等保四級保護技術(shù)交流

1、目錄,□等級保護基本知識介紹□等級保護（四級）基本要求的具體介紹,等級保護基本知識介紹,□等級保護的政策依據(jù)□等級保護的關(guān)鍵環(huán)節(jié)（流程）□等級保護的相關(guān)標準□《基本要求》核心思想解讀,等級保護政策依據(jù),2017年6月1號實施的《中華人民共和國網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全法》規(guī)定，我國實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)安全等級保護制度是國家信息安全保障工作的基本制度、基本國策和基本方法，是促進信息化健康發(fā)展，維護國家安全、社會秩序和公共

2、利益的根本保障。,等級保護政策依據(jù),《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號 ）公安部、國家保密局、國家密碼管理委員會辦公室、國務(wù)院信息化工作辦公室聯(lián)合下發(fā)的《關(guān)于信息安全等級保護工作的實施意見》（公通字[2004]66號）公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室聯(lián)合下發(fā)的《信息安全等級保護管理辦法》（試行）（公通字[2006]7號）《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級

3、工作的通知》（公信安[2007]861號）關(guān)于印發(fā)《信息安全等級保護管理辦法》的通知（公通字[2007]43號）,基礎(chǔ)類《計算機信息系統(tǒng)安全保護等級劃分準則》GB 17859-1999《信息系統(tǒng)安全等級保護實施指南》GB/T CCCC-CCCC 報批稿 應(yīng)用類定級：《信息系統(tǒng)安全保護等級定級指南》GB/T 22240-2008 建設(shè)：《信息系統(tǒng)安全等級保護基本要求》GB/T 22239-2008

4、 《信息系統(tǒng)通用安全技術(shù)要求》GB/T 20271-2006 《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》 測評：《信息系統(tǒng)安全等級保護測評要求》 GB/T DDDD-DDDD 報批稿 《信息系統(tǒng)安全等級保護測評過程指南》 管理：《信息系統(tǒng)安全管理要求》GB/T 20269-2006 《信息系統(tǒng)安全工程管理

5、要求》GB/T 20282-2006,等級保護相關(guān)標準,等級保護政策依據(jù),公通字[2007]43號文五個等級的基本情況第一級：運營、使用單位根據(jù)國家管理規(guī)范、技術(shù)標準自主防護。第二級：運營、使用單位根據(jù)國家管理規(guī)范、技術(shù)標準自主防護。國家有關(guān)部門進行指導(dǎo)。第三級：自主防護。國家有關(guān)部門進行監(jiān)督、檢查。第四級：運營、使用單位根據(jù)國家管理規(guī)范、技術(shù)標準和業(yè)務(wù)專門需求進行保護，國家有關(guān)部門進行強制監(jiān)督、檢查。第五級：（略）。,等級

6、保護政策依據(jù),公通字[2007]43號文測評周期要求第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進行一次等級測評；第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進行一次等級測評；第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進行等級測評。自查周期要求第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進行一次自查；第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進行一次自查；第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進行自查。根據(jù)測評、自查情況制定整改方案并實施。,等級保護政策依據(jù),公通字[2007]43號文檢查周期

7、要求受理備案的公安機關(guān)應(yīng)當(dāng)對第三級、第四級信息系統(tǒng)的運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級信息系統(tǒng)每年至少檢查一次；對第四級信息系統(tǒng)每半年至少檢查一次。對第五級信息系統(tǒng)，應(yīng)當(dāng)由國家指定的專門部門進行檢查。,等級保護政策依據(jù),公通字[2007]43號文等級保護的檢查內(nèi)容（一）信息系統(tǒng)安全需求是否發(fā)生變化，原定保護等級是否準確；（二）運營、使用單位安全管理制度、措施的落實情況；（三）運營、使用單位及其主管

8、部門對信息系統(tǒng)安全狀況的檢查情況；（四）系統(tǒng)安全等級測評是否符合要求；（五）信息安全產(chǎn)品使用是否符合要求； （六）信息系統(tǒng)安全整改情況；（七）備案材料與運營、使用單位、信息系統(tǒng)的符合情況；（八）其他應(yīng)當(dāng)進行監(jiān)督檢查的事項。,等級保護政策依據(jù),公通字[2007]43號文第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的信息安全產(chǎn)品：（一）產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民共和國境內(nèi)具有獨立的

9、法人資格；（二）產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán)；（三）產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無犯罪記錄； （四）產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能；（五）對國家安全、社會秩序、公共利益不構(gòu)成危害；（六）對已列入信息安全產(chǎn)品認證目錄的，應(yīng)當(dāng)取得國家信息安全產(chǎn)品認證機構(gòu)頒發(fā)的認證證書。,等級保護政策依據(jù),公通字[2007]43號文第三級以上信息系統(tǒng)的安全測評機構(gòu)應(yīng)具備的條件：

10、（一）在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）；（二）由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）；（三）從事相關(guān)檢測評估工作兩年以上，無違法記錄；（四）工作人員僅限于中國公民；（五）法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；（六）使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合本辦法對信息安全產(chǎn)品的要求； （七）具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度；（八）對國家安全、社會秩序、公

11、共利益不構(gòu)成威脅。,等級保護基本安全要求,某級系統(tǒng),物理安全,技術(shù)要求,管理要求,基本要求,網(wǎng)絡(luò)安全,主機安全,應(yīng)用安全,數(shù)據(jù)安全,安全管理機構(gòu),安全管理制度,人員安全管理,系統(tǒng)建設(shè)管理,系統(tǒng)運維管理,等級保護工作的主要流程,一 是定級。二 是備案（二級以上信息系統(tǒng)）。三 是系統(tǒng)建設(shè)、整改（按條件選擇產(chǎn)品）。四 是開展等級測評（按條件選擇測評機構(gòu)）。五 是信息安全監(jiān)管部門定期開展監(jiān)督檢查,信息系統(tǒng)的定級,各級系統(tǒng)的保護要求差異,

12、一級系統(tǒng),二級系統(tǒng),三級系統(tǒng),四級系統(tǒng),防護,防護/監(jiān)測,策略/防護/監(jiān)測/恢復(fù),策略/防護/監(jiān)測/恢復(fù)/響應(yīng),各級系統(tǒng)的保護要求差異,一級系統(tǒng),二級系統(tǒng),三級系統(tǒng),四級系統(tǒng),通信/邊界（基本）,通信/邊界/內(nèi)部（關(guān)鍵設(shè)備）,通信/邊界/內(nèi)部（主要設(shè)備）,通信/邊界/內(nèi)部/基礎(chǔ)設(shè)施（所有設(shè)備）,各級系統(tǒng)的保護要求差異,一級系統(tǒng),二級系統(tǒng),三級系統(tǒng),四級系統(tǒng),計劃和跟蹤（主要制度）,計劃和跟蹤（主要制度）,良好定義（管理活動制度化）,持續(xù)

13、改進（管理活動制度化/及時改進）,等級保護（四級）基本要求的具體介紹,安全建設(shè)要求主要內(nèi)容,技術(shù)要求□物理安全□網(wǎng)絡(luò)安全□主機安全□應(yīng)用安全□數(shù)據(jù)安全,管理要求□安全管理制度□安全管理機構(gòu)□人員安全管理□系統(tǒng)建設(shè)管理□系統(tǒng)運維管理,第三級與第四級安全功能對比,四級系統(tǒng)的控制類及控制項,不同級別系統(tǒng)控制點的差異,不同級別系統(tǒng)要求項的差異,物理安全,物理安全,（一）物理位置選擇,物理安全,（二）物理訪問控制,物理安全,（

14、三）防盜竊和防破壞,物理安全,（四）防雷擊,物理安全,（五）防火,物理安全,（六）防水和防潮,物理安全,（七）防靜電,物理安全,（八）溫濕度控制,物理安全,（九）電力供應(yīng),物理安全,（十）電磁防護,網(wǎng)絡(luò)安全,（一）結(jié)構(gòu)安全,網(wǎng)絡(luò)安全,（二）訪問控制,網(wǎng)絡(luò)安全,（三）安全審計,網(wǎng)絡(luò)安全,（四）邊界完整性檢查,網(wǎng)絡(luò)安全,（五）入侵防范,網(wǎng)絡(luò)安全,（六）惡意代碼防范,網(wǎng)絡(luò)安全,（七）網(wǎng)絡(luò)設(shè)備防護,網(wǎng)絡(luò)安全,主機安全,（一）身份鑒別,主機安全,

15、（二）安全標記,主機安全,（三）訪問控制,主機安全,（四）可信路徑,主機安全,（五）安全審計,主機安全,（六）剩余信息保護,主機安全,（七）入侵防范,主機安全,（八）惡意代碼防范,主機安全,（九）資源控制,主機安全,應(yīng)用安全,（一）身份鑒別,應(yīng)用安全,（二）安全標記,應(yīng)用安全,（三）訪問控制,應(yīng)用安全,（四）可信路徑,應(yīng)用安全,（五）安全審計,應(yīng)用安全,（六）剩余信息保護,應(yīng)用安全,（七）通信完整性 、（八）通信保密性 、（九）抗抵

16、賴,應(yīng)用安全,（十）軟件容錯,應(yīng)用安全,（十一）資源控制,應(yīng)用安全,數(shù)據(jù)安全,（一）數(shù)據(jù)完整性,數(shù)據(jù)安全,（二）數(shù)據(jù)保密性,數(shù)據(jù)安全,（三）備份和恢復(fù),數(shù)據(jù)安全,安全管理制度,安全管理機構(gòu) -1,安全管理機構(gòu) -2,人員管理,系統(tǒng)建設(shè)管理 -1,系統(tǒng)建設(shè)管理 -2,系統(tǒng)建設(shè)管理 -3,系統(tǒng)建設(shè)管理 -4,系統(tǒng)運維管理 -1,系統(tǒng)運維管理 -2,系統(tǒng)運維管理 -3,系統(tǒng)運維管理 -4,系統(tǒng)運維管理 -5,系統(tǒng)運維管理 -6,系統(tǒng)運維管理