三级等保系统解决方案ppt课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
三级等保系统解决方案
等级保护--世博信息安全保障
世博前后的等保目标
杜绝由信息安全造成的群体事件
关键信息系统不能中断
防止办公系统信息泄露等负面事件
世博前后的等保对策
常态化的信息安全保障,提高自身免疫能力 规定动作结合自选动作,全面进行整改加固和应急演练
技术要在服务上深化,管理要在细节上落实
空间释放及信息清除 重要服务器:检测、记录、报警 重要程序完整性 主机与网络的防范产品不同 监视重要服务器
对用户会话数及终端登录的限制
安全审计 边界完整性检查 入侵防范 恶意代码防范 网络设备防护
内部的非法联出 非授权设备私自外联 检测常见攻击 记录、报警
网络边界处防范
基本的登录鉴别 组合鉴别技术 特权用户的权限分离
三级系统安全保护要求—主机安全
主机系统安全是包括服务器、终端/工作站等在 内的计算机设备在操作系统及数据库系统层面的 安全。 主机安全具体包括:7个控制点 身份鉴别(S)、访问控制(S)、安全审计(G)、 剩余信息保护(S)、入侵防范(G)、 恶意代码防范(G)、资源控制(A)
人员安全管理
系统建设管理 系统运维管理
N/A
5
11 13
16
45 60
合
计
73(类) 290(项)
三级系统安全保护要求—物理安全
物理安全主要涉及的方面包括环境安全(防火、 防水、防雷击等)设备和介质的防盗窃防破坏等 方面。
物理安全具体包括:10个控制点 物理位置的选择(G)、 物理访问控制(G)、 防盗窃和防破坏(G)、 防雷击(G)、 防火(G)、防水和防潮(G) 、防静电(G) 、 温湿度控制(G)、电力供应(A)、 电磁防护(S)
满足
基本管理措施
满足
基本安全要求
等级保护基本安全要求
某级系统 基本要求 技术要求 管理要求
物 理 安 全
网 络 安 全
主 机 安 全
应 用 安 全
数 据 安 全
安 全 管 理 机 构
安 全 管 理 制 度
人 员 安 全 管 理
系 统 建 设 管 理
系 统 运 维 管 理
三级系统的控制类及控制项
指标类
建立全市层面的专家团队及技术保障队伍
等级保护--政策推进过程
Before 2005
《中华人民共和国计算机信息系统安全保护条例》(1994年 国务院147号令) 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号) 《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
类数量
技术/管理 层面 物理安全 网络安全 安全技术 主机安全 应用安全 数据安全 安全管理制度 安全管理机构
项数量
小计 10 7 7 9 3 3 5 小计 32 33 32 31 8 11 20
S类 (3级)
1 1 3 5 2
A类 (3级)
1 0 1 2 1
G类 (3级)
8 6 3 2 0
安全管理
防火
防静电
关键设备
稳定电压、短期供应
主要设备 主要设备
电力供应
电磁防护 防水和防潮
线缆隔离
温湿度控制
接地防干扰 电磁屏蔽
三级系统安全保护要求—网络安全
网络安全主要关注的方面包括:网络结构、网 络边界以及网络设备自身安全等。 网络安全具体包括:7个控制点 结构安全(G)、访问控制(G)、安全审计(G)、 边界完整性检查(A)、入侵防范(G)、 恶意代码防范(G)、网络设备防护(G)
网络安全的整改要点
关键设备冗余空间 主要设备冗余空间 整体网络带宽 重要网段部署 端口控制 应用层协议过滤 防止地址欺骗 会话终止 路由控制 带宽分配优先级
结构安全
核心网络带宽 子网/网段控制
百度文库
访问控制
访问控制设备(用户、网段) 拨号访问限制
日志记录
最大流量数及最大连接数 审计报表 审计记录的保护 定位及阻断
物理安全的整改要点
物理位置的选择 物理访问控制 基本防护能力 高层、地下室 基本出入控制 分区域管理 电子门禁
在机房中的活动
防盗窃和防破坏 防雷击 存放位置、标记标识 监控报警系统 建筑防雷、机房接地 设备防雷 灭火设备、自动报警 自动消防系统 区域隔离措施 防静电地板 冗余/并行线路 备用供电系统
主机安全的整改要点
基本的身份鉴别 身份鉴别 安全策略 组合鉴别技术 管理用户的权限分离 敏感标记的设置及操作 重要客户端的审计 安全审计 剩余信息保护 最小安装原则 升级服务器 恶意代码防范 资源控制
防恶意代码软件、代码库统一管理
访问控制
特权用户的权限分离
服务器基本运行情况审计
审计报表
审计记录的保护
2007
《信息安全等级保护管理办法》(公通字[2007]43号) 《关于开展全国重要信息系统安全等级保护定级工作的通知》 (公信安[2007]861号)---上海市:沪公发[2007]319号 《上海市迎世博信息安全保障两年行动计划》
2009
《2009年信息安全等级保护工作内容及具体要求》(公信安[2009]232号) 《关于组织开展2009年度本市重要信息系统等级保护工作的通知》 (沪公发[2009]187号)---沪公发[2009]173号、沪密局[2009]39号、。。。
等级保护--十大核心标准
基础类
《计算机信息系统安全保护等级划分准则》GB 17859-1999 《信息系统安全等级保护实施指南》GB/T CCCC-CCCC 报批稿
应用类
定级:《信息系统安全保护等级定级指南》GB/T 22240-2008 建设:《信息系统安全等级保护基本要求》GB/T 22239-2008 《信息系统通用安全技术要求》GB/T 20271-2006 《信息系统等级保护安全设计技术要求》 测评:《信息系统安全等级保护测评要求》 GB/T DDDD-DDDD 报批稿 《信息系统安全等级保护测评过程指南》 管理:《信息系统安全管理要求》GB/T 20269-2006 《信息系统安全工程管理要求》GB/T 20282-2006
等级保护--完全实施过程
信息系统定级 安全总体规划 安全整改设计 安全设计与实施
局 部 调 整 安全要求整改 安全等级整改
等 级 变 更
等级符合性检查 安全运行维护 应急预案及演练 信息系统备案 安全等级测评
信息系统终止
能力、措施和要求
具备 安全保护能力
等保3级的信息系统 包含 包含
实现
基本技术措施
等级保护--世博信息安全保障
世博前后的等保目标
杜绝由信息安全造成的群体事件
关键信息系统不能中断
防止办公系统信息泄露等负面事件
世博前后的等保对策
常态化的信息安全保障,提高自身免疫能力 规定动作结合自选动作,全面进行整改加固和应急演练
技术要在服务上深化,管理要在细节上落实
空间释放及信息清除 重要服务器:检测、记录、报警 重要程序完整性 主机与网络的防范产品不同 监视重要服务器
对用户会话数及终端登录的限制
安全审计 边界完整性检查 入侵防范 恶意代码防范 网络设备防护
内部的非法联出 非授权设备私自外联 检测常见攻击 记录、报警
网络边界处防范
基本的登录鉴别 组合鉴别技术 特权用户的权限分离
三级系统安全保护要求—主机安全
主机系统安全是包括服务器、终端/工作站等在 内的计算机设备在操作系统及数据库系统层面的 安全。 主机安全具体包括:7个控制点 身份鉴别(S)、访问控制(S)、安全审计(G)、 剩余信息保护(S)、入侵防范(G)、 恶意代码防范(G)、资源控制(A)
人员安全管理
系统建设管理 系统运维管理
N/A
5
11 13
16
45 60
合
计
73(类) 290(项)
三级系统安全保护要求—物理安全
物理安全主要涉及的方面包括环境安全(防火、 防水、防雷击等)设备和介质的防盗窃防破坏等 方面。
物理安全具体包括:10个控制点 物理位置的选择(G)、 物理访问控制(G)、 防盗窃和防破坏(G)、 防雷击(G)、 防火(G)、防水和防潮(G) 、防静电(G) 、 温湿度控制(G)、电力供应(A)、 电磁防护(S)
满足
基本管理措施
满足
基本安全要求
等级保护基本安全要求
某级系统 基本要求 技术要求 管理要求
物 理 安 全
网 络 安 全
主 机 安 全
应 用 安 全
数 据 安 全
安 全 管 理 机 构
安 全 管 理 制 度
人 员 安 全 管 理
系 统 建 设 管 理
系 统 运 维 管 理
三级系统的控制类及控制项
指标类
建立全市层面的专家团队及技术保障队伍
等级保护--政策推进过程
Before 2005
《中华人民共和国计算机信息系统安全保护条例》(1994年 国务院147号令) 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号) 《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
类数量
技术/管理 层面 物理安全 网络安全 安全技术 主机安全 应用安全 数据安全 安全管理制度 安全管理机构
项数量
小计 10 7 7 9 3 3 5 小计 32 33 32 31 8 11 20
S类 (3级)
1 1 3 5 2
A类 (3级)
1 0 1 2 1
G类 (3级)
8 6 3 2 0
安全管理
防火
防静电
关键设备
稳定电压、短期供应
主要设备 主要设备
电力供应
电磁防护 防水和防潮
线缆隔离
温湿度控制
接地防干扰 电磁屏蔽
三级系统安全保护要求—网络安全
网络安全主要关注的方面包括:网络结构、网 络边界以及网络设备自身安全等。 网络安全具体包括:7个控制点 结构安全(G)、访问控制(G)、安全审计(G)、 边界完整性检查(A)、入侵防范(G)、 恶意代码防范(G)、网络设备防护(G)
网络安全的整改要点
关键设备冗余空间 主要设备冗余空间 整体网络带宽 重要网段部署 端口控制 应用层协议过滤 防止地址欺骗 会话终止 路由控制 带宽分配优先级
结构安全
核心网络带宽 子网/网段控制
百度文库
访问控制
访问控制设备(用户、网段) 拨号访问限制
日志记录
最大流量数及最大连接数 审计报表 审计记录的保护 定位及阻断
物理安全的整改要点
物理位置的选择 物理访问控制 基本防护能力 高层、地下室 基本出入控制 分区域管理 电子门禁
在机房中的活动
防盗窃和防破坏 防雷击 存放位置、标记标识 监控报警系统 建筑防雷、机房接地 设备防雷 灭火设备、自动报警 自动消防系统 区域隔离措施 防静电地板 冗余/并行线路 备用供电系统
主机安全的整改要点
基本的身份鉴别 身份鉴别 安全策略 组合鉴别技术 管理用户的权限分离 敏感标记的设置及操作 重要客户端的审计 安全审计 剩余信息保护 最小安装原则 升级服务器 恶意代码防范 资源控制
防恶意代码软件、代码库统一管理
访问控制
特权用户的权限分离
服务器基本运行情况审计
审计报表
审计记录的保护
2007
《信息安全等级保护管理办法》(公通字[2007]43号) 《关于开展全国重要信息系统安全等级保护定级工作的通知》 (公信安[2007]861号)---上海市:沪公发[2007]319号 《上海市迎世博信息安全保障两年行动计划》
2009
《2009年信息安全等级保护工作内容及具体要求》(公信安[2009]232号) 《关于组织开展2009年度本市重要信息系统等级保护工作的通知》 (沪公发[2009]187号)---沪公发[2009]173号、沪密局[2009]39号、。。。
等级保护--十大核心标准
基础类
《计算机信息系统安全保护等级划分准则》GB 17859-1999 《信息系统安全等级保护实施指南》GB/T CCCC-CCCC 报批稿
应用类
定级:《信息系统安全保护等级定级指南》GB/T 22240-2008 建设:《信息系统安全等级保护基本要求》GB/T 22239-2008 《信息系统通用安全技术要求》GB/T 20271-2006 《信息系统等级保护安全设计技术要求》 测评:《信息系统安全等级保护测评要求》 GB/T DDDD-DDDD 报批稿 《信息系统安全等级保护测评过程指南》 管理:《信息系统安全管理要求》GB/T 20269-2006 《信息系统安全工程管理要求》GB/T 20282-2006
等级保护--完全实施过程
信息系统定级 安全总体规划 安全整改设计 安全设计与实施
局 部 调 整 安全要求整改 安全等级整改
等 级 变 更
等级符合性检查 安全运行维护 应急预案及演练 信息系统备案 安全等级测评
信息系统终止
能力、措施和要求
具备 安全保护能力
等保3级的信息系统 包含 包含
实现
基本技术措施