信息安全等级保护体系解读PPT

1、信息安全等级保护体系解读,1,内容概要,2,LOGO,信息安全等级保护的定义,信息安全等级保护制度是我国信息安全工作保障工作的基本制度和基本国策，是开展信息安全工作的基本方法，是促进信息化、维护国家信息安全的基本保障。,第一级安全保护 第二级安全保护 第三级安全保护 第四级安全保护 第五级安全保护,EAL1 EAL2 EAL3 EAL4 EAL5,特别重大事件（I级） 重大事件（II级） 较大事件（III级） 一般事件（IV级）,3,LOGO,信息系统安全保护等级的划分,4,LOGO,信息安全等级保护的发展历史,5,LOGO,信息安全等级保护的发展历史,2003年,国家信息化领导小组关于加强信

2、息安全保障工作的意见（中办发200327号） 明确指出“实行信息安全等级保护”；“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。”,2004年,关于信息安全等级保护工作的实施意见（公通字200466号） 明确了开展信息安全等级保护工作的意义、具体的工作内容、各部门的职责分工及实施计划。,2007年,信息安全等级保护管理办法（公通字200743号） 明确了信息安全等级保护具体的等级划分、定级、备案、整改、测评、检查等环节的具体工作要求和实施细则。,2008年,国家标准化管理委员会相断出台了信息

3、安全等级保护的各项国家标准规范： 信息安全等级保护定级指南（GB/T 22240） 信息安全等级保护基本要求（GB/T 22239）等32项国家标准。,6,LOGO,信息安全等级保护的政策和法律体系,中华人民共和国计算机信息系统安全保护条例(国务院147号令),国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）,关于信息安全等级保护工作的实施意见（公通字200466号）,信息安全等级保护管理办法（公通字200743号),关于开展全国重要信息系统安全等级保护定级工作的通知（公信安2007861号）,信息安全等级保护备案实施细则（公信安20071360号）,关于开展信息安全等

4、级保护安全建设整改工作的指导意见(公信安20091429号),关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技20082071号）,关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知（公信安303号文）,关于印发信息系统安全等级测评报告模版（试行）的通知（公信安20091487号）,公安机关信息安全等级保护检查工作规范（公信安2008736号）,信息安全等级保护工作,定级,备案,整改,测评,检查,7,LOGO,信息安全等级保护技术和管理标准体系,计算机信息系统安全保护等级划分准则（GB17859）,信息系统安全等级保护定级指南,信息系统安全等级保护基本要求,技术类

5、 信息系统通用安全技术要求 信息系统物理安全技术要求 网络基础安全技术要求 其它技术类标准,管理类 信息系统安全管理要求 信息系统安全工程管理要求 其它管理类标准,产品类 操作系统安全技术要求 数据库管理系统安全技术要求 网络和终端设备隔离部件安技术要求 其它产品类标准,信息系统安全等级保护基本要求的行业细则,信息系统安全等级保护基本要求的定级细则,信息系统安全等级保护测评过程指南,信息系统等级保护安全设计技术要求,信息系统安全等级保护实施指南,信息系统安全等级保护测评要求,信息安全等级保护 安全建设整改工作,安全等级,安全要求,现状分析,方法指导,8,LOGO,信息安全等级保护所涉及的标准,

6、通用类,1.计算机信息系统安全等级保护划分准则(GB17859) 2.信息系统安全等级保护实施指南(GB/T25058) 3.信息安全技术信息系统安全等级保护基本要求(GB/T22239) 4.信息安全技术信息系统安全保护等级定级指南(GB/T22240) 5.信息安全技术信息系统安全等级保护测评要求 6.信息安全技术信息系统安全等级保护测评过程指南 。,安全技术类,1.信息系统等级保护安全设计技术要求 2.信息安全技术网络基础安全技术要求(GB/T20270) 3.信息安全技术信息系统安全通用技术要求(GB/T20271) 4.信息安全技术信息系统物理安全技术要求(GB/T21052) 5.

7、信息安全技术服务器安全技术要求(GB/T21028) 6.信息安全技术操作系统安全技术要求(GB/T20272) 7.信息安全技术数据库管理系统安全技术要求(GBT20273) 。,安全管理类,1.信息安全技术信息系统安全管理要求(GB/T20269) 2.信息安全技术信息系统安全工程管理要求(GB/T20282) 3.信息技术安全技术信息安全事件管理指南(GB/Z20985) 4.信息安全技术信息安全事件分类分级指南(GB/Z20986) 。,9,LOGO,信息安全等级保护工作的职责和角色,行业主管部门：负责依照国家信息安全等级保护的管理规范和技术标准，督促、检查和指导本行业、本部门或者本地

8、区信息系统运营、使用单位的信息安全等级保护工作。,公安机关：非涉密信息系统等级保护具体工作的监督、检查、指导。 保密部门：涉密信息系统等保工作的监督、检查、指导。 密码管理部门：密码工作的监督、检查、指导。 国务院信息化工作办公室及地方信息化领导小组办事机构：各部门间的工作协调。,测评机构： 对信息系统和信息安全产品进行等级保护测评，出具测评结论。,信息安全服务机构： 协助信息系统运营、使用单位完成安全保护等级、安全需求分析、安全总体规划、实施安全建设和安全改造等。,信息系统运营、使用单位： 确定安全保护等级，安全保护的规划设计，定级进行等保测评，建立信息安全事件应急响应体系。,信息安全产品供

9、应商： 开发符合等级保护相关要求的信息安全产品，按照等级保护相关要求销售信息安全产品并提供相关服务。,信息安全等级保护,10,LOGO,信息安全等级保护工作概述,1.确定信息系统的安全防护等级，形成定级报告。,2.持定级报告到当地公安机关网监部门进行备案。,3.参照信息系统当前等级要求和标准，对信息系统进行整改加固。,4.委托具备测评资质的测评机构对信息系统进行等级测评，形成正式的测评报告。,5.向当地公安机关网监部门提交测评报告，配合完成对信息安全等级保护实施情况的检查。,11,LOGO,信息安全等级保护基本要求,系统运维管理,系统建设管理,数据安全,物理安全,网络安全,主机安全,安全管理机

10、构,安全管理制度,应用安全,人员安全管理,技术要求,管理要求,12,LOGO,信息安全等级保护定级,13,LOGO,定级流程,1.确定定级对象,2.确定业务信息安全受到破坏时所侵害的客体,3.综合评定对客体的侵害程度,4.业务信息安全等级（S）,5.确定系统服务安全受到破坏时所侵害的客体,6.综合评定对客体的侵害程度,7.系统服务安全等级（A）,8.定级对象的安全保护等级（SxAxGx）,14,LOGO,定级参考信息,业务信息安全保护等级矩阵表,系统服务安全保护等级矩阵表,15,LOGO,定级结论,16,LOGO,信息安全等级保护备案,17,LOGO,备案信息,18,LOGO,信息安全等级保护

11、整改,19,LOGO,信息安全等级保护测评机构,20,LOGO,整改依据,21,LOGO,不同级别控制点差异,22,LOGO,不同级别要求项差异,23,LOGO,信息安全等级保护测评,24,LOGO,测评实施流程,等级测评项目启动,信息收集与分析,工具和表单准备,测评准备活动,测评对象确定,测评指标确定,测评内容确定,工具测评方法确定,测评指导书开发,测评方案编制,方案编制活动,现场测评准备,现场测评和结果记录,结果确认和资料归还,现场测评活动,单项测评结果判定,单元测评结果判定,整体测评,风险分析,等保测评结论形成,测评报告编制,报告编制活动,沟通与洽谈,25,LOGO,1.测评准备活动,2

12、6,LOGO,1.测评准备活动,27,LOGO,2.方案编制活动,28,LOGO,2.方案编制活动,29,LOGO,2.方案编制活动测评指导书,30,LOGO,2.方案编制活动测评方案,31,LOGO,3.现场测评活动,32,LOGO,3.现场测评活动双方职责,33,LOGO,3.现场测评活动双方职责,34,LOGO,3.现场测评活动测评实施方法,访谈,文档 审查,配置 检查,工具 测试,测评人员与被测系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据，了解有关信息。,1.检查基本要求中规定的必须具有的制度、策略、操作规程等文档是否齐备。 2.检查是否有完整的制度执行情况记录，如机房出入登记记录、电子记录、高等级系统的关键设备的使用登记记录等。 3.对上述文档进行审核与分析，检查他们的完整性和这些文件之间的内部一致性。,根据测评结果记录表格内容，利用上机验证的方式检查应用系统、主机系统、数据库系统以及网络设备的配置是否正确，是否与文档、相关设备和部件保持一致，对 文档审核的内容进行核实。,根据测评指导书，利用技术工具对系统进行测试，包括基于网络探测和基于主机审计的漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等。,实地 察看,根据被测系统的实际情况，测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系