信息系統(tǒng)等級(jí)保護(hù)介紹

2021/8/252021/8/25信息系統(tǒng)等級(jí)保護(hù)綜合篥容概要JJ……羽勺國(guó)家政策與標(biāo)準(zhǔn)規(guī)范「的工作內(nèi)容保護(hù)的建設(shè)流程HHH|猙級(jí)保護(hù)各參與部門(mén)的角色定位信息安全與等級(jí)保護(hù)-ra^/ru*7r（ra^/ru*7r（切二1/丿"Jk分保）——分三級(jí)（絕密、機(jī)密、秘密）漓環(huán)境（網(wǎng)絡(luò)、終端、應(yīng)用系統(tǒng)及數(shù)據(jù)）的信息^^r<wFj二k二l^B■IK^A4丿信息.安查〉什么是等級(jí)噪護(hù)HJ>(X/口屯-Jr^fF?=l5^<，ljj/fL空織像:闔箔羅丁nzM-j/nj犬匚乩哲血空__什么是等級(jí)保護(hù)I’一—I■ww/WBr、■匕flr|K，L■■J」■[■:■亡誰(shuí)息系統(tǒng)分等級(jí)實(shí)行安■皆1*，對(duì)信息系統(tǒng)中使用實(shí)行,對(duì)信息系統(tǒng)中發(fā)生等級(jí)保護(hù)的等級(jí)劃分準(zhǔn)則等級(jí)保護(hù)的等級(jí)劃分準(zhǔn)則家安全、其他組織,對(duì)2021/8/252021/8/25等級(jí)保護(hù)的等級(jí)劃分準(zhǔn)則等級(jí)對(duì)象侵害客體侵害程度監(jiān)管強(qiáng)度第一級(jí)一般系統(tǒng)合法權(quán)益損害自主保護(hù)第二級(jí)合法權(quán)益嚴(yán)重?fù)p害指導(dǎo)社會(huì)秩序和公共利益損害第三級(jí)重要系統(tǒng)社會(huì)秩序和公共利益嚴(yán)重?fù)p害監(jiān)督檢查國(guó)家安全損害第四級(jí)社會(huì)秩序和公共利益特別嚴(yán)重?fù)p害強(qiáng)制監(jiān)督檢查國(guó)家安全嚴(yán)重?fù)p害第五級(jí)極端重要系統(tǒng)國(guó)家安全特別嚴(yán)重?fù)p害專門(mén)監(jiān)督檢查

等級(jí)保護(hù)涉及的幾個(gè)基本概念A(yù)主動(dòng)/被動(dòng)文件、存儲(chǔ)I用戶、進(jìn)程2021/8/25-2021/8/25-冬統(tǒng)審計(jì)保護(hù):安全標(biāo)記保護(hù)結(jié)構(gòu)化保護(hù)亠一一—?上第五級(jí)訪i可驗(yàn)證保護(hù)用戶自主控制資源訪問(wèn)訪問(wèn)行為需要被審計(jì)通過(guò)標(biāo)記實(shí)現(xiàn)強(qiáng)制訪問(wèn)控制可信計(jì)算基結(jié)構(gòu)化所有的過(guò)程都需要驗(yàn)證等級(jí)保護(hù)的等級(jí)劃分準(zhǔn)則等級(jí)保護(hù)的等級(jí)劃分準(zhǔn)則第一級(jí)自主安全保護(hù)自主訪問(wèn)控制身份鑒別完整性保護(hù)■自主訪問(wèn)控制身份鑒別完整性保護(hù)第二級(jí)審計(jì)安全保護(hù)自主訪問(wèn)控制身份鑒別系統(tǒng)審計(jì)完整性保護(hù)客體重用第三級(jí)強(qiáng)制安全保護(hù)2021/8/25自主訪問(wèn)控制身份鑒別完整性保護(hù)自主訪問(wèn)控制身份鑒別完整性保護(hù)第四級(jí)結(jié)構(gòu)化保護(hù)■系統(tǒng)審計(jì)客體重用強(qiáng)制訪問(wèn)控制系統(tǒng)審計(jì)■強(qiáng)制訪問(wèn)控制客體重用標(biāo)記隱蔽通道分析可信路徑系統(tǒng)審計(jì)客體重用強(qiáng)制訪問(wèn)控制

標(biāo)記隱蔽通道分析可信路徑可信恢復(fù)2021/8/252021/8/25丿等級(jí)保護(hù)的國(guó)家政策與折準(zhǔn)規(guī)范JJ丿等級(jí)保護(hù)的國(guó)家政策與折準(zhǔn)規(guī)范JJ足護(hù)的工作內(nèi)睿辜級(jí)保邂愛(ài)丿等級(jí)保護(hù)各參冒文件名稱1沁年孝?月樣eT*《中華人民共和國(guó)算機(jī)信息系統(tǒng)安仝心坨冬伺I》國(guó)務(wù)院147《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)〃中辦國(guó)辦發(fā)[2003]27號(hào)2007年6月22日《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》公通字[2004]66號(hào)《信息安全等級(jí)保護(hù)管理辦法》公通字[2007]43號(hào)2007年7月16日2021/8/25《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》公信安[20071861弓頒布機(jī)構(gòu)內(nèi)容及意義頒布機(jī)構(gòu)內(nèi)容及意義國(guó)務(wù)院提出信息系統(tǒng)要實(shí)行二等級(jí)保護(hù),并確定了等級(jí)保■中共中央辦公廳國(guó)務(wù)院辦公廳公安部中共中央辦公廳國(guó)務(wù)院辦公廳公安部國(guó)家保密局國(guó)家密碼管理委員會(huì)辦公室（國(guó)家密碼管理局）國(guó)務(wù)院信息化工作辦公宰等級(jí)保護(hù)工作的開(kāi)展必須分步驟.分階段、有計(jì)劃的實(shí)施。明確了信息安全等級(jí)保???—???將等級(jí)保護(hù)從計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的一項(xiàng)制度提升到國(guó)家信息安全保障的一項(xiàng)明確了信息安全等級(jí)保護(hù)制度的基本內(nèi)容、流程及工作要求，明確了信息系統(tǒng)運(yùn)營(yíng)使用單位和主管部門(mén)、監(jiān)管■I■?■■i■i■■■■oPIJit花盡女王壽荻休JT_L作中的職賁、任務(wù)。二就定級(jí)范圍.定級(jí)工fW內(nèi)容.定級(jí)工作壑等事項(xiàng)逬行了通知。等級(jí)保護(hù)的技術(shù)標(biāo)準(zhǔn)規(guī)范等級(jí)保護(hù)的技術(shù)標(biāo)準(zhǔn)規(guī)范2021/8/252021/8/25tiiUlStiiUlSIGB/T20009-2005信息安全技術(shù)操作系統(tǒng)安全評(píng)估準(zhǔn)則GB/T20269-2006信息系統(tǒng)安全管理要求GB/T20282-2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求GB/T20270-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T20272-2006信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求GB/T20273-2006信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)通用安全技術(shù)要求信息索繞妄全等級(jí)保護(hù)定級(jí)指南GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息索繞妄全等級(jí)保護(hù)定級(jí)指南GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859-1999)《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)-《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2006)□面向建設(shè)者技術(shù)標(biāo)準(zhǔn)：-《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2006)□面向建設(shè)者技術(shù)標(biāo)準(zhǔn)：《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等級(jí)保護(hù)的技術(shù)標(biāo)準(zhǔn)規(guī)范等級(jí)保護(hù)的技術(shù)標(biāo)準(zhǔn)規(guī)范2021/8/252021/8/25《信息安全技術(shù)信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》(GB/T22240-2008)考-《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》W二(GB/T20282-2006)h二《信息系統(tǒng)安全管理體系標(biāo)淮》(IS0/IEC27001)□奪保方案類標(biāo)準(zhǔn)：《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》(GB/Txxxxx-2007)十|《信息系勿■及保護(hù)安全設(shè)計(jì)技術(shù)要求》（已審批）-叱嚴(yán)—?KP三-c202202"8/25丿什么是等級(jí)，的國(guó)家政策與標(biāo)準(zhǔn)規(guī)范丿等級(jí)保府的國(guó)家政策與標(biāo)準(zhǔn)規(guī)范丿等級(jí)昴護(hù)的工作內(nèi)容保護(hù)的建設(shè)流程齬莎保護(hù)各參與部門(mén)的角色定位等級(jí)保護(hù)的建設(shè)冃標(biāo)等級(jí)保護(hù)的建設(shè)冃標(biāo)某級(jí)信息系統(tǒng)基本要求等級(jí)保護(hù)的建設(shè)要求等級(jí)保護(hù)的建設(shè)要求管理要求技術(shù)要求基本要求系餐幫理人u變?nèi)芾戆踩芾碇贫劝踩芾頇C(jī)構(gòu)安全嚅安全主機(jī)安全物理安全等級(jí)保護(hù)的建設(shè)要求等級(jí)保護(hù)的建設(shè)要求202”8/25202”8/25等級(jí)保護(hù)的建設(shè)要求等級(jí)保護(hù)的建設(shè)要求2021/8/252021/8/251.身份認(rèn)證5.2?安全審計(jì)1.2.3.4.5.6.7.網(wǎng)絡(luò)如&安全網(wǎng)絡(luò)訪問(wèn)控制網(wǎng)絡(luò)安全審計(jì)邊界憲基性檢査網(wǎng)絡(luò)入侵防范惡起代碼防護(hù)網(wǎng)絡(luò)防護(hù)設(shè)備1.2.3.4.5.6.7.飴鑒別強(qiáng)制訪問(wèn)控制申計(jì)刺余信息保護(hù)入侵防范怒危代碼防范資源控制2021/8/252021/8/25等級(jí)保護(hù)的體系架構(gòu)其它定級(jí)系統(tǒng)安全接入/隔離設(shè)備亠、、通信網(wǎng)駕丿安全管理中心終端網(wǎng)站/應(yīng)用服務(wù)器交換設(shè)備計(jì)算環(huán)境等級(jí)保護(hù)的技術(shù)實(shí)現(xiàn)依據(jù)5■-構(gòu)筑由冃統(tǒng)一管理下的士扇原噸甑廖E重防御體系。[卜□安全管理中心可信計(jì)算環(huán)境安全區(qū)域邊界安全通信網(wǎng)絡(luò)8k容概要等級(jí)丿容概要等級(jí)丿什么是薔J竽級(jí)保護(hù)的工作內(nèi)賽L—丿等級(jí)保護(hù)的建設(shè)施程等級(jí)保護(hù)各參與部門(mén)的角色定位

等級(jí)保護(hù)整改建設(shè)流程上信譬^定級(jí)7.等保整改建設(shè)完成202W8/25等保建設(shè)立項(xiàng)信息安全威脅分析|翊脳4?等保屯龔設(shè)計(jì)盤(pán)i5.安全體系部署頂曰憲肘?內(nèi)咅嗨療6?等保體系測(cè)評(píng)iUKSH專業(yè)機(jī)閥〉測(cè)評(píng)汨言2021/8/252021/8/25流程一：信息系統(tǒng)定級(jí)_2007年開(kāi)始，我國(guó)在全國(guó)范圍展開(kāi)了信息系統(tǒng)等級(jí)保護(hù)1的定級(jí)工作，并在公安部逬石亍相關(guān)的備案。定級(jí)依據(jù):二亠《信息系統(tǒng)安全保護(hù)等級(jí)》（國(guó)家）信息系統(tǒng)安全保護(hù)等級(jí)請(qǐng)誰(shuí)定級(jí)；擬確定為的信息系統(tǒng)需評(píng)審；e信息系統(tǒng)定級(jí)情況要在報(bào)備;、、玄疋口1|?II—I1?受侵害客體;2?受侵害程度;一受侵害的客體■-■公民、法人和其他組織的合法權(quán)益社會(huì)秩序、公共利益國(guó)家安全對(duì)客體的侵害程度特別嚴(yán)重?fù)p害第二級(jí)—般損害嚴(yán)重?fù)p害第一級(jí)第二級(jí)第三級(jí)第二級(jí)第三級(jí)第四級(jí)第四級(jí)第五級(jí)—項(xiàng)亍二是辦公電子化、業(yè)務(wù)信息化發(fā)展必需的保障手段—項(xiàng)亍二是辦公電子化、業(yè)務(wù)信息化發(fā)展必需的保障手段流程二：等保建設(shè)立項(xiàng)__信息系統(tǒng)等級(jí)保護(hù)建設(shè)，經(jīng)過(guò)信息系統(tǒng)的運(yùn)營(yíng)、管理部F門(mén)以及有關(guān)政府部門(mén)的批）￡?并列入信息系統(tǒng)運(yùn)營(yíng)單位或政E府計(jì)劃的過(guò)程。一e用戶業(yè)務(wù)開(kāi)展的實(shí)際需求

流程三：風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估是對(duì)信息資產(chǎn)流程三：風(fēng)險(xiǎn)評(píng)估,以及三者綜合作用而帶來(lái)風(fēng)險(xiǎn)的可能性的「評(píng)估。風(fēng)險(xiǎn)評(píng)估是確定信息安全需求的一個(gè)重要途徑。愛(ài)請(qǐng)、h-風(fēng)險(xiǎn)評(píng)估完成后出具的測(cè)評(píng)中心逬行風(fēng)險(xiǎn)評(píng)估;流程四：等保方案設(shè)計(jì)思?1項(xiàng)目實(shí)施方案設(shè)計(jì)國(guó)項(xiàng)目預(yù)算丿總體設(shè)計(jì)詳細(xì)設(shè)計(jì)信息系統(tǒng)等保體系整改意見(jiàn)需求分析應(yīng)急方案災(zāi)備方案產(chǎn)品選型技術(shù)指標(biāo)方案與產(chǎn)品安全性論證流程四：等保方案設(shè)計(jì)原則技管兼行符合標(biāo)準(zhǔn)突出重點(diǎn)分步實(shí)施統(tǒng)一標(biāo)準(zhǔn)減少影響滿足政策要求滿足標(biāo)準(zhǔn)要求滿足用戶自身要求流程四:需求分析方法需求基本要求流程四需求分析方法安全現(xiàn)狀與《基本要求》的差異分析對(duì)照標(biāo)準(zhǔn)要求是否滿足相應(yīng)措施物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全流程四：設(shè)計(jì)方案章節(jié)八、r匕?八、e九、建設(shè)方案章節(jié)項(xiàng)目背景安全需求分析方案總體設(shè)計(jì)等保技術(shù)體系設(shè)計(jì)等保物理安全設(shè)計(jì)等保管理安全設(shè)計(jì)應(yīng)急與災(zāi)備設(shè)it|產(chǎn)品選型與技術(shù)指標(biāo)■方案與產(chǎn)品安全性論蠢e十、項(xiàng)目預(yù)算e十一、實(shí)施方案設(shè)計(jì)廠其它定級(jí)系繾流程四：等保體系整體架構(gòu)TA安全"匸0^用戶計(jì)算環(huán)境、安全管理中心終端流程五：等保體系部署互取網(wǎng)WifM<?QIsMRflQQ乩怕毛?務(wù)7”.?K(:KAWitM%RX4■火緇■“a公b>.硼"關(guān)e統(tǒng)一規(guī)劃，分步實(shí)施?規(guī)范管理，責(zé)任落實(shí)確保安全，影響最小專家論證，內(nèi)部驗(yàn)收流程六：等保體系測(cè)評(píng)信息等保整改等保體系測(cè)評(píng)流程六：等保體系測(cè)評(píng)信息等保整改等保體系測(cè)評(píng)面臨的威脅、存在的弱點(diǎn)、造成的影o硬彌匕...卜'■■?』^giteO^^g等保體系達(dá)標(biāo)

安全管理中心安全計(jì)算環(huán)境安全區(qū)域邊界安全通信網(wǎng)