1、信息安全等級保護概念與標準做等級保護 鑄信息安全國家高度重視信息安全國家先后出臺了一系列信息安全文件和舉措2003年，中辦發(fā)200327號文件：國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見，中國信息安全建設(shè)的里程碑：一、加強信息安全保障工作的總體要求和主要原則二、實行信息安全等級保護，重視信息安全風險評估三、加強以密碼技術(shù)為基礎(chǔ)的信息保護和網(wǎng)絡(luò)信任體系建設(shè)四、建設(shè)和完善信息安全監(jiān)控體系五、重視信息安全應(yīng)急處理工作六、加強信息安全技術(shù)研究開發(fā)，推進信息安全產(chǎn)業(yè)發(fā)展七、加強信息安全法制建設(shè)和標準化建設(shè)八、加快信息安全人才培養(yǎng)，增強全民信息安全意識九、保證信息安全資金十、加強對信息安全保障工作的

2、領(lǐng)導(dǎo)，建立健全信息安全管理責任制國家高度重視信息安全國家先后出臺了一系列信息安全文件和舉措2012年國務(wù)院以國發(fā)201223號文件：國務(wù)院關(guān)于大力推進信息化發(fā)展和 切實保障信息安全的若干意見，涉及安全提到提升網(wǎng)絡(luò)與信息安全保障水平等六個方面的任務(wù)：健全安全防護和管理，保障重點領(lǐng)域信息安全一、確保重要信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)安全。二、加強政府和涉密信息系統(tǒng)安全管理。三、保障工業(yè)控制系統(tǒng)安全。四、強化信息資源和個人信息保護。加快能力建設(shè)，提升網(wǎng)絡(luò)與信息安全保障水平一、夯實網(wǎng)絡(luò)與信息安全基礎(chǔ)。二、加強網(wǎng)絡(luò)信任體系建設(shè)和密碼保障。三、提升網(wǎng)絡(luò)與信息安全監(jiān)管能力。四、加快技術(shù)攻關(guān)和產(chǎn)業(yè)發(fā)展。五、加強宣傳教

3、育和人才培養(yǎng)。六、加快法規(guī)制度和標準建設(shè)。等級保護的重要地位信息安全等級保護是“令”-國家意志的體現(xiàn)國務(wù)院令【1994】147號中華人民共和國計算機信息系統(tǒng)安全保護條例 規(guī)定“計算機信息系統(tǒng)實行安全等級保護，安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關(guān)部門制定”。信息安全等級保護由執(zhí)法機構(gòu)負責1995年2月18日人大12次會議通過并實施的中華人民共和國警察法第二章第六條第十二款規(guī)定，公安機關(guān)人民警察依法履行“監(jiān)督管理計算機信息系統(tǒng)的安全保護工作”。信息安全等級保護是“強制性國家標準”1999年 GB 17859計算機信息系統(tǒng)安全保護等級劃分準則為信息安全等級保護提供了基礎(chǔ)的標準

4、依據(jù)。概念回顧信息系統(tǒng)安全等級保護指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護；對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理；對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置（摘自“關(guān)于信息安全等級保護工作的實施意見（公通字200466號 ）文件）概念回顧三類基本要求S類業(yè)務(wù)信息安全保護類關(guān)注的是保護數(shù)據(jù)在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權(quán)的修改。A類系統(tǒng)服務(wù)安全保護類關(guān)注的是保護系統(tǒng)連續(xù)正常的運行，避免因?qū)ο到y(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用。G類通用安全保護類既關(guān)注保護業(yè)務(wù)信息的安全性，同時也關(guān)注保護系統(tǒng)的

5、連續(xù)可用性。信息系統(tǒng)安全保護等級第五級第四級第三級第二級第一級信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。 信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。 信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。 信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。 信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。等級保護是基本制度國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見（中辦發(fā)200327號

6、）國務(wù)院第147號令中華人民共和國計算機信息系統(tǒng)安全保護條例（1994年2月18日）關(guān)于信息安全等級保護工作的實施意見（公通字200466號 ）信息安全等級保護管理辦法（公通字2007 43 號）關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知（公信安2007861號）信息安全等級保護備案實施細則（公信安20071360號）公安機關(guān)信息安全等級保護檢查工作規(guī)范（公信安2008736號） （七）關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風險評估工作的通知（發(fā)改高技20082071號）關(guān)于印發(fā)信息系統(tǒng)安全等級測評 報告模版（試行）的通知 公信安20091487號關(guān)于開展信息安全等級保護安全建設(shè)整改

7、工作的指導(dǎo)意見(公信安20091429號)定級備案安全建設(shè)整改等級測評監(jiān)督檢查關(guān)于推動信息安全等級保護測評體系建設(shè)和開展等級測評工作的通知公信安 2010303號主要政策回顧序號文 號發(fā)文單位名稱1國務(wù)院令【1994】號國務(wù)院中華人民共和國計算機信息系統(tǒng)安全保護條例 規(guī)定“計算機信息系統(tǒng)實行安全等級保護”2中辦發(fā)200327號中央辦公廳國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見3公通字200466號公安部/4部委關(guān)于信息安全等級保護工作的實施意見4中辦 200618號中央辦公廳轉(zhuǎn)發(fā)國家信息化領(lǐng)導(dǎo)小組關(guān)于推進國家電子政務(wù)網(wǎng)絡(luò)建設(shè)的意見的通知 5公通字200743號公安部/4部委信息安全等級

8、保護管理辦法6公信安20071360號公安部信息安全等級保護備案實施細則7公信安2007861號公安部/4部委關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知8公信安2008736號 公安部公安機關(guān)信息安全等級保護檢查工作規(guī)范（試行）9發(fā)改高技20082071號發(fā)改委關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風險評估工作的通知10公信安20091429號公安部關(guān)于印送關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導(dǎo)意見的函11公信安2010303號公安部關(guān)于推動信息安全等級保護測評體系建設(shè)和開展等級測評工作的通知主要標準回顧序號標準編號標準分類名稱1GB/T 22240-2008信息安全技術(shù)信息

9、系統(tǒng)安全保護等級定級指南2GB/T 22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求3GB/T 24856-2009信息安全技術(shù)信息系統(tǒng)安全等級保護安全設(shè)計技術(shù)要求4GB/T 25058-2010信息安全技術(shù) 信息系統(tǒng)安全等級保護實施指南5GB/T XXXXX-XXXX信息安全技術(shù) 信息系統(tǒng)安全等級保護測評要求序號標準編號標準分類名稱1GB 17859-1999信息安全技術(shù)計算機信息系統(tǒng)安全保護等級劃分準則2GB/T 20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求3GB/T 21052-2006信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求4GB/T 20270-2006信息安全技

10、術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求5GB/T 20272-2006信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求6GB/T 20273-2006信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求7GB/T 21028-2006信息安全技術(shù)服務(wù)器技術(shù)要求8GA/T 671-2006信息安全技術(shù)終端計算機系統(tǒng)安全等級技術(shù)要求9GB/T 20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求10GB/T 20282-2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求計算機信息系統(tǒng)安全保護等級劃分準則（GB17859）信息系統(tǒng)通用安全技術(shù)要求信息系統(tǒng)物理安全技術(shù)要求技術(shù)類其他技術(shù)類標準信息系統(tǒng)安全管理要求信息系統(tǒng)安全工程管理要求其他管理類標準管理

11、類產(chǎn)品類數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求其他產(chǎn)品類標準操作系統(tǒng)安全技術(shù)要求網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求網(wǎng)絡(luò)和終端設(shè)備隔離部件技術(shù)要求安全建設(shè)整改的依據(jù)信息系統(tǒng)安全等級保護基本要求信息系統(tǒng)安全等級保護定級指南信息系統(tǒng)安全等級保護基本要求的行業(yè)細則信息系統(tǒng)安全等級保護測評過程指南信息系統(tǒng)安全等級保護測評要求信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求信息系統(tǒng)安全等級保護行業(yè)定級細則安全等級基線要求狀況分析方法指導(dǎo)信息系統(tǒng)安全等級保護實施指南信息安全等級保護安全建設(shè)整改工作四級各級信息系統(tǒng)控制項統(tǒng)計技術(shù)33管理52 技術(shù)148 管理170技術(shù)136 管理154技術(shù)79 管理95二級指標項 174項三級指標項 290項二級和三

12、級相差 116項基本要求的技術(shù)能力 第一級：防護第二級：防護、檢測第三級：策略、防護、檢測、恢復(fù)第四級：策略、防護、檢測、恢復(fù)、響應(yīng)基本要求的管理能力 第一級：一般執(zhí)行（部分活動制度）第二級：計劃實施（主要過程制度）第三級：統(tǒng)一策略（制度體系化）第四級：持續(xù)改進（驗證可改進）業(yè)務(wù)系統(tǒng)面臨的安全風險安全問題1、物理環(huán)境安全方面：未注意保留防盜竊、監(jiān)控報警系統(tǒng)的運行維護檢查記錄缺乏各種設(shè)備的安全資質(zhì)和驗收報告2、網(wǎng)絡(luò)安全方面：未合理劃分VLAN網(wǎng)絡(luò)邊界未設(shè)置合理的訪問控制措施未配備入侵防范和網(wǎng)絡(luò)層惡意代碼防范設(shè)備3、主機安全方面：主機、數(shù)據(jù)庫等應(yīng)用系統(tǒng)的補丁未完全更新主機和數(shù)據(jù)庫管理員權(quán)限未分離未

13、關(guān)閉多余的服務(wù)，未配置合理的口令等措施安全問題4、應(yīng)用安全方面：用戶名和密碼以明文形式傳輸未設(shè)置雙因素認證方式無抗抵賴功能5、數(shù)據(jù)安全方面：無完整性機制無保密性機制關(guān)鍵設(shè)備無冗余，未異地備份6、安全管理方面：未建立體系化的安全管理，無詳細運行記錄未建立安全管理中心信息安全管理工作誤區(qū)一、重視局部安全，對總體安全認識不足，對IT規(guī)劃、安全規(guī)劃在信息安全中的重要性認識不足；建設(shè)過程中，在物理環(huán)境、網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)及管理各層面均采用了部分安全措施；但往往忽視整體的安全規(guī)劃，在安全運維中經(jīng)常陷于 “頭痛醫(yī)頭，腳痛醫(yī)腳”疲于奔命的局面；二、對安全運維、安全服務(wù)認識不足，自身技術(shù)條件不足情況下，安全運維長期缺位而不注意引入安全服務(wù)；三、認為信息安全只是技術(shù)問題，對安全管理認識不足，未能運行有效的安全管理體系，造成制度不到位、責任不明確，出現(xiàn)問題難以查找原因；四、認為信息安全即網(wǎng)絡(luò)安全，對物理、主機、應(yīng)用、數(shù)據(jù)安全認識不足，尤其對應(yīng)用安全認識不足；五、重視安全產(chǎn)品的采購，忽視安全機制的建立；認為要達到等級保護要求，把該買的設(shè)備買夠就行，結(jié)果不但造成浪費，而且事與愿違。安全建設(shè)整改目的通過等保安全整改實現(xiàn)提升信息安全水平和符合國家政策兩項目標：一、要提升信息安全管理水平，從組織、人員、制度和技術(shù)各個方面解決信息安全問