信息系统安全等级保护等级保护基本要求

信息系统安全等级保护等级保护基本要求武汉安域信息安全技术有限公司余少波博士地址：湖北武汉东湖开发区武大园路6号电话：13281151232电邮：caminopro@163.comsuansin@163.com车机模式深受手机模式的影响1内容为王，服务至上2未来中国TSP，谁主沉浮3后装市场必然成为主导地位4Telematics发展suansin@163.com依据标准规范GB17859-1999计算机信息系统安全等级保护划分准则GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T25058-2010信息安全技术信息系统安全等级保护实施指南suansin@163.com《基本要求》要求项在各层面的分布安全要求类层面一级二级三级四级级差//9011528合计/85175290318系统运维管理18416270系统建设管理20284548人员管理安全7111618安全管理机构492020安全管理制度371114管理要求数据安全及备24811份应用安全7193136主机安全6193236网络安全9183332物理安全9193233技术要求suansin@163.com技术要求-物理安全合计7101010电磁防护***电力供应****温湿度控制****防静电***防水和防潮****防火****防雷击****防盗窃和防破坏****物理访问控制****物理位置的选择***控制点一级二级三级四级suansin@163.com技术要求-网络安全控制点一级二级三级四级合计3677网络设备防护****恶意代码防范**入侵防范***边界完整性检查***安全审计***访问控制****结构安全****suansin@163.com技术要求-主机安全控制点一级二级三级四级合计4679资源控制***恶意代码防范****入侵防范****剩余信息保护**安全审计***可信路径*访问控制****安全标记*身份鉴别****suansin@163.com合计47911资源控制***软件容错****抗抵赖**通信保密性***通信完整性****剩余信息保护**安全审计***可信路经*访问控制****安全标记*身份鉴别****技术要求-应用安全控制点一级二级三级四级suansin@163.com技术要求-数据安全及备份恢复合计2333备份和恢复****数据保密性***数据完整性****控制点一级二级三级四级suansin@163.com管理要求-安全管理制度合计2333评审和修订***制定和发布****管理制度****控制点一级二级三级四级suansin@163.com管理要求-安全管理机构合计4555审核和检查***沟通和合作****授权和审批****人员配备****岗位设置****控制点一级二级三级四级suansin@163.com管理要求-人员安全管理合计4555外部人员访问管****理安全意识教育和****培训人员考核***人员离岗****人员录用****控制点一级二级三级四级suansin@163.com管理要求-系统建设管理合计991111安全服务商选择****等级测评**系统备案**系统交付****测试验收****工程实施****外包软件开发****自行软件开发****产品采购和使用****安全方案设计****系统定级****控制点一级二级三级四级suansin@163.com管理要求-系统运维管理合计10131313应急预案管理***安全事件处置****备份与恢复管理****变更管理***密码管理***恶意代码防范管理****系统安全管理****网络安全管理****监控管理和安全管理中心****设备管理****介质管理****资产管理****环境管理****控制点一级二级三级四级suansin@163.com安全要素与安全保护等级的关系国家安全特别严重损害第五级极端重要系统专门监督检查国家安全严重损害第四级强制监督检查社会秩序和特别严重损害公共利益国家安全一般损害监督检查重要系统第三级社会秩序和严重损害公共利益社会秩序和一般损害公共利益第二级指导保护严重损害自主保护一般系统一般损害第一级合法权益侵害客体侵害程度等级对象监管强度suansin@163.comsuansin@163.comsuansin@163.comsuansin@163.comsuansin@163.comGB/T22239-2008•《信息系统安全等级保护基本要求》suansin@163.com贯彻落实党中央、国务院关于节能减排工作部署，以实现重点污染物减排的目标指标为紧要任务，为实现节能减排和环境保护工作目标奠定基础统计基础能力数据传输能力数据共享能力数据应用能力指标体系监测体系考核体系业务应用支撑能力总体目标项目目的suansin@163.comsuansin@163.com分省建设目标（1）在项目实施过程中贯彻落实工程标准规范；（2）建设省环境保护厅（局）到地市环境保护局，地市环境保护局到区县环境保护局，以及省环境保护厅（局）到省直属机构、市环境保护局到市直属机构的网络系统，并通过国家电子政务外网实现与环境保护部的连通；（直辖市为市、区县两级网络）；（3）组织落实本省（直辖市、自治区）范围内网络安全体系的建设和省级CA系统的建设；（4）组织所辖各级机构接收部里统一下发的环境统计专项设备，保证专项专用；（5）准备机房环境，组织所辖各级机构接收并配合部署部里统一采购的服务器、存储、网络、安全等设备和系统软件；suansin@163.com分省建设目标（6）部署部里统一下发的省级综合数据库平台和地理信息系统平台；组织所辖市、区县部署部里统一下发的数据传输与交换平台，建立数据交换传输体系，实现国家、省、下辖市、区县的数据交换与共享；（7）部署部里统一下发的省级减排应用系统支撑平台；在省级集中部署环境统计业务系统、建设项目管理系统、减排数据管理与综合分析系统，按照需要集成已有六个应用系统；组织所辖市、区县相关业务部门推广应用环境统计业务系统和建设项目管理系统。（8）组织建立省及所辖市、区县运维组织机构，健全运维制度，明确运维人员，部署部里统一下发的运行维护管理系统，建立省级运维管理平台。suansin@163.com省、自治区直辖市suansin@163.comsuansin@163.com•《基本要求》中相应等级的要求是根据各等级系统需要对抗的威胁和应具备的能力而确定的。判断基本要求是否达到应按此原则分析。•《基本要求》给出了各级信息系统每一保护方面需达到的要求，但不是具体的安全建设整改方案或作业指导书，实现基本要求的措施或方式并不局限于《基本要求》给出的内容，要结合系统自身的特点综合考虑采取的措施来达到基本要求提出的保护能力suansin@163.com•A点——B点，500KM5H•飞机OK•火车OK•汽车OK•自行车NOsuansin@163.com•内容与作用–为信息系统主管和运营、使用单位提供技术指导–为测评机构提供测评依据–为监管职能部门提供监督检查依据•适用环节–建设整改、验收、测评、运维、检查suansin@163.com•控制点标注–业务信息安全相关要求（标记为S）–系统服务保证相关要求（标记为A）–通用安全保护要求（标记为G）–技术要求（3种标注）–管理要求（统属G）suansin@163.com•第一级S1A1G1•第二级S1A2G2，S2A2G2，S2A1G2•第三级S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3•第四级S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4suansin@163.com•落实信息安全等级保护基本要求，确保系统基本安全；•结合系统自身安全需求，力求系统相对安全。suansin@163.com物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全及备份恢复安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理类suansin@163.com安全建设基本流程信息系统安全管理建设信息系统安全技术建设开展信息系统安全自查和等级测评信息系统安全需求分析/相应级别的要求确定安全策略，制定安全建设方案物理安全网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运行管理suansin@163.com信息系统安全技术体系设计物理安全设计数据安全设计备份与恢复应用系统应用平台其他安全设计机房办公环境设备和介质网络安全设计通信网络区网边界主机安全设计应用安全设计服务器工作站其他安全设计其他安全设计其他安全设计suansin@163.com•身份鉴别•访问控制•安全审计•数据完整性•数据保密性•数据可用性病毒防范入侵检测安全监控备份与恢复密码使用等等suansin@163.com•确定安全策略•落实信息安全责任制•建立安全组织机构•加强人员管理•加强系统建设的安全管理•加强运行维护的安全管理suansin@163.com•物理安全是指对信息系统所涉及到的主机房、辅助机房、办公环境等进行物理安全保护。具体关注内容包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面suansin@163.com序号安全关注点一级二级三级四级1物理位置的选择01222物理访问控制1244+3防盗窃和防破坏256+64防雷击12335防火11+3+36防水和防潮23447防静电01238温湿度控制11+119电力供应124410电磁防护0133+合计9193233suansin@163.com•网络安全是指对信息系统所涉及的通信网络、网络边界、网络区域和网络设备等进行安全保护。具体关注内容包括通信过程数据完整性、通信过程数据保密性、保证通信可靠性的设备和线路冗余、区域网络的边界保护、区域划分、身份认证、访问控制、安全审计、入侵防范、恶意代码防范、网络设备自身保护和网络的网络管理等方面suansin@163.com序号安全关注点一级二级三级四级1网络结构安全34+772网络访问控制34+843网络安全审计02464边界完整性检查01225网络入侵防范0122+6恶意代码防范00227网络设备防护3689合计9183332suansin@163.com•主机安全是指对信息系统涉及到的服务器和工作站进行主机系统安全保护。具体关注内容包括操作系统或数据库管理系统的选择、安装和安全配置、主机入侵防范、恶意代码防范、资源使用和运行情况监控等。其中，安全配置细分为身份鉴别、访问控制、安全审计等方面的配置内容suansin@163.com序号安全关注点一级二级三级四级1身份鉴别15672安全标记00013访问控制34764可信路径00025安全审计046+7+6剩余信息保护00227入侵防范11338恶意代码防范12339资源控制0355合计6193236suansin@163.com•应用安全是指对信息系统涉及到的应用系统进行安全保护。具体关注内容包括应用系统实现身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等功能方面suansin@163.com序号安全关注点一级二级三级四级1身份鉴别34552安全标记00013访问控制24654可信路径00025安全审计03456剩余信息保护00227通信完整性11+1+18通信保密性022+39抗抵赖002210软件容错122311资源控制0377合计7193136suansin@163.com•数据安全是指对信息系统中业务数据的传输、存储和备份恢复进行安全保护。具体关注内容包括数据备份系统、冗余备用设备以及备份恢复相关技术设施等方面suansin@163.com序号安全关注点一级二级三级四级1数据完整性11232数据保密性01233数据备份与恢复1245合计24811suansin@163.com•安全管理结构