安全域和安全保护等级划分的原则ppt课件
合集下载
等级保护宣讲-ppt课件
第五阶段:由于公安的强势管理和重视安全的企业的自我觉醒,民企发现,做安全,除等保外没有别的选择。
部委
省厅单位
三甲医院、高校、央企 省属国企、大金融、运营商
地级市委办局、县委办局、普教 普通医院、市属国企、其他事业单位
民营企业包括:互联网、电子商务、小金融、 物流、具有品牌影响力的公司和其他规模公司
目前,全国范围内正在处于第三阶段,落后地区第二阶段还只完成部分,发达地区已经尝试从第三阶段迈入第四第五阶段。
1
背景知识
用户开展等级保护建设的意义
安全体系
责任分担
以等级保护为标准开展安全建设,让安全建设更加体系化,可以从物理、网络、主机、应用和数据多个方面成体系的进行安全建设,再也不是头痛医头脚痛医脚,对本单位的安全建设有整体的规划和思路。
安全建设体系化
责任更清晰
完成等保测评意味着公安机关认可你的安全现状,一旦发生安全事件是意外。如果没有进行等级保护测评意味着你没有达到国家要求,一旦发生安全事件要自己承担相关责任。
3
等保工作
3
等保工作
等保 工作
新系统上线、网络架构调整时,都要再重新做等保规划建设; 等保建设是持续性的,每年测评只要有问题,就要做整改。
等级保护建设中的角色
公安机关备案的测评机构
主要承担系统测评的工作,只有在当地公安机关备案的测评机构才可以开展测评工作。
集成商、安全厂商
根据咨询服务单位提供的整改方案,要采购相应的安全设备和服务,这些内容由集成商和安全厂商提供。
3
等保工作
等级保护的等级划分
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益; 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全; 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害; 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害; 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
部委
省厅单位
三甲医院、高校、央企 省属国企、大金融、运营商
地级市委办局、县委办局、普教 普通医院、市属国企、其他事业单位
民营企业包括:互联网、电子商务、小金融、 物流、具有品牌影响力的公司和其他规模公司
目前,全国范围内正在处于第三阶段,落后地区第二阶段还只完成部分,发达地区已经尝试从第三阶段迈入第四第五阶段。
1
背景知识
用户开展等级保护建设的意义
安全体系
责任分担
以等级保护为标准开展安全建设,让安全建设更加体系化,可以从物理、网络、主机、应用和数据多个方面成体系的进行安全建设,再也不是头痛医头脚痛医脚,对本单位的安全建设有整体的规划和思路。
安全建设体系化
责任更清晰
完成等保测评意味着公安机关认可你的安全现状,一旦发生安全事件是意外。如果没有进行等级保护测评意味着你没有达到国家要求,一旦发生安全事件要自己承担相关责任。
3
等保工作
3
等保工作
等保 工作
新系统上线、网络架构调整时,都要再重新做等保规划建设; 等保建设是持续性的,每年测评只要有问题,就要做整改。
等级保护建设中的角色
公安机关备案的测评机构
主要承担系统测评的工作,只有在当地公安机关备案的测评机构才可以开展测评工作。
集成商、安全厂商
根据咨询服务单位提供的整改方案,要采购相应的安全设备和服务,这些内容由集成商和安全厂商提供。
3
等保工作
等级保护的等级划分
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益; 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全; 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害; 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害; 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
安全域介绍
*逻辑整合是指对系统的、安全域的逻辑边界进行
整合,使其具有清晰、完整地逻辑边界, 便于进 行安全管理、安全防护、安全控制。
*
* 边界整合指导思想 简化边界 通过对系统的综合分析、
结合安全域划分,对系统、安全域的边界进行合并、简 化,使系统、安全域的 边界简洁、清晰、完整。 利于 防护 通过对系统、安全域的逻辑边界整合,应促进和落 实对系统、安全域的安全防护策略,便于部署安全防 护 措施,并能够使安全防护措施发挥有效的作用,使其不 被绕过。
*安全域:安全域是由在同一工作环境中、具有相
同戒相似的安全保护需求和保护策略、相 互信任、 相互关联戒相互作用的IT要素的集合。
*
* 物理网络区域 依照相同的物理位置定义的网络区域。
如:办公区域、远程办公区域等
*
网络功能区域以功能为标准划分的网络功能区域。如: 互联网区域、办公网区域等
* 网络安全区域 指网络系统中具有相同安全要求,达到
* 通常情况下,安全域的边界既是网络通信边界,又是
应用通信边界。这样,既简化了安全 域的边界,又便 于防护策略的说明以及防护技术措施的部署。
*整合对象 *按照安全域划分的思想,边界整合的对象包拪本
系统的安全域边界、本系统边界、本组织若干信 息系统的边界。
*整合内容 *整合的内容覆盖了两个层次,既系统级和安全域
理和控制;
* 对访问关键业务的终端接入的网络管理比较混乱,缺乏有效
控制。
* 无法有效隑离不同业务系统,跨业务系统的非授权互
访难于发现和控制;
* 无法及时有效控制入侵行为和网络病毒的对业务区域
的影响;
* 不能及时的发现安全事件并作出响应; * 第三方维护人员大量参不生产系统维护时的没有进行
整合,使其具有清晰、完整地逻辑边界, 便于进 行安全管理、安全防护、安全控制。
*
* 边界整合指导思想 简化边界 通过对系统的综合分析、
结合安全域划分,对系统、安全域的边界进行合并、简 化,使系统、安全域的 边界简洁、清晰、完整。 利于 防护 通过对系统、安全域的逻辑边界整合,应促进和落 实对系统、安全域的安全防护策略,便于部署安全防 护 措施,并能够使安全防护措施发挥有效的作用,使其不 被绕过。
*安全域:安全域是由在同一工作环境中、具有相
同戒相似的安全保护需求和保护策略、相 互信任、 相互关联戒相互作用的IT要素的集合。
*
* 物理网络区域 依照相同的物理位置定义的网络区域。
如:办公区域、远程办公区域等
*
网络功能区域以功能为标准划分的网络功能区域。如: 互联网区域、办公网区域等
* 网络安全区域 指网络系统中具有相同安全要求,达到
* 通常情况下,安全域的边界既是网络通信边界,又是
应用通信边界。这样,既简化了安全 域的边界,又便 于防护策略的说明以及防护技术措施的部署。
*整合对象 *按照安全域划分的思想,边界整合的对象包拪本
系统的安全域边界、本系统边界、本组织若干信 息系统的边界。
*整合内容 *整合的内容覆盖了两个层次,既系统级和安全域
理和控制;
* 对访问关键业务的终端接入的网络管理比较混乱,缺乏有效
控制。
* 无法有效隑离不同业务系统,跨业务系统的非授权互
访难于发现和控制;
* 无法及时有效控制入侵行为和网络病毒的对业务区域
的影响;
* 不能及时的发现安全事件并作出响应; * 第三方维护人员大量参不生产系统维护时的没有进行
等级保护相关基础知识ppt课件
原则一:自主定级原则。“依照标准,自行保护”, 因此定级工作必须由单位依照相关法律规范和标准来 自行定级。定级工作的责任主体为信息系统主管单位。
原则二:满足国家管理要求原则。信息系统安全保护 等级既不是信息系统安全保障等级,也不是信息系统 所能达到的技术能力等级,而是从国家管理的需要出 发,立足信息系统对国家安全、经济建设、公共利益 等方面的重要性角度,及信息或信息系统被破坏后造 成危害的严重性角度来确定的信息系统应达到的安全 等级。
13
五、实施等级保护工作的主要阶段
第一阶段:系统定级 第二阶段:定级评审 第三阶段:系统备案 第四阶段:等级测评、整改 第五阶段:安全管理、建设
14
第一阶段:系统定级
信息系统使用单位按照等级保护的管理规范和技术标 准,确定其信息系统的安全保护等级,并报其主管部 门审批同意。
系统涉及国家秘密的部分按照《涉密信息系统分级保 护管理办法》(国保发[2005]16号)和《涉及国家秘密的 信息系统分级保护技术要求》(国家保密标准BMBl72006)确定信息系统的安全保护等级。跨市或者全省 统一联网运行的信息系统可以由主管部门统一确定安 全保护等级。
二级以上的信息系统,由使用单位报送本地区地市级 公安机关备案。跨地域的信息系统由其主管部门向其 所在地的同级公安机关进行总备案,分系统分别由当 地运营、使用单位向本地地市级公安机关备案。
27
第四阶段:安全等级测评与整改
评测单位依照《信息系统安全等级保护基本要求》、 《信息安全等级保护实施指南》、《信息系统安全等 级保护测评准则》等标准对信息系统进行安全等级测 评,给出相应的系统安全检测评估报告。
等级保护相关基础知识
1
一、相关概念
信息网络安全:指计算机网络硬件设备、软件、数据 不因偶然的或恶意的原因而遭到破坏、更改、泄漏。 包括:基础信息网络和重要信息系统。
原则二:满足国家管理要求原则。信息系统安全保护 等级既不是信息系统安全保障等级,也不是信息系统 所能达到的技术能力等级,而是从国家管理的需要出 发,立足信息系统对国家安全、经济建设、公共利益 等方面的重要性角度,及信息或信息系统被破坏后造 成危害的严重性角度来确定的信息系统应达到的安全 等级。
13
五、实施等级保护工作的主要阶段
第一阶段:系统定级 第二阶段:定级评审 第三阶段:系统备案 第四阶段:等级测评、整改 第五阶段:安全管理、建设
14
第一阶段:系统定级
信息系统使用单位按照等级保护的管理规范和技术标 准,确定其信息系统的安全保护等级,并报其主管部 门审批同意。
系统涉及国家秘密的部分按照《涉密信息系统分级保 护管理办法》(国保发[2005]16号)和《涉及国家秘密的 信息系统分级保护技术要求》(国家保密标准BMBl72006)确定信息系统的安全保护等级。跨市或者全省 统一联网运行的信息系统可以由主管部门统一确定安 全保护等级。
二级以上的信息系统,由使用单位报送本地区地市级 公安机关备案。跨地域的信息系统由其主管部门向其 所在地的同级公安机关进行总备案,分系统分别由当 地运营、使用单位向本地地市级公安机关备案。
27
第四阶段:安全等级测评与整改
评测单位依照《信息系统安全等级保护基本要求》、 《信息安全等级保护实施指南》、《信息系统安全等 级保护测评准则》等标准对信息系统进行安全等级测 评,给出相应的系统安全检测评估报告。
等级保护相关基础知识
1
一、相关概念
信息网络安全:指计算机网络硬件设备、软件、数据 不因偶然的或恶意的原因而遭到破坏、更改、泄漏。 包括:基础信息网络和重要信息系统。
等级保护分级保护政策学习PPT课件
等级保护配套标准:
《计算机信息系统安全保护等级划分准则》(GB 17859-1999); 《信息系统通用安全技术要求》(GB/T20271);
《网络基础安全技术要求》(GB/T20270);
《操作系统安全技术要求》(GB/T20272); 《数据库管理系统安全技术要求》(GB/T20273); 《终端计算机系统安全等级技术要求》(GA/T671); 《信息系统安全管理要求》(GB/T20269); 《信息系统安全工程管理要求》(GB/T20282)。
标准(三)
分级保护标准:
《涉及国家秘密的信息系统分级保护技术要求》(BMB17-2006); 《涉及国家秘密的信息系统工程监理规范》(BMB18-2006);
《涉及国家秘密的信息系统分级保护管理规范》(BMB20-2007);
《涉及国家秘密的信息系统分级保护测评指南》(BMB22-2007); 《涉及国家秘密的信息系统分级保护方案设计指南》(BMB23-2008)。
在分级保护方面,国家保密局发布了《涉及国家秘密的信息系统分级保护管理
办法》(国保发[2005]16号),之后陆续发布了《涉及国家秘密的信息系统分 级保护技术要求》、《涉及国家秘密的信息系统分级保护管理规范》、《涉及 国家秘密的信息系统分级保护方案设计指南》、《涉及国家秘密的信息系统分 级保护测评指南》等一系列分级保护的国家保密标准。
标准(一)
等级保护主要标准:
《信息系统安全等级保护定级规范》”(国标报批稿);
《信息系统安全等级保护基本要求》(国标报批稿);
《信息系统安全等级保护实施指南》(国标报批稿); 《信息系统安全等级保护测评规范》(国标报批稿); 《电子政务信息安全等级保护实施指南》(试用稿)。
《计算机信息系统安全保护等级划分准则》(GB 17859-1999); 《信息系统通用安全技术要求》(GB/T20271);
《网络基础安全技术要求》(GB/T20270);
《操作系统安全技术要求》(GB/T20272); 《数据库管理系统安全技术要求》(GB/T20273); 《终端计算机系统安全等级技术要求》(GA/T671); 《信息系统安全管理要求》(GB/T20269); 《信息系统安全工程管理要求》(GB/T20282)。
标准(三)
分级保护标准:
《涉及国家秘密的信息系统分级保护技术要求》(BMB17-2006); 《涉及国家秘密的信息系统工程监理规范》(BMB18-2006);
《涉及国家秘密的信息系统分级保护管理规范》(BMB20-2007);
《涉及国家秘密的信息系统分级保护测评指南》(BMB22-2007); 《涉及国家秘密的信息系统分级保护方案设计指南》(BMB23-2008)。
在分级保护方面,国家保密局发布了《涉及国家秘密的信息系统分级保护管理
办法》(国保发[2005]16号),之后陆续发布了《涉及国家秘密的信息系统分 级保护技术要求》、《涉及国家秘密的信息系统分级保护管理规范》、《涉及 国家秘密的信息系统分级保护方案设计指南》、《涉及国家秘密的信息系统分 级保护测评指南》等一系列分级保护的国家保密标准。
标准(一)
等级保护主要标准:
《信息系统安全等级保护定级规范》”(国标报批稿);
《信息系统安全等级保护基本要求》(国标报批稿);
《信息系统安全等级保护实施指南》(国标报批稿); 《信息系统安全等级保护测评规范》(国标报批稿); 《电子政务信息安全等级保护实施指南》(试用稿)。
等保培训PPT课件
21
各级系统的保护要求差异
一级系统
计划和跟踪(主要制度)
二级系统
计划和跟踪(主要制度)
三级系统
良好定义(管理活动制度化)
四级系统
持续改进(管理活动制度化/及时改进)
22
构建系统模型_技术模型
应用系统
医疗
教育
科研
管理
主机系统
网络系统 物理环境
Web 服务 Mail 服务 数据库 多媒体平台 中间件 ……
32
物理安全
公通字[2007]43号文 测评周期要求 ➢ 第三级信息系统应当每年至少进行一次等级测评; ➢ 第四级信息系统应当每半年至少进行一次等级测评; ➢ 第五级信息系统应当依据特殊安全需求进行等级测评。 自查周期要求 ➢ 第三级信息系统应当每年至少进行一次自查; ➢ 第四级信息系统应当每半年至少进行一次自查; ➢ 第五级信息系统应当依据特殊安全需求进行自查。 根据测评、自查情况制定整改方案并实施。
除外); (三)从事相关检测评估工作两年以上,无违法记录; (四)工作人员仅限于中国公民; (五)法人及主要业务、技术人员无犯罪记录; (六)使用的技术装备、设施应当符合本办法对信息安全产品的要求; (七)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全
管理制度; (八)对国家安全、社会秩序、公共利益不构成威胁。
目录
□等级保护基本知识介绍 □等级保护基本要求的具体介绍 □信息安全等级保护检查问题发现和总结
1
等级保护基本知识介绍
□等级保护的政策依据 □等级保护的关键环节(流程) □等级保护的现实意义 □等级保护的相关标准 □《基本要求》核心思想解读
2
等级保护政策依据
✓ 《国家信息化领导小组关于加强信息安全保障工作的意见 》(中办发[2003]27号 )
安全域和安全保护等级划分的原则参考资料
? 需要特别说明的是,用户域的安全等级一般应根据该用户域中的用户 所能访问的计算域的安全等级确定。但是,有些情况下,集中存放的 整体数据的部分被分散存放时,其安全性要求可能回降低。这时,用 户的安全等级就可能低于其所能访问的计算域的安全等级。这一切都 需要从应用系统的实际安全需求出发来确定。高级别(4,5级)安全 的用户域,一般与计算域在同一个局域范围内。
6
单一计算机多安全等级计算域
? 在一个局域范围内,如果同几类数据分布在一台主机/服务器上,并且 这些主机/服务器上没有分布其它类数据,则这些主机/服务器就可组 成一个与该几类数据的安全保护等级相对应的单一计算机多安全保护 等级综合计算域。
7
多计算机单一安全等级计算域
? 在一个局域范围内,如果一个数据信息类分布在多台主机/服务器上, 并且这些主机/服务器上没有分布其它类数据信息,则这几台主机/服 务器可组成一个与该类数据的安全保护等级相对应的多计算机单一安 全保护等级计算域。
10
安全用户域
? 安全用户域是需要进行相同安全等级保护的端用户计算机系统的集合, 本地端用户计算机组成本地安全用户域;远地端用户计算机组成远地 安全用户域。
? 安全用户域安全等级的确定与用户所能访问的计算域的安全等级有关。 一个安全用户域可由一个端用户计算机或多个端用户计算机组成,应 根据这些计算机在地域上的分布和对不同安全等级的计算域的访问能 力确定。
8
多计算机多安全等级计算域
? 在一个局域范围内,如果同几类数据分布在多台主机/服务器上,并且 这些主机/服务器上没有分布其它类数据,则这几台主机/服务器就可 组成一个与这些类数据的安全保护等级相对应的多计算机多安全保护 等级综合计算域。
? 需要指出的是,某类数据在构成一种安全计算域的同时,并不排除该 类数据在别的主机/服务器上组成别的安全计算域。
6
单一计算机多安全等级计算域
? 在一个局域范围内,如果同几类数据分布在一台主机/服务器上,并且 这些主机/服务器上没有分布其它类数据,则这些主机/服务器就可组 成一个与该几类数据的安全保护等级相对应的单一计算机多安全保护 等级综合计算域。
7
多计算机单一安全等级计算域
? 在一个局域范围内,如果一个数据信息类分布在多台主机/服务器上, 并且这些主机/服务器上没有分布其它类数据信息,则这几台主机/服 务器可组成一个与该类数据的安全保护等级相对应的多计算机单一安 全保护等级计算域。
10
安全用户域
? 安全用户域是需要进行相同安全等级保护的端用户计算机系统的集合, 本地端用户计算机组成本地安全用户域;远地端用户计算机组成远地 安全用户域。
? 安全用户域安全等级的确定与用户所能访问的计算域的安全等级有关。 一个安全用户域可由一个端用户计算机或多个端用户计算机组成,应 根据这些计算机在地域上的分布和对不同安全等级的计算域的访问能 力确定。
8
多计算机多安全等级计算域
? 在一个局域范围内,如果同几类数据分布在多台主机/服务器上,并且 这些主机/服务器上没有分布其它类数据,则这几台主机/服务器就可 组成一个与这些类数据的安全保护等级相对应的多计算机多安全保护 等级综合计算域。
? 需要指出的是,某类数据在构成一种安全计算域的同时,并不排除该 类数据在别的主机/服务器上组成别的安全计算域。
安全保护等级标准介绍课件
PP与 ST
PP是描述满足特定消费者需求的、独立于实现的一组安全要求,回答“在安全方案中需要什么”。ST是依赖于实现的一组安全要求与说明,用来指定TOE评估基础。回答“在安全方案中提供什么”。
PP内容
ST内容
描述语言
CC的安全要求:安全功能要求安全保证要求安全要求层次类族组件和元素
安全保证要求
AGD类:指导性文档ALC类:生命周期支持ATE类:测试AVA类:脆弱性评定AMA类:维护
保证组件结构
说明
目的:特定保证组件的特定目的。保证元素开发者行为元素-D证据的内容与表示元素-C评估者行为元素-E
安全保证度量
七个评估保证级别:EAL1-EAL7保证不断增加。严格性、范围和深度。可扩充增强EAL1:功能测试EAL2:结构测试EAL3;系统地测试和检查EAL4:系统地设计、测试和复查
概述
一个库,两种描述方式,三类人。知识库:安全功能要求与安全保证要求。信息安全技术要求库——语言元素。描述方式:PP与ST。组织语言元素的格式与内容要求。三类人:消费者、开发者与评估者。三种评估:PP、ST与TOE的评估。
概述
CC涉及三个信息安全基本要求保密性完整性可用性 CC使用对象IT产品与系统消费者、开发商或集成商、评估者、认证人员与授权人员。
来源与目的
来源1993年,美国、加拿大等国同意开发CC。参考了ITSEC、TCSEC等。1996年,得到1.0版,进入试用阶段。1999年12月,2.1版,ISO15408。目的通用的评价信息产品与系统的标准。
术语解释
TOE-评估对象ST-安全目标PP-保护轮廓TSP-TOE安全策略TSF-TOE安全功能TSC-TSF控制范围
比较
安全功能强度抗渗透能力评估CC有三个评估,针对的是安全功能实现的整个过程的保证程度——时间段;《准则》测试安全功能的实现状况——时间点。参与的人员。
等级保护相关基础知识31页PPT
等级保护相关基础知识
1、合法而稳定的权力在使用得当时很 少遇到 抵抗。 ——塞 ·约翰 逊 2、权力会使人渐渐失去温厚善良的美 德。— —伯克
3、最大限度地行使权力总是令人反感 ;权力 不易确 定之处 始终存 在着危 险。— —塞·约翰逊 4、权力会奴化一切。——塔西佗
5、虽然权力是一头固执的熊,可是金 子可以 拉着它 的鼻子 走。— —莎士 比
61、奢侈是舒适的,否则就不是奢侈 。——CocoCha nel 62、少而好学,如日出之阳;壮而好学 ,如日 中之光 ;志而 好学, 如炳烛 之光。 ——刘 向 63、三军可夺帅也,匹夫不可夺志也。 ——孔 丘 64、人生就是学校。在那里,与其说好 的教师 是幸福 ,不如 说好的 教师是 不幸。 ——海 贝尔 65、接受挑战,就可以享受胜利的喜悦 。——杰纳勒
1、合法而稳定的权力在使用得当时很 少遇到 抵抗。 ——塞 ·约翰 逊 2、权力会使人渐渐失去温厚善良的美 德。— —伯克
3、最大限度地行使权力总是令人反感 ;权力 不易确 定之处 始终存 在着危 险。— —塞·约翰逊 4、权力会奴化一切。——塔西佗
5、虽然权力是一头固执的熊,可是金 子可以 拉着它 的鼻子 走。— —莎士 比
61、奢侈是舒适的,否则就不是奢侈 。——CocoCha nel 62、少而好学,如日出之阳;壮而好学 ,如日 中之光 ;志而 好学, 如炳烛 之光。 ——刘 向 63、三军可夺帅也,匹夫不可夺志也。 ——孔 丘 64、人生就是学校。在那里,与其说好 的教师 是幸福 ,不如 说好的 教师是 不幸。 ——海 贝尔 65、接受挑战,就可以享受胜利的喜悦 。——杰纳勒
安全域和安全保护等级划分的原则
2021/5/27
6
单一计算机多安全等级计算域
• 在一个局域范围内,如果同几类数据分布在一台主机/服务器上,并且 这些主机/服务器上没有分布其它类数据,则这些主机/服务器就可组 成一个与该几类数据的安全保护等级相对应的单一计算机多安全保护 等级综合计算域。
2021/5/27
7
多计算机单一安全等级计算域
内,就像传统的办公保密文件需要在保密室存档一样。
2021/5/27
14
安全域和安全保护等级划分的方法
• a) 明确信息系统中需要进行保护的数据信息的类别。 • b) 按照同类数据信息相对集中的原则进行数据分布。 • c) 按数据信息类的分布,设置和确定安全计算域的安全保
护等级 • d) 按用户所能访问的数据信息类别,确定用户域的安全保
2021/5/27
10
安全用户域
• 安全用户域是需要进行相同安全等级保护的端用户计算机系统的集合, 本地端用户计算机组成本地安全用户域;远地端用户计算机组成远地 安全用户域。
• 安全用户域安全等级的确定与用户所能访问的计算域的安全等级有关。 一个安全户域可由一个端用户计算机或多个端用户计算机组成,应 根据这些计算机在地域上的分布和对不同安全等级的计算域的访问能 力确定。
2021/5/27
12
安全网络域
• 安全网络域是由连接具有相同安全等级的安全计算域和/安全用户域组 成的网络域。安全网络域的安全等级的确定与其所连接的安全用户域 和/或安全计算域的安全等级有关。一般情况下,当一个安全网络域所 连接的安全计算域和/或安全用户域具有单一安全等级时,该安全网络 域的安全等级应与该安全等级相同;当一个安全网络域所连接的安全 计算域和/安全用户域具有多安全级别时,该安全网络域的安全等级应 与该其中较高的安全等级相同。
安全域划分和等级保护
近年来,随着我国信息化发展的逐步深入,我们对信息系统的依赖越来越强,国家信息基础设施和重要信息系统能否安全正常地运行直接关系到国家安全和社会秩序。
但是大型信息系统的安全保障体系建设是一个极为复杂的工作,为大型组织设计一套完整和有效的安全体系一直是个世界性的难题。
一些行业性机构或大型企业的信息系统应用众多、结构复杂、覆盖地域广阔、涉及的行政部门和人员众多;系统面临着各种性质的安全威胁,间谍、黑客、病毒蠕虫、木后门、非法的合作伙伴、本地维护的第三方、内部员工等;安全保障要求的内容极为广泛,从物理安全、网络安全、系统安全、应用安全一直到安全管理、安全组织建设等等,凡是涉及到影响正常运行的和业务连续性的都可以认为是信息安全问题;不同业务系统、不同发展阶段、不同地域和行政隶属层次的安全要求属性和强度存在较大差异性。
国内的政策及发展面对严峻的形势和严重的问题,如何解决大型信息系统的信息安全问题,是摆在我国信息化建设人员面前的重大关键问题。
美国及西方发达国家为了抵御信息网络的脆弱性和安全威胁,制定了一系列强化信息网络安全建设的政策和标准,其中一个很重要思想就是按照安全保护强度划分不同的安全等级,以指导不同领域的信息安全工作。
经过我国信息安全领域有关部门和专家学者的多年研究,在借鉴国外先进经验和结合我国国情的基础上,提出了分等级保护的策略来解决我国信息网络安全问题,即针对信息系统建设和使用单位,根据其单位的重要程度、信息系统承载业务的重要程度、信息内容的重要程度、系统遭到攻击破坏后造成的危害程度等安全需求以及安全成本等因素,依据国家规定的等级划分标准,设定其保护等级,自主进行信息系统安全建设和安全管理,提高安全保护的科学性、整体性、实用性。
2003年,中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文)中,已将信息安全等级保护作为国家信息安全保障工作的重中之重,要求各级党委、人民政府认真组织贯彻落实。
安全域划分
安全域划分——参阅(企业网络安全域划分方法浅析,孟广平)计算机信息应用系统的成功靠的是“三分技术、七分管理、十二分执行。
”划分安全域是企业建立纵深防御安全系统的基础。
随着业务的不断发展***的计算机网络变得越来越复杂,将网络划分为不同的区域,对每个区域进行层次化地有重点的保护,是建立纵深防御安全系统的自然而有效的手段。
网络安全域的定义和划分原则网络安全域是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享一样的安全策略。
广义的安全域是具有相同业务要求和安全要求的系统要素集合,这些要素包括网络区域、主机和系统、人和组织、物理环境、策略和流程、业务和使命等诸多因素。
通过网络安全域的划分,可以把一个复杂的大型网络系统安全问题转化为较小区域更为单纯的安全保护问题,从而更好地控制网络安全风险,降低系统风险;利用网络安全域的划分,理顺网络架构,可以更好地指导系统的安全规划和设计、人网和验收工作;通过网络安全域的划分,各区域防护重点明确,可以将有限的安全设备投人到最需要保护的资产,提高安全设备利用率;有了网络安全域的划分,相对简化了网络安全的运维工作,并可有的放矢地部署网络审计设备,提供检查审核依据。
网络安全域的划分要遵循以下原则:(1)业务保障原则安全域方法的根本目标是能够更好地保障企业的生产经营业务。
在保证安全的同时,还要保障业务的正常运行和运行效率。
(2)结构简化原则简单的网络结构便于设计防护体系,安全域划分并不是粒度越细越好,安全域数量过多过杂可能导致安全域的管理过于复杂和困难。
(3)等级保护原则安全域的划分要做到每个安全域的信息资产价值相近,具有相同或相近的安全等级、安全环境、安全策略等。
(4)立体协防原则安全域的主要对象是网络,但是围绕安全域的防护需要考虑在各个层次上立体防守,包括在物理链路、网络、主机系统、应用等层次;同时,在部署安全域防护体系时,要综合运用身份鉴别、访问控制、检测审计、链路冗余、内容检测等各种安全功能实现协防。
等级保护相关标准解读-PPT精品
通过信息系统的定级,国家掌握了重要信 息系统在全国范围内的分布、使用情况以 及其重要程度。
在定级基础上,应开展信息系统安全建设 和整改,达到相应等级的安全防护能力。
二、等级保护相关标准解读
需要了解的几个法规、政策
保护环境框架图
审计子系统是系统的监督 中枢,安全审计员通过制定审 计策略,强制实现对整个信息 系统的行为审计,确保用户无 法抵赖违背系统安全策略的行 为,同时为应急处理提供依据。
保护环境框架图
主要流程
安全管理流程
几个与等级保护有关的标志性政策、文件:
《中华人民共和国计算机信息系统安全保护条例》(147号令) 《国家信息化领导小组关于加强信息安全保障工作的意见》 (中办发[2019]27号)。
《关于信息安全等级保护工作的实施意见》(公通字 [2019]66号)
《信息安全等级保护管理办法》(公通字[2019]43号)
第四级 结构化保护级 第五级 访问验证保护级
自主访问控制 身份鉴别 完整性保护
系统审计 客体重用
强制访问控制 标记
隐蔽通道分析 可信路径
自主访问控制 身份鉴别 完整性保护
系统审计 客体重用
强制访问控制 标记
隐蔽通道分析 可信路径
可信恢复
12
《信息系统安全等级保护基本要求》的定位
安全管理流程主要由安全管理中心的安全管理员 系统管理员和系统审计员实施,分别实施系统维 护、安全策略部署和审计策略部署等机制。
访问控制流程
访问控制流程是在系统运行时执行,实施自主访 问控制、强制访问控制等。
定级系统互联件连或移和接动系部功进护的统件。能出计软组的安算件成部全机以,分计系安算信统及也,统算一全环网外可。对环管管境络部以安境理理、上设是跨全的的中安的定独备级计信设心全安安立及系全算息施是区全统的其互安。环进对策域联全部境行部略边管件理保及署与界中在机和心安制安全实全计施通
在定级基础上,应开展信息系统安全建设 和整改,达到相应等级的安全防护能力。
二、等级保护相关标准解读
需要了解的几个法规、政策
保护环境框架图
审计子系统是系统的监督 中枢,安全审计员通过制定审 计策略,强制实现对整个信息 系统的行为审计,确保用户无 法抵赖违背系统安全策略的行 为,同时为应急处理提供依据。
保护环境框架图
主要流程
安全管理流程
几个与等级保护有关的标志性政策、文件:
《中华人民共和国计算机信息系统安全保护条例》(147号令) 《国家信息化领导小组关于加强信息安全保障工作的意见》 (中办发[2019]27号)。
《关于信息安全等级保护工作的实施意见》(公通字 [2019]66号)
《信息安全等级保护管理办法》(公通字[2019]43号)
第四级 结构化保护级 第五级 访问验证保护级
自主访问控制 身份鉴别 完整性保护
系统审计 客体重用
强制访问控制 标记
隐蔽通道分析 可信路径
自主访问控制 身份鉴别 完整性保护
系统审计 客体重用
强制访问控制 标记
隐蔽通道分析 可信路径
可信恢复
12
《信息系统安全等级保护基本要求》的定位
安全管理流程主要由安全管理中心的安全管理员 系统管理员和系统审计员实施,分别实施系统维 护、安全策略部署和审计策略部署等机制。
访问控制流程
访问控制流程是在系统运行时执行,实施自主访 问控制、强制访问控制等。
定级系统互联件连或移和接动系部功进护的统件。能出计软组的安算件成部全机以,分计系安算信统及也,统算一全环网外可。对环管管境络部以安境理理、上设是跨全的的中安的定独备级计信设心全安安立及系全算息施是区全统的其互安。环进对策域联全部境行部略边管件理保及署与界中在机和心安制安全实全计施通
国际安全等级与标准PPT(共13页)
•
74、先知三日,富贵十年。付诸行动, 你就会 得到力 量。
•
75、爱的力量大到可以使人忘记一切, 却又小 到连一 粒嫉妒 的沙石 也不能 容纳。
•
1、这世上,没有谁活得比谁容易, 只是有 人在呼 天抢地 ,有人 在默默 努力。
•
2、当热诚变成习惯,恐惧和忧虑即无处 容身。 缺乏热 诚的人 也没有 明确的 目标。 热诚使 想象的 轮子转 动。一 个人缺 乏热诚 就象汽 车没有 汽油。 善于安 排玩乐 和工作 ,两者 保持热 诚,就 是最快 乐的人 。热诚 使平凡 的话题 变得生 动。
•
6、人性本善,纯如清溪流水凝露莹烁。 欲望与 情绪如 风沙袭 扰,把 原本如 天空旷 蔚蓝的 心蒙蔽 。但我 知道, 每个人 的心灵 深处, 不管乌 云密布 还是阴 淤苍茫 ,但依 然有一 道彩虹 ,亮丽 于心中 某处。
•
7、每个人的心里,都藏着一个了不起的 自己, 只要你 不颓废 ,不消 极,一 直悄悄 酝酿着 乐观, 培养着 豁达, 坚持着 善良, 只要在 路上, 就没有 到达不 了的远 方!
•
15、总不能流血就喊痛,怕黑就开灯, 想念就 联系, 疲惫就 放空, 被孤立 就讨好 ,脆弱 就想家 ,不要 被现在 而蒙蔽 双眼, 终究是 要长大 ,最漆 黑的那 段路终 要自己 走完。
•
21、每个人都有潜在的能量,只是很 容易: 被习惯 所掩盖 ,被时 间所迷 离,被 惰性所 消磨。
•
22、不论你在什么时候开始,重要的是 开始之 后就不 要轻言 放弃。
•
23、恨别人,痛苦的却是自己。
•
24、每天醒来,敲醒自己的不是钟声, 而是梦 想。
•
25、你不能拼爹的时候,你就只能去拼 命!
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
.
9
安全用户域
• 安全用户域是信息系统中由一个或多个用户终端计算机组成的存储、 处理和使用数据信息的区域。安全用户域应有明确的边界,以便于进 行保护。安全用户域的划分应以用户所能访问的计算域中的数据信息 类和用户计算机所处的物理位置来确定。能访问同类数据信息,并且 物理位置较近的用户,可以组成一个安全用户域,以便于进行相同级 别的安全保护。
• 安全计算域是需要进行相同安全保护的主机/服务器的集合。安全计算 域的确定与数据的分布密切相关。不同数据类在主机/服务器上分布情 况,是确定安全计算域的基本依据。根据数据分布,可以有以下安全 计算域:
.
5
单一计算机单一安全等级计算域
• 在一个局域范围内,如果同一类数据分布在一台主机/服务器上,并且 该主机/服务器上没有分布其它类数据,则该台主机/服务器就可组成 一个与该类数据的安全保护等级相对应的单一计算机单一安全保护等 级计算域。
• 需要特别说明的是,用户域的安全等级一般应根据该用户域中的用户 所能访问的计算域的安全等级确定。但是,有些情况下,集中存放的 整体数据的部分被分散存放时,其安全性要求可能回降低。这时,用 户的安全等级就可能低于其所能访问的计算域的安全等级。这一切都 需要从应用系统的实际安全需求出发来确定。高级别(4,5级)安全 的用户域,一般与计算域在同一个局域范围内。
.
10
安全用户域
• 安全用户域是需要进行相同安全等级保护的端用户计算机系统的集合, 本地端用户计算机组成本地安全用户域;远地端用户计算机组成远地 安全用户域。
• 安全用户域安全等级的确定与用户所能访问的计算域的安全等级有关。 一个安全用户域可由一个端用户计算机或多个端用户计算机组成,应 根据这些计算机在地域上的分布和对不同安全等级的计算域的访问能 力确定。
.
8
多计算机多安全等级计算域
• 在一个局域范围内,如果同几类数据分布在多台主机/服务器上,并且 这些主机/服务器上没有分布其它类数据,则这几台主机/服务器就可 组成一个与这些类数据的安全保护等级相对应的多计算机多安全保护 等级综合计算域。
• 需要指出的是,某类数据在构成一种安全计算域的同时,并不排除该 类数据在别的主机/服务器上组成别的安全计算域。
.
11
安全网络域
• 安全网络域是信息系统中连接安全计算域与安全计算域、安全计算域 与安全用户域之间的网络系统组成的区域。安全网络域分为局域网环 境和广域网环境两种情况。在局域网环境组成的安全网络域可以用于 单一计算机构成的安全计算域之间的连接,也可以用于多计算机构成 的安全计算域之间的连接。对于后一种情况,该安全网络域实际上是 安全计算域的组成部分。在广域网环境组成的安全网络域用于远地的 安全计算域之间、安全计算域与安全用户域之间的连接。安全网络域 是逻辑域。在一个物理的网络环境上可以组成多个不同的安全网络域。
.
12
安全网络域
• 安全网络域是由连接具有相同安全等级的安全计算域和/安全用户域组 成的网络域。安全网络域的安全等级的确定与其所连接的安全用户域 和/或安全计算域的安全等级有关。一般情况下,当一个安全网络域所 连接的安全计算域和/或安全用户域具有单一安全等级时,该安全网络 域的安全等级应与该安全等级相同;当一个安全网络域所连接的安全 计算域和/安全用户域具有多安全级别时,该安全网络域的安全等级应 与该其中较高的安全等级相同。
安全域和安全保护等级划分的原保护等级的划分
1
分区域保护原则
2 安全域和安全保护等级划分的方法
3
内容
4
内容
.
2
分区域保护原则
1. 概述 2. 安全计算域 3. 安全用户域 4. 安全网络域 5. 安全域和安全保护等级划分的具体原则
.
3
概述
1. 对于一个大规模的复杂信息系统,按数据信息类分区域保护是划分安 全保护等级的基本原则和方法。区域的划分应以数据信息分类为基础, 并根据应用系统业务处理的需要和同类数据信息的流动范围确定。最 理想的区域划分应是需要进行相同安全保护的数据信息在同一个域中 实现存储、传输和处理。实际情况往往要复杂的多。
安全网络域。安全域的范围与数据类的流动范围应完全一致。 • d) 一个安全计算域可以由一台主机/服务器组成,也可以由一个局域网环境组成。 • e) 按安全域中的数据类,确定该安全域应具有的安全保护等级。 • f) 安全计算域和安全用户域可以视为安全网络域的节点。 • g) 高级别(四级和五级)安全域应尽量按物理结构划分,并在同一安全域中只有一类
.
13
安全域和安全保护等级划分的具体原则
• 以下安全域和安全保护等级划分的原则具有一定的普遍适用性: • a) 按系统网络结构和数据信息的分类分布,把一个大规模复杂系统划分为多个实施相
同安全保护等级的安全域。 • b) 安全域的划分可以是物理的或逻辑的,两者都应充分考虑安全保护的因素,比如,
应有确定的边界。 • c) 按物理的或逻辑的结构,确定可以实施相同等级保护的安全计算域、安全用户域和
.
6
单一计算机多安全等级计算域
• 在一个局域范围内,如果同几类数据分布在一台主机/服务器上,并且 这些主机/服务器上没有分布其它类数据,则这些主机/服务器就可组 成一个与该几类数据的安全保护等级相对应的单一计算机多安全保护 等级综合计算域。
.
7
多计算机单一安全等级计算域
• 在一个局域范围内,如果一个数据信息类分布在多台主机/服务器上, 并且这些主机/服务器上没有分布其它类数据信息,则这几台主机/服 务器可组成一个与该类数据的安全保护等级相对应的多计算机单一安 全保护等级计算域。
2. 从等级划分的角度,典型信息系统的安全域可以划分为安全计算域、 安全用户域和安全网络域。需要进行相同安全保护的安全计算域、安 全用户域和安全网络域,共同组成该信息系统的一个具有相同安全等 级的安全域。
.
4
安全计算域
• 安全计算域是信息系统中由一个主机/服务器组成的,或多个主机/服 务器经局域网连接组成的存储和处理数据信息的区域。安全计算域应 有明确的边界。当一个安全计算域由多个主机/服务器组成时,其相互 之间应通过局域网连接。安全计算域的划分应根据数据信息的存储和 处理所涉及的范围确定。同类的数据信息应尽量集中在单一的或物理 位置较近主机/服务器上进行存储和处理,以便于组成易于进行安全保 护的安全计算域。