信息安全等级保护培训系列.ppt

1、信息安全等级保护制度 和相关标准简介 公安部信息安全等级保护评估中心 马力,信息安全等级保护培训系列,目录,信息安全等级保护制度要干什么 如何开展信息安全等级保护工作 管理办法 实施指南 定级指南 基本要求 测评要求,目录,信息安全等级保护制度要干什么 如何开展信息安全等级保护工作 管理办法 实施指南 定级指南 基本要求 测评要求,主要内容,根据信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；将信息系统划分为不同的安全保护等级并对其实施不同的保护和监管。,信息安全等级保护制度,体现国家管理意志 构建国家信

2、息安全保障体系 保障信息化发展和维护国家安全,解决什么,信息安全等级保护是手段，是为了构建国家信息安全保障体系。 信息安全保障体系也是手段，是为了信息应用发展。 信息安全等级保护是带有很强技术性的国家风险控制行为,相关关系,安全风险管理的目的并不是保证没有风险，而是要将信息系统带来的业务风险控制在可接受的范围内。 信息安全等级保护的关键所在正是基于信息系统所承载应用的重要性，以及该应用损毁后带来的影响程度来判断风险是否控制在可接受的范围内。,原则,谁拥有谁负责、谁运行谁负责 自主定级、自主保护、监督指导,主要流程,一是：定级。 二是：备案。 三是：系统建设、整改。 四是：等级测评。 五是：信息

3、安全监管部门定期开展监督检查,关键所在,定级是信息安全等级保护的重要环节 首要环节，开始环节，但不是核心环节 基本要求是信息安全等级保护的核心 不同级别的信息系统按照基本要求进行保护后， 信息系统具有相应等级的基本安全保护能力，达到一种基本的安全状态 国家管理要求和系统自身安全保护需求结合,管理规范,1994年中华人民共和国计算机信息系统安全保护条例 2003年中央办公厅、国务院办公厅转发国家信息化领导小组关于加强信息安全保障工作的意见 2004年四部委联合签发了关于信息安全等级保护工作的实施意见 2007年四部委联合签发了信息安全等级保护管理办法,技术标准,目录,信息安全等级保护制度要干什么

4、 如何开展信息安全等级保护工作 管理办法 实施指南 定级指南 基本要求 测评要求,主要流程,一是：定级。 二是：备案。 三是：系统建设、整改。 四是：等级测评。 五是：信息安全监管部门定期开展监督检查,具体做法,等级确定与备案,自查与等级测评,等级保护运行与管理,基本要求，实施指南、 安全产品标准,定级指南、实施指南,监督管理要求、 基本要求、测评要求,基本要求，定级指南、 实施指南，设计规范、测评要求,安全规划与设计,安全建设与实现,监督管理要求实施指南,标准定位和关系,管理方法（总要求） 实施指南 定级指南（GB/T22240-2008） 基本要求（GB/T22239-2008） 测评要求

5、 建设指南 设计规范,目录,信息安全等级保护制度要干什么 如何开展信息安全等级保护工作 管理办法 实施指南 定级指南 基本要求 测评要求,管理办法,管理办法第八条: 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理 。,管理办法,管理办法第九条: 信息系统运营、使用单位应当按照信息系统安全等级保护实施指南具体实施等级保护工作。,管理办法,管理办法第十条: 信息系统运营、使用单位应当依据本办法和信息系统安全等级保护定级指南确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。,管理办法,管理办法第十二条:

6、在信息系统建设过程中，运营、使用单位应当按照计算机信息系统安全保护等级划分准则（GB17859-1999）、信息系统安全等级保护基本要求等技术标准，参照等技术标准同步建设符合该等级要求的信息安全设施。,管理办法,管理办法第十三条: 运营、使用单位应当参照信息安全技术信息系统安全管理要求（GB/T20269-2006）、信息安全技术信息系统安全工程管理要求（GB/T20282-2006）、信息系统安全等级保护基本要求等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。,管理办法,管理办法第十四条: 信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位，

7、依据信息系统安全等级保护测评要求等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。,目录,信息安全等级保护制度要干什么 如何开展信息安全等级保护工作 管理办法 实施指南 定级指南 基本要求 测评要求,实施指南,介绍和描述了实施信息系统等级保护过程中涉及的阶段、过程和需要完成的活动，通过对过程和活动的介绍，使大家了解对信息系统实施等级保护的流程方法，以及不同的角色在不同阶段的作用等。,实施指南,等级变更,局部调整,信息系统定级,总体安全规划,安全设计与实施,

8、安全运行维护,信息系统终止,实施指南的主要思路,以信息系统安全等级保护建设为主要线索， 定义信息系统等级保护实施的主要阶段和过程 对每个阶段介绍和描述主要的过程和实施活动 对每个活动说明实施主体、主要活动内容和输入输出等,实施指南标准的结构,正文由9个章节1个附录构成 1. 范围 2.规范性引用文件 3术语定义 4. 等级保护实施概述 5.信息系统定级 6.总体安全规划 7.安全设计/实施 8.安全运行维护 9.信息系统终止 附录A 主要过程及其输出,实施指南中的主要概念,阶段 过程 主要活动 子活动 活动输入 活动输出,实施指南特点,阶段 过程 活动 子活动 例如: 信息系统定级 信息系统分

9、析 系统识别和描绘 识别信息系统的基本信息 识别信息系统的管理框架 信息系统划分,系统定级阶段-实施流程,主要输入,主要输出,过程,系统立项文档 系统建设文档 系统管理文档,信息系统分析,系统总体描述文件 系统详细描述文件,安全保护等级确定,系统总体描述文件 系统详细描述文件,系统安全保护等级定级建议书,目录,信息安全等级保护制度要干什么 如何开展信息安全等级保护工作 管理办法 实施指南 定级指南 基本要求 测评要求,定级指南,安全保护等级 等级的确定是不依赖于安全保护措施的，具有一定的“客观性”，即该系统在存在之初便由其自身所实现的使命决定了它的安全保护等级，而非由“后天”的安全保护措施决定

10、。,标准的结构,正文由6个章节构成 1. 范围 2. 规范性引用文件 3. 术语定义 4. 定级原理 5. 定级方法 6. 级别变更,-定级原理(2),五个等级的定义 第一级, 信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

11、第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。,-定级原理(3),定级要素 受侵害的客体 公民、法人和其他组织的合法权益； 社会秩序、公共利益； 国家安全。,-定级原理(4),定级要素 对客体的侵害程度 造成一般损害； 造成严重损害； 造成特别严重损害。,-定级原理(5),-定级方法,确定定级对象； 确定业务信息安全受到破坏时所侵害的客体； 综合评定业务信息安全被破坏对客体的侵害程度； 得到业务信息安全等级； 确定系统服务安全受到破坏时所侵害的客体； 综合评定系统服务安全被破坏对客体的侵害程度； 得到系统服务安全等级； 由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全

12、保护等级。,可能的系统级别,第一级 S1A1G1 第二级 S1A2G2，S2A2G2，S2A1G2 第三级 S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3 第四级 S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4,目录,信息安全等级保护制度要干什么 如何开展信息安全等级保护工作 管理办法 实施指南 定级指南 基本要求 测评要求,等级保护的建设整改,通过对已定级信息系统开展安全建设或整改，落实信息安全等级保护基本要求，全面提高信息系统安全保护水平，保证不同安全保护等级的信息系统具备相应等级的基本安全保护能力,第一级信息系统,能

13、够抵御来自个人的、拥有很少资源的攻击，防范一般的自然灾难、操作失误、技术故障等对关键资源造成的损害，在系统遭到损害后，能够恢复主要功能。,第二级信息系统,能够抵御来自外部小型组织的、拥有一定资源的攻击，防范一般的自然灾难、内部人员恶意行为、操作失误、技术故障等对重要资源造成的损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复主要功能。,第三级信息系统,能够在统一安全策略下，抵御来自外部有组织的团体、拥有较为丰富资源的攻击，防范较为严重的自然灾难、内部人员恶意行为、操作失误、技术故障等对主要资源造成的损害，能够及时监测发现安全漏洞和安全事件；具有一定的备份恢复能力，在

14、系统遭到损害后，能够较快恢复绝大部分功能。,第四级信息系统,能够在统一安全策略下，抵御来自敌对组织的、拥有丰富资源的攻击，防范严重的自然灾难、内部人员恶意行为、操作失误、技术故障等对资源造成的损害，能够及时监测发现安全漏洞、跟踪处置安全事件；具有较强的备份恢复能力，在系统遭到损害后，能够迅速恢复所有功能。,等级保护的思想体系,落实信息安全等级保护基本要求，确保系统基本安全； 结合系统自身安全需求，力求系统相对安全。,48,标准定位,是系统安全保护、等级测评的一个基本“标尺”，同样级别的系统使用统一的“标尺”来衡量，保证权威性，是一个达标线； 每个级别的信息系统按照基本要求进行保护后，信息系统具

15、有相应等级的基本安全保护能力，达到一种基本的安全状态; 是每个级别信息系统进行安全保护工作的基本出发点，更加贴切的保护可以通过需求分析对基本要求进行补充，参考其他有关等级保护或安全方面标准实现;,49,基本要求与其他标准关系,GB17859-1999是基础性标准，基本要求、GB/T20269-2006、GB/T20270-2006、GB/T20271-2006等是在GB17859-1999基础上的进一步细化和扩展。 基本要求在GB17859-1999、GB/T20269-2006、GB/T20270-2006、GB/T20271-2006等技术类标准的基础上，根据现有技术的发展水平，提出和规定

16、了不同安全保护等级信息系统的最低保护要求，即基本安全要求，适用于指导不同安全保护等级信息系统的安全建设和监督管理。,50,标准编制思路,主要原则 继承、延续和发展原有等级保护相关标准的内容 主要目标 门槛合理 对每个级别的信息系统安全要求设置合理，按照基本要求建设后，确实达到期望的安全保护能力 内容完整 综合技术、管理各个方面的要求，安全要求内容考虑全面、完整，覆盖信息系统生命周期 便于使用 安全要求分类方式合理，便于安全保护、检测评估、监督检查实施各方的灵活使用,51,与流行安全防护体系的关系,PDR,Protection防护 Policy 策略 Detection 检测,Response

17、响应,核心,52,与流行安全防护体系的关系,PPDRR,Protection防护 Policy Detection 策略 检测 Response 响应,Recovery 恢复,53,与流行安全防护体系的关系,IATF,成功的完成业务,信息保障,深度防御战略,人,技术,操作,防御网络与基础设施,防御飞地边界,防御计算环境,支撑性基础设施,54,关系1,一级系统,二级系统,三级系统,四级系统,防护,防护/检测,策略/防护/检测/恢复/响应,策略/防护/检测/恢复/响应,55,关系2,一级系统,二级系统,三级系统,四级系统,通信/边界（基本）,通信/边界/内部（关键设备）,通信/边界/内部（主要设备

18、）,通信/边界/内部/基础设施（所有设备）,56,关系3,一级系统,二级系统,三级系统,四级系统,计划和跟踪（主要制度）,计划和跟踪（主要制度）,良好定义（管理活动制度化）,持续改进（管理活动制度化/及时改进）,57,标准主要内容,由9个章节2个附录构成 1.适用范围 2.规范性引用文件 3术语定义 4.等级保护概述 5. 6.7.8.9基本要求 附录A 关于信息系统整体安全保护能力的要求 附录B 基本安全要求的选择和使用,基本要求核心思路,某级系统,技术要求,管理要求,基本要求,建立安全技术体系,建立安全管理体系,具有某级安全保护能力的系统,各级系统的保护要求,某级系统,物理安全,技术要求,

19、管理要求,基本要求,网络安全,主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,标准内容的细化思路,安全保护能力,基本安全要求,某级的信息系统,基本技术措施,基本管理措施,具备,包含,包含,满足,满足,实现,标准内容的细化思路,A点B点，500KM 5H 飞机 OK 火车 OK 汽车 OK 自行车 NO,62,主要组织方式,63,主要组织方式,7 第三级基本要求 7.1 技术要求 7.1.1 物理安全（类） 7.1.1.1 物理位置的选择（控制点） 本项要求包括（具体要求） a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内； 。 7

20、.2 管理要求 7.2.1 安全管理制度（类） 7.2.1.1 管理制度（控制点） 本项要求包括： （具体要求） a)应制定信息安全工作的总体方针和安全策略，说明机构安全工作 的总体目标、范围、原则和安全框架等；,基本要求标注方式,基本要求 技术要求 管理要求 要求标注 业务信息安全类要求（标记为S类） 系统服务保证类要求（标记为A类） 通用安全保护类要求（标记为G类）,三类要求之间的关系,通用安全保护类要求（G）,业务信息安全类（S）,系统服务保证类（A,系统基本保护要求的组合,第一级 S1A1G1 第二级 S1A2G2，S2A2G2，S2A1G2 第三级 S1A3G3，S2A3G3，S3A

21、3G3，S3A2G3，S3A1G3 第四级 S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4,需求分析步骤： 第一步根据其等级从基本要求中选择相应等级的基本安全要求。 第二步根据定级过程中确定业务信息安全保护等级和系统服务安全保护等级，确定该信息系统的安全需求类。 第三步根据系统所面临的威胁特点调整安全要求。,系统建设阶段-需求分析方法,一、选择、调整基本安全要求 三类基本要求 S类业务信息安全保护类关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改。 A类系统服务安全保护类关注的是保护系统连续正常的运行，避免因对系统的未授

22、权修改、破坏而导致系统不可用。 G类通用安全保护类既关注保护业务信息的安全性，同时也关注保护系统的连续可用性。 例如，以S2表示2级的业务信息安全保护类要求，A3表示3级的系统服务安全保护类要求。,系统建设阶段-需求分析方法,二、明确系统自身安全需求 需求来自两个方面： 等级保护相应等级的基本要求中某些方面的安全措施所达到的安全保护不能满足本单位信息系统的保护需求，需要更强的保护。 由于信息系统的业务需求、应用模式具有特殊性，系统面临的威胁具有特殊性，基本要求没有提供所需要的保护措施，例如有关无线网络的接入和防护基本要求中没有提出专门的要求，需要作为特殊需求。,系统建设阶段-需求分析方法,二、

23、明确系统自身安全需求 两种解决方式： 第一种选择基本要求中更高级别的安全要求达到本级别基本要求不能实现的安全保护能力 第二种参照管理办法第十二条和第十三条列出的等级保护的其它标准进行保护。 等级保护基本安全要求和自身安全需求共同构成系统总的安全需求。,系统建设阶段-需求分析方法,目录,信息安全等级保护制度要干什么 如何开展信息安全等级保护工作 管理办法 实施指南 定级指南 基本要求 测评要求,测评要求,在内容上，与基本要求一一对应，直接把基本要求的要求项作为测评要求的测评指标。 在方法上，涵盖访谈、检查和测试三种基本方法，充分考虑方法实施的可行性。 在强度上，与安全等级相适应。 在结果上，单点测试，整体评价相结合,主要内容,主体由10个章节构成 1.范围 2.规范性引用文件 3.术语、定义和符号 4.安全测评概述 5.第1级安全控制测评 6.第2级安全控制测评 7.第3级安全控制测评 8.第4级安全控制测评 9.第5级安全控制测评 10.系统整体测评 附录A 测评强度 附录B 关于系统整体测评的进一步说明,测评要求的作用,指导系统运营使用单位进行自查 指导测评机构进行等级测评 监管职能部门参照进行监督检查 规范测评内容和行