信息安全等级保护专业知识

,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,#,Click to edit Master title style,信息平安等级保护专业知识,1,主题,2,1,2,3,4,信息平安的属性特征和管理分类,什么是等级保护,等级保护的国家政策与标准标准,等级保护的工作内容,2,5,等级保护的建设流程,6,等级保护各参与部门的角色定位,7,涉及国家秘密信息系统的分级保护,信息平安的属性特征,3,信息平安是整体的、开展的、非传统的平安；,信息平安是一个系统工程，需要全社会共同努力；,信息平安不是绝对的，是动态的、相对的；,信息平安不是一个国家能完全控制的问题，具有全球化的特点，应从全球信息化角度考虑和布局；,信息平安不是一个孤立的问题，应在系统建设过程中充分考虑。,信息平安管理分类,4,密保分保 分三级绝密、机密、秘密,涉密环境网络、终端、应用系统及数据的信息平安,等保 分五级,非涉密环境网络、终端、应用系统及数据的信息平安,主题,2,1,2,3,4,信息平安的属性特征和管理分类,什么是等级保护,等级保护的国家政策与标准标准,等级保护的工作内容,5,5,等级保护的建设流程,6,等级保护各参与部门的角色定位,7,涉及国家秘密信息系统的分级保护,什么是等级保护,6,信息系统等级保护的定义,是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行平安保护，对信息系统中使用的信息平安产品实行按等级管理，对信息系统中发生的信息平安事件分等级响应、处置。,等级保护工作分为五个环节：定级、备案、建设整改、等级测评、监督检查。,信息平安等级保护是根本制度、根本国策,等级保护的等级划分准那么,7,根据信息和信息系统遭到破坏或泄露后，对国家平安、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度来进行定级。,1、受侵害客体；,2、受侵害程度。,等级保护的等级划分准那么,8,公安部关于等级保护文件规定,第一级为自主保护级,第二级为指导保护级,第一级为监督保护级,第一级为强制保护级,第一级为专控保护级,9,等级保护涉及的几个概念,10,主动,用户、进程,主体,被动,文件、存储设备,客体,访问：读、写、执行,权限,平安策略,平安审计,强制访问控制,等级保护的等级划分准那么,11,第一级 用户自主保护级,第二级 系统审计保护,第三级 安全标记保护,第四级 结构化保护,第五级 访问验证保护,用户自主控制资源访问,访问行为需要被审计,通过标记实现强制访问控制,可信计算基结构化,所有的过程都需要验证,等级保护的等级划分准那么,12,第一级 自主平安保护,第二级 审计平安保护,第三级 强制平安保护,第四级 结构化保护,第五级 访问验证保护级,自主访问控制,身份鉴别,完整性保护,自主访问控制,身份鉴别,完整性保护,系统审计,客体重用,自主访问控制,身份鉴别,完整性保护,系统审计,客体重用,强制访问控制,标记,自主访问控制,身份鉴别,完整性保护,系统审计,客体重用,强制访问控制,标记,自主访问控制,身份鉴别,完整性保护,系统审计,客体重用,强制访问控制,标记,隐蔽通道分析 可信路径,隐蔽通道分析 可信路径,可信恢复,信息系统的五个平安保护等级,13,第一级：一般适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。,第二级：一般适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统，如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。,第三级：一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省区、市门户网站和重要网站；跨省连接的网络系统等。,第四级：一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要部门的生产、调度、指挥等涉及国家平安、国计民生的核心系统。,第五级：一般适用于国家重要领域、重要部门中的极端重要系统,主题,3,1,2,3,4,信息平安的属性特征和管理分类,什么是等级保护,等级保护的国家政策与标准标准,等级保护的工作内容,14,5,等级保护的建设流程,6,等级保护各参与部门的角色定位,7,涉及国家秘密信息系统的分级保护,等级保护的国家政策,15,颁布时间,文件名称,文号,颁布机构,内容及意义,1994,年,2,月,18,日,中华人民共和国计算机信息系统安全保护条例,国务院,147,号令,国务院,第一次,提出信息系统要实行等级保护，并确定了等级保护的职责单位。,2003,年,9,月,7,日,国家信息化领导小组关于加强信息安全保障工作的意见,中办国办发,200327,号,中共中央办公厅,国务院办公厅,等级保护工作的开展必须分步骤、分阶段、有计划的实施。明确了信息安全等级保护制度的,基本内容,。,2004,年,9,月,15,日,关于信息安全等级保护工作的实施意见,公通字,200466,号,公安部,国家保密局,国家密码管理委员会办公室,（国家密码管理局）,国务院信息化工作办公室,将等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障的一项,基本制度,。,2007,年,6,月,22,日,信息安全等级保护管理办法,公通字,200743,号,明确了信息安全等级保护制度的,基本内容、流程及工作要求,，明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的,职责、任务,。,2007,年,7,月,16,日,关于开展全国重要信息系统安全等级保护定级工作的通知,公信安,2007861,号,就,定级范围、定级工作主要内容、定级工作要求,等事项进行了通知。,等级保护的技术标准标准,16,GB17859-1999 计算机信息系统平安保护等级划分准那么,信息系统平安等级保护定级指南,GB/T20269-2006 信息系统平安管理要求,GB/T20282-2006 信息平安技术 信息系统平安工程管理要求,GB/T 20270-2006信息平安技术 网络根底平安技术要求,GB/T 20271-2006信息平安技术 信息系统通用平安技术要求,GB/T 20272-2006信息平安技术 操作系统平安技术要求,GB/T 20273-2006信息平安技术 数据库管理系统通用平安技术要求,GB/T22239-2021信息平安技术 信息系统平安等级保护根本要求,信息平安技术 信息系统等级保护平安设计技术要求(已送批),信息系统平安等级保护实施指南,GB/T20009-2005信息平安技术 操作系统平安评估准那么,国家已出台70多个国标、行标以及报批标准，从根底、设计、实施、管理、制度等各个方面对等保系统提出了要求和建议。,等级保护的技术标准标准,17,计算机信息系统安全保护等级划分准则,（,GB 17859-1999,）,信息安全技术 信息系统通用安全技术要求,（,GB,/,T 2027,1,-2006,）,信息安全技术 操作系统安全技术要求,（,GB/T 20272-2006,）,信息安全技术,信息系统安全等级保护基本要求,（GB/T 22239-2008）,信息安全技术,信息系统等级保护安全设计技术要求,面向评估者技术标准：,面向建设者技术标准：,等级保护的技术标准标准,18,信息安全技术 信息系统安全工程管理要求,（,GB/T 20282-2006,）,信息系统安全管理体系标准,（,ISO/IEC 27001,）,信息安全技术 信息系统安全等级保护实施指南,（,GB/T xxxxx-2007,）,管理类标准：,等保方案类标准：,系统定级类标准：,信息安全技术 信息系统安全保护等级定级指南,（,GB/T 22240-2008,）,等级保护的技术标准标准,19,?信息系统平安等级保护根本要求?(GB/T 22239-2021),?信息系统等级保护平安设计技术要求?已审批,?计算机信息系统平安保护等级划分准那么?,GB 17859-1999,最早提出的基础性、强制性标准；,粒度较粗，是一个指导性标准；,公安部作为等保系统建设、评测的重要依据,等保系统设计时的主要依据：,一个中心三重防御,国家已出台,约,70,余个标准，重点需要了解的有：,主题,4,1,2,3,4,信息平安的属性特征和管理分类,什么是等级保护,等级保护的国家政策与标准标准,等级保护的工作内容,20,5,等级保护的建设流程,6,等级保护各参与部门的角色定位,7,涉及国家秘密信息系统的分级保护,等级保护的建设目标,21,某级信息系统,技术要求,管理要求,根本要求,建立平安技术体系,建立平安管理体系,具有某级平安保护能力的系统,等级保护的建设要求,22,物理平安,技术要求,管理要求,根本要求,网络平安,主机平安,应用平安,数据平安,平安管理机构,平安管理制度,人员平安管理,系统建设管理,系统运维管理,等级保护的建设要求,23,环境平安,防其他自然灾害,机房与设施平安,环境与人员平安,设备平安,防止电磁泄露发射,防盗与防毁,防电磁干扰,介质平安,介质的管理,介质的分类,介质的防护,物理平安,等级保护的建设要求,24,网络平安,1.网络结构平安,2.网络访问控制,3.网络平安审计,4.边界完整性检查,5.网络入侵防范,6.恶意代码防护,7.网络防护设备,主机平安,身份鉴别,强制访问控制,系统平安审计,4.剩余信息保护,5.入侵防范,6.恶意代码防范,7.资源控制,应用平安,1.身份认证,2.平安审计,3.剩余信息保护,4.通信完整性和机密性保护,数据平安,1.数据机密性保护,2.数据完整性保护,5.,控制软件容错；,6.,严格的访问；,7.,自动保护功能；,8.,资源控制；,等级保护的建设模式,25,满足政策要求,满足标准要求,满足用户自身要求,安全现状,差异性分析,根本要求,需求,物理,安全,网络,安全,主机安全,应用安全,数据安全与备份恢复,等级保护的体系架构,26,其它定级系统,安全接入,/,隔离设备,计算环境,区域边界,通信网络,网站,/,应用服务器,交换设备,用户,终端,安全管理中心,通信网络,区域边界,计算环境,平安管理中心,等级保护的技术实现要求,27,构筑由平安管理中心统一管理下的计算环境、区域边界、通信网络三重防御体系。,平安区域边界,可信计算环境,平安管理中心,平安通信网络,主题,5,1,2,3,4,信息平安的属性特征和管理分类,什么是等级保护,等级保护的国家政策与标准标准,等级保护的工作内容,28,5,等级保护的建设流程,6,等级保护各参与部门的角色定位,7,涉及国家秘密信息系统的分级保护,等级保护的建设流程,29,达标等保体系,安全措施,业务应用,信息网络,已运营系统,业务应用,安全措施,新建系统,等保整改,等保建设,等级保护整改建设流程,30,1.,信息系统定级,2.,等保建设立项,3.,信息安全威胁分析,4.,等保方案设计,5.,安全体系部署,6.,等保体系测评,7.,等保整改建设完成,定级工作08年已根本完成,专业机构,整改意见,总设,详设,专家论证,工程实施 内部验收,专业机构,测评报告,未通过,流程,1,：信息系统定级,31,2007,年开始，我国在全国范围展开了信息系统等级保护的定级工作，并在公安部进行了相关的备案。,定级依据：?信息系统平安保护等级定级指南?国家,?XX行业信息系统平安保护等级定级指南?,谁主管、运营谁定级；拟确定为四级以上的信息系统需请国家信息平安保护等级专家评审委员会评审；,信息系统定级情况要在,公安部门,报备；,流程,1,：信息系统定级,32,根据信息和信息系统遭到破坏或泄露后，对国家平安、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度来进行