关键信息基础设施网络安全等级保护核心技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
准确划分定级系统,从保护业务信息和系统服务两维资源 出发,根据在国家安全、经济建设、社会生活中的重要程 度,以及系统遭受破坏后的危害程度等因素确定等级
适用于网络空间的云计算等安全需求分析
业务处理流程的完整性
定
级
系
软硬件设备相对的独立性
统
的
安全管理责权的统一性
特
征
多级互联隔离性
信息系统按重要程度不同分为五级,三
最近公布的《网络安全法》第二十一条 国家实行网络 安全等级保护制度。网络运营者应当按照网络安全等级 保护制度的要求,履行下列安全保护义务,保障网络免 受干扰、破坏或者未经授权的访问,防止网络数据泄露 或者被窃取、篡改
第三十一条规定,国家对关键信息基础设施,在 网络安全等级保护制度的基础上实行重点保护
)可信区域边界
区域边界子系统: 区域边界子系统通过对进入 和流出安全保护环境的信息 流进行安全检查,确保不会 有违背系统安全策略的信息 流经过边界,是信息系统的 第二道安全屏障
)可信通信网络
通信网络子系统: 通信网络子系统通过对通信 数据包的保密性和完整性进 行保护,确保其在传输过程 中不会被非授权窃听和篡改, 使得数据在传输过程中的安 全得到了保障,是信息系统 的外层安全屏障
、等级测评、整改完善
选择等级测评机构 制定测评方案 开展测评工作 出具测评报告 专家评审确认
、监督检查、应急恢复
应对事件和灾难发生,减少损失,采取必要的应急 和备份措施,发生事件,及时恢复
三、主动免疫、积极防御
、设计原则
从技术和管理两个方面进行安全设计,做到:
1) 可信 You can
Be like God
四级 强制监督检查 结构化保证
五级 专门监督检查
பைடு நூலகம்
实时监控
可信保障 静态可信 建可信链 动态度量 实时感知 实时处置
、规范建设、严密管控
按照《信息安全等级保护管理办法》、《计算机信息系统 安全保护等级划分准则》()和参照《信息系统等级保护 安全设计技术要求》( ),设计制定建设方案
参照《信息安全等级保护实施指南》、《信息系统等级 保护安全设计技术要求》等技术标准,从技术和管理两 个方面进行安全建设
等级保护的时代特征
、法律支撑:计算机信息系统安全等级保护条例 提升为“网络安全法”中的网络安全等级保护制度 、科学技术:由分层被动防护到科学安全框架下 的主动免疫防护
、工程应用:由传统的信息系统防护转向新型计 算环境下的主动防御体系建设
确保关键信息基础设施安全
全过程
二、全面建设、全程防护
、分析风险,准确等级
安全管理子系统是 信息系统的控制中 枢,主要实施标记 管理、授权管理及 策略管理等。安全 管理子系统通过制 定相应的系统安全 策略,并且强制节 点子系统、区域边 界子系统、通信网 络子系统及节点子 系统执行,从而实 现了对整个信息系 统的集中管理,为
保护环境框架图
典)型可应信用计子算系环统:境
安全保护环境为应用系统 (如安全系统等)提供安全 支撑服务。通过实施三级安 全要求的业务应用系统,使 用安全保护环境所提供的安 全机制,为应用提供符合要 节求点的子安系全统功:能支持和安全服 节务点子系统通过在操作系统 核心层、系统层设置以了一 个严密牢固的防护层,通过 对用户行为的控制,可以有 效防止非授权用户访问和授 权用户越权访问,确保信息 和信息系统的保密性和完整 性安全,从而为典型应用子
强调最小权限管理,高等级系统实 行三权分离管理体制,不许设超级
、结构框架
安全管理中心支持下的可信免疫的 计算环境 区域边界 通信网络
三重防护结构框架
可信计算环境
可信区域边界 可信通信网络
构建三重安全防护结构框架
划分为节点、典型应用、区域边界、通信网络、 安全管理、审计管理和系统管理等子系统。
安全管理中心
2) 可控
3) 可管 You can
Be like God
针对计算资源(软硬件)构建保 护环境,以可信计算基()为基 础,层层扩充,对计算资源进行 保护,确保系统服务安全
针对信息资源(数据及应用)构
建业务流程控制链,以访问控制 为核心,实行主体(用户)按策 略规则访问客体(信息资源), 确保保证业资务源信安息全安必全须实行科学管理,
我国年代兴起了计算机信息系统安全保护研究,年,国 务院发布《中华人民共和国计算机信息系统安全保护条 例》(国务院令第号),为我国信息系统实行等级保护 提供法律依据,也是世界上第一个等级保护国家法规
依据国务院号令制定发布了强制性国家标准《计算机信 息系统安全保护等级划分准则》 ( ),强制性标准, 为等级划分和保护奠定了技术基础
超越国外等级保护
美国国防部早在八十年代就推行“安全等级划分准则”
()
()
()
年,美国发布《保护网络空间国家战略》,提出按重要程 度不同分五级保护,并通过了《联邦信息安全管理法案》 (),要求制定分类分级标准
年变成强制性标准(),要求联邦机构无条件执行
年月日,奥巴马发布了《增强关键基础设施网络安全》 行政令,按此令于年月日日提出了《美国增强关键基础 设施网络安全框架》,按风险程度不同分为四个等级, 实行识别、保护、监测、响应、恢复全过程的风险管理
《国家信息化领导小组关于加强信息安全保障工作的意见 》(中办发[]号)进一步明确要求“抓紧建立信息安全等 级保护制度”
国家有关部委多次联合发文,明确了等级保护的原则、 基本内容、工作流程和方法、实施要求和计划等。目前 国家各部门都按信息系统定级备案、整改建设和测评进 行推进,国家重点工程的验收要求必须通过信息安全等 级保护的测评
关键信息基础设施 网络安全等级保护核心技术
目录
一 信息安全等级保护—网络安全等级保护 二 全面建设、全程防护 三 主动免疫、积极防御
一、信息安全等级保护2.0—网络安全等级保护
网 络
是我国网络安全保障的基本制度
安
全 等
是网络空间安全保障体系的重要支撑
级
保 是应对强敌的有效措施 护
我国等级保护工作创新发展
级以上是国家重要信息系统(业务信息
合法权益
社系会统秩服序务和)
国家安全
等级
公共利益
损害
严重 损害
损害
严重 损害
特别严 重损害
损害
严重 特别严 损害 重损害
一级 √
二级
√√
三级
√
√
四级
√
√
五级
√
等级 一级
按级保护 自主保护
保护级() 自主访问
二级 指导保护 审计(自主访问)
三级 监督检查 标记(强制访问)
适用于网络空间的云计算等安全需求分析
业务处理流程的完整性
定
级
系
软硬件设备相对的独立性
统
的
安全管理责权的统一性
特
征
多级互联隔离性
信息系统按重要程度不同分为五级,三
最近公布的《网络安全法》第二十一条 国家实行网络 安全等级保护制度。网络运营者应当按照网络安全等级 保护制度的要求,履行下列安全保护义务,保障网络免 受干扰、破坏或者未经授权的访问,防止网络数据泄露 或者被窃取、篡改
第三十一条规定,国家对关键信息基础设施,在 网络安全等级保护制度的基础上实行重点保护
)可信区域边界
区域边界子系统: 区域边界子系统通过对进入 和流出安全保护环境的信息 流进行安全检查,确保不会 有违背系统安全策略的信息 流经过边界,是信息系统的 第二道安全屏障
)可信通信网络
通信网络子系统: 通信网络子系统通过对通信 数据包的保密性和完整性进 行保护,确保其在传输过程 中不会被非授权窃听和篡改, 使得数据在传输过程中的安 全得到了保障,是信息系统 的外层安全屏障
、等级测评、整改完善
选择等级测评机构 制定测评方案 开展测评工作 出具测评报告 专家评审确认
、监督检查、应急恢复
应对事件和灾难发生,减少损失,采取必要的应急 和备份措施,发生事件,及时恢复
三、主动免疫、积极防御
、设计原则
从技术和管理两个方面进行安全设计,做到:
1) 可信 You can
Be like God
四级 强制监督检查 结构化保证
五级 专门监督检查
பைடு நூலகம்
实时监控
可信保障 静态可信 建可信链 动态度量 实时感知 实时处置
、规范建设、严密管控
按照《信息安全等级保护管理办法》、《计算机信息系统 安全保护等级划分准则》()和参照《信息系统等级保护 安全设计技术要求》( ),设计制定建设方案
参照《信息安全等级保护实施指南》、《信息系统等级 保护安全设计技术要求》等技术标准,从技术和管理两 个方面进行安全建设
等级保护的时代特征
、法律支撑:计算机信息系统安全等级保护条例 提升为“网络安全法”中的网络安全等级保护制度 、科学技术:由分层被动防护到科学安全框架下 的主动免疫防护
、工程应用:由传统的信息系统防护转向新型计 算环境下的主动防御体系建设
确保关键信息基础设施安全
全过程
二、全面建设、全程防护
、分析风险,准确等级
安全管理子系统是 信息系统的控制中 枢,主要实施标记 管理、授权管理及 策略管理等。安全 管理子系统通过制 定相应的系统安全 策略,并且强制节 点子系统、区域边 界子系统、通信网 络子系统及节点子 系统执行,从而实 现了对整个信息系 统的集中管理,为
保护环境框架图
典)型可应信用计子算系环统:境
安全保护环境为应用系统 (如安全系统等)提供安全 支撑服务。通过实施三级安 全要求的业务应用系统,使 用安全保护环境所提供的安 全机制,为应用提供符合要 节求点的子安系全统功:能支持和安全服 节务点子系统通过在操作系统 核心层、系统层设置以了一 个严密牢固的防护层,通过 对用户行为的控制,可以有 效防止非授权用户访问和授 权用户越权访问,确保信息 和信息系统的保密性和完整 性安全,从而为典型应用子
强调最小权限管理,高等级系统实 行三权分离管理体制,不许设超级
、结构框架
安全管理中心支持下的可信免疫的 计算环境 区域边界 通信网络
三重防护结构框架
可信计算环境
可信区域边界 可信通信网络
构建三重安全防护结构框架
划分为节点、典型应用、区域边界、通信网络、 安全管理、审计管理和系统管理等子系统。
安全管理中心
2) 可控
3) 可管 You can
Be like God
针对计算资源(软硬件)构建保 护环境,以可信计算基()为基 础,层层扩充,对计算资源进行 保护,确保系统服务安全
针对信息资源(数据及应用)构
建业务流程控制链,以访问控制 为核心,实行主体(用户)按策 略规则访问客体(信息资源), 确保保证业资务源信安息全安必全须实行科学管理,
我国年代兴起了计算机信息系统安全保护研究,年,国 务院发布《中华人民共和国计算机信息系统安全保护条 例》(国务院令第号),为我国信息系统实行等级保护 提供法律依据,也是世界上第一个等级保护国家法规
依据国务院号令制定发布了强制性国家标准《计算机信 息系统安全保护等级划分准则》 ( ),强制性标准, 为等级划分和保护奠定了技术基础
超越国外等级保护
美国国防部早在八十年代就推行“安全等级划分准则”
()
()
()
年,美国发布《保护网络空间国家战略》,提出按重要程 度不同分五级保护,并通过了《联邦信息安全管理法案》 (),要求制定分类分级标准
年变成强制性标准(),要求联邦机构无条件执行
年月日,奥巴马发布了《增强关键基础设施网络安全》 行政令,按此令于年月日日提出了《美国增强关键基础 设施网络安全框架》,按风险程度不同分为四个等级, 实行识别、保护、监测、响应、恢复全过程的风险管理
《国家信息化领导小组关于加强信息安全保障工作的意见 》(中办发[]号)进一步明确要求“抓紧建立信息安全等 级保护制度”
国家有关部委多次联合发文,明确了等级保护的原则、 基本内容、工作流程和方法、实施要求和计划等。目前 国家各部门都按信息系统定级备案、整改建设和测评进 行推进,国家重点工程的验收要求必须通过信息安全等 级保护的测评
关键信息基础设施 网络安全等级保护核心技术
目录
一 信息安全等级保护—网络安全等级保护 二 全面建设、全程防护 三 主动免疫、积极防御
一、信息安全等级保护2.0—网络安全等级保护
网 络
是我国网络安全保障的基本制度
安
全 等
是网络空间安全保障体系的重要支撑
级
保 是应对强敌的有效措施 护
我国等级保护工作创新发展
级以上是国家重要信息系统(业务信息
合法权益
社系会统秩服序务和)
国家安全
等级
公共利益
损害
严重 损害
损害
严重 损害
特别严 重损害
损害
严重 特别严 损害 重损害
一级 √
二级
√√
三级
√
√
四级
√
√
五级
√
等级 一级
按级保护 自主保护
保护级() 自主访问
二级 指导保护 审计(自主访问)
三级 监督检查 标记(强制访问)