三级等保培训省名师优质课获奖课件市赛课一等奖课件

三级等保系统整改处理方案第1页第一级自主保护级

主要对象为普通信息系统，其业务信息安全性或业务服务确保性受到破坏后，会对公民、法人和其它组织正当权益产生损害，但不损害国家安全、社会秩序和公共利益；本级系统依照国家管理规范和技术标准进行自主保护。第二级为指导保护级

主要对象为普通信息系统，其业务信息安全性或业务服务确保性受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全；本级系统依照国家管理规范和技术标准进行自主保护，必要时，信息安全监管职能部门对其进行指导。第三级为监督保护级

主要对象为包括国家安全、社会秩序和公共利益主要信息系统，其业务信息安全性或业务服务确保性受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害；本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检验。等级保护－－概念第2页第四级为强制保护级

主要对象为包括国家安全、社会秩序和公共利益主要信息系统，其业务信息安全性或业务服务确保性受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害；本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检验。第五级为专控保护级

主要对象为包括国家安全、社会秩序和公共利益主要信息系统关键子系统，其业务信息安全性或业务服务确保性受到破坏后，会对国家安全、社会秩序和公共利益造成尤其严重损害；本级系统依照国家管理规范和技术标准进行自主保护，国家指定专门部门、专门机构进行专门监督、检验。等级保护－－概念第3页等级保护－－定级信息系统定级主要考虑两方面，一是业务信息受到破坏客体是谁，二是对客体侵害程度怎样。两方面结合起来依据下表制订信息系统应该定位第几级。第4页Before《中华人民共和国计算机信息系统安全保护条例》（1994年国务院147号令）《国家信息化领导小组关于加强信息安全保障工作意见》（中办发[]27号）《关于信息安全等级保护工作实施意见》（公通字[]66号）《信息安全等级保护管理方法》（公通字[]43号）《关于开展全国主要信息系统安全等级保护定级工作通知》（公信安[]861号）－－－上海市：沪公发[]319号《上海市迎世博信息安全保障两年行动计划》《年信息安全等级保护工作内容及详细要求》（公信安[]232号）《关于组织开展年度本市主要信息系统等级保护工作通知》

（沪公发[]187号）－－－沪公发[]173号、沪密局[]39号、。。。等级保护－－政策推进过程第5页基础类《计算机信息系统安全保护等级划分准则》GB17859-1999《信息系统安全等级保护实施指南》GB/TCCCC-CCCC报批稿

应用类定级：《信息系统安全保护等级定级指南》GB/T22240-建设：《信息系统安全等级保护基本要求》GB/T22239-

《信息系统通用安全技术要求》GB/T20271-《信息系统等级保护安全设计技术要求》测评：《信息系统安全等级保护测评要求》GB/TDDDD-DDDD报批稿

《信息系统安全等级保护测评过程指南》管理：《信息系统安全管理要求》GB/T20269-《信息系统安全工程管理要求》GB/T20282-等级保护－－十大关键标准第6页等级保护－－完全实施过程信息系统定级安全总体规划安全设计与实施安全运行维护信息系统终止安全等级测评信息系统立案安全整改设计等级符合性检验应急预案及演练安全要求整改安全等级整改局部调整等级变更第7页能力、办法和要求安全保护能力基本安全要求等保3级信息系统基本技术办法基本管理办法具备包含包含满足满足实现第8页等级保护基本安全要求某级系统物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理第9页三级系统控制类及控制项指标类技术/管理层面类数量项数量S类(3级)A类(3级)G类(3级)小计小计安全技术物理安全1181032网络安全106733主机安全313732应用安全522931数据安全21038安全管理安全管理制度N/A311安全管理机构520人员安全管理516系统建设管理1145系统运维管理1360合计73（类）290（项）第10页三级系统安全保护要求—物理安全物理安全主要包括方面包含环境安全（防火、防水、防雷击等）设备和介质防偷窃防破坏等方面。物理安全详细包含：10个控制点物理位置选择（G）、物理访问控制（G）、防偷窃和防破坏（G）、防雷击（G)、防火（G）、防水和防潮（G）、防静电（G）、温湿度控制（G）、电力供给（A）、电磁防护（S）第11页物理位置选择基本防护能力高层、地下室物理访问控制基本出入控制分区域管理在机房中活动电子门禁防偷窃和防破坏存放位置、标识标识监控报警系统防雷击建筑防雷、机房接地设备防雷防火灭火设备、自动报警自动消防系统区域隔离办法防静电关键设备主要设备防静电地板电力供给稳定电压、短期供给主要设备冗余/并行线路备用供电系统电磁防护线缆隔离接地防干扰电磁屏蔽防水和防潮温湿度控制物理安全整改关键点第12页物理位置选择物理访问控制防偷窃和防破坏防雷击、防火、防水和防潮、防静电、温湿度控制电力供给电磁防护不做硬性要求第13页三级系统安全保护要求—网络安全网络安全主要关注方面包含：网络结构、网络边界以及网络设备本身安全等。网络安全详细包含：7个控制点

结构安全(G)、访问控制(G)、安全审计(G)、边界完整性检验(A)、入侵防范(G)、恶意代码防范(G)、网络设备防护(G)第14页结构安全关键设备冗余空间主要设备冗余空间访问控制访问控制设备（用户、网段）应用层协议过滤拨号访问限制会话终止安全审计日志统计审计报表边界完整性检验内部非法联出非授权设备私自外联网络安全整改关键点子网/网段控制关键网络带宽整体网络带宽主要网段布署路由控制带宽分配优先级端口控制最大流量数及最大连接数预防地址坑骗审计统计保护定位及阻断入侵防范检测常见攻击统计、报警恶意代码防范网络边界处防范网络设备防护基本登录判别组合判别技术特权用户权限分离第15页结构安全访问控制安全审计增加违规外联检测阻断产品边界完整性检验入侵防范增加网关型防毒墙产品恶意代码防范网络设备尤其配置服务网络设备防护增加网络安全审计产品第16页三级系统安全保护要求—主机安全主机系统安全是包含服务器、终端/工作站等在内计算机设备在操作系统及数据库系统层面安全。主机安全详细包含：7个控制点身份判别(S)、访问控制(S)、安全审计(G)、剩下信息保护(S)、入侵防范(G)、恶意代码防范(G)、资源控制(A)第17页身份判别基本身份判别访问控制安全策略管理用户权限分离特权用户权限分离安全审计服务器基本运行情况审计审计报表剩下信息保护空间释放及信息去除主机安全整改关键点组合判别技术敏感标识设置及操作审计统计保护入侵防范最小安装标准主要服务器：检测、统计、报警恶意代码防范主机与网络防范产品不一样资源控制监视主要服务器最小服务水平检测及报警主要客户端审计升级服务器主要程序完整性防恶意代码软件、代码库统一管理对用户会话数及终端登录限制第18页身份判别访问控制安全审计增加身份认证系统剩下信息保护入侵防范访问控制策略配置服务比较超前较难实现主机入侵防范策略配置服务恶意代码防范资源控制网管软件和主机配置服务第19页三级系统安全保护要求—应用安全应用系统安全就是保护系统各种应用程序安全运行。包含基本应用，如：消息发送、web浏览等；业务应用，如：电子商务、电子政务等。应用安全详细包含：9个控制点身份判别（S）、访问控制（S）、安全审计（G）、剩下信息保护（S）、通信完整性（S）、通信保密性（S）、抗抵赖（G）、软件容错（A）、资源控制（A）第20页身份判别基本身份判别访问控制安全策略最小授权标准安全审计运行情况审计（用户级）审计报表剩下信息保护空间释放及信息去除应用安全整改关键点组合判别技术敏感标识设置及操作审计过程保护通信完整性校验码技术密码技术软件容错自动保护功效资源控制资源分配限制、资源分配优先级最小服务水平检测及报警数据有效性检验、部分运行保护对用户会话数及系统最大并发会话数限制审计统计保护通信保密性初始化验证整个报文及会话过程加密敏感信息加密抗抵赖第21页身份判别访问控制安全审计应用软件本身配置或升级剩下信息保护通信完整性访问控制策略配置服务通信保密性抗抵赖软件容错资源控制系统审计配置服务比较超前较难实现增加通讯加密伎俩建立统一CA中心比较超前较难实现可经过配置服务到达部分要求第22页三级系统安全保护要求—数据安全与备份恢复数据安全主要是保护用户数据、系统数据、业务数据保护。将对数据造成损害降至最小。备份恢复也是预防数据被破坏后无法恢复主要伎俩，主要包含数据备份、硬件冗余和异地实时备份。数据安全和备份恢复详细包含：3个控制点

数据完整性（S）、数据保密性（S）、备份和恢复（A）第23页数据完整性判别数据传输完整性备份和恢复主要数据备份数据安全及备份恢复整改关键点各类数据传输及存放异地备份网络冗余、硬件冗余当地完全备份硬件冗余检测和恢复数据保密性判别数据存放保密性各类数据传输及存放天天1次备份介质场外存放第24页数据完整性数据保密性备份与恢复建立统一CA中心增加通讯加密伎俩仅世博相关单位第25页管理要求方面整改管理制度管理机构人员管理系统建设管理系统运维管理环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理信息系统第26页26三级系统安全保护要求—安全管理制度安全管理制度包含信息安全工作总体方针、策略、规范各种安全管理活动管理制度以及管理人员或操作人员日常操作操作规程。安全管理制度详细包含：3个控制点

管理制度、制订和公布、评审和修订整改关键点：形成信息安全管理制度体系、统一公布、定时修订等第27页三级系统安全保护要求—安全管理机构安全管理机构主要是在单位内部结构上建立一整套从单位最高管理层（董事会）到执行管理层以及业务运行层管理结构来约束和确保各项安全管理办法执行。安全管理机构详细包含：5个控制点岗位设置、人员配置、授权和审批、沟通和合作、审核和检验整改关键点：信息安全领导小组与职能部门、专职安全员、定时全方面安全检验、定时协调会议、外部沟通与合作等第28页三级系统安全保护要求—人员安全管理对人员安全管理，主要包括两方面：对内部人员安全管理和对外部人员安全管理。人员安全管理详细包含：5个控制点人员录用、人员离岗、人员考评、安全意识教育及培训、外部人员访问管理整改关键点：全员保密协议、关键岗位人员管理、针对不一样岗位培训计划、外部人员访问管理第29页三级系统安全保护要求—系统建设管理系统建设管理分别从定级、设计建设实施