Levin的小屋
文章 标签 分类 Gellary
Levin的小屋

Contents

等级保护(第一阶段)学习笔记

Levin
   6433 words   13 minutes 

等级保护(第一阶段)学习笔记

https://wanqian6311.github.io/blog/images/dengbaoceshixuexibiji/img/Pasted-image20250705225955.png

网络安全等级保护的基本含义

  • 等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息的存储、传输、处理这些信息的系统分等级实行安全保护
  • 对信息系统中使用信息安全产品实行按等级管理;对信息系统中发生的信息安全事件分等级响应、处置。

突出问题

  • 信息安全滞后于信息化发展
  • 信息安全阻碍了信息化发展

存在问题

  • 大多数单位虽然采用防火墙作为内外网的边界防护设备
  • 重视外部攻击与入侵,忽视内部的非法行为
  • 偏重产品,忽视体系和管理
  • 关键技术,产品受制于人

外部因素————形式所迫

  • 攻击技术越来越复杂、入侵条件越来越简单
  • 来自境外敌对势力的入侵、攻击、破坏日益严重

内部因素————国情所需

  • 信息安全保障工作基础比较薄弱
  • 基础信息网络和重要信息系统安全隐患严重
  • 是维护国家安全的需要,信息安全是国家安全的重要组成部分

2014年习总书记成立“网络安全与信息化领导小组” 第一次会议指出:没有网络安全就没有国家安全,没有信息化就没有现代化,且规划了构建网络安全的短期目标和长期安全

面对的威胁

  • 西方发达国家信息技术优势明显,我国面临信息强国的冲击、挑战和威胁,信息系安全领域始终面临信息战和网络恐怖袭击的威胁
  • 敌对势力的网上煽动、渗透和破坏活动愈加突出,针对信息系统进行的破坏活动日益严重,利用网络实施的违法犯罪案件持续大幅上升
  • 受威胁的对象是操作系统、数据库和信息系统,攻击的目的是使系统瘫痪、信息被窃取、篡改破坏。早期是能直接接触计算机系统的人(单机、多用户终端、局域网),现在攻击者和方式发生了变化,广域网、因特网使任何信息系统参与人都有可能成为攻击者。在参与人中,有正常使用的人,也有非正常使用的人,后者称为“攻击者或者黑客”。攻击者氛围几类,有着不同的目的。

网络空间极大威胁:有利可图、全方位攻击

攻击源         方式————目的           网络
黑客群体————病毒————谋财————>资产财富
敌对势力————APT————暴恐—————>基础设施
霸权国家————网络战———侵占—————>国家主权

等级测评目的

  • 可以掌握信息系统的安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求
  • 衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力
  • 等级测评结果也是公安机关等安全监管部门 进行监管、检查、指导的参照

一个提高、五个有利于

提高———网络安全保障工作的整体水平
有利于——同步建设
有利于——提供指导和服务
有利于——优化信息安全资源配置
有利于——明确责任
有利于——推动信息安全产业发展

等保的要求

系统重要程度有多高,安全宝华就应该有多强,既不能保护不足,也不能保护过度

要点:平衡安全和成本

实行等级保护的目的:

  • 遵循客观规律,信息安全的等级是客观存在的
  • 有利于突出重点,加强安全建设和管理
  • 有利于控制安全的成本

为什么要等级保护

  • 信息安全领域实施的基本国策
  • 信息安全保障工作的基本制度(唯一、不可替代)
  • 开展信息安全工作的基本方法
  • 促进信息化、维护国家信息安全的根本保障

网络安全法第三章第一节第二十一条

  • 国家实行网络安全等级保护制度

  • 网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏挥着未经授权的访问,防止网络数据泄露或者被窃取、篡改

(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任

(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施

(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少与六个月

(四)采取数据分类、重要数据备份和加密等措施

(五)法律、行政法规规定的其他义务

总结

  • 国家政策推动:等级保护是国家的一项信息安全基本国策
  • 上级监督要求:行业监管机构的等保合规性检查
  • 公安机关检查:当地公安机关定期进行等级保护工作检查
  • 自身安全需求:系统安全防护措施薄弱,落后于信息化发展
  • 项目申请需要:以等级保护建设来推动信息安全项目开展

等级保护发展历程

  • 1994年《中华人民共和国计算机信息系统安全保护条例》颁布实施
  • 1999年《计算机信息系统安全等级保护划分准则》(GB17859)发布
  • 2008年等级保护1.0元年《信息安全技术 信息系统安全等级保护基本要求》相关标准发布实施
  • 2016年发布《中华人民共和国网络安全法》
  • 2019年等级保护2.0元年 5月13日正式发布等级保护2.0版本《信息安全技术网络安全等级保护基本要求》

等级保护的对象演变

  • 1994年 计算机信息系统
  • 2003年基础信息网络/重要信息系统 重点
  • 2017年重要网络设施/重要信息系统

保护重点没有变,但复杂度提高

标准名称的变化

等保2.0将原来的标准《信息安全技术 信息系统安全等级保护基本要求》改为《信息安全技术 网络安全等级保护基本要求》,与《中华人民共和国网络安全法》中的相关法律条文保持一致

等级保护制度文档

  • GBT20984-2007 《信息安全技术 信息安全风险评估规范》
  • GBT22239-2019 《信息安全技术 网络安全等级保护基本要求》
  • GBT22240-2018 《信息安全技术 网络安全等级保护定级指南》
  • GBT25058-2019 《信息安全技术 网络安全等级保护实施指南》
  • GBT25070-2019 《信息安全技术 网络安全等级保护安全设计技术要求》
  • GBT28448-2019 《信息安全技术 网络安全等级保护测评要求》
  • GBT28449-2018 《信息安全技术 网络安全等级保护测评过程指南》
  • 电监信息 [2007] 34号 《关于开展电力行业信息系统安全等级保护定级工作的通知》
  • 电监信息 [2007] 44号 《电力行业信息系统等级保护定级工作指导意见》的通知
  • 电监信息[2012]62 号《电力行业信息系统安全等级保护基本要求》
  • 国能安全[2014]317 号《电力行业网络与信息安全管理办法》
  • 国能安全[2014]318 号《电力行业信息安全等级保护管理办法》
  • 国家发展改革委员会 2014 年第 14 号令《电力监控系统安全防护规定》

等级测评概念

  • 信息系统安全等级保护测评工作(等级测评)是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动
  • 等级测评是标准符合性评判活动,即依据信息安全等级保护的国家标准或行业标准,按照特定的方法对信息系统的安全保护能力进行科学公正的综合评判过程。

核心思想

          某级系统
             ↓
        《基本要求》
             ↓
    ——————————
   ↓                   ↓
技术要求             管理要求
   ↓                   ↓
建立安全技术体系     建立安全管理体系
   ↓                    ↓
    ——————————
               ↓
    具有某级安全保护能力的系统


            |——大数据
            |
            |                        |——工业控制系统
等级保护对象|——信息系统(计算机)—|——物联网
            |                        |——使用移动互联技术信息系统
            |                        |——云计算平台
            |——基础信息网络

等保2.0基本要求

技术要求:

安全物理环境
安全通信网络
安全区域边界
安全计算环境
安全管理中心

管理要求:

安全管理制度
安全管理机构
安全管理人员
安全建设管理
安全运维管理

物理环境:

电力供应
防盗窃和防破坏
物理访问控制
物理位置选择
电磁防护(不做硬性要求)
防雷击、防火、防水和防潮、防静电、温湿度控制

登记保护基本流程

               资料不齐
           |———<———|
           |             |
系统定级——系统备案——建设/整改——等级测评——监督与检查
    |                     |  |           |
    |————<——————|  |———<——|   
           定级不准           测评不合格
  • 系统定级:信息系统运营、使用单位按照《信息系统信息安全等级保护定级指南》,确定信息系统安全等级。申报系统在新建、改建、扩展立项时必须同时向立项审批部门提交定级报告。
  • 系统备案:已运行的信息系统在安全保护等级确定后30日内,由其运营、使用单位到所在地市级及上公安机关办理备案手续,新建系统,在通过立项申请后30日内办理备案手续
  • 建设/整改:可委托第三方服务机构、测评机构分析整改需求。信息系统运营、使用单位可依据整改方案,开展信息系统安全建设及整改
  • 等级测评:选择第三方测评机构进行测评,对于新建系统可在试运行阶段进行测评。信息系统运营、使用单位通过测评后,向市级以上公安机关提交测评报告
  • 监督与检查:定期选择第三方测评机构开展测评工作。三级信息系统一年测评一次,四级信息系统半年测评一次

登记保护五个步骤

定级、备案、安全建设整改、等级测评和监督检查

           安全建设整改
         ↗            ↘
定级 → 备案     ↑  ↓    监督检查
         ↘            ↗
             等级测评

信息系统备案流程

《信息系统安全等级保护备案表》

备案————————————————> 受  理
                                        ↓
                                     审  核
                                        ↓10个工作日
《信息系统安全等级保护备案证明》 <——发  证

基本流程

定级与备案

主体:主管部门与运营使用单位
参与者:公安机关、安全服务机构

建设整改

主体:运营使用单位
参与者:主管部门、安全服务机构

等级测评

主体:等级测评机构
参与者:运营使用单位

自查与监督检查

主体:主管部门、公安机关
参与者:运营使用单位

定级工作流程

确定定级对象、确定等级、专家评审、主管部门审核、公安机关备案审查

定级对象

  • 信息系统(包括网络),网络基础设施、大数据、云计算平台、物联网、工控系统等
  • 重点对象是国家关键信息基础设施,主要包括涉及国家安全、国计民生的网络基础设施、重要信息系统、大数据,以及重要的云计算平台、物联网、工控系统等

定级对象具备的基本特征(信息系统)

具有唯一确定的安全责任单位(大切小)
具有信息系统的基本要素(再切下)
承载单一或相对独立的业务应用宝(不能再小了)

系统定级

  • 信息安全等级保护是分等级保护、分等级监管,将信息系统(包括网络)按照重要性危害性划分为五个安全保护等级,实行分等级保护

第一级 自主保护级 无需备案,对测评周期无要求

  • 此类信息系统收到破坏后,会对公民、法人和其他组织的合法权益造成一般损害,不损害国家安全、社会秩序和公共利益
  • 一般适用与小型私营、个体企业、中小学,乡镇所属信息系统,县级单位中一般的信息系统

第二级 指导保护级 公安部备案,两年测评一次

  • 此类信息系统收到破坏后,会对公民、法人和其他组织的合法权益造成严重损害,会对社会秩序、公共利益造成一般损害,不损害国家安全
  • 一般适用于县级某些单位中的重要信息系统;地级市以上国家机关、企事业单位内部一般的信息系统。例如非设计工作秘密、商业秘密、敏感信息的办公系统和管理系统等(OA,邮件,人力资源管理,项目管理等)

第三级 监督保护级 公安部门备案,每年测评一次

  • 此类信息系统收到破坏后,会对国家安全、社会秩序造成损害,对公共利益造成严重损害,对公民、法人和其他组织的合法权益造成特别严重的损害
  • 一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统(省级单位门户网站必须三级);跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息以及这类信息在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省连接的网络系统等。

第四级 强制保护级 公安部门备案,要求半年一次

  • 此类信息系统收到破坏后,会对国家安全造成严重损害,对社会秩序、公共边利益造成特别严重损害
  • 一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统

第五级 专控保护级 公安部门备案,依据特殊安全需求进行

  • 此类信息系统收到破坏后会对国家安全造成特别严重损害
  • 一般适用于国家重要领域、重要部门中的极端重要系统

企业经营过程中常见的二级和三级,因为一级的存在感很低,而四级和五级是国家重要的领域才适用,在企业中并不多见

定级要素与安全保护等级的关系

                                              对客体的侵害程度
受害的客体                          一般损害      严重损害     特别严重损害
公民、法人和其他组织的合法权益      第一级         第二级        第二级
社会秩序、公共利益                  第二级         第三级        第四级
国家安全                            第三级         第四级        第五级

备案材料

  • 1、定级报告
  • 2、备案表
  • 3、定级评审意见表
  • 4、网络结构拓扑图
  • 5、现有安全设备清单
  • 6、安全设备销售许可证
  • 7、网络安全应急预案
  • 8、单位法人身份证明及单位组织机构代码证
  • 9、计算机信息网络安全组织成员名单

系统备案材料

基本资料(必须提交):

00信息系统安全等级保护定级报告
00信息系统安全等级保护备案表

证明材料(按照实际情况提交):

01系统拓扑结构及说明
02系统安全组织机构及管理制度
03系统安全保护设施设计实施方案或改建实施方案
04系统使用的安全产品清单及认证、销售许可证明
05系统等级测评报告(若做过测评)
06专家评审情况
07上级主管部门审批意见

附件资料(必须提交):

附件:关于成立XX单位网络安全与信息化领导小组的通知
附件:等级保护责任书-XX单位

信息系统等级测评依据

《信息安全等级保护管理办法》(公通字[2007] 43号)

信息系统建设完成后,运营、使用单位或者主管部门应当选择符合本办 法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技 术标准,定期对信息系统安全等级状况开展等级测评。

信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、 安全保护制度及措施的落实情况进行自查。

《信息系统安全等级保护测评要求》(GB/T 22239-2019)

《信息系统安全等级保护测评过程指南》(GB/T 22248-2018)

入场资料

  • 基础信息调查表(其中包括物理位置、网络结构拓扑图、安全设备、网络设备、服务器、数据库、终端的设备信息、系统结构、设备型号、IP地址、账户信息等)
  • 现场测评授权书
  • 现场测评风险告知书
  • 保密协议

漏洞扫描

  • 漏洞扫描技术是一类重要的网络安全技术。它和防火墙、入侵检测系统相互配合,能够有效提高网络的安全性。通过对网络的扫描,网络管理员能了解网络的安全设置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员能根据扫描的结果更正安全漏洞和系统重的错误设置,在黑客攻击前进行防范。如果说防火墙和网络监视系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,能有效避免黑客攻击行为,做到防患于未然。

渗透测试

  • 渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或者漏洞的主动分析,这个分析是从一个攻击者可能存在的位置进行的,并且从这个位置有条件主动利用安全漏洞
  • 渗透测试是指渗透测试人员在不同的的位置(比如内网、外网等位置)利用各种评估手段对某个特定的网络进行测试,以期发现和挖掘系统中存在的漏洞,然后输出渗透测试报告,并提交给网络所有者。网络所有者根据渗透测试人员提供的渗透测试报告,可以清晰知晓系统中存在的安全隐患和问题。
  • 我们认为渗透测试还具有的两个显著的特点是:渗透测试是一个渐进的并且逐步深入的过程。渗透测试是选择不影响业务系统正常运行 的攻击方法进行的测试。

测评结论

得分情况                          结论
90分以上,且无中、高风险          优
80分以上,且无高风险              良
70分~80分,且无高风险             中
70分以下,或有高风险              差

信息系统建设整改流程

        信息系统安全建设整工作规划和工作部署
                      ↓
            信息系统安全保护现状分析
                      ↓
        确定安全策略、制定安全建设整改方案  ←————|
             ↙                ↘                     |
      安全技术建设           安全管理建设             |
①物理安全                   ①安全管理制度           |
②网络安全                   ②安全管理机构           |
③主机安全                   ③人员安全管理           |
④应用安全                   ④系统建设管理           |
⑤数据安全及备份恢复         ⑤系统运维管理           |
       ↘                       ↙                    |
         开展信息系统安全自查和等级测评   ——————|

信息系统安全保护能力分析

第二级安全保护能力

  • 应具有能够对抗来自小型组织(如自发的两三人组成的黑客组织)、拥有少量资源(如个别人员能力,公开可获特定开发的工具等)的威胁源发起的恶意攻击,一般的自然灾害(灾难的发生强度一般、持续时间短覆盖范围小(局部性)等)、以及其他相当危害程度(无意失误、设备故障等)的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。

第三级安全保护能力

  • 应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。
Updated on 2024-03-20
Back | Home