等级保护

广州华南信息安全测评中心编辑人：刘汉江2013年05月信息系统等级保护提纲•什么是等级保护•为什么要开展等级保护•等级保护怎么做•等级保护工作的收益什么是等级保护？根据我国信息安全标准GB/T22240—2008《信息系统安全等级保护定级指南》对我国非涉密信息系统划分为五个等级进行保护。等级保护对象为什么要实施等级保护？——中国互联网安全形势不容乐观!网站篡改导致重大影响CSDN泄密门广东省公安厅出境申请信息泄密“五一”一周网络病毒监测情况网络病毒监测情况TOP3钓鱼网站真正的中国工商银行网站2012年，“中国反钓鱼网站联盟”处理钓鱼网站事件22308起发达国家政府普遍加强网络安全管理美国政府出台《加强网络安全法案》欧盟正式发布《欧洲数字化议程》瑞典政府设国家信息技术安全中心新加坡信息通信发展管理局制定新信息安全准则澳大利亚启动国家计算机应急响应官方机构日本政府制定“保护国民信息安全战略”怎么开展等级保护？GB17859-1999计算机信息系统安全等级保护划分准则GB/T25058-2010信息系统安全等级保护实施指南GB/T22240-2008信息系统安全保护等级定级指南GB/T22239-2008信息系统安全等级保护基本要求GB/T20271-2006信息系统通用安全技术要求GB/T25070-2010信息系统等级保护安全设计技术要求GB/T20269-2006信息系统安全管理要求GB/T20282-2006信息系统安全工程管理要求信息系统安全等级保护测评要求信息系统安全等级保护测评过程指南等级保护的相关标准系统定级备案安全建设整改等级测评监督检查识别信息系统的基本信息识别信息系统的管理框架识别信息系统的网络及设备部署识别信息系统的业务种类和特性识别业务系统处理的信息资产识别用户范围和用户类型信息系统描述划分方法的选择信息系统划分信息系统详细描述信息系统安全保护等级初步确定定级结果审核和批准形成定级报告等级保护实施流程等级保护定级思路不同信息系统重要程度不同应对不同威胁的能力具有不同的安全保护能力不同的等级保护等级等级保护定级维度等级保护对象受到破坏时所侵害的客体对客体造成侵害的程度侵害程度•以货币损失衡量–一般以银行、证券、保险、第三方支付等金融行业单位为主•以行政处罚衡量–一般以政府行业单位为主•以安全生产指标衡量–一般以电力、石油、交通、制造业等工业行业单位为主定级要素与安全保护等级的关系定级三个条件•具有唯一确定的安全责任单位–一般是使用或运营单位•满足信息系统的基本要素（组织结构、流程、数据、商务规则与功能）–单机和纯局域网不定级•承载相对独立的业务应用–含多个业务应用的综合系统尽量划分定级对象识别与划分•可能使定级要素赋值不同因素–可能涉及不同客体的系统。–可能对客体造成不同程度损害的系统。–处理不同类型业务的系统。•本身运行在不同的网络环境中的系统。•分不开的系统，按照高级别保护。两种安全定义业务信息安全系统服务可用信息系统安全定级流程G=MAX(S,A)SA业务信息安全等级矩阵表系统服务安全等级矩阵表等级保护定级报告案例四个主要因素决定等级系统所属类型业务信息类别系统服务范围业务依赖程度业务信息安全等级系统服务安全等级信息系统安全保护等级侵害的程度如何？（对客体造成侵害的程度）•一般损害•严重损害•特别严重损害受到破坏时侵害了什么？（客体）•公民、法人和其他组织•社会秩序、公共利益•国家安全行业等级保护定级一级信息系统：适用于乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。二级信息系统：适用于地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网，非涉及秘密、敏感信息的办公系统等。行业等级保护定级三级信息系统：适用于地市级以上国家机关、企业、事业单位内部重要的信息系统；重要领域、重要部门跨省、跨市或全国（省）联网运行的信息系统；跨省或全国联网运行重要信息系统在省、地市的分支系统；各部委官方网站；跨省（市）联接的信息网络等。四级信息系统：适用于重要领域、重要部门信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统，银行、证券、保险、税务、海关等部门中的核心系统。行业等级保护定级•重要领域•核心系统第四级强制保护•地市级以上重要系统•跨省或全国系统及分支系统第三级监督保护•地市级以上单位•一般系统第二级指导保护•乡镇或县级单位•私营企业第一级自主保护卫生行业定级参考系统类别系统名称范围建议等级备注公共卫生信息系统血液信息管理系统卫生监督管理系统精神卫生管理信息系统全市三级医疗机构信息系统HIS系统本单位二级LIS系统本单位二级PACS系统本单位二级医院网站本单位一级OA系统本单位一级电力行业等级保护定级系统类别系统名称范围建议等级备注生产控制系统能量管理系统省级及以上4省级以下3变电站自动化系统220千伏及以上3含开关站、换流站220千伏以下2配网自动化系统3电力负荷管理系统3火电机组控制系统DCS单机容量300兆瓦及以上3含辅机控制系统单机容量300兆瓦以下2水电厂监控系统总装机1000兆瓦及以上3总装机1000兆瓦以下2梯级调度监测系统总装机2000兆瓦及以上3若无控制功能则为生产管理系统总装机2000兆瓦以下2电力行业等级保护定级等级保护实施流程信息系统安全保护等级确定（第二级及以上）下载备案表和辅助备案工具填写备案表生成备案电子数据去公安机关备案登记系统定级备案安全建设整改等级测评监督检查等级保护实施流程系统定级备案安全建设整改等级测评监督检查等级保护方案中涉及的技术和产品•标识与鉴别（1）标识是指用户（或设备）向信息系统（或对等实体）表明其身份的行为。为证实其身份的真实性，用户还应在标识的同时提供一种或几种鉴别信息。（2）鉴别是指信息系统利用单一或多重鉴别机制对用户所声称的真实性进行验证的过程。•鉴别信息（1）用户所知道的信息，如口令、密钥等（2）用户所拥有的物品，如硬件令牌等（3）用户的特征，如指纹、虹膜等•典型产品（1）硬件令牌（2）CA数字证书等级保护方案中涉及的技术和产品•访问控制访问控制规定了信息系统中主体对客体的操作权限，能够有效防止对资源的非授权使用。（1）物理访问控制：如房间加锁、门禁系统、给设备加锁等（2）网络访问控制：在网络层面，限制网络设备或安全设备可以与哪些设备建立什么样的连接，以及通过网络传输什么样的数据。典型设备如交换机、路由器、防火墙、网络隔离交换产品。（3）主机访问控制：操作系统或数据库的访问控制列表ACL等，需要进行安全配置，或加固使之达到安全操作系统或数据库要求（4）应用访问控制：在应用软件嵌入更细粒度的数据访问控制策略等。等级保护方案中涉及的技术和产品•密码技术对称密钥加密，包括DES、3DES和AES等非对称密钥加密：包括RSA、DSA和ECC等。单向散列函数：包括MD5和SHA等典型产品：网络密码机SSL-VPN主要应用是远程访问、组建企业的内联网等。等级保护方案中涉及的技术和产品•安全审计和监控安全审计是指针对信息系统与安全活动有关的信息进行识别、记录、存储和分析的整个过程。多数网络设备、操作系统和应用软件一般都自带安全审计功能，也有专门的审计和监控工具。典型产品：1.网络安全审计系统2.数据库审计系统3.终端安全审计系统4.运维管理审计系统5.基于网络的入侵检测系统6.基于主机的入侵检测系统7.入侵防御系统IPS等级保护方案中涉及的技术和产品•恶意代码防范典型产品：（1）单机版的防病毒软件（2）网络版的防病毒软件（3）防病毒网关等级保护方案中涉及的技术和产品•备份与恢复技术数据备份（1）完全备份（2）差异备份（3）增量备份系统备份（1）第1级本地备份、本地保存的冷备份（2）第2级本地备份、异地保存的冷备份（3）第3级本地热备份、异地网络备份（4）第4级本地热备份、异地实时灾备中心典型产品：双机热备、单机容错、SAN存储备份系统等。系统安全保护环境主要产品类型及功能2.25定级系统安全保护环境主要产品类型及功能（续2）等级保护三级安全产品清单•网络安全–防火墙、IPS、UTM、流控、防病毒网关、网闸–IDS、网络行为审计•主机安全–PKI/PMI系统数字证书生物（指纹）识别–操作系统增强软件、网络版防病毒、终端监控审计•应用安全–反垃圾邮件、网页防篡改、WAF、数据库审计、运维审计系统•数据安全–文档安全、移动介质管理、SSLVPN、IP加密机•安全管理–SOC等级保护实施流程测评准备方案编制现场测评报告总结系统定级备案安全建设整改等级测评监督检查等级保护实施流程系统定级备案安全建设整改等级测评监督检查项目启动成立项目组发放客户情况调查表系统环境及威胁描述主要业务应用描述业务流程描述业务信息流描述系统基础网络架构描述安全保障技术体系描述安全保障管理体系描述编制等保测评技术方案编制等保测评进度安全核查表单准备安全测试工具准备现场测评授权书测评准备等级保护实施流程方案编制分析确定被测试系统的对象与指标使用漏洞扫描器、渗透测试工具集等测试工具，网络拓扑内外部，及边界等位置进行测试根据具体测评指标结合到测评对象上，构成具体测评单元测评人员测评活动的具体指导，为测评工具、测评方法、操作步奏的详细描述项目概述、测评对象、测评指标、测评工具的接入点、单项测试实施、系统测评实施以及配套的测评实施手册等系统定级备案安全建设整改等级测评监督检查等级保护实施流程系统定级备案安全建设整改等级测评监督检查现场测评访谈文档审查配置检查工具测试实地查看召开测评现场首次会议，接收测评工作，交流测评信息测评双方现场确认测评所需的各种资源被测单位签署现场测评授权委托书召开测评现场结束会，确认测评过程的问题，对漏掉的和改进的信息进一步验证和补充测评归还测评过程中借阅的所有文档资料，并由被测单位文档资料提供者签字确认等级保护实施流程报告总结结合具体测评对象，客观、准确的分析测评证据，形成初步单项测评结果，是形成等级测评结论的基础分别统计不同测评对象的单项测评结果，并以表格的形式逐一列出针对单项测评的不符合项，采取逐条判定的方法，从安全控制间、层面间和区域间触发考虑，给出系统整体测评的具体结果和结论，并对系统结构进行整体安全测评在单项测评结果汇总分析和系统整体测评分析的基础上，找出系统保护现状与等级保护基本要求之间的差距，并形成等级测评结论结果汇总分析、系统整体测评分析、综合结论、改进建议和附录等系统定级备案安全建设整改等级测评监督检查等级保护实施流程系统定级备案安全建设整改等级测评监督检查公安机关的监督检查开展等级保护工作收益•有效防范日益猖狂的信息安全攻击–等级保护从物理安全、网络安全、主机安全等10个层面提出安全保护要求，有效降低了安全风险•参照国家标准开展建设，规避责任风险–等级保护是国家在信息安全领域的重要标准，参照其建设后再发生安全事件将大大减轻责任•突出信息安全管理工作重要性–将信息化维护人员的工作重要性予以突出，引起单位领导重视结束谢谢！