广东计安信息网络培训中心信息系统安全等级保护基本要求付欲华目录等级保护知识回顾基本要求使用时机和主要作用基本要求的主要思想各级系统保护的主要内容等级保护等级等级保护重要标准•GB17859-1999计算机信息系统安全保护等级划分准则•GB/T22239—2008信息系统安全等级保护基本要求•GB/T22240—2008信息系统安全等级保护定级指南•信息系统安全等级保护测评过程指南(国标报批稿)•信息系统安全等级保护测评要求(国标报批稿)•GB/T25058-2010信息系统安全等级保护实施指南•GB/T25070-2010信息系统等级保护安全设计技术要求等级保护相关标准•GA/T708-2007信息系统安全等级保护体系框架•GA/T709-2007信息系统安全等级保护基本模型•GA/T710-2007信息系统安全等级保护基本配置•GA/T711-2007应用软件系统安全等级保护通用技术指南•GA/T712-2007应用软件系统安全等级保护通用测试指南•GA/T713-2007信息系统安全管理测评•GB/T18018—2007路由器安全技术要求•GB/T20269—2006信息系统安全管理要求•GB/T20270—2006网络基础安全技术要求•GB/T20271—2006信息系统安全通用技术要求•GB/T20272—2006操作系统安全技术要求•GB/T20273—2006数据库管理系统安全技术要求•GB/T20275—2006入侵检测系统技术要求和测试评价方法•GB/T20278—2006网络脆弱性扫描产品技术要求•GB/T20279—2006网络和终端设备隔离部件安全技术要求•GB/T20281—2006防火墙技术要求和测试评价方法•GB/T20282—2006信息系统安全工程管理要求•GB/T20979—2007虹膜识别系统技术要求•GB/T20984—2007信息安全风险评估规范•GB/T20988—2007信息系统灾难恢复规范•GB/T21028—2007服务器安全技术要求•GB/T21052—2007信息系统物理安全技术要求•GB/T21053—2007公钥基础设施PKI系统安全等级保护技术要求•GB/Z20985—2007信息安全事件管理指南YD/T•GB/Z20986—2007信息安全事件分类分级指南定级流程G=MAX(S,A)SA安全保护和系统定级的关系安全等级信息系统保护要求的组合第一级S1A1G1第二级S1A2G2,S2A2G2,S2A1G2第三级S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3第四级S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4目录等级保护知识回顾基本要求的使用时机和主要作用基本要求的主要思想各级系统保护的主要内容等级保护基本要求作用基本要求监管机构检查测评机构测评使用单位自查集成厂商指导建设《管理办法》”等级划分和保护“第八条•信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理。《管理办法》”等级保护的实施与管理“第十二条•在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》等技术标准,参照……等技术标准同步建设符合该等级要求的信息安全设施。《管理办法》”等级保护的实施与管理“第十三条•运营、使用单位应当参照《信息安全技术信息系统安全管理要求》(GB/T20269-2006)、《信息安全技术信息系统安全工程管理要求》(GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。《管理办法》”等级保护的实施与管理“第十四条•信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。《管理办法》”等级保护的实施与管理“第十四条•信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。《管理办法》”等级保护的实施与管理“第十四条•经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。技术标准和管理规范的作用技术标准和管理规范信息系统定级信息系统安全建设或改建安全状况达到等级保护要求的信息系统《基本要求》的定位•是系统安全保护、等级测评的一个基本“标尺”,同样级别的系统使用统一的“标尺”来衡量,保证权威性,是一个达标线;•每个级别的信息系统按照基本要求进行保护后,信息系统具有相应等级的基本安全保护能力,达到一种基本的安全状态;•是每个级别信息系统进行安全保护工作的一个基本出发点,更加贴切的保护可以通过需求分析对基本要求进行补充,参考其他有关等级保护或安全方面的标准来实现;基本要求和其他标准关系基本要求等级划分准则定级指南测评要求实施指南等级保护基本要求效果0246810物理安全网络安全数据安全主机安全应用安全《基本要求》的定位某级信息系统基本保护精确保护基本要求保护基本要求测评补充的安全措施GB17859-1999通用技术要求安全管理要求高级别的基本要求等级保护其他标准安全方面相关标准等等基本保护特殊需求补充措施目录等级保护知识回顾使用时机和主要作用基本要求主要思想各级系统保护的主要内容《基本要求》基本思路不同级别信息系统重要程度不同应对不同威胁的能力具有不同的安全保护能力不同的等级保护基本要求不同级别的安全保护能力要求•第一级安全保护能力–应能够防护系统免受来自个人的、拥有很少资源(如利用公开可获取的工具等)的威胁源发起的恶意攻击、一般的自然灾难(灾难发生的强度弱、持续时间很短等)以及其他相当危害程度的威胁(无意失误、技术故障等)所造成的关键资源损害,在系统遭到损害后,能够恢复部分功能。•第二级安全保护能力–应能够防护系统免受来自外部小型组织的(如自发的三两人组成的黑客组织)、拥有少量资源(如个别人员能力、公开可获或特定开发的工具等)的威胁源发起的恶意攻击、一般的自然灾难(灾难发生的强度一般、持续时间短、覆盖范围小等)以及其他相当危害程度的威胁(无意失误、技术故障等)所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。不同级别的安全保护能力要求•第三级安全保护能力–应能够在统一安全策略下防护系统免受来自外部有组织的团体(如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾难(灾难发生的强度较大、持续时间较长、覆盖范围较广等)以及其他相当危害程度的威胁(内部人员的恶意威胁、无意失误、较严重的技术故障等)所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。•第四级安全保护能力–应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难(灾难发生的强度大、持续时间长、覆盖范围广等)以及其他相当危害程度的威胁(内部人员的恶意威胁、无意失误、严重的技术故障等)所造成的资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够迅速恢复所有功能。各个要素之间的关系安全保护能力基本安全要求每个等级的信息系统基本技术措施基本管理措施具备包含包含满足满足实现《基本要求》核心思路某级系统技术要求管理要求基本要求建立安全技术体系建立安全管理体系具有某级安全保护能力的系统各级系统的保护要求差异(宏观)•安全保护模型PPDRRProtection防护PolicyDetection策略检测Response响应Recovery恢复各级系统的保护要求差异(宏观)一级系统二级系统三级系统四级系统防护防护/监测策略/防护/监测/恢复策略/防护/监测/恢复/响应各级系统的保护要求差异(宏观)成功的完成业务信息保障人技术操作防御网络与基础设施防御飞地边界防御计算环境支撑性基础设施安全保护模型IATF各级系统的保护要求差异(宏观)一级系统二级系统三级系统四级系统通信/边界(基本)通信/边界/内部(关键设备)通信/边界/内部(主要设备)通信/边界/内部/基础设施(所有设备)能力成熟度模型CMM基本执行级计划跟踪级充分定义级量化控制级持续改进级各级系统的保护要求差异(宏观)一级系统二级系统三级系统四级系统计划和跟踪(主要制度)计划和跟踪(主要制度)良好定义(管理活动制度化)持续改进(管理活动制度化/及时改进)各级系统的保护要求差异(微观)某级系统物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理目录等级保护知识回顾使用时机和主要作用基本要求主要思想各级系统保护的主要内容基本要求的主要内容•由9个章节2个附录构成–1.适用范围–2.规范性引用文件–3术语和定义–4.等级保护概述–5.6.7.8.9基本要求–附录A关于信息系统整体安全保护能力的要求–附录B基本安全要求的选择和使用基本要求的组织方式某级系统类技术要求管理要求基本要求类控制点具体要求控制点具体要求………………………………基本要求举例•技术要求网络安全(类)•6.1.2.2访问控制(G2)(控制点)•本项要求包括:(具体要求)–a)应在网络边界部署访问控制设备,启用访问控制功能;–b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。–c)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;–d)应限制具有拨号访问权限的用户数量。基本要求举例•技术要求网络安全(类)•7.1.2.2访问控制(G3)•本项要求包括:–a)应在网络边界部署访问控制设备,启用访问控制功能;–b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;–c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;–d)应在会话处于非活跃一定时间或会话结束后终止网络连接;–e)应限制网络最大流量数及网络连接数;–f)重要网段应采取技术手段防止地址欺骗;–g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;–h)应限制具有拨号访问权限的用户数量。基本要求标注方式•基本要求–技术要求–管理要求•要求标注–业务信息安全类要求(标记为S类)–系统服务保证类要求(标记为A类)–通用安全保护类要求(标记为G类)三类要求之间的关系通用安全保护类要求(G)业务信息安全类(S)系统服务保证类(A安全要求基本要求的选择和使用•一个3级系统,定级结果为S3A2,保护类型应该是S3A2G3•第1步:–选择标准中3级基本要求的技术要求和管理要求;•第2步:–要求中标注为S类和G类的不变;–标注为A类的要求可以选用2级基本要求中的A类作为基本要求;安全保护和系统定级的关系安全等级信息系统保护要求的组合第一级S1A1G1第二级S1A2G2,S2A2G2,S2A1G2第三级S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3第四级S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4定级指南要求按照“业务信息”和“系统服务”的需求确定整个系统的安全保护等级定级过程反映了信息系统的保护要求电力控制(A):•一级:计算机系统供电应