第7讲信息安全等级保护.ppt
《第7讲信息安全等级保护.ppt》由会员分享,可在线阅读,更多相关《第7讲信息安全等级保护.ppt(51页珍藏版)》请在冰豆网上搜索。
第第77讲讲信息安全与等级保护信息安全与等级保护信息安全的属性特征和管理分类信息安全的属性特征和管理分类什么是等级保护什么是等级保护等级保护的国家政策与标准规范等级保护的国家政策与标准规范等级保护的工作内容等级保护的工作内容等级保护的建设流程等级保护的建设流程等级保护各参与部门的角色定位等级保护各参与部门的角色定位涉及国家秘密信息系统的分保护管理信息安全的属性特征信息安全的属性特征信息安全是整体的、发展的、非传统的安全信息安全是一个系统工程,需要全社会共同努力信息安全不是绝对的,是动态的、相对的信息安全不是一个国家能完全控制的问题,具有全球化的特点,应从全球信息化角度考虑和布局信息安全不是一个孤立的问题,应在系统建设过程中充分考虑密保(分保)密保(分保)分三分三级(绝密、机密、秘密)密、机密、秘密)涉密涉密环境(网境(网络、终端、端、应用系用系统及数据)的信息及数据)的信息安全安全等保等保分五分五级非涉密非涉密环境(网境(网络、终端、端、应用系用系统及数据)的信及数据)的信息安全息安全信息安全管理分类信息安全管理分类内容概要内容概要信息安全的属性特征和管理分类什么是等什么是等级保保护等级保护的国家政策与标准规范等级保护的工作内容等级保护的建设流程等级保护各参与部门的角色定位涉及国家秘密信息系统的分保护管理什么是等级保护什么是等级保护信息系统等级保护的定义信息系统等级保护的定义是是指指对对国国家家秘秘密密信信息息、法法人人和和其其他他组组织织及及公公民民的的专专有有信信息息以以及及公公开开信信息息和和存存储储、传传输输、处处理理这这些些信信息息的的信信息息系系统统分分等等级级实实行行安安全全保保护护,对对信信息息系系统统中中使使用用的的信信息息安安全全产产品品实实行行按按等等级级管管理理,对对信信息息系系统统中中发发生生的的信息安全事件信息安全事件分等级响应、处置分等级响应、处置。
信息安全等级保护是信息安全等级保护是基本制度、基本国策基本制度、基本国策等等级级保保护护工工作作分分为为五五个个环环节节:
定定级级、备备案案、建建设设整整改改、等级测评、监督检查。
等级测评、监督检查。
等级保护的等级划分准则等级保护的等级划分准则根根据据信信息息和和信信息息系系统统遭遭到到破破坏坏或或泄泄露露后后,对对国国家家安安全全、社社会会秩秩序序、公公共共利利益益及及公公民民、法法人人和和其他组织的合法权益其他组织的合法权益的的危害程度危害程度来进行定级。
来进行定级。
1、受侵害客体;、受侵害客体;2、受侵害程度;、受侵害程度;等级保护的等级划分准则等级保护的等级划分准则公安部关于等级保护文件规定公安部关于等级保护文件规定第一级为自主保护级第二级为指导保护级第一级为监督保护级第一级为强制保护级第一级为专控保护级等级保护涉及的几个基本概念等级保护涉及的几个基本概念主动主动主动主动用户、进程用户、进程用户、进程用户、进程主体主体主体主体被动被动被动被动文件、存储设备文件、存储设备文件、存储设备文件、存储设备客体客体客体客体访问:
读、写、执行访问:
读、写、执行权限权限权限权限安全策略安全策略安全审计安全审计强制访问控制强制访问控制第一级第一级用户自主保护级用户自主保护级第二级第二级系统审计保护系统审计保护第三级第三级安全标记保护安全标记保护第四级第四级结构化保护结构化保护第五级第五级访问验证保护访问验证保护用户自主控制资源访问用户自主控制资源访问访问行为需要被审计访问行为需要被审计通过标记实现强制访问控制通过标记实现强制访问控制可信计算基结构化可信计算基结构化所有的过程都需要验证所有的过程都需要验证等级保护的等级划分准则等级保护的等级划分准则第一第一级自主安全保自主安全保护第二第二级审计安全保安全保护第三第三级强制安全保强制安全保护第四第四级结构构化保化保护第五第五级访问验证保保护级自主自主访问控制控制身身份份鉴别完整性保完整性保护自主自主访问控制控制身身份份鉴别完整性保完整性保护系系统审计客体重用客体重用自主自主访问控制控制身身份份鉴别完整性保完整性保护系系统审计客体重用客体重用强制强制访问控制控制标记自主自主访问控制控制身身份份鉴别完整性保完整性保护系系统审计客体重用客体重用强制强制访问控制控制标记自主自主访问控制控制身身份份鉴别完整性保完整性保护系系统审计客体重用客体重用强制强制访问控制控制标记隐蔽通道分析蔽通道分析可信路可信路径径隐蔽通道分析蔽通道分析可信路可信路径径可信恢可信恢复复如何理解信息系统的五个安全保护等级如何理解信息系统的五个安全保护等级第一级:
一般适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。
第二级:
一般适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统,如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。
第三级:
一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省连接的网络系统等。
第四级:
一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。
例如电力、电信、广电、铁路、民航、银行、税务等重要部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。
第五级:
一般适用于国家重要领域、重要部门中的极端重要系统。
内容概要内容概要信息安全与等级保护什么是等级保护等等级保保护的国家政策与的国家政策与标准准规范范等级保护的工作内容等级保护的建设流程等级保护各参与部门的角色定位涉及国家秘密信息系统的分保护管理颁布时间颁布时间文件名称文件名称文号文号颁布机构颁布机构内容及意义内容及意义19941994年年22月月1818日日中华人民共和国中华人民共和国计算机信息系统安计算机信息系统安全保护条例全保护条例国务院国务院147147号令号令国务院国务院第一次第一次提出信息系统要实行提出信息系统要实行等级保护,并确定了等级保等级保护,并确定了等级保护的职责单位。
护的职责单位。
20032003年年99月月77日日国家信息化领导国家信息化领导小组关于加强信息小组关于加强信息安全保障工作的意安全保障工作的意见见中办国办发中办国办发200327200327号号中共中央办公厅中共中央办公厅国务院办公厅国务院办公厅等级保护工作的开展必须分等级保护工作的开展必须分步骤、分阶段、有计划的实步骤、分阶段、有计划的实施。
明确了信息安全等级保施。
明确了信息安全等级保护制度的护制度的基本内容基本内容。
20042004年年99月月1515日日关于信息安全等关于信息安全等级保护工作的实施级保护工作的实施意见意见公通字公通字200466200466号号公安部公安部国家保密局国家保密局国家密码管理委国家密码管理委员会办公室员会办公室(国家密码管理(国家密码管理局)局)国务院信息化工国务院信息化工作办公室作办公室将等级保护从计算机信息系将等级保护从计算机信息系统安全保护的一项制度提升统安全保护的一项制度提升到国家信息安全保障的一项到国家信息安全保障的一项基本制度基本制度。
20072007年年66月月2222日日信息安全等级保信息安全等级保护管理办法护管理办法公通字公通字200743200743号号明确了信息安全等级保护制明确了信息安全等级保护制度的度的基本内容、流程及工作基本内容、流程及工作要求要求,明确了信息系统运营,明确了信息系统运营使用单位和主管部门、监管使用单位和主管部门、监管部门在信息安全等级保护工部门在信息安全等级保护工作中的作中的职责、任务职责、任务。
20072007年年77月月1616日日关于开展全国重关于开展全国重要信息系统安全等要信息系统安全等级保护定级工作的级保护定级工作的通知通知公信安公信安20078612007861号号就就定级范围、定级工作主要定级范围、定级工作主要内容、定级工作要求内容、定级工作要求等事项等事项进行了通知。
进行了通知。
等级保护的国家政策等级保护的国家政策等级保护的技术标准规范等级保护的技术标准规范GB17859-1999计算机信息系算机信息系统安全保安全保护等等级划分准划分准则信息系信息系统安全等安全等级保保护定定级指南指南GB/T20269-2006信息系信息系统安全管理要求安全管理要求GB/T20282-2006信息安全技信息安全技术信息系信息系统安全工程管理要求安全工程管理要求GB/T20270-2006信息安全技信息安全技术网网络基基础安全技安全技术要求要求GB/T20271-2006信息安全技信息安全技术信息系信息系统通用安全技通用安全技术要求要求GB/T20272-2006信息安全技信息安全技术操作系操作系统安全技安全技术要求要求GB/T20273-2006信息安全技信息安全技术数据数据库管理系管理系统通用安全技通用安全技术要求要求GB/T22239-2008信息安全技信息安全技术信息系信息系统安全等安全等级保保护基本要求基本要求信息安全技信息安全技术信息系信息系统等等级保保护安全安全设计技技术要求要求(已送批已送批)信息系信息系统安全等安全等级保保护实施指南施指南GB/T20009-2005信息安全技术信息安全技术操作系统安全评估准则操作系统安全评估准则国国家家已已出出台台7070多多个个国国标标、行行标标以以及及报报批批标标准准,从从基基础础、设设计计、实实施施、管理、制度管理、制度等各个方面对等保系统提出了要求和建议。
等各个方面对等保系统提出了要求和建议。
计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则(GB17859-1999GB17859-1999)信息安全技术信息安全技术信息系统通用安全技术要求信息系统通用安全技术要求(GBGB/T2027T202711-2006-2006)信息安全技术信息安全技术操作系统安全技术要求操作系统安全技术要求(GB/T20272-2006GB/T20272-2006)信息安全技术信息安全技术信息系统安全等级保护基本要求信息系统安全等级保护基本要求(GB/T22239-2008GB/T22239-2008)信息安全技术信息安全技术信息系统等级保护安全设计技术要求信息系统等级保护安全设计技术要求面向评估者技术标准:
面向评估者技术标准:
面向建设者技术标准:
面向建设者技术标准:
等级保护的技术标准规范等级保护的技术标准规范信息安全技术信息安全技术信息系统安全工程管理要求信息系统安全工程管理要求(GB/T20282-2006GB/T20282-2006)信息系统安全管理体系标准信息系统安全管理体系标准(ISO/IEC27001ISO/IEC27001)信息安全技术信息安全技术信息系统安全等级保护实施指南信息系统安全等级保护实施指南(GB/Txxxxx-2007GB/Txxxxx-2007)管理类标准:
管理类标准:
等保方案类标准:
等保方案类标准:
系统定级类标准:
系统定级类标准:
信息安全技术信息安全技术信息系统安全保护等级定级指南信息系统安全保护等级定级指南(GB/T22240-2008GB/T22240-2008)等级保护的技术标准规范等级保护的技术标准规范信息系统安全等级保护基本要求信息系统安全等级保护基本要求(GB/T22239-2008)(GB/T22239-2008)信息系统等级保护安全设计技术要求信息系统等级保护安全设计技术要求(已审批)(已审批)计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则(GB17859-1999GB17859-1999)国家已出台国家已出台约约70余个标准,重点需要了解的有:
余个标准,重点需要了解的有:
等级保护的技术标准规范等级保护的
升级会员 