信息安全等级保护详解分析.pptx

等级保护 信息系统安全测评 等级保护 管理体系不同 公安机关 标准体系不同 国家标准 （GB、GB/T） 保护对象不同 各种信息系统 级别划分不同 第一级：自主保护级 第二级：指导保护级 第三级：监督保护级 第四级：强制保护级 第五级：专控保护级 评估队伍不同 各级等级保护测评机构和部门 等级保护之十大标准 基础类 《计算机信息系统安全保护等级划分准则》GB 17859-1999 《信息系统安全等级保护实施指南》GB/T 25058-2010 应用类 定级：《信息系统安全保护等级定级指南》GB/T 22240-2008 建设：《信息系统安全等级保护基本要求》GB/T 22239-2008 《信息系统通用安全技术要求》GB/T 20271-2006 《信息系统等级保护安全设计技术要求》GB/T 25070-2010 测评：《信息系统安全等级保护测评要求 《信息系统安全等级保护测评过程指南》 管理：《信息系统安全管理要求》GB/T 20269-2006 《信息系统安全工程管理要求》GB/T 20282-2006 3 等级保护标准系列的逻辑关系 划分准则 定级指南 基本要求 测评要求 技术设计要求 实施指南 测评过程指南 GB/T 20269 安全管理 GB/T 20270 网络基础 GB/T 20271 通用安全技术 GB/T 20272 操作系统 GB/T 20273 数据库 GB/T 20282 安全工程管理 等级保护 4 GB/T 20984 风险评估 7、系统服务安全等级 等级保护定级指南－－GB/T 22240 保护对象受到破坏时受侵害的客体 对客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 等级保护定级方法 保护对象 对客体的侵害程度 客体：社会关系 受侵害的客体 信息系统安全 系统服务安全 业务信息安全 3、综合评定对客体的侵害程度 2、确定业务信息安全受到破坏时所侵害的客体 6、综合评定对客体的侵害程度 5、确定系统服务安全受到破坏时所侵害的客体 4、业务信息安全等级 8、定级对象的安全保护等级 8＝MAX（4，7） 1、确定定级对象（系统边界） 一般流程 等级确定 5 安全保护等级 信息系统定级结果的组合 第一级 S1A1G1 第二级 S1A2G2，S2A2G2，S2A1G2 第三级 S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3 第四级 S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4 第五级 S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A4G5，S5A3G5，S5A2G5，S5A1G5 基本保护要求（最低） 保护能力 对抗能力＋恢复能力 技术要求＋管理要求 物理、网络、主机、应用、数据 制度、机构、人员、建设、运维 纵深防御、互补关联、强度一致、 平台统一、集中安管 业务信息安全类要求 S 系统服务保证类要求 A 通用安全保护类要求 G 整体安全保护能力 关键控制点 安全类 具体要求项 控制强度 基本要求－－GB/T 22239 基本保护要求（最低） 保护能力 对抗能力＋恢复能力 物理、网络、主机、应用、数据 制度、机构、人员、建设、运维 纵深防御、互补关联、强度一致、 平台统一、集中安管 通用安全保护类要求 G 关键控制点 安全类 安全要求类 层面 一级 二级 三级 四级 技术要求 物理安全 7 10 10 10 网络安全 3 6 7 7 主机安全 4 6 7 9 应用安全 4 7 9 11 数据安全及备份恢复 2 3 3 3 管理要求 安全管理制度 2 3 3 3 安全管理机构 4 5 5 5 人员安全管理 4 5 5 5 系统建设管理 9 9 11 11 系统运维管理 9 12 13 13 合计 / 48 66 73 77 级差 / / 18 7 4 控制点 基本要求－－GB/T 22239 安全要求类 层面 一级 二级 三级 四级 技术要求 物理安全 9 19 32 33 网络安全 9 18 33 32 主机安全 6 19 32 36 应用安全 7 19 31 36 数据安全及备份恢复 2 4 8 11 管理要求 安全管理制度 3 7 11 14 安全管理机构 4 9 20 20 人员安全管理 7 11 16 18 系统建设管理 20 28 45 48 系统运维管理 18 4