信息安全等级保护测评ppt课件.pptx
《信息安全等级保护测评ppt课件.pptx》由会员分享,可在线阅读,更多相关《信息安全等级保护测评ppt课件.pptx(89页珍藏版)》请在三一办公上搜索。
1、信息安全等级保护测评工作介绍,国网电力科学研究院/电力行业信息安全等级保护第三测评实验室二一五年四月,1,目录,2,信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。,什么是信息安全等级保护,一、信息安全等级保护概述,1994年,中华人民共和国计算机信息系统安全保护条例 规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定” 。 1999年,强制性国家标准计算机信息系统安全保护等级划分准则GB-17859)。2003年
2、,中办、国办转发的国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)明确指出“实行信息安全等级保护”。 “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南” 。 2004年,公安部、国家保密局、国家密码管理局、国信办联合印发了关于信息安全等级保护工作的实施意见(66号文件) 2006年1月,公安部、国家保密局、国家密码管理局、国信办联合制定了信息安全等级保护管理办法(公通字20067号) 2011年9月,国家电监会印发关于组织开展电力行业重要管理信息安全等级保护测评试点工作
3、的通知,要求统一组织开展重要管理信息系统试点测评。同年,电力行业信息系统安全等级保护基本要求出台,至今已更新至V11.0,相关法律法规,一、信息安全等级保护概述,安全保护等级的划分,一、信息安全等级保护概述,(一)定级原则坚持“自主定级、自主保护”与国家监管相结合的原则(二)确定需要定级的系统(1)省辖市以上党政机关的重要网站和办公信息系统;(2)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统;(3)电力、铁路、银行、海关、税务、民航、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、
4、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统;(4)涉及国家秘密的信息系统。,等级保护等级的划分,一、信息安全等级保护概述,7,电力行业系统定级情况,2010年,随着信息化SG186工程竣工,公司信息系统由三级向两级并逐渐向一级部署过渡,系统集中集成程度大幅提高,智能电网对客户服务安全交互服务能力要求更高,按照公安部和电监会要求,2012年2月,按照营销系统和ERP系统级别由2级调整为3级、变电站二次系统不再作为独立系统定级、新建智能电网调度技术支持系统作为整体统一定级的原则,重新梳理定级984套信息系统,
5、管理信息系统调整为545套,其中3级系统127套,2级系统418套,电力二次系统调整为4级系统31套,3级系统379套。国家能源局印发关于对国家电网公司信息系统安全等级保护定级调整的批复(信息办函201290号)同意公司定级调整结果。,公司管理信息系统定级表,公司电力二次系统定级表,一、信息安全等级保护概述,初步确定信息系统等级,1、确定定级对象,2、确定业务信息安全受到破坏时所侵害的客体,5、确定系统服务安全受到破坏时所侵害的客体,3、综合评定对客体的侵害程度,6、综合评定对客体的侵害程度,依据表1,依据表2,7、系统服务安全等级,4、业务信息安全等级,8、定级对象的安全保护等级,表1,表2
6、,一、信息安全等级保护概述,公安机关负责信息安全等级保护工作的监督、检查、指导;国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导;国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导;涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理;国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。,等级保护工作的职责分工,一、信息安全等级保护概述,1、定级与审批;2、等级评审;3、备案;4、备案管理;5、系统建设;6、等级测评;7、自查自纠;8、监督检查。,等级保护工作的主要流程,局部调整,信息系统定级,总体安全规划,安全
7、设计与实施,安全运行维护,信息系统终止,备案管理,监督检查,等级变更,等级测评,等级测评,等级测评,一、信息安全等级保护概述,11,等级保护技术标准,信息安全等级保护管理办法公通字200743号计算机信息系统安全保护等级划分准则(GB17859-1999) 信息安全等级保护实施指南(GB/T 25058-2010)信息安全等级保护定级指南(GB/T 22240-2008)信息安全等级保护基本要求(GB/T 22239-2008)信息安全等级保护测评要求(GB/T 28448-2012)信息系统安全等级保护测评过程指南(GB/T 28449-2012)信息安全技术 网络基础安全技术要求(GB/T
8、20270-2006)信息安全技术 信息系统通用安全技术要求GB/T20271-2006)信息安全技术 操作系统安全技术要求(GB/T20272-2006)信息安全技术 数据库管理系统安全技术要求(GB/T20273-2006),一、信息安全等级保护概述,是系统安全保护、等级测评的一个基本“标尺”,同样级别的系统使用统一的“标尺”来衡量,保证权威性,是一个达标线;每个级别的信息系统按照基本要求进行保护后,信息系统具有相应等级的基本安全保护能力,达到一种基本的安全状态;是每个级别信息系统进行安全保护工作的一个基本出发点,更加贴切的保护可以通过需求分析对基本要求进行补充,参考其他有关等级保护或安全
9、方面的标准来实现;,等级保护基本要求的定位,一、信息安全等级保护概述,基本要求的组织方式,某级系统,类,技术要求,管理要求,基本要求,类,控制点,要求项,控制点,具体要求,技术和管理大类各有5个子类,分为技术要求和管理要求两大类,根据等级提高,控制点逐级增多,根据等级提高,要求项逐级增多最基础的测评单元,测评作业指导书的编写依据,一、信息安全等级保护概述,三类要求之间的关系,通用安全保护类要求(G),业务信息安全类(S),系统服务保证类(A),安全要求,一、信息安全等级保护概述,等级保护具体测评准则要求项数量的逐级增加,一、信息安全等级保护概述,16,依据电力行业信息系统安全等级保护基本要求(
10、征求意见稿)针对物理安全、网络安全、主机安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等10个方面开展测评。三级系统测评指标数283个,二级系统测评指标数186个。,电力行业测评标准与国标对比,1. 物理重点增加机房物理位置、机房防火和机房供电要求。,2. 网络重点增加内外网隔离、终端接入和网络设备安全防护的要求。,3. 主机操作系统重点增加身份认证强度、访问控制细度和入侵攻击防范的要求。主机数据库重点增加身份认证强度、访问控制细度和入侵攻击防范的要求。,4. 应用系统增加统一门户认证、匿名访问控制、默认账户管理和软件容错性要求。,5. 数据层面
11、继承国家标准防护要求。,一、信息安全等级保护概述,等级保护重点要求项例举-物理安全,应对介质分类标识,存储在介质库或档案室中;(二级)应将设备或主要部件进行固定,并设置明显的不易除去的标记;(二级)水管安装,不得穿过机房屋顶和活动地板下;(二级)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域; (三级)应利用光、电等技术设置机房防盗报警系统;(三级)应设置防雷保安器,防止感应雷;(三级)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;(三级)应设置冗余或并行的电力电缆线路为计算机系统供电;(三级)应建立备用供电系统;(三级)应
12、对关键设备和磁介质实施电磁屏蔽。(三级),一、信息安全等级保护概述,等级保护重点要求项例举-网络安全,应在网络边界部署访问控制设备,启用访问控制功能;(二级)审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;(二级)应对网络设备的管理员登录地址进行限制;(二级)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;(三级)应能够根据记录数据进行分析,并生成审计报表;(三级)应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;(三级)当检测到攻击行为时,记录攻击源IP、
13、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警;(三级)应在网络边界处对恶意代码进行检测和清除;(三级)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。 (三级),一、信息安全等级保护概述,等级保护重点要求项例举-主机安全,操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;(二级)应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;(二级)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;(二级)应对重要信息资源设置敏感标记;(三级)应能够根据记录数据进行分析,并生成审计报表;(三级)应确保系统
14、内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除 ;(三级)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;(三级)应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;(三级)应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。(三级),一、信息安全等级保护概述,等级保护重点要求项例举-应用安全,应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用; (二级)应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系 ;(二级)
15、当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;(二级)应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除 ;(三级)应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复 ;(三级)应能够对一个时间段内可能的并发会话连接数进行限制;(三级)应能够对系统服务水平降低到预先规定的最小值进行检测和报警。 (三级),一、信息安全等级保护概述,等级保护重点要求项例举-数据安全及备份恢复,应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏 ;(二级)应能够对重要信息进行备份和恢复;(二级)应能够检
16、测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施 ;(三级)应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性; (三级)应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放;(三级)应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地;(三级)应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性 。(三级),一、信息安全等级保护概述,等级保护重点要求项例举-管理要求,应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责;(二级)人员离
17、岗应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;(二级)应在软件安装之前检测软件包中可能存在的恶意代码; (二级)应配备专职安全管理员,不可兼任;(三级)安全管理制度应具有统一的格式,并进行版本控制;(三级)应制定代码编写安全规范,要求开发人员参照规范编写代码;(三级)在系统运行过程中,应至少每年对系统进行一次等级测评,发现不符合相应等级保护标准要求的及时整改;(三级)应建立控制数据备份和恢复过程的程序,对备份过程进行记录,所有文件和记录应妥善保存;(三级)应制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置的范围、程度,以及处理方法等。(三级),一、信息安全等级保护概
18、述,目录,23,24,等级测评是指,测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活劢。,内部驱动力,了解目前的安全保护实际情况 ;明确安全需求,为后续的建设和整改工作提供参考/依据;切实提升企业/机构的信息安全防护能力。,外部驱动力,信息安全等级保护管理办法(公通字【2007】43号)第十四条 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据信息系统安全等级保护测评要求等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息
19、系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。,二、信息安全等级测评概述,25,执行主体,符合条件的测评机构,执行的强制性,管理办法强制周期性执行,执行对象,已经定级的信息系统特定等级测评项目面对的被测评系统是由一个或多个不同安全保护等级的定级对象构成的信息系统,测评依据,符合基本要求,测评内容,单元测评(技术和管理)和整体测评,测评付出,不同级别的测评力度不同,测评方式,访谈、检查和测试,服务对象,主管部门,运维、使用单位,信息安全监管部门,判定准则,满足业务需求,二、信息安全等级测评概述,26,验证测试影响系统正常运行,工具测试影响系统正常运行,敏感信
20、息泄漏,在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容需要上机查看一些信息,这就可能对系统的运行造成一定的影响,甚至存在误操作的可能。,在现场测评时,会使用一些技术测试工具进行漏洞扫描测试、性能测试甚至抗渗透能力测试。测试可能会对系统的负载造成一定的影响,漏洞扫描测试和渗透测试可能对服务器和网络通讯造成一定影响甚至伤害。,泄漏被测系统状态信息,如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。,等级测评实施过程中,被测系统可能面临以下风险:,风险规避措施:通过在备机和测试环境下测评规避对生产环境的影响;操作前进行测试和备份工作,并制定应急处理方案;被测单位派
21、遣技术人员全程配合及监督测评人员行为,原则上上机操作由运营单位人员进行,风险规避措施:避开业务高峰期进行漏洞扫描、渗透测试和人工验证,必要时采取一定的试验。原则上对重要系统不采用漏洞扫描和工具自动化检测,采用人工审计检查的方式,并选择在备机上执行测评,风险规避措施:机构派遣有资质并且政治可靠的测评师进行等级测评工作;与被测单位签署保密协议;机构制定质量管理、保密管理、配置管理制度和计划并执行,二、信息安全等级测评概述,27,等级测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。,测评流程,测评准备活动,
22、方案编制活动,现场测评活动,分析及报告编制活动,沟通与洽谈,二、信息安全等级测评概述,28,方案编制活动,现场测评活动,分析及报告编制活动,本活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况,准备测试工具,为编制测评方案做好准备。,测评准备活动,本活动是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评指导书测评指导书,形成测评方案。,本活动是开展等级测评工作的核心活动
23、。本活动的主要任务是按照测评方案的总体要求,严格执行测评指导书测评指导书,分步实施所有测评项目,包括单元测评和整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。,本活动是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和 GB/T25058-2010的有关要求,通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成测评报告文本。,二、信息安全等级测评概述,目录,29,30
24、,三、信息安全等级测评内容介绍,测评准备活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况,准备测试工具,为编制测评方案做好准备。,测评准备活动包括项目启动、信息收集和分析、工具和表单准备三项主要任务。这三项任务的基本工作流程如图所示:,等级测评项目启动,工作流程,信息收集和分析,工具和表单准备,测评准备活动,31,在项目启动任务中,测评机构组建等级测评项目组,获取测评委托单位及被测系统的基本情况,从基本资料、人员、计划安排等方面为整个等级测评项目的实施做基本准备。,任务描述,根据测评
25、双方签订的委托测评协议书和系统规模,测评机构组建测评项目组,从人员方面做好准备,并编制项目计划书。项目计划书应包含项目概述、工作依据、技术思路、工作内容和项目组织等。,测评机构要求测评委托单位提供基本资料,包括:被测系统总体描述文件,详细描述文件,安全保护等级定级报告,系统验收报告,安全需求分析报告,安全总体方案,自查或上次等级测评报告(如果有),测评委托单位的信息化建设状况与发展以及联络方式等。,三、信息安全等级测评内容介绍,测评准备活动,32,测评机构通过查阅被测系统已有资料或使用调查表格的方式,了解整个系统的构成和保护情况,为编写测评方案和开展现场测评工作奠定基础。,任务描述,测评机构收
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 等级 保护 测评 ppt 课件
链接地址:https://www.31ppt.com/p-1679159.html