等级化保护与风险评估介绍.ppt
- 文档编号:2552726
- 上传时间:2022-11-01
- 格式:PPT
- 页数:53
- 大小:1.62MB
等级化保护与风险评估介绍.ppt
《等级化保护与风险评估介绍.ppt》由会员分享,可在线阅读,更多相关《等级化保护与风险评估介绍.ppt(53页珍藏版)》请在冰豆网上搜索。
等级化保护与风险评估介绍等级化保护与风险评估介绍网御神州科技(北京)有限公司网御神州科技(北京)有限公司南方大区南方大区李震李震手机:
手机:
1385693714313856937143邮箱:
邮箱:
LL目录目录1.1.等级化保护介绍等级化保护介绍3.3.安全加固介绍安全加固介绍2.2.风险评估介绍风险评估介绍目录目录1.1.等级化保护介绍等级化保护介绍3.3.安全加固介绍安全加固介绍2.2.风险评估介绍风险评估介绍什么是等级化保护什么是等级化保护?
u信息网络安全管理工作要坚持从实际出发、保障重信息网络安全管理工作要坚持从实际出发、保障重点的原则,区分不同情况,分级、分类、分阶段进行点的原则,区分不同情况,分级、分类、分阶段进行信息网络安全建设和管理。
按照信息网络安全建设和管理。
按照计算机信息系统安计算机信息系统安全保护等级划分准则全保护等级划分准则规定的规定,我国实行五级信规定的规定,我国实行五级信息安全等级保护。
息安全等级保护。
等级保护的政策文件等级保护的政策文件20032003年年99月月中办国办颁发中办国办颁发关于加强信息安关于加强信息安全保障工作的意见全保障工作的意见中办发中办发200327200327号号20052005年年99月月国信办文件国信办文件关于转发关于转发电电子政务信息安全等子政务信息安全等级保护实施指南级保护实施指南的通知的通知国信办国信办200425200425号号20062006年年11月月四部委会签四部委会签关于印发关于印发信信息安全等级保护管息安全等级保护管理办法的通知理办法的通知公通字公通字2006720067号号20052005年年公安部标准公安部标准基本要求基本要求定级指南定级指南实施指南实施指南测评准则测评准则20042004年年1111月月四部委会签四部委会签关于信息安全等关于信息安全等级保护工作的实施级保护工作的实施意见意见公通字公通字200466200466号号云南云南云南省人民云南省人民政府第政府第130130号令号令浙江浙江浙江省人民浙江省人民政府令政府令北京北京北京政府第北京政府第99号令号令国家级政策文件国家级政策文件国家级技术标准国家级技术标准国家级政策文件国家级政策文件地方政策文件地方政策文件等级保护基本需求等级保护基本需求政策要求符合等级保护的要求系统定级系统符合基本要求中相应级别的指标符合测评准则中的要求实际需求适应客户实际情况适应业务特性与安全要求的差异性可工程化实施基本安全要求中的各级指标基本安全要求中的各级指标某级系统某级系统物物理理安安全全技术要求技术要求管理要求管理要求基本要求基本要求网网络络安安全全主主机机安安全全应应用用安安全全数数据据安安全全安安全全管管理理机机构构安安全全管管理理制制度度人人员员安安全全管管理理系系统统建建设设管管理理系系统统运运维维管管理理面临的挑战面临的挑战方面类第一级第二级第三级第四级技术要求物理安全物理安全监控与告警物理安全监控与告警网络安全拓扑管理拓扑管理设备和应用监控IP地址管理安全审计拓扑管理设备和应用监控IP地址管理安全审计流量监控地址欺骗监控拓扑管理设备和应用监控IP地址管理安全审计流量监控地址欺骗监控主机安全安全审计安全审计资源监控安全审计资源监控应用安全安全审计安全审计资源监控安全审计资源监控数据安全信息完整性保护信息完整性保护信息完整性保护信息完整性保护管理要求系统运维管理资产管理资产管理设备管理网络监控设备配置信息监控日志审计告警事件存储资产管理物理环境监控设备管理网络监控设备配置信息监控日志审计告警事件统计安全管理中心权限管理资产管理物理环境监控设备管理网络监控设备和应用配置信息监控日志审计告警事件统计安全管理中心权限管理8等级保护的生命周期等级保护的生命周期信息系统等级保护实施生命周期内的主要活动信息系统等级保护实施生命周期内的主要活动规划设计阶段安全实施/实现阶段安全运行管理阶段等级化风险评估安全总体设计安全建设规划安全方案设计安全产品采购安全控制集成测试与验收管理机构的设置管理制度的建设人员配置和岗位培训安全建设过程的管理操作管理和控制变更管理和控制安全状态监控安全事件处置和应急预案安全评估和持续改进监督检查定级阶段系统调查和描述子系统划分/分解子系统边界确定安全等级确定定级结果文档化10信息系统安全等级信息系统安全等级专控保护级专控保护级强制保护级强制保护级监督保护级监督保护级指导保护级指导保护级自主保护级自主保护级第五级第五级第五级第五级第四级第四级第四级第四级第三级第三级第三级第三级第二级第二级第二级第二级第一级第一级第一级第一级安全保护能力强度安全保护能力强度安全保护能力强度安全保护能力强度第五级第五级第五级第五级第四级第四级第四级第四级第三级第三级第三级第三级第二级第二级第二级第二级第一级第一级第一级第一级信息系统等级信息系统等级信息系统等级信息系统等级11等级保护实施过程等级保护实施过程系统分域保护框架建立选择和调整安全措施安全规划与方案设计安全措施的实施等级评估与验收运行监控与改进系统的识别与描述子系统的划分阶段阶段1阶段阶段1定级阶段阶段2阶段阶段2规划与设计阶段阶段3阶段阶段3实施、等级评估与改进(子)系统等级确定国家标准国家标准信息系统安全等级保护实施指南信息系统安全等级保护定级指南信息系统安全等级保护基本要求信息系统安全等级保护测评准则等级保护标准的作用等级保护标准的作用实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要.等级保护标准的目的等级保护标准的目的为信息安全管理提供建议,供那些在其机构中负有安全责任的人使用。
它旨在为一个机构提供用来制定安全标准、实施有效的安全管理时的通用要素,并得以使跨机构的交易得到互信。
等级化安全体系理念关键要素等级化安全体系理念关键要素分等级的保护对象分等级的保护对象分域的深度安全防护分域的深度安全防护体系化的安全保障体系化的安全保障适度的保护强度适度的保护强度分等级的保护对象分等级的保护对象依据信息系统的重要程度划分系统的安全等级依据信息系统的重要程度划分系统的安全等级,明确信明确信息安全保护的重点。
息安全保护的重点。
分域的深度安全防护分域的深度安全防护依据业务需求和安全需求划分信息系统网络的安全域,依据业务需求和安全需求划分信息系统网络的安全域,对信息系统进行分层、分域的深度防护对信息系统进行分层、分域的深度防护。
适度的保护强度适度的保护强度依据信息系统的安全等级,采取不同的安全保护措施,依据信息系统的安全等级,采取不同的安全保护措施,使信息系统达到适度的安全保障。
使信息系统达到适度的安全保障。
目录目录1.1.等级化保护介绍等级化保护介绍3.3.安全加固介绍安全加固介绍2.2.风险评估介绍风险评估介绍风险评估简介风险评估流程项目过程案例介绍目目录录面临的问题面临的问题困扰是什么?
问题在哪里?
问题的问题?
(原因)那么多的问题?
问题的解决?
(单个、系统)最终目标最终目标-信息安全体系信息安全体系实现组织安全目标和使命实现组织安全目标和使命风险评估风险评估-差距分析差距分析满足的安全需求满足的安全需求发现的安全需求发现的安全需求4,0003,0002,0001,000没有任何事情比解决错误的问题和建立错误的系统没有任何事情比解决错误的问题和建立错误的系统更没有效率的了更没有效率的了风险的定义风险的定义人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件及其对组织造成的影响。
-信息安全评估指南risk:
thepotentialthatagiventhreatwillexploitvulnerabilitiesofanassetorgroupofassetsandtherebycauseharmtotheorganization.-ISO13335Part1:
ConceptsandmodelsforITSecurity资产资产(AssetAsset)q资资产产是是企企业业、机机构构直直接接赋赋予予了了价价值值因因而而需需要要保保护护的的东东西西。
资资产产是是企企业、机构直接赋予了价值因而需要保护的东西。
业、机构直接赋予了价值因而需要保护的东西。
q信息资产是指组织的信息系统、其提供的服务以及处理的数据。
信息资产是指组织的信息系统、其提供的服务以及处理的数据。
q资产的根本属性是:
资产的根本属性是:
价值价值(CC、II、AA值)值)脆弱性(脆弱性(VulnerabilityVulnerability)q脆脆弱弱性性是是资资产产本本身身存存在在的的,它它可可以以被被威威胁胁利利用用、引引起起资资产产或或商商业业目目标的损害。
标的损害。
q脆脆弱弱性性包包括括物物理理环环境境、组组织织、过过程程、人人员员、管管理理、配配置置、硬硬件件、软软件和信息等各种资产的脆弱性。
件和信息等各种资产的脆弱性。
q脆脆弱弱性性的的根根本本属属性性是是:
严严重重程程度度(脆脆弱弱性性被被利利用用后后对对资资产产的的损损害害程程度度、脆脆弱弱性性被被利利用用的的难难易易程程度度、脆脆弱弱性性的的流流行程度)行程度)威胁(威胁(ThreatThreat)q威威胁胁是是对对组组织织的的资资产产引引起起不不期期望望事事件件而而造造成成的的损损害害的的潜在可能性。
潜在可能性。
q宏宏观观来来说说,威威胁胁可可以以分分为为人人为为威威胁胁(故故意意、非非故故意意)和环境威胁和环境威胁2种。
种。
q威胁的根本属性是:
威胁的根本属性是:
出现的频率出现的频率风险(风险(RiskRisk)q风风险险是是一一种种潜潜在在可可能能性性,是是指指某某个个威威胁胁利利用用脆脆弱弱性性引引起起某某项项资资产产或或一一组组资资产产的的损损害害,从从而而直直接接地地或或间间接接地地引引起起企业或机构的损害。
企业或机构的损害。
风险计算风险计算风险值风险值=资产价值资产价值威胁值威胁值弱点严重程度弱点严重程度风险评估国际标准风险评估国际标准ISO133351-5ISO17799NISTSP800-26IT系统安全自评估指南我国风险评估相关背景我国风险评估相关背景20062006年年77月月1919日日全国信息安全标准全国信息安全标准化委员会主任办公化委员会主任办公会上讨论通过了会上讨论通过了信息安全技术信息安全技术信息安全风险评估信息安全风险评估规范规范(报批稿报批稿),),目前已进入报批程目前已进入报批程序。
序。
20032003年年88月月2626日日中办国办颁发中办国办颁发关于加强信息安关于加强信息安全保障工作的意见全保障工作的意见中办发中办发200327200327号号20042004年年信息安全风险评信息安全风险评估指南估指南信息安全风险管信息安全风险管理指南理指南20052005年年由国务院信息办组由国务院信息办组织八个部门开展风织八个部门开展风险评估试点工作险评估试点工作20032003年年88月月-12-12月月国家信息中心组建国家信息中心组建成立成立“信息安全风信息安全风险评估课题组险评估课题组”对四个地区对四个地区(北京、北京、广州、深圳和上海广州、深圳和上海),十几个行业的,十几个行业的5050多家单位进行了多家单位进行了深入细致的调查与深入细致的调查与研究研究20062006年年11月月国信办印发国信办印发关关于开展信息安全于开展信息安全风险评估工作的风险评估工作的意见意见国信办综国信办综2006920069号号调查研究阶段调查研究阶段标准草案编制阶段标准草案编制阶段全国试点工作阶段全国试点工作阶段20072007年年从从20072007年起还将对年起还将对“8+28+2”系统开始系统开始实行制度化风险评实行制度化风险评估工作。
估工
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 等级 保护 风险 评估 介绍