搜索
目录□等级保护基本知识介绍□等级保护(四级)基本要求的具体介绍等级保护基本知识介绍□等级保护的政策依据□等级保护的关键环节(流程)□等级保护的相关标准□《基本要求》核心思想解读等级保护政策依据2017年6月1号实施的《中华人民共和国网络安全法》《网络安全法》规定,我国实行网络安全等级保护制度。网络安全等级保护制度是国家信息安全保障工作的基本制度、基本国策和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。等级保护政策依据《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合下发的《信息安全等级保护管理办法》(试行)(公通字[2006]7号)《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)关于印发《信息安全等级保护管理办法》的通知(公通字[2007]43号)基础类《计算机信息系统安全保护等级划分准则》GB17859-1999《信息系统安全等级保护实施指南》GB/TCCCC-CCCC报批稿应用类定级:《信息系统安全保护等级定级指南》GB/T22240-2008建设:《信息系统安全等级保护基本要求》GB/T22239-2008《信息系统通用安全技术要求》GB/T20271-2006《信息系统等级保护安全设计技术要求》测评:《信息系统安全等级保护测评要求》GB/TDDDD-DDDD报批稿《信息系统安全等级保护测评过程指南》管理:《信息系统安全管理要求》GB/T20269-2006《信息系统安全工程管理要求》GB/T20282-2006等级保护相关标准等级保护政策依据公通字[2007]43号文五个等级的基本情况第一级:运营、使用单位根据国家管理规范、技术标准自主防护。第二级:运营、使用单位根据国家管理规范、技术标准自主防护。国家有关部门进行指导。第三级:自主防护。国家有关部门进行监督、检查。第四级:运营、使用单位根据国家管理规范、技术标准和业务专门需求进行保护,国家有关部门进行强制监督、检查。第五级:(略)。等级保护政策依据公通字[2007]43号文测评周期要求第三级信息系统应当每年至少进行一次等级测评;第四级信息系统应当每半年至少进行一次等级测评;第五级信息系统应当依据特殊安全需求进行等级测评。自查周期要求第三级信息系统应当每年至少进行一次自查;第四级信息系统应当每半年至少进行一次自查;第五级信息系统应当依据特殊安全需求进行自查。根据测评、自查情况制定整改方案并实施。等级保护政策依据公通字[2007]43号文检查周期要求受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次;对第四级信息系统每半年至少检查一次。对第五级信息系统,应当由国家指定的专门部门进行检查。等级保护政策依据公通字[2007]43号文等级保护的检查内容(一)信息系统安全需求是否发生变化,原定保护等级是否准确;(二)运营、使用单位安全管理制度、措施的落实情况;(三)运营、使用单位及其主管部门对信息系统安全状况的检查情况;(四)系统安全等级测评是否符合要求;(五)信息安全产品使用是否符合要求;(六)信息系统安全整改情况;(七)备案材料与运营、使用单位、信息系统的符合情况;(八)其他应当进行监督检查的事项。等级保护政策依据公通字[2007]43号文第三级以上信息系统应当选择使用符合以下条件的信息安全产品:(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;(二)产品的核心技术、关键部件具有我国自主知识产权;(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录;(四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;(五)对国家安全、社会秩序、公共利益不构成危害;(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。等级保护政策依据公通字[2007]43号文第三级以上信息系统的安全测评机构应具备的条件:(一)在中华人民共和国境内注册成立(港澳台地区除外);(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);(三)从事相关检测评估工作两年以上,无违法记录;(四)工作人员仅限于中国公民;(五)法人及主要业务、技术人员无犯罪记录;(六)使用的技术装备、设施应当符合本办法对信息安全产品的要求;(七)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;(八)对国家安全、社会秩序、公共利益不构成威胁。等级保护基本安全要求某级系统物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理等级保护工作的主要流程一是定级。二是备案(二级以上信息系统)。三是系统建设、整改(按条件选择产品)。四是开展等级测评(按条件选择测评机构)。五是信息安全监管部门定期开展监督检查信息系统的定级各级系统的保护要求差异一级系统二级系统三级系统四级系统防护防护/监测策略/防护/监测/恢复策略/防护/监测/恢复/响应各级系统的保护要求差异一级系统二级系统三级系统四级系统通信/边界(基本)通信/边界/内部(关键设备)通信/边界/内部(主要设备)通信/边界/内部/基础设施(所有设备)各级系统的保护要求差异一级系统二级系统三级系统四级系统计划和跟踪(主要制度)计划和跟踪(主要制度)良好定义(管理活动制度化)持续改进(管理活动制度化/及时改进)等级保护(四级)基本要求的具体介绍安全建设要求主要内容技术要求□物理安全□网络安全□主机安全□应用安全□数据安全管理要求□安全管理制度□安全管理机构□人员安全管理□系统建设管理□系统运维管理第三级安全标记保护级第四级机构化保护级本级的计算机信息系统可信计算基具有系统审计保护级的所有功能。此外,还需提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述,具有准确地标记输出信息的能力;消除通过测试发现的任何错误。本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上,它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外,还要考虑隐蔽通道。本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算基的借口也必须明确定义,使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制;支持系统管理员和操作员的职能;提供可信设施管理;增强了配置管理控制。系统具有相当的抗渗透能力。第三级与第四级安全功能对比四级系统的控制类及控制项指标类技术/管理层面类数量项数量小计小计安全技术物理安全1033网络安全732主机安全936应用安全1136数据安全311安全管理安全管理制度314安全管理机构520人员安全管理518系统建设管理1148系统运维管理1370合计77(类)318(项)不同级别系统控制点的差异安全要求类层面一级二级三级四级技术要求物理安全7101010网络安全3677主机安全4679应用安全47911数据安全及备份恢复2333管理要求安全管理制度2333安全管理机构4555人员安全管理4555系统建设管理991111系统运维管理9121313合计/48667377级差//1874不同级别系统要求项的差异安全要求层面一级二级三级四级技术要求物理安全9193233网络安全9183332主机安全6193236应用安全7193136数据安全及备份恢复24811管理要求安全管理制度371114安全管理机构492020人员安全管理7111618系统建设管理20284548系统运维管理18416270合计/85175290318级差//9011528物理安全控制点一级二级三级四级物理位置的选择***物理访问控制****防盗窃和防破坏****防雷击****防火****防水和防潮****防静电***温湿度控制****电力供应****电磁防护***合计7101010物理安全(一)物理位置选择子项描述需部署的安全设施a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。b\一般选择在建筑物2-3层,最好在办公区附近,且不能邻近洗手间、厨房等。(同B类安全机房的选址要求。)物理安全(二)物理访问控制子项描述子项描述需部署的安全设施物理访问控制(G4)a)机房出入口应安排专人值守并配置电子门禁系统,控制、鉴别和记录进入的人员;b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;c)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;d)重要区域应配置第二道电子门禁系统,控制、鉴别和记录进入的人员。a\机房安装电子门禁系统,建议采用双向控制。增设保安人员在门外值守;通过门禁电子记录或填写出入记录单的形式记录进出人员和时间。b\机房内、外部临近入口区域安装监控摄像头保证全部范围覆盖。需要有来访人员进入机房的审批记录;外来人员进入机房应当由专人全程陪同。c\d重要区域物理隔离,并安装第二道电子门禁系统(双向)。物理安全(三)防盗窃和防破坏子项描述子项描述需部署的安全设施防盗窃和防破坏(G4)a)应将主要设备放置在机房内;b)应将设备或主要部件进行固定,并设置明显的不易除去的标记;c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;d)应对介质分类标识,存储在介质库或档案室中;e)应利用光、电等技术设置机房防盗报警系统;f)应对机房设置监控报警系统。b\使用机柜并在设备上焊接铭牌,标明设备型号、负责保管人员、维护单位等信息。(设备铭牌只能被破坏性地去除。)e\机房重要资产存放处及附近区域安装光、电防盗报警系统,如红外或感应报警系统。d\介质应异地存放。f\机房安装视频监控报警系统。物理安全(四)防雷击子项描述子项描述需部署的安全设施防雷击(G4)a)机房建筑应设置避雷装置;b)应设置防雷保安器,防止感应雷;c)机房应设置交流电源地线。b\安装电源三级防雷器和信号二级防雷器c\机房设置专用交流电源地线,接地电阻不应大于4Ω。机房交流工作接地、安全保护接地、防雷接地应符合GB50174-93《电子计算机机房设计规范》要求。物理安全(五)防火子项描述子项描述需部署的安全设施防火(G4)a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;c)机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。a\在机房内安装温感或烟感探测器,连接到机房动力环境监控系统中;安装有管网气体自动灭火系统。灭火方式应采用气体灭火系统,如CO2、FM-200、气溶胶和烟烙尽等。b\机房建设应使用防火材料装修。c\重要区域使用防火玻璃隔断。物理安全(六)防水和防潮子项描述子项描述需部署的安全设施防水和防潮(G4)a)水管安装,不得穿过机房屋顶和活动地板下;b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;d)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。a\b\c机房顶棚、地面和四周应做好防水处理,有条件的话可以在机房顶部安装防漏水设施,在机房地面修建地漏、泄水槽和配置排水设备。机房尽可能选择没有水管经过的房间和尽量不靠近建筑物外侧墙壁的地方,这样可以节省做防水系统的大量投资。d\安装机房动力环境监控系统(对机房设备的运行状态、温度、湿度、洁净度、供电的电压、电流、频率、配电系统的开关状态、测漏系统等进行实时监控并记录历史数据),其