收藏
下载资源

信息强制保护

上传人:新** 文档编号:569174138 上传时间:2024-07-27 格式:PPT 页数:46 大小:2.44MB
返回 下载 相关 举报
信息强制保护_第1页
第1页 / 共46页
信息强制保护_第2页
第2页 / 共46页
信息强制保护_第3页
第3页 / 共46页
信息强制保护_第4页
第4页 / 共46页
信息强制保护_第5页
第5页 / 共46页
点击查看更多>>
资源描述

《信息强制保护》由会员分享,可在线阅读,更多相关《信息强制保护(46页珍藏版)》请在金锄头文库上搜索。

1、国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08电子政务信息安全等级保护实施指南电子政务信息安全等级保护实施指南 20052005年年年年1111月月月月8 8日日日日国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.0827号文件确定未来号文件确定未来35年的信息安全纲领年的信息安全纲领国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08当前我国信息安全保障工作的九大任务当前我国信息安全保障工作的九大任务1.实行信息安全等级

2、保护实行信息安全等级保护2.加强以密码技术为基础的信息保护和网络信任体系建设加强以密码技术为基础的信息保护和网络信任体系建设3.建设和完善信息安全监控体系建设和完善信息安全监控体系4.重视信息安全应急处理工作重视信息安全应急处理工作5.加强信息安全技术研究开发,推进信息安全产业发展加强信息安全技术研究开发,推进信息安全产业发展6.加强信息安全法制建设标准化建设加强信息安全法制建设标准化建设7.加快信息安全人才培养,增强全民信息安全意识加快信息安全人才培养,增强全民信息安全意识8.保证信息安全资金保证信息安全资金9.加强对信息安全保障工作的领导,建立健全信息安全管理责任制加强对信息安全保障工作的

3、领导,建立健全信息安全管理责任制国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08安全目标安全目标基础网络基础网络数据业务等级保护的基本概念等级保护的基本概念区域区域5区域4区域3区域2区域1等等级级化化信信息息安安全全体体系系框框架架安全措施安全措施技术技术运行运行组织组织策略策略统一终端管理内网监控边界保护策略发布策略制定组织建设运维手册岗位职责检查考核国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08电子政务等级保护的含义电子政务等级保护的含义 实行信息安全等级保实行信息安

4、全等级保护:信息化发展的不同护:信息化发展的不同阶段和不同的信息系统阶段和不同的信息系统有着不同的安全有着不同的安全需求需求,必须从实际出发,综合必须从实际出发,综合平衡安全平衡安全成本成本和和风险风险,优化信息安全资源的配优化信息安全资源的配置,确保重点。要重点置,确保重点。要重点保护基础信息网络和关保护基础信息网络和关系国家安全、经济命脉、系国家安全、经济命脉、社会稳定等方面的重要社会稳定等方面的重要信息系统。信息系统。国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08电子政务等级保护的含义电子政务等级保护的含义依据依据电子政务系统

5、电子政务系统的使命与的使命与目标目标和系统重要程度,将系和系统重要程度,将系统划分为不同的统划分为不同的安全等级安全等级,并综合平衡考虑,并综合平衡考虑系统安全要系统安全要求求、系统所面临、系统所面临安全风险安全风险和实施安全保护措施的和实施安全保护措施的成本成本,进行进行安全措施安全措施的调整和定制,形成不同等级的安全措施的调整和定制,形成不同等级的安全措施进行保护进行保护国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08电子政务等级保护工作的内容电子政务等级保护工作的内容等级保护管理办法等级保护定级指南基本安全要求等级评估规范定级确

6、定安全保障措施安全设计与建设运行监控与改进管理层管理层用户层用户层国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08电子政务等级保护的基本原则电子政务等级保护的基本原则重点保护原则:重点保护原则:电子政务等级保护要突出重点,重点保护关系国家安全、经济命脉、社会稳定等方面的重要电子政务系统,集中资源首先确保重点系统安全。自主保护原则:自主保护原则:电子政务等级保护要贯彻“谁主管谁负责、谁运营谁负责”的原则,由各主管部门和运营单位依照国家相关法规和标准,自主确定电子政务系统的安全等级并组织实施安全防护。分区域保护原则:分区域保护原则:电子政

7、务等级保护要根据各地区、各行业电子政务系统的重要程度、业务特点和不同发展水平,分类、分级、分阶段进行实施,通过划分不同安全保护等级的区域,实现不同强度的安全保护。同步建设、动态调整原则:同步建设、动态调整原则:电子政务系统在新建、改建、扩建时应当同步建设信息安全设施,保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当重新确定系统的安全保护等级。 国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08电子政务的五个安全等级电子政务的五个安全等级安全安全等级等级等级等级名称名称基

8、本描述基本描述安全保护要求安全保护要求第一级第一级自主保护自主保护级级适用于一般的电子政务系统,系统遭到破坏后适用于一般的电子政务系统,系统遭到破坏后对对政务机构履政务机构履行其政务职能、机构财产、人员行其政务职能、机构财产、人员造成较小的负面影响造成较小的负面影响。参照国家标准自主进行保护。参照国家标准自主进行保护。第二级第二级指导保护指导保护级级适用于处理日常政务信息和提供一般政务服务的电子政务系适用于处理日常政务信息和提供一般政务服务的电子政务系统,系统遭到破坏后统,系统遭到破坏后对对政务机构履行其政务职能、机构财产、政务机构履行其政务职能、机构财产、人员人员造成中等程度的负面影响。造成

9、中等程度的负面影响。在主管部门的指导下,按照在主管部门的指导下,按照国家标准自主进行保护。国家标准自主进行保护。第三级第三级监督保护监督保护级级适用于处理重要政务信息和提供重要政务服务的电子政务系适用于处理重要政务信息和提供重要政务服务的电子政务系统,系统遭到破坏后统,系统遭到破坏后对对政务机构履行其政务职能、机构财产、政务机构履行其政务职能、机构财产、人员人员造成较大的负面影响,对国家安全造成一定程度的损害。造成较大的负面影响,对国家安全造成一定程度的损害。在主管部门的监督下,按国在主管部门的监督下,按国家标准严格落实各项保护措家标准严格落实各项保护措施进行保护。施进行保护。第四级第四级强制

10、保护强制保护级级适用于涉及国家安全、社会秩序、经济建设和公共利益的重适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统,系统遭到破坏后要电子政务系统,系统遭到破坏后对对政务机构履行其政务职政务机构履行其政务职能、机构财产、人员能、机构财产、人员造成严重的负面影响,对国家安全造成造成严重的负面影响,对国家安全造成较大损害。较大损害。在主管部门的强制监督和检在主管部门的强制监督和检查下,按国家标准严格落实查下,按国家标准严格落实各项措施进行保护。各项措施进行保护。第五级第五级专控保护专控保护级级适用于关系国家安全、社会秩序、经济建设和公共利益的核适用于关系国家安全、社会秩序、经济建

11、设和公共利益的核心系统,系统遭到破坏后心系统,系统遭到破坏后对对政务机构履行其政务职能、机构政务机构履行其政务职能、机构财产、人员财产、人员造成极其严重的负面影响,对国家安全造成严重造成极其严重的负面影响,对国家安全造成严重损害。损害。根据安全需求,由主管部门根据安全需求,由主管部门和运营单位对电子政务系统和运营单位对电子政务系统进行专门控制和保护。进行专门控制和保护。国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08安全安全等级等级等级等级名称名称基本描述基本描述安全保安全保护要求要求第第一一级级自主自主保护保护级级适用于一般的电子政

12、务适用于一般的电子政务系统,系统遭到破坏后系统,系统遭到破坏后对对政务机构履行其政务政务机构履行其政务职能、机构财产、人员职能、机构财产、人员造成较小的负面影响造成较小的负面影响。参照国家标参照国家标准自主进行准自主进行保护。保护。电子政务的五个安全等级电子政务的五个安全等级1国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08安全安全等级等级等级等级名称名称基本描述基本描述安全保护要求安全保护要求第一级自主保护级适用于一般的电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较小的负面影响。参照国家标准自主进行保护。

13、第二级指导保护级适用于处理日常政务信息和提供一般政务服务的电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响。在主管部门的指导下,按照国家标准自主进行保护。第三级监督保护级适用于处理重要政务信息和提供重要政务服务的电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较大的负面影响,对国家安全造成一定程度的损害。在主管部门的监督下,按国家标准严格落实各项保护措施进行保护。第四级强制保护级适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成严重的负面影响,对国家安全

14、造成较大损害。在主管部门的强制监督和检查下,按国家标准严格落实各项措施进行保护。第五级专控保护级适用于关系国家安全、社会秩序、经济建设和公共利益的核心系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响,对国家安全造成严重损害。根据安全需求,由主管部门和运营单位对电子政务系统进行专门控制和保护。安全安全等级等级等级等级名称名称基本描述基本描述安全保安全保护要求要求第第二二级级指导指导保护保护级级适用于处理日常政务信适用于处理日常政务信息和提供一般政务服务息和提供一般政务服务的电子政务系统,系统的电子政务系统,系统遭到破坏后对政务机构遭到破坏后对政务机构履行其政务职

15、能、机构履行其政务职能、机构财产、人员造成中等程财产、人员造成中等程度的负面影响。度的负面影响。在主管部门在主管部门的指导下,的指导下,按照国家标按照国家标准自主进行准自主进行保护。保护。电子政务的五个安全等级电子政务的五个安全等级2国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08电子政务的五个安全等级电子政务的五个安全等级3安全安全等级等级等级等级名称名称基本描述基本描述安全保护要求安全保护要求第一级自主保护级适用于一般的电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较小的负面影响。参照国家标准自主进行保护

16、。第二级指导保护级适用于处理日常政务信息和提供一般政务服务的电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响。在主管部门的指导下,按照国家标准自主进行保护。第三级监督保护级适用于处理重要政务信息和提供重要政务服务的电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较大的负面影响,对国家安全造成一定程度的损害。在主管部门的监督下,按国家标准严格落实各项保护措施进行保护。第四级强制保护级适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成严重的负面影响,对国家安

17、全造成较大损害。在主管部门的强制监督和检查下,按国家标准严格落实各项措施进行保护。第五级专控保护级适用于关系国家安全、社会秩序、经济建设和公共利益的核心系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响,对国家安全造成严重损害。根据安全需求,由主管部门和运营单位对电子政务系统进行专门控制和保护。安全安全等级等级等级等级名称名称基本描述基本描述安全保安全保护要求要求第第三三级级监督监督保护保护级级适用于处理重要政务信息适用于处理重要政务信息和提供重要政务服务的电和提供重要政务服务的电子政务系统,系统遭到破子政务系统,系统遭到破坏后对政务机构履行其政坏后对政务机构履

18、行其政务职能、机构财产、人员务职能、机构财产、人员造成较大的负面影响,对造成较大的负面影响,对国家安全造成一定程度的国家安全造成一定程度的损害。损害。在主管部门在主管部门的监督下,的监督下,按国家标准按国家标准严格落实各严格落实各项保护措施项保护措施进行保护。进行保护。国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08安全安全等级等级等级等级名称名称基本描述基本描述安全保护要求安全保护要求第一级自主保护级适用于一般的电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较小的负面影响。参照国家标准自主进行保护。第二级指

19、导保护级适用于处理日常政务信息和提供一般政务服务的电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响。在主管部门的指导下,按照国家标准自主进行保护。第三级监督保护级适用于处理重要政务信息和提供重要政务服务的电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较大的负面影响,对国家安全造成一定程度的损害。在主管部门的监督下,按国家标准严格落实各项保护措施进行保护。第四级强制保护级适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成严重的负面影响,对国家安全造成较大

20、损害。在主管部门的强制监督和检查下,按国家标准严格落实各项措施进行保护。第五级专控保护级适用于关系国家安全、社会秩序、经济建设和公共利益的核心系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响,对国家安全造成严重损害。根据安全需求,由主管部门和运营单位对电子政务系统进行专门控制和保护。安全安全等级等级等级等级名称名称基本描述基本描述安全保安全保护要求要求第第四四级级强制强制保护保护级级适用于涉及国家安全、适用于涉及国家安全、社会秩序、经济建设和社会秩序、经济建设和公共利益的重要电子政公共利益的重要电子政务系统,系统遭到破坏务系统,系统遭到破坏后对政务机构履行其政

21、后对政务机构履行其政务职能、机构财产、人务职能、机构财产、人员造成严重的负面影响,员造成严重的负面影响,对国家安全造成较大损对国家安全造成较大损害。害。在主管部门在主管部门的强制监督的强制监督和检查下,和检查下,按国家标准按国家标准严格落实各严格落实各项措施进行项措施进行保护。保护。电子政务的五个安全等级电子政务的五个安全等级- 4国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08安全安全等级等级等级等级名称名称基本描述基本描述安全保护要求安全保护要求第一级自主保护级适用于一般的电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构

22、财产、人员造成较小的负面影响。参照国家标准自主进行保护。第二级指导保护级适用于处理日常政务信息和提供一般政务服务的电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响。在主管部门的指导下,按照国家标准自主进行保护。第三级监督保护级适用于处理重要政务信息和提供重要政务服务的电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较大的负面影响,对国家安全造成一定程度的损害。在主管部门的监督下,按国家标准严格落实各项保护措施进行保护。第四级强制保护级适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统,系统遭到破坏后对政务机构履行

23、其政务职能、机构财产、人员造成严重的负面影响,对国家安全造成较大损害。在主管部门的强制监督和检查下,按国家标准严格落实各项措施进行保护。第五级专控保护级适用于关系国家安全、社会秩序、经济建设和公共利益的核心系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响,对国家安全造成严重损害。根据安全需求,由主管部门和运营单位对电子政务系统进行专门控制和保护。安全安全等级等级等级等级名称名称基本描述基本描述安全保安全保护要求要求第第五五级级专控专控保护保护级级适用于关系国家安全、适用于关系国家安全、社会秩序、经济建设和社会秩序、经济建设和公共利益的核心系统,公共利益的核心系

24、统,系统遭到破坏后对政务系统遭到破坏后对政务机构履行其政务职能、机构履行其政务职能、机构财产、人员造成极机构财产、人员造成极其严重的负面影响,对其严重的负面影响,对国家安全造成严重损害。国家安全造成严重损害。根据安全需根据安全需求,由主管求,由主管部门和运营部门和运营单位对电子单位对电子政务系统进政务系统进行专门控制行专门控制和保护。和保护。电子政务的五个安全等级电子政务的五个安全等级- 5国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08电子政务安全措施的等级指标电子政务安全措施的等级指标电子政务安全措施等级指标是满足不同等级电子政务

25、系统电子政务安全措施等级指标是满足不同等级电子政务系统基本安全要求的安全措施集合。基本安全要求的安全措施集合。电子政务安全措施指标体系包括五个级别,从第一级至第电子政务安全措施指标体系包括五个级别,从第一级至第五级,对应第五级,对应第1 15 5级的电子政务系统。级的电子政务系统。电子政务的安全措施指标体系可以分解为电子政务的安全措施指标体系可以分解为安全策略、安全安全策略、安全组织、安全技术和安全运行组织、安全技术和安全运行四个方面的安全指标。四个方面的安全指标。 国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.082级要求:级要求:采

26、用设备提供的多级用户管理授权,对每采用设备提供的多级用户管理授权,对每一个不同的用户授予不同的设备管理权限。一个不同的用户授予不同的设备管理权限。 信息安全等级化指标库举例信息安全等级化指标库举例安全安全体系体系指标框架指标框架技术框架技术框架网络基础设施网络基础设施网络网络设备管理设备管理网络网络设备管理授权设备管理授权1级要求:级要求:采用网络设备自身提供的普通采用网络设备自身提供的普通/特权两级特权两级授权管理机制管理设备。授权管理机制管理设备。 对应措施:对应措施:网络设备配置规范网络设备配置规范网络设备管理流程网络设备管理流程网络设备配置检查流程网络设备配置检查流程3级要求:级要求:

27、采用集中统一设备管理授权,通过中心服务采用集中统一设备管理授权,通过中心服务器实现对各个设备的用户管理、用户授权。器实现对各个设备的用户管理、用户授权。例如例如TACACS+、RADIOUS等。等。 量化了安全要求量化了安全要求量化了安全措施量化了安全措施国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08电子政务等级保护的基本要素电子政务等级保护的基本要素电子政务系统电子政务系统使命与目标使命与目标信息安全等级信息安全等级安全保护要求安全保护要求安全风险安全风险安全保护措施安全保护措施安全保护成本安全保护成本国家电子政务信息安全试点培训

28、国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08等级保护各要素之间的关系等级保护各要素之间的关系根本关系是不同根本关系是不同等级等级的的电子政务系统电子政务系统对应不同对应不同等级等级的的安全措施安全措施核心问题是核心问题是安全措施安全措施的确定的确定安全措施需要满足安全措施需要满足系统保护要求系统保护要求,对抗系统所面临的,对抗系统所面临的风险风险系统保护要求系统保护要求的确定:不同电子政务系统的使命和业务的确定:不同电子政务系统的使命和业务目标目标的差异性,业的差异性,业务和务和系统系统本身的特性(所属信息资产特性、实际运行情况和所处环境等)本身的特性(所属

29、信息资产特性、实际运行情况和所处环境等)的差异性,决定了的差异性,决定了系统保护要求系统保护要求特性(安全保护要求的类型和强度)的差特性(安全保护要求的类型和强度)的差异性。异性。安全措施安全措施的确定:的确定:系统保护要求系统保护要求类型和强度的差异性,安全类型和强度的差异性,安全风险风险的差异性,的差异性,决定了选择不同类型和强度的决定了选择不同类型和强度的安全措施安全措施;安全措施安全措施的选择需要符合的选择需要符合系统保系统保护要求护要求的满足程度,面临的满足程度,面临风险风险的控制和降低程度和实施安全措施的的控制和降低程度和实施安全措施的成本成本三三者之间的平衡,在适度成本下实现适度

30、安全者之间的平衡,在适度成本下实现适度安全 国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08 电子政务等级电子政务等级保护是以等级保护是以等级化的电子政务化的电子政务保护对象和电保护对象和电子政务安全措子政务安全措施等级指标为施等级指标为参照系,以风参照系,以风险管理过程为险管理过程为主线,建立并主线,建立并实施电子政务实施电子政务等级保护体系等级保护体系的过程。的过程。 电子政务等级保护的实现原理电子政务等级保护的实现原理国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08电电

31、子子政政务务等等级级保保护护实实施施过过程程国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08等级保护过程与新建和已建系统生命周期对应关系等级保护过程与新建和已建系统生命周期对应关系 国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08系统间互联互通的等级保护要求系统间互联互通的等级保护要求 同等级电子政务系统之间的互联互通:同等级电子政务系统之间的互联互通:由系统的拥有单位参照该等级的安全措施等级指标对访问控制的由系统的拥有单位参照该等级的安全措施等级指标对访问控制的要求,协商确

32、定边界防护措施,保障互联互通电子政务系统的安要求,协商确定边界防护措施,保障互联互通电子政务系统的安全全不同等级电子政务系统间的互联互通:不同等级电子政务系统间的互联互通:各系统要按照自身相应的安全等级要求进行保护,在此基础上协各系统要按照自身相应的安全等级要求进行保护,在此基础上协商对相互连接的保护。同时,高安全等级的系统要充分考虑引入商对相互连接的保护。同时,高安全等级的系统要充分考虑引入低安全等级系统后带来的风险,采取有效措施进行控制。低安全等级系统后带来的风险,采取有效措施进行控制。涉密系统与其它系统的互联互通,按照国家保密部门的涉密系统与其它系统的互联互通,按照国家保密部门的有关规定

33、执行。有关规定执行。电子政务系统互联互通中的密码配置按照国家密码管理电子政务系统互联互通中的密码配置按照国家密码管理部门的要求执行。部门的要求执行。国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08定级的方式与过程定级的方式与过程电子政务系统定级可以电子政务系统定级可以采用以下两种方式进行:采用以下两种方式进行:对系统整体定级:系统整对系统整体定级:系统整体定级是在识别出政务机体定级是在识别出政务机构所拥有的电子政务系统构所拥有的电子政务系统后,针对系统整体确定其后,针对系统整体确定其安全等级。安全等级。将系统分解为子系统后分将系统分解

34、为子系统后分别定级:若规模庞大、系别定级:若规模庞大、系统复杂,则可以将系统分统复杂,则可以将系统分解为多层次的多个子系统解为多层次的多个子系统后,对所分解的每个子系后,对所分解的每个子系统分别确定其安全等级。统分别确定其安全等级。 国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08定级原则定级原则 依据电子政务五个安全等级的基本要求,依据电子政务五个安全等级的基本要求,从信息安全的保密性、完整性、可用性三从信息安全的保密性、完整性、可用性三个基本属性在遭到破坏时对政务机构履行个基本属性在遭到破坏时对政务机构履行其政务职能、机构财产、人

35、员造成的影响其政务职能、机构财产、人员造成的影响来定义安全级别,并划分为五个等级。安来定义安全级别,并划分为五个等级。安全级别的确定应在单位层面和国家层面的全级别的确定应在单位层面和国家层面的整体环境下进行考虑。整体环境下进行考虑。 国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08安全级别第一级安全级别第一级对政务机构自身造成较小的负面影响对政务机构自身造成较小的负面影响,包括:包括:对政务机构履行其政务职能带来较小的负面影响,对政务机构履行其政务职能带来较小的负面影响,政务机构还可以履行其基本的政务职能,但效率有政务机构还可以履行其

36、基本的政务职能,但效率有较小程度的降低;较小程度的降低;对政务机构、相关单位、人员造成较小经济损失;对政务机构、相关单位、人员造成较小经济损失;对政务机构、相关单位、人员的形象或名誉造成较对政务机构、相关单位、人员的形象或名誉造成较小影响;小影响;不会造成人身伤害;不会造成人身伤害;不会造成犯罪或防碍对犯罪行为的调查;不会造成犯罪或防碍对犯罪行为的调查;国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08安全级别第安全级别第二二级级对政务机构自身造成中等程度的负面影响对政务机构自身造成中等程度的负面影响,包括:包括:对政务机构运行带来中等

37、程度的负面影响,政务机对政务机构运行带来中等程度的负面影响,政务机构还可以履行其基本的政务职能,但效率有较大程构还可以履行其基本的政务职能,但效率有较大程度的降低;度的降低;对政务机构、相关单位、人员造成一定程度的经济对政务机构、相关单位、人员造成一定程度的经济损失;损失;对政务机构、相关单位、人员的形象或名誉造成一对政务机构、相关单位、人员的形象或名誉造成一定程度的负面影响;定程度的负面影响;造成轻微的人身伤害;造成轻微的人身伤害;不会造成犯罪或防碍对犯罪行为的调查;不会造成犯罪或防碍对犯罪行为的调查;国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082

38、005.11.08安全级别第安全级别第三三级级对政务机构自身造成较大的负面影响,对国家对政务机构自身造成较大的负面影响,对国家安全造成一定程度的损害,包括:安全造成一定程度的损害,包括:对政务机构运行带来较大的负面影响,政务机构的一对政务机构运行带来较大的负面影响,政务机构的一项或多项政务职能无法履行;项或多项政务职能无法履行;对政务机构、相关单位、人员造成较大经济损失;对政务机构、相关单位、人员造成较大经济损失;对政务机构、相关单位、人员的形象或名誉造成较大对政务机构、相关单位、人员的形象或名誉造成较大的负面影响;的负面影响;导致严重的人身伤害;导致严重的人身伤害;导致犯罪或防碍对犯罪行为的

39、调查;导致犯罪或防碍对犯罪行为的调查;国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08安全级别第安全级别第四四级级对政务机构自身造成严重的负面影响,对国家对政务机构自身造成严重的负面影响,对国家安全造成较大损害,包括:安全造成较大损害,包括:对政务机构运行带来严重的负面影响,政务机构的对政务机构运行带来严重的负面影响,政务机构的多项政务职能无法履行,并在省级行政区域范围内多项政务职能无法履行,并在省级行政区域范围内造成严重影响;造成严重影响;对国家造成严重的经济损失;对国家造成严重的经济损失;对国家形象造成严重影响;对国家形象造成严重

40、影响;导致较多的人员伤亡;导致较多的人员伤亡;导致危害国家安全的犯罪行为;导致危害国家安全的犯罪行为;国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08安全级别第安全级别第五五级级对政务机构自身造成极其严重的负面影响,对对政务机构自身造成极其严重的负面影响,对国家安全造成严重损害,包括:国家安全造成严重损害,包括:对政务机构运行带来较小的负面影响,中央政务机对政务机构运行带来较小的负面影响,中央政务机构的一项或多项政务职能无法履行,并在全国范围构的一项或多项政务职能无法履行,并在全国范围内造成极其严重的影响;内造成极其严重的影响;对国家

41、造成极大的经济损失;对国家造成极大的经济损失;对国家形象造成极大影响;对国家形象造成极大影响;导致大量人员伤亡;导致大量人员伤亡;导致危害国家安全的严重犯罪行为;导致危害国家安全的严重犯罪行为;国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08定级方法定级方法考虑信息和服务两个因素,通过对每一类信息和服考虑信息和服务两个因素,通过对每一类信息和服务安全级别的分析,得到系统三性的级别,最终确务安全级别的分析,得到系统三性的级别,最终确定系统的安全等级。定系统的安全等级。安全级别可以根据实际情况进行调整。安全级别可以根据实际情况进行调整。系

42、统定级公式:系统定级公式:系统安全等级系统安全等级(A)Max (系统保密性级别系统保密性级别) ,(系统完系统完整性级别整性级别),(系统可用性级别系统可用性级别)系统保密性级别系统保密性级别Max (各信息或服务的保密性级别各信息或服务的保密性级别) 系统完整性级别系统完整性级别Max (各信息或服务的完整性级别各信息或服务的完整性级别) 系统可用性级别系统可用性级别Max (各信息或服务的可用性级别各信息或服务的可用性级别) 国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08安全规划与设计的过程安全规划与设计的过程国家电子政务信息

43、安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08安全域划分原则安全域划分原则功能应用相似性原则功能应用相似性原则安全属性相似性原则安全属性相似性原则资产价值资产价值安全要求安全要求安全威胁安全威胁国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08保护对象分类保护对象分类国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08建立系统分域保护框架的方法建立系统分域保护框架的方法充分覆盖充分覆盖互不重叠互不重叠无需细分无需细分国家电子政务信息安全

44、试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08如何构建系统分域保护框架如何构建系统分域保护框架国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08选择和调整安全措施的过程选择和调整安全措施的过程国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08安全措施调整因素和调整方式安全措施调整因素和调整方式序号序号调整因素整因素调整方式整方式1 1三性等三性等级中的中的1 12 2项低于系低于系统安全等安全等级降低降低对应控制控制项的等的等级2 2出出

45、现基本安全要求之外的特定安全要求基本安全要求之外的特定安全要求增加控制增加控制项3 3不存在基本安全要求所要控制的安全不存在基本安全要求所要控制的安全风险删减控制减控制项4 4风险评估估识别出的出的风险在基本安全要求中在基本安全要求中没有控制没有控制项增加控制增加控制项5 5与相与相应基本安全要求提供的安全基本安全要求提供的安全强强度相度相比,比,风险较低低降低控制降低控制项的的强强度等度等级6 6与与对应基本安全要求提供的安全基本安全要求提供的安全强强度相度相比,比,风险较高高提高控制提高控制项的的强强度等度等级7 7相相应基本安全要求中某些措施成本太高,基本安全要求中某些措施成本太高,无法

46、承受无法承受通通过其他措施其他措施进行弥行弥补国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08安全规划与方案设计安全规划与方案设计 安全需求分析安全需求分析 安全现状和等级要求之间的差距安全现状和等级要求之间的差距 安全项目规划安全项目规划对安全项目的相关性、紧迫性、难易程度和预期效果等对安全项目的相关性、紧迫性、难易程度和预期效果等因素进行分析,确定实施的先后顺序因素进行分析,确定实施的先后顺序 安全工作规划安全工作规划 确定安全工作的宗旨、远期安全工作目标和当年目标、确定安全工作的宗旨、远期安全工作目标和当年目标、关键和重点的工作

47、,并分析潜在的风险和障碍、所需的关键和重点的工作,并分析潜在的风险和障碍、所需的资源和预算资源和预算 ,进行实施策略选择,确定当年的安全工作,进行实施策略选择,确定当年的安全工作计划和等级保护项目建设计划计划和等级保护项目建设计划安全方案设计安全方案设计 技术解决方案、管理解决方案技术解决方案、管理解决方案国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08实施、等级评估与运行实施、等级评估与运行安全管理措施建设安全管理措施建设安全技术措施建设安全技术措施建设等级评估与验收等级评估与验收运行监控与改进运行监控与改进国家电子政务信息安全试点

48、培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08交付成果交付成果简介简介安全安全评估估报告告 通通过调查资产、分析网、分析网络、系、系统和和业务等方等方式,全面了解安全式,全面了解安全组织、策略、运作和技、策略、运作和技术等安全等安全现状。状。安全体系安全体系总体框架体框架 确定信息系确定信息系统安全等安全等级、安全建、安全建设的目的目标以以及及总体安全体安全笼廓和框架。廓和框架。安全安全规划划 对比安全比安全现状和目状和目标之之间的差距,分析并明的差距,分析并明确安全重点工作。确安全重点工作。安全策略安全策略 为客客户指定不同指定不同层面和面和类型的安全策

49、略,包型的安全策略,包括制度、流程、括制度、流程、规范和运行范和运行维护计划等。划等。安全解决方案安全解决方案 根据根据现有安全有安全问题和安全和安全规划,制定各划,制定各类详细的安全解决方案。的安全解决方案。等级化安全体系管理软件等级化安全体系管理软件(定制)(定制) 通过管理软件对等级化安全体系进行管理和通过管理软件对等级化安全体系进行管理和维护。维护。等级化安全体系试点交付成果等级化安全体系试点交付成果国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08等级化安全体系的设计成果等级化安全体系的设计成果安全组织安全组织主管领导主管领导

50、(主管安全)主管安全)领导小组组长领导小组组长Xx部门负部门负责人责人成员成员Xx部门负部门负责人责人成员成员Xx部门负部门负责人责人成员成员Xx部门负部门负责人责人工作组组长工作组组长Xx部门负部门负责人责人成员成员Xx系统管理系统管理员员成员成员Xx系统管理系统管理员员成员成员Xx系统管理员系统管理员成员成员Xx系统管理系统管理员员办公室负责人办公室负责人Xx系统管理员系统管理员成员成员安全管理员安全管理员安全技术员安全技术员信息安全办公室信息安全办公室国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08等级化安全体系的设计成果等级化

51、安全体系的设计成果安全技术安全技术防病毒防病毒监控监控审计审计认证认证第三方第三方统一接入统一接入安全域安全域访问访问控制控制访问访问控制控制访问访问控制控制主机主机安全安全边界边界隔离隔离数据库数据库安全安全应用应用安全安全安全域安全域边界边界隔离隔离表现:解决方案国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08等级化安全体系的设计成果等级化安全体系的设计成果安全运行安全运行项目工程项目工程建设建设安全风险安全风险管理管理安全运行安全运行维护维护安全体系安全体系建设建设建设期间建设期间运行维护期间运行维护期间国家电子政务信息安全试点

52、培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08等级化安全体系的设计成果等级化安全体系的设计成果安全策略安全策略信息安全方针信息安全方针xx管理规定管理规定工作流程工作流程xx组织人员职责组织人员职责xx安全技术规范安全技术规范信息安全体系信息安全体系xx层面层面xx信息安全工作管理办法信息安全工作管理办法xx组织人员职责组织人员职责xx层面层面工作表单工作表单运行维护计划运行维护计划应急响应计划应急响应计划xx层面层面国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08等级化安全体系的设计成果等级化安全体系的设计成果-指标库指标库国家电子政务信息安全试点培训国家电子政务信息安全试点培训 济源济源 2005.11.082005.11.08谢 谢 !

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号