信息安全等级保护详解

1、等级保护,信息系统安全测评,等级保护之十大标准,基础类 计算机信息系统安全保护等级划分准则GB 17859-1999 信息系统安全等级保护实施指南GB/T 25058-2010 应用类 定级：信息系统安全保护等级定级指南GB/T 22240-2008 建设：信息系统安全等级保护基本要求GB/T 22239-2008 信息系统通用安全技术要求GB/T 20271-2006 信息系统等级保护安全设计技术要求GB/T 25070-2010 测评：信息系统安全等级保护测评要求 信息系统安全等级保护测评过程指南 管理：信息系统安全管理要求GB/T 20269-2006 信息系统安全工程管理要求GB/T

2、20282-2006,3,等级保护标准系列的逻辑关系,划分准则,定级指南,基本要求,测评要求,技术设计要求,实施指南,测评过程指南,GB/T 20269 安全管理,GB/T 20270 网络基础,GB/T 20271 通用安全技术,GB/T 20272 操作系统,GB/T 20273 数据库,GB/T 20282 安全工程管理,等级保护,4,GB/T 20984 风险评估,7、系统服务安全等级,等级保护定级指南GB/T 22240,等级保护定级方法,保护对象,对客体的侵害程度,客体：社会关系,受侵害的客体,信息系统安全,系统服务安全,业务信息安全,3、综合评定对客体的侵害程度,2、确定业务信息

3、安全受到破坏时所侵害的客体,6、综合评定对客体的侵害程度,5、确定系统服务安全受到破坏时所侵害的客体,4、业务信息安全等级,8、定级对象的安全保护等级 8MAX（4，7）,1、确定定级对象（系统边界）,一般流程,等级确定,5,基本保护要求（最低）,保护能力,对抗能力恢复能力,技术要求管理要求,物理、网络、主机、应用、数据,制度、机构、人员、建设、运维,纵深防御、互补关联、强度一致、 平台统一、集中安管,业务信息安全类要求 S,系统服务保证类要求 A,通用安全保护类要求 G,整体安全保护能力,关键控制点,安全类,具体要求项,控制强度,基本要求GB/T 22239,基本保护要求（最低）,保护能力,

4、对抗能力恢复能力,物理、网络、主机、应用、数据,制度、机构、人员、建设、运维,纵深防御、互补关联、强度一致、 平台统一、集中安管,通用安全保护类要求 G,关键控制点,安全类,控制点,基本要求GB/T 22239,控制项,8,基本要求GB/T 22239,等级保护相关的 主要方法,安全域 （第3级）,安全域 （第2级）,监督保护级网络,安全域 （第3级）,安全域 （第2级）,安全域 （第2级）, 禁止高敏感级信息由高等级安全域流向低等级安全域,分域分级防护示意,主要防护措施,防火墙系统 隔离与交换系统 网络入侵防御系统 主页防篡改系统 防病毒网关 抗DDos系统 VPN网关 安全认证网关 主机、

5、服务器安全加固 文件安全系统 电子邮件安全等等,安全管理平台,主机监控与审计系统 网络安全审计系统 综合安全管理平台 数字证书颁发和管理平台 。,各级安全管理中心对管辖网络实施安全集中管理。,等级保护要求 （技术&管理）,物理位置的选择,基本防护能力,高层、地下室,物理访问控制,基本出入控制,分区域管理,在机房中的活动,电子门禁,防盗窃和防破坏,存放位置、标记标识,监控报警系统,防雷击,建筑防雷、机房接地,设备防雷,防火,灭火设备、自动报警,自动消防系统,区域隔离措施,防静电,关键设备,主要设备,防静电地板,电力供应,稳定电压、短期供应,主要设备,冗余/并行线路,备用供电系统,电磁防护,线缆隔

6、离,接地防干扰,电磁屏蔽,防水和防潮,温湿度控制,物理安全的整改要点,结构安全,关键设备冗余空间,主要设备冗余空间,访问控制,访问控制设备（用户、网段）,应用层协议过滤,拨号访问限制,会话终止,安全审计,日志记录,审计报表,边界完整性检查,内部的非法联出,非授权设备私自外联,网络安全的整改要点,子网/网段控制,核心网络带宽,整体网络带宽,重要网段部署,路由控制,带宽分配优先级,端口控制,最大流量数及最大连接数,防止地址欺骗,审计记录的保护,定位及阻断,入侵防范,检测常见攻击,记录、报警,恶意代码防范,网络边界处防范,网络设备防护,基本的登录鉴别,组合鉴别技术,特权用户的权限分离,身份鉴别,基本

7、的身份鉴别,访问控制,安全策略,管理用户的权限分离,特权用户的权限分离,安全审计,服务器基本运行情况审计,审计报表,剩余信息保护,空间释放及信息清除,主机安全的整改要点,组合鉴别技术,敏感标记的设置及操作,审计记录的保护,入侵防范,最小安装原则,重要服务器：检测、记录、报警,恶意代码防范,主机与网络的防范产品不同,资源控制,监视重要服务器,最小服务水平的检测及报警,重要客户端的审计,升级服务器,重要程序完整性,防恶意代码软件、代码库统一管理,对用户会话数及终端登录的限制,身份鉴别,基本的身份鉴别,访问控制,安全策略,最小授权原则,安全审计,运行情况审计（用户级）,审计报表,剩余信息保护,空间释放及信息清除,应用安全的整改要点,组合鉴别技术,敏感标记的设置及操作,审计过程的保护,通信完整性,校验码技术,密码技术,软件容错,自动保护功能,资源控制,资源分配限制、资源分配优先级,最小服务水平的检测及报警,数据有效性检验、部分运行保护,对用户会话数及 系统最大并发会话数的限制,审计记录的保护,通信保密性,初始化验证,整个报文及会话过程加密,敏感信息加密,抗抵赖,数据完整性,鉴别数据传输的完整