等级保护项目建设交流PPT课件

等级保护项目建设交流 1 目录 等保的等级划分 等保的具体要求 启明产品与等保的关联度 等保的建设依据 等保的由来 等保的建设流程 2012年等保状况分析 参与等保项目建设经验分享 2 第一部分 等级保护的由来 中办发 2003 27号 公通字 2004 66号 公通字 2007 43号 等级划分原则 等级保护基本要求 通用安全技术要求 网络基础安全基本要求 中保委发 2004 7号 国保发 2005 16号 分级保护技术要求 分级保护管理要求 分级保护策评指南 分级保护设计指南 非涉密信息系统 涉密信息系统 等级保护 分级保护 国家信息安全保障体系 3 第一部分 等级保护的由来 什么是等级保护 信息系统受到侵害 对社会造成的影响不同 伴随着我们国家信息建设与应用的不断深入 4 第一部分 等级保护的由来 什么是等级保护 信息系统受到侵害 影响到公民 法人合法利益 影响到公民 法人合法权益 5 第一部分 等级保护的由来 什么是等级保护 信息系统受到侵害 影响到社会秩序 公共利益 影响到社会秩序公共利益 6 第一部分 等级保护的由来 什么是等级保护 信息系统受到侵害 影响到国家安全 影响到国家安全 7 第一部分 等级保护的由来 等级保护要保护什么 影响到国家安全 影响到社会秩序公共利益 影响到公民 法人合法权益 等级保护 是指对会影响到国家安全 社会秩序 公共利益 公民法人合法权益的信息系统实行分等级的信息安全保护 保障信息系统正常运行 维护国家利益 公共利益和社会稳定 8 第一部分 等级保护的由来 等级保护 的漫长历史过程 中华人民共和国计算机信息系统安全保护条例 国务院147号令 安全等级的划分标准和安全等级保护的具体办法 由公安部会同有关部门制定 9 第一部分 等级保护的由来 等级保护 的漫长历史过程 中华人民共和国计算机信息系统安全保护条例 国务院147号令 国家对信息系统实行五级保护 10 第一部分 等级保护的由来 等级保护 的漫长历史过程 国家信息化领导小组关于加强信息安全保障工作的意见 中办发 2003 27号 中华人民共和国计算机信息系统安全保护条例 国务院147号令 实行信息安全等级保护制度 重点保护基础信息网络和重要信息系统 11 第一部分 等级保护的由来 等级保护 的漫长历史过程 国家信息化领导小组关于加强信息安全保障工作的意见 中办发 2003 27号 中华人民共和国计算机信息系统安全保护条例 国务院147号令 明确了信息安全等级保护制度的主要工作方向和工作内容 规定了等级保护实施的具体步骤和时间表 12 第一部分 等级保护的由来 等级保护 的漫长历史过程 国家信息化领导小组关于加强信息安全保障工作的意见 中办发 2003 27号 中华人民共和国计算机信息系统安全保护条例 国务院147号令 2005年公安部标准 等级保护安全要求 等级保护定级指南 等级保护实施指南 等级保护测评准则 13 第一部分 等级保护的由来 等级保护 的漫长历史过程 国家信息化领导小组关于加强信息安全保障工作的意见 中办发 2003 27号 中华人民共和国计算机信息系统安全保护条例 国务院147号令 2005年公安部标准 等级保护安全要求 等级保护定级指南 等级保护实施指南 等级保护测评准则 14 第一部分 等级保护的由来 等级保护 的漫长历史过程 国家信息化领导小组关于加强信息安全保障工作的意见 中办发 2003 27号 中华人民共和国计算机信息系统安全保护条例 国务院147号令 2005年公安部标准 等级保护安全要求 等级保护定级指南 等级保护实施指南 等级保护测评准则 2007年7月到10月在全国范围内组织开展重要信息系统安全等级保护定级工作 代替公通字 2006 7号文件 明确了等级保护的具体操作办法 明确了等级保护工作的主要内容是定级 备案 系统建设整改 等级测评 监督检查 15 第一部分 等级保护的由来 等级保护 的漫长历史过程 中华人民共和国计算机信息系统安全保护条例 国务院147号令 国家信息化领导小组关于加强信息安全保障工作的意见 中办发 2003 27号 2005年公安部标准 等级保护安全要求 等级保护定级指南 等级保护实施指南 等级保护测评准则 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知 发改高技 2008 2071号 公安机关信息安全等级保护检查工作规范 试行 公信安 2008 736号 16 第一部分 等级保护的由来 等级保护 的漫长历史过程 中华人民共和国计算机信息系统安全保护条例 国务院147号令 国家信息化领导小组关于加强信息安全保障工作的意见 中办发 2003 27号 2005年公安部标准 等级保护安全要求 等级保护定级指南 等级保护实施指南 等级保护测评准则 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知 发改高技 2008 2071号 公安机关信息安全等级保护检查工作规范 试行 公信安 2008 736号 关于开展信息系统等级保护安全建设整改工作的指导意见 公信安 2009 1429号 关于印发 信息系统安全等级测评报告模板 试行 的通知 公信安 2009 1487号 17 第二部分 等级保护等级划分 信息系统定级 18 第二部分 等级保护等级划分 决定信息系统等级的因素 系统所属类型 业务信息类别 系统服务范围 业务依赖程度 业务信息安全性 业务服务保证性 信息系统安全保护等级 侵害的程度如何 对客体造成侵害的程度 一般损害严重损害特别严重损害 受到破坏时侵害了什么 客体 公民 法人社会秩序 公共利益国家安全 二者取高 19 第三部分 等级保护项目建设流程 等级保护工作基本流程 20 第四部分 等级保护项目建设依据 等级保护项目建设依据 中华人民共和国计算机信息系统安全保护条例 国务院147号令 国家信息化领导小组关于加强信息安全保障工作的意见 中办发 2003 27号 关于信息安全等级保护工作的实施意见 公通字 2004 66号 信息安全等级保护管理办法 公通字 2007 43号 关于开展全国重要信息系统安全等级保护定级工作的通知 公通字 2007 861号 信息安全等级保护备案实施细则 公信安 2007 1360号 关于开展信息系统等级保护安全建设整改工作的指导意见 公信安 2009 1429号 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知 发改高技 2008 2071号 关于印发 信息系统安全等级测评报告模板 试行 的通知 公信安 2009 1487号 公安机关信息安全等级保护检查工作规范 试行 公信安 2008 736号 定级 备案 安全建设整改 等级测评 检查 信息安全等级保护工作 21 第四部分 等级保护项目建设依据 等级保护项目建设依据 22 总体安全规划 第五部分 等级保护的具体要求 等级保护工作过程 等级变更 局部调整 信息系统定级 安全设计与实施 安全运行维护 信息系统终止 23 第五部分 等级保护的具体要求 等级保护总体框架 第一级 第二级 第三级 第四级 第五级 24 第五部分 等级保护的具体要求 技术要求 物理安全 物理位置选择 物理安全 3级 物理访问控制 防盗窃和防破坏 防雷击 防火 防水和防潮 温湿度控制 电力供应 电磁防护 防静电 25 第五部分 等级保护的具体要求 技术要求 网络安全 结构安全 网络安全 3级 访问控制 安全审计 边界完整性检查 入侵防范 恶意代码防范 网络设备防护 26 第五部分 等级保护的具体要求 技术要求 主机安全 身份鉴别 主机系统安全 3级 访问控制 安全审计 剩余信息保护 入侵防范 恶意代码防范 系统资源控制 27 第五部分 等级保护的具体要求 技术要求 应用安全 身份鉴别 应用安全 3级 访问控制 通信完整性 通信保密性 安全审计 剩余信息保护 抗抵赖 软件容错 资源控制 28 第五部分 等级保护的具体要求 技术要求 数据安全 29 第五部分 等级保护的具体要求 管理要求 安全管理机构 30 第五部分 等级保护的具体要求 管理要求 安全管理制度 管理制度 安全管理制度 3级 制订和发布 评审和修订 31 第五部分 等级保护的具体要求 管理要求 人员安全管理 人员录用 人员安全管理 3级 人员离岗 人员考核 安全意识教育和培训 外部人员访问管理 32 第五部分 等级保护的具体要求 管理要求 系统建设管理 系统定级 系统建设管理 3级 安全方案设计 产品采购和使用 自行软件开发 外包软件开发 工程实施 测试验收 系统交付 安全服务商选择 等级测评 33 第五部分 等级保护的具体要求 管理要求 系统运维管理 系统运维管理 3级 环境管理 资产管理 设备管理 介质管理 监控管理 网络安全管理 系统安全管理 恶意代码防范管理 变更管理 密码管理 备份和恢复管理 安全事件处置 应急预案管理 34 第五部分 等级保护的具体要求 不同的保护等级技术要求不同 例如 入侵防范要求 针对不同等级系统 保护的基本要求也不同 第一级 防范病毒第二级 增加要求项 检测入侵攻击网络系统的要求 第三级 增加要求项 防范恶意代码植入 传播 提供告警 清除措施第四级 增加要求项 实时告警和清除措施 例如 安全审计第二级才开始有审计要求第三级 第四级 分别又增加要求项 35 第五部分 等级保护的具体要求 等保三级与二级要求对比表 等保三级与二级要求对比表 36 第七部分 2012年等保状况分析 等保测评机构统计 国家信息安全等级保护工作协调小组办公室推荐测评机构国家级 6家华北地区 19家北京市10家 天津3家 河北2家 山西3家 内蒙古1家 东北地区 8家辽宁5家 黑龙江3家 华东地区 23家上海3家 江苏6家 浙江5家 安徽1家 江西1家 山东7家 中南地区 15家河南3家 湖北3家 湖南1家 深圳5家 广西2家 海南3家 西南地区 6家重庆1家 四川1家 贵州1家 云南2家西北地区 4家陕西3家 甘肃1家 参照 具体更新数据 37 第七部分 2012年等保状况分析 行业分布情况 信息系统等级保护的行业分布图 注 数据来源公安部2012年我国重要信息系统安全保护状况分析报告 分析数据来源于对各地等保测评机构汇总数据 采集452个备案单位 1000个三级等保测评数据 图中 其他 行业包括了科技 工商 卫生 商业贸易 发改委 质监 税务 国土 电信 审计 广电 国防科技 文化 水利 财政 宣传 外交 气象 海洋 地震 司法等部分的315个信息系统 38 第七部分 2012年等保状况分析 地域分布情况 注 数据来源公安部2012年我国重要信息系统安全保护状况分析报告 分析数据来源于对各地等保测评机构汇总数据 采集452个备案单位 1000个三级等保测评数据 信息系统等级保护的地域分布图 39 第七部分 2012年等保状况分析 业务类型分布情况 注 数据来源公安部2012年我国重要信息系统安全保护状况分析报告 分析数据来源于对各地等保测评机构汇总数据 采集452个备案单位 1000个三级等保测评数据 信息系统等级保护的业务类型分布图 40 第