《信息安全等级保护(樊山)PPT》由会员分享,可在线阅读,更多相关《信息安全等级保护(樊山)PPT(31页珍藏版)》请在金锄头文库上搜索。
1、信息安全等级保护 -为信息保驾护航樊山1信息安全等级保护的目的国际上计算机犯罪正以每年100%的速度增长。在Internet网上的黑客攻击事件也以每年10倍的速度在增长;计算机病毒从1998年发现首例以来,增长的速度呈几何级数。据美国审计总署资料:世界上120余个国家已经或正在研究进入计算机网络的手段。1995年,入侵美国国防部计算机网络的事件多达25万次,其中65%(16.25万次)获得了成功。欧美等国金融机构的计算机网络被入侵的比例高达77%,我国近几年来计算机犯罪也以30%的速度在增长。国内90%以上的电子商务网站存在严重的安全漏洞。2信息安全等级保护的目的3信息安全等级保护实施步骤信息
2、系统安全保护信息系统安全保护等级的划分与保护等级的划分与保护 信息系统安全保信息系统安全保护等级的确定护等级的确定 备案和备案审核备案和备案审核 信息系统安全建设信息系统安全建设整改、等级测评整改、等级测评 备案审核备案审核 4信息安全等级保护实施步骤系统系统1系统系统2系统系统3系统系统4业务信息安全被破坏信息安全被破坏时所侵害的客体所侵害的客体系系统服服务安全被破坏安全被破坏时所侵害的客体所侵害的客体对相相应客体的侵害程度客体的侵害程度一般一般损害害严重重损害害特特别严重重损害害公民、法人和其他公民、法人和其他组织的合法的合法权益益第一第一级第二第二级第二第二级社会秩序、公共利益社会秩序、
3、公共利益第二第二级第三第三级第四第四级国家安全国家安全第三第三级第四第四级第五第五级5信息安全等级保护测评方法和意义等级测评和自查要求。管理办法第十四条规定,信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据信息系统安全等级保护测评要求等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。 经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。 6信息安全等级保护测评方法和意义7信
4、息安全等级保护测评方法和意义案例:系统简述:某省政府网站系统ZFWZ,用于发布政务公开信息、地方行政法规和管理措施、领导讲话、政府办事流程、新闻发布、政府公告、举报投诉、省内经济形势介绍、电子表单下载等信息,服务对象主要是省内企业和市民。8信息安全等级保护测评方法和意义ZFWZ系统等级确定过程: ZFWZ系统是省政府对社会办公的窗口,其中发布的信息内容代表政府形象和体现政府的社会管理和社会服务职能,因此该信息安全被破坏可能对社会秩序造成一定影响;由于省政府网站的访问量并不很大,信息被篡改可能造成的不良社会影响不会很大,因此对社会秩序的侵害程度为一般损害;9信息安全等级保护测评方法和意义3.查表
5、知ZFWZ系统的业务信息安全保护等级为第二级,如下表所示。业务信息安全被破坏信息安全被破坏时所侵害的客体所侵害的客体对相相应客体的侵害程度客体的侵害程度一般一般损害害严重重损害害特特别严重重损害害公民、法人和其他公民、法人和其他组织的合法的合法权益益第一第一级第二第二级第二第二级社会秩序、公共利益社会秩序、公共利益第二第二级第三第三级第四第四级国家安全国家安全第三第三级第四第四级第五第五级10信息安全等级保护测评方法和意义4. ZFWZ系统为省内企业和市民提供政府信息查询和下载服务,其系统服务如果不可用侵害的不是省政府本身的利益,而是公众获取公开信息的公众利益;5.但由于没有必须通过网络才能够
6、执行的办事流程,ZFWZ系统对服务实时性和服务质量要求不高,政务服务工作主要通过网络之外完成,网络仅提供相关信息和表单下载,网站不能提供服务对市民办事影响不大;11信息安全等级保护测评方法和意义6.查表知ZFWZ系统的业务服务安全保护等级为第二级,如下表所示:7. ZFWZ系统的安全保护等级为第二级。系系统服服务安全被破坏安全被破坏时所所侵害的客体侵害的客体对相相应客体的侵害程度客体的侵害程度一般一般损害害严重重损害害特特别严重重损害害公民、法人和其他公民、法人和其他组织的的合法合法权益益第一第一级第二第二级第二第二级社会秩序、公共利益社会秩序、公共利益第二第二级第三第三级第四第四级国家安全国
7、家安全第三第三级第四第四级第五第五级12信息安全等级保护测评方法和意义测评实施一、确定资产与边界(范围)1、操作系统 序号序号名名 称称型号型号操作系操作系统1门户服务器IBM openpower 710SUSE Linux3应用/DB服务器IBM p550AIX5.2 pack64RA服务器信安服务器SUSE Linux13信息安全等级保护测评方法和意义2、网络设备序号序号名名 称称型号型号操作系操作系统1 1路由器路由器Quidway AR 46-20IosIos2 2交交换机机Quidway S2403H-EIIosIos3 3交交换机机Quidway S3928P-EIIosIos4
8、4外外层防火防火墙系系统天融信天融信NGFW4000-G ANTIVIRUS-MODULE-500ANTIVIRUS-MODULE-500IosIos14信息安全等级保护测评方法和意义二、测评项目安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面。1、物理安全物理位置的选择、物理访问控制、防盗窃和防破物理位置的选择、物理访问控制、防盗窃和防破环、防雷击、防火、防水和防潮、防静电、温湿环、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护度控制、电力供应、电磁防护 测试方法:访谈、检查。 15信息安全等级保护测评方法和意义2、网络安全、网络安全结构安全
9、与网段划分结构安全与网段划分、网络访问控制网络访问控制、拨号拨号访问控制访问控制、网络安全审计网络安全审计、边界完整性检查边界完整性检查、网络入侵防范网络入侵防范、恶意代码防范恶意代码防范、网络设备防网络设备防护护 16信息安全等级保护测评方法和意义路由器/交换机网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要;应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;应对进出网络的信息内容进行过滤,实现对应用层协议命令级的控制;应对网络系统中的网络设备运行状况、网络流量、用户行为等进行全面的监测、记录;安全审计应可以对特定事件提供指定方式的实时报警;应对登录网络设备的用户进行身
10、份鉴别;应具有登录失败处理功能,如:结束会话、限制非法登录次数,当网络登录连接超时,自动退出;测试方法:命令检查、配置界面、日志报表检查。 17信息安全等级保护测评方法和意义防火墙应设计和绘制与当前运行情况相符的网络拓扑结构图;应能根据会话状态信息(包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力;应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件
11、类型、事件是否成功,及其他与审计相关的信息;18信息安全等级保护测评方法和意义安全审计应可以根据记录数据进行分析,并生成审计报表;安全审计应可以对特定事件,提供指定方式的实时报警;审计记录应受到保护避免受到未预期的删除、修改或覆盖;应在网络边界处应监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等入侵事件的发生;应对登录网络设备的用户进行身份鉴别;应对网络设备的管理员登录地址进行限制;测试方法:命令检查、配置界面、日志报表检查。19信息安全等级保护测评方法和意义3、主机系统安全身份鉴别、自主访问控制、安全审计、系统保护、剩余信息保护、
12、恶意代码防范、资源控制 4、应用安全身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、软件容错、资源控制、代码安全5、数据安全数据完整性、数据保密性、数据备份和恢复20信息安全等级保护测评方法和意义安全管理测评安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面。1、安全管理机构岗位设置、人员配备、授权和审批、沟通和合作、审核和检查 2、安全管理制度管理制度、制定和发布、评审和修订3、人员安全管理人员录用、人员离岗、人员考核、安全意识教育和培训、第三方人员访问管理 21信息安全等级保护测评方法和意义4、系统建设管理系统定级、安全方案
13、设计、产品采购、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择 5、 系统运维管理环境管理、资产管理、介质管理、设备管理、监控管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理22信息安全等级保护测评方法和意义人员访谈人员访谈测试内容:针对组织内的安全管理人员、安全员、安全主管、工作人员、关键活动批准人、管理人员(负责定期评审、修订和日常维护的人员)、机房值守人员、人事负责人、人事工作人员、审计员、网络管理员、文档管理员、物理安全负责人、系统管理员、系统建设负责人、系统运维负责人、资产管理员等不同类型岗位
14、的人员访谈测试方法:访谈相关人员文档检查文档检查测试内容:安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理等方面的文档检查测试方法 : 查看相关文件 23编号号输入入输出出描述描述1测评项目任务书测评收费核算单测评项目任务书的成员名单用户资料使用登记表项目经理确定项目组成员信息系统基本信息调查表被测单位填写项目经理发送的信息系统基本信息调查表信息系统基本信息调查表和相关文档资料信息系统调研报告项目组编写信息系统基本信息调查表信息系统调研报告和相关文档资料信息系统测评实施方案信息系统测评实施计划项目组制定技术主管审核中心主任签字5信息系统测评实施方案信息系统测评实施计划用户确
15、认意见项目组和被测单位召开协调会议6信息系统测评实施方案信息系统测评实施计划用户确认意见安全技术测试记录表安全管理核查记录表测评前设备核查记录项目组定制7信息系统测评实施方案信息系统测评实施计划项目分工方案项目经理8测试工作准备通知待检查文档资料待检查现场记录备份系统被测单位24信息安全等级保护测评方法和意义编号号输入入输出出描述描述工具、方法工具、方法1系统测评实施方案检查表单安全技术测试检查表安全管理核查记录表项目经理与用户商定协调会的时间、参加人员、会议的大体内容讨论2测评计划实施方案信息系统运行情况验证记录用户签字用户签字确认开协调会3测评计划实施方案测评工具使用情况记录项目组准备现场
16、记录表测评管理工具4测评计划实施方案安全技术测试检查表安全管理核查记录表信息系统核查测试报告信息系统测评监督记录表质量监督员签字确认5信息系统核查测试报告副主任审核意见审核6归还文档列表确确认单25信息安全等级保护测评方法和意义编号号输入入输出出描述描述工具、方法工具、方法1系统测评实施方案检查表单安全技术测试检查表安全管理核查记录表项目经理与用户商定协调会的时间、参加人员、会议的大体内容讨论2测评计划实施方案信息系统运行情况验证记录用户签字用户签字确认开协调会3测评计划实施方案测评工具使用情况记录项目组准备现场记录表测评管理工具4测评计划实施方案安全技术测试检查表安全管理核查记录表信息系统核
17、查测试报告信息系统测评监督记录表质量监督员签字确认5信息系统核查测试报告副主任审核意见审核6归还文档列表确确认单26信息安全等级保护测评方法和意义在本次系统测评项目中需要配合的工作如下:提供组织结构及人员职责分配表提供系统网络管理员名单提供各业务系统相应管理员名单填写信息系统安全需求调查表和信息系统基本信息调查报告提供自评审计报告提供系统各种业务应用网络拓扑和说明提供安全管理制度、操作规程等相关文档,并配合管理测评的访谈、检查27信息安全等级保护测评方法和意义提供被评估系统的设备、软件清单协调系统相关人员填写调查表对各业务系统的流程进行介绍提供本地和远程测评系统的访问权限为工具扫描测评提供适当
18、的网络环境和权限需要目标网络管理员对系统整体测评的配合现场检查测试后在系统运行情况验证记录表上签字确认相关人员协助评估,回答有关调查问卷和问题,参加确认协调会,对每一阶段测评结果书面确认提供合适的会议室及办公环境供交流使用28建设信息安全的万里长城2001年中美黑客大战中美黑客大战升级两天之内700多家网站被黑 5月2日,红客联盟公布被黑美国站点的网站上,被“攻陷”的美国站点已达92个,而来自网友信息,被黑的中国站点则已超过600个(包括台湾地区的网站)。中美被黑站点比例大约在1:3左右。2008年4月保卫奥运黑客大战目标:家乐福、CNN、www.frmtv.fr人数:3000多人,动用“肉鸡”15000多台,据不完全统计。结果:家乐福被迫关闭,CNN亚洲频道受到干扰,frmtv在攻击期间短时瘫痪损失:三分之一的“肉鸡”在攻击中被消耗29谢谢各位30 刚才的发言,如刚才的发言,如有不当之处请多指有不当之处请多指正。谢谢大家!正。谢谢大家!31
