数据库管理安全等级保护技术要求
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等级保护工作的开展必须分 步骤、分阶段、有计划的实 施。明确了信息安全等级保 护制度的基本内容。
将等级保护从计算机信息系 统安全保护的一项制度提升 到国家信息安全保障的一项 基本制度。
明确了信息安全等级保护制 度的基本内容、流程及工作 要求,明确了信息系统运营 使用单位和主管部门、监管 部门在信息安全等级保护工 作中的职责、任务。
系统审计 客体重用
强制访问控制 标记
隐蔽通道分析 可信路径
可信恢复
1 信息安全与等级保护 2 国家政策与标准规范 3 等保工作内容与建设流程 4 数据库管理安全基本要求 5 数据库管理安全分级要求 5 数据库安全检查分析
等级保护的国家政策
颁布时间
1994年 2月18日 2003年 9月7日
2004年 9月15日
中办国办发 [2003]27号
公通字 [2004]66号
公通字 [2007]43号
公信安 [2007]861 号
颁布机构
国务院
中共中央办公厅 国务院办公厅
公安部 国家保密局 国家密码管理委 员会办公室 (国家密码管理 局) 国务院信息化工 作办公室
内容及意义
第一次提出信息系统要实行 等级保护,并确定了等级保 护的职责单位。
等保方案类标准:
《信息安全技术 信息系统安全等级保护实施指南》 ( GB/T xxxxx-2007 )
等级保护的技术标准规范
国家已出台约70余个标准,重点需要了解的有:
等级保护的等级划分准则
根据信息和信息系统遭到破坏或泄露后,对 国家安全、社会秩序、公共利益及公民、法人和 其他组织的合法权益的危害程度来进行定级。
1、受侵害客体;
2、受侵害程度;
等级保护的等级划分准则
等级 对象
第一级 一般系
第二级 统
第三级 重要系 统
第四级
侵害客体 合法权益 合法权益 社会秩序和公共利益 社会秩序和公共利益 国家安全 社会秩序和公共利益 国家安全
息安全 等保 —— 分五级
非涉密环境(网络、终端、应用系统及数据)的 信息安全
什么是等级保护
信息系统等级保护的定义
是指对国家秘密信息、法人和其他组织及公民的专有信 息以及公开信息和存储、传输、处理这些信息的信息系统分 等级实行安全保护,对信息系统中使用的信息安全产品实行 按等级管理,对信息系统中发生的信息安全事件分等级响应、 处置。
2007年 6月22日
2007年 7月16日
文件名称
《中华人民共和国 计算机信息系统安 全保护条例》 《国家信息化领导 小组关于加强信息 安全保障工作的意 见》 《关于信息安全等 级保护工作的实施 意见》
《信息安全等级保 护管理办法》
《关于开展全国重 要信息系统安全等 级保护定级工作的 通知》
文号
国务院147 号令
技术创新,变革未来
数据库管理安全等级保护技术要求
1 信息安全与等级保护 2 国家政策与标准规范 3 等保工作内容与建设流程 4 数据库管理安全基本要求 5 数据库管理安全分级要求 5 数据库安全检查分析
信息安全与等级保护 信息安全的宏观范畴
分保(密保)—— 分三级(绝密、机密、秘密) 涉密环境(网络、终端、应用系统及数据)的信
信息系统安全等级保护定级指南
GB17859-1999 计算机信息系统安全保护等级划分准则
等级保护的技术标准规范
面向评估者技术标准:
《计算机信息系统安全保护等级划分准则》 (GB 17859-1999) 《信息安全技术 信息系统通用安全技术要求》 (GB/T 20271-2006) 《信息安全技术 操作系统安全技术要求》 (GB/T 20272-2006)
第四级 结构化保护 第五级 访问验证保护级
自主访问控制 身份鉴别 完整性保护
自主访问控制 身份鉴别 完整性保护
自主访问控制 身份鉴别 完整性保护
系统审计 客体重用
系统审计 客体重用
强制访问控制 标记
自主访问控制 身份鉴别 完整性保护
系统审计 客体重用
强制访问控制 标记
隐蔽通道分析 可信路径
自主访问控制 身份鉴别 完整性保护
就定级范围、定级工作主要 内容、定级工作要求等事项 进行了通知。
等级保护的技术标准规范
国家已出台70多个国标、行标以及报批标准,从基础、设计、 实施、管理、制度等各个方面对等保系统提出了要求和建议。
GB/T20009-2005信息安全技术 操作系统安全评估准则
GB/T20269-2006 信息系统安全管理要求 GB/T20282-2006 信息安全技术 信息系统安全工程管理要求 GB/T 20270-2006信息安全技术 网络基础安全技术要求 GB/T 20271-2006信息安全技术 信息系统通用安全技术要求 GB/T 20272-2006信息安全技术 操作系统安全技术要求 GB/T 20273-2006信息安全技术 数据库管理系统通用安全技术要求 GB/T22239-2008信息安全技术 信息系统安全等级保护基本要求 信息安全技术 信息系统等级保护安全设计技术要求 (已送批) 信息系统安全等级保护实施指南 ……
第五级
极端重 要系统
国家பைடு நூலகம்全
侵害程度
监管强度
损害
自主保护
严重损害 损害
指导
严重损害 损害
监督检查
特别严重损害 强制监督检查
严重损害
特别严重损害 专门监督检查
等级保护涉及的几个基本概念
主体
权限
客体
主动 用户、进程
访问:读、写、执行
被动 文件、存储设备
强制访问控制
安全策略
安全审计
等级保护的等级划分准则
面向建设者技术标准:
《信息安全技术 信息系统安全等级保护基本要求》 (GB/T 22239-2008) 《信息安全技术 信息系统等级保护安全设计技术要求》
等级保护的技术标准规范
系统定级类标准:
《信息安全技术 信息系统安全保护等级定级指南》 (GB/T 22240-2008)
管理类标准:
《信息安全技术 信息系统安全工程管理要求》 (GB/T 20282-2006) 《信息系统安全管理体系标准》(ISO/IEC 27001)
第一级 用户自主保护级 第二级 系统审计保护 第三级 安全标记保护 第四级 结构化保护 第五级 访问验证保护
用户自主控制资源访问 访问行为需要被审计 通过标记实现强制访问控制 可信计算基结构化 所有的过程都需要验证
等级保护的等级划分准则
第一级 自主安全保护 第二级 审计安全保护 第三级 强制安全保护
将等级保护从计算机信息系 统安全保护的一项制度提升 到国家信息安全保障的一项 基本制度。
明确了信息安全等级保护制 度的基本内容、流程及工作 要求,明确了信息系统运营 使用单位和主管部门、监管 部门在信息安全等级保护工 作中的职责、任务。
系统审计 客体重用
强制访问控制 标记
隐蔽通道分析 可信路径
可信恢复
1 信息安全与等级保护 2 国家政策与标准规范 3 等保工作内容与建设流程 4 数据库管理安全基本要求 5 数据库管理安全分级要求 5 数据库安全检查分析
等级保护的国家政策
颁布时间
1994年 2月18日 2003年 9月7日
2004年 9月15日
中办国办发 [2003]27号
公通字 [2004]66号
公通字 [2007]43号
公信安 [2007]861 号
颁布机构
国务院
中共中央办公厅 国务院办公厅
公安部 国家保密局 国家密码管理委 员会办公室 (国家密码管理 局) 国务院信息化工 作办公室
内容及意义
第一次提出信息系统要实行 等级保护,并确定了等级保 护的职责单位。
等保方案类标准:
《信息安全技术 信息系统安全等级保护实施指南》 ( GB/T xxxxx-2007 )
等级保护的技术标准规范
国家已出台约70余个标准,重点需要了解的有:
等级保护的等级划分准则
根据信息和信息系统遭到破坏或泄露后,对 国家安全、社会秩序、公共利益及公民、法人和 其他组织的合法权益的危害程度来进行定级。
1、受侵害客体;
2、受侵害程度;
等级保护的等级划分准则
等级 对象
第一级 一般系
第二级 统
第三级 重要系 统
第四级
侵害客体 合法权益 合法权益 社会秩序和公共利益 社会秩序和公共利益 国家安全 社会秩序和公共利益 国家安全
息安全 等保 —— 分五级
非涉密环境(网络、终端、应用系统及数据)的 信息安全
什么是等级保护
信息系统等级保护的定义
是指对国家秘密信息、法人和其他组织及公民的专有信 息以及公开信息和存储、传输、处理这些信息的信息系统分 等级实行安全保护,对信息系统中使用的信息安全产品实行 按等级管理,对信息系统中发生的信息安全事件分等级响应、 处置。
2007年 6月22日
2007年 7月16日
文件名称
《中华人民共和国 计算机信息系统安 全保护条例》 《国家信息化领导 小组关于加强信息 安全保障工作的意 见》 《关于信息安全等 级保护工作的实施 意见》
《信息安全等级保 护管理办法》
《关于开展全国重 要信息系统安全等 级保护定级工作的 通知》
文号
国务院147 号令
技术创新,变革未来
数据库管理安全等级保护技术要求
1 信息安全与等级保护 2 国家政策与标准规范 3 等保工作内容与建设流程 4 数据库管理安全基本要求 5 数据库管理安全分级要求 5 数据库安全检查分析
信息安全与等级保护 信息安全的宏观范畴
分保(密保)—— 分三级(绝密、机密、秘密) 涉密环境(网络、终端、应用系统及数据)的信
信息系统安全等级保护定级指南
GB17859-1999 计算机信息系统安全保护等级划分准则
等级保护的技术标准规范
面向评估者技术标准:
《计算机信息系统安全保护等级划分准则》 (GB 17859-1999) 《信息安全技术 信息系统通用安全技术要求》 (GB/T 20271-2006) 《信息安全技术 操作系统安全技术要求》 (GB/T 20272-2006)
第四级 结构化保护 第五级 访问验证保护级
自主访问控制 身份鉴别 完整性保护
自主访问控制 身份鉴别 完整性保护
自主访问控制 身份鉴别 完整性保护
系统审计 客体重用
系统审计 客体重用
强制访问控制 标记
自主访问控制 身份鉴别 完整性保护
系统审计 客体重用
强制访问控制 标记
隐蔽通道分析 可信路径
自主访问控制 身份鉴别 完整性保护
就定级范围、定级工作主要 内容、定级工作要求等事项 进行了通知。
等级保护的技术标准规范
国家已出台70多个国标、行标以及报批标准,从基础、设计、 实施、管理、制度等各个方面对等保系统提出了要求和建议。
GB/T20009-2005信息安全技术 操作系统安全评估准则
GB/T20269-2006 信息系统安全管理要求 GB/T20282-2006 信息安全技术 信息系统安全工程管理要求 GB/T 20270-2006信息安全技术 网络基础安全技术要求 GB/T 20271-2006信息安全技术 信息系统通用安全技术要求 GB/T 20272-2006信息安全技术 操作系统安全技术要求 GB/T 20273-2006信息安全技术 数据库管理系统通用安全技术要求 GB/T22239-2008信息安全技术 信息系统安全等级保护基本要求 信息安全技术 信息系统等级保护安全设计技术要求 (已送批) 信息系统安全等级保护实施指南 ……
第五级
极端重 要系统
国家பைடு நூலகம்全
侵害程度
监管强度
损害
自主保护
严重损害 损害
指导
严重损害 损害
监督检查
特别严重损害 强制监督检查
严重损害
特别严重损害 专门监督检查
等级保护涉及的几个基本概念
主体
权限
客体
主动 用户、进程
访问:读、写、执行
被动 文件、存储设备
强制访问控制
安全策略
安全审计
等级保护的等级划分准则
面向建设者技术标准:
《信息安全技术 信息系统安全等级保护基本要求》 (GB/T 22239-2008) 《信息安全技术 信息系统等级保护安全设计技术要求》
等级保护的技术标准规范
系统定级类标准:
《信息安全技术 信息系统安全保护等级定级指南》 (GB/T 22240-2008)
管理类标准:
《信息安全技术 信息系统安全工程管理要求》 (GB/T 20282-2006) 《信息系统安全管理体系标准》(ISO/IEC 27001)
第一级 用户自主保护级 第二级 系统审计保护 第三级 安全标记保护 第四级 结构化保护 第五级 访问验证保护
用户自主控制资源访问 访问行为需要被审计 通过标记实现强制访问控制 可信计算基结构化 所有的过程都需要验证
等级保护的等级划分准则
第一级 自主安全保护 第二级 审计安全保护 第三级 强制安全保护