信息安全等级保护测评工作介绍(PPT-89页)

1信息安全等级保护测评工作介绍国网电力科学研究院/电力行业信息安全等级保护第三测评实验室二〇一五年四月2目录1信息安全等级保护概述3信息安全等级测评内容介绍2信息安全等级测评概述4现场工作安排5附录信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，是信息安全保障工作中国家意志的体现。什么是信息安全等级保护一、信息安全等级保护概述1994年，《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。1999年，强制性国家标准－《计算机信息系统安全保护等级划分准则》GB-17859）。2003年，中办、国办转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2004年，公安部、国家保密局、国家密码管理局、国信办联合印发了《关于信息安全等级保护工作的实施意见》（66号文件）2006年1月，公安部、国家保密局、国家密码管理局、国信办联合制定了《信息安全等级保护管理办法》（公通字[2006]7号）2011年9月，国家电监会印发《关于组织开展电力行业重要管理信息安全等级保护测评试点工作的通知》，要求统一组织开展重要管理信息系统试点测评。同年，《电力行业信息系统安全等级保护基本要求》出台，至今已更新至V11.0相关法律法规一、信息安全等级保护概述安全保护等级的划分等级对象侵害客体侵害程度监管强度第一级合法权益损害自主保护合法权益严重损害第二级一般系统社会秩序和公共利益损害指导社会秩序和公共利益严重损害第三级国家安全损害监督检查社会秩序和公共利益特别严重损害第四级重要系统国家安全严重损害强制监督检查第五级极端重要系统国家安全特别严重损害专门监督检查一、信息安全等级保护概述（一）定级原则坚持“自主定级、自主保护”与国家监管相结合的原则（二）确定需要定级的系统（1）省辖市以上党政机关的重要网站和办公信息系统；（2）电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统；（3）电力、铁路、银行、海关、税务、民航、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统；（4）涉及国家秘密的信息系统。等级保护等级的划分一、信息安全等级保护概述7电力行业系统定级情况2010年，随着信息化SG186工程竣工，公司信息系统由三级向两级并逐渐向一级部署过渡，系统集中集成程度大幅提高，智能电网对客户服务安全交互服务能力要求更高，按照公安部和电监会要求，2012年2月，按照营销系统和ERP系统级别由2级调整为3级、变电站二次系统不再作为独立系统定级、新建智能电网调度技术支持系统作为整体统一定级的原则，重新梳理定级984套信息系统，管理信息系统调整为545套，其中3级系统127套，2级系统418套，电力二次系统调整为4级系统31套，3级系统379套。国家能源局印发《关于对国家电网公司信息系统安全等级保护定级调整的批复》（信息办函[2012]90号）同意公司定级调整结果。公司管理信息系统定级表定级对象系统级别总部区域（省）地市内部门户（网站）系统2对外门户（网站）系统32邮件系统2公司广域网(SGInet)2ERP管理系统3财务（资金）管理系统32营销管理系统32电力市场交易系统3无生产管理信息系统2协同办公系统（办公自动化系统）32人力资源管理系统2物资管理系统2项目管理系统2综合管理系统2公司电力二次系统定级表定级对象系统级别总部区域(省)地市1.智能电网调度技术支持系统实时监控与预警4无2.智能电网调度技术支持系统调度计划与安全校核3无3.智能电网调度技术支持系统（地调）无34.通信设备资源管理系统3无5.通信设备网管系统3无6.调度自动化系统无37.能量管理系统4无8.广域相量测量系统3无9.电能量计量系统3无10.电力调度数据网络3无11.调度交易计划系统3无12.电网动态预警系统3无13.其他投入运行系统3无一、信息安全等级保护概述初步确定信息系统等级1、确定定级对象2、确定业务信息安全受到破坏时所侵害的客体5、确定系统服务安全受到破坏时所侵害的客体3、综合评定对客体的侵害程度6、综合评定对客体的侵害程度依据表1依据表2业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级7、系统服务安全等级4、业务信息安全等级8、定级对象的安全保护等级表1表2一、信息安全等级保护概述公安机关负责信息安全等级保护工作的监督、检查、指导；国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导；国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导；涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理；国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。等级保护工作的职责分工一、信息安全等级保护概述1、定级与审批；2、等级评审；3、备案；4、备案管理；5、系统建设；6、等级测评；7、自查自纠；8、监督检查。等级保护工作的主要流程局部调整信息系统定级总体安全规划安全设计与实施安全运行维护信息系统终止备案管理监督检查等级变更等级测评等级测评等级测评一、信息安全等级保护概述11等级保护技术标准•《信息安全等级保护管理办法》公通字[2007]43号•《计算机信息系统安全保护等级划分准则》（GB17859-1999）•《信息安全等级保护实施指南》（GB/T25058-2010）•《信息安全等级保护定级指南》（GB/T22240-2008）•《信息安全等级保护基本要求》（GB/T22239-2008）•《信息安全等级保护测评要求》（GB/T28448-2012）•《信息系统安全等级保护测评过程指南》（GB/T28449-2012）•《信息安全技术网络基础安全技术要求》（GB/T20270-2006）•《信息安全技术信息系统通用安全技术要求》GB/T20271-2006）•《信息安全技术操作系统安全技术要求》（GB/T20272-2006）•《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）一、信息安全等级保护概述•是系统安全保护、等级测评的一个基本“标尺”，同样级别的系统使用统一的“标尺”来衡量，保证权威性，是一个达标线；•每个级别的信息系统按照基本要求进行保护后，信息系统具有相应等级的基本安全保护能力，达到一种基本的安全状态；•是每个级别信息系统进行安全保护工作的一个基本出发点，更加贴切的保护可以通过需求分析对基本要求进行补充，参考其他有关等级保护或安全方面的标准来实现；《等级保护基本要求》的定位一、信息安全等级保护概述《基本要求》的组织方式某级系统类技术要求管理要求基本要求类控制点要求项控制点具体要求………………………………•技术和管理大类各有5个子类•分为技术要求和管理要求两大类•根据等级提高，控制点逐级增多•根据等级提高，要求项逐级增多•最基础的测评单元，测评作业指导书的编写依据一、信息安全等级保护概述三类要求之间的关系通用安全保护类要求（G）业务信息安全类（S）系统服务保证类（A）安全要求一、信息安全等级保护概述安全要求类层面一级二级三级四级技术要求物理安全9193233网络安全9183332主机安全6193236应用安全7193136数据安全及备份恢复24811技术要求合计3379136148管理要求安全管理制度371114安全管理机构492020人员安全管理7111618系统建设管理20284548系统运维管理18416270管理要求合计5296154170等级保护具体测评准则—要求项数量的逐级增加一、信息安全等级保护概述16依据《电力行业信息系统安全等级保护基本要求》（征求意见稿）针对物理安全、网络安全、主机安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等10个方面开展测评。三级系统测评指标数283个，二级系统测评指标数186个。电力行业测评标准与国标对比管理信息系统工作要求与国家标准对照表要求类二级系统三级系统国家标准行标需求国家标准行标需求物理安全19303239网络安全18333344主机系统安全19373253应用安全19293140数据安全4588合计791341361841.物理重点增加机房物理位置、机房防火和机房供电要求。2.网络重点增加内外网隔离、终端接入和网络设备安全防护的要求。3.主机操作系统重点增加身份认证强度、访问控制细度和入侵攻击防范的要求。主机数据库重点增加身份认证强度、访问控制细度和入侵攻击防范的要求。4.应用系统增加统一门户认证、匿名访问控制、默认账户管理和软件容错性要求。5.数据层面继承国家标准防护要求。一、信息安全等级保护概述等级保护重点要求项例举-物理安全应对介质分类标识，存储在介质库或档案室中；（二级）应将设备或主要部件进行固定，并设置明显的不易除去的标记；（二级）水管安装，不得穿过机房屋顶和活动地板下；（二级）应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；（三级）应利用光、电等技术设置机房防盗报警系统；（三级）应设置防雷保安器，防止感应雷；（三级）机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；（三级）应设置冗余或并行的电力电缆线路为计算机系统供电；（三级）应建立备用供电系统；（三级）应对关键设备和磁介质实施电磁屏蔽。（三级）一、信息安全等级保护概述等级保护重点要求项例举-网络安全应在网络边界部署访问控制设备，启用访问控制功能；（二级）审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；（二级）应对网络设备的管理员登录地址进行限制；（二级）应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；（三级）应能够根据记录数据进行分析，并生成审计报表；（三级）应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；（三级）当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警；（三级）应在网络边界处对恶意代码进行检测和清除；（三级）应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。（三级）一、信息安全等级保护概述等级保护重点要求项例举-主机安全操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；（二级）应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；（二级）应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；（二级）应对重要信息资源设置敏感标记；（三级）应能够根据记录数据进行分析，并生成审计报表；（三级）应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除；（三级）主机防恶意代码产品应具有与网络防恶意代码产品不同的