信息安全等级保护体系与东软网络安全产品介绍等级保护概述等级保护工作流程12目录等级保护安全防御设计思路34东软行业优势及建设案例等级保护与东软安全产品562016年商机前沿快报1等级保护的概述•国家信息安全等级保护制度—由国家层面推动并要求遵照执行的信息安全要求。•等级保护按照是否涉及国家秘密划分—等级保护:适用于政府、央企等非涉密网络的信息安全政策、制度及标准体系。—分级保护:适用于政府、军队、兵工厂等涉密网络的信息安全政策、制度及标准体系。•是政府、央企信息安全建设的主要依据和主要推动力。国家信息安全制度等级保护的第一个法律文件——国务院令《中华人民共和国计算机信息系统安全保护条例》(1994年2月18日国务院147号令)第九条:计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。该条明确了三个内容:一是确立了等级保护是计算机信息系统安全保护的一项制度;二是明确了公安部的牵头地位;三是提出了需要出台配套的规章和技术标准。等级保护安全等级定义文件《计算机信息系统安全保护等级划分准则》(1999颁发的GB17859)第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。提出了等级保护在技术防护层面与安全管理层面的建设防护要求。中央文件中办[2003]27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。”中央27号文件的下达标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。同时明确了各级党委和政府在信息安全保障工作中的领导地位,以及“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。国家四部委文件2004年9月公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),明确了信息安全等级保护制度的原则和基本内容,以及信息安全等级保护工作的职责分工、工作实施的要求等。2007年6月公安部会同国家保密局、国家密码管理局和国务院信息办联合《信息安全等级保护管理办法》(公通字[2007]43号),明确了信息安全等级保护制度的基本内容、流程及工作要求,再进一步明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规范保障。等级保护发展历程1994年《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)1999年《计算机信息系统安全保护等级划分准则》GB17859-19992003年《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)2004年《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)2007年《信息安全等级保护管理办法》(公通字[2007]43号)2007年《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)2007年《信息安全等级保护备案实施细则》(公信安[2007]1360号)2008年《公安机关信息安全等级保护监督检查工作规范》(公信安[2008]736号)2009年《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)等级保护各方职责国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。公安机关负责信息安全等级保护工作的监督、检查、指导。保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。国信办负责等级保护工作的部门间协调。其他涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。信息系统的运营、使用单位信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。国信办——工信部信息安全协调司——中网办信息安全协调局等级保护法律政策体系等级保护标准体系2等级保护工作流程等级保护基本框架等级保护建设四大原则等级保护建设同步建设原则重点保护原则自主保护原则动态调整原则等级保护与信息系统生命周期的关系等级保护实施过程新建信息系统生命周期已建信息系统等级保护实施过程启动设计开发实施运行维护终止系统定级安全规划设计安全实施安全运行管理(变更/应急响应/监督检查)终止终止系统定级安全规划设计安全实施安全运行管理等级保护实施过程系统定级、备案总体安全规划安全设计与实施安全运行与维护系统废弃局部调整重大变更等级保护工作流程总图等级保护过程及各阶段工作安全运行管理阶段阶段性风险评估持续性安全服务应急响应系统业务安全域划分安全实施/实现阶段安全规划设计阶段安全定级备案阶段自主定级等级保护差距评估信息系统风险评估安全建设整体规划安全基线设计安全技术体系等级实施改造安全岗位培训等级测评安全管理体系等级实施改造专家评审安全要求导出安全制度演练系统自查配合主管单位安全检查等级安全解决方案设计主管部门批准网监定级备案系统定级与备案安全定级备案阶段系统定级与备案•确认具有唯一的安全责任单位•一般是使用或运营单位•满足信息系统的基本要素•单机和纯局域网不定级•承载相对独立的业务应用•含多个业务应用的综合系统尽量划分系统定级要素两个定级要素:等级保护对象受到破坏时客体受到侵害的程度。受侵害的客体:•公民、法人和其他组织的合法权益;•社会秩序、公共利益;•国家安全。客体的侵害程度:•一般损害;•严重损害;•特别严重损害。等级与侵害客体、侵害程度关系等级对象侵害客体侵害程度监管强度第一级一般系统公民、法人合法利益一般损害自主保护第二级公民、法人合法权益严重损害指导保护社会秩序和公共利益一般损害第三级重要系统社会秩序和公共利益严重损害监督保护国家安全一般损害第四级社会秩序和公共利益特别严重损害强制保护国家安全严重损害第五级极端重要系统国家安全特别严重损害专控保护系统定级矩阵图业务信息安全或系统服务安全被破坏时受侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级信息系统定级•业务信息安全(S)•业务信息安全是指:确保业务信息系统内信息的保密性、完整性和可用性等。通俗来讲,承载的信息非常重要。•系统服务安全(A)•系统服务安全是指:确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。通俗来讲,承载的服务有效性和连续性非常重要。信息系统定级流程图3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体7、系统服务安全保护等级4、业务信息安全保护等级8、定级对象的安全保护等级1、确定定级对象SA信息系统定级安全保护等级业务信息安全等级和信息服务安全等级的组合第一级S1A1G1第二级S1A2G2,S2A2G2,S2A1G2第三级S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3第四级S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4第五级S1A5G5,S2A5G5,S3A5G5,S4A5G5,S5A5G5,S5A4G5,S5A3G5,S5A2G5,S5A1G5安全规划与实施安全规划与实施基本要求主要内容基本要求的组织方式《基本要求》要求项在各层面的分布安全要求类层面一级二级三级四级技术要求物理安全9193233网络安全9183332主机安全6193236应用安全7193136数据安全及备份恢复24811管理要求安全管理制度371114安全管理机构492020人员安全管理7111618系统建设管理20284548系统运维管理18416270合计/85175290318级差//9011528基本技术要求控制点基本管理要求安全管理制度管理制度制度和发表评审和修订安全管理机构岗位设置人员配备授权和审批沟通和合作审核和检查人员安全管理人员录用人员离岗人员考核安全意识教育和培训外部访问人员管理系统建设管理系统定级安全方案设计产品采购和使用自行软件开发外包软件开发工程实践测试验收系统交付系统备案等级测评安全服务商选择系统运维管理环境管理资产管理介质管理设备管理监控管理和安全管理中心网络安全管理系统安全管理恶意代码防范管理密码管理变更管理备份与恢复管理安全事件处置应急预案管理等级测评等级测评关于等级测评•信息安全等级管理办法(公通字【2007】43号)第十四条规定:•信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。对测评机构的要求三级以上信息系统应当选择使用符合以下条件的等级保护测评机构在中华人民共和国境内注册成立(港澳台除外)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台除外)从事相关检测评估工作两年以上,无违法记录工作人员仅限于中国公民法人及其主要业务、技术人员无犯罪纪录使用的技术装备、设施应当符合本办法对信息安全产品的要求具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度对国家安全、社会秩序、公共利益不构成威胁公安部推荐的测评机构国家信息安全等级保护工作协调小组办公室推荐测评机构名单编号测评机构名称地址联系人联系电话传真推荐时间资质(国)-001公安部信息安全等级保护评估中心北京市海淀区阜成路58号新洲商务大厦7层张宇翔010-8814972218601290606010-881526692010年6月(国)-002国家信息技术安全研究中心北京市海淀区农大南路1号硅谷亮城2C座李冰010-59613803010-596139752010年6月(国)-003中国信息安全测评中心北京市海淀区上地西路8号院1号楼郑琴010-8234158813501233196010-823411002010年6月(国)-004电力行业信息安全等级保护测评中心北京市广安门内大街311号中国石油管道大厦温红子010-5868185913911159653010-586818352010年6月(国)-005中国金融电子化公司测评中心北京市大兴区西红门镇中国人民银行软件开发中心王晓燕13691155959010-576876502011年1月(国)-006教育信息安全等级保护测评中心北京市西城区西单大木仓胡同37号教育部业务楼502室曾德华010-66092043010-660920852011年6月(国)-007国家广播电影电视总局广播电视信息安全测评中心北京市西城区复兴门外大街2号任晓炜010-8609489113911237250010-860941502012年7月河南省信息安全等级保护工作协调小组办公室推荐测评机构名单编号测评机构名称地址联系人联系电话传真推荐时间相关资质(豫)-001河南省金盾信息安全等级技术测评中心有限公司河南省郑州市北环路40号梁宏189371678880371-657779972010年6月(豫)-002河南宝通信息安全测评有限公司郑州市郑东新区商务外环12号绿地世纪峰会22楼沈向东136037162840371-657585552011年12月(豫)-003河南省鼎信信息安全等级测评有限