文档之家
首页
教学研究
幼儿教育
高等教育
外语考试
建筑/土木
经管营销
自然科学
当前位置:
文档之家
›
等保三级综述
等保三级综述
格式:ppt
大小:3.32 MB
文档页数:47
下载文档原格式
下载原文件
/ 47
下载本文档
合集下载
下载提示
文本预览
1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
其他类
ຫໍສະໝຸດ Baidu
GB/T GB/T GB/Z GB/T
20984-2007 信息安全技术 信息安全风险评估规范 20285-2007 信息安全技术 信息安全事件管理指南 20986-2007 信息安全技术 信息安全事件分类分级指南 20988-2007 信息安全技术 信息系统灾难恢复规范
7
信息系统等级保护综述
三级 32 33 32 31 8
四级 33 32 36 36 11
管理要求
合计 级差
安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 / /
13
3 4 7 20 18 85 /
7 9 11 28 41 175 90
11 20 16 45 62 290 115
14 20 18 48 70 318 28
E-mail www App.
两 级 网 络 的 安 全 方 案 总 成
入侵检测
Si
Si
省级机关
Internet
Si
EA 3 e l s
业务处理用户
部 门 对 外 应 用
公共通信网
部 门 对 外 应 用
公共服务区
入侵检测
Internet
部 门 内 部 应 用 业 务 理 用 户
市级机关
市级机关
SEC
安全保护等级 第一级 第二级 第三级
信息系统定级结果的组合 S1A1G1 S1A2G2,S2A2G2,S2A1G2 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3
第四级
第五级
S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4
S1A5G5,S2A5G5,S3A5G5,S4A5G5,S5A4G5,S5A3G5,S5A2G5, S5A1G5
第 二 级 系 统 安 全 保 护 环 境 主 要 产 品 类 型 及 功 能
安全计算环境
用户数据完整性保护 用户数据保密性保护 客体安全重用 恶意代码防范 区域边界协议过滤 区域边界安全审计
主机防病毒软件*等 防火墙、网关等 防病毒网关*等 防非法外联系统、 入侵检测系统等
安全区域边界
区域边界恶意代码防范
信息系统等级保护综述
基本要求--GB/T 22239
控 制 点
安全要求类 技术要求
管理要求
合计 级差
层面 物理安全 网络安全 主机安全 应用安全 数据安全及备份恢复 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 / /
一级 7 3 4 4 2 2 4 4 9 9 48 /
二级 10 6 6 7 3 3 5 5 9 12 66 18
不同敏感级信息的服务器和用户终端划分到不同的安全域。
例如,可将一个第4级局域网划分为若干个第4级和第3级安全 域,进行分级分域管理,实现多边安全控制,保障系统的总 体安全。
信息系统等级保护综述
安全域等级防护设计示意
外网节点网管中心 (监督保护级)
私有数据可通过VPN跨域传输 接入网络 (指导保护级)
自主访问控制 标记与强制访问控制 操作系统、数据库管理系统、 安全审计系统*、终端安全管 理*、身份鉴别系统等
安全计算环境
系统安全审计 用户数据完整性保护 用户数据保密性保护 客体安全重用
系统可执行程序保护
区域边界访问控制 安全区域边界 区域边界协议过滤 区域边界安全审计 区域边界完整性保护 网络安全审计 安全通信网络 网络数据传输完整性保护 网络数据传输保密性保护 网络可信接入 系统管理 安全管理中心 安全管理
对客体的侵害程度 保护对象受到破坏时受侵害的客体 一般损害 严重损害 第二级 第三级 第四级 特别严重损害 第二级 第四级 第五级
3、综合评定对客体的侵害程度
6、综合评定对客体的侵害程度
公民、法人和其他组织的合法权益 社会秩序、公共利益
第一级 第二级 第三级
4、业务信息安全等级
7、系统服务安全等级
国家安全
信息系统等级保护综述
8
实施指南--GB/T 25058-2010
等级保护实施过程 基本原则 角色、职责 基本流程 主要过程及其活动
信息系统定级
总体安全规划
等级变更
国家管理部门(4家)
信息系统主管部门 信息系统运营、使用单位 信息安全服务机构
安全设计与实施
局部调整
安全运行维护 信息系统终止
信息安全等级测评机构 信息安全产品供应商
等级保护综述 (三级)
2013.11
信息系统等级保护综述
电子政务网络系统概述
网络平台
• 所依托的网络平台,大体都是由虚拟专网或租用专 网构成 • 网络结构呈现出垂直向下的树形层次结构和同层子 网的互连结构
树形结构是为了将一个部门或行业通过网络将中央到省、 地、县等各级机关连接成一个“自己内部的”虚拟网络。 互连结构则是为了将一个部门或行业,与其它部门或行业, 或与社会各种利益团体虚拟连接起来,以便开展业务合作 或实现政府管理或指导职能,。 • 互连的虚拟网络体“内部”各种子网的安全策略各不相同, 因 而它们分属于不同的安全管理域
适用的方法: 电子政务外网:等级保护标准 电子政务内网(涉密):分级保护要求
信息系统等级保护综述
等级保护之十大标准
基础类
《计算机信息系统安全保护等级划分准则》GB 17859-1999
《信息系统安全等级保护实施指南》GB/T 25058-2010
定级:《信息系统安全保护等级定级指南》GB/T 22240-2008 建设:《信息系统安全等级保护基本要求》GB/T 22239-2008 《信息系统通用安全技术要求》GB/T 20271-2006 《信息系统等级保护安全设计技术要求》GB/T 25070-2010
信息系统等级保护综述
电子政务系统网络层次结构示意
信息系统等级保护综述
信息系统安全测评:等级保护与分级保护
管理体系不同 等级保护 公安机关 国家标准 (GB、GB/T) 各种信息系统 第一级:自主保护级 第二级:指导保护级 第三级:监督保护级 第四级:强制保护级 第五级:专控保护级 各级等级保护测评机构 和部门 分级保护 国家保密工作部门 国家保密标准 (BMB,强制执行) 国家涉密信息系统
三级 10 7 7 9 3 3 5 5 11 13 73 7
四级 10 7 9 11 3 3 5 5 11 13 77 4
信息系统等级保护综述
基本要求--GB/T 22239
控 制 项
安全要求类 技术要求
层面 物理安全 网络安全 主机安全 应用安全 数据安全及备份恢复
一级 9 9 6 7 2
二级 19 18 19 19 4
信息系统等级保护综述
分域分级防护示意
监督保护级网络
安全域 (第3级) 安全域 (第3级)
安全域 (第2级)
安全域 (第2级)
安全域 (第2级)
禁止高敏感级信息由高等级安全域流向低等级安全域
信息系统等级保护综述
主要防护措施
防火墙系统 隔离与交换系统 网络入侵防御系统 主页防篡改系统 防病毒网关 抗DDos系统 VPN网关 安全认证网关 主机、服务器安全加固 文件安全系统 电子邮件安全等等 信息系统等级保护综述
信息系统等级保护综述
9
等级保护定级指南--GB/T 22240
等级保护定级方法
信息系统安全 业务信息安全 系统服务安全 受侵害的客体
保护对象
一般流程
1、确定定级对象(系统边界)
客体:社会关系
对客体的侵害程度 等级确定
2 、确定业务信息安全受到破坏 时所侵害的客体
5 、确定系统服务安全受到破坏 时所侵害的客体
标准体系不同 保护对象不同
级别划分不同
秘密级 机密级 绝密级 测评中心、 技术检查中心、 资质单位、自身力量
评估队伍不同
信息系统等级保护综述
信息系统的测评标准选择
•信息网络系统应根据信息安全等级保护标准,采取 相应等级的信息安全保障措施进行安全防护 • 对于集中处理工作秘密的信息系统,可参照秘密 级信息系统保护的要求进行保护和管理。
区域边界完整性保护
网络安全审计 安全通信网络 网络数据传输完整性保护 网络数据传输保密性保护
VPN、加密机*、路由器等
信息系统等级保护综述
审计管理
安全管理中心
系统管理
安全管理平台
设计技术要求(示意)
使用范围 安全功能 产品类型
用户身份鉴别
第 三 级 系 统 安 全 保 护 环 境 主 要 产 品 类 型 及 功 能
操作系统等
安全隔离与信息交换系统、 安全网关等
VPN、加密机*、路由器等
安全管理平台
审计管理 信息系统等级保护综述
二级、三级等级保护要求比较
等级保护要求 (技术&管理)
2级 VS 3级
信息系统等级保护综述
等级保护相关的
主要方法
信息系统等级保护综述
部 门 内 部 应 用
安全管理监控区
SEC
公共服务区
信息系统等级保护综述
安全管理监控区
基于信息流的风险识别、控制方法 基于信息流的资源分布模型研究 九大区域 分层
资产——脆弱性——威胁
信息系统等级保护综述
合理分域,准确定级
• 信息系统等级(分级)保护以系统所处理信息的最高重要程
度来确定安全等级 • 在合理划分安全域边界安全可控的情况下,各安全域可根据 信息的最高重要程度单独定级,实施“分域分级防护”的策略 ,从而降低系统建设成本和管理风险
应用类
测评:《信息系统安全等级保护测评要求 《信息系统安全等级保护测评过程指南》 管理:《信息系统安全管理要求》GB/T 20269-2006 《信息系统安全工程管理要求》GB/T 20282-2006
信息系统等级保护综述
6
等级保护之相关标准
技术类
GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求 GB/T 20270-2006 信息安全技术 网络基础安全技术要求 GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求 GB/T 20272-2006 信息安全技术 操作系统安全技术要求 GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求 其他信息产品、信息安全产品等。。。
信息系统等级保护综述
设计技术要求(示意)
用户身份鉴别
第 安全计算环境 一 级 系 统
安全区域边界 安全通信网络
自主访问控制 用户数据完整性保护 恶意代码防范 区域边界包过滤 区域边界恶意代码防范 网络数据传输完整性保护 使用范围
操作系统、数据库管理系统等
主机防病毒软件*等 防火墙、网关等 防病毒网关*等 路由器等 安全功能 用户身份鉴别 自主访问控制 系统安全审计 操作系统、数据库管理系统、 安全审计系统*、身份鉴别系统 等 产品类型
8、定级对象的安全保护等级
8=MAX(4,7)
信息系统等级保护综述
10
基本要求--GB/T 22239
基本保护要求(最低)
对抗能力+恢复能力
物理、网络、主机、应用、数据
保护能力
技术要求+管理要求
制度、机构、人员、建设、运维
整体安全保护能力
纵深防御、互补关联、强度一致、 平台统一、集中安管 业务信息安全类要求 S 系统服务保证类要求 A 通用安全保护类要求 G 安全类 关键控制点 具体要求项 控制强度
信息系统等级保护综述
综合局域网信息系统的安全域划分与定级示例
⑵ 为了实现最高敏感级信息系统的最小化,控制敏感信息的知
晓范围,降低失泄密的风险,对于使用范围集中的局域网敏感型 信息系统,可根据业务部门和信息敏感级划分不同的安全域。
首先通过使用VLAN、防火墙等技术划分不同的安全域,对
不同部门的业务进行分割; 然后,在同一部门内可再根据信息敏感级,将处理、存储
• 信息系统安全域之间的边界应划分明确,安全域与安全域之
间的所有数据通信都应安全可控 • 对于不同等级的安全域间通信,应实施有效的访问控制策略 和机制,禁止高密级信息由高等级安全域流向低等级安全域。
信息系统等级保护综述
树形结构网络的安全域划分与定级示例
⑴ 对于敏感程度层次分明、地域纵横分布的党政部门“电 子政务广域网信息系统”,可根据行政级别、信息敏感程度 和系统重要性划分不同的安全域。 首先可根据行政级别将业务体系内的“电子政务广域网 信息系统”划分为中央、省、市(地)和县四个安全域, 然后再根据各个安全域的所处理信息的最高信息敏感程 度单独确定保护等级和防护措施,例如按照 第5级(中央)、 第4级(省)、 第3级(市、地)和 第1级(县) “四层三级”的架构进行分域分级防护。
等级保护标准系列的逻辑关系
等级保护
划分准则
GB/T 20269 安全管理
定级指南
GB/T 20282 安全工程管理 GB/T 20270 网络基础
实施指南
基本要求
技术设计要求
GB/T 20271 通用安全技术 GB/T 20272 操作系统
测评要求 测评过程指南
GB/T 20273 数据库 GB/T 20984 风险评估
相关主题
三级等保评测文件
等保三级测评
三级防护标准
三级等保安全管理制度
文档推荐
等保测评3级-技术测评要求
页数:14
等级保护2.0三级测评要求(含云安全扩展要求)
页数:5
等保测评三级系统整改示例
页数:31
能做等级保护三级的测评机构
页数:34
等级保护三级管理系统测评
页数:16
等级保护三级管理测评
页数:16
等级保护三级-管理类测评
页数:16
等保测评3级专业技术测评要求
页数:14
三级等保评测文件资料资料
页数:35
新版等级保护三级管理测评.pdf
页数:16
最新文档
大学生“心语心愿”微博原创大赛活动策划书
高一英语上册语法复习课件5
七环结(两课时)
小学开展师生“快乐读书”活动实施方案
河南特岗教师招聘化学学科面试答辩真题
奥数天天练第17期(1~6年级)带答案
朱家庄联小办公会议记录表
金融专业英语证书考试FECT单选练习20题-附答案
局部解剖学复习笔记
最新庆祝社团节策划书2020