等保三级系统加固及测评关键点PPT

3/7/2020
11
网络安全的整改要点
结构安全
关键设备冗余空间 核心网络带宽 子网/网段控制
主要设备冗余空间 整体网络带宽 重要网段部署
路由控制 带宽分配优先级
访问控制
访问控制设备（用户、网段） 拨号访问限制
端口控制
防止地址欺骗
应用层协议过滤
会话终止
最大流量数及最大连接数
安全审计
日志记录
审计报表
审计记录的保护
物理安全具体包括：10个控制点 物理位置的选择（G）、 物理访问控制
（G）、 防盗窃和防破坏（G）、 防雷击（G)、 防火（G）、防水和防潮（G） 、防静电
（G） 、温湿度控制（G）、电力供应（A）、 电磁防护（S）
3/7/2020
8
物理位置的选择 物理访问控制
防盗窃和防破坏 防雷击 防火 防静电
安全审计
服务器基本运行情况审计
重要客户端的审计
审计报表
审计记录的保护
剩余信息保护
空间释放及信息清除
入侵防范 恶意代码防范
资源控制
最小安装原则 升级服务器
重要服务器：检测、记录、报警 重要程序完整性
防恶意代码软件、代码库统一管理
主机与网络的防范产品不同
监视重要服务器
对用户会话数及终端登录的限制
最小服务水平3/的7/2检020测及报警 15
3/7/2020
3
等级保护－－完全实施过程
信息系统定级
安全等级整改
等 级 变 更
局 部 调 整
安全总体规划 安全设计与实施 安全运行维护
安全整改设计
安全要求整改
等级符合性检查 应急预案及演练
安全等级测评 信息系统备案
信息系统终止
3/7/2020
4
安全保护能力 实现 基本安全要求
具备
等保3级的信息系统
包含
包含
基本技术措施 满足
基本管理措施 满足
3/7/2020
5
技术要求
某级系统 基本要求
管理要求
物网主应数 理络机用据 安安安安安 全全全全全
安安人系系 全全员统统 管管安建运 理理全设维 机制管管管 构度理理理
3/7/2020
6
技术/管理 安全技术 安全管理
层面
物理安全 网络安全 主机安全 应用安全 数据安全 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理
边界完整性检查
内部的Leabharlann Baidu法联出
非授权设备私自外联 定位及阻断
入侵防范
检测常见攻击
记录、报警
恶意代码防范 网络设备防护
基本的登录鉴别
网络边界处防范
组合鉴别技术 特权用户的权限分离
3/7/2020
12
入侵防范 边界完整性检查 安全审计 访问控制 结构安全
网络设备防护
恶意代码防范
3/7/2020
13
主机系统安全是包括服务器、终端/工作站等在 内的计算机设备在操作系统及数据库系统层面 的安全。
指标类
类数量
S类 (3级)
A类 (3级)
G类 (3级)
1
1
8
1
0
6
3
1
3
5
2
2
2
1
0
N/A
合计
项数量
小计
小计
10
32
7
33
7
32
9
31
3
8
3
11
5
20
5
16
11
45
13
60
73（类） 290（项）
3/7/2020
7
物理安全主要涉及的方面包括环境安全（防火、 防水、防雷击等）设备和介质的防盗窃防破坏等 方面。
信息系统安全 加固
广西金普威信息系统有限公司
3 日期：2016年9月 1
等级保护－－政策推进过程
Before 2005
《中华人民共和国计算机信息系统安全保护条例》（1994年 国务院147号令） 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号） 《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）
主机安全具体包括：7个控制点 身份鉴别(S)、访问控制(S)、安全审计(G)、 剩余信息保护(S)、入侵防范(G)、 恶意代码防范(G)、资源控制(A)
3/7/2020
14
身份鉴别
主机安全的整改要点
基本的身份鉴别
组合鉴别技术
访问控制
安全策略 特权用户的权限分离
管理用户的权限分离 敏感标记的设置及操作
入侵防范
剩余信息保护 安全审计 访问控制 身份鉴别
比较超前
较难实现 资源控制
恶意代码防范
3/7/2020
2007
《信息安全等级保护管理办法》（公通字[2007]43号） 《关于开展全国重要信息系统安全等级保护定级工作的通知》
（公信安[2007]861号）－－－上海市：沪公发[2007]319号 《上海市迎世博信息安全保障两年行动计划》
2009
《2009年信息安全等级保护工作内容及具体要求》（公信安[2009]232号） 《关于组织开展2009年度本市重要信息系统等级保护工作的通知》
（沪公发[2009]187号）－－－沪公发[2009]173号、沪密局[2009]39号、。。。
3/7/2020
2
等级保护－－十大核心标准
基础类
《计算机信息系统安全保护等级划分准则》GB 17859-1999 《信息系统安全等级保护实施指南》GB/T CCCC-CCCC 报批稿
应用类
定级：《信息系统安全保护等级定级指南》GB/T 22240-2008 建设：《信息系统安全等级保护基本要求》GB/T 22239-2008
接地防干扰
备用供电系统
电磁屏蔽
3/7/2020
9
电力供应 防盗窃和防破坏 物理访问控制 物理位置选择
电磁防护
防雷击、防火、防水和防潮、防静电、温湿度控制
不做硬 性要求
3/7/2020
10
网络安全主要关注的方面包括：网络结构、网 络边界以及网络设备自身安全等。
网络安全具体包括：7个控制点 结构安全(G)、访问控制(G)、安全审计(G)、 边界完整性检查(A)、入侵防范(G)、 恶意代码防范(G)、网络设备防护(G)
电力供应 电磁防护 防水和防潮
物理安全的整改要点
基本防护能力 基本出入控制 在机房中的活动
高层、地下室 分区域管理
电子门禁
存放位置、标记标识
监控报警系统
建筑防雷、机房接地
设备防雷
灭火设备、自动报警 关键设备
稳定电压、短期供应 线缆隔离
温湿度控制
自动消防系统 区域隔离措施
主要设备
防静电地板
主要设备
冗余/并行线路
《信息系统通用安全技术要求》GB/T 20271-2006 《信息系统等级保护安全设计技术要求》 测评：《信息系统安全等级保护测评要求》 GB/T DDDD-DDDD 报批稿 《信息系统安全等级保护测评过程指南》 管理：《信息系统安全管理要求》GB/T 20269-2006 《信息系统安全工程管理要求》GB/T 20282-2006