等级保护备案表 涉及国家秘密的信息系统分级保护备案表 内容 安全等级保护概述安全等级保护定级原理安全等级保护定级方法安全等级保护定级管理安全等级保护技术和管理要求 安全保护能力总体要求 第一级安全保护能力应能够防护系统免受来自个人的 拥有很少资源的威胁源发起的恶意攻击 一般的自然灾难 以及其他相当危害程度的威胁所造成的关键资源损害 在系统遭到损害后 能够恢复部分功能 第二级安全保护能力应能够防护系统免受来自外部小型组织的 拥有少量资源的威胁源发起的恶意攻击 一般的自然灾难 以及其他相当危害程度的威胁所造成的重要资源损害 能够发现重要的安全漏洞和安全事件 在系统遭到损害后 能够在一段时间内恢复部分功能 第三级安全保护能力应能够在统一安全策略下防护系统免受来自外部有组织的团体 拥有较为丰富资源的威胁源发起的恶意攻击 较为严重的自然灾难 以及其他相当危害程度的威胁所造成的主要资源损害 能够发现安全漏洞和安全事件在系统遭到损害后 能够较快恢复绝大部分功能 第四级安全保护能力应能够在统一安全策略下防护系统免受来自国家级别的 敌对组织的 拥有丰富资源的威胁源发起的恶意攻击 严重的自然灾难 以及其他相当危害程度的威胁所造成的资源损害 能够发现安全漏洞和安全事件 在系统遭到损害后 能够迅速恢复所有功能 第五级安全保护能力 略 由国家指定部门或机构确定 基本安全要求结构 某级系统 物理安全 技术要求 管理要求 基本要求 网络安全 主机安全 应用安全 数据安全 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 基本技术要求的三种类型类型 第一级基本技术要求 物理安全物理访问控制 G1 防盗窃和防破坏 G1 防雷击 G1 防火 G1 防水和防潮 G1 温湿度控制 G1 电力供应 A1 网络安全结构安全 G1 访问控制 G1 设备防护 G1 主机安全身份鉴别 S1 访问控制 S1 入侵防范 G1 恶意代码防范 G1 应用安全身份鉴别 S1 访问控制 S1 通信完整性 S1 软件容错 A1 数据安全及备份恢复 数据完整性 S1 备份和恢复 A1 第一级基本管理要求 安全管理制度管理制度 G1 制定和发布 G1 安全管理机构岗位设置 G1 人员配备 G1 授权和审批 G1 沟通和合作 G1 人员安全管理人员录用 G1 人员离岗 G1 安全意识教育和培训 G1 外部人员访问管理 G1 系统建设管理系统定级 G1 安全方案设计 G1 产品采购和使用 G1 自行软件开发 G1 外包软件开发 G1 工程实施 G1 测试验收 G1 系统交付 G1 安全服务商选择 G1 系统运维管理环境管理 G1 资产管理 G1 设备管理 G1 网络安全管理 G1 系统安全管理 G1 恶意代码防范管理 G1 备份与恢复管理 G1 安全事件处置 G1 第二级基本技术要求 物理安全物理位置的选择 G2 物理访问控制 G2 防盗窃和防破坏 G2 防雷击 G2 防火 G2 防水和防潮 G2 防静电 G2 温湿度控制 G2 电力供应 A2 电磁防护 S2 网络安全结构安全 G2 访问控制 G2 安全审计 G2 边界完整性检查 S2 入侵防范 G2 网络设备防护 G2 主机安全身份鉴别 S2 访问控制 S2 安全审计 G2 入侵防范 G2 恶意代码防范 G2 资源控制 A2 应用安全身份鉴别 S2 访问控制 S2 安全审计 G2 通信完整性 S2 通信保密性 S2 软件容错 A2 资源控制 A2 数据安全及备份恢复数据完整性 S2 数据保密性 S2 备份和恢复 A2 第二级基本管理要求 安全管理制度管理制度 G2 制定和发布 G2 评审和修订 G2 安全管理机构岗位设置 G2 人员配备 G2 授权和审批 G2 沟通和合作 G2 审核和检查 G2 人员安全管理人员录用 G2 人员离岗 G2 人员考核 G2 安全意识教育和培训 G2 外部人员访问管理 G2 系统建设管理系统定级 G2 安全方案设计 G2 产品采购和使用 G2 自行软件开发 G2 外包软件开发 G2 工程实施 G2 测试验收 G2 系统交付 G2 安全服务商选择 G2 系统运维管理环境管理 G2 资产管理 G2 介质管理 G2 设备管理 G2 网络安全管理 G2 系统安全管理 G2 恶意代码防范管理 G2 密码管理 G2 变更管理 G2 备份与恢复管理 G2 安全事件处置 G2 应急预案管理 G2 第三级基本技术要求 物理安全物理位置的选择 G3 物理访问控制 G3 防盗窃和防破坏 G3 防雷击 G3 防火 G3 防水和防潮 G3 防静电 G3 温湿度控制 G3 电力供应 A3 电磁防护 S3 网络安全结构安全 G3 访问控制 G3 安全审计 G3 边界完整性检查 S3 入侵防范 G3 恶意代码防范 G3 网络设备防护 G3 主机安全身份鉴别 S3 访问控制 S3 安全审计 G3 剩余信息保护 S3 入侵防范 G3 恶意代码防范 G3 资源控制 A3 应用安全身份鉴别 S3 访问控制 S3 安全审计 G3 剩余信息保护 S3 通信完整性 S3 通信保密性 S3 抗抵赖 G3 软件容错 A3 资源控制 A3 数据安全及备份恢复数据完整性 S3 数据保密性 S3 备份和恢复 A3 第三级基本管理要求 安全管理制度管理制度 G3 制定和发布 G3 评审和修订 G3 安全管理机构岗位设置 G3 人员配备 G3 授权和审批 G3 沟通和合作 G3 审核和检查 G3 人员安全管理人员录用 G3 人员离岗 G3 人员考核 G3 安全意识教育和培训 G3 外部人员访问管理 G3 系统建设管理系统定级 G3 安全方案设计 G3 产品采购和使用 G3 自行软件开发 G3 外包软件开发 G3 工程实施 G3 测试验收 G3 系统交付 G3 系统备案 G3 等级测评 G3 安全服务商选择 G3 系统运维管理环境管理 G3 资产管理 G3 介质管理 G3 设备管理 G3 监控管理和安全管理中心 G3 网络安全管理 G3 系统安全管理 G3 恶意代码防范管理 G3 密码管理 G3 变更管理 G3 备份与恢复管理 G3 安全事件处置 G3 应急预案管理 G3 第四级基本技术要求 物理安全物理位置的选择 G4 物理访问控制 G4 防盗窃和防破坏 G4 防雷击 G4 防火 G4 防水和防潮 G4 防静电 G4 温湿度控制 G4 电力供应 A4 电