您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > 信息系统安全等级保护实施
中国科学院计算机网络信息中心中国科技网中国科技网网络安全应急小组(CSTCERT)职责:网络安全事件响应处理与协调网络安全检测网络安全技术支持-58812935(工作日8:00-17:00)58812000(非工作日值班电话)Email:cert@cstnet.cn提纲1.等级保护简介2.等级保护技术标准3.等级保护实施的几个问题4.小结网络环境安全状况2007年1至6月,CNCERT/CC接收的网络仿冒事件和网页恶意代码事件,已分别超出去年全年总数的14.6%和12.5%。我国大陆地区被植入木马的主机IP远远超过去年全年,增幅达21倍。我国大陆被篡改网站数量比去年同期增加了4倍,比去年全年增加了近16.9%。CNCERT/CC在2007年上半年抽样监测,境内外控制者利用木马控制端对主机进行控制的事件中,木马控制端IP地址总数为209949个,被控制端IP地址总数为1863753个。网络环境安全状况瑞星2007年上半年十大病毒排名如下:1、帕虫(Worm.Pabug;金山:AV终结者;江民:U盘寄生虫)2、威金蠕虫(Worm.Viking)3、熊猫烧香(Worm.Nimaya)4、网络游戏木马(Trojan.PSW.OnlineGames)5、QQ通行证(Trojan.PSW.QQPass)6、ARP病毒7、征途木马(Trojan.PSW.ZhengTu)8、MSN相片(Worm.Mail.Photocheat.A)9、梅勒斯(Trojan.DL.Mnless)10、灰鸽子(Backdoor.Gpigeon)背景-开展信息安全等级保护工作的政策和法律依据《中华人民共和国计算机信息系统安全保护条例》第二章安全保护制度部分规定:¡计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。¡《计算机信息系统安全保护等级划分准则》GB17859-1999规定:国家对信息系统实行五级保护。《国家信息化领导小组关于加强信息安全保障工作的意见》重点强调:实行信息安全等级保护制度,重点保护基础信息网络和重要信息系统。2004年9月公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号),明确了信息等级保护制度的原则和基本内容,职责分工,工作实施的要求等。2007年6月,公安部再次会同上述三单位发布了《信息安全等级保护管理办法》(公通字〔2007〕43号),明确信息安全等级保护制度的基本内容、流程及工作要求,进一步明确信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责和任务。等级保护的概念等级保护基本概念:信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理根据信息系统应用业务重要程度及其实际安全需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全正常运行,维护国家利益、公共利益和社会稳定。等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点,保障重要信息资源和重要信息系统的安全。第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。提纲1.等级保护简介2.等级保护技术标准3.等级保护的实施的几个问题4.小结信息系统安全等级保护工作涉及的部分标准国家标准《计算机信息系统安全保护等级划分准则》(GB17859-1999)推荐标准《信息系统安全等级保护基本要求》(GB/T00000-0000)《信息安全技术信息系统安全管理要求》(GB/T20269-2006)《信息安全技术网络基础安全技术要求》(GB/T20270-2006)《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)《信息安全技术操作系统安全技术要求》(GB/T20272-2006)《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)行业标准《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)《信息安全技术终端计算机系统安全等级评估准则》(GA/T672-2006)《信息安全等级保护管理办法》公通字[2007]43号某级系统技术要求管理要求基本要求信息系统安全建设技术环节等级保护基本要求在各层面的分布2811590//级差31829017585/合计70624118系统运维管理48452820系统建设管理1816117人员管理安全202094安全管理机构141173安全管理制度管理要求11842数据安全及备份3631197应用安全3632196主机安全3233189网络安全3332199物理安全技术要求四级三级二级一级层面安全要求类《基本要求》要求项在各层面的分布技术要求-物理安全1010107合计***电磁防护****电力供应****温湿度控制***防静电****防水和防潮****防火****防雷击****防盗窃和防破坏****物理访问控制***物理位置的选择四级三级二级一级控制点技术要求-网络安全7763合计****网络设备防护**恶意代码防范***入侵防范***边界完整性检查***安全审计****访问控制****结构安全四级三级二级一级控制点技术要求-主机安全9764合计***资源控制****恶意代码防范****入侵防范**剩余信息保护***安全审计*可信路径****访问控制*安全标记****身份鉴别四级三级二级一级控制点技术要求-应用安全11974合计***资源控制****软件容错**抗抵赖***通信保密性****通信完整性**剩余信息保护***安全审计*可信路经****访问控制*安全标记****身份鉴别四级三级二级一级控制点技术要求-数据安全及备份恢复3332合计****备份和恢复***数据保密性****数据完整性四级三级二级一级控制点管理要求-安全管理制度3332合计***评审和修订****制定和发布****管理制度四级三级二级一级控制点管理要求-安全管理机构5554合计***审核和检查****沟通和合作****授权和审批****人员配备****岗位设置四级三级二级一级控制点管理要求-人员安全管理5554合计****外部人员访问管理****安全意识教育和培训***人员考核****人员离岗****人员录用四级三级二级一级控制点管理要求-系统建设管理111199合计****安全服务商选择**等级测评**系统备案****系统交付****测试验收****工程实施****外包软件开发****自行软件开发****产品采购和使用****安全方案设计****系统定级四级三级二级一级控制点管理要求-系统运维管理13131310合计***应急预案管理****安全事件处置****备份与恢复管理***变更管理***密码管理****恶意代码防范管理****系统安全管理****网络安全管理****监控管理和安全管理中心****设备管理****介质管理****资产管理****环境管理四级三级二级一级控制点安全要素与安全保护等级的关系专门监督检查极端重要系统第五级特别严重损害国家安全严重损害国家安全强制监督检查第四级特别严重损害社会秩序和公共利益一般损害国家安全监督检查重要系统第三级严重损害社会秩序和公共利益一般损害社会秩序和公共利益指导保护第二级严重损害自主保护一般系统第一级一般损害合法权益监管强度对象等级侵害程度侵害客体信息系统安全建设技术环节某级系统基本要求建立安全技术体系建立安全管理体系具有某级安全保护能力的系统技术要求管理要求提纲1.等级保护简介2.等级保护技术标准3.等级保护的实施的几个问题4.小结等级保护实施《信息安全等级保护管理办法》公通字[2007]43号第十一条信息系统的安全等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。第十四条信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第四十条、四十一条规定了违反规定的行为和惩罚。信息系统建设生命周期安全控制定级指南过程方法确定系统等级启动采购/开发实施运行/维护废弃确定安全需求设计安全方案安全建设安全测评监督管理运行维护处理残余信息特殊需求等级需求基本要求产品使用选型监督管理测评准则流程方法监管流程应急预案应急响应不同级别的安全保护能力要求第一级安全保护能力¡应能够防护系统免受来自个人的、拥有很少资源(如利用公开可获取的工具等)的威胁源发起的恶意攻击、一般的自然灾难(灾难发生的强度弱、持续时间很短等)以及其他相当危害程度的威胁(无意失误、技术故障等)所造成的关键资源损害,在系统遭到损害后,能够恢复部分功能。第二级安全保护能力¡应能够防护系统免受来自外部小型组织的(如自发的三两人组成的黑客组织)、拥有少量资源(如个别人员能力、公开可获或特定开发的工具等)的威胁源发起的恶意攻击、一般的自然灾难(灾难发生的强度一般、持续时间短、覆盖范围小等)以及其他相当危害程度的威胁(无意失误、技术故障等)所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。实施等级保护工作流程信息系统定级总体安全规划安全设计与实施安全运行与维护信息系统终止局部调整等级变更信息系统定级按要求进行改建测评与整改安全运行与维护信息系统终止局部调整等级变更新建系统在用系统等级保护实施运营、使用单位/安全服务商使用基本要求的方式¡安全规划设计技术体系设计管理体系设计¡分期/分步安全实施物理环境安全建设机房、办公环境安全建设网络安全建设安全域划分、边界设备设置、边界访问控制、边界数据过滤网络传输加密、网络协议保护、网络防病毒等主机安全防护操作系统配置和加固、桌面保护等应用系统安全开发或改造身份鉴别、访问控制、安全审计、传输加密等等级保护实施安全总体设计方案信息系统概述;单位信息系统安全保护等级状况;各等级信息系统的安全需求;信息系统的安全等级保护模型抽象总体安全策略;信息系统的边界安全防护策略;信息系统的等级安全域防护策略信息系统安全管理与安全保障策略。等级保护实施整改设计方案系统存在的安全问题(差距项)描述;差距产生原因分析;系统整改措施分类处理原则和方法;整改措施详细设计;整改投资估算。等级保护实施等级测评等级测评要求《基本办法》第十四条规定,信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。等级测评的技术标准《信息系统安全等级保护测评准则》¡暂未公布测评资质要求国内注册中资机构,技术装备符合要求,制度完善测评的方式访谈、检查和测试测评机构的义务签订安全保密责任书等级保护实施信息系统等级测评内容构成等级保护与风险评估风险评估是等级保护定级、建设的实际出发点。等级保护中高级别的信息系统不一定就有高级别的安全风险。在确定系统安全等级级别后,风险评估的结果可作为等级保护安全建设的参考。威胁出现的频率脆弱性的严重程度资产价值安全事件的可能性安全事件造成的损失风险值威胁识别脆弱性识别资产识别等级保护与等级测评系统安全测评及行政认可是安全等级保护的落脚点系统测评是信息系统建设后的风险再评估系统测评是批准系统
本文标题:信息系统安全等级保护实施
链接地址:https://www.777doc.com/doc-1253257 .html