10 元
下载资源

最新信息安全等级保护政策体系专业知识讲座

上传人:痛*** 文档编号:243908013 上传时间:2024-10-01 格式:PPT 页数:36 大小:942KB
返回 下载 相关 举报
最新信息安全等级保护政策体系专业知识讲座_第1页
第1页 / 共36页
最新信息安全等级保护政策体系专业知识讲座_第2页
第2页 / 共36页
最新信息安全等级保护政策体系专业知识讲座_第3页
第3页 / 共36页
点击查看更多>>
资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,文档来源于网络,文档所提供的信息仅供参考之用,不能作为科学依据,请勿模仿。文档如有不当之处,请联系本人或网站删除。,信息安全等级保护政策体系和标准体系,第,2,部分,1.,信息安全等级保护政策体系,(,1,)总体方面的政策文件,关于信息安全等级保护工作的实施意见,(公通字,200466,号),信息安全等级保护管理办法,(公通字,200743,号),(,2,)具体环节的政策文件,对应等级保护工作的具体环节(信息系统定级、备案、,安全建设整改、等级测评、安全检查),公安部出台了,相应的政策规范。,信息安全等级保护政策体系和标准体系,第,2,部分,2.,信息安全等级保护标准体系,(,1,)信息安全等级保护相关标准类别,基础类标准,计算机信息系统安全保护等级划分准则,(,GB178591999,),应用类标准,1,)信息系统定级,信息系统安全保护等级定级指南,(,GB/T 222402008,)。,2,)等级保护实施,信息系统安全等级保护实施指南,(信安字,200710,号)。,信息安全等级保护政策体系和标准体系,第,2,部分,2.,信息安全等级保护标准体系,应用类标准,3,)信息系统安全建设,信息系统安全等级保护基本要求,(,GB/T 222392008,),信息系统通用安全技术要求,(,GB/T 202712006,);,信息系统等级保护安全设计技术要求,(,GB/T248562009,);,信息系统安全管理要求,(,GB/T 202692006,);,信息系统安全工程管理要求,(,GB/T 202822006,);,信息系统物理安全技术要求,(,GB/T 210522007,);,网络基础安全技术要求,(,GB/T 202702006,);,信息系统安全等级保护体系框架,(,GA/T 7082007,);,信息系统安全等级保护基本模型,(,GA/T 7092007,);,信息系统安全等级保护基本配置,(,GA/T 7102007,)。,信息安全等级保护政策体系和标准体系,第,2,部分,2.,信息安全等级保护标准体系,(,1,)信息安全等级保护相关标准类别,应用类标准,4,)等级测评,信息系统安全等级保护测评要求,(报批稿),信息系统安全等级保护测评过程指南,(报批稿);,信息系统安全管理测评,(,GA/T 7132007,)。,信息安全等级保护政策体系和标准体系,第,2,部分,2.,信息安全等级保护标准体系,(,1,)信息安全等级保护相关标准类别,产品类标准,1,)操作系统,操作系统安全技术要求,(,GB/T 202722006,),操作系统安全评估准则,(,GB/T 200082005,),2,)数据库,数据库管理系统安全技术要求,(,GB/T 202732006,),数据库管理系统安全评估准则,(,GB/T 200092005,),信息安全等级保护政策体系和标准体系,第,2,部分,2.,信息安全等级保护标准体系,(,1,)信息安全等级保护相关标准类别,产品类标准,3,)网络,网络端设备隔离部件技术要求,(,GB/T 202792006,),网络端设备隔离部件测试评价方法,(,GB/T 202772006,);,网络脆弱性扫描产品技术要求,(,GB/T 202782006,);,网络脆弱性扫描产品测试评价方法,(,GB/T 202802006,);,网络交换机安全技术要求,(,GA/T 6842007,);,虚拟专用网安全技术要求,(,GA/T 6862007,)。,信息安全等级保护政策体系和标准体系,第,2,部分,2.,信息安全等级保护标准体系,(,1,)信息安全等级保护相关标准类别,产品类标准,4,),PKI,公钥基础设施安全技术要求,(,GA/T 6872007,),PKI,系统安全等级保护技术要求,(,GB/T 210532007,),5,)网关,网关安全技术要求,(,GA/T 6812007,),6,)服务器,服务器安全技术要求,(,GB/T 210282007,),7,)入侵检测,入侵检测系统技术要求和检测方法,(,GB/T 202752006,),计算机网络入侵分级要求,(,GA/T 7002007,),信息安全等级保护政策体系和标准体系,第,2,部分,2.,信息安全等级保护标准体系,(,1,)信息安全等级保护相关标准类别,产品类标准,8,)防火墙,防火墙安全技术要求,(,GA/T 6832007,),防火墙技术测评方法,(报批稿);,信息系统安全等级保护防火墙安全配置指南,(报批稿);,9,)路由器,路由器安全技术要求,(,GB/T 180182007,),路由器安全评估准则,(,GB/T 200112005,);,路由器安全测评要求,(,GA/T 6822007,)。,信息安全等级保护政策体系和标准体系,第,2,部分,2.,信息安全等级保护标准体系,(,1,)信息安全等级保护相关标准类别,产品类标准,10,)交换机,网络交换机安全技术要求,(,GB/T 210502007,)、,交换机安全测评要求,(,GA/T 6852007,)。,11,)其他产品,终端计算机系统安全等级技术要求,(,GA/T 6712006,)、,终端计算机系统测评方法,(,GA/T 671-2006,);,审计产品技术要求和测评方法,(,GB/T 209452006,);,虹膜特征识别技术要求,(,GB/T 209792007,);,虚拟专网安全技术要求,(,GA/T 6862007,);,应用软件系统安全等级保护通用技术指南,(,GA/T 7112007,);,应用软件系统安全等级保护通用测试指南,(,GA/T 7122007,);,网络和终端设备隔离部件测试评价方法,(,GB/T 202772006,);,网络脆弱性扫描产品测评方法,(,GB/T 202802006,)。,信息安全等级保护政策体系和标准体系,第,2,部分,2.,信息安全等级保护标准体系,他类标准,1,)风险评估,信息安全风险评估规范,(,GB/T 209842007,)。,2,)事件管理,信息安全事件管理指南,(,GB/Z 209852007,);,信息安全事件分类分级指南,(,GB/Z 209862007,);,信息系统灾难恢复规范,(,GB/T 209882007,)。,第,2,部分,3.,相关标准与等级保护各工作环节的关系,基础,标准,安全要求类,标准,定级类,标准,方法指导类,标准,等级,保护实施的基本原则、参与角色和信息系统定级、总体安全规划、安全设计,与实施,、安全运行与维护、信息系统,终止,安全计算环境、安全区域边界、安全通信网络和安全管理中心的设计要求及以及定级系统互联的设计技术,要求。,现状分析类标准,信息安全等级保护政策体系和标准体系,第,2,部分,4.,在应用有关标准中需要注意的几个问题,(,1,),基本要求,是信息系统安全建设整改的基本目标,,信息系统等级保护安全设计技术要求,是实现该目标的方法和途径之一。,(,2,)由于信息系统定级时是根据,业务信息安全等级,和,系统服务安全等级,确定的系统安全等级,因此,在进行信息系统安全建设整改时,应根据业务信息安全等级和系统服务安全等级确定,基本要求,中相应的安全保护要求。,(,3,),信息系统等级保护安全设计技术要求,依据,计算机信息系统安全保护等级划分准则,,从“,计算环境安全、区域边界安全、通信网络安全和安全管理中心,”(一个中心三维防护)四个方面给出了五个级别信息系统安全保护设计的技术要求,用于指导信息系统等级保护安全技术设计。,信息安全等级保护政策体系和标准体系,第,2,部分,5.,信息安全等级保护主要标准简要说明,(,1,),计算机信息系统安全保护等级划分准则,(,GB178591999,),1,)主要作用,规范,和指导计算机信息系统安全保护有关标准的制定,;,为,安全产品的,研究开发,提供技术支持,;,为监督检查提供,依据。,2,)主要内容,界定计算机信息系统基本,概念,;,信息系统,安全保护能力五级,划分;,从自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、,数据完整性,、隐蔽信道分析、可信路径、可信恢复等十个方面,采取逐级增强的方式,提出了,计算机信息系统的安全保护技术要求。,3,)使用,说明,信息安全等级保护政策体系和标准体系,第,2,部分,5.,信息安全等级保护主要标准简要说明,(,2,),信息系统安全等级保护基本要求,(,GB/T222392008,),1),主要作用,不同安全保护等级的信息系统有着不同的安全需求,为此,针对不同等级的信息系统提出了相应,的基本安全保护要求,各个级别信息系统的安全保护要求构成了,信息系统安全等级保护基本要求,。,2),主要内容,采纳其中的身份鉴别、数据完整性、自主访问控制、强制访问控制、审计、客体重用(改为剩余信息保护)标记、可信路径等,8,个安全机制。,将这些机制根据各级的安全目标,扩展到网络层、主机系统层、应用层和数据层。,总体框架,保护要求的分级方法,保护措施分类,信息安全等级保护政策体系和标准体系,第,2,部分,5.,信息安全等级保护主要标准简要说明,(,2,),信息系统安全等级保护基本要求,(,GB/T222392008,),2),主要内容,总体框架,身份鉴别、自主访问控制、强制访问控制、安全审计、完整性和保密性保护、边界防护、恶意代码防范、密码技术应用等,以及物理环境和设施安全保护要求。,机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、安全监测、备份与恢复管理、应急处置管理、密码管理、安全审计管理等管理制度,信息安全等级保护政策体系和标准体系,第,2,部分,5.,信息安全等级保护主要标准简要说明,(,2,),信息系统安全等级保护基本要求,(,GB/T222392008,),2),主要内容,保护要求的分级,方法,安全,保护能力逐级增高,,相应,的,安全保护,要求,和措施逐级增强,网络恶意代码防范、剩余信息保护、抗抵赖,监控管理和安全管理中心,身份鉴别、访问控制、安全审计、数据完整性及保密性,安全管理制度评审、人员安全和系统建设过程管理,信息安全等级保护政策体系和标准体系,第,2,部分,5.,信息安全等级保护主要标准简要说明,(,2,),信息系统安全等级保护基本要求,(,GB/T222392008,),2),主要内容,保护措施,分类,信息安全等级保护政策体系和标准体系,第,2,部分,5.,信息安全等级保护主要标准简要说明,(,2,),信息系统安全等级保护基本要求,(,GB/T222392008,),3),使用说明,第,一级信息系统,的基本要求仅供用户参考,按照自主保护的,原则,采取必要的安全技术和管理,措施,给出了各级信息系统每一保护方面需要达到的要求,不是具体,的安全,建设整改方案或作业指导,书,不包含安全设计和工程实施等,内容,基本要求,综合了,信息系统物理安全技术要求,、,信息系统通用安全,技术要求,和,信息系统安全管理要求,的有关内容,,在,设计,建设整改方案时可参考。,按照整体安全的原则,综合考虑安全保护,措施。,信息安全等级保护政策体系和标准体系,第,2,部分,5.,信息安全等级保护主要标准简要说明,(,2,),信息系统安全等级保护基本要求,(,GB/T222392008,),使用说明,业务信息安全类(,S,类,),关注的是保护数据在存储、传输、处理过程中,不被,泄漏、破坏和免受未授权的修改。,系统服务安全类(,A,类),关注的是,保护系统,连续正常的运行,避免因对系统的未授权修改、破坏而导致系统不可用,。,通用安全,保护类,(,G,类),既关注保护业务信息的安全性,同时也关注保护系统的,连续可用性,。,信息安全等级保护政策体系和标准体系,第,2,部分,5.,信息安全等级保护主要标准简要说明,(,2,),信息系统安全等级保护基本要求,(,GB/T
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 管理文书 > 施工组织


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!