内部资料 请勿外泄
等级保护 基础安全防护技术概览
网神信息技术（北京）股份有限公司 肖 寒 CISP、PMP、北京市安全服务高级工程师
A
1
大纲
A
2
1.1等级保护基本概念-定义
❖ 是指对信息安全实行等级化保护和等级化管 理。
❖ 根据信息系统应用业务重要程度及其实际安 全需求，实行分级、分类、分阶段实施保护 ，保障信息安全和系统安全正常运行，维护 国家利益、公共利益和社会稳定。
S1A1G1
S1A2G2，S2A2G2，S2A1G2
S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3
S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4
S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A5G5，S5A4G5，S5A3G5，
等级测评：邀请具有等级测评资质的 测评机构进行安全等级测评；
监督检查：通过安全检查的方式持续 改进系统安全。
A
9
1.7等级保护基本概念-
系统等级与安全要求对应关系
❖ 不同信息系统的安全保护等级相同，但其内在安全需求可能 会有所不同，业务信息安全和系统服务安全保护等级也可能 不同。 （5个等级，25种组合）
2008年 8月6日
A
2009年
《信息安全等级保护备案实 施细则》
《公安机关信息安全等级保 护检查工作规范（试行）》
（公信安 [2007]1360号）
（公信安 [2008]736号）
公安部网络 安全保卫局
公安部网络 安全保卫局
《关于加强国家电子政务工 程建设项目信息安全风险评 估工作的通知》
《关于开展信息系统等级
《中华人民共和国计算机信 息系统安全保护条例》 《国家信息化领导小组关于 加强信息安全保障工作的意 见》
《关于信息安全等级保护工 作的实施意见》 《信息安全等级保护管理办 法》
《关于开展全国重要信息系 统安全等级保护定级工作的 通知》
国务院147号令
中办国办发 [2003]27号
公通字[2004]66 号 公通字[2007]43 号
涉及工作秘密、商业秘密、敏感信息的办公系统 和管理系统； 地市级以上国家机关、企业、 跨省或全国联网运行的用于生产、调度、管理、 事业单位内部重要的信息系 指挥、作业、控制等方面的重要信息系统； 统。 中央各部委、省（区、市）门户网站和重要网站； 跨省联接的网络系统等。
四级
国家重要领域、部门中涉及 国计民生、国家利益、国家 安全，影响社会稳定的核心 系统。
1.9等级保护基本概念-实施步骤-
建立安全组织
建立安全组织（举例）
信息安全领导小组
信息安全主管（部门）
安安系网数应 全全统络据用 管审管管库系 理计理理管统 员员员员理管
员理 员
A
19
决策、监督 管理 执行
落实信息安全责任制
1.9等级保护基本概念-实施步骤-
完善管理制度
编写安全管理制度
方针策略 信息安全工作的纲领性文件。
业务风险控制
业 务
业务安全需求
业务风险 保护策略
应பைடு நூலகம்用
安全功能实现
程序 安全
组 件
应数功 用据能 平库组
台件
支撑安全 功能实现
组件 安全
主 安全 机 软件环境
主机安全
A
网 安全边界 络 安全传输通道
网络安全
17
信息系统 保护策略
整体 保护策略
1.9等级保护基本概念-实施步骤-
实施措施
结合实际，部署实施安全措施
运行记录
A
20
1.9等级保护基本概念-实施步骤-
完善管理制度
一级
二级
岗位说明书
岗位说明书
安全管理机构
安全管理制度
人员安全 系统建设管理
人员安全管理规定
等级保护安全管理规范 风险评估管理规范 软件开发管理规定 IT外包管理规定
服务商安全管理规定 机房管理制度
运维管理
设备安全管理规定 介质安全管理规定 运行维护安全管理规范 网络安全管理规定 系统安全管理规定 防病毒安全管理规定 密码使用管理制度 变更管理制度 备份与恢复管理规定 安全事件管理制度
（发改高技
发改委
[2008]2071号） 公安部
国家保密局
（公信安
5
公安部
规定了公安机关受理信息系统运营使用单位信息系统 备案工作的内容、流程、审核等内容
规定了公安机关开展信息安全等级保护检查工作的内 容、程序、方式以及相关法律文书等，使检查工作规 范化、制度化。
明确了项目验收条件：公安机关颁发的信息系统安全 等级保护备案证明、等级测评报告和风险评估报告。
信息系统安全技术建设
物网 主应数 理络 机用据 安安 安安安 全全 全全全
开展信息系统安全自查和等级测评
A
11
1.9等级保护基本概念-实施步骤-
差距分析
处理数据
传输数据
存储数据
Inter互net联网服务器 互联网区
应用存储服务器 办公终端
应用存储区 物理机房
办公网区
A
12
完整性 保密性 备份和恢复
▪ 对信息系统中使用的信息安全产品实行按等 级管理；
▪ 对信息系统中发生的信息安全事件实行分等 级响应、处置。
A
4
1.2等级保护基本概念-政策体系
等级保护政策体系
颁布时间
文件名称
文号
颁布机构
1994年 2月18日 2003年 9月7日
2004年 9月15日 2007年 6月22日
2007年 7月16日
4
GB/T 24856-2009
信息安全技术 信息系统等级保护安全设计技术要求
1
GB/T 20271-2006
信息安全技术 信息系统通用安全技术要求
5
2GB/T 250G5B8/-T202110052-200信6 息安全信技息术安全技信术息系统信等息级系保统护物实理施安指全南技术要求
6
3
GB/T 20270-2006
信息安全技信术息系统网安络全基保础护安等全级技测术评要过求程指南
7
4
GB/T 20272-2006
信息安全技信术息系统操等作级系保统护安测全评技指术南要求
5
GB/T 20273-2006
信息安全技术 数据库管理系统安全技术要求
6
GB/T 21028-2006
信息安全技术 服务器技术要求
7
GA/T 671-2006
公信安 [2007]861号
国务院
中共中央办 公厅 国务院办公 厅
公安部 国家保密局 国家密码管 理委员会办 公室 （国家密码 管理局） 国务院信息 化工作办公 室
内容及意义
第一次提出信息系统要实行等级保护，并确定了等级 保护的职责单位。 等级保护工作的开展必须分步骤、分阶段、有计划的 实施。明确了信息安全等级保护制度的基本内容。
人员安全管理规定
安全培训教育管理规定 第三人员安全管理规定 等级保护安全管理规范 风险评估管理规范 软件开发管理规定 IT外包管理规定
第第第 五五五 级级级 安安安 全全全 计区通 算域信 环边网 境界络
第二级安全管理中心 第三级安全管理中心 第四级安全管理中心 第五级安全管理中心
定级系统互联
安全互联部件 跨定级系统安全管理中心
A
15
1.9等级保护基本概念-实施步骤-
设计策略
1.9等级保护基本概念-实施步骤-
设计策略
“业务+系统”安全=整体安全策略
网 络 层
区域 混乱
协议 攻击
信息 泄露
中间 人攻 击
带宽 资源 滥用
非法 接入
非法 外联
计区网 算域络 环边通 境界信
物 理
物理 非法 攻击 进出
火灾
盗窃
断电
层
安全管理 缺乏组织
缺乏流程
人员安全 意识不足
缺乏过程控制
缺乏专业技能
缺乏安全监控
管理不到位
A
13
1.9等级保护基本概念-实施步骤-
方案编写
第一级
信息系统受到破坏后，会对公民、法人和其他 组织的合法权益造成损害，但不损害国家安全 、社会秩序和公共利益。
A
7
1.5等级保护基本概念-系统等级分类
系统等级 信息系统类型
示例
二级
地市级以上国家机关、企事 非涉及工作秘密、商业秘密、敏感信息的办公系 业单位内部一般的信息系统。 统和管理系统等。
三级
❖ 保护数据在存储、传输、处理过程中不被泄漏、破坏和免受 未授权的修改的信息安全类要求（简记为S）；保护系统连续
正常的运行，免受对系统的未授权修改、破坏而导致系统不 可用的服务保证类要求（简记为A）；通用安全保护类要求（ 简记为G）。
安全保护等级 第一级 第二级 第三级 第四级 第五级
信息系统基本保护要求的组合
电力生产控制系统 银行核心业务系统 电信骨干传输网 铁路客票系统 列车指挥调度系统等。
A
8
1.6等级保护基本概念-规定动作
监督检查
系统定级
等级测评
建设整改
系统备案
定级：明确责任主体、自主定级、专 家审核、上级主管单位审批；
备案：定级系统须在上级主管单位及 属地公安机关备案；
建设整改：根据《基本要求》进行安 全加固与改进；
第二级系统 安全保护环境
第第第 二二二 级级级 安安安 全全全 计区通 算域信 环边网 境界络
第三级系统 安全保护环境
第第第 三三三 级级级 安安安 全全全 计区通 算域信 环 边/ 网 境界络