信息安全等级保护概念及案例分析

1、信息安全等级保护概念及案例分析做等级保护 铸信息安全目 录第一部分：有关概念、标准回顾第二部分：整改工作内容与流程第三部分：整改工作基本要求和实施第四部分：有关案例和常见问题分析国家高度重视信息安全国家先后出台了一系列信息安全文件和举措2003年，中办发200327号文件：国家信息化领导小组关于加强信息安全保障工作的意见，中国信息安全建设的里程碑：一、加强信息安全保障工作的总体要求和主要原则二、实行信息安全等级保护，重视信息安全风险评估三、加强以密码技术为基础的信息保护和网络信任体系建设四、建设和完善信息安全监控体系五、重视信息安全应急处理工作六、加强信息安全技术研究开发，推进信息安全产业发展

2、七、加强信息安全法制建设和标准化建设八、加快信息安全人才培养，增强全民信息安全意识九、保证信息安全资金十、加强对信息安全保障工作的领导，建立健全信息安全管理责任制国家高度重视信息安全国家先后出台了一系列信息安全文件和举措2012年国务院以国发201223号文件：国务院关于大力推进信息化发展和 切实保障信息安全的若干意见，涉及安全提到提升网络与信息安全保障水平等六个方面的任务：健全安全防护和管理，保障重点领域信息安全一、确保重要信息系统和基础信息网络安全。二、加强政府和涉密信息系统安全管理。三、保障工业控制系统安全。四、强化信息资源和个人信息保护。加快能力建设，提升网络与信息安全保障水平一、夯实

3、网络与信息安全基础。二、加强网络信任体系建设和密码保障。三、提升网络与信息安全监管能力。四、加快技术攻关和产业发展。五、加强宣传教育和人才培养。六、加快法规制度和标准建设。等级保护的重要地位信息安全等级保护是“令”-国家意志的体现国务院令【1994】147号中华人民共和国计算机信息系统安全保护条例 规定“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。信息安全等级保护由执法机构负责1995年2月18日人大12次会议通过并实施的中华人民共和国警察法第二章第六条第十二款规定，公安机关人民警察依法履行“监督管理计算机信息系统的安全保护工作”。信

4、息安全等级保护是“强制性国家标准”1999年 GB 17859计算机信息系统安全保护等级划分准则为信息安全等级保护提供了基础的标准依据。信息系统安全保护等级第五级第四级第三级第二级第一级信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 信息系统受到破坏

5、后，会对国家安全造成特别严重损害。等级保护是基本制度国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号 ）国务院第147号令中华人民共和国计算机信息系统安全保护条例（1994年2月18日）关于信息安全等级保护工作的实施意见（公通字200466号 ）信息安全等级保护管理办法（公通字2007 43 号）关于开展全国重要信息系统安全等级保护定级工作的通知（公信安2007861号）信息安全等级保护备案实施细则（公信安20071360号）公安机关信息安全等级保护检查工作规范（公信安2008736号） （七）关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技20082

6、071号）关于印发信息系统安全等级测评 报告模版（试行）的通知 公信安20091487号关于开展信息安全等级保护安全建设整改工作的指导意见(公信安20091429号)定级备案安全建设整改等级测评监督检查关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知公信安 2010303号主要政策回顾序号文 号发文单位名称1国务院令【1994】号国务院中华人民共和国计算机信息系统安全保护条例 规定“计算机信息系统实行安全等级保护”2中办发200327号中央办公厅国家信息化领导小组关于加强信息安全保障工作的意见3公通字200466号公安部/4部委关于信息安全等级保护工作的实施意见4中办 200618

7、号中央办公厅转发国家信息化领导小组关于推进国家电子政务网络建设的意见的通知 5公通字200743号公安部/4部委信息安全等级保护管理办法6公信安20071360号公安部信息安全等级保护备案实施细则7公信安2007861号公安部/4部委关于开展全国重要信息系统安全等级保护定级工作的通知8公信安2008736号 公安部公安机关信息安全等级保护检查工作规范（试行）9发改高技20082071号发改委关于加强国家电子政务工程建设项目信息安全风险评估工作的通知10公信安20091429号公安部关于印送关于开展信息安全等级保护安全建设整改工作的指导意见的函11公信安2010303号公安部关于推动信息安全等级

8、保护测评体系建设和开展等级测评工作的通知主要标准回顾序号标准编号标准分类名称1GB/T 22240-2008信息安全技术信息系统安全保护等级定级指南2GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求3GB/T 24856-2009信息安全技术信息系统安全等级保护安全设计技术要求4GB/T 25058-2010信息安全技术 信息系统安全等级保护实施指南5GB/T XXXXX-XXXX信息安全技术 信息系统安全等级保护测评要求序号标准编号标准分类名称1GB 17859-1999信息安全技术计算机信息系统安全保护等级划分准则2GB/T 20271-2006信息安全技术信息系统通

9、用安全技术要求3GB/T 21052-2006信息安全技术信息系统物理安全技术要求4GB/T 20270-2006信息安全技术网络基础安全技术要求5GB/T 20272-2006信息安全技术操作系统安全技术要求6GB/T 20273-2006信息安全技术数据库管理系统安全技术要求7GB/T 21028-2006信息安全技术服务器技术要求8GA/T 671-2006信息安全技术终端计算机系统安全等级技术要求9GB/T 20269-2006信息安全技术信息系统安全管理要求10GB/T 20282-2006信息安全技术信息系统安全工程管理要求计算机信息系统安全保护等级划分准则（GB17859）信息系

10、统通用安全技术要求信息系统物理安全技术要求技术类其他技术类标准信息系统安全管理要求信息系统安全工程管理要求其他管理类标准管理类产品类数据库管理系统安全技术要求其他产品类标准操作系统安全技术要求网络基础安全技术要求网络和终端设备隔离部件技术要求安全建设整改的依据信息系统安全等级保护基本要求信息系统安全等级保护定级指南信息系统安全等级保护基本要求的行业细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求信息系统安全等级保护行业定级细则安全等级基线要求状况分析方法指导信息系统安全等级保护实施指南信息安全等级保护安全建设整改工作四级各级信息系统控制项统计技术

11、33管理52 技术148 管理170技术136 管理154技术79 管理95二级指标项 174项三级指标项 290项二级和三级相差 116项基本要求的技术能力 第一级：防护第二级：防护、检测第三级：策略、防护、检测、恢复第四级：策略、防护、检测、恢复、响应基本要求的管理能力 第一级：一般执行（部分活动制度）第二级：计划实施（主要过程制度）第三级：统一策略（制度体系化）第四级：持续改进（验证可改进）业务系统面临的安全风险安全问题1、物理环境安全方面：未注意保留防盗窃、监控报警系统的运行维护检查记录缺乏各种设备的安全资质和验收报告2、网络安全方面：未合理划分VLAN网络边界未设置合理的访问控制措施

12、未配备入侵防范和网络层恶意代码防范设备3、主机安全方面：主机、数据库等应用系统的补丁未完全更新主机和数据库管理员权限未分离未关闭多余的服务，未配置合理的口令等措施安全问题4、应用安全方面：用户名和密码以明文形式传输未设置双因素认证方式无抗抵赖功能5、数据安全方面：无完整性机制无保密性机制关键设备无冗余，未异地备份6、安全管理方面：未建立体系化的安全管理，无详细运行记录未建立安全管理中心信息安全管理工作误区一、重视局部安全，对总体安全认识不足，对IT规划、安全规划在信息安全中的重要性认识不足；建设过程中，在物理环境、网络、主机、应用、数据及管理各层面均采用了部分安全措施；但往往忽视整体的安全规划

13、，在安全运维中经常陷于 “头痛医头，脚痛医脚”疲于奔命的局面；二、对安全运维、安全服务认识不足，自身技术条件不足情况下，安全运维长期缺位而不注意引入安全服务；三、认为信息安全只是技术问题，对安全管理认识不足，未能运行有效的安全管理体系，造成制度不到位、责任不明确，出现问题难以查找原因；四、认为信息安全即网络安全，对物理、主机、应用、数据安全认识不足，尤其对应用安全认识不足；五、重视安全产品的采购，忽视安全机制的建立；认为要达到等级保护要求，把该买的设备买够就行，结果不但造成浪费，而且事与愿违。安全建设整改目的通过等保安全整改实现提升信息安全水平和符合国家政策两项目标：一、要提升信息安全管理水平

14、，从组织、人员、制度和技术各个方面解决信息安全问题，形成符合我单位特点的整体信息安全保障体系；二、符合等级保护政策要求，通过相关权威测评机构等保测评；三、两个目标是一致的，符合等级保护政策是外在动力，提升信息安全管理水平是内在需求。撰写定级报告定级备案方案设计建设整改等级测评运维保障组织定级评审协助定级备案风险评估对标差距分析差距报告建设方案协助撰写招标书组织方案评审技术策略实施管理体系建设安全产品集成提供安全产品组织方案评审风险评估培训测评材料准备配合现场测评组织测评整改年度等级测评驻场运维服务定期评估服务下属单位安全检查应急响应支持等级测评测评报告差距测评等级测评差距报告建设方案管理体系建

15、设安全产品集成岗位职责梳理测评报告服务思路（体系化设计）测评思路（差什么补什么）技术策略实施等级保护建设过程服务工作平台水利部 水利部机关政府外网信息安全体系及流域机构数字证书身份认证系统建设项目客户项目联想网神等保建设部委典型案例 金农工程一期安全集成与安全服务项目农业部落实发改委2071号文件和等级保护制度要求，开展定级、调研、设计、技术实施、管理实施、评估加固、测评、产品采购、运维等全过程。最终测评三级系统85分，二级系统95分。落实国家信息安全等级保护制度，开展定级、调研、设计、技术实施、管理实施、评估加固、测评、产品采购、运维等全过程。最终测评三级系统88分，二级系统97分。 国家安

16、全生产监督管理局 国家安全生产信息系统(金安工程一期)安全系统项目落实发改委2071号文件和等级保护制度要求，开展总体安全产品集成工作，覆盖45个省级节点，116个地市节点，187个分级节点，900个地县级节点，部本级通过等级测评。教育部教育服务与监管体系信息化建设项目安全服务与集成结合教育发展中长期规划要求，落实等级保护制度要求，开展信息系统安全服务与集成。26个三级系统安全咨询、安全服务、安全产品、安全集成、教育行业等级保护标准撰写典型案例客户名称网神项目范围建设时间测评单位国家安监总局5个3级系统，覆盖总部及全国4级机构的安全咨询、安全服务、安全产品、安全集成2008年2011年公安部等

17、级保护测评中心国家工商总局2个3级系统的安全咨询、安全服务、安全产品、安全集成2009年2010年公安部等级保护测评中心中国农业部5个三级系统，3个二级系统安全咨询、安全服务、安全产品、安全集成2009年2011年中国信息安全测评中心中国水利部6个三级系统，5个二级系统安全咨询、安全服务、安全产品、安全集成2010年2011年中国信息安全测评中心中国建设银行建设银行等级保护标准规范编写；建设银行网银安全服务2010年2011年中国兽医药品网1个三级系统安全咨询、安全服务、安全产品、安全集成2009年中国信息安全测评中心中国外文局7个二级系统安全咨询、安全服务2011年中国信息安全测评中心中国社

18、科院120个余个二、三级信息系统安全咨询2011年国家知识产权局11个二级系统安全咨询、安全服务、安全集成2011年中国信息安全测评中心中化集团1个三级系统安全咨询、安全服务、安全产品、安全集成2010年公安部等级保护测评中心中国教育部26个三级系统安全咨询、安全服务、安全产品、安全集成教育行业等级保护标准撰写20112013公安部等级保护测评中心教育等级保护测评中心财政部三级的系统15个，二级的系统32个，共37个系统安全咨询、安全服务、安全整改，协助测评2012年国家信息技术安全研究中心信息系统全生命周期安全保障需求阶段规划阶段建设阶段运维阶段安全集成运维服务安全咨询解决方案传输安全产品-

19、SSL VPN（云安全）-IP Sec VPN网关安全产品-FW（防火墙）-IPS（入侵防御）-IDS（入侵检测）-AV（防病毒网关）-SIS（网闸）-流控(带宽管理系统)-上网行为管理-UTM（统一威胁管理）数据与安全管理产品-日志审计-数据库审计-业务审计-运维审计（防统方）-安全监控。主机和应用安全产品-WAF-SSM-漏洞扫描硬件平台技术，安全操作系统技术，密码技术，传输技术 ,安全协议技术，深度检测技术，访问控制技术，管理技术 安全服务平台国家安全政策法规及行业安全标准产品与技术安全产品全面覆盖等级技术要求等保技术优势联想网神在某项目中设计了“三个体系，一个中心，三重防护”安全保障体

20、系框架。该设计方案得到了沈昌祥院士、郭启全处长等多位国家等级保护专家的高度认可。目前项目实施工作已经完成，测评分数高，保障效果良好。公安部等级保护推广推荐单位；北京市公安局等级保护工作推广技术支撑单位；参与等级保护国家、行业标准撰写；“三个体系”：信息安全管理体系、信息安全技术体系和信息安全运行体系，把等级保护基本要求的控制点结合部实际情况形成相适应的体系结构框架；“一个中心”：信息安全管理中心，实现“自动、平台化”的安全工作管理、统一技术管理和安全运维管理；“三重防护”：安全计算环境防护措施、安全区域边界防护措施和安全网络通信防护措施，把安全技术控制措施与安全保护对象相结合。 “某金字”工程

21、一期等保案例在“某金字”工程项目中，联想网神作为该项目的安全服务商和安全集成商，在项目中承担以下工作任务：业务梳理与安全需求分析安全保障体系细化与梳理安全技术策略与规范编写与标准制定安全管理体系编写协助安全产品采购安全产品供货（部分）安全产品集成实施安全评估加固协助等级保护测评安全运维保障联想网神公司做为安全集成与安全服务提供商，充分协调总集成商、网络集成商、应用开发商、等级保护技术专家等各方面资源，为用户搭建了一套覆盖技术、管理、运维等多个层面的安全保障体系。“某金字工程”工程已经顺利通过等级保护测评，其中三级系统最高符合度评分可达到85%（即85分），二级系统最高符合度评分可达到95%（即

22、95分），均系当时国家级测评机构部委备案系统等级保护测评分值最高的系统。 某部委部等保服务案例在某部委信息安全建设项目中，联想联想网神公司承担以下工作：业务梳理与安全需求分析安全保障体系设计网络安全架构改造安全产品供货安全集成实施与策略部署安全管理体系设计安全评估加固协助等级保护测评联想联想网神依据等保基本要求和政策要求，结合某部委信息系统安全建设的实际情况，安全保护对象为基础，设计了“三个体系，一个中心，三重防护”安全保障体系框架。该设计方案得到了沈昌祥院士、郭启全处长等多位国家等级保护专家的高度认可。目前，工程已经顺利通过等级保护测评，其中三级系统最高符合度评分可达到97%（即97分），二

23、级系统最高符合度评分可达到96%（即96分），再次突破某金字工程所获的最高得分，成为截至目前国家级测评机构部委备案系统等级保护测评分值最高的系统，联想联想网神的等保工程能力也得到了广泛的认可。等级保护的安全保障体系改造示例完善安全保障体系，制定长远规划产品名称生产厂家数量防火墙联想联想网神8台杀毒软件MCAFEE1套数据库系统审系统启明4台防病毒网关方正熊猫2台（串行）方正熊猫3台（并行）入侵检测系统启明星辰3台漏洞扫描系统启明星辰3台网络审计系统启明星辰3套主机审计系统启明星辰3套带宽管理系统网康科技1台SSL VPN深信服1台桌面终端管理系统北信源1套网页防篡改系统中创软件2套建立符合等级

24、保护的管理制度对相关网络、系统、应用提出安全要求促进应用安全、系统安全和网络安全自身安全防护能力增长，编制配置规范安全产品编制配置和运维规范，做好后期运维衔接工作部署安全产品机架式漏洞扫描系统便携式漏洞扫描系统机动扫描各安全域实现等级保护要求：（漏洞扫描系统）通过部署入侵检测产品，实现如下安全目标：能够在网络边界处对端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击等攻击行为进行实时的监控；当检测到攻击行为后，能够记录攻击源IP、攻击类型、攻击事件等事件提供及时的报警。主机核心防护系统实现等级保护要求：（主机核心防护）采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。根据管理

25、用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；对重要信息资源设置敏感标记；依据安全策略严格控制用户对有敏感标记重要信息资源的操作；对服务器的每个操作系统用户进行安全审计；对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况；攻击检测-入侵检测系统行为审计-网络审计系统流量监测-带宽管理系统部署安全产品实现等级保护要求：（网络审计系统SOC）应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；应能够根据记录数据进行分析，并生成审计报表；应对审

26、计记录进行保护，避免受到未预期的删除、修改或覆盖等。实现等级保护要求：（流量带宽管理系统）通过部署流量分析产品，能够及时有效的对网络流量和业务流量进行细致、深度的分析，同时通过流量分析产品强大的报表功能，为网络管理员提供网络分析报表服务，满足用户对所有网络流量相关的日常工作的监控和管理的需要。实现等级保护要求：（入侵检测系统）在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。外部网络边界访问控制-防火墙系统内部区域边界访问控

27、制-防火墙系统部署安全产品实现等级保护要求：（防火墙）在各重要区域边界实现端口级访问控制；在会话处于非活跃一定时间或会话结束后终止网络连接；应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问。安全管理区桌面终端管理系统实现等级保护要求：（桌面终端管理系统）启用访问控制功能，依据安全策略控制用户对资源的访问；审计范围应覆盖重要客户端上的每个操作系统用户；审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；保持系统补丁及时得到更新；通过设定终端接入方式、网络地址范围等条件限制终端登录；对系统的服务水平降低到预先规定的最小值进行检测和

28、报警。落实访问控制策略目的源互联网服务器区政务外网服务器区SAN存储区网管区托管区终端区互联网国家电子政务外网同城联网互联网服务器区部分可达部分可达不可达允许不可达可达不可达不可达政务外网服务器区可达部分可达不可达可达不可达不可达可达可达SAN存储区不可达不可达不可达不可达不可达不可达不可达不可达网管区可达可达部分可达可达可达不可达不可达不可达托管区部分可达部分可达不可达不可达不可达可达不可达不可达终端区部分可达部分可达不可达部分可达部分可达可达可达可达互联网部分可达不可达不可达不可达部分可达不可达不可达不可达国家电子政务外网不可达部分可达不可达不可达不可达不可达不可达不可达同城联网部分可达部

29、分可达不可达不可达部分可达不可达部分可达不可达保证业务通畅严格控制互访保护重要区域攻击防御-入侵防御系统病毒防御-防病毒网关系统篡改防护-页面防篡改系统部署安全产品实现等级保护要求（防病毒网关）：应在网络边界处对恶意代码进行检测和清除；应维护恶意代码库的升级和检测系统的更新。实现等级保护要求：（网页防篡改）通过部署网页防篡改产品，可以实现以下安全目标：通过对网页的监控，及时发现网页篡改现象，并产生告警；对已经篡改的网页进行及时的恢复。实现等级保护要求：（入侵检测系统）在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；当检测到攻击行为时