收藏
下载资源

信息安全等级保护与解决方案

上传人:jiups****uk12 文档编号:45618714 上传时间:2018-06-18 格式:PPT 页数:156 大小:6.86MB
返回 下载 相关 举报
信息安全等级保护与解决方案_第1页
第1页 / 共156页
信息安全等级保护与解决方案_第2页
第2页 / 共156页
信息安全等级保护与解决方案_第3页
第3页 / 共156页
信息安全等级保护与解决方案_第4页
第4页 / 共156页
信息安全等级保护与解决方案_第5页
第5页 / 共156页
点击查看更多>>
资源描述

《信息安全等级保护与解决方案》由会员分享,可在线阅读,更多相关《信息安全等级保护与解决方案(156页珍藏版)》请在金锄头文库上搜索。

1、信息安全等级保护与解决方 案山东省信息中心 山东信息协会信息安全专业委员会 二00七年十二月信息安全等级保护与解决 方案 信息安全等级保护信息安全现状与问题信息安全等级保护简介 信息安全解决方案信息安全技术信息安全管理信息安全方案信息安全现状 日益增长的安全威胁 攻击技术越来越复杂 入侵条件越来越简单信息安全问题 安全事件 每年都有上千家政府网站被攻击 安全影响 任何网络都可能遭受入侵信息系统安全等级保护 信息系统安全等级保护简介 信息系统安全保护等级划分 信息系统安全保护定级指南等级保护出台是信息安全发展的需要qq信息安全问题层出不穷信息安全问题层出不穷qq安全保护措施、安全管理建设不足,导

2、致各种安全事故发生安全保护措施、安全管理建设不足,导致各种安全事故发生qq国内缺乏相类似的安全标准国内缺乏相类似的安全标准qq国家、服务商和用户在安全建设过程中缺乏参考依据国家、服务商和用户在安全建设过程中缺乏参考依据qq随着信息安全技术的发展随着信息安全技术的发展qq随着安全意识的提高随着安全意识的提高qq随着安全服务范围增大随着安全服务范围增大qq对对信息安全管理需要实行等级化保护信息安全管理需要实行等级化保护( (目标目标/ /要求要求/ /能力能力) )1994年国务院颁布的中华人民共和国计算机信息系统安全保护条例 规定计算机信息系统实行信息系统安全等级保护。2003年中央办公厅、国务

3、院办公厅转发的国家信息化领导小组关于加 强信息安全保障工作的意见(中办发200327号)中明确指出:“要 重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的 重要信息系统,抓紧建立信息系统安全等级保护制度,制定信息系统安 全等级保护的管理办法和技术指南”。2004年公安部等四部委关于信息系统安全等级保护工作的实施意见 (公通字200466号)也指出:“信息系统安全等级保护制度是国家在 国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平, 维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展 的一项基本制度”。信息安全等级保护相关文件信息安全等级保护发展历程199

4、91999年年9 9月月1313日日计算机信息系统安全等级划分准则计算机信息系统安全等级划分准则GB 17859-1999 GB 17859-1999 20032003年年9 9月,月,2727号文明确提出国家信息安全按照等级化保护的制度推行号文明确提出国家信息安全按照等级化保护的制度推行20032003年年1010月,公安部月,公安部关于信息安全等级保护政策建议关于信息安全等级保护政策建议20042004年初,信息办领导开始在全国进行等级化保护巡讲(北京、上海、郑州年初,信息办领导开始在全国进行等级化保护巡讲(北京、上海、郑州 )20042004年年4 4月,等级化保护制度开始在部分行业和省

5、份进行试点月,等级化保护制度开始在部分行业和省份进行试点20042004年年6 6月,颁布月,颁布等级化保护实施指南等级化保护实施指南等文件等文件20052005年年8 8月,会议,初步通过了部分标准月,会议,初步通过了部分标准20062006年年3 3月,颁布部分标准月,颁布部分标准20062006年年4 4月,试点工作启动月,试点工作启动20072007年年6 6月,公安部等四部委联合下发月,公安部等四部委联合下发信息安全等级保护管理办法信息安全等级保护管理办法信息安全等级保护发展历 程2007年7月,四部委联合会签并下发了关于开展全国重要信息系统 安全等级保护定级工作的通知(公信安200

6、7861号) 2007年8月,山东省公安厅、山东省保密局、山东省密码管理局和山东 省信息办联合下发了山东省重要信息系统安全等级保护定级工作方 案 定级范围: 电信、广电行业的公用通信网、广播电视传输网等基础信息网络 ,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心 等单位的重要信息系统。 铁路、银行、海关、税务、民航、电力、证券、保险、科技、发 展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务 、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理 、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。 市(地)级以上党政机关的重要网站和办公信息系统。 涉及国

7、家秘密的信息系统。信息安全等级保护指导性文件qq信息系统安全等级保护基本要求信息系统安全等级保护基本要求qq信息系统安全等级保护定级指南信息系统安全等级保护定级指南qq信息系统安全等级保护实施指南信息系统安全等级保护实施指南qq信息系统安全等级保护测评准则信息系统安全等级保护测评准则信息系统安全保护等级划分第一级为自主保护级,主要对象为一般的信息系统,其受到破坏后,会对公民、 法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设 和公共利益。第二级为指导保护级,主要对象为一定程度上涉及国家安全、社会秩序、经济建设 和公共利益的一般信息系统,其受到破坏后,会对国家安全、社会秩序、

8、经济建设 和公共利益造成一定损害。第三级为监督保护级,主要对象为涉及国家安全、社会秩序、经济建设和公共利益 的信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成 较大损害。第四级为强制保护级,主要对象为涉及国家安全、社会秩序、经济建设和公共利益 的重要信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益 造成严重损害。第五级为专控保护级,主要对象为涉及国家安全、社会秩序、经济建设和公共利益 的重要信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建 设和公共利益造成特别严重损害。信息系统安全保护的目 标实行等级保护的总体目标是为了统一 信息安全保

9、护工作,推进规范化、法 制化建设,保障安全,促进发展,完 善我国信息安全法规和标准体系,提 高我国信息安全和信息系统安全建设 的整体水平。信息安全等级保护的对 象 信息 信息系统等级保护工作的三个方 面 对信息系统分等级实施安全保护; 对信息系统中使用的信息安全产品实 行分等级管理; 对信息系统中发生的信息安全事件分 等级响应、处置。决定信息系统重要性的要素 信息系统所属类型,即信息系统资产的安全 利益主体 信息系统主要处理的业务信息类别 -决定信息系统内信息资产的重要性 信息系统服务范围,包括服务对象和服务网 络覆盖范围 业务对信息系统的依赖程度 -决定信息系统所提供服务的重要性 信息系统所

10、属类型赋值 表 信息系统所属类型举例赋 值信息系统的社会影响属于一般企事业单位,处理其内部事 务的信息系统。1信息系统资产受到破坏会对本单 位利益有直接影响。属于重要行业、重要领域和国家基础 设施,为国计民生、经济建设等提供 重要服务的信息系统,或本身虽属一 般企事业单位,但为党政或重要信息 系统提供支撑服务的信息系统。2信息系统资产受到破坏会对公共 利益有直接影响,或对国家安全 利益有间接影响。属于党政机关,处理国家事务的信息 系统。3信息系统资产受到破坏会对国家 安全利益有直接影响。业务信息类型赋值表 业务信息类型举例赋 值业务信息的安全影响可以对外公开发布的信息,或 不对外发布的单位内部

11、一般信 息。1业务信息机密性、完整性 或可用性被破坏会对公共 利益或本单位经济利益造 成一定损害。法人和其他组织及公民的专有 信息,例如内部敏感信息、关 键技术数据、科技情报、商业 秘密等。2业务信息机密性、完整性 或可用性被破坏会对公共 利益或本单位经济利益造 成严重损害。涉及国家安全利益,影响国家 经济建设的信息。3业务信息机密性、完整性 或可用性被破坏对国家安 全利益和国家经济建设造 成损害。信息系统服务范围赋值 表 信息系统服务范围 举例赋 值服务范围的影响地区范围的服务网络 。1信息系统因无法提供服务或无法提 供有效服务会对局部范围的资产造 成损害。省级范围的服务网络 。2信息系统因

12、无法提供服务或无法提 供有效服务会对较大范围的资产造 成损害。全国范围的服务网络 。3信息系统因无法提供服务或无法提 供有效服务会对全国范围的资产造 成损害。业务依赖程度赋值表 业务依赖程度举例赋值业务系统影响业务处理流程的大部分可以通过手工方 式或其他方式完成,自动化程度低。1信息系统无法提供服务或无法提供 有效服务对单位完成其业务使命影 响较小。业务处理流程的部分环节可以通过手工 方式或其他方式替代完成,自动化程度 中。2信息系统无法提供服务或无法提供 有效服务对单位完成其业务使命影 响较大。业务处理流程完全依赖信息系统,手工 方式无法完成,自动化程度高。3信息系统无法提供服务或无法提供

13、有效服务使单位无法完成其业务使 命。信息系统所属类型业务信息类型信息系统服务范围业务依赖程度业务信息安全性取值业务服务保证性取值业务服务保证性等级1. 赋值选择调节因子业务子系统安全保护等级2. 确定两个指标等级业务信息安全性等级3 确定业务子系统等级信息系统安全保护等级4. 确定信息系统等级其它业务子系统 。业务信息安全性等级矩阵 表 业务信息类 型 赋值信息系统所属类型赋值123112222333344业务服务保证性取值矩 阵表 信息系统服 务范围赋值业务依赖程度赋值123112322343344调节因子取值表 信息系统服务的影响程度调节因子k信息系统无法提供服务或无法提供有效服务会 造成

14、国家安全利益损失。1.0 k 0.8信息系统无法提供服务或无法提供有效服务会 造成较大范围的公共利益损失。0.8 k 0.5信息系统无法提供服务或无法提供有效服务会 造成局部利益损失。0.5 k 0信息系统安全保护等级 业务子系统的安全保护等级由业务信 息安全性等级和业务服务保证性等级 较高者决定。 信息系统的安全保护等级由各业务子 系统的最高等级决定。物理层面物理层面网络层面网络层面系统层面系统层面应用层面应用层面管理层面管理层面安全管理制度安全管理制度 业务处理流程业务处理流程业务应用系统业务应用系统数据库应用系统数据库应用系统身份鉴别机制身份鉴别机制强制访问控制强制访问控制防火墙防火墙

15、入侵检测系统入侵检测系统物理设备安全物理设备安全 环境安全环境安全信信 息息 安安 全全 体体 系系信息系统安全体系结构互联网计算机 网络内网(业 务专网)逻辑隔离物理隔离信息收集、发 布,公众服务内部业务处理办公系统办公系统电子政务外网等级保护基本要求(二、三级)qq技术要求技术要求物理安全:物理安全:物理位置选择、物理访问控制、防盗和防破坏、防雷击、防火、防水、防潮湿、防静电、电力保障、电磁防护物理位置选择、物理访问控制、防盗和防破坏、防雷击、防火、防水、防潮湿、防静电、电力保障、电磁防护网络安全:网络安全:结构安全和网段划分、网络访问控制、拨号访问控制、网络安全审计、边界完整性检测、网络

16、入侵防范、网络结构安全和网段划分、网络访问控制、拨号访问控制、网络安全审计、边界完整性检测、网络入侵防范、网络 设备防护、恶意代码防范设备防护、恶意代码防范主机系统安全:主机系统安全:身份鉴别、自主访问控制、身份鉴别、自主访问控制、强制访问控制强制访问控制、安全审计、系统保护、剩余信息保护、安全审计、系统保护、剩余信息保护、入侵防范入侵防范、恶意代码、恶意代码防范、资源控制防范、资源控制应用安全:应用安全:身份鉴别、访问控制、安全审计、剩余信息保护、通信保密性、通信完整性、抗抵赖、软件容错、资源控制身份鉴别、访问控制、安全审计、剩余信息保护、通信保密性、通信完整性、抗抵赖、软件容错、资源控制数据安全数据安全:数据完整性、数据保密性、数据备份与恢复数据完整性、数据保密性、数据备份与恢复q管理要求安全管理机构:安全管理

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号