李赫 2016 2018 等保服务背景 等保测评内容介绍 张志强高级测评师工业和信息化部电子第五研究所软件质量工程研究中心
目录 CATALOG 01 等级保护工作背景 等级保护工作实施内容 02 03 新形势下等保的发展
01 PART 01 第一部分 等级保护工作背景
信息安全等级保护政策法规 国务院 147 号令 中华人民共和国计算机信息系统安全保护条例 公通字 66 号文 关于信息安全等级保护工作的实施意见 公信安 861 号文 关于开展全国重要信息系统安全等级保护定级工作的通知 公信安 736 号文 公安机关信息安全等级保护检查工作规范 公信安 303 号文 关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知 1994 2003 2004 2007 2007 2007 2008 2009 2010 中办发 27 号文 国家信息化领导小组关于加强信息安全保障工作的意见 公通字 43 号文 信息安全等级保护管理办法 公信安 1360 号文 信息安全等级保护备案实施细则 公信安 1429 号文 关于开展信息安全等级保护安全建设整改工作的指导意见
等保回顾 信息安全等级保护政策体系图
信息系统安全等级保护基本要求计算机信息系统安全保护等级划分准则 (GB17859) 信息系统通用安全技术要求信息系统物理安全技术要求技术类其他技术类标准信息系统安全管理要求信息系统安全工程管理要求其他管理类标准信息系统安全等级保护定级指南信息系统安全等级保护基本要求的行业细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求管理类产品类数据库管理系统安全技术要求其他产品类标准信息系统安全等级保护行业定级细则操作系统安全技术要求信息安全等级保护安全建设整改工作网络基础安全技术要求网络和终端设备隔离部件技术要求安全等级基线要求状况分析方法指导信息系统安全等级保护实施指南测评类标准设计类标准信息安全等级保护技术体系图
信息安全等级保护分级标准 第一级为自主保护级, 适用于一般的信息和信息系统, 其受到破坏后, 会对公民 法人和其他组织的权益有一定影响, 但不危害国家安全 社会秩序 经济建设和公共利益 第二级为指导保护级, 适用于一定程度上涉及国家安全 社会秩序 经济建设和公共利益的一般信息和信息系统, 其受到破坏后, 会对国家安全 社会秩序 经济建设和公共利益造成一定损害 第三级为监督保护级, 适用于涉及国家安全 社会秩序 经济建设和公共利益的信息和信息系统, 其受到破坏后, 会对国家安全 社会秩序 经济建设和公共利益造成较大损害 第四级为强制保护级, 适用于涉及国家安全 社会秩序 经济建设和公共利益的重要信息和信息系统, 其受到破坏后, 会对国家安全 社会秩序 经济建设和公共利益造成严重损害 第五级为专控保护级, 适用于涉及国家安全 社会秩序 经济建设和公共利益的重要信息和信息系统的核心子系统, 其受到破坏后, 会对国家安全 社会秩序 经济建设和公共利益造成特别严重损害
信息安全等级保护的范围 一级系统 : 一般适用于小型私营 个体企业 中小学 乡镇所属信息系公统 县级单位中一般的信息系统 二级系统 : 一般适用于县级某些单位中的重要信息系统 ; 地市级以上国家机关 企事业单位内部一般的部信息系统 例如非涉及工作秘密 商业秘密 敏感信息的办公系统和管理系统等 三级系统 : 一般适用于地市级以上国家机关 企业 事业单位内部公重要的信息系统, 例如涉及工作秘密 商业秘密 敏感信息的办公系统和管理系统 ; 跨省 跨市或全国 ( 省 ) 联网运行的用于生产 调度 管理 作业 指挥等方面的信息系统 ; 跨省或全国联网的重要信息系统在省 地市的分支系统 ; 中央各部委 省 ( 区 市 ) 门户网站和重要网站 ; 跨省联接的网络等 四级系统 : 一般适用于国家重要领域 重要部门中的特别重要系统以及核心系统 例如全国铁路 民航 电力等部门的调度系统, 银行 证券 保险 税务 海关等几十个重要行业 部门中的涉及国计民生的核心系统 五级系统 : 一般适用于国家重要领域 重要部门中的极端重要系统, 基本已接近于涉 M 范畴
等级保护工作政策背景 信息安全等级保护的基本原则 明确责任, 共同保护 依照标准, 自行保护 同步建设, 动态调整 指导监督, 重点保护 通过等级保护, 组织和动员国家 法人和其他组织 公民共同参与信息安全保护工作, 各方主体按照规国家运用强制性的规范及标准, 要范和标准分别承担相应的 明确的保护职责求信息系统按照相应的建设和管理要求信息系统在新建 改建 扩建时同, 自行定级 自行保护步建设安全设施, 保障信息化与安全建设相适应 系统进行重大变更国家建立信息安全监督职能部门,, 其安全保护等级应作出相应的调整通过备案 指导 检查 督促整改等方式, 对重要信息系统的信息安全保护工作进行指导监督
等级保护工作的内涵 信息安全等级保护的内涵 对国家秘密信息 法人和其他组织及公民的专有信息以及公开信息和存储 传输 处理这些信息的信息系统分等级实行安全保护 对信息系统中使用的信息安全产品实行按等级管理 对信息系统中发生的信息安全事件分等级响应 处置
等级保护工作的作用 信息安全等级保护的作用 明确重点 突出重点 保护重点 将有限的财力 物力 人力投入到重要信息系统安全保护中 有效保护基础信息网络和关系国家安全 经济命脉 社会稳定的重要信息系统的安全, 维护国家信息安全
等级保护工作的意义 信息安全等级保护产生的意义 支撑了国家网络安全保障体系建设 提升了众多行业信息系统信息安全防护水平 增强了全社会的信息安全意识 促进了我国信息安全产业的发展
02 PART 02 第二部分 等级保护工作实施内容
等级保护工作实施的主要内容 定级 备案 安全建设整改 等级测评 安全检查 自主定级 专家评审 主管部门审批 公安机关审核 第二级以上信息系统到公安机关办理备案手续, 合格颁备案证明 落实安全责任 建设安全设施 落实安全技术措施 落实安全管理制度 聘请符合要求的测评机构依据相关国家 行业标准开展等级测评工作 定期对第三级及以上的信息系统进行安全检查, 接受公安机关监督 检查 指导
等级保护工作实施内容 - 系统定级 系统定级要求 管理办法 第六条指出 国家信息安全等级保护坚持自主定级 自主保护的原则 定级工作主体是信息系统运营使用单位和主管部门 定级工作是等保后续工作的重要基础 定级工作主要内容 确定定级对象确定信息系统安全保护等级组织专家评审主管部门审批公安机关审核 依据标准 公信安 2007 861 号 关于开展全国重要信息系统安全等级保护定级工作的通知 GB/T 22240-2008 信息安全技术信息系统安全保护等级定级指南
等级保护工作实施内容 - 系统定级 定级要素 等级保护对象受到破坏时所侵害的客体 对客体造成侵害的程度 定级要素与安全保护等级的关系 所侵害的客体 公民 法人和其他组织的合法权益 社会秩序 公共利益 对客体的侵害程度 一般损害严重损害特别严重损害 第一级第二级第二级 第二级第三级第四级 国家安全第三级第四级第五级 一般损害 : 工作职能受到局部影响, 业务能力有所降低但不影响主要功能的执行, 出现较轻的法律问题, 较低的财产损失, 有限的社会不良影响, 对其他组织和个人造成较低损害 严重损害 : 工作职能受到严重影响, 业务能力显著下降且严重影响主要功能执行, 出现较严重的法律问题, 较高的财产损失, 较大范围的社会不良影响, 对其他组织和个人造成较严重损害 特别严重损害 : 工作职能受到特别严重影响或丧失行使能力, 业务能力严重下降且或功能无法执行, 出现极其严重的法律问题, 极高的财产损失, 大范围的社会不良影响, 对其他组织和个人造成非常严重损害
等级保护工作实施内容 - 系统定级 信息系统安全由以下两方面确定 : 1 业务信息安全等级 2 系统服务安全等级 作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定 定级一般流程
等级保护工作实施内容 - 系统定级 定级工作成果物 信息系统定级报告 专家评审意见 主管部门审核意见 定级成果物
等级保护工作实施内容 - 系统备案 系统备案要求 已运营 ( 运行 ) 的第二级以上信息系统, 应当在安全保护等级确定后 30 日内, 由其运营 使用单位到所在地设区的市级以上公安机关办理备案手续 新建第二级以上信息系统, 应当在投入运行后 30 日内, 由其运营 使用单位到所在地设区的市级以上公安机关办理备案手续 备案受理单位要求 地市级以上公安机关公共信息网络安全监察部门受理本辖区内备案单位的备案 隶属于省级的备案单位, 其跨地 ( 市 ) 联网运行的信息系统, 由省级公安机关公共信息网络安全监察部门受理备案 隶属于中央的非在京单位的信息系统, 由当地省级公安机关公共信息网络安全监察部门 ( 或其指定的地市级公安机关公共信息网络安全监察部门 ) 受理备案 跨省或者全国统一联网运行并由主管部门统一定级的信息系统在各地运行 应用的分支系统 ( 包括由上级主管部门定级, 在当地有应用的信息系统 ), 由所在地地市级以上公安机关公共信息网络安全监察部门受理备案
等级保护工作实施内容 - 系统备案 备案材料 系统备案需提交的材料 办理备案手续时, 应当提价的材料 : 1 信息系统安全等级保护备案表 -- 单位基本信息表 ( 每单位一份 ) -- 备案系统信息表 ( 每系统一份 ) 2 信息系统安全等级保护定级报告 单位基本信息表和系统备案表可通过软件自动生成, 软件可在以下地址下载 http://www.gdnet110.gov.cn/djbh /zlxz/t20070919_159344.htm 根据 信息安全等级保护管理办法 第十六条的规定, 第三级以上信息系统应当同时提供以下材料 : 1 系统拓扑结构及说明 2 系统安全组织机构和管理制度 3 系统安全保护设施设计实施方案或改建实施方案 4 系统使用的信息安全产品清单及其认证 销售许可证明 5 系统等级测评报告 6 专家评审意见 7 上级主管部门审批意见
等级保护工作实施内容 - 系统备案 系统备案实施流程 取得备案证明 备案工作可以参考 : 信息安全等级保护备案实施细则 ( 公信安 2007 1360 号 )
等级保护工作实施内容 - 建设整改 安全建设整改要求 信息系统运营和使用单位根据国家信息安全等级保护管理规范和技术标准, 开展信息系统安全建设和改建工作 安全建设整改通常包括两大部分内容 : 1) 安全管理制度建设 2) 安全技术措施建设 坚持管理和技术并重的原则 信息系统运营使用单位通过开展信息安全等级保护安全建设整改工作, 按照国家有关规定和标准规范要求, 坚持管理和技术并重的原则, 将技术措施和管理措施有机结合, 建立信息系统综合防护体系, 使备案信息系统能够达到相应安全等级的基本保护水平和保护能力
等级保护工作实施内容 - 等级测评 等级测评要求 信息系统建设完成后, 运营使用单位应选择具有相应资质的测评单位, 对信息系统安全等级状况开展测评 完成测评后, 将 等级测评报告 提交公安机关备案 第二级信息系统原则上开展一次等级测评 第三级信息系统应当每年至少进行一次等级测评, 对于重要部门的第二级信息系统, 可以参照上述要求开展等级测评 第四级信息系统应当每半年至少进行一次等级测评 安全测评的时机 安全建设整改前 安全建设整改后 差距评估 : 形成安全建设整改的安全需求 等级测评 : 评估系统是否具备相应等级的安全保护能力, 出具等级测评报告
等级保护工作实施内容 - 等级测评 等级测评的内容
等级保护工作实施内容 - 等级测评 等级测评的方法 访谈 : 测评人员通过与信息系统有关人员 ( 个人 / 群体 ) 进行交流 讨论等活动, 获取证据以证明信息系统安全保护措施是否有效的一种方法 检查 : 测评人员通过对测评对象进行观察 查验 分析等活动, 获取证据以证明信息系统安全保护措施是否有效的一种方法 测试 : 测评人员使用预定的方法 / 工具使测评对象产生特定的行为, 通过查看 分析这些行为的结果, 获取证据以证明信息系统安全保护措施是否有效的一种方法
等级保护工作实施内容 - 监督检查 安全自查 信息系统运营 使用单位及其主管部门应当定期对信息系统安全状况 安全保护制度及措施的落实情况进行自查 第三级信息系统应当每年至少进行一次自查, 第四级信息系统应当每半年至少进行一次自查 经自查, 信息系统安全状况未达到安全保护等级要求的, 运营 使用单位应进一步进行安全整改 自查参考指南基本要求测评要求 监督检查 公安机关网络安全保卫部门定期对备案单位等级保护工作开展和实施情况进行监督检查 每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次 每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次 检查工作采取询问情况, 查阅 核对材料, 调看记录 资料, 现场查验等方式 监督检查指南公安机关信息安全等级保护检查工作规范 ( 试行 )
03 PART 03 第三部分 新形势下等保的发展
等保面临的挑战 随着云计算 移动互联网 大数据 物联网 人工智能 区块链等新技术的不断涌现, 新的系统形态 新业态下的应用 新模式背后的服务 以及重要数据和资源统统等对等保工作提出了新的挑战!
等保面临的挑战 新技术发展给安全的内涵带来新的变化 基础信息网络和重要信息系统安全隐患严重 面临的国内外网络安全形势越来越严峻 传统互联网威胁向工控系统扩散 移动设备和支付安全问题凸显 云端安全事件将大量增加 智能技术应用安全问题更突出 黑客和网络恐怖组织破坏力加大 泄露窃密性攻击步入 高发期 网络空间国际话语权角逐激烈 全球网络空间军备竞赛风险加剧
新形势下等保的发展 新形势下, 等级保护空前重要 新形势下, 等级保护制度上升为法律 新形势下的等保 新形势下, 等级保护对象大扩展 新形势下, 等级保护体系大升级 新形势下, 等级保护内容大不同
新形势下, 等级保护空前重要 当前我们国家正面临经济社会结构调整和转型, 信息技术已经成为新的引擎, 可以预见, 网络和信息系统作为新兴动力的承载者, 必将构建起整个经济社会的神经中枢 重要性带来的必然是安全保障的紧迫性, 因此, 等级保护将继续扮演不可替代的重要角色 海洋 陆地 天空 网络空间已经成为与陆地 海洋 天空 太空同等重要的人类活动新领域 网络空间主权成为了国家主权的一个新维度 维护网络空间主权的重心在网络空间安全 网络空间 太空
新形势下, 等级保护制度上升为法律 中华人民共和国网络安全法 已于 6 月 1 日正式施行, 作为网络安全基础性法律, 在第 21 条明确规定了 国家实行网络安全等级保护制度, 要求网络运营者应当按照网络安全等级保护制度要求, 履行安全保护义务 ; 第 31 条规定 对于国家关键信息基础设施, 在网络安全等级保护制度的基础上, 实行重点保护 等级保护制度在今天已上升为法律, 并在法律层面确立了其在网络安全领域的基础 核心地位, 正如业内所言, 不做等保就是违法了 事件一 : 腾讯微信 新浪微博 百度贴吧涉嫌违反 网络安全法 被立案调查 ; 事件二 :BOSS 直聘被网信办责令整改 ; 事件三 : 汕头某公司未及时履行网络安全义务, 网警依据网安法责令改正 ; 事件四 : 重庆一网络公司未留存用户登录日志被网安查处 ; 事件五 : 四川一网站因高危漏洞遭入侵被罚 ; 事件六 : 宿迁网警成功查处全省首例违反 网络安全法 接入违规网站案 ; 事件七 : 山西忻州市某省直事业单位网站不履行网络安全保护义务被处罚 ; 事件八 : 淘宝网 同花顺金融网 蘑菇街互动网等 5 家网站被责令限期整 ;
新形势下, 等级保护对象大扩展 早在 2003 年, 中办 国办转发的 国家信息化领导小组关于加强信息安全保障工作的意见 中指出, 要重点保护基础信息网络和关系国家安全 经济命脉 社会稳定等方面的重要信息系统, 这个定义就是网络安全法中的 关键信息基础设施 大型互联网企业基础网络重要信息系统大数据中心 等保对象不再局限于计算机信息系统 移动互联网工业控制系统公众服务平台云计算平台
新形势下, 等级保护内容大不同 风险评估 安全监测 通报预警 等保五大规定动作 : 定级 综治考核 案事件调查 备案 建设整改 等级测评 监督检查 效果评价 等保的内涵将大为丰富和完善 主动控制 数据防护 被动防御 供应链安全 自主可控 应急处置 灾难备份
新形势下, 等级保护体系大升级 安全监测 通报预警 快速处置 等级保护政策体系 技术体系 标准体系 服务体系 测评体系 关键技术研究体系 态势感知 精确打击 教育训练体系 等级保护体系 国家关键信息基础设施安全保卫体系 安全防范
等级保护标准体系发展 信息安全技术信息系统安全等级保护基本要求 (GB/T 22239-2008) 扩展 网络安全等级保护基本要求第 1 部分 : 安全通用要求 网络安全等级保护基本要求第 2 部分 : 云计算安全扩展要求 网络安全等级保护基本要求第 3 部分 : 移动互联安全扩展要求 网络安全等级保护基本要求第 4 部分 : 物联网安全扩展要求 网络安全等级保护基本要求第 5 部分 : 工业控制系统安全扩展要求 网络安全等级保护基本要求第 6 部分 : 大数据安全扩展要求 信息安全技术信息系统等级保护安全设计技术要求 (GB/T 25070-2010) 扩展 网络安全等级保护设计技术要求第 1 部分 : 安全通用要求 网络安全等级保护设计技术要求第 2 部分 : 云计算安全扩展要求 网络安全等级保护设计技术要求第 3 部分 : 移动互联安全扩展要求 网络安全等级保护设计技术要求第 4 部分 : 物联网安全扩展要求 网络安全等级保护设计技术要求第 5 部分 : 工业控制系统安全扩展要求 网络安全等级保护设计技术要求第 6 部分 : 大数据安全扩展要求 信息安全技术信息系统安全等级保护测评要求 (GB/T 28448-2012) 扩展 网络安全等级保护测评要求第 1 部分 : 安全通用要求 网络安全等级保护测评要求第 2 部分 : 云计算安全扩展要求 网络安全等级保护测评要求第 3 部分 : 移动互联安全扩展要求 网络安全等级保护测评要求第 4 部分 : 物联网安全扩展要求 网络安全等级保护测评要求第 5 部分 : 工业控制系统安全扩展要求 网络安全等级保护测评要求第 6 部分 : 大数据安全扩展要求
李赫 2016 2017 报告完毕谢谢大家的聆听 张志强 18665088858 zhangzhiqiang@ceprei.com 工业和信息化部电子第五研究所 软件质量工程研究中心