经典等级保护方案的介绍

《经典等级保护方案的介绍》由会员分享，可在线阅读，更多相关《经典等级保护方案的介绍（107页珍藏版）》请在金锄头文库上搜索。

1、信息系统安全等级保护方案介 介绍案解决 安全解决方案业务部 信息安全及应用交付 等级保护 安全运维 信息安全方案与集成安全整体咨询 服务安全产品全线分销安全平台应用交付 等级保护定级备案等级保护差距分析等级保护整改设计等级保护整改实施等级保护测评咨询 安全运维平台安全运维队伍安全运维流程安全运维制度安全运维报告安全运维交付 系统科技 安全管理本部 云计算安全 云IT服务平台云计算安全管理云计算环境管理云计算虚拟交付 1 业务概况 安全及系统管理本部作为系统科技战略本部的核心业务单位 承载着神州数码在信息安全和应用交付领域业务发展的重要战略职责 专注于IT应用时代的安全管理和系统管理 公司概况

2、2 专业的服务能力 60名高级工程师 包括CISP安全工程师 CCIE网络专家 F5认证安全工程师 BlueCoat认证安全工程师 RSA认证工程师 CheckPoint认证安全工程师以及来自厂商的安全资讯专家 提供从产品交付到解决方案定制 从应用集成到整体咨询的全方位服务 3 丰富的客户实践 拥有在金融 银行 基金 证券 保险 期货 运营商 电信 移动 联通 广电 设备商 政府 党政机关 公检法司 工商财税 国防军工 海关 社保 国土资源 公共事业 电力 石油石化 医疗 教育 交通 邮政 高端制造业 汽车 钢铁 冶炼 机械电子 食品 烟草等 传媒及互联网 广播 电视 纸媒 电子商务 等丰富的

3、成功客户经验 我们在对每一个用户系统深入分析和理解的基础上 凭借出色的行业经验和解决方案能力 成为众多大中型客户的首选安全解决方案提供商 4 遍布全国的服务网络 直接覆盖全国15个重点一 二级城市 同时通过战略合作伙伴全面覆盖全国20多个三 四级城市 本地化销售和技术团队在深入了解客户需求的基础上 更快更好的为客户提供专业化服务 公司概况 目录 目录 全球网络安全形势严峻 信息安全问题不仅仅是组织自身的事情 也涉及到国家和社会安全 计算机病毒 黑客攻击 信息泄露 软硬件故障等信息安全问题给组织单位造成了极大的风险 互联网空间正日益成为国际竞争的新焦点 在制定本国信息系统安全等级管理标准之外 美

4、国 英国 德国等欧美发达国家纷纷制定网络安全国家战略 参与争夺全球网络空间主导权 美国2009年6月 美军成立网络司令部 日本防卫省在2011年度建立一支专门的 网络空间防卫队 韩国在2009年宣布组建 网络司令部 2011年韩国国防部提升为独立部队 全球背景 等级保护背景与必要性 国际信息安全环境日趋复杂 西方加紧对我国的网络遏制 并加快利用网络进行意识形态渗透 另一方面 重要信息系统 工业控制系统的安全风险日益突出 信息安全网络监管的难度和复杂性持续加大 网络安全成为关系经济平稳运行和安全的重要因素 国民经济对信息网络和系统的依赖性增强 我国重要信息系统和工业控制系统多使用国外的技术和产品

5、 这些技术和产品的漏洞不可控 使网络和系统更易受到攻击 致使敏感信息泄露 系统停运等重大安全事件多发 安全状况堪忧 信息安全领域存在多头管理现象 相关职能部门涉及多个部委和管理机构 部门之间职责界定不清晰 管理权限存在交叉 决策权分散 各个相关管理机构之间缺乏充分的沟通和协调 部门间作用发挥不均 国内背景 等级保护背景与必要性 2007年 四部委联合发布的 关于开展全国重要信息系统安全等级保护定级工作的通知 公信安 2007 861号 2008年 国家发展和改革委员会 中华人民共和国公安部 国家保密局 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知 发改高技 2008 2071号

6、2009年 四部委联合发布 关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知 要求2010年底前完成测评体系建设 完成30 第三级 含 以上信息系统的测评工作 2012年底之前完成第三级 含 以上信息系统的安全建设整改工作 等级保护背景与必要性 等保发展状况 等级保护背景与必要性 2003年9月中办国办颁发 关于加强信息安全保障工作的意见 中办发 2003 27号 2005年9月国信办文件 关于转发 电子政务信息安全等级保护实施指南 的通知 国信办 2004 25号 2007年 公安部 保密局 密码管理局 国信办联合制定了 信息安全等级保护管理办法 标志着我国等级保护制度的初步形成

7、 2005年公安部标准 基本要求 定级指南 实施指南 测评准则 2004年11月四部委会签 关于信息安全等级保护工作的实施意见 公通字 2004 66号 云南云南省人民政府第130号令 浙江浙江省人民政府令 北京第9号令 国家级政策文件 国家级技术标准 国家级政策文件 地方政策文件 国家政策 标准 应用类 产品类 其他类 等保安全建设整改 基础类 计算机信息系统安全保护等级划分准则 信息系统定级 定级指南 GB T22240 2008等级保护实施 实施指南 信安字 2007 10号信息系统安全建设 基本要求 GB T22239 2008 通用安全技术要求 GB T20271 2006 安全技术

8、设计要求 GB T24856 2009等10个要求和规范等级测评 测评要求 报批稿 测评过程要求 报批稿 GA T713 2007 风险评估 信息安全风险评估规范 GB T20984 2007事件管理 信息安全事件管理指南 GB Z20985 2007 信息安全事件分类分级指南 GB Z20986 2007 信息系统灾难恢复规范 GB T20988 2007 操作系统数据库网络PKI网关服务器入侵检测防火墙路由器交换机其他产品 技术要求评估准则测试方法配置指南 等级保护背景与必要性 国家政策 标准 国家电网公司2011年完成10多个网省的等级保护整改任务 省市 行业进展 教育部办公厅关于开展信

9、息系统安全等级保护工作的通知 教办厅函 2009 80号 2007年 发布 税务信息系统安全等级保护定级工作指南 2010年8月25日 国家税总在上海组织召开了税务系统信息安全等级保护上海试点测评阶段总结会 2010年6月 民政部启动 民政部信息系统等级保护整体规划建设方案 2011年6月 国家广电总局科技司印发了 关于开展广播电视相关信息系统安全等级保护定级工作的通知 出台 广播电视相关信息系统安全等级保护定级指南 和 广播电视相关信息系统安全等级保护基本要求 行业标准 证监会 教育部 民政部 税总 广电总局 等级保护 卫生部 甘肃 广西 安徽 国家电网 等级保护背景与必要性 2011年8月

10、 教育部办公厅关于进一步加强网络信息系统安全保障工作的通知教办厅函 2011 83号要求各地教育行政部门和学校要将本单位的信息系统定级结果报主管部门审批 在2011年12月底前 完成所有信息系统的定级备案 各地教育行政部门和学校的第二级及以上信息系统 要参照国家和教育行业有关标准规范 在定级备案后2年内完成首次安全建设整改和等级测评工作 已定级的第三级及以上信息系统要安全整改方案由教育部组织专家审定 在2012年底前完成首次安全建设整改和等级测评工作 2010年4月教育部教育管理信息中心成立 信息安全测评部 负责信息安全等级保护测评工作 2009年11月 教育部办公厅印发 关于开展信息系统安全

11、等级保护工作的通知 教办厅函 2009 80号 决定在教育系统全面开展信息安全等级保护工作 并由教育部教育管理信息中心具体组织实施 教育部 等级保护背景与必要性 2011年11月 卫生部印发了 卫生行业信息安全等级保护工作的指导意见 通知 通知明确提出卫生行业信息安全等级保护工作的指导意见 包括工作目标 工作原则 工作机制 工作任务 工作要求等 有力促进卫生行业信息安全等级保护工作的开展 行业指导 属地管理 地方各级卫生行政部门承担本地卫生信息安全责任 信息化工作领导小组统筹组织本地卫生信息安全等级保护工作 卫生部信息化工作领导小组负责对全国卫生行业信息安全等级保护工作的组织协调 监督指导 并

12、组织开展部机关信息安全等级保护工作定级 备案 建设 整改 定级评测 宣传 培训 监督检查 卫生部 等级保护背景与必要性 甘肃省四部门印发信息安全等级保护安全建设整改工作的实施意见 2010 09 03 广西举办信息安全等级保护技术高级研修班 2010 09 03 安徽省四部门下发重要信息系统等级保护安全建设工作方案 2010 09 03 甘肃 广西 安徽 等级保护背景与必要性 一级损害 二级损害 三级损害 四级损害 信息系统受到破坏后 会对公民 法人和其他组织的合法权益造成损害 但不损害国家安全 社会秩序和公共利益 信息系统受到破坏后 会对公民 法人和其他组织的合法权益产生严重损害 或者对社会

13、秩序和公共利益造成损害 但不损害国家安全 信息系统受到破坏后 会对社会秩序和公共利益造成严重损害 或者对国家安全造成损害 信息系统受到破坏后 会对社会秩序和公共利益造成特别严重损害 或者对国家安全造成严重损害 五级损害 信息系统受到破坏后 会对国家安全造成特别严重损害 等级保护背景与必要性 损害等级 威胁 等级保护背景与必要性 信息安全面临的威胁因素 信息安全面临的威胁 威胁 等级保护背景与必要性 威胁 等级保护背景与必要性 信息安全面临的威胁 目录 等保实施过程 系统定级 安全规划设计 安全实施 安全运行 定期检查 局部调整 重大变更 等级保护安全等级划分 一级 自主保护 二级 指导保护 三

14、级 监督保护 四级 强制保护 第一级 用户自主保护级 第二级 系统审计保护级 第三级 安全标记保护级 第四级 结构化保护级 五级 专控保护 第五级 访问验证保护级 信息安全等级保护划分准则 GB17859 1999 规定了计算机信息系统安全保护能力的五个级别 信息安全等级保护管理办法 规定的五级要求 等级保护安全等级划分 一级 二级 三级 四级 信息系统受到破坏后 会对公民 法人和其他组织的合法权益造成损害 但不损害国家安全 社会秩序和公共利益 信息系统受到破坏后 会对公民 法人和其他组织的合法权益产生严重损害 或者对社会秩序和公共利益造成损害 但不损害国家安全 信息系统受到破坏后 会对社会秩

15、序和公共利益造成严重损害 或者对国家安全造成损害 信息系统受到破坏后 会对社会秩序和公共利益造成特别严重损害 或者对国家安全造成严重损害 五级 信息系统受到破坏后 会对国家安全造成特别严重损害 等级保护安全等级划分 信息安全等级保护管理办法 规定的五级要求 定级流程 等级保护安全等级划分 等级保护安全等级划分 定级方法 等级保护对象 信息安全等级保护工作直接作用的具体的信息和信息系统 作为定级对象的信息系统应具有如下基本特征 1 具有唯一确定的安全责任单位2 具有信息系统的基本要素3 承载相对独立的业务应用客体 受法律保护的 等级保护对象受到破坏时所侵害的社会关系 如国家安全 社会秩序 公共利

16、益以及公民 法人或其他组织的合法权益 系统服务 信息系统为支撑其所承载业务而提供的程序化过程 侵害程度综合判定 1 系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围 用户人数或业务量等不同方面确定 2 业务信息安全被破坏导致的财物损失可以从直接的资金损失大小 间接的信息恢复费用等方面进行确定 定级关键词 等级保护安全等级划分 定级建议参考 一级信息系统 公民个人的单机系统 小型集体 民营企业所属的信息系统 中 小学校的信息系统 乡镇级党政机关 事业单位的信息系统 其他小型组织的信息系统 二级信息系统 县级 地市级电信 广电 银行 铁道 海关 税务 民航 证券 电力 保险 公安 财务 财政 金融 社保 工商 审计 能源 化工 社会服务保障 卫生 交通运输 国土资源 邮政 应急抢险 农业等行业所属独立的信息系统 中型集体 民营企业 小型国有企业所属的信息系统 县级党政机关 事业单位的信息系统 普通高等院校和科研机构的信息系统 其他中型组织的信息系统 三级信息系统 省级和副省级电信 广电 银行 铁道 海关 税务 民航 证券 电力 保险 公安 财政 金融 社保