信息安全等级保护.ppt

张泽军 CONTENTS 目录 一、等级保护背景 二、等级保护要点 三、等级保护（技术管理） 等级保护背景 信息安全作用和战略意义 信息安全保护发展历史 我国重要的信息安全保护标准 信息安全作用和战略意义 威胁事件 2012.7 雅虎服务器被黑 45万用户信息泄露 2013.10 慧达驿站软件漏洞导致连锁酒店数据库被拖库 2000万条开房记录泄露 2018.3 facebook数据外泄，被欧美等国问责调查，市 值蒸发360亿美元 英国多家银行被“特洛伊木马”病毒攻击，约 10亿英镑被盗 2002.7 首都机场因计算机故障导致6000多人滞留，150 多架飞机延误 2016.10 美国Dyn DNS遭到DDoS攻击，造成大量网站一 度瘫痪，Twitter24小时0访问 西方国家伪造“罗马尼亚国家安全部队”屠杀 群众电视画面并利用互联网和广播电视向罗 马尼亚境内不间断播放，激化其国内矛盾，导 致当权政权垮台 作用和意义 提高信息安全防护能力 降低系统被各种攻击的风险 保障系统正常稳定的运营 避免或减少经济风险 政治意义：防范敌对势力进行的政治攻击 经济意义：有助于规避经济安全风险或最大 限度的减少这类风险 文化意义：确保自身文化安全，防止敌对文 化入侵 等级保护发展历史介 中国等保发展历程 前期储备阶段 1994年《中华人民共和国计算机信息系统安全保护条例》 法律基础 1999年《计算机信息系统安全保护等级划分准则》(GB 17859-1999) 等级划分 二.预备阶段 2004年《关于信息安全等级保护工作的实施意见》 制度框架规划 2006年《关于开展信息安全等级保护试点工作的通知》 试点工作 三.全面实施阶段 2007.6《信息安全等级保护管理办法》等保的划分，实施和管理进行规定 2008年《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008) 等级评测标尺 四.深化推进阶段 2010.4《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》 阶段性目标 2010.12 《关于进一步推进中央企业信息安全等级保护工作的通知》 央企贯彻执行等保 TCSEC、CC和GB17859-1999定级划分 D:最小保护级 C1:自主安全保护级 C2:受控访问保护级 B1:标记安全保护级 B2:结构化保护级 B3:安全域保护级 A1:验证设计保护级 TCSEC GB17859-1999 1:自主安全保护级 2:受控访问保护级 3:标记安全保护级 4:结构化保护级 5:安全域保护级 EAL1:功能性测试 EAL2:结构化测试 EAL3:具有方法学的测试和检查 EAL4:具有方法学的设计、测试和审查 EAL5:半形式化的设计和测试 EAL6:半形式化验证的设计和测试 EAL7:形式化验证的设计和测试 CC 十大重要标准 基础类 《计算机信息系统安全等级保护划分准则》 （GB 17859-1999） 《信息系统安全等级保护实施指南 》（GB/T 25058-2010） 应用类 定级：《信息系统安全保护等级定级指南 》（GB/T 22240-2008） 建设：《信息系统安全等级保护基本要求 》（GB/T 22239-2008） 《信息系统通用安全技术要求》 （GB/T 20271-2006） 《信息系统等级保护安全设计技术要求》（GB/T 25070-2010） 测评：《信息系统安全等级保护测评要求》（GB/T 28448-2012） 《信息系统安全等级保护测评过程指南》 （GB/T 28449-2012） 管理：《信息系统安全管理要求》（GB/T 20269-2006） 《信息系统安全工程管理要求 》 （GB/T 20282-2006） 其它相关标准 信息安全技术 《信息系统物理安全技术要求》 GB/T 21052-2007 《网络基础安全技术要求》 GB/T 20270-2006 《信息系统通用安全技术要求》 GB/T 20271-2006 《操作系统安全技术要求》 GB/T 20272-2006 《数据库管理系统安全技术要求》GB/T 20273-2006 《信息安全风险评估规范》 GB/T 20984-2007 《信息安全事件管理指南》 GB/T 20985-2007 《信息安全事件分类分级指南》 GB/Z 20986-2007 《信息系统灾难恢复规范》 GB/T 20988-2007 等级保护标准系列逻辑关系 等级保护要点 保护对象：信息系统安全；客体、社会