信息安全等级保护培训 PPT
合集下载
《信息安全等级保护》PPT课件
• 信息安全等级保护的关键所在正是基于信息系 统所承载应用的重要性,以及该应用损毁后带 来的影响程度来判断风险是否控制在可接受的 范围内。
精选PPT
6
原则
• 谁主管谁负责、谁运营谁负责 • 自主定级、自主保护、监督指导
精选PPT
7
主要流程
一是:定级。
二是:备案。
三是:系统建设、整改。
四是:等级测评。
• 对技术要求
– ‘访谈’方法:
• 目的是了解信息系统的全局性。 • 范围一般不覆盖所有要求内容。
– ‘检查’方法:
• 目的是确认信息系统当前具体安全机制和运行的配 置是否符合要求 。
• 范围一般要覆盖所有要求内容。
– ‘测试’方法:
• 目的是验证信息系统安全机制有效性和安全强度。
• 范围不覆盖所有要求内容。
– 第三级,信息系统受到破坏后,会对社会秩序和公共 利益造成严重损害,或者对国家安全造成损害。
– 第四级,信息系统受到破坏后,会对社会秩序和公共 利益造成特别严重损害,或者对国家安全造成严重损 害。
– 第五级,信息系统受到破坏后,会对国家安全造成特 别严重损害。
精选PPT
10
定级原理(2)
• 定级要素
精选PPT
22
22
关系2
一级系统
通信/边界(基本)
二级系统
通信/边界/内部(关键设备)
三级系统
通信/边界/内部(主要设备)
通信/边界/内部/基础设施(所有设备) 四级系统
精选PPT
23
23
关系3
一级系统
计划和跟踪(主要制度)
二级系统
计划和跟踪(主要制度)
良好定义(管理活动制度化) 三级系统
信息系统安全等级保护讲座35页PPT文档
违反国家规定,侵入前款规定以外的计算机信息 系统或者采用其他技术手段,获取该计算机信息系统 中存储、处理或者传输的数据,或者对该计算机信息 系统实施非法控制,情节严重的,处三年以下有期徒 刑或者拘役,并处或者单处罚金;情节特别严重的, 处三年以上七年以下有期徒刑,并处罚金。
提供专门用于侵入、非法控制计算机信息系统的 程序、工具,或者明知他人供程序、工具, 情节严重的,依照前款的规定处罚。
5
信息网络安全
采用各种技术和管理措施,使网络系统正常 运行,从而确保网络数据的可用性、完整性和 保密性。所以,建立网络安全保护措施的目的 是确保经过网络传输和交换的数据不会发生增 加、修改、丢失和泄露等。
6
网络安全主要包括以下几方面:
运行系统安全 运行系统安全即保证信息处理和传输系统的安全。它 侧重于保证系统正常运行。避免因为系统的崩演和损 坏而对系统存储、处理和传输的消息造成破坏和损失。 避免由于电磁泄翻,产生信息泄露,干扰他人或受他 人干扰。
9
目前国内信息安全分析报告
1、2019年360发布我国信息安全分析报告 2、广州市科信局、公安局(基于PNS)分别发 布区域信息网络安全分析报告。
10
发生在我市信息系统被攻击案例
11
广州一知名高校附属医院信息系统被人入侵,医生每天 用药情况、医院各种收入与支出、办公资料和病人情况等重 要资料均被人复制。
网络安全的主要攻击类型
5、网络钓鱼(Phishing):创建色情网站或者‘虚设’、‘仿冒’的网 络商店,引诱网友在线消费,并输入信用卡卡号与密码,以此来获取 用户的机密数据。
6、双面恶魔(Evil Twins):为网络钓鱼法的另一种方式,指的是一种 常出现在机场、旅馆、咖啡厅等地方,假装可提供正当无线网络链接 到Internet的应用服务,当用户不知情登上此网络时,就会被窃取其密 码或信用卡信息。
提供专门用于侵入、非法控制计算机信息系统的 程序、工具,或者明知他人供程序、工具, 情节严重的,依照前款的规定处罚。
5
信息网络安全
采用各种技术和管理措施,使网络系统正常 运行,从而确保网络数据的可用性、完整性和 保密性。所以,建立网络安全保护措施的目的 是确保经过网络传输和交换的数据不会发生增 加、修改、丢失和泄露等。
6
网络安全主要包括以下几方面:
运行系统安全 运行系统安全即保证信息处理和传输系统的安全。它 侧重于保证系统正常运行。避免因为系统的崩演和损 坏而对系统存储、处理和传输的消息造成破坏和损失。 避免由于电磁泄翻,产生信息泄露,干扰他人或受他 人干扰。
9
目前国内信息安全分析报告
1、2019年360发布我国信息安全分析报告 2、广州市科信局、公安局(基于PNS)分别发 布区域信息网络安全分析报告。
10
发生在我市信息系统被攻击案例
11
广州一知名高校附属医院信息系统被人入侵,医生每天 用药情况、医院各种收入与支出、办公资料和病人情况等重 要资料均被人复制。
网络安全的主要攻击类型
5、网络钓鱼(Phishing):创建色情网站或者‘虚设’、‘仿冒’的网 络商店,引诱网友在线消费,并输入信用卡卡号与密码,以此来获取 用户的机密数据。
6、双面恶魔(Evil Twins):为网络钓鱼法的另一种方式,指的是一种 常出现在机场、旅馆、咖啡厅等地方,假装可提供正当无线网络链接 到Internet的应用服务,当用户不知情登上此网络时,就会被窃取其密 码或信用卡信息。
信息安全等级保护培训0207ppt精品模板分享(带动画)
国际信息安全标准组织
我国的信息安全标准体系
信息安全标准的制定与实施
信息安全认证认可体系
定义:信息安全认证认可体系是指由权威机构对信息安全产品和服务及其提供者进行认证认可 的制度安排。
目的:确保信息安全产品和服务符合国家法律法规、标准和技术规范的要求,提高信息安全保 障能力和水平。
认证认可机构:国家认监委、中国信息安全认证中心等。
05
信息安全应急响应 和处置
信息安全应急响应的概念和流程
定义:在信息安 全事件发生后, 组织采取的应急 措施和处置过程
目的:及时响应 并处理事件,降 低损失,防止事 态扩大
流程:监测与预 警、应急响应启 动、信息报告与 共享、处置与恢 复、总结与改进
信息安全应急响 应计划:为应对 信息安全事件而 制定的预先安排 的计划和措施
信息安全事件处置的方法和步骤
定义:对发生的 信息安全事件进 行应急响应和处 置的过程
目的:减轻事件 危害、恢复系统、 重建信任
步骤:发现事件、 响应、处置、恢 复、总结
人员:安全管理 员、技术支持人 员、业务人员、 主管领导
信息安全恢复和重建计划
定义:在信息安全事件发生后,为恢复信息系统正常运行、减小影响、恢复业务而制定的计划。 目的:确保业务连续性、减小损失、恢复信心。 内容:包括备份和恢复策略、应急响应流程、处置流程、事后总结等。 实施:需要与业务部门密切合作,确保计划的可行性和有效性。
改或者销毁。
信息安全的重要 性:保障组织的 正常运转,保护 组织的声誉和利 益,确保个人隐 私和财产安全。
信息安全的威胁: 网络攻击、病毒、 勒索软件、钓鱼
攻击等。
信息安全的措 施:加强安全 意识教育,建 立完善的安全 管理制度,使 用安全防护软 件和设备,定 期进行安全检
信息安全等保培训ppt课件
信息安全等级保护制度介绍
上海市信息安全测评认证中心
1
介绍大纲
1 信息安全等级保护工作概述 2 趋势科技与等级保护合规性
信息安全等级保护制度
信息安全等级保护制度是什么 信息安全等级保护制度要干什么 如何开展信息安全等级保护工作
3
引言
❖ 在当今社会中,信息已成为人类宝贵的资源,并且可以通 过Internet为全球人类所使用与共享。
应安装防恶意代码软件,并及时更新防恶意代 码软件版本和恶意代码库
备注
趋势科技与等级保护合规性
❖ Deep Security
符合要求 主机入侵防范 主机恶意代码防范
符合内容
能够检测到对重要服务器进行入侵的行为,能 够记录入侵的源IP、攻击的类型、攻击的目的 、攻击的时间,并在发生严重入侵事件时提供 报警
符合要求 主机恶意代码防范
符合内容
应安装防恶意代码软件,并及时更新防恶意代 码软件版本和恶意代码库
备注
趋势科技与等级保护合规性
❖ Web 安全网关 IWSA
符合要求 网络结构安全
网络访问控制
符合内容
避免将重要网段部署在网络边界处且直接连接 外部信息系统,重要网段与其他网段之间采取 可靠的技术隔离手段
❖ 主要原则:立足国情,以我为主,坚持管理与技术并重; 正确处理安全与发展的关系,以安全促发展,在发展中求 安全;统筹规划、突出重点,强化基础性工作;明确国家 、企业、个人的责任和义务,充分发挥各方面的积极性, 共同构筑国家信息安全保障体系。
13
等级保护制度
(一)信息安全等级保护制度是什么?
14
什么是信息安全等级保护工作
操作系统通过设置升级服务器等方式保持系统 补丁及时得到更新
上海市信息安全测评认证中心
1
介绍大纲
1 信息安全等级保护工作概述 2 趋势科技与等级保护合规性
信息安全等级保护制度
信息安全等级保护制度是什么 信息安全等级保护制度要干什么 如何开展信息安全等级保护工作
3
引言
❖ 在当今社会中,信息已成为人类宝贵的资源,并且可以通 过Internet为全球人类所使用与共享。
应安装防恶意代码软件,并及时更新防恶意代 码软件版本和恶意代码库
备注
趋势科技与等级保护合规性
❖ Deep Security
符合要求 主机入侵防范 主机恶意代码防范
符合内容
能够检测到对重要服务器进行入侵的行为,能 够记录入侵的源IP、攻击的类型、攻击的目的 、攻击的时间,并在发生严重入侵事件时提供 报警
符合要求 主机恶意代码防范
符合内容
应安装防恶意代码软件,并及时更新防恶意代 码软件版本和恶意代码库
备注
趋势科技与等级保护合规性
❖ Web 安全网关 IWSA
符合要求 网络结构安全
网络访问控制
符合内容
避免将重要网段部署在网络边界处且直接连接 外部信息系统,重要网段与其他网段之间采取 可靠的技术隔离手段
❖ 主要原则:立足国情,以我为主,坚持管理与技术并重; 正确处理安全与发展的关系,以安全促发展,在发展中求 安全;统筹规划、突出重点,强化基础性工作;明确国家 、企业、个人的责任和义务,充分发挥各方面的积极性, 共同构筑国家信息安全保障体系。
13
等级保护制度
(一)信息安全等级保护制度是什么?
14
什么是信息安全等级保护工作
操作系统通过设置升级服务器等方式保持系统 补丁及时得到更新
信息系统安全等级保护培训课件(PPT 36页)
区域边界保护
保护计算环境
保护计算环境
实现集中安全管理
落实安全管理措施
三级系统安全管理措施
- 建立全面的安全管理制度,并安排专人负责并监控执行情况; - 建立全面的人员管理体系,制定严格的考核标准 - 建设过程的各项活动都要求进行制度化规范,按照制度要求进行 活动的开展 - 实现严格的保密性管理 - 成立安全运维小组,对安全维护的责任落实到具体的人 - 引入第三方专业安全服务
物理安 • 需要到物理机房实地检查,请提前申请进入机房的相关手续,并协调查看机房管理相关管理记录 全
网络安 • 需要登录网络设备、安全设备检查相关配置及漏洞扫描,请分配可接入的网络端口及地址,提供配置文件
全 主机安 • 需要登录相关主机设备检查相关配置及漏洞扫描,请分配可接入的网络端口及地址 全 应用安 • 请提供应用系统访问地址,以及访问该应用所需的网络地址,帐户名称、口令以及其它鉴别方式所需软硬件设备 全
分级保护系列标准规范
《涉及国家秘密的计算机信息系统分级保 护技术要求》BMB17-2006 《涉及国家秘密计算机信息系统安全保密 方案设计指南》 BMB23-2008 涉密信息系统安全保障建设 《涉及国家秘密计算机信息系统分级保护 指南 管理规范》BMB20-2007 《涉及国家秘密的信息系统分级保护测评 指南》BMB22—2007 《涉及国家秘密计算机信息系统分级保护 管理办法 》国家保密局16号
管理制 • 请提供安全管理制度电子档或纸质版本,以及相关记录文件
度
1、最灵繁的人也看不见自己的背脊。——非洲 2、最困难的事情就是认识自己。——希腊 3、勇猛、大胆和坚定的决心能够抵得上武器的精良。——达· 芬奇 4、与肝胆人共事,无字句处读书。——周恩来 5、一个人即使已登上顶峰,也仍要自强不息。——罗素· 贝克 6、一切节省,归根到底都归结为时间的节省。——马克思 7、自知之明是最难得的知识。——西班牙 8、勇气通往天堂,怯懦通往地狱。——塞内加 9、有时候读书是一种巧妙地避开思考的方法。——赫尔普斯 10、阅读一切好书如同和过去最杰出的人谈话。——笛卡儿 11、有勇气承担命运这才是英雄好汉。——黑塞 12、只有把抱怨环境的心情,化为上进的力量,才是成功的保证。——罗曼· 罗兰 13、知人者智,自知者明。胜人者有力,自胜者强。——老子 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。——歌德 15、最具挑战性的挑战莫过于提升自我。——迈克尔· F· 斯特利 16、业余生活要有意义,不要越轨。——华盛顿 17、意志是一个强壮的盲人,倚靠在明眼的跛子肩上。——叔本华 18、最大的挑战和突破在于用人,而用人最大的突破在于信任人。——马云 19、我这个人走得很慢,但是我从不后退。——亚伯拉罕· 林肯 20、要掌握书,莫被书掌握;要为生而读,莫为读而生。——布尔沃 21、要知道对好事的称颂过于夸大,也会招来人们的反感轻蔑和嫉妒。——培根 22、业精于勤,荒于嬉;行成于思,毁于随。——韩愈 23、最大的骄傲于最大的自卑都表示心灵的最软弱无力。——斯宾诺莎 24、知之者不如好之者,好之者不如乐之者。——孔子 25、学习是劳动,是充满思想的劳动。——乌申斯基 26、要使整个人生都过得舒适、愉快,这是不可能的,因为人类必须具备一种能应付逆境的态度。——卢梭 27、越是无能的人,越喜欢挑剔别人的错儿。——爱尔兰 28、意志命运往往背道而驰,决心到最后会全部推倒。——莎士比亚 29、越是没有本领的就越加自命不凡。——邓拓 30、阅读使人充实,会谈使人敏捷,写作使人精确。——培根
全州信息安全等级保护定级培训PPT.pptx
安全保护等级的划分
对相应客体的侵害程度
业务信息安全被破坏时所侵害
的客体
一般损
害
公民、法人和其他组织的合法 第一级 权益
第一步,摸底调查,掌握信息系统底 数
按照《定级工作通知》确定的定级范围,各单位、各 部门可以组织开展对所属信息系统进行摸底调查,摸清 信息系统底数,掌握信息系统(包括信息网络)的业务 类型、应用或服务范围、系统结构等基本情况,为下一 步明确要求、落实责任奠定基础。
第二步,确定定级对象
一是应用系统应按照不同业务类别单独确定为定级对象, 不以系统是否进行数据交换、是否独享设备为确定定级 对象条件。起传输作用的基础网络要作为单独的定级对 象。
一是制定了50多个国标和行标,初步形成了信息安全等级 保护标准体系 二是开展了等级保护基础调查工作 三是开展了等级保护试点工作 四是出台了公安部、国务院信息化工作办公室等四部门 《关于信息安全等级保护工作的实施意见》 66号文、《信 息安全等级保护管理办法》 43号文、861号文等政策文件。 五是召开“全国重要信息系统安全等级保护定级工作电视 电话会议” 六是成立“国家信息安全等级保护协调小组”
国家保密工作部门、国家密码管理部门负责等级保护 工作中有关保密工作和密码工作的监督、检查、指导;
国信办及地方信息化领导小组办事机构负责等级保护 工作部门间的协调。
其中,涉及国家秘密信息系统的等级保护监督管理工 作由国家保密工作部门负责;非涉及国家秘密信息系统的 等级保护监督管理工作由公安机关负责。
公安机关牵头开展等级保护工作的法 律政策依据
1994年,《中华人民共和国计算机信息系统安全保护条例 》规定, “计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保 护的具体办法,由公安部会同有关部门制定” 。
《等级保护培训》课件
意义
通过实施等级保护,可以有效地 保障国家安全、社会秩序和公共 利益,维护公民、法人和其他组 织的合法权益。
等级保护的重要性
保障国家安全
等级保护制度能够确保关键信息 基础设施的安全,防止敌对势力 、间谍机构等对国家安全造成威
胁。
维护社会秩序
通过实施等级保护,可以防止网络 犯罪、网络攻击等行为,维护社会 秩序的稳定。
提出了加强宣传教育、开展培训等措施,以提高全社会的等级保护意识和能力。
完善法律法规和标准体系,加强监督检查和评估
提出了完善相关法律法规和标准体系、加强监督检查和评估等措施,以保障等级保护工作 的有效实施。
加强技术研发和创新,提高安全防护能力
提出了加强技术研发和创新、推广新技术应用等措施,以提高安全防护能力和应对新威胁 的能力。
THANKS
谢谢
等级保护标准的实施
等级保护标准的实施需要采取一系列的安全措施和技术手段,包括 物理安全、网络安全、应用安全等方面的防护措施。
等级保护政策
等级保护政策定义
01
等级保护政策是国家为了保障信息安全而制定的一系列政策,
用于规范不同等级的信息系统安全保护工作。
等级保护政策的主要内容
02
包括信息系统定级、备案、安全监测、通报预警等方面的政策
安全体系实施
按照安全体系设计的要求,实施安全设备和安全控制措施。 对实施过程进行监督和检查,确保安全设备和控制措施的有效性和合规性。
安全体系运行与维护
对信息系统的安全体系进行日常运行 和维护,包括安全监控、日志审计、 漏洞扫描等方面的操作。
对发现的安全问题和隐患进行及时处 理和修复,确保信息系统的安全性得 到持续保障。
安全策略制定
通过实施等级保护,可以有效地 保障国家安全、社会秩序和公共 利益,维护公民、法人和其他组 织的合法权益。
等级保护的重要性
保障国家安全
等级保护制度能够确保关键信息 基础设施的安全,防止敌对势力 、间谍机构等对国家安全造成威
胁。
维护社会秩序
通过实施等级保护,可以防止网络 犯罪、网络攻击等行为,维护社会 秩序的稳定。
提出了加强宣传教育、开展培训等措施,以提高全社会的等级保护意识和能力。
完善法律法规和标准体系,加强监督检查和评估
提出了完善相关法律法规和标准体系、加强监督检查和评估等措施,以保障等级保护工作 的有效实施。
加强技术研发和创新,提高安全防护能力
提出了加强技术研发和创新、推广新技术应用等措施,以提高安全防护能力和应对新威胁 的能力。
THANKS
谢谢
等级保护标准的实施
等级保护标准的实施需要采取一系列的安全措施和技术手段,包括 物理安全、网络安全、应用安全等方面的防护措施。
等级保护政策
等级保护政策定义
01
等级保护政策是国家为了保障信息安全而制定的一系列政策,
用于规范不同等级的信息系统安全保护工作。
等级保护政策的主要内容
02
包括信息系统定级、备案、安全监测、通报预警等方面的政策
安全体系实施
按照安全体系设计的要求,实施安全设备和安全控制措施。 对实施过程进行监督和检查,确保安全设备和控制措施的有效性和合规性。
安全体系运行与维护
对信息系统的安全体系进行日常运行 和维护,包括安全监控、日志审计、 漏洞扫描等方面的操作。
对发现的安全问题和隐患进行及时处 理和修复,确保信息系统的安全性得 到持续保障。
安全策略制定
信息安全等级保护培训教材PPT92页课件
……
TCP/IP IPX/SPX SNMP
……
场地 机房 网络布线 设备 存储设备
……
各级系统的保护要求差异
信息安全管理生命周期
建设管理
运维管理
系统定级 方案设计 产品使用 自行开发 系统交付 测试验收 工程实施 软件外包
设 介资 环密
备 质产 境码
恶 意 理
✓ 系统测评:《信息系统安全等级保护测评要求》是针对《信息安全等 级保护基本要求》的具体控制要求开发的测评要求,旨在强调系统按 照《信息安全等级保护基本要求》进行建设完毕后,检验系统的各项 保护要求是否符合相应等级的基本要求。
✓ 由上可见,《信息安全等级保护基本要求》在整个标准体系中起着承 上启下的作用。相关技术要求可以作为《信息安全等级保护基本要求 》的补充和详细指导标准。
公通字[2006]7号文 ✓ 明确了信息安全等级保护的具体要求。 ✓ 为推广和实施信息安全等级保护提供法律保障。
公信安[2007]861号 ✓ 标志着等级保护工作正式推向实施阶段。
等级保护政策依据
公通字[2007]43号文 2007.6.22
➢ 明确主管单位: 公安机关负责信息安全等级保护工作的监督、检查
、指导。
国家保密部门负责等保中保密工作的监督、检查、 指导。
国家密码管理部门负责等保中有关密码工作的监督 、检查、指导。
➢ 确定5个等级,但去掉了[2006 7号文]“自主保护 ”、“指导保护”、“监督保护”等称为。
等级保护政策依据
公通字[2007]43号文
五个等级的基本情况
➢ 第一级:运营、使用单位根据国家管理规范、技术标准自 主防护。
/ /
一级 9 9 6 7 2
3 4 7 20 18 85 /
信息系统安全等级保护基本要求培训课件(2024)
28
制定并执行相关管理制度和操作规程
对管理制度和操作规程进行定期评审和修订,确保其 适应业务发展和安全需求的变化。
制定信息安全总体方针、安全策略、管理制度和操作 规程等文件。
2024/1/28
加强制度和规程的宣传和培训,确保相关人员熟知并 遵守各项规定。
29
加强人员培训,提高安全意识
对全体员工进行信息安全意识教育,提 高其信息安全意识和防范能力。
13
网络安全审计
应能对网络系统中的网络设备运行状 况、网络流量、用户行为等进行日志 记录。
对于每一个网络设备,应能够审计网 络设备的日志记录,包括网络设备运 行状况、网络流量等。
2024/1/28
审计记录应包括:事件的日期和时间 、用户、事件类型、事件是否成功及 其他与审计相关的信息。
对于每一个业务应用,应能够审计业 务应用的用户行为日志记录,包括用 户登录、操作记录等。
2024/1/28
物理访问控制
物理场所应有严格的访问 控制措施,如门禁系统、 监控摄像头等。
物理安全监测
应建立物理安全监测机制 ,对物理环境进行实时监 测和记录,以便及时发现 和处置安全问题。
8
物理访问控制
人员进出管理
建立严格的人员进出管理 制度,对进出人员进行身 份核实和登记。
2024/1/28
定期进行漏洞扫描,对发现的 网络安全漏洞及时进行修补。
12
网络访问控制
访问控制策略应明确允许或拒绝网络访问的规则和条件,包括用户、地址、端口、 协议等要素。
应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口 级。
2024/1/28
应按用户和系统之间的访问控制规则,决定允许或拒绝用户对受控系统资源的访问 ,控制粒度为单个用户。
制定并执行相关管理制度和操作规程
对管理制度和操作规程进行定期评审和修订,确保其 适应业务发展和安全需求的变化。
制定信息安全总体方针、安全策略、管理制度和操作 规程等文件。
2024/1/28
加强制度和规程的宣传和培训,确保相关人员熟知并 遵守各项规定。
29
加强人员培训,提高安全意识
对全体员工进行信息安全意识教育,提 高其信息安全意识和防范能力。
13
网络安全审计
应能对网络系统中的网络设备运行状 况、网络流量、用户行为等进行日志 记录。
对于每一个网络设备,应能够审计网 络设备的日志记录,包括网络设备运 行状况、网络流量等。
2024/1/28
审计记录应包括:事件的日期和时间 、用户、事件类型、事件是否成功及 其他与审计相关的信息。
对于每一个业务应用,应能够审计业 务应用的用户行为日志记录,包括用 户登录、操作记录等。
2024/1/28
物理访问控制
物理场所应有严格的访问 控制措施,如门禁系统、 监控摄像头等。
物理安全监测
应建立物理安全监测机制 ,对物理环境进行实时监 测和记录,以便及时发现 和处置安全问题。
8
物理访问控制
人员进出管理
建立严格的人员进出管理 制度,对进出人员进行身 份核实和登记。
2024/1/28
定期进行漏洞扫描,对发现的 网络安全漏洞及时进行修补。
12
网络访问控制
访问控制策略应明确允许或拒绝网络访问的规则和条件,包括用户、地址、端口、 协议等要素。
应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口 级。
2024/1/28
应按用户和系统之间的访问控制规则,决定允许或拒绝用户对受控系统资源的访问 ,控制粒度为单个用户。
信息安全等级保护PPT课件
20
应用安全整改要点
21
数据库安全及备份恢复整改要点
22
二级和三级等保具体要求对比
23
THANK YOU
By:cqvip - 张泽军
24
20
系统运维管理
18
—
85
—
—
4
8
7
11
9
20
11
16
28
45
41
62
175
290
90
115
14
安全策略体系
15
等级划分准则(GB 17859—1999)
16
等保要求(技术&管理)
物理安全;网络安全;主机安全; 应用安全;数据库安全及备份恢复
17
物理安全整改要点
18
网络安全整改要点
19
主机安全整改要点
等 级 保 张泽军 护
1
目录 CONTENTS
一、等级保护背景 二、等级保护要点 三、等级保护(技术&管理)
2
等级保护背景
信息安全作用和战略意义 信息安全保护发展历史 我国重要的信息安全保护标准
3
信息安全作用和战略意义
威胁事件
2012.7 雅虎服务器被黑 45万用户信息泄露 2013.10 慧达驿站软件漏洞导致连锁酒店数据库被拖库
2000万条开房记录泄露 2018.3 facebook数据外泄,被欧美等国问责调查,市
值蒸发360亿美元
2004 英国多家银行被“特洛伊木马”病毒攻击,约 10亿英镑被盗
2002.7 首都机场因计算机故障导致6000多人滞留,150 多架飞机延误
2016.10 美国Dyn DNS遭到DDoS攻击,造成大量网站一 度瘫痪,Twitter24小时0访问
应用安全整改要点
21
数据库安全及备份恢复整改要点
22
二级和三级等保具体要求对比
23
THANK YOU
By:cqvip - 张泽军
24
20
系统运维管理
18
—
85
—
—
4
8
7
11
9
20
11
16
28
45
41
62
175
290
90
115
14
安全策略体系
15
等级划分准则(GB 17859—1999)
16
等保要求(技术&管理)
物理安全;网络安全;主机安全; 应用安全;数据库安全及备份恢复
17
物理安全整改要点
18
网络安全整改要点
19
主机安全整改要点
等 级 保 张泽军 护
1
目录 CONTENTS
一、等级保护背景 二、等级保护要点 三、等级保护(技术&管理)
2
等级保护背景
信息安全作用和战略意义 信息安全保护发展历史 我国重要的信息安全保护标准
3
信息安全作用和战略意义
威胁事件
2012.7 雅虎服务器被黑 45万用户信息泄露 2013.10 慧达驿站软件漏洞导致连锁酒店数据库被拖库
2000万条开房记录泄露 2018.3 facebook数据外泄,被欧美等国问责调查,市
值蒸发360亿美元
2004 英国多家银行被“特洛伊木马”病毒攻击,约 10亿英镑被盗
2002.7 首都机场因计算机故障导致6000多人滞留,150 多架飞机延误
2016.10 美国Dyn DNS遭到DDoS攻击,造成大量网站一 度瘫痪,Twitter24小时0访问
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全等级保护培训
目录
□等级保护基本知识介绍
□等级保护基本要求的具体介绍 □信息安全等级保护检查问题发现和总结
等级保护基本知识介绍
□等级保护的政策依据
□等级保护的关键环节(流程) □等级保护的现实意义
□等级保护的相关标准
□《基本要求》核心思想解读
等级保护政策依据
《国家信息化领导小组关于加强信息安全保障工作的意见 》(中办发[2003]27号 ) 公安部、国家保密局、国家密码管理委员会办公室、国务 院信息化工作办公室联合下发的《关于信息安全等级保护 工作的实施意见》(公通字[2004]66号) 公安部、国家保密局、国家密码管理局、国务院信息化工 作办公室联合下发的《信息安全等级保护管理办法》(试 行)(公通字[2006]7号) 《关于开展全国重要信息系统安全等级保护定级工作的通 知》(公信安[2007]861号) 关于印发《信息安全等级保护管理办法》的通知(公通字 [2007]43号)
(六)使用的技术装备、设施应当符合本办法对信息安全产品的要求;
(七)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全 管理制度; (八)对国家安全、社会秩序、公共利益不构成威胁。
等级保护政策依据
公通字[2007]43号文 其他: (一)涉密系统根据BMB17建设,根据BMB22测评; (二)秘密、机密、绝密对应第三、四、五等级。 (三)密码管理根据《商用秘密管理条例》执行。
等级保护政策依据
中办发[2003]27号文 明确指出“实行信息安全等级保护”。 “要重点保护基础 信息网络和关系国家安全、经济命脉、社会稳定等方面的 重要信息系统,抓紧建立信息安全等级保护制度,制定信 息安全等级字[2004]66号文 进一步明确了信息安全等级保护制度的基本内容: 一是根据信息和信息系统在国家安全、社会秩序、公共利益、社会生活中的重 要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他 组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息
等级保护政策依据
公通字[2007]43号文
测评周期要求
第三级信息系统应当每年至少进行一次等级测评; 第四级信息系统应当每半年至少进行一次等级测评;
第五级信息系统应当依据特殊安全需求进行等级测评。
自查周期要求 第三级信息系统应当每年至少进行一次自查; 第四级信息系统应当每半年至少进行一次自查; 第五级信息系统应当依据特殊安全需求进行自查。 根据测评、自查情况制定整改方案并实施。
等级保护政策依据
公通字[2007]43号文
等级保护的检查内容
(一)信息系统安全需求是否发生变化,原定保护等级是否准确; (二)运营、使用单位安全管理制度、措施的落实情况;
(三)运营、使用单位及其主管部门对信息系统安全状况的检查情况;
(四)系统安全等级测评是否符合要求; (五)信息安全产品使用是否符合要求; (六)信息系统安全整改情况; (七)备案材料与运营、使用单位、信息系统的符合情况; (八)其他应当进行监督检查的事项。
马等程序和功能;
(五)对国家安全、社会秩序、公共利益不构成危害; (六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品
认证机构颁发的认证证书。
等级保护政策依据
公通字[2007]43号文 第三级以上信息系统的安全测评机构应具备的条件: (一)在中华人民共和国境内注册成立(港澳台地区除外); (二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区 除外); (三)从事相关检测评估工作两年以上,无违法记录; (四)工作人员仅限于中国公民; (五)法人及主要业务、技术人员无犯罪记录;
等级保护政策依据
公通字[2007]43号文
第三级以上信息系统应当选择使用符合以下条件的信息安全产品:
(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者 控股的,在中华人民共和国境内具有独立的法人资格;
(二)产品的核心技术、关键部件具有我国自主知识产权;
(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录; (四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木
系统必须要达到的基本的安全保护水平等因素,确定信息和信息系统的安全保
护等级,共分五级。 二是国家通过制定统一的管理规范和技术标准,组织行政机关、公民、法人和
其他组织根据信息和信息系统的不同重要程度开展有针对性的保护工作。国家
对不同安全保护级别的信息和信息系统实行不同强度的监管政策。 三是国家对信息安全产品的使用实行分等级管理。 四是信息安全事件实行分等级响应、处置的制度。
等级保护政策依据
公通字[2006]7号文 明确了信息安全等级保护的具体要求。 为推广和实施信息安全等级保护提供法律保障。 公信安[2007]861号 标志着等级保护工作正式推向实施阶段。
等级保护政策依据
公通字[2007]43号文 2007.6.22 明确主管单位: 公安机关负责信息安全等级保护工作的监督、检查 、指导。 国家保密部门负责等保中保密工作的监督、检查、 指导。 国家密码管理部门负责等保中有关密码工作的监督 、检查、指导。 确定5个等级,但去掉了[2006 7号文]“自主保护 ”、“指导保护”、“监督保护”等称为。
等级保护政策依据
公通字[2007]43号文 五个等级的基本情况 第一级:运营、使用单位根据国家管理规范、技术标准自 主防护。 第二级:运营、使用单位根据国家管理规范、技术标准自 主防护。国家有关部门进行指导。 第三级:自主防护。国家有关部门进行监督、检查。 第四级:运营、使用单位根据国家管理规范、技术标准和 业务专门需求进行保护,国家有关部门进行强制监督、检 查。 第五级:(略)。
等级保护政策依据
公通字[2007]43号文 检查周期要求 受理备案的公安机关应当对第三级、第四级信息系统的运 营、使用单位的信息安全等级保护工作情况进行检查。 对第三级信息系统每年至少检查一次; 对第四级信息系统每半年至少检查一次。 对第五级信息系统,应当由国家指定的专门部门进行检查 。
目录
□等级保护基本知识介绍
□等级保护基本要求的具体介绍 □信息安全等级保护检查问题发现和总结
等级保护基本知识介绍
□等级保护的政策依据
□等级保护的关键环节(流程) □等级保护的现实意义
□等级保护的相关标准
□《基本要求》核心思想解读
等级保护政策依据
《国家信息化领导小组关于加强信息安全保障工作的意见 》(中办发[2003]27号 ) 公安部、国家保密局、国家密码管理委员会办公室、国务 院信息化工作办公室联合下发的《关于信息安全等级保护 工作的实施意见》(公通字[2004]66号) 公安部、国家保密局、国家密码管理局、国务院信息化工 作办公室联合下发的《信息安全等级保护管理办法》(试 行)(公通字[2006]7号) 《关于开展全国重要信息系统安全等级保护定级工作的通 知》(公信安[2007]861号) 关于印发《信息安全等级保护管理办法》的通知(公通字 [2007]43号)
(六)使用的技术装备、设施应当符合本办法对信息安全产品的要求;
(七)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全 管理制度; (八)对国家安全、社会秩序、公共利益不构成威胁。
等级保护政策依据
公通字[2007]43号文 其他: (一)涉密系统根据BMB17建设,根据BMB22测评; (二)秘密、机密、绝密对应第三、四、五等级。 (三)密码管理根据《商用秘密管理条例》执行。
等级保护政策依据
中办发[2003]27号文 明确指出“实行信息安全等级保护”。 “要重点保护基础 信息网络和关系国家安全、经济命脉、社会稳定等方面的 重要信息系统,抓紧建立信息安全等级保护制度,制定信 息安全等级字[2004]66号文 进一步明确了信息安全等级保护制度的基本内容: 一是根据信息和信息系统在国家安全、社会秩序、公共利益、社会生活中的重 要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他 组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息
等级保护政策依据
公通字[2007]43号文
测评周期要求
第三级信息系统应当每年至少进行一次等级测评; 第四级信息系统应当每半年至少进行一次等级测评;
第五级信息系统应当依据特殊安全需求进行等级测评。
自查周期要求 第三级信息系统应当每年至少进行一次自查; 第四级信息系统应当每半年至少进行一次自查; 第五级信息系统应当依据特殊安全需求进行自查。 根据测评、自查情况制定整改方案并实施。
等级保护政策依据
公通字[2007]43号文
等级保护的检查内容
(一)信息系统安全需求是否发生变化,原定保护等级是否准确; (二)运营、使用单位安全管理制度、措施的落实情况;
(三)运营、使用单位及其主管部门对信息系统安全状况的检查情况;
(四)系统安全等级测评是否符合要求; (五)信息安全产品使用是否符合要求; (六)信息系统安全整改情况; (七)备案材料与运营、使用单位、信息系统的符合情况; (八)其他应当进行监督检查的事项。
马等程序和功能;
(五)对国家安全、社会秩序、公共利益不构成危害; (六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品
认证机构颁发的认证证书。
等级保护政策依据
公通字[2007]43号文 第三级以上信息系统的安全测评机构应具备的条件: (一)在中华人民共和国境内注册成立(港澳台地区除外); (二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区 除外); (三)从事相关检测评估工作两年以上,无违法记录; (四)工作人员仅限于中国公民; (五)法人及主要业务、技术人员无犯罪记录;
等级保护政策依据
公通字[2007]43号文
第三级以上信息系统应当选择使用符合以下条件的信息安全产品:
(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者 控股的,在中华人民共和国境内具有独立的法人资格;
(二)产品的核心技术、关键部件具有我国自主知识产权;
(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录; (四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木
系统必须要达到的基本的安全保护水平等因素,确定信息和信息系统的安全保
护等级,共分五级。 二是国家通过制定统一的管理规范和技术标准,组织行政机关、公民、法人和
其他组织根据信息和信息系统的不同重要程度开展有针对性的保护工作。国家
对不同安全保护级别的信息和信息系统实行不同强度的监管政策。 三是国家对信息安全产品的使用实行分等级管理。 四是信息安全事件实行分等级响应、处置的制度。
等级保护政策依据
公通字[2006]7号文 明确了信息安全等级保护的具体要求。 为推广和实施信息安全等级保护提供法律保障。 公信安[2007]861号 标志着等级保护工作正式推向实施阶段。
等级保护政策依据
公通字[2007]43号文 2007.6.22 明确主管单位: 公安机关负责信息安全等级保护工作的监督、检查 、指导。 国家保密部门负责等保中保密工作的监督、检查、 指导。 国家密码管理部门负责等保中有关密码工作的监督 、检查、指导。 确定5个等级,但去掉了[2006 7号文]“自主保护 ”、“指导保护”、“监督保护”等称为。
等级保护政策依据
公通字[2007]43号文 五个等级的基本情况 第一级:运营、使用单位根据国家管理规范、技术标准自 主防护。 第二级:运营、使用单位根据国家管理规范、技术标准自 主防护。国家有关部门进行指导。 第三级:自主防护。国家有关部门进行监督、检查。 第四级:运营、使用单位根据国家管理规范、技术标准和 业务专门需求进行保护,国家有关部门进行强制监督、检 查。 第五级:(略)。
等级保护政策依据
公通字[2007]43号文 检查周期要求 受理备案的公安机关应当对第三级、第四级信息系统的运 营、使用单位的信息安全等级保护工作情况进行检查。 对第三级信息系统每年至少检查一次; 对第四级信息系统每半年至少检查一次。 对第五级信息系统,应当由国家指定的专门部门进行检查 。