信息安全等级保护概念与标准

1、信息安全等级保护概念与标准做等级保护 铸信息安全国家高度重视信息安全国家先后出台了一系列信息安全文件和举措2003年，中办发200327号文件：国家信息化领导小组关于加强信息安全保障工作的意见，中国信息安全建设的里程碑：一、加强信息安全保障工作的总体要求和主要原则二、实行信息安全等级保护，重视信息安全风险评估三、加强以密码技术为基础的信息保护和网络信任体系建设四、建设和完善信息安全监控体系五、重视信息安全应急处理工作六、加强信息安全技术研究开发，推进信息安全产业发展七、加强信息安全法制建设和标准化建设八、加快信息安全人才培养，增强全民信息安全意识九、保证信息安全资金十、加强对信息安全保障工作的

2、领导，建立健全信息安全管理责任制国家高度重视信息安全国家先后出台了一系列信息安全文件和举措2012年国务院以国发201223号文件：国务院关于大力推进信息化发展和 切实保障信息安全的若干意见，涉及安全提到提升网络与信息安全保障水平等六个方面的任务：健全安全防护和管理，保障重点领域信息安全一、确保重要信息系统和基础信息网络安全。二、加强政府和涉密信息系统安全管理。三、保障工业控制系统安全。四、强化信息资源和个人信息保护。加快能力建设，提升网络与信息安全保障水平一、夯实网络与信息安全基础。二、加强网络信任体系建设和密码保障。三、提升网络与信息安全监管能力。四、加快技术攻关和产业发展。五、加强宣传教

3、育和人才培养。六、加快法规制度和标准建设。等级保护的重要地位信息安全等级保护是“令”-国家意志的体现国务院令【1994】147号中华人民共和国计算机信息系统安全保护条例 规定“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。信息安全等级保护由执法机构负责1995年2月18日人大12次会议通过并实施的中华人民共和国警察法第二章第六条第十二款规定，公安机关人民警察依法履行“监督管理计算机信息系统的安全保护工作”。信息安全等级保护是“强制性国家标准”1999年 GB 17859计算机信息系统安全保护等级划分准则为信息安全等级保护提供了基础的标准

4、依据。概念回顾信息系统安全等级保护指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护；对信息系统中使用的信息安全产品实行按等级管理；对信息系统中发生的信息安全事件分等级响应、处置（摘自“关于信息安全等级保护工作的实施意见（公通字200466号 ）文件）概念回顾三类基本要求S类业务信息安全保护类关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改。A类系统服务安全保护类关注的是保护系统连续正常的运行，避免因对系统的未授权修改、破坏而导致系统不可用。G类通用安全保护类既关注保护业务信息的安全性，同时也关注保护系统的

5、连续可用性。信息系统安全保护等级第五级第四级第三级第二级第一级信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 信息系统受到破坏后，会对国家安全造成特别严重损害。等级保护是基本制度国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号

6、）国务院第147号令中华人民共和国计算机信息系统安全保护条例（1994年2月18日）关于信息安全等级保护工作的实施意见（公通字200466号 ）信息安全等级保护管理办法（公通字2007 43 号）关于开展全国重要信息系统安全等级保护定级工作的通知（公信安2007861号）信息安全等级保护备案实施细则（公信安20071360号）公安机关信息安全等级保护检查工作规范（公信安2008736号） （七）关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技20082071号）关于印发信息系统安全等级测评 报告模版（试行）的通知 公信安20091487号关于开展信息安全等级保护安全建设整改

7、工作的指导意见(公信安20091429号)定级备案安全建设整改等级测评监督检查关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知公信安 2010303号主要政策回顾序号文 号发文单位名称1国务院令【1994】号国务院中华人民共和国计算机信息系统安全保护条例 规定“计算机信息系统实行安全等级保护”2中办发200327号中央办公厅国家信息化领导小组关于加强信息安全保障工作的意见3公通字200466号公安部/4部委关于信息安全等级保护工作的实施意见4中办 200618号中央办公厅转发国家信息化领导小组关于推进国家电子政务网络建设的意见的通知 5公通字200743号公安部/4部委信息安全等级

8、保护管理办法6公信安20071360号公安部信息安全等级保护备案实施细则7公信安2007861号公安部/4部委关于开展全国重要信息系统安全等级保护定级工作的通知8公信安2008736号 公安部公安机关信息安全等级保护检查工作规范（试行）9发改高技20082071号发改委关于加强国家电子政务工程建设项目信息安全风险评估工作的通知10公信安20091429号公安部关于印送关于开展信息安全等级保护安全建设整改工作的指导意见的函11公信安2010303号公安部关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知主要标准回顾序号标准编号标准分类名称1GB/T 22240-2008信息安全技术信息

9、系统安全保护等级定级指南2GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求3GB/T 24856-2009信息安全技术信息系统安全等级保护安全设计技术要求4GB/T 25058-2010信息安全技术 信息系统安全等级保护实施指南5GB/T XXXXX-XXXX信息安全技术 信息系统安全等级保护测评要求序号标准编号标准分类名称1GB 17859-1999信息安全技术计算机信息系统安全保护等级划分准则2GB/T 20271-2006信息安全技术信息系统通用安全技术要求3GB/T 21052-2006信息安全技术信息系统物理安全技术要求4GB/T 20270-2006信息安全技

10、术网络基础安全技术要求5GB/T 20272-2006信息安全技术操作系统安全技术要求6GB/T 20273-2006信息安全技术数据库管理系统安全技术要求7GB/T 21028-2006信息安全技术服务器技术要求8GA/T 671-2006信息安全技术终端计算机系统安全等级技术要求9GB/T 20269-2006信息安全技术信息系统安全管理要求10GB/T 20282-2006信息安全技术信息系统安全工程管理要求计算机信息系统安全保护等级划分准则（GB17859）信息系统通用安全技术要求信息系统物理安全技术要求技术类其他技术类标准信息系统安全管理要求信息系统安全工程管理要求其他管理类标准管理

11、类产品类数据库管理系统安全技术要求其他产品类标准操作系统安全技术要求网络基础安全技术要求网络和终端设备隔离部件技术要求安全建设整改的依据信息系统安全等级保护基本要求信息系统安全等级保护定级指南信息系统安全等级保护基本要求的行业细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求信息系统安全等级保护行业定级细则安全等级基线要求状况分析方法指导信息系统安全等级保护实施指南信息安全等级保护安全建设整改工作四级各级信息系统控制项统计技术33管理52 技术148 管理170技术136 管理154技术79 管理95二级指标项 174项三级指标项 290项二级和三

12、级相差 116项基本要求的技术能力 第一级：防护第二级：防护、检测第三级：策略、防护、检测、恢复第四级：策略、防护、检测、恢复、响应基本要求的管理能力 第一级：一般执行（部分活动制度）第二级：计划实施（主要过程制度）第三级：统一策略（制度体系化）第四级：持续改进（验证可改进）业务系统面临的安全风险安全问题1、物理环境安全方面：未注意保留防盗窃、监控报警系统的运行维护检查记录缺乏各种设备的安全资质和验收报告2、网络安全方面：未合理划分VLAN网络边界未设置合理的访问控制措施未配备入侵防范和网络层恶意代码防范设备3、主机安全方面：主机、数据库等应用系统的补丁未完全更新主机和数据库管理员权限未分离未

13、关闭多余的服务，未配置合理的口令等措施安全问题4、应用安全方面：用户名和密码以明文形式传输未设置双因素认证方式无抗抵赖功能5、数据安全方面：无完整性机制无保密性机制关键设备无冗余，未异地备份6、安全管理方面：未建立体系化的安全管理，无详细运行记录未建立安全管理中心信息安全管理工作误区一、重视局部安全，对总体安全认识不足，对IT规划、安全规划在信息安全中的重要性认识不足；建设过程中，在物理环境、网络、主机、应用、数据及管理各层面均采用了部分安全措施；但往往忽视整体的安全规划，在安全运维中经常陷于 “头痛医头，脚痛医脚”疲于奔命的局面；二、对安全运维、安全服务认识不足，自身技术条件不足情况下，安全运维长期缺位而不注意引入安全服务；三、认为信息安全只是技术问题，对安全管理认识不足，未能运行有效的安全管理体系，造成制度不到位、责任不明确，出现问题难以查找原因；四、认为信息安全即网络安全，对物理、主机、应用、数据安全认识不足，尤其对应用安全认识不足；五、重视安全产品的采购，忽视安全机制的建立；认为要达到等级保护要求，把该买的设备买够就行，结果不但造成浪费，而且事与愿违。安全建设整改目的通过等保安全整改实现提升信息安全水平和符合国家政策两项目标：一、要提升信息安全管理水平，从组织、人员、制度和技术各个方面解决信息安全问