信息系统等级保护44页PPT

第一级 用户自主保护级 第二级 系统审计保护 第三级 安全标记保护 第四级 结构化保护 第五级 访问验证保护
用户自主控制资源访问 访问行为需要被审计
通过标记实现强制访问控制 可信计算基结构化
所有的过程都需要验证
等级保护的等级划分准则
第一级 自主安全保护 第二级 审计安全保护 第三级 强制安全保护
自主访问控制 身份鉴别 完整性保护
将等级保护从计算机信息系 统安全保护的一项制度提升 到国家信息安全保障的一项 基本制度。
明确了信息安全等级保护制 度的基本内容、流程及工作 要求，明确了信息系统运营 使用单位和主管部门、监管 部门在信息安全等级保护工 作中的职责、任务。
就定级范围、定级工作主要 内容、定级工作要求等事项 进行了通知。
信息系统安全等级保护定级指南
GB17859-2019 计算机信息系统安全保护等级划分准则
等级保护的技术标准规范
面向评估者技术标准：
《计算机信息系统安全保护等级划分准则》 （GB 17859-2019） 《信息安全技术 信息系统通用安全技术要求》 （GB/T 20271-2019） 《信息安全技术 操作系统安全技术要求》 （GB/T 20272-2019）
未通过
7.等保整改建设完成
流程一：信息系统定级
2019年开始，我国在全国范围展开了信息系统等级保护 的定级工作，并在公安部进行了相关的备案。
定级依据：《信息系统安全保护等级定级指南》（国家） 《XX行业信息系统安全保护等级定级指南》
谁主管、运营谁定级；拟确定为四级以上的信息系统需 请国家信息安全保护等级专家评审委员会评审； 信息系统定级情况要在公安部门报备；
公通字 [2019]66号
公通字 [2019]43号
公信安 [2019]861 号
颁布机构
国务院
中共中央办公厅 国务院办公厅
公安部 国家保密局 国家密码管理源自文库 员会办公室 （国家密码管理 局） 国务院信息化工 作办公室
内容及意义
第一次提出信息系统要实行 等级保护，并确定了等级保 护的职责单位。
等级保护工作的开展必须分 步骤、分阶段、有计划的实 施。明确了信息安全等级保 护制度的基本内容。
总体设计
2
详细设计
应急方案
3
灾备方案
信息系统等保体系
6 项目预算
产品选型
4
技术指标
方案与产品
5
安全性论证
流程四：等保方案设计原则
重视安全 遵循政策 需求主导 整体规划 全局管理 适度安全
技管兼行 符合标准 突出重点 分步实施 统一标准 减少影响
流程四：需求分析方法
安全现状
需求
基本要求
物理 安全
网络 安全
安全现状
需求
基本要求
物理 安全
网络 安全
主机 安全
数据安 全与备 份恢复
应用 安全
满足政策要求 满足标准要求 满足用户自身要求
等级保护的体系架构
安全接入/隔离设备
区域边界
区域边界
通信网络
通信网络
其它定级系统
安全管理 中心
安全管理中心
计算环境
网站/应用服务器 交换设备 计算环境
终端 用户
等级保护的技术实现依据
最早等提保出系的统基设础计性时、的强主制要性依标据准：； 公安部作为等保系统建设、评测的重要依据
粒度一较个粗中，心是三一重个防指御导性标准；
内容概要
信息安全与等级保护 什么是等级保护 等级保护的国家政策与标准规范 等级保护的工作内容 等级保护的建设流程 等级保护各参与部门的角色定位
等级保护的建设目标
内容概要
信息安全与等级保护 什么是等级保护 等级保护的国家政策与标准规范 等级保护的工作内容 等级保护的建设流程 等级保护各参与部门的角色定位
什么是等级保护
信息系统等级保护的定义
是指对国家秘密信息、法人和其他组织及公民的 专有信息以及公开信息和存储、传输、处理这些信息 的信息系统分等级实行安全保护，对信息系统中使用 的信息安全产品实行按等级管理，对信息系统中发生 的信息安全事件分等级响应、处置。
信息系统等级保护
—— 综合篇
内容概要
信息安全与等级保护 什么是等级保护 等级保护的国家政策与标准规范 等级保护的工作内容 等级保护的建设流程 等级保护各参与部门的角色定位
信息安全与等级保护
信息安全的宏观范畴
密保（分保）—— 分三级（绝密、机密、秘密） 涉密环境（网络、终端、应用系统及数据）的信息 安全 等保 —— 分五级 非涉密环境（网络、终端、应用系统及数据）的信 息安全
强制访问控制 标记
隐蔽通道分析 可信路径
可信恢复
内容概要
信息安全与等级保护 什么是等级保护 等级保护的国家政策与标准规范 等级保护的工作内容 等级保护的建设流程 等级保护各参与部门的角色定位
等级保护的国家政策
颁布时间
1994年 2月18日 2019年 9月7日
2019年 9月15日
2019年 6月22日
网络安全 1. 网络结构安全 2. 网络访问控制 3. 网络安全审计 4. 边界完整性检查 5. 网络入侵防范 6. 恶意代码防护 7. 网络防护设备
主机安全 1. 身份鉴别 2. 强制访问控制 3. 系统安全审计 4. 剩余信息保护 5. 入侵防范 6. 恶意代码防范 7. 资源控制
等级保护的建设模式
以《需基求本背要求景》中 “ 用 求以中以为网 、《物《政目络数基理基策标、据本依主”，安本机部以据要全要分、《求求部要应设》》 经级计分中分要过保为为管求信护依依理》息 专据据为安安 家方全全 论法等 证部
通过
流程四：等保体系整体架构
安全接入/隔离设备
区域边界
区域边界
通信网络
通信网络
其它定级系统
某级信息系统
基本要求
技术要求
管理要求
建立安全技术体系
建立安全管理体系
具有某级安全保护能力的系统
等级保护的建设要求
技术要求
基本要求
管理要求
物网主应 数 理络机用 据 安安安安 安 全全全全 全
安安人系系 全全员统统 管管安建运 理理全设维 机制管管管 构度理理理
等级保护的建设要求
环境安全
机房与设施安全 防其他自然灾害 环境与人员安全
物理安全 设备安全
防盗与防毁 防止电磁泄露发射
防电磁干扰
介质安全
介质的分类 介质的管理 介质的防护
等级保护的建设要求
数据安全 1.数据机密性保护 2.数据完整性保护
应用安全
1.身份认证 5.控制软件容错；
2. 安全审计
6.严格的访问；
3. 剩余信息保护
7. 自动保护功能；
4. 通信完整性和机密性保护 8. 资源控制；
国家安全
第三级 第四级 第五级
流程二：等保建设立项
信息系统等级保护建设，经过信息系统的运营、管理部 门以及有关政府部门的批准，并列入信息系统运营单位或政 府计划的过程。
一项基本国策，一项基本制度，具有政策的强制性 是办公电子化、业务信息化发展必需的保障手段 用户业务开展的实际需求
流程三：风险评估
构筑由安全管理中心统一管理下的计算环境、 区域边界、通信网络三重防御体系。
安全管理中心
可信计算环境
安全区域边界
安全通信网络
内容概要
信息安全与等级保护 什么是等级保护 等级保护的国家政策与标准规范 等级保护的工作内容 等级保护的建设流程 等级保护各参与部门的角色定位
等级保护的建设流程
已运营系统
信息网络
第五级
极端重 要系统
国家安全
侵害程度
监管强度
损害
自主保护
严重损害 指导
损害
严重损害 损害
监督检查
特别严重损害 强制监督检查
严重损害
特别严重损害 专门监督检查
等级保护涉及的几个基本概念
主体
权限
客体
主动 用户、进程
访问：读、写、执行
被动 文件、存储设备
强制访问控制
安全策略
安全审计
等级保护的等级划分准则
自主访问控制 身份鉴别 完整性保护
自主访问控制 身份鉴别 完整性保护
系统审计 客体重用
系统审计 客体重用
强制访问控制 标记
第四级 结构化保护 第五级 访问验证保护级
自主访问控制 身份鉴别 完整性保护
自主访问控制 身份鉴别 完整性保护
系统审计 客体重用
强制访问控制 标记
隐蔽通道分析 可信路径
系统审计 客体重用
等保方案类标准：
《信息安全技术 信息系统安全等级保护实施指南》 （ GB/T xxxxx-2019 ）
等级保护的技术标准规范
国家已出台约70余个标准，重点需要了解的有：
《计算机信息系统安全保护等级划分准则》 （GB 17859-2019） 《信息系统安全等级保护基本要求》(GB/T 22239-2019) 《信息系统等级保护安全设计技术要求》（已审批）
主机 安全
数据安 全与备 份恢复
应用 安全
满足政策要求 满足标准要求 满足用户自身要求
流程四：需求分析方法
安全现状与《基本要求》的差异分析对照
标准要求
是否满足
相应措施
物理安全
网络安全
主机安全
应用安全
数据安全
流程四：设计方案章节
等级保护建设方案章节：
一、项目背景 二、安全需求分析 三、方案总体设计 四、等保技术体系设计 五、等保物理安全设计 六、等保管理安全设计 七、应急与灾备设计 八、产品选型与技术指标 九、方案与产品安全性论证 十、项目预算 十一、实施方案设计
等级保护的技术标准规范
国家已出台70多个国标、行标以及报批标准，从基础、设计、 实施、管理、制度等各个方面对等保系统提出了要求和建议。
GB/T20G26B9/T-220010909信-2息01系9统信安息全安管全理技要术求操作系统安全评估准则 GB/T20282-2019 信息安全技术 信息系统安全工程管理要求 GB/T 20270-2019信息安全技术 网络基础安全技术要求 GB/T 20271-2019信息安全技术 信息系统通用安全技术要求 GB/T 20272-2019信息安全技术 操作系统安全技术要求 GB/T 20273-2019信息安全技术 数据库管理系统通用安全技术要求 GB/T22239-2019信息安全技术 信息系统安全等级保护基本要求 信息安全技术 信息系统等级保护安全设计技术要求 (已送批) 信息系统安全等级保护实施指南 ……
面向建设者技术标准：
《信息安全技术 信息系统安全等级保护基本要求》 （GB/T 22239-2019） 《信息安全技术 信息系统等级保护安全设计技术要求》
等级保护的技术标准规范
系统定级类标准：
《信息安全技术 信息系统安全保护等级定级指南》 （GB/T 22240-2019）
管理类标准：
《信息安全技术 信息系统安全工程管理要求》 （GB/T 20282-2019） 《信息系统安全管理体系标准》（ISO/IEC 27001）
业务应用
等保整改
安全措施
新建系统
业务应用
达标等保体系
等保建设
安全措施
等级保护整改建设流程
1.信息系统定级
定级工作08年已基本完成
2.等保建设立项
3.信息安全威胁分析
专业机构 整改意见
4.等保方案设计
总设 详设 专家论证
5.安全体系部署
项目实施 内部验收
6.等保体系测评
专业机构 测评报告
等级保护的等级划分准则
根据信息和信息系统遭到破坏或泄露后，对国 家安全、社会秩序、公共利益及公民、法人和 其他组织的合法权益的危害程度来进行定级。
1、受侵害客体； 2、受侵害程度；
等级保护的等级划分准则
等级 对象
第一级 一般系
第二级 统
第三级 重要系 统
第四级
侵害客体 合法权益 合法权益 社会秩序和公共利益 社会秩序和公共利益 国家安全 社会秩序和公共利益 国家安全
风险评估是对信息资产面临的威胁、存在的弱点、 造成的影响，以及三者综合作用而带来风险的可能性的 评估。风险评估是确定信息安全需求的一个重要途径。
需请相应级别、具有资质的测评中心进行风险评估； 风险评估完成后出具《评估报告》和《整改意见》；
流程四：等保方案设计思路
整改意见
1
需求分析
项目实施
建设目标 7 方案设计
流程一：信息系统定级
根据信息和信息系统遭到破坏或泄露后，对国 家安全、社会秩序、公共利益及公民、法人和 其他组织的合法权益的危害程度来进行定级。
1.受侵害客体； 2.受侵害程度；
受侵害的客体
对客体的侵害程度
一般损害 严重损害
特别严 重损害
公民、法人和其他组织 的合法权益
第一级
第二级 第二级
社会秩序、公共利益 第二级 第三级 第四级
安全管理 中心
安全管理中心
计算环境
网站/应用服务器 交换设备 计算环境
终端 用户
流程五：等保体系部署
通信网络
2019年 7月16日
文件名称
《中华人民共和国 计算机信息系统安 全保护条例》 《国家信息化领导 小组关于加强信息 安全保障工作的意 见》 《关于信息安全等 级保护工作的实施 意见》
《信息安全等级保 护管理办法》
《关于开展全国重 要信息系统安全等 级保护定级工作的 通知》
文号
国务院147 号令
中办国办发 [2019]27号