搜索
信息安全等级保护培训杭州安信检测技术有限公司目录□等级保护基本知识介绍□等级保护基本要求的具体介绍□信息安全等级保护检查问题发现和总结等级保护基本知识介绍□等级保护的政策依据□等级保护的关键环节(流程)□等级保护的现实意义□等级保护的相关标准□《基本要求》核心思想解读等级保护政策依据《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合下发的《信息安全等级保护管理办法》(试行)(公通字[2006]7号)《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)关于印发《信息安全等级保护管理办法》的通知(公通字[2007]43号)等级保护政策依据中办发[2003]27号文明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。等级保护政策依据公通字[2004]66号文进一步明确了信息安全等级保护制度的基本内容:一是根据信息和信息系统在国家安全、社会秩序、公共利益、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,确定信息和信息系统的安全保护等级,共分五级。二是国家通过制定统一的管理规范和技术标准,组织行政机关、公民、法人和其他组织根据信息和信息系统的不同重要程度开展有针对性的保护工作。国家对不同安全保护级别的信息和信息系统实行不同强度的监管政策。三是国家对信息安全产品的使用实行分等级管理。四是信息安全事件实行分等级响应、处置的制度。等级保护政策依据公通字[2006]7号文明确了信息安全等级保护的具体要求。为推广和实施信息安全等级保护提供法律保障。公信安[2007]861号标志着等级保护工作正式推向实施阶段。等级保护政策依据公通字[2007]43号文2007.6.22明确主管单位:公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密部门负责等保中保密工作的监督、检查、指导。国家密码管理部门负责等保中有关密码工作的监督、检查、指导。确定5个等级,但去掉了[20067号文]“自主保护”、“指导保护”、“监督保护”等称为。等级保护政策依据公通字[2007]43号文五个等级的基本情况第一级:运营、使用单位根据国家管理规范、技术标准自主防护。第二级:运营、使用单位根据国家管理规范、技术标准自主防护。国家有关部门进行指导。第三级:自主防护。国家有关部门进行监督、检查。第四级:运营、使用单位根据国家管理规范、技术标准和业务专门需求进行保护,国家有关部门进行强制监督、检查。第五级:(略)。等级保护政策依据公通字[2007]43号文测评周期要求第三级信息系统应当每年至少进行一次等级测评;第四级信息系统应当每半年至少进行一次等级测评;第五级信息系统应当依据特殊安全需求进行等级测评。自查周期要求第三级信息系统应当每年至少进行一次自查;第四级信息系统应当每半年至少进行一次自查;第五级信息系统应当依据特殊安全需求进行自查。根据测评、自查情况制定整改方案并实施。等级保护政策依据公通字[2007]43号文检查周期要求受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次;对第四级信息系统每半年至少检查一次。对第五级信息系统,应当由国家指定的专门部门进行检查。等级保护政策依据公通字[2007]43号文等级保护的检查内容(一)信息系统安全需求是否发生变化,原定保护等级是否准确;(二)运营、使用单位安全管理制度、措施的落实情况;(三)运营、使用单位及其主管部门对信息系统安全状况的检查情况;(四)系统安全等级测评是否符合要求;(五)信息安全产品使用是否符合要求;(六)信息系统安全整改情况;(七)备案材料与运营、使用单位、信息系统的符合情况;(八)其他应当进行监督检查的事项。等级保护政策依据公通字[2007]43号文第三级以上信息系统应当选择使用符合以下条件的信息安全产品:(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;(二)产品的核心技术、关键部件具有我国自主知识产权;(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录;(四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;(五)对国家安全、社会秩序、公共利益不构成危害;(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。等级保护政策依据公通字[2007]43号文第三级以上信息系统的安全测评机构应具备的条件:(一)在中华人民共和国境内注册成立(港澳台地区除外);(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);(三)从事相关检测评估工作两年以上,无违法记录;(四)工作人员仅限于中国公民;(五)法人及主要业务、技术人员无犯罪记录;(六)使用的技术装备、设施应当符合本办法对信息安全产品的要求;(七)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;(八)对国家安全、社会秩序、公共利益不构成威胁。等级保护政策依据公通字[2007]43号文其他:(一)涉密系统根据BMB17建设,根据BMB22测评;(二)秘密、机密、绝密对应第三、四、五等级。(三)密码管理根据《商用秘密管理条例》执行。等级保护工作的主要流程一是定级。二是备案(二级以上信息系统)。三是系统建设、整改(按条件选择产品)。四是开展等级测评(按条件选择测评机构)。五是信息安全监管部门定期开展监督检查等级保护现实意义确保重点:需要通过国家政策、制度来保障有关国计民生、大型活动(如奥运、世博)信息系统的安全。适度防护:由于资金投入、人力资源是有限的,因此要根据不同等级的安全需求进行安全建设与管理,避免过度投入造成的浪费。普及经验:信息安全工作到底怎样做,多数单位缺乏办法、经验、底数。因此,等级保护吸取了我国多年信息安全技术、管理成败经验教训,科学的规范了信息安全工作的开展。等级保护相关标准《计算机信息系统安全保护等级划分准则》(GB17859-1999)《信息安全技术网络基础安全技术要求》(GB/T20270-2006)《信息安全技术信息系统通用安全技术要求》GB/T20271-2006)《信息安全技术操作系统安全技术要求》(GB/T20272-2006)《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)《信息安全等级保护基本要求》(GB/T22239-2008)《信息安全等级保护定级指南》(GB/T22240-2008)《信息安全等级保护测评要求》(送审稿)《信息安全技术信息系统等级保护安全设计技术要求》(征求意见)等级保护核心标准关系的说明系统建设:《信息系统安全等级保护定级指南》确定出系统等级以及业务信息安全性等级和系统服务安全等级后,需要按照相应等级,根据《信息安全等级保护基本要求》选择相应等级的安全保护要求进行系统建设实施。系统测评:《信息系统安全等级保护测评要求》是针对《信息安全等级保护基本要求》的具体控制要求开发的测评要求,旨在强调系统按照《信息安全等级保护基本要求》进行建设完毕后,检验系统的各项保护要求是否符合相应等级的基本要求。由上可见,《信息安全等级保护基本要求》在整个标准体系中起着承上启下的作用。相关技术要求可以作为《信息安全等级保护基本要求》的补充和详细指导标准。信息系统的定级各级系统的保护要求差异一级系统二级系统三级系统四级系统防护防护/监测策略/防护/监测/恢复策略/防护/监测/恢复/响应各级系统的保护要求差异一级系统二级系统三级系统四级系统通信/边界(基本)通信/边界/内部(关键设备)通信/边界/内部(主要设备)通信/边界/内部/基础设施(所有设备)各级系统的保护要求差异一级系统二级系统三级系统四级系统计划和跟踪(主要制度)计划和跟踪(主要制度)良好定义(管理活动制度化)持续改进(管理活动制度化/及时改进)构建系统模型_技术模型应用系统管理Mail服务数据库多媒体平台中间件……主机系统WindowsSolarisAIXHP-UXLinuxTCP/IPIPX/SPXSNMP网络系统场地机房网络布线设备存储设备物理环境Web服务………………科研教育医疗各级系统的保护要求差异信息安全管理生命周期建设管理运维管理环境管理恶意代码防范管理资产管理介质管理设备管理密码管理变更管理网络安全管理系统安全管理安全事件处置应急预案管理备份与恢复管理管理机构信息安全管理基础管理制度人员安全系统定级方案设计产品使用自行开发工程实施测试验收系统交付软件外包等级保护基本要求的具体介绍主要内容技术要求□物理安全□网络安全□主机安全□应用安全□数据安全管理要求□安全管理制度□安全管理机构□人员安全管理□系统建设管理□系统运维管理不同级别系统控制点的差异安全要求类层面一级二级三级四级技术要求物理安全7101010网络安全3677主机安全4679应用安全47911数据安全及备份恢复2333管理要求安全管理制度2333安全管理机构4555人员安全管理4555系统建设管理991111系统运维管理9121313合计/48667377级差//1874不同级别系统要求项的差异安全要求类层面一级二级三级四级技术要求物理安全9193233网络安全9183332主机安全6193236应用安全7193136数据安全及备份恢复24811管理要求安全管理制度371114安全管理机构492020人员安全管理7111618系统建设管理20284548系统运维管理18416270合计/85175290318级差//9011528物理安全控制点一级二级三级四级物理位置的选择***物理访问控制****防盗窃和防破坏****防雷击****防火****防水和防潮****防静电***温湿度控制****电力供应****电磁防护***合计7101010物理安全(一)物理位置选择机房防震、防风和防雨应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。物理安全(二)物理访问控制专人值守申请和审批划分区域进行管理配置电子门禁物理安全(三)防盗窃和防破坏设备或主要部件进行固定设置标记(不易去除)。通信线缆铺设铺设在地下或管道中防盗报警物理安全(三)防盗窃和防破坏设备或主要部件进行固定设置标记(不易去除)。通信线缆铺设铺设在地下或管道中防盗报警物理安全(四)防雷击设置避雷装置;防雷保安器,防止感应雷;设置交流电源地线。物理安全(五)防火火灾自动消防系统;采用耐火建筑材料;区域隔离防火措施.物理安全(六)防水和防潮水管不穿过机房屋顶和活动地板下;防止雨水通过机房窗户、屋顶和墙壁渗透;防止机房内水蒸气结露和地下积水的转移与渗透;对机房进行防水检测和报警。物理安全(七)防静电防静电地板。物理安全(八)温湿度控制应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内(大型的精密空调)物理安全(九)电力供应供电线路上配置稳压器和过电压防护设备;提供短期的备用电力供应(UPS设备);设置并行电力线路为计算机系统供电(2路供电);应建立备用供电系统(发电机)。物理安全(十)电磁防护电源线和通信线缆应隔离铺设,避免互相干扰;对关键设备(泄露)和磁介质(损坏)实施电磁屏蔽。网络安全控制点一级二级三级四级结构安全****访问控制****安全审计***边