3等级保护安全建设整改

等级保护安全建设整改马力公安部信息安全等级保护评估中心信息安全等级保护培训目录有关的概念、政策和标准回顾安全建设整改的工作流程和内容安全建设整改的具体要求和方法主要概念回顾信息系统安全等级保护安全等级保护的主要工作“S”“A”“G”系统安全保护能力信息安全风险评估信息系统安全等级保护指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护；对信息系统中使用的信息安全产品实行按等级管理；对信息系统中发生的信息安全事件分等级响应、处置（摘自“66号”文件）信息系统安全等级保护主要工作一是：定级备案二是：建设整改三是：等级测评四是：监督检查（摘自“43号”文件）等级保护主要工作定级过程中的“S”、“A”信息系统安全包括业务信息安全和系统服务安全S：业务信息安全A：系统服务安全3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体7、系统服务安全等级4、业务信息安全等级8、定级对象的安全保护等级1、确定定级对象基本要求中的“S”、“A”、“G”三类基本要求S类—业务信息安全保护类—关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改。A类—系统服务安全保护类—关注的是保护系统连续正常的运行，避免因对系统的未授权修改、破坏而导致系统不可用。G类—通用安全保护类—既关注保护业务信息的安全性，同时也关注保护系统的连续可用性。基本要求中的“S”、“A”、“G”安全保护等级信息系统基本保护要求的组合第一级S1A1G1第二级S1A2G2，S2A2G2，S2A1G2第三级S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四级S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4第五级S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A5G5，S5A4G5，S5A3G5，S5A2G5，S5A1G5安全保护能力系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度对抗能力检测能力恢复能力信息安全风险评估（摘自《信息安全风险评估规范》（GB/T20984-2007））脆弱性资产价值威胁资产风险安全需求业务战略安全事件残余风险安全措施利用暴露具有成本被满足未控制可能诱发演变增加导出依赖增加降低抵御未被满足政策（主要）回顾序号文号发文单位名称1国务院令【1994】１４７号国务院中华人民共和国计算机信息系统安全保护条例规定“计算机信息系统实行安全等级保护”2中办发[2003]27号中央办公厅国家信息化领导小组关于加强信息安全保障工作的意见3公通字[2004]66号公安部/4部委关于信息安全等级保护工作的实施意见4中办[2006]18号中央办公厅转发《国家信息化领导小组关于推进国家电子政务网络建设的意见》的通知5公通字[2007]43号公安部/4部委信息安全等级保护管理办法6公信安[2007]1360号公安部《信息安全等级保护备案实施细则》7公信安[2007]861号公安部/4部委关于开展全国重要信息系统安全等级保护定级工作的通知8公信安[2008]736号公安部《公安机关信息安全等级保护检查工作规范（试行）》9发改高技[2008]2071号发改委《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》10公信安[2009]1429号公安部关于印送《关于开展信息安全等级保护安全建设整改工作的指导意见》的函标准（部分）回顾序号标准编号标准分类名称1GB/T22240-2008信息安全技术信息系统安全保护等级定级指南2GB/T25058-2010信息安全技术信息系统等级保护实施指南5GB/T22239-2008信息安全技术信息系统安全等级保护基本要求6GB/T24856-2009信息安全技术信息系统等级保护安全设计技术要求7信息系统安全保护等级测评过程指南8信息系统等级保护测评指南序号标准编号标准分类名称1GB17859-1999信息安全技术计算机信息系统安全保护等级划分准则2GB/T20271-2006信息安全技术信息系统通用安全技术要求3GB/T21052-2006信息安全技术信息系统物理安全技术要求4GB/T20270-2006信息安全技术网络基础安全技术要求5GB/T20272-2006信息安全技术操作系统安全技术要求6GB/T20273-2006信息安全技术数据库管理系统安全技术要求7GB/T21028-2006信息安全技术服务器技术要求8GA/T671-2006信息安全技术终端计算机系统安全等级技术要求9GB/T20269-2006信息安全技术信息系统安全管理要求10GB/T20282-2006信息安全技术信息系统安全工程管理要求信息系统通用安全技术要求技术类信息系统安全管理要求管理类产品类操作系统安全技术要求安全建设整改的依据信息系统安全等级保护基本要求信息系统安全等级保护定级指南信息系统安全等级保护基本要求的行业细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求信息系统安全等级保护行业定级细则安全等级基线要求状况分析方法指导信息系统安全等级保护实施指南信息安全等级保护安全建设整改工作目录有关的概念、政策和标准回顾安全建设整改的具体要求和工作流程安全建设整改的内容和方法建设整改-工作的部署2009年，《关于印送关于开展信息安全等级保护安全建设整改工作的指导意见的函》（公信安[2009]1429号），标志着等级保护建设整改工作的启动。、全国已定级信息系统安全建设整改工作总体上用三年时间完成。建设整改工作目标实现五方面目标：一是信息系统安全管理水平明显提高；二是信息系统安全防范能力明显增强；三是信息系统安全隐患和安全事故明显减少；四是有效保障信息化健康发展；五是有效维护国家安全、社会秩序和公共利益。（摘自“公信安[2009]1429号”文件）建设整改工作内容开展信息安全等级保护安全管理制度建设，提高信息系统安全管理水平；开展信息安全等级保护安全技术措施建设，提高信息系统安全保护能力；开展信息系统安全等级测评，使信息系统安全保护状况逐步达到等级保护要求。（摘自“公信安[2009]1429号”文件）建设整改工作要求统一组织，加强领导；循序渐进，分步实施；结合实际，制定规范；认真总结，按时报送。（摘自“公信安[2009]1429号”文件）建设整改工作范围已备案的第二级（含）以上信息系统纳入安全建设整改的范围。尚未开展定级备案的信息系统，要先定级备案，定级不准的要先纠正，再开展安全建设整改。新建系统要同步开展安全建设工作。建设整改工作方法思路1：加固改造，缺什么补什么；思路2：进行总体安全建设整改规划，系统化、体系化设计思路；管理制度建设和技术措施建设同步或分步实施。建设整改工作流程信息系统定级信息系统备案安全规划/设计等级保护测评安全建设实施信息系统建设/整改信息系统安全运维局部调整重大变更安全监督检查信息系统终止信息系统安全管理建设信息系统安全技术建设开展信息系统安全自查和等级测评信息系统安全保护现状分析信息系统安全建设整改工作规划和工作部署确定安全策略，制定安全建设整改方案物理安全网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理安全管理建设整改工作流程安全技术建设整改工作流程建设整改工作流程第一步：制定安全建设整改工作规划，对安全建设整改工作进行总体部署。第二步：开展信息系统安全现状分析，从管理和技术两方面确定安全建设整改需求。第三步：确定安全保护策略，制定信息系统安全建设整改方案。第四步：开展信息系统安全建设整改工作，建立并落实安全管理制度，落实安全责任制，建设安全设施，落实安全措施。第五步：开展安全自查和等级测评，及时发现问题并进一步整改。目录有关的概念、政策和标准回顾安全建设整改的具体要求和工作流程安全建设整改的内容和方法建设整改工作目标实现五方面目标：一是信息系统安全管理水平明显提高；二是信息系统安全防范能力明显增强；三是信息系统安全隐患和安全事故明显减少；四是有效保障信息化健康发展；五是有效维护国家安全、社会秩序和公共利益。（摘自“公信安[2009]1429号”文件）安全建设整改的目的使确定了等级的信息系统能够达到相应等级的基本的保护水平和满足自身需求的安全保护能力。安全保护能力建设安全目标安全技术能力业务信息安全系统服务安全对抗能力检测能力恢复能力第一级信息系统安全保护能力经过安全建设整改，信息系统具有抵御一般性攻击的能力，防范常见计算机病毒和恶意代码危害的能力；系统遭到损害后，具有恢复系统主要功能的能力。第二级信息系统安全保护能力经过安全建设整改，信息系统具有抵御小规模、较弱强度恶意攻击的能力，抵抗一般的自然灾害的能力，防范一般性计算机病毒和恶意代码危害的能力；具有检测常见的攻击行为，并对安全事件进行记录的能力；系统遭到损害后，具有恢复系统正常运行状态的能力。第三级信息系统安全保护能力经过安全建设整改，信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力，抵抗较为严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵行为的能力；具有对安全事件进行响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的系统，应能快速恢复正常运行状态；具有对系统资源、用户、安全机制等进行集中控管的能力。第四级信息系统安全保护能力经过安全建设整改，信息系统在统一的安全保护策略下具有抵御敌对势力有组织的大规模攻击的能力，抵抗严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵行为的能力；具有对安全事件进行快速响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的系统，应能立即恢复正常运行状态；具有对系统资源、用户、安全机制等进行集中控管的能力建设整改-安全保护等级和安全保护能力等级信息系统级别重要性安全保护能力级别第一级一般信息系统一级安全保护能力第二级一般信息系统二级安全保护能力第三级重要信息系统三级安全保护能力第四级重要信息系统四级安全保护能力第五级重要信息系统未公布安全控制项安全控制点安全控制类基本要求安全技术物理安全网络安全结构安全控制项1控制项2控制项3……访问控制网络设备防护主机安全应用安全数据安全及备份恢复安全管理安全管理制度管理制度制定和发布评审和修订安全管理机构人员安全管理系统建设管理系统运维管理信息系统安全等级保护基本要求控制点增加控制项增加信息安全等级保护基本要求安全建设整改基本流程信息系统安全管理建设信息系统安全技术建设开展信息系统安全自查和等级测评信息系统安全保护现状分析等级保护安全建设整改工作规划和工作部署制定安全建设整改方案物理安全网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运行管理系统构成情况分析安全保护现状分析安全需求论证确认差距分析总体规划详细设计工程实施招投标安全集成工程验收试运行等级测评公用共享部分分析等保体系架构设计纵深防御架构设计管理体系架构设计分步实施内容规划物理机房安全设计通信网络安全设计区域边界安全设计主机系统安全设计应用系统安全设计备份和恢复安全设计其他安全技术设计整改过程-40-系统构成情况分析安全保护现状分析安全需求论证确认差距分析总体规划详细设计工程实施整改过程-差距分析（需求分析）-41-了解掌握信息系统的数量和等级、所处的网络区域以及信息系统所承载的业务应用情况，分析信息系统的边界、构成和相互关联情况，分析网络结构、内部区域、区域边界以及