等级保护知识培训.ppt

等级保护培训,目录,等级保护概念介绍等级保护流程介绍等级保护定级等级保护基本要求等级保护实施等级保护测评我公司开展的等级保护服务,等级保护标准制修订背景,2003年9月中办国办颁发关于加强信息安全保障工作的意见中办发200327号,2005年9月国信办文件 关于转发电子政务信息安全等级保护实施指南的通知 国信办200425号,2006年1月四部委会签 关于印发信息安全等级保护管理办法的通知 公通字20067号,2005年 公安部标准基本要求定级指南实施指南测评准则,2004年11月四部委会签关于信息安全等级保护工作的实施意见公通字200466号,云南云南省人民政府第130号令,浙江浙江省人民政府令,北京北京政府第9号令,国家级政策文件,国家级技术标准,国家级政策文件,地方政策文件,什么是等级保护？,信息系统安全等级保护是指对信息和信息系统划分为五个安全保护和监管等级，实行分等级保护。,“一个提高，四个有利于”有效地提高我国信息安全建设的整体水平 有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督；,为什么实行等级保护？,有利于明确国家、法人和其他组织、公民的安全责任，强化政府监管职能，共同落实各项安全建设和安全管理措施；有利于提高安全保护的科学性、整体性、针对性，推动信息安全产业水平，逐步探索一条适应社会主义市场经济发展的信息安全发展模式。,为什么实行等级保护？,为什么实行等级保护？,2003-2007被篡改网站数量我国,为什么实行等级保护？,真正的中国工商银行网站,假冒的中国工商银行网站,等保的对象及频度,系统新建 发生过重大事件 未进行过测评 网络或信息系统重大变更 安全事件爆发监管部门提出要求（重要时期前，例奥运会，亚运会）每年（三级）进行一次每半年（四级）进行一次,目录,等级保护概念介绍等级保护流程介绍等级保护定级等级保护基本要求等级保护实施等级保护测评我公司开展的等级保护服务,等级保护测评流程,等保测评参考标准,GB/T22240信息系统安全等级保护定级指南GB/T22239信息系统安全等级保护基本要求信息系统安全等级保护测评过程指南信息系统安全等级保护实施指南等级保护测评准则（已基本废弃）,目录,等级保护概念介绍等级保护流程介绍等级保护定级等级保护基本要求等级保护实施等级保护验收测评我公司开展的等级保护支持服务,等级保护定级维度,等级保护对象受到破坏时所侵害的客体对客体造成侵害的程度,定级阶段-关于定级范围,（一）电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。（二）铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。（三）市（地）级以上党政机关的重要网站和办公信息系统,一、定级对象的三个条件具有唯一确定的安全责任单位作为定级对象的信息系统应能够唯一地确定其安全责任单位，这个安全责任单位就是负责等级保护工作部署、实施的单位，也是完成等级保护备案和接受监督检查的直接责任单位。满足信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如单台的服务器、终端或网络设备等作为定级对象。,定级阶段-关于定级对象确定,一、定级对象的三个条件承载相对独立的业务应用定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流程、部分业务功能独立，同时与其他信息系统的业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程，可以是完整的业务流程的一部分。,定级阶段-关于定级对象确定,二、定级对象的识别和划分可能使定级要素赋值不同因素可能涉及不同客体的系统。可能对客体造成不同程度损害的系统。处理不同类型业务的系统。本身运行在不同的网络环境中的系统。分不开的系统，按照高级别保护。,定级阶段-关于定级对象确定,识别单位基本信息 了解单位基本信息有助于判断单位的职能特点，单位所在行业及单位在行业所处的地位和所用，由此判断单位主要信息系统的宏观定位。识别业务种类、流程和服务应重点了解定级对象信息系统中不同业务系统提供的服务在影响履行单位职能方面具体方式和程度，影响的区域范围、用户人数、业务量的具体数据以及对本单位以外机构或个人的影响等方面。这些具体数据即可以为主管部门制定定级指导意见提供参照，也可以作为主管部门审批定级结果的重要依据。,定级阶段-关于定级过程,识别信息调查了解定级对象信息系统所处理的信息，了解单位对信息的三个安全属性的需求，了解不同业务数据在其保密性、完整性和可用性被破坏后在单位职能、单位资金、单位信誉、人身安全等方面可能对国家、社会、本单位造成的影响，对影响程度的描述应尽可能量化。识别网络结构和边界调查了解定级对象信息系统所在单位的整体网络状况、安全防护和外部连接情况，目的是了解信息系统所处的单位内部网络环境和外部环境特点，以及该信息系统的网络安全保护与单位内部网络环境的安全保护的关系。,定级阶段-关于定级过程,识别主要的软硬件设备调查了解与定级对象信息系统相关的服务器、网络、终端、存储设备以及安全设备等，设备所在网段，在系统中的功能和作用。调查设备的位置和作用主要就是发现不同信息系统在设备使用方面的共用程度。识别用户类型和分布调查了解各系统的管理用户和一般用户，内部用户和外部用户，本地用户和远程用户等类型，了解用户或用户群的数量分布，判断系统服务中断或系统信息被破坏可能影响的范围和程度。形成定级结果取各类信息和服务的较高。,定级阶段-关于定级过程,定级阶段-关于三种危害程度,不同危害后果的三种危害程度描述如下：一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的财产损失，有限的社会不良影响，对其他组织和个人造成较低损害。严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的财产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的财产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。,等级保护对象受到破坏时所侵害的客体包括以下三个方面：公民、法人和其他组织的合法权益；社会秩序、公共利益；国家安全。,定级阶段-三种客体,定级要素与安全保护等级的关系,对定级指南中有关概念的补充说明：三种客体对客体侵害程度,定级阶段_关键概念的补充说明,三种受侵害的客体体现了三种不同层次、不同覆盖范围的社会关系。国家安全利益体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全和资源环境安全等方面利益。社会秩序包括社会的政治、经济、生产、生活、科研、工作等各方面的正常秩序。公共利益是指不特定的社会成员所共同享有的，维持其生产、生活、教育、卫生等方面的利益。合法权益是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益，,定级阶段-三种客体说明,对客体的侵害不是威胁直接作用的结果，而是通过对等级保护对象信息系统的破坏而导致的，因此确定对客体侵害的程度时，必须考虑对等级保护对象所造成破坏的不同客观表现形态以及不同程度的结果，也就是侵害的客观方面。,定级阶段,定级阶段-关于损害的详述,定级阶段-关于定级级别,定级阶段-关于定级方法,定级的一般方法 信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。,定级阶段-关于定级方法,定级阶段-关于定级方法与流程,根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据下表业务信息安全保护等级矩阵表，即可得到业务信息安全保护等级。,四个主要因素决定等级,系统所属类型,业务信息类别,系统服务范围,业务依赖程度,业务信息安全性,业务服务保证性,信息系统安全保护等级,侵害的程度如何？（对客体造成侵害的程度）一般损害 严重损害 特别严重损害,受到破坏时侵害了什么？（客体）公民、法人 社会秩序、公共利益 国家安全,定级阶段-关于等级变更,在信息系统的运行过程中，安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更，尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化，可能影响到系统的安全保护等级时，应根据定级标准给出的定级方法重新定级,定级案例-三级系统定级,定级案例-三级系统定级,定级案例-三级系统定级,定级案例-三级系统定级,目录,等级保护概念介绍等级保护流程介绍等级保护定级等级保护基本要求等级保护实施等级保护测评我公司开展的等级保护服务,基本要求的作用,信息系统安全等级保护基本要求,运营、使用单位（安全服务商）,主管部门（等级测评机构）,安全保护,测评检查,基本要求的定位,是系统安全保护、等级测评的一个基本“标尺”，同样级别的系统使用统一的“标尺”来衡量，保证权威性，是一个达标线；每个级别的信息系统按照基本要求进行保护后，信息系统具有相应等级的基本安全保护能力，达到一种基本的安全状态;是每个级别信息系统进行安全保护工作的一个基本出发点，更加贴切的保护可以通过需求分析对基本要求进行补充，参考其他有关等级保护或安全方面的标准来实现;,基本要求的定位,某级信息系统,基本保护,精确保护,基本要求,保护,基本要求,测评,补充的安全措施GB17859-1999通用技术要求安全管理要求高级别的基本要求等级保护其他标准安全方面相关标准等等,基本保护,特殊需求补充措施,基本要求基本思路,不同级别信息系统,重要程度不同,应对不同威胁的能力(威胁弱点),具有不同的安全保护能力,不同的基本要求,各个要素之间的关系,安全保护能力,基本安全要求,每个等级的信息系统,基本技术措施,基本管理措施,具备,包含,包含,满足,满足,实现,基本要求核心思路,某级系统,技术要求,管理要求,基本要求,建立安全技术体系,建立安全管理体系,具有某级安全保护能力的系统,各级系统的保护要求差异（宏观）,安全保护模型PPDRR,Protection防护 Policy Detection 策略 检测 Response 响应,Recovery恢复,各级系统的保护要求差异（宏观）,一级系统,二级系统,三级系统,四级系统,防护,防护/监测,策略/防护/监测/恢复,策略/防护/监测/恢复/响应,各级系统的保护要求差异（宏观）,成功的完成业务,信息保障,深度防御战略,人,技术,操作,防御网络与基础设施,防御飞地边界,防御计算环境,支撑性基础设施,安全保护模型IATF,各级系统的保护要求差异（宏观）,一级系统,二级系统,三级系统,四级系统,通信/边界（基本）,通信/边界/内部（关键设备）,通信/边界/内部（主要设备）,通信/边界/内部/基础设施（所有设备）,各级系统的保护要求差异（宏观）,一级系统,二级系统,三级系统,四级系统,计划和跟踪（主要制度）,计划和跟踪（主要制度）,良好定义（管理活动制度化）,持续改进（管理活动制度化/及时改进）,等级保护基本要求构架,某级系统,物理安全,技术要求,管理要求,基本要求,网络安全,主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,等级保护基本要求效果,基本要求的主要内容,由9个章节2个附录构成1.适用范围2.规范性引用文件3术语定义4.等级保护概述基本要求附录A 关于信息系统整体安全保护能力的要求附录B 基本安全要求的选择和使用,基本要求的组织方式,某级系统,类,技术要求,管理要求,基本要求,类,控制点,具体要求,控制点,具体要求,基本要求-组织方式,某级系统,物理安全,技术要求,管理要求,基本要求,网络安全,主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,基本要求标注方式,基本要求技术要求管理要求要求标注业务信息安全类要求（标记为S类）系统服务保证类要求（标记为A类）通用安全保护类要求（标记为G类）,三类要求之间的关系,通用安全保护类要求（G）,业务信息安全类（S）,系统服务保证类（A,安全要求,基本要求的选择和使用,一个3级系统,定级结果为S3A2，保护类型应该是S3A2G3第1步:选择标准中3级基本要求的技术要求和管理要求;第2步:要求中标注为S类和G类的不变;标注为A类的要求可以选用2级基本要求中的A类作为基本要求;,安全保护和系统定级的关系,定级指南要求按照“业务信息”和“系统服务”的需求确定整个系统的安全保护等级定级过程反映了信息系统的保护要求,不同级别系统控制点的差异,不同级别系统要求项的差异,目录,等级保护概念介绍等级保护流程介绍等级保护定级等级保护基本要求等级保护实施等级保护测评我公司开展的等级保护服务,等级保护角色和职责,等级保护实施原则,自主保护原则信息系统运营、使用单位及其主管部门按照国家相关法规和标准，自主确定信息系统的安全保护等级，自行组织实施安全保护。重点保护原则根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。同步建设原则信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。动态调整原则要跟踪信息系统的变化情况，调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级，根据信息系统安全保护等级的调整情况，重新实施安全保护。,等级保护实施流程,目录,等级保护概念介绍等级保护流程介绍等级保护定级等级保护基本要求等级保护实施等级保护测评我公司开展的等级保护支持服务,等级保护测评中的角色关系,系统承建单位,主管使用运行单位,测评机构,专家组,支持测评提供技术、工程和质量文档实施的配合,公安网监部门,测评工作组织协调确保技术、工程和质量文档、提供运营相关文档的提供评审实施方案等相关文档配合等级测评实施测评过程中的风险管理和应急管理,制定测评计划和方案等相关文档在相关单位支持下实施等级测评提交测评报告,监督方案评审和系统测评监督确保遵守公正的测评原则和方法对评估结论进行评审,测评工作 组织与监管,测评工具和接入点,根据3级信息系统的测评强度要求，在测试的广度上，应基本覆盖不同类型的机制，在数量、范围上可以抽样；在测试的深度上，应执行功能测试和渗透测试，功能测试可能涉及机制的功能规范、高级设计和操作规程等文档，渗透测试可能涉及机制的所有可用文档，并试图智取进入信息系统等。因此，对其进行测评，应涉及到漏洞扫描工具、渗透测评工具集等多种测试工具。使用的测试工具主要有：网络漏洞扫描器、数据库安全扫描器、渗透测试工具集等。,测评内容-物理安全,物理安全测评将通过访谈、文档审查和实地察看的方式测评信息系统的的物理安全保障情况。主要涉及对象为屏蔽机房和主机房。,测评内容网络安全,网络安全测评将通过访谈、配置检查和工具测试的方式测评信息系统的的网络安全保障情况。主要涉及对象为网络互联设备、网络安全设备和网络拓扑结构等三大类对象。,测评内容主机安全,主机系统安全测评将通过访谈、配置检查和工具测试的方式测评主机系统安全保障情况。本次重点测评的操作系统包括各网站服务器、应用服务器和数据库服务器等的操作系统，数据库管理系统为数据库服务器Sybase。,测评内容应用安全和数据安全,应用安全测评将通过访谈、配置检查和工具测试的方式测评应用安全保障情况，主要涉及对象为用电信息系统、对外服务网站系统和远程客户服务系统。,测评内容安全管理部分,安全管理部分为全局性问题，涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面。主要是审查相关管理文档和记录文件。,等级保护测评实施物理安全,要求：对于温湿度控制（G3），在GB/T 22239-2008中的描述为“机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。”测评方法（1）应检查机房是否有温湿度控制设计/验收文档，查看机房温、湿度是否满足GB 2887-89计算站场地技术条件的要求，是否能够满足系统运行需要，是否与当前实际情况相符合。（2）应访谈物理安全负责人，询问机房是否配备了温、湿度自动调节设施，保证温湿度能够满足计算机设备运行的要求，是否在机房管理制度中规定了温湿度控制的要求，是否有人负责此项工作（3）应检查温、湿度自动调节设施是否能够正常运行，查看温湿度记录、运行记录和维护记录。（4）应访谈机房维护人员，询问是否定期检查和维护机房的温湿度自动调节设施，询问是否出现过温湿度影响系统运行的事件。,等级保护测评实施网络安全,按照测评方案的要求，核心交换机SJ6509应测评网络访问控制（G3）、网络安全审计（G3）、网络设备防护（G3）等部分的内容。测评方法（1）检查网络设备测试报告，检查是否符合国家关于交换机的安全要求；（2）应检查边界和主要网络设备上的安全设置，查看是否对边界和主要网络设备的管理员登录地址进行限制；（3）应测试边界和主要网络设备的安全设置，对网络设备的管理员登录地址进行限制（如使用任意地址登录，观察网络设备的动作等）等功能是否有效。,等级保护测评实施主机安全,要求：数据库为Sybase应测评身份鉴别（S3）、自主访问控制（S3）、强制访问控制（S3）、安全审计（G3）、资源控制（A2）、数据备份与恢复（A2）、数据完整性（S3）、数据保密性（S3）等部分的内容。测评方法：应检查主要数据库管理系统，查看对管理用户的身份鉴别是否采用两个及两个以上鉴别技术的组合来进行身份鉴别（如采用用户名/口令、挑战应答、动态口令、物理设备、生物识别技术和数字证书方式的身份鉴别技术中的任意两个组合）。,等级保护测评实施应用和数据安全,要求：业务应用程序（用户自主开发）应测评身份鉴别（S3）、访问控制（S3）、安全审计（G3）、剩余信息保护（G3）、通信完整性（S3）、通信保密性（S3）、抗抵赖（S3）、软件容错（A3）、资源控制（A3）、数据备份与恢复（A3）、数据完整性（S3）、数据保密性（S3）等部分的内容。应访谈安全管理员，查看相关设计文档，检查业务系统数据在通信过程中是否采取保密措施，具体措施有哪些；应测试主要应用系统，通过查看通信双方数据包的内容，查看系统在通信过程中，对整个报文或会话过程进行加密的功能是否有效。,等级保护测评实施管理安全,对于系统运维管理中的密码管理“应建立密码使用管理制度，使用符合国家密码管理规定的密码技术和产品”的要求。测评方法：应访谈安全员，询问密码技术和产品的使用是否遵照国家密码管理规定；应检查是否具有密码使用管理制度。,目录,等级保护概念介绍等级保护流程介绍等级保护定级等级保护基本要求等级保护实施等级保护测评我公司开展的等级保护服务,公司行业资质,国家信息安全产品测评中心认定的：“信息系统安全服务一级资质”广东省公安厅首家认定的：“信息安全服务一级资质”(GA01001)；广东省公安厅首家认定的：“等级保护测评一级资质”(GA001)；国家保密局首批认定的：“涉及国家秘密计算机系统集成资质”；国家公安部首批认定的：“信息安全等级保护技术支持试点单位”；广东省公安厅认定的：“技术安全防范、设计、实施一级资质企业”；国家信息产业部认定的：“计算机系统系统集成二级资质”；上海英格尔认定的：“ISO900-2000质量认证资质”北京韦仕德认定的：“CMM3资质”,等级保护测评资质,备案编号：粤测评GA001 服务区域：省直和中央驻粤单位、广州、深圳、江门、湛江、清远、中山、肇庆、汕头、佛山、茂名、惠州等共计21个地市安全服务等级：一级,安全服务,集成服务,增值产品销售,产品保养,售后维护,产品服务,产品升级,产品维修,提供产品,安全方案,方案实施,培训,产品咨询,产品检测,漏洞库病毒码更新,技术支持,贯穿信息系统的整个生命周期,安全评估安全加固信息服务咨询顾问紧急响应,公司安全服务的范围,广东省深化信息安全等级保护工作方案,一、工作目标通过深化信息系统安全等级保护工作，全面完成已运行信息系统的定级备案、整改、测评工作。二、重点实施对象第二级以上的信息系统三、工作措施（1）完成安全建设整改（2）组织系统安全测评（3）完善电子政务项目建设安全管理机制,广东省深化信息安全等级保护工作方案,四、时间安排（1）深化实施阶段。（2009年5月至12月）各行业主管部门和信息系统运营使用单位对本行业和本单位信息系统进行评估，制订安全整改方案，并着手实施安全整改和测评工作。安全整改方案应当于2009年7月前报同级公安机关备案。安全整改工作应当于12月前基本完成。（2）评估发展阶段。（2010年至2011年）2010年6月前，行业主管部门和信息系统运营使用单位在测评机构指导下，对已整改完毕的信息系统进行测评。,学习资料,学习以下等级保护标准文件并提交学习心得：关于信息安全等级保护工作的实施意见（公通字200466号）信息安全等级保护管理办法计算机信息系统安全保护等级划分准则（GB17859-1999）信息系统安全保护等级定级指南信息系统安全等级保护基本要求信息系统安全等级保护实施指南信息系统安全等级保护测评准则思考等级保护体系与ISO27001之间的区别和联系,