《网络安全等级保护测评导论》由会员分享,可在线阅读,更多相关《网络安全等级保护测评导论(24页珍藏版)》请在金锄头文库上搜索。
1、网络安全等级保护目 录 Contents01等保介绍02定级备案03差距评估04安全整改05等保测评01第一部分 等保介绍等保发展历程20052007公通字200743号 等级保护管理办法发布,明确如何建设、如何监管以及如何选择服务商等公安部四大标准基本要求 定级指南实施指南 测评标准国务院147号令第一次提出等级保护概念,要求对信息系统分等级进行保护19942015网络安全法第二十一条“国家实行网络安全等级保护制度”。该法是深化网络安全等级保护制度重要举措,2017年6月1日起施行。2017工作要点中央网信领导小组2015年工作要求、落实国家信息安全等级保护制度1999GB17859国家强制
2、标准发布,信息系统等级保护必须遵循的法规2019等保2.0在2019年12月1日正式实施信息安全技术网络安全等级保护基本要求责任更清晰 完成等保测评意味着公安机关认可你的安全现状,一旦发生安全事件是意外。如果没有进行等级保护测评意味着你没有达到国家要求,一旦发生安全事件,用户单位将承担主要责任,网监部门会直接进行比较严厉的处罚。做了,出事,是天灾(没有绝对的安全),不做出事,是人祸 以等级保护为标准开展安全建设,可以让单位自身安全建设更加体系化,可以从物理、网络、主机、应用和数据多个方面成体系的进行安全建设,再也不是头痛医头脚痛医脚,对本单位的安全建设有整体的规划和思路。安全建设体系化(自身安
3、全预防)为什么要做等级保护-免责如何做等级保护-相关标准n基础类 计算机信息系统安全保护等级划分准则GB 17859-1999 信息系统安全等级保护实施指南 GB/T25058-2010n应用类定级:信息系统安全保护等级定级指南GB/T 22240-2008建设:信息系统安全等级保护基本要求GB/T 22239-2008 信息系统通用安全技术要求GB/T 20271-2006 信息系统等级保护安全设计技术要求 测评:信息系统安全等级保护测评要求 GB/T28448-2012 信息系统安全等级保护测评过程指南 GB/T28449-2012管理:信息系统安全管理要求GB/T 20269-2006
4、信息系统安全工程管理要求GB/T 20282-2006等级保护建设中的角色等级保护工作流程02第二部分 定级备案客户定级备案10-不清楚需要定级的信息系统-不了解定级工作流程、难点和工作量-缺少国家及部下发文件的理解-缺少专业技术人员的指导-不清楚提交哪些文档客户可能面临的问题-协助客户分析管理组织架构、业务要求、信息系统等特点,确定分析定级对象-协助客户确定信息系统的等级,编写定级报告-协助当地同级公安机关提请备案,填写备案登记表,提交相关资料我方服务内容定级备案服务信息系统的安全保护等级分为几级?等级对象侵害客体侵害程度监管强度第一级:自主建设合法权益损害自主保护第二级: 如市级信息系统(
5、非核心业务)合法权益严重损害指导社会秩序和公共利益损害第三级:如省级信息系统(核心业务系统)社会秩序和公共利益严重损害监督检查国家安全损害第四级:中央核心系统社会秩序和公共利益特别严重损害强制监督检查国家安全严重损害第五级:国家安全特别严重损害专门监督检查安全要求类层面一级二级三级四级技术要求物理安全9193233网络安全9183332主机安全6193236应用安全7193136数据安全及备份恢复24811管理要求安全管理制度371114安全管理机构492020人员安全管理7111618系统建设管理20284548系统运维管理18416270合计/85175290318级差/9011528系统
6、如何确定等级?12受侵害的客体:n公民、法人和其他组织的合法权益n社会秩序和公共利益n国家安全对客体的侵害程度:n损害n严重损害n特别严重损害定级备案相关材料表一 单位基本情况表二( / )信息系统情况表三( / )信息系统定级情况表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容提交定级报告根据上表结果,门户网站系统的业务信息安全保护等级定为第二级。根据上表结果,门户网站系统的系统服务安全等级为第一级。信息系统的安全保护等级由业务信息安全等级和系统服务安全等级的较高者决定。所以门户网
7、站系统安全保护等级为第二级。03第3部分 差距评估16评估前需要客户如何配合?n需要提供相关信息系统的相关数据和资料(如网络拓扑图,测试账号,资产情况等)。n评估工作需要进入客户机房,及相关安全工具对网络设备扫描测试,需要客户明确时间、地点、配合人员。n需要提供相关的信息安全管理文档(如信息安全工作规划、系统运维管理制度)。安全要求类层面一级二级三级四级技术要求物理安全9193233网络安全9183332主机安全6193236应用安全7193136数据安全及备份恢复24811管理要求安全管理制度371114安全管理机构492020人员安全管理7111618系统建设管理20284548系统运维管
8、理18416270合计/85175290318级差/901152804第4部分 等保整改安全整改方案设计和整改方案安全整改从哪几方面入手?安全策略配置针对用户单位实际情况和等级保护要求,制定相关设备的安全策略要求,并合理配置。安全加固针对差距评估中自身安全策略配置不当和版本补丁问题进行处理,包括调整自身安全策略、升级版本和打补丁。安全管理制度整理根据差距评估的结果,针对目前缺少的安全管理制度进行补充,并编写过程模板。安全设备采购部署根据设计方案内容,用户单位完成安全设备的采购和部署。05第5部分 等保测评等级保护测评内容3.3.主机安全主机安全 4.4.应用安全应用安全 5.5.数据安全及备份
9、恢复数据安全及备份恢复 技术单元技术单元管理单元管理单元2.2.网络安全网络安全 1.1.物理安全物理安全 3.3.人员安全管理人员安全管理4.4.系统建设管理系统建设管理 5.5.系统运维管理系统运维管理 2.2.安全管理机构安全管理机构 1.1.安全管理制度安全管理制度整体测评整体测评1.1.安全控制间测评安全控制间测评2.2.层面间测评层面间测评3.3.区域间测评区域间测评访谈访谈检查检查测试测试单元测评单元测评测评结论22o综合单元测评、整体测评、测评结果汇总、风险分析和评价部分的测评与分析结果,对信息系统基本安全保护状态进行综合判断,并给出等级测评结论,表述为“符合(100分)、“基本符合(60-100分)”或者“不符合(60分)”。 测评报告报告摘要第一章:测评项目概述第二章:被测系统情况第三章:等级测评范围与方法第四章:等级测评内容第五章:整体测评第六章:测评结果汇总第七章:风险分析和评价第八章:等级测评结论第九章:系统安全建设、整改建议附:信息系统安全等级保护备案表23谢谢您的聆听THEBUSINESS PLAN欧驰云
