等級保護培訓,,目錄,等級保護概念介紹 等級保護流程介紹 等級保護定級 等級保護基本要求 等級保護實施 等級保護測評 我公司開展的等級保護服務,等級保護標準制修訂背景,2003年9月 中辦國辦頒發 關于加強信息安全保障工作的意見 中辦發200327號,2005年9月 國信辦文件 關于轉發電子政務信息安全等級保護實施指南的通知 國信辦200425號,2006年1月 四部委會簽 關于印發信息安全等級保護管理辦法的通知 公通字20067號,2005年 公安部標準 基本要求 定級指南 實施指南 測評準則,2004年11月 四部委會簽 關于信息安全等級保護工作的實施意見 公通字200466號,云南 云南省人民政府第130號令,浙江 浙江省人民政府令,北京 北京政府第9號令,國家級政策文件,國家級技術標準,國家級政策文件,地方政策文件,什么是等級保護？,信息系統安全等級保護是指對信息和信息系統劃分為五個安全保護和監管等級，實行分等級保護。,“一個提高，四個有利于” 有效地提高我國信息安全建設的整體水平 有利于在信息化建設過程中同步建設信息安全設施，保障信息安全與信息化建設相協調； 有利于加強對涉及國家安全、經濟秩序、社會穩定和公共利益的信息系統的安全保護和管理監督；,為什么實行等級保護？,有利于明確國家、法人和其他組織、公民的安全責任，強化政府監管職能，共同落實各項安全建設和安全管理措施； 有利于提高安全保護的科學性、整體性、針對性，推動信息安全產業水平，逐步探索一條適應社會主義市場經濟發展的信息安全發展模式。,為什么實行等級保護？,為什么實行等級保護？,2003-2007被篡改網站數量我國,為什么實行等級保護？,真正的中國工商銀行網站,假冒的中國工商銀行網站,等保的對象及頻度,系統新建 發生過重大事件 未進行過測評 網絡或信息系統重大變更 安全事件爆發 監管部門提出要求（重要時期前，例奧運會，亞運會） 每年（三級）進行一次 每半年（四級）進行一次,目錄,等級保護概念介紹 等級保護流程介紹 等級保護定級 等級保護基本要求 等級保護實施 等級保護測評 我公司開展的等級保護服務,等級保護測評流程,等保測評參考標準,GB/T22240信息系統安全等級保護定級指南 GB/T22239信息系統安全等級保護基本要求 信息系統安全等級保護測評過程指南 信息系統安全等級保護實施指南 等級保護測評準則（已基本廢棄）,目錄,等級保護概念介紹 等級保護流程介紹 等級保護定級 等級保護基本要求 等級保護實施 等級保護驗收測評 我公司開展的等級保護支持服務,等級保護定級維度,等級保護對象受到破壞時所侵害的客體 對客體造成侵害的程度,定級階段-關于定級范圍,（一）電信、廣電行業的公用通信網、廣播電視傳輸網等基礎信息網絡，經營性公眾互聯網信息服務單位、互聯網接入服務單位、數據中心等單位的重要信息系統。 （二）鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、統計、工商行政管理、郵政等行業、部門的生產、調度、管理、辦公等重要信息系統。 （三）市（地）級以上黨政機關的重要網站和辦公信息系統,一、定級對象的三個條件 具有唯一確定的安全責任單位 作為定級對象的信息系統應能夠唯一地確定其安全責任單位，這個安全責任單位就是負責等級保護工作部署、實施的單位，也是完成等級保護備案和接受監督檢查的直接責任單位。 滿足信息系統的基本要素 作為定級對象的信息系統應該是由相關的和配套的設備、設施按照一定的應用目標和規則組合而成的有形實體。應避免將某個單一的系統組件，如單臺的服務器、終端或網絡設備等作為定級對象。,定級階段-關于定級對象確定,一、定級對象的三個條件 承載相對獨立的業務應用 定級對象承載“相對獨立”的業務應用是指其中的一個或多個業務應用的主要業務流程、部分業務功能獨立，同時與其他信息系統的業務應用有少量的數據交換，定級對象可能會與其他業務應用共享一些設備，尤其是網絡傳輸設備。“相對獨立”的業務應用并不意味著整個業務流程，可以是完整的業務流程的一部分。,定級階段-關于定級對象確定,二、定級對象的識別和劃分 可能使定級要素賦值不同因素 可能涉及不同客體的系統。 可能對客體造成不同程度損害的系統。 處理不同類型業務的系統。 本身運行在不同的網絡環境中的系統。 分不開的系統，按照高級別保護。,定級階段-關于定級對象確定,識別單位基本信息 了解單位基本信息有助于判斷單位的職能特點，單位所在行業及單位在行業所處的地位和所用，由此判斷單位主要信息系統的宏觀定位。 識別業務種類、流程和服務 應重點了解定級對象信息系統中不同業務系統提供的服務在影響履行單位職能方面具體方式和程度，影響的區域范圍、用戶人數、業務量的具體數據以及對本單位以外機構或個人的影響等方面。這些具體數據即可以為主管部門制定定級指導意見提供參照，也可以作為主管部門審批定級結果的重要依據。,定級階段-關于定級過程,識別信息 調查了解定級對象信息系統所處理的信息，了解單位對信息的三個安全屬性的需求，了解不同業務數據在其保密性、完整性和可用性被破壞后在單位職能、單位資金、單位信譽、人身安全等方面可能對國家、社會、本單位造成的影響，對影響程度的描述應盡可能量化。 識別網絡結構和邊界 調查了解定級對象信息系統所在單位的整體網絡狀況、安全防護和外部連接情況，目的是了解信息系統所處的單位內部網絡環境和外部環境特點，以及該信息系統的網絡安全保護與單位內部網絡環境的安全保護的關系。,定級階段-關于定級過程,識別主要的軟硬件設備 調查了解與定級對象信息系統相關的服務器、網絡、終端、存儲設備以及安全設備等，設備所在網段，在系統中的功能和作用。調查設備的位置和作用主要就是發現不同信息系統在設備使用方面的共用程度。 識別用戶類型和分布 調查了解各系統的管理用戶和一般用戶，內部用戶和外部用戶，本地用戶和遠程用戶等類型，了解用戶或用戶群的數量分布，判斷系統服務中斷或系統信息被破壞可能影響的范圍和程度。 形成定級結果 取各類信息和服務的較高。,定級階段-關于定級過程,定級階段-關于三種危害程度,不同危害后果的三種危害程度描述如下： 一般損害：工作職能受到局部影響，業務能力有所降低但不影響主要功能的執行，出現較輕的法律問題，較低的財產損失，有限的社會不良影響，對其他組織和個人造成較低損害。 嚴重損害：工作職能受到嚴重影響，業務能力顯著下降且嚴重影響主要功能執行，出現較嚴重的法律問題，較高的財產損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴重損害。 特別嚴重損害：工作職能受到特別嚴重影響或喪失行使能力，業務能力嚴重下降且或功能無法執行，出現極其嚴重的法律問題，極高的財產損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴重損害。,等級保護對象受到破壞時所侵害的客體包括以下三個方面： 公民、法人和其他組織的合法權益； 社會秩序、公共利益； 國家安全。,定級階段-三種客體,定級要素與安全保護等級的關系,對定級指南中有關概念的補充說明： 三種客體 對客體侵害程度,定級階段_關鍵概念的補充說明,三種受侵害的客體體現了三種不同層次、不同覆蓋范圍的社會關系。 國家安全利益體現了國家層面、與全局相關的國家政治安全、軍事安全、經濟安全、社會安全、科技安全和資源環境安全等方面利益。 社會秩序包括社會的政治、經濟、生產、生活、科研、工作等各方面的正常秩序。公共利益是指不特定的社會成員所共同享有的，維持其生產、生活、教育、衛生等方面的利益。 合法權益是法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權利和利益，,定級階段-三種客體說明,對客體的侵害不是威脅直接作用的結果，而是通過對等級保護對象信息系統的破壞而導致的，因此確定對客體侵害的程度時，必須考慮對等級保護對象所造成破壞的不同客觀表現形態以及不同程度的結果，也就是侵害的客觀方面。,定級階段,定級階段-關于損害的詳述,定級階段-關于定級級別,定級階段-關于定級方法,定級的一般方法 信息系統安全包括業務信息安全和系統服務安全，與之相關的受侵害客體和對客體的侵害程度可能不同，因此，信息系統定級也應由業務信息安全和系統服務安全兩方面確定。 從業務信息安全角度反映的信息系統安全保護等級稱業務信息安全保護等級。 從系統服務安全角度反映的信息系統安全保護等級稱系統服務安全保護等級。,定級階段-關于定級方法,定級階段-關于定級方法與流程,根據業務信息安全被破壞時所侵害的客體以及對相應客體的侵害程度，依據下表業務信息安全保護等級矩陣表，即可得到業務信息安全保護等級。,四個主要因素決定等級,系統所屬類型,業務信息類別,系統服務范圍,業務依賴程度,業務信息安全性,業務服務保證性,信息系統安全保護等級,侵害的程度如何？（對客體造成侵害的程度） 一般損害 嚴重損害 特別嚴重損害,受到破壞時侵害了什么？（客體） 公民、法人 社會秩序、公共利益 國家安全,定級階段-關于等級變更,在信息系統的運行過程中，安全保護等級應隨著信息系統所處理的信息和業務狀態的變化進行適當的變更，尤其是當狀態變化可能導致業務信息安全或系統服務受到破壞后的受侵害客體和對客體的侵害程度有較大的變化，可能影響到系統的安全保護等級時，應根據定級標準給出的定級方法重新定級,定級案例-三級系統定級,定級案例-三級系統定級,定級案例-三級系統定級,定級案例-三級系統定級,目錄,等級保護概念介紹 等級保護流程介紹 等級保護定級 等級保護基本要求 等級保護實施 等級保護測評 我公司開展的等級保護服務,基本要求的作用,信息系統安全等級保護基本要求,運營、使用單位 （安全服務商）,主管部門 （等級測評機構）,安全保護,測評檢查,基本要求的定位,是系統安全保護、等級測評的一個基本“標尺”，同樣級別的系統使用統一的“標尺”來衡量，保證權威性，是一個達標線； 每個級別的信息系統按照基本要求進行保護后，信息系統具有相應等級的基本安全保護能力，達到一種基本的安全狀態; 是每個級別信息系統進行安全保護工作的一個基本出發點，更加貼切的保護可以通過需求分析對基本要求進行補充，參考其他有關等級保護或安全方面的標準來實現;,基本要求的定位,某級信息系統,基本保護,精確保護,基本要求,保護,基本要求,測評,補充的安全措施 GB17859-1999 通用技術要求 安全管理要求 高級別的基本要求 等級保護其他標準 安全方面相關標準 等等,基本保護,特殊需求 補充措施,基本要求基本思路,不同級別 信息系統,重要程度不同,應對不同威脅的能力 (威脅弱點),具有不同的安全保護能力,不同的基本要求,各個要素之間的關系,安全保護能力,基本安全要求,每個等級的信息系統,基本技術措施,基本管理措施,具備,包含,包含,滿足,滿足,實現,基本要求核心思路,某級系統,技術要求,管理要求,基本要求,建立安全技術體系,建立安全管理體系,具有某級安全保護能力的系統,各級系統的保護要求差異（宏觀）,安全保護模型PPDRR,Protection防護 Policy Detection 策略 檢測 Response 響應,Recovery 恢復,各級系統的保護要求差異（宏觀）,一級系統,二級系統,三級系統,四級系統,防護,防護/監測,策略/防護/監測/恢復,策略/防護/監測/恢復/響應,各級系統的保護要求差異（宏觀）,成功的完成業務,信息保障,深度防御戰略,人,技術,操作,防御網絡與基礎設施,防御飛地邊界,防御計算環境,支撐性基礎設施,安全保護模型IATF,各級系統的保護要求差異（宏觀）,一級系統,二級系統,三級系統,四級系統,通信/邊界（基本）,通信/邊界/內部（關鍵設備）,通信/邊界/內部（主要設備）,通信/邊界/內部/基礎設施（所有設備）,各級系統的保護要求差異（宏觀）,一級系統,二級系統,三級系統,四級系統,計劃和跟蹤（主要制度）,計劃和跟蹤（主要制度）,良好定義（管理活動制度化）,持續改進（管理活動制度化/及時改進）,等級保護基本要求構架,某級系統,物理安全,技術要求,管理要求,基本要求,網絡安全,主機安全,應用安全,數據安全,安全管理機構,安全管理制度,人員安全管理,系統建設管理,系統運維管理,等級保護基本要求效果,基本要求的主要內容,由9個章節2個附錄構成 1.適用范圍 2.規范性引用文件 3術語定義 4.等級保護概述 5. 基本要求 附錄A 關于信息系統整體安全保護能力的要求 附錄B 基本安全要求的選擇和使用,基本要求的組織方式,某級系統,類,技術要求,管理要求,基本要求,類,控制點,具體要求,控制點,具體要求,基本要求-組織方式,某級系統,物理安全,技術要求,管理要求,基本要求,網絡安全,主機安全,應用安全,數據安全,安全管理機構,安全管理制度,人員安全管理,系統建設管理,系統運維管理,基本要求標注方式,基本要求 技術要求 管理要求 要求標注 業務信息安全類要求（標記為S類） 系統服務保證類要求（標記為A類） 通用安全保護類要求（標記為G類）,三類要求之間的關系,通用安全保護類要求（G）,業務信息安全類（S）,系統服務保證類（A,安全要求,基本要求的選擇和使用,一個3級系統,定級結果為S3A2，保護類型應該是S3A2G3 第1步: 選擇標準中3級基本要求的技術要求和管理要求; 第2步: 要求中標注為S類和G類的不變; 標注為A類的要求可以選用2級基本要求中的A類作為基本要求;,安全保護和系統定級的關系,定級指南要求按照“業務信息”和“系統服務”的需求確定整個系統的安全保護等級 定級過程反映了信息系統的保護要求,不同級別系統控制點的差異,不同級別系統要求項的差異,目錄,等級保護概念介紹 等級保護流程介紹 等級保護定級 等級保護基本要求 等級保護實施 等級保護測評 我公司開展的等級保護服務,等級保護角色和職責,等級保護實施原則,自主保護原則 信息系統運營、使用單位及其主管部門按照國家相關法規和標準，自主確定信息系統的安全保護等級，自行組織實施安全保護。 重點保護原則 根據信息系統的重要程度、業務特點，通過劃分不同安全保護等級的信息系統，實現不同強度的安全保護，集中資源優先保護涉及核心業務或關鍵信息資產的信息系統。 同步建設原則 信息系統在新建、改建、擴建時應當同步規劃和設計安全方案，投入一定比例的資金建設信息安全設施，保障信息安全與信息化建設相適應。 動態調整原則 要跟蹤信息系統的變化情況，調整安全保護措施。由于信息系統的應用類型、范圍等條件的變化及其他原因，安全保護等級需要變更的，應當根據等級保護的管理規范和技術標準的要求，重新確定信息系統的安全保護等級，根據信息系統安全保護等級的調整情況，重新實施安全保護。,等級保護實施流程,目錄,等級保護概念介紹 等級保護流程介紹 等級保護定級 等級保護基本要求 等級保護實施 等級保護測評 我公司開展的等級保護支持服務,等級保護測評中的角色關系,系統 承建單位,主管使用 運行單位,測評機構,專家組,支持測評 提供技術、工程和質量文檔 實施的配合,公安 網監部門,測評工作組織協調 確保技術、工程和質量文檔、提供運營相關文檔的提供 評審實施方案等相關文檔 配合等級測評實施 測評過程中的風險管理和應急管理,制定測評計劃和方案等相關文檔 在相關單位支持下實施等級測評 提交測評報告,監督方案評審和系統測評 監督確保遵守公正的測評原則和方法 對評估結論進行評審,測評工作 組織與監管,測評工具和接入點,根據3級信息系統的測評強度要求，在測試的廣度上，應基本覆蓋不同類型的機制，在數量、范圍上可以抽樣；在測試的深度上，應執行功能測試和滲透測試，功能測試可能涉及機制的功能規范、高級設計和操作規程等文檔，滲透測試可能涉及機制的所有可用文檔，并試圖智取進入信息系統等。因此，對其進行測評，應涉及到漏洞掃描工具、滲透測評工具集等多種測試工具。 使用的測試工具主要有：網絡漏洞掃描器、數據庫安全掃描器、滲透測試工具集等。,測評內容-物理安全,物理安全測評將通過訪談、文檔審查和實地察看的方式測評信息系統的的物理安全保障情況。主要涉及對象為屏蔽機房和主機房。,測評內容網絡安全,網絡安全測評將通過訪談、配置檢查和工具測試的方式測評信息系統的的網絡安全保障情況。主要涉及對象為網絡互聯設備、網絡安全設備和網絡拓撲結構等三大類對象。,測評內容主機安全,主機系統安全測評將通過訪談、配置檢查和工具測試的方式測評主機系統安全保障情況。本次重點測評的操作系統包括各網站服務器、應用服務器和數據庫服務器等的操作系統，數據庫管理系統為數據庫服務器Sybase。 。,測評內容應用安全和數據安全,應用安全測評將通過訪談、配置檢查和工具測試的方式測評應用安全保障情況，主要涉及對象為用電信息系統、對外服務網站系統和遠程客戶服務系統。,測評內容安全管理部分,安全管理部分為全局性問題，涉及安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理等五個方面。主要是審查相關管理文檔和記錄文件。,等級保護測評實施物理安全,要求：對于溫濕度控制（G3），在GB/T 22239-2008中的描述為“機房應設置溫、濕度自動調節設施，使機房溫、濕度的變化在設備運行所允許的范圍之內。” 測評方法 （1）應檢查機房是否有溫濕度控制設計/驗收文檔，查看機房溫、濕度是否滿足GB 2887-89計算站場地技術條件的要求，是否能夠滿足系統運行需要，是否與當前實際情況相符合。 （2）應訪談物理安全負責人，詢問機房是否配備了溫、濕度自動調節設施，保證溫濕度能夠滿足計算機設備運行的要求，是否在機房管理制度中規定了溫濕度控制的要求，是否有人負責此項工作 （3）應檢查溫、濕度自動調節設施是否能夠正常運行，查看溫濕度記錄、運行記錄和維護記錄。 （4）應訪談機房維護人員，詢問是否定期檢查和維護機房的溫濕度自動調節設施，詢問是否出現過溫濕度影響系統運行的事件。,等級保護測評實施網絡安全,按照測評方案的要求，核心交換機SJ6509應測評網絡訪問控制（G3）、網絡安全審計（G3）、網絡設備防護（G3）等部分的內容。 測評方法 （1）檢查網絡設備測試報告，檢查是否符合國家關于交換機的安全要求； （2）應檢查邊界和主要網絡設備上的安全設置，查看是否對邊界和主要網絡設備的管理員登錄地址進行限制； （3）應測試邊界和主要網絡設備的安全設置，對網絡設備的管理員登錄地址進行限制（如使用任意地址登錄，觀察網絡設備的動作等）等功能是否有效。,等級保護測評實施主機安全,要求：數據庫為Sybase應測評身份鑒別（S3）、自主訪問控制（S3）、強制訪問控制（S3）、安全審計（G3）、資源控制（A2）、數據備份與恢復（A2）、數據完整性（S3）、數據保密性（S3）等部分的內容。 測評方法：應檢查主要數據庫管理系統，查看對管理用戶的身份鑒別是否采用兩個及兩個以上鑒別技術的組合來進行身份鑒別（如采用用戶名/口令、挑戰應答、動態口令、物理設備、生物識別技術和數字證書方式的身份鑒別技術中的任意兩個組合）。,等級保護測評實施應用和數據安全,要求：業務應用程序（用戶自主開發）應測評身份鑒別（S3）、訪問控制（S3）、安全審計（G3）、剩余信息保護（G3）、通信完整性（S3）、通信保密性（S3）、抗抵賴（S3）、軟件容錯（A3）、資源控制（A3）、數據備份與恢復（A3）、數據完整性（S3）、數據保密性（S3）等部分的內容。 應訪談安全管理員，查看相關設計文檔，檢查業務系統數據在通信過程中是否采取保密措施，具體措施有哪些； 應測試主要應用系統，通過查看通信雙方數據包的內容，查看系統在通信過程中，對整個報文或會話過程進行加密的功能是否有效。,等級保護測評實施管理安全,對于系統運維管理中的密碼管理“應建立密碼使用管理制度，使用符合國家密碼管理規定的密碼技術和產品”的要求。 測評方法：應訪談安全員，詢問密碼技術和產品的使用是否遵照國家密碼管理規定；應檢查是否具有密碼使用管理制度。,目錄,等級保護概念介紹 等級保護流程介紹 等級保護定級 等級保護基本要求 等級保護實施 等級保護測評 我公司開展的等級保護服務,公司行業資質,國家信息安全產品測評中心認定的：“信息系統安全服務一級資質” 廣東省公安廳首家認定的：“信息安全服務一級資質”(GA01001)； 廣東省公安廳首家認定的：“等級保護測評一級資質”(GA001)； 國家保密局