《信息系统安全等级保护基本要求》使用介绍

•
信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办
法规定条件的测评单位，依据《信息系统安全等级保护测评要求》等技术
标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当
每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等
级测评，第五级信息系统应当依据特殊安全需求进行等级测评。
（内部人员的恶意威胁、无意失误、严重的技术故障 等）所造成的资源损害，能够发现安全漏洞和安全事 件，在系统遭到损害后，能够迅速恢复所有功能。
各个要素之间的关系
安全保护能力 实现 基本安全要求
具备
每个等级的信息系统
包含
包含
基本技术措施 满足
基本管理措施 满足
《基本要求》核心思路
某级系统
基本要求
技术要求
– 附录A 关于信息系统整体安全保护能力的要求
– 附录B 基本安全要求的选择和使用
基本要求的组织方式
某级系统
基本要求
技术要求
管理要求
类
……
控制点
……
……
类
……
控制点
具体要求 ……
……
来自百度文库
具体要求
基本要求-组织方式
某级系统
基本要求
技术要求
管理要求
物网主应数 理络机用据 安安安安安 全全全全全
安安人系系 全全员统统 管管安建运 理理全设维 机制管管管 构度理理理
S4A1G4
不同级别系统控制点的差异
安全要 求 类
技术要 求
管理要 求
层面
物理安全 网络安全 主机安全 应用安全 数据安全
• 运营、使用单位应当参照《信息安全技术信息系统安全管理要求》 （GB/T20269-2006）、《信息安全技术信息系统安全工程管理要求》 （GB/T20282-2006）、《信息系统安全等级保护基本要求》等管理规范，制 定并落实符合本系统安全保护等级要求的安全管理制度。
《管理办法》”等级保护的实施与管理“第十四条
《管理办法》”等级保护的实施与管理“第十四条
• 信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全 保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一 次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应 当依据特殊安全需求进行自查。
《管理办法》”等级保护的实施与管理“第十四条
整体要求的管理规范和技术标准
• 《信息安全等级保护管理办法》 • 《计算机信息系统安全保护等级划分准则》（GB17859-1999） • 《信息系统安全等级保护实施指南》 • 《信息系统安全保护等级定级指南》 • 《信息系统安全等级保护基本要求》 • 《信息系统安全等级保护测评要求》 • 等等
《基本要求》的作用
•
《信息安全等级保护实施指南》
•
《信息安全等级保护定级指南》
•
《信息安全等级保护基本要求》
•
《信息安全等级保护测评要求》
•
《信息安全技术 网络基础安全技术要求》（GB/T20270-2006）
•
《信息安全技术 信息系统通用安全技术要求》GB/T20271-2006）
•
《信息安全技术 操作系统安全技术要求》（GB/T20272-2006）
不同级别的安全保护能力要求
• 第三级安全保护能力
–
应能够在统一安全策略下防护系统免受来自外部有组织的团体 （如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包
括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严重
的自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较
广等）以及其他相当危害程度的威胁（内部人员的恶意威胁、无
审 核 和 检 查
基本要求-组织方式
安全管理制度(四级)
管理制度
制订和发布
评审和修订
基本要求-组织方式
人员安全管理(四级)
人
人
人
员
员
员
录
离
考
用
岗
核
安
第
全
三
意
方
识
人
教
员
育
访
和
问
培
管
训
理
基本要求-组织方式
系统建设管理(四级)
安安
自外
系全全产行 包工 测 系
统风方品软 软程 试 统
定险案采件 件实 验 交
管理要求
建立安全技术体系
建立安全管理体系
具有某级安全保护能力的系统
各级系统的保护要求差异（宏观）
• 安全保护模型PPDRR
Protection防护
Recovery
恢复
Policy 策略
Detection
检测
Response 响应
各级系统的保护要求差异（宏观）
一级系统 二级系统 三级系统 四级系统
系 统 备 案
备 份 和 恢 复 管 理
安 全 事 件 处 置
应 急 计 划 管 理
基本要求标注方式
• 基本要求 – 技术要求 – 管理要求
• 要求标注 – 业务信息安全类要求（标记为S类） – 系统服务保证类要求（标记为A类） – 通用安全保护类要求（标记为G类）
三类要求之间的关系
业 务 信 息 安 全 类 （
• 第二级安全保护能力
– 应能够防护系统免受来自外部小型组织的（如自发的三两 人组成的黑客组织）、拥有少量资源（如个别人员能力、 公开可获或特定开发的工具等）的威胁源发起的恶意攻击、 一般的自然灾难（灾难发生的强度一般、持续时间短、覆 盖范围小等）以及其他相当危害程度的威胁（无意失误、 技术故障等）所造成的重要资源损害，能够发现重要的安 全漏洞和安全事件，在系统遭到损害后，能够在一段时间 内恢复部分功能。
意失误、较严重的技术故障等）所造成的主要资源损害，能够发
现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大
部分功能。
• 第四级安全保护能力
–
应能够在统一安全策略下防护系统免受来自国家级别 的、敌对组织的、拥有丰富资源的威胁源发起的恶意
攻击、严重的自然灾难（灾难发生的强度大、持续时
间长、覆盖范围广等）以及其他相当危害程度的威胁
•
《信息安全技术 数据库管理系统安全技术要求》（GB/T20273-
2006）
涉及的管理规范和技术标准
• 《信息安全技术 信息系统安全管理要求》（GB/T20269-2006） • 《信息安全技术 信息系统安全工程管理要求》（GB/T20282-2006） • 《信息安全技术 信息系统安全工程管理要求》（GB/T20282-2006）
身 份 鉴 别
访 问 控 制
通 信 完 整 性
通 信 保 密 性
安 全 审 计
剩
余 信 息 保
抗 抵 赖
护
软 件 容 错
资 源 控 制
代 码 安 全
基本要求-组织方式
数据安全(四级)
数据完整性
数据保密性
安全备份
基本要求-组织方式
安全管理机构(四级)
岗 位 设 置
人 员 配 备
授 权 和 审 批
沟 通 与 合 作
系 统 服 务 保 证 类 （
）
通用安全保护类要求（G）
A S
安全要求
基本要求的选择和使用
• 一个3级系统,定级结果为S3A2，保护类型应该是S3A2G3
• 第1步: – 选择标准中3级基本要求的技术要求和管理要求;
• 第2步: – 要求中标注为S类和G类的不变; – 标注为A类的要求可以选用2级基本要求中的A类作为基本要求;
级评设购开 开施 收 付
估计
发发
安 全 服 务 商 选 择
系 统 备 案
基本要求-组织方式
系统运维管理(四级)
环 境 管 理
资 产 管 理
设 备 管 理
介 质 管 理
运 行 维 护 和 监 控 管 理
网 络 安 全 管 理
系 统 安 全 管 理
恶 意 代 码 防 范 管 理
变 更 管 理
密 码 管 理
等等
二、保护要求分级描述的主要思
想
a
《基本要求》基本思路
应对不同威胁的能力 (威胁\弱点)
不同级别 信息系统
重要程度不同
具有不同的安全保护能力
不同的基本要求
不同级别的安全保护能力要求
• 第一级安全保护能力
– 应能够防护系统免受来自个人的、拥有很少资源 （如利用公开可获取的工具等）的威胁源发起的恶 意攻击、一般的自然灾难（灾难发生的强度弱、持 续时间很短等）以及其他相当危害程度的威胁（无 意失误、技术故障等）所造成的关键资源损害，在 系统遭到损害后，能够恢复部分功能。
安全保护和系统定级的关系
定级指南要求按照“业务信息”和“系统服务”的需求 确定整个系统的安全保护等级
定级过程反映了信息系统的保护要求
安全等级 第一级 第二级 第三级 第四级
信息系统保护要求的组合
S1A1G1 S1A2G2，S2A2G2，S2A1G2 S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3 S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，
基本要求-组织方式
物理安全(四级)
物 理 位 置 选 择
物 理 访 问 控 制
防 盗 窃 和 防 破 坏
防 雷 击
防 火
防温 水湿 和度 防控 潮制
电 力 供 应
电 磁 防 护
基本要求-组织方式
网络安全(四级)
结
构 安 全 和 网 段 划
网 络 访 问 控 制
拨 号 访 问 控 制
网 络 安 全 审 计
《管理办法》”等级保护的实施与管理“第十二条
•
在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全
保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要
求》等技术标准，参照……等技术标准同步建设符合该等级要求的信息安
全设施。
《管理办法》”等级保护的实施与管理“第十三条
信息系统安全等级保护基本要求
运营、使用单位 （安全服务商）
安全保护
主管部门 （等级测评机构）
测评检查
《基本要求》的定位
• 是系统安全保护、等级测评的一个基本“标尺”，同样级别的系统使用统一 的“标尺”来衡量，保证权威性，是一个达标线；
• 每个级别的信息系统按照基本要求进行保护后，信息系统具有相应等级的基 本安全保护能力，达到一种基本的安全状态;
• 经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使 用单位应当制定方案进行整改。
技术标准和管理规范的作用
信息系统定级 信息系统安全建设或改建
技术标准和管理规范
安全状况达到等级保护要求的信息系统
涉及的管理规范和技术标准
•
《信息安全等级保护管理办法》公通字[2007]43号
•
《计算机信息系统安全保护等级划分准则》（GB17859-1999）
各级系统的保护要求差异（宏观）
一级系统
计划和跟踪（主要制度）
二级系统
计划和跟踪（主要制度）
三级系统
良好定义（管理活动制度化）
四级系统
持续改进（管理活动制度化/及时改进）
各级系统的保护要求差异（微观）
某级系统
基本要求
技术要求
管理要求
物网主应数 理络机用据 安安安安安 全全全全全
安安人系系 全全员统统 管管安建运 理理全设维 机制管管管 构度理理理
• 是每个级别信息系统进行安全保护工作的一个基本出发点，更加贴切的保护 可以通过需求分析对基本要求进行补充，参考其他有关等级保护或安全方面 的标准来实现;
《基本要求》的定位
基本要求
保护 某级信息系统
基本保护
特殊需求 补充措施
精基确本保保护护
测评 基本要求
补充的安全措施
GB17859-1999 通用技术要求 安全管理要求 高级别的基本要求 等级保护其他标准 安全方面相关标准
《信息系统安全等级保护基本要求》
使用介绍
公安部信息安全等级保护评估中心 马力
a
目录
• 使用时机和主要作用 • 保护要求分级描述的主要思想 • 各级系统保护的主要内容 •
一、使用时机和主要作用
a
《管理办法》”等级划分和保护“第八条
• 信息系统运营、使用单位依据本办法和相 关技术标准对信息系统进行保护，国家有 关信息安全职能部门对其信息安全等级保 护工作进行监督管理。
边 界 完 整 性 检 查
网恶 络意 入代 侵码 检防 测护
网 络 设 备 防 护
分
基本要求-组织方式
主机系统安全(四级)
自强
剩
恶系 系
身主制可安 余入 意 统 统
份访访信全 信侵 代 资 自
鉴问问路审 息防 码 源 我
别控控径计 保范 防 控 保
制制
护
范制 护
基本要求-组织方式
应用安全(四级)
防护 防护/监测 策略/防护/监测/恢复 策略/防护/监测/恢复/响应
各级系统的保护要求差异（宏观）
安全保护模型IATF
成功的完成业务
信息保障
操作
人 技术
防御网络与 基础设施
防御 飞地 边界
防御 计算 环境
支撑 性基 础设 施
各级系统的保护要求差异（宏观）
一级系统 二级系统 三级系统 四级系统
通信/边界（基本） 通信/边界/内部（关键设备） 通信/边界/内部（主要设备） 通信/边界/内部/基础设施（所有设备）
三、各级系统保护的主要内
容
a
各级系统的安全保护的核心
某级系统
基本要求
技术要求
管理要求
建立安全技术体系
建立安全管理体系
具有某级安全保护能力的系统
基本要求的主要内容
• 由9个章节2个附录构成 – 1.适用范围 – 2.规范性引用文件 – 3术语定义 – 4.等级保护概述 – 5. 6.7.8.9基本要求