2019年信息网络安全知识普及教育培训教程--信息安全等级保护与风险评估 .doc
信息安全风险评估培训 PPT
风险(Risk)—— 特定威胁利用资产弱点给资产或资产组带来损害得潜在可能性。 可能性(Likelihood)—— 对威胁发生几率(Probability)或频率(Frequency)得定性描述。 影响(Impact)—— 后果(Consequence),意外事件发生给企业带来得直接或间接得损
等级保护下风险评估实施框架
等级保护管理办法、指南
全
信息安全政策、标准、法律法规
安全规划
安全需求
风险分析 保护对象划分与定级 网络系统划分与定级
基本安全要求
需
威胁
风险列表
求
脆弱性
资产
风险评估
结合等保测评得风险评估流程
风险评估项目实施过程
计划 准备 实施 报告 跟踪
61
评估工作各角色得责任
评估组长
其他:打印机、复印机、扫描仪、传真机等
大家应该也有点累了,稍作休息
大家有疑问得,可以询问与交流
10
资产分类方法
分 类
示例
信息服务:对外依赖该系统开展的各类服务 网络服务:各种 服 网络设备、设施提供的网络连接服务 办公服务:为提高效 务 率而开发的管理信息系统,包括各种内部配置管理、文件
流转管理等服务
32
评价残留风险
绝对安全(即零风险)就是不可能得。 实施安全控制后会有残留风险或残存 风险(Residual Risk)。 为了确保信息安全,应该确保残留风险 在可接受得范围内:
• 残留风险Rr = 原有得风险R0 - 控制ΔR • 残留风险Rr ≤ 可接受得风险Rt
对残留风险进行确认与评价得过程其 实就就是风险接受得过程。决策者可以根 据风险评估得结果来确定一个阀值,以该阀 值作为就是否接受残留风险得标准。
网络安全培训课程
传输层
Page *
端口号作用
源端口
目标端口
…
Host A
1028
23
…
SP
DP
Host Z
Telnet Z
目标端口 = 23.
端口号标识上层通信进程。 小于1024 为周知端口、1024-5000为临时端口、大于5000为其他服务预留。
Page *
TCP 确认机制
发送方
01
发送 1
TCP/IP网络实践上的标准,OSI网络理论的标准。
TCP/IP定义每一层功能如何实现,OSI定义每一层做什么。
TCO/IP的每一层都可以映射到OSI模型中去。
01
03
02
04
Page *
TCP/IP与OSI
应用层
01.
表示层
01.
会话层
01.
传输层
01.
网络层
01.
数据链路层
01.
物理层
01.
02
接收 1
03
发送 ACK 2
04
发送 2
05
接收 2
06
发送 ACK 3
07
发送 3
08
接收 3
09
接收 ACK 4
10
滑动窗口 = 1
11
接收方
12
Page *
TCP 三次握手
发送 SYN (seq=100 ctl=SYN)
接收 SYN
发送 SYN, ACK (seq=300 ack=101 ctl=syn,ack)
02
由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。
信息安全等级保护培训教材(第1册)
信息安全等级保护培训教材(第一册)目录一、信息安全等级保护政策体系(一)总体方面的政策文件(二)具体环节的政策文件1、定级环节2、备案环节3、安全建设整改环节4、等级测评环节5、安全检查环节二、信息安全等级保护标准体系(一)各类标准与等级保护工作的关系1、基础标准2、安全要求类标准3、定级类标准4、方法指导类标准5、现状分析类标准(二)在应用有关标准中需注意的几个问题三、信息安全等级保护安全管理制度建设和技术措施建设(一)信息安全等级保护安全管理制度建设1、开展安全管理制度建设的依据2、开展安全管理制度建设的内容3、开展安全管理制度建设的要求(二)开展信息安全等级保护安全技术措施建设1、开展安全技术措施建设的依据2、开展安全技术措施建设的内容3、开展安全技术措施建设的要求四、安全建设整改工作的原则和主要思路(一)工作目标(二)工作范围(三)工作方法五、安全建设整改工作基本流程六、信息安全产品的选择使用七、信息系统安全等级测评工作(一)测评机构的选择(二)等级测评工作的开展八、安全自查和监督检查(一)备案单位的定期自查(二)行业主管部门的督导检查(三)公安机关的监督检查九、工作要求(一)同步部署,同步实施(二)加强宣传,树立典型(三)认真总结,及时报送广西壮族自治区信息安全等级保护培训教材公安部、国家保密局、国家密码管理局和原国务院信息办2007年7月在全国范围内组织开展的信息系统定级备案工作已基本完成。
通过定级,基本摸清了国家基础网络和信息系统底数,掌握了关系国家安全、国计民生的重要信息系统基本情况,为深入开展信息安全等级保护工作打下了坚实基础。
近年来,公安部会同有关部门开展了信息系统等级保护安全建设整改工作的试点、示范,以及为期3个月的信息安全等级保护测评体系建设试点工作,组织制定了《信息系统等级保护安全设计技术要求》、《信息安全等级保护测评机构及测评人员管理细则》和《信息系统等级保护测评报告模版》相关标准规范,在此基础上出台了《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号,以下简称《指导意见》),为指导各单位、各部门开展信息安全等级保护安全建设整改工作(以下简称“安全建设整改工作”)奠定了基础。
信息网络安全知识普及教育培训教程互联网信息内容安全管理补充相关的网站管理和备案制度
信息网络安全知识普及教育培训教程互联网信息内容安全管理补充相关的网站管理和备案制度TTA standardization office信息网络安全知识普及教育培训教程互联网信息内容安全管理补充相关的网站管理和备案制度Pleasure Group Office【T985AB-B866SYT-B182C-BS682T-STT18】第一节互连网信息内容安全管理概述概述?一、互联网信息内容安全管理基本情况二、我国互联网信息内容安全监管体系三、禁止在互联网上传播的信息内容四、互联网信息服务商的内容安全管理责任背景与概念?(1)互联网提供信息服务包括:电子邮件、文件传输、远程登录、查询信息、网络新闻、电子公告(2)对国家安全和社会稳定产生的影响。
(3)概念:以政府、企业和社会各方面为主体,控制互联网上传播的信息内容,禁止有害信息的传播,从而使互联网上的信息内容完整、无害、有序的进行传播。
国外互联网信息内容安全管理经验?一、建立健全法律法规,加强政府管理协调。
二、成立专门机构,防范和打击互联网犯罪。
三、研发应用新技术,为网络信息安全保驾护航。
四、重视和支持行业自律,促进各项业务规范落实。
我国互联网信息内容安全管理的发展过程我国互联网信息内容安全管理的发展过程三阶段:(1)1994年至1999年初始阶段,由于互联网发展处于起步阶段,问题相对较少,相关的管理仅限于一般性规范,内容上也比较笼统模糊。
出台的主要法规:A、国务院147号令:《中华人民共和国计算机信息系统安全保护条例》(简称《条例》)1994年2月18日由国务院发布,这是我国第一部涉及计算机信息系统安全的行政法规。
随后各省纷纷据此制定了地方性法规。
《条例》赋予“公安部主管全国计算机信息系统安全保护工作”的职能。
主管权体现在:(1)监督、检查、指导权;(2)计算机违法犯罪案件查处权;(3)其他监督职权。
国务院195号令?B、国务院195号令:《中华人民共和国计算机信息网络国际联网管理暂行规定》(简称《暂行规定》)1996年2月1日国务院发布,1997年5月20日修正。
信息安全等保培训ppt课件
上海市信息安全测评认证中心
1
介绍大纲
1 信息安全等级保护工作概述 2 趋势科技与等级保护合规性
信息安全等级保护制度
信息安全等级保护制度是什么 信息安全等级保护制度要干什么 如何开展信息安全等级保护工作
3
引言
❖ 在当今社会中,信息已成为人类宝贵的资源,并且可以通 过Internet为全球人类所使用与共享。
应安装防恶意代码软件,并及时更新防恶意代 码软件版本和恶意代码库
备注
趋势科技与等级保护合规性
❖ Deep Security
符合要求 主机入侵防范 主机恶意代码防范
符合内容
能够检测到对重要服务器进行入侵的行为,能 够记录入侵的源IP、攻击的类型、攻击的目的 、攻击的时间,并在发生严重入侵事件时提供 报警
符合要求 主机恶意代码防范
符合内容
应安装防恶意代码软件,并及时更新防恶意代 码软件版本和恶意代码库
备注
趋势科技与等级保护合规性
❖ Web 安全网关 IWSA
符合要求 网络结构安全
网络访问控制
符合内容
避免将重要网段部署在网络边界处且直接连接 外部信息系统,重要网段与其他网段之间采取 可靠的技术隔离手段
❖ 主要原则:立足国情,以我为主,坚持管理与技术并重; 正确处理安全与发展的关系,以安全促发展,在发展中求 安全;统筹规划、突出重点,强化基础性工作;明确国家 、企业、个人的责任和义务,充分发挥各方面的积极性, 共同构筑国家信息安全保障体系。
13
等级保护制度
(一)信息安全等级保护制度是什么?
14
什么是信息安全等级保护工作
操作系统通过设置升级服务器等方式保持系统 补丁及时得到更新
信息系统安全等级保护培训-网络安全
信息系统安全等级保护培训-网络安全信息系统安全等级保护培训-网络安全1-培训目的和背景1-1 目的本次培训的目的是提升参与人员的网络安全意识和技能,增强他们应对网络安全威胁的能力,保护信息系统的安全性和可用性。
1-2 背景随着信息化程度的不断提高,网络安全风险也日益复杂和严峻。
为了确保信息系统的安全等级保护,必须加强对网络安全的培训,提升相关人员的网络安全意识和技能。
2-培训内容2-1 网络安全基础知识2-1-1 认识网络安全的概念2-1-2 网络攻击的类型和特点2-1-3 常见的网络安全威胁和漏洞2-1-4 网络安全的重要性和影响2-2 信息系统安全等级保护要求2-2-1 信息系统安全等级保护的基本原则和规定 2-2-2 不同等级保护的要求和措施2-2-3 安全等级划分和评估方法2-3 网络攻击与防御技术2-3-1 常见的网络攻击技术和手段2-3-2 网络防御的基本原理和策略2-3-3 网络安全设备和工具的应用2-4 信息安全管理体系2-4-1 信息安全管理的基本概念和要素2-4-2 信息安全政策和制度2-4-3 信息安全风险评估和处理2-4-4 信息安全培训和宣传教育3-培训方法和形式3-1 培训方法3-1-1 理论讲授3-1-2 实践操作3-1-3 案例分析3-1-4 互动讨论3-2 培训形式3-2-1 线下面授3-2-2 在线培训3-2-3 实地考察和演练4-培训教材和工具4-1 培训教材4-1-1 网络安全教材4-1-2 信息安全管理相关文档 4-2 培训工具4-2-1 计算机、投影仪等设备 4-2-2 网络安全演示软件4-2-3 实验环境和工具5-培训评估和考核5-1 培训评估5-1-1 培训前的知识测试5-1-2 培训过程中的学习评估5-1-3 培训结束后的综合评估5-2 考核方式5-2-1 理论考试5-2-2 实践操作考核5-2-3 项目或案例分析6-培训总结和反馈培训结束后,组织进行总结和反馈,整理培训过程中的问题和改进意见,以提高培训效果。
信息安全等级保护培训教材PPT92页课件
……
TCP/IP IPX/SPX SNMP
……
场地 机房 网络布线 设备 存储设备
……
各级系统的保护要求差异
信息安全管理生命周期
建设管理
运维管理
系统定级 方案设计 产品使用 自行开发 系统交付 测试验收 工程实施 软件外包
设 介资 环密
备 质产 境码
恶 意 理
✓ 系统测评:《信息系统安全等级保护测评要求》是针对《信息安全等 级保护基本要求》的具体控制要求开发的测评要求,旨在强调系统按 照《信息安全等级保护基本要求》进行建设完毕后,检验系统的各项 保护要求是否符合相应等级的基本要求。
✓ 由上可见,《信息安全等级保护基本要求》在整个标准体系中起着承 上启下的作用。相关技术要求可以作为《信息安全等级保护基本要求 》的补充和详细指导标准。
公通字[2006]7号文 ✓ 明确了信息安全等级保护的具体要求。 ✓ 为推广和实施信息安全等级保护提供法律保障。
公信安[2007]861号 ✓ 标志着等级保护工作正式推向实施阶段。
等级保护政策依据
公通字[2007]43号文 2007.6.22
➢ 明确主管单位: 公安机关负责信息安全等级保护工作的监督、检查
、指导。
国家保密部门负责等保中保密工作的监督、检查、 指导。
国家密码管理部门负责等保中有关密码工作的监督 、检查、指导。
➢ 确定5个等级,但去掉了[2006 7号文]“自主保护 ”、“指导保护”、“监督保护”等称为。
等级保护政策依据
公通字[2007]43号文
五个等级的基本情况
➢ 第一级:运营、使用单位根据国家管理规范、技术标准自 主防护。
/ /
一级 9 9 6 7 2
3 4 7 20 18 85 /
信息系统安全等级保护培训课件(PPT 36页)
分级保护系列标准规范
《涉及国家秘密的计算机信息系统分级保 护技术要求》BMB17-2006 《涉及国家秘密计算机信息系统安全保密 方案设计指南》 BMB23-2008 涉密信息系统安全保障建设 《涉及国家秘密计算机信息系统分级保护 指南 管理规范》BMB20-2007 《涉及国家秘密的信息系统分级保护测评 指南》BMB22—2007 《涉及国家秘密计算机信息系统分级保护 管理办法 》国家保密局16号
敏感信息的办公系统和管理系统)。跨省或全国联网运行的用于生产、调度、管理、控制等
方面的重要系统及在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站 4)四级,国家重要领域、重要部门中的特别重要系统以及核心系统,电力、电信、广电、税 务等 5)五级,国家重要领域、重要部门中的极端重要系统
定级要素与等级的关系
对客体的侵害程度 受侵害的客体 一般损害 严重损害 特别严重损害 公民、法人和其他 组织的合法权益 第一级 第二级 第三级 第二级 第三级 第四级 第二级 第四级 第五级
社会秩序、公共利 益
国家安全
确定等级流程
业务信息安全保护等级矩阵表
系统服务安全保护等级矩阵表
系统安全保护等级矩阵表
等级保护的主要工作流程
自主定级和审批
- 信息系统运营使用单位按照等级保护管理办法和《信息系统安全等级保护定级指南》,确定信 息系统的安全保护等级。有上级主管部门的,应当经上级主管部门审核批准。跨省或者全国统一 联网运行的信息系统可以由其主管部门统一确定安全保护等级。 - 在信息系统确定安全保护等级过程中,可以进行必要的业务和技术评估,组织专家进行咨询评 审。对拟确定为第四级以上的信息系统的运营、使用单位或主管部门应当邀请国家信息安全等级 保护专家评审委员会评审。
信息网络安全考题答案(最新最全)
《信息网络安全知识普及教育》网络考试(^_^)考完了以77分进入合格名单一、判断题共20 题题号: 1本题分数:1 分风险评估辅助工具包括脆弱点扫描工具和渗透性测试工具。
标准答案:错误题号: 2本题分数:1 分对于涉及国家秘密的信息系统,应按照国家密码管理管理的相关规定和标准实施。
标准答案:错误题号: 3本题分数:1 分信息(Information )是指现代社会中所有数字化的事物特性。
标准答案:错误题号: 4本题分数:1 分访问控制是控制同一用户信息的不同信息资源访问权限。
标准答案:错误题号: 5本题分数:1 分台湾对外网络作战,目前有包括台军“老虎小组”网络部队、“国安局”和军情局三个系统。
标准答案:正确题号: 6本题分数:1 分网络信息具有共享性、实时性和广泛性。
标准答案:正确题号: 7本题分数:1 分1995年至2000年为我国互联网信息内容安全管理发展的初始阶段,由于互联网发展处于起步阶段,问题相对较少,相关的管理仅限于一般性规范,内容上也比较笼统模糊。
标准答案:错误题号: 8本题分数:1 分互联网信息内容安全管理是以政府、企业和社会各方面为主体,控制互联网上传播的信息内容,禁止有害信息的传播,从而使互联网上的信息内容完整、无害、有序的进行传播。
标准答案:正确题号: 9本题分数:1 分国务院新闻办公室主管全国的互联网新闻信息服务监督管理工作。
标准答案:正确题号: 10本题分数:1 分互联网信息服务提供者和互联网接入服务提供者的记录备份应当保存60日,并在国家有关机关依法查询时,予以提供。
标准答案:正确题号: 11本题分数:1 分对合法经营网吧的个体工商户,符合标准的允许其转制成为个人独资企业、合伙企业等企业的组织形式。
标准答案:正确题号: 12本题分数:1 分许多网吧的消防安全问题比较突出。
标准答案:正确严禁“网吧”提供临时卡供客人上网,所有上网人员必须携带上网卡、身份证。
对违反实名登记管理规定的“网吧”,除扣分、罚款外,无需责令停业整顿。
信息安全等级保护培训课程(PDF 99页)
方 法 指 导
基线要求
信息系统安全等级保护基本要求的行业细则
信
信
息
息
系
系
统
统
等
安
级
全
保
等
护
级
安
保
全
护
设
实
计
施
技
指
术
南
要
求
信息系统安全等级保护基本要求
技术类
信息系统通用安全
管理类
信息系统安全
产品类
操作系统安全技术
目录
有关的概念、政策和标准回顾 安全建设整改的具体要求和工作流程 安全建设整改的内容和方法
第四级 S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,
S4A2G4,S4A1G4
第五级 S1A5G5,S2A5G5,S3A5G5,S4A5G5,S5A5G5,
S5A4G5,S5A3G5,S5A2G5,S5A1G5
安全保护能力
系统能够抵御威胁、发现安全事件以及在系 统遭到损害后能够恢复先前状态等的程度
2008
信息安全技术
信息系安全统技安术全等级信保息护系基统本通要用求安全技术要求
3 GB/T 21052-2006 信息安全技术 信息系统物理安全技术要求
6
GB/T 244856-GB/T 2009
2信02息7安0-全20技0术6
信息系安全统技等术级保护网安络全基设础计安技全术技要术求要求
5 GB/T 20272-2006 信息安全技术 操作系统安全技术要求
指对国家秘密信息、法人和其他组织及公民的专有 信息以及公开信息和存储、传输、处理这些信息的 信息系统分等级实行安全保护;
信息系统安全等级保护培训
随着我国信息化建设的快速发展,信息安全问题日益突出,已经成为影响国家安全、社会稳定和人民 群众切身利益的重大问题。为加强信息安全保障工作,国家制定并实施了信息安全等级保护制度。
数据安全防护策略
数据加密存储
对重要数据进行加密存储,防止 数据被非法窃取或篡改。
数据备份与恢复
建立定期备份机制,确保在数据 损坏或丢失的情况下能够及时恢
复。
数据脱敏处理
对敏感数据进行脱敏处理,降低 数据泄露的风险。
应用系统安全防护策略
身份认证与授权
通过用户名/密码、数字证书等手段,确保只有授权用户能够访问 应用系统。
风险评估目的和意义
01
02
03
识别潜在威胁
通过对信息系统的全面分 析,识别可能对系统造成 危害的潜在威胁,如恶意 攻击、数据泄露等。
评估系统脆弱性
评估系统存在的安全漏洞 和弱点,确定系统可能受 到攻击的薄弱环节。
确定风险等级
根据威胁的可能性和系统 脆弱性的严重程度,确定 风险等级,为后续的安全 防护措施提供依据。
案例三:教育行业网络安全等级保护探索
背景介绍
教育行业网络涉及大量学生信息和教 学资源,其安全性对于保障教学质量 和学生权益具有重要意义。然而,当 前教育行业网络安全形势严峻,加强 教育行业网络安全等级保护势在必行 。
网络安全等级保护探 索
教育行业积极探索网络安全等级保护 实践,按照信息安全等级保护相关标 准,对教育网络进行定级、备案和测 评。通过完善网络安全管理制度、加 强网络安全技术防护、提高网络安全 意识等措施,提升教育网络的安全防 护能力。
网络安全与风险评估培训教程
为员工提供网络安全实践机会,如参与安全项目、处理安全事件 等,让员工在实践中掌握网络安全技能。
感谢您的观看
THANKS
常见漏洞修复方法
针对不同类型的漏洞,提供具体的 修复方法和技巧,如打补丁、升级 软件版本、修改配置等。
漏洞修复最佳实践
分享漏洞修复过程中的经验和教训 ,提出预防漏洞的措施和建议,如 定期更新软件、加强安全配置等。
05
数据安全与隐私保护策略
数据安全概念及重要性阐述
数据安全定义
数据安全是指通过采取必要措施,确保数据的保密性、完整性和可用性,防止 数据被未经授权的访问、泄露、破坏或篡改。
。
DDoS攻击的防御
定期更新操作系统和应用程序补丁;使用可 靠的防病毒软件,并定期更新病毒库;限制 不必要的软件安装。
零日漏洞攻击的防御
及时关注安全公告和漏洞信息,更新软件和 系统;采用最小权限原则,限制潜在攻击面 ;定期进行安全审计和渗透测试,发现潜在 风险。
应急响应计划和处置措施
01
建立应急响应团队
制定风险处置计划
针对不同等级的风险,制定相应的处置措施和计划,以 降低或消除风险。
03
网络攻击手段与防御策略
常见网络攻击手段剖析
1 钓鱼攻击
通过伪造信任网站或邮件,诱导用户输入敏感信息,如 用户名、密码等。
2 恶意软件攻击
包括病毒、蠕虫、木马等,通过感染用户设备,窃取数 据或破坏系统功能。
3 分布式拒绝服务(DDoS)攻击
识别潜在威胁
通过网络扫描、漏洞挖掘等手段,发现可能存 在的安全威胁和漏洞。
分析脆弱性
对识别出的威胁进行深入分析,确定其可能利用 的脆弱性和攻击路径。
信息系统安全等级保护培训-网络安全
信息系统安全等级保护培训-网络安全信息系统安全等级保护培训-网络安全
1、培训目的
1.1 介绍信息系统安全等级保护的基本概念
1.2 介绍网络安全的重要性和意义
1.3 提供网络安全相关知识和技能培训
1.4 增强员工对网络安全的意识和保护能力
2、信息系统安全等级保护简介
2.1 信息系统安全等级划分和评估概述
2.2 信息系统安全等级保护的原则和要求
2.3 信息系统安全等级保护的评估流程和方法
3、网络安全基础知识
3.1 计算机网络基本概念和组成
3.2 网络安全威胁和攻击类型
3.3 常见的网络安全漏洞和风险
3.4 网络安全防护措施和技术
4、网络安全管理
4.1 网络安全策略和规范制定
4.2 网络设备和系统的安全配置
4.3 网络访问控制和权限管理
4.4 网络事件监测和应急处理
5、常见网络安全工具和技术
5.1 防火墙和入侵检测系统
5.2 数据加密和身份认证技术
5.3 网络漏洞扫描和安全评估工具
5.4 入侵事件分析和取证技术
附件:
1、网络安全培训课件
2、网络安全案例分析
法律名词及注释:
1、个人信息保护法:指对个人的基本信息进行保护的法律法规。
2、数据安全法:指保护数据安全、维护网络安全的法律法规。
3、信息安全法:指保护信息系统安全、网络安全的法律法规。
网络安全等级保护测评高风险判定指引(等保2.0)讲课讲稿
网络安全等级保护测评高风险判定指引(等保2.0)网络安全等级保护测评高风险判定指引信息安全测评联盟2019年6月目录1适用范围 (1)2术语和定义 (1)3参考依据 (2)4安全物理环境 (2)4.1 物理访问控制 (2)4.2 防盗窃和防破坏 (3)4.3 防火 (3)4.4 温湿度控制 (4)4.5 电力供应 (4)4.6 电磁防护 (6)5安全通信网络 (6)5.1 网络架构 (6)5.2 通信传输 (10)6安全区域边界 (11)6.1 边界防护 (11)6.2 访问控制 (14)6.3 入侵防范 (15)6.4 恶意代码和垃圾邮件防范 (16)6.5 安全审计 (17)7安全计算环境 (17)7.1 网络设备、安全设备、主机设备等 (17)7.1.1 身份鉴别 (17)7.1.2 访问控制 (20)7.1.3 安全审计 (20)7.1.4 入侵防范 (21)7.1.5 恶意代码防范 (23)7.2 应用系统 (24)7.2.1 身份鉴别 (24)7.2.2 访问控制 (27)7.2.3 安全审计 (29)7.2.4 入侵防范 (29)7.2.5 数据完整性 (31)7.2.6 数据保密性 (32)7.2.7 数据备份恢复 (33)7.2.8 剩余信息保护 (35)7.2.9 个人信息保护 (36)8安全区域边界 (37)8.1 集中管控 (37)9安全管理制度 (39)9.1 管理制度 (39)10安全管理机构 (39)10.1 岗位设置 (39)11安全建设管理 (40)11.1 产品采购和使用 (40)11.2 外包软件开发 (41)11.3 测试验收 (42)12安全运维管理 (43)12.1 漏洞和风险管理 (43)12.2 网络和系统安全管理 (43)12.3 恶意代码防范管理 (45)12.4 变更管理 (46)12.5 备份与恢复管理 (46)12.6 应急预案管理 (47)附件基本要求与判例对应表 (49)网络安全等级保护测评高风险判定指引1适用范围本指引是依据GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》有关条款,对测评过程中所发现的安全性问题进行风险判断的指引性文件。
信息安全讲座课件ISM03信息安全等级保护与风险评估
信息安全管理
2021年5月9日
10
3.2 信息系统安全等级保护实施
1.基本原则
等级保护的核心是对信息系统分等级、按标准进行建设、 管理和监督。等级保护在实施过程中应遵循的基本原则: ➢ 自主保护原则
由各主管部门和运营、使用单位按照国家相关法规和标准, 自主确定信息系统的安全等级,自行组织实施安全保护 ➢ 同步建设原则
信息安全管理
2021年5月9日
16
3.3 信息系统安全保护等级确定
(1) 受侵害的客体 ➢公民、法人和其他组织的合法权益 ➢社会秩序、公共利益 ➢国家安全 (2)对客体的侵害程度 ➢造成一般损害 ➢造成严重损害 ➢造成特别严重损害
信息安全管理
2021年5月9日
17
3.3 信息系统安全保护等级确定
信息安全管理
2021年5月9日
3
3.1 信息安全等级保护制度
➢ 2003年中央办公厅、国务院办公厅转发的《国家信息化 领导小组关于加强信息安全保障工作的意见》(中办发 〔2003〕27号)中明确指出:“要重点保护基础信息网络和 关系国家安全、经济命脉、社会稳定等方面的重要信息系统, 抓紧建立信息安全等级保护制度,制定信息安全等级保护的 管理办法和技术指南。” ➢ 2004年公安部等四部委《关于信息安全等级保护工作的 实施意见》(公通字〔2004〕66号)也指出,信息安全等级 保护制度是国家在国民经济和社会信息化的发展过程中,提 高信息安全保障能力和水平,维护国家安全、社会稳定和公 共利益,保障和促进信息化建设健康发展的一项基本制度。
信息安全管理
2021年5月9日
21
Байду номын сангаас
3.3 信息系统安全保护等级确定
信息安全-等保培训
等保安全整改
通用安全要求 云计算扩展要求 移动互联网要求 物联网扩展要求 工控扩展要求 大数据扩展要求
安全物理环境 安全通信网络 安全区域边界 安全计算环境 安全管理中心 安全管理制度 安全管理机构 安全管理人员 安全建设管理 安全运维管理
安全物理环境 安全通信网络 安全区域边界 安全计算环境 安全管理中心
的完整性
国密Ukey
认证凭证
采用密码技术 对连接到内部 网络的设备进 行安全认证
采用密码技术 对通信的双方 身份进行认证
VPN加密机
数据库密码机 签名验签服务器
PKI 服务器密码机
传输加密
存储加密
的
完整性
采用密码技术保证 通信过程中敏感信 息数据字段或整个
报文的机密性
安全建设管理 安全运维管理
安全物理环境 安全区域边界 安全计算环境
安全建设管理 安全运维管理
安全物理环境 安全区域边界 安全计算环境
安全运维管理
安全物理环境 安全通信网络 安全区域边界 安全计算环境
安全建设管理
安全物理环境 安全通信网络 安全计算环境
安全建设管理 安全运维管理
密码应用评估
颁布实施时间
密码应用评估密码应用评估主要组件应使用密码技术的完整性功能来保证电子门禁系统进出记录的完整性应使用密码技术的完整性功能来保证视频监控音像记录的完整性门禁视频认证凭证传输加密存储加密密钥管理采用密码技术对连接到内部网络的设备进行安全认证采用密码技术对通信的双方身份进行认证采用密码技术保证通信过程中数据的完整性采用密码技术保证通信过程中敏感信息数据字段或整个报文的机密性采用密码技术保证重要数据在存储过程中的机密性完整性采用密码技术的完整性功能保证重要信息资源敏感标记的完整性宜采用符合gmt0028的二级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理密码设备国密ukeyvpn加密机数据库密码机签名验签服务器pki服务器密码机密码应用评估流程等保最终测评系统运行维护阶段定级评审备案需求分析总体设计建设方案规划整体实施方案设计安全产品和服务覆盖等保技术实现等保管理实现等保合规自评运行管控变更管控状态监控服务商管控等保测评检查改进信息处理设备处理存储介质处理对象定级与备案总体安全规划安全设计与实施安全运行与维护定级对象终止等保20标准要求第三级以上的系统每年开展一次测评
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全等级保护福建省公安厅公共信息网络安全监察总队康仲生一、信息安全等级保护工作概述2.1.1 信息安全等级保护涵义对国家秘密信息、法人和其他组织及公民的专有信息以及公开息和存储、传输、处理这些信息的信息系统分等级实行安全保护。
对信息系统中使用的信息安全产品实行按等级管理。
对信息系统中发生的信息安全事件分等级响应、处置。
2.1.2 开展工作的政策和法律依据1994年,《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
1995年2月18日人大12次会议通过并实施的《中华人民共和国警察法》第二章第六条第十二款规定,公安机关人民警察依法履行“监督管理计算机信息系统的安全保护工作”--法律依据。
2.1.2 开展工作的政策和法律依据2003年,中办、国办转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。
“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障的一项基本制度。
同时中央27号文明确了各级党委和政府在信息安全保障工作中的领导地位,以及“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。
2.1.2 开展工作的政策和法律依据公安部、国家保密局、国家密码管理局、国信办联合印发:2004年《关于信息安全等级保护工作的实施意见》(66号文件)2007年6月,《信息安全等级保护管理办法》(公通字[2007]43号),明确了信息安全等级保护制度的基本内容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监管部门在信息安全保护工作中的职责、任务,为开展信息安全等级保护工作提供了规范保障。
制定了包括《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评要求》等在内的50多个国标和行标,初步形成了信息安全等级保护标准体系。
2.1.3 信息安全等级保护的重要意义存在突出问题:1、信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;2、信息系统安全建设和管理的目标不明确;3、信息安全保障工作的重点不突出;4、信息安全监督管理缺乏依据和标准,监管措施有待到位,监管体系尚待完善。
2.1.3 信息安全等级保护的重要意义信息安全等级保护制度是国家信息安全保障的基本制度、基本策略、基本方法;是当今发达国家的通行做法,也是我国多年来信息安全工作经验的总结,充分体现“适度安全、保护重点”的原则。
开展信息安全等级保护工作:1、有利于在信息化建设过程中同步建设信息安全设施,保障信息安全和信息化建设相协调;2、有利于为信息系统安全建设和管理提供系统性、针对性、可行的指导和服务;3、有利于保障重点;4、有利于明确责任;5、有利于产业发展;2.1.4 开展等级保护工作的总体要求1、各个基础信息网络和重要信息系统,按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。
2、公安机关和保密、密码工作部门要及时开展监督检查,严格审查信息系统所定级别,严格检查信息系统开展备案、整改、测评等工作。
3、对故意将信息系统安全级别定低,逃避公安、保密、密码部门监管,造成信息系统出现重大安全事故的,要追究单位和人员的责任。
二、明确各方责任义务2.2.1《管理办法》第二条明确了国家的责任国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
信息安全监管部门包括公安机关、保密部门、国家密码工作部门。
信息安全监管部门代表国家制定等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
2.2.2《管理办法》第三条明确了信息安全监管部门的职责公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
2.2.3《管理办法》第四条、第五条明确了信息系统主管部门和运营使用单位的责任义务信息系统主管部门应当依照《管理办法》及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
信息系统的运营、使用单位应当依照《管理办法》及其相关标准规范,履行信息安全等级保护的义务和责任。
2.2.4 公民、法人和其他组织的责任义务公民、法人和其他组织应当按照国家有关等级保护的管理规范和技术标准开展等级保护工作,服从国家对信息安全等级保护工作的监督、指导,保障信息系统安全。
信息安全产品的研制、生产单位,信息系统的集成、等级测评、风险评估等安全服务机构,依据国家有关管理规定和技术标准,开展相应工作,并接受国家信息安全职能部门的监督管理。
三、信息系统安全保护等级的划分与保护2.3.1“自主定级、自主保护”与国家监管《管理办法》第六条规定,国家信息安全等级保护工作坚持“自主定级、自主保护”的原则。
各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体,根据所属信息系统的重要程度和遭到破坏后的危害程度,自主确定信息系统的安全保护等级。
同时,按照所定等级,依照相应等级的管理规范和技术标准,建设信息安全保护设施,建立安全制度,落实安全责任,自主对信息系统进行保护。
在等级保护工作,信息系统运营使用单位和主管部门要按照“谁主管谁负责,谁运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。
运营使用单位和主管部门是信息系统安全的第一责任人,对所属信息系统安全负有直接责任;公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导,对重要信息系统安全负监管责任。
由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序,也会影响国家安全、社会稳定、公共利益,因此,国家必然要对重要信息系统的安全进行监管。
2.3.2 信息系统安全保护等级的定级要素信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
受侵害的客体:1、公民、法人和其他组织的合法权益;2、社会秩序、公共利益;3、国家安全。
对客体的侵害程度:1、造成一般损害;2、造成严重损害;3、造成特别严重损害。
2.3.3 信息系统安全保护等级四、信息系统安全保护等级的确定与实施2.4.1 定级范围一是电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
二是铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
三是市(地)级以上党政机关的重要网站和办公信息系统。
四是涉及国家秘密的信息系统。
电信基础信息网络也是重要信息系统2.4.2 系统定级2.4.2 系统定级定级是等级保护工作的首要环节,是开展信息系统建设、改、测评、备案、监督检查等后续工作的重要基础。
信息系统安全级别定不准,系统建设、整改、备案、等级测评等后续工作都失去了针对性。
需要特别说明的是:信息系统的安全保护等级是信息系统的客观属性,不以已采取或将采取什么安全保护措施为依据,也不以风险评估为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全等级。
2.4.2.1 定级工作的步骤第一步:摸底调查,掌握信息系统底数。
(信息系统的业务类型、应用或服务范围、系统结构基本情况)第二步:确定定级对象第三步:初步确定信息系统等级2.4.2.2 定级的一般流程信息系统安全包括业务信息安全和系统服务安全。
信息安全是指:确保信息系统内信息的保密性、完整性和可用性等,系统服务安全是指:确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。
业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。
从业务信息安全角度反映的信息系统安全保护等级称业务信息安全等级。
从系统服务安全角度反映的信息系统安全保护等级称系统服务安全等级。
由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。
2.4.2.3 定级基本流程2.4.2.4 定级阶段-关于定级对象确定一、定级对象的三个条件具有唯一确定的安全责任单位作为定级对象的信息系统应能够唯一地确定其安全责任单位,这个安全责任单位就是负责等级保护工作部署、实施的单位,也是完成等级保护备案和接受监督检查的直接责任单位。
满足信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。
应避免将某个单一的系统组件, 如单台的服务器、终端或网络设备等作为定级对象。
2.4.2.4 定级阶段-关于定级对象确定承载相对独立的业务应用定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流程、部分业务功能独立,同时与其他信息系统的业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。
“相对独立”的业务应用并不意味着整个业务流程,可以是完整的业务流程的一部分。
2.4.2.4 定级阶段-关于定级对象确定准确确定定级对象。
在定级工作中,如何科学、合理地确定定级对象是最关键的问题。
这里首先要明确一个概念,信息系统包括起支撑、传输作用的基础信息网络和各类应用系统。
具体工作中,应按如下原则确定定级对象:一、起支撑、传输作用的基础信息网络要作为定级对象。
但不是将整个网络作为一个定级对象,而是要从安全管理和安全责任的角度将基础信息网络划分成若干个最小安全域或最小单元去定级。