收藏
下载资源

信息系统安全等级保护--标准体系.ppt

上传人:F****n 文档编号:111720125 上传时间:2019-11-03 格式:PPT 页数:150 大小:1.72MB
返回 下载 相关 举报
信息系统安全等级保护--标准体系.ppt_第1页
第1页 / 共150页
信息系统安全等级保护--标准体系.ppt_第2页
第2页 / 共150页
信息系统安全等级保护--标准体系.ppt_第3页
第3页 / 共150页
信息系统安全等级保护--标准体系.ppt_第4页
第4页 / 共150页
信息系统安全等级保护--标准体系.ppt_第5页
第5页 / 共150页
点击查看更多>>
资源描述

《信息系统安全等级保护--标准体系.ppt》由会员分享,可在线阅读,更多相关《信息系统安全等级保护--标准体系.ppt(150页珍藏版)》请在金锄头文库上搜索。

1、信息系统安全等级保护 标准体系,武汉安域信息安全技术有限公司 余少波 博士 地址:湖北武汉东湖开发区武大园路6号 电话:13281151232 电邮:caminopro,信息安全等级保护工作使用的主要标准,2,管理方法,4,内容,实施指南,定级指南,基本要求,测评要求,等级保护标准体系,等级保护标准体系,信息安全等级保护标准体系由等级保护工作过程中所需的所有标准组成,整个标准体系可以从多个角度分析 从基本分类角度看 基础类标准 技术类标准 管理类标准 从对象角度看 基础标准 系统标准 产品标准 安全服务标准 安全事件标准等,等级保护标准体系,从等级保护生命周期看 通用/基础标准 系统定级用标准

2、 安全建设用标准 等级测评用标准 运行维护用标准等,等级保护标准体系,一是:定级备案 二是:建设整改 三是:等级测评 四是:监督检查,等级保护标准体系-主要工作,(一)基础 1、计算机信息系统安全保护等级划分准则GB17859-1999 2、信息系统安全等级保护实施指南GB/T 25058-2010 (二)系统定级环节 3、信息系统安全保护等级定级指南GB/T22240-2008 (三)建设整改环节 4、信息系统安全等级保护基本要求GB/T22239-2008 (四)等级测评环节 5、信息系统安全等级保护测评要求(国标报批稿) 6、信息系统安全等级保护测评过程指南(国标报批稿),等级保护标准体

3、系-主要标准,信息安全等级保护管理办法(公通字200743号,以下简称管理办法) 计算机信息安全保护等级划分准则(GB 17859-1999,简称划分准则) 信息系统安全等级保护实施指南 GB/T 25058-2010 (简称实施指南) 信息系统安全保护等级定级指南(GB/T 22240-2008,简称定级指南) 信息系统安全等级保护基本要求(GB/T 22239-2008,简称基本要求) 信息系统安全等级保护测评要求(简称测评要求) 信息系统安全等级保护测评过程指南 (简称测评过程指南),等级保护标准体系-主要标准和政策,信息安全等级保护工作使用的主要标准,2,管理方法,4,内容,实施指南,

4、定级指南,基本要求,测评要求,具体做法,等级确定与备案,自查与等级测评,等级保护运行与管理,基本要求,实施指南、 安全产品标准,定级指南、实施指南,监督管理要求、 基本要求、测评要求,基本要求,定级指南、 实施指南,设计规范、测评要求,安全规划与设计,安全建设与实现,监督管理要求实施指南,标准定位和关系,管理办法(43文件)(总要求) 实施指南(GB/T25058-2010) 定级指南(GB/T22240-2008) 基本要求(GB/T22239-2008) 测评要求 建设指南,信息安全等级保护工作使用的主要标准,2,管理方法,4,内容,实施指南,定级指南,基本要求,测评要求,管理办法,管理办

5、法第八条: 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理 。,管理办法,管理办法第九条: 信息系统运营、使用单位应当按照信息系统安全等级保护实施指南具体实施等级保护工作。,管理办法,管理办法第十条: 信息系统运营、使用单位应当依据本办法和信息系统安全等级保护定级指南确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。,管理办法,管理办法第十二条: 在信息系统建设过程中,运营、使用单位应当按照计算机信息系统安全保护等级划分准则(GB17859-1999)、信息系统安全等级保护基本要求等技术标准,参照等

6、技术标准同步建设符合该等级要求的信息安全设施。,管理办法,管理办法第十三条: 运营、使用单位应当参照信息安全技术信息系统安全管理要求(GB/T20269-2006)、信息安全技术信息系统安全工程管理要求(GB/T20282-2006)、信息系统安全等级保护基本要求等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。,管理办法,管理办法第十四条: 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位,依据信息系统安全等级保护测评要求等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至

7、少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。,信息安全等级保护工作使用的主要标准,2,管理方法,4,内容,实施指南,定级指南,基本要求,测评要求,实施指南,介绍和描述了实施信息系统等级保护过程中涉及的阶段、过程和需要完成的活动,通过对过程和活动的介绍,使大家了解对信息系统实施等级保护的流程方法,以及不同的角色在不同阶段的作用等。,实施指南,等级变更,局部调整,信息系统定级,总体安全规划,安全设计与实施,安全运行维护,信息系统终止,实施指南的主要思路,以信息系统安全等级保护建设为主要线索, 定义信息系统等级保护实施的主要阶段和过程 对每个阶段介绍和描述主要的过程和实施活动

8、 对每个活动说明实施主体、主要活动内容和输入输出等,实施指南标准的结构,正文由9个章节1个附录构成 1. 范围 2.规范性引用文件 3术语定义 4. 等级保护实施概述 5.信息系统定级 6.总体安全规划 7.安全设计/实施 8.安全运行维护 9.信息系统终止 附录A 主要过程及其输出,实施指南中的主要概念,阶段 过程 主要活动 子活动 活动输入 活动输出,实施指南特点,阶段 过程 活动 子活动 例如: 信息系统定级 信息系统分析 系统识别和描绘 识别信息系统的基本信息 识别信息系统的管理框架 信息系统划分,系统定级阶段-实施流程,主要输入,主要输出,过程,系统立项文档 系统建设文档 系统管理文

9、档,信息系统分析,系统总体描述文件 系统详细描述文件,安全保护等级确定,系统总体描述文件 系统详细描述文件,系统安全保护等级定级建议书,信息安全等级保护工作使用的主要标准,2,管理方法,4,内容,实施指南,定级指南,基本要求,测评要求,定级指南,安全保护等级 等级的确定是不依赖于安全保护措施的,具有一定的“客观性”,即该系统在存在之初便由其自身所实现的使命决定了它的安全保护等级,而非由“后天”的安全保护措施决定。,标准的结构,正文由6个章节构成 1. 范围 2. 规范性引用文件 3. 术语定义 4. 定级原理 5. 定级方法 6. 级别变更,-定级原理,五个等级的定义 第一级, 信息系统受到破

10、坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。,-定级原理,-定级方法,确定定级对象; 确定业务信息安全受到破坏时所侵害的客体; 综合评定业务信息安全被破坏对客体的侵害程度; 得到

11、业务信息安全等级; 确定系统服务安全受到破坏时所侵害的客体; 综合评定系统服务安全被破坏对客体的侵害程度; 得到系统服务安全等级; 由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。,可能的系统级别,第一级 S1A1G1 第二级 S1A2G2,S2A2G2,S2A1G2 第三级 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3 第四级 S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4,信息安全等级保护工作使用的主要标准,2,管理方法,4,内容,实施指南,定级指南,基本要求,测评要求,36,标准背景,03年

12、,27号文件进一步明确信息安全等级保护制度 04年,66号文件要求“尽快制定、完善法律法规和标准体系” 编制历程 04年10月,接受公安部的标准编制任务 05年 6月,完成初稿,广泛征求安全领域专家和行业用户意见; 05年10月,征求意见稿第一稿,国信办、安标委评审 05年11月,征求意见稿第三稿 06年 6月,试点工作 07年04月,征求意见稿第四稿,安标委专家评审 07年05月,形成报批稿 08年6月19日,正式发布,08年11月1日正式实施。,37,标准定位,GB 17859-1999的细化和发展 吸收安全机制并扩展到不同层面 增加安全管理方面的内容 借鉴PDR、CMM、17799 关注

13、可操作性 最佳实践 当前技术的发展 机制要求(目标/要求),信息系统安全等级保护基本要求,计算机信息系统安全保护等级划分准则(GB17859),信息系统通用安全 技术要求,信息系统物理安全 技术要求,技术类,其他技术类标准,信息系统安全 管理要求,信息系统安全工程 管理要求,其他管理类标准,信息系统安全等级保护定级指南,信息系统安全等级保护基本要求的行业细则,信息系统安全等级保护测评过程指南,信息系统安全等级保护测评要求,信息系统等级保护安全设计技术要求,管理类,产品类,数据库管理系统安全技术要求,其他产品类标准,信息系统安全等级保护行业定级细则,操作系统安全技术 要求,信息系统安全等级保护建

14、设整改,网络基础安全技术 要求,网络和终端设备隔离部件技术要求,安全定级,基线要求,状态分析,方法指导,信息系统安全等级保护实施指南,等级保护有关标准 在安全建设整改工作中的作用,38,39,与其他标准的关系,GB17859-1999是基础性标准,基本要求17859基础上的进一步细化和扩展。 定级指南确定出系统等级以及业务信息安全性等级和业务服务保证性等级后,需要按照相应等级,根据基本要求选择相应等级的安全保护要求进行系统建设实施。 测评要求是依据基本要求检验系统的各项保护措施是否达到相应等级的基本要求所规定的保护能力。,40,标准适用范围,用户范围 信息系统的主管部门及运营使用单位 测评机构

15、 安全服务机构(系统集成商,软件开发商) 信息安全监管职能部门 适用环节 需求分析 方案设计、系统建设与验收 运行维护、等级测评、自查,标准的编制思路,门槛合理 对每个级别的信息系统安全要求设置合理,按照基本要求建设后,确实达到期望的安全保护能力 内容完整 综合技术、管理各个方面的要求,安全要求内容考虑全面、完整,覆盖信息系统生命周期 便于使用 安全要求分类方式合理,便于安全保护、检测评估、监督检查实施各方的灵活使用,41,42,描述模型,43,基本安全保护能力,对抗能力和恢复能力共同构成了信息系统的安全保护能力。 安全保护能力主要表现为信息系统应对威胁的能力,称为对抗能力,但当信息系统无法阻

16、挡威胁对自身的破坏时,信息系统的恢复能力使系统在一定时间内恢复到原有状态,从而降低负面影响。,44,能力目标,第一级安全保护能力 应具有能够对抗来自个人的、拥有很少资源(如利用公开可获取的工具等)的威胁源发起的恶意攻击、一般的自然灾难(灾难发生的强度弱、持续时间很短、系统局部范围等)、以及其他相当危害程度的威胁所造成的关键资源损害,并在威胁发生后,能够恢复部分功能。,45,能力目标,第二级安全保护能力 应具有能够对抗来自小型组织的(如自发的三两人组成的黑客组织)、拥有少量资源(如个别人员能力、公开可获或特定开发的工具等)的威胁源发起的恶意攻击、一般的自然灾难(灾难发生的强度一般、持续时间短、覆盖范围小(局部性)等)、以及其他相当危害程度(无意失误、设备故

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 幼儿/小学教育 > 小学教育

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号