信息系统等级保护课件

信息系统等级保护——综合篇内容概要信息安全与等级保护什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容等级保护的建设流程等级保护各参与部门的角色定位信息安全与等级保护密保（分保）——分三级（绝密、机密、秘密）涉密环境（网络、终端、应用系统及数据）的信息安全等保——分五级非涉密环境（网络、终端、应用系统及数据）的信息安全信息安全的宏观范畴什么是等级保护信息系统等级保护的定义

是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。等级保护的等级划分准则根据信息和信息系统遭到破坏或泄露后，对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度来进行定级。1、受侵害客体；2、受侵害程度；等级保护的等级划分准则第一级用户自主保护级第二级系统审计保护第三级安全标记保护第四级结构化保护第五级访问验证保护用户自主控制资源访问访问行为需要被审计通过标记实现强制访问控制可信计算基结构化所有的过程都需要验证等级保护的等级划分准则第一级自主安全保护第二级审计安全保护第三级强制安全保护第四级结构化保护第五级访问验证保护级自主访问控制身份鉴别完整性保护自主访问控制身份鉴别完整性保护系统审计客体重用自主访问控制身份鉴别完整性保护系统审计客体重用强制访问控制标记自主访问控制身份鉴别完整性保护系统审计客体重用强制访问控制标记自主访问控制身份鉴别完整性保护系统审计客体重用强制访问控制标记隐蔽通道分析可信路径隐蔽通道分析可信路径可信恢复

等级保护的等级划分准则内容概要信息安全与等级保护什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容等级保护的建设流程等级保护各参与部门的角色定位等级保护的技术标准规范GB17859-1999计算机信息系统安全保护等级划分准则信息系统安全等级保护定级指南GB/T20269-2006信息系统安全管理要求GB/T20282-2006信息安全技术信息系统安全工程管理要求GB/T20270-2006信息安全技术网络基础安全技术要求GB/T20271-2006信息安全技术信息系统通用安全技术要求GB/T20272-2006信息安全技术操作系统安全技术要求GB/T20273-2006信息安全技术数据库管理系统通用安全技术要求GB/T22239-2008信息安全技术信息系统安全等级保护基本要求信息安全技术信息系统等级保护安全设计技术要求(已送批)信息系统安全等级保护实施指南……GB/T20009-2005信息安全技术操作系统安全评估准则国家已出台70多个国标、行标以及报批标准，从基础、设计、实施、管理、制度等各个方面对等保系统提出了要求和建议。《计算机信息系统安全保护等级划分准则》（GB17859-1999）

《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）

《信息安全技术操作系统安全技术要求》

（GB/T20272-2006）《信息安全技术

信息系统安全等级保护基本要求》（GB/T22239-2008）《信息安全技术

信息系统等级保护安全设计技术要求》面向评估者技术标准：面向建设者技术标准：等级保护的技术标准规范《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）《信息系统安全管理体系标准》（ISO/IEC27001）《信息安全技术信息系统安全等级保护实施指南》（GB/Txxxxx-2007

）管理类标准：等保方案类标准：系统定级类标准：《信息安全技术信息系统安全保护等级定级指南》（GB/T22240-2008）

等级保护的技术标准规范内容概要信息安全与等级保护什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容等级保护的建设流程等级保护各参与部门的角色定位等级保护的建设目标某级信息系统技术要求管理要求基本要求建立安全技术体系建立安全管理体系具有某级安全保护能力的系统等级保护的建设要求物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理等级保护的建设要求网络安全1.网络结构安全2.网络访问控制3.网络安全审计4.边界完整性检查5.网络入侵防范6.恶意代码防护7.网络防护设备主机安全身份鉴别强制访问控制系统安全审计4.剩余信息保护5.入侵防范6.恶意代码防范7.资源控制

应用安全

1.身份认证2.安全审计3.剩余信息保护4.通信完整性和机密性保护数据安全1.数据机密性保护2.数据完整性保护5.控制软件容错；6.严格的访问；7.自动保护功能；8.资源控制；等级保护的建设模式满足政策要求满足标准要求满足用户自身要求安全现状差异性分析基本要求需求物理安全网络安全主机安全应用安全数据安全与备份恢复等级保护的体系架构其它定级系统安全接入/隔离设备计算环境区域边界通信网络网站/应用服务器交换设备用户终端安全管理中心通信网络区域边界计算环境安全管理中心内容概要信息安全与等级保护什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容等级保护的建设流程等级保护各参与部门的角色定位等级保护的建设流程达标等保体系安全措施业务应用信息网络已运营系统业务应用安全措施新建系统等保整改等保建设根据信息和信息系统遭到破坏或泄露后，对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度来进行定级。受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级1.受侵害客体；2.受侵害程度；流程一：信息系统定级

信息系统等级保护建设，经过信息系统的运营、管理部门以及有关政府部门的批准，并列入信息系统运营单位或政府计划的过程。一项基本国策，一项基本制度，具有政策的强制性流程二：等保建设立项是办公电子化、业务信息化发展必需的保障手段用户业务开展的实际需求需请相应级别、具有资质的测评中心进行风险评估；流程三：风险评估

风险评估是对信息资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。风险评估是确定信息安全需求的一个重要途径。风险评估完成后出具《评估报告》和《整改意见》；1整改意见需求分析2总体设计详细设计3应急方案灾备方案5方案与产品安全性论证6项目预算7项目实施方案设计4产品选型技术指标信息系统等保体系建设目标流程四：等保方案设计思路重视安全技管兼行遵循政策符合标准需求主导突出重点整体规划分步实施流程四：等保方案设计原则全局管理统一标准适度安全减少影响满足政策要求满足标准要求满足用户自身要求安全现状差异性分析基本要求需求流程四：需求分析方法物理安全网络安全主机安全应用安全数据安全与备份恢复安全现状与《基本要求》的差异分析对照标准要求是否满足相应措施物理安全网络安全主机安全应用安全数据安全流程四：需求分析方法等级保护建设方案章节：二、安全需求分析一、项目背景流程四：设计方案章节四、等保技术体系设计三、方案总体设计六、等保管理安全设计五、等保物理安全设计八、产品选型与技术指标七、应急与灾备设计九、方案与产品安全性论证十一、实施方案设计十、项目预算需求背景政策依据以《基本要求》中“网络、主机、应用、数据”部分要求为目标，以《设计要求》为方法以《基本要求》中物理安全部分为依据以《基本要求》中管理安全部分为依据经过信息安全等级保护专家论证通过其它定级系统安全接入/隔离设备计算环境区域边界通信网络网站/应用服务器交换设备用户终端安全管理中心通信网络区域边界计算环境安全管理中心流程四：等保体系整体架构流程五：等保体系部署统一规划，分步实施规范管理，责任落实确保安全，影响最小专家论证，内部验收计算环境区域边界通信网络等保体系达标需请相应级别、具有资质的测评中心进行等保测评；流程六：等保体系测评

以相应的政策、标准为基准，对等保体系进行风险评测，从面临的威胁、存在的弱点、造成的影响，以及三者综合作用角度，分析信息系统的等保体系是否达标。等保测评完成后出具《测评报告》和《整改意见》；等保体系测评信息等保整改通过未通过构筑由安全管理中心统一管理下的计算环境、区域边界、通信网络三重防御体系。安全区域边界安全计算环境安全管理中心安全通信网络流程七：等保体系整改建设完成内容概要信息安全与等级保护什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容等级保护的建设流程等级保护各参与部门的角色定位等级保护各参与部门的角色定位《信息安全等级保护管理办法》公安机关负责信息安全等级保护工