等级保护背景与必要性1等级保护整改方案设计4行业案例分析5等级保护安全等级划分2等级保护安全建设模型3目录全球网络安全形势严峻,信息安全问题不仅仅是组织自身的事情,也涉及到国家和社会安全。计算机病毒、黑客攻击、信息泄露、软硬件故障等信息安全问题给组织单位造成了极大的风险。互联网空间正日益成为国际竞争的新焦点,在制定本国信息系统安全等级管理标准之外,美国、英国、德国等欧美发达国家纷纷制定网络安全国家战略,参与争夺全球网络空间主导权。美国2009年6月,美军成立网络司令部;日本防卫省在2011年度建立一支专门的“网络空间防卫队”;韩国在2009年宣布组建“网络司令部”,2011年韩国国防部提升为独立部队。全球背景等级保护背景与必要性国际信息安全环境日趋复杂,西方加紧对我国的网络遏制,并加快利用网络进行意识形态渗透;另一方面,重要信息系统、工业控制系统的安全风险日益突出,信息安全网络监管的难度和复杂性持续加大。网络安全成为关系经济平稳运行和安全的重要因素,国民经济对信息网络和系统的依赖性增强,我国重要信息系统和工业控制系统多使用国外的技术和产品,这些技术和产品的漏洞不可控,使网络和系统更易受到攻击,致使敏感信息泄露、系统停运等重大安全事件多发,安全状况堪忧。信息安全领域存在多头管理现象,相关职能部门涉及多个部委和管理机构,部门之间职责界定不清晰,管理权限存在交叉,决策权分散,各个相关管理机构之间缺乏充分的沟通和协调,部门间作用发挥不均。国内背景等级保护背景与必要性2007年,四部委联合发布的《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)2008年,国家发展和改革委员会、中华人民共和国公安部、国家保密局《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号)2009年,四部委联合发布《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》,要求2010年底前完成测评体系建设,完成30%第三级(含)以上信息系统的测评工作,2012年底之前完成第三级(含)以上信息系统的安全建设整改工作。等级保护背景与必要性等保发展状况等级保护背景与必要性《中华人民共和国计算机信息系统安全保护条例》(1994年国务院147号令)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)政策法规1994-2005等保标准体系2005-2008测评管理体系2008-2010落地实施2010--《计算机信息系统安全保护等级划分准则》GB17859-1999《信息系统安全等级保护实施指南》定级:《信息系统安全保护等级定级指南》GB/T22240-2008建设:《信息系统安全等级保护基本要求》GB/T22239-2008《信息系统通用安全技术要求》GB/T20271-2006《信息系统等级保护安全设计技术要求》测评:《信息系统安全等级保护测评要求》《信息系统安全等级保护测评过程指南》管理:《信息系统安全管理要求》GB/T20269-2006《信息系统安全工程管理要求》GB/T20282-2006网监-网安测评机构认证(100多家)测评师培训认证二级系统:5万多个三级系统:2万多个四级系统:100多个2011年三级系统增加100%应用类产品类其他类等保安全建设整改基础类《计算机信息系统安全保护等级划分准则》信息系统定级:《定级指南》GB/T22240-2008等级保护实施:《实施指南》信安字[2007]10号信息系统安全建设:《基本要求》GB/T22239-2008《通用安全技术要求》GB/T20271-2006《安全技术设计要求》GB/T24856-2009等10个要求和规范等级测评:《测评要求》报批稿/《测评过程要求》报批稿/GA/T713-2007风险评估:《信息安全风险评估规范》GB/T20984-2007事件管理:《信息安全事件管理指南》GB/Z20985-2007《信息安全事件分类分级指南》GB/Z20986-2007《信息系统灾难恢复规范》GB/T20988-2007操作系统数据库网络PKI网关服务器入侵检测防火墙路由器交换机其他产品技术要求评估准则测试方法配置指南等级保护背景与必要性国家政策、标准解读国家电网公司2011年完成10多个网省的等级保护整改任务(二次防护)省市/行业进展《教育部办公厅关于开展信息系统安全等级保护工作的通知》(教办厅函【2009】80号)2007年,发布《税务信息系统安全等级保护定级工作指南》2010年8月25日,国家税总在上海组织召开了税务系统信息安全等级保护上海试点测评阶段总结会。2010年6月,民政部启动《民政部信息系统等级保护整体规划建设方案》2011年6月,国家广电总局科技司印发了《关于开展广播电视相关信息系统安全等级保护定级工作的通知》出台《广播电视相关信息系统安全等级保护定级指南》和《广播电视相关信息系统安全等级保护基本要求》行业标准广电总局等级保护北京市等级保护背景与必要性2011年8月,《教育部办公厅关于进一步加强网络信息系统安全保障工作的通知教办厅函》〔2011〕83号要求各地教育行政部门和学校要将本单位的信息系统定级结果报主管部门审批,已定级的第三级及以上信息系统要安全整改方案由教育部组织专家审定,在2012年底前完成首次安全建设整改和等级测评工作。2010年4月教育部教育管理信息中心成立“信息安全测评部”,负责信息安全等级保护测评工作。2009年11月,教育部办公厅印发《关于开展信息系统安全等级保护工作的通知》(教办厅函[2009]80号),决定在教育系统全面开展信息安全等级保护工作,并由教育部教育管理信息中心具体组织实施。2013年,四川将推电子学籍,其发布信息的可靠性也将借助安全。2013年,全国教育系统拟投入600亿,可直接做信息及信息安全建设。教育部等级保护背景与必要性2011年11月,卫生部印发了《卫生行业信息安全等级保护工作的指导意见》通知,通知明确提出卫生行业信息安全等级保护工作的指导意见,包括工作目标、工作原则、工作机制、工作任务、工作要求等,有力促进卫生行业信息安全等级保护工作的开展。卫生部等级保护背景与必要性一级损害二级损害三级损害四级损害•信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。•信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。五级损害•信息系统受到破坏后,会对国家安全造成特别严重损害。等级保护背景与必要性信息的损害等级威胁需求标号威胁描述备注T2-1.雷击、地震和台风等自然灾难T2-2.水患和火灾等灾害T2-3.高温、低温、多雨等原因导致温度、湿度异常T2-4.电压波动T2-5.供电系统故障T2-6.静电和外界电磁干扰T2-7.通信线路因线缆老化等原因导致损坏或传输质量下降T2-8.重要业务信息的介质老化或质量问题等导致不可用T2-9.网络设备、系统设备及其他设备使用时间过长或质量问题等导致硬件故障T2-10.系统软件、应用软件运行故障T2-11.系统软件、应用软件过度使用内存、CPU等系统资源等级保护背景与必要性信息安全面临的威胁因素信息安全面临的威胁T2-11.系统软件、应用软件过度使用内存、CPU等系统资源T2-12.应用软件、系统软件缺陷导致数据丢失或系统运行中断T2-13.设施、通信线路、设备或存储介质因使用、维护或保养不当等原因导致故障T2-14.授权用户操作失误导致系统文件被覆盖、数据丢失或不能使用T2-15.授权用户对系统错误配置或更改T2-16.攻击者利用非法手段进入机房内部盗窃、破坏等T2-17.攻击者非法物理访问系统设备、网络设备或存储介质等T2-18.攻击者采用在通信线缆上搭接或切断等导致线路不可用T2-19.攻击者利用分布式拒绝服务攻击等拒绝服务攻击工具,恶意地消耗网络、操作系统和应用系统资源,导致拒绝服务T2-20.攻击者利用网络协议、操作系统、应用系统漏洞,越权访问文件、数据或其他资源T2-21.攻击者利用通过恶意代码或木马程序,对网络、操作系统或应用系统进行攻击T2-22.攻击者利用网络结构设计缺陷旁路安全策略,未授权访问网络威胁需求等级保护背景与必要性威胁需求T2-23.攻击者利用非法手段获得授权用户的鉴别信息或密码介质,访问网络、系统T2-24.攻击者利用伪造客户端进入业务系统,进行非法访问T2-25.攻击者截获、读取、破解介质的信息或剩余信息,进行敏感信息的窃取T2-26.攻击者截获、读取、破解通信线路中的信息T2-27.由于网络设备、主机系统和应用软件的故障或双机热备失效,造成业务应用的中断T2-28.数据在传输和存储过程中被错误修改或丢失T2-29.攻击者利用通用安全协议/算法/软件等缺陷,获取信息、解密密钥或破坏通信完整性T2-30.攻击者在软硬件分发环节(生产、运输等)中恶意更改软硬件T2-31.攻击者和内部人员否认自己的操作行为T2-32.攻击者和内部人员利用网络扩散病毒T2-33.内部人员下载、拷贝软件或文件,打开可疑邮件时引入病毒T2-34.内部人员未授权接入外部网络(如Internet)T2-35.内部人员利用技术或管理漏洞,未授权修改系统数据或修改系统程序T2-36.内部人员未授权访问敏感信息,将信息带出或通过网络传出,导致信息泄露等级保护背景与必要性信息安全面临的威胁目录等级保护安全等级划分2等级保护安全建设模型3等级保护背景与必要性1等级保护整改方案设计4行业案例分析5等保实施过程系统定级安全规划设计安全实施安全运行定期检查局部调整重大变更等级保护安全等级划分等保实施过程等级保护安全等级划分川等保测评机构等级保护安全等级划分成都久信网络咨询监理有限公司(川)-00151012011成都清华高科信息技术有限公司(川)-00251022011四川省信息系统工程测评中心(川)-00351032011成都锐信安信息安全技术有限公司(川)-00451042011成都安美勤资讯有限责任公司(川)-00551052012一级:自主保护二级:指导保护三级:监督保护四级:强制保护•第一级:用户自主保护级•第二级:系统审计保护级•第三级:安全标记保护级•第四级:结构化保护级五级:专控保护•第五级:访问验证保护级《信息安全等级保护划分准则》GB17859-1999-规定了计算机信息系统安全保护能力的五个级别《信息安全等级保护管理办法》规定的五级要求等级保护安全等级划分等保的称谓一级二级三级四级•信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。•信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。五级•信息系统受到破坏后,会对国家安全造成特别严重损害。等级保护安全等级划分《信息安全等级保护管理办法》规定的五级要求等保的级差等级保护安全等级划分二级系统举例地市政府办公自动化系统(内部使用的)地市政府政务公开网站(外部信息发布)地市政府间协同办公系统企业电子商务网站银行网站特点:与核心业务无关等级保护安全等级划分三级系统举例省政府办公自动化系统(内部使用的)省政府政务公开系统(交互式)省政府公文交换系统企业ERP系统银行生产网特点:与业务密切相关的等级保护安全等级划分四级系统举例国家电力调度系统(EMS)中国人民银行官方网站财政部财政支付系统交通部应急指挥调度系统银行生产系统特点:重要部门与核心业务密切相关的定级流程1.系统