当前位置:文档之家› 等级保护相关标准解读

等级保护相关标准解读


二、等级保护相关标准解读

需要了解的几个法规、政策
几个与等级保护有关的标志性政策、文件:
《中华人民共和国计算机信息系统安全保护条例》(147号令) 《国家信息化领导小组关于加强信息安全保障工作的意见》 (中办发[2003]27号)。 《关于信息安全等级保护工作的实施意见》(公通字 [2004]66号) 《信息安全等级保护管理办法》(公通字[2007]43号)
第四级 结构化保护级
隐蔽通道分析
第五级 访问验证保护级
系统审计 客体重用
强制访问控制 标记 可信路径
12
隐蔽通道分析 可信恢复

《信息系统安全等级保护基本要求》的定位
• 是系统安全保护、等级测评的一个基本“标尺” ; • 按照基本要求进行保护后,信息系统具有相应等 级的基本安全保护能力; • 针对本系统更具体的保护要求可以参考相关标准 实现。
科学技术依据 法律政策依据
国务院147号文 中办国办27号文
四部委66号文件
四部委43号文件

等级保护的标准体系
GB/T20269-2006 信息系统安全管理要求 GB/T20282-2006 信息安全技术 信息系统安全工程管理要求 GB/T 20270-2006信息安全技术 网络基础安全技术要求 GB/T 20271-2006信息安全技术 信息系统通用安全技术要求 GB/T 20272-2006信息安全技术 操作系统安全技术要求 GB/T 20273-2006信息安全技术 数据库管理系统通用安全技术要求 GB/T22239-2008信息安全技术 信息系统安全等级保护基本要求 GB/T 24856-2009信息安全技术 信息系统等级保护安全设计技术要求 信息系统安全等级保护实施指南 …… 信息系统安全等级保护定级指南
要重点保护基础信息网络和 关系国家安全、经济命脉、 明确了信息安全等级保护制 等级保护工作的开展必须分步 GB17859-1999 社会稳定等方面的重要信息 度的基本内容、流程及工作 第一次提出信息系统要实行等 骤、分阶段、有计划的实施。 系统。 要求,明确了信息系统运营 级保护,并确定了等级保护的 50多个配套标准 明确了信息安全等级保护制度 等级保护从计算机信息系统 使用单位和主管部门、监管 职责单位 ----公安部会同有关部 的基本内容。 安全保护的一项制度提升到 部门在信息安全等级保护工 门。 国家信息安全保障的一项基 作中的职责、任务。 本制度。
GB17859-1999 计算机信息系统安全保护等级划分准则

5
信息系统等级保护分级标准
等级 第一级 一般系 统 第二级 对象 侵害客体 合法权益 合法权益 社会秩序和公共利益 社会秩序和公共利益 重要系 统 第四级 极端重 要系统 国家安全 社会秩序和公共利益 国家安全 国家安全 侵害程度 损害 严重损害 损害 严重损害 损害 特别严重损害 严重损害 特别严重损害 监管强度 自主保护 指导
第三级
监督检查
强制监督检查
第五级
专门监督检查

07年6月份开始,全国范围内的重要信息系 统普遍开展了信息安全等级保护定级工作, 到去年为止定级工作基本上已经落实。
通过信息系统的定级,国家掌握了重要信 息系统在全国范围内的分布、使用情况以 及其重要程度。 在定级基础上,应开展信息系统安全建设 和整改,达到相应等级的安全防护能力。
等级保护相关标准解读

提纲
• • • • •
等级保护背景 等保相关标准 中软华泰公司参与等级保护建设工作 设计技术要求的框架和方案 安全建设整改技术路线
Hale Waihona Puke 一、等级保护背景
政策和标准
第一级 用户自主保护级
自主访问控制 身份鉴别 完整性保护
自主访问控制 身份鉴别 完整性保护 系统审计 客体重用 系统审计 客体重用 系统审计 客体重用 强制访问控制 标记 强制访问控制 标记 可信路径
第二级 系统审计保护级
第三级 安全标记保护级
自主访问控制 身份鉴别 完整性保护
自主访问控制 身份鉴别 完整性保护 自主访问控制 身份鉴别 完整性保护

13
各级系统的保护要求的内容
某级系统 基本要求 技术要求 管理要求
物 理 安 全
网 络 安 全
主 机 安 全
应 用 安 全
数 据 安 全
安 全 管 理 机 构
安 全 管 理 制 度
人 员 安 全 管 理
系 统 建 设 管 理
系 统 运 维 管 理

10

标准间的关系介绍
信息系统等级保护安全设计技术要求
GB/T22239-2008 信息系统安全等级保护基本要求
GB17859-1999 计算机信息系统安全保护等级划分准则

11
《计算机信息系统安全保护等级划分准则》
9

几个重要的技术标准
国家已出台约50余个标准,重点需要了解的有:
《计算机信息系统安全保护等级划分准则》 (GB17859-1999) 《信息系统安全等级保护基本要求》(GB/T22239-2008) 《信息系统等级保护安全设计技术要求》 (GB/T24856-2009 ) 最早提出的基础性、强制性标准; 我们在进行产品开发、等保系统设计时的主 强调基本的技术和管理要求 要依据:(一个中心三重防御) 粒度较粗,是一个指导性标准;
14
技术设计要求的思路
• 《信息系统等级保护安全技术设计要求》
– 以信息(应用)系统为核心,统筹规划 – 强调安全体系,一个中心支撑下的三重防御体 系(计算环境、区域边界、通信网络) – 严格的访问控制,操作人员行为控制 – 将网络安全、主机安全、应用安全、数据安全 综合考虑
相关主题

相关文档推荐: