1、信息安全等級(jí)保護(hù)體系解讀第1頁內(nèi)容概要信息安全等級(jí)保護(hù)定義1信息安全等級(jí)保護(hù)內(nèi)容2第2頁信息安全等級(jí)保護(hù)定義信息安全等級(jí)保護(hù)制度是我國信息安全工作保障工作基本制度和基本國策，是開展信息安全工作基本方法，是促進(jìn)信息化、維護(hù)國家信息安全基本保障。信息系統(tǒng)信息安全產(chǎn)品信息安全事件第一級(jí)安全保護(hù)第二級(jí)安全保護(hù)第三級(jí)安全保護(hù)第四級(jí)安全保護(hù)第五級(jí)安全保護(hù)EAL1EAL2EAL3EAL4EAL5尤其重大事件（I級(jí)）重大事件（II級(jí)）較大事件（III級(jí)）普通事件（IV級(jí)）第3頁信息系統(tǒng)安全保護(hù)等級(jí)劃分等級(jí)對(duì)象侵害客體侵害程度監(jiān)管程度第一級(jí)普通系統(tǒng)正當(dāng)權(quán)益損害自主保護(hù)第二級(jí)正當(dāng)權(quán)益嚴(yán)重?fù)p害指導(dǎo)保護(hù)社會(huì)秩序和公共

2、利益損害第三級(jí)主要系統(tǒng)社會(huì)秩序和公共利益嚴(yán)重?fù)p害監(jiān)督檢驗(yàn)國家安全損害第四級(jí)社會(huì)秩序和公共利益尤其嚴(yán)重?fù)p害強(qiáng)制監(jiān)督檢驗(yàn)國家安全嚴(yán)重?fù)p害第五級(jí)極端主要系統(tǒng)國家安全尤其嚴(yán)重?fù)p害專門監(jiān)督檢驗(yàn)第4頁信息安全等級(jí)保護(hù)政策和法律體系中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例(國務(wù)院147號(hào)令)國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作意見（中辦發(fā)27號(hào)）關(guān)于信息安全等級(jí)保護(hù)工作實(shí)施意見（公通字66號(hào)）信息安全等級(jí)保護(hù)管理方法（公通字43號(hào))關(guān)于開展全國主要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作通知（公信安861號(hào)）信息安全等級(jí)保護(hù)立案實(shí)施細(xì)則（公信安1360號(hào)）關(guān)于開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作指導(dǎo)意見(公信安1

3、429號(hào))關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)定工作通知（發(fā)改高技2071號(hào)）關(guān)于推進(jìn)信息安全等級(jí)保護(hù)測評(píng)體系建設(shè)和開展等級(jí)測評(píng)工作通知（公信安303號(hào)文）關(guān)于印發(fā)信息系統(tǒng)安全等級(jí)測評(píng)匯報(bào)模版（試行）通知（公信安1487號(hào)）公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢驗(yàn)工作規(guī)范（公信安736號(hào)）信息安全等級(jí)保護(hù)工作定級(jí)立案整改測評(píng)檢驗(yàn)第5頁信息安全等級(jí)保護(hù)技術(shù)和管理標(biāo)準(zhǔn)體系計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859）信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南信息系統(tǒng)安全等級(jí)保護(hù)基本要求技術(shù)類信息系統(tǒng)通用安全技術(shù)要求信息系統(tǒng)物理安全技術(shù)要求網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求其它技術(shù)類標(biāo)準(zhǔn)管理類信息系統(tǒng)安全管理要求信息系統(tǒng)安

4、全工程管理要求其它管理類標(biāo)準(zhǔn)產(chǎn)品類操作系統(tǒng)安全技術(shù)要求數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求網(wǎng)絡(luò)和終端設(shè)備隔離部件安技術(shù)要求其它產(chǎn)品類標(biāo)準(zhǔn)信息系統(tǒng)安全等級(jí)保護(hù)基本要求行業(yè)細(xì)則信息系統(tǒng)安全等級(jí)保護(hù)基本要求定級(jí)細(xì)則信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)過程指南信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)要求信息安全等級(jí)保護(hù)安全建設(shè)整改工作安全等級(jí)安全要求現(xiàn)實(shí)狀況分析方法指導(dǎo)第6頁信息安全等級(jí)保護(hù)所包括標(biāo)準(zhǔn)通用類1.計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則(GB17859)2.信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南(GB/T25058)3.信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求(GB/T22239)

5、4.信息安全技術(shù)信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南(GB/T22240)5.信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)要求6.信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)過程指南。安全技術(shù)類1.信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求2.信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求(GB/T20270)3.信息安全技術(shù)信息系統(tǒng)安全通用技術(shù)要求(GB/T20271)4.信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求(GB/T21052)5.信息安全技術(shù)服務(wù)器安全技術(shù)要求(GB/T21028)6.信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求(GB/T20272)7.信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求(GBT20273)。安全管理類1.信息安全技術(shù)信息系統(tǒng)

6、安全管理要求(GB/T20269)2.信息安全技術(shù)信息系統(tǒng)安全工程管理要求(GB/T20282)3.信息技術(shù)安全技術(shù)信息安全事件管理指南(GB/Z20985)4.信息安全技術(shù)信息安全事件分類分級(jí)指南(GB/Z20986)。第7頁等保2.0為了適應(yīng)移動(dòng)互聯(lián)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)和工業(yè)控制等新技術(shù)、新應(yīng)用、情況下信息安全等級(jí)保護(hù)工作開展，需對(duì)GB/T 2239-進(jìn)行修訂新等保系列標(biāo)準(zhǔn)當(dāng)前主要有六個(gè)部分GB/T 22239.1 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求 第1部分 安全通用要求GB/T 22239.2 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求 第2部分 云計(jì)算安全擴(kuò)展要求GB/T 222

7、39.1 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求 第3部分 移動(dòng)互聯(lián)安全擴(kuò)展要求GB/T 22239.1 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求 第4部分 物聯(lián)網(wǎng)安全擴(kuò)展要求GB/T 22239.1 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求 第5部分 工業(yè)控制安全擴(kuò)展要求GB/T 22239.1 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求 第6部分 大數(shù)據(jù)安全擴(kuò)展要求第8頁信息安全等級(jí)保護(hù)工作職責(zé)和角色行業(yè)主管部門：負(fù)責(zé)依照國家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，督促、檢驗(yàn)和指導(dǎo)本行業(yè)、本部門或者當(dāng)?shù)赜蛐畔⑾到y(tǒng)運(yùn)行、使用單位信息安全等級(jí)保護(hù)工作。公安機(jī)關(guān)：非涉密信息系統(tǒng)等級(jí)保護(hù)詳細(xì)工作監(jiān)督、檢驗(yàn)、指

8、導(dǎo)。保密部門：涉密信息系統(tǒng)等保工作監(jiān)督、檢驗(yàn)、指導(dǎo)。密碼管理部門：密碼工作監(jiān)督、檢驗(yàn)、指導(dǎo)。國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)：各部門間工作協(xié)調(diào)。測評(píng)機(jī)構(gòu)：對(duì)信息系統(tǒng)和信息安全產(chǎn)品進(jìn)行等級(jí)保護(hù)測評(píng)，出具測評(píng)結(jié)論。信息安全服務(wù)機(jī)構(gòu)：幫助信息系統(tǒng)運(yùn)行、使用單位完成安全保護(hù)等級(jí)、安全需求分析、安全總體規(guī)劃、實(shí)施安全建設(shè)和安全改造等。信息系統(tǒng)運(yùn)行、使用單位：確定安全保護(hù)等級(jí)，安全保護(hù)規(guī)劃設(shè)計(jì)，定級(jí)進(jìn)行等保測評(píng)，建立信息安全事件應(yīng)急響應(yīng)體系。信息安全產(chǎn)品供給商：開發(fā)符合等級(jí)保護(hù)相關(guān)要求信息安全產(chǎn)品，按照等級(jí)保護(hù)相關(guān)要求銷售信息安全產(chǎn)品并提供相關(guān)服務(wù)。信息安全等級(jí)保護(hù)第9頁信息安全等級(jí)保護(hù)

9、工作概述定級(jí)立案整改測評(píng)檢驗(yàn)信息安全等級(jí)保護(hù)工作流程1.確定信息系統(tǒng)安全防護(hù)等級(jí)，形成定級(jí)匯報(bào)。2.持定級(jí)匯報(bào)到當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)監(jiān)部門進(jìn)行立案。3.參考信息系統(tǒng)當(dāng)前等級(jí)要求和標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)進(jìn)行整改加固。4.委托具備測評(píng)資質(zhì)測評(píng)機(jī)構(gòu)對(duì)信息系統(tǒng)進(jìn)行等級(jí)測評(píng)，形成正式測評(píng)匯報(bào)。5.向當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)監(jiān)部門提交測評(píng)匯報(bào)，配合完成對(duì)信息安全等級(jí)保護(hù)實(shí)施情況檢驗(yàn)。第10頁信息安全等級(jí)保護(hù)定級(jí)定義由信息系統(tǒng)運(yùn)行單位確定信息系統(tǒng)安全保護(hù)等級(jí)。1由運(yùn)行單位業(yè)務(wù)部門確定實(shí)施信息安全等級(jí)保護(hù)信息系統(tǒng)。2參考定級(jí)標(biāo)準(zhǔn)和流程取得信息等級(jí)安全保護(hù)等級(jí)信息。3最終形成信息系統(tǒng)安全保護(hù)等級(jí)確認(rèn)匯報(bào)。第11頁定級(jí)參考信息業(yè)務(wù)信息

10、安全保護(hù)等級(jí)矩陣表業(yè)務(wù)信息安全被破壞時(shí)所侵害客體對(duì)對(duì)應(yīng)客體侵害程度普通損害嚴(yán)重?fù)p害尤其嚴(yán)重?fù)p害企業(yè)、法人和其它組織正當(dāng)利益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國家安全第三級(jí)第四級(jí)第四級(jí)系統(tǒng)服務(wù)安全保護(hù)等級(jí)矩陣表系統(tǒng)服務(wù)安全被破壞時(shí)所侵害客體對(duì)對(duì)應(yīng)客體侵害程度普通損害嚴(yán)重?fù)p害尤其嚴(yán)重?fù)p害企業(yè)、法人和其它組織正當(dāng)利益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國家安全第三級(jí)第四級(jí)第四級(jí)第12頁定級(jí)流程1.確定定級(jí)對(duì)象2.確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害客體3.綜合評(píng)定對(duì)客體侵害程度4.業(yè)務(wù)信息安全等級(jí)（S）5.確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害客體6.綜合評(píng)定對(duì)客體侵害程

11、度7.系統(tǒng)服務(wù)安全等級(jí)（A）8.定級(jí)對(duì)象安全保護(hù)等級(jí)（SxAxGx）第13頁信息安全等級(jí)保護(hù)立案定義由信息系統(tǒng)運(yùn)行單位持定級(jí)匯報(bào)到當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)監(jiān)部門進(jìn)行信息系統(tǒng)安全保護(hù)等級(jí)信息立案。1按照運(yùn)行單位所在地確定受理立案機(jī)構(gòu)（省公安廳/市公安局）。2由運(yùn)行單位填寫信息系統(tǒng)安全等級(jí)保護(hù)立案表格。3提交立案表格，取得立案回執(zhí)信息（經(jīng)過審核/限期整改）。第14頁信息安全等級(jí)保護(hù)整改定義按照信息系統(tǒng)已立案等級(jí)信息，參考信息安全等級(jí)保護(hù)基本要求，組織開展差距分析及整改加固相關(guān)工作。由信息系統(tǒng)運(yùn)行單位開展自查及整改工作，不停完善信息安全等級(jí)保護(hù)各項(xiàng)要求。委托具備測評(píng)資質(zhì)測評(píng)機(jī)構(gòu)開展信息系統(tǒng)安全等級(jí)保護(hù)差距分析

12、，配合運(yùn)行單位完成整改及安全加固工作。第15頁信息安全等級(jí)保護(hù)測評(píng)定義委托具備測評(píng)資質(zhì)第三方測評(píng)機(jī)構(gòu)，對(duì)已定級(jí)信息系統(tǒng)進(jìn)行信息安全等級(jí)保護(hù)測評(píng)，并出具正式測評(píng)匯報(bào)和測評(píng)結(jié)論。1明確被測評(píng)系統(tǒng)安全保護(hù)等級(jí)，制訂測評(píng)方案和實(shí)施計(jì)劃。2由運(yùn)行單位配合完成測評(píng)過程中人員訪談、配置檢驗(yàn)、安全測試等工作。3出具最終測評(píng)匯報(bào)和測評(píng)結(jié)論（符合/基本符合/不符合）。第16頁測評(píng)實(shí)施流程等級(jí)測評(píng)項(xiàng)目開啟信息搜集與分析工具和表單準(zhǔn)備測評(píng)準(zhǔn)備活動(dòng)測評(píng)對(duì)象確定測評(píng)指標(biāo)確定測評(píng)內(nèi)容確定工具測評(píng)方法確定測評(píng)指導(dǎo)書開發(fā)測評(píng)方案編制方案編制活動(dòng)現(xiàn)場測評(píng)準(zhǔn)備現(xiàn)場測評(píng)和結(jié)果統(tǒng)計(jì)結(jié)果確認(rèn)和資料償還現(xiàn)場測評(píng)活動(dòng)單項(xiàng)測評(píng)結(jié)果判定單元測評(píng)

13、結(jié)果判定整體測評(píng)風(fēng)險(xiǎn)分析等保測評(píng)結(jié)論形成測評(píng)匯報(bào)編制匯報(bào)編制活動(dòng)溝通與洽談第17頁信息安全等級(jí)保護(hù)檢驗(yàn)定義公安機(jī)關(guān)網(wǎng)監(jiān)部門定時(shí)對(duì)信息系統(tǒng)運(yùn)行單位信息安全等級(jí)保護(hù)實(shí)施情況進(jìn)行檢驗(yàn)和監(jiān)督。1第三級(jí)信息系統(tǒng)每年一次；第四級(jí)信息系統(tǒng)每六個(gè)月一次。2檢驗(yàn)內(nèi)容包含：定級(jí)立案情況、安全整改情況、安全管理制度建設(shè)和落實(shí)情況、測評(píng)實(shí)施情況等。3由公安機(jī)關(guān)網(wǎng)監(jiān)部門出具檢驗(yàn)匯報(bào)或整改通知書。第18頁信息安全等級(jí)保護(hù)基本要求安全運(yùn)維管理系統(tǒng)建設(shè)管理信息安全等級(jí)保護(hù)基本要求物理和環(huán)境安全網(wǎng)絡(luò)和通信安全設(shè)備和計(jì)算安全安全策略和管理制度安全管理機(jī)構(gòu)和人員應(yīng)用和數(shù)據(jù)安全安全建設(shè)管理技術(shù)要求管理要求第19頁安全通用技術(shù)要求技術(shù)

14、要求物理和環(huán)境安全物理位置的選擇物理訪問控制防盜竊和防破壞防雷/火/水/潮防靜電溫濕度控制電力供應(yīng)電磁防護(hù)網(wǎng)絡(luò)和通信安全網(wǎng)絡(luò)架構(gòu)通信傳輸邊界防護(hù)訪問控制入侵防范惡意代碼防范安全設(shè)計(jì)集中管控設(shè)備與計(jì)算安全身份鑒別訪問控制安全審計(jì)入侵防范惡意代碼防范資源控制應(yīng)用和數(shù)據(jù)安全身份鑒別訪問控制安全審計(jì)軟件容錯(cuò)資源控制數(shù)據(jù)完整性數(shù)據(jù)保密性數(shù)據(jù)備份恢復(fù)剩余信息保護(hù)個(gè)人信息保護(hù)第20頁經(jīng)典等級(jí)保護(hù)安全技術(shù)方案第21頁等級(jí)保護(hù)二/三級(jí)關(guān)鍵點(diǎn)說明二級(jí)技術(shù)方面安全審計(jì)、邊界完整性檢查、入侵防范、資源控制以及通信保密性控制點(diǎn)網(wǎng)絡(luò)安全不僅要滿足網(wǎng)絡(luò)安全運(yùn)行的基本保障，同時(shí)要考慮網(wǎng)絡(luò)處理能力要滿足業(yè)務(wù)極限時(shí)的需要加強(qiáng)了網(wǎng)

15、絡(luò)邊界的防護(hù)，增加了安全審計(jì)、邊界完整性檢查、入侵防范等控制點(diǎn)對(duì)網(wǎng)絡(luò)設(shè)備的防護(hù)不僅局限于簡單的身份鑒別，同時(shí)對(duì)標(biāo)識(shí)和鑒別信息都有了相應(yīng)的要求三級(jí)是等級(jí)保護(hù)二級(jí)要求的擴(kuò)展加強(qiáng)三級(jí)要求主干鏈路冗余，設(shè)備性能有冗余技術(shù)方面網(wǎng)絡(luò)惡意代碼防范、剩余信息保護(hù)、抗抵賴訪問控制增加了對(duì)重要新信息資源設(shè)置敏感標(biāo)記，對(duì)身份鑒別、訪問控制、安全審計(jì)、數(shù)據(jù)完整性、數(shù)據(jù)保密等均有更進(jìn)一步的要求網(wǎng)絡(luò)安全對(duì)網(wǎng)絡(luò)處理能力增加了“優(yōu)先級(jí)”考慮，保證重要主機(jī)能夠在網(wǎng)絡(luò)擁堵時(shí)仍能狗正常運(yùn)行網(wǎng)絡(luò)邊界的訪問控制擴(kuò)展到應(yīng)用層，網(wǎng)絡(luò)邊界的其他防護(hù)措施進(jìn)一步增強(qiáng)，不僅能夠被動(dòng)的“防”，還應(yīng)能夠主動(dòng)發(fā)出一些動(dòng)作，如報(bào)警、阻斷等，網(wǎng)絡(luò)設(shè)備的防護(hù)

16、手段要求兩種身份鑒別技術(shù)綜合使用第22頁三級(jí)等保實(shí)施方案（通用）三級(jí)系統(tǒng)安全保護(hù)環(huán)境基本要求與對(duì)應(yīng)產(chǎn)品使用范圍基本要求產(chǎn)品類型舉例安全計(jì)算環(huán)境網(wǎng)絡(luò)結(jié)構(gòu)（VLAN劃分）三層交換機(jī)（防火墻）MPLS VPN訪問控制（權(quán)限分離）主機(jī)關(guān)鍵加固系統(tǒng)入侵防范（檢測告警）主機(jī)入侵檢測產(chǎn)品備份恢復(fù)（數(shù)據(jù)備份）設(shè)備冗余、當(dāng)?shù)貍浞荩ń橘|(zhì)場外存放）數(shù)據(jù)完整性、保密性VPN設(shè)備剩下信息管理終端綜合管理系統(tǒng)身份認(rèn)證（雙原因）證書、令牌、保密卡惡意代碼防范（統(tǒng)一管理）網(wǎng)絡(luò)版主機(jī)防病毒軟件安全區(qū)域邊界區(qū)域邊界訪問控制（協(xié)議檢測）防火墻（IPS）資源控制（優(yōu)先級(jí)控制）帶寬管理、流量控制設(shè)備區(qū)域邊界入侵檢測IDS區(qū)域邊界惡意代碼防范防病毒網(wǎng)關(guān)，沙箱區(qū)域邊界完整性保護(hù)終端綜合管理系統(tǒng)安全通信網(wǎng)絡(luò)通信網(wǎng)絡(luò)安全審計(jì)上網(wǎng)行為管理數(shù)據(jù)傳輸完整性、保密性保護(hù)VPN設(shè)備安全管理中心系統(tǒng)管理安全管理平臺(tái)審計(jì)管理（網(wǎng)絡(luò)、主機(jī)、應(yīng)用）安全