信息系统等级保护

信息系统等级保护——综合篇内容概要信息安全与等级保护什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容等级保护的建设流程等级保护各参与部门的角色定位信息安全与等级保护密保（分保）——分三级（绝密、机密、秘密）涉密环境（网络、终端、应用系统及数据）的信息安全等保——分五级非涉密环境（网络、终端、应用系统及数据）的信息安全信息安全的宏观范畴内容概要信息安全与等级保护什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容等级保护的建设流程等级保护各参与部门的角色定位什么是等级保护信息系统等级保护的定义

是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。等级保护的等级划分准则根据信息和信息系统遭到破坏或泄露后，对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度来进行定级。1、受侵害客体；2、受侵害程度；等级保护的等级划分准则等级保护涉及的几个基本概念主动用户、进程主体被动文件、存储设备客体访问：读、写、执行权限安全策略安全审计强制访问控制第一级用户自主保护级第二级系统审计保护第三级安全标记保护第四级结构化保护第五级访问验证保护用户自主控制资源访问访问行为需要被审计通过标记实现强制访问控制可信计算基结构化所有的过程都需要验证等级保护的等级划分准则第一帆级铺自主志安全锅保护第二订级才审计卵安全见保护第三甘级毫强制障安全根保护第四偷级绕结构蝴化保残护第五昂级霉访问兔验证兼保护防级自主奥访问叨控制身份碧鉴别完整祸性保淋护自主气访问罢控制身份廉鉴别完整厨性保滔护系统效审计客体谈重用自主武访问稍控制身份杯鉴别完整叨性保素护系统叛审计客体溉重用强制忌访问窜控制标记自主专访问惊控制身份山鉴别完整惹性保澡护系统肝审计客体滴重用强制瓦访问防控制标记自主朋访问黎控制身份蜜鉴别完整共性保陪护系统奔审计客体佣重用强制补访问递控制标记隐蔽茄通道菠分析摊可干信路绘径隐蔽遭通道枝分析创可贴信路驼径可信锐恢复等级橡保护纷的等伪级划运分准陕则内容示概要信息概安全婶与等夜级保滥护什么傅是等奶级保柏护等级宽保护店的国咽家政租策与摊标准川规范等级业保护毅的工抛作内片容等级牲保护慕的建停设流东程等级桥保护姐各参位与部捉门的僚角色浑定位颁布时间文件名称文号颁布机构内容及意义1994年2月18日《中华人民共和国计算机信息系统安全保护条例》国务院147号令国务院第一次提出信息系统要实行等级保护，并确定了等级保护的职责单位。2003年9月7日《国家信息化领导小组关于加强信息安全保障工作的意见》中办国办发[2003]27号中共中央办公厅国务院办公厅等级保护工作的开展必须分步骤、分阶段、有计划的实施。明确了信息安全等级保护制度的基本内容。2004年9月15日《关于信息安全等级保护工作的实施意见》公通字[2004]66号公安部国家保密局国家密码管理委员会办公室（国家密码管理局）国务院信息化工作办公室将等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障的一项基本制度。2007年6月22日《信息安全等级保护管理办法》公通字[2007]43号明确了信息安全等级保护制度的基本内容、流程及工作要求，明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务。2007年7月16日《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号就定级范围、定级工作主要内容、定级工作要求等事项进行了通知。等级难保护迁的国欲家政尖策等级绞保护所的技辞术标句准规念范GB洲17驶85住9-撞19泊99计算哪机信命息系欣统安窗全保良护等辈级划焰分准鸽则信息套系统侄安全爽等级住保护延定级掉指南GB抖/T免20冰26恭9-速20吗06信息泳系统注安全球管理槽要求GB例/T汁20差28掉2-盐20洋06信息灿安全甚技术悄信薪息系距统安锐全工行程管迫理要妥求GB友/T凭2歌02肿70飘-2脱00名6信息阻安全垮技术宽网睬络基结础安皇全技排术要犁求GB用/T稻2阿02初71登-2帐00吹6信息免安全义技术暖信昼息系熊统通草用安斜全技跟术要眉求GB饼/T弊2偷02跃72螺-2静00师6信息副安全姐技术押操殖作系乔统安让全技答术要招求GB波/T辱2和02挣73英-2约00艺6信息旬安全桃技术州数吼据库色管理落系统溪通用穴安全孔技术蓝要求GB字/T巧22绪23半9-顽20向08信息膝安全在技术弟信榆息系脑统安收全等竖级保某护基各本要男求信息篇安全番技术无信书息系促统等谎级保捧护安店全设喘计技猴术要纪求(已送嚼批)信息今系统萌安全白等级驾保护隔实施隙指南……GB/T20009-2005信息安全技术操作系统安全评估准则国家蚊已出振台7突0多狸个国们标、旱行标凡以及落报批闪标准挠，从渗基础质、设悄计、详实施童、管虫理、鹿制度等各遥个方肥面对堪等保脏系统袜提出踢了要赠求和民建议宇。《计算机信息系统安全保护等级划分准则》（GB17859-1999）

《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）

《信息安全技术操作系统安全技术要求》

（GB/T20272-2006）《信息安全技术

信息系统安全等级保护基本要求》（GB/T22239-2008）《信息安全技术

信息系统等级保护安全设计技术要求》面向嚷评估劲者技拾术标慌准：面向悲建设致者技偶术标节准：等级衡保护幅的技渠术标瓜准规桂范《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）《信息系统安全管理体系标准》（ISO/IEC27001）《信息安全技术信息系统安全等级保护实施指南》（GB/Txxxxx-2007

）管理笛类标眠准：等保转方案撕类标听准：系统侄定级画类标昨准：《信息安全技术信息系统安全保护等级定级指南》（GB/T22240-2008）

等级也保护季的技烧术标倒准规沫范《信息西系统湖安全每等级直保护壤基本主要求》(心GB知/T查2温22帆39翻-2贸00时8)《信息命系统殖等级君保护渐安全澡设计慨技术淹要求》（已寄审批何）《计算硬机信浓息系裕统安靠全保究护等管级划芦分准何则》（GB惩1止78辉59摩-1耀99贸9）最早提出的基础性、强制性标准；粒度较粗，是一个指导性标准；公安部作为等保系统建设、评测的重要依据等保系统设计时的主要依据：一个中心三重防御国家氧已出稼台约70余个许标准愚，重京点需它要了歼解的虫有：等级夺保护五的技痰术标谊准规愉范内容崖概要信息填安全扶与等锄级保捧护什么畏是等址级保估护等级熟保护名的国蓬家政造策与加标准驱规范等级不保护训的工世作内亿容等级悉保护鼓的建光设流壁程等级演保护扔各参悲与部哨门的倍角色援定位等级骨保护违的建醉设目思标某级信息系统技术要求管理要求基本要求建立安全技术体系建立安全管理体系具有某级安全保护能力的系统等级它保护由的建顷设要雅求物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理等级标保护鹊的建惰设要扬求环境古安全防其套他自泡然灾晃害机房哀与设倘施安归全环境疲与人尤员安笔全设备浩安全防止猎电磁铸泄露绿发射防盗缩慧与防译毁防电徐磁干极扰介质蚂安全介质酱的管碌理介质到的分渠类介质卖的防盆护物理哄安全等级夹保护柱的建拢设要低求网络课安全1.网络要结构询安全2.网络旁访问铲控制3.网络宁安全蚕审计4.边界尺完整笑性检殖查5.网络倒入侵扇防范6.恶意凯代码你防护7.网络策防护旷设备主机湖安全身份败鉴别强制下访问锣控制系统倡安全旅审计4.剩余柔信息步保护5.入侵娇防范6.恶意队代码促防范7.资源鄙控制应用洞安全1.身份查认证2.安全助审计3.剩余哥信息伴保护4.通信蛋完整代性和让机密占性保姻护数据野安全1.数据绍机密盟性保狠护2.数据缸完整滥性保套护5.控制友软件楼容错；6.严格忘的访缘瑞问；7.自动虑保护续功能抄；8.资源铁控制够；等级终保护析的建泪设模骡式满足政策要求满足标准要求满足用户自身要求安全现状差异性分析基本遵要求需求物理安全网络安全主机安全应用安全数据安全与备份恢复等级屿保护仔的体英系架霞构其它定级系统安全接入/隔离设备计算惕环境区域辉边界通信嚼网络网站/应用服务器交换设备用户终端安全管理中心通信帜网络区域字边界计算吗环境安全扛管理恐中心构筑钞由安全兆管理沾中心统一伪管理缺下的计算谣环境朋、区肉域边虫界、莲通信抗网络三重圈防御置体系缝。安全叙区域际边界可信怀计算苗环境安全赵管理方中心安全安通信愁网络等级项保护肺的技朗术实址现依筐据内容幻玉概要信息摇安全驳与等俱级保舰护什么娃是等及级保疲护等级笑保护怒的国榨家政棚策与照标准磁规范等级录保护括的工威作内乓容等级区保护坟的建拦设流偏程等级异保护皮各参柳与部胸门的破角色有定位等级拜保护挺的建屿设流斤程达标等保体系安全措施业务应用信息网络已运营系统业务应用安全措施新建系统等保珍整改等保侦建设等级秀保护闷整改代建设宣流程1.信息系统定级2.等保建设立项3.信息安全威胁分析4.等保方案设计5.安全体系部署6.等保体系测评7.等保整改建设完成定级饥工作08年已搂基本含完成专业粮机构整改全意见总设详设专家梳论证项目迎实施内部桑验收专业谢机构测评怕报告未通靠过20饭07年开伟始，现我国浪在全萌国范晴围展棉开了跃信息衬系统估等级强保护粱的定俗级工边作，剃并在验公安券部进无行了叼相关坡的备肉案。定级并依据水：《信息绿系统岩安全呼保护筹等级定级访指南》（国凝家）《XX行业信息炉系统盟安全犬保护误等级定级折指南》流程只一：紫信息绞系统严定级谁主管等、运恋营谁定尚级；泄拟确筑定为四级习以上的信笼息系仙统需蒙请国家蜓信息铅安全忍保护乏等级露专家数评审盗委员王会评审红；信息混系统斥定级希情况东要在公安引部门报备森；根据烧信息委和信您息系泛统遭算到破作坏或牢泄露重后，族对国家斜安全辽、社益会秩祥序、愉公共缸利益漏及公筹民、恨法人拒和其温他组触织的时合法塔权益的危害茶程度来进越行定闻级。受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级1.受侵斩害客果体；2.受侵兵害程辞度；流程荐一：魄信息加系统被定级信息尾系统避等级阔保护灾建设途，经畜过信秧息系粮统的邻运营蒸、管校理部免门以助及有欣关政闭府部畅门的退批准急，并敬列入题信息禽系统虏运营究单位锯或政勾府计嗽划的嘱过程烦。一项基本平国策，一绕项基本秋制度，具杰有政策轧的强谎制性流程而二：帖等保嗽建设奔立项是办雷公电符子化唐、业圾务信贴息化童发展孩必需侨的保部障手请段用户疮业务腾开展铲的实亮际需造求需请相应痛级别、具有竭资质的测哑评中拾心进愧行风隐险评婶估；流程便三：牙风险越评估风险重评估孔是对借信息润资产面临示的威像胁、扮存在然的弱眼点、做造成施的影堆响，以胳及三潜者综蛾合作侨用而豪带来煮风险察的可杜能性扒的评别估。特风险砍评估脑是确酷定信尸息安剑全需佩求的掉一个眠重要点途径贷。风险墨评估见完成杜后出瓣具《评估令报告》和《整改肃意见》；1整改意见需求分析2总体设计详细设计3应急方案灾备方案5方案与产品安全性论证6项目预算7项目实施方案设计4产品选型技术指标信息系统等保体系建设露目标流程坑四：室等保淡方案详设计艺思路重视歪安全字技晃管兼耽行遵循群政策客符五合标壁准需求全主导行突俱出重箭点整体毕规划之分正步实趟施流程扁四：劣等保拿方案向设计莫原则全局幕管理石统剂一标爹准适度雅安全锣减绕少影堵响满足政策要求满足标准要求满足用户自身要求安全现状差异性分析基本我要求需求流程遥四：掘需求炎分析浅方法物理安全网络安全主机安全应用安全数据安全与备份恢复安全现状与《基本要求》的差异分析对照标准要求是否满足相应措施物理安全网络安全主机安全应用安全数据安全流程谷四：浩需求盗分析惯方法等级圣保护素建设事方案添章节轮：二、请安全亭需求赶分析一、刺项目物背景流程巡寿四：告设计泰方案汤章节四、萝等保鹅技术励体系问设计三、蓄方案探总体规设计六、哥等保板管理宗安全梨设计五、欢等保收物理隶安全奶设计八、妇产品旬选型筹与技禁术指余标七、晕应急禾与灾颈备设飘计九、融方案喇与产端品安疲全性哥论证十一垮、实投施方对案设哥计十、镜项目崖预算需求掘背景政策拦依据以《基本五要求》中“借网络膀、主拌机、陕应用据、数绳据”析部分许要求忧为目埋标，叉以《设计填要求》为方步法以《基本飘要求》中物粥理安喂全部所分为毅依据以《基本咽要求》中管婶理安瘦全部防分为橡依据经过哀信息陷安全蓝等级叨保护风专家票论证吨通过其它定级系统安全接入/隔离设备计算窗环境区域膝边界通信典网络网站/应用服务器交换设备用户终端安全管理中心通信宏网络区域载边界计算相环境安全拢管理使中心流程彩四：型等保葵体系扎整体锈架构流程鼠五：乘等保指体系超部署统一李规划饶，分深步实招施规范戏管理盛，责间任落谁实确保朵安全盟，影层响最祸小专家短论证洒，内煮部验陆收计算和环境区域桨边界通信坛网络等保指体系奴达标需请相应正级别蛮、具望有资侄质的测楼评中暗心进涝行等昏保测继评；流程师六：彩等保长体系丹测评以相晨应的政策木、标强准为基猴准，泊对等担保体梢系进群行风品险评季测，秒从面临堤的威蹲胁、鸟存在柜的弱躁点、喂造成榆的影协响，以启及三掠者综钳合作斑用角态度，甘分析者信息恰系统佛的等狗保体盐系是奸否达假标。等保纳测评适完成赶后出涉具《测评铃报告》和