信息安全等级保护与解决方案(-)课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《信息安全等级保护与解决方案(-)课件.ppt》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 等级 保护 解决方案 课件
- 资源描述:
-
1、信息安全等级保护与解决方案信息安全等级保护与解决方案信息安全等级保护 信息安全现状与问题 信息安全等级保护简介信息安全解决方案 信息安全技术 信息安全管理 信息安全方案信息安全现状信息安全现状 日益增长的安全威胁日益增长的安全威胁 攻击技术越来越复杂 入侵条件越来越简单信息安全问题信息安全问题 安全事件安全事件 每年都有上千家政府网站被攻击 安全影响安全影响 任何网络都可能遭受入侵信息系统安全等级保护信息系统安全等级保护 信息系统安全等级保护简介信息系统安全等级保护简介 信息系统安全保护等级划分信息系统安全保护等级划分 信息系统安全保护定级指南信息系统安全保护定级指南等级保护出台是信息安全发展
2、的需要等级保护出台是信息安全发展的需要19941994年国务院颁布的年国务院颁布的中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例规规定计算机信息系统实行定计算机信息系统实行信息系统安全等级保护信息系统安全等级保护。20032003年中央办公厅、国务院办公厅转发的年中央办公厅、国务院办公厅转发的国家信息化领导小组关于加强国家信息化领导小组关于加强信息安全保障工作的意见信息安全保障工作的意见(中办发中办发200327200327号号)中明确指出:)中明确指出:“要重点要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信保护基础信息网络和关系国家安
3、全、经济命脉、社会稳定等方面的重要信息系统,抓紧息系统,抓紧建立信息系统安全等级保护制度,制定信息系统安全等级保建立信息系统安全等级保护制度,制定信息系统安全等级保护的管理办法和技术指南护的管理办法和技术指南”。20042004年公安部等四部委年公安部等四部委关于信息系统安全等级保护工作的实施意见关于信息系统安全等级保护工作的实施意见(公通字公通字200466200466号号)也指出:)也指出:“信息系统安全等级保护制度信息系统安全等级保护制度是国家在国是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家
4、安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度基本制度”。信息安全等级保护相关文件信息安全等级保护相关文件信息安全等级保护发展历程信息安全等级保护发展历程信息安全等级保护发展历程信息安全等级保护发展历程20072007年年7 7月,四部委联合会签并下发了月,四部委联合会签并下发了关于开展全国重要信息系统安关于开展全国重要信息系统安全等级保护定级工作的通知全等级保护定级工作的通知(公信安(公信安20078612007861号)号)20072007年年8 8月月,山东省公安厅、山东省保密局、山东省密码管理局和山东
5、省山东省公安厅、山东省保密局、山东省密码管理局和山东省信息办联合下发了信息办联合下发了山东省重要信息系统安全等级保护定级工作方案山东省重要信息系统安全等级保护定级工作方案 定级范围:定级范围:电信、广电行业的公用通信网、广播电视传输网等电信、广电行业的公用通信网、广播电视传输网等基础信息网络基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。位的重要信息系统。铁路、银行、海关、税务、民航、电力、证券、保险、科技、发展铁路、银行、海关、税务、民航、电力、证券、保险、科技、发展改革、国防科技、公
6、安、人事劳动和社会保障、财政、审计、商务、水改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、利、国土资源、能源、交通、文化、教育、统计、工商行政管理工商行政管理、邮政、邮政等行业、部门的生产、调度、管理、办公等等行业、部门的生产、调度、管理、办公等重要信息系统重要信息系统。市(地)级以上党政机关的重要网站和办公信息系统。市(地)级以上党政机关的重要网站和办公信息系统。涉及国家秘密的信息系统。涉及国家秘密的信息系统。信息安全等级保护指导性文件信息安全等级保护指导性文件信息系统安全保护等级划分信息系统安全保护等级划分第一级为自主保护级自主保
7、护级,主要对象为一般的信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益。第二级为指导保护级指导保护级,主要对象为一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害。第三级为监督保护级监督保护级,主要对象为涉及国家安全、社会秩序、经济建设和公共利益的信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害。第四级为强制保护级强制保护级,主要对象为涉及国家安全、社会秩序、经济建设和公共利益的重要信息系统,其受到破坏后,会对国家安
8、全、社会秩序、经济建设和公共利益造成严重损害。第五级为专控保护级专控保护级,主要对象为涉及国家安全、社会秩序、经济建设和公共利益的重要信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。信息系统安全保护的目标信息系统安全保护的目标 实行等级保护的总体目标总体目标是为了统一信统一信息安全保护工作,推进规范化、法制化息安全保护工作,推进规范化、法制化建设,保障安全,促进发展,完善我国建设,保障安全,促进发展,完善我国信息安全法规和标准体系,提高我国信信息安全法规和标准体系,提高我国信息安全和信息系统安全建设的整体水平。息安全和信息系统安全建设的整体水平。
9、信息安全等级保护的对象信息安全等级保护的对象 信息信息 信息系统信息系统等级保护工作的三个方面等级保护工作的三个方面 对信息系统分等级实施安全保护对信息系统分等级实施安全保护;对信息系统中使用的信息安全产品实行对信息系统中使用的信息安全产品实行分等级管理分等级管理;对信息系统中发生的信息安全事件分等对信息系统中发生的信息安全事件分等级响应、处置。级响应、处置。决定信息系统重要性的要素决定信息系统重要性的要素 信息系统所属类型,即信息系统资产的安全利信息系统所属类型,即信息系统资产的安全利益主体益主体 信息系统主要处理的业务信息类别信息系统主要处理的业务信息类别 -决定信息系统内信息资产的重要性
10、决定信息系统内信息资产的重要性 信息系统服务范围,包括服务对象和服务网络信息系统服务范围,包括服务对象和服务网络覆盖范围覆盖范围 业务对信息系统的依赖程度业务对信息系统的依赖程度 -决定信息系统所提供服务的重要性决定信息系统所提供服务的重要性 信息系统所属类型赋值表信息系统所属类型赋值表 信息系统所属类型举例信息系统所属类型举例赋赋值值信息系统的社会影响信息系统的社会影响属于一般企事业单位,处理其内部事属于一般企事业单位,处理其内部事务的信息系统。务的信息系统。1 1信息系统资产受到破坏会对本单信息系统资产受到破坏会对本单位利益有直接影响。位利益有直接影响。属于重要行业、重要领域和国家基础属于
11、重要行业、重要领域和国家基础设施,为国计民生、经济建设等提供设施,为国计民生、经济建设等提供重要服务的信息系统,或本身虽属一重要服务的信息系统,或本身虽属一般企事业单位,但为党政或重要信息般企事业单位,但为党政或重要信息系统提供支撑服务的信息系统。系统提供支撑服务的信息系统。2 2信息系统资产受到破坏会对公共信息系统资产受到破坏会对公共利益有直接影响,或对国家安全利益有直接影响,或对国家安全利益有间接影响。利益有间接影响。属于党政机关,处理国家事务的信息属于党政机关,处理国家事务的信息系统。系统。3 3信息系统资产受到破坏会对国家信息系统资产受到破坏会对国家安全利益有直接影响。安全利益有直接影
12、响。业务信息类型赋值表业务信息类型赋值表 业务信息类型举例业务信息类型举例赋值赋值业务信息的安全影响业务信息的安全影响可以对外公开发布的信息,或不对外发布的可以对外公开发布的信息,或不对外发布的单位内部一般信息。单位内部一般信息。1 1业务信息机密性、完整性或可用性被业务信息机密性、完整性或可用性被破坏会对公共利益或本单位经济利益破坏会对公共利益或本单位经济利益造成一定损害。造成一定损害。法人和其他组织及公民的专有信息,例如内法人和其他组织及公民的专有信息,例如内部敏感信息、关键技术数据、科技情报、商部敏感信息、关键技术数据、科技情报、商业秘密等。业秘密等。2 2业务信息机密性、完整性或可用性
13、被业务信息机密性、完整性或可用性被破坏会对公共利益或本单位经济利益破坏会对公共利益或本单位经济利益造成严重损害。造成严重损害。涉及国家安全利益,影响国家经济建设的信涉及国家安全利益,影响国家经济建设的信息。息。3 3业务信息机密性、完整性或可用性被业务信息机密性、完整性或可用性被破坏对国家安全利益和国家经济建设破坏对国家安全利益和国家经济建设造成损害。造成损害。信息系统服务范围赋值表信息系统服务范围赋值表 信息系统服务范围举例信息系统服务范围举例赋值赋值服务范围的影响服务范围的影响地区范围的服务网络。地区范围的服务网络。1 1信息系统因无法提供服务或无法提供有效服信息系统因无法提供服务或无法提
14、供有效服务会对局部范围的资产造成损害。务会对局部范围的资产造成损害。省级范围的服务网络。省级范围的服务网络。2 2信息系统因无法提供服务或无法提供有效服信息系统因无法提供服务或无法提供有效服务会对较大范围的资产造成损害。务会对较大范围的资产造成损害。全国范围的服务网络。全国范围的服务网络。3 3信息系统因无法提供服务或无法提供有效服信息系统因无法提供服务或无法提供有效服务会对全国范围的资产造成损害。务会对全国范围的资产造成损害。业务依赖程度赋值表业务依赖程度赋值表 业务依赖程度举例业务依赖程度举例赋值赋值业务系统影响业务系统影响业务处理流程的大部分可以通过手工方业务处理流程的大部分可以通过手工
15、方式或其他方式完成,自动化程度低。式或其他方式完成,自动化程度低。1 1信息系统无法提供服务或无法提供信息系统无法提供服务或无法提供有效服务对单位完成其业务使命影有效服务对单位完成其业务使命影响较小。响较小。业务处理流程的部分环节可以通过手工业务处理流程的部分环节可以通过手工方式或其他方式替代完成,自动化程度方式或其他方式替代完成,自动化程度中。中。2 2信息系统无法提供服务或无法提供信息系统无法提供服务或无法提供有效服务对单位完成其业务使命影有效服务对单位完成其业务使命影响较大。响较大。业务处理流程完全依赖信息系统,手工业务处理流程完全依赖信息系统,手工方式无法完成,自动化程度高。方式无法完
16、成,自动化程度高。3 3信息系统无法提供服务或无法提供信息系统无法提供服务或无法提供有效服务使单位无法完成其业务使有效服务使单位无法完成其业务使命。命。信息系统所属类型信息系统所属类型业务信息类型业务信息类型信息系统服务范围信息系统服务范围业务依赖程度业务依赖程度业务信息安全性取值业务信息安全性取值业务服务保证性取值业务服务保证性取值业务服务保证性等级业务服务保证性等级1.1.赋值赋值选择调节因子选择调节因子业务子系统安全保护等级业务子系统安全保护等级2.2.确定两个指标等级确定两个指标等级业务信息安全性等级业务信息安全性等级3 3 确定业务子系统等级确定业务子系统等级信息系统安全保护等级信息
17、系统安全保护等级4.4.确定信息系统等级确定信息系统等级其它业务子系统其它业务子系统 。业务信息安全性等级矩阵表 业务信息类型业务信息类型赋值赋值信息系统所属类型赋值信息系统所属类型赋值123112222333344业务服务保证性取值矩阵表业务服务保证性取值矩阵表 信息系统服务范围信息系统服务范围赋值赋值业务依赖程度赋值业务依赖程度赋值123112322343344 调节因子取值表调节因子取值表 信息系统服务的影响程度信息系统服务的影响程度调节因子调节因子k k信息系统无法提供服务或无法提供有效服务会造成国家安全利益损失。1.0 k 0.8信息系统无法提供服务或无法提供有效服务会造成较大范围的
18、公共利益损失。0.8 k 0.5信息系统无法提供服务或无法提供有效服务会造成局部利益损失。0.5 k 0信息系统安全保护等级信息系统安全保护等级 业务子系统的安全保护等级由业务信息业务子系统的安全保护等级由业务信息安全性等级和业务服务保证性等级较高安全性等级和业务服务保证性等级较高者决定。者决定。信息系统的安全保护等级由各业务子系信息系统的安全保护等级由各业务子系统的最高等级决定。统的最高等级决定。信息系统安全体系结构信息系统安全体系结构互联网计算机网络内网(业内网(业务专网)务专网)逻辑隔离物理隔离信息收集、发布,公众服务内部业务处理办公系统办公系统电子政务外网等级保护基本要求(二、三级)等
19、级保护基本要求(二、三级)q管理要求管理要求信息安全技术信息安全技术网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要;需要;设计和绘制与当前运行情况相符的网络拓扑结构图;设计和绘制与当前运行情况相符的网络拓扑结构图;根据机构业务的特点,在满足业务高峰期需要的基础上,合理设根据机构业务的特点,在满足业务高峰期需要的基础上,合理设计网络带宽;计网络带宽;在业务终端与业务服务器之间进行路由控制建立安全的访问路径;在业务终端与业务服务器之间进行路由控制建立安全的访问路径;根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,根据各
20、部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;网段分配地址段;重要网段应采取网络层地址与数据链路层地址绑定措施,防止地重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗;址欺骗;按照对业务服务的重要次序来指定带宽分配优先级别,保证在网按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要信息资产主机。络发生拥堵的时候优先保护重要信息资产主机。根据会话状态信息(包括数据包的源地址、目的地址、根据会话状态信息(包括数据包
21、的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许符的使用),为数据流提供明确的允许/拒绝访问的拒绝访问的能力;能力;对进出网络的信息内容进行过滤,实现对应用层对进出网络的信息内容进行过滤,实现对应用层HTTPHTTP、FTPFTP、TELNETTELNET、SMTPSMTP、POP3POP3等协议命令级的控制;等协议命令级的控制;依据安全策略允许或者拒绝便携式和移动式设备的网依据安全策略允许或者拒绝便携式和
22、移动式设备的网络接入;络接入;在会话处于非活跃一定时间或会话结束后终止网络连在会话处于非活跃一定时间或会话结束后终止网络连接;接;限制网络最大流量数及网络连接数。限制网络最大流量数及网络连接数。网络安全访问控制实现的方法有多种,网络安全访问控制实现的方法有多种,简单网络的安全访问控制可以在路由器简单网络的安全访问控制可以在路由器上实现,复杂的功能可以由主机甚至一上实现,复杂的功能可以由主机甚至一个子网来实现。个子网来实现。防火墙产品的初衷是实现网络之间的安全访问控制。防火墙产品的初衷是实现网络之间的安全访问控制。防火墙是设置在内部网络与外部网络之间,实施访问防火墙是设置在内部网络与外部网络之间
23、,实施访问控制策略的一个或一组系统,是访问控制机制在网络控制策略的一个或一组系统,是访问控制机制在网络安全环境中的应用。防火墙实现内部网络和外部网络安全环境中的应用。防火墙实现内部网络和外部网络逻辑隔离,通过限制网络互访来保护内部网络。防火逻辑隔离,通过限制网络互访来保护内部网络。防火墙是不同网络或网络安全域之间信息的唯一出入口,墙是不同网络或网络安全域之间信息的唯一出入口,能根据制定的安全策略能根据制定的安全策略(允许、拒绝及监视等允许、拒绝及监视等)控制出控制出入网络的数据流,且本身具有较强的抗攻击能力。防入网络的数据流,且本身具有较强的抗攻击能力。防火墙的目的就是在内部网络和外部网络连接
24、之间建立火墙的目的就是在内部网络和外部网络连接之间建立一个安全控制点,允许、拒绝或重新定向经过防火墙一个安全控制点,允许、拒绝或重新定向经过防火墙的数据流,实现对进出内部网络的网络通信的审计和的数据流,实现对进出内部网络的网络通信的审计和控制。控制。防火墙技术的局限性防火墙技术的局限性 防火墙不能过滤应用层的非法攻击,如编码攻击 防火墙对不通过它的连接无能为力,如内网攻击 防火墙采用静态安全策略技术,因此无法动态防御新的攻击安全审计安全审计 网络安全审计 主机安全审计网络安全审计网络安全审计 对网络系统中的网络设备运行状况、网络流量、用户对网络系统中的网络设备运行状况、网络流量、用户行为等进行
25、全面的监测、记录;行为等进行全面的监测、记录;对于每一个事件,其审计记录应包括:事件的日期和对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功,及其他与审时间、用户、事件类型、事件是否成功,及其他与审计相关的信息;计相关的信息;安全审计应可以根据记录数据进行分析,并生成审计安全审计应可以根据记录数据进行分析,并生成审计报表;报表;安全审计应可以对特定事件,提供指定方式的实时报安全审计应可以对特定事件,提供指定方式的实时报警;警;审计记录应受到保护避免受到未预期的删除、修改或审计记录应受到保护避免受到未预期的删除、修改或覆盖等。覆盖等。网络安全审计网络安全审计 网络
展开阅读全文