信息系统安全等级保护基本要求培训教材
(培训体系)2020年信息系统安全等级保护基本要求培训教材
信息安全等级保护培训教材《信息系统安全等级保护基本要求》公安部2007年7月目录1概述 (3)1.1 背景介绍 (3)1.2 主要作用及特点 (3)1.3 与其他标准的关系 (4)1.4 框架结构 (4)2描述模型 (5)2.1 总体描述 (5)2.2 保护对象 (6)2.3 安全保护能力 (6)2.4 安全要求 (8)3逐级增强的特点 (9)3.1 增强原则 (9)3.2 总体描述 (10)3.3 控制点增加 (11)3.4 要求项增加 (11)3.5 控制强度增强 (12)4各级安全要求 (13)4.1 技术要求 (13)4.1.1 物理安全 (13)4.1.2 网络安全 (19)4.1.3 主机安全 (24)4.1.4 应用安全 (30)4.1.5 数据安全及备份恢复 (36)4.2 管理要求 (38)4.2.1 安全管理制度 (38)4.2.2 安全管理机构 (41)4.2.3 人员安全管理 (44)4.2.4 系统建设管理 (47)4.2.5 系统运维管理 (52)本教材根据《信息系统安全等级保护管理办法》公通字[2007]43号和《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号文件,围绕信息安全等级工作,介绍信息系统安全建设和改造过程中使用的主要标准之一《信息系统安全等级保护基本要求》(以下简称《基本要求》),描述《基本要求》的技术要求分级思路、逐级增强特点以及具体各级安全要求。
通过培训,使得用户能够了解《基本要求》在信息系统安全等级保护中的作用、基本思路和主要内容,以便正确选择合适的安全要求进行信息系统保护。
1概述1.1背景介绍2004年,66号文件中指出“信息安全等级保护工作是个庞大的系统工程,关系到国家信息化建设的方方面面,这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施,信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。
企业培训-信息系统安全等级保护基本要求培训教材 精品
信息安全等级保护培训教材《信息系统安全等级保护基本要求》公安部20XX年7月目录1概述 (3)1.1 背景介绍 (3)1.2 主要作用及特点 (3)1.3 与其他标准的关系 (4)1.4 框架结构 (4)2描述模型 (5)2.1 总体描述 (5)2.2 保护对象 (6)2.3 安全保护能力 (6)2.4 安全要求 (8)3逐级增强的特点 (9)3.1 增强原则 (9)3.2 总体描述 (10)3.3 控制点增加 (11)3.4 要求项增加 (11)3.5 控制强度增强 (12)4各级安全要求 (13)4.1 技术要求 (13)4.1.1 物理安全 (13)4.1.2 网络安全 (19)4.1.3 主机安全 (24)4.1.4 应用安全 (29)4.1.5 数据安全及备份恢复 (35)4.2 管理要求 (38)4.2.1 安全管理制度 (38)4.2.2 安全管理机构 (40)4.2.3 人员安全管理 (43)4.2.4 系统建设管理 (47)4.2.5 系统运维管理 (52)本教材根据《信息系统安全等级保护管理办法》公通字[20XX]43号和《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[20XX]861号文件,围绕信息安全等级工作,介绍信息系统安全建设和改造过程中使用的主要标准之一《信息系统安全等级保护基本要求》(以下简称《基本要求》),描述《基本要求》的技术要求分级思路、逐级增强特点以及具体各级安全要求。
通过培训,使得用户能够了解《基本要求》在信息系统安全等级保护中的作用、基本思路和主要内容,以便正确选择合适的安全要求进行信息系统保护。
1概述1.1背景介绍20XX年,66号文件中指出“信息安全等级保护工作是个庞大的系统工程,关系到国家信息化建设的方方面面,这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施,信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。
信息系统安全等级保护基本要求培训
2020/10/11
《管理办法》”等级保护的实施与管理“第十四 条
公安部 信息安全 等评公级 估安保中部护心
信安标委会
信息系统运营、使用单位及其主管部门应当定 期对信息系统安全状况、安全保护制度及措施 的落实情况进行自查。第三级信息系统应当每 年至少进行一次自查,第四级信息系统应当每 半年至少进行一次自查,第五级信息系统应当 依据特殊安全需求进行自查。
公安部 信息安全 等公级安保部护 评估中心
信安标委会
《信息系统安全等级保护基本要求》
使用介绍
2020/10/11
精选课件
目录
公安部 信息安全 等评公级 估安保中部护心
信安标委会
使用时机和主要作用 保护要求分级描述的主要思想 各级系统保护的主要内容
2020/10/11
公安部 信息安全 等公级安保部护 评估中心
每个级别的信息系统按照基本要求进行保护后, 信息系统具有相应等级的基本安全保护能力, 达到一种基本的安全状态;
是每个级别信息系统进行安全保护工作的一个 基本出发点,更加贴切的保护可以通过需求分 析对基本要求进行补充,参考其他有关等级保 护或安全方面的标准来实现;
2020/10/11
《基本要求》的定位
信安标委会
二、保护要求分级描述的主要思想
2020/10/11
精选课件
《基本要求》基本思路
公安部 信息安全 等评公级 估安保中部护心
2020/10/11
《管理办法》”等级保护的实施与管理“第十四 条
公安部 信息安全 等评公级 估安保中部护心
信安标委会
经测评或者自查,信息系统安全状况未达到安 全保护等级要求的,运营、使用单位应当制定 方案进行整改。
07《信息系统安全等级保护基本要求》培训教材
信息安全等级保护培训教材《信息系统安全等级保护基本要求》公安部2007年7月目录1概述 (3)1.1 背景介绍 (3)1.2 主要作用及特点 (3)1.3 与其他标准的关系 (4)1.4 框架结构 (4)2描述模型 (5)2.1 总体描述 (5)2.2 保护对象 (6)2.3 安全保护能力 (6)2.4 安全要求 (8)3逐级增强的特点 (9)3.1 增强原则 (9)3.2 总体描述 (10)3.3 控制点增加 (10)3.4 要求项增加 (11)3.5 控制强度增强 (12)4各级安全要求 (12)4.1 技术要求 (12)4.1.1 物理安全 (12)4.1.2 网络安全 (18)4.1.3 主机安全 (23)4.1.4 应用安全 (29)4.1.5 数据安全及备份恢复 (35)4.2 管理要求 (37)4.2.1 安全管理制度 (37)4.2.2 安全管理机构 (40)4.2.3 人员安全管理 (43)4.2.4 系统建设管理 (46)4.2.5 系统运维管理 (52)本教材根据《信息系统安全等级保护管理办法》公通字[2007]43号和《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号文件,围绕信息安全等级工作,介绍信息系统安全建设和改造过程中使用的主要标准之一《信息系统安全等级保护基本要求》(以下简称《基本要求》),描述《基本要求》的技术要求分级思路、逐级增强特点以及具体各级安全要求。
通过培训,使得用户能够了解《基本要求》在信息系统安全等级保护中的作用、基本思路和主要内容,以便正确选择合适的安全要求进行信息系统保护。
1概述1.1背景介绍2004年,66号文件中指出“信息安全等级保护工作是个庞大的系统工程,关系到国家信息化建设的方方面面,这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施,信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。
企业培训-信息系统安全等级保护基本要求培训资料 精品
信息安全等级保护培训教材《信息系统安全等级保护基本要求》公安部20XX年7月目录1概述 (3)1.1 背景介绍 (3)1.2 主要作用及特点 (3)1.3 与其他标准的关系 (4)1.4 框架结构 (4)2描述模型 (5)2.1 总体描述 (5)2.2 保护对象 (6)2.3 安全保护能力 (6)2.4 安全要求 (8)3逐级增强的特点 (9)3.1 增强原则 (9)3.2 总体描述 (10)3.3 控制点增加 (11)3.4 要求项增加 (11)3.5 控制强度增强 (12)4各级安全要求 (13)4.1 技术要求 (13)4.1.1 物理安全 (13)4.1.2 网络安全 (19)4.1.3 主机安全 (24)4.1.4 应用安全 (29)4.1.5 数据安全及备份恢复 (35)4.2 管理要求 (38)4.2.1 安全管理制度 (38)4.2.2 安全管理机构 (40)4.2.3 人员安全管理 (43)4.2.4 系统建设管理 (47)4.2.5 系统运维管理 (52)本教材根据《信息系统安全等级保护管理办法》公通字[20XX]43号和《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[20XX]861号文件,围绕信息安全等级工作,介绍信息系统安全建设和改造过程中使用的主要标准之一《信息系统安全等级保护基本要求》(以下简称《基本要求》),描述《基本要求》的技术要求分级思路、逐级增强特点以及具体各级安全要求。
通过培训,使得用户能够了解《基本要求》在信息系统安全等级保护中的作用、基本思路和主要内容,以便正确选择合适的安全要求进行信息系统保护。
1概述1.1背景介绍20XX年,66号文件中指出“信息安全等级保护工作是个庞大的系统工程,关系到国家信息化建设的方方面面,这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施,信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。
2024年度-信息系统安全等级保护培训课件
定期备份重要数据,并制定详细的数据恢复计划 ,确保在数据丢失或损坏时能够及时恢复。
3
数据脱敏技术
对敏感数据进行脱敏处理,降低数据泄露风险。
14
应用安全技术
身份认证与授权技术
采用用户名/密码、数字证书等身份认证方式,确保用户身份的真 实性和合法性;同时根据用户角色分配相应的权限,防止越权访问 。
某中学在线教育平台
该平台为学生提供在线学习资源和交流互动功能,按照等级保护一级标准进行建 设,通过加强网络安全和内容过滤等措施,确保平台健康安全运行。
23
06
CATALOGUE
信息系统安全等级保护挑战与展望
24
当前面临的主要挑战
网络安全威胁日益严重
网络攻击手段不断翻新,高级持续性 威胁(APT)等网络攻击对信息系统 安全构成严重威胁。
通过实施等级保护,能够有效提高我 国信息安全工作的整体水平,提升我 国网络和信息安全的核心竞争力。
实施等级保护可以规范信息安全管理 ,提高信息系统的安全防护能力,从 而保障信息化的健康发展。
维护国家安全和社会稳定
等级保护制度是国家信息安全保障的 基本制度,对于维护国家安全和社会 稳定具有重要意义。
6
4
等级划分及标准
等级划分
根据信息系统受到破坏后,会对国家 安全、社会秩序、公共利益以及公民 、法人和其他组织的合法权益的危害 程度等因素,将其划分为五个等级。
标准
《信息系统安全等级保护基本要求》 等标准规范了不同等级信息系统的安 全保护要求。
5
重要意义和作用
落实国家信息安全战略
促进信息化健康发展
某ቤተ መጻሕፍቲ ባይዱ商公司交易平台
该平台涉及大量用户数据和交易信息,按照等级保护二级标 准进行建设,通过部署安全防护设备和加强安全管理,确保 平台数据安全和用户隐私。
信息系统安全等级保护基本要求专业培训教程
信息安全等级保护培训教材《信息系统安全等级保护基本要求》公安部2007年7月目录1概述 (3)1.1 背景介绍 (3)1.2 主要作用及特点 (3)1.3 与其他标准的关系 (4)1.4 框架结构 (4)2描述模型 (5)2.1 总体描述 (5)2.2 保护对象 (6)2.3 安全保护能力 (6)2.4 安全要求 (8)3逐级增强的特点 (9)3.1 增强原则 (9)3.2 总体描述 (10)3.3 控制点增加 (11)3.4 要求项增加 (11)3.5 控制强度增强 (12)4各级安全要求 (13)4.1 技术要求 (13)4.1.1 物理安全 (13)4.1.2 网络安全 (19)4.1.3 主机安全 (24)4.1.4 应用安全 (29)4.1.5 数据安全及备份恢复 (35)4.2 管理要求 (38)4.2.1 安全管理制度 (38)4.2.2 安全管理机构 (40)4.2.3 人员安全管理 (43)4.2.4 系统建设管理 (47)4.2.5 系统运维管理 (52)本教材根据《信息系统安全等级保护管理办法》公通字[2007]43号和《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号文件,围绕信息安全等级工作,介绍信息系统安全建设和改造过程中使用的主要标准之一《信息系统安全等级保护基本要求》(以下简称《基本要求》),描述《基本要求》的技术要求分级思路、逐级增强特点以及具体各级安全要求。
通过培训,使得用户能够了解《基本要求》在信息系统安全等级保护中的作用、基本思路和主要内容,以便正确选择合适的安全要求进行信息系统保护。
1概述1.1背景介绍2004年,66号文件中指出“信息安全等级保护工作是个庞大的系统工程,关系到国家信息化建设的方方面面,这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施,信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。
信息系统安全等级保护基本要求培训教材【精编版】
信息系统安全等级保护基本要求培训教材【精编版】信息安全等级保护培训教材《信息系统安全等级保护基本要求》公安部2007年7月目录1 概述 (3)1.1 背景介绍 (3)1.2 主要作用及特点 (3)1.3 与其他标准的关系 (4)1.4 框架结构 (4)2 描述模型 (5)2.1 总体描述 (5)2.2 保护对象 (6)2.3 安全保护能力 (6)2.4 安全要求 (8)3 逐级增强的特点 (9)3.1 增强原则 (9)3.2 总体描述 (10)3.3 控制点增加 (11)3.4 要求项增加 (11)3.5 控制强度增强 (12)4 各级安全要求 (13)4.1 技术要求 (13)4.1.1 物理安全 (13)4.1.2 网络安全 (19)4.1.3 主机安全 (24)4.1.4 应用安全 (30)4.1.5 数据安全及备份恢复 (36)4.2 管理要求 (38)4.2.1 安全管理制度 (38)4.2.2 安全管理机构 (41)4.2.3 人员安全管理 (44)4.2.4 系统建设管理 (47)4.2.5 系统运维管理 (52)本教材根据《信息系统安全等级保护管理办法》公通字[2007]43号和《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号文件,围绕信息安全等级工作,介绍信息系统安全建设和改造过程中使用的主要标准之一《信息系统安全等级保护基本要求》(以下简称《基本要求》),描述《基本要求》的技术要求分级思路、逐级增强特点以及具体各级安全要求。
通过培训,使得用户能够了解《基本要求》在信息系统安全等级保护中的作用、基本思路和主要内容,以便正确选择合适的安全要求进行信息系统保护。
1概述1.1背景介绍2004年,66号文件中指出“信息安全等级保护工作是个庞大的系统工程,关系到国家信息化建设的方方面面,这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施,信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。
信息系统安全等级保护基本要求专业培训教程
信息安全等级爱护培训教材《信息系统安全等级爱护差不多要求》公安部2007年7月目录1概述 (3)1.1背景介绍31.2要紧作用及特点31.3与其他标准的关系41.4框架结构42描述模型 (5)2.1总体描述52.2爱护对象62.3安全爱护能力62.4安全要求83逐级增强的特点 (9)3.1增强原则93.2总体描述103.3操纵点增加113.4要求项增加113.5操纵强度增强124各级安全要求 (13)4.1技术要求134.1.1物理安全134.1.2网络安全194.1.3主机安全244.1.4应用安全304.1.5数据安全及备份恢复364.2治理要求384.2.1安全治理制度384.2.2安全治理机构414.2.3人员安全治理444.2.4系统建设治理474.2.5系统运维治理52本教材依照《信息系统安全等级爱护治理方法》公通字[2007]43号和《关于开展全国重要信息系统安全等级爱护定级工作的通知》公信安[2007]861号文件,围绕信息安全等级工作,介绍信息系统安全建设和改造过程中使用的要紧标准之一《信息系统安全等级爱护差不多要求》(以下简称《差不多要求》),描述《差不多要求》的技术要求分级思路、逐级增强特点以及具体各级安全要求。
通过培训,使得用户能够了解《差不多要求》在信息系统安全等级爱护中的作用、差不多思路和要紧内容,以便正确选择合适的安全要求进行信息系统爱护。
1概述1.1背景介绍2004年,66号文件中指出“信息安全等级爱护工作是个庞大的系统工程,关系到国家信息化建设的方方面面,这就决定了这项工作的开展必须分步骤、分时期、有打算的实施,信息安全等级爱护制度打算用三年左右的时刻在全国范围内分三个时期实施。
”信息安全等级爱护工作第一时期为预备时期,预备时期中重要工作之一是“加快制定、完善治理规范和技术标准体系”。
依据此要求,《差不多要求》列入了首批需完成的6个标准之一。
1.2要紧作用及特点1.要紧作用《差不多要求》对等级爱护工作中的安全操纵选择、调整、实施等提出规范性要求,依照使用对象不同,其要紧作用分为三种:a)为信息系统建设单位和运营、使用单位提供技术指导在信息系统的安全爱护等级确定后,《差不多要求》为信息系统的建设单位和运营、使用单位如何对特定等级的信息系统进行爱护提供技术指导。
信息系统安全等级保护基本要求培训课件
信息安全等级保护培训教材《信息系统安全等级保护基本要求》公安部2007年7月目录1概述 (3)1.1 背景介绍 (3)1.2 主要作用及特点 (3)1.3 与其他标准的关系 (4)1.4 框架结构 (4)2描述模型 (5)2.1 总体描述 (5)2.2 保护对象 (6)2.3 安全保护能力 (6)2.4 安全要求 (8)3逐级增强的特点 (9)3.1 增强原则 (9)3.2 总体描述 (10)3.3 控制点增加 (11)3.4 要求项增加 (11)3.5 控制强度增强 (12)4各级安全要求 (13)4.1 技术要求 (13)4.1.1 物理安全 (13)4.1.2 网络安全 (19)4.1.3 主机安全 (24)4.1.4 应用安全 (29)4.1.5 数据安全及备份恢复 (35)4.2 管理要求 (38)4.2.1 安全管理制度 (38)4.2.2 安全管理机构 (40)4.2.3 人员安全管理 (43)4.2.4 系统建设管理 (47)4.2.5 系统运维管理 (52)本教材根据《信息系统安全等级保护管理办法》公通字[2007]43号和《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号文件,围绕信息安全等级工作,介绍信息系统安全建设和改造过程中使用的主要标准之一《信息系统安全等级保护基本要求》(以下简称《基本要求》),描述《基本要求》的技术要求分级思路、逐级增强特点以及具体各级安全要求。
通过培训,使得用户能够了解《基本要求》在信息系统安全等级保护中的作用、基本思路和主要内容,以便正确选择合适的安全要求进行信息系统保护。
1概述1.1背景介绍2004年,66号文件中指出“信息安全等级保护工作是个庞大的系统工程,关系到国家信息化建设的方方面面,这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施,信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。
信息系统安全等级培训教材-84页文档资料
信息安全等级保护培训教材《信息系统安全等级保护基本要求》公安部2007年7月目录1 概述 (3)1.1 背景介绍 (3)1.2 主要作用及特点 (3)1.3 与其他标准的关系 (4)1.4 框架结构 (5)2 描述模型 (6)2.1 总体描述 (6)2.2 保护对象 (7)2.3 安全保护能力 (8)2.4 安全要求 (10)3 逐级增强的特点 (12)3.1 增强原则 (12)3.2 总体描述 (13)3.3 控制点增加 (14)3.4 要求项增加 (15)3.5 控制强度增强 (16)4 各级安全要求 (17)4.1 技术要求 (17)4.1.1 物理安全 (17)4.1.2 网络安全 (26)4.1.3 主机安全 (33)4.1.4 应用安全 (41)4.1.5 数据安全及备份恢复 (49)4.2 管理要求 (52)4.2.1 安全管理制度 (52)4.2.2 安全管理机构 (56)4.2.3 人员安全管理 (60)4.2.4 系统建设管理 (65)4.2.5 系统运维管理 (72)本教材根据《信息系统安全等级保护管理办法》公通字[2007]43号和《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号文件,围绕信息安全等级工作,介绍信息系统安全建设和改造过程中使用的主要标准之一《信息系统安全等级保护基本要求》(以下简称《基本要求》),描述《基本要求》的技术要求分级思路、逐级增强特点以及具体各级安全要求。
通过培训,使得用户能够了解《基本要求》在信息系统安全等级保护中的作用、基本思路和主要内容,以便正确选择合适的安全要求进行信息系统保护。
1概述1.1背景介绍2004年,66号文件中指出“信息安全等级保护工作是个庞大的系统工程,关系到国家信息化建设的方方面面,这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施,信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。
信息系统安全等级保护基本要求培训课件(2024)
制定并执行相关管理制度和操作规程
对管理制度和操作规程进行定期评审和修订,确保其 适应业务发展和安全需求的变化。
制定信息安全总体方针、安全策略、管理制度和操作 规程等文件。
2024/1/28
加强制度和规程的宣传和培训,确保相关人员熟知并 遵守各项规定。
29
加强人员培训,提高安全意识
对全体员工进行信息安全意识教育,提 高其信息安全意识和防范能力。
13
网络安全审计
应能对网络系统中的网络设备运行状 况、网络流量、用户行为等进行日志 记录。
对于每一个网络设备,应能够审计网 络设备的日志记录,包括网络设备运 行状况、网络流量等。
2024/1/28
审计记录应包括:事件的日期和时间 、用户、事件类型、事件是否成功及 其他与审计相关的信息。
对于每一个业务应用,应能够审计业 务应用的用户行为日志记录,包括用 户登录、操作记录等。
2024/1/28
物理访问控制
物理场所应有严格的访问 控制措施,如门禁系统、 监控摄像头等。
物理安全监测
应建立物理安全监测机制 ,对物理环境进行实时监 测和记录,以便及时发现 和处置安全问题。
8
物理访问控制
人员进出管理
建立严格的人员进出管理 制度,对进出人员进行身 份核实和登记。
2024/1/28
定期进行漏洞扫描,对发现的 网络安全漏洞及时进行修补。
12
网络访问控制
访问控制策略应明确允许或拒绝网络访问的规则和条件,包括用户、地址、端口、 协议等要素。
应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口 级。
2024/1/28
应按用户和系统之间的访问控制规则,决定允许或拒绝用户对受控系统资源的访问 ,控制粒度为单个用户。
系统安全等级保护基本要求培训教材070726
信息安全等级保护培训教材《信息系统安全等级保护基本要求》公安部2007年7月目录1概述 (3)1.1 背景介绍 (3)1.2 主要作用及特点 (3)1.3 与其他标准的关系 (4)1.4 框架结构 (4)2描述模型 (5)2.1 总体描述 (5)2.2 保护对象 (6)2.3 安全保护能力 (6)2.4 安全要求 (8)3逐级增强的特点 (9)3.1 增强原则 (9)3.2 总体描述 (10)3.3 控制点增加 (11)3.4 要求项增加 (11)3.5 控制强度增强 (12)4各级安全要求 (13)4.1 技术要求 (13)4.1.1 物理安全 (13)4.1.2 网络安全 (19)4.1.3 主机安全 (24)4.1.4 应用安全 (30)4.1.5 数据安全及备份恢复 (36)4.2 管理要求 (38)4.2.1 安全管理制度 (38)4.2.2 安全管理机构 (41)4.2.3 人员安全管理 (44)4.2.4 系统建设管理 (47)4.2.5 系统运维管理 (52)本教材根据《信息系统安全等级保护管理办法》公通字[2007]43号和《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号文件,围绕信息安全等级工作,介绍信息系统安全建设和改造过程中使用的主要标准之一《信息系统安全等级保护基本要求》(以下简称《基本要求》),描述《基本要求》的技术要求分级思路、逐级增强特点以及具体各级安全要求。
通过培训,使得用户能够了解《基本要求》在信息系统安全等级保护中的作用、基本思路和主要内容,以便正确选择合适的安全要求进行信息系统保护。
1概述1.1背景介绍2004年,66号文件中指出“信息安全等级保护工作是个庞大的系统工程,关系到国家信息化建设的方方面面,这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施,信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。
最新信息系统安全等级保护基本要求培训教材 (1)
【最新资料,WORD文档,可编辑修改】目录本教材根据《信息系统安全等级保护管理办法》公通字[2007]43号和《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号文件,围绕信息安全等级工作,介绍信息系统安全建设和改造过程中使用的主要标准之一《信息系统安全等级保护基本要求》(以下简称《基本要求》),描述《基本要求》的技术要求分级思路、逐级增强特点以及具体各级安全要求。
通过培训,使得用户能够了解《基本要求》在信息系统安全等级保护中的作用、基本思路和主要内容,以便正确选择合适的安全要求进行信息系统保护。
概述背景介绍2004年,66号文件中指出“信息安全等级保护工作是个庞大的系统工程,关系到国家信息化建设的方方面面,这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施,信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。
”信息安全等级保护工作第一阶段为准备阶段,准备阶段中重要工作之一是“加快制定、完善管理规范和技术标准体系”。
依据此要求,《基本要求》列入了首批需完成的6个标准之一。
主要作用及特点1.主要作用《基本要求》对等级保护工作中的安全控制选择、调整、实施等提出规范性要求,根据使用对象不同,其主要作用分为三种:a)为信息系统建设单位和运营、使用单位提供技术指导在信息系统的安全保护等级确定后,《基本要求》为信息系统的建设单位和运营、使用单位如何对特定等级的信息系统进行保护提供技术指导。
b)为测评机构提供评估依据《基本要求》为信息系统主管部门,信息系统运营、使用单位或专门的等级测评机构对信息系统安全保护等级的检测评估提供依据。
c)为职能监管部门提供监督检查依据《基本要求》为监管部门的监督检查提供依据,用于判断一个特定等级的信息系统是否按照国家要求进行了基本的保护。
2.主要特点《基本要求》是针对每个等级的信息系统提出相应安全保护要求,“基本”意味着这些要求是针对该等级的信息系统达到基本保护能力而提出的,也就是说,这些要求的实现能够保证系统达到相应等级的基本保护能力,但反过来说,系统达到相应等级的保护能力并不仅仅完全依靠这些安全保护要求。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全等级保护培训教材《信息系统安全等级保护基本要求》公安部2007年7月目录1概述 (3)1.1背景介绍31.2主要作用及特点31.3与其他标准的关系41.4框架结构42描述模型 (5)2.1总体描述52.2保护对象62.3安全保护能力62.4安全要求83逐级增强的特点 (9)3.1增强原则93.2总体描述103.3控制点增加113.4要求项增加113.5控制强度增强124各级安全要求 (13)4.1技术要求134.1.1物理安全134.1.2网络安全194.1.3主机安全244.1.4应用安全304.1.5数据安全及备份恢复364.2管理要求384.2.1安全管理制度384.2.2安全管理机构414.2.3人员安全管理444.2.4系统建设管理474.2.5系统运维管理52本教材根据《信息系统安全等级保护管理办法》公通字[2007]43号和《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号文件,围绕信息安全等级工作,介绍信息系统安全建设和改造过程中使用的主要标准之一《信息系统安全等级保护基本要求》(以下简称《基本要求》),描述《基本要求》的技术要求分级思路、逐级增强特点以及具体各级安全要求。
通过培训,使得用户能够了解《基本要求》在信息系统安全等级保护中的作用、基本思路和主要内容,以便正确选择合适的安全要求进行信息系统保护。
1概述1.1背景介绍2004年,66号文件中指出“信息安全等级保护工作是个庞大的系统工程,关系到国家信息化建设的方方面面,这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施,信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。
”信息安全等级保护工作第一阶段为准备阶段,准备阶段中重要工作之一是“加快制定、完善管理规范和技术标准体系”。
依据此要求,《基本要求》列入了首批需完成的6个标准之一。
1.2主要作用及特点1.主要作用《基本要求》对等级保护工作中的安全控制选择、调整、实施等提出规范性要求,根据使用对象不同,其主要作用分为三种:a)为信息系统建设单位和运营、使用单位提供技术指导在信息系统的安全保护等级确定后,《基本要求》为信息系统的建设单位和运营、使用单位如何对特定等级的信息系统进行保护提供技术指导。
b)为测评机构提供评估依据《基本要求》为信息系统主管部门,信息系统运营、使用单位或专门的等级测评机构对信息系统安全保护等级的检测评估提供依据。
c)为职能监管部门提供监督检查依据《基本要求》为监管部门的监督检查提供依据,用于判断一个特定等级的信息系统是否按照国家要求进行了基本的保护。
2.主要特点《基本要求》是针对每个等级的信息系统提出相应安全保护要求,“基本”意味着这些要求是针对该等级的信息系统达到基本保护能力而提出的,也就是说,这些要求的实现能够保证系统达到相应等级的基本保护能力,但反过来说,系统达到相应等级的保护能力并不仅仅完全依靠这些安全保护要求。
同时,《基本要求》强调的是“要求”,而不是具体实施方案或作业指导书,《基本要求》给出了系统每一保护方面需达到的要求,至于这种要求采取何种方式实现,不在《基本要求》的描述范围内。
按照《基本要求》进行保护后,信息系统达到一种安全状态,具备了相应等级的保护能力。
1.3与其他标准的关系从标准间的承接关系上讲:●《信息系统安全等级保护定级指南》确定出系统等级以及业务信息安全性等级和系统服务安全等级后,需要按照相应等级,根据《基本要求》选择相应等级的安全保护要求进行系统建设实施。
●《信息系统安全等级保护测评准则》是针对《基本要求》的具体控制要求开发的测评要求,旨在强调系统按照《基本要求》进行建设完毕后,检验系统的各项保护要求是否符合相应等级的基本要求。
由上可见,《基本要求》在整个标准体系中起着承上启下的作用。
从技术角度上讲:《基本要求》的技术部分吸收和借鉴了GB 17859:1999标准,采纳其中的身份鉴别、数据完整性、自主访问控制、强制访问控制、审计、客体重用(改为剩余信息保护)标记、可信路径等8个安全机制的部分或全部内容,并将这些机制扩展到网络层、主机系统层、应用层和数据层。
《基本要求》的技术部分弱化了在信息系统中实现安全机制结构化设计及安全机制可信性方面的要求,例如没有提出信息系统的可信恢复,但在4级系统提出了灾难备份与恢复的要求,保证业务连续运行。
《基本要求》没有对隐蔽通道分析的安全机制提出要求。
此外,《基本要求》的管理部分充分借鉴了ISO/IEC 17799:2005等国际上流行的信息安全管理方面的标准,尽量做到全方位的安全管理。
1.4框架结构《基本要求》在整体框架结构上以三种分类为支撑点,自上而下分别为:类、控制点和项。
其中,类表示《基本要求》在整体上大的分类,其中技术部分分为:物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大类,管理部分分为:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5大类,一共分为10大类。
控制点表示每个大类下的关键控制点,如物理安全大类中的“物理访问控制”作为一个控制点。
而项则是控制点下的具体要求项,如“机房出入应安排专人负责,控制、鉴别和记录进入的人员。
”具体框架结构如图所示:图1-1 《基本要求》的框架结构 第三级基物理网络主机应用第一级第二级第四级第五级数据安技术管理安全管安全管人员安系统建系统运2描述模型2.1总体描述信息系统是颇受诱惑力的被攻击目标。
它们抵抗着来自各方面威胁实体的攻击。
对信息系统实行安全保护的目的就是要对抗系统面临的各种威胁,从而尽量降低由于威胁给系统带来的损失。
能够应对威胁的能力构成了系统的安全保护能力之一——对抗能力。
但在某些情况下,信息系统无法阻挡威胁对自身的破坏时,如果系统具有很好的恢复能力,那么即使遭到破坏,也能在很短的时间内恢复系统原有的状态。
能够在一定时间内恢复系统原有状态的能力构成了系统的另一种安全保护能力——恢复能力。
对抗能力和恢复能力共同形成了信息系统的安全保护能力。
不同级别的信息系统应具备相应等级的安全保护能力,即应该具备不同的对抗能力和恢复能力,以对抗不同的威胁和能够在不同的时间内恢复系统原有的状态。
针对各等级系统应当对抗的安全威胁和应具有的恢复能力,《基本要求》提出各等级的基本安全要求。
基本安全要求包括了基本技术要求和基本管理要求,基本技术要求主要用于对抗威胁和实现技术能力,基本管理要求主要为安全技术实现提供组织、人员、程序等方面的保障。
各等级的基本安全要求,由包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面的基本安全技术措施和包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的基本安全管理措施来实现和保证。
下图表明了《基本要求》的描述模型。
图1-2《基本要求》的描述模型2.2保护对象作为保护对象,《管理办法》中将信息系统分为五级,分别为:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
2.3安全保护能力1.定义a)对抗能力能够应对威胁的能力构成了系统的安全保护能力之一—对抗能力。
不同等级系统所应对抗的威胁主要从威胁源(自然、环境、系统、人为)动机(不可抗外力、无意、有意)范围(局部、全局)能力(工具、技术、资源等)四个要素来考虑。
在对威胁进行级别划分前,我们首先解释以上几个要素: 威胁源——是指任何能够导致非预期的不利事件发生的因素,通常分为自然(如自然灾害)环境(如电力故障)IT系统(如系统故障)和人员(如心怀不满的员工)四类。
●动机——与威胁源和目标有着密切的联系,不同的威胁源对应不同的目标有着不同的动机,通常可分为不可抗外力(如自然灾害)无意的(如员工的疏忽大意)和故意的(如情报机构的信息收集活动)。
●范围——是指威胁潜在的危害范畴,分为局部和整体两种情况;如病毒威胁,有些计算机病毒的传染性较弱,危害范围是有限的;但是蠕虫类病毒则相反,它们可以在网络中以惊人的速度迅速扩散并导致整个网络瘫痪。
●能力——主要是针对威胁源为人的情况,它是衡量攻击成功可能性的主要因素。
能力主要体现在威胁源占有的计算资源的多少、工具的先进程度、人力资源(包括经验)等方面。
通过对威胁主要因素的分析,我们可以组合得到不同等级的威胁:第一级:本等级的威胁是1)危害范围为局部的环境或者设备故障、2)无意的员工失误以及3)低能力的渗透攻击等威胁情景。
典型情况如灰尘超标(环境)单个非重要工作站(设备)崩溃等。
第二级:本等级的威胁主要是1)危害局部的较严重的自然事件、2)具备中等能力、有预设目标的威胁情景。
典型情况如有组织的情报搜集等。
第三级:本等级的威胁主要是1)危害整体的自然事件、2)具备较高能力、大范围的、有预设目标的渗透攻击。
典型情况如较严重的自然灾害、大型情报组织的情报搜集等。
第四级:本等级的威胁主要是1)危害整体的严重的自然事件、2)国家级渗透攻击。
典型情况如国家经营,组织精良,有很好的财政资助,从其他具有经济、军事或政治优势的国家收集机密信息等。
b)恢复能力但在某些情况下,信息系统无法阻挡威胁对自身的破坏时,如果系统具有很好的恢复能力,那么即使遭到破坏,也能在很短的时间内恢复系统原有的状态。
能够在一定时间内恢复系统原有状态的能力构成了另一种安全保护能力——恢复能力。
恢复能力主要从恢复时间和恢复程度上来衡量其不同级别。
恢复时间越短、恢复程度越接近系统正常运行状态,表明恢复能力越高。
第一级:系统具有基本的数据备份功能,在遭到破坏后能够不限时的恢复部分系统功能。
第二级:系统具有一定的数据备份功能,在遭到破坏后能够在一段时间内恢复部分功能。
第三级:系统具有较高的数据备份和系统备份功能,在遭到破坏后能够较快的恢复绝大部分功能。
第四级:系统具有极高的数据备份和系统备份功能,在遭到破坏后能够迅速恢复所有系统功能。
2.不同等级的安全保护能力信息系统的安全保护能力包括对抗能力和恢复能力。
不同级别的信息系统应具备相应等级的安全保护能力,即应该具备不同的对抗能力和恢复能力。
将“能力”分级,是基于系统的保护对象不同,其重要程度也不相同,重要程度决定了系统所具有的能力也就有所不同。