等保测评三级系统整改示例

等级保护－－十大核心标准

基础类
《计算机信息系统安全保护等级划分准则》GB 17859-1999 《信息系统安全等级保护实施指南》GB/T CCCC-CCCC 报批稿

应用类
定级：《信息系统安全保护等级定级指南》GB/T 22240-2008 建设：《信息系统安全等级保护基本要求》GB/T 22239-2008 《信息系统通用安全技术要求》GB/T 20271-2006 《信息系统等级保护安全设计技术要求》 测评：《信息系统安全等级保护测评要求》 GB/T DDDD-DDDD 报批稿 《信息系统安全等级保护测评过程指南》 管理：《信息系统安全管理要求》GB/T 20269-2006 《信息系统安全工程管理要求》GB/T 20282-2006


典型案例小结—技术整改措施
技 术 整 改 措 施
控制项 可采取的措施 典型现状 整改措施 物理位置的选择（G） 场地选型 不满足 服务 物理访问控制（G） 门禁、摄像头 满足 产品 防盗窃和防破坏（G） 防盗系统 满足 产品 防雷击（G) 防雷接地 满足 产品 防火（G） 消防系统 满足 产品 物理安全 不满足项分布 不满足项分布 防水和防潮（G） 机房装修 满足 产品 技术要求-不满足项分布 防静电地板 满足 产品 数据安全及备份恢复 防静电（G） 物理安全 温湿度控制（G） 精密空调 满足 产品 2 2 电力供应（A） UPS 满足 产品 电磁防护（S） 屏蔽机房或机柜 不满足 产品 11% 11% 结构安全（G） 双链路 满足 产品 访问控制（G） 防火墙 满足 产品 安全审计（G） 网络审计 满足 产品 网络安全 边界完整性检查（S） 违规外联的检测 不满足 产品 入侵防范（G） 入侵检测 满足 产品 不满足项分布 恶意代码防范（G） 网关型防毒墙 不满足 产品 不满足项分布 网络设备防护（G） 网络设备特别配置 不满足 服务 应用安全 身份鉴别（S） 身份认证系统 不满足 主机安全 产品 7 访问控制（S） 访问控制配置策略 不满足 服务 4 主机审计 满足 产品或服务 39% 安全审计（G） 主机安全 剩余信息保护（S） 较难实现 不满足 22% 入侵防范（G） 主机入侵防范策略配置 不满足 产品或服务 恶意代码防范（G） 防病毒软件 满足 产品 资源控制（A） 网管软件和主机配置 不满足 服务 身份鉴别（S） 应用软件本身配置 满足 产品或服务 访问控制（S） 访问控制配置策略 不满足 服务 安全审计（G） 系统审计配置 满足 产品或服务 剩余信息保护（S） 较难实现 不满足 应用安全 通信完整性（S） 通信加密手段 不满足 产品 通信保密性（S） 通信加密手段 不满足 产品 抗抵赖（G） 统一CA中心 不满足 产品 软件容错（A） 较难实现 不满足 资源控制（A） 配置服务 不满足 服务 数据完整性（S） 统一CA中心 不满足 产品 数据安全及备份恢复 数据保密性（S） 数据加密手段 不满足 产品或服务 备份和恢复（A） 备份系统 满足 产品


三级系统安全保护要求—系统运维管理

系统运维管理涉及日常管理、变更管理、制度化管理、 安全事件处置、应急预案管理和安管中心等。 系统运维管理具体包括：13个控制点 环境管理、资产管理、介质管理、设备管理、 监控管理和安全管理中心、网络安全管理、 系统安全管理、恶意代码防范管理、密码管理、 变更管理、备份与恢复管理、安全事件处置、 应急预案管理 整改要点：办公环境保密性、资产的标识和分类管理、 介质/设备/系统/网络/密码/备份与恢复的制度化管理、 建立安全管理中心、安全事件分类分级响应、 应急预案的演练和审查
人员安全管理
系统建设管理 系统运维管理
N/A
5
11 13
16
45 60
合
计
73（类ຫໍສະໝຸດ Baidu 290（项）
三级系统安全保护要求—物理安全

物理安全主要涉及的方面包括环境安全（防火、 防水、防雷击等）设备和介质的防盗窃防破坏等 方面。

物理安全具体包括：10个控制点 物理位置的选择（G）、 物理访问控制（G）、 防盗窃和防破坏（G）、 防雷击（G)、 防火（G）、防水和防潮（G） 、防静电（G） 、 温湿度控制（G）、电力供应（A）、 电磁防护（S）
三级系统整改 示例
等级保护－－世博信息安全保障

世博前后的等保目标

杜绝由信息安全造成的群体事件


关键信息系统不能中断
防止办公系统信息泄露等负面事件

世博前后的等保对策

常态化的信息安全保障，提高自身免疫能力 规定动作结合自选动作，全面进行整改加固和应急演练


技术要在服务上深化，管理要在细节上落实
物理安全的整改要点
物理位置的选择 物理访问控制 基本防护能力 高层、地下室 基本出入控制 分区域管理 电子门禁
在机房中的活动
防盗窃和防破坏 防雷击 存放位置、标记标识 监控报警系统 建筑防雷、机房接地 设备防雷 灭火设备、自动报警 自动消防系统 区域隔离措施 防静电地板 冗余/并行线路 备用供电系统
满足
基本管理措施
满足
基本安全要求
等级保护基本安全要求
某级系统 基本要求 技术要求 管理要求
物 理 安 全
网 络 安 全
主 机 安 全
应 用 安 全
数 据 安 全
安 全 管 理 机 构
安 全 管 理 制 度
人 员 安 全 管 理
系 统 建 设 管 理
系 统 运 维 管 理
三级系统的控制类及控制项
指标类
建立全市层面的专家团队及技术保障队伍
等级保护－－政策推进过程

Before 2005
《中华人民共和国计算机信息系统安全保护条例》（1994年 国务院147号令） 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号） 《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）

网络安全的整改要点
关键设备冗余空间 主要设备冗余空间 整体网络带宽 重要网段部署 端口控制 应用层协议过滤 防止地址欺骗 会话终止 路由控制 带宽分配优先级
结构安全
核心网络带宽 子网/网段控制
访问控制
访问控制设备（用户、网段） 拨号访问限制
日志记录
最大流量数及最大连接数 审计报表 审计记录的保护 定位及阻断

主机安全的整改要点
基本的身份鉴别 身份鉴别 安全策略 组合鉴别技术 管理用户的权限分离 敏感标记的设置及操作 重要客户端的审计 安全审计 剩余信息保护 最小安装原则 升级服务器 恶意代码防范 资源控制
防恶意代码软件、代码库统一管理
访问控制
特权用户的权限分离
服务器基本运行情况审计
审计报表
审计记录的保护
审计记录的保护
审计报表
审计过程的保护
空间释放及信息清除
密码技术
自动保护功能 资源分配限制、资源分配优先级
对用户会话数及 系统最大并发会话数的限制
最小服务水平的检测及报警
三级系统安全保护要求—数据安全与备份恢复

数据安全主要是保护用户数据、系统数据、业 务数据的保护。将对数据造成的损害降至最小。

防火
防静电
关键设备
稳定电压、短期供应
主要设备 主要设备
电力供应
电磁防护 防水和防潮
线缆隔离
温湿度控制
接地防干扰 电磁屏蔽
三级系统安全保护要求—网络安全

网络安全主要关注的方面包括：网络结构、网 络边界以及网络设备自身安全等。 网络安全具体包括：7个控制点 结构安全(G)、访问控制(G)、安全审计(G)、 边界完整性检查(A)、入侵防范(G)、 恶意代码防范(G)、网络设备防护(G)
空间释放及信息清除 重要服务器：检测、记录、报警 重要程序完整性 主机与网络的防范产品不同 监视重要服务器
对用户会话数及终端登录的限制
入侵防范
最小服务水平的检测及报警
三级系统安全保护要求—应用安全

应用系统的安全就是保护系统的各种应用程序安全 运行。包括基本应用，如：消息发送、web浏览等； 业务应用，如：电子商务、电子政务等。 应用安全具体包括：9个控制点 身份鉴别（S）、访问控制（S）、安全审计 （G）、 剩余信息保护（S）、通信完整性（S）、 通信保密性（S）、抗抵赖（G）、软件容错（A）、 资源控制（A）


三级系统安全保护要求—系统建设管理

系统建设管理分别从定级、设计建设实施、验收交付、 测评等方面考虑，关注各项安全管理活动。 系统建设管理具体包括：11个控制点 系统定级、安全方案设计、产品采购和使用、 自行软件开发、外包软件开发、工程实施、 测试验收、系统交付、系统备案、等级测评、 安全服务商选择 整改要点：系统定级的论证、总体规划、产品选型测试、 开发过程的人员控制、工程实施制度化、第三方委托测 试、运行起30 天内备案、每年进行1次等级测评、安全 服务商的选择
类数量
技术/管理 层面 物理安全 网络安全 安全技术 主机安全 应用安全 数据安全 安全管理制度 安全管理机构
项数量
小计 10 7 7 9 3 3 5 小计 32 33 32 31 8 11 20
S类 (3级)
1 1 3 5 2
A类 (3级)
1 0 1 2 1
G类 (3级)
8 6 3 2 0
安全管理
三级系统安全保护要求—人员安全管理

对人员安全的管理，主要涉及两方面： 对内部 人员的安全管理和对外部人员的安全管理。 人员安全管理具体包括：5个控制点 人员录用、人员离岗、人员考核、 安全意识教育及培训、外部人员访问管理 整改要点：全员保密协议、关键岗位人员管理、 针对不同岗位的培训计划、外部人员访问管理
安全审计 边界完整性检查 入侵防范 恶意代码防范 网络设备防护
内部的非法联出 非授权设备私自外联 检测常见攻击 记录、报警
网络边界处防范
基本的登录鉴别 组合鉴别技术 特权用户的权限分离
三级系统安全保护要求—主机安全

主机系统安全是包括服务器、终端/工作站等在 内的计算机设备在操作系统及数据库系统层面的 安全。 主机安全具体包括：7个控制点 身份鉴别(S)、访问控制(S)、安全审计(G)、 剩余信息保护(S)、入侵防范(G)、 恶意代码防范(G)、资源控制(A)

2007
《信息安全等级保护管理办法》（公通字[2007]43号） 《关于开展全国重要信息系统安全等级保护定级工作的通知》 （公信安[2007]861号）－－－上海市：沪公发[2007]319号 《上海市迎世博信息安全保障两年行动计划》

2009
《2009年信息安全等级保护工作内容及具体要求》（公信安[2009]232号） 《关于组织开展2009年度本市重要信息系统等级保护工作的通知》 （沪公发[2009]187号）－－－沪公发[2009]173号、沪密局[2009]39号、。。。
数据保密性
重要数据的备份
本地完全备份 硬件冗余 异地备份 每天1次 备份介质场外存放
管理要求方面的整改
管理机构 人员管理
管理制度 系统运维管理 系统建设管理
24
三级系统安全保护要求—安全管理制度

安全管理制度包括信息安全工作的总体方针、 策略、规范各种安全管理活动的管理制度以及 管理人员或操作人员日常操作的操作规程。 安全管理制度具体包括：3个控制点 管理制度、制定和发布、评审和修订 整改要点：形成信息安全管理制度体系、 统一发布、定期修订等


三级系统安全保护要求—安全管理机构

安全管理机构主要是在单位的内部结构上建 立一整套从单位最高管理层（董事会）到执 行管理层以及业务运营层的管理结构来约束 和保证各项安全管理措施的执行。 安全管理机构具体包括：5个控制点 岗位设置、人员配备、授权和审批、 沟通和合作、审核和检查


整改要点：信息安全领导小组与职能部门、 专职安全员、定期全面安全检查、定期协调 会议、外部沟通与合作等

应用安全的整改要点
基本的身份鉴别 身份鉴别 访问控制 抗抵赖 安全审计 剩余信息保护 通信完整性 通信保密性 软件容错 资源控制 校验码技术 初始化验证 整个报文及会话过程加密 敏感信息加密
数据有效性检验、部分运行保护
组合鉴别技术 安全策略 最小授权原则 敏感标记的设置及操作
运行情况审计（用户级）
等级保护－－完全实施过程
信息系统定级 安全总体规划 安全整改设计 安全设计与实施
局 部 调 整 安全要求整改 安全等级整改
等 级 变 更
等级符合性检查 安全运行维护 应急预案及演练 信息系统备案 安全等级测评
信息系统终止
能力、措施和要求
具备 安全保护能力 等保3级的信息系统 包含 实现 包含
基本技术措施
备份恢复也是防止数据被破坏后无法恢复的重 要手段，主要包括数据备份、硬件冗余和异地 实时备份。
数据安全和备份恢复具体包括：3个控制点 数据完整性（S）、数据保密性（S）、 备份和恢复（A）

数据安全及备份恢复的整改要点
鉴别数据传输的完整性 数据完整性 鉴别数据存储的保密性 各类数据传输及存储 各类数据的传输及存储 网络冗余、硬件冗余 备份和恢复 检测和恢复