收藏
下载资源

信息安全等级保护安全建设整改技术工作主要内容及相

上传人:夏** 文档编号:490381470 上传时间:2023-11-19 格式:DOCX 页数:39 大小:101.33KB
返回 下载 相关 举报
信息安全等级保护安全建设整改技术工作主要内容及相_第1页
第1页 / 共39页
信息安全等级保护安全建设整改技术工作主要内容及相_第2页
第2页 / 共39页
信息安全等级保护安全建设整改技术工作主要内容及相_第3页
第3页 / 共39页
信息安全等级保护安全建设整改技术工作主要内容及相_第4页
第4页 / 共39页
信息安全等级保护安全建设整改技术工作主要内容及相_第5页
第5页 / 共39页
点击查看更多>>
资源描述

《信息安全等级保护安全建设整改技术工作主要内容及相》由会员分享,可在线阅读,更多相关《信息安全等级保护安全建设整改技术工作主要内容及相(39页珍藏版)》请在金锄头文库上搜索。

1、信息安全等级保护安全建设整改工作培训材料之一信息安全等级保护安全建设整改技术工作主要内容及相关标准应用公安部信息安全等级保护评估中心二九年十一月- 39 -目 录1概述(1)1.1信息系统安全建设整改的目的(1)1.2安全建设整改在落实等级保护工作中的作用(1)2安全建设整改依据的标准(2)2.1相关标准在等级保护各阶段工作中的作用(2)2.2安全建设整改工作依据的标准(5)2.2.1基本要求作用(5)2.2.2基本要求框架结构(5)2.2.3安全保护能力(6)2.2.4基本要求的选择和使用说明(8)3安全管理建设整改工作的内容和方法(10)3.1落实信息安全责任制(11)3.2信息系统安全管

2、理现状分析(12)3.3确定安全管理策略,制定安全管理制度(12)3.4落实安全管理措施(13)3.4.1人员安全管理(13)3.4.2系统运维管理(14)3.4.3系统建设管理(16)3.5安全自查与调整(17)4安全技术建设整改工作的内容和方法(17)4.1信息系统安全保护技术现状分析(18)4.2信息系统安全技术建设整改方案设计(19)4.2.1确定安全技术策略,设计总体技术方案(19)4.2.2安全技术方案详细设计(21)4.2.3建设经费预算和工程实施计划(25)4.2.4方案论证和备案(25)4.3安全建设整改工程实施和管理(26)4.3.1工程实施和管理(26)4.3.2工程监理

3、和验收(26)5安全等级测评(27)5.1等级测评依据的标准(27)5.1.1测评要求(27)5.1.2测评过程指南(28)5.2等级测评的工作流程和工作内容(29)5.3等级测评工作中的风险控制(31)5.3.1存在的风险(31)5.3.2风险的规避(31)5.4等级测评报告的主要内容(33)6信息系统安全建设整改方案要素(34)6.1项目背景(34)6.2开展信息系统安全建设整改的法规政策和技术依据(34)6.3信息系统安全建设整改安全需求分析(34)6.4信息系统安全等级保护建设整改技术方案设计(35)6.5信息系统安全等级保护建设整改管理体系设计(35)6.6信息系统安全产品选型及技术

4、指标(35)6.7安全建设整改后信息系统残余风险分析(35)6.8信息系统安全等级保护整改项目实施计划(35)6.9信息系统安全等级保护项目预算(35)1 概述1.1 信息系统安全建设整改的目的在已定级的信息系统中,大多数信息系统在建设之初还没有将等级保护要求作为安全需求加以考虑,因此所构建的信息系统安全保障体系或采取的安全保护措施是以满足本部门、本单位的安全需求为出发点的。随着等级保护工作的逐步展开,尤其是在信息系统确定了安全保护定级之后,重新审视现有信息系统的安全保护状况,由于建设年代不同、所在地域差异、设计人员和实施人员的水平差距等都会造成其信息系统的保护水平参差不齐。通过开展等级保护工

5、作,使信息系统可以按照等级保护相应等级的要求进行设计、规划和实施,将国家的政策标准要求、机构的使命性要求、系统可能面临的环境和影响以及机构自身的需求相结合作为信息系统的安全需求,使具有相同安全保护等级的信息系统能够达到相应等级的基本保护水平和保护能力。1.2 安全建设整改在落实等级保护工作中的作用根据等级保护管理办法,等级保护工作主要分为五个环节,定级、备案、建设整改、等级测评和监督检查。其中定级/备案是信息安全等级保护的首要环节,可以梳理各行业、各部门、各单位的信息系统类型、重要程度和数量等,确定信息安全保护的重点。而安全建设整改是信息安全等级保护工作落实的关键,通过建设整改使具有不同等级的

6、信息系统达到相应等级的基本保护能力,从而提高我国基础网络和重要信息系统整体防护能力。等级测评工作的主体是第三方测评机构,工作目的是检验和评价信息系统的安全建设整改工作的成效,判断安全保护能力是否达到相关要求,监督检查工作的主体是信息安全职能管理部门,通过定期的监督、检查和指导,保障重要信息系统安全保护能力不断提高。2 安全建设整改依据的标准2.1 相关标准在等级保护各阶段工作中的作用GB17859-1999计算机信息系统安全保护等级划分准则是基础性标准, GB/T20271-2006信息系统通用安全技术要求、GB/T20270-2006网络基础安全技术要求、GB/T21052-2007信息系统

7、物理安全技术要求等技术要求类标准和GB/T20269-2006信息系统安全管理要求、GB/T20282-2006信息系统安全工程管理要求等管理要求类标准是在GB17859-1999基础上的进一步细化和扩展。GB/T22239-2008信息系统安全等级保护基本要求(以下简称基本要求)技术部分吸收和借鉴了GB 17859-1999及相关标准,采纳其中的身份鉴别、数据完整性、自主访问控制、强制访问控制、审计、客体重用(改为剩余信息保护)标记、可信路径等8个安全机制,并将这些机制根据各级的安全目标,扩展到网络层、主机系统层、应用层和数据层,基本要求管理部分充分借鉴了ISO/IEC 17799:2005

8、等国际上流行的信息安全管理方面的标准。根据现有技术的发展水平,基本要求提出和规定了不同安全保护等级信息系统的最低保护要求。行业主管部门可以依据基本要求,结合行业特点和信息系统实际出台行业细则,行业细则的要求应不低于基本要求。GB/T22240-2008信息系统安全等级保护定级指南(以下简称定级指南)为信息系统运营使用单位确定信息系统安全保护等级的工作提供指导,行业主管部门可以依据定级指南,结合行业特点和信息系统实际出台行业定级细则,保证行业内信息系统在不同地区等级的一致性,以指导本行业信息系统定级工作的开展。等级测评是评价信息系统安全保护状况的重要方法,也是等级保护工作的重要环节之一,测评结果

9、可作为向监管机构提交的等级测评报告。信息系统安全等级保护测评要求为等级测评机构开展等级测评活动提供了测评方法和综合评价方法。信息系统安全等级保护测评过程指南对等级测评活动提出规范性要求,以保证测评结论的准确性和可靠性。信息系统安全等级保护实施指南是信息系统安全等级保护建设实施的过程控制标准,用于指导信息系统运营使用单位了解和掌握信息安全等级保护工作的方法、主要工作内容以及不同的角色在不同阶段的作用。信息系统等级保护安全设计技术要求对信息系统安全建设的技术设计活动提供指导,是实现基本要求中技术要求的方法之一。各标准间相互关系如下图简要说明。信息系统安全等级保护基本要求计算机信息系统安全保护等级划

10、分准则(GB17859)信息系统通用安全技术要求信息系统物理安全技术要求技术类其他技术类标准信息系统安全管理要求信息系统安全工程管理要求其他管理类标准信息系统安全等级保护定级指南信息系统安全等级保护基本要求的行业细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求管理类产品类数据库管理系统安全技术要求其他产品类标准信息系统安全等级保护行业定级细则操作系统安全技术要求信息系统安全等级保护建设整改网络基础安全技术要求网络和终端设备隔离部件技术要求安全定级基线要求状态分析方法指导信息系统安全等级保护实施指南图1 等级保护标准间相互关系2.2 安全建设整改工

11、作依据的标准2.2.1 基本要求作用基本要求是针对每个等级的信息系统提出相应安全保护要求,“基本”意味着这些要求是针对该等级的信息系统达到基本保护能力而提出的,也就是说,这些要求的实现能够保证系统达到相应等级的基本保护能力。信息系统安全建设整改应以落实基本要求为主要目标。信息系统运营使用单位应根据信息系统安全保护等级选择基本要求中相应级别的安全保护要求作为信息系统的基本安全需求。当信息系统有更高安全需求时,可参考基本要求中较高级别保护要求或信息系统通用安全技术要求、信息系统安全管理要求等其他标准。行业主管部门可以结合行业特点和信息系统实际出台行业细则,行业细则的要求应不低于基本要求。但基本要求

12、提出的是“要求”,而不是具体实施方案或作业指导书,基本要求给出了系统每一保护方面需达到的要求,至于这种要求采取何种方式实现,不在基本要求的描述范围内。基本要求为以下工作提供依据:a) 为信息系统建设单位和运营、使用单位的信息系统建设和整改工作提供依据;b) 为测评机构提供信息系统的等级测评依据;c) 为职能监管部门提供监督检查依据。2.2.2 基本要求框架结构基本要求在整体框架结构上以三种分类为支撑点,自上而下分别为:类、控制点和项。其中,类表示基本要求在整体上大的分类,其中技术部分分为:物理安全、网络安全、主机系统安全、应用安全和数据安全等5大类,管理部分分为:安全管理机构、安全管理制度、人

13、员安全管理、系统建设管理和系统运维管理等5大类,一共分为10大类。控制点表示每个大类下的关键控制点,如物理安全大类中的“物理访问控制”作为一个控制点。而项则是控制点下的具体要求项,如“机房出入应有专人负责,进入的人员登记在案。”具体框架结构如图所示:第三级基本要求物理安全网络安全主机系统安全应用安全第一级基本要求第二级基本要求第四级基本要求第五级基本要求数据安全及备份恢复技术要求管理要求安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理图2 基本要求的框架结构2.2.3 安全保护能力对信息系统采取安全措施是为了使信息系统具备一定的安全保护能力,这种安全保护能力主要表现为能够应对威胁的

14、能力,称为对抗能力。但在某些情况下,信息系统无法阻挡威胁对自身的破坏时,如果信息系统具有很好的恢复能力,那么即使遭到破坏,也能在很短的时间内恢复系统原有的状态。能够在一定时间内恢复系统原有状态的能力构成了信息系统的另一种安全保护能力恢复能力。对抗能力和恢复能力共同构成了信息系统的安全保护能力。将“能力”分级,是基于系统的保护对象不同,其重要程度也不相同,重要程度决定了系统所具有的能力也就有所不同。一般来说,信息系统越重要,应具有的保护能力就越高。因为系统越重要,其所伴随的遭到破坏的可能性越大,遭到破坏后的后果越严重,因此需要提高相应的安全保护能力。根据不同级别信息系统的重要程度,提出不同强度的对抗能力和恢复能力,将这些能力细化成安全目标,而基本要求就是为满足这些安全目标而提出的安全保护要求。下图给出了不同等级信息系统的安全保护能力、安全目标与安全要求之间映射关系。一级信息系统对抗能力1恢复能力1第1级安全目标第1级基本要求二级信息系统对抗能力2恢复能力2第2级安全目标第2级基本要求三级信息系统对抗能力3恢复能力3第3级安全目标第3级基本要求四级信息系统对抗能力4恢复能力4第4级安全目标第4级基本要求图3 基本要求的描述模型不同等级信息系统所具有的保护能力如下:第一级信息系统:经过安全建设整

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > PPT模板库 > 总结/计划/报告

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号