200 元
下载资源

信息安全工程和等级保护ppt课件

上传人:钟*** 文档编号:1260627 上传时间:2019-10-12 格式:PPT 页数:53 大小:3.16MB
返回 下载 相关 举报
信息安全工程和等级保护ppt课件_第1页
第1页 / 共53页
信息安全工程和等级保护ppt课件_第2页
第2页 / 共53页
信息安全工程和等级保护ppt课件_第3页
第3页 / 共53页
点击查看更多>>
资源描述
第六章 信息安全工程与等级保护,1,本章学习目标,了解信息安全等级的划分与特征; 了解等级保护在信息安全工程的实施; 熟悉信息安全系统等级确定方法;,2,6.1等级保护概述,1994年国务院颁发中华人民共和国计算机信息系统安全保护条例规定“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”,3,6.1等级保护概述,2007年,公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合发布“关于印发信息安全等级保护管理办法的通知” (公通字200743号), 信息安全等级保护管理办法开始正式实施。,4,相关标准,信息系统安全等级保护定级指南 信息系统安全等级保护实施指南 信息系统安全等级保护测评过程指南 信息系统安全等级保护测评要求 信息系统安全等级保护基本要求 信息系统等级保护安全设计技术要求 GB17859-1999计算机信息系统安全保护等级划分准则,5,信息安全等级保护制度的原则,在关于信息安全等级保护工作的实施意见 公通字200466号 文件中明确了信息安全等级保护制度的原则, (一)明确责任,共同保护。 通过等级保护,组织和动员国家、法人和其他组织、公民共同参与信息安全保护工作;各方主体按照规范和标准分别承担相应的、明确具体的信息安全保护责任。,6,信息安全等级保护制度的原则,(二)依照标准,自行保护。 国家运用强制性的规范及标准,要求信息和信息系统按照相应的建设和管理要求,自行定级、自行保护。 (三)同步建设,动态调整。 信息系统在新建、改建、扩建时应当同步建设信息安全设施,保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。,7,信息安全等级保护制度的原则,(四)指导监督,重点保护。 国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式,对重要信息和信息系统的信息安全保护工作进行指导监督。国家重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统,主要包括:国家事务处理信息系统(党政机关办公系统);财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统;教育、国家科研等单位的信息系统;公用通信、广播电视传输等基础信息网络中的信息系统;网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。,8,信息系统的安全保护等级划分,信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 信息系统的安全保护等级分为五级,9,第一级为自主保护级 ,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。,10,第二级为指导保护级 ,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。,11,第三级为监督保护级 ,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。,12,第四级为强制保护级 ,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。,13,第五级为专控保护级 ,信息系统受到破坏后,会对国家安全造成特别严重损害。 第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。,14,注意等保分级与GB17859计算机信息系统安全保护等级划分的区分,两者划分准则不一样 等保分级,是根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素划分五个等级。 GB17859计算机信息系统安全保护等级划分,是规定计算机系统安全保护能力的五个等级 两者没有直接的对应关系,15,GB 17859-1999 计算机信息系统安全保护等级划分准则,16,GB 17859-1999 计算机信息系统安全保护等级划分准则,17,GB 17859-1999 计算机信息系统安全保护等级划分准则,18,GB 17859-1999 计算机信息系统安全保护等级划分准则,19,GB 17859-1999 计算机信息系统安全保护等级划分准则,20,GB 17859-1999 计算机信息系统安全保护等级划分准则,21,6.2信息系统等级保护定级,GB/T 22240-2008信息系统安全等级保护定级指南,对客体的侵害程度,受侵害的客体,22,23,定级的一般流程,24,25,26,27,28,确定定级对象,29,30,31,32,构造定级工作表,33,构造定级工作表,34,构造定级工作表,35,构造定级工作表,36,构造定级工作表,37,构造定级工作表,以系统破坏后损害的后果作为表格的行,以侵害客体的事项为列,构造定级工作表,对系统破坏后的客体的损害程度进行量化分析 0分表示对该表中描述的客体没有造成损害 1分表示对该表中描述的客体造成一般损害 2分表示对该表中描述的客体造成严重损害 3分表示对该表中描述的客体造成特别严重损害,38,对表中的分值进行综合分析,如定级评分表中的分数均为0,则该客体的损害程度为0; 如定级评分表中的分数不全为0,且最高分的数量不超过30%(经验值,可根据实际需求调整),则以最高分为该题可的损害程度 如定级评分表中的分数不全为0,且最高分的数量超过30%,则以该最高分加1为该客体的损害程度,但加1后的定级分数最高不得超过3分,39,6.3等级保护在信息安全工程中的实施,40,定级工作中的系统识别与划分,一 系统识别和描述 1识别信息系统的基本信息:行业特征、主管机构、业务范围、地理位置、背景信息、联络方式 2识别信息系统的管理框架:组织管理机构、管理策略、部门设置、部门职责、责任主体 3识别信息系统的网络及设备部署:物理环境、拓扑结构、硬件部署、边界划分 4识别信息系统的业务种类和特性:业务种类和数量、业务内容和流程、社会属性 5识别业务系统处理的信息资产:资产类型、保密性、完整性、可用性要求 6识别用户范围和用户类型,41,定级工作中的系统识别与划分,信息系统描述,42,定级工作中的系统识别与划分,二信息系统划分 将一个组织内的大型信息系统进行划分,划分出相对独立的信息系统并作为定级对象,应保证每个相对独立的信息系统具备定级对象的基本特征。在信息系统划分的过程中,应该首先考虑组织管理的要素,然后考虑业务类型、物理区域等要素。,43,总体安全规划,一 安全需求分析 根据信息系统的安全保护等级,判断信息系统现有的安全保护水平与国家等级保护管理规范和技术标准之间的差距,提出信息系统的基本安全保护需求。 1确定系统范围和分析对象 2形成评价指标和评估方案 3现状与评价指标对比 4额外/特殊安全需求的确定,44,45,总体安全规划,二 总体安全设计 1总体安全策略设计 确定安全方针(使命、意愿、目标、职责、运行模式等),制定安全策略 2安全技术体系结构设计 规定骨干网/城域网的安全保护技术措施 规定子系统之间互联的安全技术措施 规定不同级别子系统的边界保护技术措施 规定不同级别子系统内部系统平台和业务应用的安全保护技术措施 规定不同级别信息系统机房的安全保护技术措施,46,总体安全规划,二 总体安全设计 3整体安全管理体系结构设计 规定信息安全的组织管理体系和对各信息系统的安全管理职责 规定各等级信息系统的人员安全管理策略 规定各等级信息系统机房及办公区等物理环境的安全管理策略 规定各等级信息系统介质、设备等的安全管理策略 规定各等级信息系统运行安全管理策略 规定各等级信息系统安全事件处置和应急管理策略,47,总体安全规划,三安全建设项目规划 1信息化建设中长期发展规划和安全需求调查 2提出信息系统安全建设分阶段目标 3确定主要安全建设内容(基础设施、网络安全、系统安全、应用安全、数据安全、人才培养、管理体系等) 4 确定主要安全建设项目,48,安全设计与实施,一安全方案详细设计 1 结构框架设计:防护层次、产品使用、网络子系统划分、IP地址规划等 2 功能要求设计:防火墙、VPN、网闸、认证网关、代理服务器、网络防病毒、PKI等,以及需要开发的安全控制组件等的功能指标要求 3 性能要求设计 4 部署方案设计:部署位置、连接方式、地址分配等 5 管理措施实现内容设计:机构、人员、制度、技能等,49,安全设计与实施,二 管理和技术措施实现 1管理机构和人员的设置 2管理制度的建设和修订 3人员安全技能的培训 4安全实施的过程管理 5信息安全产品采购 6安全控制开发 7安全控制集成 8系统验收,50,安全运行与维护,1 运行管理和控制 2 变更管理和控制 3 安全状态监控 4 安全事件处置和应急预案 5 安全检查和持续改进 6 等级测评 7 系统备案 8 监督检查,51,信息系统终止,1信息转移、暂存和清除 2设备迁移和废弃 3存储介质的清除或销毁,52,习题和思考题,作业 1 等保标准将信息系统划分为几级?划分依据是什么? 2 等保定级对象应该满足什么特征?如何划分信息系统定级对象?,53,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 图纸设计 > 毕设全套


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!