等保與安全講座1027

1、22022-4-294Internet EmailWeb 瀏覽瀏覽Intranet 電子商務(wù)電子商務(wù) 電子政務(wù)電子政務(wù)電子交易電子交易時(shí)間時(shí)間7891011121314152122 。網(wǎng)絡(luò)安全的目的防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合和信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力，是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。File ServerClientMail ServerClientClientClientFTP Server防火墻2022-4-29282022-4-2930 1、 10、應(yīng)用安全技術(shù) 11、系統(tǒng)安全

2、技術(shù) 12、數(shù)據(jù)庫(kù)安全技術(shù) 13、安全路由器（具有防火墻的功能，提供某些地址和服務(wù)的過濾機(jī)制，可以在一定程度上限制訪問。還有帶信息加密的路由器（成對(duì)使用）； 14、物理隔離技術(shù) 15、災(zāi)難恢復(fù)與備份技術(shù)安全服務(wù)建立相應(yīng)的標(biāo)準(zhǔn)定位一、定級(jí)如何進(jìn)行定級(jí)p定級(jí)對(duì)象確定p受侵害客體的分析p侵害程度的分析關(guān)鍵技術(shù)環(huán)節(jié)定級(jí)依據(jù)：GB/T22240-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南定級(jí)對(duì)象的三個(gè)條件 國(guó)家政權(quán)穩(wěn)固和國(guó)防實(shí)力 國(guó)家統(tǒng)一、民族團(tuán)結(jié)和社會(huì)安定 國(guó)家對(duì)外活動(dòng)中的政治、經(jīng)濟(jì)利益 國(guó)家重要的安全保衛(wèi)工作 國(guó)家經(jīng)濟(jì)競(jìng)爭(zhēng)力和科技實(shí)力 其他影響國(guó)家安全的事項(xiàng) 影響國(guó)家機(jī)關(guān)社會(huì)管理和公共服務(wù)的工

3、作秩序 影響各種類型的經(jīng)濟(jì)活動(dòng)秩序 影響各行業(yè)的科研、生產(chǎn)秩序 影響公眾在法律約束和道德規(guī)范下的正常生活秩序等 其他影響社會(huì)秩序的事項(xiàng) 由法律確認(rèn)的并受法律保護(hù)的公民、法人和其他組織所享有的一定的社會(huì)權(quán)利和利益。侵害客體影響行使工作職能導(dǎo)致業(yè)務(wù)能力下降引起法律糾紛導(dǎo)致財(cái)產(chǎn)損失造成社會(huì)不良影響對(duì)其他組織和個(gè)人造成損失其他影響 受到破壞后可能產(chǎn)生的危害后果定級(jí)要素與等級(jí)的關(guān)系侵害客體對(duì)客體的侵害程度 一般損害 嚴(yán)重?fù)p害 特別嚴(yán)重?fù)p害 公民、法人和其他組織的合法權(quán)益第一級(jí) 第二級(jí) 第二級(jí) 社會(huì)秩序、公共利益第二級(jí) 第三級(jí) 第四級(jí) 國(guó)家安全第三級(jí) 第四級(jí) 第五級(jí) 業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表系統(tǒng)服務(wù)安全

4、保護(hù)等級(jí)矩陣表系統(tǒng)安全保護(hù)等級(jí)矩陣表等級(jí)確定矩陣二、備案調(diào)整等級(jí)保護(hù)定級(jí)怎么處理？信息系統(tǒng)安全保護(hù)措施動(dòng)態(tài)調(diào)整等級(jí)調(diào)整因素：?！爸笇?dǎo)意見”針對(duì)定級(jí)備案的要求 安全保護(hù)現(xiàn)狀分析、查找安全隱患以及與國(guó)家信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)之間的差距，確定安全需求。差距分析 制定信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)整改方案。第三級(jí)（含）以上的重要衛(wèi)生信息系統(tǒng)建設(shè)整改方案應(yīng)當(dāng)經(jīng)過信息安全技術(shù)專家委員會(huì)論證。方案設(shè)計(jì) 完善安全保護(hù)設(shè)施，建立安全管理制度，落實(shí)安全管理措施，形成信息安全技術(shù)防護(hù)體系和信息安全管理體系，保障衛(wèi)生信息系統(tǒng)安全。建設(shè)實(shí)施整改依據(jù)：GB信息系統(tǒng)安全等級(jí)保護(hù)基本要求風(fēng)險(xiǎn)、差距分析風(fēng)險(xiǎn)評(píng)估自評(píng)估委托評(píng)估方案設(shè)計(jì)規(guī)

5、劃體系設(shè)計(jì)策略體系設(shè)計(jì)管理體系設(shè)計(jì)技術(shù)體系設(shè)計(jì)運(yùn)維體系設(shè)計(jì)物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全管理安全級(jí)別技術(shù)部分控制點(diǎn)要求項(xiàng)一級(jí)2033二級(jí)3279三級(jí)36136四級(jí)40148級(jí)別管理部分控制點(diǎn)要求項(xiàng)一級(jí)2852二級(jí)3496三級(jí)37154四級(jí)37170級(jí)別級(jí)別整體數(shù)量整體數(shù)量控制點(diǎn)控制點(diǎn)要求項(xiàng)要求項(xiàng)一級(jí)一級(jí)4885二級(jí)二級(jí)66175三級(jí)三級(jí)73290四級(jí)四級(jí)77868級(jí)別級(jí)別技術(shù)部分技術(shù)部分物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全及備份恢復(fù)一級(jí)一級(jí)控制點(diǎn)要求項(xiàng)控制點(diǎn)要求項(xiàng)控制點(diǎn)要求項(xiàng)控制點(diǎn)要求項(xiàng)控制點(diǎn)要求項(xiàng)7939464722二級(jí)二級(jí)控制點(diǎn)要求項(xiàng)控制點(diǎn)要求項(xiàng)控制點(diǎn)要求項(xiàng)控制點(diǎn)要求項(xiàng)控制點(diǎn)

6、要求項(xiàng)101961861971934三級(jí)三級(jí)控制點(diǎn)要求項(xiàng)控制點(diǎn)要求項(xiàng)控制點(diǎn)要求項(xiàng)控制點(diǎn)要求項(xiàng)控制點(diǎn)要求項(xiàng)103273373293138四級(jí)四級(jí)控制點(diǎn)要求項(xiàng)控制點(diǎn)要求項(xiàng)控制點(diǎn)要求項(xiàng)控制點(diǎn)要求項(xiàng)控制點(diǎn)要求項(xiàng)10337329361136311級(jí)別級(jí)別管理部分管理部分安全管理制度安全管理制度安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)人員安全管理人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理 系統(tǒng)運(yùn)維管理系統(tǒng)運(yùn)維管理一級(jí)一級(jí)控制點(diǎn)要求項(xiàng)控制點(diǎn)要求項(xiàng)控制點(diǎn)要求項(xiàng)控制點(diǎn)要求項(xiàng)控制點(diǎn)要求項(xiàng)234447920918二級(jí)二級(jí)控制點(diǎn)要求項(xiàng)控制點(diǎn)要求項(xiàng)控制點(diǎn)要求項(xiàng)控制點(diǎn)要求項(xiàng)控制點(diǎn)要求項(xiàng)37595119281241三級(jí)三級(jí)控制點(diǎn)要求項(xiàng)控制點(diǎn)要求

7、項(xiàng)控制點(diǎn)要求項(xiàng)控制點(diǎn)要求項(xiàng)控制點(diǎn)要求項(xiàng)31152051611451362四級(jí)四級(jí)控制點(diǎn)要求項(xiàng)控制點(diǎn)要求項(xiàng)控制點(diǎn)要求項(xiàng)控制點(diǎn)要求項(xiàng)控制點(diǎn)要求項(xiàng)31452051811481370安全等級(jí)控制點(diǎn)要求項(xiàng)91910321039 物理位置的選擇 （2項(xiàng)） 物理訪問控制 （4項(xiàng)） 防盜竊和防破壞 （6項(xiàng)） 防雷擊 （3項(xiàng)） 防火 （3項(xiàng)） 防水和防潮 （4項(xiàng)） 防靜電 （2項(xiàng)） 溫濕度控制 （1項(xiàng)） 電力供應(yīng) （4項(xiàng)） 電磁防護(hù) （3項(xiàng)）以第三級(jí)為例安全等級(jí)控制點(diǎn)要求項(xiàng) 結(jié)構(gòu)安全 （7項(xiàng)） 訪問控制 （8項(xiàng)） 安全審計(jì) （4項(xiàng)） 邊界完整性檢查 （2項(xiàng)） 入侵防范 （2項(xiàng)） 惡意代碼防范 （2項(xiàng)） 網(wǎng)絡(luò)設(shè)備

8、防護(hù) （8項(xiàng)）以第三級(jí)為例安全等級(jí)控制點(diǎn)要求項(xiàng)第一級(jí)第二級(jí)第三級(jí)第四級(jí) 身份鑒別 （6項(xiàng)） 訪問控制 （7項(xiàng)） 安全審計(jì) （6項(xiàng)） 剩余信息保護(hù) （2項(xiàng)） 入侵防范 （3項(xiàng)） 惡意代碼防范 （3項(xiàng)） 系統(tǒng)資源控制 （5項(xiàng)）以第三級(jí)為例數(shù)據(jù)庫(kù)安全是主機(jī)安全的一個(gè)部分，數(shù)據(jù)庫(kù)的測(cè)評(píng)指標(biāo)是從“主機(jī)安全”和“數(shù)據(jù)安全及備份恢復(fù)”中根據(jù)數(shù)據(jù)庫(kù)的特點(diǎn)映射得到的。 身份鑒別 （6項(xiàng)） 訪問控制 （7項(xiàng)） 安全審計(jì) （6項(xiàng)） 資源控制 （3項(xiàng)） 備份與恢復(fù)（2項(xiàng)）以第三級(jí)為例安全等級(jí)控制點(diǎn)要求項(xiàng) 一、身份鑒別 （5項(xiàng)） 二、訪問控制 （6項(xiàng)） 三、安全審計(jì) （4項(xiàng)） 四、剩余信息保護(hù) (2項(xiàng)) 五、通信完整性

9、 (1項(xiàng)) 六、通信保密性 (2項(xiàng)) 七、抗抵賴 (2項(xiàng)) 八、軟件容錯(cuò) (2項(xiàng)) 九、資源控制 （7項(xiàng)）以第三級(jí)為例階階段段責(zé)責(zé)任任單單位位信息系統(tǒng)定級(jí) 總體安全規(guī)劃1.信息系統(tǒng)分析2.安全保護(hù)等級(jí)確定 安全設(shè)計(jì)與實(shí)施 安全運(yùn)行與維護(hù) 信息系統(tǒng)終止1.風(fēng)險(xiǎn)評(píng)估和等保差距分析2.總體安全規(guī)劃設(shè)計(jì)（1）安全需求分析（2）總體安全設(shè)計(jì)（3）安全建設(shè)項(xiàng)目規(guī)劃1.安全方案詳細(xì)設(shè)計(jì)2.安全整改建設(shè)（1）編制管理制度、流程等文檔（2）實(shí)施技術(shù)措施，進(jìn)行安全設(shè)備調(diào)試和系統(tǒng)集成1.安全運(yùn)維（1）安全巡檢（2）滲透測(cè)試、安全加固（3）應(yīng)急響應(yīng)（4）安全通告2.等級(jí)測(cè)評(píng)1.數(shù)據(jù)處理2.銷毀處理3.遷移、廢棄處理業(yè)

10、務(wù)業(yè)務(wù)系統(tǒng)系統(tǒng)開發(fā)開發(fā)責(zé)責(zé)任任單單位位準(zhǔn)備階段 總體設(shè)計(jì)1.信息系統(tǒng)分析2.安全保護(hù)等級(jí)確定 詳細(xì)設(shè)計(jì)開發(fā) 運(yùn)行維護(hù)1.風(fēng)險(xiǎn)評(píng)估2.總體安全規(guī)劃設(shè)計(jì)服務(wù)（1）安全需求分析（2）總體安全設(shè)計(jì)（3）安全建設(shè)項(xiàng)目規(guī)劃1.安全方案詳細(xì)設(shè)計(jì)2.安全整改建設(shè)（1）編制管理制度、流程等文檔（2）實(shí)施技術(shù)措施，進(jìn)行安全設(shè)備調(diào)試和系統(tǒng)集成1.安全運(yùn)維（1）安全巡檢（2）滲透測(cè)試、安全加固（3）應(yīng)急響應(yīng)（4）安全通告2.等級(jí)測(cè)評(píng)1.數(shù)據(jù)處理2.銷毀處理3.遷移、廢棄處理準(zhǔn)備階段 總體設(shè)計(jì) 詳細(xì)設(shè)計(jì)與實(shí)施運(yùn)行與維護(hù) 系統(tǒng)終止信息系統(tǒng)定級(jí) 總體安全規(guī)劃 安全設(shè)計(jì)與實(shí)施 安全運(yùn)行與維護(hù) 信息系統(tǒng)終止基礎(chǔ)基礎(chǔ)網(wǎng)絡(luò)網(wǎng)絡(luò)建設(shè)建設(shè)安全安全體系體系建設(shè)建設(shè) 信息系統(tǒng)終止指導(dǎo) 密碼技術(shù) 標(biāo)識(shí)與認(rèn)證技術(shù) 授權(quán)與訪問控制技術(shù) 系統(tǒng)安全技術(shù) 漏洞掃描技術(shù) 漏洞分析技術(shù) 安全測(cè)評(píng)技術(shù) 入侵檢測(cè)技術(shù) 應(yīng)急響應(yīng)技術(shù) 備份恢復(fù)技術(shù)應(yīng)當(dāng)按照信息安全等級(jí)保護(hù)管理辦法要求，從全國(guó)信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦目錄中選擇等級(jí)測(cè)評(píng)機(jī)構(gòu)，對(duì)第三級(jí)（含）以上重要衛(wèi)生信息系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)。1、測(cè)評(píng)申請(qǐng)-系統(tǒng)建設(shè)整改工作完成后開展測(cè)評(píng)第三級(jí)（含）以上重要衛(wèi)生信息系統(tǒng)至少應(yīng)每年進(jìn)行等級(jí)測(cè)評(píng)。對(duì)于重要部門的第二級(jí)信息系統(tǒng)，可參照上述要求進(jìn)行等級(jí)測(cè)評(píng)工作。測(cè)評(píng)合格后，應(yīng)當(dāng)將測(cè)評(píng)報(bào)告向?qū)俚毓矙C(jī)關(guān)備案，并向?qū)俚匦l(wèi)生行政部門報(bào)備。2、測(cè)評(píng)備案測(cè)評(píng)合格