收藏
下载资源

信息系统安全等级保护基本要求培训PPT幻灯片

上传人:日度 文档编号:148813869 上传时间:2020-10-22 格式:PPT 页数:82 大小:552KB
返回 下载 相关 举报
信息系统安全等级保护基本要求培训PPT幻灯片_第1页
第1页 / 共82页
信息系统安全等级保护基本要求培训PPT幻灯片_第2页
第2页 / 共82页
信息系统安全等级保护基本要求培训PPT幻灯片_第3页
第3页 / 共82页
信息系统安全等级保护基本要求培训PPT幻灯片_第4页
第4页 / 共82页
信息系统安全等级保护基本要求培训PPT幻灯片_第5页
第5页 / 共82页
点击查看更多>>
资源描述

《信息系统安全等级保护基本要求培训PPT幻灯片》由会员分享,可在线阅读,更多相关《信息系统安全等级保护基本要求培训PPT幻灯片(82页珍藏版)》请在金锄头文库上搜索。

1、信息系统安全等级保护基本要求使用介绍,目录,使用时机和主要作用 保护要求分级描述的主要思想 各级系统保护的主要内容,一、使用时机和主要作用,管理办法”等级划分和保护“第八条,信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理。,管理办法”等级保护的实施与管理“第十二条,在信息系统建设过程中,运营、使用单位应当按照计算机信息系统安全保护等级划分准则(GB17859-1999)、信息系统安全等级保护基本要求等技术标准,参照等技术标准同步建设符合该等级要求的信息安全设施。,管理办法”等级保护的实施与管理“第十三条,运营、使用

2、单位应当参照信息安全技术信息系统安全管理要求(GB/T20269-2006)、信息安全技术信息系统安全工程管理要求(GB/T20282-2006)、信息系统安全等级保护基本要求等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。,管理办法”等级保护的实施与管理“第十四条,信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位,依据信息系统安全等级保护测评要求等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。,管理办

3、法”等级保护的实施与管理“第十四条,信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。,管理办法”等级保护的实施与管理“第十四条,经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。,技术标准和管理规范的作用,技术标准和管理规范,信息系统定级,信息系统安全建设或改建,安全状况达到等级保护要求的信息系统,涉及的管理规范和技术标准,信息安全等级保护管理办法公通字200743号 计算机

4、信息系统安全保护等级划分准则(GB17859-1999) 信息安全等级保护实施指南 信息安全等级保护定级指南 信息安全等级保护基本要求 信息安全等级保护测评要求 信息安全技术 网络基础安全技术要求(GB/T20270-2006) 信息安全技术 信息系统通用安全技术要求GB/T20271-2006) 信息安全技术 操作系统安全技术要求(GB/T20272-2006) 信息安全技术 数据库管理系统安全技术要求(GB/T20273-2006),涉及的管理规范和技术标准,信息安全技术 信息系统安全管理要求(GB/T20269-2006) 信息安全技术 信息系统安全工程管理要求(GB/T20282-20

5、06) 信息安全技术 信息系统安全工程管理要求(GB/T20282-2006),整体要求的管理规范和技术标准,信息安全等级保护管理办法 计算机信息系统安全保护等级划分准则(GB17859-1999) 信息系统安全等级保护实施指南 信息系统安全保护等级定级指南 信息系统安全等级保护基本要求 信息系统安全等级保护测评要求 等等,基本要求的作用,信息系统安全等级保护基本要求,运营、使用单位 (安全服务商),主管部门 (等级测评机构),安全保护,测评检查,基本要求的定位,是系统安全保护、等级测评的一个基本“标尺”,同样级别的系统使用统一的“标尺”来衡量,保证权威性,是一个达标线; 每个级别的信息系统按

6、照基本要求进行保护后,信息系统具有相应等级的基本安全保护能力,达到一种基本的安全状态; 是每个级别信息系统进行安全保护工作的一个基本出发点,更加贴切的保护可以通过需求分析对基本要求进行补充,参考其他有关等级保护或安全方面的标准来实现;,基本要求的定位,某级信息系统,基本保护,精确保护,基本要求,保护,基本要求,测评,补充的安全措施 GB17859-1999 通用技术要求 安全管理要求 高级别的基本要求 等级保护其他标准 安全方面相关标准 等等,基本保护,特殊需求 补充措施,二、保护要求分级描述的主要思想,基本要求基本思路,不同级别 信息系统,重要程度不同,应对不同威胁的能力 (威胁弱点),具有

7、不同的安全保护能力,不同的基本要求,不同级别的安全保护能力要求,第一级安全保护能力 应能够防护系统免受来自个人的、拥有很少资源(如利用公开可获取的工具等)的威胁源发起的恶意攻击、一般的自然灾难(灾难发生的强度弱、持续时间很短等)以及其他相当危害程度的威胁(无意失误、技术故障等)所造成的关键资源损害,在系统遭到损害后,能够恢复部分功能。 第二级安全保护能力 应能够防护系统免受来自外部小型组织的(如自发的三两人组成的黑客组织)、拥有少量资源(如个别人员能力、公开可获或特定开发的工具等)的威胁源发起的恶意攻击、一般的自然灾难(灾难发生的强度一般、持续时间短、覆盖范围小等)以及其他相当危害程度的威胁(

8、无意失误、技术故障等)所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。,不同级别的安全保护能力要求,第三级安全保护能力 应能够在统一安全策略下防护系统免受来自外部有组织的团体(如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾难(灾难发生的强度较大、持续时间较长、覆盖范围较广等)以及其他相当危害程度的威胁(内部人员的恶意威胁、无意失误、较严重的技术故障等)所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。 第四级安全保护能力 应

9、能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难(灾难发生的强度大、持续时间长、覆盖范围广等)以及其他相当危害程度的威胁(内部人员的恶意威胁、无意失误、严重的技术故障等)所造成的资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够迅速恢复所有功能。,各个要素之间的关系,安全保护能力,基本安全要求,每个等级的信息系统,基本技术措施,基本管理措施,具备,包含,包含,满足,满足,实现,基本要求核心思路,某级系统,技术要求,管理要求,基本要求,建立安全技术体系,建立安全管理体系,具有某级安全保护能力的系统,各级系统的保护要求差异(宏

10、观),安全保护模型PPDRR,Protection防护 Policy Detection 策略 检测 Response 响应,Recovery 恢复,各级系统的保护要求差异(宏观),一级系统,二级系统,三级系统,四级系统,防护,防护/监测,策略/防护/监测/恢复,策略/防护/监测/恢复/响应,各级系统的保护要求差异(宏观),成功的完成业务,信息保障,深度防御战略,人,技术,操作,防御网络与基础设施,防御飞地边界,防御计算环境,支撑性基础设施,安全保护模型IATF,各级系统的保护要求差异(宏观),一级系统,二级系统,三级系统,四级系统,通信/边界(基本),通信/边界/内部(关键设备),通信/边界

11、/内部(主要设备),通信/边界/内部/基础设施(所有设备),各级系统的保护要求差异(宏观),一级系统,二级系统,三级系统,四级系统,计划和跟踪(主要制度),计划和跟踪(主要制度),良好定义(管理活动制度化),持续改进(管理活动制度化/及时改进),各级系统的保护要求差异(微观),某级系统,物理安全,技术要求,管理要求,基本要求,网络安全,主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,三、各级系统保护的主要内容,各级系统的安全保护的核心,某级系统,技术要求,管理要求,基本要求,建立安全技术体系,建立安全管理体系,具有某级安全保护能力的系统,基本

12、要求的主要内容,由9个章节2个附录构成 1.适用范围 2.规范性引用文件 3术语定义 4.等级保护概述 5. 6.7.8.9基本要求 附录A 关于信息系统整体安全保护能力的要求 附录B 基本安全要求的选择和使用,基本要求的组织方式,某级系统,类,技术要求,管理要求,基本要求,类,控制点,具体要求,控制点,具体要求,基本要求-组织方式,某级系统,物理安全,技术要求,管理要求,基本要求,网络安全,主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,基本要求-组织方式,物理位置选择,物理安全(四级),物理访问控制,防盗窃和防破坏,防雷击,防火,防水和防

13、潮,温湿度控制,电力供应,电磁防护,基本要求-组织方式,结构安全和网段划分,网络安全(四级),网络访问控制,拨号访问控制,网络安全审计,边界完整性检查,网络入侵检测,恶意代码防护,网络设备防护,基本要求-组织方式,身份鉴别,主机系统安全(四级),自主访问控制,强制访问控制,可信路径,安全审计,剩余信息保护,入侵防范,恶意代码防范,系统资源控制,系统自我保护,基本要求-组织方式,身份鉴别,应用安全(四级),访问控制,通信完整性,通信保密性,安全审计,剩余信息保护,抗抵赖,软件容错,资源控制,代码安全,基本要求-组织方式,数据完整性,数据安全(四级),数据保密性,安全备份,基本要求-组织方式,岗位

14、设置,安全管理机构(四级),人员配备,授权和审批,沟通与合作,审核和检查,基本要求-组织方式,管理制度,安全管理制度(四级),制订和发布,评审和修订,基本要求-组织方式,人员录用,人员安全管理(四级),人员离岗,人员考核,安全意识教育和培训,第三方人员访问管理,基本要求-组织方式,系统定级,系统建设管理(四级),安全风险评估,安全方案设计,产品采购,自行软件开发,外包软件开发,工程实施,测试验收,系统交付,安全服务商选择,系统备案,基本要求-组织方式,环境管理,系统运维管理(四级),资产管理,设备管理,介质管理,运行维护和监控管理,网络安全管理,系统安全管理,恶意代码防范管理,变更管理,密码管

15、理,系统备案,备份和恢复管理,安全事件处置,应急计划管理,基本要求标注方式,基本要求 技术要求 管理要求 要求标注 业务信息安全类要求(标记为S类) 系统服务保证类要求(标记为A类) 通用安全保护类要求(标记为G类),三类要求之间的关系,通用安全保护类要求(G),业务信息安全类(S),系统服务保证类(A,安全要求,基本要求的选择和使用,一个3级系统,定级结果为S3A2,保护类型应该是S3A2G3 第1步: 选择标准中3级基本要求的技术要求和管理要求; 第2步: 要求中标注为S类和G类的不变; 标注为A类的要求可以选用2级基本要求中的A类作为基本要求;,安全保护和系统定级的关系,定级指南要求按照“业务信息”和“系统服务”的需求确定整个系统的安全保护等级 定级过程反映了信息系统的保护要求,不同级别系统控制点的差异,不同级别系统要求项的差异,各级系统安全保护要求-物理安全,物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。 具体包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等十个控制点。,各级系统安全保护要求-物理安全,各级系统安全保护要求-物理安全,一级物理安全要求:主要要求对物理环境进行基本的防护,对出入进行基本控制,环境安全能够对自然威胁进行基本的防护,电力则要求提供供电

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 教学/培训

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号