信息安全等級保護(hù)專業(yè)知識

信息安全等級愛護(hù)專業(yè)學(xué)問1主題21234信息安全的屬性特征和治理分類什么是等級愛護(hù)等級愛護(hù)的國家政策與標(biāo)準(zhǔn)標(biāo)準(zhǔn)等級愛護(hù)的工作內(nèi)容25等級愛護(hù)的建設(shè)流程6等級愛護(hù)各參與部門的角色定位7涉及國家隱秘信息系統(tǒng)的分級愛護(hù)信息安全的屬性特征3信息安全是整體的、進(jìn)展的、非傳統(tǒng)的安全；信息安全是一個系統(tǒng)工程，需要全社會共同努力；信息安全不是確定的，是動態(tài)的、相對的；信息安全不是一個國家能完全掌握的問題，具有全球化的特點，應(yīng)從全球信息化角度考慮和布局；信息安全不是一個孤立的問題，應(yīng)在系統(tǒng)建設(shè)過程中充分考慮。信息安全治理分類4密?！卜直！场秩墶步^密、機(jī)密、隱秘〕涉密環(huán)境〔網(wǎng)絡(luò)、終端、應(yīng)用系統(tǒng)及數(shù)據(jù)〕的信息安全等?！治寮壏巧婷墉h(huán)境〔網(wǎng)絡(luò)、終端、應(yīng)用系統(tǒng)及數(shù)據(jù)〕的信息安全主題21234信息安全的屬性特征和治理分類什么是等級愛護(hù)等級愛護(hù)的國家政策與標(biāo)準(zhǔn)標(biāo)準(zhǔn)等級愛護(hù)的工作內(nèi)容55等級愛護(hù)的建設(shè)流程6等級愛護(hù)各參與部門的角色定位7涉及國家隱秘信息系統(tǒng)的分級愛護(hù)什么是等級愛護(hù)6信息系統(tǒng)等級愛護(hù)的定義是指對國家隱秘信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全愛護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級治理，對信息系統(tǒng)中發(fā)生的信息安全大事分等級響應(yīng)、處置。等級愛護(hù)工作分為五個環(huán)節(jié)：定級、備案、建設(shè)整改、等級測評、監(jiān)視檢查。信息安全等級愛護(hù)是根本制度、根本國策等級愛護(hù)的等級劃分準(zhǔn)則7依據(jù)信息和信息系統(tǒng)遭到破壞或泄露后，對國家安全、社會秩序、公共利益及公民、法人和其他組織的合法權(quán)益的危害程度來進(jìn)展定級。1、受侵害客體；2、受侵害程度。等級愛護(hù)的等級劃分準(zhǔn)則8公安部關(guān)于等級愛護(hù)文件規(guī)定第一級為自主愛護(hù)級其次級為指導(dǎo)愛護(hù)級第一級為監(jiān)視愛護(hù)級第一級為強(qiáng)制愛護(hù)級第一級為?？貝圩o(hù)級9等級愛護(hù)涉及的幾個概念10主動用戶、進(jìn)程主體被動文件、存儲設(shè)備客體訪問：讀、寫、執(zhí)行權(quán)限安全策略安全審計強(qiáng)制訪問掌握等級愛護(hù)的等級劃分準(zhǔn)則11第一級用戶自主保護(hù)級第二級系統(tǒng)審計保護(hù)第三級安全標(biāo)記保護(hù)第四級結(jié)構(gòu)化保護(hù)第五級訪問驗證保護(hù)用戶自主控制資源訪問訪問行為需要被審計通過標(biāo)記實現(xiàn)強(qiáng)制訪問控制可信計算基結(jié)構(gòu)化所有的過程都需要驗證等級愛護(hù)的等級劃分準(zhǔn)則12第一級自主安全愛護(hù)其次級審計安全愛護(hù)第三級強(qiáng)制安全愛護(hù)第四級構(gòu)造化愛護(hù)第五級訪問驗證愛護(hù)級自主訪問掌握身份鑒別完整性愛護(hù)自主訪問掌握身份鑒別完整性愛護(hù)系統(tǒng)審計客體重用自主訪問掌握身份鑒別完整性愛護(hù)系統(tǒng)審計客體重用強(qiáng)制訪問掌握標(biāo)記自主訪問掌握身份鑒別完整性愛護(hù)系統(tǒng)審計客體重用強(qiáng)制訪問掌握標(biāo)記自主訪問掌握身份鑒別完整性愛護(hù)系統(tǒng)審計客體重用強(qiáng)制訪問掌握標(biāo)記隱蔽通道分析可信路徑隱蔽通道分析可信路徑可信恢復(fù)信息系統(tǒng)的五個安全愛護(hù)等級13第一級：一般適用于小型私營、個體企業(yè)、中小學(xué)、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級單位中一般的信息系統(tǒng)。其次級：一般適用于縣級某些單位中的重要信息系統(tǒng)；地市級以上國家機(jī)關(guān)、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)，如涉及工作隱秘、商業(yè)隱秘、敏感信息的辦公系統(tǒng)和治理系統(tǒng)等。第三級：一般適用于地市級以上國家機(jī)關(guān)、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng)，例如涉及工作隱秘、商業(yè)隱秘、敏感信息的辦公系統(tǒng)和治理系統(tǒng)；跨省或全國聯(lián)網(wǎng)運行的用于生產(chǎn)、調(diào)度、治理、指揮、作業(yè)、掌握等方面的重要信息系統(tǒng)以及這類系統(tǒng)在省、地市的分支系統(tǒng)；中心各部委、省〔區(qū)、市〕門戶網(wǎng)站和重要網(wǎng)站；跨省連接的網(wǎng)絡(luò)系統(tǒng)等。第四級：一般適用于國家重要領(lǐng)域、重要部門中的特殊重要系統(tǒng)以及核心系統(tǒng)。例如電力、電信、廣電、鐵路、民航、銀行、稅務(wù)等重要部門的生產(chǎn)、調(diào)度、指揮等涉及國家安全、國計民生的核心系統(tǒng)。第五級：一般適用于國家重要領(lǐng)域、重要部門中的極端重要系統(tǒng)主題31234信息安全的屬性特征和治理分類什么是等級愛護(hù)等級愛護(hù)的國家政策與標(biāo)準(zhǔn)標(biāo)準(zhǔn)等級愛護(hù)的工作內(nèi)容145等級愛護(hù)的建設(shè)流程6等級愛護(hù)各參與部門的角色定位7涉及國家隱秘信息系統(tǒng)的分級愛護(hù)等級愛護(hù)的國家政策15頒布時間文件名稱文號頒布機(jī)構(gòu)內(nèi)容及意義1994年2月18日《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》國務(wù)院147號令國務(wù)院第一次提出信息系統(tǒng)要實行等級保護(hù)，并確定了等級保護(hù)的職責(zé)單位。2003年9月7日《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》中辦國辦發(fā)[2003]27號中共中央辦公廳國務(wù)院辦公廳等級保護(hù)工作的開展必須分步驟、分階段、有計劃的實施。明確了信息安全等級保護(hù)制度的基本內(nèi)容。2004年9月15日《關(guān)于信息安全等級保護(hù)工作的實施意見》公通字[2004]66號公安部國家保密局國家密碼管理委員會辦公室（國家密碼管理局）國務(wù)院信息化工作辦公室將等級保護(hù)從計算機(jī)信息系統(tǒng)安全保護(hù)的一項制度提升到國家信息安全保障的一項基本制度。2007年6月22日《信息安全等級保護(hù)管理辦法》公通字[2007]43號明確了信息安全等級保護(hù)制度的基本內(nèi)容、流程及工作要求，明確了信息系統(tǒng)運營使用單位和主管部門、監(jiān)管部門在信息安全等級保護(hù)工作中的職責(zé)、任務(wù)。2007年7月16日《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》公信安[2007]861號就定級范圍、定級工作主要內(nèi)容、定級工作要求等事項進(jìn)行了通知。等級愛護(hù)的技術(shù)標(biāo)準(zhǔn)標(biāo)準(zhǔn)16GB17859-1999計算機(jī)信息系統(tǒng)安全愛護(hù)等級劃分準(zhǔn)則信息系統(tǒng)安全等級愛護(hù)定級指南GB/T20269-2023信息系統(tǒng)安全治理要求GB/T20282-2023信息安全技術(shù)信息系統(tǒng)安全工程治理要求GB/T20270-2023信息安全技術(shù)網(wǎng)絡(luò)根底安全技術(shù)要求GB/T20271-2023信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T20272-2023信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求GB/T20273-2023信息安全技術(shù)數(shù)據(jù)庫治理系統(tǒng)通用安全技術(shù)要求GB/T22239-2023信息安全技術(shù)信息系統(tǒng)安全等級愛護(hù)根本要求信息安全技術(shù)信息系統(tǒng)等級愛護(hù)安全設(shè)計技術(shù)要求(已送批)信息系統(tǒng)安全等級愛護(hù)實施指南……GB/T20239-2023信息安全技術(shù)操作系統(tǒng)安全評估準(zhǔn)則國家已出臺70多個國標(biāo)、行標(biāo)以及報批標(biāo)準(zhǔn)，從根底、設(shè)計、實施、治理、制度等各個方面對等保系統(tǒng)提出了要求和建議。等級愛護(hù)的技術(shù)標(biāo)準(zhǔn)標(biāo)準(zhǔn)17《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859-1999）《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》

（GB/T20272-2006）《信息安全技術(shù)

信息系統(tǒng)安全等級保護(hù)基本要求》（GB/T22239-2008）《信息安全技術(shù)

信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》面對評估者技術(shù)標(biāo)準(zhǔn)：面對建設(shè)者技術(shù)標(biāo)準(zhǔn)：等級愛護(hù)的技術(shù)標(biāo)準(zhǔn)標(biāo)準(zhǔn)18《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）《信息系統(tǒng)安全管理體系標(biāo)準(zhǔn)》（ISO/IEC27001）《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實施指南》（GB/Txxxxx-2007

）治理類標(biāo)準(zhǔn)：等保方案類標(biāo)準(zhǔn)：系統(tǒng)定級類標(biāo)準(zhǔn)：《信息安全技術(shù)信息系統(tǒng)安全保護(hù)等級定級指南》（GB/T22240-2008）等級愛護(hù)的技術(shù)標(biāo)準(zhǔn)標(biāo)準(zhǔn)19《信息系統(tǒng)安全等級愛護(hù)根本要求》(GB/T22239-2023)《信息系統(tǒng)等級愛護(hù)安全設(shè)計技術(shù)要求》〔已審批〕《計算機(jī)信息系統(tǒng)安全愛護(hù)等級劃分準(zhǔn)則》〔GB17859-1999〕最早提出的基礎(chǔ)性、強(qiáng)制性標(biāo)準(zhǔn)；粒度較粗，是一個指導(dǎo)性標(biāo)準(zhǔn)；公安部作為等保系統(tǒng)建設(shè)、評測的重要依據(jù)等保系統(tǒng)設(shè)計時的主要依據(jù)：一個中心三重防御國家已出臺約70余個標(biāo)準(zhǔn)，重點需要了解的有：主題41234信息安全的屬性特征和治理分類什么是等級愛護(hù)等級愛護(hù)的國家政策與標(biāo)準(zhǔn)標(biāo)準(zhǔn)等級愛護(hù)的工作內(nèi)容205等級愛護(hù)的建設(shè)流程6等級愛護(hù)各參與部門的角色定位7涉及國家隱秘信息系統(tǒng)的分級愛護(hù)等級愛護(hù)的建設(shè)目標(biāo)21某級信息系統(tǒng)技術(shù)要求治理要求根本要求建立安全技術(shù)體系建立安全治理體系具有某級安全愛護(hù)力量的系統(tǒng)等級愛護(hù)的建設(shè)要求22物理安全技術(shù)要求治理要求根本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全治理機(jī)構(gòu)安全治理制度人員安全治理系統(tǒng)建設(shè)治理系統(tǒng)運維治理等級愛護(hù)的建設(shè)要求23環(huán)境安全防其他自然災(zāi)難機(jī)房與設(shè)施安全環(huán)境與人員安全設(shè)備安全防止電磁泄露放射防盜與防毀防電磁干擾介質(zhì)安全介質(zhì)的治理介質(zhì)的分類介質(zhì)的防護(hù)物理安全等級愛護(hù)的建設(shè)要求24網(wǎng)絡(luò)安全1.網(wǎng)絡(luò)構(gòu)造安全2.網(wǎng)絡(luò)訪問掌握3.網(wǎng)絡(luò)安全審計4.邊界完整性檢查5.網(wǎng)絡(luò)入侵防范6.惡意代碼防護(hù)7.網(wǎng)絡(luò)防護(hù)設(shè)備主機(jī)安全身份鑒別強(qiáng)制訪問掌握系統(tǒng)安全審計4.剩余信息愛護(hù)5.入侵防范6.惡意代碼防范7.資源掌握應(yīng)用安全1.身份認(rèn)證2.安全審計3.剩余信息愛護(hù)4.通信完整性和機(jī)密性愛護(hù)數(shù)據(jù)安全1.數(shù)據(jù)機(jī)密性愛護(hù)2.數(shù)據(jù)完整性愛護(hù)5.掌握軟件容錯；6.嚴(yán)格的訪問；7.自動愛護(hù)功能；8.資源掌握；等級愛護(hù)的建設(shè)模式25滿足政策要求滿足標(biāo)準(zhǔn)要求滿足用戶自身要求安全現(xiàn)狀差異性分析根本要求需求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全與備份恢復(fù)等級愛護(hù)的體系架構(gòu)26其它定級系統(tǒng)安全接入/隔離設(shè)備計算環(huán)境區(qū)域邊界通信網(wǎng)絡(luò)網(wǎng)站/應(yīng)用服務(wù)器交換設(shè)備用戶終端安全管理中心通信網(wǎng)絡(luò)區(qū)域邊界計算環(huán)境安全治理中心等級愛護(hù)的技術(shù)實現(xiàn)要求27構(gòu)筑由安全治理中心統(tǒng)一治理下的計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防范體系。安全區(qū)域邊界可信計算環(huán)境安全治理中心安全通信網(wǎng)絡(luò)主題51234信息安全的屬性特征和治理分類什么是等級愛護(hù)等級愛護(hù)的國家政策與標(biāo)準(zhǔn)標(biāo)準(zhǔn)等級愛護(hù)的工作內(nèi)容285等級愛護(hù)的建設(shè)流程6等級愛護(hù)各參與部門的角色定位7涉及國家隱秘信息系統(tǒng)的分級愛護(hù)等級愛護(hù)的建設(shè)流程29達(dá)標(biāo)等保體系安全措施業(yè)務(wù)應(yīng)用信息網(wǎng)絡(luò)已運營系統(tǒng)業(yè)務(wù)應(yīng)用安全措施新建系統(tǒng)等保整改等保建設(shè)等級愛護(hù)整改建設(shè)流程301.信息系統(tǒng)定級2.等保建設(shè)立項3.信息安全威脅分析4.等保方案設(shè)計5.安全體系部署6.等保體系測評7.等保整改建設(shè)完成定級工作08年已根本完成專業(yè)機(jī)構(gòu)

整改意見總設(shè)

詳設(shè)

專家論證工程實施內(nèi)部驗收專業(yè)機(jī)構(gòu)

測評報告未通過流程1：信息系統(tǒng)定級31 2023年開頭，我國在全國范圍開放了信息系統(tǒng)等級愛護(hù)的定級工作，并在公安部進(jìn)展了相關(guān)的備案。定級依據(jù)：《信息系統(tǒng)安全愛護(hù)等級定級指南》〔國家〕《XX行業(yè)信息系統(tǒng)安全愛護(hù)等級定級指南》誰主管、運營誰定級；擬確定為四級以上的信息系統(tǒng)需請國家信息安全愛護(hù)等級專家評審委員會評審；信息系統(tǒng)定級狀況要在公安部門報備；流程1：信息系統(tǒng)定級32依據(jù)信息和信息系統(tǒng)遭到破壞或泄露后，對國家安全、社會秩序、公共利益及公民、法人和其他組織的合法權(quán)益的危害程度來進(jìn)展定級。受侵害的客體對客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級1.受侵害客體；2.受侵害程度；流程2：等保建設(shè)立項33 信息系統(tǒng)等級愛護(hù)建設(shè)，經(jīng)過信息系統(tǒng)的運營、治理部門以及有關(guān)政府部門的批準(zhǔn)，并列入信息系統(tǒng)運營單位或政府打算的過程。一項根本國策，一項根本制度，具有政策的強(qiáng)制性是辦公電子化、業(yè)務(wù)信息化進(jìn)展必需的保障手段用戶業(yè)務(wù)開展的實際需求流程3：風(fēng)險評估34需請相應(yīng)級別、具有資質(zhì)的測評中心進(jìn)展風(fēng)險評估；風(fēng)險評估是對信息資產(chǎn)面臨的威逼、存在的弱點、造成的影響，以及三者綜合作用而帶來風(fēng)險的可能性的評估。風(fēng)險評估是確定信息安全需求的一個重要途徑。風(fēng)險評估完成后出具《評估報告》和《整改意見》；流程4：等級方案設(shè)計思路351整改意見需求分析2總體設(shè)計詳細(xì)設(shè)計3應(yīng)急方案災(zāi)備方案5方案與產(chǎn)品安全性論證6項目預(yù)算7項目實施方案設(shè)計4產(chǎn)品選型技術(shù)指標(biāo)信息系統(tǒng)等保體系建設(shè)目標(biāo)流程4：等保方案設(shè)計原則36重視安全技管兼行遵循政策符合標(biāo)準(zhǔn)需求主導(dǎo)突出重點整體規(guī)劃分步實施全局治理統(tǒng)一標(biāo)準(zhǔn)適度安全削減影響流程4：需求分析方法37滿足政策要求滿足標(biāo)準(zhǔn)要求滿足用戶自身要求安全現(xiàn)狀差異性分析根本要求需求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全與備份恢復(fù)流程4：需求分析方法38安全現(xiàn)狀與《基本要求》的差異分析對照標(biāo)準(zhǔn)要求是否滿足相應(yīng)措施物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全流程4：設(shè)計方案章節(jié)39等級愛護(hù)建設(shè)方案章節(jié)：二、安全需求分析一、工程背景四、等保技術(shù)體系設(shè)計三、方案總體設(shè)計六、等保治理安全設(shè)計五、等保物理安全設(shè)計八、產(chǎn)品選型與技術(shù)指標(biāo)七、應(yīng)急與災(zāi)備設(shè)計九、方案與產(chǎn)品安全性論證十一、實施方案設(shè)計十、工程預(yù)算需求背景政策依據(jù)以《根本要求》中“網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)”局部要求為目標(biāo)，以《設(shè)計要求》為方法以《根本要求》中物理安全局部為依據(jù)以《根本要求》中治理安全局部為依據(jù)經(jīng)過信息安全等級愛護(hù)專家論證通過流程4：等保體系整體架構(gòu)40安全接入/隔離設(shè)備計算環(huán)境區(qū)域邊界通信網(wǎng)絡(luò)網(wǎng)站/應(yīng)用服務(wù)器交換設(shè)備用戶終端安全管理中心通信網(wǎng)絡(luò)區(qū)域邊界計算環(huán)境安全治理中心流程5：等保體系部署41統(tǒng)一規(guī)劃，分步實施標(biāo)準(zhǔn)治理，責(zé)任落實確保安全，影響最小專家論證，內(nèi)部驗收計算環(huán)境區(qū)域邊界通信網(wǎng)絡(luò)流程6：等保體系測評42等保體系達(dá)標(biāo)需請相應(yīng)級別、具有資質(zhì)的測評中心進(jìn)展等保測評；以相應(yīng)的政策、標(biāo)準(zhǔn)為基準(zhǔn)，對等保體系進(jìn)展風(fēng)險評測，從面臨的威逼、存在的弱點、造成的影響，以及三者綜合作用角度，分析信息系統(tǒng)的等保體系是否達(dá)標(biāo)。等保測評完成后出具《測評報告》和《整改意見》；等保體系測評信息等保整改通過未通過流程7：等保體系整改建設(shè)完成43構(gòu)筑由安全治理中心統(tǒng)一治理下的計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防范體系。安全區(qū)域邊界安全計算環(huán)境安全治理中心安全通信網(wǎng)絡(luò)主題61234信息安全的屬性特征和治理分類什么是等級愛護(hù)等級愛護(hù)