信息安全等级保护与解决方案.ppt

合理划分网段
整体方案保证
f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；
防火墙策略
USG防火墙
g) 应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。
辅助防火墙设备部署QOS策略
USG防火墙、ASG
主机身份鉴别设定+堡垒机辅助
d) 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；
加密管理，对服务器的远程管理采用SSH、SSL等加密协议，可由堡垒机辅助实现
主机身份鉴别设定+堡垒机辅助
e) 应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。
g) 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；
第一层次基于IP的访问控制，基本防火墙能力
第二层次基于用户身份的访问控制，下一代防火墙支持，配合AAA系统使用
USG防火墙
h) 应限制具有拨号访问权限的用户数量。
拨号接入设备控制（可能包括PPTP等VPN方式）
要点：管理用户权限分离敏感标记的设置
要点：审计记录审计报表审计记录的保护
要点：空间释放信息清除
要点：记录、报警、阻断
要点：记录、报警、阻断与网络恶意代码库分离
要点：监控重要服务器最小化服务检测告警
在云计算环境中，除以上必要的保护措施外，还需考虑不同租户存储空间的隔离、对外提供API的访问控制、虚拟资源占用控制以及杀毒风暴的避免等措施
THE BUSENESS PLAN
信息安全等级保护解决方案
等级保护背景介绍发展历程

三.技术和理论创新
按照“一个中心、三重防护”的总体 思路 开展网络安全技术设计
确立了可信计算技术的重要地位， 结合人工智能、密码保护、生物识 别、大数据分 析等高端技术，落实 网络安全管理要求、 技术要求、测 评要求、设计要求等。
8
THE BUSENESS PLAN
等级保护2.0安全保护实践
9
安
全 观 新标准
国家新标准出台并实施。
没有网络安全就没有国家安全 5
新时期国家网络安全等级保护制度的鲜明特点
一.两个全覆盖
一是覆盖各地区、各单位、各部门、 各企 业、各机构，即是覆盖全社会。
二是覆盖所有保护对象，包括网络、 信息 系统、信息，以及云平台、物 联网、工控系 统、大数据、移动互 联等各类新技术应用
《网络安全等级保护测评 要求》
GB/T 28448--2019
4
等级保护进入2.0时代典型标志
新
时 代
网络安全法
《网络安全法》规定“国家实行网络安全 等级保护制度”。标志 了等级保护制度的 法律地位。
的
网
络
新条例
公安部会同中央网信办、国家保密局和国 家密码管理局，联合起草 并上报了《网络安全等级保护条例》（草案）。
上网行为管理
管理区
管理区FW
接入区
接入用 户
接入用 户
接入用 户
运维审计系统 网络管理系统 日志审计系统 漏洞扫描系统 终端安全准 入系统
态势感知 CIS
13
THE BUSENESS PLAN
新等级保护差异变化
14
网络安全等级保护2.0-主要标准
等保 2.0
国家标准GB/T 22239—2008《信息安全技术 信息系统安全等级保护基本要求》在开展信息安全等级保护工作的过程 中起到了非常重要的作用，被广泛应用于各个行业和领域开展信息安全等级保护的建设整改和等级测评等工作，但是随 着信息技术的发展，GB/T 22239—2008在时效性、易用性、可操作性上需要进一步完善。 为了适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下信息安全等级保护工作的开展，需对 GB/T 22239—2008进行修订，修订的思路和方法是针对移动互联、云计算、大数据、物联网和工业控制等新技术、 新应用领域提出扩展的安全要求。

第二级 审计安全保护
第三级 强制安全保护
第四级 结构化保护
隐蔽通道分析 系统审计 客体重用 可信恢复
第五级 访问验证保护级
强制访问控制 标记 可信路径
隐蔽通道分析
如何理解信息系统的五个安全保护等级




第一级：一般适用于小型私营、个体企业、中小学、乡镇所属信息 系统、县级单位中一般的信息系统。 第二级：一般适用于县级某些单位中的重要信息系统；地市级以上 国家机关、企事业单位内部一般的信息系统，如涉及工作秘密、商 业秘密、敏感信息的办公系统和管理系统等。 第三级：一般适用于地市级以上国家机关、企业、事业单位内部重 要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系 统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指 挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的 分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省 连接的网络系统等。 第四级：一般适用于国家重要领域、重要部门中的特别重要系统以 及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等 重要部门的生产、调度、指挥等涉及国家安全、国计民生的核心系 统。 第五级：一般适用于国家重要领域、重要部门中的极端重要系统。
GB17859-2019 计算机信息系统安全保护等级划分准则
等级保护的技术标准规范
面向评估者技术标准：
《计算机信息系统安全保护等级划分准则》 （GB 17859-2019） 《信息安全技术 信息系统通用安全技术要求》 （GB/T 20271-2019）
《信息安全技术 操作系统安全技术要求》 （GB/T 20272-2019）
9 月 7日
中办国办发 中共中央办公厅 [2019]27号 国务院办公厅

2005年12月，公安部《信息系统安全等级保护实施指 南》、《信息系统安全等级保护定级要求》、《信息 系统安全等级保护基本要求》、《信息系统安全等级 保护测评准则》（GB送审稿陆续出台）
2006年3月开始实施的公安部、国家保密局、国家密码 管理局、国信办四部委（局办）发布7号文 《等级保 护管理办法》
信息安全等级保护与 等级化安全体系解决方案
1
INDEX
网络安全与信息安全 信息安全等级保护 等级化安全体系解决方案
2
网络安全与信息安全
安全定义 安全基本要求 安全技术体系 安全模型
3
安全定义
防止任何对数据进行未授权访问的措施，或者造 成信息有意无意泄漏、破坏、丢失等问题的发生， 让数据处于远离危险、免于威胁的状态或特性。
10
对等级保护的理解
等级保护是我国信息安全领域的一项基本政策
1994年，《中华人民共和国计算机信息系统安全保护条 例》的发布
1999年，《计算机信息系统安全保护等级划分准则》 GB17859-1999发布
2003年，中央办公厅、国务院办公厅转发《国家信息化 领导小组关于加强信息安全保障工作的意见》（中办发 [2003]27号文）
12
对等级保护的理解（续二）
等级保护的核心是将传统的定性设计逐步进化为 定量的安全保障设计
对信息系统实施不同等级的安全保护 对信息系统中使用的安全产品实施分等级管理 对信息系统发生的安全事件分等级响应和处置
13
对等级保护的理解（续三）
等级保护体现了差异化的安全保障思想
由系统使命决定系统的等级，充分考虑业务信息安全性和业 务服务保证性
2004年，四部委(公安部、国家保密局、国家密码管理 局、国信办)联合签发了《关于信息安全等级保护工作 的实施意见 》（公通字[2004]66号文）

Байду номын сангаас
02
信息安全等级保护体系
信息安全等级保护体系框架
01
02
03
组织结构
明确各级组织在信息安全 等级保护体系中的角色和 职责，建立完善的安全管 理责任体系。
安全管理
制定和实施安全管理制度 、流程和策略，确保信息 系统的安全运行。
安全技术
采用先进的安全技术手段 ，如加密、防火墙、入侵 检测等，以保护信息系统 免受攻击和破坏。
《中华人民共和国网络安全法》 明确规定了信息安全等级保护的 责任和义务，对网络运营者、网 络产品和服务提供者等提出了具
体要求。
行政法规
国务院《关于加强网络信息保护 的决定》等行政法规进一步细化 了信息安全等级保护的具体要求
和措施。
地方法规
各省市也相继出台了相关的地方 法规和政策，如《XX省网络安全
管理条例》等。
技术架构特点
我们的技术架构具有以下特点：分层次、模块化、开放性、可扩展性、可定制 性。
解决方案的实施流程
实施流程设计
我们的解决方案实施流程包括项目立项 、需求分析、设计开发、测试验收、上 线运行五个阶段。每个阶段都有明确的 任务和目标，确保项目的顺利进行。
VS
实施流程特点
我们的实施流程具有以下特点：标准化、 可操作性强、易于管理、可控性高。
通过信息安全等级保护实践，大型 企业提高了信息系统的安全性和可 靠性，保障了企业的商业机密和客 户信息的安全，提高了企业的市场 竞争力。
05
总结与展望
总结
信息安全等级保护概述
信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作。它涉及到信息安全的各个方面， 包括数据的保密性、完整性、可用性等。

信息安全等级保护制度介绍
上海市信息安全测评认证中心
1
介绍大纲
1 信息安全等级保护工作概述 2 趋势科技与等级保护合规性
信息安全等级保护制度
信息安全等级保护制度是什么 信息安全等级保护制度要干什么 如何开展信息安全等级保护工作
3
引言
❖ 在当今社会中，信息已成为人类宝贵的资源，并且可以通 过Internet为全球人类所使用与共享。
应安装防恶意代码软件，并及时更新防恶意代 码软件版本和恶意代码库
备注
趋势科技与等级保护合规性
❖ Deep Security
符合要求 主机入侵防范 主机恶意代码防范
符合内容
能够检测到对重要服务器进行入侵的行为，能 够记录入侵的源IP、攻击的类型、攻击的目的 、攻击的时间，并在发生严重入侵事件时提供 报警
符合要求 主机恶意代码防范
符合内容
应安装防恶意代码软件，并及时更新防恶意代 码软件版本和恶意代码库
备注
趋势科技与等级保护合规性
❖ Web 安全网关 IWSA
符合要求 网络结构安全
网络访问控制
符合内容
避免将重要网段部署在网络边界处且直接连接 外部信息系统，重要网段与其他网段之间采取 可靠的技术隔离手段
❖ 主要原则：立足国情，以我为主，坚持管理与技术并重； 正确处理安全与发展的关系，以安全促发展，在发展中求 安全；统筹规划、突出重点，强化基础性工作；明确国家 、企业、个人的责任和义务，充分发挥各方面的积极性， 共同构筑国家信息安全保障体系。
13
等级保护制度
（一）信息安全等级保护制度是什么？
14
什么是信息安全等级保护工作
操作系统通过设置升级服务器等方式保持系统 补丁及时得到更新

以《需基求本背要求景》中 “ 用 求以中以为网 、《物《政目络数基理基策标、据本依主”，安本机部以据要全要分、《求求部要应设》》 经级计分中分要过保为为管求信护依依理》息 专据据为安安 家方全全 论法等 证部
通过
流程四：等保体系整体架构
安全接入/隔离设备
区域边界
区域边界
通信网络
通信网络
其它定级系统
公通字 [2019]66号
公通字 [2019]43号
公信安 [2019]861 号
颁布机构
国务院
中共中央办公厅 国务院办公厅
公安部 国家保密局 国家密码管理委 员会办公室 （国家密码管理 局） 国务院信息化工 作办公室
内容及意义
第一次提出信息系统要实行 等级保护，并确定了等级保 护的职责单位。
等级保护工作的开展必须分 步骤、分阶段、有计划的实 施。明确了信息安全等级保 护制度的基本内容。
安全管理 中心
安全管理中心
计算环境
网站/应用服务器 交换设备 计算环境
终端 用户
流程五：等保体系部署
通信网络
国家安全
第三级 第四级 第五级
流程二：等保建设立项
信息系统等级保护建设，经过信息系统的运营、管理部 门以及有关政府部门的批准，并列入信息系统运营单位或政 府计划的过程。
一项基本国策，一项基本制度，具有政策的强制性 是办公电子化、业务信息化发展必需的保障手段 用户业务开展的实际需求
流程三：风险评估
信息系统安全等级保护定级指南
GB17859-2019 计算机信息系统安全保护等级划分准则
等级保护的技术标准规范
面向评估者技术标准：
《计算机信息系统安全保护等级划分准则》 （GB 17859-2019） 《信息安全技术 信息系统通用安全技术要求》 （GB/T 20271-2019） 《信息安全技术 操作系统安全技术要求》 （GB/T 20272-2019）

第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
（2）《信息系统安全等级保护基本要求》（GB/T22239—2008） 1)主要作用
不同安全保护等级的信息系统有着不同的安全需求，为此，针对不同等级的信息系统提出了相应 的基本安全保护要求，各个级别信息系统的安全保护要求构成了《信息系统安全等级保护基本要求》。 2)主要内容
第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
（2）《信息系统安全等级保护基本要求》
（GB/T22239—2008） 2)主要内容 保护要求的分级方法
网络恶意代码防 范、剩余信息保 护、抗抵赖
安全保护能力逐级增高，相应的安全保护
要求和措施逐级增强
监控管理和安全 管理中心
信息保密与信息安全
保密、常识、技术、意识教育
政策体系和标准体系
第2部分
信息安全等级保护政策体系和标准体系
1.信息安全等级保护政策体系
（1）总体方面的政策文件 《关于信息安全等级保护工作的实施意见》（公通字 [2004]66 号） 《信息安全等级保护管理办法》（公通字 [2007]43 号） （2）具体环节的政策文件 对应等级保护工作的具体环节（信息系统定级、备案、 安全建设整改、等级测评、安全检查），公安部出台了 相应的政策规范。
第2部分
信息安全等级保护政策体系和标准体系
2.信息安全等级保护标准体系
他类标准 1）风险评估 《信息安全风险评估规范》（GB/T 20984—2007）。 2）事件管理 《信息安全事件管理指南》（GB/Z 20985—2007）； 《信息安全事件分类分级指南》（GB/Z 20986—2007）； 《信息系统灾难恢复规范》（GB/T 20988—2007）。

区域边界保护
保护计算环境
保护计算环境
实现集中安全管理
落实安全管理措施
三级系统安全管理措施
- 建立全面的安全管理制度，并安排专人负责并监控执行情况； - 建立全面的人员管理体系，制定严格的考核标准 - 建设过程的各项活动都要求进行制度化规范，按照制度要求进行 活动的开展 - 实现严格的保密性管理 - 成立安全运维小组，对安全维护的责任落实到具体的人 - 引入第三方专业安全服务
物理安 • 需要到物理机房实地检查，请提前申请进入机房的相关手续，并协调查看机房管理相关管理记录 全
网络安 • 需要登录网络设备、安全设备检查相关配置及漏洞扫描，请分配可接入的网络端口及地址，提供配置文件
全 主机安 • 需要登录相关主机设备检查相关配置及漏洞扫描，请分配可接入的网络端口及地址 全 应用安 • 请提供应用系统访问地址，以及访问该应用所需的网络地址，帐户名称、口令以及其它鉴别方式所需软硬件设备 全
分级保护系列标准规范
《涉及国家秘密的计算机信息系统分级保 护技术要求》BMB17-2006 《涉及国家秘密计算机信息系统安全保密 方案设计指南》 BMB23-2008 涉密信息系统安全保障建设 《涉及国家秘密计算机信息系统分级保护 指南 管理规范》BMB20-2007 《涉及国家秘密的信息系统分级保护测评 指南》BMB22—2007 《涉及国家秘密计算机信息系统分级保护 管理办法 》国家保密局16号
管理制 • 请提供安全管理制度电子档或纸质版本，以及相关记录文件
度
1、最灵繁的人也看不见自己的背脊。——非洲 2、最困难的事情就是认识自己。——希腊 3、勇猛、大胆和坚定的决心能够抵得上武器的精良。——达· 芬奇 4、与肝胆人共事，无字句处读书。——周恩来 5、一个人即使已登上顶峰，也仍要自强不息。——罗素· 贝克 6、一切节省，归根到底都归结为时间的节省。——马克思 7、自知之明是最难得的知识。——西班牙 8、勇气通往天堂，怯懦通往地狱。——塞内加 9、有时候读书是一种巧妙地避开思考的方法。——赫尔普斯 10、阅读一切好书如同和过去最杰出的人谈话。——笛卡儿 11、有勇气承担命运这才是英雄好汉。——黑塞 12、只有把抱怨环境的心情，化为上进的力量，才是成功的保证。——罗曼· 罗兰 13、知人者智，自知者明。胜人者有力，自胜者强。——老子 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。——歌德 15、最具挑战性的挑战莫过于提升自我。——迈克尔· F· 斯特利 16、业余生活要有意义，不要越轨。——华盛顿 17、意志是一个强壮的盲人，倚靠在明眼的跛子肩上。——叔本华 18、最大的挑战和突破在于用人，而用人最大的突破在于信任人。——马云 19、我这个人走得很慢，但是我从不后退。——亚伯拉罕· 林肯 20、要掌握书，莫被书掌握；要为生而读，莫为读而生。——布尔沃 21、要知道对好事的称颂过于夸大，也会招来人们的反感轻蔑和嫉妒。——培根 22、业精于勤，荒于嬉；行成于思，毁于随。——韩愈 23、最大的骄傲于最大的自卑都表示心灵的最软弱无力。——斯宾诺莎 24、知之者不如好之者，好之者不如乐之者。——孔子 25、学习是劳动，是充满思想的劳动。——乌申斯基 26、要使整个人生都过得舒适、愉快，这是不可能的，因为人类必须具备一种能应付逆境的态度。——卢梭 27、越是无能的人，越喜欢挑剔别人的错儿。——爱尔兰 28、意志命运往往背道而驰，决心到最后会全部推倒。——莎士比亚 29、越是没有本领的就越加自命不凡。——邓拓 30、阅读使人充实，会谈使人敏捷，写作使人精确。——培根

意义
通过实施等级保护，可以有效地 保障国家安全、社会秩序和公共 利益，维护公民、法人和其他组 织的合法权益。
等级保护的重要性
保障国家安全
等级保护制度能够确保关键信息 基础设施的安全，防止敌对势力 、间谍机构等对国家安全造成威
胁。
维护社会秩序
通过实施等级保护，可以防止网络 犯罪、网络攻击等行为，维护社会 秩序的稳定。
提出了加强宣传教育、开展培训等措施，以提高全社会的等级保护意识和能力。
完善法律法规和标准体系，加强监督检查和评估
提出了完善相关法律法规和标准体系、加强监督检查和评估等措施，以保障等级保护工作 的有效实施。
加强技术研发和创新，提高安全防护能力
提出了加强技术研发和创新、推广新技术应用等措施，以提高安全防护能力和应对新威胁 的能力。
THANKS
谢谢
等级保护标准的实施
等级保护标准的实施需要采取一系列的安全措施和技术手段，包括 物理安全、网络安全、应用安全等方面的防护措施。
等级保护政策
等级保护政策定义
01
等级保护政策是国家为了保障信息安全而制定的一系列政策，
用于规范不同等级的信息系统安全保护工作。
等级保护政策的主要内容
02
包括信息系统定级、备案、安全监测、通报预警等方面的政策
安全体系实施
按照安全体系设计的要求，实施安全设备和安全控制措施。 对实施过程进行监督和检查，确保安全设备和控制措施的有效性和合规性。
安全体系运行与维护
对信息系统的安全体系进行日常运行 和维护，包括安全监控、日志审计、 漏洞扫描等方面的操作。
对发现的安全问题和隐患进行及时处 理和修复，确保信息系统的安全性得 到持续保障。
安全策略制定

全国公安教育训练网络学院网络安全分院
（五）GA/T 387 — 2002《计算机信 息系统安全等级保护网络技术要求》
GA/T 387 — 2002主要内容为： （1）简单描述了关于安全等级划分、主体、客体、TCB 、密码技术、建立网络安全的一般要求，以及网络安全 组成与相互关系。 （2）详细描述了网络基本安全技术，包括自主访问控制 、强制访问控制、标记、用户身份鉴别、剩余信息保护 、安全审计、数据完整性、隐蔽信道分析、可信路径、 可信恢复、抗抵赖、密码支持等。 （3）详细描述了网络安全技术要求。 （4）五个安全等级划分要求技术方面细则。
1999年，强制性国家标准－《计算机信息系统安全保护等 级划分准则》GB 17859）。
全国公安教育训练网络学院网络安全分院
2003年，中办、国办转发的《国家信息化领导小组关 于加强信息安全保障工作的意见》（中办发[2003]27号） 明确指出“实行信息安全等级保护”。 “要重点保护基础 信息网络和关系国家安全、经济命脉、社会稳定等方面的 重要信息系统，抓紧建立信息安全等级保护制度，制定信 息安全等级保护的管理办法和技术指南” 。
本级系统依照国家管理规范和技术标准进行自主保护。
全国公安教育训练网络学院网络安全分院
二、信息系统安全等级划分
（二）第二级为指导保护级
其主要对象为一般的信息系统，其业务信息安全性 或业务服务保证性受到破坏后，会对社会秩序和公 共利益造成一定损害，但不损害国家安全。
本级系统依照国家管理规范和技术标准进行自主保 护，必要时信息安全监管职能部门对其进行指导。
1、 政府层面：国家制定统一信息安全等级保护管理规 范和技术标准，组织公民、法人和其他组织对信息系 统分等级实行安全保护，对信息安全产品的使用分等 级实行管理，对等级保护工作的实施进行监督、指导 。 2、用户层面 ：公民、法人和其他组织应当按照国家有 关等级保护的管理规范和技术标准开展等级保护工作 ，服从国家对信息安全等级保护工作的监督、指导， 保障信息系统安全。 3、社会层面 ：信息安全产品的研制、生产单位，信息 系统的集成、等级测评、风险评估等安全服务机构， 依据国家有关管理规定和技术标准，开展相应工作， 并接受国家信息安全职能部门的监督管理。

.
17
基本概念
• 访问控制机制
– 自主访问控制（Discretionary Access Control）
• 如果作为客体的拥有者的个人用户可以设置访问控 制属性来许可或拒绝对客体的访问，那么这样的机 制就称为自主访问控制。
• 例：一个小孩有本笔记。她允许妈妈读，但其他人 不可以读。
• 访问控制取决于拥有者. 的判断力。
TCB
安全域
TCB安全功能 （TSF）
TCB安全策略 （TSP）
TCB安全功能 （TSF）
TCB安全策略 （TSP）
.
26
基本概念
• 可信计算基（trusted computing base）
– 高安全级别操作系统中TCB的设计原则
• TCB独立于系统的其他部分 • TCB不含有和安全无关的内容 • 具有引用监视器的特性
.
5
等级保护与分级保护的关系
• 涉密信息系统分级保护保护的对象是所有涉及国 家秘密的信息系统，重点是：
– 党政机关 – 军队和军工单位，
• 由各级保密工作部门根据涉密信息系统的保护等 级实施监督管理，确保系统和信息安全，确保国 家秘密不被泄漏
.
6
等级保护与分级保护的关系
• 国家信息安全等级保护是国家从整体上、根本上 解决国家信息安全问题的办法, 对信息系统实行等 级保护是国家法定制度和基本国策，是信息安全 保护工作的发展方向。
• 战略高度
– 通过提高国家信息安全综合防护能力
– 保障国家安全，维护和稳定信息社会秩序，促 进经济发展，提高综合国力
• 核心
– 对信息安全分等级、按标准进行建设、管理和
监督
.
32
2.信息安全等级保护综述

系统审计 客体重用 系统审计 客体重用
隐蔽通道分析 系统审计 客体重用
强制访问控制 标记 强制访问控制 标记 可信路径 强制访问控制 标记
第四级 结构化保护
第五级 访问验证保护级
隐蔽通道分析
可信恢复
可信路径
14
一、核心技术标准：《基本要求》
基本要求
技术要求
管理要求
物 理 安 全
网 络 安 全
主 机 安 全
用户自主控制资源访问
访问行为需要被审计 通过标记进行强制访问控制
第四级 结构化保护级
第五级 访问验证保护级
可信计算基结构化
所有的过程都需要验证
6
安全等级三级核心功能：强制访问控制
主体
权限
客体
访问：读、写、执行
主动 用户、进程
被动 文件、存储设备
强制访问控制 安全策略
7
安全审计

主要内容
信息安全等级保护建设流程 信息系统安全等级的划分 等级保护整改方案设计原则 等级保护整改方案设计 整改方案合标性分析
信息安全等级保 护整改方案设计 思路

主要内容
信息安全等级保护建设流程 信息系统安全等级的划分 等级保护整改方案设计原则 等级保护整改方案设计 整改方案合标性分析
2
信息安全等级保护整改流程
1.等保建设立项
2.信息系统定级
3.安全现状分析 4.整改方案设计
定级工作07年已基本完成
专业机构 整改意见 总设 详设 专家论证 项目实施 内部验收 专业机构 测评报告
13
一、核心技术标准：GB17859-1999
第一级 自主安全保护
自主访问控制 身份鉴别 完整性保护 自主访问控制 身份鉴别 完整性保护 自主访问控制 身份鉴别 完整性保护 自主访问控制 身份鉴别 完整性保护 自主访问控制 身份鉴别 完整性保护

第四级为强制保护级，主要对象为涉及国家安全、社会秩序、经济建设和公共利益 的重要信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益 造成严重损害。
第五级为专控保护级，主要对象为涉及国家安全、社会秩序、经济建设和公共利益
的重要信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建
第二级为指导保护级，主要对象为一定程度上涉及国家安全、社会秩序、经济建设 和公共利益的一般信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设 和公共利益造成一定损害。
第三级为监督保护级，主要对象为涉及国家安全、社会秩序、经济建设和公共利益 的信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成 较大损害。
----决定信息系统内信息资产的重要性
• 信息系统服务范围，包括服务对象和服务网络 覆盖范围
• 业务对信息系统的依赖程度
----决定信息系统所提供服务的重要性
精选PPT
15
信息系统所属类型赋值表
信息系统所属类型举例
属于一般企事业单位，处理其内部事 务的信息系统。
赋
信息系统的社会影响
值
1 信息系统资产受到破坏会对本单 位利益有直接影响。
• 2004年公安部等四部委《关于信息系统安全等级保护工作的实施意见》 （公通字[2004]66号）也指出：“信息系统安全等级保护制度是国家在国 民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护 国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项 基本制度”。
精选PPT
7
信息安全等级保护发展历程
1999年9月13日《计算机信息系统安全等级划分准则》GB 17859-1999 2003年9月，27号文明确提出国家信息安全按照等级化保护的制度推行 2003年10月，公安部《关于信息安全等级保护政策建议》 2004年初，信息办领导开始在全国进行等级化保护巡讲（北京、上海、郑州） 2004年4月，等级化保护制度开始在部分行业和省份进行试点 2004年6月，颁布《等级化保护实施指南》等文件 2005年8月，北戴河会议，初步通过了部分标准 2006年3月，颁布部分标准 2006年4月，试点工作启动 2007年6月，公安部等四部委联合下发《信息安全等级保护管理办法》

1994年，《中华人民共和国计算机信息系 统安全保护条例 》规定，“计算机信息系统 实行安全等级保护，安全等级的划分标准和 安全等级保护的具体办法，由公安部会同有 关部门制定” 。
1995年2月18日人大12次会议通过并实 施的《中华人民共和国警察法》第二章第六 条第十二款规定，公安机关人民警察依法履 行“监督管理计算机信息系统的安全保护工 作”。——法律依据。
国信办在全国范围内组织开展了基础调查， 共调查了65117家单位中的115319个信息系 统。
一是全国信息系统数量巨大、分布广， 等级保护工作的任务十分繁重 。
二是三级以上重要信息系统、全国范围 服务的特大型系统数量大。
三是重要信息系统分布不均匀。
四是省级及省级以下信息系统数量最大。
二、等级保护工作面临的形势
1999年，强制性国家标准－《计算机信 息系统安全保护等级划分准则》GB 17859）。
2003年，中办、国办转发的《国家信息化领导 小组关于加强信息安全保障工作的意见》（中办发 [2003]27号）明确指出“实行信息安全等级保护”。 “要重点保护基础信息网络和关系国家安全、经济 命脉、社会稳定等方面的重要信息系统，抓紧建立 信息安全等级保护制度，制定信息安全等级保护的 管理办法和技术指南” 。
五、下一步工作
按照中央领导批示精神，下一步拟全面部 署开展信息安全等级保护工作，完成全国重 要信息系统定级工作，加快出台等级保护工 作规章制度和标准规范，对重要领域、重要 行业信息安全等级保护工作开展检查，广泛 开展宣传活动和多种形式、多种层次的培训 工作。
谢谢！
在我的印象里，他一直努力而自知，每天从食堂吃饭后，他总是习惯性地回到办公室看厚厚的专业书不断提升和充实自己，他的身上有九零后少见的沉稳。同事们恭喜他，大多看 到了他的前程似锦，却很少有人懂得他曾经付出过什么。就像说的：“如果这世上真有奇迹，那只是努力的另一个名字，生命中最难的阶段，不是没有人懂你，而是你不懂自已。” 而他的奇迹，是努力给了挑选的机会。伊索寓言中，饥饿的狐狸想找一些可口的食物，但只找到了一个酸柠檬，它说，这只柠檬是甜的，正是我想吃的。这种只能得到柠檬，就说 柠檬是甜的自我安慰现象被称为：“甜柠檬效应”。一如很多人不甘平庸，却又大多安于现状，大多原因是不知该如何改变。看时，每个人都能从角色中看到自已。高冷孤独的安 迪，独立纠结的樊胜美，乐观自强的邱莹莹，文静内敛的关睢尔，古怪精灵的曲筱绡。她们努力地在城市里打拼，拥有幸或不幸。但她依然保持学习的习惯，这样无论什么事她都 有最准确的判断和认知；樊胜美虽然虚荣自私，但她努力做一个好HR，换了新工作后也是拼命争取业绩；小蚯蚓虽没有高学历，却为了多卖几包咖啡绞尽脑汁；关睢尔每一次出镜 几乎都是在房间里戴着耳机听课，处理文件；就连那个嬉皮的曲筱潇也会在新年之际为了一单生意飞到境外……其实她们有很多路可以走：嫁人，啃老，安于现状。但每个人都像 个负重的蜗牛一样缓缓前行，为了心中那丁点儿理想拼命努力。今天的努力或许不能决定明天的未来，但至少可以为明天积累，否则哪来那么多的厚积薄发和大器晚成？身边经常 有人抱怨生活不幸福，上司太刁，同事太蛮，公司格局又不大，但却不想改变。还说：“改变干嘛？这个年龄了谁还能再看书考试，混一天是一天吧。”一个“混”字就解释了他 的生活态度。前几天我联系一位朋友，质问为什么好久不联系我？她说自已每天累的像一条狗，我问她为什么那么拼？她笑：“如果不努力我就活得像一条狗了。”恩，新换的上 司，海归，虽然她有了磨合几任领导的经验，但这个给她带来了压力。她的英语不好，有时批阅文件全是大段大段的英文，她心里很怄火，埋怨好好的中国人，出了几天国门弄得 自己像个洋鬼子似的。上司也不舒服，流露出了嫌弃她的意思，甚至在一次交待完工作后建议她是否要调一个合适的部门？她的脸红到了脖子，想着自己怎么也算是老员工，由她 羞辱？两个人很不愉快。但她有一股子倔劲，不服输，将近40岁的人了，开始拿出发狠的学习态度，报了个英语培训班。回家后捧着英文书死啃，每天要求上中学的女儿和自己英 语对话，连看电影也是英文版的。功夫不负有心人，当听力渐渐能跟得上上司的语速，并流利回复，又拿出漂亮的英文版方案，新上司看她的眼光也从挑剔变柔和，某天悄悄放了 几本英文书在她桌上，心里突然发现上司并没那么讨厌。心态好了，她才发现新上司的优秀，自从她来了后，部门业绩翻了又翻，奖金也拿到手软，自己也感觉痛快。她说：这个 社会很功利，但也很公平。别人的傲慢一定有理由，如果想和平共处，需要同等的段位，而这个段位，自己可能需要更多精力，但唯有不断付出，才有可能和优秀的人比肩而立。 人为什么要努力？一位长者告诉我：“适者生存。”这个社会讲究适者生存，优胜劣汰。虽然也有潜规则，有套路和看不见的沟沟坎坎，但一直努力的人总会守得云开见月明。有 些人明明很成功了，但还是很拼。比如剧中的安迪，她光环笼罩，商场大鳄是她的男闺蜜，不离左右，富二代待她小心呵护，视若明珠，加上她走路带风，职场攻势凌历，优秀得 让身边人仰视。这样优秀的人，不管多忙，每天都要抽出两个小时来学习。她的学习不是目的，而是能量，能让未来的自己比过去更好一些。现实生活中，努力真的重要，它能改 变一个人的成长轨迹，甚至决定人生成败。有一句鸡汤：不着急，你想要的，岁月都会给你。其实，岁月只能给你风尘满面，而希望，唯有努力才能得到！9、懂得如何避开问题的 人，胜过知道怎样解决问题的人。在这个世界上，不知道怎么办的时候，就选择学习，也许是最佳选择。胜出者往往不是能力而是观念！在家里看到的永远是家，走出去看到的才 是世界。把钱放在眼前，看到的永远是钱，把钱放在有用的地方，看到的是金钱的世界。给人金钱是下策，给人能力是中策，给人观念是上策。财富买不来好观念，好观念能换来 亿万财富。世界上最大的市场，是在人的脑海里！要用行动控制情绪，不要让情绪控制行动；要让心灵启迪智慧，不能让耳朵支配心灵。人与人之间的差别，主要差在两耳之间的 那块地方！人无远虑，必有近忧。人好的时候要找一条备胎，人不好的时候要找一条退路；人得意的时候要找一条退路，人失意的时候要找一条出路！孩子贫穷是与父母的有一定 的关系，因为他小的时候，父母没给他足够正确的人生观。家长的观念是孩子人生的起跑线！有什么信念，就选择什么态度；有什么态度，就会有什么行为；有什么行为，就产生 什么结果。要想结果变得好，必须选择好的信念。播下一个行动，收获一种习惯；播下一种习惯，收获一种性格；播下一种性格，收获一种命运