等保培训精选幻灯片共92页

第二级 审计安全保护
第三级 强制安全保护
第四级 结构化保护
隐蔽通道分析 系统审计 客体重用 可信恢复
第五级 访问验证保护级
强制访问控制 标记 可信路径
隐蔽通道分析
如何理解信息系统的五个安全保护等级




第一级：一般适用于小型私营、个体企业、中小学、乡镇所属信息 系统、县级单位中一般的信息系统。 第二级：一般适用于县级某些单位中的重要信息系统；地市级以上 国家机关、企事业单位内部一般的信息系统，如涉及工作秘密、商 业秘密、敏感信息的办公系统和管理系统等。 第三级：一般适用于地市级以上国家机关、企业、事业单位内部重 要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系 统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指 挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的 分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省 连接的网络系统等。 第四级：一般适用于国家重要领域、重要部门中的特别重要系统以 及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等 重要部门的生产、调度、指挥等涉及国家安全、国计民生的核心系 统。 第五级：一般适用于国家重要领域、重要部门中的极端重要系统。
GB17859-2019 计算机信息系统安全保护等级划分准则
等级保护的技术标准规范
面向评估者技术标准：
《计算机信息系统安全保护等级划分准则》 （GB 17859-2019） 《信息安全技术 信息系统通用安全技术要求》 （GB/T 20271-2019）
《信息安全技术 操作系统安全技术要求》 （GB/T 20272-2019）
9 月 7日
中办国办发 中共中央办公厅 [2019]27号 国务院办公厅

安全 建设整改
等级测评
安全自查与 监督检查
3 等保工作
电力供应 防盗窃和防破坏 物理访问控制 物理位置选择
电磁防护
不做硬 性要求
防雷击、防火、防水和防潮、防静电、温湿度控制
3 等保工作
物理安全的整改要点（10个）
物理位置的选择
基本防护能力
物理访问控制
基本出入控制 在机房中的活动
7 信息系统安全保护等级专家评审 意见
8 主管部门审核批准信息系统安全 保护等级的意见
3 等保工作
系统定级
系统备案
安全 建设整改
等级测评
安全自查与 监督检查
范围：已备案的第二级（含）以上信息系统纳入安全建设整改的范围。 • 尚未开展定级备案的信息系统，要先定级备案，定级不准的 要先纠正，再开展安全建设整改。 • 新建系统要同步开展安全建设工作。
防静电地板 冗余/并行线路 备用供电系统
3 等保工作
系统定级
系统备案
安全 建设整改
等级测评
安全自查与 监督检查
3 等保工作
网络安全的整改要点（7个）
结构安全
关键设备冗余空间 核心网络带宽 子网/网段控制
访问控制
访问控制设备（用户、网段） 拨号访问限制
主要设备冗防余火空墙间（网安）路由控制 整体网络带宽流量控制 带宽分配优先级 重要网段部署
资料下载：
PPT课件下载：
范文下载：
试卷下载：
教案下载： PPT论坛：
2
等级保护政策标准
2 政策体系
2 标准体系
2 标准体系
基础类 《计算机信息系统安全保护等级划分准则》GB 17859-1999 《信息系统安全等级保护实施指南》 GB/T25058-2010

附则
2020/12/17
2、定位 是互联网领域、网络安全的基础性法律。 是党的十八大以来的又一部重要法律。
3、制定过程 2013年下半年提上日程，2014年形成草案，15年初
形成征求意见稿，15年6月一审，16年6月二审、10月 31日三审、11月7日人大通过，2017年6月1日起施行。
154票赞成、0票反对、1票弃权。
安全保护等级信息系统定级结果的组合第一级s1a1g1第二级s1a2g2s2a2g2s2a1g2第三级s1a3g3s2a3g3s3a3g3s3a2g3s3a1g3第四级s1a4g4s2a4g4s3a4g4s4a4g4s4a3g4s4a2g4s4a1g4第五级s1a5g5s2a5g5s3a5g5s4a5g5s5a4g5s5a3g5s5a2g5s5a1g5基本保护要求最低保护能力对抗能力恢复能力技术要求管理要求物理网络主机应用数据制度机构人员建设运维纵深防御互补关联强度一致平台统一集中安管业务信息安全类要求s系统服务保证类要求a通用安全保护类要求g整体安全保护能力关键控制点安全类具体要求项控制强度基本保护要求最低保护能力对抗能力恢复能力物理网络主机应用数据制度机构人员建设运维纵深防御互补关联强度一致平台统一集中安管通用安全保护类要求g关键控制点安全类进化心理学综合了进化生物学的各种理论和当代心理学的研究法则主张用进化论的视野来看待和研究人格问题为人格心理学核心概念的建构提供了一个系统的框架
网络安全法要求及处罚
（5）信息与数据境内存储及跨境数据传输的安全评估要求 ①具体内容:境内运营中收集和产生的个人信息和重要数据应当 在境内存储；需向境外提供的，应当按照国家网信部门会同国务 院有关部门制定的办法进行安全评估。 ②法律责任：责令改正，给予警告，没收违法所得；处 5-50万 罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相 关业务许可证或者吊销营业执照；对直接负责主管和直接责任人 处1-10万罚款。

马等程序和功能； （五）对国家安全、社会秩序、公共利益不构成危害； （六）对已列入信息安全产品认证目录的，应当取得国家信息安全产品
认证机构颁发的认证证书。
13
等级保护政策依据
公通字[2007]43号文 第三级以上信息系统的安全测评机构应具备的条件： （一）在中华人民共和国境内注册成立（港澳台地区除外）； （二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区
《关于开展全国重要信息系统安全等级保护定级工作的通 知》（公信安[2007]861号）
关于印发《信息安全等级保护管理办法》的通知（公通字
[2007]43号）
4
等级保护政策依据
中办发[2003]27号文 明确指出“实行信息安全等级保护”。 “要重点保护基础
信息网络和关系国家安全、经济命脉、社会稳定等方面的 重要信息系统，抓紧建立信息安全等级保护制度，制定信 息安全等级保护的管理办法和技术指南”。
公通字[2007]43号文 测评周期要求 第三级信息系统应当每年至少进行一次等级测评； 第四级信息系统应当每半年至少进行一次等级测评； 第五级信息系统应当依据特殊安全需求进行等级测评。 自查周期要求 第三级信息系统应当每年至少进行一次自查； 第四级信息系统应当每半年至少进行一次自查； 第五级信息系统应当依据特殊安全需求进行自查。 根据测评、自查情况制定整改方案并实施。
12
等级保护政策依据
公通字[2007]43号文 第三级以上信息系统应当选择使用符合以下条件的信息安全产品： （一）产品研制、生产单位是由中国公民、法人投资或者国家投资或者
控股的，在中华人民共和国境内具有独立的法人资格； （二）产品的核心技术、关键部件具有我国自主知识产权； （三）产品研制、生产单位及其主要业务、技术人员无犯罪记录； （四）产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木

……
TCP/IP IPX/SPX SNMP
……
场地 机房 网络布线 设备 存储设备
……
各级系统的保护要求差异
信息安全管理生命周期
建设管理
运维管理
系统定级 方案设计 产品使用 自行开发 系统交付 测试验收 工程实施 软件外包
设 介资 环密
备 质产 境码
恶 意 理
✓ 系统测评：《信息系统安全等级保护测评要求》是针对《信息安全等 级保护基本要求》的具体控制要求开发的测评要求，旨在强调系统按 照《信息安全等级保护基本要求》进行建设完毕后，检验系统的各项 保护要求是否符合相应等级的基本要求。
✓ 由上可见，《信息安全等级保护基本要求》在整个标准体系中起着承 上启下的作用。相关技术要求可以作为《信息安全等级保护基本要求 》的补充和详细指导标准。
公通字[2006]7号文 ✓ 明确了信息安全等级保护的具体要求。 ✓ 为推广和实施信息安全等级保护提供法律保障。
公信安[2007]861号 ✓ 标志着等级保护工作正式推向实施阶段。
等级保护政策依据
公通字[2007]43号文 2007.6.22
➢ 明确主管单位： 公安机关负责信息安全等级保护工作的监督、检查
、指导。
国家保密部门负责等保中保密工作的监督、检查、 指导。
国家密码管理部门负责等保中有关密码工作的监督 、检查、指导。
➢ 确定5个等级，但去掉了[2006 7号文]“自主保护 ”、“指导保护”、“监督保护”等称为。
等级保护政策依据
公通字[2007]43号文
五个等级的基本情况
➢ 第一级：运营、使用单位根据国家管理规范、技术标准自 主防护。
/ /
一级 9 9 6 7 2
3 4 7 20 18 85 /

.
17
基本概念
• 访问控制机制
– 自主访问控制（Discretionary Access Control）
• 如果作为客体的拥有者的个人用户可以设置访问控 制属性来许可或拒绝对客体的访问，那么这样的机 制就称为自主访问控制。
• 例：一个小孩有本笔记。她允许妈妈读，但其他人 不可以读。
• 访问控制取决于拥有者. 的判断力。
TCB
安全域
TCB安全功能 （TSF）
TCB安全策略 （TSP）
TCB安全功能 （TSF）
TCB安全策略 （TSP）
.
26
基本概念
• 可信计算基（trusted computing base）
– 高安全级别操作系统中TCB的设计原则
• TCB独立于系统的其他部分 • TCB不含有和安全无关的内容 • 具有引用监视器的特性
.
5
等级保护与分级保护的关系
• 涉密信息系统分级保护保护的对象是所有涉及国 家秘密的信息系统，重点是：
– 党政机关 – 军队和军工单位，
• 由各级保密工作部门根据涉密信息系统的保护等 级实施监督管理，确保系统和信息安全，确保国 家秘密不被泄漏
.
6
等级保护与分级保护的关系
• 国家信息安全等级保护是国家从整体上、根本上 解决国家信息安全问题的办法, 对信息系统实行等 级保护是国家法定制度和基本国策，是信息安全 保护工作的发展方向。
• 战略高度
– 通过提高国家信息安全综合防护能力
– 保障国家安全，维护和稳定信息社会秩序，促 进经济发展，提高综合国力
• 核心
– 对信息安全分等级、按标准进行建设、管理和
监督
.
32
2.信息安全等级保护综述

6
等级保护目标客户：
（一）电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性 公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系 统。
（二）铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展 改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土 资源、能源、交通、文化、统计、工商行政管理、邮政、国防工业等关系到国计 民生的信息系统（生产、调度、管理、办公等重要信息系统）。
技术要求：
应用安全-身份鉴别、访问控制、安全审计 应用安全-通信保密性、通信完整性
方案：
SSL VPN：远程用户接入时的身份鉴别、权限控制、安全审计，并保证通信保密性和完 整性； 服务器群组防护：用户访问时进行身份鉴别，保证访问业务系统的安全性与边界隔离； 堡垒机：设备用户权限管理的安全问题；
22
安全管理中心
挖掘需求：
随着信息化建设的进行，服务器和网络设备越来越多，业务系统越来越多，用户没有 精力逐个监控，迫切的需要有一个系统能够监控整个网络的情况，尤其是监控所有业 务系统的健康状况，并且当业务系统出现问题时，能够进行即使的告警。另外，需要 实现对设备的统一的策略管理和下发。
技术要求：
应用安全-资源控制 主机安全-资源控制 监控管理和安全管理中心 网络安全管理
（三）教育、国家科研等单位的信息系统
（四）市（地）级以上党政机关的重要网站和办公信息系统
（五）中央企业以及国资委下属企业
7
• 目前国家出台了哪些有关等保的政策？
– 国家： • 国务院147号令《中华人民共和国计算机信息系统安全保护条例》（94年） • 公通字[2004]66号《关于信息安全等级保护工作的实施意见》 • 公通字[2007]43号《信息安全等级保护管理办法》

定级
备案
差距测评 系统整改
等级测评
监督检查
我司 可参与
1、广州竞远系统网络 技术有限公司（广东省 南方信息安全等级保护 服务中心） 2、中国赛宝实验室 （工业和信息化部电子 第五研究所） 3、广州华南信息安全 测评中心 4、广东南方信息安全 研究院 5、深圳市信息安全测 评中心 6、深圳市网安计算机 安全检测技术有限公司
公安 （广州网监、 广东12处）
市场份额（预计南网总量约3000万）
技术 整改
差距评测 利润点
管理 整改
引入 产品
评级 备案 差距测评
医疗
蓝海： 偏远

2020/2/27
30 30
现场测评内容与方法——身份鉴别
e) 为操作系统和数据库的不同用户分配不同的用户名，确保用户 名具有唯一性。
条款理解
对于操作系统来说，用户管理是操作系统应具备的基本功能。用户管理由创建 用户和组以及定义它们的属性构成。用户的一个主要属性是如何对他们进行认 证。用户是系统的主要代理。其属性控制他们的访问权、环境、如何对他们进 行认证以及如何、何时、在哪里可以访问他们的帐户。因此，用户标识的唯一 性至关重要。如果系统允许用户名相同，而UID不同，其唯一性标识为UID， 如果系统允许UID相同，而用户名不同，其唯一性标识为用户名。
2020/2/27
35 35
现场测评内容与方法——访问控制
a) 应启用访问控制功能，依据安全策略控制用户对资源的访问。 条款理解
访问控制是安全防范和保护的主要策略，它不仅应用于网络层 面，同样也适用于主机层面，它的主要任务是保证系统资源不 被非法使用和访问，使用访问控制的目的在于通过限制用户对 特定资源的访问保护系统资源。对于本项而言，主要涉及到两 个方面的内容，分别是：
#cat /etc/passwd root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon: :2:2:daemon:/sbin:/sbin/nologin …… #cat /etc/shadow root:$1$crpkUkzg$hLl/dYWm1wY4J6FqSG2jS0:14296:0:99999:7::: bin:$1$1234567890123456789012345678901:11664:0:-1:-1:-1:-1:0 daemon:*:14296:0:99999:7::: .....

信息安全等级保护制度介绍
上海市信息安全测评认证中心
1
介绍大纲
1 信息安全等级保护工作概述 2 趋势科技与等级保护合规性
信息安全等级保护制度
信息安全等级保护制度是什么 信息安全等级保护制度要干什么 如何开展信息安全等级保护工作
3
引言
❖ 在当今社会中，信息已成为人类宝贵的资源，并且可以通 过Internet为全球人类所使用与共享。
应安装防恶意代码软件，并及时更新防恶意代 码软件版本和恶意代码库
备注
趋势科技与等级保护合规性
❖ Deep Security
符合要求 主机入侵防范 主机恶意代码防范
符合内容
能够检测到对重要服务器进行入侵的行为，能 够记录入侵的源IP、攻击的类型、攻击的目的 、攻击的时间，并在发生严重入侵事件时提供 报警
符合要求 主机恶意代码防范
符合内容
应安装防恶意代码软件，并及时更新防恶意代 码软件版本和恶意代码库
备注
趋势科技与等级保护合规性
❖ Web 安全网关 IWSA
符合要求 网络结构安全
网络访问控制
符合内容
避免将重要网段部署在网络边界处且直接连接 外部信息系统，重要网段与其他网段之间采取 可靠的技术隔离手段
❖ 主要原则：立足国情，以我为主，坚持管理与技术并重； 正确处理安全与发展的关系，以安全促发展，在发展中求 安全；统筹规划、突出重点，强化基础性工作；明确国家 、企业、个人的责任和义务，充分发挥各方面的积极性， 共同构筑国家信息安全保障体系。
13
等级保护制度
（一）信息安全等级保护制度是什么？
14
什么是信息安全等级保护工作
操作系统通过设置升级服务器等方式保持系统 补丁及时得到更新

2009年
《关于开展信息系统等级
（发改高技
发改委
[2008]2071号） 公安部
国家保密局
（公信安
5
公安部
规定了公安机关受理信息系统运营使用单位信息系统 备案工作的内容、流程、审核等内容
规定了公安机关开展信息安全等级保护检查工作的内 容、程序、方式以及相关法律文书等，使检查工作规 范化、制度化。
明确了项目验收条件：公安机关颁发的信息系统安全 等级保护备案证明、等级测评报告和风险评估报告。
▪ 对信息系统中使用的信息安全产品实行按等 级管理；
▪ 对信息系统中发生的信息安全事件实行分等 级响应、处置。
精选课件ppt
4
1.2等级保护基本概念-政策体系
等级保护政策体系
颁布时间
文件名称
文号
颁布机构
1994年 2月18日 2003年 9月7日
2004年 9月15日 2007年 6月22日
2007年 7月16日
记录活动实行以符合等级1,2,和3的文件 要求的客观证据，阐明所取得的结果或 提供完成活动的证据
运行记录
精选课件ppt
20
1.9等级保护基本概念-实施步骤-
完善管理制度
一级
二级
岗位说明书
岗位说明书
安全管理机构
安全管理制度
人员安全 系统建设管理
人员安全管理规定
等级保护安全管理规范 风险评估管理规范 软件开发管理规定 IT外包管理规定
网 络 层
区域 混乱
协议 攻击
信息 泄露
中间 人攻 击
带宽 资源 滥用
非法 接入
非法 外联
计区网 算域络 环边通 境界信
物 理