信息安全11.ppt

1、课程名称:28pt 使用字体:隶书字体颜色:国网绿R:0;G:111;B:107加粗课程编码:28pt 使用字体:隶书字体颜色:国网绿加粗开发人:28pt 使用字体:隶书字体颜色:国网绿加粗认证时间:28pt 使用字体:隶书字体颜色:国网绿加粗国网技术国网技术学院标准化学院标准化课程课程课程名称：课程名称：课程编码：课程编码：培训对象：培训对象：开发人：开发人：认证时间：认证时间：信息安全信息安全尚宏尚宏非电专业新员工非电专业新员工2012年年8月月ZHSZ20120216课程名称:20pt 颜色:国网绿字体:隶书加粗中文标题:30-32pt 颜色:黑色字体:黑体中文正文:18-20pt子目录

2、(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：以下是组配色方案，同一页面内只选择一组使用。（仅供参考）课程编码:20pt字体:隶书加粗颜色：基本知识：红色专业知识：橙色相关知识：黄色基本技能：绿色专业技能：浅蓝相关技能：蓝色职业技能：紫色以上颜色均为标准色。国家电网公司信息等级保护策略国家电网公司信息等级保护策略1.等级保护是我国一项基本制度信息系统安全等级保护是国家推行的信息安全保障基本制度，是指对信息安全实行等级化保护和等级化管理。等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力

3、度。突出重点，保障重要信息资源和重要信息系统的安全。信息安全保护分为五个等级。信息安全技术要求的组成包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复。课程名称:20pt 颜色:国网绿字体:隶书加粗中文标题:30-32pt 颜色:黑色字体:黑体中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：以下是组配色方案，同一页面内只选择一组使用。（仅供参考）课程编码:20pt字体:隶书加粗颜色：基本知识：红色专业知识：橙色相关知识：黄色基本技能：绿色专业技能：浅蓝相关技能：蓝色职业技能：紫色以上颜色均为标准色。2.国家电网公司等级保护依据国家推行的信

4、息系统安全等级保护定级指南（试用稿）制订国家电网公司信息系统安全保护等级定级指南（试行）。主要文件：国家电网公司信息系统安全保护等级定级指南（试行）；国家电网公司信息化“SG186”工程安全防护总体方案 课程名称:20pt 颜色:国网绿字体:隶书加粗中文标题:30-32pt 颜色:黑色字体:黑体中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：以下是组配色方案，同一页面内只选择一组使用。（仅供参考）课程编码:20pt字体:隶书加粗颜色：基本知识：红色专业知识：橙色相关知识：黄色基本技能：绿色专业技能：浅蓝相关技能：蓝色职业技能：紫色以上颜色均为标准色。

5、工作情况06年-07年，国家电网公司开展了国家电网公司信息系统安全等级保护制度研究与试点工作项目。由国电信息中心、福建、中国电科院分别承担。07年，浙江、安徽、陕西分别启动了等级保护试点工作。07年底，国网公司开展了“SG186”统一定级、评审工作。08年4月，编制完成了国家电网公司信息化“SG186”工程安全防护总体方案（试行）。08年，在奥运信息安全保障工作中8个涉奥单位完成了等级保护建设的主体工作。09年3月，印发了关于信息安全等级保护建设的实施指导意见（信息运安200927 号）信息安全信息安全课程名称:20pt 颜色:国网绿字体:隶书加粗中文标题:30-32pt 颜色:黑色字体:黑体

6、中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：以下是组配色方案，同一页面内只选择一组使用。（仅供参考）课程编码:20pt字体:隶书加粗颜色：基本知识：红色专业知识：橙色相关知识：黄色基本技能：绿色专业技能：浅蓝相关技能：蓝色职业技能：紫色以上颜色均为标准色。国家电网公司信息等级保护策略国家电网公司信息等级保护策略安全技术要求组成信息安全信息安全课程名称:20pt 颜色:国网绿字体:隶书加粗中文标题:30-32pt 颜色:黑色字体:黑体中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：以下是组配色方案，同一页

7、面内只选择一组使用。（仅供参考）课程编码:20pt字体:隶书加粗颜色：基本知识：红色专业知识：橙色相关知识：黄色基本技能：绿色专业技能：浅蓝相关技能：蓝色职业技能：紫色以上颜色均为标准色。国家电网公司信息等级保护策略国家电网公司信息等级保护策略各级安全要求数量差异信息安全信息安全课程名称:20pt 颜色:国网绿字体:隶书加粗中文标题:30-32pt 颜色:黑色字体:黑体中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：以下是组配色方案，同一页面内只选择一组使用。（仅供参考）课程编码:20pt字体:隶书加粗颜色：基本知识：红色专业知识：橙色相关知识：黄色

8、基本技能：绿色专业技能：浅蓝相关技能：蓝色职业技能：紫色以上颜色均为标准色。国家电网公司信息等级保护策略国家电网公司信息等级保护策略物理安全主要是机房环境安全。具体包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等十个方面。举例（二级安全要求）：物理位置的选择；物理访问控制防盗窃和防破坏防雷击；防火；防水和防潮；防静电温湿度控制电力供应；电磁防护信息安全信息安全课程名称:20pt 颜色:国网绿字体:隶书加粗中文标题:30-32pt 颜色:黑色字体:黑体中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体

9、 配色参考方案：以下是组配色方案，同一页面内只选择一组使用。（仅供参考）课程编码:20pt字体:隶书加粗颜色：基本知识：红色专业知识：橙色相关知识：黄色基本技能：绿色专业技能：浅蓝相关技能：蓝色职业技能：紫色以上颜色均为标准色。(1)物理位置的选择：机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。(2)物理访问控制：机房出入口应安排专人值守，控制、鉴别和记录进入的人员；需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。(3)防盗窃和防破坏：应将主要设备放置在机房内；应将设备或主要部件进行固定，并设置明显的不易除去的标记；应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；

10、应对介质分类标识，存储在介质库或档案室中；主机房应安装必要的防盗报警设施。课程名称:20pt 颜色:国网绿字体:隶书加粗中文标题:30-32pt 颜色:黑色字体:黑体中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：以下是组配色方案，同一页面内只选择一组使用。（仅供参考）课程编码:20pt字体:隶书加粗颜色：基本知识：红色专业知识：橙色相关知识：黄色基本技能：绿色专业技能：浅蓝相关技能：蓝色职业技能：紫色以上颜色均为标准色。(4)防雷击：机房建筑应设置避雷装置；机房应设置交流电源地线。(5)防火：机房应设置灭火设备和火灾自动报警系统。(6)防水和防潮：

11、应对穿过机房墙壁和楼板的水管增加必要的保护措施；水管安装，不得穿过机房屋顶和活动地板下；应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。(7)防静电：关键设备应采用必要的接地防静电措施。(8)温湿度控制：机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。(9)电力供应：应在机房供电线路上配置稳压器和过电压防护设备；应提供短期的备用电力供应，至少满足关键设备在断电情况下的正常运行要求。(10)电磁防护：电源线和通信线缆应隔离铺设，避免互相干扰。课程名称:20pt 颜色:国网绿字体:隶书加粗中文标题:30-32pt

12、 颜色:黑色字体:黑体中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：以下是组配色方案，同一页面内只选择一组使用。（仅供参考）课程编码:20pt字体:隶书加粗颜色：基本知识：红色专业知识：橙色相关知识：黄色基本技能：绿色专业技能：浅蓝相关技能：蓝色职业技能：紫色以上颜色均为标准色。国家电网公司信息等级保护策略国家电网公司信息等级保护策略网络安全主要关注：网络结构、网络边界以及网络设备自身安全等。具体包括：结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等七个要求点。举例（二级安全要求）：结构安全访问控制安全审计边界完

13、整性检查入侵防范网络设备防护信息安全信息安全课程名称:20pt 颜色:国网绿字体:隶书加粗中文标题:30-32pt 颜色:黑色字体:黑体中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：以下是组配色方案，同一页面内只选择一组使用。（仅供参考）课程编码:20pt字体:隶书加粗颜色：基本知识：红色专业知识：橙色相关知识：黄色基本技能：绿色专业技能：浅蓝相关技能：蓝色职业技能：紫色以上颜色均为标准色。(1)结构安全：应保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；应保证接入网络和核心网络的带宽满足业务高峰期需要；应绘制与当前运行情况相符的网

14、络拓扑结构图；应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。(2)访问控制：应在网络边界部署访问控制设备，启用访问控制功能；应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级。应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；应限制具有拨号访问权限的用户数量。课程名称:20pt 颜色:国网绿字体:隶书加粗中文标题:30-32pt 颜色:黑色字体:黑体中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方

15、案：以下是组配色方案，同一页面内只选择一组使用。（仅供参考）课程编码:20pt字体:隶书加粗颜色：基本知识：红色专业知识：橙色相关知识：黄色基本技能：绿色专业技能：浅蓝相关技能：蓝色职业技能：紫色以上颜色均为标准色。(3)安全审计：应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。(4)边界完整性检查：应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。(5)入侵防范：应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片

16、攻击和网络蠕虫攻击等。课程名称:20pt 颜色:国网绿字体:隶书加粗中文标题:30-32pt 颜色:黑色字体:黑体中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：以下是组配色方案，同一页面内只选择一组使用。（仅供参考）课程编码:20pt字体:隶书加粗颜色：基本知识：红色专业知识：橙色相关知识：黄色基本技能：绿色专业技能：浅蓝相关技能：蓝色职业技能：紫色以上颜色均为标准色。(6)网络设备防护：应对登录网络设备的用户进行身份鉴别；应对网络设备的管理员登录地址进行限制；网络设备用户的标识应唯一；身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。课程名称:20pt 颜色:国网绿字体:隶书加粗中文标题:30-32pt 颜色:黑色字体:黑体中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：以下是组配色方案，同一页面内只选择一组使用