【精品PPT】关于信息安全等级保护的若干问题 - 北京信息安全等级保护网
合集下载
《信息安全等级保护》PPT课件
• 信息安全等级保护的关键所在正是基于信息系 统所承载应用的重要性,以及该应用损毁后带 来的影响程度来判断风险是否控制在可接受的 范围内。
精选PPT
6
原则
• 谁主管谁负责、谁运营谁负责 • 自主定级、自主保护、监督指导
精选PPT
7
主要流程
一是:定级。
二是:备案。
三是:系统建设、整改。
四是:等级测评。
• 对技术要求
– ‘访谈’方法:
• 目的是了解信息系统的全局性。 • 范围一般不覆盖所有要求内容。
– ‘检查’方法:
• 目的是确认信息系统当前具体安全机制和运行的配 置是否符合要求 。
• 范围一般要覆盖所有要求内容。
– ‘测试’方法:
• 目的是验证信息系统安全机制有效性和安全强度。
• 范围不覆盖所有要求内容。
– 第三级,信息系统受到破坏后,会对社会秩序和公共 利益造成严重损害,或者对国家安全造成损害。
– 第四级,信息系统受到破坏后,会对社会秩序和公共 利益造成特别严重损害,或者对国家安全造成严重损 害。
– 第五级,信息系统受到破坏后,会对国家安全造成特 别严重损害。
精选PPT
10
定级原理(2)
• 定级要素
精选PPT
22
22
关系2
一级系统
通信/边界(基本)
二级系统
通信/边界/内部(关键设备)
三级系统
通信/边界/内部(主要设备)
通信/边界/内部/基础设施(所有设备) 四级系统
精选PPT
23
23
关系3
一级系统
计划和跟踪(主要制度)
二级系统
计划和跟踪(主要制度)
良好定义(管理活动制度化) 三级系统
信息安全等级保护与整体解决方案PPT课件
2005年12月,公安部《信息系统安全等级保护实施指 南》、《信息系统安全等级保护定级要求》、《信息 系统安全等级保护基本要求》、《信息系统安全等级 保护测评准则》(GB送审稿陆续出台)
2006年3月开始实施的公安部、国家保密局、国家密码 管理局、国信办四部委(局办)发布7号文 《等级保 护管理办法》
信息安全等级保护与 等级化安全体系解决方案
1
INDEX
网络安全与信息安全 信息安全等级保护 等级化安全体系解决方案
2
网络安全与信息安全
安全定义 安全基本要求 安全技术体系 安全模型
3
安全定义
防止任何对数据进行未授权访问的措施,或者造 成信息有意无意泄漏、破坏、丢失等问题的发生, 让数据处于远离危险、免于威胁的状态或特性。
10
对等级保护的理解
等级保护是我国信息安全领域的一项基本政策
1994年,《中华人民共和国计算机信息系统安全保护条 例》的发布
1999年,《计算机信息系统安全保护等级划分准则》 GB17859-1999发布
2003年,中央办公厅、国务院办公厅转发《国家信息化 领导小组关于加强信息安全保障工作的意见》(中办发 [2003]27号文)
12
对等级保护的理解(续二)
等级保护的核心是将传统的定性设计逐步进化为 定量的安全保障设计
对信息系统实施不同等级的安全保护 对信息系统中使用的安全产品实施分等级管理 对信息系统发生的安全事件分等级响应和处置
13
对等级保护的理解(续三)
等级保护体现了差异化的安全保障思想
由系统使命决定系统的等级,充分考虑业务信息安全性和业 务服务保证性
2004年,四部委(公安部、国家保密局、国家密码管理 局、国信办)联合签发了《关于信息安全等级保护工作 的实施意见 》(公通字[2004]66号文)
2006年3月开始实施的公安部、国家保密局、国家密码 管理局、国信办四部委(局办)发布7号文 《等级保 护管理办法》
信息安全等级保护与 等级化安全体系解决方案
1
INDEX
网络安全与信息安全 信息安全等级保护 等级化安全体系解决方案
2
网络安全与信息安全
安全定义 安全基本要求 安全技术体系 安全模型
3
安全定义
防止任何对数据进行未授权访问的措施,或者造 成信息有意无意泄漏、破坏、丢失等问题的发生, 让数据处于远离危险、免于威胁的状态或特性。
10
对等级保护的理解
等级保护是我国信息安全领域的一项基本政策
1994年,《中华人民共和国计算机信息系统安全保护条 例》的发布
1999年,《计算机信息系统安全保护等级划分准则》 GB17859-1999发布
2003年,中央办公厅、国务院办公厅转发《国家信息化 领导小组关于加强信息安全保障工作的意见》(中办发 [2003]27号文)
12
对等级保护的理解(续二)
等级保护的核心是将传统的定性设计逐步进化为 定量的安全保障设计
对信息系统实施不同等级的安全保护 对信息系统中使用的安全产品实施分等级管理 对信息系统发生的安全事件分等级响应和处置
13
对等级保护的理解(续三)
等级保护体现了差异化的安全保障思想
由系统使命决定系统的等级,充分考虑业务信息安全性和业 务服务保证性
2004年,四部委(公安部、国家保密局、国家密码管理 局、国信办)联合签发了《关于信息安全等级保护工作 的实施意见 》(公通字[2004]66号文)
信息系统安全等级保护讲座35页PPT文档
违反国家规定,侵入前款规定以外的计算机信息 系统或者采用其他技术手段,获取该计算机信息系统 中存储、处理或者传输的数据,或者对该计算机信息 系统实施非法控制,情节严重的,处三年以下有期徒 刑或者拘役,并处或者单处罚金;情节特别严重的, 处三年以上七年以下有期徒刑,并处罚金。
提供专门用于侵入、非法控制计算机信息系统的 程序、工具,或者明知他人供程序、工具, 情节严重的,依照前款的规定处罚。
5
信息网络安全
采用各种技术和管理措施,使网络系统正常 运行,从而确保网络数据的可用性、完整性和 保密性。所以,建立网络安全保护措施的目的 是确保经过网络传输和交换的数据不会发生增 加、修改、丢失和泄露等。
6
网络安全主要包括以下几方面:
运行系统安全 运行系统安全即保证信息处理和传输系统的安全。它 侧重于保证系统正常运行。避免因为系统的崩演和损 坏而对系统存储、处理和传输的消息造成破坏和损失。 避免由于电磁泄翻,产生信息泄露,干扰他人或受他 人干扰。
9
目前国内信息安全分析报告
1、2019年360发布我国信息安全分析报告 2、广州市科信局、公安局(基于PNS)分别发 布区域信息网络安全分析报告。
10
发生在我市信息系统被攻击案例
11
广州一知名高校附属医院信息系统被人入侵,医生每天 用药情况、医院各种收入与支出、办公资料和病人情况等重 要资料均被人复制。
网络安全的主要攻击类型
5、网络钓鱼(Phishing):创建色情网站或者‘虚设’、‘仿冒’的网 络商店,引诱网友在线消费,并输入信用卡卡号与密码,以此来获取 用户的机密数据。
6、双面恶魔(Evil Twins):为网络钓鱼法的另一种方式,指的是一种 常出现在机场、旅馆、咖啡厅等地方,假装可提供正当无线网络链接 到Internet的应用服务,当用户不知情登上此网络时,就会被窃取其密 码或信用卡信息。
提供专门用于侵入、非法控制计算机信息系统的 程序、工具,或者明知他人供程序、工具, 情节严重的,依照前款的规定处罚。
5
信息网络安全
采用各种技术和管理措施,使网络系统正常 运行,从而确保网络数据的可用性、完整性和 保密性。所以,建立网络安全保护措施的目的 是确保经过网络传输和交换的数据不会发生增 加、修改、丢失和泄露等。
6
网络安全主要包括以下几方面:
运行系统安全 运行系统安全即保证信息处理和传输系统的安全。它 侧重于保证系统正常运行。避免因为系统的崩演和损 坏而对系统存储、处理和传输的消息造成破坏和损失。 避免由于电磁泄翻,产生信息泄露,干扰他人或受他 人干扰。
9
目前国内信息安全分析报告
1、2019年360发布我国信息安全分析报告 2、广州市科信局、公安局(基于PNS)分别发 布区域信息网络安全分析报告。
10
发生在我市信息系统被攻击案例
11
广州一知名高校附属医院信息系统被人入侵,医生每天 用药情况、医院各种收入与支出、办公资料和病人情况等重 要资料均被人复制。
网络安全的主要攻击类型
5、网络钓鱼(Phishing):创建色情网站或者‘虚设’、‘仿冒’的网 络商店,引诱网友在线消费,并输入信用卡卡号与密码,以此来获取 用户的机密数据。
6、双面恶魔(Evil Twins):为网络钓鱼法的另一种方式,指的是一种 常出现在机场、旅馆、咖啡厅等地方,假装可提供正当无线网络链接 到Internet的应用服务,当用户不知情登上此网络时,就会被窃取其密 码或信用卡信息。
信息安全等级保护与解决方案ppt
• 2004年公安部等四部委《关于信息系统安全等级保护工作的实施意见》 (公通字[2004]66号)也指出:“信息系统安全等级保护制度是国家在 国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维 护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一 项基本制度”。
信息安全等级保护发展历程
信息安全等级保护与解决方案
信息安全等级保护与解决方案
• 信息安全等级保护
信息安全现状与问题 信息安全等级保护简介
• 信息安全解决方案
信息安全技术 信息安全管理 信息安全方案
信息安全现状
• 日益增长的安全威胁
– 攻击技术越来越复杂 – 入侵条件越来越简单
信息安全问题
• 安全事件
– 每年都有上千家政府网站被攻击
• 安全影响
– 任何网络都可能遭受入侵
信息系统安全等级保护
• 信息系统安全等级保护简介 • 信息系统安全保护等级划分 • 信息系统安全保护定级指南
等级保护出台是信息安全发展的需要
信息安全问题层出不穷 安全保护措施、安全管理建设不足,导致各种安全事故发生 国内缺乏相类似的安全标准 国家、服务商和用户在安全建设过程中缺乏参考依据 随着信息安全技术的发展 随着安全意识的提高 随着安全服务范围增大 对信息安全管理需要实行等级化保护(目标/要求/能力)
信息系统所属类型赋值表
信息系统所属类型举例
赋
信息系统的社会影响
值
属于一般企事业单位,处理其内部事 1 信息系统资产受到破坏会对本单
务的信息系统。
位利益有直接影响。
属于重要行业、重要领域和国家基础 设施,为国计民生、经济建设等提供 重要服务的信息系统,或本身虽属一 般企事业单位,但为党政或重要信息 系统提供支撑服务的信息系统。
信息安全等级保护发展历程
信息安全等级保护与解决方案
信息安全等级保护与解决方案
• 信息安全等级保护
信息安全现状与问题 信息安全等级保护简介
• 信息安全解决方案
信息安全技术 信息安全管理 信息安全方案
信息安全现状
• 日益增长的安全威胁
– 攻击技术越来越复杂 – 入侵条件越来越简单
信息安全问题
• 安全事件
– 每年都有上千家政府网站被攻击
• 安全影响
– 任何网络都可能遭受入侵
信息系统安全等级保护
• 信息系统安全等级保护简介 • 信息系统安全保护等级划分 • 信息系统安全保护定级指南
等级保护出台是信息安全发展的需要
信息安全问题层出不穷 安全保护措施、安全管理建设不足,导致各种安全事故发生 国内缺乏相类似的安全标准 国家、服务商和用户在安全建设过程中缺乏参考依据 随着信息安全技术的发展 随着安全意识的提高 随着安全服务范围增大 对信息安全管理需要实行等级化保护(目标/要求/能力)
信息系统所属类型赋值表
信息系统所属类型举例
赋
信息系统的社会影响
值
属于一般企事业单位,处理其内部事 1 信息系统资产受到破坏会对本单
务的信息系统。
位利益有直接影响。
属于重要行业、重要领域和国家基础 设施,为国计民生、经济建设等提供 重要服务的信息系统,或本身虽属一 般企事业单位,但为党政或重要信息 系统提供支撑服务的信息系统。
信息安全等保培训ppt课件
信息安全等级保护制度介绍
上海市信息安全测评认证中心
1
介绍大纲
1 信息安全等级保护工作概述 2 趋势科技与等级保护合规性
信息安全等级保护制度
信息安全等级保护制度是什么 信息安全等级保护制度要干什么 如何开展信息安全等级保护工作
3
引言
❖ 在当今社会中,信息已成为人类宝贵的资源,并且可以通 过Internet为全球人类所使用与共享。
应安装防恶意代码软件,并及时更新防恶意代 码软件版本和恶意代码库
备注
趋势科技与等级保护合规性
❖ Deep Security
符合要求 主机入侵防范 主机恶意代码防范
符合内容
能够检测到对重要服务器进行入侵的行为,能 够记录入侵的源IP、攻击的类型、攻击的目的 、攻击的时间,并在发生严重入侵事件时提供 报警
符合要求 主机恶意代码防范
符合内容
应安装防恶意代码软件,并及时更新防恶意代 码软件版本和恶意代码库
备注
趋势科技与等级保护合规性
❖ Web 安全网关 IWSA
符合要求 网络结构安全
网络访问控制
符合内容
避免将重要网段部署在网络边界处且直接连接 外部信息系统,重要网段与其他网段之间采取 可靠的技术隔离手段
❖ 主要原则:立足国情,以我为主,坚持管理与技术并重; 正确处理安全与发展的关系,以安全促发展,在发展中求 安全;统筹规划、突出重点,强化基础性工作;明确国家 、企业、个人的责任和义务,充分发挥各方面的积极性, 共同构筑国家信息安全保障体系。
13
等级保护制度
(一)信息安全等级保护制度是什么?
14
什么是信息安全等级保护工作
操作系统通过设置升级服务器等方式保持系统 补丁及时得到更新
上海市信息安全测评认证中心
1
介绍大纲
1 信息安全等级保护工作概述 2 趋势科技与等级保护合规性
信息安全等级保护制度
信息安全等级保护制度是什么 信息安全等级保护制度要干什么 如何开展信息安全等级保护工作
3
引言
❖ 在当今社会中,信息已成为人类宝贵的资源,并且可以通 过Internet为全球人类所使用与共享。
应安装防恶意代码软件,并及时更新防恶意代 码软件版本和恶意代码库
备注
趋势科技与等级保护合规性
❖ Deep Security
符合要求 主机入侵防范 主机恶意代码防范
符合内容
能够检测到对重要服务器进行入侵的行为,能 够记录入侵的源IP、攻击的类型、攻击的目的 、攻击的时间,并在发生严重入侵事件时提供 报警
符合要求 主机恶意代码防范
符合内容
应安装防恶意代码软件,并及时更新防恶意代 码软件版本和恶意代码库
备注
趋势科技与等级保护合规性
❖ Web 安全网关 IWSA
符合要求 网络结构安全
网络访问控制
符合内容
避免将重要网段部署在网络边界处且直接连接 外部信息系统,重要网段与其他网段之间采取 可靠的技术隔离手段
❖ 主要原则:立足国情,以我为主,坚持管理与技术并重; 正确处理安全与发展的关系,以安全促发展,在发展中求 安全;统筹规划、突出重点,强化基础性工作;明确国家 、企业、个人的责任和义务,充分发挥各方面的积极性, 共同构筑国家信息安全保障体系。
13
等级保护制度
(一)信息安全等级保护制度是什么?
14
什么是信息安全等级保护工作
操作系统通过设置升级服务器等方式保持系统 补丁及时得到更新
信息安全等级保护政策体系-PPT
第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
(2)《信息系统安全等级保护基本要求》(GB/T22239—2008) 1)主要作用
不同安全保护等级的信息系统有着不同的安全需求,为此,针对不同等级的信息系统提出了相应 的基本安全保护要求,各个级别信息系统的安全保护要求构成了《信息系统安全等级保护基本要求》。 2)主要内容
第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
(2)《信息系统安全等级保护基本要求》
(GB/T22239—2008) 2)主要内容 保护要求的分级方法
网络恶意代码防 范、剩余信息保 护、抗抵赖
安全保护能力逐级增高,相应的安全保护
要求和措施逐级增强
监控管理和安全 管理中心
信息保密与信息安全
保密、常识、技术、意识教育
政策体系和标准体系
第2部分
信息安全等级保护政策体系和标准体系
1.信息安全等级保护政策体系
(1)总体方面的政策文件 《关于信息安全等级保护工作的实施意见》(公通字 [2004]66 号) 《信息安全等级保护管理办法》(公通字 [2007]43 号) (2)具体环节的政策文件 对应等级保护工作的具体环节(信息系统定级、备案、 安全建设整改、等级测评、安全检查),公安部出台了 相应的政策规范。
第2部分
信息安全等级保护政策体系和标准体系
2.信息安全等级保护标准体系
他类标准 1)风险评估 《信息安全风险评估规范》(GB/T 20984—2007)。 2)事件管理 《信息安全事件管理指南》(GB/Z 20985—2007); 《信息安全事件分类分级指南》(GB/Z 20986—2007); 《信息系统灾难恢复规范》(GB/T 20988—2007)。
信息系统安全等级保护培训课件(PPT 36页)
区域边界保护
保护计算环境
保护计算环境
实现集中安全管理
落实安全管理措施
三级系统安全管理措施
- 建立全面的安全管理制度,并安排专人负责并监控执行情况; - 建立全面的人员管理体系,制定严格的考核标准 - 建设过程的各项活动都要求进行制度化规范,按照制度要求进行 活动的开展 - 实现严格的保密性管理 - 成立安全运维小组,对安全维护的责任落实到具体的人 - 引入第三方专业安全服务
物理安 • 需要到物理机房实地检查,请提前申请进入机房的相关手续,并协调查看机房管理相关管理记录 全
网络安 • 需要登录网络设备、安全设备检查相关配置及漏洞扫描,请分配可接入的网络端口及地址,提供配置文件
全 主机安 • 需要登录相关主机设备检查相关配置及漏洞扫描,请分配可接入的网络端口及地址 全 应用安 • 请提供应用系统访问地址,以及访问该应用所需的网络地址,帐户名称、口令以及其它鉴别方式所需软硬件设备 全
分级保护系列标准规范
《涉及国家秘密的计算机信息系统分级保 护技术要求》BMB17-2006 《涉及国家秘密计算机信息系统安全保密 方案设计指南》 BMB23-2008 涉密信息系统安全保障建设 《涉及国家秘密计算机信息系统分级保护 指南 管理规范》BMB20-2007 《涉及国家秘密的信息系统分级保护测评 指南》BMB22—2007 《涉及国家秘密计算机信息系统分级保护 管理办法 》国家保密局16号
管理制 • 请提供安全管理制度电子档或纸质版本,以及相关记录文件
度
1、最灵繁的人也看不见自己的背脊。——非洲 2、最困难的事情就是认识自己。——希腊 3、勇猛、大胆和坚定的决心能够抵得上武器的精良。——达· 芬奇 4、与肝胆人共事,无字句处读书。——周恩来 5、一个人即使已登上顶峰,也仍要自强不息。——罗素· 贝克 6、一切节省,归根到底都归结为时间的节省。——马克思 7、自知之明是最难得的知识。——西班牙 8、勇气通往天堂,怯懦通往地狱。——塞内加 9、有时候读书是一种巧妙地避开思考的方法。——赫尔普斯 10、阅读一切好书如同和过去最杰出的人谈话。——笛卡儿 11、有勇气承担命运这才是英雄好汉。——黑塞 12、只有把抱怨环境的心情,化为上进的力量,才是成功的保证。——罗曼· 罗兰 13、知人者智,自知者明。胜人者有力,自胜者强。——老子 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。——歌德 15、最具挑战性的挑战莫过于提升自我。——迈克尔· F· 斯特利 16、业余生活要有意义,不要越轨。——华盛顿 17、意志是一个强壮的盲人,倚靠在明眼的跛子肩上。——叔本华 18、最大的挑战和突破在于用人,而用人最大的突破在于信任人。——马云 19、我这个人走得很慢,但是我从不后退。——亚伯拉罕· 林肯 20、要掌握书,莫被书掌握;要为生而读,莫为读而生。——布尔沃 21、要知道对好事的称颂过于夸大,也会招来人们的反感轻蔑和嫉妒。——培根 22、业精于勤,荒于嬉;行成于思,毁于随。——韩愈 23、最大的骄傲于最大的自卑都表示心灵的最软弱无力。——斯宾诺莎 24、知之者不如好之者,好之者不如乐之者。——孔子 25、学习是劳动,是充满思想的劳动。——乌申斯基 26、要使整个人生都过得舒适、愉快,这是不可能的,因为人类必须具备一种能应付逆境的态度。——卢梭 27、越是无能的人,越喜欢挑剔别人的错儿。——爱尔兰 28、意志命运往往背道而驰,决心到最后会全部推倒。——莎士比亚 29、越是没有本领的就越加自命不凡。——邓拓 30、阅读使人充实,会谈使人敏捷,写作使人精确。——培根
信息安全等级保护培训教材PPT92页课件
……
TCP/IP IPX/SPX SNMP
……
场地 机房 网络布线 设备 存储设备
……
各级系统的保护要求差异
信息安全管理生命周期
建设管理
运维管理
系统定级 方案设计 产品使用 自行开发 系统交付 测试验收 工程实施 软件外包
设 介资 环密
备 质产 境码
恶 意 理
✓ 系统测评:《信息系统安全等级保护测评要求》是针对《信息安全等 级保护基本要求》的具体控制要求开发的测评要求,旨在强调系统按 照《信息安全等级保护基本要求》进行建设完毕后,检验系统的各项 保护要求是否符合相应等级的基本要求。
✓ 由上可见,《信息安全等级保护基本要求》在整个标准体系中起着承 上启下的作用。相关技术要求可以作为《信息安全等级保护基本要求 》的补充和详细指导标准。
公通字[2006]7号文 ✓ 明确了信息安全等级保护的具体要求。 ✓ 为推广和实施信息安全等级保护提供法律保障。
公信安[2007]861号 ✓ 标志着等级保护工作正式推向实施阶段。
等级保护政策依据
公通字[2007]43号文 2007.6.22
➢ 明确主管单位: 公安机关负责信息安全等级保护工作的监督、检查
、指导。
国家保密部门负责等保中保密工作的监督、检查、 指导。
国家密码管理部门负责等保中有关密码工作的监督 、检查、指导。
➢ 确定5个等级,但去掉了[2006 7号文]“自主保护 ”、“指导保护”、“监督保护”等称为。
等级保护政策依据
公通字[2007]43号文
五个等级的基本情况
➢ 第一级:运营、使用单位根据国家管理规范、技术标准自 主防护。
/ /
一级 9 9 6 7 2
3 4 7 20 18 85 /
信息安全等级保护概述(PPT 120页)
全国公安教育训练网络学院网络安全分院
(五)GA/T 387 — 2002《计算机信 息系统安全等级保护网络技术要求》
GA/T 387 — 2002主要内容为: (1)简单描述了关于安全等级划分、主体、客体、TCB 、密码技术、建立网络安全的一般要求,以及网络安全 组成与相互关系。 (2)详细描述了网络基本安全技术,包括自主访问控制 、强制访问控制、标记、用户身份鉴别、剩余信息保护 、安全审计、数据完整性、隐蔽信道分析、可信路径、 可信恢复、抗抵赖、密码支持等。 (3)详细描述了网络安全技术要求。 (4)五个安全等级划分要求技术方面细则。
1999年,强制性国家标准-《计算机信息系统安全保护等 级划分准则》GB 17859)。
全国公安教育训练网络学院网络安全分院
2003年,中办、国办转发的《国家信息化领导小组关 于加强信息安全保障工作的意见》(中办发[2003]27号) 明确指出“实行信息安全等级保护”。 “要重点保护基础 信息网络和关系国家安全、经济命脉、社会稳定等方面的 重要信息系统,抓紧建立信息安全等级保护制度,制定信 息安全等级保护的管理办法和技术指南” 。
本级系统依照国家管理规范和技术标准进行自主保护。
全国公安教育训练网络学院网络安全分院
二、信息系统安全等级划分
(二)第二级为指导保护级
其主要对象为一般的信息系统,其业务信息安全性 或业务服务保证性受到破坏后,会对社会秩序和公 共利益造成一定损害,但不损害国家安全。
本级系统依照国家管理规范和技术标准进行自主保 护,必要时信息安全监管职能部门对其进行指导。
1、 政府层面:国家制定统一信息安全等级保护管理规 范和技术标准,组织公民、法人和其他组织对信息系 统分等级实行安全保护,对信息安全产品的使用分等 级实行管理,对等级保护工作的实施进行监督、指导 。 2、用户层面 :公民、法人和其他组织应当按照国家有 关等级保护的管理规范和技术标准开展等级保护工作 ,服从国家对信息安全等级保护工作的监督、指导, 保障信息系统安全。 3、社会层面 :信息安全产品的研制、生产单位,信息 系统的集成、等级测评、风险评估等安全服务机构, 依据国家有关管理规定和技术标准,开展相应工作, 并接受国家信息安全职能部门的监督管理。
(五)GA/T 387 — 2002《计算机信 息系统安全等级保护网络技术要求》
GA/T 387 — 2002主要内容为: (1)简单描述了关于安全等级划分、主体、客体、TCB 、密码技术、建立网络安全的一般要求,以及网络安全 组成与相互关系。 (2)详细描述了网络基本安全技术,包括自主访问控制 、强制访问控制、标记、用户身份鉴别、剩余信息保护 、安全审计、数据完整性、隐蔽信道分析、可信路径、 可信恢复、抗抵赖、密码支持等。 (3)详细描述了网络安全技术要求。 (4)五个安全等级划分要求技术方面细则。
1999年,强制性国家标准-《计算机信息系统安全保护等 级划分准则》GB 17859)。
全国公安教育训练网络学院网络安全分院
2003年,中办、国办转发的《国家信息化领导小组关 于加强信息安全保障工作的意见》(中办发[2003]27号) 明确指出“实行信息安全等级保护”。 “要重点保护基础 信息网络和关系国家安全、经济命脉、社会稳定等方面的 重要信息系统,抓紧建立信息安全等级保护制度,制定信 息安全等级保护的管理办法和技术指南” 。
本级系统依照国家管理规范和技术标准进行自主保护。
全国公安教育训练网络学院网络安全分院
二、信息系统安全等级划分
(二)第二级为指导保护级
其主要对象为一般的信息系统,其业务信息安全性 或业务服务保证性受到破坏后,会对社会秩序和公 共利益造成一定损害,但不损害国家安全。
本级系统依照国家管理规范和技术标准进行自主保 护,必要时信息安全监管职能部门对其进行指导。
1、 政府层面:国家制定统一信息安全等级保护管理规 范和技术标准,组织公民、法人和其他组织对信息系 统分等级实行安全保护,对信息安全产品的使用分等 级实行管理,对等级保护工作的实施进行监督、指导 。 2、用户层面 :公民、法人和其他组织应当按照国家有 关等级保护的管理规范和技术标准开展等级保护工作 ,服从国家对信息安全等级保护工作的监督、指导, 保障信息系统安全。 3、社会层面 :信息安全产品的研制、生产单位,信息 系统的集成、等级测评、风险评估等安全服务机构, 依据国家有关管理规定和技术标准,开展相应工作, 并接受国家信息安全职能部门的监督管理。
信息安全等级保护PPT课件
20
应用安全整改要点
21
数据库安全及备份恢复整改要点
22
二级和三级等保具体要求对比
23
THANK YOU
By:cqvip - 张泽军
24
20
系统运维管理
18
—
85
—
—
4
8
7
11
9
20
11
16
28
45
41
62
175
290
90
115
14
安全策略体系
15
等级划分准则(GB 17859—1999)
16
等保要求(技术&管理)
物理安全;网络安全;主机安全; 应用安全;数据库安全及备份恢复
17
物理安全整改要点
18
网络安全整改要点
19
主机安全整改要点
等 级 保 张泽军 护
1
目录 CONTENTS
一、等级保护背景 二、等级保护要点 三、等级保护(技术&管理)
2
等级保护背景
信息安全作用和战略意义 信息安全保护发展历史 我国重要的信息安全保护标准
3
信息安全作用和战略意义
威胁事件
2012.7 雅虎服务器被黑 45万用户信息泄露 2013.10 慧达驿站软件漏洞导致连锁酒店数据库被拖库
2000万条开房记录泄露 2018.3 facebook数据外泄,被欧美等国问责调查,市
值蒸发360亿美元
2004 英国多家银行被“特洛伊木马”病毒攻击,约 10亿英镑被盗
2002.7 首都机场因计算机故障导致6000多人滞留,150 多架飞机延误
2016.10 美国Dyn DNS遭到DDoS攻击,造成大量网站一 度瘫痪,Twitter24小时0访问
应用安全整改要点
21
数据库安全及备份恢复整改要点
22
二级和三级等保具体要求对比
23
THANK YOU
By:cqvip - 张泽军
24
20
系统运维管理
18
—
85
—
—
4
8
7
11
9
20
11
16
28
45
41
62
175
290
90
115
14
安全策略体系
15
等级划分准则(GB 17859—1999)
16
等保要求(技术&管理)
物理安全;网络安全;主机安全; 应用安全;数据库安全及备份恢复
17
物理安全整改要点
18
网络安全整改要点
19
主机安全整改要点
等 级 保 张泽军 护
1
目录 CONTENTS
一、等级保护背景 二、等级保护要点 三、等级保护(技术&管理)
2
等级保护背景
信息安全作用和战略意义 信息安全保护发展历史 我国重要的信息安全保护标准
3
信息安全作用和战略意义
威胁事件
2012.7 雅虎服务器被黑 45万用户信息泄露 2013.10 慧达驿站软件漏洞导致连锁酒店数据库被拖库
2000万条开房记录泄露 2018.3 facebook数据外泄,被欧美等国问责调查,市
值蒸发360亿美元
2004 英国多家银行被“特洛伊木马”病毒攻击,约 10亿英镑被盗
2002.7 首都机场因计算机故障导致6000多人滞留,150 多架飞机延误
2016.10 美国Dyn DNS遭到DDoS攻击,造成大量网站一 度瘫痪,Twitter24小时0访问
等级保护PPT课件
.
17
基本概念
• 访问控制机制
– 自主访问控制(Discretionary Access Control)
• 如果作为客体的拥有者的个人用户可以设置访问控 制属性来许可或拒绝对客体的访问,那么这样的机 制就称为自主访问控制。
• 例:一个小孩有本笔记。她允许妈妈读,但其他人 不可以读。
• 访问控制取决于拥有者. 的判断力。
TCB
安全域
TCB安全功能 (TSF)
TCB安全策略 (TSP)
TCB安全功能 (TSF)
TCB安全策略 (TSP)
.
26
基本概念
• 可信计算基(trusted computing base)
– 高安全级别操作系统中TCB的设计原则
• TCB独立于系统的其他部分 • TCB不含有和安全无关的内容 • 具有引用监视器的特性
.
5
等级保护与分级保护的关系
• 涉密信息系统分级保护保护的对象是所有涉及国 家秘密的信息系统,重点是:
– 党政机关 – 军队和军工单位,
• 由各级保密工作部门根据涉密信息系统的保护等 级实施监督管理,确保系统和信息安全,确保国 家秘密不被泄漏
.
6
等级保护与分级保护的关系
• 国家信息安全等级保护是国家从整体上、根本上 解决国家信息安全问题的办法, 对信息系统实行等 级保护是国家法定制度和基本国策,是信息安全 保护工作的发展方向。
• 战略高度
– 通过提高国家信息安全综合防护能力
– 保障国家安全,维护和稳定信息社会秩序,促 进经济发展,提高综合国力
• 核心
– 对信息安全分等级、按标准进行建设、管理和
监督
.
32
2.信息安全等级保护综述
等级保护与信息安全风险管理PPT课件( 12页)
悲心,饶益众生为他人。
•
14、梦想总是跑在我的前面。努力追寻它们,为了那一瞬间的同步,这就是动人的生命奇迹。
•
15、懒惰不会让你一下子跌倒,但会在不知不觉中减少你的收获;勤奋也不会让你一夜成功,但会在不知不觉中积累你的成果。人生需要挑战,更需要坚持和勤奋!
•
16、人生在世:可以缺钱,但不能缺德;可以失言,但不能失信;可以倒下,但不能跪下;可以求名,但不能盗名;可以低落,但不能堕落;可以放松,但不能放纵;可以虚荣,
等级保护与信息安全风险管理
公安部十一局 郭启全
目录
一、什么是信息安全等级保护 二、等级保护工作面临的形势 三、如何开展信息安全等级保护工作 四、几个需要说明的问题 五、下一步工作
一、什么是信息安全等级保护
信息安全等级保护是国家信息安全 保障的基本制度、基本策略、基本方法。 开展信息安全等级保护工作是保护信息 化发展、维护国家信息安全的根本保障。
五、下一步工作
按照中央领导批示精神,下一步拟全面部 署开展信息安全等级保护工作,完成全国重 要信息系统定级工作,加快出台等级保护工 作规章制度和标准规范,对重要领域、重要 行业信息安全等级保护工作开展检查,广泛 开展宣传活动和多种形式、多种层次的培训 工作。
谢谢!
•
1、不是井里没有水,而是你挖的不够深。不是成功来得慢,而是你努力的不够多。
但不能虚伪;可以平凡,但不能平庸;可以浪漫,但不能浪荡;可以生气,但不能生事。
•
17、人生没有笔直路,当你感到迷茫、失落时,找几部这种充满正能量的电影,坐下来静静欣赏,去发现生命中真正重要的东西。
•
18、在人生的舞台上,当有人愿意在台下陪你度过无数个没有未来的夜时,你就更想展现精彩绝伦的自己。但愿每个被努力支撑的灵魂能吸引更多的人同行。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
三、安全保护等级的划分
等级 对象
侵客体
第一级 一般系
第二级 统
合法权益 合法权益 社会秩序和公共利益
第三级 重要系
统 第四级
社会秩序和公共利益 国家安全
社会秩序和公共利益 国家安全
第五级
极端重 要系统
国家安全
侵害程度
监管强度
损害
自主保护
严重损害 指导
损害
严重损害 损害
监督检查
特别严重损害 强制监督检查
严重损害
特别严重损害 专门监督检查
四、等级保护工作的职责分工
公安机关负责信息安全等级保护工作的 监督、检查、指导;国家保密工作部门负责 等级保护工作中有关保密工作的监督、检查、 指导;国家密码管理部门负责等级保护工作 中有关密码工作的监督、检查、指导;涉及 其他职能部门管辖范围的事项,由有关职能 部门依照国家法律法规的规定进行管理;国 务院信息化工作办公室及地方信息化领导小 组办事机构负责等级保护工作的部门间协调。
技术测评队伍
由第三方依据认证认可条例对实验室以及从 事评审、审核等认证活动人员的能力和执业 资格,予以承认的合格评定。
由国家信息安全监管部门依据法律职权规定, 对其可能具有危害国家安全、社会秩序、公 共利益的功能、情况进行评估和审核。
重要信息系统
谢谢!
髩爍泒庡仟寫臲槑囱繼獁鐾鑖莅
籨阑鴔匒濧清稔晠嚉泠蒴雸翼恩
2004年,公安部、国家保密局、国家密码 管理局、国信办联合印发了《关于信息安全等 级保护工作的实施意见》(66号文件)
2006年1月,公安部、国家保密局、国家 密码管理局、国信办联合制定了《信息安全等 级保护管理办法》(公通字[2006]7号)
等级保护制度的基本思想
1、 政府层面:国家制定统一信息安全等级保护管 理规范和技术标准,组织公民、法人和其他组织对 信息系统分等级实行安全保护,对信息安全产品的 使用分等级实行管理,对等级保护工作的实施进行 监督、指导。 2、用户层面 :公民、法人和其他组织应当按照国 家有关等级保护的管理规范和技术标准开展等级保 护工作,服从国家对信息安全等级保护工作的监督、 指导,保障信息系统安全。 3、社会层面 :信息安全产品的研制、生产单位, 信息系统的集成、等级测评、风险评估等安全服务 机构,依据国家有关管理规定和技术标准,开展相 应工作,并接受国家信息安全职能部门的监督管理。
五、等级保护工作的主要流程
一是定级。包括评审与审批。 二是备案(二级以上信息系统)。 三是系统建设、整改(按条件选择产品)。 四是开展等级测评(按条件选择测评机构)。 五是信息安全监管部门定期开展监督检查。
六、等级保护的政策体系和标准体系
国务院147号令、中央27号文件、《关于 信息安全等级保护工作的实施意见》 (公通 字[2004]66号)》、《信息安全等级保护管 理办法(公通字[2007]43号)》。
1995年2月18日人大12次会议通过并实 施的《中华人民共和国警察法》第二章第六 条第十二款规定,公安机关人民警察依法履 行“监督管理计算机信息系统的安全保护工 作”。——法律依据。
1999年,强制性国家标准-《计算机信 息系统安全保护等级划分准则》GB 17859)。
2003年,中办、国办转发的《国家信息化 领导小组关于加强信息安全保障工作的意见》 (中办发[2003]27号)明确指出“实行信息安 全等级保护”。 “要重点保护基础信息网络和 关系国家安全、经济命脉、社会稳定等方面的 重要信息系统,抓紧建立信息安全等级保护制 度,制定信息安全等级保护的管理办法和技术 指南” 。
标准包括《计算机信息系统安全保护等级 划分准则》(GB17859-1999)、《信息系 统安全等级保护基本要求》、《信息系统安 全等级保护实施指南》、《信息系统安全等 级保护测评要求》等30多个标准。
七、信息安全产品和测评机构管理思路
第一关,质量认证。
第二关,可信性、可靠性、可 控性审核。
信息安全产品
由第三方依据认证认可条例证明产品、服务、 管理体系符合相关技术规范、相关技术规范的 强制性要求或者标准的合格评定。
由国家信息安全监管部门依据法律职权规定, 对其可能具有危害国家安全、社会秩序、公共 利益的功能、情况进行评估和审核。
重要信息系统
七、信息安全产品和测评机构管理思路
第一关,能力认可。
第二关,可信性、可靠性、可 控性审核。
二、信息安全等级保护的工作进展
一是2006年1月制定出台了《信息安全等级保护 管理办法(试行)》。 二是2006年5月18日组织召开了国家信息安全等 级保护工作协调小组第一次会议。 三是制定了等级保护系列技术标准。 四是开展了等级保护基础调查工作。 五是部署开展信息安全等级保护试点工作。 六是出台新的《信息安全等级保护管理办法》。 七是筹备召开全国信息系统定级工作。
揍驭愹櫽墦銄昧坝擕欲喌餏祭鎓 ••嚖中管良国理课资棷件 源站 吧迊h犉htttptp:拓/://w/ww鄠www.t縝.ataood粊doocsc袰.sc.ocom嵄m/t/u瓨tudyaux彩aiany堨ou •待心顖灵驿翟站哋http壤://tu來yua髺nyo氆u1蘱.zon泬e.k儧u6.c辀om瑇/ 僋 •棵中滱华文痑库谏http剿://w賳ww亭.eap紺oo蟱.com襵/sp胢ace磇/57譮748彝 ••綋大管菛学理课资筰件 源吧瀆htthp汄t:t/p/w:槷//wwww耙.dwo.dc岑oinc.ic秙no.cmo詙/m61/41麉6679胄866506贀5974繇 仾凥愤惩拟吒壠鍑蠦偊笍乡捓綤
国家信息安全等级制度 与等级保护工作的实施
公安部公共信息网络安全监察局
郭启全
目录
一、什么是信息安全等级保护 二、信息安全等级保护的工作进展 三、安全保护等级的划分 四、等级保护工作的职责分工 五、等级保护工作的主要流程 六、等级保护标准体系 七、信息安全产品和测评机构管理思路
一、什么是信息安全等级保护
信息安全等级保护是国家信息安全 保障的基本制度、基本策略、基本方法。 开展信息安全等级保护工作是保护信息 化发展、维护国家信息安全的根本保障, 是信息安全保障工作中国家意志的体现。
1994年,《中华人民共和国计算机信息系 统安全保护条例 》规定,“计算机信息系统 实行安全等级保护,安全等级的划分标准和 安全等级保护的具体办法,由公安部会同有 关部门制定” 。