信息系統(tǒng)等級保護課件_第1頁
信息系統(tǒng)等級保護課件_第2頁
信息系統(tǒng)等級保護課件_第3頁
信息系統(tǒng)等級保護課件_第4頁
信息系統(tǒng)等級保護課件_第5頁
已閱讀5頁,還剩38頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

信息系統(tǒng)等級保護——綜合篇內容概要信息安全與等級保護什么是等級保護等級保護的國家政策與標準規(guī)范等級保護的工作內容等級保護的建設流程等級保護各參與部門的角色定位信息安全與等級保護密保(分保)——分三級(絕密、機密、秘密)涉密環(huán)境(網絡、終端、應用系統(tǒng)及數據)的信息安全等?!治寮壏巧婷墉h(huán)境(網絡、終端、應用系統(tǒng)及數據)的信息安全信息安全的宏觀范疇什么是等級保護信息系統(tǒng)等級保護的定義

是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護,對信息系統(tǒng)中使用的信息安全產品實行按等級管理,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置。等級保護的等級劃分準則根據信息和信息系統(tǒng)遭到破壞或泄露后,對國家安全、社會秩序、公共利益及公民、法人和其他組織的合法權益的危害程度來進行定級。1、受侵害客體;2、受侵害程度;等級保護的等級劃分準則第一級用戶自主保護級第二級系統(tǒng)審計保護第三級安全標記保護第四級結構化保護第五級訪問驗證保護用戶自主控制資源訪問訪問行為需要被審計通過標記實現(xiàn)強制訪問控制可信計算基結構化所有的過程都需要驗證等級保護的等級劃分準則第一級自主安全保護第二級審計安全保護第三級強制安全保護第四級結構化保護第五級訪問驗證保護級自主訪問控制身份鑒別完整性保護自主訪問控制身份鑒別完整性保護系統(tǒng)審計客體重用自主訪問控制身份鑒別完整性保護系統(tǒng)審計客體重用強制訪問控制標記自主訪問控制身份鑒別完整性保護系統(tǒng)審計客體重用強制訪問控制標記自主訪問控制身份鑒別完整性保護系統(tǒng)審計客體重用強制訪問控制標記隱蔽通道分析可信路徑隱蔽通道分析可信路徑可信恢復

等級保護的等級劃分準則內容概要信息安全與等級保護什么是等級保護等級保護的國家政策與標準規(guī)范等級保護的工作內容等級保護的建設流程等級保護各參與部門的角色定位等級保護的技術標準規(guī)范GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準則信息系統(tǒng)安全等級保護定級指南GB/T20269-2006信息系統(tǒng)安全管理要求GB/T20282-2006信息安全技術信息系統(tǒng)安全工程管理要求GB/T20270-2006信息安全技術網絡基礎安全技術要求GB/T20271-2006信息安全技術信息系統(tǒng)通用安全技術要求GB/T20272-2006信息安全技術操作系統(tǒng)安全技術要求GB/T20273-2006信息安全技術數據庫管理系統(tǒng)通用安全技術要求GB/T22239-2008信息安全技術信息系統(tǒng)安全等級保護基本要求信息安全技術信息系統(tǒng)等級保護安全設計技術要求(已送批)信息系統(tǒng)安全等級保護實施指南……GB/T20009-2005信息安全技術操作系統(tǒng)安全評估準則國家已出臺70多個國標、行標以及報批標準,從基礎、設計、實施、管理、制度等各個方面對等保系統(tǒng)提出了要求和建議?!队嬎銠C信息系統(tǒng)安全保護等級劃分準則》(GB17859-1999)

《信息安全技術信息系統(tǒng)通用安全技術要求》(GB/T20271-2006)

《信息安全技術操作系統(tǒng)安全技術要求》

(GB/T20272-2006)《信息安全技術

信息系統(tǒng)安全等級保護基本要求》(GB/T22239-2008)《信息安全技術

信息系統(tǒng)等級保護安全設計技術要求》面向評估者技術標準:面向建設者技術標準:等級保護的技術標準規(guī)范《信息安全技術信息系統(tǒng)安全工程管理要求》(GB/T20282-2006)《信息系統(tǒng)安全管理體系標準》(ISO/IEC27001)《信息安全技術信息系統(tǒng)安全等級保護實施指南》(GB/Txxxxx-2007

)管理類標準:等保方案類標準:系統(tǒng)定級類標準:《信息安全技術信息系統(tǒng)安全保護等級定級指南》(GB/T22240-2008)

等級保護的技術標準規(guī)范內容概要信息安全與等級保護什么是等級保護等級保護的國家政策與標準規(guī)范等級保護的工作內容等級保護的建設流程等級保護各參與部門的角色定位等級保護的建設目標某級信息系統(tǒng)技術要求管理要求基本要求建立安全技術體系建立安全管理體系具有某級安全保護能力的系統(tǒng)等級保護的建設要求物理安全技術要求管理要求基本要求網絡安全主機安全應用安全數據安全安全管理機構安全管理制度人員安全管理系統(tǒng)建設管理系統(tǒng)運維管理等級保護的建設要求網絡安全1.網絡結構安全2.網絡訪問控制3.網絡安全審計4.邊界完整性檢查5.網絡入侵防范6.惡意代碼防護7.網絡防護設備主機安全身份鑒別強制訪問控制系統(tǒng)安全審計4.剩余信息保護5.入侵防范6.惡意代碼防范7.資源控制

應用安全

1.身份認證2.安全審計3.剩余信息保護4.通信完整性和機密性保護數據安全1.數據機密性保護2.數據完整性保護5.控制軟件容錯;6.嚴格的訪問;7.自動保護功能;8.資源控制;等級保護的建設模式滿足政策要求滿足標準要求滿足用戶自身要求安全現(xiàn)狀差異性分析基本要求需求物理安全網絡安全主機安全應用安全數據安全與備份恢復等級保護的體系架構其它定級系統(tǒng)安全接入/隔離設備計算環(huán)境區(qū)域邊界通信網絡網站/應用服務器交換設備用戶終端安全管理中心通信網絡區(qū)域邊界計算環(huán)境安全管理中心內容概要信息安全與等級保護什么是等級保護等級保護的國家政策與標準規(guī)范等級保護的工作內容等級保護的建設流程等級保護各參與部門的角色定位等級保護的建設流程達標等保體系安全措施業(yè)務應用信息網絡已運營系統(tǒng)業(yè)務應用安全措施新建系統(tǒng)等保整改等保建設根據信息和信息系統(tǒng)遭到破壞或泄露后,對國家安全、社會秩序、公共利益及公民、法人和其他組織的合法權益的危害程度來進行定級。受侵害的客體對客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級1.受侵害客體;2.受侵害程度;流程一:信息系統(tǒng)定級

信息系統(tǒng)等級保護建設,經過信息系統(tǒng)的運營、管理部門以及有關政府部門的批準,并列入信息系統(tǒng)運營單位或政府計劃的過程。一項基本國策,一項基本制度,具有政策的強制性流程二:等保建設立項是辦公電子化、業(yè)務信息化發(fā)展必需的保障手段用戶業(yè)務開展的實際需求需請相應級別、具有資質的測評中心進行風險評估;流程三:風險評估

風險評估是對信息資產面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用而帶來風險的可能性的評估。風險評估是確定信息安全需求的一個重要途徑。風險評估完成后出具《評估報告》和《整改意見》;1整改意見需求分析2總體設計詳細設計3應急方案災備方案5方案與產品安全性論證6項目預算7項目實施方案設計4產品選型技術指標信息系統(tǒng)等保體系建設目標流程四:等保方案設計思路重視安全技管兼行遵循政策符合標準需求主導突出重點整體規(guī)劃分步實施流程四:等保方案設計原則全局管理統(tǒng)一標準適度安全減少影響滿足政策要求滿足標準要求滿足用戶自身要求安全現(xiàn)狀差異性分析基本要求需求流程四:需求分析方法物理安全網絡安全主機安全應用安全數據安全與備份恢復安全現(xiàn)狀與《基本要求》的差異分析對照標準要求是否滿足相應措施物理安全網絡安全主機安全應用安全數據安全流程四:需求分析方法等級保護建設方案章節(jié):二、安全需求分析一、項目背景流程四:設計方案章節(jié)四、等保技術體系設計三、方案總體設計六、等保管理安全設計五、等保物理安全設計八、產品選型與技術指標七、應急與災備設計九、方案與產品安全性論證十一、實施方案設計十、項目預算需求背景政策依據以《基本要求》中“網絡、主機、應用、數據”部分要求為目標,以《設計要求》為方法以《基本要求》中物理安全部分為依據以《基本要求》中管理安全部分為依據經過信息安全等級保護專家論證通過其它定級系統(tǒng)安全接入/隔離設備計算環(huán)境區(qū)域邊界通信網絡網站/應用服務器交換設備用戶終端安全管理中心通信網絡區(qū)域邊界計算環(huán)境安全管理中心流程四:等保體系整體架構流程五:等保體系部署統(tǒng)一規(guī)劃,分步實施規(guī)范管理,責任落實確保安全,影響最小專家論證,內部驗收計算環(huán)境區(qū)域邊界通信網絡等保體系達標需請相應級別、具有資質的測評中心進行等保測評;流程六:等保體系測評

以相應的政策、標準為基準,對等保體系進行風險評測,從面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用角度,分析信息系統(tǒng)的等保體系是否達標。等保測評完成后出具《測評報告》和《整改意見》;等保體系測評信息等保整改通過未通過構筑由安全管理中心統(tǒng)一管理下的計算環(huán)境、區(qū)域邊界、通信網絡三重防御體系。安全區(qū)域邊界安全計算環(huán)境安全管理中心安全通信網絡流程七:等保體系整改建設完成內容概要信息安全與等級保護什么是等級保護等級保護的國家政策與標準規(guī)范等級保護的工作內容等級保護的建設流程等級保護各參與部門的角色定位等級保護各參與部門的角色定位《信息安全等級保護管理辦法》公安機關負責信息安全等級保護工

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論