等保三级综述.ppt

1、信息系信息系统等等级保保护综述述等级保护综述等级保护综述（三级）（三级）2013.11信息系信息系统等等级保保护综述述树形结构是为了将一个部门或行业通过网络将中央到省、树形结构是为了将一个部门或行业通过网络将中央到省、地、县等各级机关连接成一个地、县等各级机关连接成一个“自己内部的自己内部的”虚拟网络。虚拟网络。互连结构则是为了将一个部门或行业，与其它部门或行业，互连结构则是为了将一个部门或行业，与其它部门或行业，或与社会各种利益团体虚拟连接起来，以便开展业务合作或与社会各种利益团体虚拟连接起来，以便开展业务合作或实现政府管理或指导职能，。或实现政府管理或指导职能，。电子政务网络系统概述电子政

2、务网络系统概述网络平台网络平台 所依托的网络平台，大体都是由虚拟专网或租用专所依托的网络平台，大体都是由虚拟专网或租用专网构成网构成 网络结构呈现出垂直向下的树形层次结构和同层子网络结构呈现出垂直向下的树形层次结构和同层子网的互连结构网的互连结构 互连的虚拟网络体互连的虚拟网络体“内部内部”各种子网的安全策略各不相同，各种子网的安全策略各不相同，因因 而它们分属于不同的安全管理域而它们分属于不同的安全管理域信息系信息系统等等级保保护综述述电子政务系统网络层次结构示意电子政务系统网络层次结构示意信息系信息系统等等级保保护综述述信息系统安全测评：信息系统安全测评：等级保护与分级保护等级保护与分级保

3、护等级保护等级保护等级保护等级保护分级保护分级保护分级保护分级保护管理体系不同管理体系不同公安机关公安机关公安机关公安机关国家保密工作部门国家保密工作部门国家保密工作部门国家保密工作部门标准体系不同标准体系不同标准体系不同标准体系不同国家标准国家标准国家标准国家标准（GBGB、GB/TGB/T）国家保密标准国家保密标准国家保密标准国家保密标准（BMBBMB，强制执行），强制执行），强制执行），强制执行）保护对象不同保护对象不同保护对象不同保护对象不同各种信息系统各种信息系统各种信息系统各种信息系统国家涉密信息系统国家涉密信息系统国家涉密信息系统国家涉密信息系统级别划分不同级别划分不同级别划分不

4、同级别划分不同第一级：自主保护级第一级：自主保护级第一级：自主保护级第一级：自主保护级第二级：指导保护级第二级：指导保护级第二级：指导保护级第二级：指导保护级第三级：监督保护级第三级：监督保护级第三级：监督保护级第三级：监督保护级第四级：强制保护级第四级：强制保护级第四级：强制保护级第四级：强制保护级第五级：专控保护级第五级：专控保护级第五级：专控保护级第五级：专控保护级秘密级秘密级秘密级秘密级机密级机密级机密级机密级绝密级绝密级绝密级绝密级评估队伍不同评估队伍不同评估队伍不同评估队伍不同各级等级保护测评机构各级等级保护测评机构各级等级保护测评机构各级等级保护测评机构和部门和部门和部门和部门测

5、评中心、测评中心、测评中心、测评中心、技术检查中心、技术检查中心、技术检查中心、技术检查中心、资质单位、自身力量资质单位、自身力量资质单位、自身力量资质单位、自身力量信息系信息系统等等级保保护综述述信息系统的测评标准选择信息系统的测评标准选择适用的方法：适用的方法：电子政务外网电子政务外网：等级保护标准：等级保护标准电子政务内网（涉密）电子政务内网（涉密）：分级保护要求：分级保护要求信息网络系统应根据信息安全等级保护标准，采取信息网络系统应根据信息安全等级保护标准，采取相应等级的信息安全保障措施进行安全防护相应等级的信息安全保障措施进行安全防护 对于集中处理工作秘密的信息系统，可参照秘密对于集

6、中处理工作秘密的信息系统，可参照秘密级信息系统保护的要求进行保护和管理。级信息系统保护的要求进行保护和管理。信息系信息系统等等级保保护综述述等等级保保护之十大之十大标准准l l基础类基础类基础类基础类计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则GB 17859-1999GB 17859-1999GB 17859-1999GB 17859-1999信息系统安全等级保护实施指南信息系统安全等级保护实施指南信息系统安全等级保护实施指南信息系统安全等级保护实施指南GB/T 25058-2010GB/T 2505

7、8-2010GB/T 25058-2010GB/T 25058-2010 l l应用类应用类应用类应用类定级：定级：定级：定级：信息系统安全保护等级定级指南信息系统安全保护等级定级指南信息系统安全保护等级定级指南信息系统安全保护等级定级指南GB/T 22240-2008GB/T 22240-2008GB/T 22240-2008GB/T 22240-2008 建设：建设：建设：建设：信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求GB/T 22239-2008GB/T 22239-2008GB/T 22239-2008GB/T 2

8、2239-2008 信息系统通用安全技术要求信息系统通用安全技术要求信息系统通用安全技术要求信息系统通用安全技术要求GB/T 20271-2006GB/T 20271-2006GB/T 20271-2006GB/T 20271-2006 信息系统等级保护安全设计技术要求信息系统等级保护安全设计技术要求信息系统等级保护安全设计技术要求信息系统等级保护安全设计技术要求GB/T 25070-2010GB/T 25070-2010GB/T 25070-2010GB/T 25070-2010 测评：测评：测评：测评：信息系统安全等级保护测评要求信息系统安全等级保护测评要求信息系统安全等级保护测评要求信息

9、系统安全等级保护测评要求 信息系统安全等级保护测评过程指南信息系统安全等级保护测评过程指南信息系统安全等级保护测评过程指南信息系统安全等级保护测评过程指南 管理：管理：管理：管理：信息系统安全管理要求信息系统安全管理要求信息系统安全管理要求信息系统安全管理要求GB/T 20269-2006GB/T 20269-2006GB/T 20269-2006GB/T 20269-2006 信息系统安全工程管理要求信息系统安全工程管理要求信息系统安全工程管理要求信息系统安全工程管理要求GB/T 20282-2006GB/T 20282-2006GB/T 20282-2006GB/T 20282-2006

10、6信息系信息系统等等级保保护综述述等等级保保护之相关之相关标准准l l技术类GB/T 21052-2007GB/T 21052-2007GB/T 21052-2007GB/T 21052-2007 信息安全技术信息安全技术信息安全技术信息安全技术 信息系统物理安全技术要求信息系统物理安全技术要求信息系统物理安全技术要求信息系统物理安全技术要求GB/T 20270-2006GB/T 20270-2006GB/T 20270-2006GB/T 20270-2006 信息安全技术信息安全技术信息安全技术信息安全技术 网络基础安全技术要求网络基础安全技术要求网络基础安全技术要求网络基础安全技术要求GB

11、/T 20271-2006GB/T 20271-2006GB/T 20271-2006GB/T 20271-2006 信息安全技术信息安全技术信息安全技术信息安全技术 信息系统通用安全技术要求信息系统通用安全技术要求信息系统通用安全技术要求信息系统通用安全技术要求GB/T 20272-2006GB/T 20272-2006GB/T 20272-2006GB/T 20272-2006 信息安全技术信息安全技术信息安全技术信息安全技术 操作系统安全技术要求操作系统安全技术要求操作系统安全技术要求操作系统安全技术要求GB/T 20273-2006GB/T 20273-2006GB/T 20273-2

12、006GB/T 20273-2006 信息安全技术信息安全技术信息安全技术信息安全技术 数据库管理系统安全技术要求数据库管理系统安全技术要求数据库管理系统安全技术要求数据库管理系统安全技术要求其他信息产品、信息安全产品等。其他信息产品、信息安全产品等。其他信息产品、信息安全产品等。其他信息产品、信息安全产品等。l l其他类GB/T 20984-2007GB/T 20984-2007GB/T 20984-2007GB/T 20984-2007 信息安全技术信息安全技术信息安全技术信息安全技术 信息安全风险评估规范信息安全风险评估规范信息安全风险评估规范信息安全风险评估规范GB/T 20285-2

13、007GB/T 20285-2007GB/T 20285-2007GB/T 20285-2007 信息安全技术信息安全技术信息安全技术信息安全技术 信息安全事件管理指南信息安全事件管理指南信息安全事件管理指南信息安全事件管理指南GB/Z 20986-2007GB/Z 20986-2007GB/Z 20986-2007GB/Z 20986-2007 信息安全技术信息安全技术信息安全技术信息安全技术 信息安全事件分类分级指南信息安全事件分类分级指南信息安全事件分类分级指南信息安全事件分类分级指南GB/T 20988-2007GB/T 20988-2007GB/T 20988-2007GB/T 20

14、988-2007 信息安全技术信息安全技术信息安全技术信息安全技术 信息系统灾难恢复规范信息系统灾难恢复规范信息系统灾难恢复规范信息系统灾难恢复规范 7信息系信息系统等等级保保护综述述等等等等级级保保保保护标护标准系列的准系列的准系列的准系列的逻辑逻辑关系关系关系关系划分准则划分准则定级指南定级指南基本要求基本要求测评要求测评要求技术设计要求技术设计要求实施指南实施指南测评过程指南测评过程指南GB/T 20269 安全管理安全管理GB/T 20270 网络基础网络基础GB/T 20271 通用安全技术通用安全技术GB/T 20272 操作系统操作系统GB/T 20273 数据库数据库GB/T

15、20282 安全工程管理安全工程管理等等等等级级保保保保护护8GB/T 20984 风险评估风险评估信息系信息系统等等级保保护综述述实施指南施指南GB/T 25058-2010GB/T 25058-2010等等级保保护实施施过程程基本原基本原则主要主要过程及其活程及其活动角色、职责角色、职责基本流程基本流程等级变更等级变更局部调整局部调整信息系统定级信息系统定级总体安全规划总体安全规划安全设计与实施安全设计与实施安全运行维护安全运行维护信息系统终止信息系统终止国家管理部门（4家）信息系统主管部门信息系统运营、使用单位信息安全服务机构信息安全等级测评机构信息安全产品供应商9信息系信息系统等等级保

16、保护综述述7、系统服务安全等级等等级保保护定定级指南指南GB/T 22240GB/T 22240保护对象受到破坏时受侵害的客体保护对象受到破坏时受侵害的客体对客体的侵害程度对客体的侵害程度一般损害一般损害严重损害严重损害特别严重损害特别严重损害公民、法人和其他组织的合法权益公民、法人和其他组织的合法权益第一级第一级第二级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级等级保护定级方法等级保护定级方法保护对象保护对象对客体的侵害程度对客体的侵害程度客体：社会关系客体：社会关系受侵害的客体受侵害的客体信息系统安全信息系统安全系统服务安全系统服务安全业务信息安全业务信息安全3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体4、业务信息安全等级8、定级对象的安全保护等级8MAX（4，7）1、确定定级对象（系统边界）一般流程一般流程等级确定等级确定10信息系信息系统等等级保保护综述述安全保护等级安全保护等级安全保护