信息安全等级保护专业知识课件

信息安全等级保护专业知识1信息安全等级保护专业知识1主题21234信息安全的属性特征和管理分类什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容25等级保护的建设流程6等级保护各参与部门的角色定位7涉及国家秘密信息系统的分级保护主题21234信息安全的属性特征和管理分类什么是等级保护等级信息安全的属性特征3信息安全是整体的、发展的、非传统的安全；信息安全是一个系统工程，需要全社会共同努力；信息安全不是绝对的，是动态的、相对的；信息安全不是一个国家能完全控制的问题，具有全球化的特点，应从全球信息化角度考虑和布局；信息安全不是一个孤立的问题，应在系统建设过程中充分考虑。信息安全的属性特征3信息安全是整体的、发展的、非传统的安全；信息安全管理分类4密保（分保）——分三级（绝密、机密、秘密）涉密环境（网络、终端、应用系统及数据）的信息安全等保——分五级非涉密环境（网络、终端、应用系统及数据）的信息安全信息安全管理分类4密保（分保）——分三级（绝密、机密、秘密主题21234信息安全的属性特征和管理分类什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容55等级保护的建设流程6等级保护各参与部门的角色定位7涉及国家秘密信息系统的分级保护主题21234信息安全的属性特征和管理分类什么是等级保护等级什么是等级保护6信息系统等级保护的定义是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。等级保护工作分为五个环节：定级、备案、建设整改、等级测评、监督检查。信息安全等级保护是基本制度、基本国策什么是等级保护6信息系统等级保护的定义等级保护的等级划分准则7根据信息和信息系统遭到破坏或泄露后，对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度来进行定级。1、受侵害客体；2、受侵害程度。等级保护的等级划分准则7根据信息和信息系统遭到破坏或泄露后，等级保护的等级划分准则8等级保护的等级划分准则8公安部关于等级保护文件规定第一级为自主保护级第二级为指导保护级第一级为监督保护级第一级为强制保护级第一级为专控保护级9公安部关于等级保护文件规定第一级为自主保护级9等级保护涉及的几个概念10主动用户、进程主体被动文件、存储设备客体访问：读、写、执行权限安全策略安全审计强制访问控制等级保护涉及的几个概念10主动主体被动客体访问：读、写、执行等级保护的等级划分准则11第一级用户自主保护级第二级系统审计保护第三级安全标记保护第四级结构化保护第五级访问验证保护用户自主控制资源访问访问行为需要被审计通过标记实现强制访问控制可信计算基结构化所有的过程都需要验证等级保护的等级划分准则11第一级用户自主保护级第二级系统等级保护的等级划分准则12第一级自主安全保护第二级审计安全保护第三级强制安全保护第四级结构化保护第五级访问验证保护级自主访问控制身份鉴别完整性保护自主访问控制身份鉴别完整性保护系统审计客体重用自主访问控制身份鉴别完整性保护系统审计客体重用强制访问控制标记自主访问控制身份鉴别完整性保护系统审计客体重用强制访问控制标记自主访问控制身份鉴别完整性保护系统审计客体重用强制访问控制标记隐蔽通道分析可信路径隐蔽通道分析可信路径可信恢复等级保护的等级划分准则12第一级自主安全保护第二级审计安信息系统的五个安全保护等级13第一级：一般适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。第二级：一般适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统，如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。第三级：一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省连接的网络系统等。第四级：一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。第五级：一般适用于国家重要领域、重要部门中的极端重要系统信息系统的五个安全保护等级13第一级：一般适用于小型私营、个主题31234信息安全的属性特征和管理分类什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容145等级保护的建设流程6等级保护各参与部门的角色定位7涉及国家秘密信息系统的分级保护主题31234信息安全的属性特征和管理分类什么是等级保护等级等级保护的国家政策15颁布时间文件名称文号颁布机构内容及意义1994年2月18日《中华人民共和国计算机信息系统安全保护条例》国务院147号令国务院第一次提出信息系统要实行等级保护，并确定了等级保护的职责单位。2003年9月7日《国家信息化领导小组关于加强信息安全保障工作的意见》中办国办发[2003]27号中共中央办公厅国务院办公厅等级保护工作的开展必须分步骤、分阶段、有计划的实施。明确了信息安全等级保护制度的基本内容。2004年9月15日《关于信息安全等级保护工作的实施意见》公通字[2004]66号公安部国家保密局国家密码管理委员会办公室（国家密码管理局）国务院信息化工作办公室将等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障的一项基本制度。2007年6月22日《信息安全等级保护管理办法》公通字[2007]43号明确了信息安全等级保护制度的基本内容、流程及工作要求，明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务。2007年7月16日《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号就定级范围、定级工作主要内容、定级工作要求等事项进行了通知。等级保护的国家政策15颁布时间文件名称文号颁布机构内容及意义等级保护的技术标准规范16GB17859-1999计算机信息系统安全保护等级划分准则信息系统安全等级保护定级指南GB/T20269-2006信息系统安全管理要求GB/T20282-2006信息安全技术信息系统安全工程管理要求GB/T20270-2006信息安全技术网络基础安全技术要求GB/T20271-2006信息安全技术信息系统通用安全技术要求GB/T20272-2006信息安全技术操作系统安全技术要求GB/T20273-2006信息安全技术数据库管理系统通用安全技术要求GB/T22239-2008信息安全技术信息系统安全等级保护基本要求信息安全技术信息系统等级保护安全设计技术要求(已送批)信息系统安全等级保护实施指南……GB/T20009-2005信息安全技术操作系统安全评估准则国家已出台70多个国标、行标以及报批标准，从基础、设计、实施、管理、制度等各个方面对等保系统提出了要求和建议。等级保护的技术标准规范16GB17859-1999计算机等级保护的技术标准规范17《计算机信息系统安全保护等级划分准则》（GB17859-1999）《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）《信息安全技术操作系统安全技术要求》

（GB/T20272-2006）《信息安全技术

信息系统安全等级保护基本要求》（GB/T22239-2008）《信息安全技术

信息系统等级保护安全设计技术要求》面向评估者技术标准：面向建设者技术标准：等级保护的技术标准规范17《计算机信息系统安全保护等级划分准等级保护的技术标准规范18《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）《信息系统安全管理体系标准》（ISO/IEC27001）《信息安全技术信息系统安全等级保护实施指南》（GB/Txxxxx-2007

）管理类标准：等保方案类标准：系统定级类标准：《信息安全技术信息系统安全保护等级定级指南》（GB/T22240-2008）等级保护的技术标准规范18《信息安全技术信息系统安全工程管等级保护的技术标准规范19《信息系统安全等级保护基本要求》(GB/T22239-2008)《信息系统等级保护安全设计技术要求》（已审批）《计算机信息系统安全保护等级划分准则》（GB17859-1999）最早提出的基础性、强制性标准；粒度较粗，是一个指导性标准；公安部作为等保系统建设、评测的重要依据等保系统设计时的主要依据：一个中心三重防御国家已出台约70余个标准，重点需要了解的有：等级保护的技术标准规范19《信息系统安全等级保护基本要求》(主题41234信息安全的属性特征和管理分类什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容205等级保护的建设流程6等级保护各参与部门的角色定位7涉及国家秘密信息系统的分级保护主题41234信息安全的属性特征和管理分类什么是等级保护等级等级保护的建设目标21某级信息系统技术要求管理要求基本要求建立安全技术体系建立安全管理体系具有某级安全保护能力的系统等级保护的建设目标21某级信息系统技术要求管理要求基本要求建等级保护的建设要求22物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理等级保护的建设要求22物理安全技术要求管理要求基本要求网络安等级保护的建设要求23环境安全防其他自然灾害机房与设施安全环境与人员安全设备安全防止电磁泄露发射防盗与防毁防电磁干扰介质安全介质的管理介质的分类介质的防护物理安全等级保护的建设要求23环境安全防其他自然灾害机房与设施安全环等级保护的建设要求24网络安全1.网络结构安全2.网络访问控制3.网络安全审计4.边界完整性检查5.网络入侵防范6.恶意代码防护7.网络防护设备主机安全身份鉴别强制访问控制系统安全审计4.剩余信息保护5.入侵防范6.恶意代码防范7.资源控制

应用安全

1.身份认证2.安全审计3.剩余信息保护4.通信完整性和机密性保护数据安全1.数据机密性保护2.数据完整性保护5.控制软件容错；6.严格的访问；7.自动保护功能；8.资源控制；等级保护的建设要求24网络安全主机安全等级保护的建设模式25满足政策要求满足标准要求满足用户自身要求安全现状差异性分析基本要求需求物理安全网络安全主机安全应用安全数据安全与备份恢复等级保护的建设模式25满足政策要求安全现状差异性分析基本要求等级保护的体系架构26其它定级系统安全接入/隔离设备计算环境区域边界通信网络网站/应用服务器交换设备用户终端安全管理中心通信网络区域边界计算环境安全管理中心等级保护的体系架构26其它定级系统安全接入/隔离设备计算环境等级保护的技术实现要求27构筑由安全管理中心统一管理下的计算环境、区域边界、通信网络三重防御体系。安全区域边界可信计算环境安全管理中心安全通信网络等级保护的技术实现要求27构筑由安全管理中心统一管理下的计算主题51234信息安全的属性特征和管理分类什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容285等级保护的建设流程6等级保护各参与部门的角色定位7涉及国家秘密信息系统的分级保护主题51234信息安全的属性特征和管理分类什么是等级保护等级等级保护的建设流程29达标等保体系安全措施业务应用信息网络已运营系统业务应用安全措施新建系统等保整改等保建设等级保护的建设流程29达标等保体系安全措施业务应用信息网络已等级保护整改建设流程301.信息系统定级2.等保建设立项3.信息安全威胁分析4.等保方案设计5.安全体系部署6.等保体系测评7.等保整改建设完成定级工作08年已基本完成专业机构整改意见总设详设专家论证项目实施内部验收专业机构测评报告未通过等级保护整改建设流程301.信息系统定级2.等保建设立项3.流程1：信息系统定级31

2007年开始，我国在全国范围展开了信息系统等级保护的定级工作，并在公安部进行了相关的备案。定级依据：《信息系统安全保护等级定级指南》（国家）《XX行业信息系统安全保护等级定级指南》谁主管、运营谁定级；拟确定为四级以上的信息系统需请国家信息安全保护等级专家评审委员会评审；信息系统定级情况要在公安部门报备；流程1：信息系统定级31 2007年开始，我国在全国范围流程1：信息系统定级32根据信息和信息系统遭到破坏或泄露后，对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度来进行定级。受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级1.受侵害客体；2.受侵害程度；流程1：信息系统定级32根据信息和信息系统遭到破坏或泄露后，流程2：等保建设立项33 信息系统等级保护建设，经过信息系统的运营、管理部门以及有关政府部门的批准，并列入信息系统运营单位或政府计划的过程。一项基本国策，一项基本制度，具有政策的强制性是办公电子化、业务信息化发展必需的保障手段用户业务开展的实际需求流程2：等保建设立项33 信息系统等级保护建设，经过信息流程3：风险评估34需请相应级别、具有资质的测评中心进行风险评估；风险评估是对信息资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。风险评估是确定信息安全需求的一个重要途径。风险评估完成后出具《评估报告》和《整改意见》；流程3：风险评估34需请相应级别、具有资质的测评中心进行风险流程4：等级方案设计思路351整改意见需求分析2总体设计详细设计3应急方案灾备方案5方案与产品安全性论证6项目预算7项目实施方案设计4产品选型技术指标信息系统等保体系建设目标流程4：等级方案设计思路351整改意见2总体设计3应急方案5流程4：等保方案设计原则36重视安全技管兼行遵循政策符合标准需求主导突出重点整体规划分步实施全局管理统一标准适度安全减少影响流程4：等保方案设计原则36重视安全技管兼行遵循政策流程4：需求分析方法37满足政策要求满足标准要求满足用户自身要求安全现状差异性分析基本要求需求物理安全网络安全主机安全应用安全数据安全与备份恢复流程4：需求分析方法37满足政策要求安全现状差异性分析基本要流程4：需求分析方法38安全现状与《基本要求》的差异分析对照标准要求是否满足相应措施物理安全网络安全主机安全应用安全数据安全流程4：需求分析方法38安全现状与《基本要求》的差异分析对照流程4：设计方案章节39等级保护建设方案章节：二、安全需求分析一、项目背景四、等保技术体系设计三、方案总体设计六、等保管理安全设计五、等保物理安全设计八、产品选型与技术指标七、应急与灾备设计九、方案与产品安全性论证十一、实施方案设计十、项目预算需求背景政策依据以《基本要求》中“网络、主机、应用、数据”部分要求为目标，以《设计要求》为方法以《基本要求》中物理安全部分为依据以《基本要求》中管理安全部分为依据经过信息安全等级保护专家论证通过流程4：设计方案章节39等级保护建设方案章节：二、安全需求分流程4：等保体系整体架构40安全接入/隔离设备计算环境区域边界通信网络网站/应用服务器交换设备用户终端安全管理中心通信网络区域边界计算环境安全管理中心流程4：等保体系整体架构40安全接入/隔离设备计算环境区域边流程5：等保体系部署41统一规划，分步实施规范管理，责任落实确保安全，影响最小专家论证，内部验收计算环境区域边界通信网络流程5：等保体系部署41统一规划，分步实施规范管理，责任落实流程6：等保体系测评42等保体系达标需请相应级别、具有资质的测评中心进行等保测评；以相应的政策、标准为基准，对等保体系进行风险评测，从面临的威胁、存在的弱点、造成的影响，以及三者综合作用角度，分析信息系统的等保体系是否达标。等保测评完成后出具《测评报告》和《整改意见》；等保体系测评信息等保整改通过未通过流程6：等保体系测评42等保体系达标需请相应级别、具有资质的流程7：等保体系整改建设完成43构筑由安全管理中心统一管理下的计算环境、区域边界、通信网络三重防御体系。安全区域边界安全计算环境安全管理中心安全通信网络流程7：等保体系整改建设完成43构筑由安全管理中心统一管理下主题61234信息安全的属性特征和管理分类什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容445等级保护的建设流程6等级保护各参与部门的角色定位7涉及国家秘密信息系统的分级保护主题61234信息安全的属性特征和管理分类什么是等级保护等级等级保护各参与部门的角色定位45《信息安全等级保护管理办法》公安机关负责信息安全等级保护工作的监督、检查、指导——公安部及地方公安部门、网监部门国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导——国家保密局及地方保密局国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导——国密办及地方密码管理局/办国务院信息化领导小组负责等级保护工作的部门间协调——国信办、工信部及地方信息办等级保护测评机构负责按照国家相关技术标准和要求对信息系统进行等级保护的分析测评工作等级保护各参与部门的角色定位45《信息安全等级保护管理办法》主题61234信息安全的属性特征和管理分类什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容465等级保护的建设流程6等级保护各参与部门的角色定位7涉及国家秘密信息系统的分级保护主题61234信息安全的属性特征和管理分类什么是等级保护等级涉及国际秘密信息系统的分级保护管理47按照国家保密部门有关涉密信息系统分级保护的管理规定和技术标准进行保护非涉密信息系统不得处理国家秘密信息涉密信息系统分为秘密、机密、绝密三个等级国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定等级涉密信息系统使用的产品原则上选用国产品涉密系统建成后，由测评机构进行安全保密测评涉及国际秘密信息系统的分级保护管理47按照国家保密部门有关涉附录48信息安全等级保护备案实施细则（试行）2007（公安部）公安机关信息安全等级保护工作规范（试行）2008（检查通知书、限期整改通知书、检查情况通报书）关于加强国家电子政务工程建设项目信息安全风险评估工作的通知附录48信息安全等级保护备案实施细则（试行）2007（公安部信息安全等级保护专业知识49信息安全等级保护专业知识1主题21234信息安全的属性特征和管理分类什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容505等级保护的建设流程6等级保护各参与部门的角色定位7涉及国家秘密信息系统的分级保护主题21234信息安全的属性特征和管理分类什么是等级保护等级信息安全的属性特征51信息安全是整体的、发展的、非传统的安全；信息安全是一个系统工程，需要全社会共同努力；信息安全不是绝对的，是动态的、相对的；信息安全不是一个国家能完全控制的问题，具有全球化的特点，应从全球信息化角度考虑和布局；信息安全不是一个孤立的问题，应在系统建设过程中充分考虑。信息安全的属性特征3信息安全是整体的、发展的、非传统的安全；信息安全管理分类52密保（分保）——分三级（绝密、机密、秘密）涉密环境（网络、终端、应用系统及数据）的信息安全等保——分五级非涉密环境（网络、终端、应用系统及数据）的信息安全信息安全管理分类4密保（分保）——分三级（绝密、机密、秘密主题21234信息安全的属性特征和管理分类什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容535等级保护的建设流程6等级保护各参与部门的角色定位7涉及国家秘密信息系统的分级保护主题21234信息安全的属性特征和管理分类什么是等级保护等级什么是等级保护54信息系统等级保护的定义是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。等级保护工作分为五个环节：定级、备案、建设整改、等级测评、监督检查。信息安全等级保护是基本制度、基本国策什么是等级保护6信息系统等级保护的定义等级保护的等级划分准则55根据信息和信息系统遭到破坏或泄露后，对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度来进行定级。1、受侵害客体；2、受侵害程度。等级保护的等级划分准则7根据信息和信息系统遭到破坏或泄露后，等级保护的等级划分准则56等级保护的等级划分准则8公安部关于等级保护文件规定第一级为自主保护级第二级为指导保护级第一级为监督保护级第一级为强制保护级第一级为专控保护级57公安部关于等级保护文件规定第一级为自主保护级9等级保护涉及的几个概念58主动用户、进程主体被动文件、存储设备客体访问：读、写、执行权限安全策略安全审计强制访问控制等级保护涉及的几个概念10主动主体被动客体访问：读、写、执行等级保护的等级划分准则59第一级用户自主保护级第二级系统审计保护第三级安全标记保护第四级结构化保护第五级访问验证保护用户自主控制资源访问访问行为需要被审计通过标记实现强制访问控制可信计算基结构化所有的过程都需要验证等级保护的等级划分准则11第一级用户自主保护级第二级系统等级保护的等级划分准则60第一级自主安全保护第二级审计安全保护第三级强制安全保护第四级结构化保护第五级访问验证保护级自主访问控制身份鉴别完整性保护自主访问控制身份鉴别完整性保护系统审计客体重用自主访问控制身份鉴别完整性保护系统审计客体重用强制访问控制标记自主访问控制身份鉴别完整性保护系统审计客体重用强制访问控制标记自主访问控制身份鉴别完整性保护系统审计客体重用强制访问控制标记隐蔽通道分析可信路径隐蔽通道分析可信路径可信恢复等级保护的等级划分准则12第一级自主安全保护第二级审计安信息系统的五个安全保护等级61第一级：一般适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。第二级：一般适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统，如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。第三级：一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省连接的网络系统等。第四级：一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。第五级：一般适用于国家重要领域、重要部门中的极端重要系统信息系统的五个安全保护等级13第一级：一般适用于小型私营、个主题31234信息安全的属性特征和管理分类什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容625等级保护的建设流程6等级保护各参与部门的角色定位7涉及国家秘密信息系统的分级保护主题31234信息安全的属性特征和管理分类什么是等级保护等级等级保护的国家政策63颁布时间文件名称文号颁布机构内容及意义1994年2月18日《中华人民共和国计算机信息系统安全保护条例》国务院147号令国务院第一次提出信息系统要实行等级保护，并确定了等级保护的职责单位。2003年9月7日《国家信息化领导小组关于加强信息安全保障工作的意见》中办国办发[2003]27号中共中央办公厅国务院办公厅等级保护工作的开展必须分步骤、分阶段、有计划的实施。明确了信息安全等级保护制度的基本内容。2004年9月15日《关于信息安全等级保护工作的实施意见》公通字[2004]66号公安部国家保密局国家密码管理委员会办公室（国家密码管理局）国务院信息化工作办公室将等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障的一项基本制度。2007年6月22日《信息安全等级保护管理办法》公通字[2007]43号明确了信息安全等级保护制度的基本内容、流程及工作要求，明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务。2007年7月16日《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号就定级范围、定级工作主要内容、定级工作要求等事项进行了通知。等级保护的国家政策15颁布时间文件名称文号颁布机构内容及意义等级保护的技术标准规范64GB17859-1999计算机信息系统安全保护等级划分准则信息系统安全等级保护定级指南GB/T20269-2006信息系统安全管理要求GB/T20282-2006信息安全技术信息系统安全工程管理要求GB/T20270-2006信息安全技术网络基础安全技术要求GB/T20271-2006信息安全技术信息系统通用安全技术要求GB/T20272-2006信息安全技术操作系统安全技术要求GB/T20273-2006信息安全技术数据库管理系统通用安全技术要求GB/T22239-2008信息安全技术信息系统安全等级保护基本要求信息安全技术信息系统等级保护安全设计技术要求(已送批)信息系统安全等级保护实施指南……GB/T20009-2005信息安全技术操作系统安全评估准则国家已出台70多个国标、行标以及报批标准，从基础、设计、实施、管理、制度等各个方面对等保系统提出了要求和建议。等级保护的技术标准规范16GB17859-1999计算机等级保护的技术标准规范65《计算机信息系统安全保护等级划分准则》（GB17859-1999）《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）《信息安全技术操作系统安全技术要求》

（GB/T20272-2006）《信息安全技术

信息系统安全等级保护基本要求》（GB/T22239-2008）《信息安全技术

信息系统等级保护安全设计技术要求》面向评估者技术标准：面向建设者技术标准：等级保护的技术标准规范17《计算机信息系统安全保护等级划分准等级保护的技术标准规范66《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）《信息系统安全管理体系标准》（ISO/IEC27001）《信息安全技术信息系统安全等级保护实施指南》（GB/Txxxxx-2007

）管理类标准：等保方案类标准：系统定级类标准：《信息安全技术信息系统安全保护等级定级指南》（GB/T22240-2008）等级保护的技术标准规范18《信息安全技术信息系统安全工程管等级保护的技术标准规范67《信息系统安全等级保护基本要求》(GB/T22239-2008)《信息系统等级保护安全设计技术要求》（已审批）《计算机信息系统安全保护等级划分准则》（GB17859-1999）最早提出的基础性、强制性标准；粒度较粗，是一个指导性标准；公安部作为等保系统建设、评测的重要依据等保系统设计时的主要依据：一个中心三重防御国家已出台约70余个标准，重点需要了解的有：等级保护的技术标准规范19《信息系统安全等级保护基本要求》(主题41234信息安全的属性特征和管理分类什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容685等级保护的建设流程6等级保护各参与部门的角色定位7涉及国家秘密信息系统的分级保护主题41234信息安全的属性特征和管理分类什么是等级保护等级等级保护的建设目标69某级信息系统技术要求管理要求基本要求建立安全技术体系建立安全管理体系具有某级安全保护能力的系统等级保护的建设目标21某级信息系统技术要求管理要求基本要求建等级保护的建设要求70物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理等级保护的建设要求22物理安全技术要求管理要求基本要求网络安等级保护的建设要求71环境安全防其他自然灾害机房与设施安全环境与人员安全设备安全防止电磁泄露发射防盗与防毁防电磁干扰介质安全介质的管理介质的分类介质的防护物理安全等级保护的建设要求23环境安全防其他自然灾害机房与设施安全环等级保护的建设要求72网络安全1.网络结构安全2.网络访问控制3.网络安全审计4.边界完整性检查5.网络入侵防范6.恶意代码防护7.网络防护设备主机安全身份鉴别强制访问控制系统安全审计4.剩余信息保护5.入侵防范6.恶意代码防范7.资源控制

应用安全

1.身份认证2.安全审计3.剩余信息保护4.通信完整性和机密性保护数据安全1.数据机密性保护2.数据完整性保护5.控制软件容错；6.严格的访问；7.自动保护功能；8.资源控制；等级保护的建设要求24网络安全主机安全等级保护的建设模式73满足政策要求满足标准要求满足用户自身要求安全现状差异性分析基本要求需求物理安全网络安全主机安全应用安全数据安全与备份恢复等级保护的建设模式25满足政策要求安全现状差异性分析基本要求等级保护的体系架构74其它定级系统安全接入/隔离设备计算环境区域边界通信网络网站/应用服务器交换设备用户终端安全管理中心通信网络区域边界计算环境安全管理中心等级保护的体系架构26其它定级系统安全接入/隔离设备计算环境等级保护的技术实现要求75构筑由安全管理中心统一管理下的计算环境、区域边界、通信网络三重防御体系。安全区域边界可信计算环境安全管理中心安全通信网络等级保护的技术实现要求27构筑由安全管理中心统一管理下的计算主题51234信息安全的属性特征和管理分类什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容765等级保护的建设流程6等级保护各参与部门的角色定位7涉及国家秘密信息系统的分级保护主题51234信息安全的属性特征和管理分类什么是等级保护等级等级保护的建设流程77达标等保体系安全措施业务应用信息网络已运营系统业务应用安全措施新建系统等保整改等保建设等级保护的建设流程29达标等保体系安全措施业务应用信息网络已等级保护整改建设流程781.信息系统定级2.等保建设立项3.信息安全威胁分析4.等保方案设计5.安全体系部署6.等保体系测评7.等保整改建设完成定级工作08年已基本完成专业机构整改意见总设详设专家论证项目实施内部验收专业机构测评报告未通过等级保护整改建设流程301.信息系统定级2.等保建设立项3.流程1：信息系统定级79

2007年开始，我国在全国范围展开了信息系统等级保护的定级工作，并在公安部进行了相关的备案。定级依据：《信息系统安全保护等级定级指南》（国家）《XX行业信息系统安全保护等级定级指南》谁主管、运营谁定级；拟确定为四级以上的信息系统需请国家信息安全保护等级专家评审委员会评审；信息系统定级情况要在公安部门报备；流程1：信息系统定级31 2007年开始，我国在全国范围流程1：信息系统定级80根据信息和信息系统遭到破坏或泄露后，对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度来进行定级。受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级1.受侵害客体；2.受侵害程度；流程1：信息系统定级32根据信息和信息系统遭到破坏或泄露后，流程2：等保建设立项81 信息系统等级保护建设，经过信息系统的运营、管理部门以及有关政府部门的批准，并列入信息系统运营单位或政府计划的过程。一项基本国策，一项基本制度，具有政策的强制性是办公电子化、业务信息化发展必需的保障手段用户业务开展的实际需求流程2：等保建设立项33 信息系统等级保护建设，经过信息流程3：风险评估82需请相应级别、具有资质的测评中心进行风险评估；风险评估是对信息资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。风险评估是确定信息安全需求的一个重要途径。风险评估完成后出具《评估报告》和《整改意见》；流程3：风险评估34需请相应级别、具有资质的测评中心进行风险流程4：等级方案设计思路831整改意见需求分析2总体设计详细设计3应急方案灾备方案5方案与产品安全性论证6项目预算7项目实施方案设计4产品选型技术指标信息系统等保体系建设目标流程4：等级方案设计思路351整改意见2总体设计3应急方案5流程4：等保方案设计原则84重视安全技管兼行遵循政策符合标准需求主导突出重点整体规划分步实施全局管理统一标准适度安全减少影响流程4：等保方案设计原则36重视安全技管兼行遵循政策流程4：需求分析方法85满足政策要求满足标准要求满足用户自身要求安全现状差异性分析基本要求需求物理安全网络安全主机安全应用安全数据安全与备份恢复流程4：需求分析方法37满足政策要求安全现状差异性分析基本要流程4：需求分析方法86安全现状与《基本要求》的差异分析对照标准要求是否满足相应措施物理安全网络安全主机安全应用安全数据安全流程4：需求分析方法38安全现状与《基本要求》的差异分析对照流程4：