网络安全的整改要点
结构安全
关键设备冗余空间 核心网络带宽 子网/网段控制
主要设备冗余空间 整体网络带宽 重要网段部署
路由控制 带宽分配优先级
访问控制
访问控制设备（用户、网段） 拨号访问限制
端口控制防止地址欺骗应用层协议过滤会话终止
最大流量数及最大连接数
安全审计
日志记录
审计报表
审计记录的保护
边界完整性检查
4
等级保护定级指南－－GB/T 22240
等级保护定级方法
保护对象 一般流程
信息系统安全 客体：社会关系
业务信息安全 系统服务安全 受侵害的客体 对客体的侵害程度
1、确定定级对象（系统边界）
等级确定
2、确定业务信息安全受到破坏 时所侵害的客体
5、确定系统服务安全受到破坏 时所侵害的客体
3、综合评定对客体的侵害程度
6、综合评定对客体的侵害程度
4、业务信息安全等级
7、系统服务安全等级
8、定级对象的安全保护等级 8＝MAX（4，7）
保护对象受到破坏时受侵害的客体
对客体的侵害程度 一般损害 严重损害 特别严重损害
公民、法人和其他组织的合法权益 第一级
第二级
第二级
社会秩序、公共利益
第二级
第三级
第四级
国家安全
第三级
第四级
第五级
5
基本要求－－GB/T 22239
基本保护要求（最低） 保护能力
对抗能力＋恢复能力 技术要求＋管理要求 整体安全保护能力
物物理理、、网网络络、、主主机机、、应应用用、、数数据据
制制度度、、机机构构、、人人员员、、建建设设、、运运维维
纵纵深深防防御御、、互互补补关关联联、、强强度度一一致致、、 平平台台统统一一、、集集中中安安管管
S5A1G5
安安全全类类 关关键键控控制制点点 具体要求项
控制强度
基本要求－－GB/T 22239
控
制 点
安全要求类 层面
技术要求 物理安全
一级 二级 三级 四级 7 10 10 10
网络安全
3
6
77
主机安全
4
6
79
应用安全
4
7
9 11
数据安全及备份恢复
2
3
33
管理要求 安全管理制度
2
3
33
安全管理机构
4
5
55
人员安全管理
4
5
55
系统建设管理
9
9 11 11
系统运维管理
9 12 13 13
合计
/
48 66 73 77
级差
/
/ 18 7 4
基本要求－－GB/T 22239
安全要求类 层面
控 技术要求
制 项
物理安全 网络安全 主机安全
应用安全
数据安全及备份恢复
管理要求 安全管理制度
安全管理机构
人员安全管理
8
等级保护相关的 主要方法
分域分级防护示意
监督保护级网络
安全域 （第3级）
安全域 （第3级）
安全域 （第2级）
安全域 （第2级）
安全域 （第2级）
禁止高敏感级信息由高等级安全域流向低等级安全域
主要防护措施
防火墙系统 隔离与交换系统 网络入侵防御系统 主页防篡改系统 防病毒网关 抗DDos系统 VPN网关 安全认证网关 主机、服务器安全加固 文件安全系统 电子邮件安全等等
3
等级保护标准系列的逻辑关系
等级保护
实施指南
划分准则
定级指南
基本要求
技术设计要求
测评要求 测评过程指南
GB/T 20269 安全管理 GB/T 20282 安全工程管理 GB/T 20270 网络基础 GB/T 20271 通用安全技术 GB/T 20272 操作系统 GB/T 20273 数据库 GB/T 20984 风险评估
内部的非法联出
非授权设备私自外联 定位及阻断
入侵防范
安全管理平台
各级安全管理中心对管辖网络实施 安全集中管理。
主机监控与审计系统 网络安全审计系统 综合安全管理平台 数字证书颁发和管理平台 。。。
等级保护要求 （技术&管理）
物理位置的选择 物理访问控制
防盗窃和防破坏 防雷击 防火 防静电
电力供应 电磁防护 防水和防潮
物理安全的整改要点
• 应用类 – 定级：《信息系统安全保护等级定级指南》GB/T 22240-2008 – 建设：《信息系统安全等级保护基本要求》GB/T 22239-2008 《信息系统通用安全技术要求》GB/T 20271-2006 《信息系统等级保护安全设计技术要求》GB/T 25070-2010 – 测评：《信息系统安全等级保护测评要求 《信息系统安全等级保护测评过程指南》 – 管理：《信息系统安全管理要求》GB/T 20269-2006 《信息系统安全工程管理要求》GB/T 20282-2006
业务信息安全类要求 S
系统服务保证类要求 A
通通用用安安全全保保护护类类要要求求 GG
安全保护等级 第一级 第二级 第三级 第四级
第五级
信息系统定级结果的组合
S1A1G1 S1A2G2，S2A2G2，S2A1G2 S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3 S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4 S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A4G5，S5A3G5，S5A2G5，
系统建设管理
系统运维管理
合计
/
级差
/
一级 9 9 6 7 2 3 4 7 20 18 85 /
二级 19 18 19 19 4 7 9 11 28 41 175 90
三级 32 33 32 31 8 11 20 16 45 62 290 115
四级 33 32 36 36 11 14 20 18 48 70 318 28
基本防护能力 基本出入控制 在机房中的活动
高层、地下室 分区域管理
存放位置、标记标识
监控报警系统
建筑防雷、机房接地
设备防雷
灭火设备、自动报警 关键设备
稳定电压、短期供应 线缆隔离
温湿度控制
自动消防系统 主要设备 主要设备 接地防干扰 电磁屏蔽
电子门禁
区域隔离措施 防静电地板
冗余/并行线路 备用供电系统
等级保护
管理体系不同 标准体系不同 保护对象不同
级别划分不同
评估队伍不同
信息系统安全测评
等级保护 公安机关 国家标准 （GB、GB/T） 各种信息系统 第一级：自主保护级 第二级：指导保护级 第三级：监督保护级 第四级：强制保护级 第五级：专控保护级
各级等级保护测评机构和部门
等级保护之十大标准
• 基础类 – 《计算机信息系统安全保护等级划分准则》GB 17859-1999 – 《信息系统安全等级保护实施指南》GB/T 25058-2010