等级保护基本要求培训(第十二期)

广东计安信息网络培训中心信息系统安全等级保护基本要求程晓峰目录•等级保护知识回顾•使用时机和主要作用•基本要求主要思想•各级系统保护的主要内容等级保护等级等级保护重要标准•GB17859-1999计算机信息系统安全保护等级划分准则•GB/T22239—2008信息系统安全等级保护基本要求•GB/T22240—2008信息系统安全等级保护定级指南•信息系统安全等级保护测评过程指南（国标报批稿）•信息系统安全等级保护测评要求（国标报批稿）•GB/T25058-2010信息系统安全等级保护实施指南•GB/T25070-2010信息系统等级保护安全设计技术要求等级保护相关标准•GA/T708-2007信息系统安全等级保护体系框架•GA/T709－2007信息系统安全等级保护基本模型•GA/T710-2007信息系统安全等级保护基本配置•GA/T711-2007应用软件系统安全等级保护通用技术指南•GA/T712－2007应用软件系统安全等级保护通用测试指南•GA/T713-2007信息系统安全管理测评•GB/T18018—2007路由器安全技术要求•GB/T20269—2006信息系统安全管理要求•GB/T20270—2006网络基础安全技术要求•GB/T20271—2006信息系统安全通用技术要求•GB/T20272—2006操作系统安全技术要求•GB/T20273—2006数据库管理系统安全技术要求•GB/T20275—2006入侵检测系统技术要求和测试评价方法•GB/T20278—2006网络脆弱性扫描产品技术要求•GB/T20279—2006网络和终端设备隔离部件安全技术要求•GB/T20281—2006防火墙技术要求和测试评价方法•GB/T20282—2006信息系统安全工程管理要求•GB/T20979—2007虹膜识别系统技术要求•GB/T20984—2007信息安全风险评估规范•GB/T20988—2007信息系统灾难恢复规范•GB/T21028—2007服务器安全技术要求•GB/T21052—2007信息系统物理安全技术要求•GB/T21053—2007公钥基础设施PKI系统安全等级保护技术要求•GB/Z20985—2007信息安全事件管理指南YD/T•GB/Z20986—2007信息安全事件分类分级指南定级流程G=MAX(S,A)SA安全保护和系统定级的关系安全等级信息系统保护要求的组合第一级S1A1G1第二级S1A2G2，S2A2G2，S2A1G2第三级S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四级S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4使用时机和主要作用等级保护基本要求作用基本要求监管机构检查测评机构测评使用单位自查集成厂商指导建设技术标准和管理规范的作用技术标准和管理规范信息系统定级信息系统安全建设或改建安全状况达到等级保护要求的信息系统《基本要求》的定位•是系统安全保护、等级测评的一个基本“标尺”，同样级别的系统使用统一的“标尺”来衡量，保证权威性，是一个达标线；•每个级别的信息系统按照基本要求进行保护后，信息系统具有相应等级的基本安全保护能力，达到一种基本的安全状态;•是每个级别信息系统进行安全保护工作的一个基本出发点，更加贴切的保护可以通过需求分析对基本要求进行补充，参考其他有关等级保护或安全方面的标准来实现;等级保护基本要求效果0246810物理安全网络安全数据安全主机安全应用安全等保二级等保三级《基本要求》的定位某级信息系统基本保护精确保护基本要求保护基本要求测评补充的安全措施GB17859-1999通用技术要求安全管理要求高级别的基本要求等级保护其他标准安全方面相关标准等等基本保护特殊需求补充措施基本要求主要思想《基本要求》基本思路不同级别信息系统重要程度不同应对不同威胁的能力具有不同的安全保护能力不同的等级保护基本要求不同级别的安全保护能力要求•第一级安全保护能力–应能够防护系统免受来自个人的、拥有很少资源（如利用公开可获取的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度弱、持续时间很短等）以及其他相当危害程度的威胁（无意失误、技术故障等）所造成的关键资源损害，在系统遭到损害后，能够恢复部分功能。•第二级安全保护能力–应能够防护系统免受来自外部小型组织的（如自发的三两人组成的黑客组织）、拥有少量资源（如个别人员能力、公开可获或特定开发的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度一般、持续时间短、覆盖范围小等）以及其他相当危害程度的威胁（无意失误、技术故障等）所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。不同级别的安全保护能力要求•第三级安全保护能力–应能够在统一安全策略下防护系统免受来自外部有组织的团体（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严重的自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较广等）以及其他相当危害程度的威胁（内部人员的恶意威胁、无意失误、较严重的技术故障等）所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。•第四级安全保护能力–应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难（灾难发生的强度大、持续时间长、覆盖范围广等）以及其他相当危害程度的威胁（内部人员的恶意威胁、无意失误、严重的技术故障等）所造成的资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够迅速恢复所有功能。不同级别的安全保护能力要求人员威胁自然威胁损害对象恢复能力发现能力第一级个人一般自然灾害关键资源部分恢复无第二级小型组织一般自然灾害重要资源一段时间内部分恢复能够发现安全漏洞和安全事件第三级外部组织或内部人员较为严重灾害主要资源较快恢复绝大部分能够发现安全漏洞和安全事件第四级国家级别严重灾害所有资源迅速恢复所有能够发现安全漏洞和安全事件各个要素之间的关系安全保护能力基本安全要求每个等级的信息系统基本技术措施基本管理措施具备包含包含满足满足实现《基本要求》核心思路某级系统技术要求管理要求基本要求建立安全技术体系建立安全管理体系具有某级安全保护能力的系统各级系统的保护要求差异（宏观）•安全保护模型PPDRRProtection防护PolicyDetection策略检测Response响应Recovery恢复各级系统的保护要求差异（宏观）一级系统二级系统三级系统四级系统防护防护/监测策略/防护/监测/恢复策略/防护/监测/恢复/响应各级系统的保护要求差异（宏观）成功的完成业务信息保障人技术操作防御网络与基础设施防御飞地边界防御计算环境支撑性基础设施安全保护模型IATF各级系统的保护要求差异（宏观）一级系统二级系统三级系统四级系统通信/边界（基本）通信/边界/内部（关键设备）通信/边界/内部（主要设备）通信/边界/内部/基础设施（所有设备）能力成熟度模型CMM非正式执行计划跟踪充分定义持续改进各级系统的保护要求差异（宏观）一级系统二级系统三级系统四级系统计划和跟踪（主要制度）计划和跟踪（主要制度）良好定义（管理活动制度化）持续改进（管理活动制度化/及时改进）各级系统的保护要求差异（微观）某级系统物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理各级系统保护的主要内容基本要求的主要内容•由9个章节2个附录构成–1.适用范围–2.规范性引用文件–3术语和定义–4.等级保护概述–5.6.7.8.9对应第一至五级基本要求–附录A关于信息系统整体安全保护能力的要求–附录B基本安全要求的选择和使用基本要求的组织方式某级系统类技术要求管理要求基本要求类控制点具体要求控制点具体要求………………………………基本要求举例•技术要求网络安全（类）•6.1.2.2访问控制(G2)（控制点）•本项要求包括:（具体要求）–a)应在网络边界部署访问控制设备,启用访问控制功能;–b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。–c)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;–d)应限制具有拨号访问权限的用户数量。基本要求举例•技术要求网络安全（类）•7.1.2.2访问控制(G3)•本项要求包括:–a)应在网络边界部署访问控制设备,启用访问控制功能;–b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;–c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;–d)应在会话处于非活跃一定时间或会话结束后终止网络连接;–e)应限制网络最大流量数及网络连接数;–f)重要网段应采取技术手段防止地址欺骗;–g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;–h)应限制具有拨号访问权限的用户数量。基本要求标注方式•基本要求–技术要求–管理要求•要求标注–业务信息安全类要求（标记为S类）–系统服务保证类要求（标记为A类）–通用安全保护类要求（标记为G类）基本要求的选择和使用•一个3级系统,定级结果为S3A2，保护类型应该是S3A2G3•第1步:–选择标准中3级基本要求的技术要求和管理要求;•第2步:–要求中标注为S类和G类的不变;–标注为A类的要求可以选用2级基本要求中的A类作为基本要求;安全保护和系统定级的关系安全等级信息系统保护要求的组合第一级S1A1G1第二级S1A2G2，S2A2G2，S2A1G2第三级S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四级S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4定级指南要求按照“业务信息”和“系统服务”的需求确定整个系统的安全保护等级定级过程反映了信息系统的保护要求系统服务要求举例：电力控制(A)•一级:计算机系统供电应与其他供电分开;应设置稳压器和过电压防护设备。␣•二级:应提供短期的备用电力供应(如:UPS设•备)。•三级:应具备冗余或并行的电力电缆线路;备用供电系统(如备用发电机)。•四级:与三级要求相同。业务信息要求举例：电磁防护(S)•一级:无此要求。•二级:要求具有基本的电磁防护能力,如电源线和通信•线缆应隔离铺设等。•三级:除二级要求外,增强了防护能力,要求能够做到•关键设备和磁介质的电磁屏蔽。•四级:在三级要求的基础上,要求屏蔽范围扩展关键区不同级别系统控制点的差异安全要求类层面一级二级三级四级技术要求物理安全7101010网络安全3677主机安全4679应用安全47911数据安全及备份恢复2333管理要求安全管理制度2333安全管理机构4555人员安全管理4555系统建设管理991111系统运维管理9121313合计/48667377级差//1874不同级别系统要求项的差异安全要求类层面一级二级三级四级技术要求物理安全9193233网络安全9183332主机安全6193236应用安全7193136数据安全及备份恢复24811管理要求安全管理制度371114安全管理机构492020人员安全管理7111618系统建设管理20284548系统运维管理18416270合计/85175290318级差//9011528基本要求组织方式各级系统安全保护要求-物理安全控制点一级二级三级四级物理位置的选择G0122物理访问控制G1244+防盗窃和防破坏G2566防雷击G1233防火G11+33防水和防潮G2344防静电G0123温湿度控制G11+11电力供应A1244+电磁防护S0133+控制点合计7101010具体要求合计9193233各级系统安全保护要求-物理