等级保护整改.ppt

1、广东计安信息网络培训中心广东计安信息网络培训中心信息安全等级保护整改程晓峰目录第一部分等级保护安全建设整改工作指南第二部分等级保护标准与产品第三部分等级保护方案设计和技术路线第一部分第一部分 等级保护安全建设整改工作指南等级保护安全建设整改工作指南（1）概述）概述（2）安全管理制度建设）安全管理制度建设（3）安全技术措施建设安全技术措施建设（4）信息安全等级保护相关标准体系）信息安全等级保护相关标准体系（5）等级保护标准之间关系）等级保护标准之间关系第一部分第一部分 等级保护安全建设整改工作指南等级保护安全建设整改工作指南（1）概述）概述1.1工作目标工作目标信息系统运营使用单位在做好信息系统

2、安全等级保护定级备案工作基础上，按照国家有关规定和标准规范要求，开展信息安全等级保护安全建设整改工作。通过落实安全责任制，开展管理制度建设、技术措施建设，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全保护能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益。1.2工作内容工作内容o应按照国家有关规定和标准规范要求，坚持管理和技术并重的原则，将技术措施和管理措施有机结合，建立信息系统综合防护体系，提高信息系统整体安全保护能力。要依据信息系统安全等级保护基本要求，落实信息安全责任制，建立并落实各类安全管理制度，开展人员安全管理、系统建

3、设管理和系统运维管理等工作，落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施 o应根据信息系统定级时的业务信息安全等级和系统服务安全等级，以及信息系统安全保护现状确定。信息系统安全建设整改工作具体实施可以根据实际情况，将安全管理和安全技术整改内容一并实施，或分步实施。1.3工作流程标准应用1.5安全目标第一级信息系统：第一级信息系统：经过安全建设整改，信息系统具有抵御一般性攻击的能力，防范常见计算机病毒和恶意代码危害的能力；系统遭到损害后，具有恢复系统主要功能的能力。第二级信息系统：第二级信息系统：经过安全建设整改，信息系统具有抵御小规模、较弱强度恶意攻击的能力，抵抗一般

4、的自然灾害的能力，防范一般性计算机病毒和恶意代码危害的能力；具有检测常见的攻击行为，并对安全事件进行记录的能力；系统遭到损害后，具有恢复系统正常运行状态的能力。1.6安全目标（续）第三级信息系统：第三级信息系统：经过安全建设整改，信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力，抵抗较为严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵行为的能力；具有对安全事件进行响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的系统，应能快速恢复正常运行状态；具有对系统资源、用户、安全机制等进

5、行集中控管的能力。第四级信息系统：第四级信息系统：经过安全建设整改，信息系统在统一的安全保护策略下具有抵御敌对势力有组织的大规模攻击的能力，抵抗严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵行为的能力；具有对安全事件进行快速响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的系统，应能立即恢复正常运行状态；具有对系统资源、用户、安全机制等进行集中控管的能力。第二部分第二部分 等级保护标准与产品等级保护标准与产品第二部分第二部分 等级保护标准与产品等级保护标准与产品（1）信息安全等级保护相关标准

6、体系）信息安全等级保护相关标准体系（2）信息系统等级保护安全设计技术要求）信息系统等级保护安全设计技术要求（3）等级保护标准之间关系）等级保护标准之间关系（4）信息系统等级保护安全产品）信息系统等级保护安全产品第二部分第二部分 等级保护标准与产品等级保护标准与产品（1）信息安全等级保护相关标准体系）信息安全等级保护相关标准体系1信息安全等级保护相关标准体系信息安全等级保护相关标准大致可以分为四类：基础类、应用类、产品类和其他类。1.1基础类标准基础类标准计算机信息系统安全保护等级划分准则（GB17859-1999）信息系统安全等级保护基本要求（GB/T22239-2008）。1.2 应用类标准

7、应用类标准1.2.1信息系统定级信息系统安全保护等级定级指南（GB/T22240-2008）1.2.2等级保护实施信息系统安全等级保护实施指南（信安字200710号）1.2.3信息系统安全建设信息系统通用安全技术要求（GB/T20271-2006）信息系统等级保护安全设计技术要求（信安秘字2009059号）信息系统安全管理要求（GB/T20269-2006）信息系统安全工程管理要求（GB/T20282-2006）信息系统物理安全技术要求（GB/T21052-2007）网络基础安全技术要求（GB/T20270-2006）信息系统安全等级保护体系框架（GA/T708-2007）信息系统安全等级保护

8、基本模型（GA/T709-2007）信息系统安全等级保护基本配置（GA/T710-2007）1.2.4等级测评信息系统安全等级保护测评要求（报批稿）信息系统安全等级保护测评过程指南（报批稿）信息系统安全管理测评（GA/T713-2007）1.3 产品类标准产品类标准1.3.1操作系统操作系统安全技术要求（GB/T20272-2006）操作系统安全评估准则（GB/T20008-2005）1.3.2数据库数据库管理系统安全技术要求（GB/T20273-2006）数据库管理系统安全评估准则（GB/T20009-2005）1.3.3网络网络端设备隔离部件技术要求（GB/T20279-2006）网络端设

9、备隔离部件测试评价方法（GB/T20277-2006）网络脆弱性扫描产品技术要求（GB/T20278-2006）网络脆弱性扫描产品测试评价方法（GB/T20280-2006）网络交换机安全技术要求（GA/T684-2007）虚拟专用网安全技术要求（GA/T686-2007）1.3.4PKI公钥基础设施安全技术要求（GA/T687-2007）PKI系统安全等级保护技术要求（GB/T21053-2007）1.3.5网关网关安全技术要求（GA/T681-2007）1.3.6服务器服务器安全技术要求（GB/T21028-2007）1.3.7入侵检测入侵检测系统技术要求和检测方法（GB/T20275-2

10、006）计算机网络入侵分级要求（GA/T700-2007）1.3.8防火墙防火墙安全技术要求（GA/T683-2007）防火墙技术测评方法（报批稿）信息系统安全等级保护防火墙安全配置指南（报批稿）防火墙技术要求和测评方法（GB/T20281-2006）包过滤防火墙评估准则（GB/T20010-2005）1.3.9路由器路由器安全技术要求（GB/T18018-2007）路由器安全评估准则（GB/T20011-2005）路由器安全测评要求（GA/T682-2007）1.3.10交换机网络交换机安全技术要求（GB/T21050-2007）交换机安全测评要求（GA/T685-2007）1.3.11其他

11、产品终端计算机系统安全等级技术要求（GA/T671-2006）终端计算机系统测评方法（GA/T671-2006）审计产品技术要求和测评方法（GB/T20945-2006）虹膜特征识别技术要求（GB/T20979-2007）虚拟专网安全技术要求（GA/T686-2007）应用软件系统安全等级保护通用技术指南（GA/T711-2007）应用软件系统安全等级保护通用测试指南（GA/T712-2007）网络和终端设备隔离部件测试评价方法（GB/T20277-2006）网络脆弱性扫描产品测评方法（GB/T20280-2006）1.4其他类标准其他类标准1.4.1风险评估信息安全风险评估规范（GB/T20

12、984-2007）1.4.2事件管理信息安全事件管理指南（GB/Z20985-2007）信息安全事件分类分级指南（GB/Z20986-2007）信息系统灾难恢复规范（GB/T20988-2007）（a）机房工程：GB/T2887-2000电子计算机场地通用规范GB50174-2008电子信息系统机房设计规范SJ/T31469-2002防静电地面施工及验收规范GB9361-88计算站场地安全要求GB50057建筑物防雷设计规范GB/T50314智能建筑设计标准1.1.9等级保护其它参考标准（5）其它标准（b）综合布线系统：GB/T50311-2007建筑与建筑群综合布线工程系统设计规范GB/T5

13、0312-2007建筑与建筑群综合布线系统工程验收规范（c）网络基础平台：YD505197本地网通信线路工程验收规范YD5070-98公用计算机互联网工程验收规范（d）信息应用系统：GB/T17544-1998信息技术软件包质量要求和测试GB/T16260-1996软件工程产品质量GB/T18905-2002软件工程产品评价1.1.10等级保护其它参考标准（续）GB/T19668.1-2005信息化工程监理规范第1部分：总则GB/T19668.2-2007信息化工程监理规范第2部分：通用布缆系统工程监理规范GB/T19668.3-2007信息化工程监理规范第3部分：电子设备机房系统工程监理规范

14、GB/T19668.4-2007信息化工程监理规范第4部分：计算机网络系统工程监理规范GB/T19668.5-2007信息化工程监理规范第5部分:软件工程监理规范GB/T19668.6-2007信息化工程监理规范第6部分:信息化工程安全监理规范1.1.11等级保护工程监理参考标准1.1.12 网络信任体系标准PKI/PMI安全机制安全机制密码算法密码算法GB/T 15843-2008 信息技术 安全技术 实体鉴别GB/T 17902-2005信息技术 安全技术 带附录的数字签名GB/T 17903-2008信息技术 安全技术 抗抵赖 分组算法应用接口规范（征求意见稿）CA密码设备应用程序接口（

15、征求意见稿）杂凑算法应用接口规范（征求意见稿）随机性检测标准（征求意见稿）网络密码机通用技术规范（征求意见稿）ECC算法应用接口规范（征求意见稿）GB/T 16264.8-2005 信息技术 开放系统互连 目录 第8部分：公钥和属性证书框架GB/T 20518-2006 信息技术 安全技术 公钥基础设施 数字证书格式GB/T 19714-2005 信息技术 安全技术 公钥基础设施 证书管理协议GB/T 20519-2006 信息安全技术 公钥基础设施 特定权限管理中心技术规范GB/T 19713-2005 信息技术 安全技术 公钥基础设施 在线证书状态协议GB/T 20520-2006 信息安

16、全技术 公钥基础设施 时间戳规范 第二部分第二部分 等级保护标准与产品等级保护标准与产品（2 2）信息系统等级保护安全设计技术要求）信息系统等级保护安全设计技术要求1.3.1信息安全参考模型信息安全参考模型成功的完成业务成功的完成业务信息保障信息保障人人技术技术操作操作防御网络与基础设施防御飞地边界防御计算环境支 撑性 基础 设施安全保护模型IATF1.3.21.3.2安全设计技术要求安全设计技术要求基本概念安全保护环境：由安全计算环境、安全区域边界、安全通信网络和（或）安全管理中心构成的对定级系统进行安全保护的环境。安全计算环境：对定级系统的信息进行存储、处理及实施安全策略的相关部件。安全区域边界：对定级系统的安全计算环境边界，以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。安全通信网络：对定级系统安全计算环境之间进行信息传输及实施安全策略的相关部件。安全管理中心：对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台。1.3.3信息系统等级保护安全技术设计框架1.3.4等级保护安全设计技术框架等级保护安全技术平台的防护体系继