信息安全等级保护

等级保张泽军护目录

CONTENTS一、等级保护背景二、等级保护要点三、等级保护（技术&管理）等级保护背景信息安全作用和战略意义信息安全保护发展历史我国重要的信息安全保护标准信息安全作用和战略意义威胁事件2012.7雅虎服务器被黑45万用户信息泄露2013.10慧达驿站软件漏洞导致连锁酒店数据库被拖库2000万条开房记录泄露2018.3

facebook数据外泄，被欧美等国问责调查，市值蒸发360亿美元英国多家银行被“特洛伊木马”病毒攻击，约

10亿英镑被盗2002.7首都机场因计算机故障导致6000多人滞留，150多架飞机延误2016.10美国Dyn

DNS遭到DDoS攻击，造成大量网站一度瘫痪，Twitter24小时0访问西方国家伪造“罗马尼亚国家安全部队”屠杀

群众电视画面并利用互联网和广播电视向罗马尼亚境内不间断播放，激化其国内矛盾，导致当权政权垮台作用和意义提高信息安全防护能力降低系统被各种攻击的风险保障系统正常稳定的运营避免或减少经济风险政治意义：防范敌对势力进行的政治攻击经济意义：有助于规避经济安全风险或最大限度的减少这类风险文化意义：确保自身文化安全，防止敌对文化入侵等级保护发展历史介中国等保发展历程一.前期储备阶段1994年《中华人民共和国计算机信息系统安全保护条例》法律基础1999年《计算机信息系统安全保护等级划分准则》(GB

17859-1999)等级划分二.预备阶段2004年《关于信息安全等级保护工作的实施意见》制度框架规划2006年《关于开展信息安全等级保护试点工作的通知》试点工作三.全面实施阶段2007.6《信息安全等级保护管理办法》等保的划分，实施和管理进行规定2008年《信息安全技术信息系统安全等级保护基本要求》(GB/T

22239-2008)等级评测标尺四.深化推进阶段2010.4《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》阶段性目标2010.12《关于进一步推进中央企业信息安全等级保护工作的通知》央企贯彻执行等保TCSEC、CC和GB17859-1999定级划分D:最小保护级C1:自主安全保护级C2:受控访问保护级B1:标记安全保护级B2:结构化保护级B3:安全域保护级A1:验证设计保护级TCSECGB17859-19991:自主安全保护级2:受控访问保护级3:标记安全保护级4:结构化保护级5:安全域保护级EAL1:功能性测试EAL2:结构化测试EAL3:具有方法学的测试和检查EAL4:具有方法学的设计、测试和审查EAL5:半形式化的设计和测试EAL6:半形式化验证的设计和测试EAL7:形式化验证的设计和测试CC十大重要标准基础类《计算机信息系统安全等级保护划分准则》（GB

17859-1999）《信息系统安全等级保护实施指南》（GB/T

25058-2010）应用类定级：《信息系统安全保护等级定级指南》（GB/T

22240-2008）建设：《信息系统安全等级保护基本要求》（GB/T

22239-2008）《信息系统通用安全技术要求》（GB/T

20271-2006）《信息系统等级保护安全设计技术要求》（GB/T

25070-2010）测评：《信息系统安全等级保护测评要求》（GB/T

28448-2012）《信息系统安全等级保护测评过程指南》（GB/T

28449-2012）管理：《信息系统安全管理要求》（GB/T

20269-2006）《信息系统安全工程管理要求》（GB/T

20282-2006）其它相关标准信息安全技术《信息系统物理安全技术要求》GB/T

21052-2007《网络基础安全技术要求》

GB/T

20270-2006《信息系统通用安全技术要求》GB/T

20271-2006《操作系统安全技术要求》

GB/T

20272-2006《数据库管理系统安全技术要求》GB/T

20273-2006《信息安全风险评估规范》《信息安全事件管理指南》GB/T

20984-2007GB/T

20985-2007《信息安全事件分类分级指南》GB/Z

20986-2007《信息系统灾难恢复规范》

GB/T

20988-2007等级保护标准系列逻辑关系等级保护要点保护对象：信息系统安全；客体、社会关系安全保护能力：对抗能力；恢复能力；不同等级的安全保护能力安全要求：信息安全类（S类）；服务保证类（A类）;通用安全保护类（G类）等保要点(GB/T

22239)保护对象受到破坏时受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人或其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全

第三级

第四级各安全等级信息系统保护要求组合第五级安全保护等级信息系统定级结果组合第一级S1A1G1第二级S1A2G2,S2A2G2,S2A1G2第三级S1A3G3，S2A3G3,S3A3G3,S3A2G3,S3A1G3第四级S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4第五级S1A5G5,S2A5G5,S3A5G5,S4A5G5,S5A4G5,S5A3G5,S5A2G5,S5A1G5确定业务信息&系统服务安全等级基本要求（

GB/T

22239

）控制点三级1077933551113737安全要求类层面一级二级物理安全710网络安全36主机安全46应用安全47数据安全及备份恢复23安全管理制度23安全管理机构45人员安全管理45系统检索管理99系统运维管理912—4866——18管理要求合计差级基本要求（

GB/T

22239

）控制项三级3233323181120164562290115安全要求类层面一级二级物理安全919网络安全918主机安全619应用安全719数据安全及备份恢复24安全管理制度37安全管理机构49人员安全管理711系统检索管理2028系统运维管理1841—85175——90管理要求合计差级安全策略体系等级划分准则（GB

17859—1999）等保要求(