等级保护测评工作宣传通用模板rlxv10

等级保护测评工作宣传通用模板等级保护测评工作宣传通用模板rlxv10rlxv10 中国工程物理研究院计算机应用研究所成都久信网络咨询监理有限 公司2018 6 121 等级保护概要介绍 等级保护流程介绍 等级保护定 级 等级保护基本要求 等级保护实施 等级保护测评及整改2018 6 1 22概要 什么是等级保护信息安全等级保护 是指对国家秘密信息及公民 法人和其他组织的专有信息以及公开信息和存储 传输 处理这些 信息的信息系统分等级实行安全保护 对信息系统中使用的信息安 全产品实行按等级管理 对信息系统中发生的信息安全事件分等级 响应 处置 信息安全等级保护管理办法 2018 6 123概要 等级保护政策发展历程2018 6 1241994年22月28日日 中华人民共 和国计算机信息系统安全保护条例 国务院令第147号发布19941999 xx 计算机信息系统安全保护等级划分准则 GB17859 1999发布xx年77月22日 国家信息化领导小组专门讨论通过了 关 于加强信息安全保障工作的意见 并经由中央办公厅 国务院办 公厅颁布 中办发 xx 27号文件 四部委联合签发了 关于信 息安全等级保护工作的实施意见 公通字 xx 66号 xxxx 四部委联合签发了 信息系统安全等级保护管理办法 试行 公通字 xx 77号 xx年33月11日执行xxxx年 四部委联合发布的 关于开展全国重要 信息系统安全等级保护定级工作的通知 公信安 xx 861号 xx信 息系统安全保护等级定级指南GB T22239 xx信息系统安全等级保护基本要求GB T22240 xx信息系统安全等级保护测评准则 试行 信息安全技术信息系统 安全等级保护测评要求GB T28448 xx信息系统安全等级保护实施指南 试行 信息安全技术信息系统 安全等级保护实施指南GB T25058 xx信息安全技术信息系统安全等级保护测评过程指南GB T28449 xxxxxx年 四部委联合发布 关亍推动信息安全等级保护测评体系 建设和开展等级测评工作的通知 概要 等级保护标准体系2018 6 125应用类产品类其他类等保安全建设整 改信息系统定级 定级指南 GB T22240 xx等级保护实施 实施指南 信安字 xx 10号GB T25058 xx信息系统安全建设 基本要求 GB T22239 xx 通用安全技术要求 GB T20271 xx 安全技术设计要求 GB T24856 xx等10个要求和规范等级测评 测评要求 GB T28448 xx 测评过程指南 GB T28449 xx风险评估 信息安全风险评估规范 GB T20984 xx事件管理 信息安全事件管理指南 GB Z20985 xx 信息安全事件分类分级指南 GB Z20986 xx 信息系统灾难恢复规范 GB T20988 xx操作系统数据库网络PKI网关服务器入侵检测防火墙路由器交换机 其他产品技术要求评估准则测试方法配置指南 计算机信息系统安 全保护等级划分准则 概要 标准使用2018 6 126等级确定与备案自查与等级测评等级保护运行 与管理基本要求 实施指南 安全产品标准定级指南 实施指南监 督管理要求 基本要求 测评要求基本要求 定级指南 实施指南 设计规范 测评要求安全规划与设计安全建设与实现监督管理要 求实施指南概要 安全等级划分2018 6 127 计算机信息系统安全保护等级划分准则 GB17859 1999主要内容美国可信计算机系统评价准则TCSEC第一级用户自主保 护级第二级系统审计保护级第三级安全标记保护级第四级结构化保 护级第五级访问验证保护级四级三级二级一级用户自主控制资源访 问访问行为需要被审计通过标记实现强制访问控制可信计算基础结 构化所有的过程都需要验证 等级保护概念介绍 等级保护流程介绍 等级保护定级 等级保护基本要求 等级保护实施 等级保护测评及整 改2018 6 128流程 标准规范与工作流程关系2018 6 129安全控制定级指南过程方法确 定系统等级启动采购 开发实施运行 维护废弃确定安全需求设计安 全方案安全建设安全测评整改监督管理运行维护暂不考虑特殊需求 等级需求基本要求产品使用选型管理监督管理测评要求流程方法监 管流程应急预案应急响应设计要求重大变更工程管理 等级保护概念 介绍 等级保护流程介绍 等级保护定级 等级保护基本要求 等级保 护实施 等级保护测评及整改2018 6 1210定级 法文条规解读2018 6 1211 信息系统运营 使用单位应当依据 信 息安全等级保护管理办法 和 信息系统安全等级保护定级指南 确定信息系统的安全保护等级 在信息系统建设过程中 应当参照 计算机信息系统安全保护等级 划分准则 17859 1999 信息系统安全等级保护基本要求 22239 xx等技术标准同步建设符合该等级要求的信息安全设施 信息系统建设完成后 应当选择符合本办法规定条件的测评单位 依据 信息系统安全等级保护测评要求 等技术标准 定期对信息 系统安全等级状况开展等级测评 第三级信息系统应当每年至少进行一次等级测评 对故意将信息系统安全级别定低 逃避公安 保密 密码部门监管 造成信息系统出现重大安全事故的 要追究单位和人员的责任 信息安全等级保护管理办法 公通字 xx 43号定级 主要步骤2018 6 1212定级是等级保护工作的首要环节 是开展信息 系统建设 整改 测评 备案 监督检查等后续工作的重要基础 1自评2申报3评审4定级备案客户自行选定系统相应的保护等级报当 地公安或信息化行政部门进行审定公安或信息化行政部门组织评审 定级报公安部门定级备案定级 主要步骤2018 6 1213定级 主要步骤2018 6 1214分析信息系统管理组织机构 业务应用 物理 位置和运行环境等因素 基于科学的系统拆分原则明确定级对象 定级对象的三个条件 具有唯一的安全责任单位作为定级对象的信息 系统应能够唯一地确定其安全责任单位 这个安全责任单位就是负 责等级保护工作部署 实施的单位 也是完成等级保护备案和接受 监督检查的直接责任单位 满足信息系统的基本要素作为定级对象的信息系统应该是由相关的 和配套的设备 设施按照一定的应用目标和规则组合而成的有形实 体 应避免将某个单一的系统组件 如单台的服务器 终端或网络设备 等作为定级对象 承担相对独立的业务应用 相对独立 指其中的一个或多个业务应 用的主要业务流程 部分业务功能独立 同时与其他信息系统的业 务应用有少量的数据交换 定级对象可能会与其他业务应用共享一 些设备 尤其是网络传输设备 相对独立 的业务应用并不意味着整个业务流程 可以是完整的 业务流程的一部分 定级 确定等级2018 6 1215确定等级主要依据保护对象受到破坏时所侵害 的客体和对客体造成侵害的程度 侵害的客体包括 定级指南5 3确定受侵害客体界定 国家安全 社 会秩序 公共利益 公民 法人和其他组织的合法权益对客体造成侵 害的程度 定级指南5 4确定对客体的侵害程度界定 造成一般损 害 造成严重损害 造成特别严重损害受侵害的客体对相应客体的侵 害程度一般损害严重损害特别严重损害公民 法人和其他组织的合 法权益第一级第二级第二级社会秩序 公共利益第二级第三级第四 级国家安全第三级第四级第五级定级 确定等级2018 6 1216侵害国家安全的事项包括 影响国家政权稳固 和国防实力 影响国家统 一 民族团结和社会安定 影响国家对外活动中的政治 经济利益 影响国家重要的安全保卫工作 影响国家经济竞争力和科技实 力 其他影响国家安全的事项 侵害社会秩序的事项包括 影响国家机关社会管理和公共服务的工作 秩序 影响各种类型的经济活动秩序 影响各行业的科研 生产 秩序 影响公众在法律约束和道德规范下的正常生活秩序等 其 他影响社会秩序的事项 影响公共利益的事项包括 影响社会成员使用公共设施 影响社会 成员获取公开信息资源 影响社会成员接受公共服务等方面 其 他影响公共利益的事项 影响公民 法人和其他组织的合法权益是指法律确认的并受法律保 护的公民 法人和其他组织所享有的一定的社会权利和利益 判断 所侵害的客体 应首先判断是否侵害国家安全 然后判断是否 侵害社会秩序或公众利益 最后判断是否侵害公民 法人和其他组 织的合法权益 定级 确定等级2018 6 1217对客体的侵害程度包括 一般损害工作职能受 到局部影响 业务能力有所降低但不影响主要功能的执行 出现较 轻的法律问题 较低的财产损失 有限的不良影响 严重损害工作职能受到严重影响 业务能力显著下降且严重影响主 要功能执行 出现较严重的法律问题 较高的财产损失 较大范围 的不良影响 特别严重损害工作职能受到特别严重影响或丧失行使能力 业务能 力严重下降且或功能无法执行 出现极其严重的法律问题 极高的 财产损失 大范围的不良影响 定级 确定等级2018 6 1218根据保护侧重点的不同对安全要求进一步细分 业务信息安全 S 保护数据在存储 传输 处理过程中不被泄漏 破坏和免受未授权的修改的信息安全类要求 系统服务安全 A 保护系统连续正常的运行 免受对系统的未授权修改 破坏而导致 系统不可用的服务保证类要求 通用安全 G 既关注保护业务信息 的安全性 同时也关注保护系统的连续可用性的通用安全保护类要 求定级 确定等级2018 6 12193 综合评定对客体的侵害程度 2 确定业务信息安全受到破坏时所侵害的客体 S 6 综合评定对客体的侵害程度 5 确定系统服务安全受到破坏时所侵害的客体 A 7 系统服务安全保护等级 4 业务信息安全保护等级 8 定级对象的安全保护等级依据表1依据表 21 确定定级对象不同安全等级的信息系统 其对业务信息的安全 性要求和业务服务的连续性要求是有差异的 即使相同安全等级的 信息系统 其对业务信息的安全性要求和业务服务的连续性要求也 有差异 信息系统的安全等级由各个业务子系统的业务信息安全性等级和业 务服务保证性等级较高者决定 参见 信息系统安全保护等级定级 指南 因此 对某一个定级后的信息系统的保护要求可以有多种 组合 如S3A2G3 S AG MAX S A 定级 确定等级2018 6 1220业务信息安全 S 保护数据在存储 传输 处理过程中不被泄漏 破坏和免受未授权的修改的信息安全类要求 业务信息安全 S 等级确定 表1 业务信息安全 S 受破坏时侵害 的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民 法人和其他组织的合法权益第一级第二级第二级社会秩序 公共 利益第二级第三级第四级国家安全第三级第四级第五级数据丢失 篡 改 引起工作职能受到严重影响 业务能力显著下降且严重影响主 要功能执行 出现较严重的法律问题 较高的财产损失 较大范围 的不良影响 造成较严重的损害 定级 确定等级2018 6 1221系统服务安全 A 保护系统连续正常的运行 免受对系统的未授权修改 破坏而导致系统不可用的服务保证类 要求业务信息安全 A 等级确定 表2 系统服务安全 A 受破坏时 侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害 公民 法人和其他组织的合法权益第一级第二级第二级社会秩序 公共利益第二级第三级第四级国家安全第三级第四级第五级业务中 断 造成工作职能受到局部影响 业务能力有所降低但不影响主要 功能的执行 出现较轻的法律问题 较低的财产损失 有限的不良 影响 造成较低的损害 定级 确定等级2018 6 1222安全等级信息系统保护要求的组合第一级S1A1 G1第二级S1A2G2 S2A2G2 S2A1G2第三级S1A3G3 S2A3G3 S3A3G3 S3A2G3 S3A1G3第四级S1A4G4 S2A4G4 S3A4G4 S4A4G4 S4A3G 4 S4A2G4 S4A1G4定级 定级备案2018 6 1223备案表模板 等级保护概念介绍 等级保护流程 介绍 等级保护定级 等级保护基本要求 等级保护实施 等级保护测 评及整改2018 6 1224基本要求 核心思路2018 6 1225类技术要求管理要求基本要求类控制点具体要 求控制点具体要求物理 网络 36个136个制度 人员 37个154个 建立安全技术体系建立安全管理体系具有某级安全保护能力的系统 基本要求 要求举例2018 6 1226 技术要求网络安全 类 访问控制 G3 控 制点 本项要求包括 具体要求项 a 应在网络边界部署访问控 制设备 启用访问控制功能 b 应能根据会话状态信息为数据流提供 明确的允许 拒绝访问的能力 控制粒度为端口级 c 应对进出网络的 信息内容进行过滤 实现对应用层 FTP TELNET SMTP POP3等协 议命令级的控制 d 应在会话处于非活跃一定时间或会话结束后终止 网络连接 e 应限制网络最大流量数及网络连接数 基本要求2018 6 1227物理安全技术要求管理要求基本要求网络安全 主机安全应用安全数据安全安全管理机构安全管理制度人员安全管 理系统建设管理系统运维管理基本要求 作用2018 6 1228基本要求监管机构检查测评机构测评使用单位自查 集成厂商指导建设 标尺 达标线 达到基本的安全状态基本要 求 各级差异 宏观 2018 6 1229一级系统二级系统三级系统四级系统 防护防护 监测策略 防护 监测 恢复策略 防护 监测 恢复 响应信 息安全三维模型 PPDRR 基本要求 各级差异 宏观 2018 6 1230IATF将信息系统的信息保障技术层面 划分成了四个技术框架焦点域网络和基础设施 区域边界 计算环 境和支撑性基础设施一级系统二级系统三级系统四级系统通信 边界 基本 通信 边界 内部 关键设备 通信 边界 内部 主要设备 通信 边界 内部 基础设施 所有设备 信息保障技术框架 IATF 美国国家安全局 NSA 制定基本要求 各级控制点要求差异 微观 2018 6 123131安全要求类类 层面一 级二级三级四级技术要求物理安全7101010网络安全3677主机安全46 79应用安全47911数据安全及备份恢复2333管理要求安全管理制度23 33安全管理机构4555人员安全管理4555系统建设管理991111系统运 维管理9121313合计 48667377级差 1874基本要求 各级要求项差异 微观 2018 6 1232安全要求类 层面一级二级三 级四级技术要求物理安全9193233网络安全9183332主机安全6193236 应用安全7193136数据安全及备份恢复24811管理要求安全管理制度3 71114安全管理机构492020人员安全管理7111618系统建设管理20284 548系统运维管理18416270合计 85175290318级差 9011528基本要 求 物理安全2018 6 1233物理安全主要涉及的方面包括环境安全 防火 防水 防雷击等 设备和介质的防盗窃防破坏等方面 物理位置的选择物理安全物理访问控制防盗窃和防破坏防雷击防火 防水和防潮温湿度控制电力供应电磁防护防静电基本要求 物理安全各级差异2018 6 1234二级物理安全要求对物理安全进行了 进一步的防护 不仅对出入进行基本的控制 对进入后的活动也要 进行控制 物理环境方面 则加强了各方面的防护 采取更细的要 求来多方面进行防护 三级物理安全要求对出入加强了控制 做到人 电子设备共同监控 物理环境方面 进一步采取各种控制措施来进行防护 如 防火要求 不仅要求自动消防系统 而且要求区域隔离防火 建筑材料防火等方面 将防火的范围增大 从而使火灾发生的几率 和损失降低 以及电磁防护 供配电冗余 环境监控等 基本要求 物理安全各级差异2018 6 1235控制点一级二级三级四级物理位置的 选择0122物理访问控制1244 防盗窃和防破坏256 6防雷击1233防火1 1 3 3防水和防潮2344防静电0123温湿度控制11 11电力供应1244 电 磁防护0133 合计9193233基本要求 物理安全各级差异2018 6 1236物理访问控制 G2 本项要求包括a 机房出入口应安排专人值守 控制 鉴别和记录进入的人员 b 需 进入机房的来访人员应经过申请和审批流程 并限制和监控其活动 范围 物理访问控制 G3 本项要求包括a 机房出入口应安排专人值守 控制 鉴别和记录进入的人员 b 需进入机房的来访人员应经过申 请和审批流程 并限制和监控其活动范围 c 应对机房划分区域进 行管理 区域和区域之间设置物理隔离装置 在重要区域前设置交 付或安装等过渡区域 d 重要区域应配置电子门禁系统 控制 鉴 别和记录进入的人员 基本要求 网络安全2018 6 1237网络安全主要关注的方面包括网络结构 网络 边界以及网络设备自身安全等 结构安全网络安全访问控制安全审计边界完整性检查入侵检测恶意 代码防范网络设备防护基本要求 网络安全各级差异2018 6 1238二级网络安全要求不仅要满足网络安 全运行的基本保障 同时还要考虑网络处理能力要满足业务极限时 的需要 对网络边界的访问控制粒度进一步增强 同时 加强了网络边界的防护 增加了安全审计 边界完整性检查 入侵防范等控制点 对网络设备的防护不仅局限于简单的身份鉴别 同时对标识和鉴别 信息都有了相应的要求 三级网络安全要求对网络处理能力增加了 优先级 考虑 保证重 要主机能够在网络拥堵时仍能够正常运行 网络边界的访问控制扩 展到应用层 网络边界的其他防护措施进一步增强 不仅能够被动 的 防 还应能够主动发出一些动作 如报警 阻断等 网络设备的防护手段要求两种身份鉴别技术综合使用 恶意代码防范等 基本要求 网络安全控制点差异2018 6 1239控制点一级二级三级四级结构安全 G 34 7 7访问控制 G 34 8 4安全审计 G 0246边界完整性检 查 S 012 2入侵防范 G 0122 恶意代码防范 G 0022网络设备 防护 G 3689合计9183332基本要求 网络安全各级差异2018 6 1240安全审计 G2 a 应对网络系统中的 网络设备运行状况 网络流量 用户行为等进行日志记录 b 审计 记录应包括事件的日期和时间 用户 事件类型 事件是否成功及 其他与审计相关的信息 安全审计 G3 a 应对网络系统中的网络设备运行状况 网络流量 用户行为等进行日志记录 b 审计记录应包括事件的日期和时间 用户 事件类型 事件是否成功及其他与审计相关的信息 c 应 能够根据记录数据进行分析 并生成审计报表 d 应对审计记录进 行保护 避免受到未预期的删除 修改或覆盖等 基本要求 主机安全2018 6 1241主机系统是构成信息系统的主要部分 其上承 载着各种应用 因此 主机系统安全是保护信息系统安全的中坚力量 身份鉴别主机安全安全标记安全标记访问控制可信路径可信路径安 全审计剩余信息保护入侵防范恶意代码防范资源控制基本要求 主机安全各级差异2018 6 1242二级主机系统安全要求在控制点上增 加了安全审计和资源控制等 同时 对身份鉴别和访问控制都进一步加强 鉴别的标识 信息等 都提出了具体的要求 访问控制的粒度进行了细化等 恶意代码增 加了统一管理等 三级主机系统安全要求在控制点上增加了剩余信息保护 访问控制 增加了设置敏感标记等 力度变强 同样 身份鉴别的力度进一步增强 要求两种以上鉴别技术同时使 用 安全审计已不满足于对安全事件的记录 而要进行分析 生成报表 对恶意代码的防范综合考虑网络上的防范措施 做到二者相互补充 对资源控制的增加了对服务器的监视和最小服务水平的监测和报警 等 基本要求 主机安全控制点差异2018 6 1243控制点一级二级三级四级身份鉴别 S 1567安全标记 S 0001访问控制 S 3476可信路径 S 000 2安全审计 G 046 7剩余信息保护 S 0022入侵防范 G 11 33 恶意代码防范 G 1233资源控制 A 0355合计6193236基本要求 主机安全各级差异2018 6 1244资源控制 A2 a 应通过设定终端接 入方式 网络地址范围等条件限制终端登录 b 应根据安全策略设 置登录终端的操作超时锁定 c 应限制单个用户对系统资源的最大 或最小使用限度 资源控制 A3 a 应通过设定终端接入方式 网络地址范围等条件 限制终端登录 b 应根据安全策略设置登录终端的操作超时锁定 c 应对重要服务器进行监视 包括监视服务器的CPU 硬盘 内存 网络等资源的使用情况 d 应限制单个用户对系统资源的最大或最 小使用限度 e 应能够对系统的服务水平降低到预先规定的最小值 进行检测和报警 基本要求 应用安全2018 6 1245通过网络 主机系统的安全防护 最终应用安 全成为信息系统整体防御的最后一道防线 机房 网络 主机 服务器等均是为业务应用提供服务 身份鉴别应用安全访问控制安全审计剩余信息保护通信完整性通信 保密性抗抵赖软件容错资源控制安全标识安全标识可信路径可信路 径基本要求 应用安全各级差异2018 6 1246二级应用安全要求在控制点上增加了 安全审计 通信保密性和资源控制等 同时 对身份鉴别和访问控制都进一步加强 鉴别的标识 信息等 都提出了具体的要求 访问控制的粒度进行了细化 对通信过程的完整性保护提出了特定 的校验码技术 应用软件自身的安全要求进一步增强 软件容错能力增强 三级应用安全要求在控制点上增加了剩余信息保护和抗抵赖等 同时 身份鉴别的力度进一步增强 要求组合鉴别技术 访问控制 增加了敏感标记功能 安全审计已不满足于对安全事件的记录 而 要进行分析等 对通信过程的完整性保护提出了特定的密码技术 应用软件自身的安全要求进一步增强 软件容错能力增强 增加了 自动保护功能 基本要求 应用安全控制点差异2018 6 1247控制点一级二级三级四级身份鉴别 S 3455安全标记 S 0001访问控制 S 2465可信路径 S 000 2安全审计 G 0345剩余信息保护 S 0022通讯完整性 S 11 1 1通讯保密性 S 022 3抗抵耐 G 0022软件容错 A 122 3资源 控制 A 0377合计7193136基本要求 应用安全各级差异2018 6 1248安全审计 G2 a 应提供覆盖到每个 用户的安全审计功能 对应用系统重要安全事件进行审计 b 应保 证无法删除 修改或覆盖审计记录 c 审计记录的内容至少应包括 事件日期 时间 发起者信息 类型 描述和结果等 安全审计 G3 a 应提供覆盖到每个用户的安全审计功能 对应用 系统重要安全事件进行审计 b 应保证无法单独中断审计进程 无 法删除 修改或覆盖审计记录 c 审计记录的内容至少应包括事件 的日期 时间 发起者信息 类型 描述和结果等 d 应提供对审 计记录数据进行统计 查询 分析及生成审计报表的功能 基本要求 数据安全及备份恢复2018 6 1249由于信息系统的各个层面 网络 主机 应用等 都对各类数据进行传输 存储和处理等 因此 对 数据的保护需要物理环境 网络 数据库和操作系统 应用程序等 提供支持 各个 关口 把好了 数据本身再具有一些防御和修复手段 必然 将对数据造成的损害降至最小 数据完整性数据安全及备份恢复数据保密性备份和恢复基本要求 数据安全各级差异2018 6 1250二级数据及备份恢复安全要求对数据 完整性的要求增强 范围扩大 要求鉴别信息和重要业务数据在传 输过程中都要保证其完整性 对数据保密性要求实现鉴别信息存储保密性 数据备份增强 要求 一定的硬件冗余 三级数据及备份恢复安全要求对数据完整性的要求增强 范围扩大 增加了系统管理数据的传输完整性 不仅能够检测出数据受到破 坏 并能进行恢复 对数据保密性要求范围扩大到实现系统管理数据 鉴别信息和重要 业务数据的传输和存储的保密性 数据的备份不仅要求本地完全数 据备份 还要求异地备份和冗余网络拓扑 基本要求 数据安全控制点差异2018 6 1251控制点一级二级三级四级数据完整 性11 2 3数据保密性012 3备份和恢复124 5合计24811基本要求 数据安全各级差异2018 6 1252备份和恢复 A2 a 应能够对重要信 息进行备份和恢复 b 应提供关键网络设备 通信线路和数据处理 系统的硬件冗余 保证系统的可用性 备份和恢复 A3 a 应提供本地数据备份与恢复功能 完全数据备 份至少每天一次 备份介质场外存放 b 应提供异地数据备份功能 利用通信网络将关键数据定时批量传送至备用场地 c 应采用冗 余技术设计网络拓扑结构 避免关键节点存在单点故障 d 应提供 主要网络设备 通信线路和数据处理系统的硬件冗余 保证系统的 高可用性 基本要求 安全管理制度2018 6 1253在信息安全中 安全管理制度包括信息安 全工作的总体方针 策略 规范各种安全管理活动的管理制度以及 管理人员或操作人员日常操作的操作规程 管理制度安全管理制度制订和发布评审和修订基本要求 安全管理制度各级差异2018 6 1254二级安全管理制度要求在控制点 上增加了评审和修订 管理制度增加了总体方针和安全策略 和对 各类重要操作建立规程的要求 并且管理制度的制定和发布要求组 织论证 三级安全管理制度要求在二级要求的基础上 要求机构形成信息安 全管理制度体系 对管理制度的制定要求和发布过程进一步严格和 规范 对安全制度的评审和修订要求领导小组的负责 基本要求 安全管理制度控制点差异2018 6 1255控制点一级二级三级四级管理 制度13 4 4制定和发布235 6评审和修订0124合计371114基本要求 安全管理制度各级差异2018 6 1256管理制度 G2 a 应制定信息安 全工作的总体方针和安全策略 说明机构安全工作的总体目标 范 围 原则和安全框架等 b 应对安全管理活动中重要的管理内容建 立安全管理制度 c 应对安全管理人员或操作人员执行的重要管理 操作建立操作规程 管理制度 G3 a 应制定信息安全工作的总体方针和安全策略 说 明机构安全工作的总体目标 范围 原则和安全框架等 b 应对安 全管理活动中的各类管理内容建立安全管理制度 c 应对要求管理 人员或操作人员执行的日常管理操作建立操作规程 d 应形成由安 全策略 管理制度 操作规程等构成的全面的信息安全管理制度体 系 基本要求 安全管理机构2018 6 1257安全管理 首先要建立一个健全 务实 有效 统一指挥 统一步调的完善的安全管理机构 明确机构成员 的安全职责 这是信息安全管理得以实施 推广的基础 岗位设置安全管理机构人员配备授权和审批沟通和合作审核和检查 基本要求 安全管理机构各级差异2018 6 1258二级安全管理机构要求在控制点 上增加了审核和检查 同时 在一级基础上 明确要求设立安全主 管等重要岗位 人员配备方面提出安全管理员不可兼任其它岗位原 则 沟通与合作的范围增加与机构内部及与其他部门的合作和沟通 三级安全管理机构要求对于岗位设置 不仅要求设置信息安全的职 能部门 而且机构上层应有一定的领导小组全面负责机构的信息安 全全局工作 授权审批方面加强了授权流程控制以及阶段性审查 沟通与合作方面加强了与外部组织的沟通和合作 并聘用安全顾问 同时对审核和检查工作进一步规范 基本要求 安全管理机构控制点差异2018 6 1259控制点一级二级三级四级岗位 设置1244人员配备1233授权和审批124 4沟通和合作1255审核和检查 0144合计492020基本要求 安全管理机构各级差异2018 6 1260岗位设置 G2 a 应设立安全主 管 安全管理各个方面的负责人岗位 并定义各负责人的职责 b 应设立系统管理员 网络管理员 安全管理员等岗位 并定义各个 工作岗位的职责 岗位设置 G3 a 应设立信息安全管理工作的职能部门 设立安全 主管 安全管理各个方面的负责人岗位 并定义各负责人的职责 b 应设立系统管理员 网络管理员 安全管理员等岗位 并定义各个 工作岗位的职责 c 应成立指导和管理信息安全工作的委员会或领 导小组 其最高领导由单位主管领导委任或授权 d 应制定文件明 确安全管理机构各个部门和岗位的职责 分工和技能要求 基本要求 人员安全管理2018 6 1261人 是信息安全中最关键的因素 同时也 是信息安全中最薄弱的环节 很多重要的信息系统安全问题都涉及到用户 设计人员 实施人员 以及管理人员 只有对人员进行了正确完善的管理 才有可能降低人为错误 盗窃 诈骗和误用设备的风险 从而减小了信息系统遭受人员错误造成 损失的概率 人员录用人员安全管理人员离岗人员考核安全意识教育和培训外部 人员访问管理基本要求 人员安全管理各级差异2018 6 1262二级人员安全管理要求在控制点 上增加了人员考核 对人员的录用和离岗要求进一步增强 过程性 要求增加 安全教育培训更正规化 对外部人员的访问活动约束其 访问行为 三级人员安全管理要求在二级要求的基础上 增强了对关键岗位人 员的录用 离岗和考核要求 对人员的培训教育更具有针对性 外 部人员访问要求更具体 基本要求 人员安全管理控制点差异2018 6 1263控制点一级二级三级四级人员 录用23 4 4人员离岗23 3 3 人员考核0134安全意识教育和培训23 4 4外部人员访问管理11 23合计7111618基本要求 人员安全管理各级差异2018 6 1264外部人员访问管理 G2 应确保 在外部人员访问受控区域前得到授权或审批 批准后由专人全程陪 同或监督 并登记备案 外部人员访问管理 G3 a 应确保在外部人员访问受控区域前先提 出书面申请 批准后由专人全程陪同或监督 并登记备案 b 对外 部人员允许访问的区域 系统 设备 信息等内容应进行书面的规 定 并按照规定执行 基本要求 系统建设管理2018 6 1265信息系统的安全管理贯穿系统的整个生命 周期 系统建设管理主要关注的是生命周期中的前三个阶段 即 初始 采购 实施 中各项安全管理活动 系统定级系统建设管理 四级 等级测评安全方案设计产品采购和使 用自行软件开发外包软件开发工程实施测试验收系统交付系统备案 安全服务商选择基本要求 系统建设管理各级差异2018 6 1266二级系统建设管理要求在控制点 上增加了系统备案和安全测评 增加了某些活动的文档化要求 如 软件开发管理制度 工程实施应有实施方案要求等 同时 对安全方案 验收报告等增加了审定要求 产品的采购增加 了密码产品的采购要求等 三级系统建设管理要求对建设过程的各项活动都要求进行制度化规 范 按照制度要求进行活动的开展 对建设前的安全方案设计提出体系化要求 并加强了对其的论证工 作 基本要求 系统建设管理控制点差异2018 6 1267控制点一级二级三级四级系统 定级3344安全方案设计3455产品采购和使用1345自行软件开发2356 外包软件开发3444工程实施123 4测试验收235 5系统交付3355系统 备案0033等级测评0044 安全服务商选择2333合计20284548基本要求 系统建设管理各级差异2018 6 1268安全方案设计 G2 本项要求包 括a 应根据系统的安全保护等级选择基本安全措施 依据风险分析 的结果补充和调整安全措施 b 应以书面形式描述对系统的安全保 护要求 策略和措施等内容 形成系统的安全方案 c 应对安全方 案进行细化 形成能指导安全系统建设 安全产品采购和使用的详 细设计方案 d 应组织相关部门和有关安全技术专家对安全设计方 案的合理性和正确性进行论证和审定 并且经过批准后 才能正式 实施 安全方案设计 G3 a 应根据系统的安全保护等级选择基本安全措 施 并依据风险分析的结果补充和调整安全措施 b 应指定和授权 专门的部门对信息系统的安全建设进行总体规划 制定近期和远期 的安全建设工作计划 c 应根据信息系统的等级划分情况 统一考 虑安全保障体系的总体安全策略 安全技术框架 安全管理策略 总体建设规划和详细设计方案 并形成配套文件 d 应组织相关部 门和有关安全技术专家对总体安全策略 安全技术框架 安全管理 策略 总体建设规划 详细设计方案等相关配套文件的合理性和正 确性进行论证和审定 并且经过批准后 才能正式实施 e 应根据 等级测评 安全评估的结果定期调整和修订总体安全策略 安全技 术框架 安全管理策略 总体建设规划 详细设计方案等相关配套 文件 基本要求 系统运维管理2018 6 1269信息系统建设完成投入运行之后 接下来 就是如何维护和管理信息系统了 系统运行涉及到很多管理方面 例如对环境的管理 介质的管理 资产的管理等 同时 还要监控系统由于一些原因发生的重大变化 安全措施也要 进行相应的修改 以维护系统始终处于相应安全保护等级的安全状 态中 环境管理系统运维管理资产管理介质管理设备管理监控管理和安全 管理中心网络安全管理系统安全管理恶意代码防范管理密码管理变 更管理备份与恢复管理安全事件处置应急预案管理基本要求 系统运维管理各级差异2018 6 1270二级系统运维管理要求在控制点 上增加了密码管理 变更管理 应急预案管理 同时加强了其他各 方面的要求 主要表现在对环境的关注扩展到办公环境的保密性管 理 同时提出资产标识管理 对介质和设备的出入使用加强控制 网络和系统安全方面进行制度化管理 对系统内发生的安全事件进 行分类 分级等 三级系统运维管理要求在控制点上增加了监控管理和安全管理中心 对介质 设备 密码 变更 备份与恢复等都采用制度化管理 并更加注意过程管理的控制 其中对介质的管理重点关注了介质保 密性和可用性管理 安全事件根据等级分级响应 同时加强了对应 急预案的演练和审查等 基本要求 系统运维管理控制点差异2018 6 1271控制点一级二级三级四级环境 管理344 5资产管理1244介质管理246 6 设备管理2455监控管理和安 全管理中心0033网络安全管理268 9 系统安全管理3678恶意代码防 范管理1344密码管理011 1变更管理024 5备份与恢复管理235 6安全 事件处置2468应急预案管理0256合计18416270基本要求 系统运维管理各级差异2018 6 1272恶意代码防范管理 G2 a 应提 高所有用户的防病毒意识 告知及时升级防病毒软件 在读取移动 存储设备上的数据以及网络上接收文件或邮件之前 先进行病毒检 查 对外来计算机或存储设备接入网络系统之前也应进行病毒检查 b 应指定专人对网络和主机进行恶意代码检测并保存检测记录 c 应对防恶意代码软件的授权使用 恶意代码库升级 定期汇报等作 出明确规定 恶意代码防范管理 G3 a 应提高所有用户的防病毒意识 及时告 知防病毒软件版本 在读取移动存储设备上的数据以及网络上接收 文件或邮件之前 先进行病毒检查 对外来计算机或存储设备接入 网络系统之前也应进行病毒检查 b 应指定专人对网络和主机进行 恶意代码检测并保存检测记录 c 应对防恶意代码软件的授权使用 恶意代码库升级 定期汇报等作出明确规定 d 应定期检查信息 系统内各种产品的恶意代码库的升级情况并进行记录 对主机防病 毒产品 防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代 码进行及时分析处理 并形成书面的报表和总结汇报 等级保护概念介绍 等级保护流程介绍 等级保护定级 等级保护基 本要求 等级保护实施 等级保护测评及整改2018 6 1273等级保护实 施2018 6 1274木桶理论一个桶能装多少水不取决于桶有多高 而取 决于组成该桶的最短的那块木条的高度 所以安全是一个系统工程 涉及到多个方面 某一方面的缺陷会导致严重的安全事故 等级保护实施 需求分析2018 6 1275达标等保体系安全措施业务应用信息网络已运 营系统业务应用安全措施新建系统等保整改等保建设等级保护实施 已建成系统2018 6 1276满足政策要求满足标准要求满足用户自身要 求安全现状基本要求需求物理安全网络安全主机安全应用安全数据 安全与备份恢复等级保护实施 差异分析2018 6 1277等级保护实施 整体架构2018 6 1278其它定级系统安全接入 隔离设备计算环境区 域边界通信网络网站 应用服务器交换设备用户终端安全管理中心通 信网络区域边界计算环境安全管理中心等级保护实施 部署2018 6 1279统一规划 分步实施规范管理 责任落实确保安全 影响最小专家论证 内部验收计算环境区域边界通信网络等级保 护实施 三重防护2018 6 1280构筑由安全管理中心统一管理下的计算环境 区域边界 通信网络三重防御体系 安全区域边界可信计算环境安全管理中心安全通信网络等级保护实 施 常见问题2018 6 1281问我们还没有定级 预算经费也没有报 如何 开展工作 答根据定级要求和流程 先向公安递交定级备案文件 预算纳入工作计划 在经费未落实前 可以先行进行系统了解 系 统加固配合工作 差距评估 自评估整改等级测评等级保护实施 常见问题2018 6 1282问定级对象范围是什么 一般是以什