信息安全等级保护2.0.pptxVIP

新时代网络安全等级保护

等级保护背景介绍发展历程信息安全等级保护是党中央国务院决定在信息系统安全领域实施的基本国策信息安全等级保护是国家信息安全保障工作的基本制度信息安全等级保护是国家信息安全保障工作的基本方法中华人民共和国计算机信息系统安全保护条例(1994年2月18日中华人民共和国国务院令147号发布)2003年9月中办国办颁发《关于加强信息安全保障工作的意见》（中办发[2003]27号）2004年11月四部委会签《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）2005年9月国信办文件《关于转发《电子政务信息安全等级保护实施指南》的通知》（国信办[2004]25号）2006年1月四部委会签《关于印发《信息安全等级保护管理办法的通知》（公通字[2006]7号）2007年6月公安部、保密局、国密局、国信办联合印发《信息安全等级保护管理办法》（公通字［2007］43号）2007年7月《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）2008年发布GB/T22239—2008《信息系统安全等级保护基本要求》、GB/T22240—2008《信息系统安全等级保护定级指南》2009年公安部发文《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）2010年3月公安部发文《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[303]号）2016年10月公安部网络安全保卫局组织对原有国家标准GB/T22239-2008等系列标准进行了修订，新的国家标准（简称新国标）将于近期正式发布。起步阶段发展阶段推行阶段新等保阶段信息安全等级保护是基本制度、基本国策、基本方法

等级保护管理组织指导监管部门：国家等保工作开展、推进、指导。技术支撑部门：国家等保标准制定、修订、培训、技术指导以及全国测评单位管理。国家测评机构行业测评机构地方测评机构

等级保护主要工作流程一定级二备案三建设整改备案是等级保护的核心建设整改是等级保护工作落实的关键四等级测评等级测评是评价安全保护状况的方法监督检查是保护能力不断提高的保障定级是等级保护的首要环节

重要行业关键信息系统划分及定级建议等级对象侵害客体侵害程度监管强度第一级一般系统合法权益损害自主保护第二级合法权益严重损害指导社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督检查国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查

等级保护建设核心思想信息系统的安全设计应基于业务流程自身特点，建立“可信、可控、可管”的安全防护体系，使得系统能够按照预期运行，免受信息安全攻击和破坏。可信123即以可信认证为基础，构建一个可信的业务系统执行环境，即用户、平台、程序都是可信的，确保用户无法被冒充、病毒无法执行、入侵行为无法成功。可信的环境保证业务系统永远都按照设计预期的方式执行，不会出现非预期的流程，从而保障了业务系统安全可信。即以访问控制技术为核心，实现主体对客体的受控访问，保证所有的访问行为均在可控范围之内进行，在防范内部攻击的同时有效防止了从外部发起的攻击行为。对用户访问权限的控制可以确保系统中的用户不会出现越权操作，永远都按系统设计的策略进行资源访问，保证了系统的信息安全可控。即通过构建集中管控、最小权限管理与三权分立的管理平台，为管理员创建一个工作平台，使其可以进行技术平台支撑下的安全策略管理，从而保证信息系统安全可管。可控可管

等级保护防护框架等级保护防护框架建设“一个中心”管理、“三重防护”体系，分别对计算环境、区域边界、通信网络体系进行管理，实施多层隔离和保护，以防止某薄弱环节影响整体安全分析应用系统的流程，确定用户（主体）和访问的文件（客体）的级别（标记），以此来制定访问控制安全策略，由操作系统、安全网关等机制自动执行，从而支撑应用安全重点对操作人员使用的终端、业务服务器等计算节点进行安全防护，控制操作人员行为，使其不能违规操作，从而把住攻击发起的源头，防止发生攻击行为

等级保护总体设计流程分析关键保护点梳理主、客体及权限对系统进行风险评估梳理业务流程分层分域设计安全机制及策略设计梳理业务流程是给系统量身定制安全设计方案的基础；通过业务流程的梳理，了解系统的现状、特点及特殊安全需求，为后续方案设计奠定基础。找出系统中的所有主体及客体；明确主体对客体的最小访问权限。基于一个中心、三重防护，构建安全防护体系；从不同层次、不同位置设计纵深防御体系，防止单点失效。设计身份认证及程序可信保护机制，确保主体可信；设计访问控制机制及策略，保证主体对客体的最小访问权限；