等级保护培训.ppt

1、国家信息安全保障体系与 信息安全等级保护制度实施 公安部信息安全等级保护评估中心,内容摘要,信息安全等级保护制度是什么 信息安全等级保护制度要干什么 如何开展信息安全等级保护工作,引言,在当今社会中，信息已成为人类宝贵的资源，并且可以通过Internet为全球人类所使用与共享。 信息产业随着互联网技术的发展在一个国家国民经济发展中所占的比重也越来越大。人类生活对Internet的依赖也越来越大。,引言（续）,信息技术发展引发的信息化革命 辅助作用 不完全依赖 支撑作用 完全依赖,引言（续）,由互联网的发展而带来的信息安全问题正变得突出，网络安全已成为关系国家安全的重大战略问题。 保障网络与信息

2、系统安全，更好地维护国家安全、经济命脉和社会稳定，已经成为信息化发展中迫切需要解决的重大问题。,我国现状,近年来，党中央、国务院高度重视，各有关方面协调配合、共同努力，我国信息安全保障工作取得了很大进展。但是从总体上看，我国的信息安全保障工作尚处于起步阶段，基础薄弱，水平不高，存在以下突出问题：,存在的问题,信息安全滞后于信息化发展； 信息安全阻碍了信息化发展。,存在的问题（续）,大多数单位虽然采用防火墙作为内外网的边界防护设备。 重视外部攻击与入侵，忽视内部的非法行为。 偏重产品，忽视体系和管理。 关键技术、产品受制于人。,我们面对的威胁,西方发达国家信息技术优势明显，我国面临信息强国的冲击

3、、挑战和威胁，信息安全领域始终面临信息战和网络恐怖袭击的威胁 ； 敌对势力的网上煽动、渗透和破坏活动愈加突出，针对信息系统进行的破坏活动日益严重，利用网络实施的违法犯罪案件持续大幅上升。,面对的威胁（续）,受威胁的对象是操作系统、数据库系统和信息系统，攻击的目的是使系统瘫痪、信息被窃取、篡改毁坏。早期是能直接接触计算机系统的人（单机、多用户终端、局域网），现在攻击者和方式发生了变化，广域网、因特网使任何信息系统参与人都可能成为攻击者。在参与人中，有正常使用的人，也有非正常使用的人，后者称之为“攻击者或黑客”。“攻击者”分成几类：有着不同目的的。,面对的威胁（续）,一般黑客 有组织犯罪 高层次深

4、度打击,安全防护的重点,系统防入侵 网络防攻击 信息防泄露 内容防篡改 内部防越权,网络信息战,通过利用、改变和瘫痪敌方的信息、信息系统和以计算机为基础的网络应用，同时保护己方的信息、信息系统和以计算机为基础的网络应用不被敌方利用、改变和瘫痪，以获取信息优势，而采取的各种作战行动。 信息战是现代战争的一种新作战形式。信息战分为两大类：一是国家级信息战，也称为战略信息战；二是战场信息战，也称为指挥控制战。,战略信息战,战略信息战是利用非杀伤性技术而秘密实施的，不需要公开宣战。它利用了国家力量的所有手段在国家战略级形成可竞争的优势，把“战争”的范围扩大到经济、政治和社会的各个方面。这种信息战无论在

5、平时、危机时刻还是在战争状态下都可能发生。这种信息战必须有组织地进行，并且要受最高政治机构的严格控制。,新战争理论学说,新的战略战术思想 新的战场战线特点 新的武器装备形式 新的国防动员体制 新的平战结合模式 新的军民鱼水关系,当前信息安全形势,外部环境 各国在大力推进Internet与信息技术应用的同时，抓紧实施国家信息安全保障体系与国防的信息安全防御体系。 各国抓紧研究信息安全策略、制订体系标准、法律法规，实施安全计划。,外部环境（续）,2008年5月1日，美国防高级研究计划局（DARPA）发布关于展开“国家网络靶场”项目研发工作公告。 美国认为，网络空间是美国经济、关键设施和国家安全的重

6、要基础，对于国家力量的影响至关重要。为此，美国高度重视研发以网络为中心的C4ISR系统和网络攻防对抗装备，推进网络中心战能力建设。,外部环境（续）,2009年1月8日，美国总统布什签署第54号国家安全总统令和第23号国土安全总统令，要求美国政府所有与安全有关的部门（包括国土安全部、国家安全局等）都参与实施“国家网络安全综合计划”。这是一项长期计划，将由多个部门参加并分步骤实施，其最终目的是保护美国的网络安全，防止美国遭受敌对的电子攻击，并能对敌方展开在线攻击。,外部环境（续）,美国总统奥巴马2009年5月29日公布了一份由安全部门完成的网络安全评估报告，表明来自网络空间的威胁已经成为美国面临的

7、最严重的经济和军事威胁之一。 奥巴马还表示：网络空间以及它带来的威胁都是真实的，保护网络基础设施将是维护美国国家安全的第一要务。,外部环境（续）,6月25日英国出台首个国家网络安全战略 政府将成立两个网络安全新部门 网络安全办公室和网络安全行动中心 计划征召包括黑客在内的网络精英护卫网络安全 英国已经具备主动发起网络攻击的能力,外部环境（续）,台湾加紧开展信息战的准备 控制进入大陆的微机板卡、硬盘等。 专门搜集大陆民用网络（电信、能源、交通、金融及政府等）的结构、路由以及设备情报。 积极研究网络渗透与病毒植入和激活技术。,产生问题的原因,整体信息安全防范意识和能力薄弱; 信息系统安全建设和管理

8、缺乏体系化思想; 信息安全法律法规不完善，标准体系尚待完善； 自主技术产品缺乏，信息技术产业未完全形成。,当前的要求与原则,总体要求:坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保护基础网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。 主要原则：立足国情，以我为主，坚持管理与技术并重；正确处理安全与发展的关系，以安全促发展，在发展中求安全；统筹规划，突出重点，强化基础性工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。,当前的九项任务,全面实行信息安全等级保护制度 加强以密码技术为基础

9、的信息保护和网络信任体系建设 建设和完善信息安全监控体系 重视信息安全应急处理工作 加强信息安全技术研究开发，推进信息安全产业发展 加强信息安全法制建设标准化建设 加快信息安全人才培养，增强全民信息安全意识 保证信息安全资金 加强对信息安全保障工作的领导，建立健全信息安全管理责任制,摘要,等级保护制度是什么 等级保护制度要干什么 如何开展等级保护工作,等级保护制度,根据信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；将信息系统划分为不同的安全保护等级并对其实施不同的保护和监管。,第一级,信息系统受到破坏后

10、，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。 信息系统运营、使用单位依照国家有关管理规范和技术标准进行保护。,第二级,信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害，但不损害国家安全。 信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导,第三级,信息系统受到破坏后，会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统

11、信息安全等级保护工作进行监督、检查。,第四级,信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害 ,或者对国家安全造成严重损害。 信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。,第五级,信息系统受到破坏后,会对国家安全造成特别严重损害； 信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。,摘要,等级保护制度是什么 等级保护制度要干什么 如何开展等级保护工作,等级保护制度,体现国家管

12、理意志 构建国家信息安全保障体系 保障信息化发展和维护国家安全,解决什么,信息安全等级保护是手段，是为了构建国家信息安全保障体系。 信息安全保障体系也是手段，是为了业务应用发展。 信息安全等级保护是带有很强技术性的国家风险控制行为,所谓风险,安全风险管理的目的并不是保证没有风险，而是要将信息系统带来的业务风险控制在可接受的范围内。 信息安全等级保护的关键所在正是基于信息系统所承载应用的重要性，以及该应用损毁后带来的影响程度来判断风险是否控制在可接受的范围内。,安全防护的重点,系统防入侵 网络防攻击 信息防泄露 内容防篡改 内部防越权,奥运安保的启示,1、对奥运的信息系统，开展定级工作 2、第一

13、次按照基本要求测评差距比较大，奥运系统进行了相应的整改。 3、整改后、测评、再整改，能够达到基本保护要求的大部分的要求 4、对于奥运系统，达到一个基本安全状态并不够。因为基本要求是一个底线的要求。 5、奥运是个特殊时期，奥运系统有许多特殊需求 6、针对特殊需求重点进行了外部渗透测试。,奥运安保的启示,通过整改安全防护状况有较大改进，绝大部分网站防SQL注入能力增强，能抵御一般黑客攻击；网站放置在一个虚拟服务器的现象消失，数据库与网站程序实施了分离；网站管理后台采用了较多的安全设置。 但仍有不少网站存在目录列遍，敏感信息泄露、跨站被动攻击和跨站请求伪造的漏洞；个别网站子站防护能力薄弱，无法抵御有

14、组织犯罪攻击，风险等级仍旧高危。,奥运安保的启示,通过外部安全测试，能够迅速从外部发现对外暴露的安全隐患和脆弱性，测试结果直观，能够引起对安全威胁的警觉和安全保障工作的高度重视。 外部安全测试作为一种方法，虽不能体系性地根本消除对外暴露的安全隐患，但作为查漏补缺，急用先上，特别是在特定敏感时期发现主要问题起到了重要作用。,奥运安保的启示,大量的政务系统由于建设的时期，背景的不同；主管运营模式的不同，在安全防护能力上差异很大。仅依靠外部安全测试，只能治标，要体系化地根本解决安全问题，必须标本兼顾，坚持常态化的、基础性的信息安全等级保护是必由之路。 政务系统由于其特殊的政治背景，安全防护标准不同于

15、一般商业系统，要想保障其安全，应该基于信息安全等级保护管理办法和信息系统安全等级保护基本要求制定有针对性的管理规范和技术标准。,等级保护制度的作用,提出信息安全工作的思路 划定信息系统保护的基线 发现信息系统的问题和差距 明确信息系统安全保护的方向 提升信息系统的安全保护能力,涉及层面,管理层面：国家制定统一信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对信息安全产品的使用分等级实行管理，对等级保护工作的实施进行监督、指导。,用户层面 ：公民、法人和其他组织应当按照国家有关等级保护的管理规范和技术标准开展等级保护工作，服从国家对信息安全等级保护工作的

16、监督、指导，保障信息系统安全。,社会层面 ：信息安全产品的研制、生产单位，信息系统的集成、等级测评、风险评估等安全服务机构，依据国家有关管理规定和技术标准，开展相应工作，并接受国家信息安全职能部门的监督管理。,摘要,等级保护制度是什么 等级保护制度要干什么 如何开展等级保护工作,原则,谁拥有谁负责、谁运行谁负责 自主定级、自主保护、监督指导,主要流程,一是：定级。 二是：备案。 三是：建设、整改。 四是：等级测评。 五是：定期开展监督检查,安全保护等级确定,信息系统运营、使用单位依据管理办法和定级指南确定信息系统的安全保护等级。由主管部门的，应当经主管部门的审核批准。 跨省或者全国统一联网运行

17、的可以由主管部门统一确定安全保护等级。 对拟定为四级以上的应当请国家信息安全保护等级专家评审委员会评审。,等级保护的备案管理,信息系统运营、使用单位应当在其系统安全保护等级确定后，向当地同级公安机关提请备案 备案时应当到备案机关填写备案登记表并按要求提交相关资料。 备案登记表/系统体系/功能结构图/系统安全保护方案或措施/系统安全管理制度等,等级保护的备案管理,信息系统备案信息是国家有关信息安全职能部门了解和掌握重要信息系统的安全保护基本状况、分析总体安全形势的基础资料来源，也是下一步接受备案机关开展各项监督检查工作所必需的基本依据。 新建系统： 已有系统：,环节间的关系,定级是等级保护的首要

18、环节 分等级保护是等级保护的核心， 建设整改是等级保护工作落实的关键 等级测评是评价安全保护状况的方法 监督检查是保护能力不断提高的保障,定级指南,安全保护等级 等级的确定是不依赖于安全保护措施的，具有一定的“客观性”，即该系统在存在之初便由其自身所实现的使命决定了它的安全保护等级，而非由“后天”的安全保护措施决定。,等级保护工作核心,关注点 承担社会责任，关系国家安全的信息系统的安危 重点保障 业务信息安全(S) 系统服务连续(A),等级保护的推进思想,落实信息安全等级保护基本要求，确保系统基本安全； 结合系统自身安全需求，力求系统相对安全。,第一级信息系统,能够抵御来自个人的、拥有很少资源

19、的攻击，防范一般的自然灾难、操作失误、技术故障等对关键资源造成的损害，在系统遭到损害后，能够恢复主要功能。,第二级信息系统,能够抵御来自外部小型组织的、拥有一定资源的攻击，防范一般的自然灾难、内部人员恶意行为、操作失误、技术故障等对重要资源造成的损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复主要功能。,第三级信息系统,能够在统一安全策略下，抵御来自外部有组织的团体、拥有较为丰富资源的攻击，防范较为严重的自然灾难、内部人员恶意行为、操作失误、技术故障等对主要资源造成的损害，能够及时监测发现安全漏洞和安全事件；具有一定的备份恢复能力，在系统遭到损害后，能够较快恢复绝

20、大部分功能。,第四级信息系统,能够在统一安全策略下，抵御来自敌对组织的、拥有丰富资源的攻击，防范严重的自然灾难、内部人员恶意行为、操作失误、技术故障等对资源造成的损害，能够及时监测发现安全漏洞、跟踪处置安全事件；具有较强的备份恢复能力，在系统遭到损害后，能够迅速恢复所有功能。,等级保护的基本要求,基本要求是什么？ 1、安全保护能力的一个基本“标尺”，是一个达标线； 2、满足基本要求意味着信息系统具有相应等级的基本安全保护能力，达到了一种基本的安全状态。 3、基本要求是安全保护的出发点，不是终点。,GB/T22239-2008,信息系统安全等级保护基本要求,贯彻落实党中央、国务院关于节能减排工作

21、部署，以实现重点污染物减排的目标指标为紧要任务 ，为实现节能减排和环境保护工作目标奠定基础,总体目标,项目目的,分省建设目标,（1）在项目实施过程中贯彻落实工程标准规范； （2）建设省环境保护厅（局）到地市环境保护局，地市环境保护局到区县环境保护局，以及省环境保护厅（局）到省直属机构、市环境保护局到市直属机构的网络系统，并通过国家电子政务外网实现与环境保护部的连通；（直辖市为市、区县两级网络）； （3）组织落实本省（直辖市、自治区）范围内网络安全体系的建设和省级 CA系统的建设； （4）组织所辖各级机构接收部里统一下发的环境统计专项设备，保证专项专用； （5）准备机房环境，组织所辖各级机构接收

22、并配合部署部里统一采购的服务器、存储、网络、安全等设备和系统软件；,分省建设目标,（6）部署部里统一下发的省级综合数据库平台和地理信息系统平台；组织所辖市、区县部署部里统一下发的数据传输与交换平台，建立数据交换传输体系，实现国家、省、下辖市、区县的数据交换与共享； （7）部署部里统一下发的省级减排应用系统支撑平台；在省级集中部署环境统计业务系统、建设项目管理系统、减排数据管理与综合分析系统，按照需要集成已有六个应用系统；组织所辖市、区县相关业务部门推广应用环境统计业务系统和建设项目管理系统。 （8）组织建立省及所辖市、区县运维组织机构，健全运维制度，明确运维人员，部署部里统一下发的运行维护管理

23、系统，建立省级运维管理平台。,省、自治区,直辖市,基本要求的定位,基本要求中相应等级的要求是根据各等级系统需要对抗的威胁和应具备的能力而确定的。判断基本要求是否达到应按此原则分析。 基本要求给出了各级信息系统每一保护方面需达到的要求，但不是具体的安全建设整改方案或作业指导书，实现基本要求的措施或方式并不局限于基本要求给出的内容，要结合系统自身的特点综合考虑采取的措施来达到基本要求提出的保护能力,基本要求定位举例,A点B点，500KM 5H 飞机 OK 火车 OK 汽车 OK 自行车 NO,等级保护的基本要求,内容与作用 为信息系统主管和运营、使用单位提供技术指导 为测评机构提供测评依据 为监管

24、职能部门提供监督检查依据 适用环节 建设整改、验收、测评、运维、检查,基本要求的描述模型,控制点标注 业务信息安全相关要求（标记为S） 系统服务保证相关要求（标记为A） 通用安全保护要求（标记为G） 技术要求（3种标注） 管理要求（统属G）,系统基本保护要求的组合,第一级 S1A1G1 第二级 S1A2G2，S2A2G2，S2A1G2 第三级 S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3 第四级 S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4,如何实现,落实信息安全等级保护基本要求，确保系统基本安全； 结合系统自身安全需

25、求，力求系统相对安全。,基本要求的文档结构,物理安全,技术要求,管理要求,基本要求,网络安全,主机安全,应用安全,数据安全及备份恢复,安全管理制度,安全管理机构,人员安全管理,系统建设管理,系统运维管理,类,安全建设基本流程,信息系统安全管理建设,信息系统安全技术建设,开展信息系统安全自查和等级测评,信息系统安全需求分析/相应级别的要求,确定安全策略，制定安全建设方案,物 理 安 全,网 络 安 全,主 机 安 全,应 用 安 全,数 据 安 全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运行管理,信息系统安全技术体系设计,物理安全设计,数据安全设计 备份与恢复,应用系统,应

26、用平台,其他安全设计,机房,办公环境,设备和介质,网络安全设计,通信网络,区网边界,主机安全设计,应用安全设计,服务器,工作站,其他安全设计,其他安全设计,其他安全设计,基本要求中的安全保护技术,身份鉴别 访问控制 安全审计 数据完整性 数据保密性 数据可用性,病毒防范 入侵检测 安全监控 备份与恢复 密码使用 等等,基本要求中的安全保护技术,确定安全策略 落实信息安全责任制 建立安全组织机构 加强人员管理 加强系统建设的安全管理 加强运行维护的安全管理,安全技术要求-物理安全,物理安全是指对信息系统所涉及到的主机房、辅助机房、办公环境等进行物理安全保护。具体关注内容包括：物理位置的选择、物理

27、访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面,安全技术要求-物理安全,安全技术要求-网络安全,网络安全是指对信息系统所涉及的通信网络、网络边界、网络区域和网络设备等进行安全保护。具体关注内容包括通信过程数据完整性、通信过程数据保密性、保证通信可靠性的设备和线路冗余、区域网络的边界保护、区域划分、身份认证、访问控制、安全审计、入侵防范、恶意代码防范、网络设备自身保护和网络的网络管理等方面,安全技术要求-网络安全,安全技术要求-主机安全,主机安全是指对信息系统涉及到的服务器和工作站进行主机系统安全保护。具体关注内容包括操作系统或数据库管理系统的选择、安装和安全配置、主机入侵防范、恶意代码防范、资源使用和运行情况监控等。其中，安全配置细分为身份鉴别、访问控制、安全审计等方面的配置内容,安全技术要求-主机安全,安全技术要求-应用安全,应用安全是指对信息系统涉及到的应用系统进行安全保护。具体关注内容包括应用系统实现身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等功能方面,安全技术要求-应用安全,安全技术要求-数据安全,数据安全是指对信息系统中业务数据的传输、存储和备份恢复进行安全保护。具体关注内容包括数据备份系统、冗余备用设备以及备份恢复相关技术设施等方面,安全技术要求-数