信息安全等级保护培训20120207讲义.pptx

信息安全等级保护内部培训 沈武林 等级保护背景 等级保护流程 等级保护基本要求与产品对应详解 深信服等级保护方案 目录 等级保护的背景和基本知识 政府行业电子政务网的分类 根据国家电子政务信息系统中存储、处理 和传输的信息是否属于国家秘密信息，国 家电子政务信息系统分为两种类型： 电子政务涉密信息系统 电子政务非涉密信息系统 详细电子政务网络划分可以参考《国家信息化领导小组关于我国电子 政务建设指导意见》 中办发[2002]17号文 政府行业电子政务网的分类 非涉密信息系统 涉密信息系统 适用标准 等级保护 分级保护 主管部门 公安部 必威体育官网网址局 定级对象 所有不运行涉密信息的信息系统（军队除外）； 副省级以上单位办公网；军工； 军队（军标，主管单位是全军必威体育官网网址委）； 所分级别 第一级（自主保护） 第二级（指导保护） 第三级（监督保护） 第四级（强制保护） 第五级（专控保护） 　 秘密级 机密级 绝密级 资质要求 无明确要求，最好有国信的检测证书。 等保三级以上系统，应优先考虑国内安全产品，除非国外安全产品无法使用国内产品替代时，才允许使用国外安全产品。 集成：必威体育官网网址局发的涉密集成资质 单项：必威体育官网网址局发的涉密单项资质 安全产品：必威体育官网网址局发的涉密检测报告 密码产品：国密局发的密码资质 防病毒软件；公安部的检测报告 军队：军用安全产品检测报告； 全部禁止使用国外安全产品 等级保护的发展 等级保护的一些基础知识 等级保护是一个体系建设工作，相当于中国的27001，将来会是在未来指导我国信息安全工作的根本； 等级保护所有标准为推荐标准（GBT），所以不是强制执行，且各行业会制定自己的标准； 等级保护的定级是针对业务系统，但是进行等级保护建设时讲究的是整体环境建设满足等级要求； 当网络环境内运行多个业务系统时，应当按照定级高的业务系统进行环境建设； 等级保护的定级分为三个纬度SAG，S指的是业务信息安全类，A指的是系统服务保证类，G是基本要求。比如三级分为：S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3，并非等保三级指的是一个要求； 在政府行业，任何时候不要拿安全产品和物理隔离做对比，任何时候拓扑图里也不要出现涉密网和非涉密网连接的情况 等级保护的流程 等级变更 局部调整 信息系统定级 安全规划 安全设计与实施 维护 信息系统终止 等级保护项目的流程 定级并备案 进行风险评估、检查或预测评 制定设计方案 根据设计方案进行系统集成招标 系统集成实施与验收 风险评估与测评（管理+技术） 测评不合规部分整改 预算是在什么时候确定的？ 等级保护（三级S3A3G3）基本技术要求详解 等级保护三级基本技术要求详解 物理安全 网络安全 主机安全 应用安全 数据安全与备份恢复 网络安全-结构安全 基本要求 公司产品功能 应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要； 推荐WOC，流量削减功能 应保证网络各个部分的带宽满足业务高峰期需要； 推荐WOC，流量削减功能 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径； 应绘制与当前运行情况相符的网络拓扑结构图； 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段； 应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段； AF，安全隔离 应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。 BM，流量管理 网络安全 基本要求 公司产品功能 访问控制 AF-防火墙 入侵检测 AF-入侵防御 恶意代码防范 AF-AV网关 注意：与前面提到的WOC以及BM不同，这些产品是不可替代的，也就说，只要做等保三级，这些产品必须采购。 网络安全-安全审计 基本要求 公司产品功能 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录； 一般安全公司在此点要求上会推SOC+网络审计，我们可以推APM+AC，APM用以审计网络设备的运行状况，AC用以审计用户网络行为。 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息； 应能够根据记录数据进行分析，并生成审计报表； 应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。 注意：对于用户网络审计，对于等保三级基本属于强制要求，只要做等保三级必然会采购网络审计系统。等保二级中，有些客户为了省钱可能会用syslog服务器来针对这点要求。 网络安全-边界完整性检查 基本要求 公司产品功能 应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断； 这点一般是终端管理