等级保护整理总结

bugTracer
256 阅读10分钟

一、什么是等级保护

  • 为什么等级保护

    1. 国家信息形势安全炎魂
    2. 针对信息系统违法犯罪持续上升

  • 等级保护的作用

    1. 推动信息安全发展

  • 公安部门开展信息安全等级保护的依据

    1. 国务院147号令公安部门主管等保工作,等保具体办法由公安部会同其他部门制定,公安部出塔了82、151号令,之后人大出台了《网络安全法》
    2. 08年,国务院给公安部增加了职能:监督、监察、知道信息安全保护

二、等级保护基本工作流程

1、定级

步骤:确定定级对象,初步确认定级对象,专家评审,主管部门审核,公安机关备案审查

对有价值的资产定级(pc\服务器、终端等)

2、备案

持定级报告、备案材料到当地公安机关网络安全部门备案

例如:xxx信息系统去备案

3、建设整改

参照信息系统当前的等级要求和标准,对信息系统整改加固;

根据定级的等级要求,检查xxx信息系统的整改

4、等级测评

委托具备测评资质的测评机构图对信息系统进行等级测评,形成测评报告

对系统评分形成报告

5、监督检查

向当地公安机关网监部门提交测评报告,配合和完成对信息安全的等级保护实施情况的检查

三、等级保护的级别划分和定级参照

标准划分的依据是,信息系统按照重要性和收破坏后的危害性进行分级,目的是为了帮助使用单位认识和发现可能存在的安全隐患,及时改进,提升信息系统防护

由低到高,分为5级。

  • 级别一、自住安全保护级

信息系统遭受破坏后,会对公民、法人、其他组织等造成权益伤害,但是不损害国家安全、社会秩序、公共利益。

定级参照:一般适用于小型的私营企业、个体企业、中小学、乡镇所属信息系统、县级单位中一般性质的信息系统

  • 级别二、审计安全保护级

信息系统遭受破坏后,会对公民、法人、其他组织等造成权益严重伤害,或者对社会秩序、公共利益有损害,但是不损害国家利益

定级参照:一般适用于县级某些单位中的重要信息系统;城市级以上国家机关、企事业单位内部一般的信息系统。例如非设计工作秘密、商业秘密、敏感信息的办公系统和管理系统;等保1.0中法院和医院建议要求至少级别2,在等保2.0发布会,会建议升级到级别3;

  • 级别三、强制安全等级保护

信息系统遭受破坏后,会对社会秩序、公共利益有严重损害,或者对国家安全有损害

定级参照:一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如设涉及工作秘密、商业秘密、秘密信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、作业、控制的重要信息系统以及这列系统在省、是的分支系统;中央各部位、省(区、市)门户网站和重要网站;跨省链接的网络系统;在政务系统中,大部门都定级三级;

  • 级别四、结构化保护级

信息系统遭受破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害

和生命安全国家财产等相关的。

定级参照:一般适用于国家重要领域,重要部门中特别重要系统以及核心系统;例如电力、电信、广电、铁路、民航、银行、税务等重要部门的生产、调度、智慧等,涉及国家安全、国计民生等核心系统

  • 级别五、访问验证保护级别

信息系统遭受破坏后,会对国家安全造成特别严重损害;

一般适用于国家重要领域、重要部门中的极端重要系统;

四、等级保护基本要求

  • 技术类基本要求

    主要是信息系统中部署的软件和硬件的安全功能和配置实现

    • 物理安全

      • 机房位置选择、防火防雷、防静电、防水防潮、物理访问控制、防盗窃破坏、、电力供应、电磁防护

    • 网络安全

      • 网络结构安全(双冗余)、区域划分(防火墙)、访问控制、边界防护、入侵防范、病毒防护、通信保护

    • 主机系统安全

      • 身份鉴别、访问控制、安全审计、入侵防范、病毒防护、资源控制、安全标记、剩余信息保护

    • 应用安全

      • 身份鉴别、访问控制、安全审计、通信完整和保密性、软件容错、资源控制、安全标记、抗抵赖

    • 数据安全

      • 数据保密性、数据完整性、备份和回复

  • 管理类基本要求

    通过控制各种角色的活动,才能够政策、制度、流程、记录等规定来实现

    • 安全管理机构

      • 岗位设计、人员配置、授权审批、沟通合作、审核检查

    • 安全管理制度

      • 管理制度、指定和发布制度、评审和修订制度

    • 人员安全管理

      • 人员录用、人员离岗看、人员考核、教育培训、人员访问管理(重要)

    • 系统建设管理

      • 定级备案、安全方案设计、产品采购使用、自行软件开发、外包软件开发、工程项目管理、系统交付、安全服务选择、等级测评

    • 系统运维管理

      • 环境管理、资产管理、设备管理、监控管理、安全管理中心、网络安全管理、系统安全管理、变更管理、备份恢复管理、时间处置、应急响应

五、等1.0和等保2.0的区别

  • 发展的历史

2003年-中办发文,提出了实行信息安全等级保护纲领性文件

2007年-43号文件,规定了等级保护基本内容,流程、和工作要求,为后续开展安全等保工作提供了规范。正式形成了等保1.0

2018年《网络安全等级保护基本要求》新国标发布,等保建设正式进入到2.0时代

  • 区别

    1.0时代,《信息安全技术 信息系统安全等级保护基本要求》

    2.0时代,《信息安全技术 网络安全等级保护基本要求》

    和《网络安全法》中相关内容保持一致,增加了云计算、物联网、工业控制、移动互联等测评新内容。

  • 内容

    云计算、物联网、移动互联、工业控制是2.0时代新增的

  • 技术标准区别

网络安全->网络和通信安全(范围更广)

物理安全->物理和环境安全(宽泛)

  • 控制点区别

总体看,等保2.0通用要求在技术部分的基础上做了调整,但控制点要求上并没有明显增加,通过合并后相对旧标准略有缩减

六、应用系统测评内容和标准

  1. 身份鉴别

    a )应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求井定期更换; b )应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施: c )应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

  2. 访问控制

    a )应对登录的用户分配账户和权限: b )应重命名或删除默认账户,修改默认账户的默认口令; c )应及时删除或停用多余的、过期的账户,避免共享账户的存在: d )应授子管理用户所需的最小权限,实现管理用户的权限分离: e )应由授权主体配置访问控制策略,访间控制策略规定主体对客体的访问规则: f )访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级; g )应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。

  3. 安全审计

    a )应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计: b )审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; d )应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。

  4. 入侵防范

    a )应提供败据有效性检验功能。保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求: b )应能发现可能存在的己知漏洞,并在经过充分测试评估后,及时修补漏洞:

  5. 数据完整性

    a )应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴別数据、重要业务数据、重要审计数据、重要配置数据、重要视頻数据和重要个人信息等;

  6. 数据保密性

    a )应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、歳要业务数据 和重要个人信息等: b )应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。

  7. 数据备份恢复

    a)应该提供重要数据的本地数据备份和回复的功能

    b)应提供异地实时备份功能,利用通信网络将重要数据实时本分至备份场地

  8. 剩余信息保护

    a )应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除: b )应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。

    防止其他用户非授权时候,获取不及时清除应用系统中的 Session 信息和 Cookie 信息

  9. 个人信息保护

    a)应仅采集和保存业务必须的用户个人信息

    b)应禁止未授权访问和非法使用用户个人信息

七、等保三级的测评控制点

参考《等保2.0三级算分标准表》

八、安全管理机构的测评控制点

blog.csdn.net/skystephens…

avatar
文章
阅读
粉丝