《網(wǎng)絡(luò)安全法與等級保護(hù).ppt》由會員分享�����,可在線閱讀�,更多相關(guān)《網(wǎng)絡(luò)安全法與等級保護(hù).ppt(43頁珍藏版)》請?jiān)谘b配圖網(wǎng)上搜索。
1����、網(wǎng)絡(luò)安全法與等級保護(hù) 一、網(wǎng)絡(luò)安全法 二 ���、 信息安全等級保護(hù) 目 錄 一�、網(wǎng)絡(luò)安全法 制定網(wǎng)絡(luò)安全法的 意義 網(wǎng)絡(luò)安全法 是我國第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理 方面問題的基礎(chǔ)性法律 , 是我國網(wǎng)絡(luò)空間法治建設(shè)的重要里 程碑 �, 是依法治網(wǎng) 、 化解網(wǎng)絡(luò)風(fēng)險(xiǎn)的法律重器 ����, 是讓互聯(lián)網(wǎng) 在法治軌道上健康運(yùn)行的重要保障 ���。 網(wǎng)絡(luò)安全法 將近年來一些成熟的好做法制度化 �����, 并為 將來可能的制度創(chuàng)新做了原則性規(guī)定 ���, 為網(wǎng)絡(luò)安全工作提供 切實(shí)法律保障 。 1�����、總體框架 共 7章 79條��。 第一章 總 則 第二章 網(wǎng)絡(luò)安全支持與促進(jìn) 第三章 網(wǎng)絡(luò)運(yùn)行安全
2�����、 第一節(jié) 一般規(guī)定 第二節(jié) 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全 第四章 網(wǎng)絡(luò)信息安全 第五章 監(jiān)測預(yù)警與應(yīng)急處置 第六章 法律責(zé)任 第七章 附 則 (一)綜述 2、 定位 是互聯(lián)網(wǎng)領(lǐng)域 �����、 網(wǎng)絡(luò)安全的 基礎(chǔ)性法律 �。 是黨的十八大以來的又一部重要法律 。 3����、 制定過程 2013年下半年提上日程 , 2014年形成草案 ���, 15年初 形成征求意見稿 ����, 15年 6月一審 �, 16年 6月二審 、 10月 31日三審 ���、 11月 7日人大通過 �, 2017年 6月 1日起施行 。 154票贊成 ��、 0票反對 �����、 1票棄權(quán) �。 確立了網(wǎng)
3、絡(luò)安全法律規(guī)范的基本原則 明確了網(wǎng)絡(luò)安全工作的重點(diǎn) 提出制定網(wǎng)絡(luò)安全戰(zhàn)略�����,明確網(wǎng)絡(luò)空間治理目標(biāo) 完善了網(wǎng)絡(luò)安全監(jiān)管體制 強(qiáng)化了網(wǎng)絡(luò)運(yùn)行安全���,重點(diǎn)保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施 完善了網(wǎng)絡(luò)安全義務(wù)和責(zé)任 將監(jiān)測預(yù)警與應(yīng)急處置措施制度化、規(guī)范化 制定網(wǎng)絡(luò)安全法的 意義 5�、 有關(guān)概念 網(wǎng)絡(luò) : 是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的 按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集 、 存儲 �����、 傳輸 �、 交換 、 處理的系統(tǒng) ����。 網(wǎng)絡(luò)安全 : 是指通過采取必要措施 �, 防范對網(wǎng)絡(luò)的攻擊 �����、 侵入 �����、 干擾 �、 破壞和非法使用以及意外事故 , 使網(wǎng)絡(luò)處于穩(wěn) 定可靠運(yùn)行的
4�����、狀態(tài) ���, 以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性 ����、 保密性 ���、 可用性的能力 ��。 網(wǎng)絡(luò)運(yùn)營者 : 是指網(wǎng)絡(luò)的所有者 �、 管理者和網(wǎng)絡(luò)服務(wù)提供 者 。 網(wǎng)絡(luò)數(shù)據(jù) : 是指通過網(wǎng)絡(luò)收集 ��、 存儲 �、 傳輸 、 處理和產(chǎn)生 的各種電子數(shù)據(jù) �����。 個(gè)人信息 : 是指以電子或者其他方式記錄的能夠單獨(dú)或者 與其他信息結(jié)合識別自然人個(gè)人身份的各種信息 �, 包括但 不限于自然人的姓名 、 出生日期 �、 身份證件號碼 、 個(gè)人生 物識別信息 �����、 住址 �、 電話號碼等 ��。 第二十一條 國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度 ��。 網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按 照網(wǎng)絡(luò)安全等級保護(hù)制度的要求 �, 履行下列安全保護(hù)義務(wù) 。 第三十一
5、條 國家對公共通信和信息服務(wù) ���、 能源 �����、 交通 ���、 水利 、 金 融 ����、 公共服務(wù) 、 電子政務(wù)等重要行業(yè)和領(lǐng)域 �, 以及其他一旦遭到破壞 、 喪失功能或者數(shù)據(jù)泄露 �, 可能嚴(yán)重危害 國家安全 、 國計(jì)民生 ��、 公共利 益的關(guān)鍵信息基礎(chǔ)設(shè)施 ���, 在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上 ����, 實(shí)行重 點(diǎn) 保護(hù) 。 第三十八 條 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安 全服務(wù)機(jī)構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢 測評估 �, 并將檢測評估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè) 施安全保護(hù)工作的部門 。 ( 等級測評 ) 網(wǎng)絡(luò)安全等級保護(hù)制度( 上升為法律)
6���、 ( 1) 安全風(fēng)險(xiǎn) 評估要求 具體內(nèi)容:應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對其網(wǎng)絡(luò)的安 全性和可能風(fēng)險(xiǎn)每年至少 1次檢測評估��;檢測評估情況和改進(jìn)措 施報(bào)送相關(guān)負(fù)責(zé)部門��。 法律責(zé)任:由有關(guān)主管部門責(zé)令改正�, 給予警告�;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的, 處 10-100 萬 罰款�����,對 直接負(fù)責(zé)的主管人員處 1-10萬 罰款���。 網(wǎng)絡(luò)安全法要求及處罰 ( 2)網(wǎng)絡(luò) 安全等級 保護(hù)要求 具體內(nèi)容:制度建設(shè)與負(fù)責(zé)人����;安全防范技術(shù)措施�����;不少于 6 個(gè)月的安全日志����;數(shù)據(jù)分類與備份加密。 法律責(zé)任:責(zé)令改正及警告���;警告不改 罰款公司 1-10萬 ��, 主管 5
7�����、千 -5萬 �����。 網(wǎng)絡(luò)安全法要求及處罰 ( 3) 安全技術(shù)措施 同步要求 具體內(nèi)容:建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn) 定���、持續(xù)運(yùn)行的性能,并保證安全技術(shù)措施同步規(guī)劃����、同步建設(shè) 、同步使用�。 法律責(zé)任:由有關(guān)主管部門責(zé)令改正��,給予警告��;拒不改正或 者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的����, 處 10萬元以上 100萬元以下 罰款 ��,對 直接負(fù)責(zé)的主管人員處 1萬元以上 10萬元以下 罰款���。 網(wǎng)絡(luò)安全法要求及處罰 ( 4)采購 安全保密要求 具體內(nèi)容 :采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)�,應(yīng)當(dāng)按照規(guī)定與提供者簽訂安 全保密協(xié)議�,明確安全和保密義務(wù)與責(zé)任。 法律責(zé)任:責(zé)令改正�����,給予警告���;拒不
8���、改正或者導(dǎo)致危害網(wǎng)絡(luò)安 全等后果的, 處 10-100萬 罰款��,對 直接負(fù)責(zé)的主管人員處 1-10萬 罰款�����。 網(wǎng)絡(luò)安全法要求及處罰 ( 5) 信息與數(shù)據(jù)境內(nèi)存儲及跨境數(shù)據(jù)傳輸?shù)陌踩?評估要求 具體內(nèi)容 :境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng) 在境內(nèi)存儲�����;需向境外提供的����,應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù) 院有關(guān)部門制定的辦法進(jìn)行安全評估。 法律責(zé)任:責(zé)令改正����,給予警告,沒收違法所得����;處 5-50萬 罰款 ,并可以責(zé)令 暫停相關(guān)業(yè)務(wù)�����、停業(yè)整頓����、關(guān)閉網(wǎng)站���、吊銷相 關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照 ;對 直接負(fù)責(zé)主管和直接責(zé)任人 處 1-10萬 罰款�。 網(wǎng)絡(luò)安全法要求及處罰 (
9、6) 應(yīng)急 預(yù)案要求 具體內(nèi)容:制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案����;在發(fā)生危害網(wǎng)絡(luò)安全 的事件時(shí),立即啟動應(yīng)急預(yù)案�;按照規(guī)定向有關(guān)主管部門報(bào)告。 法律責(zé)任:責(zé)令改正及警告�����;警告不改罰款 公司 1-10萬�,主管 5千 -5萬 。 網(wǎng)絡(luò)安全法要求及處罰 根據(jù) 網(wǎng)絡(luò)安全法 第六章 -法律責(zé)任相關(guān)條款解釋:本法律處罰力度空前嚴(yán)格 ���, 處 罰不僅涉及到企業(yè) �����, 而且涉及到法人 �、 管理人員 、 一般員工等多個(gè)層面����;既有經(jīng)濟(jì)處罰 ���, 也有行政處罰 �。 對于違法問題有關(guān)主管部門責(zé)令改正 ����, 給予警告;拒不改正或者情節(jié)嚴(yán)重的 �, 處一 萬元以上一百萬元以下罰款 , 并
10���、可以由有關(guān)主管部門責(zé)令暫停相關(guān)業(yè)務(wù) ����、 停業(yè)整頓 �����、 關(guān) 閉網(wǎng)站 、 吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照 ��, 對直接負(fù)責(zé)的主管人員和其他直接責(zé) 任人員處五千元以上十萬元以下罰款 ����。 尚不構(gòu)成犯罪的 , 由公安機(jī)關(guān)沒收違法所得 ����, 處五日以下拘留 , 可以并處五萬元以 上五十萬元以下罰款���;情節(jié)較重的 �, 處五日以上十五日以下拘留 ����, 可以并處十萬元以上 一百萬元以下罰款 。 受到治安管理處罰的人員 �����, 五年內(nèi)不得從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運(yùn)營關(guān)鍵崗位的工 作���;受到刑事處罰的人員 ���, 終身不得從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運(yùn)營關(guān)鍵崗位的工作 ��。 依照有關(guān)法律 ���、 行政法規(guī)的規(guī)定記入
11、信用檔案 ��, 并予以公示 �����。 網(wǎng)絡(luò)安全法 自 2017年 6月 1日正式實(shí)施 ���, 網(wǎng)絡(luò)安全等級保護(hù)制度已經(jīng)上升為 法律規(guī)定的強(qiáng)制義務(wù) , 這是我國自 1994年發(fā)布實(shí)施 中華人民共和國計(jì)算機(jī)信息 系統(tǒng)保護(hù)條例 將 “ 等級保護(hù) ” 明確為我國計(jì)算機(jī)安全保護(hù)的根本制度以來 ��, 首 次將其寫入法律 ���。 從實(shí)施以來已經(jīng)處罰騰訊微信 ����、 新浪微博 ��、 百度貼吧 、 boss直聘 ����、 京東 、 淘寶 網(wǎng) �、 蝦米音樂網(wǎng) 、 蘑菇街互動網(wǎng)等上百家的企事業(yè)單位 ����。 對于違反 網(wǎng)絡(luò)安全法 的處罰視情節(jié)嚴(yán)重 , 處罰措施分為: 1�����、 責(zé)令改正 �����, 給予警告�; 2、 拒不改正或者導(dǎo)
12�����、致危害網(wǎng)絡(luò)安全等后果的 ��, 對企業(yè)處 1-100萬罰款 , 對直接負(fù) 責(zé)的主管 員和其他直接責(zé)任人員處 1-10萬罰款�����; 3��、 并可以責(zé)令暫停相關(guān)業(yè)務(wù) �、 停業(yè)整頓 、 關(guān)閉網(wǎng)站 �����、 吊銷相關(guān)業(yè)務(wù)許可證或者吊 銷營業(yè)執(zhí)照 ���。 二 、 信息安全等級保護(hù) 信息安全等級保護(hù)定義 信息安全等級保護(hù)管理辦法(試行) :信息安全等級保護(hù)是指 對國家秘密信息����、法人和其他組織及公民的專有信息以及公開信息 和存儲、傳輸����、處理這些信息的信息系統(tǒng)分等級實(shí)行安全保護(hù),對 信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級管理����,對信息系統(tǒng)中發(fā) 生的信息安全事件分等級響應(yīng)���、處置。 信息安全等級保護(hù)管理辦法
13�����、 國家通過制定統(tǒng)一的信息安全等級 保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)���,組織公民�����、法人和其他組織對信息系統(tǒng) 分等級實(shí)行安全保護(hù)����,對等級保護(hù)工作的實(shí)施進(jìn)行監(jiān)督����、管理。 第一級為自主保護(hù)級�,適用于一般的信息和信息系統(tǒng),其受到破 壞后����,會對公民��、法人和其他組織的合法權(quán)益造成一定損害�����,但不損 害國家安全��、社會秩序和公共利益�。 第二級為指導(dǎo)保護(hù)級����,信息系統(tǒng)受到破壞后,會對公民��、法人 和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害�,或者對社會秩序和公共利益造 成損害,但不損害國家安全���。 劃分準(zhǔn)則 --GB 17859-1999 第三級為監(jiān)督保護(hù)級,信息系統(tǒng)受到破壞后�,會對社會秩序和公 共利
14、益造成嚴(yán)重?fù)p害�����,或者對國家安全造成損害。 第四級為強(qiáng)制保護(hù)級��,信息系統(tǒng)受到破壞后���,會對社會秩序和 公共利益造成特別嚴(yán)重?fù)p害�,或者對國家安全造成嚴(yán)重?fù)p害�����。 第五級為?����?乇Wo(hù)級���,適用于涉及國家安全的重要信息和信息系 統(tǒng)的核心子系統(tǒng)���,其受到破壞后,會對國家安全造成特別嚴(yán)重?fù)p害����。 實(shí)施指南 GB/T 25058-2010 等級保護(hù)實(shí)施過程 基本原則 主要過程及其活動 角色���、職責(zé) 基本流程 等級變更 局部調(diào)整 信息系統(tǒng)定級 總體安全規(guī)劃 安全設(shè)計(jì)與實(shí)施 安全運(yùn)行維護(hù) 信息系統(tǒng)終止 國家管理部門 信息系統(tǒng)主管部門 信息系統(tǒng)運(yùn)營、使用單位 信息安全服務(wù)機(jī)構(gòu)
15����、信息安全等級測評機(jī)構(gòu) 信息安全產(chǎn)品供應(yīng)商 22 等級保護(hù)之十大標(biāo)準(zhǔn) 基礎(chǔ)類 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 GB 17859-1999 信息系統(tǒng)安全等級保護(hù)實(shí)施指南 GB/T 25058-2010 應(yīng)用類 定級: 信息系統(tǒng)安全保護(hù)等級定級指南 GB/T 22240-2008 建設(shè): 信息系統(tǒng)安全等級保護(hù)基本要求 GB/T 22239-2008 信息系統(tǒng)通用安全技術(shù)要求 GB/T 20271-2006 信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求 GB/T 25070-2010 測評:
16、 信息系統(tǒng)安全等級保護(hù)測評要求 GB/T 28448-2012 信息系統(tǒng)安全等級保護(hù)測評過程指南 GB/T 28449-2012 管理: 信息系統(tǒng)安全管理要求 GB/T 20269-2006 信息系統(tǒng)安全工程管理要求 GB/T 20282-2006 23 7���、系統(tǒng)服務(wù)安全等級 等級保護(hù)定級指南 GB/T 22240 保護(hù)對象受到破壞時(shí)受侵害的客體 對客體的侵害程度 一般損害 嚴(yán)重?fù)p害 特別嚴(yán)重?fù)p害 公民�、法人和其他組織的合法權(quán)益 第一級 第二級 第二級 社會秩序�、公共利益 第二級 第三級 第四級 國家安全 第三級 第四級 第五級 等級保護(hù)
17、定級方法 保護(hù)對象 對客體的侵害程度 客體:社會關(guān)系 受侵害的客體 信息系統(tǒng)安全 系統(tǒng)服務(wù)安全 業(yè)務(wù)信息安全 3����、綜合評定對客體的侵害程度 2、 確定業(yè)務(wù)信息安全受到破壞 時(shí)所侵害的客體 6�、綜合評定對客體的侵害程度 5、 確定系統(tǒng)服務(wù)安全受到破壞 時(shí)所侵害的客體 4����、業(yè)務(wù)信息安全等級 8、定級對象的安全保護(hù)等級 8 MAX( 4�, 7) 1��、確定定級對象 (系統(tǒng)邊界) 一般流程 等級確定 24 安全保護(hù)等級 信息系統(tǒng)定級結(jié)果的組合 第一級 S1A1G1 第二級 S1A2G2, S2A2G2����, S2A1G2 第三級 S1A3G3, S2A3G3���, S3A
18����、3G3���, S3A2G3�����, S3A1G3 第四級 S1A4G4���, S2A4G4, S3A4G4�, S4A4G4, S4A3G4���, S4A2G4���, S4A1G4 第五級 S1A5G5����, S2A5G5��, S3A5G5��, S4A5G5�, S5A4G5, S5A3G5�, S5A2G5, S5A1G5 基本保護(hù)要求(最低) 保護(hù)能力 對抗能力 恢復(fù)能力 技術(shù)要求管理要求 物理���、網(wǎng)絡(luò)�����、主機(jī)���、應(yīng)用、數(shù)據(jù) 制度���、機(jī)構(gòu)���、人員、建設(shè)�����、運(yùn)維 縱深防御��、互補(bǔ)關(guān)聯(lián)��、強(qiáng)度一致���、 平臺統(tǒng)一���、 集中安管 業(yè)務(wù)信息安全類要求 S 系統(tǒng)服務(wù)保證類要求 A 通用安全保護(hù)類要求 G 整體安全保護(hù)能力 關(guān)鍵控制點(diǎn)
19、安全類 具體要求項(xiàng) 控制強(qiáng)度 基本要求 GB/T 22239 基本保護(hù)要求(最低) 保護(hù)能力 對抗能力恢復(fù)能力 物理����、網(wǎng)絡(luò)、主機(jī)��、應(yīng)用�����、數(shù)據(jù) 制度、機(jī)構(gòu)��、人員���、建設(shè)�、運(yùn)維 縱深防御�����、互補(bǔ)關(guān)聯(lián)����、強(qiáng)度一致、 平臺統(tǒng)一��、 集中安管 通用安全保護(hù)類要求 關(guān)鍵控制點(diǎn) 安全類 等級 保護(hù) 的內(nèi)容十個(gè)方面 業(yè)務(wù)安全 物 理 安 全 技術(shù)要求 管理要求 基本要求 網(wǎng) 絡(luò) 安 全 主 機(jī) 安 全 應(yīng) 用 安 全 數(shù) 據(jù) 安 全 安 全 管 理 機(jī) 構(gòu) 安 全 管 理 制 度 人 員 安 全 管 理 系 統(tǒng) 建 設(shè) 管 理 系 統(tǒng) 運(yùn) 維 管 理 安全要求類 層面 一級 二級
20�、三級 四級 技術(shù)要求 物理安全 9 19 32 33 網(wǎng)絡(luò)安全 9 18 33 32 主機(jī)安全 6 19 32 36 應(yīng)用安全 7 19 31 36 數(shù)據(jù)安全及備份恢復(fù) 2 4 8 11 管理要求 安全管理制度 3 7 11 14 安全管理機(jī)構(gòu) 4 9 20 20 人員安全管理 7 11 16 18 系統(tǒng)建設(shè)管理 20 28 45 48 系統(tǒng)運(yùn)維管理 18 41 62 70 合計(jì) / 85 175 290 318 級差 / / 90 115 28 控 制 項(xiàng) 28 基本要求 GB/T 22239 物理位置的選擇 基本防護(hù)能力 高層、地下室 物理訪問控制 基本出入控制 分區(qū)域管理
21�、在機(jī)房中的活動 電子門禁 防盜竊和防破壞 存放位置、標(biāo)記標(biāo)識 監(jiān)控報(bào)警系統(tǒng) 防雷擊 建筑防雷�����、機(jī)房接地 設(shè)備防雷 防火 滅火設(shè)備、自動報(bào)警 自動消防系統(tǒng) 區(qū)域隔離措施 防 靜電 關(guān)鍵設(shè)備 主要設(shè)備 防靜電地板 電力供應(yīng) 穩(wěn)定電壓���、短期供應(yīng) 主要設(shè)備 冗余 /并行線路 備用供電系統(tǒng) 電磁防護(hù) 線纜隔離 接地防干擾 電磁屏蔽 防水和防潮 溫濕度控制 物理安全的整改要點(diǎn) 結(jié)構(gòu)安全 關(guān)鍵設(shè)備冗余空間 主要設(shè)備冗余空間 訪問控制 訪問控制設(shè)備(用戶��、網(wǎng)段) 應(yīng)用層協(xié)議過濾 撥號訪問限制 會話終止 安全審計(jì) 日志記錄 審計(jì)報(bào)表 邊界完整性檢查
22����、內(nèi)部的非法聯(lián)出 非授權(quán)設(shè)備私自外聯(lián) 網(wǎng)絡(luò)安全的整改要點(diǎn) 子網(wǎng) /網(wǎng)段控制 核心網(wǎng)絡(luò)帶寬 整體網(wǎng)絡(luò)帶寬 重要網(wǎng)段部署 路由控制 帶寬分配優(yōu)先級 端口控制 最大流量數(shù)及最大連接數(shù) 防止地址欺騙 審計(jì)記錄的保護(hù) 定位及阻斷 入侵防范 檢測常見攻擊 記錄�、報(bào)警 惡意代碼防范 網(wǎng)絡(luò)邊界處防范 網(wǎng)絡(luò)設(shè)備防護(hù) 基本的登錄鑒別 組合鑒別技術(shù) 特權(quán)用戶的權(quán)限分離 身份鑒別 基本的身份鑒別 訪問控制 安全策略 管理用戶的權(quán)限分離 特權(quán)用戶的權(quán)限分離 安全審計(jì) 服務(wù)器基本運(yùn)行情況審計(jì) 審計(jì)報(bào)表 剩余信息保護(hù) 空間釋放及信息清除 主機(jī)安全的整改要點(diǎn) 組合鑒別
23��、技術(shù) 敏感標(biāo)記的設(shè)置及操作 審計(jì)記錄的保護(hù) 入侵防范 最小安裝原則 重要服務(wù)器:檢測����、記錄、報(bào)警 惡意代碼防范 主機(jī)與網(wǎng)絡(luò)的防范產(chǎn)品不同 資源控制 監(jiān)視重要服務(wù)器 最小服務(wù)水平的檢測及報(bào)警 重要客戶端的審計(jì) 升級服務(wù)器 重要程序完整性 防惡意代碼軟件��、代碼庫統(tǒng)一管理 對用戶會話數(shù)及終端登錄的限制 身份鑒別 基本的身份鑒別 訪問控制 安全策略 最小授權(quán)原則 安全審計(jì) 運(yùn)行情況審計(jì)(用戶級) 審計(jì)報(bào)表 剩余信息保護(hù) 空間釋放及信息清除 應(yīng)用安全的整改要點(diǎn) 組合鑒別技術(shù) 敏感標(biāo)記的設(shè)置及操作 審計(jì)過程的保護(hù) 通信完整性 校驗(yàn)碼技術(shù) 密碼技術(shù) 軟
24��、件容錯(cuò) 自動保護(hù)功能 資源控制 資源分配限制���、資源分配優(yōu)先級 最小服務(wù)水平的檢測及報(bào)警 數(shù)據(jù)有效性檢驗(yàn)����、部分運(yùn)行保護(hù) 對用戶會話數(shù)及 系統(tǒng)最大并發(fā)會話數(shù)的限制 審計(jì)記錄的保護(hù) 通信保密性 初始化驗(yàn)證 整個(gè)報(bào)文及會話過程加密 敏感信息加密 抗抵賴 數(shù)據(jù)完整性 鑒別數(shù)據(jù)傳輸?shù)耐暾? 備份和恢復(fù) 重要數(shù)據(jù)的備份 數(shù)據(jù)安全及備份恢復(fù)的整改要點(diǎn) 各類數(shù)據(jù)傳輸及存儲 異地備份 網(wǎng)絡(luò)冗余、硬件冗余 本地完全備份 硬件冗余 檢測和恢復(fù) 數(shù)據(jù)保密性 鑒別數(shù)據(jù)存儲的保密性 各類數(shù)據(jù)的傳輸及存儲 每天 1次 備份介質(zhì)場外存放 合理分域
25��、��,準(zhǔn)確定級 信息系統(tǒng)等級保護(hù)以系統(tǒng)所處理信息的最高重要程度來確定 安全等級 在合理劃分安全域邊界安全可控的情況下���,各安全域可根據(jù) 信息的最高重要程度單獨(dú)定級����,實(shí)施“分域分級防護(hù)”的策略 ��,從而降低系統(tǒng)建設(shè)成本和管理風(fēng)險(xiǎn) 信息系統(tǒng)安全域之間的邊界應(yīng)劃分明確�,安全域與安全域之 間的所有數(shù)據(jù)通信都應(yīng)安全可控 對于不同等級的安全域間通信,應(yīng)實(shí)施有效的訪問控制策略 和機(jī)制�����,控制高密級信息由高等級安全域流向低等級安全域����。 安全域 (第 3級) 安全域 (第 2級) 監(jiān)督保護(hù)級網(wǎng)絡(luò) 安全域 (第 3級) 安全域 (第 2級) 安全域 (第 2級) 禁止高敏感級信息由
26、高等級安全域流向低等級安全域 分域分級防護(hù)示意 等級保護(hù)相關(guān)的 體系架構(gòu) 3 第一層 安全方針策略 第二層 安全管理制度 第三層 技術(shù)標(biāo)準(zhǔn)��、規(guī)范 第四層 流程��、表單、記錄 信息安全方針策略����,總體安全,說明機(jī)構(gòu)安全 工作的總體目標(biāo)����、范圍、原則和安全框架等�����。 對安全管理活動中的各類管理內(nèi)容建立安全管 理制度����,約束管理行為���。 規(guī)范安全管理制度的具體技術(shù)實(shí)現(xiàn)細(xì)節(jié)���,對管 理人員或操作人員執(zhí)行的日常管理操作建立操 作規(guī)程。 安全制度�、規(guī)范實(shí)施時(shí)所需履行的流程,及需 填寫的表單��,用于記錄數(shù)據(jù)、監(jiān)控實(shí)施��。 安全管理測評實(shí)施 -安全管理制度 3 安全管理制度(三級) 管理制度
27�、 制定和發(fā)布 評審和修訂 安全管理測評實(shí)施 -安全管理機(jī)構(gòu) 安全管理機(jī)構(gòu)(三級) 崗 位 設(shè) 置 人 員 配 備 授 權(quán) 和 審 批 溝 通 和 合 作 審 核 和 檢 查 人員安全管理(三級) 人 員 考 核 安 全 意 識 教 育 和 培 訓(xùn) 外 部 人 員 訪 問 管 理 人 員 離 崗 人 員 錄 用 系統(tǒng)建設(shè)管理(三級) 系 統(tǒng) 交 付 系 統(tǒng) 備 案 等 級 測 評 安 全 服 務(wù) 商 選 擇 測 試 驗(yàn) 收 工 程 實(shí) 施
28、 外 包 軟 件 開 發(fā) 自 行 軟 件 開 發(fā) 產(chǎn) 品 采 購 安 全 方 案 設(shè) 計(jì) 系 統(tǒng) 定 級 系統(tǒng)運(yùn)維管理(三級) 環(huán) 境 管 理 資 產(chǎn) 管 理 介 質(zhì) 管 理 設(shè) 備 管 理 監(jiān) 控 和 管 理 中 心 網(wǎng) 絡(luò) 安 全 管 理 系 統(tǒng) 安 全 管 理 惡 意 代 碼 防 范 管 理 密 碼 管 理 變 更 管 理 備 份 與 恢 復(fù) 管 理 安 全 事 件 處 置 應(yīng) 急 預(yù) 案 管 理 介紹完畢
網(wǎng)絡(luò)安全法與等級保護(hù).ppt
