等级保护PPT课件

.,1,广州华南信息安全测评中心编辑人：刘汉江2013年05月,信息系统等级保护,.,2,提纲,什么是等级保护为什么要开展等级保护等级保护怎么做等级保护工作的收益,.,3,什么是等级保护？,根据我国信息安全标准GB/T222402008信息系统安全等级保护定级指南对我国非涉密信息系统划分为五个等级进行保护。,.,4,等级保护对象,.,5,为什么要实施等级保护？,中国互联网安全形势不容乐观!,.,6,网站篡改导致重大影响,.,7,CSDN泄密门,.,8,广东省公安厅出境申请信息泄密,.,9,“五一”一周网络病毒监测情况,.,10,网络病毒监测情况TOP3,.,11,钓鱼网站,真正的中国工商银行网站,假冒的中国工商银行网站,2012年，“中国反钓鱼网站联盟”处理钓鱼网站事件22308起,.,12,发达国家政府普遍加强网络安全管理,美国政府出台加强网络安全法案欧盟正式发布欧洲数字化议程瑞典政府设国家信息技术安全中心新加坡信息通信发展管理局制定新信息安全准则澳大利亚启动国家计算机应急响应官方机构日本政府制定“保护国民信息安全战略”,.,13,怎么开展等级保护？,.,14,.,15,GB17859-1999计算机信息系统安全等级保护划分准则GB/T25058-2010信息系统安全等级保护实施指南GB/T22240-2008信息系统安全保护等级定级指南GB/T22239-2008信息系统安全等级保护基本要求GB/T20271-2006信息系统通用安全技术要求GB/T25070-2010信息系统等级保护安全设计技术要求GB/T20269-2006信息系统安全管理要求GB/T20282-2006信息系统安全工程管理要求信息系统安全等级保护测评要求信息系统安全等级保护测评过程指南,等级保护的相关标准,.,16,系统定级,备案,安全建设整改,等级测评,监督检查,系统识别,系统划分,等级确定,识别信息系统的基本信息识别信息系统的管理框架识别信息系统的网络及设备部署识别信息系统的业务种类和特性识别业务系统处理的信息资产识别用户范围和用户类型信息系统描述,划分方法的选择信息系统划分信息系统详细描述,信息系统安全保护等级初步确定定级结果审核和批准形成定级报告,等级保护实施流程,.,17,等级保护定级思路,.,18,等级保护定级维度,等级保护对象受到破坏时所侵害的客体对客体造成侵害的程度,.,19,侵害程度,以货币损失衡量一般以银行、证券、保险、第三方支付等金融行业单位为主以行政处罚衡量一般以政府行业单位为主以安全生产指标衡量一般以电力、石油、交通、制造业等工业行业单位为主,.,20,定级要素与安全保护等级的关系,.,21,定级三个条件,具有唯一确定的安全责任单位一般是使用或运营单位满足信息系统的基本要素（组织结构、流程、数据、商务规则与功能）单机和纯局域网不定级承载相对独立的业务应用含多个业务应用的综合系统尽量划分,.,22,定级对象识别与划分,可能使定级要素赋值不同因素可能涉及不同客体的系统。可能对客体造成不同程度损害的系统。处理不同类型业务的系统。本身运行在不同的网络环境中的系统。分不开的系统，按照高级别保护。,.,23,两种安全定义,.,24,定级流程,G=MAX(S,A),S,A,.,25,业务信息安全等级矩阵表,.,26,系统服务安全等级矩阵表,.,27,等级保护定级报告案例,.,28,四个主要因素决定等级,系统所属类型,业务信息类别,系统服务范围,业务依赖程度,业务信息安全等级,系统服务安全等级,信息系统安全保护等级,侵害的程度如何？（对客体造成侵害的程度）一般损害严重损害特别严重损害,受到破坏时侵害了什么？（客体）公民、法人和其他组织社会秩序、公共利益国家安全,.,29,行业等级保护定级,一级信息系统：适用于乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。二级信息系统：适用于地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网，非涉及秘密、敏感信息的办公系统等。,.,30,行业等级保护定级,三级信息系统：适用于地市级以上国家机关、企业、事业单位内部重要的信息系统；重要领域、重要部门跨省、跨市或全国（省）联网运行的信息系统；跨省或全国联网运行重要信息系统在省、地市的分支系统；各部委官方网站；跨省（市）联接的信息网络等。四级信息系统：适用于重要领域、重要部门信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统，银行、证券、保险、税务、海关等部门中的核心系统。,.,31,行业等级保护定级,.,32,.,33,.,34,卫生行业定级参考,.,35,电力行业等级保护定级,.,36,电力行业等级保护定级,.,37,等级保护实施流程,等级确定,信息系统安全保护等级确定（第二级及以上）,手续办理,登记备案,下载备案表和辅助备案工具填写备案表生成备案电子数据,去公安机关备案登记,系统定级,备案,安全建设整改,等级测评,监督检查,.,38,等级保护实施流程,系统定级,备案,安全建设整改,等级测评,监督检查,.,39,等级保护方案中涉及的技术和产品,标识与鉴别（1）标识是指用户（或设备）向信息系统（或对等实体）表明其身份的行为。为证实其身份的真实性，用户还应在标识的同时提供一种或几种鉴别信息。（2）鉴别是指信息系统利用单一或多重鉴别机制对用户所声称的真实性进行验证的过程。鉴别信息（1）用户所知道的信息，如口令、密钥等（2）用户所拥有的物品，如硬件令牌等（3）用户的特征，如指纹、虹膜等典型产品（1）硬件令牌（2）CA数字证书,.,40,等级保护方案中涉及的技术和产品,访问控制访问控制规定了信息系统中主体对客体的操作权限，能够有效防止对资源的非授权使用。（1）物理访问控制：如房间加锁、门禁系统、给设备加锁等（2）网络访问控制：在网络层面，限制网络设备或安全设备可以与哪些设备建立什么样的连接，以及通过网络传输什么样的数据。典型设备如交换机、路由器、防火墙、网络隔离交换产品。（3）主机访问控制：操作系统或数据库的访问控制列表ACL等，需要进行安全配置，或加固使之达到安全操作系统或数据库要求（4）应用访问控制：在应用软件嵌入更细粒度的数据访问控制策略等。,.,41,等级保护方案中涉及的技术和产品,密码技术对称密钥加密，包括DES、3DES和AES等非对称密钥加密：包括RSA、DSA和ECC等。单向散列函数：包括MD5和SHA等典型产品：网络密码机SSL-VPN主要应用是远程访问、组建企业的内联网等。,.,42,等级保护方案中涉及的技术和产品,安全审计和监控安全审计是指针对信息系统与安全活动有关的信息进行识别、记录、存储和分析的整个过程。多数网络设备、操作系统和应用软件一般都自带安全审计功能，也有专门的审计和监控工具。典型产品：网络安全审计系统数据库审计系统终端安全审计系统运维管理审计系统基于网络的入侵检测系统基于主机的入侵检测系统入侵防御系统IPS,.,43,等级保护方案中涉及的技术和产品,恶意代码防范典型产品：（1）单机版的防病毒软件（2）网络版的防病毒软件（3）防病毒网关,.,44,等级保护方案中涉及的技术和产品,备份与恢复技术数据备份（1）完全备份（2）差异备份（3）增量备份系统备份（1）第1级本地备份、本地保存的冷备份（2）第2级本地备份、异地保存的冷备份（3）第3级本地热备份、异地网络备份（4）第4级本地热备份、异地实时灾备中心典型产品：双机热备、单机容错、SAN存储备份系统等。,.,45,系统安全保护环境主要产品类型及功能,.,46,2.25定级系统安全保护环境主要产品类型及功能（续2）,.,47,等级保护三级安全产品清单,网络安全防火墙、IPS、UTM、流控、防病毒网关、网闸IDS、网络行为审计主机安全PKI/PMI系统数字证书生物（指纹）识别操作系统增强软件、网络版防病毒、终端监控审计应用安全反垃圾邮件、网页防篡改、WAF、数据库审计、运维审计系统数据安全文档安全、移动介质管理、SSLVPN、IP加密机安全管理SOC,.,48,等级保护实施流程,系统定级,备案,安全建设整改,等级测评,监督检查,.,49,等级保护实施流程,系统定级,备案,安全建设整改,等级测评,监督检查,项目启动,信息收集分析,工具表单准备,项目启动成立项目组发放客户情况调查表,系统环境及威胁描述主要业务应用描述业务流程描述业务信息流描述系统基础网络架构描述安全保障技术体系描述安全保障管理体系描述,编制等保测评技术方案编制等保测评进度安全核查表单准备安全测试工具准备现场测评授权书,.,50,等级保护实施流程,测评对象确定,测评指标确定,测评工具接入点确定,测评内容确定,测评指导书开发,测评方案编制,分析确定被测试系统的对象与指标,使用漏洞扫描器、渗透测试工具集等测试工具，网络拓扑内外部，及边界等位置进行测试,根据具体测评指标结合到测评对象上，构成具体测评单元,测评人员测评活动的具体指导，为测评工具、测评方法、操作步奏的详细描述,项目概述、测评对象、测评指标、测评工具的接入点、单项测试实施、系统测评实施以及配套的测评实施手册等,系统定级,备案,安全建设整改,等级测评,监督检查,.,51,等级保护实施流程,系统定级,备案,安全建设整改,等级测评,监督检查,测评实施准备,现场测试结果记录,结果确认和资料归还,访谈文档审查配置检查工具测试实地查看,召开测评现场首次会议，接收测评工作，交流测评信息测评双方现场确认测评所需的各种资源被测单位签署现场测评授权委托书,召开测评现场结束会，确认测评过程的问题，对漏掉的和改进的信息进一步验证和补充测评归还测评过程中借阅的所有文档资料，并由被测单位文档资料提供者签字确认,.,52,等级保护实施流程,单项测评结果判定,单项测评结果汇总,系统整体测评分析,综合测评结论形成,测评报告编制,结合具体测评对象，客观、准确的分析测评证据，形成初步单项测评结果，是形成等级测评结论的基础,分别统计不同测评对象的单项测评结果，并以表格的形式逐一列出,针对单项测评的不符合项，采取逐条判定的方法，从安全控制间、层面间和区域间触发考虑，给出系统整体测评的具体结果和结论，并对系统结构进行整体安全测评,在单项测评结果汇总分析和系统整体测评分析的基础上，找出系统保护现状与等级保护基本要求之间的差距，并形成等级测评结论,结果汇总分析、系统整体测评分析、综合结论、改进建议和附录等,系统定级,备案,安全建设整改,等级测评,