信息系统等级保护44页PPT
合集下载
信息系统安全等级保护实施指南介绍PPT文档共110页
➢ 风险管理方法以“风险”控制为核心,描述了风 险管理的主要活动过程;
➢ 信息系统实施等级保护的思路是首先根据信息系 统定级方法对信息系统进行定级,根据安全级别 确定基本安全保护措施,通过风险分析补充其它 需要的安全措施,构成等级保护安全设计方案, 并依据方案进行安全工程实施。
概述-与风险管理之间的关系(续)
主要阶段和主要活动
重要概念
阶段
阶段主要活动
主要活动过程
工作内容
阶段目标
活动目标
参与角色
主要参考标准
实施流程/ 主要活动
主要活动过程
过程目标 输入 输出
主要工作内容
实施等级保护的主要阶段
第一阶段:系统定级 第二阶段:安全规划设计 第三阶段:安全实施/实现 第四阶段:安全运行管理 第五阶段:系统终止
系统定级阶段-系统识别和划分(续)
▪ 信息系统划分方法
– 从组织管理角度划分 – 从业务类型角度划分 – 从物理区域或运行环境角度划分
系统定级阶段-业务子系统识别和描述
过程目标
➢ 如果某一个信息系统中包含多个业务子系统,识别 出主要的业务子系统;
➢ 对主要业务子系统的安全属性进行识别和描述。
输入
等级保护的基本实施过程
基本实施过程 与信息系统生命周期之间的关系 重要概念
等级保护的基本实施过程
局部调整
系统定级 安全规划设计 安全实施/实现 安全运行管理
系统终止
重大变更
与信息系统生命周期之间的关系
▪ 新建信息系统
信息系统生命周期
启动 阶段
设计开 发阶段
实施 阶段
运行维护阶段
中止 阶段
新建信息系统等级保护实施过程
信息系统安全等级保护实施指南介绍
➢ 信息系统实施等级保护的思路是首先根据信息系 统定级方法对信息系统进行定级,根据安全级别 确定基本安全保护措施,通过风险分析补充其它 需要的安全措施,构成等级保护安全设计方案, 并依据方案进行安全工程实施。
概述-与风险管理之间的关系(续)
主要阶段和主要活动
重要概念
阶段
阶段主要活动
主要活动过程
工作内容
阶段目标
活动目标
参与角色
主要参考标准
实施流程/ 主要活动
主要活动过程
过程目标 输入 输出
主要工作内容
实施等级保护的主要阶段
第一阶段:系统定级 第二阶段:安全规划设计 第三阶段:安全实施/实现 第四阶段:安全运行管理 第五阶段:系统终止
系统定级阶段-系统识别和划分(续)
▪ 信息系统划分方法
– 从组织管理角度划分 – 从业务类型角度划分 – 从物理区域或运行环境角度划分
系统定级阶段-业务子系统识别和描述
过程目标
➢ 如果某一个信息系统中包含多个业务子系统,识别 出主要的业务子系统;
➢ 对主要业务子系统的安全属性进行识别和描述。
输入
等级保护的基本实施过程
基本实施过程 与信息系统生命周期之间的关系 重要概念
等级保护的基本实施过程
局部调整
系统定级 安全规划设计 安全实施/实现 安全运行管理
系统终止
重大变更
与信息系统生命周期之间的关系
▪ 新建信息系统
信息系统生命周期
启动 阶段
设计开 发阶段
实施 阶段
运行维护阶段
中止 阶段
新建信息系统等级保护实施过程
信息系统安全等级保护实施指南介绍
《信息安全等级保护》PPT课件
• 信息安全等级保护的关键所在正是基于信息系 统所承载应用的重要性,以及该应用损毁后带 来的影响程度来判断风险是否控制在可接受的 范围内。
精选PPT
6
原则
• 谁主管谁负责、谁运营谁负责 • 自主定级、自主保护、监督指导
精选PPT
7
主要流程
一是:定级。
二是:备案。
三是:系统建设、整改。
四是:等级测评。
• 对技术要求
– ‘访谈’方法:
• 目的是了解信息系统的全局性。 • 范围一般不覆盖所有要求内容。
– ‘检查’方法:
• 目的是确认信息系统当前具体安全机制和运行的配 置是否符合要求 。
• 范围一般要覆盖所有要求内容。
– ‘测试’方法:
• 目的是验证信息系统安全机制有效性和安全强度。
• 范围不覆盖所有要求内容。
– 第三级,信息系统受到破坏后,会对社会秩序和公共 利益造成严重损害,或者对国家安全造成损害。
– 第四级,信息系统受到破坏后,会对社会秩序和公共 利益造成特别严重损害,或者对国家安全造成严重损 害。
– 第五级,信息系统受到破坏后,会对国家安全造成特 别严重损害。
精选PPT
10
定级原理(2)
• 定级要素
精选PPT
22
22
关系2
一级系统
通信/边界(基本)
二级系统
通信/边界/内部(关键设备)
三级系统
通信/边界/内部(主要设备)
通信/边界/内部/基础设施(所有设备) 四级系统
精选PPT
23
23
关系3
一级系统
计划和跟踪(主要制度)
二级系统
计划和跟踪(主要制度)
良好定义(管理活动制度化) 三级系统
等级保护宣讲-ppt课件
第五阶段:由于公安的强势管理和重视安全的企业的自我觉醒,民企发现,做安全,除等保外没有别的选择。
部委
省厅单位
三甲医院、高校、央企 省属国企、大金融、运营商
地级市委办局、县委办局、普教 普通医院、市属国企、其他事业单位
民营企业包括:互联网、电子商务、小金融、 物流、具有品牌影响力的公司和其他规模公司
目前,全国范围内正在处于第三阶段,落后地区第二阶段还只完成部分,发达地区已经尝试从第三阶段迈入第四第五阶段。
1
背景知识
用户开展等级保护建设的意义
安全体系
责任分担
以等级保护为标准开展安全建设,让安全建设更加体系化,可以从物理、网络、主机、应用和数据多个方面成体系的进行安全建设,再也不是头痛医头脚痛医脚,对本单位的安全建设有整体的规划和思路。
安全建设体系化
责任更清晰
完成等保测评意味着公安机关认可你的安全现状,一旦发生安全事件是意外。如果没有进行等级保护测评意味着你没有达到国家要求,一旦发生安全事件要自己承担相关责任。
3
等保工作
3
等保工作
等保 工作
新系统上线、网络架构调整时,都要再重新做等保规划建设; 等保建设是持续性的,每年测评只要有问题,就要做整改。
等级保护建设中的角色
公安机关备案的测评机构
主要承担系统测评的工作,只有在当地公安机关备案的测评机构才可以开展测评工作。
集成商、安全厂商
根据咨询服务单位提供的整改方案,要采购相应的安全设备和服务,这些内容由集成商和安全厂商提供。
3
等保工作
等级保护的等级划分
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益; 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全; 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害; 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害; 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
部委
省厅单位
三甲医院、高校、央企 省属国企、大金融、运营商
地级市委办局、县委办局、普教 普通医院、市属国企、其他事业单位
民营企业包括:互联网、电子商务、小金融、 物流、具有品牌影响力的公司和其他规模公司
目前,全国范围内正在处于第三阶段,落后地区第二阶段还只完成部分,发达地区已经尝试从第三阶段迈入第四第五阶段。
1
背景知识
用户开展等级保护建设的意义
安全体系
责任分担
以等级保护为标准开展安全建设,让安全建设更加体系化,可以从物理、网络、主机、应用和数据多个方面成体系的进行安全建设,再也不是头痛医头脚痛医脚,对本单位的安全建设有整体的规划和思路。
安全建设体系化
责任更清晰
完成等保测评意味着公安机关认可你的安全现状,一旦发生安全事件是意外。如果没有进行等级保护测评意味着你没有达到国家要求,一旦发生安全事件要自己承担相关责任。
3
等保工作
3
等保工作
等保 工作
新系统上线、网络架构调整时,都要再重新做等保规划建设; 等保建设是持续性的,每年测评只要有问题,就要做整改。
等级保护建设中的角色
公安机关备案的测评机构
主要承担系统测评的工作,只有在当地公安机关备案的测评机构才可以开展测评工作。
集成商、安全厂商
根据咨询服务单位提供的整改方案,要采购相应的安全设备和服务,这些内容由集成商和安全厂商提供。
3
等保工作
等级保护的等级划分
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益; 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全; 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害; 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害; 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
2024年度-信息系统安全等级保护培训课件
数据备份与恢复技术
定期备份重要数据,并制定详细的数据恢复计划 ,确保在数据丢失或损坏时能够及时恢复。
3
数据脱敏技术
对敏感数据进行脱敏处理,降低数据泄露风险。
14
应用安全技术
身份认证与授权技术
采用用户名/密码、数字证书等身份认证方式,确保用户身份的真 实性和合法性;同时根据用户角色分配相应的权限,防止越权访问 。
某中学在线教育平台
该平台为学生提供在线学习资源和交流互动功能,按照等级保护一级标准进行建 设,通过加强网络安全和内容过滤等措施,确保平台健康安全运行。
23
06
CATALOGUE
信息系统安全等级保护挑战与展望
24
当前面临的主要挑战
网络安全威胁日益严重
网络攻击手段不断翻新,高级持续性 威胁(APT)等网络攻击对信息系统 安全构成严重威胁。
通过实施等级保护,能够有效提高我 国信息安全工作的整体水平,提升我 国网络和信息安全的核心竞争力。
实施等级保护可以规范信息安全管理 ,提高信息系统的安全防护能力,从 而保障信息化的健康发展。
维护国家安全和社会稳定
等级保护制度是国家信息安全保障的 基本制度,对于维护国家安全和社会 稳定具有重要意义。
6
4
等级划分及标准
等级划分
根据信息系统受到破坏后,会对国家 安全、社会秩序、公共利益以及公民 、法人和其他组织的合法权益的危害 程度等因素,将其划分为五个等级。
标准
《信息系统安全等级保护基本要求》 等标准规范了不同等级信息系统的安 全保护要求。
5
重要意义和作用
落实国家信息安全战略
促进信息化健康发展
某ቤተ መጻሕፍቲ ባይዱ商公司交易平台
该平台涉及大量用户数据和交易信息,按照等级保护二级标 准进行建设,通过部署安全防护设备和加强安全管理,确保 平台数据安全和用户隐私。
定期备份重要数据,并制定详细的数据恢复计划 ,确保在数据丢失或损坏时能够及时恢复。
3
数据脱敏技术
对敏感数据进行脱敏处理,降低数据泄露风险。
14
应用安全技术
身份认证与授权技术
采用用户名/密码、数字证书等身份认证方式,确保用户身份的真 实性和合法性;同时根据用户角色分配相应的权限,防止越权访问 。
某中学在线教育平台
该平台为学生提供在线学习资源和交流互动功能,按照等级保护一级标准进行建 设,通过加强网络安全和内容过滤等措施,确保平台健康安全运行。
23
06
CATALOGUE
信息系统安全等级保护挑战与展望
24
当前面临的主要挑战
网络安全威胁日益严重
网络攻击手段不断翻新,高级持续性 威胁(APT)等网络攻击对信息系统 安全构成严重威胁。
通过实施等级保护,能够有效提高我 国信息安全工作的整体水平,提升我 国网络和信息安全的核心竞争力。
实施等级保护可以规范信息安全管理 ,提高信息系统的安全防护能力,从 而保障信息化的健康发展。
维护国家安全和社会稳定
等级保护制度是国家信息安全保障的 基本制度,对于维护国家安全和社会 稳定具有重要意义。
6
4
等级划分及标准
等级划分
根据信息系统受到破坏后,会对国家 安全、社会秩序、公共利益以及公民 、法人和其他组织的合法权益的危害 程度等因素,将其划分为五个等级。
标准
《信息系统安全等级保护基本要求》 等标准规范了不同等级信息系统的安 全保护要求。
5
重要意义和作用
落实国家信息安全战略
促进信息化健康发展
某ቤተ መጻሕፍቲ ባይዱ商公司交易平台
该平台涉及大量用户数据和交易信息,按照等级保护二级标 准进行建设,通过部署安全防护设备和加强安全管理,确保 平台数据安全和用户隐私。
信息安全等级保护演示文稿
《信息安全技术 信息系统安全工程管理要求》 (GB/T 20282-2006) 《信息系统安全管理体系标准》(ISO/IEC 27001)
等保方案类标准:
《信息安全技术 信息系统安全等级保护实施指南》 ( GB/T xxxxx-2007 )
第十七页,共49页。
等级保护的技术标准规范
国家已出台约70余个标准,重点需要了解的有:
什么是等级保护 等级保护的国家政策与标准规范
等级保护的工作内容 等级保护的建设流程 等级保护各参与部门的角色定位 涉及国家秘密信息系统的分保护管理
第四页,共49页。
什么是等级保护
信息系统等级保护的定义
是指对国家秘密信息、法人和其他组织及公民的专 有信息以及公开信息和存储、传输、处理这些信息的
公通字 [2004]66号
公通字 [2007]43号
公安部
国家保密局
国家密码管理委 员会办公室
(国家密码管理 局)
国务院信息化工 作办公室
公信安 [2007]861 号
内容及意义
第一次提出信息系统要实行 等级保护,并确定了等级保 护的职责单位。
等级保护工作的开展必须分 步骤、分阶段、有计划的实 施。明确了信息安全等级保 护制度的基本内容。
等级保护的建设模式
安全现状
需求
基本要求
物理 安全
网络 安全
主机 安全
数据安 全与备 份恢复
应用 安全
满足政策要求 满足标准要求 满足用户自身要求
第二十四页,共49页。
等级保护的体系架构
安全接入/隔离设备
区域边界
区域边界
通信网络
通信网络
其它定级系统
安全管理 中心
安全管理中心
等保方案类标准:
《信息安全技术 信息系统安全等级保护实施指南》 ( GB/T xxxxx-2007 )
第十七页,共49页。
等级保护的技术标准规范
国家已出台约70余个标准,重点需要了解的有:
什么是等级保护 等级保护的国家政策与标准规范
等级保护的工作内容 等级保护的建设流程 等级保护各参与部门的角色定位 涉及国家秘密信息系统的分保护管理
第四页,共49页。
什么是等级保护
信息系统等级保护的定义
是指对国家秘密信息、法人和其他组织及公民的专 有信息以及公开信息和存储、传输、处理这些信息的
公通字 [2004]66号
公通字 [2007]43号
公安部
国家保密局
国家密码管理委 员会办公室
(国家密码管理 局)
国务院信息化工 作办公室
公信安 [2007]861 号
内容及意义
第一次提出信息系统要实行 等级保护,并确定了等级保 护的职责单位。
等级保护工作的开展必须分 步骤、分阶段、有计划的实 施。明确了信息安全等级保 护制度的基本内容。
等级保护的建设模式
安全现状
需求
基本要求
物理 安全
网络 安全
主机 安全
数据安 全与备 份恢复
应用 安全
满足政策要求 满足标准要求 满足用户自身要求
第二十四页,共49页。
等级保护的体系架构
安全接入/隔离设备
区域边界
区域边界
通信网络
通信网络
其它定级系统
安全管理 中心
安全管理中心
信息系统安全等级保护培训课件(PPT 36页)
区域边界保护
保护计算环境
保护计算环境
实现集中安全管理
落实安全管理措施
三级系统安全管理措施
- 建立全面的安全管理制度,并安排专人负责并监控执行情况; - 建立全面的人员管理体系,制定严格的考核标准 - 建设过程的各项活动都要求进行制度化规范,按照制度要求进行 活动的开展 - 实现严格的保密性管理 - 成立安全运维小组,对安全维护的责任落实到具体的人 - 引入第三方专业安全服务
物理安 • 需要到物理机房实地检查,请提前申请进入机房的相关手续,并协调查看机房管理相关管理记录 全
网络安 • 需要登录网络设备、安全设备检查相关配置及漏洞扫描,请分配可接入的网络端口及地址,提供配置文件
全 主机安 • 需要登录相关主机设备检查相关配置及漏洞扫描,请分配可接入的网络端口及地址 全 应用安 • 请提供应用系统访问地址,以及访问该应用所需的网络地址,帐户名称、口令以及其它鉴别方式所需软硬件设备 全
分级保护系列标准规范
《涉及国家秘密的计算机信息系统分级保 护技术要求》BMB17-2006 《涉及国家秘密计算机信息系统安全保密 方案设计指南》 BMB23-2008 涉密信息系统安全保障建设 《涉及国家秘密计算机信息系统分级保护 指南 管理规范》BMB20-2007 《涉及国家秘密的信息系统分级保护测评 指南》BMB22—2007 《涉及国家秘密计算机信息系统分级保护 管理办法 》国家保密局16号
管理制 • 请提供安全管理制度电子档或纸质版本,以及相关记录文件
度
1、最灵繁的人也看不见自己的背脊。——非洲 2、最困难的事情就是认识自己。——希腊 3、勇猛、大胆和坚定的决心能够抵得上武器的精良。——达· 芬奇 4、与肝胆人共事,无字句处读书。——周恩来 5、一个人即使已登上顶峰,也仍要自强不息。——罗素· 贝克 6、一切节省,归根到底都归结为时间的节省。——马克思 7、自知之明是最难得的知识。——西班牙 8、勇气通往天堂,怯懦通往地狱。——塞内加 9、有时候读书是一种巧妙地避开思考的方法。——赫尔普斯 10、阅读一切好书如同和过去最杰出的人谈话。——笛卡儿 11、有勇气承担命运这才是英雄好汉。——黑塞 12、只有把抱怨环境的心情,化为上进的力量,才是成功的保证。——罗曼· 罗兰 13、知人者智,自知者明。胜人者有力,自胜者强。——老子 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。——歌德 15、最具挑战性的挑战莫过于提升自我。——迈克尔· F· 斯特利 16、业余生活要有意义,不要越轨。——华盛顿 17、意志是一个强壮的盲人,倚靠在明眼的跛子肩上。——叔本华 18、最大的挑战和突破在于用人,而用人最大的突破在于信任人。——马云 19、我这个人走得很慢,但是我从不后退。——亚伯拉罕· 林肯 20、要掌握书,莫被书掌握;要为生而读,莫为读而生。——布尔沃 21、要知道对好事的称颂过于夸大,也会招来人们的反感轻蔑和嫉妒。——培根 22、业精于勤,荒于嬉;行成于思,毁于随。——韩愈 23、最大的骄傲于最大的自卑都表示心灵的最软弱无力。——斯宾诺莎 24、知之者不如好之者,好之者不如乐之者。——孔子 25、学习是劳动,是充满思想的劳动。——乌申斯基 26、要使整个人生都过得舒适、愉快,这是不可能的,因为人类必须具备一种能应付逆境的态度。——卢梭 27、越是无能的人,越喜欢挑剔别人的错儿。——爱尔兰 28、意志命运往往背道而驰,决心到最后会全部推倒。——莎士比亚 29、越是没有本领的就越加自命不凡。——邓拓 30、阅读使人充实,会谈使人敏捷,写作使人精确。——培根
信息系统安全等级保护课件
➢ 等级化保护是信息安全发展规律:按组织业务应用 区域、分层、分类、分级进行保护和管理,分阶段 推进等级保护制度建设,这是做好国家信息安全保 护必须遵循的客观规律。
信息系统安全等级保护
➢ 第一级:用户自主保护级。 ➢ 第二级:系统审计保护级。 ➢ 第三级:安全标记保护级。 ➢ 第四级:结构化保护级 (系统整体安全设计)。 ➢ 第五级:访问验证保护级。 ➢ 以《计算机信息系统安全保护等级划分准则》
➢ 《国家信息化领导小组关于加强信息安全保障工作的意见》 重点强调:实行信息安全等级保护制度,重点保护基础信 息网络和重要信息系统。
信息系统安全等级保护
➢ 信息系统安全等级保护是指对信息安全实行等级化 保护和等级化管理。
➢ 根据信息系统应用业务重要程度及其实际安全需求, 实行分级、分类、分阶段实施保护,保障信息安全 和系统安全正常运行,维护国家利益、公共利益和 社会稳定。
信息系统安全等级保护
➢ 一般适用于地市级以上国家机关、重要企事业单位 内部重要的信息系统。
➢ 能够在统一安全策略下防护系统免受来自外部有组 织的团体、拥有较为丰富资源的威胁源发起的恶意 攻击、较为严重的自然灾难、以及其他相当危害程 度的威胁所造成的主要资源损害,能够发现安全漏 洞和安全事件,在系统遭到损害后,能够较快恢复 绝大部分功能。
信息系统安全等级保护
➢ 一般适用于国家重要领域、重要部门中的特别重要 系统以及核心系统。
➢ 能够在统一安全策略下防护系统免受来自国家级别 的、敌对组织的、拥有丰富资源的威胁源发起的恶 意攻击、严重的自然灾难、以及其他相当危害程度 的威胁所造成的资源损害,能够发现安全漏洞和安 全事件,在系统遭到损害后,能够迅速恢复所有功 能。
信息系统安全等级保护
信息系统安全等级保护
➢ 第一级:用户自主保护级。 ➢ 第二级:系统审计保护级。 ➢ 第三级:安全标记保护级。 ➢ 第四级:结构化保护级 (系统整体安全设计)。 ➢ 第五级:访问验证保护级。 ➢ 以《计算机信息系统安全保护等级划分准则》
➢ 《国家信息化领导小组关于加强信息安全保障工作的意见》 重点强调:实行信息安全等级保护制度,重点保护基础信 息网络和重要信息系统。
信息系统安全等级保护
➢ 信息系统安全等级保护是指对信息安全实行等级化 保护和等级化管理。
➢ 根据信息系统应用业务重要程度及其实际安全需求, 实行分级、分类、分阶段实施保护,保障信息安全 和系统安全正常运行,维护国家利益、公共利益和 社会稳定。
信息系统安全等级保护
➢ 一般适用于地市级以上国家机关、重要企事业单位 内部重要的信息系统。
➢ 能够在统一安全策略下防护系统免受来自外部有组 织的团体、拥有较为丰富资源的威胁源发起的恶意 攻击、较为严重的自然灾难、以及其他相当危害程 度的威胁所造成的主要资源损害,能够发现安全漏 洞和安全事件,在系统遭到损害后,能够较快恢复 绝大部分功能。
信息系统安全等级保护
➢ 一般适用于国家重要领域、重要部门中的特别重要 系统以及核心系统。
➢ 能够在统一安全策略下防护系统免受来自国家级别 的、敌对组织的、拥有丰富资源的威胁源发起的恶 意攻击、严重的自然灾难、以及其他相当危害程度 的威胁所造成的资源损害,能够发现安全漏洞和安 全事件,在系统遭到损害后,能够迅速恢复所有功 能。
信息系统安全等级保护
信息系统安全等级保护讲义-PPT精品文档
互联网安全环境
网络安全是互联网应用发展的基础保障。2019年上 半年,遇到过病毒或木马攻击的网民达到2.17 亿。
发展史
1994年,国务院颁布《计算机信息系统安全保
护条例》(147号令)
第九条 计算机信息系统实行安全等级保护。安全等 级的划分标准和安全等级保护的具体办法,由公安 部会同有关部门制定。
发展史
2019年,全国信息安全保障工作会议:专门将
信息安全等级保护工作作为信息安全保障工作 的一项重要任务来部署。 2019年9月,公安部、保密局、密码管理局、 国信办联合出台了《关于信息安全等级保护工 作的实施意见》(公通字[2019]66号):明确 了信息安全等级保护制度的原则和基本内容, 以及信息安全等级保护工作的职责分工、工作 实施的要求等。 2019年,公安部、保密局、密码管理局、国信 办联合制定了《信息安全等级保护管理办法》, 标志着我国等级保护制度的初步形成
内容
安全等级保护概述
安全等级保护定级原理 安全等级保护定级方法
安全等级保护定级管理
安全等级保护技术和管理要求
定级准则
坚持自主定级、自主保护的原则。 应当根据信息系统在国家安全、经济建设、社
会生活中的重要程度,信息系统遭到破坏后对 国家安全、社会秩序和公共利益以及公民、法 人和其他组织的合法权益(受侵害客体)的危 害程度等因素确定。
定级范围
运营商和服务提供商 电信、广电行业的公用通信网、广播电视传输网等基础 信息网络,经营性公众互联网信息服务单位、互联网接 入服务单位、数据中心等单位的重要信息系统。 重要行业 铁路、银行、海关、税务、民航、电力、证券、保险、 外交、科技、发展改革、国防科技、公安、人事劳动和 社会保障、财政、审计、商务、水利、国土资源、能源、 交通、文化、教育、统计、工商行政管理、邮政等行业、 部门的生产、调度、管理、办公等重要信息系统。 重要机关 市(地)级以上党政机关的重要网站和办公信息系统。 涉密系统 涉及国家秘密的信息系统。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
以《需基求本背要求景》中 “ 用 求以中以为网 、《物《政目络数基理基策标、据本依主”,安本机部以据要全要分、《求求部要应设》》 经级计分中分要过保为为管求信护依依理》息 专据据为安安 家方全全 论法等 证部
通过
流程四:等保体系整体架构
安全接入/隔离设备
区域边界
区域边界
通信网络
通信网络
其它定级系统
公通字 [2019]66号
公通字 [2019]43号
公信安 [2019]861 号
颁布机构
国务院
中共中央办公厅 国务院办公厅
公安部 国家保密局 国家密码管理委 员会办公室 (国家密码管理 局) 国务院信息化工 作办公室
内容及意义
第一次提出信息系统要实行 等级保护,并确定了等级保 护的职责单位。
等级保护工作的开展必须分 步骤、分阶段、有计划的实 施。明确了信息安全等级保 护制度的基本内容。
安全管理 中心
安全管理中心
计算环境
网站/应用服务器 交换设备 计算环境
终端 用户
流程五:等保体系部署
通信网络
国家安全
第三级 第四级 第五级
流程二:等保建设立项
信息系统等级保护建设,经过信息系统的运营、管理部 门以及有关政府部门的批准,并列入信息系统运营单位或政 府计划的过程。
一项基本国策,一项基本制度,具有政策的强制性 是办公电子化、业务信息化发展必需的保障手段 用户业务开展的实际需求
流程三:风险评估
信息系统安全等级保护定级指南
GB17859-2019 计算机信息系统安全保护等级划分准则
等级保护的技术标准规范
面向评估者技术标准:
《计算机信息系统安全保护等级划分准则》 (GB 17859-2019) 《信息安全技术 信息系统通用安全技术要求》 (GB/T 20271-2019) 《信息安全技术 操作系统安全技术要求》 (GB/T 20272-2019)
2019年 7月16日
文件名称
《中华人民共和国 计算机信息系统安 全保护条例》 《国家信息化领导 小组关于加强信息 安全保障工作的意 见》 《关于信息安全等 级保护工作的实施 意见》
《信息安全等级保 护管理办法》
《关于开展全国重 要信息系统安全等 级保护定级工作的 通知》
文号
国务院147 号令
中办国办发 [2019]27号
面向建设者技术标准:
《信息安全技术 信息系统安全等级保护基本要求》 (GB/T 22239-2019) 《信息安全技术 信息系统等级保护安全设计技术要求》
等级保护的技术标准规范
系统定级类标准:
《信息安全技术 信息系统安全保护等级定级指南》 (GB/T 22240-2019)
管理类标准:
《信息安全技术 信息系统安全工程管理要求》 (GB/T 20282-2019) 《信息系统安全管理体系标准》(ISO/IEC 27001)
自主访问控制 身份鉴别 完整性保护
自主访问控制 身份鉴别 完整性保护
系统审计 客体重用
系统审计 客体重用
强制访问控制 标记
第四级 结构化保护 第五级 访问验证保护级
自主访问控制 身份鉴别 完整性保护
自主访问控制 身份鉴别 完整性保护
系统审计 客体重用
强制访问控制 标记
隐蔽通道分析 可信路径
系统审计 客体重用
主机 安全
数据安 全与备 份恢复
应用 安全
满足政策要求 满足标准要求 满足用户自身要求
流程四:需求分析方法
安全现状与《基本要求》的差异分析对照
标准要求
是否满足
相应措施
物理安全
网络安全
主机安全
应用安全
数据安全
流程四:设计方案章节
等级保护建设方案章节:
一、项目背景 二、安全需求分析 三、方案总体设计 四、等保技术体系设计 五、等保物理安全设计 六、等保管理安全设计 七、应急与灾备设计 八、产品选型与技术指标 九、方案与产品安全性论证 十、项目预算 十一、实施方案设计
未通过
7.等保整改建设完成
流程一:信息系统定级
2019年开始,我国在全国范围展开了信息系统等级保护 的定级工作,并在公安部进行了相关的备案。
定级依据:《信息系统安全保护等级定级指南》(国家) 《XX行业信息系统安全保护等级定级指南》
谁主管、运营谁定级;拟确定为四级以上的信息系统需 请国家信息安全保护等级专家评审委员会评审; 信息系统定级情况要在公安部门报备;
某级信息系统
基本要求
技术要求
管理要求
建立安全技术体系
建立安全管理体系
具有某级安全保护能力的系统
等级保护的建设要求
技术要求
基本要求
管理要求
物网主应 数 理络机用 据 安安安安 安 全全全全 全
安安人系系 全全员统统 管管安建运 理理全设维 机制管管管 构度理理理
等级保护的建设要求
环境安全
机房与设施安全 防其他自然灾害 环境与人员安全
将等级保护从计算机信息系 统安全保护的一项制度提升 到国家信息安全保障的一项 基本制度。
明确了信息安全等级保护制 度的基本内容、流程及工作 要求,明确了信息系统运营 使用单位和主管部门、监管 部门在信息安全等级保护工 作中的职责、任务。
就定级范围、定级工作主要 内容、定级工作要求等事项 进行了通知。
物理安全 设备安全
防盗与防毁 防止电磁泄露发射
防电磁干扰
介质安全
介质的分类 介质的管理 介质的防护
等级保护的建设要求
数据安全 1.数据机密性保护 2.数据完整性保护
应用安全
1.身份认证 5.控制软件容错;
2. 安全审计
6.严格的访问;
3. 剩余信息保护
7. 自动保护功能;
4. 通信完整性和机密性保护 8. 资源控制;
安全现状
需求
基本要求
物理 安全
网络 安全
主机 安全
数据安 全与备 份恢复
应用 安全
满足政策要求 满足标准要求 满足用户自身要求
等级保护的体系架构
安全接入/隔离设备
区域边界
区域边界
通信网络
通信网络
其它定级系统
安全管理 中心
安全管理中心
计算环境
网站/应用服务器 交换设备 计算环境
终端 用户
等级保护的技术实现依据
构筑由安全管理中心统一管理下的计算环境、 区域边界、通信网络三重防御体系。
安全管理中心
可信计算环境
安全区域边界
安全通信网络
内容概要
信息安全与等级保护 什么是等级保护 等级保护的国家政策与标准规范 等级保护的工作内容 等级保护的建设流程 等级保护各参与部门的角色定位
等级保护的建设流标准规范
国家已出台70多个国标、行标以及报批标准,从基础、设计、 实施、管理、制度等各个方面对等保系统提出了要求和建议。
GB/T20G26B9/T-220010909信-2息01系9统信安息全安管全理技要术求操作系统安全评估准则 GB/T20282-2019 信息安全技术 信息系统安全工程管理要求 GB/T 20270-2019信息安全技术 网络基础安全技术要求 GB/T 20271-2019信息安全技术 信息系统通用安全技术要求 GB/T 20272-2019信息安全技术 操作系统安全技术要求 GB/T 20273-2019信息安全技术 数据库管理系统通用安全技术要求 GB/T22239-2019信息安全技术 信息系统安全等级保护基本要求 信息安全技术 信息系统等级保护安全设计技术要求 (已送批) 信息系统安全等级保护实施指南 ……
最早等提保出系的统基设础计性时、的强主制要性依标据准:; 公安部作为等保系统建设、评测的重要依据
粒度一较个粗中,心是三一重个防指御导性标准;
内容概要
信息安全与等级保护 什么是等级保护 等级保护的国家政策与标准规范 等级保护的工作内容 等级保护的建设流程 等级保护各参与部门的角色定位
等级保护的建设目标
等保方案类标准:
《信息安全技术 信息系统安全等级保护实施指南》 ( GB/T xxxxx-2019 )
等级保护的技术标准规范
国家已出台约70余个标准,重点需要了解的有:
《计算机信息系统安全保护等级划分准则》 (GB 17859-2019) 《信息系统安全等级保护基本要求》(GB/T 22239-2019) 《信息系统等级保护安全设计技术要求》(已审批)
业务应用
等保整改
安全措施
新建系统
业务应用
达标等保体系
等保建设
安全措施
等级保护整改建设流程
1.信息系统定级
定级工作08年已基本完成
2.等保建设立项
3.信息安全威胁分析
专业机构 整改意见
4.等保方案设计
总设 详设 专家论证
5.安全体系部署
项目实施 内部验收
6.等保体系测评
专业机构 测评报告
内容概要
信息安全与等级保护 什么是等级保护 等级保护的国家政策与标准规范 等级保护的工作内容 等级保护的建设流程 等级保护各参与部门的角色定位
什么是等级保护
信息系统等级保护的定义
是指对国家秘密信息、法人和其他组织及公民的 专有信息以及公开信息和存储、传输、处理这些信息 的信息系统分等级实行安全保护,对信息系统中使用 的信息安全产品实行按等级管理,对信息系统中发生 的信息安全事件分等级响应、处置。
第一级 用户自主保护级 第二级 系统审计保护 第三级 安全标记保护 第四级 结构化保护 第五级 访问验证保护
用户自主控制资源访问 访问行为需要被审计
通过标记实现强制访问控制 可信计算基结构化
所有的过程都需要验证
等级保护的等级划分准则
第一级 自主安全保护 第二级 审计安全保护 第三级 强制安全保护