信息安全工程和等級保護ppt課件
《信息安全工程和等級保護ppt課件》由會員分享,可在線閱讀,更多相關《信息安全工程和等級保護ppt課件(53頁珍藏版)》請在裝配圖網(wǎng)上搜索。
第六章 信息安全工程與等級保護,1,本章學習目標,了解信息安全等級的劃分與特征; 了解等級保護在信息安全工程的實施; 熟悉信息安全系統(tǒng)等級確定方法;,2,6.1等級保護概述,1994年國務院頒發(fā)《中華人民共和國計算機信息系統(tǒng)安全保護條例》規(guī)定“計算機信息系統(tǒng)實行安全等級保護,安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定”,3,6.1等級保護概述,2007年,公安部、國家保密局、國家密碼管理委員會辦公室、國務院信息化工作辦公室聯(lián)合發(fā)布“關于印發(fā)《信息安全等級保護管理辦法》的通知” (公通字[2007]43號), 《信息安全等級保護管理辦法》開始正式實施。,4,相關標準,《信息系統(tǒng)安全等級保護定級指南》 《信息系統(tǒng)安全等級保護實施指南》 《信息系統(tǒng)安全等級保護測評過程指南》 《信息系統(tǒng)安全等級保護測評要求》 《信息系統(tǒng)安全等級保護基本要求》 《信息系統(tǒng)等級保護安全設計技術要求》 GB17859-1999《計算機信息系統(tǒng)安全保護等級劃分準則》,5,信息安全等級保護制度的原則,在《關于信息安全等級保護工作的實施意見 》公通字[2004]66號 文件中明確了信息安全等級保護制度的原則, (一)明確責任,共同保護。 通過等級保護,組織和動員國家、法人和其他組織、公民共同參與信息安全保護工作;各方主體按照規(guī)范和標準分別承擔相應的、明確具體的信息安全保護責任。,6,信息安全等級保護制度的原則,(二)依照標準,自行保護。 國家運用強制性的規(guī)范及標準,要求信息和信息系統(tǒng)按照相應的建設和管理要求,自行定級、自行保護。 (三)同步建設,動態(tài)調整。 信息系統(tǒng)在新建、改建、擴建時應當同步建設信息安全設施,保障信息安全與信息化建設相適應。因信息和信息系統(tǒng)的應用類型、范圍等條件的變化及其他原因,安全保護等級需要變更的,應當根據(jù)等級保護的管理規(guī)范和技術標準的要求,重新確定信息系統(tǒng)的安全保護等級。等級保護的管理規(guī)范和技術標準應按照等級保護工作開展的實際情況適時修訂。,7,信息安全等級保護制度的原則,(四)指導監(jiān)督,重點保護。 國家指定信息安全監(jiān)管職能部門通過備案、指導、檢查、督促整改等方式,對重要信息和信息系統(tǒng)的信息安全保護工作進行指導監(jiān)督。國家重點保護涉及國家安全、經(jīng)濟命脈、社會穩(wěn)定的基礎信息網(wǎng)絡和重要信息系統(tǒng),主要包括:國家事務處理信息系統(tǒng)(黨政機關辦公系統(tǒng));財政、金融、稅務、海關、審計、工商、社會保障、能源、交通運輸、國防工業(yè)等關系到國計民生的信息系統(tǒng);教育、國家科研等單位的信息系統(tǒng);公用通信、廣播電視傳輸?shù)然A信息網(wǎng)絡中的信息系統(tǒng);網(wǎng)絡管理中心、重要網(wǎng)站中的重要信息系統(tǒng)和其他領域的重要信息系統(tǒng)。,8,信息系統(tǒng)的安全保護等級劃分,信息系統(tǒng)的安全保護等級應當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度,信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。 信息系統(tǒng)的安全保護等級分為五級,9,,第一級為自主保護級 ,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。 第一級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護。,10,,第二級為指導保護級 ,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權益產(chǎn)生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。 第二級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導。,11,,第三級為監(jiān)督保護級 ,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。 第三級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查。,12,,第四級為強制保護級 ,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。 第四級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范、技術標準和業(yè)務專門需求進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。,13,,第五級為專控保護級 ,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴重損害。 第五級信息系統(tǒng)運營、使用單位應當依據(jù)國家管理規(guī)范、技術標準和業(yè)務特殊安全需求進行保護。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、檢查。,14,注意等保分級與GB17859計算機信息系統(tǒng)安全保護等級劃分的區(qū)分,兩者劃分準則不一樣 等保分級,是根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度,信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素劃分五個等級。 GB17859計算機信息系統(tǒng)安全保護等級劃分,是規(guī)定計算機系統(tǒng)安全保護能力的五個等級 兩者沒有直接的對應關系,15,GB 17859-1999 計算機信息系統(tǒng)安全保護等級劃分準則,,16,GB 17859-1999 計算機信息系統(tǒng)安全保護等級劃分準則,,17,GB 17859-1999 計算機信息系統(tǒng)安全保護等級劃分準則,18,GB 17859-1999 計算機信息系統(tǒng)安全保護等級劃分準則,19,GB 17859-1999 計算機信息系統(tǒng)安全保護等級劃分準則,20,GB 17859-1999 計算機信息系統(tǒng)安全保護等級劃分準則,21,6.2信息系統(tǒng)等級保護定級,GB/T 22240-2008《信息系統(tǒng)安全等級保護定級指南》,對客體的侵害程度,受侵害的客體,22,,,23,定級的一般流程,24,,,25,,,26,,,27,,,28,確定定級對象,29,,,30,,,31,,,32,構造定級工作表,,33,構造定級工作表,,34,構造定級工作表,,35,構造定級工作表,,36,構造定級工作表,,37,構造定級工作表,以系統(tǒng)破壞后損害的后果作為表格的行,以侵害客體的事項為列,構造定級工作表,對系統(tǒng)破壞后的客體的損害程度進行量化分析 0分表示對該表中描述的客體沒有造成損害 1分表示對該表中描述的客體造成一般損害 2分表示對該表中描述的客體造成嚴重損害 3分表示對該表中描述的客體造成特別嚴重損害,38,對表中的分值進行綜合分析,如定級評分表中的分數(shù)均為0,則該客體的損害程度為0; 如定級評分表中的分數(shù)不全為0,且最高分的數(shù)量不超過30%(經(jīng)驗值,可根據(jù)實際需求調整),則以最高分為該題可的損害程度 如定級評分表中的分數(shù)不全為0,且最高分的數(shù)量超過30%,則以該最高分加1為該客體的損害程度,但加1后的定級分數(shù)最高不得超過3分,39,6.3等級保護在信息安全工程中的實施,,40,定級工作中的系統(tǒng)識別與劃分,一 系統(tǒng)識別和描述 1識別信息系統(tǒng)的基本信息:行業(yè)特征、主管機構、業(yè)務范圍、地理位置、背景信息、聯(lián)絡方式 2識別信息系統(tǒng)的管理框架:組織管理機構、管理策略、部門設置、部門職責、責任主體 3識別信息系統(tǒng)的網(wǎng)絡及設備部署:物理環(huán)境、拓撲結構、硬件部署、邊界劃分 4識別信息系統(tǒng)的業(yè)務種類和特性:業(yè)務種類和數(shù)量、業(yè)務內容和流程、社會屬性 5識別業(yè)務系統(tǒng)處理的信息資產(chǎn):資產(chǎn)類型、保密性、完整性、可用性要求 6識別用戶范圍和用戶類型,41,定級工作中的系統(tǒng)識別與劃分,信息系統(tǒng)描述,42,定級工作中的系統(tǒng)識別與劃分,二信息系統(tǒng)劃分 將一個組織內的大型信息系統(tǒng)進行劃分,劃分出相對獨立的信息系統(tǒng)并作為定級對象,應保證每個相對獨立的信息系統(tǒng)具備定級對象的基本特征。在信息系統(tǒng)劃分的過程中,應該首先考慮組織管理的要素,然后考慮業(yè)務類型、物理區(qū)域等要素。,43,總體安全規(guī)劃,一 安全需求分析 根據(jù)信息系統(tǒng)的安全保護等級,判斷信息系統(tǒng)現(xiàn)有的安全保護水平與國家等級保護管理規(guī)范和技術標準之間的差距,提出信息系統(tǒng)的基本安全保護需求。 1確定系統(tǒng)范圍和分析對象 2形成評價指標和評估方案 3現(xiàn)狀與評價指標對比 4額外/特殊安全需求的確定,44,45,總體安全規(guī)劃,二 總體安全設計 1總體安全策略設計 確定安全方針(使命、意愿、目標、職責、運行模式等),制定安全策略 2安全技術體系結構設計 規(guī)定骨干網(wǎng)/城域網(wǎng)的安全保護技術措施 規(guī)定子系統(tǒng)之間互聯(lián)的安全技術措施 規(guī)定不同級別子系統(tǒng)的邊界保護技術措施 規(guī)定不同級別子系統(tǒng)內部系統(tǒng)平臺和業(yè)務應用的安全保護技術措施 規(guī)定不同級別信息系統(tǒng)機房的安全保護技術措施,46,總體安全規(guī)劃,二 總體安全設計 3整體安全管理體系結構設計 規(guī)定信息安全的組織管理體系和對各信息系統(tǒng)的安全管理職責 規(guī)定各等級信息系統(tǒng)的人員安全管理策略 規(guī)定各等級信息系統(tǒng)機房及辦公區(qū)等物理環(huán)境的安全管理策略 規(guī)定各等級信息系統(tǒng)介質、設備等的安全管理策略 規(guī)定各等級信息系統(tǒng)運行安全管理策略 規(guī)定各等級信息系統(tǒng)安全事件處置和應急管理策略,47,總體安全規(guī)劃,三安全建設項目規(guī)劃 1信息化建設中長期發(fā)展規(guī)劃和安全需求調查 2提出信息系統(tǒng)安全建設分階段目標 3確定主要安全建設內容(基礎設施、網(wǎng)絡安全、系統(tǒng)安全、應用安全、數(shù)據(jù)安全、人才培養(yǎng)、管理體系等) 4 確定主要安全建設項目,48,安全設計與實施,一安全方案詳細設計 1 結構框架設計:防護層次、產(chǎn)品使用、網(wǎng)絡子系統(tǒng)劃分、IP地址規(guī)劃等 2 功能要求設計:防火墻、VPN、網(wǎng)閘、認證網(wǎng)關、代理服務器、網(wǎng)絡防病毒、PKI等,以及需要開發(fā)的安全控制組件等的功能指標要求 3 性能要求設計 4 部署方案設計:部署位置、連接方式、地址分配等 5 管理措施實現(xiàn)內容設計:機構、人員、制度、技能等,49,安全設計與實施,二 管理和技術措施實現(xiàn) 1管理機構和人員的設置 2管理制度的建設和修訂 3人員安全技能的培訓 4安全實施的過程管理 5信息安全產(chǎn)品采購 6安全控制開發(fā) 7安全控制集成 8系統(tǒng)驗收,50,安全運行與維護,1 運行管理和控制 2 變更管理和控制 3 安全狀態(tài)監(jiān)控 4 安全事件處置和應急預案 5 安全檢查和持續(xù)改進 6 等級測評 7 系統(tǒng)備案 8 監(jiān)督檢查,51,信息系統(tǒng)終止,1信息轉移、暫存和清除 2設備遷移和廢棄 3存儲介質的清除或銷毀,52,習題和思考題,作業(yè) 1 等保標準將信息系統(tǒng)劃分為幾級?劃分依據(jù)是什么? 2 等保定級對象應該滿足什么特征?如何劃分信息系統(tǒng)定級對象?,53,- 配套講稿:
如PPT文件的首頁顯示word圖標,表示該PPT已包含配套word講稿。雙擊word圖標可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設計者僅對作品中獨創(chuàng)性部分享有著作權。
- 關 鍵 詞:
- 信息 安全工程 等級 保護 ppt 課件
裝配圖網(wǎng)所有資源均是用戶自行上傳分享,僅供網(wǎng)友學習交流,未經(jīng)上傳用戶書面授權,請勿作他用。
鏈接地址:http://m.kudomayuko.com/p-1260627.html