信息安全等级保护与解决方案ppt

• 信息安全等级保护的关键所在正是基于信息系 统所承载应用的重要性，以及该应用损毁后带 来的影响程度来判断风险是否控制在可接受的 范围内。
精选PPT
6
原则
• 谁主管谁负责、谁运营谁负责 • 自主定级、自主保护、监督指导
精选PPT
7
主要流程
一是：定级。
二是：备案。
三是：系统建设、整改。
四是：等级测评。
• 对技术要求
– ‘访谈’方法：
• 目的是了解信息系统的全局性。 • 范围一般不覆盖所有要求内容。
– ‘检查’方法：
• 目的是确认信息系统当前具体安全机制和运行的配 置是否符合要求 。
• 范围一般要覆盖所有要求内容。
– ‘测试’方法：
• 目的是验证信息系统安全机制有效性和安全强度。
• 范围不覆盖所有要求内容。
– 第三级，信息系统受到破坏后，会对社会秩序和公共 利益造成严重损害，或者对国家安全造成损害。
– 第四级，信息系统受到破坏后，会对社会秩序和公共 利益造成特别严重损害，或者对国家安全造成严重损 害。
– 第五级，信息系统受到破坏后，会对国家安全造成特 别严重损害。
精选PPT
10
定级原理(2)
• 定级要素
精选PPT
22
22
关系2
一级系统
通信/边界（基本）
二级系统
通信/边界/内部（关键设备）
三级系统
通信/边界/内部（主要设备）
通信/边界/内部/基础设施（所有设备） 四级系统
精选PPT
23
23
关系3
一级系统
计划和跟踪（主要制度）
二级系统
计划和跟踪（主要制度）
良好定义（管理活动制度化） 三级系统

拉
60、生活的道路一旦选定，就要勇敢地 走到底 ，决不 回头。 ——左Leabharlann 信息安全等级保护总体方案.
11、获得的成功越大，就越令人高兴 。野心 是使人 勤奋的 原因， 节制使 人枯萎 。 12、不问收获，只问耕耘。如同种树 ，先有 根茎， 再有枝 叶，尔 后花实 ，好好 劳动， 不要想 太多， 那样只 会使人 胆孝懒 惰，因 为不实 践，甚 至不接 触社会 ，难道 你是野 人。(名 言网) 13、不怕，不悔(虽然只有四个字，但 常看常 新。 14、我在心里默默地为每一个人祝福 。我爱 自己， 我用清 洁与节 制来珍 惜我的 身体， 我用智 慧和知 识充实 我的头 脑。 15、这世上的一切都借希望而完成。 农夫不 会播下 一粒玉 米，如 果他不 曾希望 它长成 种籽； 单身汉 不会娶 妻，如 果他不 曾希望 有小孩 ；商人 或手艺 人不会 工作， 如果他 不曾希 望因此 而有收 益。-- 马钉路 德。
56、书不仅是生活，而且是现在、过 去和未 来文化 生活的 源泉。 ——库 法耶夫 57、生命不可能有两次，但许多人连一 次也不 善于度 过。— —吕凯 特 58、问渠哪得清如许，为有源头活水来 。—— 朱熹 59、我的努力求学没有得到别的好处， 只不过 是愈来 愈发觉 自己的 无知。 ——笛 卡儿

第二级 审计安全保护
第三级 强制安全保护
第四级 结构化保护
隐蔽通道分析 系统审计 客体重用 可信恢复
第五级 访问验证保护级
强制访问控制 标记 可信路径
隐蔽通道分析
如何理解信息系统的五个安全保护等级




第一级：一般适用于小型私营、个体企业、中小学、乡镇所属信息 系统、县级单位中一般的信息系统。 第二级：一般适用于县级某些单位中的重要信息系统；地市级以上 国家机关、企事业单位内部一般的信息系统，如涉及工作秘密、商 业秘密、敏感信息的办公系统和管理系统等。 第三级：一般适用于地市级以上国家机关、企业、事业单位内部重 要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系 统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指 挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的 分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省 连接的网络系统等。 第四级：一般适用于国家重要领域、重要部门中的特别重要系统以 及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等 重要部门的生产、调度、指挥等涉及国家安全、国计民生的核心系 统。 第五级：一般适用于国家重要领域、重要部门中的极端重要系统。
GB17859-2019 计算机信息系统安全保护等级划分准则
等级保护的技术标准规范
面向评估者技术标准：
《计算机信息系统安全保护等级划分准则》 （GB 17859-2019） 《信息安全技术 信息系统通用安全技术要求》 （GB/T 20271-2019）
《信息安全技术 操作系统安全技术要求》 （GB/T 20272-2019）
9 月 7日
中办国办发 中共中央办公厅 [2019]27号 国务院办公厅

2005年12月，公安部《信息系统安全等级保护实施指 南》、《信息系统安全等级保护定级要求》、《信息 系统安全等级保护基本要求》、《信息系统安全等级 保护测评准则》（GB送审稿陆续出台）
2006年3月开始实施的公安部、国家保密局、国家密码 管理局、国信办四部委（局办）发布7号文 《等级保 护管理办法》
信息安全等级保护与 等级化安全体系解决方案
1
INDEX
网络安全与信息安全 信息安全等级保护 等级化安全体系解决方案
2
网络安全与信息安全
安全定义 安全基本要求 安全技术体系 安全模型
3
安全定义
防止任何对数据进行未授权访问的措施，或者造 成信息有意无意泄漏、破坏、丢失等问题的发生， 让数据处于远离危险、免于威胁的状态或特性。
10
对等级保护的理解
等级保护是我国信息安全领域的一项基本政策
1994年，《中华人民共和国计算机信息系统安全保护条 例》的发布
1999年，《计算机信息系统安全保护等级划分准则》 GB17859-1999发布
2003年，中央办公厅、国务院办公厅转发《国家信息化 领导小组关于加强信息安全保障工作的意见》（中办发 [2003]27号文）
12
对等级保护的理解（续二）
等级保护的核心是将传统的定性设计逐步进化为 定量的安全保障设计
对信息系统实施不同等级的安全保护 对信息系统中使用的安全产品实施分等级管理 对信息系统发生的安全事件分等级响应和处置
13
对等级保护的理解（续三）
等级保护体现了差异化的安全保障思想
由系统使命决定系统的等级，充分考虑业务信息安全性和业 务服务保证性
2004年，四部委(公安部、国家保密局、国家密码管理 局、国信办)联合签发了《关于信息安全等级保护工作 的实施意见 》（公通字[2004]66号文）

1994年，《中华人民共和国计算机信息系 统安全保护条例 》规定，“计算机信息系统 实行安全等级保护，安全等级的划分标准和 安全等级保护的具体办法，由公安部会同有 关部门制定” 。
1995年2月18日人大12次会议通过并实 施的《中华人民共和国警察法》第二章第六 条第十二款规定，公安机关人民警察依法履 行“监督管理计算机信息系统的安全保护工 作”。——法律依据。
国信办在全国范围内组织开展了基础调查， 共调查了65117家单位中的115319个信息系 统。
一是全国信息系统数量巨大、分布广， 等级保护工作的任务十分繁重 。
二是三级以上重要信息系统、全国范围 服务的特大型系统数量大。
三是重要信息系统分布不均匀。
四是省级及省级以下信息系统数量最大。
二、等级保护工作面临的形势
1999年，强制性国家标准－《计算机信 息系统安全保护等级划分准则》GB 17859）。
2003年，中办、国办转发的《国家信息化领导 小组关于加强信息安全保障工作的意见》（中办发 [2003]27号）明确指出“实行信息安全等级保护”。 “要重点保护基础信息网络和关系国家安全、经济 命脉、社会稳定等方面的重要信息系统，抓紧建立 信息安全等级保护制度，制定信息安全等级保护的 管理办法和技术指南” 。
五、下一步工作
按照中央领导批示精神，下一步拟全面部 署开展信息安全等级保护工作，完成全国重 要信息系统定级工作，加快出台等级保护工 作规章制度和标准规范，对重要领域、重要 行业信息安全等级保护工作开展检查，广泛 开展宣传活动和多种形式、多种层次的培训 工作。
谢谢！
在我的印象里，他一直努力而自知，每天从食堂吃饭后，他总是习惯性地回到办公室看厚厚的专业书不断提升和充实自己，他的身上有九零后少见的沉稳。同事们恭喜他，大多看 到了他的前程似锦，却很少有人懂得他曾经付出过什么。就像说的：“如果这世上真有奇迹，那只是努力的另一个名字，生命中最难的阶段，不是没有人懂你，而是你不懂自已。” 而他的奇迹，是努力给了挑选的机会。伊索寓言中，饥饿的狐狸想找一些可口的食物，但只找到了一个酸柠檬，它说，这只柠檬是甜的，正是我想吃的。这种只能得到柠檬，就说 柠檬是甜的自我安慰现象被称为：“甜柠檬效应”。一如很多人不甘平庸，却又大多安于现状，大多原因是不知该如何改变。看时，每个人都能从角色中看到自已。高冷孤独的安 迪，独立纠结的樊胜美，乐观自强的邱莹莹，文静内敛的关睢尔，古怪精灵的曲筱绡。她们努力地在城市里打拼，拥有幸或不幸。但她依然保持学习的习惯，这样无论什么事她都 有最准确的判断和认知；樊胜美虽然虚荣自私，但她努力做一个好HR，换了新工作后也是拼命争取业绩；小蚯蚓虽没有高学历，却为了多卖几包咖啡绞尽脑汁；关睢尔每一次出镜 几乎都是在房间里戴着耳机听课，处理文件；就连那个嬉皮的曲筱潇也会在新年之际为了一单生意飞到境外……其实她们有很多路可以走：嫁人，啃老，安于现状。但每个人都像 个负重的蜗牛一样缓缓前行，为了心中那丁点儿理想拼命努力。今天的努力或许不能决定明天的未来，但至少可以为明天积累，否则哪来那么多的厚积薄发和大器晚成？身边经常 有人抱怨生活不幸福，上司太刁，同事太蛮，公司格局又不大，但却不想改变。还说：“改变干嘛？这个年龄了谁还能再看书考试，混一天是一天吧。”一个“混”字就解释了他 的生活态度。前几天我联系一位朋友，质问为什么好久不联系我？她说自已每天累的像一条狗，我问她为什么那么拼？她笑：“如果不努力我就活得像一条狗了。”恩，新换的上 司，海归，虽然她有了磨合几任领导的经验，但这个给她带来了压力。她的英语不好，有时批阅文件全是大段大段的英文，她心里很怄火，埋怨好好的中国人，出了几天国门弄得 自己像个洋鬼子似的。上司也不舒服，流露出了嫌弃她的意思，甚至在一次交待完工作后建议她是否要调一个合适的部门？她的脸红到了脖子，想着自己怎么也算是老员工，由她 羞辱？两个人很不愉快。但她有一股子倔劲，不服输，将近40岁的人了，开始拿出发狠的学习态度，报了个英语培训班。回家后捧着英文书死啃，每天要求上中学的女儿和自己英 语对话，连看电影也是英文版的。功夫不负有心人，当听力渐渐能跟得上上司的语速，并流利回复，又拿出漂亮的英文版方案，新上司看她的眼光也从挑剔变柔和，某天悄悄放了 几本英文书在她桌上，心里突然发现上司并没那么讨厌。心态好了，她才发现新上司的优秀，自从她来了后，部门业绩翻了又翻，奖金也拿到手软，自己也感觉痛快。她说：这个 社会很功利，但也很公平。别人的傲慢一定有理由，如果想和平共处，需要同等的段位，而这个段位，自己可能需要更多精力，但唯有不断付出，才有可能和优秀的人比肩而立。 人为什么要努力？一位长者告诉我：“适者生存。”这个社会讲究适者生存，优胜劣汰。虽然也有潜规则，有套路和看不见的沟沟坎坎，但一直努力的人总会守得云开见月明。有 些人明明很成功了，但还是很拼。比如剧中的安迪，她光环笼罩，商场大鳄是她的男闺蜜，不离左右，富二代待她小心呵护，视若明珠，加上她走路带风，职场攻势凌历，优秀得 让身边人仰视。这样优秀的人，不管多忙，每天都要抽出两个小时来学习。她的学习不是目的，而是能量，能让未来的自己比过去更好一些。现实生活中，努力真的重要，它能改 变一个人的成长轨迹，甚至决定人生成败。有一句鸡汤：不着急，你想要的，岁月都会给你。其实，岁月只能给你风尘满面，而希望，唯有努力才能得到！9、懂得如何避开问题的 人，胜过知道怎样解决问题的人。在这个世界上，不知道怎么办的时候，就选择学习，也许是最佳选择。胜出者往往不是能力而是观念！在家里看到的永远是家，走出去看到的才 是世界。把钱放在眼前，看到的永远是钱，把钱放在有用的地方，看到的是金钱的世界。给人金钱是下策，给人能力是中策，给人观念是上策。财富买不来好观念，好观念能换来 亿万财富。世界上最大的市场，是在人的脑海里！要用行动控制情绪，不要让情绪控制行动；要让心灵启迪智慧，不能让耳朵支配心灵。人与人之间的差别，主要差在两耳之间的 那块地方！人无远虑，必有近忧。人好的时候要找一条备胎，人不好的时候要找一条退路；人得意的时候要找一条退路，人失意的时候要找一条出路！孩子贫穷是与父母的有一定 的关系，因为他小的时候，父母没给他足够正确的人生观。家长的观念是孩子人生的起跑线！有什么信念，就选择什么态度；有什么态度，就会有什么行为；有什么行为，就产生 什么结果。要想结果变得好，必须选择好的信念。播下一个行动，收获一种习惯；播下一种习惯，收获一种性格；播下一种性格，收获一种命运

以《需基求本背要求景》中 “ 用 求以中以为网 、《物《政目络数基理基策标、据本依主”，安本机部以据要全要分、《求求部要应设》》 经级计分中分要过保为为管求信护依依理》息 专据据为安安 家方全全 论法等 证部
通过
流程四：等保体系整体架构
安全接入/隔离设备
区域边界
区域边界
通信网络
通信网络
其它定级系统
公通字 [2019]66号
公通字 [2019]43号
公信安 [2019]861 号
颁布机构
国务院
中共中央办公厅 国务院办公厅
公安部 国家保密局 国家密码管理委 员会办公室 （国家密码管理 局） 国务院信息化工 作办公室
内容及意义
第一次提出信息系统要实行 等级保护，并确定了等级保 护的职责单位。
等级保护工作的开展必须分 步骤、分阶段、有计划的实 施。明确了信息安全等级保 护制度的基本内容。
安全管理 中心
安全管理中心
计算环境
网站/应用服务器 交换设备 计算环境
终端 用户
流程五：等保体系部署
通信网络
国家安全
第三级 第四级 第五级
流程二：等保建设立项
信息系统等级保护建设，经过信息系统的运营、管理部 门以及有关政府部门的批准，并列入信息系统运营单位或政 府计划的过程。
一项基本国策，一项基本制度，具有政策的强制性 是办公电子化、业务信息化发展必需的保障手段 用户业务开展的实际需求
流程三：风险评估
信息系统安全等级保护定级指南
GB17859-2019 计算机信息系统安全保护等级划分准则
等级保护的技术标准规范
面向评估者技术标准：
《计算机信息系统安全保护等级划分准则》 （GB 17859-2019） 《信息安全技术 信息系统通用安全技术要求》 （GB/T 20271-2019） 《信息安全技术 操作系统安全技术要求》 （GB/T 20272-2019）

第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
（2）《信息系统安全等级保护基本要求》（GB/T22239—2008） 1)主要作用
不同安全保护等级的信息系统有着不同的安全需求，为此，针对不同等级的信息系统提出了相应 的基本安全保护要求，各个级别信息系统的安全保护要求构成了《信息系统安全等级保护基本要求》。 2)主要内容
第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
（2）《信息系统安全等级保护基本要求》
（GB/T22239—2008） 2)主要内容 保护要求的分级方法
网络恶意代码防 范、剩余信息保 护、抗抵赖
安全保护能力逐级增高，相应的安全保护
要求和措施逐级增强
监控管理和安全 管理中心
信息保密与信息安全
保密、常识、技术、意识教育
政策体系和标准体系
第2部分
信息安全等级保护政策体系和标准体系
1.信息安全等级保护政策体系
（1）总体方面的政策文件 《关于信息安全等级保护工作的实施意见》（公通字 [2004]66 号） 《信息安全等级保护管理办法》（公通字 [2007]43 号） （2）具体环节的政策文件 对应等级保护工作的具体环节（信息系统定级、备案、 安全建设整改、等级测评、安全检查），公安部出台了 相应的政策规范。
第2部分
信息安全等级保护政策体系和标准体系
2.信息安全等级保护标准体系
他类标准 1）风险评估 《信息安全风险评估规范》（GB/T 20984—2007）。 2）事件管理 《信息安全事件管理指南》（GB/Z 20985—2007）； 《信息安全事件分类分级指南》（GB/Z 20986—2007）； 《信息系统灾难恢复规范》（GB/T 20988—2007）。

区域边界保护
保护计算环境
保护计算环境
实现集中安全管理
落实安全管理措施
三级系统安全管理措施
- 建立全面的安全管理制度，并安排专人负责并监控执行情况； - 建立全面的人员管理体系，制定严格的考核标准 - 建设过程的各项活动都要求进行制度化规范，按照制度要求进行 活动的开展 - 实现严格的保密性管理 - 成立安全运维小组，对安全维护的责任落实到具体的人 - 引入第三方专业安全服务
物理安 • 需要到物理机房实地检查，请提前申请进入机房的相关手续，并协调查看机房管理相关管理记录 全
网络安 • 需要登录网络设备、安全设备检查相关配置及漏洞扫描，请分配可接入的网络端口及地址，提供配置文件
全 主机安 • 需要登录相关主机设备检查相关配置及漏洞扫描，请分配可接入的网络端口及地址 全 应用安 • 请提供应用系统访问地址，以及访问该应用所需的网络地址，帐户名称、口令以及其它鉴别方式所需软硬件设备 全
分级保护系列标准规范
《涉及国家秘密的计算机信息系统分级保 护技术要求》BMB17-2006 《涉及国家秘密计算机信息系统安全保密 方案设计指南》 BMB23-2008 涉密信息系统安全保障建设 《涉及国家秘密计算机信息系统分级保护 指南 管理规范》BMB20-2007 《涉及国家秘密的信息系统分级保护测评 指南》BMB22—2007 《涉及国家秘密计算机信息系统分级保护 管理办法 》国家保密局16号
管理制 • 请提供安全管理制度电子档或纸质版本，以及相关记录文件
度
1、最灵繁的人也看不见自己的背脊。——非洲 2、最困难的事情就是认识自己。——希腊 3、勇猛、大胆和坚定的决心能够抵得上武器的精良。——达· 芬奇 4、与肝胆人共事，无字句处读书。——周恩来 5、一个人即使已登上顶峰，也仍要自强不息。——罗素· 贝克 6、一切节省，归根到底都归结为时间的节省。——马克思 7、自知之明是最难得的知识。——西班牙 8、勇气通往天堂，怯懦通往地狱。——塞内加 9、有时候读书是一种巧妙地避开思考的方法。——赫尔普斯 10、阅读一切好书如同和过去最杰出的人谈话。——笛卡儿 11、有勇气承担命运这才是英雄好汉。——黑塞 12、只有把抱怨环境的心情，化为上进的力量，才是成功的保证。——罗曼· 罗兰 13、知人者智，自知者明。胜人者有力，自胜者强。——老子 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。——歌德 15、最具挑战性的挑战莫过于提升自我。——迈克尔· F· 斯特利 16、业余生活要有意义，不要越轨。——华盛顿 17、意志是一个强壮的盲人，倚靠在明眼的跛子肩上。——叔本华 18、最大的挑战和突破在于用人，而用人最大的突破在于信任人。——马云 19、我这个人走得很慢，但是我从不后退。——亚伯拉罕· 林肯 20、要掌握书，莫被书掌握；要为生而读，莫为读而生。——布尔沃 21、要知道对好事的称颂过于夸大，也会招来人们的反感轻蔑和嫉妒。——培根 22、业精于勤，荒于嬉；行成于思，毁于随。——韩愈 23、最大的骄傲于最大的自卑都表示心灵的最软弱无力。——斯宾诺莎 24、知之者不如好之者，好之者不如乐之者。——孔子 25、学习是劳动，是充满思想的劳动。——乌申斯基 26、要使整个人生都过得舒适、愉快，这是不可能的，因为人类必须具备一种能应付逆境的态度。——卢梭 27、越是无能的人，越喜欢挑剔别人的错儿。——爱尔兰 28、意志命运往往背道而驰，决心到最后会全部推倒。——莎士比亚 29、越是没有本领的就越加自命不凡。——邓拓 30、阅读使人充实，会谈使人敏捷，写作使人精确。——培根

系统审计 客体重用 系统审计 客体重用
隐蔽通道分析 系统审计 客体重用
强制访问控制 标记 强制访问控制 标记 可信路径 强制访问控制 标记
第四级 结构化保护
第五级 访问验证保护级
隐蔽通道分析
可信恢复
可信路径
14
一、核心技术标准：《基本要求》
基本要求
技术要求
管理要求
物 理 安 全
网 络 安 全
主 机 安 全
用户自主控制资源访问
访问行为需要被审计 通过标记进行强制访问控制
第四级 结构化保护级
第五级 访问验证保护级
可信计算基结构化
所有的过程都需要验证
6
安全等级三级核心功能：强制访问控制
主体
权限
客体
访问：读、写、执行
主动 用户、进程
被动 文件、存储设备
强制访问控制 安全策略
7
安全审计

主要内容
信息安全等级保护建设流程 信息系统安全等级的划分 等级保护整改方案设计原则 等级保护整改方案设计 整改方案合标性分析
信息安全等级保 护整改方案设计 思路

主要内容
信息安全等级保护建设流程 信息系统安全等级的划分 等级保护整改方案设计原则 等级保护整改方案设计 整改方案合标性分析
2
信息安全等级保护整改流程
1.等保建设立项
2.信息系统定级
3.安全现状分析 4.整改方案设计
定级工作07年已基本完成
专业机构 整改意见 总设 详设 专家论证 项目实施 内部验收 专业机构 测评报告
13
一、核心技术标准：GB17859-1999
第一级 自主安全保护
自主访问控制 身份鉴别 完整性保护 自主访问控制 身份鉴别 完整性保护 自主访问控制 身份鉴别 完整性保护 自主访问控制 身份鉴别 完整性保护 自主访问控制 身份鉴别 完整性保护