信息安全等級(jí)保護(hù)專業(yè)知識(shí)課件_第1頁
信息安全等級(jí)保護(hù)專業(yè)知識(shí)課件_第2頁
信息安全等級(jí)保護(hù)專業(yè)知識(shí)課件_第3頁
信息安全等級(jí)保護(hù)專業(yè)知識(shí)課件_第4頁
信息安全等級(jí)保護(hù)專業(yè)知識(shí)課件_第5頁
已閱讀5頁,還剩91頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

信息安全等級(jí)保護(hù)專業(yè)知識(shí)1信息安全等級(jí)保護(hù)專業(yè)知識(shí)1主題21234信息安全的屬性特征和管理分類什么是等級(jí)保護(hù)等級(jí)保護(hù)的國家政策與標(biāo)準(zhǔn)規(guī)范等級(jí)保護(hù)的工作內(nèi)容25等級(jí)保護(hù)的建設(shè)流程6等級(jí)保護(hù)各參與部門的角色定位7涉及國家秘密信息系統(tǒng)的分級(jí)保護(hù)主題21234信息安全的屬性特征和管理分類什么是等級(jí)保護(hù)等級(jí)信息安全的屬性特征3信息安全是整體的、發(fā)展的、非傳統(tǒng)的安全;信息安全是一個(gè)系統(tǒng)工程,需要全社會(huì)共同努力;信息安全不是絕對(duì)的,是動(dòng)態(tài)的、相對(duì)的;信息安全不是一個(gè)國家能完全控制的問題,具有全球化的特點(diǎn),應(yīng)從全球信息化角度考慮和布局;信息安全不是一個(gè)孤立的問題,應(yīng)在系統(tǒng)建設(shè)過程中充分考慮。信息安全的屬性特征3信息安全是整體的、發(fā)展的、非傳統(tǒng)的安全;信息安全管理分類4密保(分保)——分三級(jí)(絕密、機(jī)密、秘密)涉密環(huán)境(網(wǎng)絡(luò)、終端、應(yīng)用系統(tǒng)及數(shù)據(jù))的信息安全等?!治寮?jí)非涉密環(huán)境(網(wǎng)絡(luò)、終端、應(yīng)用系統(tǒng)及數(shù)據(jù))的信息安全信息安全管理分類4密保(分保)——分三級(jí)(絕密、機(jī)密、秘密主題21234信息安全的屬性特征和管理分類什么是等級(jí)保護(hù)等級(jí)保護(hù)的國家政策與標(biāo)準(zhǔn)規(guī)范等級(jí)保護(hù)的工作內(nèi)容55等級(jí)保護(hù)的建設(shè)流程6等級(jí)保護(hù)各參與部門的角色定位7涉及國家秘密信息系統(tǒng)的分級(jí)保護(hù)主題21234信息安全的屬性特征和管理分類什么是等級(jí)保護(hù)等級(jí)什么是等級(jí)保護(hù)6信息系統(tǒng)等級(jí)保護(hù)的定義是指對(duì)國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù),對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理,對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。等級(jí)保護(hù)工作分為五個(gè)環(huán)節(jié):定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查。信息安全等級(jí)保護(hù)是基本制度、基本國策什么是等級(jí)保護(hù)6信息系統(tǒng)等級(jí)保護(hù)的定義等級(jí)保護(hù)的等級(jí)劃分準(zhǔn)則7根據(jù)信息和信息系統(tǒng)遭到破壞或泄露后,對(duì)國家安全、社會(huì)秩序、公共利益及公民、法人和其他組織的合法權(quán)益的危害程度來進(jìn)行定級(jí)。1、受侵害客體;2、受侵害程度。等級(jí)保護(hù)的等級(jí)劃分準(zhǔn)則7根據(jù)信息和信息系統(tǒng)遭到破壞或泄露后,等級(jí)保護(hù)的等級(jí)劃分準(zhǔn)則8等級(jí)保護(hù)的等級(jí)劃分準(zhǔn)則8公安部關(guān)于等級(jí)保護(hù)文件規(guī)定第一級(jí)為自主保護(hù)級(jí)第二級(jí)為指導(dǎo)保護(hù)級(jí)第一級(jí)為監(jiān)督保護(hù)級(jí)第一級(jí)為強(qiáng)制保護(hù)級(jí)第一級(jí)為??乇Wo(hù)級(jí)9公安部關(guān)于等級(jí)保護(hù)文件規(guī)定第一級(jí)為自主保護(hù)級(jí)9等級(jí)保護(hù)涉及的幾個(gè)概念10主動(dòng)用戶、進(jìn)程主體被動(dòng)文件、存儲(chǔ)設(shè)備客體訪問:讀、寫、執(zhí)行權(quán)限安全策略安全審計(jì)強(qiáng)制訪問控制等級(jí)保護(hù)涉及的幾個(gè)概念10主動(dòng)主體被動(dòng)客體訪問:讀、寫、執(zhí)行等級(jí)保護(hù)的等級(jí)劃分準(zhǔn)則11第一級(jí)用戶自主保護(hù)級(jí)第二級(jí)系統(tǒng)審計(jì)保護(hù)第三級(jí)安全標(biāo)記保護(hù)第四級(jí)結(jié)構(gòu)化保護(hù)第五級(jí)訪問驗(yàn)證保護(hù)用戶自主控制資源訪問訪問行為需要被審計(jì)通過標(biāo)記實(shí)現(xiàn)強(qiáng)制訪問控制可信計(jì)算基結(jié)構(gòu)化所有的過程都需要驗(yàn)證等級(jí)保護(hù)的等級(jí)劃分準(zhǔn)則11第一級(jí)用戶自主保護(hù)級(jí)第二級(jí)系統(tǒng)等級(jí)保護(hù)的等級(jí)劃分準(zhǔn)則12第一級(jí)自主安全保護(hù)第二級(jí)審計(jì)安全保護(hù)第三級(jí)強(qiáng)制安全保護(hù)第四級(jí)結(jié)構(gòu)化保護(hù)第五級(jí)訪問驗(yàn)證保護(hù)級(jí)自主訪問控制身份鑒別完整性保護(hù)自主訪問控制身份鑒別完整性保護(hù)系統(tǒng)審計(jì)客體重用自主訪問控制身份鑒別完整性保護(hù)系統(tǒng)審計(jì)客體重用強(qiáng)制訪問控制標(biāo)記自主訪問控制身份鑒別完整性保護(hù)系統(tǒng)審計(jì)客體重用強(qiáng)制訪問控制標(biāo)記自主訪問控制身份鑒別完整性保護(hù)系統(tǒng)審計(jì)客體重用強(qiáng)制訪問控制標(biāo)記隱蔽通道分析可信路徑隱蔽通道分析可信路徑可信恢復(fù)等級(jí)保護(hù)的等級(jí)劃分準(zhǔn)則12第一級(jí)自主安全保護(hù)第二級(jí)審計(jì)安信息系統(tǒng)的五個(gè)安全保護(hù)等級(jí)13第一級(jí):一般適用于小型私營、個(gè)體企業(yè)、中小學(xué)、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級(jí)單位中一般的信息系統(tǒng)。第二級(jí):一般適用于縣級(jí)某些單位中的重要信息系統(tǒng);地市級(jí)以上國家機(jī)關(guān)、企事業(yè)單位內(nèi)部一般的信息系統(tǒng),如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)等。第三級(jí):一般適用于地市級(jí)以上國家機(jī)關(guān)、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng),例如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng);跨省或全國聯(lián)網(wǎng)運(yùn)行的用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制等方面的重要信息系統(tǒng)以及這類系統(tǒng)在省、地市的分支系統(tǒng);中央各部委、?。▍^(qū)、市)門戶網(wǎng)站和重要網(wǎng)站;跨省連接的網(wǎng)絡(luò)系統(tǒng)等。第四級(jí):一般適用于國家重要領(lǐng)域、重要部門中的特別重要系統(tǒng)以及核心系統(tǒng)。例如電力、電信、廣電、鐵路、民航、銀行、稅務(wù)等重要部門的生產(chǎn)、調(diào)度、指揮等涉及國家安全、國計(jì)民生的核心系統(tǒng)。第五級(jí):一般適用于國家重要領(lǐng)域、重要部門中的極端重要系統(tǒng)信息系統(tǒng)的五個(gè)安全保護(hù)等級(jí)13第一級(jí):一般適用于小型私營、個(gè)主題31234信息安全的屬性特征和管理分類什么是等級(jí)保護(hù)等級(jí)保護(hù)的國家政策與標(biāo)準(zhǔn)規(guī)范等級(jí)保護(hù)的工作內(nèi)容145等級(jí)保護(hù)的建設(shè)流程6等級(jí)保護(hù)各參與部門的角色定位7涉及國家秘密信息系統(tǒng)的分級(jí)保護(hù)主題31234信息安全的屬性特征和管理分類什么是等級(jí)保護(hù)等級(jí)等級(jí)保護(hù)的國家政策15頒布時(shí)間文件名稱文號(hào)頒布機(jī)構(gòu)內(nèi)容及意義1994年2月18日《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》國務(wù)院147號(hào)令國務(wù)院第一次提出信息系統(tǒng)要實(shí)行等級(jí)保護(hù),并確定了等級(jí)保護(hù)的職責(zé)單位。2003年9月7日《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》中辦國辦發(fā)[2003]27號(hào)中共中央辦公廳國務(wù)院辦公廳等級(jí)保護(hù)工作的開展必須分步驟、分階段、有計(jì)劃的實(shí)施。明確了信息安全等級(jí)保護(hù)制度的基本內(nèi)容。2004年9月15日《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》公通字[2004]66號(hào)公安部國家保密局國家密碼管理委員會(huì)辦公室(國家密碼管理局)國務(wù)院信息化工作辦公室將等級(jí)保護(hù)從計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的一項(xiàng)制度提升到國家信息安全保障的一項(xiàng)基本制度。2007年6月22日《信息安全等級(jí)保護(hù)管理辦法》公通字[2007]43號(hào)明確了信息安全等級(jí)保護(hù)制度的基本內(nèi)容、流程及工作要求,明確了信息系統(tǒng)運(yùn)營使用單位和主管部門、監(jiān)管部門在信息安全等級(jí)保護(hù)工作中的職責(zé)、任務(wù)。2007年7月16日《關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》公信安[2007]861號(hào)就定級(jí)范圍、定級(jí)工作主要內(nèi)容、定級(jí)工作要求等事項(xiàng)進(jìn)行了通知。等級(jí)保護(hù)的國家政策15頒布時(shí)間文件名稱文號(hào)頒布機(jī)構(gòu)內(nèi)容及意義等級(jí)保護(hù)的技術(shù)標(biāo)準(zhǔn)規(guī)范16GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南GB/T20269-2006信息系統(tǒng)安全管理要求GB/T20282-2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求GB/T20270-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T20272-2006信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求GB/T20273-2006信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)通用安全技術(shù)要求GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求(已送批)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南……GB/T20009-2005信息安全技術(shù)操作系統(tǒng)安全評(píng)估準(zhǔn)則國家已出臺(tái)70多個(gè)國標(biāo)、行標(biāo)以及報(bào)批標(biāo)準(zhǔn),從基礎(chǔ)、設(shè)計(jì)、實(shí)施、管理、制度等各個(gè)方面對(duì)等保系統(tǒng)提出了要求和建議。等級(jí)保護(hù)的技術(shù)標(biāo)準(zhǔn)規(guī)范16GB17859-1999計(jì)算機(jī)等級(jí)保護(hù)的技術(shù)標(biāo)準(zhǔn)規(guī)范17《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859-1999)《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》

(GB/T20272-2006)《信息安全技術(shù)

信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239-2008)《信息安全技術(shù)

信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》面向評(píng)估者技術(shù)標(biāo)準(zhǔn):面向建設(shè)者技術(shù)標(biāo)準(zhǔn):等級(jí)保護(hù)的技術(shù)標(biāo)準(zhǔn)規(guī)范17《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)等級(jí)保護(hù)的技術(shù)標(biāo)準(zhǔn)規(guī)范18《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》(GB/T20282-2006)《信息系統(tǒng)安全管理體系標(biāo)準(zhǔn)》(ISO/IEC27001)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》(GB/Txxxxx-2007

)管理類標(biāo)準(zhǔn):等保方案類標(biāo)準(zhǔn):系統(tǒng)定級(jí)類標(biāo)準(zhǔn):《信息安全技術(shù)信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》(GB/T22240-2008)等級(jí)保護(hù)的技術(shù)標(biāo)準(zhǔn)規(guī)范18《信息安全技術(shù)信息系統(tǒng)安全工程管等級(jí)保護(hù)的技術(shù)標(biāo)準(zhǔn)規(guī)范19《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239-2008)《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》(已審批)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859-1999)最早提出的基礎(chǔ)性、強(qiáng)制性標(biāo)準(zhǔn);粒度較粗,是一個(gè)指導(dǎo)性標(biāo)準(zhǔn);公安部作為等保系統(tǒng)建設(shè)、評(píng)測(cè)的重要依據(jù)等保系統(tǒng)設(shè)計(jì)時(shí)的主要依據(jù):一個(gè)中心三重防御國家已出臺(tái)約70余個(gè)標(biāo)準(zhǔn),重點(diǎn)需要了解的有:等級(jí)保護(hù)的技術(shù)標(biāo)準(zhǔn)規(guī)范19《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(主題41234信息安全的屬性特征和管理分類什么是等級(jí)保護(hù)等級(jí)保護(hù)的國家政策與標(biāo)準(zhǔn)規(guī)范等級(jí)保護(hù)的工作內(nèi)容205等級(jí)保護(hù)的建設(shè)流程6等級(jí)保護(hù)各參與部門的角色定位7涉及國家秘密信息系統(tǒng)的分級(jí)保護(hù)主題41234信息安全的屬性特征和管理分類什么是等級(jí)保護(hù)等級(jí)等級(jí)保護(hù)的建設(shè)目標(biāo)21某級(jí)信息系統(tǒng)技術(shù)要求管理要求基本要求建立安全技術(shù)體系建立安全管理體系具有某級(jí)安全保護(hù)能力的系統(tǒng)等級(jí)保護(hù)的建設(shè)目標(biāo)21某級(jí)信息系統(tǒng)技術(shù)要求管理要求基本要求建等級(jí)保護(hù)的建設(shè)要求22物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理等級(jí)保護(hù)的建設(shè)要求22物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安等級(jí)保護(hù)的建設(shè)要求23環(huán)境安全防其他自然災(zāi)害機(jī)房與設(shè)施安全環(huán)境與人員安全設(shè)備安全防止電磁泄露發(fā)射防盜與防毀防電磁干擾介質(zhì)安全介質(zhì)的管理介質(zhì)的分類介質(zhì)的防護(hù)物理安全等級(jí)保護(hù)的建設(shè)要求23環(huán)境安全防其他自然災(zāi)害機(jī)房與設(shè)施安全環(huán)等級(jí)保護(hù)的建設(shè)要求24網(wǎng)絡(luò)安全1.網(wǎng)絡(luò)結(jié)構(gòu)安全2.網(wǎng)絡(luò)訪問控制3.網(wǎng)絡(luò)安全審計(jì)4.邊界完整性檢查5.網(wǎng)絡(luò)入侵防范6.惡意代碼防護(hù)7.網(wǎng)絡(luò)防護(hù)設(shè)備主機(jī)安全身份鑒別強(qiáng)制訪問控制系統(tǒng)安全審計(jì)4.剩余信息保護(hù)5.入侵防范6.惡意代碼防范7.資源控制

應(yīng)用安全

1.身份認(rèn)證2.安全審計(jì)3.剩余信息保護(hù)4.通信完整性和機(jī)密性保護(hù)數(shù)據(jù)安全1.數(shù)據(jù)機(jī)密性保護(hù)2.數(shù)據(jù)完整性保護(hù)5.控制軟件容錯(cuò);6.嚴(yán)格的訪問;7.自動(dòng)保護(hù)功能;8.資源控制;等級(jí)保護(hù)的建設(shè)要求24網(wǎng)絡(luò)安全主機(jī)安全等級(jí)保護(hù)的建設(shè)模式25滿足政策要求滿足標(biāo)準(zhǔn)要求滿足用戶自身要求安全現(xiàn)狀差異性分析基本要求需求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全與備份恢復(fù)等級(jí)保護(hù)的建設(shè)模式25滿足政策要求安全現(xiàn)狀差異性分析基本要求等級(jí)保護(hù)的體系架構(gòu)26其它定級(jí)系統(tǒng)安全接入/隔離設(shè)備計(jì)算環(huán)境區(qū)域邊界通信網(wǎng)絡(luò)網(wǎng)站/應(yīng)用服務(wù)器交換設(shè)備用戶終端安全管理中心通信網(wǎng)絡(luò)區(qū)域邊界計(jì)算環(huán)境安全管理中心等級(jí)保護(hù)的體系架構(gòu)26其它定級(jí)系統(tǒng)安全接入/隔離設(shè)備計(jì)算環(huán)境等級(jí)保護(hù)的技術(shù)實(shí)現(xiàn)要求27構(gòu)筑由安全管理中心統(tǒng)一管理下的計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防御體系。安全區(qū)域邊界可信計(jì)算環(huán)境安全管理中心安全通信網(wǎng)絡(luò)等級(jí)保護(hù)的技術(shù)實(shí)現(xiàn)要求27構(gòu)筑由安全管理中心統(tǒng)一管理下的計(jì)算主題51234信息安全的屬性特征和管理分類什么是等級(jí)保護(hù)等級(jí)保護(hù)的國家政策與標(biāo)準(zhǔn)規(guī)范等級(jí)保護(hù)的工作內(nèi)容285等級(jí)保護(hù)的建設(shè)流程6等級(jí)保護(hù)各參與部門的角色定位7涉及國家秘密信息系統(tǒng)的分級(jí)保護(hù)主題51234信息安全的屬性特征和管理分類什么是等級(jí)保護(hù)等級(jí)等級(jí)保護(hù)的建設(shè)流程29達(dá)標(biāo)等保體系安全措施業(yè)務(wù)應(yīng)用信息網(wǎng)絡(luò)已運(yùn)營系統(tǒng)業(yè)務(wù)應(yīng)用安全措施新建系統(tǒng)等保整改等保建設(shè)等級(jí)保護(hù)的建設(shè)流程29達(dá)標(biāo)等保體系安全措施業(yè)務(wù)應(yīng)用信息網(wǎng)絡(luò)已等級(jí)保護(hù)整改建設(shè)流程301.信息系統(tǒng)定級(jí)2.等保建設(shè)立項(xiàng)3.信息安全威脅分析4.等保方案設(shè)計(jì)5.安全體系部署6.等保體系測(cè)評(píng)7.等保整改建設(shè)完成定級(jí)工作08年已基本完成專業(yè)機(jī)構(gòu)整改意見總設(shè)詳設(shè)專家論證項(xiàng)目實(shí)施內(nèi)部驗(yàn)收專業(yè)機(jī)構(gòu)測(cè)評(píng)報(bào)告未通過等級(jí)保護(hù)整改建設(shè)流程301.信息系統(tǒng)定級(jí)2.等保建設(shè)立項(xiàng)3.流程1:信息系統(tǒng)定級(jí)31

2007年開始,我國在全國范圍展開了信息系統(tǒng)等級(jí)保護(hù)的定級(jí)工作,并在公安部進(jìn)行了相關(guān)的備案。定級(jí)依據(jù):《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》(國家)《XX行業(yè)信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》誰主管、運(yùn)營誰定級(jí);擬確定為四級(jí)以上的信息系統(tǒng)需請(qǐng)國家信息安全保護(hù)等級(jí)專家評(píng)審委員會(huì)評(píng)審;信息系統(tǒng)定級(jí)情況要在公安部門報(bào)備;流程1:信息系統(tǒng)定級(jí)31 2007年開始,我國在全國范圍流程1:信息系統(tǒng)定級(jí)32根據(jù)信息和信息系統(tǒng)遭到破壞或泄露后,對(duì)國家安全、社會(huì)秩序、公共利益及公民、法人和其他組織的合法權(quán)益的危害程度來進(jìn)行定級(jí)。受侵害的客體對(duì)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國家安全第三級(jí)第四級(jí)第五級(jí)1.受侵害客體;2.受侵害程度;流程1:信息系統(tǒng)定級(jí)32根據(jù)信息和信息系統(tǒng)遭到破壞或泄露后,流程2:等保建設(shè)立項(xiàng)33 信息系統(tǒng)等級(jí)保護(hù)建設(shè),經(jīng)過信息系統(tǒng)的運(yùn)營、管理部門以及有關(guān)政府部門的批準(zhǔn),并列入信息系統(tǒng)運(yùn)營單位或政府計(jì)劃的過程。一項(xiàng)基本國策,一項(xiàng)基本制度,具有政策的強(qiáng)制性是辦公電子化、業(yè)務(wù)信息化發(fā)展必需的保障手段用戶業(yè)務(wù)開展的實(shí)際需求流程2:等保建設(shè)立項(xiàng)33 信息系統(tǒng)等級(jí)保護(hù)建設(shè),經(jīng)過信息流程3:風(fēng)險(xiǎn)評(píng)估34需請(qǐng)相應(yīng)級(jí)別、具有資質(zhì)的測(cè)評(píng)中心進(jìn)行風(fēng)險(xiǎn)評(píng)估;風(fēng)險(xiǎn)評(píng)估是對(duì)信息資產(chǎn)面臨的威脅、存在的弱點(diǎn)、造成的影響,以及三者綜合作用而帶來風(fēng)險(xiǎn)的可能性的評(píng)估。風(fēng)險(xiǎn)評(píng)估是確定信息安全需求的一個(gè)重要途徑。風(fēng)險(xiǎn)評(píng)估完成后出具《評(píng)估報(bào)告》和《整改意見》;流程3:風(fēng)險(xiǎn)評(píng)估34需請(qǐng)相應(yīng)級(jí)別、具有資質(zhì)的測(cè)評(píng)中心進(jìn)行風(fēng)險(xiǎn)流程4:等級(jí)方案設(shè)計(jì)思路351整改意見需求分析2總體設(shè)計(jì)詳細(xì)設(shè)計(jì)3應(yīng)急方案災(zāi)備方案5方案與產(chǎn)品安全性論證6項(xiàng)目預(yù)算7項(xiàng)目實(shí)施方案設(shè)計(jì)4產(chǎn)品選型技術(shù)指標(biāo)信息系統(tǒng)等保體系建設(shè)目標(biāo)流程4:等級(jí)方案設(shè)計(jì)思路351整改意見2總體設(shè)計(jì)3應(yīng)急方案5流程4:等保方案設(shè)計(jì)原則36重視安全技管兼行遵循政策符合標(biāo)準(zhǔn)需求主導(dǎo)突出重點(diǎn)整體規(guī)劃分步實(shí)施全局管理統(tǒng)一標(biāo)準(zhǔn)適度安全減少影響流程4:等保方案設(shè)計(jì)原則36重視安全技管兼行遵循政策流程4:需求分析方法37滿足政策要求滿足標(biāo)準(zhǔn)要求滿足用戶自身要求安全現(xiàn)狀差異性分析基本要求需求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全與備份恢復(fù)流程4:需求分析方法37滿足政策要求安全現(xiàn)狀差異性分析基本要流程4:需求分析方法38安全現(xiàn)狀與《基本要求》的差異分析對(duì)照標(biāo)準(zhǔn)要求是否滿足相應(yīng)措施物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全流程4:需求分析方法38安全現(xiàn)狀與《基本要求》的差異分析對(duì)照流程4:設(shè)計(jì)方案章節(jié)39等級(jí)保護(hù)建設(shè)方案章節(jié):二、安全需求分析一、項(xiàng)目背景四、等保技術(shù)體系設(shè)計(jì)三、方案總體設(shè)計(jì)六、等保管理安全設(shè)計(jì)五、等保物理安全設(shè)計(jì)八、產(chǎn)品選型與技術(shù)指標(biāo)七、應(yīng)急與災(zāi)備設(shè)計(jì)九、方案與產(chǎn)品安全性論證十一、實(shí)施方案設(shè)計(jì)十、項(xiàng)目預(yù)算需求背景政策依據(jù)以《基本要求》中“網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)”部分要求為目標(biāo),以《設(shè)計(jì)要求》為方法以《基本要求》中物理安全部分為依據(jù)以《基本要求》中管理安全部分為依據(jù)經(jīng)過信息安全等級(jí)保護(hù)專家論證通過流程4:設(shè)計(jì)方案章節(jié)39等級(jí)保護(hù)建設(shè)方案章節(jié):二、安全需求分流程4:等保體系整體架構(gòu)40安全接入/隔離設(shè)備計(jì)算環(huán)境區(qū)域邊界通信網(wǎng)絡(luò)網(wǎng)站/應(yīng)用服務(wù)器交換設(shè)備用戶終端安全管理中心通信網(wǎng)絡(luò)區(qū)域邊界計(jì)算環(huán)境安全管理中心流程4:等保體系整體架構(gòu)40安全接入/隔離設(shè)備計(jì)算環(huán)境區(qū)域邊流程5:等保體系部署41統(tǒng)一規(guī)劃,分步實(shí)施規(guī)范管理,責(zé)任落實(shí)確保安全,影響最小專家論證,內(nèi)部驗(yàn)收計(jì)算環(huán)境區(qū)域邊界通信網(wǎng)絡(luò)流程5:等保體系部署41統(tǒng)一規(guī)劃,分步實(shí)施規(guī)范管理,責(zé)任落實(shí)流程6:等保體系測(cè)評(píng)42等保體系達(dá)標(biāo)需請(qǐng)相應(yīng)級(jí)別、具有資質(zhì)的測(cè)評(píng)中心進(jìn)行等保測(cè)評(píng);以相應(yīng)的政策、標(biāo)準(zhǔn)為基準(zhǔn),對(duì)等保體系進(jìn)行風(fēng)險(xiǎn)評(píng)測(cè),從面臨的威脅、存在的弱點(diǎn)、造成的影響,以及三者綜合作用角度,分析信息系統(tǒng)的等保體系是否達(dá)標(biāo)。等保測(cè)評(píng)完成后出具《測(cè)評(píng)報(bào)告》和《整改意見》;等保體系測(cè)評(píng)信息等保整改通過未通過流程6:等保體系測(cè)評(píng)42等保體系達(dá)標(biāo)需請(qǐng)相應(yīng)級(jí)別、具有資質(zhì)的流程7:等保體系整改建設(shè)完成43構(gòu)筑由安全管理中心統(tǒng)一管理下的計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防御體系。安全區(qū)域邊界安全計(jì)算環(huán)境安全管理中心安全通信網(wǎng)絡(luò)流程7:等保體系整改建設(shè)完成43構(gòu)筑由安全管理中心統(tǒng)一管理下主題61234信息安全的屬性特征和管理分類什么是等級(jí)保護(hù)等級(jí)保護(hù)的國家政策與標(biāo)準(zhǔn)規(guī)范等級(jí)保護(hù)的工作內(nèi)容445等級(jí)保護(hù)的建設(shè)流程6等級(jí)保護(hù)各參與部門的角色定位7涉及國家秘密信息系統(tǒng)的分級(jí)保護(hù)主題61234信息安全的屬性特征和管理分類什么是等級(jí)保護(hù)等級(jí)等級(jí)保護(hù)各參與部門的角色定位45《信息安全等級(jí)保護(hù)管理辦法》公安機(jī)關(guān)負(fù)責(zé)信息安全等級(jí)保護(hù)工作的監(jiān)督、檢查、指導(dǎo)——公安部及地方公安部門、網(wǎng)監(jiān)部門國家保密工作部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)——國家保密局及地方保密局國家密碼管理部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)——國密辦及地方密碼管理局/辦國務(wù)院信息化領(lǐng)導(dǎo)小組負(fù)責(zé)等級(jí)保護(hù)工作的部門間協(xié)調(diào)——國信辦、工信部及地方信息辦等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)負(fù)責(zé)按照國家相關(guān)技術(shù)標(biāo)準(zhǔn)和要求對(duì)信息系統(tǒng)進(jìn)行等級(jí)保護(hù)的分析測(cè)評(píng)工作等級(jí)保護(hù)各參與部門的角色定位45《信息安全等級(jí)保護(hù)管理辦法》主題61234信息安全的屬性特征和管理分類什么是等級(jí)保護(hù)等級(jí)保護(hù)的國家政策與標(biāo)準(zhǔn)規(guī)范等級(jí)保護(hù)的工作內(nèi)容465等級(jí)保護(hù)的建設(shè)流程6等級(jí)保護(hù)各參與部門的角色定位7涉及國家秘密信息系統(tǒng)的分級(jí)保護(hù)主題61234信息安全的屬性特征和管理分類什么是等級(jí)保護(hù)等級(jí)涉及國際秘密信息系統(tǒng)的分級(jí)保護(hù)管理47按照國家保密部門有關(guān)涉密信息系統(tǒng)分級(jí)保護(hù)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)非涉密信息系統(tǒng)不得處理國家秘密信息涉密信息系統(tǒng)分為秘密、機(jī)密、絕密三個(gè)等級(jí)國家保密標(biāo)準(zhǔn)BMB17-2006《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》確定等級(jí)涉密信息系統(tǒng)使用的產(chǎn)品原則上選用國產(chǎn)品涉密系統(tǒng)建成后,由測(cè)評(píng)機(jī)構(gòu)進(jìn)行安全保密測(cè)評(píng)涉及國際秘密信息系統(tǒng)的分級(jí)保護(hù)管理47按照國家保密部門有關(guān)涉附錄48信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則(試行)2007(公安部)公安機(jī)關(guān)信息安全等級(jí)保護(hù)工作規(guī)范(試行)2008(檢查通知書、限期整改通知書、檢查情況通報(bào)書)關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知附錄48信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則(試行)2007(公安部信息安全等級(jí)保護(hù)專業(yè)知識(shí)49信息安全等級(jí)保護(hù)專業(yè)知識(shí)1主題21234信息安全的屬性特征和管理分類什么是等級(jí)保護(hù)等級(jí)保護(hù)的國家政策與標(biāo)準(zhǔn)規(guī)范等級(jí)保護(hù)的工作內(nèi)容505等級(jí)保護(hù)的建設(shè)流程6等級(jí)保護(hù)各參與部門的角色定位7涉及國家秘密信息系統(tǒng)的分級(jí)保護(hù)主題21234信息安全的屬性特征和管理分類什么是等級(jí)保護(hù)等級(jí)信息安全的屬性特征51信息安全是整體的、發(fā)展的、非傳統(tǒng)的安全;信息安全是一個(gè)系統(tǒng)工程,需要全社會(huì)共同努力;信息安全不是絕對(duì)的,是動(dòng)態(tài)的、相對(duì)的;信息安全不是一個(gè)國家能完全控制的問題,具有全球化的特點(diǎn),應(yīng)從全球信息化角度考慮和布局;信息安全不是一個(gè)孤立的問題,應(yīng)在系統(tǒng)建設(shè)過程中充分考慮。信息安全的屬性特征3信息安全是整體的、發(fā)展的、非傳統(tǒng)的安全;信息安全管理分類52密保(分保)——分三級(jí)(絕密、機(jī)密、秘密)涉密環(huán)境(網(wǎng)絡(luò)、終端、應(yīng)用系統(tǒng)及數(shù)據(jù))的信息安全等?!治寮?jí)非涉密環(huán)境(網(wǎng)絡(luò)、終端、應(yīng)用系統(tǒng)及數(shù)據(jù))的信息安全信息安全管理分類4密保(分保)——分三級(jí)(絕密、機(jī)密、秘密主題21234信息安全的屬性特征和管理分類什么是等級(jí)保護(hù)等級(jí)保護(hù)的國家政策與標(biāo)準(zhǔn)規(guī)范等級(jí)保護(hù)的工作內(nèi)容535等級(jí)保護(hù)的建設(shè)流程6等級(jí)保護(hù)各參與部門的角色定位7涉及國家秘密信息系統(tǒng)的分級(jí)保護(hù)主題21234信息安全的屬性特征和管理分類什么是等級(jí)保護(hù)等級(jí)什么是等級(jí)保護(hù)54信息系統(tǒng)等級(jí)保護(hù)的定義是指對(duì)國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù),對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理,對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。等級(jí)保護(hù)工作分為五個(gè)環(huán)節(jié):定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查。信息安全等級(jí)保護(hù)是基本制度、基本國策什么是等級(jí)保護(hù)6信息系統(tǒng)等級(jí)保護(hù)的定義等級(jí)保護(hù)的等級(jí)劃分準(zhǔn)則55根據(jù)信息和信息系統(tǒng)遭到破壞或泄露后,對(duì)國家安全、社會(huì)秩序、公共利益及公民、法人和其他組織的合法權(quán)益的危害程度來進(jìn)行定級(jí)。1、受侵害客體;2、受侵害程度。等級(jí)保護(hù)的等級(jí)劃分準(zhǔn)則7根據(jù)信息和信息系統(tǒng)遭到破壞或泄露后,等級(jí)保護(hù)的等級(jí)劃分準(zhǔn)則56等級(jí)保護(hù)的等級(jí)劃分準(zhǔn)則8公安部關(guān)于等級(jí)保護(hù)文件規(guī)定第一級(jí)為自主保護(hù)級(jí)第二級(jí)為指導(dǎo)保護(hù)級(jí)第一級(jí)為監(jiān)督保護(hù)級(jí)第一級(jí)為強(qiáng)制保護(hù)級(jí)第一級(jí)為??乇Wo(hù)級(jí)57公安部關(guān)于等級(jí)保護(hù)文件規(guī)定第一級(jí)為自主保護(hù)級(jí)9等級(jí)保護(hù)涉及的幾個(gè)概念58主動(dòng)用戶、進(jìn)程主體被動(dòng)文件、存儲(chǔ)設(shè)備客體訪問:讀、寫、執(zhí)行權(quán)限安全策略安全審計(jì)強(qiáng)制訪問控制等級(jí)保護(hù)涉及的幾個(gè)概念10主動(dòng)主體被動(dòng)客體訪問:讀、寫、執(zhí)行等級(jí)保護(hù)的等級(jí)劃分準(zhǔn)則59第一級(jí)用戶自主保護(hù)級(jí)第二級(jí)系統(tǒng)審計(jì)保護(hù)第三級(jí)安全標(biāo)記保護(hù)第四級(jí)結(jié)構(gòu)化保護(hù)第五級(jí)訪問驗(yàn)證保護(hù)用戶自主控制資源訪問訪問行為需要被審計(jì)通過標(biāo)記實(shí)現(xiàn)強(qiáng)制訪問控制可信計(jì)算基結(jié)構(gòu)化所有的過程都需要驗(yàn)證等級(jí)保護(hù)的等級(jí)劃分準(zhǔn)則11第一級(jí)用戶自主保護(hù)級(jí)第二級(jí)系統(tǒng)等級(jí)保護(hù)的等級(jí)劃分準(zhǔn)則60第一級(jí)自主安全保護(hù)第二級(jí)審計(jì)安全保護(hù)第三級(jí)強(qiáng)制安全保護(hù)第四級(jí)結(jié)構(gòu)化保護(hù)第五級(jí)訪問驗(yàn)證保護(hù)級(jí)自主訪問控制身份鑒別完整性保護(hù)自主訪問控制身份鑒別完整性保護(hù)系統(tǒng)審計(jì)客體重用自主訪問控制身份鑒別完整性保護(hù)系統(tǒng)審計(jì)客體重用強(qiáng)制訪問控制標(biāo)記自主訪問控制身份鑒別完整性保護(hù)系統(tǒng)審計(jì)客體重用強(qiáng)制訪問控制標(biāo)記自主訪問控制身份鑒別完整性保護(hù)系統(tǒng)審計(jì)客體重用強(qiáng)制訪問控制標(biāo)記隱蔽通道分析可信路徑隱蔽通道分析可信路徑可信恢復(fù)等級(jí)保護(hù)的等級(jí)劃分準(zhǔn)則12第一級(jí)自主安全保護(hù)第二級(jí)審計(jì)安信息系統(tǒng)的五個(gè)安全保護(hù)等級(jí)61第一級(jí):一般適用于小型私營、個(gè)體企業(yè)、中小學(xué)、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級(jí)單位中一般的信息系統(tǒng)。第二級(jí):一般適用于縣級(jí)某些單位中的重要信息系統(tǒng);地市級(jí)以上國家機(jī)關(guān)、企事業(yè)單位內(nèi)部一般的信息系統(tǒng),如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)等。第三級(jí):一般適用于地市級(jí)以上國家機(jī)關(guān)、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng),例如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng);跨省或全國聯(lián)網(wǎng)運(yùn)行的用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制等方面的重要信息系統(tǒng)以及這類系統(tǒng)在省、地市的分支系統(tǒng);中央各部委、省(區(qū)、市)門戶網(wǎng)站和重要網(wǎng)站;跨省連接的網(wǎng)絡(luò)系統(tǒng)等。第四級(jí):一般適用于國家重要領(lǐng)域、重要部門中的特別重要系統(tǒng)以及核心系統(tǒng)。例如電力、電信、廣電、鐵路、民航、銀行、稅務(wù)等重要部門的生產(chǎn)、調(diào)度、指揮等涉及國家安全、國計(jì)民生的核心系統(tǒng)。第五級(jí):一般適用于國家重要領(lǐng)域、重要部門中的極端重要系統(tǒng)信息系統(tǒng)的五個(gè)安全保護(hù)等級(jí)13第一級(jí):一般適用于小型私營、個(gè)主題31234信息安全的屬性特征和管理分類什么是等級(jí)保護(hù)等級(jí)保護(hù)的國家政策與標(biāo)準(zhǔn)規(guī)范等級(jí)保護(hù)的工作內(nèi)容625等級(jí)保護(hù)的建設(shè)流程6等級(jí)保護(hù)各參與部門的角色定位7涉及國家秘密信息系統(tǒng)的分級(jí)保護(hù)主題31234信息安全的屬性特征和管理分類什么是等級(jí)保護(hù)等級(jí)等級(jí)保護(hù)的國家政策63頒布時(shí)間文件名稱文號(hào)頒布機(jī)構(gòu)內(nèi)容及意義1994年2月18日《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》國務(wù)院147號(hào)令國務(wù)院第一次提出信息系統(tǒng)要實(shí)行等級(jí)保護(hù),并確定了等級(jí)保護(hù)的職責(zé)單位。2003年9月7日《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》中辦國辦發(fā)[2003]27號(hào)中共中央辦公廳國務(wù)院辦公廳等級(jí)保護(hù)工作的開展必須分步驟、分階段、有計(jì)劃的實(shí)施。明確了信息安全等級(jí)保護(hù)制度的基本內(nèi)容。2004年9月15日《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》公通字[2004]66號(hào)公安部國家保密局國家密碼管理委員會(huì)辦公室(國家密碼管理局)國務(wù)院信息化工作辦公室將等級(jí)保護(hù)從計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的一項(xiàng)制度提升到國家信息安全保障的一項(xiàng)基本制度。2007年6月22日《信息安全等級(jí)保護(hù)管理辦法》公通字[2007]43號(hào)明確了信息安全等級(jí)保護(hù)制度的基本內(nèi)容、流程及工作要求,明確了信息系統(tǒng)運(yùn)營使用單位和主管部門、監(jiān)管部門在信息安全等級(jí)保護(hù)工作中的職責(zé)、任務(wù)。2007年7月16日《關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》公信安[2007]861號(hào)就定級(jí)范圍、定級(jí)工作主要內(nèi)容、定級(jí)工作要求等事項(xiàng)進(jìn)行了通知。等級(jí)保護(hù)的國家政策15頒布時(shí)間文件名稱文號(hào)頒布機(jī)構(gòu)內(nèi)容及意義等級(jí)保護(hù)的技術(shù)標(biāo)準(zhǔn)規(guī)范64GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南GB/T20269-2006信息系統(tǒng)安全管理要求GB/T20282-2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求GB/T20270-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T20272-2006信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求GB/T20273-2006信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)通用安全技術(shù)要求GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求(已送批)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南……GB/T20009-2005信息安全技術(shù)操作系統(tǒng)安全評(píng)估準(zhǔn)則國家已出臺(tái)70多個(gè)國標(biāo)、行標(biāo)以及報(bào)批標(biāo)準(zhǔn),從基礎(chǔ)、設(shè)計(jì)、實(shí)施、管理、制度等各個(gè)方面對(duì)等保系統(tǒng)提出了要求和建議。等級(jí)保護(hù)的技術(shù)標(biāo)準(zhǔn)規(guī)范16GB17859-1999計(jì)算機(jī)等級(jí)保護(hù)的技術(shù)標(biāo)準(zhǔn)規(guī)范65《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859-1999)《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》

(GB/T20272-2006)《信息安全技術(shù)

信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239-2008)《信息安全技術(shù)

信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》面向評(píng)估者技術(shù)標(biāo)準(zhǔn):面向建設(shè)者技術(shù)標(biāo)準(zhǔn):等級(jí)保護(hù)的技術(shù)標(biāo)準(zhǔn)規(guī)范17《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)等級(jí)保護(hù)的技術(shù)標(biāo)準(zhǔn)規(guī)范66《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》(GB/T20282-2006)《信息系統(tǒng)安全管理體系標(biāo)準(zhǔn)》(ISO/IEC27001)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》(GB/Txxxxx-2007

)管理類標(biāo)準(zhǔn):等保方案類標(biāo)準(zhǔn):系統(tǒng)定級(jí)類標(biāo)準(zhǔn):《信息安全技術(shù)信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》(GB/T22240-2008)等級(jí)保護(hù)的技術(shù)標(biāo)準(zhǔn)規(guī)范18《信息安全技術(shù)信息系統(tǒng)安全工程管等級(jí)保護(hù)的技術(shù)標(biāo)準(zhǔn)規(guī)范67《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239-2008)《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》(已審批)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859-1999)最早提出的基礎(chǔ)性、強(qiáng)制性標(biāo)準(zhǔn);粒度較粗,是一個(gè)指導(dǎo)性標(biāo)準(zhǔn);公安部作為等保系統(tǒng)建設(shè)、評(píng)測(cè)的重要依據(jù)等保系統(tǒng)設(shè)計(jì)時(shí)的主要依據(jù):一個(gè)中心三重防御國家已出臺(tái)約70余個(gè)標(biāo)準(zhǔn),重點(diǎn)需要了解的有:等級(jí)保護(hù)的技術(shù)標(biāo)準(zhǔn)規(guī)范19《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(主題41234信息安全的屬性特征和管理分類什么是等級(jí)保護(hù)等級(jí)保護(hù)的國家政策與標(biāo)準(zhǔn)規(guī)范等級(jí)保護(hù)的工作內(nèi)容685等級(jí)保護(hù)的建設(shè)流程6等級(jí)保護(hù)各參與部門的角色定位7涉及國家秘密信息系統(tǒng)的分級(jí)保護(hù)主題41234信息安全的屬性特征和管理分類什么是等級(jí)保護(hù)等級(jí)等級(jí)保護(hù)的建設(shè)目標(biāo)69某級(jí)信息系統(tǒng)技術(shù)要求管理要求基本要求建立安全技術(shù)體系建立安全管理體系具有某級(jí)安全保護(hù)能力的系統(tǒng)等級(jí)保護(hù)的建設(shè)目標(biāo)21某級(jí)信息系統(tǒng)技術(shù)要求管理要求基本要求建等級(jí)保護(hù)的建設(shè)要求70物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理等級(jí)保護(hù)的建設(shè)要求22物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安等級(jí)保護(hù)的建設(shè)要求71環(huán)境安全防其他自然災(zāi)害機(jī)房與設(shè)施安全環(huán)境與人員安全設(shè)備安全防止電磁泄露發(fā)射防盜與防毀防電磁干擾介質(zhì)安全介質(zhì)的管理介質(zhì)的分類介質(zhì)的防護(hù)物理安全等級(jí)保護(hù)的建設(shè)要求23環(huán)境安全防其他自然災(zāi)害機(jī)房與設(shè)施安全環(huán)等級(jí)保護(hù)的建設(shè)要求72網(wǎng)絡(luò)安全1.網(wǎng)絡(luò)結(jié)構(gòu)安全2.網(wǎng)絡(luò)訪問控制3.網(wǎng)絡(luò)安全審計(jì)4.邊界完整性檢查5.網(wǎng)絡(luò)入侵防范6.惡意代碼防護(hù)7.網(wǎng)絡(luò)防護(hù)設(shè)備主機(jī)安全身份鑒別強(qiáng)制訪問控制系統(tǒng)安全審計(jì)4.剩余信息保護(hù)5.入侵防范6.惡意代碼防范7.資源控制

應(yīng)用安全

1.身份認(rèn)證2.安全審計(jì)3.剩余信息保護(hù)4.通信完整性和機(jī)密性保護(hù)數(shù)據(jù)安全1.數(shù)據(jù)機(jī)密性保護(hù)2.數(shù)據(jù)完整性保護(hù)5.控制軟件容錯(cuò);6.嚴(yán)格的訪問;7.自動(dòng)保護(hù)功能;8.資源控制;等級(jí)保護(hù)的建設(shè)要求24網(wǎng)絡(luò)安全主機(jī)安全等級(jí)保護(hù)的建設(shè)模式73滿足政策要求滿足標(biāo)準(zhǔn)要求滿足用戶自身要求安全現(xiàn)狀差異性分析基本要求需求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全與備份恢復(fù)等級(jí)保護(hù)的建設(shè)模式25滿足政策要求安全現(xiàn)狀差異性分析基本要求等級(jí)保護(hù)的體系架構(gòu)74其它定級(jí)系統(tǒng)安全接入/隔離設(shè)備計(jì)算環(huán)境區(qū)域邊界通信網(wǎng)絡(luò)網(wǎng)站/應(yīng)用服務(wù)器交換設(shè)備用戶終端安全管理中心通信網(wǎng)絡(luò)區(qū)域邊界計(jì)算環(huán)境安全管理中心等級(jí)保護(hù)的體系架構(gòu)26其它定級(jí)系統(tǒng)安全接入/隔離設(shè)備計(jì)算環(huán)境等級(jí)保護(hù)的技術(shù)實(shí)現(xiàn)要求75構(gòu)筑由安全管理中心統(tǒng)一管理下的計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防御體系。安全區(qū)域邊界可信計(jì)算環(huán)境安全管理中心安全通信網(wǎng)絡(luò)等級(jí)保護(hù)的技術(shù)實(shí)現(xiàn)要求27構(gòu)筑由安全管理中心統(tǒng)一管理下的計(jì)算主題51234信息安全的屬性特征和管理分類什么是等級(jí)保護(hù)等級(jí)保護(hù)的國家政策與標(biāo)準(zhǔn)規(guī)范等級(jí)保護(hù)的工作內(nèi)容765等級(jí)保護(hù)的建設(shè)流程6等級(jí)保護(hù)各參與部門的角色定位7涉及國家秘密信息系統(tǒng)的分級(jí)保護(hù)主題51234信息安全的屬性特征和管理分類什么是等級(jí)保護(hù)等級(jí)等級(jí)保護(hù)的建設(shè)流程77達(dá)標(biāo)等保體系安全措施業(yè)務(wù)應(yīng)用信息網(wǎng)絡(luò)已運(yùn)營系統(tǒng)業(yè)務(wù)應(yīng)用安全措施新建系統(tǒng)等保整改等保建設(shè)等級(jí)保護(hù)的建設(shè)流程29達(dá)標(biāo)等保體系安全措施業(yè)務(wù)應(yīng)用信息網(wǎng)絡(luò)已等級(jí)保護(hù)整改建設(shè)流程781.信息系統(tǒng)定級(jí)2.等保建設(shè)立項(xiàng)3.信息安全威脅分析4.等保方案設(shè)計(jì)5.安全體系部署6.等保體系測(cè)評(píng)7.等保整改建設(shè)完成定級(jí)工作08年已基本完成專業(yè)機(jī)構(gòu)整改意見總設(shè)詳設(shè)專家論證項(xiàng)目實(shí)施內(nèi)部驗(yàn)收專業(yè)機(jī)構(gòu)測(cè)評(píng)報(bào)告未通過等級(jí)保護(hù)整改建設(shè)流程301.信息系統(tǒng)定級(jí)2.等保建設(shè)立項(xiàng)3.流程1:信息系統(tǒng)定級(jí)79

2007年開始,我國在全國范圍展開了信息系統(tǒng)等級(jí)保護(hù)的定級(jí)工作,并在公安部進(jìn)行了相關(guān)的備案。定級(jí)依據(jù):《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》(國家)《XX行業(yè)信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》誰主管、運(yùn)營誰定級(jí);擬確定為四級(jí)以上的信息系統(tǒng)需請(qǐng)國家信息安全保護(hù)等級(jí)專家評(píng)審委員會(huì)評(píng)審;信息系統(tǒng)定級(jí)情況要在公安部門報(bào)備;流程1:信息系統(tǒng)定級(jí)31 2007年開始,我國在全國范圍流程1:信息系統(tǒng)定級(jí)80根據(jù)信息和信息系統(tǒng)遭到破壞或泄露后,對(duì)國家安全、社會(huì)秩序、公共利益及公民、法人和其他組織的合法權(quán)益的危害程度來進(jìn)行定級(jí)。受侵害的客體對(duì)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國家安全第三級(jí)第四級(jí)第五級(jí)1.受侵害客體;2.受侵害程度;流程1:信息系統(tǒng)定級(jí)32根據(jù)信息和信息系統(tǒng)遭到破壞或泄露后,流程2:等保建設(shè)立項(xiàng)81 信息系統(tǒng)等級(jí)保護(hù)建設(shè),經(jīng)過信息系統(tǒng)的運(yùn)營、管理部門以及有關(guān)政府部門的批準(zhǔn),并列入信息系統(tǒng)運(yùn)營單位或政府計(jì)劃的過程。一項(xiàng)基本國策,一項(xiàng)基本制度,具有政策的強(qiáng)制性是辦公電子化、業(yè)務(wù)信息化發(fā)展必需的保障手段用戶業(yè)務(wù)開展的實(shí)際需求流程2:等保建設(shè)立項(xiàng)33 信息系統(tǒng)等級(jí)保護(hù)建設(shè),經(jīng)過信息流程3:風(fēng)險(xiǎn)評(píng)估82需請(qǐng)相應(yīng)級(jí)別、具有資質(zhì)的測(cè)評(píng)中心進(jìn)行風(fēng)險(xiǎn)評(píng)估;風(fēng)險(xiǎn)評(píng)估是對(duì)信息資產(chǎn)面臨的威脅、存在的弱點(diǎn)、造成的影響,以及三者綜合作用而帶來風(fēng)險(xiǎn)的可能性的評(píng)估。風(fēng)險(xiǎn)評(píng)估是確定信息安全需求的一個(gè)重要途徑。風(fēng)險(xiǎn)評(píng)估完成后出具《評(píng)估報(bào)告》和《整改意見》;流程3:風(fēng)險(xiǎn)評(píng)估34需請(qǐng)相應(yīng)級(jí)別、具有資質(zhì)的測(cè)評(píng)中心進(jìn)行風(fēng)險(xiǎn)流程4:等級(jí)方案設(shè)計(jì)思路831整改意見需求分析2總體設(shè)計(jì)詳細(xì)設(shè)計(jì)3應(yīng)急方案災(zāi)備方案5方案與產(chǎn)品安全性論證6項(xiàng)目預(yù)算7項(xiàng)目實(shí)施方案設(shè)計(jì)4產(chǎn)品選型技術(shù)指標(biāo)信息系統(tǒng)等保體系建設(shè)目標(biāo)流程4:等級(jí)方案設(shè)計(jì)思路351整改意見2總體設(shè)計(jì)3應(yīng)急方案5流程4:等保方案設(shè)計(jì)原則84重視安全技管兼行遵循政策符合標(biāo)準(zhǔn)需求主導(dǎo)突出重點(diǎn)整體規(guī)劃分步實(shí)施全局管理統(tǒng)一標(biāo)準(zhǔn)適度安全減少影響流程4:等保方案設(shè)計(jì)原則36重視安全技管兼行遵循政策流程4:需求分析方法85滿足政策要求滿足標(biāo)準(zhǔn)要求滿足用戶自身要求安全現(xiàn)狀差異性分析基本要求需求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全與備份恢復(fù)流程4:需求分析方法37滿足政策要求安全現(xiàn)狀差異性分析基本要流程4:需求分析方法86安全現(xiàn)狀與《基本要求》的差異分析對(duì)照標(biāo)準(zhǔn)要求是否滿足相應(yīng)措施物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全流程4:需求分析方法38安全現(xiàn)狀與《基本要求》的差異分析對(duì)照流程4:

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論