信息安全之等保三级综述

1、等级保护综述 （三级）,四川大学信息安全研究所 周安民 2013.11,树形结构是为了将一个部门或行业通过网络将中央到省、 地、县等各级机关连接成一个“自己内部的”虚拟网络。 互连结构则是为了将一个部门或行业，与其它部门或行业， 或与社会各种利益团体虚拟连接起来，以便开展业务合作 或实现政府管理或指导职能，。,电子政务网络系统概述,网络平台,所依托的网络平台，大体都是由虚拟专网或租用专网构成 网络结构呈现出垂直向下的树形层次结构和同层子网的互连结构,互连的虚拟网络体“内部”各种子网的安全策略各不相同，因 而它们分属于不同的安全管理域,电子政务系统网络层次结构示意,信息系统安全测评：等级保护与分

2、级保护,信息系统的测评标准选择,适用的方法： 电子政务外网：等级保护标准 电子政务内网（涉密）：分级保护要求,信息网络系统应根据信息安全等级保护标准，采取相应等级的信息安全保障措施进行安全防护 对于集中处理工作秘密的信息系统，可参照秘密级信息系统保护的要求进行保护和管理。,等级保护之十大标准,基础类 计算机信息系统安全保护等级划分准则GB 17859-1999 信息系统安全等级保护实施指南GB/T 25058-2010 应用类 定级：信息系统安全保护等级定级指南GB/T 22240-2008 建设：信息系统安全等级保护基本要求GB/T 22239-2008 信息系统通用安全技术要求GB/T 2

3、0271-2006 信息系统等级保护安全设计技术要求GB/T 25070-2010 测评：信息系统安全等级保护测评要求 信息系统安全等级保护测评过程指南 管理：信息系统安全管理要求GB/T 20269-2006 信息系统安全工程管理要求GB/T 20282-2006,6,等级保护之相关标准,技术类 GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求 GB/T 20270-2006 信息安全技术 网络基础安全技术要求 GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求 GB/T 20272-2006 信息安全技术 操作系统安全技术要求 GB/T 20273

4、-2006 信息安全技术 数据库管理系统安全技术要求 其他信息产品、信息安全产品等。 其他类 GB/T 20984-2007 信息安全技术 信息安全风险评估规范 GB/T 20285-2007 信息安全技术 信息安全事件管理指南 GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南 GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范,7,等级保护标准系列的逻辑关系,划分准则,定级指南,基本要求,测评要求,技术设计要求,实施指南,测评过程指南,GB/T 20269 安全管理,GB/T 20270 网络基础,GB/T 20271 通用安全技术,GB/T 20272

5、 操作系统,GB/T 20273 数据库,GB/T 20282 安全工程管理,等级保护,8,GB/T 20984 风险评估,实施指南GB/T 25058-2010,等级保护实施过程,基本原则,主要过程及其活动,角色、职责,基本流程,等级变更,局部调整,信息系统定级,总体安全规划,安全设计与实施,安全运行维护,信息系统终止,国家管理部门（4家）,信息系统主管部门,信息系统运营、使用单位,信息安全服务机构,信息安全等级测评机构,信息安全产品供应商,9,7、系统服务安全等级,等级保护定级指南GB/T 22240,等级保护定级方法,保护对象,对客体的侵害程度,客体：社会关系,受侵害的客体,信息系统安全

6、,系统服务安全,业务信息安全,3、综合评定对客体的侵害程度,2、确定业务信息安全受到破坏时所侵害的客体,6、综合评定对客体的侵害程度,5、确定系统服务安全受到破坏时所侵害的客体,4、业务信息安全等级,8、定级对象的安全保护等级 8MAX（4，7）,1、确定定级对象（系统边界）,一般流程,等级确定,10,基本保护要求（最低）,保护能力,对抗能力恢复能力,技术要求管理要求,物理、网络、主机、应用、数据,制度、机构、人员、建设、运维,纵深防御、互补关联、强度一致、 平台统一、集中安管,业务信息安全类要求 S,系统服务保证类要求 A,通用安全保护类要求 G,整体安全保护能力,关键控制点,安全类,具体要

7、求项,控制强度,基本要求GB/T 22239,控制点,基本要求GB/T 22239,控制项,13,基本要求GB/T 22239,设计技术要求（示意）,第一级系统,第二级系统安全保护环境主要产品类型及功能,设计技术要求（示意）,第三级系统安全保护环境主要产品类型及功能,二级、三级等级保护要求比较,等级保护要求 （技术&管理）,2级 VS 3级,等级保护相关的 主要方法,公共通信网,E,A,3,e,l,l,s,业务处理用户,SEC,公共服务区,SEC,市级机关,市级机关,省级机关,业 务 理 用 户,部 门 内 部 应 用,部 门 对 外 应 用,部 门 对 外 应 用,部 门 内 部 应 用,安

8、全管理监控区,安全管理监控区,公共服务区,E-mail www App.,入侵检测,入侵检测,Internet,Internet,两 级 网 络 的 安 全 方 案 总 成,基于信息流的风险识别、控制方法,资产脆弱性威胁,九大区域 分层,基于信息流的资源分布模型研究,合理分域，准确定级,信息系统等级（分级）保护以系统所处理信息的最高重要程度来确定安全等级 在合理划分安全域边界安全可控的情况下，各安全域可根据信息的最高重要程度单独定级，实施“分域分级防护”的策略，从而降低系统建设成本和管理风险 信息系统安全域之间的边界应划分明确，安全域与安全域之间的所有数据通信都应安全可控 对于不同等级的安全域

9、间通信，应实施有效的访问控制策略和机制，禁止高密级信息由高等级安全域流向低等级安全域。, 对于敏感程度层次分明、地域纵横分布的党政部门“电子政务广域网信息系统”，可根据行政级别、信息敏感程度和系统重要性划分不同的安全域。 首先可根据行政级别将业务体系内的“电子政务广域网信息系统”划分为中央、省、市（地）和县四个安全域， 然后再根据各个安全域的所处理信息的最高信息敏感程度单独确定保护等级和防护措施，例如按照 第5级（中央）、 第4级（省）、 第3级（市、地）和 第1级（县） “四层三级”的架构进行分域分级防护。,树形结构网络的安全域划分与定级示例, 为了实现最高敏感级信息系统的最小化，控制敏感信

10、息的知晓范围，降低失泄密的风险，对于使用范围集中的局域网敏感型信息系统，可根据业务部门和信息敏感级划分不同的安全域。 首先通过使用VLAN、防火墙等技术划分不同的安全域，对不同部门的业务进行分割； 然后，在同一部门内可再根据信息敏感级，将处理、存储不同敏感级信息的服务器和用户终端划分到不同的安全域。例如，可将一个第4级局域网划分为若干个第4级和第3级安全域，进行分级分域管理，实现多边安全控制，保障系统的总体安全。,综合局域网信息系统的安全域划分与定级示例,外网节点网管中心 （监督保护级）,私有数据可通过VPN跨域传输,接入网络 （指导保护级）,安全域等级防护设计示意,安全域 （第3级）,安全域

11、 （第2级）,监督保护级网络,安全域 （第3级）,安全域 （第2级）,安全域 （第2级）, 禁止高敏感级信息由高等级安全域流向低等级安全域,分域分级防护示意,主要防护措施,防火墙系统 隔离与交换系统 网络入侵防御系统 主页防篡改系统 防病毒网关 抗DDos系统 VPN网关 安全认证网关 主机、服务器安全加固 文件安全系统 电子邮件安全等等,安全管理平台,主机监控与审计系统 网络安全审计系统 综合安全管理平台 数字证书颁发和管理平台 。,各级安全管理中心对管辖网络实施安全集中管理。,物理位置的选择,基本防护能力,高层、地下室,物理访问控制,基本出入控制,分区域管理,在机房中的活动,电子门禁,防盗

12、窃和防破坏,存放位置、标记标识,监控报警系统,防雷击,建筑防雷、机房接地,设备防雷,防火,灭火设备、自动报警,自动消防系统,区域隔离措施,防静电,关键设备,主要设备,防静电地板,电力供应,稳定电压、短期供应,主要设备,冗余/并行线路,备用供电系统,电磁防护,线缆隔离,接地防干扰,电磁屏蔽,防水和防潮,温湿度控制,物理安全的整改要点,结构安全,关键设备冗余空间,主要设备冗余空间,访问控制,访问控制设备（用户、网段）,应用层协议过滤,拨号访问限制,会话终止,安全审计,日志记录,审计报表,边界完整性检查,内部的非法联出,非授权设备私自外联,网络安全的整改要点,子网/网段控制,核心网络带宽,整体网络带

13、宽,重要网段部署,路由控制,带宽分配优先级,端口控制,最大流量数及最大连接数,防止地址欺骗,审计记录的保护,定位及阻断,入侵防范,检测常见攻击,记录、报警,恶意代码防范,网络边界处防范,网络设备防护,基本的登录鉴别,组合鉴别技术,特权用户的权限分离,身份鉴别,基本的身份鉴别,访问控制,安全策略,管理用户的权限分离,特权用户的权限分离,安全审计,服务器基本运行情况审计,审计报表,剩余信息保护,空间释放及信息清除,主机安全的整改要点,组合鉴别技术,敏感标记的设置及操作,审计记录的保护,入侵防范,最小安装原则,重要服务器：检测、记录、报警,恶意代码防范,主机与网络的防范产品不同,资源控制,监视重要服

14、务器,最小服务水平的检测及报警,重要客户端的审计,升级服务器,重要程序完整性,防恶意代码软件、代码库统一管理,对用户会话数及终端登录的限制,身份鉴别,基本的身份鉴别,访问控制,安全策略,最小授权原则,安全审计,运行情况审计（用户级）,审计报表,剩余信息保护,空间释放及信息清除,应用安全的整改要点,组合鉴别技术,敏感标记的设置及操作,审计过程的保护,通信完整性,校验码技术,密码技术,软件容错,自动保护功能,资源控制,资源分配限制、资源分配优先级,最小服务水平的检测及报警,数据有效性检验、部分运行保护,对用户会话数及 系统最大并发会话数的限制,审计记录的保护,通信保密性,初始化验证,整个报文及会话

15、过程加密,敏感信息加密,抗抵赖,数据完整性,鉴别数据传输的完整性,备份和恢复,重要数据的备份,数据安全及备份恢复的整改要点,各类数据传输及存储,异地备份,网络冗余、硬件冗余,本地完全备份,硬件冗余,检测和恢复,数据保密性,鉴别数据存储的保密性,各类数据的传输及存储,每天1次,备份介质场外存放,技 术 整 改 措 施 示意,第3级,管 理 整 改 措 施 示意,第3级,应坚持的基本原则,上网的机器不触“敏” 怎么能保证上网机未触及敏感信息 触“敏”的机器不上网或者严控上网 怎么能保证触“敏”机安全连接外部网络 严禁介质交叉使用 如何严控一般介质插入触敏机使用 如何严控敏感介质插入一般机使用,对安全保障的感想,基于主动防御的思想，保护信息资产 基于信息流的资产、风险全程识别与控制 正视现实，按照等级保护的要求制定适宜安全策略 重视残余风险的识别与控制 综合、专业的安全运维和管理,人、安全意识,核心,谢 谢。,等级保护基本要求 概述,物理安全,环境 设备、介质,38,基本要求GB/T 22239,网络安全,结构 边界 设备,39,基本要求GB/T 22239,主机安全,服务器； 终端/工作站 On 操作系统； 数据库系统,40,基本要求GB/T 22239,应用安全,基本应用 业务应用,41,基本要求GB/T 22239,数据安全及 备份恢复,用