信息安全等级保护专业知识.pptx
- 文档编号:1409055
- 上传时间:2022-10-22
- 格式:PPTX
- 页数:48
- 大小:3.59MB
信息安全等级保护专业知识.pptx
《信息安全等级保护专业知识.pptx》由会员分享,可在线阅读,更多相关《信息安全等级保护专业知识.pptx(48页珍藏版)》请在冰豆网上搜索。
信息安全等级保护专业知识,1,主题2,信息安全的属性特征和管理分类,什么是等级保护,等级保护的国家政策与标准规范,等级保护的工作内容,2,等级保护的建设流程,等级保护各参与部门的角色定位,涉及国家秘密信息系统的分级保护,信息安全的属性特征,3,信息安全是整体的、发展的、非传统的安全;信息安全是一个系统工程,需要全社会共同努力;信息安全不是绝对的,是动态的、相对的;信息安全不是一个国家能完全控制的问题,具有全球化的特点,应从全球信息化角度考虑和布局;信息安全不是一个孤立的问题,应在系统建设过程中充分考虑。
信息安全管理分类,4,密保(分保)分三级(绝密、机密、秘密)涉密环境(网络、终端、应用系统及数据)的信息安全等保分五级非涉密环境(网络、终端、应用系统及数据)的信息安全,主题2,信息安全的属性特征和管理分类,什么是等级保护,等级保护的国家政策与标准规范,等级保护的工作内容,5,等级保护的建设流程,等级保护各参与部门的角色定位,涉及国家秘密信息系统的分级保护,什么是等级保护,6,信息系统等级保护的定义是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
等级保护工作分为五个环节:
定级、备案、建设整改、等级测评、监督检查。
信息安全等级保护是基本制度、基本国策,等级保护的等级划分准则,7,根据信息和信息系统遭到破坏或泄露后,对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度来进行定级。
1、受侵害客体;2、受侵害程度。
等级保护的等级划分准则,8,公安部关于等级保护文件规定,第一级为自主保护级第二级为指导保护级第一级为监督保护级第一级为强制保护级第一级为专控保护级,9,等级保护涉及的几个概念,10,访问:
读、写、执行,安全策略,安全审计,强制访问控制,等级保护的等级划分准则,11,等级保护的等级划分准则,12,第一级自主安全保护,第二级审计安全保护,第三级强制安全保护,第四级结构化保护,第五级访问验证保护级,自主访问控制身份鉴别完整性保护,自主访问控制身份鉴别完整性保护,系统审计客体重用,自主访问控制身份鉴别完整性保护,系统审计客体重用,强制访问控制标记,自主访问控制身份鉴别完整性保护,系统审计客体重用,强制访问控制标记,自主访问控制身份鉴别完整性保护,系统审计客体重用,强制访问控制标记,隐蔽通道分析可信路径,隐蔽通道分析可信路径,可信恢复,信息系统的五个安全保护等级,13,第一级:
一般适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。
第二级:
一般适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统,如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。
第三级:
一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省连接的网络系统等。
第四级:
一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。
例如电力、电信、广电、铁路、民航、银行、税务等重要部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。
第五级:
一般适用于国家重要领域、重要部门中的极端重要系统,主题3,信息安全的属性特征和管理分类,什么是等级保护,等级保护的国家政策与标准规范,等级保护的工作内容,14,等级保护的建设流程,等级保护各参与部门的角色定位,涉及国家秘密信息系统的分级保护,等级保护的国家政策,15,等级保护的技术标准规范,16,GB17859-1999计算机信息系统安全保护等级划分准则,信息系统安全等级保护定级指南,GB/T20269-2006信息系统安全管理要求GB/T20282-2006信息安全技术信息系统安全工程管理要求GB/T20270-2006信息安全技术网络基础安全技术要求GB/T20271-2006信息安全技术信息系统通用安全技术要求GB/T20272-2006信息安全技术操作系统安全技术要求GB/T20273-2006信息安全技术数据库管理系统通用安全技术要求GB/T22239-2008信息安全技术信息系统安全等级保护基本要求信息安全技术信息系统等级保护安全设计技术要求(已送批)信息系统安全等级保护实施指南,GB/T20009-2005信息安全技术操作系统安全评估准则,国家已出台70多个国标、行标以及报批标准,从基础、设计、实施、管理、制度等各个方面对等保系统提出了要求和建议。
等级保护的技术标准规范,17,面向评估者技术标准:
面向建设者技术标准:
等级保护的技术标准规范,18,管理类标准:
等保方案类标准:
系统定级类标准:
等级保护的技术标准规范,19,信息系统安全等级保护基本要求(GB/T22239-2008),信息系统等级保护安全设计技术要求(已审批),计算机信息系统安全保护等级划分准则(GB17859-1999),最早提出的基础性、强制性标准;粒度较粗,是一个指导性标准;,公安部作为等保系统建设、评测的重要依据,等保系统设计时的主要依据:
一个中心三重防御,国家已出台约70余个标准,重点需要了解的有:
主题4,信息安全的属性特征和管理分类,什么是等级保护,等级保护的国家政策与标准规范,等级保护的工作内容,20,等级保护的建设流程,等级保护各参与部门的角色定位,涉及国家秘密信息系统的分级保护,等级保护的建设目标,21,某级信息系统,技术要求,管理要求,基本要求,建立安全技术体系,建立安全管理体系,具有某级安全保护能力的系统,等级保护的建设要求,22,物理安全,技术要求,管理要求,基本要求,网络安全,主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,等级保护的建设要求,23,环境安全,防其他自然灾害,机房与设施安全,环境与人员安全,设备安全,防止电磁泄露发射,防盗与防毁,防电磁干扰,介质安全,介质的管理,介质的分类,介质的防护,物理安全,等级保护的建设要求,24,网络安全1.网络结构安全2.网络访问控制3.网络安全审计4.边界完整性检查5.网络入侵防范6.恶意代码防护7.网络防护设备,主机安全身份鉴别强制访问控制系统安全审计4.剩余信息保护5.入侵防范6.恶意代码防范7.资源控制,应用安全1.身份认证2.安全审计3.剩余信息保护4.通信完整性和机密性保护,数据安全1.数据机密性保护2.数据完整性保护,5.控制软件容错;6.严格的访问;7.自动保护功能;8.资源控制;,等级保护的建设模式,25,满足政策要求满足标准要求满足用户自身要求,安全现状,基本要求,需求,物理安全,网络安全,主机安全,应用安全,数据安全与备份恢复,等级保护的体系架构,26,其它定级系统,计算环境,区域边界,通信网络,安全管理中心,通信网络,区域边界,计算环境,安全管理中心,等级保护的技术实现要求,27,构筑由安全管理中心统一管理下的计算环境、区域边界、通信网络三重防御体系。
安全区域边界,可信计算环境,安全管理中心,安全通信网络,主题5,信息安全的属性特征和管理分类,什么是等级保护,等级保护的国家政策与标准规范,等级保护的工作内容,28,等级保护的建设流程,等级保护各参与部门的角色定位,涉及国家秘密信息系统的分级保护,等级保护的建设流程,29,达标等保体系,等保整改,等保建设,等级保护整改建设流程,30,1.信息系统定级,2.等保建设立项,3.信息安全威胁分析,4.等保方案设计,5.安全体系部署,6.等保体系测评,7.等保整改建设完成,定级工作08年已基本完成,专业机构整改意见,总设详设专家论证,项目实施内部验收,专业机构测评报告,未通过,流程1:
信息系统定级,31,2007年开始,我国在全国范围展开了信息系统等级保护的定级工作,并在公安部进行了相关的备案。
定级依据:
信息系统安全保护等级定级指南(国家)XX行业信息系统安全保护等级定级指南,谁主管、运营谁定级;拟确定为四级以上的信息系统需请国家信息安全保护等级专家评审委员会评审;,信息系统定级情况要在公安部门报备;,流程1:
信息系统定级,32,根据信息和信息系统遭到破坏或泄露后,对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度来进行定级。
1.受侵害客体;,2.受侵害程度;,流程2:
等保建设立项,33,信息系统等级保护建设,经过信息系统的运营、管理部门以及有关政府部门的批准,并列入信息系统运营单位或政府计划的过程。
一项基本国策,一项基本制度,具有政策的强制性,是办公电子化、业务信息化发展必需的保障手段,用户业务开展的实际需求,流程3:
风险评估,34,需请相应级别、具有资质的测评中心进行风险评估;,风险评估是对信息资产面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性的评估。
风险评估是确定信息安全需求的一个重要途径。
风险评估完成后出具评估报告和整改意见;,流程4:
等级方案设计思路,35,信息系统等保体系,建设目标,流程4:
等保方案设计原则,36,重视安全技管兼行,遵循政策符合标准,需求主导突出重点,整体规划分步实施,全局管理统一标准,适度安全减少影响,流程4:
需求分析方法,37,满足政策要求满足标准要求满足用户自身要求,安全现状,基本要求,需求,物理安全,网络安全,主机安全,应用安全,数据安全与备份恢复,流程4:
需求分析方法,38,流程4:
设计方案章节,39,等级保护建设方案章节:
二、安全需求分析,一、项目背景,四、等保技术体系设计,三、方案总体设计,六、等保管理安全设计,五、等保物理安全设计,八、产品选型与技术指标,七、应急与灾备设计,九、方案与产品安全性论证,十一、实施方案设计,十、项目预算,需求背景政策依据,以基本要求中“网络、主机、应用、数据”部分要求为目标,以设计要求为方法,以基本要求中物理安全部分为依据,以基本要求中管理安全部分为依据,经过信息安全等级保护专家论证通过,流程4:
等保体系整体架构,40,计算环境,区域边界,通信网络,安全管理中心,通信网络,区域边界,计算环境,安全管理中心,流程5:
等保体系部署,41,统一规划,分步实施,规范管理,责任落实,确保安全,影响最小,专家论证,内部验收,计算环境,区域边界,通信网络,流程6:
等保体系测评,42,等保体系达标,需请相应级别、具有资质的测评中心进行等保测评;,以相应的政策、标准为基准,对等保体系进行风险评测,从面临的威胁、存在的弱点、造成的影响,以及三者综合作用角度,分析信息系统的等保体系是否达标。
等保测评完成后出具测评报告和整改意见;,等保体系测评,信息等保整改,通过,未通过,流程7:
等保体系整改建设完成,43,构筑由安全管理中心统一管理下的计算环境、区域边界、通信网络三重防御体系。
安全区域边界,安全计算环境,安全管理中心,安全通信网络,主题6,信息安全的属性特征和管理分类,什么是等级保护,等级保护的国家政策与标准规范,等级保护的工作内容,44,等级保护的建设流程,等级保护各参与部门的角色定位,涉及国家秘密信息系统的分级保护,等级保护各参与部门的角色定位,45,信息安全等级保护管理办法公安机关负责信息安全等级保护工作的监督、检查、指导公安部及地方公安部门、网监部门国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导国家保密局及地方保密局国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导国密办及地方密码管理局/办国务院信息化领导小组负责等级保护工作的部门间协调国信办、工信部及地方信息办等级保护测评机构负责按照国家相关
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 等级 保护 专业知识