1、目录,等级保护基本知识介绍等级保护(四级)基本要求的具体介绍,等级保护基本知识介绍,等级保护的政策依据等级保护的关键环节(流程)等级保护的相关标准基本要求核心思想解读,等级保护政策依据,2017年6月1号实施的中华人民共和国网络安全法网络安全法规定,我国实行网络安全等级保护制度。网络安全等级保护制度是国家信息安全保障工作的基本制度、基本国策和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。,等级保护政策依据,国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号 )公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发的关于信息
2、安全等级保护工作的实施意见(公通字200466号)公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合下发的信息安全等级保护管理办法(试行)(公通字20067号)关于开展全国重要信息系统安全等级保护定级工作的通知(公信安2007861号)关于印发信息安全等级保护管理办法的通知(公通字200743号),基础类计算机信息系统安全保护等级划分准则GB 17859-1999信息系统安全等级保护实施指南GB/T CCCC-CCCC 报批稿 应用类定级:信息系统安全保护等级定级指南GB/T 22240-2008 建设:信息系统安全等级保护基本要求GB/T 22239-2008 信息系统通用安全技
3、术要求GB/T 20271-2006 信息系统等级保护安全设计技术要求 测评:信息系统安全等级保护测评要求 GB/T DDDD-DDDD 报批稿 信息系统安全等级保护测评过程指南 管理:信息系统安全管理要求GB/T 20269-2006 信息系统安全工程管理要求GB/T 20282-2006,等级保护相关标准,等级保护政策依据,公通字200743号文五个等级的基本情况第一级:运营、使用单位根据国家管理规范、技术标准自主防护。第二级:运营、使用单位根据国家管理规范、技术标准自主防护。国家有关部门进行指导。第三级:自主防护。国家有关部门进行监督、检查。第四级:运营、使用单位根据国家管理规范、技术标
4、准和业务专门需求进行保护,国家有关部门进行强制监督、检查。第五级:(略)。,等级保护政策依据,公通字200743号文测评周期要求第三级信息系统应当每年至少进行一次等级测评;第四级信息系统应当每半年至少进行一次等级测评;第五级信息系统应当依据特殊安全需求进行等级测评。自查周期要求第三级信息系统应当每年至少进行一次自查;第四级信息系统应当每半年至少进行一次自查;第五级信息系统应当依据特殊安全需求进行自查。根据测评、自查情况制定整改方案并实施。,等级保护政策依据,公通字200743号文检查周期要求受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三
5、级信息系统每年至少检查一次;对第四级信息系统每半年至少检查一次。对第五级信息系统,应当由国家指定的专门部门进行检查。,等级保护政策依据,公通字200743号文等级保护的检查内容(一)信息系统安全需求是否发生变化,原定保护等级是否准确;(二)运营、使用单位安全管理制度、措施的落实情况;(三)运营、使用单位及其主管部门对信息系统安全状况的检查情况;(四)系统安全等级测评是否符合要求;(五)信息安全产品使用是否符合要求; (六)信息系统安全整改情况;(七)备案材料与运营、使用单位、信息系统的符合情况;(八)其他应当进行监督检查的事项。,等级保护政策依据,公通字200743号文第三级以上信息系统应当选
6、择使用符合以下条件的信息安全产品:(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;(二)产品的核心技术、关键部件具有我国自主知识产权;(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录; (四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;(五)对国家安全、社会秩序、公共利益不构成危害;(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。,等级保护政策依据,公通字200743号文第三级以上信息系统的安全测评机构应具备的条件:(一)在中华人民共和国境内注册成立(港澳台地
7、区除外);(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);(三)从事相关检测评估工作两年以上,无违法记录;(四)工作人员仅限于中国公民;(五)法人及主要业务、技术人员无犯罪记录;(六)使用的技术装备、设施应当符合本办法对信息安全产品的要求; (七)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;(八)对国家安全、社会秩序、公共利益不构成威胁。,等级保护基本安全要求,某级系统,物理安全,技术要求,管理要求,基本要求,网络安全,主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,等级保护工作的主
8、要流程,一 是定级。二 是备案(二级以上信息系统)。三 是系统建设、整改(按条件选择产品)。四 是开展等级测评(按条件选择测评机构)。五 是信息安全监管部门定期开展监督检查,信息系统的定级,各级系统的保护要求差异,一级系统,二级系统,三级系统,四级系统,防护,防护/监测,策略/防护/监测/恢复,策略/防护/监测/恢复/响应,各级系统的保护要求差异,一级系统,二级系统,三级系统,四级系统,通信/边界(基本),通信/边界/内部(关键设备),通信/边界/内部(主要设备),通信/边界/内部/基础设施(所有设备),各级系统的保护要求差异,一级系统,二级系统,三级系统,四级系统,计划和跟踪(主要制度),计
9、划和跟踪(主要制度),良好定义(管理活动制度化),持续改进(管理活动制度化/及时改进),等级保护(四级)基本要求的具体介绍,安全建设要求主要内容,技术要求物理安全网络安全主机安全应用安全数据安全,管理要求安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理,第三级与第四级安全功能对比,四级系统的控制类及控制项,不同级别系统控制点的差异,不同级别系统要求项的差异,物理安全,物理安全,(一)物理位置选择,物理安全,(二)物理访问控制,物理安全,(三)防盗窃和防破坏,物理安全,(四)防雷击,物理安全,(五)防火,物理安全,(六)防水和防潮,物理安全,(七)防静电,物理安全,(八)温湿度控制,
10、物理安全,(九)电力供应,物理安全,(十)电磁防护,网络安全,(一)结构安全,网络安全,(二)访问控制,网络安全,(三)安全审计,网络安全,(四)边界完整性检查,网络安全,(五)入侵防范,网络安全,(六)恶意代码防范,网络安全,(七)网络设备防护,网络安全,主机安全,(一)身份鉴别,主机安全,(二)安全标记,主机安全,(三)访问控制,主机安全,(四)可信路径,主机安全,(五)安全审计,主机安全,(六)剩余信息保护,主机安全,(七)入侵防范,主机安全,(八)恶意代码防范,主机安全,(九)资源控制,主机安全,应用安全,(一)身份鉴别,应用安全,(二)安全标记,应用安全,(三)访问控制,应用安全,(
11、四)可信路径,应用安全,(五)安全审计,应用安全,(六)剩余信息保护,应用安全,(七)通信完整性 、(八)通信保密性 、(九)抗抵赖,应用安全,(十)软件容错,应用安全,(十一)资源控制,应用安全,数据安全,(一)数据完整性,数据安全,(二)数据保密性,数据安全,(三)备份和恢复,数据安全,安全管理制度,安全管理机构 -1,安全管理机构 -2,人员管理,系统建设管理 -1,系统建设管理 -2,系统建设管理 -3,系统建设管理 -4,系统运维管理 -1,系统运维管理 -2,系统运维管理 -3,系统运维管理 -4,系统运维管理 -5,系统运维管理 -6,系统运维管理 -7,系统运维管理 -8,系统运维管理 -9,系统建设总体流程,谢 谢 !,
