等保测评三级系统整改示例

等级保护－－完全实施过程
信息系统定级
安全等级整改
等 级 变 更
局 部 调 整
安全总体规划 安全设计与实施 安全运行维护
安全整改设计
安全要求整改
等级符合性检查 应急预案及演练
安全等级测评 信息系统备案
信息系统终止
能力、措施和要求
安全保护能力 实现 基本安全要求
具备
等保3级的信息系统
包含
包含
基本技术措施 满足
防恶意代码软件、代码库统一管理
主机与网络的防范产品不同
对用户会话数及终端登录的限制
监视重要服务器 最小服务水平的检测及报警
三级系统安全保护要求—应用安全
应用系统的安全就是保护系统的各种应用程序安全 运行。包括基本应用，如：消息发送、web浏览等； 业务应用，如：电子商务、电子政务等。
（公信安[2007]861号）－－－上海市：沪公发[2007]319号 《上海市迎世博信息安全保障两年行动计划》
2009
《2009年信息安全等级保护工作内容及具体要求》（公信安[2009]232号） 《关于组织开展2009年度本市重要信息系统等级保护工作的通知》
（沪公发[2009]187号）－－－沪公发[2009]173号、沪密局[2009]39号、。。。
等级保护－－十大核心标准
基础类
《计算机信息系统安全保护等级划分准则》GB 17859-1999 《信息系统安全等级保护实施指南》GB/T CCCC-CCCC 报批稿
应用类
定级：《信息系统安全保护等级定级指南》GB/T 22240-2008 建设：《信息系统安全等级保护基本要求》GB/T 22239-2008
主要设备冗余空间 整体网络带宽 重要网段部署
路由控制 带宽分配优先级
访问控制
访问控制设备（用户、网段） 拨号访问限制
端口控制
防止地址欺骗
应用层协议过滤
会话终止
最大流量数及最大连接数
安全审计
日志记录
审计报表
审计记录的保护
边界完整性检查
内部的非法联出
非授权设备私自外联 定位及阻断
入侵防范
检测常见攻击
记录、报警
物理安全具体包括：10个控制点 物理位置的选择（G）、 物理访问控制（G）、 防盗窃和防破坏（G）、 防雷击（G)、 防火（G）、防水和防潮（G） 、防静电（G） 、 温湿度控制（G）、电力供应（A）、 电磁防护（S）
物理位置的选择 物理访问控制
防盗窃和防破坏 防雷击 防火 防静电
电力供应 电磁防护 防水和防潮
指标类
类数量
S类 (3级)
A类 (3级)
G类 (3级)
1
1
8
1
0
6
3
1
3wk.baidu.com
5
2
2
2
1
0
N/A
合计
项数量
小计
小计
10
32
7
33
7
32
9
31
3
8
3
11
5
20
5
16
11
45
13
60
73（类） 290（项）
三级系统安全保护要求—物理安全
物理安全主要涉及的方面包括环境安全（防火、 防水、防雷击等）设备和介质的防盗窃防破坏等 方面。
恶意代码防范 网络设备防护
基本的登录鉴别
网络边界处防范 组合鉴别技术 特权用户的权限分离
三级系统安全保护要求—主机安全
主机系统安全是包括服务器、终端/工作站等在 内的计算机设备在操作系统及数据库系统层面的 安全。
主机安全具体包括：7个控制点 身份鉴别(S)、访问控制(S)、安全审计(G)、 剩余信息保护(S)、入侵防范(G)、 恶意代码防范(G)、资源控制(A)
三级系统整改 示例
等级保护－－世博信息安全保障
世博前后的等保目标
杜绝由信息安全造成的群体事件 关键信息系统不能中断 防止办公系统信息泄露等负面事件
世博前后的等保对策
常态化的信息安全保障，提高自身免疫能力 规定动作结合自选动作，全面进行整改加固和应急演练 技术要在服务上深化，管理要在细节上落实 建立全市层面的专家团队及技术保障队伍
《信息系统通用安全技术要求》GB/T 20271-2006 《信息系统等级保护安全设计技术要求》 测评：《信息系统安全等级保护测评要求》 GB/T DDDD-DDDD 报批稿 《信息系统安全等级保护测评过程指南》 管理：《信息系统安全管理要求》GB/T 20269-2006 《信息系统安全工程管理要求》GB/T 20282-2006
等级保护－－政策推进过程
Before 2005
《中华人民共和国计算机信息系统安全保护条例》（1994年 国务院147号令） 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号） 《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）
2007
《信息安全等级保护管理办法》（公通字[2007]43号） 《关于开展全国重要信息系统安全等级保护定级工作的通知》
基本管理措施 满足
等级保护基本安全要求
技术要求
某级系统 基本要求
管理要求
物网主应数 理络机用据 安安安安安 全全全全全
安安人系系 全全员统统 管管安建运 理理全设维 机制管管管 构度理理理
三级系统的控制类及控制项
技术/管理 安全技术 安全管理
层面
物理安全 网络安全 主机安全 应用安全 数据安全 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理
三级系统安全保护要求—网络安全
网络安全主要关注的方面包括：网络结构、网 络边界以及网络设备自身安全等。
网络安全具体包括：7个控制点 结构安全(G)、访问控制(G)、安全审计(G)、 边界完整性检查(A)、入侵防范(G)、 恶意代码防范(G)、网络设备防护(G)
网络安全的整改要点
结构安全
关键设备冗余空间 核心网络带宽 子网/网段控制
物理安全的整改要点
基本防护能力 基本出入控制 在机房中的活动
高层、地下室 分区域管理
存放位置、标记标识
监控报警系统
建筑防雷、机房接地
设备防雷
灭火设备、自动报警 关键设备
稳定电压、短期供应 线缆隔离
温湿度控制
自动消防系统 主要设备 主要设备 接地防干扰 电磁屏蔽
电子门禁
区域隔离措施 防静电地板
冗余/并行线路 备用供电系统
身份鉴别 访问控制
主机安全的整改要点
基本的身份鉴别
组合鉴别技术
安全策略 特权用户的权限分离
管理用户的权限分离 敏感标记的设置及操作
安全审计
服务器基本运行情况审计
重要客户端的审计
审计报表
审计记录的保护
剩余信息保护
空间释放及信息清除
入侵防范 恶意代码防范
资源控制
最小安装原则 升级服务器
重要服务器：检测、记录、报警 重要程序完整性