版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
信息安全等級保護技術(shù)交流材料1第1頁,課件共58頁,創(chuàng)作于2023年2月2提綱等級保護總體介紹2等級保護定級介紹1等級保護設(shè)計實施3等級保護系統(tǒng)測評42第2頁,課件共58頁,創(chuàng)作于2023年2月什么是信息安全等級保護信息安全等級保護,是指對國家秘密信息及公民、法人和其他組織的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護,對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。
--《信息安全等級保護管理辦法(試行)》
3第3頁,課件共58頁,創(chuàng)作于2023年2月等級保護的政策法規(guī)《中華人民共和國計算機信息系統(tǒng)安全保護條例》(1994年)其中規(guī)定,“計算機信息系統(tǒng)實行安全等級保護,安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關(guān)部門制定”
信息系統(tǒng)安全等級保護的政策法規(guī)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號)《關(guān)于信息安全等級保護工作的實施意見》(公通字[2004]66號)《信息安全等級保護管理辦法》(公通字[2007]43號)《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》(公信安[2007]861號)《關(guān)于印發(fā)北京市開展信息安全等級保護工作的實施方案的通知》(京公網(wǎng)監(jiān)字[2007]788號)
4第4頁,課件共58頁,創(chuàng)作于2023年2月等級保護的技術(shù)標準和管理規(guī)范基礎(chǔ)標準:《計算機信息系統(tǒng)安全等級保護劃分準則》(GB17859)基線標準:《信息系統(tǒng)安全等級保護基本要求》(國標報批稿)輔助標準:《信息系統(tǒng)安全等級保護定級指南》(國標報批稿)《信息系統(tǒng)安全等級保護實施指南》(國標報批稿)《信息系統(tǒng)安全等級保護測評要求》(國標報批稿)目標標準:《信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271)《網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270)《操作系統(tǒng)安全技術(shù)要求》(GB/T20272)《數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》(GB/T20273)《終端計算機系統(tǒng)安全等級技術(shù)要求》(GA/T671)《信息系統(tǒng)安全管理要求》(GB/T20269)《信息系統(tǒng)安全工程管理要求》(GB/T20282)5第5頁,課件共58頁,創(chuàng)作于2023年2月技術(shù)標準和管理規(guī)范的作用技術(shù)標準和管理規(guī)范信息系統(tǒng)定級信息系統(tǒng)安全建設(shè)或改建安全狀況達到等級保護要求的信息系統(tǒng)6第6頁,課件共58頁,創(chuàng)作于2023年2月等級變更局部調(diào)整信息系統(tǒng)定級總體安全規(guī)劃安全設(shè)計與實施安全運行維護信息系統(tǒng)終止信息系統(tǒng)安全等級保護流程安全等級評測7第7頁,課件共58頁,創(chuàng)作于2023年2月標準規(guī)范在等級保護流程中的作用安全控制定級指南過程方法確定系統(tǒng)等級啟動采購/開發(fā)實施運行/維護廢棄確定安全需求設(shè)計安全方案安全建設(shè)安全測評監(jiān)督管理運行維護暫不考慮特殊需求等級需求基本要求產(chǎn)品使用選型監(jiān)督管理測評準則流程方法監(jiān)管流程應(yīng)急預(yù)案應(yīng)急響應(yīng)8第8頁,課件共58頁,創(chuàng)作于2023年2月三種受侵害的客體體現(xiàn)了三種不同層次、不同覆蓋范圍的社會關(guān)系國家安全體現(xiàn)了國家層面、與全局相關(guān)的國家政治安全、軍事安全、經(jīng)濟安全、社會安全、科技安全和資源環(huán)境安全等方面利益。社會秩序和公共利益包括社會的政治、經(jīng)濟、生產(chǎn)、生活、科研、工作等各方面的正常秩序。公共利益是指不特定的社會成員所共同享有的,維持其生產(chǎn)、生活、教育、衛(wèi)生等方面的利益。合法權(quán)益是法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權(quán)利和利益,三類受侵害客體9第9頁,課件共58頁,創(chuàng)作于2023年2月定級要素與安全保護等級的關(guān)系受侵害的客體對客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級10第10頁,課件共58頁,創(chuàng)作于2023年2月安全保護等級的劃分
11第11頁,課件共58頁,創(chuàng)作于2023年2月12提綱等級保護總體介紹1等級保護定級介紹等級保護設(shè)計實施32等級保護系統(tǒng)測評412第12頁,課件共58頁,創(chuàng)作于2023年2月信息系統(tǒng)安全保護等級定級原則等級確定原則和要求“自主定級、自主保護”與國家監(jiān)管相統(tǒng)一原則“誰主管誰負責(zé),誰運營誰負責(zé)”的原則定級工作的要求加強領(lǐng)導(dǎo),落實保障明確責(zé)任,密切配合動員部署,開展培訓(xùn)及時總結(jié),提出建議13第13頁,課件共58頁,創(chuàng)作于2023年2月S類—業(yè)務(wù)信息安全保護類,關(guān)注的是保護數(shù)據(jù)在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權(quán)的修改A類—系統(tǒng)服務(wù)安全保護類,關(guān)注的是保護系統(tǒng)連續(xù)正常的運行,避免因?qū)ο到y(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用G類—通用安全保護類,既關(guān)注保護業(yè)務(wù)信息的安全性,同時也關(guān)注保護系統(tǒng)的連續(xù)可用性
例如,以S2表示2級的業(yè)務(wù)信息安全保護類要求,A3表示3級的系統(tǒng)服務(wù)安全保護類要求。信息系統(tǒng)三類要求14第14頁,課件共58頁,創(chuàng)作于2023年2月信息系統(tǒng)三類要求之間的關(guān)系通用安全保護類要求(G)業(yè)務(wù)信息安全類(S)系統(tǒng)服務(wù)保證類(A)安全要求15第15頁,課件共58頁,創(chuàng)作于2023年2月信息系統(tǒng)安全保護等級的確定1、確定定級對象3、綜合評定對客體的侵害程度2、確定業(yè)務(wù)信息安全受到破壞時所侵害的客體4、業(yè)務(wù)信息安全等級6、綜合評定對客體的侵害程度5、確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客體7、系統(tǒng)服務(wù)安全等級8、定級對象的安全保護等級16第16頁,課件共58頁,創(chuàng)作于2023年2月安全保護和系統(tǒng)定級的關(guān)系安全等級信息系統(tǒng)保護要求的組合第一級S1A1G1第二級S1A2G2,S2A2G2,S2A1G2第三級S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3第四級S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4定級指南要求按照“業(yè)務(wù)信息”和“系統(tǒng)服務(wù)”的需求確定整個系統(tǒng)的安全保護等級系統(tǒng)的安全保護等級=L(信息等級,服務(wù)等級)
=Max(信息等級,服務(wù)等級)
例如:L(3,1)=L(3,2)=L(3,3)=L(1,3)=L(2,3)=317第17頁,課件共58頁,創(chuàng)作于2023年2月18提綱等級保護總體介紹1等級保護定級介紹等級保護設(shè)計實施23等級保護系統(tǒng)測評418第18頁,課件共58頁,創(chuàng)作于2023年2月《基本要求》的作用安全保護能力基本安全要求每個等級的信息系統(tǒng)基本技術(shù)措施基本管理措施具備包含包含滿足滿足實現(xiàn)19第19頁,課件共58頁,創(chuàng)作于2023年2月《基本要求》核心思路信息系統(tǒng)技術(shù)要求管理要求基本要求建立安全技術(shù)體系建立安全管理體系具有某級安全保護能力的系統(tǒng)20第20頁,課件共58頁,創(chuàng)作于2023年2月各級系統(tǒng)的保護要求差異(宏觀)一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)防護防護/監(jiān)測策略/防護/監(jiān)測/恢復(fù)策略/防護/監(jiān)測/恢復(fù)/響應(yīng)21第21頁,課件共58頁,創(chuàng)作于2023年2月各級系統(tǒng)的保護要求差異(宏觀)一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)通信/邊界(基本)通信/邊界/內(nèi)部(關(guān)鍵設(shè)備)通信/邊界/內(nèi)部(主要設(shè)備)通信/邊界/內(nèi)部/基礎(chǔ)設(shè)施(所有設(shè)備)22第22頁,課件共58頁,創(chuàng)作于2023年2月各級系統(tǒng)的保護管理要求差異(宏觀)一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)計劃和跟蹤(主要制度)計劃和跟蹤(主要制度)良好定義(管理活動制度化)持續(xù)改進(管理活動制度化/及時改進)23第23頁,課件共58頁,創(chuàng)作于2023年2月各級系統(tǒng)的保護要求差異(微觀)信息系統(tǒng)物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機安全應(yīng)用安全數(shù)據(jù)安全安全管理機構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理24第24頁,課件共58頁,創(chuàng)作于2023年2月各級系統(tǒng)安全保護要求-物理安全控制點一級二級三級四級物理位置的選擇***物理訪問控制****防盜竊和防破壞****防雷擊****防火****防水和防潮****防靜電***溫濕度控制****電力供應(yīng)****電磁防護***合計710101025第25頁,課件共58頁,創(chuàng)作于2023年2月各級系統(tǒng)安全保護要求-物理安全一級物理安全要求:主要要求對物理環(huán)境進行基本的防護,對出入進行基本控制,環(huán)境安全能夠?qū)ψ匀煌{進行基本的防護,電力則要求提供供電電壓的正常。二級物理安全要求:對物理安全進行了進一步的防護,不僅對出入進行基本的控制,對進入后的活動也要進行控制;物理環(huán)境方面,則加強了各方面的防護,采取更細的要求來多方面進行防護。三級物理安全要求:對出入加強了控制,做到人、電子設(shè)備共同監(jiān)控;物理環(huán)境方面,進一步采取各種控制措施來進行防護。如,防火要求,不僅要求自動消防系統(tǒng),而且要求區(qū)域隔離防火,建筑材料防火等方面,將防火的范圍增大,從而使火災(zāi)發(fā)生的幾率和損失降低。四級物理安全要求:對機房出入的要求進一步增強,要求多道電子設(shè)備監(jiān)控;物理環(huán)境方面,要求采用一定的防護設(shè)備進行防護,如靜電消除裝置等。26第26頁,課件共58頁,創(chuàng)作于2023年2月各級系統(tǒng)安全保護要求-網(wǎng)絡(luò)安全控制點一級二級三級四級結(jié)構(gòu)安全****訪問控制****安全審計***邊界完整性檢查***入侵防范***惡意代碼防范**網(wǎng)絡(luò)設(shè)備防護****合計367727第27頁,課件共58頁,創(chuàng)作于2023年2月各級系統(tǒng)安全保護要求-網(wǎng)絡(luò)安全一級網(wǎng)絡(luò)安全要求:主要提供網(wǎng)絡(luò)安全運行的基本保障,包括網(wǎng)絡(luò)結(jié)構(gòu)能夠基本滿足業(yè)務(wù)運行需要,網(wǎng)絡(luò)邊界處對進出的數(shù)據(jù)包頭進行基本過濾等訪問控制措施。二級網(wǎng)絡(luò)安全要求:不僅要滿足網(wǎng)絡(luò)安全運行的基本保障,同時還要考慮網(wǎng)絡(luò)處理能力要滿足業(yè)務(wù)極限時的需要。對網(wǎng)絡(luò)邊界的訪問控制粒度進一步增強。同時,加強了網(wǎng)絡(luò)邊界的防護,增加了安全審計、邊界完整性檢查、入侵防范等控制點。對網(wǎng)絡(luò)設(shè)備的防護不僅局限于簡單的身份鑒別,同時對標識和鑒別信息都有了相應(yīng)的要求。三級網(wǎng)絡(luò)安全要求:對網(wǎng)絡(luò)處理能力增加了“優(yōu)先級”考慮,保證重要主機能夠在網(wǎng)絡(luò)擁堵時仍能夠正常運行;網(wǎng)絡(luò)邊界的訪問控制擴展到應(yīng)用層,網(wǎng)絡(luò)邊界的其他防護措施進一步增強,不僅能夠被動的“防”,還應(yīng)能夠主動發(fā)出一些動作,如報警、阻斷等。網(wǎng)絡(luò)設(shè)備的防護手段要求兩種身份鑒別技術(shù)綜合使用。四級網(wǎng)絡(luò)安全要求:對網(wǎng)絡(luò)邊界的訪問控制做出了更為嚴格的要求,禁止遠程撥號訪問,不允許數(shù)據(jù)帶通用協(xié)議通過;邊界的其他防護措施也加強了要求。網(wǎng)絡(luò)安全審計著眼于全局,做到集中審計分析,以便得到更多的綜合信息。網(wǎng)絡(luò)設(shè)備的防護,在身份鑒別手段上除要求兩種技術(shù)外,其中一種鑒別技術(shù)必須是不可偽造的,進一步加強了對網(wǎng)絡(luò)設(shè)備的防護。28第28頁,課件共58頁,創(chuàng)作于2023年2月網(wǎng)絡(luò)安全程度說明結(jié)構(gòu)安全:1級提供基本保障;2級要滿足高峰需要并以網(wǎng)段形式分隔;3級增加優(yōu)先級保障重要主機;4級同3級訪問控制:1級進行包頭信息的過濾;2級根據(jù)會話過濾、粒度細化、限制訪問用戶數(shù)量;3級過濾粒度擴展到了應(yīng)用層,對設(shè)備接入網(wǎng)絡(luò)進行控制;4級對數(shù)據(jù)協(xié)議以及敏感標記進行控制,禁止遠程撥號訪問安全審計:2級記錄設(shè)備運行和網(wǎng)絡(luò)流量;3級要求分析形成報表、保護審計記錄;4級設(shè)置審計跟蹤極限閾值,做到集中審計。(其中要求發(fā)出報警、阻斷工作)29第29頁,課件共58頁,創(chuàng)作于2023年2月網(wǎng)絡(luò)安全程度說明邊界完整性檢查:2級檢測到內(nèi)部的非法聯(lián)出情況;3級能夠準確定位并阻斷;4級同3級入侵防范:2級能夠檢測常見攻擊的發(fā)生;3級能發(fā)出報警;4級自動采取相應(yīng)動作阻斷
惡意代碼防范:3級、4級在網(wǎng)絡(luò)邊界處防范惡意代碼,并保持代碼庫的及時更新網(wǎng)絡(luò)設(shè)備防護:1級基本的登錄鑒別;2級鑒別標識唯一、鑒別信息復(fù)雜;3級兩種以上鑒別技術(shù),特權(quán)用戶權(quán)限分離;4級其中一種鑒別技術(shù)為是不可偽造的30第30頁,課件共58頁,創(chuàng)作于2023年2月各級系統(tǒng)安全保護要求-主機安全控制點一級二級三級四級身份鑒別****安全標記*訪問控制****可信路徑*安全審計***剩余信息保護**入侵防范****惡意代碼防范****資源控制***合計467931第31頁,課件共58頁,創(chuàng)作于2023年2月各級系統(tǒng)安全保護要求-主機安全一級主機系統(tǒng)安全要求:對主機進行基本的防護,要求主機做到簡單的身份鑒別,粗粒度的訪問控制以及重要主機能夠進行惡意代碼防范。二級主機系統(tǒng)安全要求:在控制點上增加了安全審計和資源控制等。同時,對身份鑒別和訪問控制都進一步加強,鑒別的標識、信息等都提出了具體的要求;訪問控制的粒度進行了細化等,惡意代碼增加了統(tǒng)一管理等。三級主機系統(tǒng)安全要求:在控制點上增加了剩余信息保護,即,訪問控制增加了設(shè)置敏感標記等,力度變強。同樣,身份鑒別的力度進一步增強,要求兩種以上鑒別技術(shù)同時使用。安全審計已不滿足于對安全事件的記錄,而要進行分析、生成報表。對惡意代碼的防范綜合考慮網(wǎng)絡(luò)上的防范措施,做到二者相互補充。對資源控制的增加了對服務(wù)器的監(jiān)視和最小服務(wù)水平的監(jiān)測和報警等。四級主機系統(tǒng)安全要求:在控制點上增加了安全標記和可信路徑,其他控制點在強度上也分別增強,如,身份鑒別要求使用不可偽造的鑒別技術(shù),訪問控制要求部分按照強制訪問控制的力度實現(xiàn),安全審計能夠做到統(tǒng)一集中審計等。32第32頁,課件共58頁,創(chuàng)作于2023年2月各級系統(tǒng)安全保護要求-應(yīng)用安全控制點一級二級三級四級身份鑒別****安全標記*訪問控制****可信路經(jīng)*安全審計***剩余信息保護**通信完整性****通信保密性***抗抵賴**軟件容錯****資源控制***合計4791133第33頁,課件共58頁,創(chuàng)作于2023年2月各級系統(tǒng)安全保護要求-應(yīng)用安全一級應(yīng)用安全要求:對應(yīng)用進行基本的防護,要求做到簡單的身份鑒別,粗粒度的訪問控制以及數(shù)據(jù)有效性檢驗等基本防護。二級應(yīng)用安全要求:在控制點上增加了安全審計、通信保密性和資源控制等。同時,對身份鑒別和訪問控制都進一步加強,鑒別的標識、信息等都提出了具體的要求。訪問控制的粒度進行了細化,對通信過程的完整性保護提出了特定的校驗碼技術(shù)。應(yīng)用軟件自身的安全要求進一步增強,軟件容錯能力增強。三級應(yīng)用安全要求:在控制點上增加了剩余信息保護和抗抵賴等。同時,身份鑒別的力度進一步增強,要求組合鑒別技術(shù),訪問控制增加了敏感標記功能,安全審計已不滿足于對安全事件的記錄,而要進行分析等。對通信過程的完整性保護提出了特定的密碼技術(shù)。應(yīng)用軟件自身的安全要求進一步增強,軟件容錯能力增強,增加了自動保護功能。四級應(yīng)用安全要求:在控制點上增加了安全標記和可信路徑等。部分控制點在強度上進一步增強,如,身份鑒別要求使用不可偽造的鑒別技術(shù),安全審計能夠做到統(tǒng)一安全策略提供集中審計接口等,軟件應(yīng)具有自動恢復(fù)的能力等。34第34頁,課件共58頁,創(chuàng)作于2023年2月各級系統(tǒng)安全保護要求-數(shù)據(jù)安全及備份恢復(fù)控制點一級二級三級四級數(shù)據(jù)完整性****數(shù)據(jù)保密性***備份和恢復(fù)****合計233335第35頁,課件共58頁,創(chuàng)作于2023年2月各級系統(tǒng)安全保護要求-數(shù)據(jù)安全及備份恢復(fù)一級數(shù)據(jù)安全及備份恢復(fù)要求:對數(shù)據(jù)完整性用戶數(shù)據(jù)在傳輸過程提出要求,能夠檢測出數(shù)據(jù)完整性受到破壞;同時能夠?qū)χ匾畔⑦M行備份。二級數(shù)據(jù)及備份恢復(fù)安全要求:對數(shù)據(jù)完整性的要求增強,范圍擴大,要求鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中都要保證其完整性。對數(shù)據(jù)保密性要求實現(xiàn)鑒別信息存儲保密性,數(shù)據(jù)備份增強,要求一定的硬件冗余。三級數(shù)據(jù)及備份恢復(fù)安全要求:對數(shù)據(jù)完整性的要求增強,范圍擴大,增加了系統(tǒng)管理數(shù)據(jù)的傳輸完整性,不僅能夠檢測出數(shù)據(jù)受到破壞,并能進行恢復(fù)。對數(shù)據(jù)保密性要求范圍擴大到實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)的傳輸和存儲的保密性,數(shù)據(jù)的備份不僅要求本地完全數(shù)據(jù)備份,還要求異地備份和冗余網(wǎng)絡(luò)拓撲。四級數(shù)據(jù)及備份恢復(fù)安全要求:為進一步保證數(shù)據(jù)的完整性和保密性,提出使用專有的安全協(xié)議的要求。同時,備份方式增加了建立異地適時災(zāi)難備份中心,在災(zāi)難發(fā)生后系統(tǒng)能夠自動切換和恢復(fù)。36第36頁,課件共58頁,創(chuàng)作于2023年2月各級系統(tǒng)安全保護要求-安全管理制度控制點一級二級三級四級管理制度****制定和發(fā)布****評審和修訂***合計233337第37頁,課件共58頁,創(chuàng)作于2023年2月各級系統(tǒng)安全保護要求-安全管理制度一級安全管理制度要求:主要明確了制定日常常用的管理制度,并對管理制度的制定和發(fā)布提出基本要求。二級安全管理制度要求:在控制點上增加了評審和修訂,管理制度增加了總體方針和安全策略,和對各類重要操作建立規(guī)程的要求,并且管理制度的制定和發(fā)布要求組織論證。三級安全管理制度要求:在二級要求的基礎(chǔ)上,要求機構(gòu)形成信息安全管理制度體系,對管理制度的制定要求和發(fā)布過程進一步嚴格和規(guī)范。對安全制度的評審和修訂要求領(lǐng)導(dǎo)小組的負責(zé)。四級安全管理制度要求:在三級要求的基礎(chǔ)上,主要考慮了對帶有密級的管理制度的管理和管理制度的日常維護等。38第38頁,課件共58頁,創(chuàng)作于2023年2月各級系統(tǒng)安全保護要求-安全管理機構(gòu)安全管理,首先要建立一個健全、務(wù)實、有效、統(tǒng)一指揮、統(tǒng)一步調(diào)的完善的安全管理機構(gòu),明確機構(gòu)成員的安全職責(zé),這是信息安全管理得以實施、推廣的基礎(chǔ)。在單位的內(nèi)部結(jié)構(gòu)上必須建立一整套從單位最高管理層(董事會)到執(zhí)行管理層以及業(yè)務(wù)運營層的管理結(jié)構(gòu)來約束和保證各項安全管理措施的執(zhí)行。其主要工作內(nèi)容包括對機構(gòu)內(nèi)重要的信息安全工作進行授權(quán)和審批、內(nèi)部相關(guān)業(yè)務(wù)部門和安全管理部門之間的溝通協(xié)調(diào)以及與機構(gòu)外部各類單位的合作、定期對系統(tǒng)的安全措施落實情況進行檢查,以發(fā)現(xiàn)問題進行改進。安全管理機構(gòu)主要包括:崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作以及審核和檢查等五個控制點。39第39頁,課件共58頁,創(chuàng)作于2023年2月各級系統(tǒng)安全保護要求-安全管理機構(gòu)控制點一級二級三級四級崗位設(shè)置****人員配備****授權(quán)和審批****溝通和合作****審核和檢查***合計455540第40頁,課件共58頁,創(chuàng)作于2023年2月各級系統(tǒng)安全保護要求-安全管理機構(gòu)一級安全管理機構(gòu)要求:主要要求對開展信息安全工作的基本工作崗位進行配備,對機構(gòu)重要的安全活動進行審批,加強對外的溝通和合作。二級安全管理機構(gòu)要求:在控制點上增加了審核和檢查,同時,在一級基礎(chǔ)上,明確要求設(shè)立安全主管等重要崗位;人員配備方面提出安全管理員不可兼任其它崗位原則;溝通與合作的范圍增加與機構(gòu)內(nèi)部及與其他部門的合作和溝通。三級安全管理機構(gòu)要求:對于崗位設(shè)置,不僅要求設(shè)置信息安全的職能部門,而且機構(gòu)上層應(yīng)有一定的領(lǐng)導(dǎo)小組全面負責(zé)機構(gòu)的信息安全全局工作。授權(quán)審批方面加強了授權(quán)流程控制以及階段性審查。溝通與合作方面加強了與外部組織的溝通和合作,并聘用安全顧問。同時對審核和檢查工作進一步規(guī)范。四級安全管理機構(gòu)要求:同三級要求。41第41頁,課件共58頁,創(chuàng)作于2023年2月各級系統(tǒng)安全保護要求-人員安全管理控制點一級二級三級四級人員錄用****人員離崗****人員考核***安全意識教育和培訓(xùn)****外部人員訪問管理****合計455542第42頁,課件共58頁,創(chuàng)作于2023年2月各級系統(tǒng)安全保護要求-人員安全管理一級人員安全管理要求:對人員在機構(gòu)的工作周期(即,錄用、日常培訓(xùn)、離崗)的活動提出基本的管理要求。同時,對外部人員訪問要求得到授權(quán)和審批。二級人員安全管理要求:在控制點上增加了人員考核,對人員的錄用和離崗要求進一步增強,過程性要求增加,安全教育培訓(xùn)更正規(guī)化,對外部人員的訪問活動約束其訪問行為。三級人員安全管理要求:在二級要求的基礎(chǔ)上,增強了對關(guān)鍵崗位人員的錄用、離崗和考核要求,對人員的培訓(xùn)教育更具有針對性,外部人員訪問要求更具體。四級人員安全管理要求:在三級要求的基礎(chǔ)上,提出了保密要求和關(guān)鍵區(qū)域禁止外部人員訪問的要求。43第43頁,課件共58頁,創(chuàng)作于2023年2月各級系統(tǒng)安全保護要求-系統(tǒng)建設(shè)管理控制點一級二級三級四級系統(tǒng)定級****安全方案設(shè)計****產(chǎn)品采購和使用****自行軟件開發(fā)****外包軟件開發(fā)****工程實施****測試驗收****系統(tǒng)交付****系統(tǒng)備案***等級測評***安全服務(wù)商選擇****合計99111144第44頁,課件共58頁,創(chuàng)作于2023年2月各級系統(tǒng)安全保護要求-系統(tǒng)建設(shè)管理一級系統(tǒng)建設(shè)管理要求:對系統(tǒng)建設(shè)整體過程所涉及的各項活動進行基本的規(guī)范,如,先定級,方案準備、安全產(chǎn)品按要求采購,軟件開發(fā)(自行、外包)的基本安全,實施的基本管理,建設(shè)后的安全性驗收、交付等都進行要求。二級系統(tǒng)建設(shè)管理要求:在控制點上增加了系統(tǒng)備案和安全測評,增加了某些活動的文檔化要求,如軟件開發(fā)管理制度,工程實施應(yīng)有實施方案要求等。同時,對安全方案、驗收報告等增加了審定要求,產(chǎn)品的采購增加了密碼產(chǎn)品的采購要求等。三級系統(tǒng)建設(shè)管理要求:對建設(shè)過程的各項活動都要求進行制度化規(guī)范,按照制度要求進行活動的開展。對建設(shè)前的安全方案設(shè)計提出體系化要求,并加強了對其的論證工作。四級系統(tǒng)建設(shè)管理要求:主要對軟件開發(fā)活動進一步加強了要求,以保證軟件開發(fā)的安全性。對工程實施過程提出了監(jiān)理要求。45第45頁,課件共58頁,創(chuàng)作于2023年2月各級系統(tǒng)安全保護要求-系統(tǒng)運維管理控制點一級二級三級四級環(huán)境管理****資產(chǎn)管理****介質(zhì)管理****設(shè)備管理****監(jiān)控管理和安全管理中心****網(wǎng)絡(luò)安全管理****系統(tǒng)安全管理****惡意代碼防范管理****密碼管理***變更管理***備份與恢復(fù)管理****安全事件處置****應(yīng)急預(yù)案管理***合計1013131346第46頁,課件共58頁,創(chuàng)作于2023年2月各級系統(tǒng)安全保護要求-系統(tǒng)運維管理一級系統(tǒng)運維管理要求:主要對機房運行環(huán)境、資產(chǎn)的隸屬管理、介質(zhì)的保存、設(shè)備維護使用管理等方面提出基本管理要求,使得系統(tǒng)在這些方面的管理下能夠基本運行正常。二級系統(tǒng)運維管理要求:在控制點上增加了密碼管理、變更管理、應(yīng)急預(yù)案管理,同時加強了其他各方面的要求,主要表現(xiàn)在:對環(huán)境的關(guān)注擴展到辦公環(huán)境的保密性管理;同時提出資產(chǎn)標識管理;對介質(zhì)和設(shè)備的出入使用加強控制;網(wǎng)絡(luò)和系統(tǒng)安全方面進行制度化管理;對系統(tǒng)內(nèi)發(fā)生的安全事件進行分類、分級等。三級系統(tǒng)運維管理要求:在控制點上增加了監(jiān)控管理和安全管理中心,對介質(zhì)、設(shè)備、密碼、變更、備份與恢復(fù)等都采用制度化管理,并更加注意過程管理的控制,其中對介質(zhì)的管理重點關(guān)注了介質(zhì)保密性和可用性管理;安全事件根據(jù)等級分級響應(yīng),同時加強了對應(yīng)急預(yù)案的演練和審查等。四級系統(tǒng)運維管理要求:將機房環(huán)境管理和辦公環(huán)境管理提到同等重要的程度,二者統(tǒng)一管理;對介質(zhì)的管理主要關(guān)注了對介質(zhì)銷毀時的保密管理;應(yīng)急響應(yīng)重點關(guān)注了災(zāi)難恢復(fù)計劃的制定等。47第47頁,課件共58頁,創(chuàng)作于2023年2月等級保護的設(shè)計實施運營、使用單位/安全服務(wù)商安全規(guī)劃設(shè)計技術(shù)體系設(shè)計管理體系設(shè)計分期/分步安全實施物理環(huán)境安全建設(shè)機房、辦公環(huán)境安全建設(shè)網(wǎng)絡(luò)安全建設(shè)安全域劃分、邊界設(shè)備設(shè)置、邊界訪問控制、邊界數(shù)據(jù)過濾網(wǎng)絡(luò)傳輸加密、網(wǎng)絡(luò)協(xié)議保護、網(wǎng)絡(luò)防病毒等主機安全防護操作系統(tǒng)配置和加固、桌面保護等應(yīng)用系統(tǒng)安全開發(fā)或改造身份鑒別、訪問控制、安全審計、傳輸加密等48第48頁,課件共58頁,創(chuàng)作于2023年2月實施方案的設(shè)計過程包括結(jié)構(gòu)框架設(shè)計功能要求設(shè)計性能要求設(shè)計部署方案設(shè)計制定安全策略實現(xiàn)計劃管理措施實現(xiàn)內(nèi)容設(shè)計形成系統(tǒng)建設(shè)的安全實施方案等級保護實施方案49第49頁,課件共58頁,創(chuàng)作于2023年2月系統(tǒng)建設(shè)的安全實施方案包含以下內(nèi)容本期建設(shè)目標和建設(shè)內(nèi)容技術(shù)實現(xiàn)框架信息安全產(chǎn)品或組件功能及性能信息安全產(chǎn)品或組件部署安全策略和配置配套的安全管理建設(shè)內(nèi)容工程實施計劃項目投資概算。安全實施方案內(nèi)容50第50頁,課件共58頁,創(chuàng)作于2023年2月51提綱等級保護總體介紹1等級保護定級介紹等級保護設(shè)計實施2等級
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024年教育咨詢服務(wù)與人才交流合同
- 2024年文化合作:藝術(shù)品投資合同范本
- 2024年技術(shù)出口與進口法律指南
- 專題16種群密度和群落物種豐富度的取樣調(diào)查-2023年高考生物畢業(yè)班二輪熱點題型歸納與變式演練(原卷版)
- 有關(guān)教師實習(xí)個人工作總結(jié)3000字
- 2024年工程建設(shè)合同的復(fù)雜屬性描述
- DB4106T 81-2022 農(nóng)產(chǎn)品檢驗檢測報告編制規(guī)范
- 2024小學(xué)四年級新學(xué)期班務(wù)工作計劃(3篇)
- 2024年房產(chǎn)按揭借款抵押合同樣本
- 2024年文員創(chuàng)始人合同
- 鏡頭的角度和方位課件
- 污水處理常用藥劑簡介知識講解課件
- 五年級上冊英語課件-Unit 1《My future》第1課時牛津上海版(三起) (共28張PPT)
- 光交接箱施工規(guī)范方案
- 氣溫和降水學(xué)案
- 普及人民代表大會制度知識競賽試題庫(1000題和答案)
- 國家電網(wǎng)公司施工項目部標準化管理手冊(2021年版)線路工程分冊
- 《汽車低壓線束設(shè)計規(guī)范》
- 工程項目增加簽證單
- 被一部電影感動記韓國電影《鳴梁海戰(zhàn)》觀后感
- 六年級數(shù)學(xué)上冊教案-《百分數(shù)》青島版
評論
0/150
提交評論