20 元
下载资源

信息安全等级保护体系解读课件

上传人:文**** 文档编号:242641001 上传时间:2024-08-30 格式:PPT 页数:25 大小:1.69MB
返回 下载 相关 举报
信息安全等级保护体系解读课件_第1页
第1页 / 共25页
信息安全等级保护体系解读课件_第2页
第2页 / 共25页
信息安全等级保护体系解读课件_第3页
第3页 / 共25页
点击查看更多>>
资源描述
*,可编辑,*,LOGO,*,LOGO,*,信息安全等级保护体系解读,信息安全等级保护体系解读,内容概要,信息安全等级保护的定义,1,信息安全等级保护的内容,2,内容概要信息安全等级保护的定义1信息安全等级保护的内容2,信息安全等级保护的定义,信息安全等级保护制度是我国信息安全工作保障工作的基本制度和基本国策,是开展信息安全工作的基本方法,是促进信息化、维护国家信息安全的基本保障。,信息系统,信息安全产品,信息安全事件,第一级安全保护,第二级安全保护,第三级安全保护,第四级安全保护,第五级安全保护,EAL1,EAL2,EAL3,EAL4,EAL5,特别重大事件(,I,级),重大事件(,II,级),较大事件(,III,级),一般事件(,IV,级),信息安全等级保护的定义信息安全等级保护制度是我国信息安全工作,信息系统安全保护等级的划分,等级,对象,侵害客体,侵害程度,监管程度,第一级,一般系统,合法权益,损害,自主保护,第二级,合法权益,严重损害,指导保护,社会秩序和公共利益,损害,第三级,重要系统,社会秩序和公共利益,严重损害,监督检查,国家安全,损害,第四级,社会秩序和公共利益,特别严重损害,强制监督检查,国家安全,严重损害,第五级,极端重要系统,国家安全,特别严重损害,专门监督检查,信息系统安全保护等级的划分等级对象侵害客体侵害程度监管程度第,信息安全等级保护的政策和法律体系,中华人民共和国计算机信息系统安全保护条例,(,国务院,147,号令,),国家信息化领导小组关于加强信息安全保障工作的意见,(中办发,200327,号),关于信息安全等级保护工作的实施意见,(公通字,200466,号),信息安全等级保护管理办法,(公通字,200743,号,),关于开展全国重要信息系统安全等级保护定级工作的通知,(公信安,2007861,号),信息安全等级保护备案实施细则,(公信安,20071360,号),关于开展信息安全等级保护安全建设整改工作的指导意见,(,公信安,20091429,号,),关于加强国家电子政务工程建设项目信息安全风险评估工作的通知,(发改高技,20082071,号),关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知,(公信安,303,号文),关于印发,信息系统安全等级测评报告模版(试行),的通知(公信安,20091487,号),公安机关信息安全等级保护检查工作规范,(公信安,2008736,号),信息安全等级保护工作,定级,备案,整改,测评,检查,信息安全等级保护的政策和法律体系中华人民共和国计算机信息系,信息安全等级保护技术和管理标准体系,计算机信息系统安全保护等级划分准则(,GB17859,),信息系统安全等级保护定级指南,信息系统安全等级保护基本要求,技术类,信息系统通用安全技术要求,信息系统物理安全技术要求,网络基础安全技术要求,其它技术类标准,管理类,信息系统安全管理要求,信息系统安全工程管理要求,其它管理类标准,产品类,操作系统安全技术要求,数据库管理系统安全技术要求,网络和终端设备隔离部件安技术要求,其它产品类标准,信息系统安全等级保护基本要求的行业细则,信息系统安全等级保护基本要求的定级细则,信息系统安全等级保护测评过程指南,信息系统等级保护安全设计技术要求,信息系统安全等级保护实施指南,信息系统安全等级保护测评要求,信息安全等级保护安全建设整改工作,安全等级,安全要求,现状分析,方法指导,信息安全等级保护技术和管理标准体系计算机信息系统安全保护等级,信息安全等级保护所涉及的标准,通用类,1.,计算机信息系统安全等级保护划分准则,(GB17859),2.,信息系统安全等级保护实施指南,(GB/T25058),3.,信息安全技术信息系统安全等级保护基本要求,(GB/T22239),4.,信息安全技术信息系统安全保护等级定级指南,(GB/T22240),5.,信息安全技术信息系统安全等级保护测评要求,6.,信息安全技术信息系统安全等级保护测评过程指南,。,安全技术类,1.,信息系统等级保护安全设计技术要求,2.,信息安全技术网络基础安全技术要求,(GB/T20270),3.,信息安全技术信息系统安全通用技术要求,(GB/T20271),4.,信息安全技术信息系统物理安全技术要求,(GB/T21052),5.,信息安全技术服务器安全技术要求,(GB/T21028),6.,信息安全技术操作系统安全技术要求,(GB/T20272),7.,信息安全技术数据库管理系统安全技术要求,(GBT20273),。,安全管理类,1.,信息安全技术信息系统安全管理要求,(GB/T20269),2.,信息安全技术信息系统安全工程管理要求,(GB/T20282),3.,信息技术安全技术信息安全事件管理指南,(GB/Z20985),4.,信息安全技术信息安全事件分类分级指南,(GB/Z20986),。,信息安全等级保护所涉及的标准通用类1.计算机信息系统安全等,等保,2.0,为了适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用、情况下信息安全等级保护工作的开展,需对,GB/T 2239-2008,进行修订,新等保系列标准目前主要有六个部分,GB/T 22239.1,信息安全技术 网络安全等级保护基本要求 第,1,部分 安全通用要求,GB/T 22239.2,信息安全技术 网络安全等级保护基本要求 第,2,部分 云计算安全扩展要求,GB/T 22239.1,信息安全技术 网络安全等级保护基本要求 第,3,部分 移动互联安全扩展要求,GB/T 22239.1,信息安全技术 网络安全等级保护基本要求 第,4,部分 物联网安全扩展要求,GB/T 22239.1,信息安全技术 网络安全等级保护基本要求 第,5,部分 工业控制安全扩展要求,GB/T 22239.1,信息安全技术 网络安全等级保护基本要求 第,6,部分 大数据安全扩展要求,等保2.0为了适应移动互联、云计算、大数据、物联网和工业控制,信息安全等级保护工作的职责和角色,行业主管部门:,负责依照国家信息安全等级保护的管理规范和技术标准,督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。,公安机关:,非涉密信息系统等级保护具体工作的监督、检查、指导。,保密部门:,涉密信息系统等保工作的监督、检查、指导。,密码管理部门:,密码工作的监督、检查、指导。,国务院信息化工作办公室及地方信息化领导小组办事机构:,各部门间的工作协调。,测评机构:,对信息系统和信息安全产品进行等级保护测评,出具测评结论。,信息安全服务机构:,协助信息系统运营、使用单位完成安全保护等级、安全需求分析、安全总体规划、实施安全建设和安全改造等。,信息系统运营、使用单位,:,确定安全保护等级,安全保护的规划设计,定级进行等保测评,建立信息安全事件应急响应体系。,信息安全产品供应商:,开发符合等级保护相关要求的信息安全产品,按照等级保护相关要求销售信息安全产品并提供相关服务。,信息安全等级保护,信息安全等级保护工作的职责和角色行业主管部门:负责依照国家信,信息安全等级保护工作概述,定级,备案,整改,测评,检查,信息安全等级保护工作流程,1.,确定信息系统的安全防护等级,形成定级报告。,2.,持定级报告到当地公安机关网监部门进行备案。,3.,参照信息系统当前等级要求和标准,对信息系统进行整改加固。,4.,委托具备测评资质的测评机构对信息系统进行等级测评,形成正式的测评报告。,5.,向当地公安机关网监部门提交测评报告,配合完成对信息安全等级保护实施情况的检查。,信息安全等级保护工作概述定级备案整改测评检查信息安全等级保护,信息安全等级保护,定级,定义,由信息系统运营单位确定信息系统的安全保护等级。,1,由运营单位业务部门确定实施信息安全等级保护的信息系统。,2,参照定级标准和流程获得信息等级的安全保护等级信息。,3,最终形成信息系统安全保护等级确认报告。,信息安全等级保护定级定义由信息系统运营单位确定信息系统的安,定级参考信息,业务信息安全保护等级矩阵表,业务信息安全被破坏时所侵害的客体,对相应客体的侵害程度,一般损害,严重损害,特别严重损害,公司、法人和其他组织的合法利益,第一级,第二级,第二级,社会秩序、公共利益,第二级,第三级,第四级,国家安全,第三级,第四级,第四级,系统服务安全保护等级矩阵表,系统服务安全被破坏时所侵害的客体,对相应客体的侵害程度,一般损害,严重损害,特别严重损害,公司、法人和其他组织的合法利益,第一级,第二级,第二级,社会秩序、公共利益,第二级,第三级,第四级,国家安全,第三级,第四级,第四级,定级参考信息业务信息安全保护等级矩阵表业务信息安全被破坏时所,定级流程,1.,确定定级对象,2.,确定业务信息安全受到破坏时所侵害的客体,3.,综合评定对客体的侵害程度,4.,业务信息安全等级(,S,),5.,确定系统服务安全受到破坏时所侵害的客体,6.,综合评定对客体的侵害程度,7.,系统服务安全等级(,A,),8.,定级对象的安全保护等级(,S,x,A,x,G,x,),定级流程1.确定定级对象2.确定业务信息安全受到破坏时所侵害,信息安全等级保护,备案,定义,由信息系统运营单位持定级报告到当地公安机关网监部门进行信息系统安全保护等级信息备案。,1,按照运营单位所在地确定受理备案的机构(省公安厅,/,市公安局)。,2,由运营单位填写信息系统安全等级保护备案表格。,3,提交备案表格,获得备案回执信息(通过审核,/,限期整改)。,信息安全等级保护备案定义由信息系统运营单位持定级报告到当地,信息安全等级保护,整改,定义,按照信息系统已备案的等级信息,参照信息安全等级保护基本要求,组织开展差距分析及整改加固的相关工作。,由信息系统运营单位开展自查及整改工作,不断完善信息安全等级保护的各项要求。,委托具备测评资质的测评机构开展信息系统安全等级保护差距分析,配合运营单位完成整改及安全加固工作。,信息安全等级保护整改定义按照信息系统已备案的等级信息,参照,信息安全等级保护,测评,定义,委托具备测评资质的第三方测评机构,对已定级的信息系统进行信息安全等级保护测评,并出具正式的测评报告和测评结论。,1,明确被测评系统的安全保护等级,制定测评方案和实施计划。,2,由运营单位配合完成测评过程中的人员访谈、配置检查、安全测试等工作。,3,出具最终的测评报告和测评结论(符合,/,基本符合,/,不符合)。,信息安全等级保护测评定义委托具备测评资质的第三方测评机构,,测评实施流程,等级测评项目启动,信息收集与分析,工具和表单准备,测评准备活动,测评对象确定,测评指标确定,测评内容确定,工具测评方法确定,测评指导书开发,测评方案编制,方案编制活动,现场测评准备,现场测评和结果记录,结果确认和资料归还,现场测评活动,单项测评结果判定,单元测评结果判定,整体测评,风险分析,等保测评结论形成,测评报告编制,报告编制活动,沟通与洽谈,测评实施流程等级测评项目启动信息收集与分析工具和表单准备测评,信息安全等级保护,检查,定义,公安机关网监部门定期对信息系统运营单位的信息安全等级保护实施情况进行检查和监督。,1,第三级信息系统每年一次;,第四级信息系统每半年一次。,2,检查内容包括:定级备案情况、安全整改情况、安全管理制度建设和落实情况、测评实施情况等。,3,由公安机关网监部门出具检查报告或整改通知书。,信息安全等级保护检查定义公安机关网监部门定期对信息系统运营,信息安全等级保护基本要求,安全运维管理,系统建设管理,信息安全等级保护基本要求,物理和环境安全,网络和通信安全,设备和计算安全,安全策略和管理制度,安全管理机构和人员,应用和数据安全,安全建设管理,技术要求,管理要求,信息安全等级保护基本要求安全运维管理系统建设管理信息安全等级,安全通用技术要求,技术要求,物理和环境安全,物理位置的选择,物理访问控制,防盗窃和防破坏,防雷,/,火,/,水,/,潮,防静电,温湿度控制,电力供应,电磁防护,网络和通信安全,网络架构,通信传输,边界防护,访问控制,入侵防范,恶意代码防范,安全设计,集中管控,设备与计算安全,身份鉴别,访问控制,安全审计,入侵防范,恶意代码防范,资源控制,应用和数据安全,身份鉴别,访问控制,安全审计,软件容错,资源控制,数据完整性,数据保密性,数据备份恢复,剩余信息保护,个人信息保护,安全通用技术要求技术要求物理和环境安全物理位置的选择物理访问,典型等级保护安全技术方案,典型等级保护安全技术方案,等级保护二,/,三级关键点说明,二级,技术方面,安全审计、边界完整性检查、入侵防范、资源控制以及通信保密性控制点,网络安全,不仅要满足网络安全运行的基本保障,同时要考虑网络处理能力要满足业务极限时的需要,加强了网络边界的防护,增加了安全审计、边界完整性检查、入侵防范等控制点,对网络设备的防护不仅局限于简单的身份鉴别,同时对标识和鉴别信息都有了相应的要求,三级,是等级保护二级要求的扩展加强,三级要求主干链路冗余,设备性能有冗余,技术方面,网络恶意代码防范、剩余信息保护、抗抵赖,访问控制增加了,对重要新信息资源设置敏感标记,对身份鉴别、访问控制、安全审计、数据完整性、数据保密等均有更进一步的要求,网络安全,对网络处理能力增加了“优先级”考虑,保证重要主机能够在网络拥堵时仍能狗正常运行,网络边界的,访问控制扩展到应用层,,网络边界的其他防护措施进一步增强,不仅能够被动的“防”,还应能够主动发出一些动作,如报警、阻断等,网络设备的防护手段要求两种身份鉴别技术综合使用,等级保护二/三级关键点说明二级技术方面安全审计、边界完整性检,三级等保实施方案(通用),三级系统安全保护环境基本要求与对应产品,使用范围,基本要求,产品类型举例,安全计算环境,网络结构(,VLAN,划分),三层交换机(防火墙),MPLS VPN,访问控制(权限分离),主机核心加固系统,入侵防范(检测告警),主机入侵检测产品,备份恢复(数据备份),设备冗余、本地备份(介质场外存储),数据完整性、保密性,VPN,设备,剩余信息管理,终端综合管理系统,身份认证(双因素),证书、令牌、保密卡,恶意代码防范(统一管理),网络版主机防病毒软件,安全区域边界,区域边界访问控制(协议检测),防火墙(,IPS,),资源控制(优先级控制),带宽管理、流量控制设备,区域边界入侵检测,IDS,区域边界恶意代码防范,防病毒网关,沙箱,区域边界完整性保护,终端综合管理系统,安全通信网络,通信网络安全审计,上网行为管理,数据传输完整性、保密性保护,VPN,设备,安全管理中心,系统管理,安全管理平台,审计管理(网络、主机、应用),安全审计系统,三级等保实施方案(通用)三级系统安全保护环境基本要求与对应产,云等保要点梳理,在云计算环境中,应将云服务方侧的云计算平台单独作为顶级对象定级,云租户侧的等级保护对象也应作为单独的顶级对象定级,对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象,云平台上需要划分资源池,资源池之间隔离,三级(含)以下,逻辑隔离,四级,物理隔离,云平台开放安全接口,虚拟机只能在同级别的资源池内迁移,云服务方对云租户系统和数据的操作可被云租户审计,虚拟机之间可以设置访问控制策略,不同等级的网络边界应有访问控制措施和设备,如虚拟防火墙、防火墙、网闸等,云等保要点梳理在云计算环境中,应将云服务方侧的云计算平台单独,请专家批评指正!,请专家批评指正!,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > PPT模板库


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!