信息安全等级保护培训课件

信息安全等级保护培训安全服务部陈坚城

等级保护基本要求

等级保护基本概念介绍

等级保护定级123

等级保护测评实施4等级保护基本概念介绍《信息安全等级保护管理办法》指出

信息安全等级保护是以信息为核心。根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素，对最核心的信息和信息系统划分为五个安全保护和监管等级，实行分等级保护。什么是等级保护？为什么实行等级保护？

“一个提高，六个有利于”实施信息安全等级保护，可以有效地提高我国信息安全建设的整体水平。有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督；有利于明确国家、法人和其他组织、公民的安全责任，强化政府监管职能，共同落实各项安全建设和安全管理措施；有利于提高安全保护的科学性、整体性、针对性，推动信息安全产业水平，逐步探索一条适应社会主义市场经济发展的信息安全发展模式。有利于明确国家、法人和其他组织、公民的安全责任，强化政府监管职能，共同落实各项安全建设和安全管理措施；有利于提高安全保护的科学性、整体性、针对性，推动信息安全产业水平，逐步探索一条适应社会主义市场经济发展的信息安全发展模式。近期重大信息泄密事件2010年7月26日，Wikileaks（维基泄密）的网站在《纽约时报》《卫报》和《镜报》配合下，在网上公开了多达9.2万份的驻阿美军高度秘密文件，引起轩然大波。近期，一些同阿桑奇发生纠葛的组织和个人遭到在线攻击，似乎是黑客为该网站进行报复而采取的行动。这一泄密行为很可能危及到目前在阿美军士兵的安全。电脑战争爆发轰瘫伊朗核电站伊朗2010年9月26日向外界证实，“震网”（Stuxnet）电脑病毒入侵伊朗布什尔核电站。导致伊朗核计划延迟1年以上。为什么实行等级保护？银行网站被“钓鱼”者仿冒真正的中国工商银行网站

假冒的中国工商银行网站

为什么实行等级保护？扬州市城乡建设局网站信息安全保护的必要性和紧迫性据近期全球信息安全调查报告显示，中国内地企业在信息安全管理方面存在滞后，信息安全与隐私保障方面已被印度赶超。数据显示，内地企业44％的信息安全事件与数据失窃有关，而全球的平均水平只有16％。42%的中国内地受访企业都经历了应用软件、系统和网络的安全事件。由此可以看出，泄密给中国企业造成了巨大的损失，中国的企业迫切的需要一种全新的数据安全产品改善这种不完善的信息安全机制，只有企业的核心数据得到有效的保护，企业的核心竞争力才能得到更大的提升。信息安全等级保护的标准体系基础类《计算机信息系统安全保护等级划分准则》GB17859-1999《信息系统安全等级保护实施指南》GB/T25058-2010应用类定级：《信息系统安全保护等级定级指南》GB/T22240-2008建设：《信息系统安全等级保护基本要求》GB/T22239-2008

《信息系统通用安全技术要求》GB/T20271-2006

《信息系统等级保护安全设计技术要求》GB/T25070-2010测评：《信息系统安全等级保护测评要求》《信息系统安全等级保护测评过程指南》管理：《信息系统安全管理要求》GB/T20269-2006

《信息系统安全工程管理要求》GB/T20282-2006信息安全等级保护的标准体系技术类GB/T21052-2007信息安全技术

信息系统物理安全技术要求GB/T20270-2006信息安全技术

网络基础安全技术要求GB/T20271-2006信息安全技术

信息系统通用安全技术要求GB/T20272-2006信息安全技术

操作系统安全技术要求GB/T20273-2006信息安全技术

数据库管理系统安全技术要求其他信息产品、信息安全产品等其它类GB/T20984-2007信息安全技术

信息安全风险评估规范GB/T20285-2007信息安全技术

信息安全事件管理指南GB/Z20986-2007信息安全技术

信息安全事件分类分级指南GB/T20988-2007信息安全技术

信息系统灾难恢复规范等级保护标准与工作环节的关系信息安全等级保护安全建设整改工作安全等级现状分析方法指导信息系统安全等级保护定级指南信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求安全要求信息系统安全等级保护实施指南信息系统等级保护安全设计技术要求信息系统安全等级保护行业定级细则信息系统安全等级保护基本要求计算机信息系统安全保护等级划分准则(GB17859)技术类管理类信息系统安全等级保护基本要求的行业细则产品类操作系统安全技术要求数据库管理系统安全技术要求网络和终端设备隔离部件技术要求其他产品类标准信息系统通用安全技术要求信息系统物理安全技术要求网络基础安全技术要求其他技术类标准信息系统安全管理要求信息系统安全工程管理要求其他管理类标准信息安全等级保护工作要求遵循以下基本原则：自主保护原则信息系统运营、使用单位及其主管部门按照国家相关法规和标准，自主确定信息系统的安全保护等级，自行组织实施安全保护。重点保护原则根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。同步建设原则信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。动态调整原则要跟踪信息系统的变化情况，调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级，根据信息系统安全保护等级的调整情况，重新实施安全保护。信息安全等级保护要做什么？全面完成定级备案进一步清理本单位信息系统看是否有否未定级所定的级别是否准确定级偏低百害而无一利上级领导的重视程度自然减弱经费保障也不到位出了安全问题承担责任落实等保经费保障国家发展和改革委员会、公安部、保密局联合发出《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》省发改委、公安厅、保密局已转发。组织实施安全整改自检测评整改方案整改实施整改后的测评加强系统监督检查运营、使用单位对于第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查。将安全测评纳入自查环节，在自查结束后将自查报告连同测评报告报公安网监部门。国家对等级保护测评的要求《信息安全等级保护管理办法》“等级保护的实施与管理”第十四条指出：信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位，依据《信息系统安全等级保护基本要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。广东省安全保护条例对测评要求第十二条第二级以上计算机信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合国家规定的安全等级测评机构，依据国家规定的技术标准，对计算机信息系统安全等级状况开展等级测评，测评合格后方可投入使用。第十三条计算机信息系统的运营、使用单位及其主管部门应当按照国家规定定期对计算机信息系统开展安全等级测评，并对计算机信息系统安全状况、安全管理制度及措施的落实情况进行自查。计算机信息系统安全状况经测评或者自查，未达到安全等级保护要求的，运营、使用单位应当进行整改。等级保护实施的基本流程系统备案公安网监审核安全需求分析定级不准材料不齐颁发证书规划等保整改方案检查报告及整改方案提交网监备案等保整改实施等保验收测评测评报告提交网监备案运营单位系统自运维材料齐、定级准合格不合格合格不合格已建运行系统在定级确定后，新建系统在通过立项申请后，30日内由所属公安机关办理备案手续根据等保有关规定和标准，分析系统安全建设整改需求，可委托等保技术支持单位进行。可委托有等保整改和系统集成资质的单位进行，采用集成项目实施方法进行。选择第三方等级测评机构进行测评，其中新建系统可以在试运行阶段进行。三级系统每年一次，四级系统每半年一次，选择第三方等级测评机构进行测评系统定级系统运营单位按照《信息系统信息安全等级保护定级指南》自行申报。等级保护工作的实施过程定级备案安全需求分析（差距测评）安全整改验收测评项目验收定期检查阶段定级备案安全需求分析安全整改验收测评项目验收定期检查主要负责系统运营使用单位网监安全咨询服务机构系统运营使用单位等级测评机构系统运营使用单位系统运营使用单位配合工作安全咨询服务机构系统运营使用单位系统运营使用单位安全咨询服务机构系统运营使用单位等级测评机构等级测评机构监督检查网监/网监网监网监网监网监广东省等保验收测评机构等级保护定级关于定级范围（一）电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。（二）铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。

（三）市（地）级以上党政机关的重要网站和办公信息系统

标准定位《GB/T22240-2008信息系统安全等级保护定级指南》

※系统定级是开展信息系统安全等级保护工作的“基本出发点”。

※定级结果应当成为安全保护的总体安全需求。7、系统服务安全等级定级方法与流程26保护对象受到破坏时受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级等级保护定级方法保护对象对客体的侵害程度客体：社会关系受侵害的客体信息系统安全等级系统服务安全等级业务信息安全等级3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体4、业务信息安全等级8、定级对象的安全保护等级8＝MAX（4，7）1、确定定级对象（系统边界）一般流程等级确定定级指南表1-定级要素与安全保护等级的关系等级保护基本要求

基本要求的作用基本要求监管机构检查测评机构测评使用单位自查集成厂商指导建设基本要求的定位是系统安全保护、等级测评的一个基本“标尺”，同样级别的系统使用统一的“标尺”来衡量，保证权威性，是一个达标线；每个级别的信息系统按照基本要求进行保护后，信息系统具有相应等级的基本安全保护能力，达到一种基本的安全状态;是每个级别信息系统进行安全保护工作的一个基本出发点，更加贴切的保护可以通过需求分析对基本要求进行补充，参考其他有关等级保护或安全方面的标准来实现。基本要求的定位某级系统基本要求技术要求管理要求建立安全技术体系建立安全管理体系某级系统等级保护基本要求构架基本要求技术要求物理安全网络安全主机安全应用安全数据安全管理要求安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理某级系统基本要求标注方式信息系统安全等级保护基本要求技术要求管理要求要求标注业务信息安全类要求

（标记为S类）系统服务保证类要求

（标记为A类）通用安全保护类要求

（标记为G类）基本要求的选择和使用一个3级系统,定级结果为S3A2，安全保护类型应该是S3A2G3第1步:选择标准中3级基本要求的技术要求和管理要求;第2步:要求中标注为S类和G类的不变;标注为A类的要求可以选用2级基本要求中的A类作为基本要求;安全保护和系统定级的关系34安全保护等级信息系统定级结果的组合第一级S1A1G1第二级S1A2G2，S2A2G2，S2A1G2第三级S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四级S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4第五级S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A4G5，S5A3G5，S5A2G5，S5A1G5基本保护要求（最低）保护能力对抗能力＋恢复能力技术要求＋管理要求物理、网络、主机、应用、数据制度、机构、人员、建设、运维纵深防御、互补关联、强度一致、

平台统一、集中安管业务信息安全类要求S系统服务保证类要求A通用安全保护类要求G整体安全保护能力关键控制点安全类具体要求项控制强度安全要求类层面一级二级三级四级技术要求物理安全7101010网络安全3677主机安全4679应用安全47911数据安全及备份恢复2333管理要求安全管理制度2333安全管理机构4555人员安全管理4555系统建设管理991111系统运维管理9121313合计/48667377级差//1874控制点各个级别的控制点35安全要求类层面一级二级三级四级技术要求物理安全9193233网络安全9183332主机安全6193236应用安全7193136数据安全及备份恢复24811管理要求安全管理制度371114安全管理机构492020人员安全管理7111618系统建设管理20284548系统运维管理18416270合计/85175290318级差//9011528控制项36各个级别的具体控制项等级保护测评实施等级保护测评中的角色和职责关系系统承建单位主管\使用\运行单位测评机构专家组支持测评提供技术、工程和质量文档实施的配合公安网监部门对方案评审对评估结论进行评审测评工作

组织与监管制定测评计划和方案等相关文档在相关单位支持下实施等级测评提交测评报告测评工作组织协调确保技术、工程和质量文档、提供运营相关文档的提供评审实施方案等相关文档配合等级测评实施测评过程中的风险管理和应急管理等级保护测评的实施方法等保评测资产对象调研技术类管理类物理安全核查网络安全核查主机安全核查应用安全核查数据安全核查漏洞扫描安全管理机构核查安全管理制度核查人员安全管理核查系统建设管理核查系统运维管理核查安全分析/整改设计技术类管理类物理安全合规性网络安全合规性主机安全合规性应用安全合规性数据安全合规性安全管理机构合规性安全管理制度合规性人员安全管理合规性系统建设管理合规性系统运维管理合规性项目

验收资产调研表网络拓扑图等级保护安全整改方案等级保护测评报告验收报告等级保护测评过程40等级测评过程方案编制测评准备分析与报告编制现场测评项目启动、信息收集和分析、工具和表单准备文档R&R测评对象确定、测评指标确定、

测试工具接入点确定、测评内容确定、

测评实施手册开发、测评方案编制现场测评方法确定（一般包括：访谈、检查、工具测试等）、

现场测评和结果记录、结果确认和资料归还单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成、测评报告编制等级保护测评方法（1/2）测评方法测评采用访谈、检查和测试三种方法，测评对象是测评实施过程中涉及到的信息系统的构成成份，包括人员、文档、机制、软件、设备。测评的层面涉及物理安全、网络安全、主机安全、应用系统安全、数据安全以及安全管理。测评要求使用测评表进行具体检查时，首先按询问、查验、检测等工作方式将所有检查项目分类。以访谈方式检查的项目，在与有关人员的谈话或会议上进行；以检查方式检查的项目，将需要的文档清单在检查现场提交给被检查方，请被检查方当前提供并进行查验；以测试方式检查的项目，按检测部门或设备分类后，根据具体情况选择检测顺序。等级保护测评方法（2/2）对技术要求“访谈”方法：目的是了解信息系统的全局性。范围一般不覆盖所有要求内容。“检查”方法：目的是确认信息系统当前具体安全机制和运行的配置是否符合要求。范围一般要覆盖所有要求内容。“测试”方法：目的是验证信息系统安全机制有效性和安全强度。范围不覆盖所有要求内容。对管理要求对人员方面的要求，重点通过“访谈”的方式来测评，检查为辅；对过程方面的要求，通过“访谈”和“检查”的方式来测评；对规范方面的要求，以“检查”文档为主，“访谈”为辅等级保护测评案例某公司（简称“AAA”）用电信息系统承载着该公司的电力营销业务，由数据存储、业务处理、接入、对外服务和外联等五个功能区域组成，是一个安全等级为三级的信息系统。现场测评小组分为管理组（2人）和技术组（4人）两组，分别完成安全管理和安全技术方面的测评。

被测系统为承载着AAA公司电力营销业务，是AAA公司的重要信息系统，其安全等级定为三级（S3A2G3）。

被测系统由数据存储、业务处理、接入、对外服务和外联等五个功能区域组成.对外有可以为大客户单位、internet网、拨号用户等提供电费数据查询、交纳、业务扩充、投诉等服务的功能模块。数据存储功能区位于屏蔽机房，其它功能区域位于中心机房。

测评对象（1/4）根据用信息系统的实际情况，分别确定物理安全、网络安全、主机系统安全、应用安全等各层面的测评对象。物理方面主要是测评屏蔽机房和主机房。网络方面主要测评的设备有：路由器、交换机、防火墙、IDS、外联检测、防病毒等。序号功能区域设备名称用途设备信息抽查说明1外联区DW3600（Internet）外部接入路由器（Internet）型号：CISCO3600IP:查1台2DW36002、3、4（DDN）外部接入路由器（DDN）型号：CISCO3600IP:查1台3DW36005、6（PSTN）外部接入路由器（PSTN拨号接入）型号：CISCO3600IP:查1台4对外服务区DW208FWDW208FW防火墙，系统内外隔离型号：Netscreen208

IP:192.168.32-33/24查1台测评对象（2/4）主机方面主要测评的主机服务器（包括数据库服务器）。序号设备名称用途设备信息抽查说明1S1对外服务业务逻辑处理IBMPC服务器，WIN2003查1台2S2对外服务网站IBMPC服务器，WIN2003查1台31#业务用电业务处理中间件IBMPC服务器，LINUX查1台4DB1(数据库服务器1)用电数据存储服务器IBM小型机，AIX，SYBASE查1台5用电业务客服机运行用电业务客服端程序DELLPC,WIN2000查1台6…………测评对象（3/4）应用方面主要测评的应用系统。序号系统名称系统描述抽查说明1用电应用系统主要完成的功能包括业务扩充、电量计量、电费计算、查询、统计等业务。涉及到的业务信息包括用户登录权限认证信息、用电业务数据等于电力公司服务业务相关的信息抽查2对外服务网站系统…3……测评对象（4/4）安全管理，主要测评对象为与信息安全管理有关的策略、制度、操作规程、运行记录、管理人员、技术人员和相关设备设施等。测评指标选取被测系统的定级结果为：安全保护等级为3级，业务信息安全等级为S3，系统服务安全等级为A2；则该系统的测评指标应包括《基本要求》“技术要求”中的3级通用指标类（G3），3级业务信息安全指标类（S3），2级系统服务安全指标类（A2），以及第3级“管理要求”中的所有指标类。评测指标技术/管理层面类数量S类（3级）A类（2类）G类（3级）小计安全技术物理安全11810网络安全1067主机安全3137应用安全5229数据安全2103安全管理安全管理机构0033安全管理制度0055人员安全管理0055系统建设管理001111系统运维管理001313合计73类测评工具和接入点根据3级信息系统的测评强度要求，在测试的广度上，应基本覆盖不同类型的机制，在数量、范围上可以抽样；在测试的深度上，应执行功能测试和渗透测试，功能测试可能涉及机制的功能规范、高级设计和操作规程等文档，渗透测试可能涉及机制的所有可用文档，并试图智取进入信息系统等。因此，对其进行测评，应涉及到漏洞扫描工具、渗透测评工具集等多种测试工具。使用的测试工具主要有：网络漏洞扫描器、数据库安全扫描器、渗透测试工具集等。测评内容—物理安全物理安全测评将通过访谈、文档审查和实地察看的方式测评信息系统的的物理安全保障情况。主要涉及对象为屏蔽机房和主机房。序号评测指标评测内容描述1物理位置的选择通过访谈物理安全负责人，检查屏蔽机房和主机房等过程，测评屏蔽机房和主机房等信息系统物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。2物理访问控制通过访谈物理安全负责人，检查屏蔽机房和主机房出入口、机房分区域情况等过程，评测信息系统在物理访问控制方面的安全防范能力。………测评内容—网络安