等级保护建设思路及H3C解决方案V1.0
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等级
一级
合法权益
损害
严重 损害
√
社会秩序和 公共利益
损害
严重 损害
特别严重 损害
国家安全
损害 严重损 特别严
害
重损害
二级
√
√
三级
√
√
四级
√
√
五级
√
6
不同级别之间保护能力的区别
总体来看,各级系统应对威胁的能力不同,即能够对抗系统面临的威胁的程度 以及在遭到威胁破坏后,系统能够恢复之前的各种状态的能力是不同的。
运行 维护
暂不 考虑
启动
采购/开发
实施
运行/维护
废弃
9
等保建设主要阶段的详细工作
《等级保护工作的实施指南》中对主要阶段的工作细化
系统定级阶段
安全规划设计阶段
产品采购和工程实施阶段
运行管理和状态监控阶段
系 子 子 子定
统 系 系 系级
调 统 统 统结
查 划 定 边果
和 分 级 界文
描
设档
述
定化
等分安安安
7
决定等级的主要因素分析
基于业务的重要性和依赖性分析关键要素,确定业务数据安全性和业务 处理连续性要求。
业务重要性
信息系统所属类型 业务数据类别
业务数据安全性
业来自百度文库依赖性
信息系统服务范围 业务处理的自动化程度
业务处理连续性
根据业务数据安全性和业务处理连续性要求确定安全保护等级。
业务数据安全性 业务处理连续性
4
等级保护的政策文件与技术演进
2003年9月 中办国办颁发
《关于加强信息安全保 障工作的意见》
(中办发[2003]27号)
2004年11月
四部委会签
《关于信息安全等级保 护工作的实施意见》 (公通字[2004]66号)
2005年9月 国信办文件 《 关于转发《电子政 务信息安全等级保护实 施指南》的通知 》 (国信办[2004]25号)
2006
公安部、国家保密局、国家密码管理局和国信办联 合签发了《信息系统安全等级保护管理办法(试 行)》(公通字【2006】7号)——2006年3月1日执 行
信息系统安全保护等级定级指南 (20051231) 信息系统安全等级保护基本要求(20060429) 信息系统安全等级保护测评准则(20060429) 信息系统安全等级保护实施指南(20060429)
12
正确理解等级保护思想
等级保护思想的基础是分级管理思想。即通过分级管理对不同安全需求的系统 进行安全保护,从而实现对整个信息系统的适当的安全保护和管理,避免对系 统保护过渡或者保护不足。
等级保护的核心是为受管理的系统明确定义所需最低的安全保护能力。这个能 力可以认为是一个最基本的安全基线。
级级全全全
化保策建建
风护略设设
险模规规详
评型划划细
估化
方
处
案
理
设
计
安安安测安运系
全全全试全行统
产控控与等批备
品制制验级准案
采开集收测
购发成
评
操配变安安监持
作置更全全督续
管管管状事和改
理理理态件检进
和和和监处查
控控控控理
制制制
和
应
急
预
案
10
等级保护建设的一般过程
定级
评估
整改
评测
监管
• 确定系统 或者子系 统的安全 等级
- 等保将信息系统的安全等级分为5级,1级最低,5级最高。目前已经确定等 级的为电子政务内网要达到4级保护要求,外网要达到3级保护要求。
等保工作的重要性
- 信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方 法。……是信息安全保障工作中国家意志的体现。
- 引自2007年7月20日公安部、国务院信息办等4部门在北京联合召开“全国重要信息 系统安全等级保护定级工作电视电话会议”上公安部代表的讲话。
等级保护建设思路及H3C解决方案
日期:2008年4月15日 密级:公开 杭州华三通信技术有限公司
信息安全等级保护政策 H3C等级保护建设思路 H3C等级保护解决方案 H3C安全产品线简介
2
信息安全等级保护政策简介
信息安全等级化保护(以下简称等保)定义
- 等保是指国家通过制订统一的标准,根据信息系统不同重要程度,有针对 性开展保护工作,分等级对信息系统进行保护,国家对不同等级的信息系 统实行不同强度的监督管理。
2005年 公安部标准 《等级保护安全要求》 《等级保护定级指南》 《等级保护实施指南》 《等级保护测评准则》
最先作为“适度 安全”的工作思 路提出
总结成一种安全工 作的方法和原则
确认为国家信息安 全的基本制度,安 全工作的根本方法
形成等级保护的基 本理论框架,制定 了方法,过程和标 准
5
等级保护的5个监管等级
7月22日,国家信息化领导小组召开了第三次会议,专门讨论了信息安全问 题。会议审议通过了《关于加强信息安全保障工作的意见》,并经由中央办公厅、国 务院办公厅颁布(中办发【2003】 27号文件)
2004
公安部、国家保密局、国家密码管 理局和国信办联合签发了《关于信 息安全等级保护工作的实施意见 》 (公通字【2004】66号)
• 依据等级 要求,对 现有技术 和管理手 段的进行 评估,并 给出改进 建议
• 针对评估 过程中发 现的不满 足等保要 求的地方 进行整改
• 评测机构 • 对系统进 依据等级 行周期性 要求,对 的检查, 系统是否 以确定系 满足要求 统依然满 进行评测, 足等级保 并给出结 护的要求 论
11
信息安全等级保护政策 H3C等级保护建设思路 H3C等级保护解决方案 H3C安全产品线简介
信息系统安全保护等级
8
等级保护定义的信息安全建设过程
等级保护工作对应完整的信息安全建设生命周期
定级 指南
基本 要求
产品 使用
测评 准则
监督 管理
应急 响应
等级 特殊
选
过程 需求 需求
型
方法
安全
流程
控制
方法
监管 流程
应急 预案
确定 系统 等级
确定 安全 需求
设计 安全 方案
安全 建设
安全 测评
监督 管理
3
信息安全等级保护政策的发展历程
2001
1994 《中华人民共和国计算机信息系统安全保护条例》发布
1999 《计算机信息系统安全保护等级划分准则》 GB17859-1999发布
国家发改委“计算机信息系统安全保护等级评估体系 及互联网络电子身份管理与安全保护平台建设项目”(1110)工程实施
2003
一级具有15个技术目标,16个管理目标; 二级具有29个技术目标,25个管理目标; 三级具有36个技术目标,27个管理目标; 四级具有41个技术目标,28个管理目标。
技术要求的变化包括:
安全要求的增加 安全要求的增强
管理要求的变化包括:
管理活动控制点的增加,每个控制点具体管理要求的增多 管理活动的能力逐步加强,借鉴能力成熟度模型(CMM)