等级保护基本要求培训讲解

《等级保护基本要求培训讲解》由会员分享，可在线阅读，更多相关《等级保护基本要求培训讲解（94页珍藏版）》请在金锄头文库上搜索。

1、广东计安信息网络培训中心 信息系统安全 等级保护基本要求 付欲华 目录 等级保护等级 等级保护重要标准 GB 17859-1999 计算机信息系统 安全保护等级划分准则 GB/T 222392008 信息系统安全等级保护基本要求 GB/T 222402008 信息系统安全等级保护定级指南 信息系统安全等级保护测评过程指南（国标报批稿） 信息系统安全等级保护测评要求（国标报批稿） GB/T 25058-2010信息系统安全等级保护实施指南 GB/T 25070-2010信息系统等级保护安全设计技术要求 等级保护相关标准 GA/T 708-2007 信息系统安全等级保护体系框架 GA/T 7092

2、007 信息系统安全等级保护基本模型 GA/T 710-2007 信息系统安全等级保护基本配置 GA/T 711-2007 应用软件系统安全等级保护通用技术指南 GA/T 7122007 应用软件系统安全等级保护通用测试指南 GA/T 713-2007 信息系统安全管理测评 GB/T 180182007 路由器安全技术要求 GB/T 202692006 信息系统安全管理要求 GB/T 202702006 网络基础安全技术要求 GB/T 202712006 信息系统安全通用技术要求 GB/T 202722006 操作系统安全技术要求 GB/T 202732006 数据库管理系统安全技术要求 GB

3、/T 202752006 入侵检测系统技术要求和测试评价方法 GB/T 202782006 网络脆弱性扫描产品技术要求 GB/T 202792006 网络和终端设备隔离部件安全技术要求 GB/T 202812006 防火墙技术要求和测试评价方法 GB/T 202822006 信息系统安全工程管理要求 GB/T 209792007 虹膜识别系统技术要求 GB/T 209842007 信息安全风险评估规范 GB/T 209882007 信息系统灾难恢复规范 GB/T 210282007 服务器安全技术要求 GB/T 210522007 信息系统物理安全技术要求 GB/T 210532007 公钥基

4、础设施 PKI系统安全等级保护技术要求 GB/Z 209852007 信息安全事件管理指南 YD/T GB/Z 209862007 信息安全事件分类分级指南 定级流程 G=MAX(S,A) SA 安全保护和系统定级的关系 安全等级信息系统保护要求的组合 第一级S1A1G1 第二级S1A2G2，S2A2G2，S2A1G2 第三级S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3 第四级S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4 目录 等级保护基本要求作用 管理办法”等级划分和保护“第八条 信息系统运营、使用单位依据本办法和相

5、 关技术标准对信息系统进行保护，国家有 关信息安全职能部门对其信息安全等级保 护工作进行监督管理。 管理办法”等级保护的实施与管理“第十二条 在信息系统建设过程中，运营、使用单位 应当按照计算机信息系统安全保护等级 划分准则（GB17859-1999）、信息 系统安全等级保护基本要求等技术标准 ，参照等技术标准同步建设符合该等 级要求的信息安全设施。 管理办法”等级保护的实施与管理“第十三条 运营、使用单位应当参照信息安全技术 信息系统安全管理要求（GB/T20269- 2006）、信息安全技术信息系统安全工 程管理要求（GB/T20282-2006）、信 息系统安全等级保护基本要求等管理规

6、范，制定并落实符合本系统安全保护等级 要求的安全管理制度。 管理办法”等级保护的实施与管理“第十四条 信息系统建设完成后，运营、使用单位或 者其主管部门应当选择符合本办法规定条 件的测评单位，依据信息系统安全等级 保护测评要求等技术标准，定期对信息 系统安全等级状况开展等级测评。第三级 信息系统应当每年至少进行一次等级测评 ，第四级信息系统应当每半年至少进行一 次等级测评，第五级信息系统应当依据特 殊安全需求进行等级测评。 管理办法”等级保护的实施与管理“第十四条 信息系统运营、使用单位及其主管部门应 当定期对信息系统安全状况、安全保护制 度及措施的落实情况进行自查。第三级信 息系统应当每年至

7、少进行一次自查，第四 级信息系统应当每半年至少进行一次自查 ，第五级信息系统应当依据特殊安全需求 进行自查。 管理办法”等级保护的实施与管理“第十四条 经测评或者自查，信息系统安全状况未达 到安全保护等级要求的，运营、使用单位 应当制定方案进行整改。 技术标准和管理规范的作用 技术标准和管理规范 信息系统定级 信息系统安全建设或改建 安全状况达到等级保护要求的信息系统 基本要求的定位 是系统安全保护、等级测评的一个基本“标尺”， 同样级别的系统使用统一的“标尺”来衡量，保证 权威性，是一个达标线； 每个级别的信息系统按照基本要求进行保护后， 信息系统具有相应等级的基本安全保护能力，达 到一种基

8、本的安全状态; 是每个级别信息系统进行安全保护工作的一个基 本出发点，更加贴切的保护可以通过需求分析对 基本要求进行补充，参考其他有关等级保护或安 全方面的标准来实现; 基本要求和其他标准关系 等级保护基本要求效果 基本要求的定位 某级信息系统基本保护精确保护 基本要求 保护 基本要求 测评 补充的安全措施 GB17859-1999 通用技术要求 安全管理要求 高级别的基本要求 等级保护其他标准 安全方面相关标准 等等 基本保护 特殊需求 补充措施 目录 基本要求基本思路 不同级别的安全保护能力要求 第一级安全保护能力 应能够防护系统免受来自个人的、拥有很少资源（如利用公开可获取 的工具等）的

9、威胁源发起的恶意攻击、一般的自然灾难（灾难发生的 强度弱、持续时间很短等）以及其他相当危害程度的威胁（无意失误 、技术故障等）所造成的关键资源损害，在系统遭到损害后，能够恢 复部分功能。 第二级安全保护能力 应能够防护系统免受来自外部小型组织的（如自发的三两人组成的黑客组织） 、拥有少量资源（如个别人员能力、公开可获或特定开发的工具等）的威胁源 发起的恶意攻击、一般的自然灾难（灾难发生的强度一般、持续时间短、覆盖 范围小等）以及其他相当危害程度的威胁（无意失误、技术故障等）所造成的 重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能 够在一段时间内恢复部分功能。 不同级别的安

10、全保护能力要求 第三级安全保护能力 应能够在统一安全策略下防护系统免受来自外部有组织的团体（如一个 商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员能力、计 算能力等）的威胁源发起的恶意攻击、较为严重的自然灾难（灾难发生 的强度较大、持续时间较长、覆盖范围较广等）以及其他相当危害程度 的威胁（内部人员的恶意威胁、无意失误、较严重的技术故障等）所造 成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后 ，能够较快恢复绝大部分功能。 第四级安全保护能力 应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、 拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难（灾难发生的 强

11、度大、持续时间长、覆盖范围广等）以及其他相当危害程度的威胁（ 内部人员的恶意威胁、无意失误、严重的技术故障等）所造成的资源损 害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够迅速恢复 所有功能。 各个要素之间的关系 安全保护能力 基本安全要求 每个等级的信息系统 基本技术措施基本管理措施 具备 包含包含 满足满足 实现 基本要求核心思路 某级系统 技术要求管理要求 基本要求 建立安全技术体系 建立安全管理体系 具有某级安全保护能力的系统 各级系统的保护要求差异（宏观） 安全保护模型PPDRR Protection防护 Policy Detection 策略 检测 Response 响应

12、Recovery 恢复 各级系统的保护要求差异（宏观） 一级系统 二级系统 三级系统 四级系统 防护 防护/监测 策略/防护/监测/恢复 策略/防护/监测/恢复/响应 各级系统的保护要求差异（宏观） 成功的完成业务 信息保障 人 技术 操作 防御网络与 基础设施 防御 飞地 边界 防御 计算 环境 支撑 性基 础设 施 安全保护模型IATF 各级系统的保护要求差异（宏观） 一级系统 二级系统 三级系统 四级系统 通信/边界（基本） 通信/边界/内部（关键设备） 通信/边界/内部（主要设备） 通信/边界/内部/基础设施（所有设备） 能力成熟度模型CMM 各级系统的保护要求差异（宏观） 一级系统

13、二级系统 三级系统 四级系统 计划和跟踪（主要制度） 计划和跟踪（主要制度） 良好定义（管理活动制度化） 持续改进（管理活动制度化/及时改进） 各级系统的保护要求差异（微观） 某级系统 物理安全 技术要求管理要求 基本要求 网络安全 主机安全 应用安全 数据安全 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 目录 基本要求的主要内容 由9个章节2个附录构成 1.适用范围 2.规范性引用文件 3术语和定义 4.等级保护概述 5. 6.7.8.9基本要求 附录A 关于信息系统整体安全保护能力的要求 附录B 基本安全要求的选择和使用 基本要求的组织方式 某级系统 类 技术要求

14、管理要求 基本要求 类 控制点 具体要求 控制点 具体要求 基本要求举例 技术要求 网络安全（类） 6.1.2.2 访问控制(G2) （控制点） 本项要求包括: （具体要求） a) 应在网络边界部署访问控制设备,启用访问控制功能; b) 应能根据会话状态信息为数据流提供明确的允许/拒 绝访问的能力,控制粒度为网段级。 c) 应按用户和系统之间的允许访问规则,决定允许或拒 绝用户对受控系统进行资源访问,控制粒度为单个用户; d) 应限制具有拨号访问权限的用户数量。 基本要求举例 技术要求 网络安全（类） 7.1.2.2 访问控制(G3) 本项要求包括: a) 应在网络边界部署访问控制设备,启用访

15、问控制功能; b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力, 控制粒度为端口级; c) 应对进出网络的信息内容进行过滤,实现对应用层 HTTP、FTP、 TELNET、SMTP、POP3等协议命令级的控制; d) 应在会话处于非活跃一定时间或会话结束后终止网络连接; e) 应限制网络最大流量数及网络连接数; f) 重要网段应采取技术手段防止地址欺骗; g) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控 系统进行资源访问,控制粒度为单个用户; h) 应限制具有拨号访问权限的用户数量。 基本要求标注方式 基本要求 技术要求 管理要求 要求标注 业务信息安全类要求（标记为S类） 系统服务保证类要求（标记为A类） 通用安全保护类要求（标记为G类） 三类要求之间的关系 通用安全保护类要求（G） 业务信息安全类（S） 系统服务保证类（A 安全要求 基本要求的选择和使用 一个3级系统,定级结果为S3A2，保护类型应该是 S3A2G3 第1步: 选择标准中3级基本要求的技术要求和管理要求; 第2步: 要求中标注为S类和G类的不变; 标注为A类的要求可以选用2级基本要求中的A类作为基 本要求; 安全保护和系统定级的关系 安全等级级信息系统统保护护要求的组组合 第一级级S1A1G1 第二级级S1A2G2，S2