等级保护基本要求培训(第十二期)

• 第四级安全保护能力
– 应能够在统一安全策略下防护系统免受来自国家级别的、敌对组 织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难 （灾难发生的强度大、持续时间长、覆盖范围广等）以及其他相 当危害程度的威胁（内部人员的恶意威胁、无意失误、严重的技 术故障等）所造成的资源损害，能够发现安全漏洞和安全事件， 在系统遭到损害后，能够迅速恢复所有功能。
• 第二级安全保护能力
– 应能够防护系统免受来自外部小型组织的（如自发的三两人 组成的黑客组织）、拥有少量资源（如个别人员能力、公开 可获或特定开发的工具等）的威胁源发起的恶意攻击、一般 的自然灾难（灾难发生的强度一般、持续时间短、覆盖范围 小等）以及其他相当危害程度的威胁（无意失误、技术故障 等）所造成的重要资源损害，能够发现重要的安全漏洞和安 全事件，在系统遭到损害后，能够在一段时间内恢复部分功 能。
使用时机和主要作用
等级保护基本要求作用
监管机构 检查
测评机构
基本要求 使用单位
测评
自查
集成厂商
指导建设
技术标准和管理规范的作用
信息系统定级
信息系统安全建设或改建
技术标准和管理规范
安全状况达到等级保护要求的信息系统
《基本要求》的定位
• 是系统安全保护、等级测评的一个基本“标尺”， 同样级别的系统使用统一的“标尺”来衡量，保 证权威性，是一个达标线； • 每个级别的信息系统按照基本要求进行保护后， 信息系统具有相应等级的基本安全保护能力，达 到一种基本的安全状态; • 是每个级别信息系统进行安全保护工作的一个基 本出发点，更加贴切的保护可以通过需求分析对 基本要求进行补充，参考其他有关等级保护或安 全方面的标准来实现;
通信/边界/内部/基础设施（所有设备） 四级系统
能力成熟度模型CMM
非正式 执行
计划跟 踪
充分定 义
持续改 进
各级系统的保护要求差异（宏观）
计划和跟踪（主要制度） 一级系统 计划和跟踪（主要制度） 二级系统 良好定义（管理活动制度化）
三级系统
持续改进（管理活动制度化/及时改进） 四级系统
各级系统的保护要求差异（微观）
不同级别的安全保护能力要求
人员威胁 第一级 个人 自然威胁 一般自然 灾害 损害对象 关键资源 恢复能力 部分恢复 发现能力 无
第二级
小型组织
一般自然 灾害
重要资源
一段时间 内部分恢 复 较快恢复 绝大部分
能够发现 安全漏洞 和安全事 件 能够发现 安全漏洞 和安全事 件
能够发现 安全漏洞 和安全事 件
各级系统的保护要求差异（宏观）
安全保护模型IATF
成功的完成业务 信息保障
人
操作
防御 飞地 边界
技术
防御 计算 环境 支 撑 性 基 础 设 施
防御网络与 基础设施
各级系统的保护要求差异（宏观）
通信/边界（基本） 一级系统 通信/边界/内部（关键设备） 二级系统 通信/边界/内部（主要设备）
三级系统
定级流程
S
A
G=MAX(S,A)
安全保护和系统定级的关系
安全等级 第一级 第二级 第三级 S1A1G1 S1A2G2，S2A2G2，S2A1G2 S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3 信息系统保护要求的组合
第四级
S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4， S4A2G4，S4A1G4
信息系统安全 等级保护基本要求
程晓峰
广东计安信息网络培训中心
目录
• • • • 等级保护知识回顾 使用时机和主要作用 基本要求主要思想 各级系统保护的主要内容
等级保护等级
等级保护重要标准
• GB 17859-1999 计算机信息系统 安全保护等级划分准 则 • GB/T 22239—2008 信息系统安全等级保护基本要求 • GB/T 22240—2008 信息系统安全等级保护定级指南 • 信息系统安全等级保护测评过程指南（国标报批稿） • 信息系统安全等级保护测评要求（国标报批稿） • GB/T 25058-2010信息系统安全等级保护实施指南 • GB/T 25070-2010信息系统等级保护安全设计技术要 求
基本要求举例
• 技术要求 网络安全（类） • 7.1.2.2 访问控制(G3) • 本项要求包括: – a) 应在网络边界部署访问控制设备,启用访问控制功能; – b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的 能力,控制粒度为端口级; – c) 应对进出网络的信息内容进行过滤,实现对应用层 HTTP、 FTP、TELNET、SMTP、POP3等协议命令级的控制; – d) 应在会话处于非活跃一定时间或会话结束后终止网络连接; – e) 应限制网络最大流量数及网络连接数; – f) 重要网段应采取技术手段防止地址欺骗; – g) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受 控系统进行资源访问,控制粒度为单个用户; – h) 应限制具有拨号访问权限的用户数量。
安全保护和系统定级的关系

定级指南要求按照“业务信息”和“系统服务” 的需求确定整个系统的安全保护等级 定级过程反映了信息系统的保护要求

安全等级 第一级 第二级 第三级 第四级 S1A1G1
信息系统保护要求的组合
S1A2G2，S2A2G2，S2A1G2 S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3 S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4， S4A1G4
百度文库
等级保护基本要求效果
物理安全 10
等保三级
应用安全
8 6 4 2 0 网络安全
等保二级
主机安全
数据安全
《基本要求》的定位
基本要求 保护 某级信息系统 测评 基本要求 基本保护
特殊需求 补充措施
精确保护 基本保护
补充的安全措施 GB17859-1999 通用技术要求 安全管理要求 高级别的基本要求 等级保护其他标准 安全方面相关标准 等等
具有某级安全保护能力的系统
各级系统的保护要求差异（宏观）
• 安全保护模型PPDRR
Protection防护
Recovery
恢复
Policy 策略 Response 响应
Detection
检测
各级系统的保护要求差异（宏观）
防护
一级系统
防护/监测
二级系统
策略/防护/监测/恢复 三级系统 策略/防护/监测/恢复/响应 四级系统
不同级别的安全保护能力要求
• 第三级安全保护能力
– 应能够在统一安全策略下防护系统免受来自外部有组织的团体 （如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包 括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严重 的自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较 广等）以及其他相当危害程度的威胁（内部人员的恶意威胁、无 意失误、较严重的技术故障等）所造成的主要资源损害，能够发 现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大 部分功能。
• 一级:无此要求。 • 二级:要求具有基本的电磁防护能力,如电源 线和通信 • 线缆应隔离铺设等。 • 三级:除二级要求外,增强了防护能力,要求能 够做到 • 关键设备和磁介质的电磁屏蔽。 • 四级:在三级要求的基础上,要求屏蔽范围扩 展关键区
不同级别系统控制点的差异
安全要求 类 技术要求 层面 物理安全 网络安全 一级 7 3 二级 10 6 三级 10 7 四级 10 7
基本要求主要思想
《基本要求》基本思路
不同级别信息系统
重要程度不同 应对不同威胁的能力 具有不同的安全保护能力
不同的等级保护基本要求
不同级别的安全保护能力要求
• 第一级安全保护能力
– 应能够防护系统免受来自个人的、拥有很少资源（如利用公 开可获取的工具等）的威胁源发起的恶意攻击、一般的自然 灾难（灾难发生的强度弱、持续时间很短等）以及其他相当 危害程度的威胁（无意失误、技术故障等）所造成的关键资 源损害，在系统遭到损害后，能够恢复部分功能。
系统服务要求举例：电力控制(A)
• 一级:计算机系统供电应与其他供电分开;应 设置稳压器和过电压防护设备 。 ␣
• 二级:应提供短期的备用电力供应(如:UPS设 • 备)。 • 三级:应具备冗余或并行的电力电缆线路;备 用供电系统(如备用发电机) 。 • 四级:与三级要求相同。
业务信息要求举例：电磁防护(S)
基本要求的组织方式
某级系统 基本要求 技术要求 管理要求
类
……
……
类
控制点
……
……
控制点
具体要求
……
……
具体要求
基本要求举例
• 技术要求 网络安全（类） • 6.1.2.2 访问控制(G2) （控制点） • 本项要求包括: （具体要求） – a) 应在网络边界部署访问控制设备,启用访问控制功能; – b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的 能力,控制粒度为网段级。 – c) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受 控系统进行资源访问,控制粒度为单个用户; – d) 应限制具有拨号访问权限的用户数量。
第三级
外部组织 或内部人 员
国家级别
较为严重 灾害
主要资源
第四级
严重灾害
所有资源
迅速恢复 所有
各个要素之间的关系
具备 安全保护能力 每个等级的信息系统 包含 实现 包含
基本技术措施
满足 基本安全要求
基本管理措施
满足
《基本要求》核心思路
某级系统 基本要求 技术要求 管理要求
建立安全技术体系
建立安全管理体系
等级保护相关标准
• • • • • • • • • • • • • • • • • • • • • • • • • GA/T 708-2007 信息系统安全等级保护体系框架 GA/T 709－2007 信息系统安全等级保护基本模型 GA/T 710-2007 信息系统安全等级保护基本配置 GA/T 711-2007 应用软件系统安全等级保护通用技术指南 GA/T 712－2007 应用软件系统安全等级保护通用测试指南 GA/T 713-2007 信息系统安全管理测评 GB/T 18018—2007 路由器安全技术要求 GB/T 20269—2006 信息系统安全管理要求 GB/T 20270—2006 网络基础安全技术要求 GB/T 20271—2006 信息系统安全通用技术要求 GB/T 20272—2006 操作系统安全技术要求 GB/T 20273—2006 数据库管理系统安全技术要求 GB/T 20275—2006 入侵检测系统技术要求和测试评价方法 GB/T 20278—2006 网络脆弱性扫描产品技术要求 GB/T 20279—2006 网络和终端设备隔离部件安全技术要求 GB/T 20281—2006 防火墙技术要求和测试评价方法 GB/T 20282—2006 信息系统安全工程管理要求 GB/T 20979—2007 虹膜识别系统技术要求 GB/T 20984—2007 信息安全风险评估规范 GB/T 20988—2007 信息系统灾难恢复规范 GB/T 21028—2007 服务器安全技术要求 GB/T 21052—2007 信息系统物理安全技术要求 GB/T 21053—2007 公钥基础设施 PKI系统安全等级保护技术要求 GB/Z 20985—2007 信息安全事件管理指南 YD/T GB/Z 20986—2007 信息安全事件分类分级指南
基本要求标注方式
• 基本要求
– 技术要求 – 管理要求
• 要求标注
– 业务信息安全类要求（标记为S类） – 系统服务保证类要求（标记为A类） – 通用安全保护类要求（标记为G类）
基本要求的选择和使用
• 一个3级系统,定级结果为S3A2，保护类型应该是 S3A2G3 • 第1步: – 选择标准中3级基本要求的技术要求和管理要 求; • 第2步: – 要求中标注为S类和G类的不变; – 标注为A类的要求可以选用2级基本要求中的A 类作为基本要求;
某级系统 基本要求 技术要求 管理要求
物 理 安 全
网 络 安 全
主 机 安 全
应 用 安 全
数 据 安 全
安 全 管 理 机 构
安 全 管 理 制 度
人 员 安 全 管 理
系 统 建 设 管 理
系 统 运 维 管 理
各级系统保护的主要内容
基本要求的主要内容
• 由9个章节2个附录构成
– 1.适用范围 – 2.规范性引用文件 – 3术语和定义 – 4.等级保护概述 – 5.6.7.8.9对应 第一至五级 基本要求 – 附录A 关于信息系统整体安全保护能力的要求 – 附录B 基本安全要求的选择和使用