收藏
下载资源

信息系统安全等级保护 等级保护基本要求.ppt

上传人:小** 文档编号:90990287 上传时间:2019-06-20 格式:PPT 页数:143 大小:4.16MB
返回 下载 相关 举报
信息系统安全等级保护 等级保护基本要求.ppt_第1页
第1页 / 共143页
信息系统安全等级保护 等级保护基本要求.ppt_第2页
第2页 / 共143页
信息系统安全等级保护 等级保护基本要求.ppt_第3页
第3页 / 共143页
信息系统安全等级保护 等级保护基本要求.ppt_第4页
第4页 / 共143页
信息系统安全等级保护 等级保护基本要求.ppt_第5页
第5页 / 共143页
点击查看更多>>
资源描述

《信息系统安全等级保护 等级保护基本要求.ppt》由会员分享,可在线阅读,更多相关《信息系统安全等级保护 等级保护基本要求.ppt(143页珍藏版)》请在金锄头文库上搜索。

1、信息系统安全等级保护 等级保护基本要求,武汉安域信息安全技术有限公司 余少波 博士 地址:湖北武汉东湖开发区武大园路6号 电话:13281151232 电邮:,Telematics发展,依据标准规范,GB 17859-1999 计算机信息系统 安全等级保护划分准则 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南 GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南,基本要求要求项在各层面的分布,安全要求类层面一级二级三级四级,级差/ / 90 115 28 合计/ 85

2、 175 290 318 系统运维管理18 41 62 70 系统建设管理20 28 45 48 人员管理安全7 11 16 18 安全管理机构4 9 20 20 安全管理制度3 7 11 14 管理要求 数据安全及备2 4 8 11 份 应用安全7 19 31 36 主机安全6 19 32 36 网络安全9 18 33 32 物理安全9 19 32 33 技术要求,技术要求-物理安全,合计7 10 10 10 电磁防护* * * 电力供应* * * * 温湿度控制* * * * 防静电* * * 防水和防潮* * * * 防火* * * * 防雷击* * * * 防盗窃和防破坏* * * *

3、 物理访问控制* * * * 物理位置的选择* * *,控制点一级二级三级四级,技术要求-网络安全,控制点一级二级三级四级,合计3 6 7 7 网络设备防护* * * * 恶意代码防范* * 入侵防范* * * 边界完整性检查* * * 安全审计* * * 访问控制* * * * 结构安全* * * *,技术要求-主机安全,控制点一级二级三级四级,合计4 6 7 9 资源控制* * * 恶意代码防范* * * * 入侵防范* * * * 剩余信息保护* * 安全审计* * * 可信路径* 访问控制* * * * 安全标记* 身份鉴别* * * *,合计4 7 9 11 资源控制* * * 软件

4、容错* * * * 抗抵赖* * 通信保密性* * * 通信完整性* * * * 剩余信息保护* * 安全审计* * * 可信路经* 访问控制* * * * 安全标记* 身份鉴别* * * *,技术要求-应用安全,控制点一级二级三级四级,技术要求-数据安全及备份恢复 合计2 3 3 3 备份和恢复* * * * 数据保密性* * * 数据完整性* * * * 控制点一级二级三级四级,管理要求-安全管理制度 合计2 3 3 3 评审和修订* * * 制定和发布* * * * 管理制度* * * * 控制点一级二级三级四级,管理要求-安全管理机构 合计4 5 5 5 审核和检查* * * 沟通和合

5、作* * * * 授权和审批* * * * 人员配备* * * * 岗位设置* * * * 控制点一级二级三级四级,管理要求-人员安全管理 合计4 5 5 5 外部人员访问管* * * * 理 安全意识教育和* * * * 培训 人员考核* * * 人员离岗* * * * 人员录用* * * * 控制点一级二级三级四级,管理要求-系统建设管理 合计9 9 11 11 安全服务商选择* * * * 等级测评* * 系统备案* * 系统交付* * * * 测试验收* * * * 工程实施* * * * 外包软件开发* * * * 自行软件开发* * * * 产品采购和使用* * * * 安全方案设

6、计* * * * 系统定级* * * * 控制点一级二级三级四级,管理要求-系统运维管理 合计10 13 13 13 应急预案管理* * * 安全事件处置* * * * 备份与恢复管理* * * * 变更管理* * * 密码管理* * * 恶意代码防范管理* * * * 系统安全管理* * * * 网络安全管理* * * * 监控管理和安全管理中心* * * * 设备管理* * * * 介质管理* * * * 资产管理* * * * 环境管理* * * * 控制点一级二级三级四级,安全要素与安全保护等级的关系 国家安全特别严重损害第五级极端重要系统专门监督检查 国家安全严重损害 第四级强制监督

7、检查 社会秩序和特别严重损害 公共利益 国家安全一般损害 监督检查 重要系统 第三级 社会秩序和严重损害 公共利益 社会秩序和一般损害 公共利益 第二级指导保护 严重损害 自主保护 一般系统 一般损害第一级 合法权益 侵害客体侵害程度等级对象监管强度,GB/T22239-2008,信息系统安全等级保护基本要求,贯彻落实党中央、国务院关于节能减排工作部署,以实现重点污染物减排的目标指标为紧要任务 ,为实现节能减排和环境保护工作目标奠定基础,总体目标,项目目的,分省建设目标,(1)在项目实施过程中贯彻落实工程标准规范; (2)建设省环境保护厅(局)到地市环境保护局,地市环境保护局到区县环境保护局,

8、以及省环境保护厅(局)到省直属机构、市环境保护局到市直属机构的网络系统,并通过国家电子政务外网实现与环境保护部的连通;(直辖市为市、区县两级网络); (3)组织落实本省(直辖市、自治区)范围内网络安全体系的建设和省级 CA系统的建设; (4)组织所辖各级机构接收部里统一下发的环境统计专项设备,保证专项专用; (5)准备机房环境,组织所辖各级机构接收并配合部署部里统一采购的服务器、存储、网络、安全等设备和系统软件;,分省建设目标,(6)部署部里统一下发的省级综合数据库平台和地理信息系统平台;组织所辖市、区县部署部里统一下发的数据传输与交换平台,建立数据交换传输体系,实现国家、省、下辖市、区县的数

9、据交换与共享; (7)部署部里统一下发的省级减排应用系统支撑平台;在省级集中部署环境统计业务系统、建设项目管理系统、减排数据管理与综合分析系统,按照需要集成已有六个应用系统;组织所辖市、区县相关业务部门推广应用环境统计业务系统和建设项目管理系统。 (8)组织建立省及所辖市、区县运维组织机构,健全运维制度,明确运维人员,部署部里统一下发的运行维护管理系统,建立省级运维管理平台。,省、自治区,直辖市,基本要求的定位,基本要求中相应等级的要求是根据各等级系统需要对抗的威胁和应具备的能力而确定的。判断基本要求是否达到应按此原则分析。 基本要求给出了各级信息系统每一保护方面需达到的要求,但不是具体的安全

10、建设整改方案或作业指导书,实现基本要求的措施或方式并不局限于基本要求给出的内容,要结合系统自身的特点综合考虑采取的措施来达到基本要求提出的保护能力,基本要求定位举例,A点B点,500KM 5H 飞机 OK 火车 OK 汽车 OK 自行车 NO,等级保护的基本要求,内容与作用 为信息系统主管和运营、使用单位提供技术指导 为测评机构提供测评依据 为监管职能部门提供监督检查依据 适用环节 建设整改、验收、测评、运维、检查,基本要求的描述模型,控制点标注 业务信息安全相关要求(标记为S) 系统服务保证相关要求(标记为A) 通用安全保护要求(标记为G) 技术要求(3种标注) 管理要求(统属G),系统基本

11、保护要求的组合,第一级 S1A1G1 第二级 S1A2G2,S2A2G2,S2A1G2 第三级 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3 第四级 S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4,如何实现,落实信息安全等级保护基本要求,确保系统基本安全; 结合系统自身安全需求,力求系统相对安全。,基本要求的文档结构,物理安全,技术要求,管理要求,基本要求,网络安全,主机安全,应用安全,数据安全及备份恢复,安全管理制度,安全管理机构,人员安全管理,系统建设管理,系统运维管理,类,安全建设基本流程,信息系统安全管理建设,信

12、息系统安全技术建设,开展信息系统安全自查和等级测评,信息系统安全需求分析/相应级别的要求,确定安全策略,制定安全建设方案,物 理 安 全,网 络 安 全,主 机 安 全,应 用 安 全,数 据 安 全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运行管理,信息系统安全技术体系设计,物理安全设计,数据安全设计 备份与恢复,应用系统,应用平台,其他安全设计,机房,办公环境,设备和介质,网络安全设计,通信网络,区网边界,主机安全设计,应用安全设计,服务器,工作站,其他安全设计,其他安全设计,其他安全设计,基本要求中的安全保护技术,身份鉴别 访问控制 安全审计 数据完整性 数据保密性

13、数据可用性,病毒防范 入侵检测 安全监控 备份与恢复 密码使用 等等,基本要求中的安全保护技术,确定安全策略 落实信息安全责任制 建立安全组织机构 加强人员管理 加强系统建设的安全管理 加强运行维护的安全管理,安全技术要求-物理安全,物理安全是指对信息系统所涉及到的主机房、辅助机房、办公环境等进行物理安全保护。具体关注内容包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面,安全技术要求-物理安全,安全技术要求-网络安全,网络安全是指对信息系统所涉及的通信网络、网络边界、网络区域和网络设备等进行安全保护。具体关注内容包括通信

14、过程数据完整性、通信过程数据保密性、保证通信可靠性的设备和线路冗余、区域网络的边界保护、区域划分、身份认证、访问控制、安全审计、入侵防范、恶意代码防范、网络设备自身保护和网络的网络管理等方面,安全技术要求-网络安全,安全技术要求-主机安全,主机安全是指对信息系统涉及到的服务器和工作站进行主机系统安全保护。具体关注内容包括操作系统或数据库管理系统的选择、安装和安全配置、主机入侵防范、恶意代码防范、资源使用和运行情况监控等。其中,安全配置细分为身份鉴别、访问控制、安全审计等方面的配置内容,安全技术要求-主机安全,安全技术要求-应用安全,应用安全是指对信息系统涉及到的应用系统进行安全保护。具体关注内

15、容包括应用系统实现身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等功能方面,安全技术要求-应用安全,安全技术要求-数据安全,数据安全是指对信息系统中业务数据的传输、存储和备份恢复进行安全保护。具体关注内容包括数据备份系统、冗余备用设备以及备份恢复相关技术设施等方面,安全技术要求-数据安全,安全管理要求-安全管理机构,安全管理结构是指明确领导机构和责任部门。设立或明确信息安全领导机构,明确主管领导,落实责任部门,建立岗位和人员管理制度,根据职责分工,分别设置安全管理机构和岗位,明确每个岗位的职责与任务,落实安全管理责任制,安全管理要求 -安全管理机

16、构,安全管理要求-安全管理制度,安全管理制度是指确定安全管理策略,制定安全管理制度。确定安全管理目标和安全策略,针对信息系统的各类管理活动,制定人员安全管理制度、系统建设管理制度、系统运维管理制度、定期检查制度等,规范安全管理人员或操作人员的操作规程等,形成安全管理体系,安全管理要求 -安全管理制度,安全管理要求-人员安全管理,人员安全管理是指加强人员的安全管理。规范人员录用、离岗过程,关键岗位签署保密协议,对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训,对关键岗位的人员进行全面、严格的安全审查和技能考核。对外部人员允许访问的区域、系统、设备、信息等进行控制,安全管理要求 -人员安全管理,安全管理要求-人员安全管理,人员安全管理是指加强人员的安全管理。规范人员录用、离岗过程,关键岗位签署保密协议,对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训,对关键岗位的人员进行全面、严格的安全审查和技能考核。对外部人员允许访问的区域、系统、设备、信息等进

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 管理学资料

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号