• 1. 信息安全 等级保护概述1
  • 2. 什么是等级保护 为什么开展等级保护工作 等级保护发展历程 等级保护相关标准 目 录沉静的力量 可信的保障2
  • 3.                                                                                                                                                                                                                                                                                                                                            美国马里兰州林西克姆涂谷·马歇尔机场,一名乘客正在飞机时刻表前查看延误的班机。3
  • 4. 美国电脑系统瘫痪导致大批航班延误 美国联邦航空局电脑网络瘫痪导致全国飞机延误4
  • 5. 清华大学新闻网站遭黑客攻击篡改                                                                                                                          黑客发布的有不雅词汇的假新闻5
  • 6.                                                                                                                          清华大学发表声明6
  • 7. 维基解密 2010年7月25日,“维基解密”通过英国《卫报》、德国《明镜》和美国《纽约时报》 公布了92000份美军有关阿富汗战争的军事机密文件。10月23日,“维基解密”公布了391,832份美军关于伊拉克战争的机密文件。11月28日, 维基解密网站泄露了25万份美国驻外使馆发给美国国务院的秘密文传电报。“维基解密”是美国乃至世界历史上最大规模的一次泄密事件,其波及范围之广,涉及 文件之众,均史无前例。该事件引起了世界各国政府对信息安全工作的重视和反思。据美国有线电视新闻网12月13日报道,为防止军事机密泄露,美国军方已下 令禁止全军使用USB存储器、CD光盘等移动存储介质。   7
  • 8. 震网病毒 震网病毒(Stuxnet),是世界上首个以直接破坏现实世界中工业基础设施为目标的蠕虫病毒,被称为网络“超级武器”。震网病毒于2010年7月开始爆 发,截至2010年9月底,包括中国、印度、俄罗斯在内的许多国家都发现了这个病毒。据统计,目前全球已有约45000个网络被该病毒感染,其中60%的 受害主机位于伊朗境内,并已造成伊朗核电站推迟发电。目前我国也有近500万网民、以及多个行业的领军企业遭此病毒攻击。 8
  • 9. 3Q之争  2010年9月,奇虎公司针对腾讯公司的QQ聊天软件,发布了“360隐私保护器”和“360扣扣保镖”两款网络安全软件,并称其可以保护QQ用户的隐私 和网络安全。腾讯公司认为奇虎360的这一做法严重危害了腾讯的商业利益,并称“360扣扣保镖”是“外挂”行为。随后,腾讯公司在11月3日宣布将停止 对装有360软件的电脑提供QQ服务。由此引发了“360 QQ大战”,同时引起了360软件与其它公司类似产品的一系列纷争,最终演变成为了互联网行业中的一场混战。最终3Q之争在国家相关部门的强力干预下得以 平息,扣扣保镖被召回,QQ与360恢复兼容。 但此次事件对广大终端用户造成的恶劣影响和侵害,并由此引发的公众对于终端安全和隐私保护的困惑和忧虑却远 没有消除。 9
  • 10. 什么是等级保护 为什么开展等级保护工作 等级保护发展历程 等级保护相关标准 目 录沉静的力量 可信的保障10
  • 11. 什么是等级保护 信息安全等级保护是指:对国家秘密信息、法人和其他组织及公民的专有信息、公开信息分类分级进行管理和保护; 根据信息系统应用业务重要程度及其实际安全需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全正常运行,维护国家利益、公共利益和社会稳定。 等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点,保障重要信息资源和重要信息系统的安全。11
  • 12. 信息安全等级保护制度的主要内容: 对信息系统按业务安全应用域和区实行等级保护。 对系统中使用的信息安全产品实行按分级许可管理。 对等级系统的安全服务资质分级许可管理。 对信息系统中发生的信息安全事件分等级响应、处置。什么是等级保护12
  • 13. 国家保密局: 涉及国家秘密的信息系统分级保护, 分三个等级:秘密、机密、绝密。 公安部 非涉密信息系统的等级保护 分五个等级什么是等级保护13
  • 14. 信息安全等级保护工作职责分工公安机关负责信息安全等级保护工作的监督、检查、指导。 国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。 国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。 国务院信息化工作办公室负责信息安全等级保护工作中部门间的协调。 14
  • 15. 安全保护等级的划分 等级对象侵害客体侵害程度监管强度第一级一般系统合法利益损害自主性保护第二级合法权益严重损害指导性保护社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督性保护国家安全损害第四级社会秩序和公共利益特别严重损害强制性保护国家安全严重损害第五级极端重要系统国家安全特别严重损害专控性保护15
  • 16. 什么是等级保护 为什么开展等级保护工作 等级保护发展历程 等级保护相关标准 目 录沉静的力量 可信的保障16
  • 17. 为什么开展等级保护重点防护、适度防护 保护投资、节省费用 保证不同安全保护等级的信息系统具有相适应的安全保护能力 17
  • 18. 什么是等级保护 为什么开展等级保护工作 等级保护发展历程 等级保护相关标准 目 录沉静的力量 可信的保障18
  • 19. “等级保护”漫长的历史过程199419992007200620032004《计算机信息系统安全保护等级划分准则》GB 17859-1999)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)《信息安全等级保护管理办法(试行)》(公通字[2006]7号)《信息安全等级保护管理办法》(公通字[2007]43号)关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861)《中华人民共和国计算机信息系统安全保护条例 》国务院147号令2005《电子政务信息安全等级保护实施指南》 (国信办[2005]25号) “安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。”国家对信息系统实行五级保护 实行信息安全等级保护制度,重点保护基础信息网络和重要信息系统。19
  • 20. 1、1994年《中华人民共和国计算机信息系统安全保护条例 》(国务院147号令) 2、2003年《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号) 3、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号), 4、《信息安全等级保护管理办法》(公通字[2007]43号, 5、《关于开展全国重要信息系统安全保护等级定级工作的通知》(公信安[2007]861号) 6、《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》(国办发[2009]28号) 7、发改委、公安部、国家保密局会签文件《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号) 8、《信息安全等级保护备案实施细则》(公信安[2007]1360号 9、《公安机关信息安全等级保护检查工作规范(试行)》(公信安[2008]736号 ) 10、《关于开展信息安全等级保护安全建设整改工作的指导意见》20
  • 21. 等级保护相关法规1、1994年,《中华人民共和国计算机信息系统安全保护条例 》(国务院147号令) “计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。该条明确了三个内容:一是确立了等级保护是计算机信息系统安全保护的一项制度;二是出台配套的规章和技术标准;三是明确了公安部的牵头地位。21
  • 22. 等级保护相关法规2、2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号) 明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。同时中央27号文明确了各级党委和政府在信息安全保障工作中的领导地位,以及“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。22
  • 23. 27号文件 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号文件) 我国第一个全面关于信息安全保障工作的文件,是我国今后一段时期内信息安全保障工作的纲领性文件 总体要求:坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全 23
  • 24. “27号”文件整理的宏观安全要求 安全管理(规范、责任、制度) 系统等级保护(风险分析、风险管理) 完善网络信息化中的信任体系 网络信息安全监控体系 应急处理体系(协调、汇报、处置、预案) 及时跟踪关键技术动态服务体系(通告加固) 加强安全指南、标准的工作(标准体系) 人才培养与安全意识(培训体系)24
  • 25. 3、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号) 主要内容包括:贯彻落实信息安全等级保护制度的重要意义和基本原则,等级保护工作的基本内容、信息安全等级保护各部门工作职责分工,信息安全等级保护工作的要求,等级保护工作的实施计划。66号文件是为贯彻落实国务院147号令和中办27号文件,由四部委共同会签印发,指导相关部门实施信息安全等级保护工作的纲领性文件。25
  • 26. 实施意见的主要内容信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。26
  • 27. 实施意见的主要内容根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;信息系统必须达到的基本的安全保护水平等因素,对信息和信息系统划分以下五个安全保护和监管等级: 27
  • 28. 第一级为自主保护级适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益。 信息系统运营、使用单位或个人依照国家管理规范和技术标准进行保护。 28
  • 29. 第二级为指导保护级适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全; 信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护。必要时,国家信息安全监管职能部门进行指导。29
  • 30. 第三级为监督保护级适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成损害; 依照国家管理规范和技术标准进行保护,信息安全监管职能部门对其进行监督、检查。 30
  • 31. 第四级为强制保护级适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,对国家安全、社会秩序和公共利益造成严重损害 ; 依照国家管理规范和技术标准进行保护,信息安全监管职能部门对其进行强制监督、检查。 31
  • 32. 第五级为专控保护级适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,所承载的业务受到破坏后,会直接对国家安全造成特别严重损害; 依照国家管理规范和技术标准进行保护,国家指定专门部门、专门机构进行专门监督。32
  • 33. 信息安全产品使用信息安全产品的安全功能和可控性直接关系到其所构建的信息系统的安全。 国家对信息安全产品的管理除按法律要求实行销售许可外,还对信息安全产品的使用按照其安全性,特别是其可控性和可信性进行分等级管理。 33
  • 34. 信息安全事件分等级响应处置依据信息安全事件对信息和信息系统的破坏程度、所造成的社会影响以及涉及的范围,确定事件等级。 根据不同安全保护等级的信息系统中发生的不同等级事件制定相应的预案,确定事件响应和处置的范围、程度以及适用的管理制度等。 信息安全事件发生后,分等级按照预案进行响应和处置。 34
  • 35. 信息安全等级保护制度的意义实施信息安全等级保护,可以有效地提高我国信息安全建设的整体水平; 有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调; 有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督;35
  • 36. 信息安全等级保护制度的意义(续)有利于明确国家、法人和其他组织、公民的安全责任,强化政府监管职能,共同落实各项安全建设和安全管理措施; 有利于提高安全保护的科学性、整体性、针对性,推动信息安全产业水平,逐步探索一条适应社会主义市场经济发展的信息安全发展模式。 36
  • 37. 信息安全等级保护制度的基本原则信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。信息安全等级保护制度遵循以下基本原则: 一是明确责任,共同保护 二是依照标准,自行保护 三是同步建设,动态调整 四是指导监督,重点保护37
  • 38. 等级保护工作的职责分工公安机关负责信息安全等级保护工作的监督、检查、指导。 国家保密工作部门负责等级保护工作中有关保密工作的监 督、检查、指导。 国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。 在信息安全等级保护工作中,涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。 国务院信息化工作办公室负责信息安全等级保护工作中部门间的协调。38
  • 39. 等级保护工作的职责分工信息和信息系统的建设、运行、维护、使用单位和个人,按照“谁主管、谁负责”的原则,在信息安全等级保护工作中承担具体的安全责任。 重要行业的主管部门负责在本行业内贯彻落实信息安全等级保护工作,并对行业内信息系统运营、使用单位的落实情况进行管理。39
  • 40. 等级保护相关法规4、《信息安全等级保护管理办法》(公通字[2007]43号,以下简称《管理办法》) 主要内容包括:信息系统的等级的划分与如何保护,等级保护的实施与管理(包括如何定级、备案、开展测评工作、选择符合要求的信息安全产品和测评机构等)以及信息系统运营、使用单位法律责任作出了明确规定。43号文件明确了信息安全等级保护制度的基本内容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规范保障。40
  • 41. 5、《关于开展全国重要信息系统安全保护等级定级工作的通知》(公信安[2007]861号) 通过组织开展定级培训、各级公安机关主动上门,加强指导,各级信息系统运营使用单位及其主管部门的高度重视、认真落实,定级备案工作顺利完成,并取得了重大成效。通过定级备案工作的开展,全面梳理和掌握了国家基础信息网络和重要信息系统的基本情况,进一步明确了关系国家安全、经济命脉、社会稳定的重点保护对象,为全面建立信息安全等级保护制度、推动国家信息安全保障工作的深入开展奠定了坚实基础。 。41
  • 42. 6、《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》(国办发[2009]28号) 规定了“政府信息系统安全检查总涉及信息安全等级保护工作的,按照国家信息安全等级保护管理规定执行。”42
  • 43. 7、发改委、公安部、国家保密局会签文件《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号) 非涉密的国家电子政务项目提出竣工验收申请时应提交信息系统安全等级保护备案证明、等级测评报告以及风险评估报告。43
  • 44. 等级保护相关法规8、《信息安全等级保护备案实施细则》(公信安[2007]1360号) 对公安机关受理信息系统运营使用单位备案工作的时限、内容、流程、审核原则等详细规定,并制作了法律文书下发全国各级公安机关,指导各级公安机关受理信息系统备案工作。44
  • 45. 9、《公安机关信息安全等级保护检查工作规范(试行)》(公信安[2008]736号 ) 736号文件是我局为进一步规范公安机关开展的信息安全等级保护检查工作制定的工作规范,它从检查依据、内容、程序、形式、时限要求等方面了详细规定。45
  • 46. 10、《关于开展信息安全等级保护安全建设整改工作的指导意见》 在全国完成信息系统安全保护定级工作后,公安部拟下发通知部署安全保护等级为第三级以上的信息系统(以下简称“重要信息系统”)等级保护安全建设工作。等级保护安全建设工作主要包括三项工作内容:一是开展重要信息系统等级测评工作;二是开展重要信息系统安全建设整改工作;三是开展重要信息系统检查工作。 是信息系统定级备案工作完成后,开展信息安全等级保护后续工作的指导性文件。本通知下发后,国家信息安全等级保护制度的政策体系将基本成型。 46
  • 47. 依据信息安全等级保护有关政策和标准,通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评,落实等级保护制度的各项要求,使信息系统安全管理水平明显提高,安全防范能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益,力争在2012年底前完成已定级信息系统安全建设整改工作。指导意见中“工作目标”的政策要点47
  • 48. 指导意见中“工作目标”的政策要点(一)工作主体—各地区、各部门,这其中包括信息系统备案单位; (二)工作对象—安全保护等级为第三级以上的信息系统; (三)工作内容—信息系统等级测评工作、信息系统安全建设整改工作、等级保护工作监督、检查;48
  • 49. 指导意见中“工作目标”的政策要点(四)工作依据—等级保护政策和标准,主要包括:国务院147号令,中办发27号文件、公通字66号文件、43号文件以及《基本要求》、《测评要求》《测评工作过程指南》、《实施指南》、《测评过程指南》等相关技术标准;49
  • 50. (五)时间要求—总体上用三年时间完成重要信息系统安全建设工作。各地区、各部门要于2009年底前完成工作部署,从2010年开始到2011年底前完成全国三级以上重要信息系统安全建设工作。为体现“突出重点、保护重点”的原则,安全保护等级为第四级的信息系统应于2010年底前完成等级保护安全建设工作;指导意见中“工作目标”的政策要点50
  • 51. (六)直观工作目标—明确等级保护安全建设需求,有针对性的开展安全等级保护管理制度建设和技术措施建设,落实等级保护制度的各项要求。在信息系统整个生命周期中,在系统立项、规划设计、建设、投入使用、日常运维等各个工作环节,通过定级、备案、等级测评、建设整改、监督检查等工作流程,建立并完善等级保护工作领导体制和工作机制,落实各项工作责任,落实各项管理制度和技术措施,认真开展自查和检查等;指导意见中“工作目标”的政策要点51
  • 52. (七)根本工作目标—这是国家贯彻落实信息安全等级保护制度的根本目标。贯彻实施信息安全等级保护工作不仅要提升系统安全保护能力,而且提出系统安全要保障信息化健康发展,维护国家安全、社会秩序和公共利益,这与信息系统定级工作的依据标准一致,安全建设作为信息系统定级的后续工作,其工作目标与信息系统定级依据相同,在政策体系上保持了一致。指导意见中“工作目标”的政策要点52
  • 53. 建设整改的流程信息系统安全建设整改工作分五步进行。 第一步:制定信息系统安全建设整改工作规划,对信息系统安全建设整改工作进行总体部署; 第二步:开展信息系统安全保护现状分析,从管理和技术两个方面确定信息系统安全建设整改需求; 第三步:确定安全保护策略,制定信息系统安全建设整改方案; 第四步:开展信息系统安全建设整改工作,建立并落实安全管理制度,落实安全责任制,建设安全设施,落实安全措施; 第五步:开展安全自查和等级测评,及时发现信息系统中存在安全隐患和威胁,进一步开展安全建设整改工作。该流程如下图所示。53
  • 54. 信息系统安全管理建设信息系统安全技术建设 开展信息系统安全自查和等级测评信息系统安全保护现状分析信息系统安全建设整改工作规划和工作部署确定安全策略,制定安全建设整改方案物 理 安 全网 络 安 全主 机 安 全应 用 安 全数 据 安 全安全管理机构安全管理制度人员安全管理系统建设管理系统运行管理54
  • 55. 安全 控制定级指南过程 方法确定系统等级启动采购/开发实施运行/维护废弃确定安全需求设计安全方案安全 建设安全 测评监督 管理运行 维护暂不 考虑特殊需求等级需求基本 要求产品 使用选 型监督 管理测评 准则流程 方法监管 流程应急 预案应急 响应进展情况55
  • 56. 什么是等级保护 为什么开展等级保护工作 等级保护发展历程 等级保护相关标准 目 录沉静的力量 可信的保障56
  • 57. 有关标准 《计算机信息系统安全保护等级划分准则》 《信息安全等级保护实施指南》 《信息安全等级保护定级指南》 《信息安全等级保护基本要求》 《信息安全等级保护测评准则》 《信息系统等级保护安全设计技术要求》 57
  • 58. 信息安全等级保护标准 为推动我国信息安全等级保护工作的开展,十多年来,在公安部领导和支持下,在国内有关专家、企业的共同努力下,全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准,形成了比较完整的信息安全等级保护标准体系,为开展信息安全等级保护工作奠定了基础。 信息安全等级保护相关标准大致可以分为四类:基础类、应用类、产品类和其他类。 58
  • 59. 信息安全等级保护标准--基础类1 基础类标准 《计算机信息系统安全保护等级划分准则》(GB17859-1999) 《信息系统安全等级保护基本要求》(GB/T22239-2008)。59
  • 60. 信息安全等级保护标准—应用类2 应用类标准 信息系统定级 《信息系统安全保护等级定级指南》(GB/T22240-2008) 等级保护实施 《信息系统安全等级保护实施指南》(报批稿) 信息系统安全建设 《信息系统通用安全技术要求》(GB/T20271-2006) 《信息系统等级保护安全设计技术要求》(报批稿) 《信息系统安全管理要求》(GB/T20269-2006) 《信息系统安全工程管理要求》(GB/T20282-2006) 60
  • 61. 信息安全等级保护标准—应用类 信息系统安全建设 《信息系统物理安全技术要求》(GB/T21052-2007) 《网络基础安全技术要求》(GB/T20270-2006) 《信息系统安全等级保护基本模型》)(GA/T709-2007) 《信息系统安全等级保护基本配置》(GA/T710-2007) 《信息系统安全等级保护体系框架》(GA/T708-2007) 等级测评 《信息系统安全等级保护测评要求》(报批稿) 《信息系统安全等级保护测评过程指南》(报批稿) 《信息系统安全管理测评》(GA/T713-2007)61
  • 62. 信息安全等级保护标准—产品类3 产品类标准 操作系统 《操作系统安全技术要求》(GB/T20272-2006) 《操作系统安全评估准则》(GB/T20009-2005) 数据库 《数据库管理系统安全技术要求》(GB/T20273-2006) 《数据库管理系统安全评估准则》(GB/T20009-2005) 网络 《网络端设备隔离部件技术要求》(GB/T20279-2006) 《网络端设备隔离部件测试评价方法》(GB/T20277-2006) 《网络脆弱性扫描产品技术要求》(GB/T 20278-2006) 《网络脆弱性扫描产品测试评价方法》(GB/T20280-2006) 《网络交换机安全技术要求》(GA/T684-2007) 《虚拟专用网安全技术要求》(GA/T686-2007)62
  • 63. 信息安全等级保护标准—产品类 PKI 《公钥基础设施安全技术要求》(GA/T687-2007) 《PKI系统安全等级保护技术要求》(GB/T 21053-2007) 网关 《网关安全技术要求》(GA/T681-2007) 服务器 《服务器安全技术要求》(GB/T21028-2007) 入侵检测 《入侵检测系统技术要求和检测方法》(GB/T20275-2006) 《计算机网络入侵分级要求》(GA/T700-2007)63
  • 64. 信息安全等级保护标准—产品类防火墙 《防火墙安全技术要求》(GA/T683-2007) 《防火墙技术测评方法》(报批稿) 《信息系统安全等级保护防火墙安全配置指南》(报批稿) 《防火墙技术要求和测评方法》(GB/T 20281-2006) 《包过滤防火墙评估准则》(GB/T 20010-2005) 路由器 《路由器安全技术要求》(GB/T 18018-2007) 《路由器安全评估准则》(GB/T 20011-2005) 《路由器安全测评要求》(GA/T 682-2007) 交换机 《网络交换机安全技术要求》(GB/T 21050-2007) 《交换机安全测评要求》(GA/T 685-2007)64
  • 65. 信息安全等级保护标准—产品类其他产品 《终端计算机系统安全等级技术要求》(GA/T671-2006) 《终端计算机系统测评方法》(GA/T 671-2006) 《审计产品技术要求和测评方法》(GB/T 20945-2006) 《虹膜特征识别技术要求》(GB/T 20979-2007) 《虚拟专网安全技术要求》(GA/T 686-2007) 《应用软件系统安全等级保护通用技术指南》(GA/T 711-2007) 《应用软件系统安全等级保护通用测试指南》(GA/T 712-2007) 《网络和终端设备隔离部件测试评价方法》(GB/T 20277-2006) 《网络脆弱性扫描产品测评方法》(GB/T 20280-2006)65
  • 66. 信息安全等级保护标准—其他类4其他类标准 风险评估 《信息安全风险评估规范》(GB/T20984-2007) 事件管理 《信息安全事件管理指南》(GB/Z20985-2007) 《信息安全事件分类分级指南》(GB/Z20986-2007) 《信息系统灾难恢复规范》(GB/T 20988-2007)66
  • 67. 等级保护标准的定位与相互关系《管理办法》第十二条规定:在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》等技术标准,参照《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》(GA/T671-2006)等技术标准同步建设符合该等级要求的信息安全设施。67
  • 68. 标准之间的相互关系《管理办法》第十三条: 运营、使用单位应当参照《信息安全技术信息系统安全管理要求》(GB/T20269-2006)、《信息安全技术信息系统安全工程管理要求》(GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。68
  • 69. 标准之间的相互关系 《管理办法》第十四条: 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。69
  • 70. 信息系统安全等级保护基本要求计算机信息系统安全保护等级划分准则(GB17859)信息系统通用安全 技术要求信息系统物理安全 技术要求技术类其他技术类标准信息系统安全 管理要求信息系统安全工程 管理要求其他管理类标准信息系统安全等级保护定级指南信息系统安全等级保护基本要求的行业细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求管理类产品类数据库管理系统安全技术要求其他产品类标准信息系统安全等级保护行业定级细则操作系统安全技术 要求信息系统安全等级保护建设整改网络基础安全技术 要求网络和终端设备隔离部件技术要求安全等级基线要求状况分析方法指导信息系统安全等级保护实施指南70
  • 71. 等级保护标准的定位与相互关系(一)《计算机信息系统安全保护等级划分准则》及配套标准是《基本要求》的基础。 《计算机信息系统安全保护等级划分准则》(GB17859,以下简称《划分准则》)是等级保护的基础性标准,《信息系统通用安全技术要求》等技术类标准、《信息系统安全管理要求》等管理类标准和《操作系统安全技术要求》等产品类标准是在《划分准则》基础上研究制定的。《基本要求》以上述标准为基础,根据现有技术发展水平,从技术和管理两方面提出并确定了不同安全保护等级信息系统的最低保护要求,即基线要求。71
  • 72. 等级保护标准的定位与相互关系(二)《基本要求》是信息系统安全建设整改的依据。 信息系统安全建设整改应以落实《基本要求》为主要目标。信息系统运营使用单位应根据信息系统安全保护等级选择《基本要求》中相应级别的安全保护要求作为信息系统的基本安全需求。当信息系统有更高安全需求时,可参考《基本要求》中较高级别保护要求或《信息系统通用安全技术要求》、《信息系统安全管理要求》等其他标准。行业主管部门可以依据《基本要求》,结合行业特点和信息系统实际出台行业细则,行业细则的要求应不低于《基本要求》。72
  • 73. 等级保护标准的定位与相互关系(三)《定级指南》为定级工作提供指导。 《信息系统安全等级保护定级指南》为信息系统定级工作提供了技术支持。行业主管部门可以根据《定级指南》,结合行业特点和信息系统实际情况,出台本行业的定级细则,保证行业内信息系统在不同地区等级的一致性,以指导本行业信息系统定级工作的开展。73
  • 74. 等级保护标准的定位与相互关系(四)《测评要求》等标准规范等级测评活动。 等级测评是评价信息系统安全保护状况的重要方法。《信息系统安全等级保护测评要求》为等级测评机构开展等级测评活动提供了测评方法和综合评价方法。《信息系统安全等级保护测评过程指南》对等级测评活动提出规范性要求,以保证测评结论的准确性和可靠性。74
  • 75. 等级保护标准的定位与相互关系(五)《实施指南》等标准指导等级保护建设。 《信息系统安全等级保护实施指南》是信息系统安全等级保护建设实施的过程控制标准,用于指导信息系统运营使用单位了解和掌握信息安全等级保护工作的方法、主要工作内容以及不同的角色在不同阶段的作用。《信息系统等级保护安全设计技术要求》对信息系统安全建设的技术设计活动提供指导,是实现《基本要求》的方法之一。75
  • 76. 等级保护标准的使用说明1、《计算机信息系统安全保护等级划分准则》(GB17859-1999) 本标准是等级保护的基础性标准,其提出的某些安全保护技术要求受限于当前技术水平尚难以实现,但其构造的安全保护体系应随着科学技术的发展逐步落实。 76
  • 77. 等级保护标准的使用说明2、《信息系统安全等级保护基本要求》(GB/T22239-2008) 《基本要求》对第一级信息系统的基本要求仅供用户参考,按照自主保护的原则采取必要的安全技术和管理措施。 用户在进行信息系统安全建设整改时,可以在《基本要求》基础上,根据行业和系统实际,提出特殊安全要求,开展安全建设整改。 《基本要求》给出了各级信息系统每一保护方面需达到的要求,不是具体的安全建设整改方案或作业指导书,所以,实现基本要求的措施或方式并不局限于《基本要求》给出的内容,要结合系统自身的特点综合考虑采取的措施来达到基本要求提出的保护能力。 《基本要求》中不包含安全设计和工程实施等内容,因此,在系统安全建设整改中,可以参照《信息系统安全等级保护实施指南》、《信息系统等级保护安全设计技术要求》和《信息系统安全工程管理要求》进行。77
  • 78. 等级保护标准的使用说明2、《信息系统安全等级保护基本要求》(GB/T22239-2008) 《基本要求》是信息系统安全建设整改的目标,《信息系统等级保护安全设计技术要求》是实现该目标的方法和途径之一。 《基本要求》综合了《信息系统物理安全技术要求》、《信息系统通用安全技术要求》和《信息系统安全管理要求》的有关内容,在进行系统安全建设整改方案设计时可进一步参考后三个标准。 由于系统定级时是根据业务信息安全等级和系统服务安全等级确定的系统安全等级,因此,在进行系统安全建设时,应根据业务信息安全等级和系统服务安全等级确定《基本要求》中相应的安全保护要求,而通用安全保护要求要与系统等级对应。 信息系统运营使用单位在根据《基本要求》进行安全建设整改方案设计时,要按照整体安全的原则,综合考虑安全保护措施,建立并完善系统安全保障体系,提高系统的整体安全防护能力。 对于《基本要求》中提出的基本安全要求无法实现或有更加有效的安全措施可以替代的,可以对基本安全要求进行调整,调整的原则是保证不降低整体安全保护能力。 78
  • 79. 等级保护标准的使用说明3、 《信息系统安全等级保护实施指南》(GB/T25058-2010) 本标准属于指南性标准,读者可通过该标准了解信息系统实施等级保护的过程、主要内容和脉络,不同角色在不同阶段的作用,不同活动的参与角色、活动内容等。 在实施等级保护的过程中除了参考本标准外,在不同阶段和环节中还需要参考和依据其他相关标准。例如在定级环节可参考《信息系统安全等级保护定级指南》。在系统建设环节可参考《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统通用安全技术要求》、《信息系统等级保护安全设计技术要求》等。在等级测评环节可参照《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》等。 79
  • 80. 等级保护标准的使用说明4、 《信息系统安全等级保护定级指南》(GB/T22240-2008) 应根据《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)要求,参照《定级指南》开展定级工作。 行业主管部门可以根据《定级指南》,结合行业特点和信息系统实际情况,出台定级指导意见,保证同行业信息系统在不同地区等级的一致性,指导本行业信息系统定级工作的开展。 80
  • 81. 等级保护标准的使用说明5、 《信息系统安全管理要求》(GB/T20269-2006) 《安全管理要求》主要供下列三类人员使用。信息系统高层管理人员、信息系统使用管理人员和信息系统安全服务人员。 信息系统安全管理制度的制定。信息系统安全管理制度的制定要从实际出发,不要生搬硬套,而是遵循其思想和原则。 《安全管理要求》可作为信息系统安全管理的评估和检查的依据,具体评估和检查的实施方法,可进一步参考公安行标《信息安全技术 信息系统安全管理测评》(GA/T 713-2007)。 对于《安全管理要求》中提出的一些要求,从目前人员设置及组织机构的发展状况来看暂时还难以实现或者需要花费过高管理成本才能实现的安全管理要求,可以采取一些其他的变通方法加以实现,但总的原则是保证不降低信息系统的整体安全保护能力。 81
  • 82. 等级保护标准的使用说明6、 《信息系统通用安全技术要求》(GB/T 20271-2006) 在开展信息系统等级保护安全建设整改工作中,应以《信息系统安全等级保护基本要求》为主,参照本标准落实安全管理制度和安全保护技术措施。 本标准按安全技术要素阐述了不同安全等级的安全技术要求,为信息系统安全设计时选取相应安全等级的安全技术和安全产品提供参考,本并不包含如何按照这些安全技术要求进行等级化信息系统安全设计、实现和工程实施等方面的内容,也不包括与信息系统安全运行管理相关的内容。 对于本标准中提出的暂时还难以实现或需要花费过高代价才能实现的安全技术要求,可以采取一些其他的变通方法加以实现,以达到信息系统所确定的安全保护要求,但总的原则是保证不降低信息系统的整体安全保护能力。 82
  • 83. 等级保护标准的使用说明7、 《信息系统等级保护安全设计技术要求》(GB/T24856-2009) 本标准突出从“计算环境安全、区域边界安全、通信网络安全和安全管理中心”四方面对信息系统进行安全技术设计。在安全设计中应注意各安全技术和机制之间的相互关联,通过对安全技术、机制和产品的有机集成,使信息系统安全保护技术能力符合其安全等级的保护要求。 本标准不包括信息系统物理安全、安全管理、安全运维等方面的安全要求,所以,在进行信息系统安全建设整改方案设计时,应与《信息系统安全等级保护基本要求》等标准配合使用。 信息系统安全建设整改的管理和技术目标是落实《信息系统安全等级保护基本要求》,而利用本标准进行信息系统安全技术设计是实现目标的方法之一。 83
  • 84. 等级保护标准的使用说明8、 《信息系统安全工程管理要求》(GB/T20282-2006) 《工程管理要求》不适用于涉密信息系统安全工程建设,对第一级信息系统的安全工程管理要求仅供用户参考,按照自主保护的原则制定安全工程管理体系。 《工程管理要求》给出了各级信息系统建设时在安全工程管理每一方面需达到的要求,不是具体的安全工程管理体系,所以,实现安全工程管理要求的管理体系并不局限于《工程管理要求》给出的内容,要结合系统建设的特点综合考虑安全管理体系来达到安全工程管理要求提出的保障能力,用户还可以参考《信息化工程监理规范第6部分: 信息化工程安全监理规范》。 信息系统运行使用单位在根据《工程管理要求》进行安全工程管理体系建设时,要按照整体安全的原则,综合考虑安全保护措施,建立并完善系统安全保障及管理体系,提高安全工程的整体管理能力。 对于《工程管理要求》中提出的安全工程管理要求无法实现或有更加有效的安全管理要求可以替代的,可以对安全工程管理要求进行调整,调整的原则是保证不降低整体安全管理能力。 84
  • 85. 等级保护标准的使用说明9、 《信息系统安全等级保护测评要求》(报批稿) 《测评要求》针对等级测评提出了单元测评要求和整体测评要求,但未涉及工作过程、任务以及工作产品等内容,相关内容请参考《信息系统安全等级保护测评过程指南》。 测评人员在确定测评内容时,应依据被测信息系统的安全保护等级选择《测评要求》中对应的单元测评内容,并在相关测评结果基础上实施整体测评。 测评结论的产生不能仅依据单项测评结果,而是应该在整体测评基础上,结合被测系统的实际情况,综合评判信息系统是否具备对应等级的安全保护能力。85
  • 86. 等级保护标准的使用说明10、 《信息系统安全等级保护测评过程指南》(报批稿) 《测评过程指南》给出了等级测评的基本工作过程、任务以及工作产品,不涉及等级测评中工作任务的具体执行方法和分析方法,所以用户需要参考和依据《测评要求》或其他相关标准自行开发测评方法和测评指导书。 《测评过程指南》针对已定级的信息系统给出等级测评工作过程,而且工作流程及任务是针对第三级信息系统的首次测评活动过程而言的,对于其他信息系统或再次实施等级测评的工作过程与该过程的差异及关系,应参考标准中的调整原则予以调整。 86
  • 87. 什么是等级保护 为什么开展等级保护工作 等级保护发展历程 等级保护相关标准 目 录沉静的力量 可信的保障87
  • 88. Q & A88
  • 89. 谢谢!89