信息安全等级保护详解.pptx

1、等级等级保护保护信息系统安全信息系统安全测评测评等级保护等级保护等级保护等级保护管理体系不同管理体系不同公安机关公安机关公安机关公安机关标准体系不同标准体系不同标准体系不同标准体系不同国家标准国家标准国家标准国家标准（GBGB、GB/TGB/T）保护对象不同保护对象不同保护对象不同保护对象不同各种信息系统各种信息系统各种信息系统各种信息系统级别划分不同级别划分不同级别划分不同级别划分不同第一级：自主保护级第一级：自主保护级第一级：自主保护级第一级：自主保护级第二级：指导保护级第二级：指导保护级第二级：指导保护级第二级：指导保护级第三级：监督保护级第三级：监督保护级第三级：监督保护级第三级：监督

2、保护级第四级：强制保护级第四级：强制保护级第四级：强制保护级第四级：强制保护级第五级：专控保护级第五级：专控保护级第五级：专控保护级第五级：专控保护级评估队伍不同评估队伍不同评估队伍不同评估队伍不同 各级等级保护测评机构和部门各级等级保护测评机构和部门各级等级保护测评机构和部门各级等级保护测评机构和部门等级保护之十大标准基础类计算机信息系统安全保护等级划分准则GB 17859-1999信息系统安全等级保护实施指南GB/T 25058-2010 应用类定级：信息系统安全保护等级定级指南GB/T 22240-2008 建设：信息系统安全等级保护基本要求GB/T 22239-2008 信息系统通用安

3、全技术要求GB/T 20271-2006 信息系统等级保护安全设计技术要求GB/T 25070-2010 测评：信息系统安全等级保护测评要求 信息系统安全等级保护测评过程指南 管理：信息系统安全管理要求GB/T 20269-2006 信息系统安全工程管理要求GB/T 20282-2006 3等级保护标准系列的逻辑关系划分准则定级指南基本要求测评要求技术设计要求实施指南测评过程指南GB/T 20269 安全管理GB/T 20270 网络基础GB/T 20271 通用安全技术GB/T 20272 操作系统GB/T 20273 数据库GB/T 20282 安全工程管理等级保护等级保护4GB/T 20

4、984 风险评估7、系统服务安全等级等级保护定级指南GB/T 22240保护对象受到破坏时受侵害的客体保护对象受到破坏时受侵害的客体对客体的侵害程度对客体的侵害程度一般损害一般损害严重损害严重损害特别严重损害特别严重损害公民、法人和其他组织的合法权益公民、法人和其他组织的合法权益第一级第一级第二级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级等级保护定级方法等级保护定级方法保护对象保护对象对客体的侵害程度对客体的侵害程度客体：社会关系客体：社会关系受侵害的客体受侵害的客体信息系统安全信息系统安全系统

5、服务安全系统服务安全业务信息安全业务信息安全3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体4、业务信息安全等级8、定级对象的安全保护等级8MAX（4，7）1、确定定级对象（系统边界）一般流程一般流程等级确定等级确定5安全保护等级安全保护等级信息系统定级结果的组合信息系统定级结果的组合第一级第一级S1A1G1第二级第二级S1A2G2，S2A2G2，S2A1G2第三级第三级S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四级第四级S1A4G4，S2A4G4，S3A4G4，S4A4G4

6、，S4A3G4，S4A2G4，S4A1G4第五级第五级S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A4G5，S5A3G5，S5A2G5，S5A1G5基本保护要求（最低）保护能力对抗能力恢复能力技术要求管理要求物理、网络、主机、应用、数据制度、机构、人员、建设、运维纵深防御、互补关联、强度一致、平台统一、集中安管业务信息安全类要求 S系统服务保证类要求 A通用安全保护类要求 G整体安全保护能力关键控制点安全类具体要求项控制强度基本要求基本要求GB/T 22239GB/T 22239基本保护要求（最低）保护能力对抗能力恢复能力物理、网络、主机、应用、数据制度、机构、人员、建设、运维

7、纵深防御、互补关联、强度一致、平台统一、集中安管通用安全保护类要求 G关键控制点安全类安全要求类安全要求类层面层面一级一级二级二级三级三级四级四级技术要求技术要求物理安全物理安全7 7101010101010网络安全网络安全3 36 67 77 7主机安全主机安全4 46 67 79 9应用安全应用安全4 47 79 911 11数据安全及备份恢复数据安全及备份恢复2 23 33 33 3管理要求管理要求安全管理制度安全管理制度2 23 33 33 3安全管理机构安全管理机构4 45 55 55 5人员安全管理人员安全管理4 45 55 55 5系统建设管理系统建设管理9 99 911 111

8、1 11系统运维管理系统运维管理9 9121213131313合计合计/4848666673737777级差级差/18187 74 4控控制制点点基本要求基本要求GB/T 22239GB/T 22239安全要求类安全要求类层面层面一级一级二级二级三级三级四级四级技术要求技术要求物理安全物理安全9 9191932323333网络安全网络安全9 9181833333232主机安全主机安全6 6191932323636应用安全应用安全7 7191931313636数据安全及备份恢复数据安全及备份恢复2 24 48 811 11管理要求管理要求安全管理制度安全管理制度3 37 711 111414安全

9、管理机构安全管理机构4 49 920202020人员安全管理人员安全管理7 711 1116161818系统建设管理系统建设管理2020282845454848系统运维管理系统运维管理1818414162627070合计合计/8585175175290290318318级差级差/90901151152828控制项8基本要求基本要求GB/T 22239GB/T 22239等级保护相关的等级保护相关的主要方法主要方法安全域（第3级）安全域（第2级）监督保护级网络监督保护级网络安全域（第3级）安全域（第2级）安全域（第2级）禁止高敏感级信息由高等级安全域流向低等级安全域分域分级防护示意主要防护措施主

10、要防护措施n 防火墙系统防火墙系统n 隔离与交换系统隔离与交换系统n 网络入侵防御系统网络入侵防御系统n 主页防篡改系统主页防篡改系统n 防病毒网关防病毒网关n 抗抗DDosDDos系统系统n VPN VPN网关网关n 安全认证网关安全认证网关n 主机、服务器安全加固主机、服务器安全加固n 文件安全系统文件安全系统n 电子邮件安全等等电子邮件安全等等安全管理平台安全管理平台n 主机监控与审计系统主机监控与审计系统n 网络安全审计系统网络安全审计系统n 综合安全管理平台综合安全管理平台n 数字证书颁发和管理平台数字证书颁发和管理平台n 。各级安全管理中心对管辖网络实施各级安全管理中心对管辖网络实

11、施安全集中管理。安全集中管理。等级保护要求等级保护要求（技术（技术&管理）管理）物理位置的选择物理位置的选择基本防护能力高层、地下室高层、地下室物理访问控制物理访问控制基本出入控制分区域管理分区域管理在机房中的活动电子门禁电子门禁防盗窃和防破坏防盗窃和防破坏存放位置、标记标识监控报警系统监控报警系统防雷击防雷击建筑防雷、机房接地设备防雷设备防雷防火防火灭火设备、自动报警自动消防系统自动消防系统区域隔离措施区域隔离措施防防静电静电关键设备主要设备主要设备防静电地板防静电地板电力供应电力供应稳定电压、短期供应主要设备主要设备冗余冗余/并行线路并行线路备用供电系统备用供电系统电磁防护电磁防护线缆隔离

12、接地防干扰接地防干扰电磁屏蔽电磁屏蔽防水和防潮防水和防潮温湿度控制温湿度控制物理安全的整改要点结构安全结构安全关键设备冗余空间主要设备冗余空间主要设备冗余空间访问控制访问控制访问控制设备（用户、网段）应用层协议过滤应用层协议过滤拨号访问限制会话终止会话终止安全审计安全审计日志记录审计报表审计报表边界完整性检查边界完整性检查内部的非法联出非授权设备私自外联非授权设备私自外联网络安全的整改要点子网/网段控制核心网络带宽整体网络带宽整体网络带宽重要网段部署重要网段部署路由控制路由控制带宽分配优先级带宽分配优先级端口控制端口控制最大流量数及最大连接数最大流量数及最大连接数防止地址欺骗防止地址欺骗审计记

13、录的保护审计记录的保护定位及阻断定位及阻断入侵防范入侵防范检测常见攻击记录、报警记录、报警恶意代码防范恶意代码防范网络边界处防范网络边界处防范网络设备防护网络设备防护基本的登录鉴别组合鉴别技术组合鉴别技术特权用户的权限分离特权用户的权限分离身份鉴别身份鉴别基本的身份鉴别访问控制访问控制安全策略管理用户的权限分离管理用户的权限分离特权用户的权限分离安全审计安全审计服务器基本运行情况审计审计报表审计报表剩余信息保护剩余信息保护空间释放及信息清除主机安全的整改要点组合鉴别技术组合鉴别技术敏感标记的设置及操作审计记录的保护审计记录的保护入侵防范入侵防范最小安装原则重要服务器：检测、记录、报警重要服务器

14、：检测、记录、报警恶意代码防范恶意代码防范主机与网络的防范产品不同主机与网络的防范产品不同资源控制资源控制监视重要服务器监视重要服务器最小服务水平的检测及报警最小服务水平的检测及报警重要客户端的审计重要客户端的审计升级服务器重要程序完整性重要程序完整性防恶意代码软件、代码库统一管理对用户会话数及终端登录的限制身份鉴别身份鉴别基本的身份鉴别访问控制访问控制安全策略最小授权原则安全审计安全审计运行情况审计（用户级）审计报表审计报表剩余信息保护剩余信息保护空间释放及信息清除应用安全的整改要点组合鉴别技术组合鉴别技术敏感标记的设置及操作审计过程的保护审计过程的保护通信完整性通信完整性校验码技术密码技术

15、密码技术软件容错软件容错自动保护功能资源控制资源控制资源分配限制、资源分配优先级资源分配限制、资源分配优先级最小服务水平的检测及报警最小服务水平的检测及报警数据有效性检验、部分运行保护对用户会话数及 系统最大并发会话数的限制审计记录的保护通信保密性通信保密性初始化验证整个报文及会话过程加密整个报文及会话过程加密敏感信息加密抗抵赖抗抵赖数据完整性数据完整性鉴别数据传输的完整性备份和恢复备份和恢复重要数据的备份数据安全及备份恢复的整改要点各类数据传输及存储各类数据传输及存储异地备份异地备份网络冗余、硬件冗余网络冗余、硬件冗余本地完全备份本地完全备份硬件冗余检测和恢复数据保密性数据保密性鉴别数据存储的保密性各类数据的传输及存储各类数据的传输及存储每天每天1次次备份介质场外存放备份介质场外存放谢 谢