、信息安全等级保护测评解读PPT课件

信息安全等级保护解读 测评服务部张坤 1 内容大纲 一 等级保护概述二 等级保护测评内容 2 一 等级保护概述 1 1政策背景 国家全面推行信息安全等级保护制度 2007年6月 公安部 国家保密局 国家密码管理局 国务院信息化工作办公室联合发布 信息安全等级保护管理办法 公通字 2007 43号 在全社会范围推行 信息安全等级保护 政策 等级保护工作是信息安全工作的基本制度 是国家一项基本国策 是维护国家信息安全的根本保障 是国家意志的体现 根据 信息安全等级保护管理办法 规定 信息系统运营 使用单位在进行信息系统备案后 都应当选择测评机构进行等级测评 3 一 等级保护概述 1 1政策背景 国家全面推行信息安全等级保护制度 2003年9月中办国办颁发 关于加强信息安全保障工作的意见 中办发 2003 27号 2005年9月国信办文件 关于转发 电子政务信息安全等级保护实施指南 的通知 国信办 2004 25号 2005年公安部标准 基本要求 定级指南 实施指南 测评准则 2004年11月四部委会签 关于信息安全等级保护工作的实施意见 公通字 2004 66号 云南省人民政府第130号令 浙江省人民政府令 北京政府第9号令 国家级政策文件 国家级技术标准 国家级政策文件 地方政策文件 行业技术要求 2007年7月关于开展全国重要信息系统安全等级保护定级工作的通知 公信安 2007 861号 2007年信息安全等级保护管理办法 公通字 2007 43号 JR T0071 2012金融行业信息系统信息安全等级保护实施指引 JR T0072 2012金融行业信息系统信息安全等级保护测评指南 JR T0073 2012金融行业信息安全等级保护测评服务安全指引 2006年1月四部委会签 关于印发信息安全等级保护管理办法的通知 公通字 2006 7号 4 一 等级保护概述 1 1政策背景 国家全面推行信息安全等级保护制度 信息安全等级保护管理办法 规定 信息系统建设完成后 运营 使用单位或者其主管部门应当选择符合本办法规定条件的测评机构 依据 信息系统安全等级保护测评要求 等技术标准 定期对信息系统安全等级状况开展等级测评 第三级信息系统应当每年至少进行一次等级测评 第四级信息系统应当每半年至少进行一次等级测评 第五级信息系统应当依据特殊安全需求进行等级测评 5 一 等级保护概述 1 1政策背景 国家全面推行信息安全等级保护制度 测评依据 信息系统安全等级保护测评要求 等技术标准测评性质 符合性测评 符标测试测评对象 已经定级的信息系统测评频率 三级系统 每年至少一次 四级系统 每半年至少一次测评管理要求 强制性周期开展测评技术要求 等级化进行 不同级别的系统测评要求不同测评发起单位 主管部门 运维 使用单位 国家信息安全监管部门测评报告利用 测评报告整改加固指导性文件 也是系统备案附件测评机构要求 公安机关同意备案或授权且不从事系统安全整改建设 产品开发与营销等影响 客观 公正 安全 的工作 6 一 等级保护概述 1 2什么是等级保护测评 等级测评是测评机构依据国家信息安全等级保护制度规定 受有关单位委托 按照有关管理规范和技术标准 对信息系统安全等级保护状况进行检测评估的活动 第一级 信息系统受到破坏后 会对公民 法人和其他组织的合法权益造成损害 但不损害国家安全 社会秩序和公共利益 第二级 信息系统受到破坏后 会对公民 法人和其他组织的合法权益产生严重损害 或者对社会秩序和公共利益造成损害 但不损害国家安全 第三级 信息系统受到破坏后 会对社会秩序和公共利益造成严重损害 或者对国家安全造成损害 第四级 信息系统受到破坏后 会对社会秩序和公共利益造成特别严重损害 或者对国家安全造成严重损害 第五级 信息系统受到破坏后 会对国家安全造成特别严重损害 7 一 等级保护概述 1 3为什么要开展等级测评工作 1 等级测评是保证等级保护国家政策得到切实落实的重要保证推行等级保护的目的是 促进运营和使用单位改造加固信息系统 确保信息系统达到相应等级的安全保护基本要求 取得相应等级的基本安全保护能力 系统是否满足相应等级的基本要求成为问题的关键 等级测评是依据 信息系统安全等级保护测评要求 等技术标准 确定信息系统安全保护能力是否达到相应等级基本要求的过程 是落实信息安全等级保护制度的关键步骤 如果不开展等级测评 等级保护这项国家政策将无法落地 2 等级测评对等级保护其他环节和等级保护整体工作成效具有决定性影响等级保护包含 定级 备案 测评 建设整改 监督检查5个环节 每个环节环环相扣 等级测评结果是建设整改 监督检查的关键依据 等级测评对系统经过等级保护之后最终能够达到什么样的安全防护能力具有决定性影响 对等级保护工作的实际成效具有决定性影响 8 一 等级保护概述 1 3为什么要开展等级测评工作 3 等级测评独特的技术裁决性质 决定了等级测评工作不可替代性等级测评依据的是国家技术标准 落实的是国家信息安全政策 等级测评的结果是国家信息安全监管部门依法行使监督 检查管理的技术依据 具有明显的技术权威评判性质 因此 作为一项政策性很强的技术专业化活动 等级测评必须保证强烈的独立性 客观性和公正性 等级测评必须严格区别于任何商业化的测试 评估活动 不能为商业性测评所取代 9 一 等级保护概述 1 4什么时候做等级测评工作 10 二 等级保护测评内容 业务安全 物理安全 技术要求 管理要求 基本要求 行业要求 网络安全 主机安全 应用安全 数据安全 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 11 二 等级保护测评内容 等保基本要求的三种技术类型 S A G S 保护数据在存储 传输 处理过程中不被泄漏 破坏和免受未授权修改的信息安全类要求 物理访问控制 边界完整性检查 身份鉴别 通信完整性 保密性等A 保护系统连续正常的运行 免受对系统的未授权修改 破坏而导致系统不可用的服务保证类要求 电力供应 资源控制 软件容错等G 通用安全保护类要求 技术类中的安全审计 管理制度等 12 二 等级保护测评内容 13 二 等级保护测评内容 核心技术要求 实现方式 参考 14 二 等级保护测评内容 物理层面构成组件包括信息系统工作的设施环境以及构成信息系统的硬件设备和介质等 物理位置选择 物理安全 三级 物理访问控制 防盗窃和防破坏 防雷击 防火 防水和防潮 温湿度控制 电力供应 电磁防护 防静电 15 二 等级保护测评内容 网络层面构成组件负责支撑信息系统进行网络互联 为信息系统各个构成组件进行安全通信传输 一般包括计算机 网络设备 连接线路以及它们构成的网络拓扑等 两个不同信息系统需要交换信息 而进行网络互联 内部互联 为了与其他单位 网络交换信息 与他们的网络互联 外部互联 这些网络连接边界是网络安全测评的重点之一 结构安全 网络安全 三级 访问控制 安全审计 边界完整性检查 入侵检测 恶意代码防护 网络设备防护 16 二 等级保护测评内容 主机系统构成组件有服务器 终端 工作站等计算机设备 包括他们的操作系统 数据库系统及其相关环境等 主机系统直接为信息系统的信息采集 加工 存储 传输 检索等提供运行环境 以及为信息系统用户提供人机交互的环境 通常采取身份鉴别 访问控制 安全审计 系统资源控制等安全功能 以保证系统的安全 身份鉴别 主机系统安全 三级 访问控制 安全审计 剩余信息保护 入侵防范 恶意代码防范 资源控制 17 二 等级保护测评内容 应用系统体系结构模型可以根据用户与数据之间所具有的层次来划分 即 单层应用体系结构模型 两层应用体系结构模型 多层 可以是三层或三层以上 应用体系结构模型 身份鉴别 应用安全 三级 访问控制 安全审计 剩余信息保护 通信完整性 通信保密性 抗抵赖 软件容错 资源控制 18 二 等级保护测评内容 数据层面构成组件主要包括信息系统安全功能数据和用户数据 这些数据可能处于传输和处理过程中 也可能处于存储状态 对于传输和处理过程中的数据 一般有机密性和完整性的安全要求 而对于存储中的数据 还需要有备份恢复的安全要求 数据完整性 数据安全 三级 数据保密性 安全备份 19 二 等级保护测评内容 安全管理机构包括安全管理的岗位设置 人员配备 授权和审批 沟通和合作等方面内容 严格的安全管理应该由相对独立的职能部门和岗位来完成 岗位设置 安全管理机构 三级 人员配备 授权和审批 沟通与合作 审核和检查 20 二 等级保护测评内容 安全管理制度一般是文档化的 被正式制定 评审 发布和修订 内容包括策略 制度 规程 表格和记录等 构成一个塔式结构的文档体系 管理制度 安全管理制度 三级 制订和发布 评审和修订 21 二 等级保护测评内容 包括信息系统用户 安全管理人员和第三方人员的管理 覆盖人员录用 人员离岗 人员考核 安全意识教育和培训 第三方人员管理等方面内容 人员录用 人员安全管理 三级 人员离岗 人员考核 安全意识教育和培训 外部人员访问管理 22 二 等级保护测评内容 包括系统定级 安全风险分析 安全方案设计 产品采购和使用 自行软件开发 外包软件开发 工程实施 测试验收 系统交付 安全测评 系统备案 安全服务商选择等信息系统安全等级建设的各个方面 安全方案设计 系统建设管理 三级 产品采购和使用 自行软件开发 外包软件开发 工程实施 测试验收 系统交付 系统备案 等级测评 安全服务商选择 系统定级 23 二 等级保