信息安全等级保护培训0207.pptVIP

信息安全等级保护内部培训 沈武林 ? 等级保护背景 ? 等级保护流程 ? 等级保护基本要求与产品对应详解 ? 深信服等级保护方案 目录 等级保护的背景和基本知识 政府行业电子政务网的分类 根据国家电子政务信息系统中存储、处理 和传输的信息是否属于国家秘密信息，国 家电子政务信息系统分为两种类型： ? 电子政务涉密信息系统 ? 电子政务非涉密信息系统 详细电子政务网络划分可以参考《国家信息化领导小组关于我国电子 政务建设指导意见》 中办发 [2002]17 号文 政府行业电子政务网的分类 非涉密信息系统 涉密信息系统 适用标准 等级保护 分级保护 主管部门 公安部 保密局 定级对象 所有不运行涉密信息的信 息系统（军队除外）； 副省级以上单位办公网；军工； 军队（军标，主管单位是全军保密委）； 所分级别 第一级（自主保护） 第二级（指导保护） 第三级（监督保护） 第四级（强制保护） 第五级（专控保护） 秘密级 机密级 绝密级 资质要求 无明确要求，最好有国信 的检测证书。 等保三级以上系统，应优 先考虑国内安全产品，除 非国外安全产品无法使用 国内产品替代时，才允许 使用国外安全产品。 集成：保密局发的涉密集成资质 单项：保密局发的涉密单项资质 安全产品：保密局发的涉密检测报告 密码产品：国密局发的密码资质 防病毒软件；公安部的检测报告 军队：军用安全产品检测报告； 全部禁止使用国外安全产品 等级保护的发展 2003 年 9 月 中办国办颁发 《关于加强信息安 全保障工作的意见》 中办发 [2003]27 号 2005 年 9 月 国信办文件 《 关于转发《电子 政务信息安全等级保 护实施指南》的通 知 》 国信办 25 号文 2006 年 1 月 四部委会签 《 关于印发《信息 安全等级保护管理 办法的通知 》 公通字 [2006]7 号 （已废止） 2005 年 公安部标准 《基本要求》 《定级指南》 《实施指南》 《测评准则》 2004 年 11 月 四部委会签 《关于信息安全等级 保护工作的实施意见》 公通字 [2004]66 号 1994 年 2 月 《 中 华 人 民 共 和 国 计 算 机 信 息 系 统 安 全 保 护 条 例 》 （国务院 147 号令） 2007 年 6 月 公安部、保密局、 国密局、国信办联 合印发《信息安全 等级保护管理办法》 （公通字［ 2007 ］ 43 号 ） 2007 年 7 月 《关于开展全国重 要信息系统安全等 级保护定级工作的 通 知 》 （ 公 信 安 [2007]861 号） 等级保护的一些基础知识 ? 等级保护是一个体系建设工作，相当于中国的 27001 ，将来会是在未来指导我国信息安 全工作的根本； ? 等级保护所有标准为推荐标准（ GBT ），所以不是强制执行，且各行业会制定自己的标 准； ? 等级保护的定级是针对业务系统，但是进行等级保护建设时讲究的是整体环境建设满足 等级要求； ? 当网络环境内运行多个业务系统时，应当按照定级高的业务系统进行环境建设； ? 等级保护的定级分为三个纬度 SAG ， S 指的是业务信息安全类， A 指的是系统服务保证类， G 是基本要求。比如三级分为： S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3 ，并非等保三级指 的是一个要求； ? 在政府行业，任何时候不要拿安全产品和物理隔离做对比，任何时候拓扑图里也不要出 现涉密网和非涉密网连接的情况 等级保护的流程 等级变更 局部调整 信息系统定级 安全规划 安全设计与实施 维护 信息系统终止 等级保护项目的流程 ? 定级并备案 ? 进行风险评估、检查或预测评 ? 制定设计方案 ? 根据设计方案进行系统集成招标 ? 系统集成实施与验收 ? 风险评估与测评（管理 + 技术） ? 测评不合规部分整改 预算是在什么时候 确定的？ 等级保护（三级 S3A3G3 ）基本技术要求详解 等级保护三级基本技术要求详解 ? 物理安全 ? 网络安全 ? 主机安全 ? 应用安全 ? 数据安全与备份恢复 网络安全 - 结构安全 基本要求 公司产品功能 应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰 期需要； 推荐 WOC ，流量 削减功能 应保证网络各个部分的带宽满足业务高峰期需要； 推荐 WOC ，流量 削减功能 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径； 应绘制与当前运行情况相符的网络拓扑结构图； 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素， 划分不同的子网或网段，并按照方便管理和控制的原则为各子网、 网段分配地址段； 应避免将重要网段部署在网络边界处且直接连接外部信息系统，重 要网段与其他网段之间采取可靠的技术隔离手段； AF ，安全隔离