等级保护宣讲 ppt课件
合集下载
等级保护专题培训课件
基本要求子类
物理和环境安全 网络和通信安全
信息系统安全等级保 护级别
等保二级 等保三级
15
22
16
33
设备和计算安全
17
26
应用和数据安全
22
34
管理 安全策略和管理
6
7
要求
制度
安全管理机构和
16
26
人员
安全建设管理
25
34
安全运维管理
30
48
合计
/
147
230
总体上看,等保2.0通用要求在技术部分的基础上进行了一 些调整,但控制点要求上并没有明显增加,通过合并整合 后相对旧标准略有缩减。
边界防护设备接入内部网络。
入侵防范
无
b) 应在关键网络节点处检测、防止或限制从内部发起 入侵防范 的网络攻击行为; (新增)
无
c) 应采取技术措施对网络行为进行分析,实现对网络 攻击特别是新型网络攻击行为的分析; (新增)
原控制项
新控制项
恶意代码防范
无
恶意代码防范
b) 应在关键网络节点处对垃圾邮件进行检测和防护, 并维护垃圾邮件防护机制的升级和更新。 (新增)
(新增)
原控制点 要求项数
新控制点 要求项数
1结构安全
7
1 网络架构
5
2访问控制
8
2通信传输
2
3安全审计
4
3边界防护
4
网络安全
4边界完整性 检查
5入侵防范
2
4 访问控制
5
网络和通信安全
2
5 入侵防范
4
6 恶意代码防 范
2
等级保护宣讲-ppt课件
第五阶段:由于公安的强势管理和重视安全的企业的自我觉醒,民企发现,做安全,除等保外没有别的选择。
部委
省厅单位
三甲医院、高校、央企 省属国企、大金融、运营商
地级市委办局、县委办局、普教 普通医院、市属国企、其他事业单位
民营企业包括:互联网、电子商务、小金融、 物流、具有品牌影响力的公司和其他规模公司
目前,全国范围内正在处于第三阶段,落后地区第二阶段还只完成部分,发达地区已经尝试从第三阶段迈入第四第五阶段。
1
背景知识
用户开展等级保护建设的意义
安全体系
责任分担
以等级保护为标准开展安全建设,让安全建设更加体系化,可以从物理、网络、主机、应用和数据多个方面成体系的进行安全建设,再也不是头痛医头脚痛医脚,对本单位的安全建设有整体的规划和思路。
安全建设体系化
责任更清晰
完成等保测评意味着公安机关认可你的安全现状,一旦发生安全事件是意外。如果没有进行等级保护测评意味着你没有达到国家要求,一旦发生安全事件要自己承担相关责任。
3
等保工作
3
等保工作
等保 工作
新系统上线、网络架构调整时,都要再重新做等保规划建设; 等保建设是持续性的,每年测评只要有问题,就要做整改。
等级保护建设中的角色
公安机关备案的测评机构
主要承担系统测评的工作,只有在当地公安机关备案的测评机构才可以开展测评工作。
集成商、安全厂商
根据咨询服务单位提供的整改方案,要采购相应的安全设备和服务,这些内容由集成商和安全厂商提供。
3
等保工作
等级保护的等级划分
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益; 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全; 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害; 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害; 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
部委
省厅单位
三甲医院、高校、央企 省属国企、大金融、运营商
地级市委办局、县委办局、普教 普通医院、市属国企、其他事业单位
民营企业包括:互联网、电子商务、小金融、 物流、具有品牌影响力的公司和其他规模公司
目前,全国范围内正在处于第三阶段,落后地区第二阶段还只完成部分,发达地区已经尝试从第三阶段迈入第四第五阶段。
1
背景知识
用户开展等级保护建设的意义
安全体系
责任分担
以等级保护为标准开展安全建设,让安全建设更加体系化,可以从物理、网络、主机、应用和数据多个方面成体系的进行安全建设,再也不是头痛医头脚痛医脚,对本单位的安全建设有整体的规划和思路。
安全建设体系化
责任更清晰
完成等保测评意味着公安机关认可你的安全现状,一旦发生安全事件是意外。如果没有进行等级保护测评意味着你没有达到国家要求,一旦发生安全事件要自己承担相关责任。
3
等保工作
3
等保工作
等保 工作
新系统上线、网络架构调整时,都要再重新做等保规划建设; 等保建设是持续性的,每年测评只要有问题,就要做整改。
等级保护建设中的角色
公安机关备案的测评机构
主要承担系统测评的工作,只有在当地公安机关备案的测评机构才可以开展测评工作。
集成商、安全厂商
根据咨询服务单位提供的整改方案,要采购相应的安全设备和服务,这些内容由集成商和安全厂商提供。
3
等保工作
等级保护的等级划分
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益; 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全; 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害; 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害; 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
等级保护PPT
五、等级保护工作的主要流程
一是定级。包括评审与审批。 二是备案(二级以上信息系统)。 三是系统建设、整改(按条件选择产品)。 四是开展等级测评(按条件选择测评机构)。 五是信息安全监管部门定期开展监督检查。
六、等级保护的政策体系和标准体系
国务院147号令、中央27号文件、《关于 信息安全等级保护工作的实施意见》 (公通 字[2004]66号)》、《信息安全等级保护管 理办法(公通字[2007]43号)》。 标准包括《计算机信息系统安全保护等级 划分准则》(GB17859-1999)、《信息系 统安全等级保护基本要求》、《信息系统安 全等级保护实施指南》、《信息系统安全等 级保护测评要求》等30多个标准。
第三级
监督检查
强制监督检查
第五级
特别严重损害 专门监督检查
四、等级保护工作的职责分工
公安机关负责信息安全等级保护工作的 监督、检查、指导;国家保密工作部门负责理部门负责等级保护工作 中有关密码工作的监督、检查、指导;涉及 其他职能部门管辖范围的事项,由有关职能 部门依照国家法律法规的规定进行管理;国 务院信息化工作办公室及地方信息化领导小 组办事机构负责等级保护工作的部门间协调。
重要信息系统
谢谢!
二、信息安全等级保护的工作进展
一是2006年1月制定出台了《信息安全等级保护 管理办法(试行)》。 二是2006年5月18日组织召开了国家信息安全等 级保护工作协调小组第一次会议。 三是制定了等级保护系列技术标准。 四是开展了等级保护基础调查工作。 五是部署开展信息安全等级保护试点工作。 六是出台新的《信息安全等级保护管理办法》。 七是筹备召开全国信息系统定级工作。
2003年,中办、国办转发的《国家信息化 领导小组关于加强信息安全保障工作的意见》 (中办发[2003]27号)明确指出“实行信息安 全等级保护”。 “要重点保护基础信息网络和 关系国家安全、经济命脉、社会稳定等方面的 重要信息系统,抓紧建立信息安全等级保护制 度,制定信息安全等级保护的管理办法和技术 指南” 。 2004年,公安部、国家保密局、国家密码 管理局、国信办联合印发了《关于信息安全等 级保护工作的实施意见》(66号文件) 2006年1月,公安部、国家保密局、国家 密码管理局、国信办联合制定了《信息安全等 级保护管理办法》(公通字[2006]7号)
等级保护讲解PPT
二级以上 三级以上
10
系统定级
系统备案
安全 建设整改
等级测评
安全自查与监 督检查
1、信息系统备案
• 第二级以上信息系统,由信息系统运营使用单位到所在地的市级以上公安机关网络安全保卫部门办理备案手续,填写《信息系统 安全等级保护备案表》。
• 隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部备案;其他信息 系统向北京市公安局备案。
第四级信息系统:一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如全国铁路、民 航、电力等部门的调度系统,银行、证券、保险、税务、海关等几十个重要行业、部门中的涉及国计民生的 核心系统。
第五级信息系统:一般适用于国家重要领域、重要部门9中的极端重要系统。
系统定级
系统备案
安全 建设整改
定级对象确定
重要性分析
确定安全保护等级 组织专家评审 主管部门审批 公安机关审核
分析一期工程信息系统边界、各系统组成部分关系,确定定级对象
分别分析业务信息和系统服务被破坏后的损害客体及损害程度,确 定业务信息和系统服务安全保护级别
根据定级原则,确定系统整体保护级别为3级
邀请国家等保建设专家委专家对定级成果进行评审,确定保护等级。 定级资料报送委信息化工作办公室审批 定级资料报送给公8安部审核备案
5
基本要求修订-一个标准变为系列标准
第1部分:安全通用要求(送审稿) 第2部分:云计算安全扩展要求(送审稿) 第3部分:移动互联安全扩展要求(送审稿) 第4部分:物联网安全扩展要求(送审稿) 第5部分:工业控制系统安全扩展要求(送审稿)
第6部分:大数据安全扩展要求(立项阶段)
等保交流-基础知识ppt课件
6
等级保护目标客户:
(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性 公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系 统。
(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展 改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土 资源、能源、交通、文化、统计、工商行政管理、邮政、国防工业等关系到国计 民生的信息系统(生产、调度、管理、办公等重要信息系统)。
技术要求:
应用安全-身份鉴别、访问控制、安全审计 应用安全-通信保密性、通信完整性
方案:
SSL VPN:远程用户接入时的身份鉴别、权限控制、安全审计,并保证通信保密性和完 整性; 服务器群组防护:用户访问时进行身份鉴别,保证访问业务系统的安全性与边界隔离; 堡垒机:设备用户权限管理的安全问题;
22
安全管理中心
挖掘需求:
随着信息化建设的进行,服务器和网络设备越来越多,业务系统越来越多,用户没有 精力逐个监控,迫切的需要有一个系统能够监控整个网络的情况,尤其是监控所有业 务系统的健康状况,并且当业务系统出现问题时,能够进行即使的告警。另外,需要 实现对设备的统一的策略管理和下发。
技术要求:
应用安全-资源控制 主机安全-资源控制 监控管理和安全管理中心 网络安全管理
(三)教育、国家科研等单位的信息系统
(四)市(地)级以上党政机关的重要网站和办公信息系统
(五)中央企业以及国资委下属企业
7
• 目前国家出台了哪些有关等保的政策?
– 国家: • 国务院147号令《中华人民共和国计算机信息系统安全保护条例》(94年) • 公通字[2004]66号《关于信息安全等级保护工作的实施意见》 • 公通字[2007]43号《信息安全等级保护管理办法》
等级保护和分级保护基础培训 ppt课件
监理、数据恢复、屏蔽室建设、保密安防监控。
问:分级保护对涉密系统中使用的安全保密产品有哪些要求?
涉密信息系统使用的信息安全保密产品原则上应当选用国产品,并应当通过国家保密局授权
ppt课件
26
的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。
《信息系统通用安全技术要求》GB/T 20271-2006 《信息系统等级保护安全设计技术要求》 测评: 《信息系统安全等级保护测评要求》GB/T 《信息系统安全等级保护测评过程指南》 管理: 《信息系统安全管理要求》 GB/T 20269-2006
《信息系统安全工程管理要求》GB/T 20282-2006
分级保护测评时效性
ppt课件
23
分级保护评测审核内容
ppt课件
24
FAQ
问:等级保护与分级保护各分为几个等级,对应关系是什么? 答:等级保护分5个级别:一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五 级(专控保护)。 分级保护分3个级别:秘密级、机密级(机密增强级)、绝密级。 分级保护与等级保护对应关系:秘密级对应三级、机密级对应四级、绝密级对应五级。 问:等级保护的重要信息系统有哪些? 答:电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网 接入服务单位、数据中心等单位的重要信息系统。铁路、银行、海关、税务、民航、电力、证券、保险、外交、 科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、 文、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。市(地)级以 上党政机关的重要网站和办公信息系统。 问:等级保护的主管部门是谁? 答:公安机关是等级保护工作的主管部门,负责信息安全等级保护工作的监督、检查、指导, 问:等级保护是否是强制性的,可以不做吗? 答:国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级根据信息系统在国家安全、 经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其 他组织的合法权益的危害程度等因素确定。备案后3级系统每年进行一次监督检查,4级每半年进行一次监督检查。 问:是否只是在政府行业实行?企业是否也在等级保护和分级保护范畴之内? 答:等级保护涉及所有行业,只要有信息系统的单位都在等级保护覆盖范围(涉密系统除外)
信息系统安全等级保护培训课件(PPT 36页)
区域边界保护
保护计算环境
保护计算环境
实现集中安全管理
落实安全管理措施
三级系统安全管理措施
- 建立全面的安全管理制度,并安排专人负责并监控执行情况; - 建立全面的人员管理体系,制定严格的考核标准 - 建设过程的各项活动都要求进行制度化规范,按照制度要求进行 活动的开展 - 实现严格的保密性管理 - 成立安全运维小组,对安全维护的责任落实到具体的人 - 引入第三方专业安全服务
物理安 • 需要到物理机房实地检查,请提前申请进入机房的相关手续,并协调查看机房管理相关管理记录 全
网络安 • 需要登录网络设备、安全设备检查相关配置及漏洞扫描,请分配可接入的网络端口及地址,提供配置文件
全 主机安 • 需要登录相关主机设备检查相关配置及漏洞扫描,请分配可接入的网络端口及地址 全 应用安 • 请提供应用系统访问地址,以及访问该应用所需的网络地址,帐户名称、口令以及其它鉴别方式所需软硬件设备 全
分级保护系列标准规范
《涉及国家秘密的计算机信息系统分级保 护技术要求》BMB17-2006 《涉及国家秘密计算机信息系统安全保密 方案设计指南》 BMB23-2008 涉密信息系统安全保障建设 《涉及国家秘密计算机信息系统分级保护 指南 管理规范》BMB20-2007 《涉及国家秘密的信息系统分级保护测评 指南》BMB22—2007 《涉及国家秘密计算机信息系统分级保护 管理办法 》国家保密局16号
管理制 • 请提供安全管理制度电子档或纸质版本,以及相关记录文件
度
1、最灵繁的人也看不见自己的背脊。——非洲 2、最困难的事情就是认识自己。——希腊 3、勇猛、大胆和坚定的决心能够抵得上武器的精良。——达· 芬奇 4、与肝胆人共事,无字句处读书。——周恩来 5、一个人即使已登上顶峰,也仍要自强不息。——罗素· 贝克 6、一切节省,归根到底都归结为时间的节省。——马克思 7、自知之明是最难得的知识。——西班牙 8、勇气通往天堂,怯懦通往地狱。——塞内加 9、有时候读书是一种巧妙地避开思考的方法。——赫尔普斯 10、阅读一切好书如同和过去最杰出的人谈话。——笛卡儿 11、有勇气承担命运这才是英雄好汉。——黑塞 12、只有把抱怨环境的心情,化为上进的力量,才是成功的保证。——罗曼· 罗兰 13、知人者智,自知者明。胜人者有力,自胜者强。——老子 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。——歌德 15、最具挑战性的挑战莫过于提升自我。——迈克尔· F· 斯特利 16、业余生活要有意义,不要越轨。——华盛顿 17、意志是一个强壮的盲人,倚靠在明眼的跛子肩上。——叔本华 18、最大的挑战和突破在于用人,而用人最大的突破在于信任人。——马云 19、我这个人走得很慢,但是我从不后退。——亚伯拉罕· 林肯 20、要掌握书,莫被书掌握;要为生而读,莫为读而生。——布尔沃 21、要知道对好事的称颂过于夸大,也会招来人们的反感轻蔑和嫉妒。——培根 22、业精于勤,荒于嬉;行成于思,毁于随。——韩愈 23、最大的骄傲于最大的自卑都表示心灵的最软弱无力。——斯宾诺莎 24、知之者不如好之者,好之者不如乐之者。——孔子 25、学习是劳动,是充满思想的劳动。——乌申斯基 26、要使整个人生都过得舒适、愉快,这是不可能的,因为人类必须具备一种能应付逆境的态度。——卢梭 27、越是无能的人,越喜欢挑剔别人的错儿。——爱尔兰 28、意志命运往往背道而驰,决心到最后会全部推倒。——莎士比亚 29、越是没有本领的就越加自命不凡。——邓拓 30、阅读使人充实,会谈使人敏捷,写作使人精确。——培根
等级保护相关标准解读-PPT精品
通过信息系统的定级,国家掌握了重要信 息系统在全国范围内的分布、使用情况以 及其重要程度。
在定级基础上,应开展信息系统安全建设 和整改,达到相应等级的安全防护能力。
二、等级保护相关标准解读
需要了解的几个法规、政策
保护环境框架图
审计子系统是系统的监督 中枢,安全审计员通过制定审 计策略,强制实现对整个信息 系统的行为审计,确保用户无 法抵赖违背系统安全策略的行 为,同时为应急处理提供依据。
保护环境框架图
主要流程
安全管理流程
几个与等级保护有关的标志性政策、文件:
《中华人民共和国计算机信息系统安全保护条例》(147号令) 《国家信息化领导小组关于加强信息安全保障工作的意见》 (中办发[2019]27号)。
《关于信息安全等级保护工作的实施意见》(公通字 [2019]66号)
《信息安全等级保护管理办法》(公通字[2019]43号)
第四级 结构化保护级 第五级 访问验证保护级
自主访问控制 身份鉴别 完整性保护
系统审计 客体重用
强制访问控制 标记
隐蔽通道分析 可信路径
自主访问控制 身份鉴别 完整性保护
系统审计 客体重用
强制访问控制 标记
隐蔽通道分析 可信路径
可信恢复
12
《信息系统安全等级保护基本要求》的定位
安全管理流程主要由安全管理中心的安全管理员 系统管理员和系统审计员实施,分别实施系统维 护、安全策略部署和审计策略部署等机制。
访问控制流程
访问控制流程是在系统运行时执行,实施自主访 问控制、强制访问控制等。
定级系统互联件连或移和接动系部功进护的统件。能出计软组的安算件成部全机以,分计系安算信统及也,统算一全环网外可。对环管管境络部以安境理理、上设是跨全的的中安的定独备级计信设心全安安立及系全算息施是区全统的其互安。环进对策域联全部境行部略边管件理保及署与界中在机和心安制安全实全计施通
在定级基础上,应开展信息系统安全建设 和整改,达到相应等级的安全防护能力。
二、等级保护相关标准解读
需要了解的几个法规、政策
保护环境框架图
审计子系统是系统的监督 中枢,安全审计员通过制定审 计策略,强制实现对整个信息 系统的行为审计,确保用户无 法抵赖违背系统安全策略的行 为,同时为应急处理提供依据。
保护环境框架图
主要流程
安全管理流程
几个与等级保护有关的标志性政策、文件:
《中华人民共和国计算机信息系统安全保护条例》(147号令) 《国家信息化领导小组关于加强信息安全保障工作的意见》 (中办发[2019]27号)。
《关于信息安全等级保护工作的实施意见》(公通字 [2019]66号)
《信息安全等级保护管理办法》(公通字[2019]43号)
第四级 结构化保护级 第五级 访问验证保护级
自主访问控制 身份鉴别 完整性保护
系统审计 客体重用
强制访问控制 标记
隐蔽通道分析 可信路径
自主访问控制 身份鉴别 完整性保护
系统审计 客体重用
强制访问控制 标记
隐蔽通道分析 可信路径
可信恢复
12
《信息系统安全等级保护基本要求》的定位
安全管理流程主要由安全管理中心的安全管理员 系统管理员和系统审计员实施,分别实施系统维 护、安全策略部署和审计策略部署等机制。
访问控制流程
访问控制流程是在系统运行时执行,实施自主访 问控制、强制访问控制等。
定级系统互联件连或移和接动系部功进护的统件。能出计软组的安算件成部全机以,分计系安算信统及也,统算一全环网外可。对环管管境络部以安境理理、上设是跨全的的中安的定独备级计信设心全安安立及系全算息施是区全统的其互安。环进对策域联全部境行部略边管件理保及署与界中在机和心安制安全实全计施通
《等级保护培训》课件
意义
通过实施等级保护,可以有效地 保障国家安全、社会秩序和公共 利益,维护公民、法人和其他组 织的合法权益。
等级保护的重要性
保障国家安全
等级保护制度能够确保关键信息 基础设施的安全,防止敌对势力 、间谍机构等对国家安全造成威
胁。
维护社会秩序
通过实施等级保护,可以防止网络 犯罪、网络攻击等行为,维护社会 秩序的稳定。
提出了加强宣传教育、开展培训等措施,以提高全社会的等级保护意识和能力。
完善法律法规和标准体系,加强监督检查和评估
提出了完善相关法律法规和标准体系、加强监督检查和评估等措施,以保障等级保护工作 的有效实施。
加强技术研发和创新,提高安全防护能力
提出了加强技术研发和创新、推广新技术应用等措施,以提高安全防护能力和应对新威胁 的能力。
THANKS
谢谢
等级保护标准的实施
等级保护标准的实施需要采取一系列的安全措施和技术手段,包括 物理安全、网络安全、应用安全等方面的防护措施。
等级保护政策
等级保护政策定义
01
等级保护政策是国家为了保障信息安全而制定的一系列政策,
用于规范不同等级的信息系统安全保护工作。
等级保护政策的主要内容
02
包括信息系统定级、备案、安全监测、通报预警等方面的政策
安全体系实施
按照安全体系设计的要求,实施安全设备和安全控制措施。 对实施过程进行监督和检查,确保安全设备和控制措施的有效性和合规性。
安全体系运行与维护
对信息系统的安全体系进行日常运行 和维护,包括安全监控、日志审计、 漏洞扫描等方面的操作。
对发现的安全问题和隐患进行及时处 理和修复,确保信息系统的安全性得 到持续保障。
安全策略制定
通过实施等级保护,可以有效地 保障国家安全、社会秩序和公共 利益,维护公民、法人和其他组 织的合法权益。
等级保护的重要性
保障国家安全
等级保护制度能够确保关键信息 基础设施的安全,防止敌对势力 、间谍机构等对国家安全造成威
胁。
维护社会秩序
通过实施等级保护,可以防止网络 犯罪、网络攻击等行为,维护社会 秩序的稳定。
提出了加强宣传教育、开展培训等措施,以提高全社会的等级保护意识和能力。
完善法律法规和标准体系,加强监督检查和评估
提出了完善相关法律法规和标准体系、加强监督检查和评估等措施,以保障等级保护工作 的有效实施。
加强技术研发和创新,提高安全防护能力
提出了加强技术研发和创新、推广新技术应用等措施,以提高安全防护能力和应对新威胁 的能力。
THANKS
谢谢
等级保护标准的实施
等级保护标准的实施需要采取一系列的安全措施和技术手段,包括 物理安全、网络安全、应用安全等方面的防护措施。
等级保护政策
等级保护政策定义
01
等级保护政策是国家为了保障信息安全而制定的一系列政策,
用于规范不同等级的信息系统安全保护工作。
等级保护政策的主要内容
02
包括信息系统定级、备案、安全监测、通报预警等方面的政策
安全体系实施
按照安全体系设计的要求,实施安全设备和安全控制措施。 对实施过程进行监督和检查,确保安全设备和控制措施的有效性和合规性。
安全体系运行与维护
对信息系统的安全体系进行日常运行 和维护,包括安全监控、日志审计、 漏洞扫描等方面的操作。
对发现的安全问题和隐患进行及时处 理和修复,确保信息系统的安全性得 到持续保障。
安全策略制定
等保培训PPT课件
21
各级系统的保护要求差异
一级系统
计划和跟踪(主要制度)
二级系统
计划和跟踪(主要制度)
三级系统
良好定义(管理活动制度化)
四级系统
持续改进(管理活动制度化/及时改进)
22
构建系统模型_技术模型
应用系统
医疗
教育
科研
管理
主机系统
网络系统 物理环境
Web 服务 Mail 服务 数据库 多媒体平台 中间件 ……
32
物理安全
公通字[2007]43号文 测评周期要求 ➢ 第三级信息系统应当每年至少进行一次等级测评; ➢ 第四级信息系统应当每半年至少进行一次等级测评; ➢ 第五级信息系统应当依据特殊安全需求进行等级测评。 自查周期要求 ➢ 第三级信息系统应当每年至少进行一次自查; ➢ 第四级信息系统应当每半年至少进行一次自查; ➢ 第五级信息系统应当依据特殊安全需求进行自查。 根据测评、自查情况制定整改方案并实施。
除外); (三)从事相关检测评估工作两年以上,无违法记录; (四)工作人员仅限于中国公民; (五)法人及主要业务、技术人员无犯罪记录; (六)使用的技术装备、设施应当符合本办法对信息安全产品的要求; (七)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全
管理制度; (八)对国家安全、社会秩序、公共利益不构成威胁。
目录
□等级保护基本知识介绍 □等级保护基本要求的具体介绍 □信息安全等级保护检查问题发现和总结
1
等级保护基本知识介绍
□等级保护的政策依据 □等级保护的关键环节(流程) □等级保护的现实意义 □等级保护的相关标准 □《基本要求》核心思想解读
2
等级保护政策依据
✓ 《国家信息化领导小组关于加强信息安全保障工作的意见 》(中办发[2003]27号 )
等级保护2.0讲解PPT【优质PPT】
1
8 温湿度控制
1
9 电力供应
4
9 电力供应
3
10 电磁防护
3
10 电磁防护
2
原控制项
新控制项
b) 机房场地应避免设在建筑物的高层
物理位置的选择
或地下室,以及用水设备的下层或隔 壁。
物理位置的 选择
b) 机房场地应避免设在建筑物的顶层或 地下室,否则应加强防水和防潮措施
防静电
无
防静电
b) 应采取措施防止静电的产生,例如采 用静电消除器、佩戴防静电手环等。
技术 要求
基本要求子类
物理安全 网络安全
信息系统安全等级保护 级别
等保二级 等保三级
19
32
18
33
主机安全
19
32
应用安全
19
31
数据安全
4
8
管理 安全管理制度
7
11
要求
安全管理机构
9
20
人员安全管理
11
16
系统建设管理
28
45
系统运维管理
41
62
合计
/
175
290
基本 要求 大类 2.0
技术 要求
等级保护2.0介绍
什么是等级保护?
网络安全等级保护是指对国家重要信息、法人和其他组织及公民的 专有信息以及公开信息和存储、传输、处理这些信息的信息系统分 等级实行安全保护,对信息系统中使用的信息安全产品实行按等级 管理,对信息系统中发生的信息安全事件分等级响应、处置。
等级保护的划分
第一级 信息系统受到破坏后,会对公民、法人和其他组织 的合法权益造成损害,但不损害国家安全、社会秩序和公 共利益
最新等级保护ppt课件
➢ 测评双方现场确认
准 料 测评所需的各种资
源
记 ➢ 被测单位签署现场 备 录 归 测评授权委托书
➢ 访谈 ➢ 文档审查 ➢ 配置检查 ➢ 工具测试 ➢ 实地查看
➢ 召开测评现场结束会, 确认测评过程的问题, 对漏掉的和改进的信息 进一步验证和补充测评
➢ 归还测评过程中借阅的 所有文档资料,并由被 测单位文档资料提供者 签字确认
定级对象识别与划分
• 可能使定级要素赋值不同因素 – 可能涉及不同客体的系统。 – 可能对客体造成不同程度损害的系统。 – 处理不同类型业务的系统。
• 本身运行在不同的网络环境中的系统。 • 分不开的系统,按照高级别保护。
两种安全定义
定级流程
S
A
G=MAX(S,A)
业务信息安全等级矩阵表
系统服务安全等级矩阵表
➢ 安全保障管理体系描述
析备
测测
等级保护实施流程
评对测工评具评 指 系统定级
备案
安全建 设整改
等级 测评
监督 检查
➢分析确定被测试系统的对象与指标
方 案
象测测接评 评入标 ➢使用漏洞扫描器、渗透测试工具集等测 试工具,网络拓扑内外部,及边界等位 置进行测试
编 制
确测点内指评确 容 导确
➢根据具体测评指标结合到测评对象上, 构成具体测评单元
➢ 针对单项测评的不符合项,采取逐条判定的 方法,从安全控制间、层面间和区域间触发 考虑,给出系统整体测评的具体结果和结论, 并对系统结构进行整体安全测评
➢ 在单项测评结果汇总分析和系统整体测评分 析的基础上,找出系统保护现状与等级保护 基本要求之间的差距,并形成等级测评结论
➢ 结果汇总分析、系统整体测评分析、综合结 论、改进建议和附录等
准 料 测评所需的各种资
源
记 ➢ 被测单位签署现场 备 录 归 测评授权委托书
➢ 访谈 ➢ 文档审查 ➢ 配置检查 ➢ 工具测试 ➢ 实地查看
➢ 召开测评现场结束会, 确认测评过程的问题, 对漏掉的和改进的信息 进一步验证和补充测评
➢ 归还测评过程中借阅的 所有文档资料,并由被 测单位文档资料提供者 签字确认
定级对象识别与划分
• 可能使定级要素赋值不同因素 – 可能涉及不同客体的系统。 – 可能对客体造成不同程度损害的系统。 – 处理不同类型业务的系统。
• 本身运行在不同的网络环境中的系统。 • 分不开的系统,按照高级别保护。
两种安全定义
定级流程
S
A
G=MAX(S,A)
业务信息安全等级矩阵表
系统服务安全等级矩阵表
➢ 安全保障管理体系描述
析备
测测
等级保护实施流程
评对测工评具评 指 系统定级
备案
安全建 设整改
等级 测评
监督 检查
➢分析确定被测试系统的对象与指标
方 案
象测测接评 评入标 ➢使用漏洞扫描器、渗透测试工具集等测 试工具,网络拓扑内外部,及边界等位 置进行测试
编 制
确测点内指评确 容 导确
➢根据具体测评指标结合到测评对象上, 构成具体测评单元
➢ 针对单项测评的不符合项,采取逐条判定的 方法,从安全控制间、层面间和区域间触发 考虑,给出系统整体测评的具体结果和结论, 并对系统结构进行整体安全测评
➢ 在单项测评结果汇总分析和系统整体测评分 析的基础上,找出系统保护现状与等级保护 基本要求之间的差距,并形成等级测评结论
➢ 结果汇总分析、系统整体测评分析、综合结 论、改进建议和附录等
等级保护PPT课件
.
17
基本概念
• 访问控制机制
– 自主访问控制(Discretionary Access Control)
• 如果作为客体的拥有者的个人用户可以设置访问控 制属性来许可或拒绝对客体的访问,那么这样的机 制就称为自主访问控制。
• 例:一个小孩有本笔记。她允许妈妈读,但其他人 不可以读。
• 访问控制取决于拥有者. 的判断力。
TCB
安全域
TCB安全功能 (TSF)
TCB安全策略 (TSP)
TCB安全功能 (TSF)
TCB安全策略 (TSP)
.
26
基本概念
• 可信计算基(trusted computing base)
– 高安全级别操作系统中TCB的设计原则
• TCB独立于系统的其他部分 • TCB不含有和安全无关的内容 • 具有引用监视器的特性
.
5
等级保护与分级保护的关系
• 涉密信息系统分级保护保护的对象是所有涉及国 家秘密的信息系统,重点是:
– 党政机关 – 军队和军工单位,
• 由各级保密工作部门根据涉密信息系统的保护等 级实施监督管理,确保系统和信息安全,确保国 家秘密不被泄漏
.
6
等级保护与分级保护的关系
• 国家信息安全等级保护是国家从整体上、根本上 解决国家信息安全问题的办法, 对信息系统实行等 级保护是国家法定制度和基本国策,是信息安全 保护工作的发展方向。
• 战略高度
– 通过提高国家信息安全综合防护能力
– 保障国家安全,维护和稳定信息社会秩序,促 进经济发展,提高综合国力
• 核心
– 对信息安全分等级、按标准进行建设、管理和
监督
.
32
2.信息安全等级保护综述
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等级保护交流
汇报人:
CONTENTS
背景知识 1
3 等级保护政策标准 2
4
等级保护流程 等级保护解决方案
PPT模板下载: 行业PPT模板:
节日PPT模板:
PPT素材下载:
PPT背景图片: PPT图表下载:
优秀PPT下载: PPT教程:
W ord教程:
Excel教程:
资料下载:
PPT课件下载:
范文下载:
利用等级保护 开展安全工作 是国家的唯一选择
政策支撑
①等级保护制度是所有 安全中发文次数最多最 权威的制度,22年历 史; ②等级保护是唯一建立 系列标准覆盖实施落地 全流程,并向云移工扩 展的安全管理要求。
执行队伍
① 建立由中央、省、 市、县四级的网络 警察队伍,警察的 执行力度在所有国 家机关中最强。 ②全国133家测评 中心的技术支撑单 位;
高端手法:信息安全集成(等级保护)独立运作
为什么选择等级保护? 1、国家政策 2、安全不是产品的简单堆积,也不是一次性的静态过程,它是
人员、技术、操作三者紧密结合的系统工程,是不断演进、循环 发展的动态过程
3、信息安全是一把手工程,信息安全是全员工程,信息安全工 作是三分技术、七分管理。
高层牵头 领导负责 全员参与
1 背景知识
用户开展等级保护建设的意义
安全建设体系化
以等级保护为标准开展安全 建设,让安全建设更加体系 化,可以从物理、网络、主 机、应用和数据多个方面成 体系的进行安全建设,再也 不是头痛医头脚痛医脚,对 本单位的安全建设有整体的 规划和思路。
安全 体系
责任 分担
责任更清晰
完成等保测评意味着公安机关 认可你的安全现状,一旦发生 安全事件是意外。如果没有进 行等级保护测评意味着你没有 达到国家要求,一旦发生安全 事件要自己承担相关责任。
PPT模板下载: 行业PPT模板:
节日PPT模板:
PPT素材下载:
PPT背景图片: PPT图表下载:
优秀PPT下载: PPT教程:
W ord教程:
Excel教程:
资料下载:
PPT课件下载:
范文下载:
试卷下载:
教案下载: PPT论坛:
3
等级保护流程
3 等保工作
等级保护的思路
等级保护思想的基础是分级管理思想。即通过分级管理对不同安全需 求的系统进行安全保护,从而实现对整个信息系统的适当的安全保护 和管理,避免对系统保护过渡或者保护不足。
1 背景知识
等级保护的发展趋势
第一阶段:试点阶段 主要是:信息化较为发达的部委的重要信息系统
第二阶段:初步取得成绩 基本完成大部分国家部委、重要省厅单位的等保建设。 全国范围内锤炼出一支能测评能建设的队伍。
部委 省厅单位
第三阶段:省厅单位覆盖,并由政府扩展至医疗、教育和国企、 金融、运营商
三甲医院、高校、央企 省属国企、大金融、运营商
专人管理
1 背景知识
等级保护的含义
信息安全等级保护是指对国家秘密信息、法人和其他组织及 公民的专有信息以及公开信息和存储、传输、处理这些信息的信 息系统分等级实行安全保护,对信息系统中使用的信息安全产品 实行分等级管理,对信息系统中发生的信息安全事件分等级响应、 处置。
1 背景知识
等级保护是政府推动信息安全建设的唯一选择
物流、具有品牌影响力的公司和其他规模公司
行
目前,全国范围内正在处于第三阶段,落后地区第二阶段还只完成部分,发达地区已经尝试从第三阶段迈入第四第五阶段。
PPT模板下载: 行业PPT模板:
节日PPT模板:
PPT素材下载:
PPT背景图片: PPT图表下载:
优秀PPT下载: PPT教程:
W ord教程:
Excel教程:
试卷下载:
教案下载: PPT论坛:
1
背景知识
1 背景知识
何谓信息安全?
安全组织
安全策略
信息安全,采取措法施律保合规护信息资产,使之不因
资产管理
偶然业或务连者续 恶意侵犯而遭受破坏、更改及泄露,
保证信息系统能够连续、信可息靠安、全正常地运行,
事件管理
人员安全
使安全事件对业务造成的影响减到最小,确保
组织业务运行的连开发续安性全 。
1 背景知识
开展等级保护建设对我们的益处
提升单位专业形象 通过等级保护体系化 建设项目帮助合作伙 伴树立专业的安全形 象。
等保建设扩大了需求 以等级保护为标准开展安 全建设,涉及物理、网络、 主机、应用等纬度,容易 运作大的项目机会,带来 持续项目产出。
深入挖掘用户需求
从整网安全角度出发,帮 助用户规划网络安全,通 过与客户深入沟通,匹配 业务建设,增加客户黏性。
访问控制
网络安全
物理安全
信息安全无处不在
1 背景知识
我们时刻都面临来自内外部的威胁
内部人员威胁
黑客渗透
木马后门
病毒和蠕虫
逻辑炸弹
系统Bug
信息资产
拒绝服务 社会工程
硬件故障
网络通信故障
供电中断
失火
雷雨
地震
1 背景知识
我们怎么入手信息安全?
信息安全的概念太宽泛,以至于我们在具体项目中无从下手?
切入点:低端手法:和项目主体业务系统打包
资料下载:
PPT课件下载:
范文下载:
试卷下载:
教案下载: PPT论坛:
2
等级保护政பைடு நூலகம்标准
2 政策体系
2 标准体系
2 标准体系
基础类 《计算机信息系统安全保护等级划分准则》GB 17859-1999 《信息系统安全等级保护实施指南》 GB/T25058-2010
应用类 定级:《信息系统安全保护等级定级指南》GB/T 22240-2008 建设:《信息系统安全等级保护基本要求》GB/T 22239-2008 《信息系统通用安全技术要求》GB/T 20271-2006 《信息系统等级保护安全设计技术要求》 测评:《信息系统安全等级保护测评要求》 GB/T28448-2012 《信息系统安全等级保护测评过程指南》 GB/T28449-2012 管理:《信息系统安全管理要求》GB/T 20269-2006 《信息系统安全工程管理要求》GB/T 20282-2006
四 五
第四阶段:随着国家整体安全规划,政府行业将覆盖地级 市和县级单位。这些等级保护
地级市委办局、县委办局、普教
阶
建设将以二级为主。
普通医院、市属国企、其他事业单位
段
可
第五阶段:由于公安的强势管理和重视安全的
能
企业的自我觉醒,民企发现,做安全,除等保
民营企业包括:互联网、电子商务、小金融、
并
外没有别的选择。
➢不是安全产品的堆积。 防火墙+IDS+防病毒+扫描器不等于等级保护
汇报人:
CONTENTS
背景知识 1
3 等级保护政策标准 2
4
等级保护流程 等级保护解决方案
PPT模板下载: 行业PPT模板:
节日PPT模板:
PPT素材下载:
PPT背景图片: PPT图表下载:
优秀PPT下载: PPT教程:
W ord教程:
Excel教程:
资料下载:
PPT课件下载:
范文下载:
利用等级保护 开展安全工作 是国家的唯一选择
政策支撑
①等级保护制度是所有 安全中发文次数最多最 权威的制度,22年历 史; ②等级保护是唯一建立 系列标准覆盖实施落地 全流程,并向云移工扩 展的安全管理要求。
执行队伍
① 建立由中央、省、 市、县四级的网络 警察队伍,警察的 执行力度在所有国 家机关中最强。 ②全国133家测评 中心的技术支撑单 位;
高端手法:信息安全集成(等级保护)独立运作
为什么选择等级保护? 1、国家政策 2、安全不是产品的简单堆积,也不是一次性的静态过程,它是
人员、技术、操作三者紧密结合的系统工程,是不断演进、循环 发展的动态过程
3、信息安全是一把手工程,信息安全是全员工程,信息安全工 作是三分技术、七分管理。
高层牵头 领导负责 全员参与
1 背景知识
用户开展等级保护建设的意义
安全建设体系化
以等级保护为标准开展安全 建设,让安全建设更加体系 化,可以从物理、网络、主 机、应用和数据多个方面成 体系的进行安全建设,再也 不是头痛医头脚痛医脚,对 本单位的安全建设有整体的 规划和思路。
安全 体系
责任 分担
责任更清晰
完成等保测评意味着公安机关 认可你的安全现状,一旦发生 安全事件是意外。如果没有进 行等级保护测评意味着你没有 达到国家要求,一旦发生安全 事件要自己承担相关责任。
PPT模板下载: 行业PPT模板:
节日PPT模板:
PPT素材下载:
PPT背景图片: PPT图表下载:
优秀PPT下载: PPT教程:
W ord教程:
Excel教程:
资料下载:
PPT课件下载:
范文下载:
试卷下载:
教案下载: PPT论坛:
3
等级保护流程
3 等保工作
等级保护的思路
等级保护思想的基础是分级管理思想。即通过分级管理对不同安全需 求的系统进行安全保护,从而实现对整个信息系统的适当的安全保护 和管理,避免对系统保护过渡或者保护不足。
1 背景知识
等级保护的发展趋势
第一阶段:试点阶段 主要是:信息化较为发达的部委的重要信息系统
第二阶段:初步取得成绩 基本完成大部分国家部委、重要省厅单位的等保建设。 全国范围内锤炼出一支能测评能建设的队伍。
部委 省厅单位
第三阶段:省厅单位覆盖,并由政府扩展至医疗、教育和国企、 金融、运营商
三甲医院、高校、央企 省属国企、大金融、运营商
专人管理
1 背景知识
等级保护的含义
信息安全等级保护是指对国家秘密信息、法人和其他组织及 公民的专有信息以及公开信息和存储、传输、处理这些信息的信 息系统分等级实行安全保护,对信息系统中使用的信息安全产品 实行分等级管理,对信息系统中发生的信息安全事件分等级响应、 处置。
1 背景知识
等级保护是政府推动信息安全建设的唯一选择
物流、具有品牌影响力的公司和其他规模公司
行
目前,全国范围内正在处于第三阶段,落后地区第二阶段还只完成部分,发达地区已经尝试从第三阶段迈入第四第五阶段。
PPT模板下载: 行业PPT模板:
节日PPT模板:
PPT素材下载:
PPT背景图片: PPT图表下载:
优秀PPT下载: PPT教程:
W ord教程:
Excel教程:
试卷下载:
教案下载: PPT论坛:
1
背景知识
1 背景知识
何谓信息安全?
安全组织
安全策略
信息安全,采取措法施律保合规护信息资产,使之不因
资产管理
偶然业或务连者续 恶意侵犯而遭受破坏、更改及泄露,
保证信息系统能够连续、信可息靠安、全正常地运行,
事件管理
人员安全
使安全事件对业务造成的影响减到最小,确保
组织业务运行的连开发续安性全 。
1 背景知识
开展等级保护建设对我们的益处
提升单位专业形象 通过等级保护体系化 建设项目帮助合作伙 伴树立专业的安全形 象。
等保建设扩大了需求 以等级保护为标准开展安 全建设,涉及物理、网络、 主机、应用等纬度,容易 运作大的项目机会,带来 持续项目产出。
深入挖掘用户需求
从整网安全角度出发,帮 助用户规划网络安全,通 过与客户深入沟通,匹配 业务建设,增加客户黏性。
访问控制
网络安全
物理安全
信息安全无处不在
1 背景知识
我们时刻都面临来自内外部的威胁
内部人员威胁
黑客渗透
木马后门
病毒和蠕虫
逻辑炸弹
系统Bug
信息资产
拒绝服务 社会工程
硬件故障
网络通信故障
供电中断
失火
雷雨
地震
1 背景知识
我们怎么入手信息安全?
信息安全的概念太宽泛,以至于我们在具体项目中无从下手?
切入点:低端手法:和项目主体业务系统打包
资料下载:
PPT课件下载:
范文下载:
试卷下载:
教案下载: PPT论坛:
2
等级保护政பைடு நூலகம்标准
2 政策体系
2 标准体系
2 标准体系
基础类 《计算机信息系统安全保护等级划分准则》GB 17859-1999 《信息系统安全等级保护实施指南》 GB/T25058-2010
应用类 定级:《信息系统安全保护等级定级指南》GB/T 22240-2008 建设:《信息系统安全等级保护基本要求》GB/T 22239-2008 《信息系统通用安全技术要求》GB/T 20271-2006 《信息系统等级保护安全设计技术要求》 测评:《信息系统安全等级保护测评要求》 GB/T28448-2012 《信息系统安全等级保护测评过程指南》 GB/T28449-2012 管理:《信息系统安全管理要求》GB/T 20269-2006 《信息系统安全工程管理要求》GB/T 20282-2006
四 五
第四阶段:随着国家整体安全规划,政府行业将覆盖地级 市和县级单位。这些等级保护
地级市委办局、县委办局、普教
阶
建设将以二级为主。
普通医院、市属国企、其他事业单位
段
可
第五阶段:由于公安的强势管理和重视安全的
能
企业的自我觉醒,民企发现,做安全,除等保
民营企业包括:互联网、电子商务、小金融、
并
外没有别的选择。
➢不是安全产品的堆积。 防火墙+IDS+防病毒+扫描器不等于等级保护