信息安全等級保護(hù)體系解讀-PPT

信息安全等級保護(hù)體系解讀內(nèi)容概要信息安全等級保護(hù)的定義1信息安全等級保護(hù)的工作內(nèi)容22信息安全等級保護(hù)的定義信息安全等級保護(hù)制度是我國信息安全工作保障工作的基本制度和基本國策，是開展信息安全工作的基本方法，是促進(jìn)信息化、維護(hù)國家信息安全的基本保障。信息系統(tǒng)信息安全產(chǎn)品信息安全事件第一級安全保護(hù)第二級安全保護(hù)第三級安全保護(hù)第四級安全保護(hù)第五級安全保護(hù)EAL1EAL2EAL3EAL4EAL5特別重大事件（I級）重大事件（II級）較大事件（III級）一般事件（IV級）3信息系統(tǒng)安全保護(hù)等級的劃分4信息安全等級保護(hù)的發(fā)展歷史1995年1999年1994年《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》（國務(wù)院147號令）規(guī)定，“計算機信息系統(tǒng)實行安全等級保護(hù)，安全等級的劃分標(biāo)準(zhǔn)和安全保護(hù)的具體辦法，由公安部會同有關(guān)部門制定”。《中華人民共和國警察法》

（法律依據(jù)）

第二章第六條第十二款規(guī)定，“公安機關(guān)人民警察依法履行監(jiān)察管理計算機信息系統(tǒng)的安全保護(hù)工作”?！队嬎銠C信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》

（GB17859）第一級：用戶自主保護(hù)級第二級：系統(tǒng)審計保護(hù)級第三級：安全標(biāo)記保護(hù)級第四級：結(jié)構(gòu)化保護(hù)級第五級：訪問驗證保護(hù)級5信息安全等級保護(hù)的發(fā)展歷史2003年《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）

明確指出“實行信息安全等級保護(hù)”；“要重點保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護(hù)制度，制定信息安全等級保護(hù)的管理辦法和技術(shù)指南?！?004年《關(guān)于信息安全等級保護(hù)工作的實施意見》（公通字[2004]66號）

明確了開展信息安全等級保護(hù)工作的意義、具體的工作內(nèi)容、各部門的職責(zé)分工及實施計劃。2007年《信息安全等級保護(hù)管理辦法》（公通字[2007]43號）

明確了信息安全等級保護(hù)具體的等級劃分、定級、備案、整改、測評、檢查等環(huán)節(jié)的具體工作要求和實施細(xì)則。2008年國家標(biāo)準(zhǔn)化管理委員會相斷出臺了信息安全等級保護(hù)的各項國家標(biāo)準(zhǔn)規(guī)范：

《信息安全等級保護(hù)定級指南》（GB/T22240）

《信息安全等級保護(hù)基本要求》（GB/T22239）等32項國家標(biāo)準(zhǔn)。6信息安全等級保護(hù)的政策和法律體系《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》(國務(wù)院147號令)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）《關(guān)于信息安全等級保護(hù)工作的實施意見》（公通字[2004]66號）《信息安全等級保護(hù)管理辦法》（公通字[2007]43號)《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》（公信安[2007]861號）《信息安全等級保護(hù)備案實施細(xì)則》（公信安[2007]1360號）《關(guān)于開展信息安全等級保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》(公信安[2009]1429號)《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知》（發(fā)改高技[2008]2071號）《關(guān)于推動信息安全等級保護(hù)測評體系建設(shè)和開展等級測評工作的通知》（公信安303號文）關(guān)于印發(fā)《信息系統(tǒng)安全等級測評報告模版（試行）》的通知（公信安[2009]1487號）《公安機關(guān)信息安全等級保護(hù)檢查工作規(guī)范》（公信安[2008]736號）信息安全等級保護(hù)工作定級備案整改測評檢查7信息安全等級保護(hù)技術(shù)和管理標(biāo)準(zhǔn)體系計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則（GB17859）信息系統(tǒng)安全等級保護(hù)定級指南信息系統(tǒng)安全等級保護(hù)基本要求技術(shù)類

信息系統(tǒng)通用安全技術(shù)要求信息系統(tǒng)物理安全技術(shù)要求網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求

其它技術(shù)類標(biāo)準(zhǔn)管理類

信息系統(tǒng)安全管理要求

信息系統(tǒng)安全工程管理要求其它管理類標(biāo)準(zhǔn)產(chǎn)品類

操作系統(tǒng)安全技術(shù)要求數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求網(wǎng)絡(luò)和終端設(shè)備隔離部件安技術(shù)要求其它產(chǎn)品類標(biāo)準(zhǔn)信息系統(tǒng)安全等級保護(hù)基本要求的行業(yè)細(xì)則信息系統(tǒng)安全等級保護(hù)基本要求的定級細(xì)則信息系統(tǒng)安全等級保護(hù)測評過程指南信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求信息系統(tǒng)安全等級保護(hù)實施指南信息系統(tǒng)安全等級保護(hù)測評要求信息安全等級保護(hù)

安全建設(shè)整改工作安全等級安全要求現(xiàn)狀分析方法指導(dǎo)8大家有疑問的，可以詢問和交流可以互相討論下，但要小聲點9信息安全等級保護(hù)所涉及的標(biāo)準(zhǔn)通用類1.《計算機信息系統(tǒng)安全等級保護(hù)劃分準(zhǔn)則》(GB17859)2.《信息系統(tǒng)安全等級保護(hù)實施指南》(GB/T25058)

3.《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T22239)4.《信息安全技術(shù)信息系統(tǒng)安全保護(hù)等級定級指南》(GB/T22240)5.《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求》6.《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南》。。。。。。安全技術(shù)類1.《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》2.《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270)3.《信息安全技術(shù)信息系統(tǒng)安全通用技術(shù)要求》(GB/T20271)4.《信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求(GB/T21052)5.《信息安全技術(shù)服務(wù)器安全技術(shù)要求》(GB/T21028)6.《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》(GB/T20272)7.《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》(GBT20273)。。。。。。安全管理類1.《信息安全技術(shù)信息系統(tǒng)安全管理要求》(GB/T20269)2.《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》(GB/T20282)3.《信息技術(shù)安全技術(shù)信息安全事件管理指南》(GB/Z20985)4.《信息安全技術(shù)信息安全事件分類分級指南》(GB/Z20986)。。。。。。10信息安全等級保護(hù)工作的職責(zé)和角色行業(yè)主管部門：負(fù)責(zé)依照國家信息安全等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，督促、檢查和指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運營、使用單位的信息安全等級保護(hù)工作。公安機關(guān)：非涉密信息系統(tǒng)等級保護(hù)具體工作的監(jiān)督、檢查、指導(dǎo)。

保密部門：涉密信息系統(tǒng)等保工作的監(jiān)督、檢查、指導(dǎo)。

密碼管理部門：密碼工作的監(jiān)督、檢查、指導(dǎo)。國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機構(gòu)：各部門間的工作協(xié)調(diào)。測評機構(gòu)：

對信息系統(tǒng)和信息安全產(chǎn)品進(jìn)行等級保護(hù)測評，出具測評結(jié)論。信息安全服務(wù)機構(gòu)：

協(xié)助信息系統(tǒng)運營、使用單位完成安全保護(hù)等級、安全需求分析、安全總體規(guī)劃、實施安全建設(shè)和安全改造等。信息系統(tǒng)運營、使用單位：

確定安全保護(hù)等級，安全保護(hù)的規(guī)劃設(shè)計，定級進(jìn)行等保測評，建立信息安全事件應(yīng)急響應(yīng)體系。信息安全產(chǎn)品供應(yīng)商：

開發(fā)符合等級保護(hù)相關(guān)要求的信息安全產(chǎn)品，按照等級保護(hù)相關(guān)要求銷售信息安全產(chǎn)品并提供相關(guān)服務(wù)。信息安全等級保護(hù)11信息安全等級保護(hù)工作概述定級備案整改測評檢查信息安全等級保護(hù)工作流程1.確定信息系統(tǒng)的安全防護(hù)等級，形成定級報告。2.持定級報告到當(dāng)?shù)毓矙C關(guān)網(wǎng)監(jiān)部門進(jìn)行備案。3.參照信息系統(tǒng)當(dāng)前等級要求和標(biāo)準(zhǔn)，對信息系統(tǒng)進(jìn)行整改加固。4.委托具備測評資質(zhì)的測評機構(gòu)對信息系統(tǒng)進(jìn)行等級測評，形成正式的測評報告。5.向當(dāng)?shù)毓矙C關(guān)網(wǎng)監(jiān)部門提交測評報告，配合完成對信息安全等級保護(hù)實施情況的檢查。12信息安全等級保護(hù)基本要求系統(tǒng)運維管理系統(tǒng)建設(shè)管理數(shù)據(jù)安全信息安全等級保護(hù)基本要求物理安全網(wǎng)絡(luò)安全主機安全安全管理機構(gòu)安全管理制度應(yīng)用安全人員安全管理技術(shù)要求管理要求13信息安全等級保護(hù)—定級定義由信息系統(tǒng)運營單位確定信息系統(tǒng)的安全保護(hù)等級。1由運營單位業(yè)務(wù)部門確定實施信息安全等級保護(hù)的信息系統(tǒng)。2參照定級標(biāo)準(zhǔn)和流程獲得信息等級的安全保護(hù)等級信息。3最終形成信息系統(tǒng)安全保護(hù)等級確認(rèn)報告。14定級流程1.確定定級對象2.確定業(yè)務(wù)信息安全受到破壞時所侵害的客體3.綜合評定對客體的侵害程度4.業(yè)務(wù)信息安全等級（S）5.確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客體6.綜合評定對客體的侵害程度7.系統(tǒng)服務(wù)安全等級（A）8.定級對象的安全保護(hù)等級（SxAxGx）15定級參考信息業(yè)務(wù)信息安全保護(hù)等級矩陣表系統(tǒng)服務(wù)安全保護(hù)等級矩陣表16定級結(jié)論17信息安全等級保護(hù)—備案定義由信息系統(tǒng)運營單位持定級報告到當(dāng)?shù)毓矙C關(guān)網(wǎng)監(jiān)部門進(jìn)行信息系統(tǒng)安全保護(hù)等級信息備案。1按照運營單位所在地確定受理備案的機構(gòu)（省公安廳/市公安局）。2由運營單位填寫信息系統(tǒng)安全等級保護(hù)備案表格。3提交備案表格，獲得備案回執(zhí)信息（通過審核/限期整改）。18備案信息19信息安全等級保護(hù)—整改定義按照信息系統(tǒng)已備案的等級信息，參照信息安全等級保護(hù)基本要求，組織開展差距分析及整改加固的相關(guān)工作。由信息系統(tǒng)運營單位開展自查及整改工作，不斷完善信息安全等級保護(hù)的各項要求。委托具備測評資質(zhì)的測評機構(gòu)開展信息系統(tǒng)安全等級保護(hù)差距分析，配合運營單位完成整改及安全加固工作。20信息安全等級保護(hù)—測評機構(gòu)業(yè)務(wù)范圍

1.信息安全等級保護(hù)測評。

2.信息系統(tǒng)安全等級保護(hù)定級，等級保護(hù)安全建設(shè)整改，信息安全等級保護(hù)宣傳教育等工作的技術(shù)支持。3.信息安全風(fēng)險評估。

4.信息安全培訓(xùn)。

5.信息安全咨詢。

6.信息安全工程監(jiān)理。不得從事的活動

1.影響被測評信息系統(tǒng)正常運行，危害被測評信息系統(tǒng)安全。2.泄露知悉的被測評單位及被測評信息系統(tǒng)的國家秘密和工作秘密。3.故意隱瞞測評過程中發(fā)現(xiàn)的安全問題，或者在測評過程中弄虛作假，未如實出具等級測評報告。4.未按規(guī)定格式出具等級測評報告；5.非授權(quán)占有、使用等級測評相關(guān)資料及數(shù)據(jù)文件；6.分包或轉(zhuǎn)包等級測評項目；7.信息安全產(chǎn)品開發(fā)、銷售和信息系統(tǒng)安全集成；8.限定被測評單位購買、使用其指定的信息安全產(chǎn)品；9.其他可能影響測評客觀、公正和安全的活動。21整改依據(jù)22不同級別控制點差異23不同級別要求項差異24信息安全等級保護(hù)—測評定義委托具備測評資質(zhì)的第三方測評機構(gòu)，對已定級的信息系統(tǒng)進(jìn)行信息安全等級保護(hù)測評，并出具正式的測評報告和測評結(jié)論。1明確被測評系統(tǒng)的安全保護(hù)等級，制定測評方案和實施計劃。2由運營單位配合完成測評過程中的人員訪談、配置檢查、安全測試等工作。3出具最終的測評報告和測評結(jié)論（符合/基本符合/不符合）。25測評實施流程等級測評項目啟動信息收集與分析工具和表單準(zhǔn)備測評準(zhǔn)備活動測評對象確定測評指標(biāo)確定測評內(nèi)容確定工具測評方法確定測評指導(dǎo)書開發(fā)測評方案編制方案編制活動現(xiàn)場測評準(zhǔn)備現(xiàn)場測評和結(jié)果記錄結(jié)果確認(rèn)和資料歸還現(xiàn)場測評活動單項測評結(jié)果判定單元測評結(jié)果判定整體測評風(fēng)險分析等保測評結(jié)論形成測評報告編制報告編制活動溝通與洽談261.測評準(zhǔn)備活動測評項目啟動測評機構(gòu)與信息系統(tǒng)運營單位簽訂測評委托合同，明確被測評的信息系統(tǒng)名稱和安全保護(hù)等級，確認(rèn)測評實施范圍。信息收集與分析信息系統(tǒng)運營單位整理被測評系統(tǒng)的相關(guān)信息，填寫測評機構(gòu)提供的測評系統(tǒng)信息表格。工具和表單準(zhǔn)備根據(jù)運營單位提供的被測評系統(tǒng)的相關(guān)信息，由測評機構(gòu)準(zhǔn)備相應(yīng)的安全測試工具和測試申請表格。271.測評準(zhǔn)備活動282.方案編制活動測評對象確定根據(jù)已經(jīng)了解到的被測系統(tǒng)信息，分析整個被測系統(tǒng)及其涉及的業(yè)務(wù)應(yīng)用系統(tǒng)，確定出本次測評的測評對象。測評指標(biāo)確定根據(jù)已經(jīng)了解到的被測系統(tǒng)定級結(jié)果，確定出本次測評的測評指標(biāo)。測評內(nèi)容確定確定現(xiàn)場測評的具體實施內(nèi)容。292.方案編制活動測評指導(dǎo)書開發(fā)測評指導(dǎo)書是具體指導(dǎo)測評人員如何進(jìn)行測評活動的文件，是現(xiàn)場測評的工具、方法和操作步驟等的詳細(xì)描述，編制與實際測評相關(guān)的測評指導(dǎo)書。測評方案編制測評方案是等級測評工作實施的基礎(chǔ)，指導(dǎo)等級測評工作的現(xiàn)場實施活動。主要包括：項目概述、測評對象、測評指標(biāo)、測評工具的接入點以及單元測評實施等。302.方案編制活動—測評指導(dǎo)書312.方案編制活動—測評方案323.現(xiàn)場測評活動現(xiàn)場測評準(zhǔn)備測評機構(gòu)與被測評單位雙方在現(xiàn)場測評前就配合人員、所需資源、測評方案及實施計劃的詳細(xì)溝通與確認(rèn)。現(xiàn)場測評和結(jié)果記錄現(xiàn)場測評主要包括人員訪談、文檔審查、策略配置檢查、工具測試和實地察看等五個方面，詳細(xì)記錄結(jié)果。結(jié)果確認(rèn)和資料返還將各單項測評項的結(jié)果與被測評單位的相關(guān)管理人員進(jìn)行信息確認(rèn)，在現(xiàn)場測評結(jié)束前返還測評過程中所需的各項管理文檔和資料。333.現(xiàn)場測評活動—雙方職責(zé)測評機構(gòu)職責(zé)

利用訪談、文檔審查、配置檢查、工具測試和實地察看的方法測評被測系統(tǒng)的保護(hù)措施情況，并獲取相關(guān)證據(jù)。測評委托單位職責(zé)

1.測評前備份系統(tǒng)和數(shù)據(jù)，并確認(rèn)被測設(shè)備狀態(tài)完好。2.協(xié)調(diào)被測系統(tǒng)內(nèi)部相關(guān)人員的關(guān)系，配合測評工作的開展。3.簽署現(xiàn)場測評授權(quán)書。4.相關(guān)人員回答測評人員的問詢，對某些需要驗證的內(nèi)容上機進(jìn)行操作。5.相關(guān)人員確認(rèn)測試前協(xié)助測評人員實施工具測試并提供有效建議，降低安全測評對系統(tǒng)運行的影響。6.相關(guān)人員協(xié)助測評人員完成業(yè)務(wù)相關(guān)內(nèi)容的問詢、驗證和測試。7.相關(guān)人員對測評結(jié)果進(jìn)行確認(rèn)。8.相關(guān)人員確認(rèn)測試后被測設(shè)備狀態(tài)完好。343.現(xiàn)場測評活動—雙方職責(zé)353.現(xiàn)場測評活動—測評實施方法訪談文檔

審查配置

檢查工具

測試測評人員與被測系統(tǒng)有關(guān)人員（個人/群體）進(jìn)行交流、討論等活動，獲取相關(guān)證據(jù)，了解有關(guān)信息。1.檢查《基本要求》中規(guī)定的必須具有的制度、策略、操作規(guī)程等文檔是否齊備。

2.檢查是否有完整的制度執(zhí)行情況記錄，如機房出入登記記錄、電子記錄、高等級系統(tǒng)的關(guān)鍵設(shè)備的使用登記記錄等。

3.對上述文檔進(jìn)行審核與分析，檢查他們的完整性和這些文件之間的內(nèi)部一致性。根據(jù)測評結(jié)果記錄表格內(nèi)容，利用上機驗證的方式檢查應(yīng)用系統(tǒng)、主機系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及網(wǎng)絡(luò)設(shè)備的配置是否正確，是否與文檔、相關(guān)設(shè)備和部件保持一致，對文檔審核的內(nèi)容進(jìn)行核實。根據(jù)測評指導(dǎo)書，利用技術(shù)工具對系統(tǒng)進(jìn)行測試，包括基于網(wǎng)絡(luò)探測和基于主機審計的漏洞掃描、滲透性測試、性能測試、入侵檢測和協(xié)議分析等。實地

察看根據(jù)被測系統(tǒng)的實際情況，測評人員到系統(tǒng)運行現(xiàn)場通過實地的觀察人員行為、