信息安全等级保护详解
信息系统安全等级保护
等级保护要求的组合
安全保护等级定级参考
1)一级,小型私营、个体企业、中小学,乡镇所属信息系统,县级单位一般的信息系统 2)二级,县级某些单位重要信息系统;地市级以上国家机关、企事业单位内部一般信息系统 (例如非涉及工作、商业秘密,敏感信息的办公系统和管理系统) 3)三级,地市级以上国家机关、企事业单位内部重要信息系统(例如涉及工作、商业秘密, 敏感信息的办公系统和管理系统)。跨省或全国联网运行的用于生产、调度、管理、控制等 方面的重要系统及在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站 4)四级,国家重要领域、重要部门中的特别重要系统以及核心系统,电力、电信、广电、税 务等 5)五级,国家重要领域、重要部门中的极端重要系统
- 在信息系统确定安全保护等级过程中,可以进行必要的业务和技术评估,组织专家进行咨询评 审。对拟确定为第四级以上的信息系统的运营、使用单位或主管部门应当邀请国家信息安全等级 保护专家评审委员会评审。
- 第二级以上信息系统由其运营使用单位到所在地设区的市级以上公安机关办理备案手续。隶属 于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部 门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统, 应当向当地设区的市级以上公安机关备案。
▪ 《涉及国家秘密计算机信息系统安全保密
涉方密案信设计息指系南》统B安MB全23-保20障08 建设 ▪指《管南涉 理及 规国 范》家B秘M密B计20算-2机0信07息系统分级保护
▪ 《涉及国家秘密的信息系统分级保护测评 指南》BMB22—2007
▪ 《涉及国家秘密计算机信息系统分级保护 管理办法 》国家保密局16号
等级保护的主要工作流程
信息安全等级保护标准
信息安全等级保护标准
1. 安全目标:明确了信息系统安全保护的目标,包括机密性、完整性和可用性。
2. 安全等级划分:根据信息系统的安全需求和重要性,将其划分为不同的安全等级。
3. 安全技术要求:包括物理安全、网络安全、系统安全等方面的技术要求,如访问控制、身份认证、加密传输等。
4. 安全管理措施:包括组织结构、人员管理、安全培训等方面的管理措施,以保证信息安全的有效管理。
5. 安全测试评估:对信息系统进行定期的安全测试和评估,发现系统中存在的安全漏洞和风险,并及时采取措施进行修复。
6. 安全事件响应:建立健全的安全事件响应机制,对安全事件进行及时处理和跟踪,同时进行安全事故的调查与处理。
等保标准适用于政府机关、企事业单位等组织,旨在加强信息系统的安全保护,防止信息泄露、数据破坏、系统瘫痪等安全事件的发生。
对于不同行业和领域的组织,根据其安全需求和实际情况,可以进行相应的等级划分和安全措施的实施。
信息安全等级保护2.0
信息安全等级保护2.0
信息安全等级保护2.0是国家关于信息安全管理和技术管理整体解决
方案,以及信息安全管理体系标准的衍生标准。
它主要是为了更好地
控制和保护在组织中使用的信息资源,提高组织的信息安全保护水平。
它强调在组织中确立安全等级保护制度,以更好地管理各个等级的信
息安全风险,保护组织的重要信息资源。
信息安全等级保护2.0分为四级:防护等级A、B、C和D。
安全等级A
代表基础信息安全要求,针对这级等级,组织应确立安全实施和控制
机制,以及安全风险评估机制。
安全等级B代表完整信息安全要求,
有助于组织建立安全系统,以确保组织的重要信息资源免受损害。
安
全等级C代表全面信息安全要求,主要是为了防止重要信息资源受到
外部攻击的威胁,从而更好地保护信息安全,防止其他人通过技术手
段侵入组织的系统。
安全等级D代表最高信息安全要求,其重点在于
加强信息安全体制,提高信息安全保护的综合能力,以更好地保护尤
其是重要信息资源。
信息安全等级保护 2.0旨在更好地控制和保护组织内部重要信息资源,提高组织的信息安全保护水平。
为此,它规定了必要的管理和技术手段,以保障重要信息的安全,防止未经授权的访问和攻击。
通过加强
信息安全管理体系,组织可以更好地保护信息安全,避免带来不必要
的损失。
信息安全等级保护体系解读
信息系统安全等级保护基础要求定级细则
信息系 统安全 等级保 护测评 过程指 南
信息
实 信息安全等级保护 法
状 安全建设整改工作 指
况
导
分
安全要求
析
信息系统安全等级保护基础要求行业细则
信息系统安全等级保护基础要求
信息系 统安全 等级保 护实施 指南
第10页
信息安全等级保护—定级
定义
由信息系统运行单位确定信息系统安全保护等级。
1
2
3
由运行单位业务部 门确定实施信息安 全等级保护信息系 统。
参考定级标准和流 程取得信息等级安 全保护等级信息。
最终形成信息系统 安全保护等级确认 汇报。
信息安全等级保护体系解读
第11页
定级参考信息
业务信息安全保护等级矩阵表
边界防护
安全审计
防雷/火/水/潮
访问控制
入侵防范
防静电
入侵防范
恶意代码防范
温湿度控制
恶意代码防范
资源控制
电力供应
安全设计
电磁防护
集中管控
信息安全等级保护体系解读
应用和数据安全
身份鉴别
访问控制
安全审计
软件容错
资源控制
数据完整性
数据保密性
数据备份恢复
剩余信息保护
个人信息保护
第20页
经典等级保护安全技术方案
《关于加 强国家电 子政务工 程建设项 目信息安 全风险评 定工作通 知》(发 改高技 []2071号)
《关于推 进信息安 全等级保 护测评体 系建设和 开展等级 测评工作 通知》 (公信安 303号文)
关于印发 《信息系 统安全等 级测评汇 报模版 (试行)》 通知(公 信安 []1487号)
信息安全等级保护2.0标准
信息安全等级保护2.0标准
信息安全等级保护2.0 标准是中国国家标准,用于指导信息系统的安全保护工作。
以下是信息安全等级保护 2.0 标准的一些主要方面:
1. 安全等级划分:标准将信息系统的安全等级划分为五个等级,从一级到五级,等级越高,安全要求越高。
2. 安全要求:标准规定了不同等级信息系统的安全要求,包括物理安全、网络安全、主机安全、应用安全、数据安全等方面。
3. 安全管理:标准强调了安全管理的重要性,包括安全策略、安全组织、人员管理、安全培训等方面。
4. 安全评估:标准要求对信息系统进行定期的安全评估,以确保信息系统的安全等级符合要求。
5. 安全监测:标准要求对信息系统进行实时的安全监测,及时发现和处理安全事件。
6. 应急响应:标准要求建立应急响应机制,及时处理安全事件,降低安全事件的影响。
信息安全等级保护2.0 标准是信息系统安全保护的重要指导文件,它可以帮助信息系统管理者提高信息系统的安全等级,保障信息系统的安全和稳定运行。
信息安全等级保护详解
信息系统安全测评
管理体系不同 等级保护 公安机关 国家标准 (GB、GB/T) 各种信息系统 第一级:自主保护级 第二级:指导保护级 第三级:监督保护级 第四级:强制保护级 第五级:专控保护级 各级等级保护测评机构和部门
标准体系不同 保护对象不同
级别划分不同
评估队伍不同
等级保护之十大标准
3
等级保护标准系列的逻辑关系
等级保护
划分准则
GB/T 20269 安全管理
定级指南
GB/T 20282 安全工程管理 GB/T 20270 网络基础
实施指南
基本要求
技术设计要求
GB/T 20271 通用安全技术 GB/T 20272 操作系统
测评要求 测评过程指南
GB/T 20273 数据库 GB/T 20984 风险评估
8
一级 9 9 6 7 2 3 4 7 20 18 85 /
二级 19 18 19 19 4 7 9 11 28 41 175 90
三级 32 33 32 31 8 11 20 16 45 62 290 115
四级 33 32 36 36 11 14 20 18 48 70 318 28
管理要求
合计 级差
保护能力
技术要求+管理要求
制度、机构、人员、建设、运维 制度、机构、人员、建设、运维
整体安全保护能力
纵深防御、互补关联、强度一致、 纵深防御、互补关联、强度一致、 平台统一、集中安管 平台统一、集中安管 业务信息安全类要求 S 系统服务保证类要求 A 通用安全保护类要求 通用安全保护类要求 G G 安全类 安全类 关键控制点 关键控制点 具体要求项 控制强度
数据有效性检验、部分运行保护
信息安全保护等级
信息安全保护等级信息安全保护等级是指根据信息系统的安全需求和保护目标,对信息系统的安全等级进行划分和评定,以确定信息系统所需的安全保护措施和技术措施的等级。
信息安全保护等级的划分和评定是信息安全管理的重要组成部分,对于保障信息系统的安全性和可靠性具有重要意义。
一、信息安全保护等级的划分根据《信息安全技术信息安全等级保护》(GB/T 22239-2008)的规定,信息安全保护等级分为四个等级:一级、二级、三级、四级。
其中,一级为最高等级,四级为最低等级。
1. 一级信息安全保护等级一级信息安全保护等级适用于国家重要信息系统和涉及国家安全、国计民生、重要经济利益和公共利益的信息系统。
该等级的信息系统具有极高的安全需求,需要采取最高级别的安全保护措施和技术措施。
2. 二级信息安全保护等级二级信息安全保护等级适用于重要信息系统和涉及重要经济利益、公共安全和公共利益的信息系统。
该等级的信息系统具有高安全需求,需要采取高级别的安全保护措施和技术措施。
3. 三级信息安全保护等级三级信息安全保护等级适用于一般信息系统和涉及个人隐私、商业秘密等重要信息的信息系统。
该等级的信息系统具有一定的安全需求,需要采取一定级别的安全保护措施和技术措施。
4. 四级信息安全保护等级四级信息安全保护等级适用于一般信息系统和涉及一般信息的信息系统。
该等级的信息系统具有较低的安全需求,需要采取基本的安全保护措施和技术措施。
二、信息安全保护等级的评定信息安全保护等级的评定是指根据信息系统的安全需求和保护目标,对信息系统的安全等级进行划分和评定,以确定信息系统所需的安全保护措施和技术措施的等级。
信息安全保护等级的评定需要考虑以下因素:1. 信息系统的安全需求和保护目标2. 信息系统的功能和使用环境3. 信息系统的安全威胁和风险4. 信息系统的安全保护措施和技术措施5. 信息系统的管理和运维能力评定信息安全保护等级的过程需要遵循相关的评定标准和方法,例如《信息安全技术信息安全等级保护》(GB/T 22239-2008)、《信息安全技术信息安全风险评估指南》(GB/T 25070-2010)等。
信息安全等级保护政策体系-
第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
(1)《计算机信息系统安全保护等级划分准则》(GB17859—1999) 1)主要作用 规范和指导计算机信息系统安全保护有关标准的制定; 为安全产品的研究开发提供技术支持; 为监督检查提供依据。 2)主要内容 界定计算机信息系统基本概念; 信息系统安全保护能力五级划分; 从自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、 可信路径、可信恢复等十个方面, 采取逐级增强的方式提出了计算机信息系统的安全保护技术要求。 3)使用说明
统安全管理要求》的有关内容, 在设计建设整改方案时可参考。 按照整体安全的原则, 综合考虑安全保护措施。
第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
(2)《信息系统安全等级保护基本要求》(GB/T22239—2008) 使用说明 业务信息安全类(S 类)——关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未 授权的修改。 系统服务安全类(A 类)——关注的是保护系统连续正常的运行, 避免因对系统的未授权修改、破坏而 导致系统不可用。 通用安全保护类(G 类)——既关注保护业务信息的安全性, 同时也关注保护系统的连续可用性。
2.信息安全等级保护标准体系
(1)信息安全等级保护相关标准类别 产品类标准 1)操作系统 《操作系统安全技术要求》(GB/T 20272—2006) 《操作系统安全评估准则》(GB/T 20008—2005) 2)数据库 《数据库管理系统安全技术要求》(GB/T 20273—2006) 《数据库管理系统安全评估准则》(GB/T 20009—2005)
安全管理制度评审、人员 安全和系统建设过程管理
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全审计 边界完整性检查 入侵防范 恶意代码防范 网络设备防护
内部的非法联出 非授权设备私自外联 检测常见攻击 记录、报警
网络边界处防范
基本的登录鉴别 组合鉴别技术 特权用户的权限分离
主机安全的整改要点
基本的身份鉴别 身份鉴别 安全策略 组合鉴别技术 管理用户的权限分离 敏感标记的设置及操作 重要客户端的审计 安全审计 剩余信息保护 最小安装原则 升级服务器 恶意代码防范 资源控制
等级保护相关的
主要方法
分域分级防护示意
监督保护级网络
安全域 (第3级) 安全域 (第3级)
安全域 (第2级)
安全域 (第2级)
安全域 (第2级)
禁止高敏感级信息由高等级安全域流向低等级安全域
主要防护措施
防火墙系统 隔离与交换系统 网络入侵防御系统 主页防篡改系统 防病毒网关 抗DDos系统 VPN网关 安全认证网关 主机、服务器安全加固 文件安全系统 电子邮件安全等等
三级 10 7 7 9 3 3 5 5 11 13 73 7
四级 10 7 9 11 3 3 5 5 11 13 77 4
基本要求--GB/T 22239
控 制 项
安全要求类 技术要求
层面 物理安全 网络安全 主机安全 应用安全 数据安全及备份恢复 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 / /
保护能力
技术要求+管理要求
制度、机构、人员、建设、运维 制度、机构、人员、建设、运维
整体安全保护能力
纵深防御、互补关联、强度一致、 纵深防御、互补关联、强度一致、 平台统一、集中安管 平台统一、集中安管 业务信息安全类要求 S 系统服务保证类要求 A 通用安全保护类要求 通用安全保护类要求 G G 安全类 安全类 关键控制点 关键控制点 具体要求项 控制强度
防恶意代码软件、代码库统一管理
访问控制
特权用户的权限分离
服务器基本运行情况审计
审计报表
审计记录的保护
空间释放及信息清除 重要服务器:检测、记录、报警 重要程序完整性 主机与网络的防范产品不同 监视重要服务器
对用户会话数及终端登录的限制
入侵防范
最小服务水平的检测及报警
应用安全的整改要点
基本的身份鉴别 身份鉴别 访问控制 抗抵赖 安全审计 剩余信息保护 通信完整性 通信保密性 软件容错 资源控制 校验码技术 初始化验证 整个报文及会话过程加密 敏感信息加密
8
一级 9 9 6 7 2 3 4 7 20 18 85 /
二级 19 18 19 19 4 7 9 11 28 41 175 90
三级 32 33 32 31 8 11 20 16 45 62 290 115
四级 33 32 36 36 11 14 20 18 48 70 318 28
管理要求
合计 级差
等级保护
信息系统安全测评
管理体系不同 等级保护 公安机关 国家标准 (GB、GB/T) 各种信息系统 第一级:自主保护级 第二级:指导保护级 第三级:监督保护级 第四级:强制保护级 第五级:专控保护级 各级等级保护测评机构和部门
标准体系不同 保护对象不同
级别划分不同
评估队伍不同
等级保护之十大标准
安全管理平台 各级安全管理中心对管辖网络实施 安全集中管理。
主机监控与审计系统
网络安全审计系统
综合安全管理平台
数字证书颁发和管理平台
。。。
等级保护要求 (技术&管理)
物理安全的整改要点 物理位置的选择 物理访问控制 基本防护能力 高层、地下室 基本出入控制 分区域管理 电子门禁
4
等级保护定级指南--GB/T 22240
等级保护定级方法
信息系统安全 业务信息安全 系统服务安全 受侵害的客体
保护对象
一般流程
1、确定定级对象(系统边界)
客体:社会关系
对客体的侵害程度 等级确定
2 、确定业务信息安全受到破坏 时所侵害的客体
5 、确定系统服务安全受到破坏 时所侵害的客体
对客体的侵害程度 保护对象受到破坏时受侵害的客体 一般损害 严重损害 第二级 第三级 第四级 特别严重损害 第二级 第四级 第五级
3、综合评定对客体的侵害程度
6、综合评定对客体的侵害程度
公民、法人和其他组织的合法权益
4、业务信息安全等级 7、系统服务安全等级
第一级 第二级 第三级
社会秩序、公共利益 国家安全
8、定级对象的安全保护等级
8=MAX(4,7)
5
基本要求--GB/T 22239
基本保护要求(最低)
对抗能力+恢复能力
物理、网络、主机、应用、数据 物理、网络、主机、应用、数据
基本要求--Gபைடு நூலகம்/T 22239
控 制 点
安全要求类 技术要求
管理要求
合计 级差
层面 物理安全 网络安全 主机安全 应用安全 数据安全及备份恢复 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 / /
一级 7 3 4 4 2 2 4 4 9 9 48 /
二级 10 6 6 7 3 3 5 5 9 12 66 18
在机房中的活动
防盗窃和防破坏 防雷击 存放位置、标记标识 监控报警系统 建筑防雷、机房接地 设备防雷 灭火设备、自动报警 自动消防系统 区域隔离措施 防静电地板 冗余/并行线路 备用供电系统
防火
防静电
关键设备
稳定电压、短期供应
主要设备 主要设备
电力供应
电磁防护 防水和防潮
线缆隔离
温湿度控制
接地防干扰 电磁屏蔽
3
等级保护标准系列的逻辑关系
等级保护
划分准则
GB/T 20269 安全管理
定级指南
GB/T 20282 安全工程管理 GB/T 20270 网络基础
实施指南
基本要求
技术设计要求
GB/T 20271 通用安全技术 GB/T 20272 操作系统
测评要求 测评过程指南
GB/T 20273 数据库 GB/T 20984 风险评估
安全保护等级 第一级 第二级 第三级 第四级 第五级
信息系统定级结果的组合 S1A1G1 S1A2G2,S2A2G2,S2A1G2 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3 S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4 S1A5G5,S2A5G5,S3A5G5,S4A5G5,S5A4G5,S5A3G5,S5A2G5, S5A1G5
鉴别数据传输的完整性 数据完整性 鉴别数据存储的保密性 各类数据传输及存储 各类数据的传输及存储 网络冗余、硬件冗余 备份和恢复 检测和恢复
数据保密性
重要数据的备份
本地完全备份 硬件冗余 异地备份 每天1次 备份介质场外存放
谢 谢
网络安全的整改要点
关键设备冗余空间 主要设备冗余空间 整体网络带宽 重要网段部署 端口控制 应用层协议过滤 防止地址欺骗 会话终止 路由控制 带宽分配优先级
结构安全
核心网络带宽 子网/网段控制
访问控制
访问控制设备(用户、网段) 拨号访问限制
日志记录
最大流量数及最大连接数 审计报表 审计记录的保护 定位及阻断
• 基础类 – 《计算机信息系统安全保护等级划分准则》GB 17859-1999 – 《信息系统安全等级保护实施指南》GB/T 25058-2010 • 应用类 – 定级:《信息系统安全保护等级定级指南》GB/T 22240-2008 – 建设:《信息系统安全等级保护基本要求》GB/T 22239-2008 《信息系统通用安全技术要求》GB/T 20271-2006 《信息系统等级保护安全设计技术要求》GB/T 25070-2010 – 测评:《信息系统安全等级保护测评要求 《信息系统安全等级保护测评过程指南》 – 管理:《信息系统安全管理要求》GB/T 20269-2006 《信息系统安全工程管理要求》GB/T 20282-2006
数据有效性检验、部分运行保护
组合鉴别技术 安全策略 最小授权原则 敏感标记的设置及操作
运行情况审计(用户级)
审计记录的保护
审计报表
审计过程的保护
空间释放及信息清除
密码技术
自动保护功能 资源分配限制、资源分配优先级
对用户会话数及 系统最大并发会话数的限制
最小服务水平的检测及报警
数据安全及备份恢复的整改要点