企业信息安全等级保护建设方案20页PPT

• 信息安全等级保护的关键所在正是基于信息系 统所承载应用的重要性，以及该应用损毁后带 来的影响程度来判断风险是否控制在可接受的 范围内。
精选PPT
6
原则
• 谁主管谁负责、谁运营谁负责 • 自主定级、自主保护、监督指导
精选PPT
7
主要流程
一是：定级。
二是：备案。
三是：系统建设、整改。
四是：等级测评。
• 对技术要求
– ‘访谈’方法：
• 目的是了解信息系统的全局性。 • 范围一般不覆盖所有要求内容。
– ‘检查’方法：
• 目的是确认信息系统当前具体安全机制和运行的配 置是否符合要求 。
• 范围一般要覆盖所有要求内容。
– ‘测试’方法：
• 目的是验证信息系统安全机制有效性和安全强度。
• 范围不覆盖所有要求内容。
– 第三级，信息系统受到破坏后，会对社会秩序和公共 利益造成严重损害，或者对国家安全造成损害。
– 第四级，信息系统受到破坏后，会对社会秩序和公共 利益造成特别严重损害，或者对国家安全造成严重损 害。
– 第五级，信息系统受到破坏后，会对国家安全造成特 别严重损害。
精选PPT
10
定级原理(2)
• 定级要素
精选PPT
22
22
关系2
一级系统
通信/边界（基本）
二级系统
通信/边界/内部（关键设备）
三级系统
通信/边界/内部（主要设备）
通信/边界/内部/基础设施（所有设备） 四级系统
精选PPT
23
23
关系3
一级系统
计划和跟踪（主要制度）
二级系统
计划和跟踪（主要制度）
良好定义（管理活动制度化） 三级系统

2005年12月，公安部《信息系统安全等级保护实施指 南》、《信息系统安全等级保护定级要求》、《信息 系统安全等级保护基本要求》、《信息系统安全等级 保护测评准则》（GB送审稿陆续出台）
2006年3月开始实施的公安部、国家保密局、国家密码 管理局、国信办四部委（局办）发布7号文 《等级保 护管理办法》
信息安全等级保护与 等级化安全体系解决方案
1
INDEX
网络安全与信息安全 信息安全等级保护 等级化安全体系解决方案
2
网络安全与信息安全
安全定义 安全基本要求 安全技术体系 安全模型
3
安全定义
防止任何对数据进行未授权访问的措施，或者造 成信息有意无意泄漏、破坏、丢失等问题的发生， 让数据处于远离危险、免于威胁的状态或特性。
10
对等级保护的理解
等级保护是我国信息安全领域的一项基本政策
1994年，《中华人民共和国计算机信息系统安全保护条 例》的发布
1999年，《计算机信息系统安全保护等级划分准则》 GB17859-1999发布
2003年，中央办公厅、国务院办公厅转发《国家信息化 领导小组关于加强信息安全保障工作的意见》（中办发 [2003]27号文）
12
对等级保护的理解（续二）
等级保护的核心是将传统的定性设计逐步进化为 定量的安全保障设计
对信息系统实施不同等级的安全保护 对信息系统中使用的安全产品实施分等级管理 对信息系统发生的安全事件分等级响应和处置
13
对等级保护的理解（续三）
等级保护体现了差异化的安全保障思想
由系统使命决定系统的等级，充分考虑业务信息安全性和业 务服务保证性
2004年，四部委(公安部、国家保密局、国家密码管理 局、国信办)联合签发了《关于信息安全等级保护工作 的实施意见 》（公通字[2004]66号文）

ISO27001/GB22080的安全体系建立过程
-9-
结合ISO27000的方法来实施等保安全管理体系
•以等保安全管理基本要求为基础，结合ISO270001的体系的PDCA过程和ISO27002 的14个控制域规范，同时兼顾监管部门的相关安全规范，整合企业自身的IT服务管 理体系和技术安全控制体系，通过体系规范化、管理流程化、测量指标化、操作工 具化的手段来确保体系设计的落地。
主任：共享服务中心系统运行部信息安全负责人 成员：系统运行部信息安全专职工作人员
沟通、建议
专业指导
审计
信息安全执行单位
共 享 服 务 中 心、SBU01、SBU02、SBU03、SBU04...
信息安全领导小组
授权
报告
信息安全工作小组
监督指导
报告
信息安全全员执行
汇报
集团 稽核 中心
-22-
– 根据信息安全组织架构的设计，明确信息安全管理生命周期中的角色与职 责，并建议在工作岗位职责说明书加以描述；针对组织中信息安全的不同 角色形成各自的岗位职责要求与工作流程说明，以指导相关人员提高工作 质量与效率。
-24-
– 信息安全体系文件包括体系策略及策略细化，形成安全管理体系要求的 一至四级文档（具体文档名称及内容应当按照风险评估与安全体系架构 设计中安全策略体系架构实际结果执行）。
-25-
信息安全 体系文件示例
• C、信息安全管理流程
– 根据安全架构设计中信息运维体系的设计，识别组织的信息安全 管理关键流程，定义流程的输入／输出、流程间接口、流程关键 活动、流程标准角色、流程考核KPI。
E、 信息安全管理实施蓝图
▪ 以信息安全现状调研和风险评估为基础，在符合信息安全架构设计的前提 下，把相应的控制措施进行分类与合并，提炼出可以实施的安全任务；根 据安全任务紧迫性、可实施性、预期效果的高低和实施程度的难易，定义 出安全建设任务优先级和安全管理体系实施路线图。

提供咨询服务的单位
对于用户单位完成定级 备案、差距评估和整改 方案编写,需要有一家单 位提供咨询和服务，免 费&收费，
咨询 服务
集成商、安全厂商
根据咨询服务单位提供 的整改方案,要采购相应 的安全设备和服务,这些 内容由集成商和安全厂 商提供，
等保的5个监管等级
对象
等级
合法权益
损害
严重 损害
社会秩序和 公共利益
2. 安全审计
3. 完整性和保密性保护
广域网
NGAF 4. 边界保护
1广. 域身网份域 鉴别和自N主GA访F 问控制
Inter5n.et 资源控制
路由器 2. 安全审W计OC
6. 入外侵联防域范和恶意图代例码防范
3. 完整M性PL和S 保密性保护 4. 边界保护
12. 密码技术应用 安全管理中心
1S3G. 环境与设施安全
工作要点
中央网信领 导小组2015 年工作要点： 落实国家信 息安全等级 保护制度，
等级保护建设中的角色总体介绍
公安机关网安部门
主要承担监督检查的工 作,同时负责管理测评机 构，各单位的系统定级 备案要到公安机关网安 部门进行，
公安 机关
测评 机构
公安机关备案的测评机构
集成 实施
主要承担系统测评的工 作,只有在当地公安机关 备案的测评机构才可以 开展测评工作，
互联网 接口
DMZ区
服务 托管区
网银WEB 网银APP 网银DB
内网区
Internet
链路分担 外网NGAF
服务器分担 AD
AD
SSL VPN AD
NGAF
托管区边界FW
NGAF
数据中心核心 层交换机

等级保护标准体系
多年来，在有关部门支持下，在国内 有关专家、企业的共同努力下，全国信息安全标 准化技术委员会和公安部信息系统安全标准化技 术委员会组织制订了信息安全等级保护工作需要 的一系列标准，形成了比较完整的信息安全等级 保护标准体系。汇集成《信息安全等级保护标准 汇编》供有关单位、部门使用。
信息安全等级保护标准体系概述(PPT9 6页)
等级保护标准体系
• 从等级保护生命周期看
• 通用/基础标准 • 系统定级用标准 • 安全建设用标准 • 等级测评用标准 • 运行维护用标准等
信息安全等级保护标准体系概述(PPT9 6页)
信息安全等级保护标准体系概述(PPT9 6页)
等级保护主要工作
一是：定级备案 二是：建设整改 三是：等级测评 四是：监督检查
标准定位和关系
• 管理办法(43文件)（总要求） • 实施指南（GB/T25058-2010） • 定级指南（GB/T22240-2008） • 基本要求（GB/T22239-2008） • 测评要求 • 建设指南
信息安全等级保护标准体系概述(PPT9 6页)
信息安全等级保护标准体系概述(PPT9 6页)
信息安全等级保护标准体系概述(PPT9 6页)
信息安全等级保护标准体系概述(PPT9 6页)
等级保护工作中用到的主要标准
（一）基础 1、《计算机信息系统安全保护等级划分准则》GB17859-1999 2、《信息系统安全等级保护实施指南》GB/T 25058-2010 （二）系统定级环节 3、《信息系统安全保护等级定级指南》GB/T22240-2008 （三）建设整改环节 4、《信息系统安全等级保护基本要求》GB/T22239-2008 （四）等级测评环节 5、《信息系统安全等级保护测评要求》(国标报批稿) 6、《信息系统安全等级保护测评过程指南》(国标报批稿)

第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
（2）《信息系统安全等级保护基本要求》（GB/T22239—2008） 1)主要作用
不同安全保护等级的信息系统有着不同的安全需求，为此，针对不同等级的信息系统提出了相应 的基本安全保护要求，各个级别信息系统的安全保护要求构成了《信息系统安全等级保护基本要求》。 2)主要内容
第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
（2）《信息系统安全等级保护基本要求》
（GB/T22239—2008） 2)主要内容 保护要求的分级方法
网络恶意代码防 范、剩余信息保 护、抗抵赖
安全保护能力逐级增高，相应的安全保护
要求和措施逐级增强
监控管理和安全 管理中心
信息保密与信息安全
保密、常识、技术、意识教育
政策体系和标准体系
第2部分
信息安全等级保护政策体系和标准体系
1.信息安全等级保护政策体系
（1）总体方面的政策文件 《关于信息安全等级保护工作的实施意见》（公通字 [2004]66 号） 《信息安全等级保护管理办法》（公通字 [2007]43 号） （2）具体环节的政策文件 对应等级保护工作的具体环节（信息系统定级、备案、 安全建设整改、等级测评、安全检查），公安部出台了 相应的政策规范。
第2部分
信息安全等级保护政策体系和标准体系
2.信息安全等级保护标准体系
他类标准 1）风险评估 《信息安全风险评估规范》（GB/T 20984—2007）。 2）事件管理 《信息安全事件管理指南》（GB/Z 20985—2007）； 《信息安全事件分类分级指南》（GB/Z 20986—2007）； 《信息系统灾难恢复规范》（GB/T 20988—2007）。

企业信息安全等级保护建设 方案
31、别人笑我太疯癫，我笑他人看不 穿。(名 言网) 32、我不想听失意者的哭泣，抱怨者 的牢骚 ，这是 羊群中 的瘟疫 ，我不 能被它 传染。 我要尽 量避免 绝望， 辛勤耕 耘，忍 受苦楚 。我一 试再试 ，争取 每天的 成功， 避免以 失败收 常在别 人停滞 不前时 ，我继 续拼搏 。
谢谢！Biblioteka 36、自己的鞋子，自己知道紧在哪里。——西班牙
37、我们唯一不会改正的缺点是软弱。——拉罗什福科
xiexie! 38、我这个人走得很慢，但是我从不后退。——亚伯拉罕·林肯
39、勿问成功的秘诀为何，且尽全力做你应该做的事吧。——美华纳
40、学而不思则罔，思而不学则殆。——孔子
33、如果惧怕前面跌宕的山岩，生命 就永远 只能是 死水一 潭。 34、当你眼泪忍不住要流出来的时候 ，睁大 眼睛， 千万别 眨眼!你会看到 世界由 清晰变 模糊的 全过程 ，心会 在你泪 水落下 的那一 刻变得 清澈明 晰。盐 。注定 要融化 的，也 许是用 眼泪的 方式。
35、不要以为自己成功一次就可以了 ，也不 要以为 过去的 光荣可 以被永 远肯定 。

手
手
段
段
2021/4/20
14
标杆如何做到网路安全的有序控制？
安全梳理服务 器区域
外
远
部
端 用
网 安全VPN
户
Internet
分支机构
安全VPN 分支机构防火墙
DMZ区
OA及 其他
内
ERP
文件共享
系统 E-mail
部
网
交换机
数据中心
流
量
镜
IDS
像
监控引擎
控制台
入侵检测 2021/4/20
WEB监控
安
全
弱点
2021/4/20
什么是信息安全
安全 信息
保密性
可用性
完整性
信息安全关注的“三性”
安全
确保信息能够被 授权的用户 在需要时访问
风险
安 全
保护信息及其处理步骤 不被未授权的修改
17
信息安全之路——4P
安全
策略与流程 (Policy & Process)
专业团队 People
2021/4/20
关键成功因素
2021/4/20
34
关键成功因素 信息安全方针、目标和活动反映业务目标
2021/4/20
35
关键成功因素
与组织文化一致的信 息安全方法
2021/4/20
36
关键成功因素 所有管理层可见的支持和承诺
2021/4/20
37
关键成功因素
对信息安全要求、风险评估和风险管理 有好的理解
2021/4/20
23
信息安全大厦的脊梁是什么？
公司安全大厦

在对信息系统实施信息安全等级保护的过程中，在不同的阶段，还应参照其他 有关信息安全等级保护的标准、要求开展工作。
信息安全标准
AS/NZS 4360: 1999 风险管理标准 ISO/IEC 13335 IT安全管理指南 ISO/IEC 17799:2005 信息安全管理最佳实践指南 ISO/IEC 27001:2005 信息安全管理体系规范 ISO/IEC 15408/GB 18336 CC IATF 信息保障技术框架 SSE-CMM 系统安全工程能力成熟度模型
第二级，信息系统受到破坏后，会对公民、法人和其他组织的合 法权益造成严重损害，或者对社会秩序和公共利益造成损害，但 不损害国家安全。
第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严 重损害，或者对国家安全造成损害。
第四级，信息系统受ຫໍສະໝຸດ 破坏后，会对社会秩序和公共利益造成特 别严重损害，或者对国家安全造成严重损害。
„高教系统安全保护等级
《教育行政部门及高等院校信息系统安全等级保护定级指南》依 据国家信息安全等级保护相关文件，结合教育行政部门及高等院校信 息化工作特点制定，适用于为教育行政部门及高等院校相关信息系统 安全等级保护的定级工作提供指导。
信息安全保护定级
第一级，信息系统受到破坏后，会对公民、法人和其他组织的合 法权益造成损害，但不损害国家安全、社会秩序和公共利益。
SSE-CMM 系统安全工程能力成熟度模型 不同等级的安全保护能力 标记和强制访问控制 在对安全管理员进行身份鉴别和权限控制的基础上，应由安全管理员通过特定操作界面对主、客体进行安全标记； 应用安全具体包括：9个控制点 ISO/IEC 27001:2005 信息安全管理体系规范 在每次用户登录系统时，采用受安全管理中心控制的口令、令牌、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种 以上的组合机制进行用户身份鉴别，并对鉴别数据进行保密性和完整性保护。 三级基本技术要求及设计指南 应能够防护系统免受来自个人的、拥有很少资源（如利用公开可获取的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发 生的强度弱、持续时间很短等）以及其他相当危害程度的威胁（无意失误、技术故障等）所造成的关键资源损害，在系统遭到损害后

此等级处保输护入– 要标求题分析及产品对应
控制项
结构安全
访问控制 安全审计 边界完整性检查 入侵防范 恶意代码防范 网络设备防护
网络安全分析
要求分析
指定带宽分配优先级别，保证在网络发生拥堵 的时候优先保护重要主机。（3级及以上）
应避免将重要网段部署在网络边界处且直接连 接外部信息系统，采取可靠的技术隔离手段
此等级处保输护入– 要标求题分析及产品对应
控制项
身份鉴别 访问控制 安全审计 剩余信息保护 通信完整性
通信保密性 抗抵赖 软件容错 资源控制
应用安全分析
要求分析
基本的身份鉴别、组合鉴别技术（3级及以 上）、登陆失败处理
安全策略与资源访问、敏感标记的设置及操作 审计过程的保护、审计报表、审计报表的保护
此等级处保输护入– 要标求题分析及产品对应
数据安全与备份恢复项分析
控制项
要求分析
产品或建议
数据完整性 数据保密性 备份和恢复
实现数据和鉴别信息在传输和存储过程中的完 整性检测和恢复
实现系统管理数据、鉴别信息和重要业务数据 传输保密性和存储保密性；
网络冗余、硬件冗余、本地完全备份、异地备 份（3级及以上）、避免关键节点存在单点故
以上）
产品或建议
VPN-深信服 启明星辰 Check point 双因素身份认证-RSA 深信服
VPN-深信服 启明星辰 Check point 日志审计-安恒 启明星辰 数据库审计-安恒
VPN-深信服启明星辰 Check point
VPN-深信服启明星辰 Check point 日志审计-安恒 启明星辰 数据库审计-安恒
企业信息安全等级保护建设方案
技术创新，变革未来

20
应用安全整改要点
21
数据库安全及备份恢复整改要点
22
二级和三级等保具体要求对比
23
THANK YOU
By：cqvip - 张泽军
24
20
系统运维管理
18
—
85
—
—
4
8
7
11
9
20
11
16
28
45
41
62
175
290
90
115
14
安全策略体系
15
等级划分准则（GB 17859—1999）
16
等保要求(技术&管理)
物理安全；网络安全；主机安全； 应用安全；数据库安全及备份恢复
17
物理安全整改要点
18
网络安全整改要点
19
主机安全整改要点
等 级 保 张泽军 护
1
目录 CONTENTS
一、等级保护背景 二、等级保护要点 三、等级保护（技术&管理）
2
等级保护背景
信息安全作用和战略意义 信息安全保护发展历史 我国重要的信息安全保护标准
3
信息安全作用和战略意义
威胁事件
2012.7 雅虎服务器被黑 45万用户信息泄露 2013.10 慧达驿站软件漏洞导致连锁酒店数据库被拖库
2000万条开房记录泄露 2018.3 facebook数据外泄，被欧美等国问责调查，市
值蒸发360亿美元
2004 英国多家银行被“特洛伊木马”病毒攻击，约 10亿英镑被盗
2002.7 首都机场因计算机故障导致6000多人滞留，150 多架飞机延误
2016.10 美国Dyn DNS遭到DDoS攻击，造成大量网站一 度瘫痪，Twitter24小时0访问

系统审计 客体重用 系统审计 客体重用
隐蔽通道分析 系统审计 客体重用
强制访问控制 标记 强制访问控制 标记 可信路径 强制访问控制 标记
第四级 结构化保护
第五级 访问验证保护级
隐蔽通道分析
可信恢复
可信路径
14
一、核心技术标准：《基本要求》
基本要求
技术要求
管理要求
物 理 安 全
网 络 安 全
主 机 安 全
用户自主控制资源访问
访问行为需要被审计 通过标记进行强制访问控制
第四级 结构化保护级
第五级 访问验证保护级
可信计算基结构化
所有的过程都需要验证
6
安全等级三级核心功能：强制访问控制
主体
权限
客体
访问：读、写、执行
主动 用户、进程
被动 文件、存储设备
强制访问控制 安全策略
7
安全审计

主要内容
信息安全等级保护建设流程 信息系统安全等级的划分 等级保护整改方案设计原则 等级保护整改方案设计 整改方案合标性分析
信息安全等级保 护整改方案设计 思路

主要内容
信息安全等级保护建设流程 信息系统安全等级的划分 等级保护整改方案设计原则 等级保护整改方案设计 整改方案合标性分析
2
信息安全等级保护整改流程
1.等保建设立项
2.信息系统定级
3.安全现状分析 4.整改方案设计
定级工作07年已基本完成
专业机构 整改意见 总设 详设 专家论证 项目实施 内部验收 专业机构 测评报告
13
一、核心技术标准：GB17859-1999
第一级 自主安全保护
自主访问控制 身份鉴别 完整性保护 自主访问控制 身份鉴别 完整性保护 自主访问控制 身份鉴别 完整性保护 自主访问控制 身份鉴别 完整性保护 自主访问控制 身份鉴别 完整性保护