信息系统安全等级保护基本要求培训解读课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《信息系统安全等级保护基本要求培训解读课件.ppt》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 新版 信息系统安全 等级 保护 基本要求 培训 解读 课件
- 资源描述:
-
1、2022-4-22信息系统安全等级保护基本要求信息系统安全等级保护基本要求使用介绍使用介绍2022-4-22 使用时机和主要作用 保护要求分级描述的主要思想 各级系统保护的主要内容 2022-4-222022-4-22信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理。2022-4-22在信息系统建设过程中,运营、使用单位应当按照计算机信息系统安全保护等级划分准则(GB17859-1999)、信息系统安全等级保护基本要求等技术标准,参照等技术标准同步建设符合该等级要求的信息安全设施。2022-4-22运营、使用单位应当
2、参照信息安全技术信息系统安全管理要求(GB/T20269-2006)、信息安全技术信息系统安全工程管理要求(GB/T20282-2006)、信息系统安全等级保护基本要求等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。 2022-4-22信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位,依据信息系统安全等级保护测评要求等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。2022-4-22信息系统运营、使用单位
3、及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。2022-4-22经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。2022-4-22技术标准和管理规范信息系统定级信息系统安全建设或改建安全状况达到等级保护要求的信息系统2022-4-22信息安全等级保护管理办法公通字200743号计算机信息系统安全保护等级划分准则(GB17859-1999) 信息安全等级保护实施指南信息安全等级保护定级指南信息安
4、全等级保护基本要求信息安全等级保护测评要求信息安全技术 网络基础安全技术要求(GB/T20270-2006)信息安全技术 信息系统通用安全技术要求GB/T20271-2006)信息安全技术 操作系统安全技术要求(GB/T20272-2006)信息安全技术 数据库管理系统安全技术要求(GB/T20273-2006)2022-4-22信息安全技术 信息系统安全管理要求(GB/T20269-2006)信息安全技术 信息系统安全工程管理要求(GB/T20282-2006)信息安全技术 信息系统安全工程管理要求(GB/T20282-2006)2022-4-22信息安全等级保护管理办法信息安全等级保护管理
5、办法计算机信息系统安全保护等级划分准则(GB17859-1999) 信息系统安全等级保护实施指南信息系统安全等级保护实施指南 信息系统安全保护等级定级指南信息系统安全保护等级定级指南信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护测评要求信息系统安全等级保护测评要求 等等等等2022-4-22信息系统安全等级保护基本要求运营、使用单位(安全服务商)主管部门(等级测评机构)安全保护测评检查2022-4-22是系统安全保护、等级测评的一个基本“标尺”,同样级别的系统使用统一的“标尺”来衡量,保证权威性,是一个达标线;每个级别的信息系统按照基本要求进行保护后,信息系统具有
6、相应等级的基本安全保护能力,达到一种基本的安全状态;是每个级别信息系统进行安全保护工作的一个基本出发点,更加贴切的保护可以通过需求分析对基本要求进行补充,参考其他有关等级保护或安全方面的标准来实现;2022-4-22某级信息系统基本保护精确保护基本要求保护基本要求测评补充的安全措施GB17859-1999通用技术要求安全管理要求高级别的基本要求等级保护其他标准安全方面相关标准等等基本保护特殊需求补充措施2022-4-222022-4-22不同级别信息系统重要程度不同应对不同威胁的能力(威胁弱点)具有不同的安全保护能力不同的基本要求2022-4-22第一级安全保护能力第一级安全保护能力 应能够防
7、护系统免受来自个人的、拥有很少资源(如利应能够防护系统免受来自个人的、拥有很少资源(如利用公开可获取的工具等)的威胁源发起的恶意攻击、一用公开可获取的工具等)的威胁源发起的恶意攻击、一般的自然灾难(灾难发生的强度弱、持续时间很短等)般的自然灾难(灾难发生的强度弱、持续时间很短等)以及其他相当危害程度的威胁(无意失误、技术故障等)以及其他相当危害程度的威胁(无意失误、技术故障等)所造成的关键资源损害,在系统遭到损害后,能够恢复所造成的关键资源损害,在系统遭到损害后,能够恢复部分功能。部分功能。第二级安全保护能力第二级安全保护能力 应能够防护系统免受来自外部小型组织的(如自发的三两人组应能够防护系
8、统免受来自外部小型组织的(如自发的三两人组成的黑客组织)、拥有少量资源(如个别人员能力、公开可获成的黑客组织)、拥有少量资源(如个别人员能力、公开可获或特定开发的工具等)的威胁源发起的恶意攻击、一般的自然或特定开发的工具等)的威胁源发起的恶意攻击、一般的自然灾难(灾难发生的强度一般、持续时间短、覆盖范围小等)以灾难(灾难发生的强度一般、持续时间短、覆盖范围小等)以及其他相当危害程度的威胁(无意失误、技术故障等)所造成及其他相当危害程度的威胁(无意失误、技术故障等)所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够
9、在一段时间内恢复部分功能。统遭到损害后,能够在一段时间内恢复部分功能。2022-4-22第三级安全保护能力 应能够在统一安全策略下防护系统免受来自外部有组织的团体(如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾难(灾难发生的强度较大、持续时间较长、覆盖范围较广等)以及其他相当危害程度的威胁(内部人员的恶意威胁、无意失误、较严重的技术故障等)所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。 第四级安全保护能力 应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富
10、资源的威胁源发起的恶意攻击、严重的自然灾难(灾难发生的强度大、持续时间长、覆盖范围广等)以及其他相当危害程度的威胁(内部人员的恶意威胁、无意失误、严重的技术故障等)所造成的资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够迅速恢复所有功能。 2022-4-22安全保护能力基本安全要求每个等级的信息系统基本技术措施基本管理措施具备包含包含满足满足实现2022-4-22某级系统技术要求管理要求基本要求建立安全技术体系建立安全管理体系具有某级安全保护能力的系统2022-4-22安全保护模型PPDRR Protection防护防护 Policy Detection 策略策略 检测检测 Res
11、ponse 响应响应 Recovery恢复恢复2022-4-22一级系统二级系统三级系统四级系统防护防护/监测策略/防护/监测/恢复策略/防护/监测/恢复/响应2022-4-22成功的完成业务成功的完成业务信息保障信息保障人人技术技术操作操作防御网络与基础设施防御飞地边界防御计算环境支撑性基础设施安全保护模型IATF2022-4-22一级系统二级系统三级系统四级系统通信/边界(基本)通信/边界/内部(关键设备)通信/边界/内部(主要设备)通信/边界/内部/基础设施(所有设备)2022-4-22一级系统二级系统三级系统四级系统计划和跟踪(主要制度)计划和跟踪(主要制度)良好定义(管理活动制度化)
12、持续改进(管理活动制度化/及时改进)2022-4-22某级系统物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理2022-4-222022-4-22某级系统技术要求管理要求基本要求建立安全技术体系建立安全管理体系具有某级安全保护能力的系统2022-4-22由由9个章节个章节2个附录构成个附录构成 1.适用范围适用范围 2.规范性引用文件规范性引用文件 3术语定义术语定义 4.等级保护概述等级保护概述 5. 6.7.8.9基本要求基本要求 附录附录A 关于信息系统整体安全保护能力的要求关于信息系统整体安全保护能力的要求 附
13、录附录B 基本安全要求的选择和使用基本安全要求的选择和使用2022-4-22某级系统类技术要求管理要求基本要求类控制点具体要求控制点具体要求2022-4-22某级系统物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理2022-4-22物理位置选择物理安全(四级)物理访问控制防盗窃和防破坏防雷击防火防水和防潮温湿度控制电力供应电磁防护2022-4-22结构安全和网段划分网络安全(四级)网络访问控制拨号访问控制网络安全审计边界完整性检查网络入侵检测恶意代码防护网络设备防护2022-4-22身份鉴别主机系统安全(四级)自主访问
14、控制强制访问控制可信路径安全审计剩余信息保护入侵防范恶意代码防范系统资源控制系统自我保护2022-4-22身份鉴别应用安全(四级)访问控制通信完整性通信保密性安全审计剩余信息保护抗抵赖软件容错资源控制代码安全2022-4-22数据完整性数据安全(四级)数据保密性安全备份2022-4-22岗位设置安全管理机构(四级)人员配备授权和审批沟通与合作审核和检查2022-4-22管理制度安全管理制度(四级)制订和发布评审和修订2022-4-22人员录用人员安全管理(四级)人员离岗人员考核安全意识教育和培训第三方人员访问管理2022-4-22系统定级系统建设管理(四级)安全风险评估安全方案设计产品采购自行
15、软件开发外包软件开发工程实施测试验收系统交付安全服务商选择系统备案2022-4-22环境管理系统运维管理(四级)资产管理设备管理介质管理运行维护和监控管理网络安全管理系统安全管理恶意代码防范管理变更管理密码管理系统备案备份和恢复管理安全事件处置应急计划管理2022-4-22基本要求基本要求 技术要求技术要求 管理要求管理要求要求标注要求标注 业务信息安全类要求(标记为业务信息安全类要求(标记为S类)类) 系统服务保证类要求(标记为系统服务保证类要求(标记为A类)类) 通用安全保护类要求(标记为通用安全保护类要求(标记为G类)类) 2022-4-22通用安全保护类要求(G)业务信息安全类(S)系
16、统服务保证类(A安全要求安全要求2022-4-22一个3级系统,定级结果为S3A2,保护类型应该是S3A2G3第1步: 选择标准中3级基本要求的技术要求和管理要求;第2步: 要求中标注为S类和G类的不变; 标注为A类的要求可以选用2级基本要求中的A类作为基本要求;2022-4-22安全等级安全等级信息系统保护要求的组合信息系统保护要求的组合第一级第一级S1A1G1第二级第二级S1A2G2,S2A2G2,S2A1G2第三级第三级S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3第四级第四级S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A
17、1G4定级指南要求按照定级指南要求按照“业务信息业务信息”和和“系统服务系统服务”的需求确定的需求确定整个系统的安全保护等级整个系统的安全保护等级定级过程反映了信息系统的保护要求定级过程反映了信息系统的保护要求2022-4-22安全要求类层面一级二级三级四级技术要求物理安全7101010网络安全3677主机安全4679应用安全47911数据安全及备份恢复2333管理要求安全管理制度2333安全管理机构4555人员安全管理4555系统建设管理991111系统运维管理9121313合计/48667377级差/18742022-4-22安全要求类层面一级二级三级四级技术要求物理安全9193233网络
18、安全9183332主机安全6193236应用安全7193136数据安全及备份恢复24811管理要求安全管理制度371114安全管理机构492020人员安全管理7111618系统建设管理20284548系统运维管理18416270合计/85175290318级差/90115282022-4-22物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。具体包括:物理位置的选择、物理访问控制、物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等防静电、温湿度控制、电
19、力供应和电磁防护等十个控制点。十个控制点。2022-4-22控制点一级二级三级四级物理位置的选择*物理访问控制*防盗窃和防破坏*防雷击*防火*防水和防潮*防静电*温湿度控制*电力供应*电磁防护*合计71010102022-4-22一级物理安全要求一级物理安全要求:主要要求对物理环境进行基本的防护,对出入进行基本控制,环境安全能够对自然威胁进行基本的防护,电力则要求提供供电电压的正常。二级物理安全要求二级物理安全要求:对物理安全进行了进一步的防护,不仅对出入进行基本的控制,对进入后的活动也要进行控制;物理环境方面,则加强了各方面的防护,采取更细的要求来多方面进行防护。三级物理安全要求三级物理安全
20、要求:对出入加强了控制,做到人、电子设备共同监控;物理环境方面,进一步采取各种控制措施来进行防护。如,防火要求,不仅要求自动消防系统,而且要求区域隔离防火,建筑材料防火等方面,将防火的范围增大,从而使火灾发生的几率和损失降低。四级物理安全要求四级物理安全要求:对机房出入的要求进一步增强,要求多道电子设备监控;物理环境方面,要求采用一定的防护设备进行防护,如静电消除装置等。 2022-4-22网络安全主要关注的方面包括:网络结构、网络边界以及网络设备自身安全等。具体的控制点包括:结构安全、访问控制、安结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代全审计、边界完整性检查、入侵防范、
21、恶意代码防范、网络设备防护等七个控制点。码防范、网络设备防护等七个控制点。2022-4-22控制点一级二级三级四级结构安全*访问控制*安全审计*边界完整性检查*入侵防范*恶意代码防范*网络设备防护*合计36772022-4-22一级网络安全要求一级网络安全要求:主要提供网络安全运行的基本保障,包括网络结构能够基本满足业务运行需要,网络边界处对进出的数据包头进行基本过滤等访问控制措施。二级网络安全要求二级网络安全要求:不仅要满足网络安全运行的基本保障,同时还要考虑网络处理能力要满足业务极限时的需要。对网络边界的访问控制粒度进一步增强。同时,加强了网络边界的防护,增加了安全审计、边界完整性检查、入
22、侵防范安全审计、边界完整性检查、入侵防范等控制点。对网络设备的防护不仅局限于简单的身份鉴别,同时对标识和鉴别信息都有了相应的要求。三级网络安全要求三级网络安全要求:对网络处理能力增加了“优先级”考虑,保证重要主机能够在网络拥堵时仍能够正常运行;网络边界的访问控制扩展到应用层,网络边界的其他防护措施进一步增强,不仅能够被动的“防”,还应能够主动发出一些动作,如报警、阻断等。网络设备的防护手段要求两种身份鉴别技术综合使用。四级网络安全要求四级网络安全要求:对网络边界的访问控制做出了更为严格的要求,禁止远程拨号访问,不允许数据带通用协议通过;边界的其他防护措施也加强了要求。网络安全审计着眼于全局,做
23、到集中审计分析,以便得到更多的综合信息。网络设备的防护,在身份鉴别手段上除要求两种技术外,其中一种鉴别技术必须是不可伪造的,进一步加强了对网络设备的防护。2022-4-22主机系统安全是包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。终端/工作站是带外设的台式机与笔记本计算机,服务器则包括应用程序、网络、web、文件与通信等服务器。主机系统是构成信息系统的主要部分,其上承载着各种应用。因此,主机系统安全是保护信息系统安全的中坚力量。主机系统安全涉及的控制点包括:身份鉴别、身份鉴别、安全标记、访问控制、可信路径、安全审计、安全标记、访问控制、可信路径、安全审计、剩余信
展开阅读全文