信息系统安全等级保护[共36页]

1、信息系统安全等级保护 内 容 u等级保护简介 u等级保护定级与备案 u等级保护解决方案 u等级保护测评 什么是等级保护 信息安全等级保护是指：对国家秘密信息、法人和其他组织及公民的专有信 息、公开信息分类分级进行管理和保护； 根据信息系统应用业务重要程度及其实际安全需求，实行分级、分类、分 阶段实施保护，保障信息安全和系统安全正常运行，维护国家利益、公共利 益和社会稳定。 等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准 进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范 逐级加强监管力度。突出重点，保障重要信息资源和重要信息系统的安全。 国家对信息安全保障的政

2、策演变 国家信息化领导小组关于加强信息安全保障工作的意见 （中办发（2003）27号文） 等级保护系列标准规范 关于开展全国重要信息系统安全等级保 护定级工作通知（公信安【2007】861 号） 信息系统安全保护等级保护定级指南 关于信息安全等级保护工作的实施意见 （2004 66号） 信息安全等级保护管理办法（2007 43号） 信息系统安全等级保护实施指南 信息系统安全等级保护基本要求 信息系统安全等级保护测评要求 信息系统安全等级保护监督检查要求 分级保护系列标准规范 涉及国家秘密的计算机信息系统分级保 护技术要求BMB17-2006 涉及国家秘密计算机信息系统安全保密 方案设计指南 B

3、MB23-2008 涉及国家秘密计算机信息系统分级保护 管理规范BMB20-2007 涉及国家秘密的信息系统分级保护测评 指南BMB222007 涉及国家秘密计算机信息系统分级保护 管理办法 国家保密局16号 非涉密信息系统安全保障建设 指南 涉密信息系统安全保障建设 指南 等级保护标准规范 等级保护的主要工作流程 自主定级和审批 评审 备案 系统建设 等级测评 监督检查 -信息系统运营使用单位按照等级保护管理办法和信息系统安全等级保护定级指南，确定信 息系统的安全保护等级。有上级主管部门的，应当经上级主管部门审核批准。跨省或者全国统一 联网运行的信息系统可以由其主管部门统一确定安全保护等级。

4、 -在信息系统确定安全保护等级过程中，可以进行必要的业务和技术评估，组织专家进行咨询评 审。对拟确定为第四级以上的信息系统的运营、使用单位或主管部门应当邀请国家信息安全等级 保护专家评审委员会评审。 -第二级以上信息系统由其运营使用单位到所在地设区的市级以上公安机关办理备案手续。隶属 于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部 门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统， 应当向当地设区的市级以上公安机关备案。 -信息系统的安全保护等级确定后，运营使用单位应当按照国家信息安全等级保护管理规范和划 分准则、基本要

5、求、操作系统、数据库、网络、服务器、终端等技术要求，使用符合本系统安全 保护等级要求的信息安全产品，同步建设符合本系统安全保护等级要求的信息安全设施。运营使 用单位应当按照安全管理要求、安全工程管理要求等管理规范，建立安全组织，制定并落实符合 本系统安全保护等级的安全管理制度。 -信息系统建设完成后，运营使用单位应当选择符合本系统安全保护等级要求的检测机构，依据 信息系统安全等级保护测评指南等技术标准对信息系统安全等级状况开展技术评测。三级信 息系统应当每年至少进行一次等级测评；四级信息系统应当每半年至少进行一次等级测评；五级 信息系统应当依据特殊安全需求进行等级测评。 -受理备案的公安机关应

6、当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工 作情况进行检查。三级信息系统每年至少检查一次，四级信息系统每半年至少检查一次。对跨省 或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。 内 容 u等级保护简介 u等级保护定级与备案 u等级保护解决方案 u等级保护测评 安全保护等级的划分 1）用户自主保护级 公民、法人和其它组织的合法权益：损害，国家安全、社会秩序和公 共利益：不损害 2）系统审计保护级 公民、法人和其它组织的合法权益：损害，社会秩序和公共利益：损 害，国家安全：不损害 3）安全标记保护级 社会秩序和公共利益：严重损害，国家安全：损害 4）结构化保护级

7、 社会秩序和公共利益：特别严重损害，国家安全：严重损害 5）访问验证保护级 国家安全：特别严重损害 定级要素与等级的关系 受侵害的客体 对客体的侵害程度 一般损害 严重损害特别严重损害 公民、法人和其他 组织的合法权益 第一级第二级第二级 社会秩序、公共利 益 第二级第三级第四级 国家安全第三级第四级第五级 确定等级流程 业务信息安全保护等级矩阵表 系统服务安全保护等级矩阵表 系统安全保护等级矩阵表 确定定级对象： 具有唯一确定的安全责任单位；满足信息系统的基本要素；承载相对独立的业务应用 等级保护要求的组合 安全保护等级定级参考 1）一级，小型私营、个体企业、中小学，乡镇所属信息系统，县级单

8、位一般的信息系统 2）二级，县级某些单位重要信息系统；地市级以上国家机关、企事业单位内部一般信息系统 （例如非涉及工作、商业秘密，敏感信息的办公系统和管理系统） 3）三级，地市级以上国家机关、企事业单位内部重要信息系统（例如涉及工作、商业秘密， 敏感信息的办公系统和管理系统）。跨省或全国联网运行的用于生产、调度、管理、控制等 方面的重要系统及在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站 4）四级，国家重要领域、重要部门中的特别重要系统以及核心系统，电力、电信、广电、税 务等 5）五级，国家重要领域、重要部门中的极端重要系统 系统定级和备案流程 系统定级 定级报告 备案表 其

9、它材料 专家评审 专家评审 系统定级 专家建议 申报网安 提交申报 材料 网安审核 10工作 日内网安 完成审核 领取备案书 领取备案 书 准备等级 测评 系统备案 系统备案 14 需 要 准 备 的 材 料 2级 信息系统安全等级保护备案表 信息系统安全等级保护定级报 告 网络与信息安全承诺书 XX单位信息系统等级保护联系 表 工商营业执照(或执业许可证、事 业单位证书、非盈利性机构证书 等许可证明)+法人代表身份证+ 组织机构代码证（如三证合一， 省略） 3级 信息系统安全等级保护备案表 信息系统安全等级保护定级报 告 网络与信息安全承诺书 XX单位信息系统等级保护联系 表 工商营业执照+

10、法人代表身份证+ 组织机构代码证（如三证合一， 省略） 信息系统安全等级保护备案表 表四涉及的材料扫描件 系统备案 信息系统安全等级保护备案表表四涉及的材料扫描件： p系统拓扑结构及说明 p系统安全组织机构及管理制度 p系统安全保护设施设计实施方案或改建实施方案 p系统使用的安全产品清单及认证、销售许可证明 p系统等级测评报告 p专家评审情况 p上级主管部门审批意见 内 容 u等级保护简介 u等级保护定级与备案 u等级保护解决方案 u等级保护测评 安全保障体系模型 安全等级保护 技术安全要求 管理安全要求 差距分析 等级保护差距分析 以信息系统为单位 以基本要求为依据 业务信息与系统服务关联分

11、析 -根据系统所确定的安全等级从基本 要求中选择相应等级的基本安全需求 -根据系统所面临的威胁特点调整安全 要求，去掉不适用项 -基本要求中某些地 方的安全措施不能满足 本单位信息系统的保护 要求；没有提供所需要 的保护措施 -对比信息系统现状 和安全要求之间的差距， 确定不满足要求的安全 项 1、确定信息系统的基本安全需求2、选择调整基本安全需求 3、明确特殊安全需求4、根据各项安全要求进行逐项分析 确定不符合安全项现状梳理明确安全建设需求 123 等级保护设计方案 安全技术体系设计安全技术体系设计 物理安全设计 网络安全设计 主机安全设计 应用安全设计 数据安全设计 安全管理设计 安全管理

12、体系设计安全管理体系设计 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 安全服务保障设计安全服务保障设计 风险评估 安全加固 安全巡检 应急响应 安全培训 等级保护设计 安全的网络结构 安全的边界防护 安全的计算环境 网络和基础设施保护 1 -关键网络设备进行安全加固 2 -采用双核心设计，确保网络的 容错能力；并通过核心交换机执 行QOS，保障关键应用的资源 3 -配置网络设备的日志审计， 并通过统一的网络日志审计平 台实现集中记录，同时也作为 安全管理平台的分析依据。 区域边界保护 区域边界保护 保护计算环境 保护计算环境 实现集中安全管理 落实安全管理措施 三级系

13、统安全管理措施 - 建立全面的安全管理制度，并安排专人负责并监控执行情况； - 建立全面的人员管理体系，制定严格的考核标准 - 建设过程的各项活动都要求进行制度化规范，按照制度要求进行 活动的开展 - 实现严格的保密性管理 - 成立安全运维小组，对安全维护的责任落实到具体的人 - 引入第三方专业安全服务 内 容 u等级保护简介 u等级保护定级与备案 u等级保护解决方案 u等级保护测评 测评依据 u 中华人民共和国计算机信息系统安全保护条例（国务院147号令） u 信息安全等级保护管理办法（公通字200743号） u GB 17859-1999计算机信息系统安全保护等级划分准则 u GB/T 2

14、2239-2008 信息安全技术 信息系统安全等级保护基本要求 u GB/T 28448-2012信息安全技术 信息系统安全等级保护测评要求 u GB/T 28449-2012信息安全技术 信息系统安全等级保护测评过程指南 u 信息安全等级保护测评报告模版（2015年版）（公信安20142866号） u 信息系统安全等级测评合同 测评方法 测评过程 信息收集 工具和表单 测评准备 确定对象和指 标 开发指导书 方案编制 测评实施 结果记录 问题确认 现场测评 整改后验证 问题验证 整体测评 风险分析 报告编制 需配合事项 测评开始前请提前备份重要数据、程序、配置文件等，保证测评完成后能够恢复系统的正常运行 测评过程中需要相应方面的管理/技术人员全程配合，为避免不必要的风险，请配合人员亲自操作，协助完成测