信息系统安全等级保护基本要求培训讲义

信息系统安全等级保护基本要求培训教材胡斌高级测评师广东省南方信息安全等级保护服务中心广州竞远系统网络技术有限公司广州竞远系统网络技术有限公司广东省南方信息安全等级保护服务中心胡斌©2012-2020Chinassc,Allrightsreserved.目的通过本课程的学习，能够了解标准的结构特点、描述方式和内容形成的技术思路，从而能够正确理解各等级的标准要求并掌握不同等级要求的差异，为正确运用标准打下良好基础。广州竞远系统网络技术有限公司广东省南方信息安全等级保护服务中心胡斌©2012-2020Chinassc,Allrightsreserved.培训议程第一部分相关基础知识介绍第二部分精读《基本要求》广州竞远系统网络技术有限公司广东省南方信息安全等级保护服务中心胡斌©2012-2020Chinassc,Allrightsreserved.第一部分相关基础知识介绍标准名称的解析标准的适用性范围安全等级保护标准体系标准在等保制度中的地位广州竞远系统网络技术有限公司广东省南方信息安全等级保护服务中心胡斌©2012-2020Chinassc,Allrightsreserved.标准名称解析GB/T22239-2008信息系统安全等级保护基本要求广州竞远系统网络技术有限公司广东省南方信息安全等级保护服务中心胡斌©2012-2020Chinassc,Allrightsreserved.“信息系统”信息系统信息系统是由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。信息系统的五个基本功能输入、存储、处理、输出和控制。广州竞远系统网络技术有限公司广东省南方信息安全等级保护服务中心胡斌©2012-2020Chinassc,Allrightsreserved.二级三级四级五级一级自主保护级指导保护级监督保护级强制保护级专控保护级“安全等级保护”广州竞远系统网络技术有限公司广东省南方信息安全等级保护服务中心胡斌©2012-2020Chinassc,Allrightsreserved.“基本要求”意味着这些要求针对具体等级的信息系统来讲，是必须达到的，不可以向下调整的，作用等同于基线（baseline）。广州竞远系统网络技术有限公司广东省南方信息安全等级保护服务中心胡斌©2012-2020Chinassc,Allrightsreserved.本标准的适用范围第一至四级的信息系统在基本要求中对安全保护能力给出了具体的指标，适用本标准。第五级信息系统是涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，国家将指定专门部门或者专门机构对其信息安全等级保护工作进行强制监督、检查,本标准不适用。广州竞远系统网络技术有限公司广东省南方信息安全等级保护服务中心胡斌©2012-2020Chinassc,Allrightsreserved.本标准的适用范围《基本要求》适应于非涉密信息系统，对于涉及国家秘密的信息系统，应按照国家保密工作部门的相关规定和标准进行保护。对于涉及密码的使用和管理，应按照国家密码管理的相关规定和标准实施，本标准不做强制要求。广州竞远系统网络技术有限公司广东省南方信息安全等级保护服务中心胡斌©2012-2020Chinassc,Allrightsreserved.本标准的适用范围安全保护检测评估监督检查运营、使用单位（安全服务商）信息系统安全等级保护基本要求主管部门、运营、使用单位（安全评估机构）信息安全职能监管部门广州竞远系统网络技术有限公司广东省南方信息安全等级保护服务中心胡斌©2012-2020Chinassc,Allrightsreserved.本标准的适用范围运营、使用单位/安全服务商实施信息系统安全等级保护的依据配套使用《信息系统安全等级保护实施指南》主管部门、运营、使用单位/安全评估机构实施信息系统安全等级测评的依据配套使用《信息系统安全等级保护测评准则》信息安全职能监管部门实施信息系统安全等级保护监督检查的依据配套使用《信息系统安全等级保护监督检查指南》广州竞远系统网络技术有限公司广东省南方信息安全等级保护服务中心胡斌©2012-2020Chinassc,Allrightsreserved.安全等级保护标准体系公安部汇同国家有关部门制定了信息安全等级保护工作需要的50多个标准规范，形成了较为完整的信息安全等级保护标准体系。广州竞远系统网络技术有限公司广东省南方信息安全等级保护服务中心胡斌©2012-2020Chinassc,Allrightsreserved.相关标准基础类标准《计算机信息系统安全保护等级划分准则》[GBl7859-1999]应用类标准《信息系统通用安全技术要求》[GB/T20271-2006]《信息系统物理安全技术要求》[GB/T21052-2007]《网络基础安全技术要求》[GB/T20270-2006]管理类标准《信息系统安全管理要求》[GB/T20269-2006]《信息系统安全工程管理要求》[GB/T20282-2006]广州竞远系统网络技术有限公司广东省南方信息安全等级保护服务中心胡斌©2012-2020Chinassc,Allrightsreserved.相关标准产品类标准《操作系统安全技术要求》[GB/T20272-2006]《数据库管理系统安全技术要求》[GB/T20273-2006]《网络端设备隔离部件技术要求》[GB/T20279-2006]《网络脆弱性扫描产品技术要求》[GB/T20278-2006]《防火墙安全技术要求》[GA/T683-2007]……行业细则《证券期货业信息系统安全等级保护基本要求》[JRT0060-2010]《南方电网管理信息系统安全等级保护标准第2分册基本要求》[Q/CSG11810-2009]……广州竞远系统网络技术有限公司广东省南方信息安全等级保护服务中心胡斌©2012-2020Chinassc,Allrightsreserved.《基本要求》与其他标准的关系GB17859-1999是基础性标准，《基本要求》进一步细化和扩展，是根据现有技术的发展水平，提出和规定的不同安全保护等级信息系统的最低保护要求。《定级指南》确定出系统等级以及业务信息安全性等级和业务服务保证性等级后，需要按照相应等级，根据《基本要求》选择相应等级的安全保护要求进行系统建设实施。《测评要求》是依据《基本要求》检验系统的各项保护措施是否达到相应等级的基本要求所规定的保护能力。广州竞远系统网络技术有限公司广东省南方信息安全等级保护服务中心胡斌©2012-2020Chinassc,Allrightsreserved.标准在等保制度中的地位是系统安全保护、等级测评的一个基本“标尺”，同样级别的系统使用统一的“标尺”来衡量，保证权威性，是一个达标线；每个级别的信息系统按照基本要求进行保护后，信息系统具有相应等级的基本安全保护能力，达到一种基本的安全状态;是每个级别信息系统进行安全保护工作的一个基本出发点，更加贴切的保护可以通过需求分析对基本要求进行补充，参考其他有关等级保护或安全方面的标准来实现;广州竞远系统网络技术有限公司广东省南方信息安全等级保护服务中心胡斌©2012-2020Chinassc,Allrightsreserved.标准在等保制度中的地位某级信息系统基本保护精确保护基本要求保护基本要求测评补充的安全措施GB17859-1999通用技术要求安全管理要求高级别的基本要求等级保护其他标准安全方面相关标准等等基本保护特殊需求补充措施广州竞远系统网络技术有限公司广东省南方信息安全等级保护服务中心胡斌©2012-2020Chinassc,Allrightsreserved.第二部分精读《基本要求》引言文件章节结构基本要求的框架结构基本要求的思路技术要求的三种类型及关系基本要求的选择和使用基本要求项的详细解读广州竞远系统网络技术有限公司广东省南方信息安全等级保护服务中心胡斌©2012-2020Chinassc,Allrightsreserved.引言本标准的配套标准：GB17859-1999【基础性标准】GB/T20269-2006【细化标准】GB/T20270-2006【细化标准】GB/T20271-2006【细化标准】在本标准文本中，黑体字表示较低等级中没有出现或增强的要求。广州竞远系统网络技术有限公司广东省南方信息安全等级保护服务中心胡斌©2012-2020Chinassc,Allrightsreserved.文件章节结构由9个章节2个附录构成1.范围2.规范性引用文件3.术语和定义4.信息系统安全等级保护概述5.5、6、7、8、9基本要求附录A关于信息系统整体安全保护能力的要求附录B基本安全要求的选择和使用广州竞远系统网络技术有限公司广东省南方信息安全等级保护服务中心胡斌©2012-2020Chinassc,Allrightsreserved.基本要求的框架某级系统类技术要求管理要求基本要求类控制点具体要求控制点具体要求………………………………广州竞远系统网络技术有限公司广东省南方信息安全等级保护服务中心胡斌©2012-2020Chinassc,Allrightsreserved.基本要求的框架7第三级基本要求7.1技术要求7.1.1物理安全7.1.1.1物理位置的选择本项要求包括a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。。。。。。。类控制点具体要求广州竞远系统网络技术有限公司广东省南方信息安全等级保护服务中心胡斌©2012-2020Chinassc,Allrightsreserved.基本要求的框架某级系统物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理广州竞远系统网络技术有限公司广东省南方信息安全等级保护服务中心胡斌©2012-2020Chinassc,Allrightsreserved.物理安全层面控制点物理位置的选择物理安全物理访问控制防盗窃和防破坏防雷击防火防水和防潮温湿度控制电力供应电磁防护防静电广州竞远系统网络技术有限公司广东省南方信息安全等级保护服务中心胡斌©2012-2020Chinassc,Allrightsreserved.网络安全层面控制点结构安全网络安全访问控制安全审计边界完整性检查入侵防范恶意代码防范网络设备防护广州竞远系统网络技术有限公司广东省南方信息安全等级保护服务中心胡斌©2012-2020Chinassc,Allrightsreserved.主机安全层面控制点身份鉴别主机安全安全标记访问控制可信路径安全审计剩余信息保护入侵防范恶意代码防范资源控制广州竞远系统网络技术有限公司广东省南方信息安全等级保护服务中心胡斌©2012-2020Chinassc,Allrightsreserved.应用安全层面控制点身份鉴别应用安全安全标记访问控制可信路径安全审计剩余信息保护通信完整性通信保密性抗抵赖软件容错资源控制广州竞远系统网络技术有限公司广东省南方信息安全等级保护服务中心胡斌©2012-2020Chinassc,Allrightsreserved.数据安全层面控制点数据完整性数据安全与备份恢复数据保密性备份与恢复广州竞远系统网络技术有限公司广东省南方信息安全等级保护服务中心胡斌©2012-2020Chinassc,Allrightsreserved.安全管理制度层面控制点的逐级变化管理制度安全管理制度制订和发布评审和修订广州竞远系统网络技术有限公司广东省南方信息安全等级保护服务中心胡斌©2012-2020Chinassc,Allrightsreserved.安全管理机构层面控制点岗位设置安全管理机构人员配备授权和审批沟通与合作审核和检查广州竞远系统网络技术有限公司广东省南方信息安