收藏
下载资源

等保交流-基础知识

上传人:n**** 文档编号:115797147 上传时间:2019-11-14 格式:PPT 页数:26 大小:463.73KB
返回 下载 相关 举报
等保交流-基础知识_第1页
第1页 / 共26页
等保交流-基础知识_第2页
第2页 / 共26页
等保交流-基础知识_第3页
第3页 / 共26页
等保交流-基础知识_第4页
第4页 / 共26页
等保交流-基础知识_第5页
第5页 / 共26页
点击查看更多>>
资源描述

《等保交流-基础知识》由会员分享,可在线阅读,更多相关《等保交流-基础知识(26页珍藏版)》请在金锄头文库上搜索。

1、信息安全等级保护基础知识信息安全等级保护基础知识 与安全产品在等保中的应用与安全产品在等保中的应用 提纲:提纲: 1 1、等级保护的基本知识、等级保护的基本知识 2 2、等保工作的流程、等保工作的流程 3 3、等保解决方案、等保解决方案 等级保护的基础知识 等级保护的一些基础知识 n 等级保护是一个体系建设工作,将来会是在未来指导我国信息安全工作的根本; n 等级保护所有标准为推荐标准(GBT),所以不是强制执行,且各行业会制定自己的 标准; n 等级保护的定级是针对业务系统,但是进行等级保护建设时讲究的是整体环境建设满 足等级要求; n 当网络环境内运行多个业务系统时,应当按照定级高的业务系

2、统进行环境建设; n 等级保护的定级分为三个纬度SAG,S指的是业务信息安全类,A指的是系统服务保证 类,G是基本要求。比如三级分为:S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3,并非 等保三级指的是一个要求; 三个分等级三个分等级 等级保护的定义等级保护的定义: 是是指对国家秘密信息、法人或其他指对国家秘密信息、法人或其他 组织及公民专有信息以及公开信息组织及公民专有信息以及公开信息 和存储、传输、处理这些信息的和存储、传输、处理这些信息的信信 息系统息系统分等级实行安全保护,对信分等级实行安全保护,对信 息系统中使用的息系统中使用的安全产品安全产品实行按等实行按等

3、级管理,对信息系统中发生的信息级管理,对信息系统中发生的信息 安全事件安全事件分等级进行响应、处置。分等级进行响应、处置。 等级保护,即等级保护,即分等级保护分等级保护,分等级分等级 监管监管。 什么是信息安全等级保护?什么是信息安全等级保护? 三个三个 分等级分等级 信息系统信息系统 安全产品安全产品安全事件安全事件 等保与分保的区别: 等级保护分级保护 管理体系不同公安机关国家保密工作部门 标准体系不同国家标准(GB、GB/T推荐标准)国家保密标准(BMB,强制执行) 保护对象不同各种信息系统国家涉密信息系统 划分级别第一级(自主保护) 第二级(指导保护) 第三级(监督保护) 第四级(强制

4、保护) 第五级(专控保护) 秘密级 机密级 绝密级 资质要求测评:公安部备案的具有测评资质 的机构。 安全产品:等保三级以上系统,应 优先考虑国内安全产品,除非国外 安全产品无法使用国内产品替代时 ,才允许使用国外安全产品。 集成:保密局发的涉密集成资质 单项:保密局发的涉密单项资质 安全产品:保密局发的涉密检测报告 密码产品:国密局发的密码资质 防病毒软件;公安部的检测报告 军队:军用安全产品检测报告; 全部禁止使用国外安全产品 等级保护目标客户: (一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性 公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系

5、统。 (二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展 改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土 资源、能源、交通、文化、统计、工商行政管理、邮政、国防工业等关系到国计 民生的信息系统(生产、调度、管理、办公等重要信息系统)。 (三)教育、国家科研等单位的信息系统 (四)市(地)级以上党政机关的重要网站和办公信息系统 (五)中央企业以及国资委下属企业 目前国家出台了哪些有关等保的政策?目前国家出台了哪些有关等保的政策? 国家:国家: 国务院国务院147147号令号令中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条

6、例(9494年年 ) 公通字公通字200466200466号号关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的实施意见 公通字公通字200743200743号号信息安全等级保护管理办法信息安全等级保护管理办法 陕西省:陕西省: 陕等保陕等保办办 2010120101号号关于组织开展全省重要信息系统安全等级保护工作关于组织开展全省重要信息系统安全等级保护工作 专项检查的通知专项检查的通知 陕等保陕等保办办 2011220112号号陕西省信息安全等级保护安全建设整改工作指导意陕西省信息安全等级保护安全建设整改工作指导意 见见的的通知通知 陕公通字陕公通字201127201127号号关于

7、进一步推进我省企业信息系统安全等级保护工关于进一步推进我省企业信息系统安全等级保护工 作的通知作的通知 陕等保办陕等保办2012120121号号关于开展关于开展“十八大十八大”重要信息系统等级保护检查工重要信息系统等级保护检查工 作的通知作的通知 西安市西安市 西等办西等办201201201201号号关于开展信息安全等级保护等级测评工作的通知关于开展信息安全等级保护等级测评工作的通知 银行银行 西银办西银办20112732011273号号关于进一步推动陕西省银行业信息安全等级保护工关于进一步推动陕西省银行业信息安全等级保护工 作的通知作的通知 银发银发20121632012163号号中国人民银

8、行关于银行业金融机构信息系统安全等级中国人民银行关于银行业金融机构信息系统安全等级 保护定级的指导意见保护定级的指导意见 法院(最近一次):法院(最近一次): 法(办)明传(法(办)明传(20122012)1414号号关于进一步推进人民法院信息安全等级保关于进一步推进人民法院信息安全等级保 护工作的通知护工作的通知 教育(最近一次):教育(最近一次): 陕教保办陕教保办201220201220号号关于进一步落实全省教育信息系统安全等级保护工关于进一步落实全省教育信息系统安全等级保护工 作的通知作的通知 医院医院 卫办发卫办发201120118585号号卫生部卫生部关于关于印发印发 的通知的通知

9、 卫卫办综函办综函2011201111261126号号卫生部办公厅卫生部办公厅关于全面开展卫生行业信息安关于全面开展卫生行业信息安 全等级保护工作的全等级保护工作的通知通知 交通交通(最近一次)(最近一次) : 陕交函陕交函 2011 8452011 845号号关于交通运输行业在用信息系统安全等级保护定关于交通运输行业在用信息系统安全等级保护定 级及测评工作的通知级及测评工作的通知 广电(最近一次):广电(最近一次): 陕公通字陕公通字201165201165号号关于开展我省广播电视相关信息系统安全等级保护关于开展我省广播电视相关信息系统安全等级保护 工作的通知工作的通知 保险、证券。保险、证

10、券。 等级保护的流程 等级保护流程及相关部门 定级 建设 规划 整改 测评 备案 自查与定期检查 评审与审批 二级以上信息系统 按标准选产品 选择评测机构 信息安全监管部门 检查 国家管理部门 公安网监 安全服务商 安全产品提供商 各省安全评测机 构 信息安全监管部门 等级保护流程 各阶段任务相关部门 等级保护的技术规范与标准 等保工作实施依据:实施指南 安全等级确定依据:定级指南 设计、建设和整改工作依据: 划分准则 基本要求(SAG) S:信息安全类要求 A:服务保障类要求 G:通用安全保护类要求 通用安全技术要求 网络基础安全/操作系统/数据库管理/服务器/终端计算机/信息安全管理/信息

11、安 全工程管理技术要求 等保测评工作依据:评测指南 定级要素与安全保护等级的关系 等级保护的安全模型框架等级保护的安全模型框架 基本要求基本要求 安全技术要求安全技术要求 物理安全物理安全 网络安全网络安全 主机安全主机安全 应用安全应用安全 数据安全数据安全 安全管理要求安全管理要求 安全管理制度安全管理制度 安全管理机构安全管理机构 人员安全管理人员安全管理 系统建设管理系统建设管理 系统运维管理系统运维管理 测评项测评项级级级级 技术要求技术要求7979136136 管理要求管理要求9696154154 总计总计175175290290 等级测评周期: 三级: n应当每年至少进行一次等级

12、测评 四级: n应当每半年至少进行一次等级测评 二级: n参照三级要求进行测评(每二年至少进行一次等级测评 ) 等级保护解决方案介绍 等级保护方案介绍 方案定位: n 是建议!不是设计方案,不是整改方案,不是实施方 案 n 是针对客户进行等级保护建设时碰到的问题,我们 依据产品给出的符合等级保护要求的解决方案 n 可以作为客户进行等保设计方案和改造方案时的参考 方案的目标: n在等保项目中卖产品; n等保是个体系建设,不是说客户按照我们这个方案都做 了就完成等保建设了,只是在我们提到的这些方面满足等 保的要求; 等级保护方案介绍 区域边界隔离与审计 挖掘需求: 在进行等级保护建设时,首先要按照

13、业务类型、重要程度等因素进行安全域的划分。 在安全域与安全域之间,需要严格控制信息流向,对通过安全域边界进行的数据交换应该 进行严格的控制,这些控制手段通常包括:访问控制、入侵检测与防御、恶意代码防范、 网络行为审计等。 技术要求: 网络安全-访问控制 网络安全-入侵防范 网络安全-恶意代码防范 网络安全-安全审计 网络安全 边界完整性 产品方案: 防火墙:智能防火墙,功能完善,解决多产品串联糖葫芦串的问题; IPS:访问控制、入侵防范、恶意代码防范 信息安全审计:网络安全审计 网络结构安全与冗余部署 挖掘需求: 目前多数骨干数据交换系统均采用中央、省、市、县多级组网,通过专线或者VPN 连接

14、,实现业务数据的上报和交换,并实现数据大集中。 技术要求: 网络安全-结构安全 网络安全-通信完整性 网络安全-通信保密性 数据安全-数据传输保密性 数据安全-备份与恢复 方案: SSL VPN:加密功能解决通信与数据的保密性; 上网行为管理:解决结构安全中的业务带宽保障管理需求 用户接入、身份鉴别 挖掘需求: 等级保护的业务系统常常有这种情况,需要有许多单个的用户从不同的地点接入,这些 用户分布比较分散,缺乏控制,终端设备难以预测,甚至有些用户是移动用户,需要使 用移动智能终端接入业务系统。 技术要求: 应用安全-身份鉴别、访问控制、安全审计 应用安全-通信保密性、通信完整性 方案: SSL

15、 VPN:远程用户接入时的身份鉴别、权限控制、安全审计,并保证通信保密性和完 整性; 服务器群组防护:用户访问时进行身份鉴别,保证访问业务系统的安全性与边界隔离; 堡垒机:设备用户权限管理的安全问题; 安全管理中心 挖掘需求: 随着信息化建设的进行,服务器和网络设备越来越多,业务系统越来越多,用户没有 精力逐个监控,迫切的需要有一个系统能够监控整个网络的情况,尤其是监控所有业 务系统的健康状况,并且当业务系统出现问题时,能够进行即使的告警。另外,需要 实现对设备的统一的策略管理和下发。 技术要求: 应用安全-资源控制 主机安全-资源控制 监控管理和安全管理中心 网络安全管理 方案: 服务器群组防护:服务器运行状态的监控与告警; SOC:设备的集中管理与控制; 等级保护我们的结合点 技术规范要求需求结合点 1.身份鉴别和自主访问控制SSL VPN/堡垒机 2.安全审计信息安全审计/上网行为管理 3.完整性和保密性保护 IPSEC/SSL VPN 4.边界保护防火墙/IPS 5.资源控制防火墙/服务器群组防护/VPN/WAF 6.入侵防范和恶意代码防范 IPS/IDS 7.安全管理平台设置SOC 8.备份与恢复 9.强制访问控制 1

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 大杂烩/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号