信息安全等级保护

信息安全等级保护第一页，共五十一页，2022年，8月28日信息安全的属性特征信息安全是整体的、发展的、非传统的安全信息安全是一个系统工程，需要全社会共同努力信息安全不是绝对的，是动态的、相对的信息安全不是一个国家能完全控制的问题，具有全球化的特点，应从全球信息化角度考虑和布局信息安全不是一个孤立的问题，应在系统建设过程中充分考虑第二页，共五十一页，2022年，8月28日密保（分保）——

分三级（绝密、机密、秘密）

涉密环境（网络、终端、应用系统及数据）的信息安全等保——

分五级

非涉密环境（网络、终端、应用系统及数据）的信息安全信息安全管理分类第三页，共五十一页，2022年，8月28日内容概要信息安全的属性特征和管理分类什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容等级保护的建设流程等级保护各参与部门的角色定位涉及国家秘密信息系统的分保护管理第四页，共五十一页，2022年，8月28日

什么是等级保护信息系统等级保护的定义

是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。信息安全等级保护是基本制度、基本国策等级保护工作分为五个环节：定级、备案、建设整改、等级测评、监督检查。第五页，共五十一页，2022年，8月28日等级保护的等级划分准则根据信息和信息系统遭到破坏或泄露后，对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度来进行定级。1、受侵害客体；2、受侵害程度；第六页，共五十一页，2022年，8月28日等级保护的等级划分准则第七页，共五十一页，2022年，8月28日公安部关于等级保护文件规定第一级为自主保护级第二级为指导保护级第一级为监督保护级第一级为强制保护级第一级为专控保护级第八页，共五十一页，2022年，8月28日等级保护涉及的几个基本概念主动用户、进程主体被动文件、存储设备客体访问：读、写、执行权限安全策略安全审计强制访问控制第九页，共五十一页，2022年，8月28日第一级用户自主保护级第二级系统审计保护第三级安全标记保护第四级结构化保护第五级访问验证保护用户自主控制资源访问访问行为需要被审计通过标记实现强制访问控制可信计算基结构化所有的过程都需要验证等级保护的等级划分准则第十页，共五十一页，2022年，8月28日第一级自主安全保护第二级审计安全保护第三级强制安全保护第四级结构化保护第五级访问验证保护级自主访问控制身份鉴别完整性保护自主访问控制身份鉴别完整性保护系统审计客体重用自主访问控制身份鉴别完整性保护系统审计客体重用强制访问控制标记自主访问控制身份鉴别完整性保护系统审计客体重用强制访问控制标记自主访问控制身份鉴别完整性保护系统审计客体重用强制访问控制标记隐蔽通道分析可信路径隐蔽通道分析可信路径可信恢复

第十一页，共五十一页，2022年，8月28日如何理解信息系统的五个安全保护等级第一级：一般适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。第二级：一般适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统，如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。第三级：一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省连接的网络系统等。第四级：一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。第五级：一般适用于国家重要领域、重要部门中的极端重要系统。第十二页，共五十一页，2022年，8月28日内容概要信息安全与等级保护什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容等级保护的建设流程等级保护各参与部门的角色定位涉及国家秘密信息系统的分保护管理第十三页，共五十一页，2022年，8月28日颁布时间文件名称文号颁布机构内容及意义1994年2月18日《中华人民共和国计算机信息系统安全保护条例》国务院147号令国务院第一次提出信息系统要实行等级保护，并确定了等级保护的职责单位。2003年9月7日《国家信息化领导小组关于加强信息安全保障工作的意见》中办国办发[2003]27号中共中央办公厅国务院办公厅等级保护工作的开展必须分步骤、分阶段、有计划的实施。明确了信息安全等级保护制度的基本内容。2004年9月15日《关于信息安全等级保护工作的实施意见》公通字[2004]66号公安部国家保密局国家密码管理委员会办公室（国家密码管理局）国务院信息化工作办公室将等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障的一项基本制度。2007年6月22日《信息安全等级保护管理办法》公通字[2007]43号明确了信息安全等级保护制度的基本内容、流程及工作要求，明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务。2007年7月16日《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号就定级范围、定级工作主要内容、定级工作要求等事项进行了通知。

等级保护的国家政策第十四页，共五十一页，2022年，8月28日等级保护的技术标准规范GB/T20009-2005信息安全技术操作系统安全评估准则国家已出台70多个国标、行标以及报批标准，从基础、设计、实施、管理、制度等各个方面对等保系统提出了要求和建议。第十五页，共五十一页，2022年，8月28日《计算机信息系统安全保护等级划分准则》（GB17859-1999）

《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）

《信息安全技术操作系统安全技术要求》

（GB/T20272-2006）《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）《信息安全技术信息系统等级保护安全设计技术要求》面向评估者技术标准：面向建设者技术标准：等级保护的技术标准规范第十六页，共五十一页，2022年，8月28日《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）《信息系统安全管理体系标准》（ISO/IEC27001）《信息安全技术信息系统安全等级保护实施指南》（GB/Txxxxx-2007

）管理类标准：等保方案类标准：系统定级类标准：《信息安全技术信息系统安全保护等级定级指南》（GB/T22240-2008）

等级保护的技术标准规范第十七页，共五十一页，2022年，8月28日《信息系统安全等级保护基本要求》(GB/T22239-2008)

《信息系统等级保护安全设计技术要求》（已审批）《计算机信息系统安全保护等级划分准则》（GB17859-1999）

最早提出的基础性、强制性标准；粒度较粗，是一个指导性标准；公安部作为等保系统建设、评测的重要依据等保系统设计时的主要依据：一个中心三重防御国家已出台约70余个标准，重点需要了解的有：等级保护的技术标准规范第十八页，共五十一页，2022年，8月28日内容概要信息安全与等级保护什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容等级保护的建设流程等级保护各参与部门的角色定位涉及国家秘密信息系统的分保护管理第十九页，共五十一页，2022年，8月28日等级保护的建设目标某级信息系统技术要求管理要求基本要求建立安全技术体系建立安全管理体系具有某级安全保护能力的系统第二十页，共五十一页，2022年，8月28日

等级保护的建设要求物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理第二十一页，共五十一页，2022年，8月28日等级保护的建设要求环境安全防其他自然灾害机房与设施安全环境与人员安全设备安全防止电磁泄露发射防盗与防毁防电磁干扰介质安全介质的管理介质的分类介质的防护物理安全第二十二页，共五十一页，2022年，8月28日等级保护的建设要求网络安全1.网络结构安全2.网络访问控制3.网络安全审计4.边界完整性检查5.网络入侵防范6.恶意代码防护7.网络防护设备主机安全身份鉴别强制访问控制系统安全审计4.剩余信息保护5.入侵防范6.恶意代码防范7.资源控制

应用安全

1.身份认证2.安全审计3.剩余信息保护4.通信完整性和机密性保护数据安全1.数据机密性保护2.数据完整性保护5.控制软件容错；6.严格的访问；7.自动保护功能；8.资源控制；第二十三页，共五十一页，2022年，8月28日等级保护的建设模式满足政策要求满足标准要求满足用户自身要求安全现状差异性分析基本要求需求物理安全网络安全主机安全应用安全数据安全与备份恢复第二十四页，共五十一页，2022年，8月28日等级保护的体系架构其它定级系统安全接入/隔离设备计算环境区域边界通信网络网站/应用服务器交换设备用户终端安全管理中心通信网络区域边界计算环境安全管理中心第二十五页，共五十一页，2022年，8月28日构筑由安全管理中心统一管理下的计算环境、区域边界、通信网络三重防御体系。安全区域边界可信计算环境安全管理中心安全通信网络等级保护的技术实现依据第二十六页，共五十一页，2022年，8月28日内容概要信息安全与等级保护什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容等级保护的建设流程等级保护各参与部门的角色定位涉及国家秘密信息系统的分保护管理第二十七页，共五十一页，2022年，8月28日等级保护的建设流程达标等保体系安全措施业务应用信息网络已运营系统业务应用安全措施新建系统等保整改等保建设第二十八页，共五十一页，2022年，8月28日等级保护整改建设流程1.信息系统定级2.等保建设立项3.信息安全威胁分析4.等保方案设计5.安全体系部署6.等保体系测评7.等保整改建设完成定级工作08年已基本完成专业机构整改意见总设详设专家论证项目实施内部验收专业机构测评报告未通过第二十九页，共五十一页，2022年，8月28日

2007年开始，我国在全国范围展开了信息系统等级保护的定级工作，并在公安部进行了相关的备案。定级依据：《信息系统安全保护等级定级指南》（国家）《XX行业信息系统安全保护等级定级指南》流程一：信息系统定级谁主管、运营谁定级；拟确定为四级以上的信息系统需请国家信息安全保护等级专家评审委员会评审；信息系统定级情况要在公安部门报备；第三十页，共五十一页，2022年，8月28日根据信息和信息系统遭到破坏或泄露后，对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度来进行定级。受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级1.受侵害客体；2.受侵害程度；流程一：信息系统定级第三十一页，共五十一页，2022年，8月28日

信息系统等级保护建设，经过信息系统的运营、管理部门以及有关政府部门的批准，并列入信息系统运营单位或政府计划的过程。一项基本国策，一项基本制度，具有政策的强制性流程二：等保建设立项是办公电子化、业务信息化发展必需的保障手段用户业务开展的实际需求第三十二页，共五十一页，2022年，8月28日需请相应级别、具有资质的测评中心进行风险评估；流程三：风险评估

风险评估是对信息资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。风险评估是确定信息安全需求的一个重要途径。风险评估完成后出具《评估报告》和《整改意见》；第三十三页，共五十一页，2022年，8月28日1整改意见需求分析2总体设计详细设计3应急方案灾备方案5方案与产品安全性论证6项目预算7项目实施方案设计4产品选型技术指标信息系统等保体系建设目标流程四：等保方案设计思路第三十四页，共五十一页，2022年，8月28日重视安全技管兼行遵循政策符合标准需求主导突出重点整体规划分步实施流程四：等保方案设计原则全局管理统一标准适度安全减少影响第三十五页，共五十一页，2022年，8月28日满足政策要求满足标准要求满足用户自身要求安全现状差异性分析基本要求需求流程四：需求分析方法物理安全网络安全主机安全应用安全数据安全与备份恢复第三十六页，共五十一页，2022年，8月28日安全现状与《基本要求》的差异分析对照标准要求是否满足相应措施物理安全网络安全主机安全应用安全数据安全流程四：需求分析方法第三十七页，共五十一页，2022年，8月28日等级保护建设方案章节：二、安全需求分析一、项目背景流程四：设计方案章节四、等保技术体系设计三、方案总体设计六、等保管理安全设计五、等保物理安全设计八、产品选型与技术指标七、应急与灾备设计九、方案与产品安全性论证十一、实施方案设计十、项目预算需求背景政策依据以《基本要求》中“网络、主机、应用、数据”部分要求为目标，以《设计要求》为方法以《基本要求》中物理安全部分为依据以《基本要求》中管理安全部分为依据经过信息安全等级保护专家论证通过第三十八页，共五十一页，2022年，8月28日其它定级系统安全接入/隔离设备计算环境区域边界通信网络网站/应用服务器交换设备用户终端安全管理中心通信网络区域边界计算环境安全管理中心流程四：等保体系整体架构第三十九页，共五十一页，2022年，8月28日流程五：等保体系部署统一规划，分步实施规范管理，责任落实确保安全，影响最小专家论证，内部验收计算环境区域边界通信网络第四十页，共五十一页，2022年，8月28日等保体系达标需请相应级别、具有资质的测评中心进行等保测评；流程六：等保体系测评

以相应的政策、标准为基准，对等保体系进行风险评测，从面临的威胁、存在的弱点、造成的影响，以及三者综合作用角度，分析信息系统的等保体系是否达标。等保测评完成后出具《测评报告》和《整改意见》；等保体系测评信息等保整改通过未通过第四十一页，共五十一页，2022年，8月28日构筑由安全管理中心统一管理下的计算环境、区域边界、通信网络三重防御体系。安全区域边界安全计算环境安全管理中心安全通信网络流程七：等保体系整改建设完成第四十二页，共五十一页，2022年，8月28日内容概要信息安全与等级保护什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容等级保护的建设流程等级保护各参与部门的角色定位涉及国家秘密信息系统的分保护管理第四十三页，共五十一页，2022年，8月28日等级保护各参与部门的角色定位《信息安全等级保护管理办法》公安机关负责信息安全等级保护工作的监督、检查、指导——公安部及地方公安部门、网监部门国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导——国家保密局及地方保密局国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导——国密办及地方密码管理局/办国务院信息化领导小组负责等级保护工作的部门间协调——国信办、工信部及地方信息办等级保护测评机构负责按照国家相关技术标准和要求对信息系统进行等级保护的分析测评工作第四十四页，共五十一页，2022年，8月28日内容概要信息安全与等级保护什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容等级保护的建设流程等级保护各参与部门的角色定位