信息安全等级保护标准体系概述课件

信息安全等级保护标准体系概述目录信息安全等级保护标准体系信息安全等级保护工作使用的主要标准管理办法实施指南定级指南基本要求测评要求目录信息安全等级保护标准体系信息安全等级保护工作使用的主要标准管理办法实施指南定级指南基本要求测评要求等级保护标准体系多年来，在有关部门支持下，在国内有关专家、企业的共同努力下，全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准，形成了比较完整的信息安全等级保护标准体系。汇集成《信息安全等级保护标准汇编》供有关单位、部门使用。

在安全建设整改工作中的作用等级保护有关标准等级保护标准体系信息安全等级保护标准体系由等级保护工作过程中所需的所有标准组成，整个标准体系可以从多个角度分析从基本分类角度看基础类标准技术类标准管理类标准从对象角度看基础标准系统标准产品标准安全服务标准安全事件标准等等级保护标准体系从等级保护生命周期看通用基础标准系统定级用标准安全建设用标准等级测评用标准运行维护用标准等等级保护主要工作一是：定级备案二是：建设整改三是：等级测评四是：监督检查等级保护工作中用到的主要标准（一）基础、《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护实施指南》（二）系统定级环节、《信息系统安全保护等级定级指南》（三）建设整改环节、《信息系统安全等级保护基本要求》（四）等级测评环节、《信息系统安全等级保护测评要求》(国标报批稿)、《信息系统安全等级保护测评过程指南》(国标报批稿)小结等级保护主要政策和标准《信息安全等级保护管理办法》（公通字[]号，以下简称《管理办法》）《计算机信息安全保护等级划分准则》（，简称《划分准则》）《信息系统安全等级保护实施指南》（简称《实施指南》）《信息系统安全保护等级定级指南》（，简称《定级指南》）《信息系统安全等级保护基本要求》（，简称《基本要求》）《信息系统安全等级保护测评要求》（简称《测评要求》）《信息系统安全等级保护测评过程指南》（简称《测评过程指南》）目录信息安全等级保护制度要干什么信息安全等级保护工作使用的主要标准管理办法实施指南定级指南基本要求测评要求具体做法等级确定及备案自查及等级测评等级保护运行及管理基本要求，实施指南、安全产品标准定级指南、实施指南监督管理要求、基本要求、测评要求基本要求，定级指南、实施指南，设计规范、测评要求安全规划及设计安全建设及实现监督管理要求实施指南标准定位和关系管理办法(文件)（总要求）实施指南（）定级指南（）基本要求（）测评要求建设指南目录信息安全等级保护制度要干什么信息安全等级保护工作使用的主要标准管理办法实施指南定级指南基本要求测评要求管理办法《管理办法》第八条:信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理。管理办法《管理办法》第九条:信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。管理办法《管理办法》第十条:信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。管理办法《管理办法》第十二条:在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》（）、《信息系统安全等级保护基本要求》等技术标准，参照……等技术标准同步建设符合该等级要求的信息安全设施。管理办法《管理办法》第十三条:运营、使用单位应当参照《信息安全技术信息系统安全管理要求》（）、《信息安全技术信息系统安全工程管理要求》（）、《信息系统安全等级保护基本要求》等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。管理办法《管理办法》第十四条:信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。目录信息安全等级保护制度要干什么信息安全等级保护工作使用的主要标准管理办法实施指南定级指南基本要求测评要求实施指南介绍和描述了实施信息系统等级保护过程中涉及的阶段、过程和需要完成的活动，通过对过程和活动的介绍，使大家了解对信息系统实施等级保护的流程方法，以及不同的角色在不同阶段的作用等。实施指南等级变更局部调整信息系统定级总体安全规划安全设计及实施安全运行维护信息系统终止实施指南的主要思路以信息系统安全等级保护建设为主要线索，定义信息系统等级保护实施的主要阶段和过程对每个阶段介绍和描述主要的过程和实施活动对每个活动说明实施主体、主要活动内容和输入输出等实施指南标准的结构正文由个章节个附录构成.范围.规范性引用文件术语定义.等级保护实施概述.信息系统定级.总体安全规划.安全设计实施.安全运行维护.信息系统终止附录主要过程及其输出实施指南中的主要概念阶段过程主要活动子活动活动输入活动输出实施指南特点阶段过程活动子活动例如:信息系统定级信息系统分析系统识别和描绘识别信息系统的基本信息识别信息系统的管理框架…信息系统划分系统定级阶段实施流程主要输入主要输出过程系统立项文档系统建设文档系统管理文档信息系统分析系统总体描述文件系统详细描述文件安全保护等级确定系统总体描述文件系统详细描述文件系统安全保护等级定级建议书目录信息安全等级保护制度要干什么信息安全等级保护工作使用的主要标准管理办法实施指南定级指南基本要求测评要求定级指南安全保护等级等级的确定是不依赖于安全保护措施的，具有一定的“客观性”，即该系统在存在之初便由其自身所实现的使命决定了它的安全保护等级，而非由“后天”的安全保护措施决定。<定级指南>标准的结构正文由个章节构成.范围.规范性引用文件.术语定义.定级原理.定级方法.级别变更<定级指南>定级原理五个等级的定义第一级,信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。<定级指南>定级原理受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级<定级指南>定级方法确定定级对象；确定业务信息安全受到破坏时所侵害的客体；综合评定业务信息安全被破坏对客体的侵害程度；得到业务信息安全等级；确定系统服务安全受到破坏时所侵害的客体；综合评定系统服务安全被破坏对客体的侵害程度；得到系统服务安全等级；由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。可能的系统级别第一级第二级，，第三级，，，，第四级，，，，，，目录信息安全等级保护制度要干什么信息安全等级保护工作使用的主要标准管理办法实施指南定级指南基本要求测评要求标准背景年，号文件进一步明确信息安全等级保护制度年，号文件要求“尽快制定、完善法律法规和标准体系”编制历程年月，接受公安部的标准编制任务年月，完成初稿，广泛征求安全领域专家和行业用户意见；年月，征求意见稿第一稿，国信办、安标委评审年月，征求意见稿第三稿年月，试点工作年月，征求意见稿第四稿，安标委专家评审年月，形成报批稿年月日，正式发布，年月日正式实施。37标准定位的细化和发展吸收安全机制并扩展到不同层面增加安全管理方面的内容借鉴、、关注可操作性最佳实践当前技术的发展机制要求（目标要求）38信息系统安全等级保护基本要求计算机信息系统安全保护等级划分准则（）信息系统通用安全技术要求信息系统物理安全技术要求技术类其他技术类标准信息系统安全管理要求信息系统安全工程管理要求其他管理类标准信息系统安全等级保护定级指南信息系统安全等级保护基本要求的行业细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求管理类产品类数据库管理系统安全技术要求其他产品类标准信息系统安全等级保护行业定级细则操作系统安全技术要求信息系统安全等级保护建设整改网络基础安全技术要求网络和终端设备隔离部件技术要求安全定级基线要求状态分析方法指导信息系统安全等级保护实施指南等级保护有关标准在安全建设整改工作中的作用39及其他标准的关系是基础性标准，《基本要求》基础上的进一步细化和扩展。《定级指南》确定出系统等级以及业务信息安全性等级和业务服务保证性等级后，需要按照相应等级，根据《基本要求》选择相应等级的安全保护要求进行系统建设实施。《测评要求》是依据《基本要求》检验系统的各项保护措施是否达到相应等级的基本要求所规定的保护能力。40标准适用范围用户范围信息系统的主管部门及运营使用单位测评机构安全服务机构（系统集成商，软件开发商）信息安全监管职能部门适用环节需求分析方案设计、系统建设及验收运行维护、等级测评、自查41标准的编制思路门槛合理对每个级别的信息系统安全要求设置合理，按照基本要求建设后，确实达到期望的安全保护能力内容完整综合技术、管理各个方面的要求，安全要求内容考虑全面、完整，覆盖信息系统生命周期便于使用安全要求分类方式合理，便于安全保护、检测评估、监督检查实施各方的灵活使用42描述模型不同级别信息系统不同级别安全威胁不同级别能力目标不同级别基本要求系统重要程度不同应对43基本安全保护能力对抗能力和恢复能力共同构成了信息系统的安全保护能力。安全保护能力主要表现为信息系统应对威胁的能力，称为对抗能力，但当信息系统无法阻挡威胁对自身的破坏时，信息系统的恢复能力使系统在一定时间内恢复到原有状态，从而降低负面影响。44能力目标第一级安全保护能力应具有能够对抗来自个人的、拥有很少资源（如利用公开可获取的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度弱、持续时间很短、系统局部范围等）、以及其他相当危害程度的威胁所造成的关键资源损害，并在威胁发生后，能够恢复部分功能。45能力目标第二级安全保护能力应具有能够对抗来自小型组织的（如自发的三两人组成的黑客组织）、拥有少量资源（如个别人员能力、公开可获或特定开发的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度一般、持续时间短、覆盖范围小（局部性）等）、以及其他相当危害程度（无意失误、设备故障等）的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。46能力目标第三级安全保护能力应具有能够对抗来自大型的、有组织的团体（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严重的自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较广（地区性）等）以及其他相当危害程度（内部人员的恶意威胁、设备的较严重故障等）威胁的能力，并在威胁发生后，能够较快恢复绝大部分功能。47能力目标第四级安全保护能力应具有能够对抗来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难（灾难发生的强度大、持续时间长、覆盖范围广（多地区性）等）以及其他相当危害程度（内部人员的恶意威胁、设备的严重故障等）威胁的能力，并在威胁发生后，能够迅速恢复所有功能。48描述模型一级系统二级系统三级系统防护防护检测策略防护检测恢复策略防护检测恢复响应四级系统技术要求特点49描述模型一级系统二级系统三级系统四级系统管理要求特点一般执行（部分活动建制度）计划实施（主要过程建制度）统一策略（管理制度体系化）持续改进（管理制度体系化验证改进）50描述模型一级系统二级系统三级系统四级系统覆盖范围特点通信边界（关键资源）通信边界内部（重要设备）通信边界内部（主要设备）通信边界内部基础设施（所有设备）51描述结构某级系统类技术要求管理要求基本要求类控制点要求项控制点要求项………………………………52安全类物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全及备份恢复安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理类53示例第三级基本要求技术要求物理安全物理位置的选择本项要求包括)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。。。。。。。类要求项控制点54控制点标注业务信息安全相关要求（标记为）系统服务保证相关要求（标记为）通用安全保护要求（标记为）技术要求（种标注）管理要求（统属）55描述模型业务信息安全相关要求（）电磁防护访问控制数据完整性数据保密性系统服务保证相关要求（）电力供应软件容错备份及恢复资源控制通用安全保护要求（）管理要求和大部分技术要求56逐级增强的特点控制点增加要求项增加要求项增强范围增大要求细化要求粒度细化逐级增强的特点控制点增加三级基本要求：在二级基本要求的基础上，技术方面，在控制点上增加了网络恶意代码防范、剩余信息保护、软件容错、抗抵赖等。管理方面，增加了系统备案、安全测评、监控管理和安全管理中心等控制点。四级基本要求：在三级基本要求的基础上，技术方面，在系统和应用层面控制点上增加了安全标记、可信路径，不同级别系统控制点的差异汇总安全要求类类层面一级二级三级四级技术要求物理安全网络安全主机安全应用安全数据安全及备份恢复管理要求安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理合计级差逐级增强的特点要求项增加要求项增多，如，对“身份鉴别”，一级要求“进行身份标识和鉴别”，二级增加要求“口令复杂度、登录失败保护等”；而三级则要求“采用两种或两种以上组合的鉴别技术”。项目增加，要求增强。不同级别系统要求项的差异汇总安全要求类层面一级二级三级四级技术要求物理安全网络安全主机安全应用安全数据安全及备份恢复管理要求安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理合计级差逐级增强的特点要求项增强范围增大，如，对物理安全的“防静电”，二级只要求“关键设备应采用必要的接地防静电措施”；而三级则在对象的范围上发生了变化，为“主要设备应采用必要的接地防静电措施”。范围的扩大，表明了该要求项强度的增强。。逐级增强的特点要求项增强要求细化：如，人员安全管理中的“安全意识教育和培训”，二级要求“应制定安全教育和培训计划，对信息安全基础知识、岗位操作规程等进行培训”，而三级在对培训计划进行了进一步的细化，为“应针对不同岗位制定不同培训计划”，培训计划有了针对性，更符合各个岗位人员的实际需要。逐级增强的特点要求项增强粒度细化：如，网络安全中的“访问控制”，二级要求“控制粒度为网段级”，而三级要求则将控制粒度细化，为“控制粒度为端口级”。由“网段级”到“端口级”，粒度上的细化，同样也增强了要求的强度。《基本要求》文档结构由个章节个附录构成.适用范围.规范性引用文件.术语定义.信息系统安全等级保护概述五个等级的基本要求附录关于信息系统整体安全保护能力的要求附录基本安全要求的选择和使用65各级的要求物理安全物理位置选择物理安全物理访问控制防盗窃和防破坏防雷击防火防水和防潮电力供应电磁防护防静电温湿度控制66等级要求物理安全物理安全要求主要由机房（包括主、辅机房、介质存放间等）所部署的设备设施和采取的安全技术措施两方面提供的功能来满足。部分物理安全要求涉及到终端所在的办公场地。控制点一级二级三级四级物理位置的选择***物理访问控制****防盗窃和防破坏****防雷击****防火****防水和防潮****防静电***温湿度控制****电力供应****电磁防护***合计各级的要求网络安全网络安全结构安全网络访问控制网络安全审计边界完整性检查网络入侵检测恶意代码防护网络设备防护69等级要求网络安全网络安全要求中对广域网络、城域网络等通信网络的要求由构成通信网络的网络设备、安全设备等的网络管理机制提供的功能来满足。对局域网安全的要求主要通过采用、防火墙、入侵检测系统、恶意代码防范系统、安全管理中心等设备提供的安全功能来满足。控制点一级二级三级四级结构安全（）****访问控制（）****安全审计（）***边界完整性检查（）***入侵防范（）***恶意代码防范（）**网络设备防护（）****合计各级的要求主机安全主机安全身份鉴别访问控制可信路径安全审计剩余信息保护入侵防范恶意代码防范资源控制安全标记72等级要求主机安全主机包括应用服务器、数据库服务器、安全软件所安装的服务器及管理终端、业务终端、办公终端等。主机安全要求通过操作系统、数据库管理系统及其他安全软件（包括防病毒、防入侵、木马检测等软件）实现的安全功能来满足。控制点一级二级三级四级身份鉴别（）****安全标记（）*访问控制（）****可信路径（）*安全审计（）***剩余信息保护（）**入侵防范（）****恶意代码防范（）****资源控制（）***合计各级的要求应用安全应用安全身份鉴别访问控制通信完整性通信保密性安全审计剩余信息保护抗抵赖软件容错资源控制代码安全75等级要求应用安全应用安全要求通过应用系统、应用平台系统等实现的安全功能来满足。如果应用系统是多层结构的，一般不同层的应用都需要实现同样强度的身份鉴别、访问控制、安全审计、剩余信息保护及资源控制等。通信保密性、完整性一般在一个层面实现。各级的要求数据安全及备份和恢复数据安全数据完整性数据保密性备份和恢复77控制点一级二级三级四级数据完整性****数据保密性***备份和恢复****合计78各级的要求安全管理管理要求安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理79各级的要求安全管理机构岗位设置安全管理机构人员配备授权和审批沟通及合作审核和检查80控制点一级二级三级四级岗位设置****人员配备****授权和审批****沟通和合作****审核和检查***合计各级的要求安全管理制度管理制度安全管理制度制定和发布评审和修订82控制点一级二级三级四级管理制度****制定和发布****评审和修订***合计各级的要求人员安全管理人员安全管理人员录用人员离岗人员考核安全意识教育和培训外部人员访问管理84控制点一级二级三级四级人员录用****人员离岗****人员考核***安全意识教育和培训****外部人员访问管理****合计各级的要求系统建设管理系统建设管理系统定级安全方案设计产品采购自行软件开发外包软件开发工程实施测试验收系统交付安全服务商选择系统备案等级测评86控制点一级二级三级四级系统定级****安全方案设计****产品采购和使用****自行软件开发****外包软件开发****工程实施****测试验收****系统交付****系统备案***等级测评**安全服务商选择****合计各级的要求系统运维管理系统运维管理环境管理资产管理设备管理介质管理监控管理和管理中网络安全管