《信息生产安全等级保护及行业案例分析》由会员分享,可在线阅读,更多相关《信息生产安全等级保护及行业案例分析(79页珍藏版)》请在金锄头文库上搜索。
1、等级保护背景与必要性等级保护背景与必要性1 等级保护整改方案设计等级保护整改方案设计4 行业案例分析行业案例分析5 等级保护安全等级划分等级保护安全等级划分2 等级保护安全建设模型等级保护安全建设模型3 目目 录录 全球网络安全形势严峻,信息安全问题不仅仅是组织自身的事情,也 涉及到国家和社会安全。计算机病毒、黑客攻击、信息泄露、软硬件故 障等信息安全问题给组织单位造成了极大的风险。 互联网空间正日益成为国际竞争的新焦点,在制定本国信息系统安全等 级管理标准之外,美国、英国、德国等欧美发达国家纷纷制定网络安全 国家战略,参与争夺全球网络空间主导权。 美国2009年6月,美军成立网络司令部;日本
2、防卫省在2011年度建立 一支专门的“网络空间防卫队”;韩国在2009年宣布组建“网络司令 部”,2011年韩国国防部提升为独立部队。 全球背景 等级保护背景与必要性等级保护背景与必要性 国际信息安全环境日趋复杂,西方加紧对我国的网络遏制,并加快利用网络 进行意识形态渗透;另一方面,重要信息系统、工业控制系统的安全风险日益 突出,信息安全网络监管的难度和复杂性持续加大。 网络安全成为关系经济平稳运行和安全的重要因素,国民经济对信息网络和 系统的依赖性增强,我国重要信息系统和工业控制系统多使用国外的技术和产 品,这些技术和产品的漏洞不可控,使网络和系统更易受到攻击,致使敏感信 息泄露、系统停运等
3、重大安全事件多发,安全状况堪忧。 信息安全领域存在多头管理现象,相关职能部门涉及多个部委和管理机构, 部门之间职责界定不清晰,管理权限存在交叉,决策权分散,各个相关管理机 构之间缺乏充分的沟通和协调,部门间作用发挥不均。 国内背景 等级保护背景与必要性等级保护背景与必要性 2007年,四部委联合发布的关于开展全国重要信息系统安全等级保 护定级工作的通知(公信安2007861号) 2008年,国家发展和改革委员会、中华人民共和国公安部、国家保密 局关于加强国家电子政务工程建设项目信息安全风险评估工作的通知 (发改高技20082071号) 2009年,四部委联合发布关于推动信息安全等级保护测评体系
4、建设 和开展等级测评工作的通知,要求2010年底前完成测评体系建设,完 成30%第三级(含)以上信息系统的测评工作,2012年底之前完成第三 级(含)以上信息系统的安全建设整改工作。 等级保护背景与必要性等级保护背景与必要性 等保发展状况 等级保护背景与必要性等级保护背景与必要性 中华人民共和国计算机信息中华人民共和国计算机信息 系统安全保护条例系统安全保护条例(1994年 国务院147号令) 国家信息化领导小组关于加国家信息化领导小组关于加 强信息安全保障工作的意见强信息安全保障工作的意见 (中办发200327号) 政策法规政策法规 1994-2005 等保标准体系等保标准体系 2005-2
5、008 测评管理体系测评管理体系 2008-2010 落地实施落地实施 2010- 计算机信息系统安全保护计算机信息系统安全保护等级划分准则等级划分准则GB 17859GB 17859- -19991999 信息系统安全等级保护信息系统安全等级保护实施指南实施指南 定级:定级:信息系统安全保护信息系统安全保护等级定级指南等级定级指南GB/T 22240GB/T 22240- -2008 2008 建设:建设:信息系统安全等级保护信息系统安全等级保护基本要求基本要求GB/T 22239GB/T 22239- -20082008 信息系统通用安全技术要求GB/T 20271-2006 信息系统等级
6、保护安全设计技术要求 测评:测评:信息系统安全等级保护信息系统安全等级保护测评要求测评要求 信息系统安全等级保护测评过程指南 管理:管理:信息系统安全管理要求GB/T 20269-2006 信息系统安全工程管理要求GB/T 20282-2006 网监-网安 测评机构认证(100多家) 测评师培训认证 二级系统:5万多个 三级系统:2万多个 四级系统:100多个 2011年三级系统增加100% 应用类应用类 产品类产品类其他类其他类 等保安全 建设整改 基础类基础类 计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则 信息系统定级:信息系统定级:定级指南GB/T22240-20
7、08 等级保护实施:等级保护实施:实施指南信安字200710号 信息系统安全建设:信息系统安全建设:基本要求GB/T22239-2008 通用安全技术要求 GB/T20271-2006 安全技术设计要求GB/T24856-2009 等10个要求和规范 等级测评:等级测评:测评要求报批稿/测评过程要求报批稿 /GA/T713-2007 风险评估:风险评估:信息安全 风险评估规范 GB/T20984-2007 事件管理:事件管理:信息安全 事件管理指南 GB/Z20985-2007 信息安全事件分类分 级指南 GB/Z20986- 2007 信息系统灾难恢复规 范GB/T20988-2007 操作
8、系统 数据库 网络 PKI 网关 服务器 入侵检测 防火墙 路由器 交换机 其他产品 技术要求技术要求 评估准则评估准则 测试方法测试方法 配置指南配置指南 等级保护背景与必要性等级保护背景与必要性 国家政策、标准解读 国家电网公司2011年完成10多个网省的等级 保护整改任务(二次防护) 省市/行业进展 教育部办公厅关于开展信息系统安全等级保 护工作的通知(教办厅函【2009】80号) 2007年,发布税务信息系统安全等级保护 定级工作指南2010年8月25日,国家税总在 上海组织召开了税务系统信息安全等级保护 上海试点测评阶段总结会。 2010年6月,民政部启动民政部信息系统等 级保护整体
9、规划建设方案 2011年6月,国家广电总局科技司印发了关 于开展广播电视相关信息系统安全等级保护定 级工作的通知出台广播电视相关信息系统 安全等级保护定级指南和广播电视相关信 息系统安全等级保护基本要求行业标准 广电总局 等级保护等级保护 北京市 等级保护背景与必要性等级保护背景与必要性 2011年8月,教育部办公厅关于进一步加强网络信息系统安全保 障工作的通知教办厅函201183号要求各地教育行政部门和学校要 将本单位的信息系统定级结果报主管部门审批,已定级的第三级及以上 信息系统要安全整改方案由教育部组织专家审定,在2012年底前完成首 次安全建设整改和等级测评工作。 2010年4月教育部
10、教育管理信息中心成立“信息安全测评部”,负 责信息安全等级保护测评工作。 2009年11月,教育部办公厅印发关于开展信息系统安全等级保护 工作的通知(教办厅函200980号),决定在教育系统全面开展信息 安全等级保护工作,并由教育部教育管理信息中心具体组织实施。 2013年,四川将推电子学籍,其发布信息的可靠性也将借助安全。 2013年,全国教育系统拟投入600亿,可直接做信息及信息安全建 设。 教育部 等级保护背景与必要性等级保护背景与必要性 2011年11月,卫生部印发了卫生行业信息安全等级保护工作的 指导意见通知,通知明确提出卫生行业信息安全等级保护工作的指导明确提出卫生行业信息安全等级
11、保护工作的指导 意见意见,包括工作目标、工作原则、工作机制、工作任务、工作要求等, 有力促进卫生行业信息安全等级保护工作的开展。 卫生部 等级保护背景与必要性等级保护背景与必要性 一级损害一级损害 二级损害二级损害 三级损害三级损害 四级损害四级损害 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害 ,但不损害国家安全、社会秩序和公共利益。,但不损害国家安全、社会秩序和公共利益。 信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重 损害,或者对社
12、会秩序和公共利益造成损害,但不损害国家安全。损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 信息系统受到破坏后,会对社会秩序和公共利益造成严信息系统受到破坏后,会对社会秩序和公共利益造成严 重损害,或者对国家安全造成损害。重损害,或者对国家安全造成损害。 信息系统受到破坏后,会对社会秩序和公共利益造信息系统受到破坏后,会对社会秩序和公共利益造 成特别严重损害,或者对国家安全造成严重损害。成特别严重损害,或者对国家安全造成严重损害。 五级损害五级损害 信息系统受到破坏后,会对国家安全信息系统受到破坏后,会对国家安全 造成特别严重损害。造成特别严重损害。 等级保护背景与必要性等级保护背
13、景与必要性 信息的损害等级 威胁需求 标号威胁描述备注 T2-1. 雷击、地震和台风等自然灾难 T2-2. 水患和火灾等灾害 T2-3. 高温、低温、多雨等原因导致温度、湿度异常 T2-4. 电压波动 T2-5. 供电系统故障 T2-6. 静电和外界电磁干扰 T2-7. 通信线路因线缆老化等原因导致损坏或传输质量下降 T2-8. 重要业务信息的介质老化或质量问题等导致不可用 T2-9. 网络设备、系统设备及其他设备使用时间过长或质量 问题等导致硬件故障 T2-10. 系统软件、应用软件运行故障 T2-11. 系统软件、应用软件过度使用内存、CPU等系统资源 等级保护背景与必要性等级保护背景与必
14、要性 信息安全面临的威胁因素信息安全面临的威胁因素 信息安全面临的威胁信息安全面临的威胁 T2-11.系统软件、应用软件过度使用内存、CPU等系统资源 T2-12.应用软件、系统软件缺陷导致数据丢失或系统运行中断 T2-13.设施、通信线路、设备或存储介质因使用、维护或保养不当等原 因导致故障 T2-14.授权用户操作失误导致系统文件被覆盖、数据丢失或不能使用 T2-15.授权用户对系统错误配置或更改 T2-16.攻击者利用非法手段进入机房内部盗窃、破坏等 T2-17.攻击者非法物理访问系统设备、网络设备或存储介质等 T2-18.攻击者采用在通信线缆上搭接或切断等导致线路不可用 T2-19.攻
15、击者利用分布式拒绝服务攻击等拒绝服务攻击工具,恶意地消 耗网络、操作系统和应用系统资源,导致拒绝服务 T2-20.攻击者利用网络协议、操作系统、应用系统漏洞,越权访问文件、 数据或其他资源 T2-21.攻击者利用通过恶意代码或木马程序,对网络、操作系统或应用 系统进行攻击 T2-22.攻击者利用网络结构设计缺陷旁路安全策略,未授权访问网络 威胁需求 等级保护背景与必要性等级保护背景与必要性 威胁需求 T2-23. 攻击者利用非法手段获得授权用户的鉴别信息或密码介质,访问网络、系统 T2-24. 攻击者利用伪造客户端进入业务系统,进行非法访问 T2-25. 攻击者截获、读取、破解介质的信息或剩余
16、信息,进行敏感信息的窃取 T2-26. 攻击者截获、读取、破解通信线路中的信息 T2-27. 由于网络设备、主机系统和应用软件的故障或双机热备失效,造成业务应用的中断 T2-28. 数据在传输和存储过程中被错误修改或丢失 T2-29. 攻击者利用通用安全协议/算法/软件等缺陷,获取信息、解密密钥或破坏通信完整 性 T2-30. 攻击者在软硬件分发环节(生产、运输等)中恶意更改软硬件 T2-31. 攻击者和内部人员否认自己的操作行为 T2-32. 攻击者和内部人员利用网络扩散病毒 T2-33. 内部人员下载、拷贝软件或文件,打开可疑邮件时引入病毒 T2-34. 内部人员未授权接入外部网络(如Internet) T2-35. 内部人员利用技术或管理漏洞,未授权修改系统数据或修改系统程序 T2-36. 内部
