单位信息安全等级保护

单位名称我们毕业啦其实是答辩的标题地方信息安全等级保护工作汇报2016-01-18当前，我国信息化发展正进入全面深化的新阶段。新型信息技术发展应用，给我国网络与信息安全保障工作提出了新任务。前言法律法规：《信息安全等级保护管理办法》（公通字［2007］43号）《中华人民共和国计算机信息系统安全保护条例》《广东省计算机信息系统安全保护条例》最高人民法院、最高人民检察院2015年10月30日联合发布《关于执行〈中华人民共和国刑法〉确定罪名的补充规定(六)》对适用刑法的部分罪名进行了补充或修改，其中增加了拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪。一、等级保护背景二、等级保护概念三、等保评定内容四、推进等保工作的一些探讨五、本单位的问题和建议目录一、等级保护背景等保背景中央网信办期网络安全信息与动态周报(12月28日--01月03日)等保背景当前面临的安全威胁：•独立黑客：黑客攻击越来越频繁，影响企事业正常的业务运作。•内部员工：•1、信息安全意识薄弱的员工误用、滥用等；•2、管理员权限过大，如：系统管理员越权访问数据；•3、不稳定、情绪不满的员工。如：员工离职带走企业秘密。•竞争对手：法制环境不健全，行业不正当竞争（如：窃取机密）。•国外政府或机构：法制环境不健全，行业不正当竞争（如：窃取机密，破坏企业的业务服务）。等保背景2014年8月1日，浙江温州有线数字电视被攻击，电视屏幕叠加反动字幕和图片，50万用户、80万机顶盒受影响。等保背景等保背景重要网站和信息系统被植入木马后门等保背景网络病毒和网络攻击已形成一个黑色产业链，侵害政府公信力、社会公共安全、公民个人利益和隐私。破坏数据、应用、服务、硬件；盗取数据、资金；对外传播危害信息，对内传播木马扩大危害范围；利用被控制的电脑从事犯罪活动。等保背景一个巴掌拍不响！外因是条件，内因才是根本。全省3523个重点网站安全技术检测结果：存在安全漏洞的网站2621个，占被检网站数量74.4%；其中高危网站1633个，占检测网站的46.35%；发现安全漏洞数量93760个，其中高危漏洞25578个。平均1个网站有26个漏洞，7个高危漏洞。本行业的漏洞，本单位网站漏洞：详见粤等保办[2014]13号2014年上半年我省重点网站安全检测情况通报等保背景安全意识薄弱人、财、物等保障不到位；重建设、重应用、轻安全、轻管理；系统建设与安全建设不同步，有的废弃后仍未关停，有的服务器长期未打补丁，有的虽然配备安全设备但配置不科学。等保背景等保背景信息安全责任不清未成立领导机构、未明确责任、缺乏追责制度等。缺乏长远信息安全规划安全策略不当、安全措施不合理、没有数据备份和恢复等。监测预警和应急处理能力欠缺缺乏人员、技术、系统和预案、演练，各单位发现问题、处理问题能力有待提高。二、等级保护概念等保概念什么是信息安全等级保护工作？概念：信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。信息安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。等保概念什么是信息安全等级保护工作？意义：•信息安全等级保护制度是国家信息安全保障的基本制度、基本策略、基本方法；是当今发达国家的通行做法，也是我国多年来信息安全工作经验的总结。•开展信息安全等级保护工作：有利于同步建设；有利于指导和服务；有利于保障重点；有利于明确责任；有利于企事业单位保护商业秘密和知识产权。等保概念实施等级保护工作的基本原则：自主保护原则：信息系统运营、使用单位及其主管部门按照国家相关法规和标准，自主确定信息系统的安全保护等级，自行组织实施安全保护。重点保护原则：根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。同步建设原则：信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。动态调整原则：要跟踪信息系统的变化情况，调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级，根据信息系统安全保护等级的调整情况，重新实施安全保护。等保概念信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。等保概念信息安全等级保护工作定级备案检查等级测评安全建设整改《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字[2007]861号）《信息安全等级保护备案实施细则》（公信安[2007]1360号）《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号）《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号）《公安机关信息安全等级保护检查工作规范（试行）》（公信安[2008]736号）《信息系统安全等级测评报告模版（试行）》（公信安[2009]1487号）《信息安全等级保护管理办法》（公通字[2007]43号）《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）等保概念等级保护实施过程中涉及的角色和职责：等保概念等级保护实施的基本流程：三、等保评定内容评定内容等级测评内容：物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理评定内容等级测评内容：物理位置选择物理安全(三级)物理访问控制防盗窃和防破坏防雷击防火防水和防潮温湿度控制电力供应电磁防护防静电物理层面构成组件包括信息系统工作的设施环境以及构成信息系统的硬件设备和介质等。评定内容物理安全解读基本要求指标项实施建议重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。对安装网络与重要服务器等核心设备的机房或区域应配置门禁系统，并采用密码或指纹识别技术。应将设备或主要部件进行固定，并设置明显的不易除去的标记；标记应明确服务对象、IP地址、固定资产编号、物理位置、设备维护责任人等信息，并粘贴在明显的位置。应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；在线缆的两端做好标记。应对机房设置监控报警系统。应在机房入口、机柜走道、重要服务器等位置安装摄像头和图像存储、监控系统。评定内容物理安全解读2基本要求指标项实施建议机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。政务外网的重要设备如广域网核心路由器、城域网核心交换机等，应与其他网络和应用设备隔离放置，并按消防要求采取相应的防火措施。应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；在机房内做好隔热层，并注意楼层之间的温差不要太大。机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。一般机房日常温度应控制在10～28℃，湿度30～70%。应具有联网监控和自动报警、并及时通知相关运维人员等功能。电源线和通信线缆应隔离铺设，避免互相干扰；电源线和通信线应隔离铺设，平行超过30米时，其铺设间隔应大于200毫米。评定内容等级测评内容：结构安全和网段划分网络安全(三级)网络访问控制网络安全审计边界完整性检查网络入侵检测恶意代码防护网络设备防护评定内容网络安全解读基本要求指标项实施建议应绘制与当前运行情况相符的网络拓扑结构图；拓扑图应与实际部署一致，其各类安全设备也应标注在图上，建议拓扑图挂在机房内，以便故障处置，有利于运维人员直观、便捷的查看应在会话处于非活跃一定时间或会话结束后终止网络连接网络应有实时监控功能，对会话处于非活跃30分钟以上或会话结束后及时终止网络连接应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；可在应用服务器前设置防火墙、认证网关或授权管理系统，对单个用户的访问进行策略控制。应能够根据记录数据进行分析，并生成审计报表；对数据进行分析时，应能发现异常并主动告警，审计报表应能根据用户需要修改，相关信息应能上报到安全管理系统。评定内容网络安全解读2基本要求指标项实施建议应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。审计记录应保存至少半年以上。当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警应部署安全管理系统（SOC)，对网络攻击行为进行综合分析，对发现有严重入侵事件时应实时告警。身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；用户口令应不少于12位，数字和字母组成，至少3个月更换一次。应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；当一次登录密码错误次数超过6次，应能自动关闭并告警。评定内容等级测评内容：身份鉴别主机系统安全(三级)访问控制安全审计剩余信息保护入侵防范恶意代码防范资源控制评定内容主机安全解读基本要求指标项实施建议应对登录操作系统和数据库系统的用户进行身份标识和鉴别；对网络管理系统和安全管理系统的管理员登陆地址应进行限制，禁止在内部网络中的任何终端均可登陆到管理系统，应在管理系统前的防火墙上做好访问控制。操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；系统管理员的登录身份标识应唯一，口令应至少12位以上，且数字和字母大小写组合，每半年应更改一次。应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；当登录次数错误超过6次，应自动退出并告警评定内容主机安全解读2基本要求指标项实施建议应及时删除多余的、过期的帐户，避免共享帐户的存在。应定期（每半年）清理服务器中多余、过期的账户。应能够根据记录数据进行分析，并生成审计报表；审计分析系统应具有这些功能，并对异常行为实时告警。应保护审计记录，避免受到未预期的删除、修改或覆盖等。审计记录至少应保存半年。评定内容等级测评内容：身份鉴别应用安全(三级)访问控制通信完整性通信保密性安全审计剩余信息保护抗抵赖软件容错资源控制评定内容应用安全解读基本要求指标项实施建议应提供专用的登录控制模块对登录用户进行身份标识和鉴别可采用堡垒机等方式，对登录用户的身份进行标识和鉴别。应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限；在应用服务器和数据库服务器前部署网关或授权管理系统，对主体配置访问控制策略。当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话；如果通信双方中有一方在10分钟内未作任何响应，则应自动结束会话，释放网络连接。应能够对系统服务水平降低到预先规定的最小值进行检测和报警；在网络管理系统或安全管理系统中，对重要服务器运行状况设定门限值，实时监测，低于门限值时，应及时告警。评定内容等级测评内容：数据完整性数据安全(三级)数据保密性安全备份评定内容数据安全解读基本要求指标项实