等保交流-基础知识-v

信息安全等级保护基础知识与安全产品在等保中的应用第一页，共二十七页。提纲：1、等级保护的基本知识2、等保工作的流程3、等保解决方案第二页，共二十七页。等级保护的基础知识第三页，共二十七页。等级保护的一些基础知识等级保护是一个体系建设工作，将来会是在未来指导我国信息安全工作的根本；等级保护所有标准为推荐标准（GBT），所以不是强制执行，且各行业会制定自己的标准；等级保护的定级是针对业务系统，但是进行等级保护建设时讲究的是整体环境建设满足等级要求；当网络环境内运行多个业务系统时，应当按照定级高的业务系统进行环境建设；等级保护的定级分为三个纬度SAG，S指的是业务信息安全类，A指的是系统服务保证类，G是基本要求。比如三级分为：S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3，并非等保三级指的是一个要求;第四页，共二十七页。三个分等级等级保护的定义：是指对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级进行响应、处置。等级保护，即分等级保护，分等级监管。什么是信息安全等级保护？第五页，共二十七页。等保与分保的区别：等级保护分级保护管理体系不同公安机关国家保密工作部门标准体系不同国家标准（GB、GB/T推荐标准)国家保密标准（BMB，强制执行）保护对象不同各种信息系统国家涉密信息系统划分级别第一级（自主保护）第二级（指导保护）第三级（监督保护）第四级（强制保护）第五级（专控保护）秘密级机密级绝密级资质要求测评：公安部备案的具有测评资质的机构。安全产品：等保三级以上系统，应优先考虑国内安全产品，除非国外安全产品无法使用国内产品替代时，才允许使用国外安全产品。集成：保密局发的涉密集成资质单项：保密局发的涉密单项资质安全产品：保密局发的涉密检测报告密码产品：国密局发的密码资质防病毒软件；公安部的检测报告军队：军用安全产品检测报告；全部禁止使用国外安全产品第六页，共二十七页。等级保护目标客户：（一）电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。（二）铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、统计、工商行政管理、邮政、国防工业等关系到国计民生的信息系统（生产、调度、管理、办公等重要信息系统）。（三）教育、国家科研等单位的信息系统（四）市（地）级以上党政机关的重要网站和办公信息系统（五）中央企业以及国资委下属企业

第七页，共二十七页。目前国家出台了哪些有关等保的政策？国家：国务院147号令《中华人民共和国计算机信息系统安全保护条例》（94年）公通字[2004]66号《关于信息安全等级保护工作的实施意见》公通字[2007]43号《信息安全等级保护管理办法》陕西省：陕等保办[2010]1号《关于组织开展全省重要信息系统安全等级保护工作专项检查的通知》陕等保办[2011]2号《陕西省信息安全等级保护安全建设整改工作指导意见》的通知陕公通字[2011]27号《关于进一步推进我省企业信息系统安全等级保护工作的通知》陕等保办[2012]1号《关于开展“十八大”重要信息系统等级保护检查工作的通知》第八页，共二十七页。西安市西等办[2012]01号《关于开展信息安全等级保护等级测评工作的通知》银行西银办[2011]273号《关于进一步推动陕西省银行业信息安全等级保护工作的通知》银发[2012]163号《中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见》法院（最近一次）：法（办）明传（2012）14号《关于进一步推进人民法院信息安全等级保护工作的通知》教育（最近一次）：陕教保办[2012]20号《关于进一步落实全省教育信息系统安全等级保护工作的通知》第九页，共二十七页。医院卫办发〔2011〕85号《卫生部关于印发<卫生行业信息安全等级保护工作的指导意见>的通知》卫办综函〔2011〕1126号《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》交通（最近一次）：陕交函[2011]845号《关于交通运输行业在用信息系统安全等级保护定级及测评工作的通知》广电（最近一次）：陕公通字[2011]65号《关于开展我省广播电视相关信息系统安全等级保护工作的通知》保险、证券。第十页，共二十七页。等级保护的流程第十一页，共二十七页。等级保护流程及相关部门定级建设规划整改测评备案自查与定期检查评审与审批二级以上信息系统按标准选产品选择评测机构信息安全监管部门检查国家管理部门公安网监安全服务商安全产品提供商各省安全评测机构信息安全监管部门等级保护流程各阶段任务相关部门第十二页，共二十七页。等级保护的技术规范与标准等保工作实施依据：实施指南安全等级确定依据：定级指南设计、建设和整改工作依据：□划分准则□基本要求(SAG)

S:信息安全类要求A：服务保障类要求G：通用安全保护类要求□通用安全技术要求□网络基础安全/操作系统/数据库管理/服务器/终端计算机/信息安全管理/信息安全工程管理技术要求等保测评工作依据：评测指南第十三页，共二十七页。定级要素与安全保护等级的关系第十四页，共二十七页。等级保护的安全模型框架测评项Ⅱ级Ⅲ级技术要求79136管理要求96154总计175290第十五页，共二十七页。等级测评周期：三级：应当每年至少进行一次等级测评四级：应当每半年至少进行一次等级测评二级：参照三级要求进行测评（每二年至少进行一次等级测评）第十六页，共二十七页。等级保护解决方案介绍第十七页，共二十七页。等级保护方案介绍方案定位：是建议！不是设计方案，不是整改方案，不是实施方案是针对客户进行等级保护建设时碰到的问题，我们

依据产品给出的符合等级保护要求的解决方案可以作为客户进行等保设计方案和改造方案时的参考第十八页，共二十七页。方案的目标：在等保项目中卖产品；等保是个体系建设，不是说客户按照我们这个方案都做了就完成等保建设了，只是在我们提到的这些方面满足等保的要求；等级保护方案介绍第十九页，共二十七页。区域边界隔离与审计挖掘需求：在进行等级保护建设时，首先要按照业务类型、重要程度等因素进行安全域的划分。在安全域与安全域之间，需要严格控制信息流向，对通过安全域边界进行的数据交换应该进行严格的控制，这些控制手段通常包括：访问控制、入侵检测与防御、恶意代码防范、网络行为审计等。技术要求：网络安全-访问控制网络安全-入侵防范网络安全-恶意代码防范网络安全-安全审计网络安全–边界完整性产品方案：防火墙:智能防火墙，功能完善，解决多产品串联糖葫芦串的问题；IPS：访问控制、入侵防范、恶意代码防范信息安全审计：网络安全审计第二十页，共二十七页。网络结构安全与冗余部署挖掘需求：目前多数骨干数据交换系统均采用中央、省、市、县多级组网，通过专线或者VPN连接，实现业务数据的上报和交换，并实现数据大集中。技术要求：网络安全-结构安全网络安全-通信完整性网络安全-通信保密性数据安全-数据传输保密性数据安全-备份与恢复方案：SSLVPN：加密功能解决通信与数据的保密性；上网行为管理：解决结构安全中的业务带宽保障管理需求第二十一页，共二十七页。用户接入、身份鉴别挖掘需求：等级保护的业务系统常常有这种情况，需要有许多单个的用户从不同的地点接入，这些用户分布比较分散，缺乏控制，终端设备难以预测，甚至有些用户是移动用户，需要使用移动智能终端接入业务系统。技术要求：应用安全-身份鉴别、访问控制、安全审计应用安全-通信保密性、通信完整性方案：SSLVPN：远程用户接入时的身份鉴别、权限控制、安全审计，并保证通信保密性和完整性；服务器群组防护：用户访问时进行身份鉴别，保证访问业务系统的安全性与边界隔离；堡垒机：设备用户权限管理的安全问题；第二十二页，共二十七页。安全管理中心挖掘需求：随着信息化建设的进行，服务器和网络设备越来越多，业务系统越来越多，用户没有精力逐个监控，迫切的需要有一个系统能够监控整个网络的情况，尤其是监控所有业务系统的健康状况，并且当业务系统出现问题时，能够进行即使的告警。另外，需要实现对设备的统一的策略管理和下发。技术要求：应用安全-资源控制主机安全-资源控制监控管理和安全管理中心网络安全管理方案：服务器群组防护：服务器运行状态的监控与告警；SOC：设备的集中管理与控制；第二十三页，共二十七页。等级保护我们的结合点技术规范要求需求结合点1.身份鉴别和自主访问控制SSLVPN/堡垒机2.安全审计信息安全审计/上网行为管理3.完整性和保密性保护IPSEC/SSLVPN4.边界保护防火墙/IPS5.资源控制防火墙/服务器群组防护/VPN/WAF6.入侵防范和恶意代码防范IPS/IDS7.安全管理平台设置SOC8.备份与恢复9.强制访问控制10.可信路径设置(四级)11.系统防渗透措施(四级)

12.密码技术应用VPN13.环境与设施安全

14.系统运维管理SOC第二十四页，共二十七页。安全技术Ⅲ级信息系统安全产品部署（依据《等保基本要求》）外联区汇聚接入区DMZ区服务器区核心区日志补丁网络版杀毒软件认证异地灾备中心WAF·信息审计IDSFWSOC服务器群组防护IPS第二十五页，共二十七页。谢谢第二十六页，共二十七页。内容梗概信息安全等级保护基础知识。等级保护是一个体系建设工作，将来会是在未来指导我国信息安全工作的根本。等级保护所有标准为推荐标准（GBT），所以不是强制执行，且各行业会制定自己的标准。等级保护的定级是针对业务系统，但是进行等级保护建设时讲究的是整体环境建设满足等级要求。当网络环境内运行多个业务系统时，应当按照定级高的业务系统进行环境建设。比如三级分为：S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3，并非等保三级指的是一个要求。测评：公安部备案的具有测评资质的机构。密码产品：国密局发的密码资质。（一）电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要