信息系统安全等级保护定级备案).ppt

c) 应能够对内部用户非授权联到外部网络的行为进行限制或检 查；
d) 应限制无线网络的使用，确保无线网络通过受控的边界防护设备 接入内部网络。
入侵防范
b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行 为； (新增)
设计要求
测评要求
通用要求
云计算
物联网
移动互联
工业控制
7
。 share
等保2.0标准解读
勇 share
等级保护1.0和2.0对比
旧标准(等级保护1.0)
技术要求
物理安全 网络安全 主机安全 应用安全
管理要求
数据安全及备份恢复 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理
9
新标准(等级保护2.0)
无 入侵防范
无
a) 应采用校验码技术或密码技术保证通信过程中数据的完整性；
通信传输 b) 应采用密码技术保证通信过程中敏感信息字段或整个报文的保密 性。
a) 应保证跨越边界的访问和数据流通过边界防护设备提供的受控接 口进行通信；
边界防护
b) 应能够对非授权设备私自联到内部网络的行为进行限制或检 查；
3
4
6 防水和防潮
3
2
7 防静电
2
1
8 温湿度控制
1
4
9 电力供应
3
3
10 电磁防护
2
。 share
物理位置的选择
原控制项
新控制项
b）机房场地应避免设在建筑物的高层或 地下室,以及用水设备的下层或隔壁。 物理位置的选择
b）机房场地应避免设在建筑物的顶层或地下室, 否则应加强防水和防潮措施
防静电
无

在信息系统安全保护等级确定过程中，可以聘请 专家进行咨询评审，并出具定级评审意见
对拟确定为第四级以上信息系统的，运营、使用 单位或者主管部门应当邀请国家信息安全保护等级 专家评审委员会评审，出具评审意见。
三、信息系统安全保护等级的确定
定级工作步骤
第四步：信息系统等级的最终确定与审批 信息系统运营使用单位参考专家定级评审意 见，最终确定信息系统等级，形成《定级报 告》。 如果专家评审意见与运营使用单位意见不一 致时，由运营使用单位自主决定系统等级。 信息系统运营使用单位有上级主管部门的， 应当经上级主管部门对安全保护等级进行审 核批准。
公民、法人和其他组织 的合法权益
社会秩序、公共利益
对相应客体的侵害程度 一般损害 严重损害
第一级
第二级
第二级
第三级
特别严重 损害
第二级
第四级
国家安全
第三级
第四级 第五级
三、信息系统安全保护等级的确定
对相应客体的侵害程度
系统服务安全被破坏时
所侵害的客体
一般损害
严重损害 特别严重 损害
公民、法人和其他组织 第一级 的合法权益
不同危害后果的三种危害程度描述如下： 一般损害：工作职能受到局部影响，业务能力有所 降低但不影响主要功能的执行，出现较轻的法律问题， 较低的资产损失，有限的社会不良影响，对其他组织 和个人造成较低损害。
三、信息系统安全保护等级的确定
严重损害：工作职能受到严重影响，业务能力显著下 降且严重影响主要功能执行，出现较严重的法律问题， 较高的资产损失，较大范围的社会不良影响，对其他 组织和个人造成较严重损害。
定级实例2
对相应客体的侵害程度
业务信息安全被破坏时所
侵害的客体

以《需基求本背要求景》中 “ 用 求以中以为网 、《物《政目络数基理基策标、据本依主”，安本机部以据要全要分、《求求部要应设》》 经级计分中分要过保为为管求信护依依理》息 专据据为安安 家方全全 论法等 证部
通过
流程四：等保体系整体架构
安全接入/隔离设备
区域边界
区域边界
通信网络
通信网络
其它定级系统
公通字 [2019]66号
公通字 [2019]43号
公信安 [2019]861 号
颁布机构
国务院
中共中央办公厅 国务院办公厅
公安部 国家保密局 国家密码管理委 员会办公室 （国家密码管理 局） 国务院信息化工 作办公室
内容及意义
第一次提出信息系统要实行 等级保护，并确定了等级保 护的职责单位。
等级保护工作的开展必须分 步骤、分阶段、有计划的实 施。明确了信息安全等级保 护制度的基本内容。
安全管理 中心
安全管理中心
计算环境
网站/应用服务器 交换设备 计算环境
终端 用户
流程五：等保体系部署
通信网络
国家安全
第三级 第四级 第五级
流程二：等保建设立项
信息系统等级保护建设，经过信息系统的运营、管理部 门以及有关政府部门的批准，并列入信息系统运营单位或政 府计划的过程。
一项基本国策，一项基本制度，具有政策的强制性 是办公电子化、业务信息化发展必需的保障手段 用户业务开展的实际需求
流程三：风险评估
信息系统安全等级保护定级指南
GB17859-2019 计算机信息系统安全保护等级划分准则
等级保护的技术标准规范
面向评估者技术标准：
《计算机信息系统安全保护等级划分准则》 （GB 17859-2019） 《信息安全技术 信息系统通用安全技术要求》 （GB/T 20271-2019） 《信息安全技术 操作系统安全技术要求》 （GB/T 20272-2019）

区域边界保护
保护计算环境
保护计算环境
实现集中安全管理
落实安全管理措施
三级系统安全管理措施
- 建立全面的安全管理制度，并安排专人负责并监控执行情况； - 建立全面的人员管理体系，制定严格的考核标准 - 建设过程的各项活动都要求进行制度化规范，按照制度要求进行 活动的开展 - 实现严格的保密性管理 - 成立安全运维小组，对安全维护的责任落实到具体的人 - 引入第三方专业安全服务
物理安 • 需要到物理机房实地检查，请提前申请进入机房的相关手续，并协调查看机房管理相关管理记录 全
网络安 • 需要登录网络设备、安全设备检查相关配置及漏洞扫描，请分配可接入的网络端口及地址，提供配置文件
全 主机安 • 需要登录相关主机设备检查相关配置及漏洞扫描，请分配可接入的网络端口及地址 全 应用安 • 请提供应用系统访问地址，以及访问该应用所需的网络地址，帐户名称、口令以及其它鉴别方式所需软硬件设备 全
分级保护系列标准规范
《涉及国家秘密的计算机信息系统分级保 护技术要求》BMB17-2006 《涉及国家秘密计算机信息系统安全保密 方案设计指南》 BMB23-2008 涉密信息系统安全保障建设 《涉及国家秘密计算机信息系统分级保护 指南 管理规范》BMB20-2007 《涉及国家秘密的信息系统分级保护测评 指南》BMB22—2007 《涉及国家秘密计算机信息系统分级保护 管理办法 》国家保密局16号
管理制 • 请提供安全管理制度电子档或纸质版本，以及相关记录文件
度
1、最灵繁的人也看不见自己的背脊。——非洲 2、最困难的事情就是认识自己。——希腊 3、勇猛、大胆和坚定的决心能够抵得上武器的精良。——达· 芬奇 4、与肝胆人共事，无字句处读书。——周恩来 5、一个人即使已登上顶峰，也仍要自强不息。——罗素· 贝克 6、一切节省，归根到底都归结为时间的节省。——马克思 7、自知之明是最难得的知识。——西班牙 8、勇气通往天堂，怯懦通往地狱。——塞内加 9、有时候读书是一种巧妙地避开思考的方法。——赫尔普斯 10、阅读一切好书如同和过去最杰出的人谈话。——笛卡儿 11、有勇气承担命运这才是英雄好汉。——黑塞 12、只有把抱怨环境的心情，化为上进的力量，才是成功的保证。——罗曼· 罗兰 13、知人者智，自知者明。胜人者有力，自胜者强。——老子 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。——歌德 15、最具挑战性的挑战莫过于提升自我。——迈克尔· F· 斯特利 16、业余生活要有意义，不要越轨。——华盛顿 17、意志是一个强壮的盲人，倚靠在明眼的跛子肩上。——叔本华 18、最大的挑战和突破在于用人，而用人最大的突破在于信任人。——马云 19、我这个人走得很慢，但是我从不后退。——亚伯拉罕· 林肯 20、要掌握书，莫被书掌握；要为生而读，莫为读而生。——布尔沃 21、要知道对好事的称颂过于夸大，也会招来人们的反感轻蔑和嫉妒。——培根 22、业精于勤，荒于嬉；行成于思，毁于随。——韩愈 23、最大的骄傲于最大的自卑都表示心灵的最软弱无力。——斯宾诺莎 24、知之者不如好之者，好之者不如乐之者。——孔子 25、学习是劳动，是充满思想的劳动。——乌申斯基 26、要使整个人生都过得舒适、愉快，这是不可能的，因为人类必须具备一种能应付逆境的态度。——卢梭 27、越是无能的人，越喜欢挑剔别人的错儿。——爱尔兰 28、意志命运往往背道而驰，决心到最后会全部推倒。——莎士比亚 29、越是没有本领的就越加自命不凡。——邓拓 30、阅读使人充实，会谈使人敏捷，写作使人精确。——培根

……
TCP/IP IPX/SPX SNMP
……
场地 机房 网络布线 设备 存储设备
……
各级系统的保护要求差异
信息安全管理生命周期
建设管理
运维管理
系统定级 方案设计 产品使用 自行开发 系统交付 测试验收 工程实施 软件外包
设 介资 环密
备 质产 境码
恶 意 理
✓ 系统测评：《信息系统安全等级保护测评要求》是针对《信息安全等 级保护基本要求》的具体控制要求开发的测评要求，旨在强调系统按 照《信息安全等级保护基本要求》进行建设完毕后，检验系统的各项 保护要求是否符合相应等级的基本要求。
✓ 由上可见，《信息安全等级保护基本要求》在整个标准体系中起着承 上启下的作用。相关技术要求可以作为《信息安全等级保护基本要求 》的补充和详细指导标准。
公通字[2006]7号文 ✓ 明确了信息安全等级保护的具体要求。 ✓ 为推广和实施信息安全等级保护提供法律保障。
公信安[2007]861号 ✓ 标志着等级保护工作正式推向实施阶段。
等级保护政策依据
公通字[2007]43号文 2007.6.22
➢ 明确主管单位： 公安机关负责信息安全等级保护工作的监督、检查
、指导。
国家保密部门负责等保中保密工作的监督、检查、 指导。
国家密码管理部门负责等保中有关密码工作的监督 、检查、指导。
➢ 确定5个等级，但去掉了[2006 7号文]“自主保护 ”、“指导保护”、“监督保护”等称为。
等级保护政策依据
公通字[2007]43号文
五个等级的基本情况
➢ 第一级：运营、使用单位根据国家管理规范、技术标准自 主防护。
/ /
一级 9 9 6 7 2
3 4 7 20 18 85 /

• 正文由6个章节构成
– – – – – – 1. 范围 2. 规范性引用文件 3. 术语定义 4. 定级原理 5. 定级方法 6. 级别变更
•
–
– – – –
五个等级的定义
第一级, 信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损 害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严 重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者 对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害， 或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。
等级确定与备案 安全规划与设计 安全建设与实现 自查与等级测评
监督管理要求 实施指南
等级保护运行与管理
• 管理办法(43文件)（总要求）
• 实施指南（GB/T25058-2010） • 定级指南（GB/T22240-2008） • 基本要求（GB/T22239-2008） • 测评要求 • 建设指南
对自身的破坏时，信息系统的恢复能力使系统在
一定时间内恢复到原有状态，从而降低负面影响。
43
第一级安全保护能力
应具有能够对抗来自个人的、拥有很少资源（如利用
公开可获取的工具等）的威胁源发起的恶意攻击、一
般的自然灾难（灾难发生的强度弱、持续时间很短、 系统局部范围等）、以及其他相当危害程度的威胁所 造成的关键资源损害，并在威胁发生后，能够恢复部 分功能。
•
•
《管理办法》第十四条:
信息系统建设完成后，运营、使用单位或者其主管部门应当选择 符合本办法规定条件的测评单位，依据《信息系统安全等级保护 测评要求》等技术标准，定期对信息系统安全等级状况开展等级 测评。第三级信息系统应当每年至少进行一次等级测评，第四级 信息系统应当每半年至少进行一次等级测评，第五级信息系统应 当依据特殊安全需求进行等级测评。