信息安全等级保护与解决方案.ppt
合集下载
信息安全等级保护解决方案
合理划分网段
整体方案保证
f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;
防火墙策略
USG防火墙
g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。
辅助防火墙设备部署QOS策略
USG防火墙、ASG
主机身份鉴别设定+堡垒机辅助
d) 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
加密管理,对服务器的远程管理采用SSH、SSL等加密协议,可由堡垒机辅助实现
主机身份鉴别设定+堡垒机辅助
e) 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
g) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
第一层次基于IP的访问控制,基本防火墙能力
第二层次基于用户身份的访问控制,下一代防火墙支持,配合AAA系统使用
USG防火墙
h) 应限制具有拨号访问权限的用户数量。
拨号接入设备控制(可能包括PPTP等VPN方式)
要点:管理用户权限分离敏感标记的设置
要点:审计记录审计报表审计记录的保护
要点:空间释放信息清除
要点:记录、报警、阻断
要点:记录、报警、阻断与网络恶意代码库分离
要点:监控重要服务器最小化服务检测告警
在云计算环境中,除以上必要的保护措施外,还需考虑不同租户存储空间的隔离、对外提供API的访问控制、虚拟资源占用控制以及杀毒风暴的避免等措施
THE BUSENESS PLAN
信息安全等级保护解决方案
等级保护背景介绍发展历程
整体方案保证
f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;
防火墙策略
USG防火墙
g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。
辅助防火墙设备部署QOS策略
USG防火墙、ASG
主机身份鉴别设定+堡垒机辅助
d) 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
加密管理,对服务器的远程管理采用SSH、SSL等加密协议,可由堡垒机辅助实现
主机身份鉴别设定+堡垒机辅助
e) 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
g) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
第一层次基于IP的访问控制,基本防火墙能力
第二层次基于用户身份的访问控制,下一代防火墙支持,配合AAA系统使用
USG防火墙
h) 应限制具有拨号访问权限的用户数量。
拨号接入设备控制(可能包括PPTP等VPN方式)
要点:管理用户权限分离敏感标记的设置
要点:审计记录审计报表审计记录的保护
要点:空间释放信息清除
要点:记录、报警、阻断
要点:记录、报警、阻断与网络恶意代码库分离
要点:监控重要服务器最小化服务检测告警
在云计算环境中,除以上必要的保护措施外,还需考虑不同租户存储空间的隔离、对外提供API的访问控制、虚拟资源占用控制以及杀毒风暴的避免等措施
THE BUSENESS PLAN
信息安全等级保护解决方案
等级保护背景介绍发展历程
新时代-等级保护2.0安全解决方案ppt课件
三.技术和理论创新
按照“一个中心、三重防护”的总体 思路 开展网络安全技术设计
确立了可信计算技术的重要地位, 结合人工智能、密码保护、生物识 别、大数据分 析等高端技术,落实 网络安全管理要求、 技术要求、测 评要求、设计要求等。
8
THE BUSENESS PLAN
等级保护2.0安全保护实践
9
安
全 观 新标准
国家新标准出台并实施。
没有网络安全就没有国家安全 5
新时期国家网络安全等级保护制度的鲜明特点
一.两个全覆盖
一是覆盖各地区、各单位、各部门、 各企 业、各机构,即是覆盖全社会。
二是覆盖所有保护对象,包括网络、 信息 系统、信息,以及云平台、物 联网、工控系 统、大数据、移动互 联等各类新技术应用
《网络安全等级保护测评 要求》
GB/T 28448--2019
4
等级保护进入2.0时代典型标志
新
时 代
网络安全法
《网络安全法》规定“国家实行网络安全 等级保护制度”。标志 了等级保护制度的 法律地位。
的
网
络
新条例
公安部会同中央网信办、国家保密局和国 家密码管理局,联合起草 并上报了《网络安全等级保护条例》(草案)。
上网行为管理
管理区
管理区FW
接入区
接入用 户
接入用 户
接入用 户
运维审计系统 网络管理系统 日志审计系统 漏洞扫描系统 终端安全准 入系统
态势感知 CIS
13
THE BUSENESS PLAN
新等级保护差异变化
14
网络安全等级保护2.0-主要标准
等保 2.0
国家标准GB/T 22239—2008《信息安全技术 信息系统安全等级保护基本要求》在开展信息安全等级保护工作的过程 中起到了非常重要的作用,被广泛应用于各个行业和领域开展信息安全等级保护的建设整改和等级测评等工作,但是随 着信息技术的发展,GB/T 22239—2008在时效性、易用性、可操作性上需要进一步完善。 为了适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下信息安全等级保护工作的开展,需对 GB/T 22239—2008进行修订,修订的思路和方法是针对移动互联、云计算、大数据、物联网和工业控制等新技术、 新应用领域提出扩展的安全要求。
第7讲信息安全等级保护-PPT课件
第二级 审计安全保护
第三级 强制安全保护
第四级 结构化保护
隐蔽通道分析 系统审计 客体重用 可信恢复
第五级 访问验证保护级
强制访问控制 标记 可信路径
隐蔽通道分析
如何理解信息系统的五个安全保护等级
第一级:一般适用于小型私营、个体企业、中小学、乡镇所属信息 系统、县级单位中一般的信息系统。 第二级:一般适用于县级某些单位中的重要信息系统;地市级以上 国家机关、企事业单位内部一般的信息系统,如涉及工作秘密、商 业秘密、敏感信息的办公系统和管理系统等。 第三级:一般适用于地市级以上国家机关、企业、事业单位内部重 要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系 统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指 挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的 分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省 连接的网络系统等。 第四级:一般适用于国家重要领域、重要部门中的特别重要系统以 及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等 重要部门的生产、调度、指挥等涉及国家安全、国计民生的核心系 统。 第五级:一般适用于国家重要领域、重要部门中的极端重要系统。
GB17859-2019 计算机信息系统安全保护等级划分准则
等级保护的技术标准规范
面向评估者技术标准:
《计算机信息系统安全保护等级划分准则》 (GB 17859-2019) 《信息安全技术 信息系统通用安全技术要求》 (GB/T 20271-2019)
《信息安全技术 操作系统安全技术要求》 (GB/T 20272-2019)
9 月 7日
中办国办发 中共中央办公厅 [2019]27号 国务院办公厅
信息安全等级保护与整体解决方案PPT课件
2005年12月,公安部《信息系统安全等级保护实施指 南》、《信息系统安全等级保护定级要求》、《信息 系统安全等级保护基本要求》、《信息系统安全等级 保护测评准则》(GB送审稿陆续出台)
2006年3月开始实施的公安部、国家保密局、国家密码 管理局、国信办四部委(局办)发布7号文 《等级保 护管理办法》
信息安全等级保护与 等级化安全体系解决方案
1
INDEX
网络安全与信息安全 信息安全等级保护 等级化安全体系解决方案
2
网络安全与信息安全
安全定义 安全基本要求 安全技术体系 安全模型
3
安全定义
防止任何对数据进行未授权访问的措施,或者造 成信息有意无意泄漏、破坏、丢失等问题的发生, 让数据处于远离危险、免于威胁的状态或特性。
10
对等级保护的理解
等级保护是我国信息安全领域的一项基本政策
1994年,《中华人民共和国计算机信息系统安全保护条 例》的发布
1999年,《计算机信息系统安全保护等级划分准则》 GB17859-1999发布
2003年,中央办公厅、国务院办公厅转发《国家信息化 领导小组关于加强信息安全保障工作的意见》(中办发 [2003]27号文)
12
对等级保护的理解(续二)
等级保护的核心是将传统的定性设计逐步进化为 定量的安全保障设计
对信息系统实施不同等级的安全保护 对信息系统中使用的安全产品实施分等级管理 对信息系统发生的安全事件分等级响应和处置
13
对等级保护的理解(续三)
等级保护体现了差异化的安全保障思想
由系统使命决定系统的等级,充分考虑业务信息安全性和业 务服务保证性
2004年,四部委(公安部、国家保密局、国家密码管理 局、国信办)联合签发了《关于信息安全等级保护工作 的实施意见 》(公通字[2004]66号文)
2006年3月开始实施的公安部、国家保密局、国家密码 管理局、国信办四部委(局办)发布7号文 《等级保 护管理办法》
信息安全等级保护与 等级化安全体系解决方案
1
INDEX
网络安全与信息安全 信息安全等级保护 等级化安全体系解决方案
2
网络安全与信息安全
安全定义 安全基本要求 安全技术体系 安全模型
3
安全定义
防止任何对数据进行未授权访问的措施,或者造 成信息有意无意泄漏、破坏、丢失等问题的发生, 让数据处于远离危险、免于威胁的状态或特性。
10
对等级保护的理解
等级保护是我国信息安全领域的一项基本政策
1994年,《中华人民共和国计算机信息系统安全保护条 例》的发布
1999年,《计算机信息系统安全保护等级划分准则》 GB17859-1999发布
2003年,中央办公厅、国务院办公厅转发《国家信息化 领导小组关于加强信息安全保障工作的意见》(中办发 [2003]27号文)
12
对等级保护的理解(续二)
等级保护的核心是将传统的定性设计逐步进化为 定量的安全保障设计
对信息系统实施不同等级的安全保护 对信息系统中使用的安全产品实施分等级管理 对信息系统发生的安全事件分等级响应和处置
13
对等级保护的理解(续三)
等级保护体现了差异化的安全保障思想
由系统使命决定系统的等级,充分考虑业务信息安全性和业 务服务保证性
2004年,四部委(公安部、国家保密局、国家密码管理 局、国信办)联合签发了《关于信息安全等级保护工作 的实施意见 》(公通字[2004]66号文)
信息安全等级保护与整体解决方案介绍
Байду номын сангаас
02
信息安全等级保护体系
信息安全等级保护体系框架
01
02
03
组织结构
明确各级组织在信息安全 等级保护体系中的角色和 职责,建立完善的安全管 理责任体系。
安全管理
制定和实施安全管理制度 、流程和策略,确保信息 系统的安全运行。
安全技术
采用先进的安全技术手段 ,如加密、防火墙、入侵 检测等,以保护信息系统 免受攻击和破坏。
《中华人民共和国网络安全法》 明确规定了信息安全等级保护的 责任和义务,对网络运营者、网 络产品和服务提供者等提出了具
体要求。
行政法规
国务院《关于加强网络信息保护 的决定》等行政法规进一步细化 了信息安全等级保护的具体要求
和措施。
地方法规
各省市也相继出台了相关的地方 法规和政策,如《XX省网络安全
管理条例》等。
技术架构特点
我们的技术架构具有以下特点:分层次、模块化、开放性、可扩展性、可定制 性。
解决方案的实施流程
实施流程设计
我们的解决方案实施流程包括项目立项 、需求分析、设计开发、测试验收、上 线运行五个阶段。每个阶段都有明确的 任务和目标,确保项目的顺利进行。
VS
实施流程特点
我们的实施流程具有以下特点:标准化、 可操作性强、易于管理、可控性高。
通过信息安全等级保护实践,大型 企业提高了信息系统的安全性和可 靠性,保障了企业的商业机密和客 户信息的安全,提高了企业的市场 竞争力。
05
总结与展望
总结
信息安全等级保护概述
信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作。它涉及到信息安全的各个方面, 包括数据的保密性、完整性、可用性等。
02
信息安全等级保护体系
信息安全等级保护体系框架
01
02
03
组织结构
明确各级组织在信息安全 等级保护体系中的角色和 职责,建立完善的安全管 理责任体系。
安全管理
制定和实施安全管理制度 、流程和策略,确保信息 系统的安全运行。
安全技术
采用先进的安全技术手段 ,如加密、防火墙、入侵 检测等,以保护信息系统 免受攻击和破坏。
《中华人民共和国网络安全法》 明确规定了信息安全等级保护的 责任和义务,对网络运营者、网 络产品和服务提供者等提出了具
体要求。
行政法规
国务院《关于加强网络信息保护 的决定》等行政法规进一步细化 了信息安全等级保护的具体要求
和措施。
地方法规
各省市也相继出台了相关的地方 法规和政策,如《XX省网络安全
管理条例》等。
技术架构特点
我们的技术架构具有以下特点:分层次、模块化、开放性、可扩展性、可定制 性。
解决方案的实施流程
实施流程设计
我们的解决方案实施流程包括项目立项 、需求分析、设计开发、测试验收、上 线运行五个阶段。每个阶段都有明确的 任务和目标,确保项目的顺利进行。
VS
实施流程特点
我们的实施流程具有以下特点:标准化、 可操作性强、易于管理、可控性高。
通过信息安全等级保护实践,大型 企业提高了信息系统的安全性和可 靠性,保障了企业的商业机密和客 户信息的安全,提高了企业的市场 竞争力。
05
总结与展望
总结
信息安全等级保护概述
信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作。它涉及到信息安全的各个方面, 包括数据的保密性、完整性、可用性等。
信息安全等保培训ppt课件
信息安全等级保护制度介绍
上海市信息安全测评认证中心
1
介绍大纲
1 信息安全等级保护工作概述 2 趋势科技与等级保护合规性
信息安全等级保护制度
信息安全等级保护制度是什么 信息安全等级保护制度要干什么 如何开展信息安全等级保护工作
3
引言
❖ 在当今社会中,信息已成为人类宝贵的资源,并且可以通 过Internet为全球人类所使用与共享。
应安装防恶意代码软件,并及时更新防恶意代 码软件版本和恶意代码库
备注
趋势科技与等级保护合规性
❖ Deep Security
符合要求 主机入侵防范 主机恶意代码防范
符合内容
能够检测到对重要服务器进行入侵的行为,能 够记录入侵的源IP、攻击的类型、攻击的目的 、攻击的时间,并在发生严重入侵事件时提供 报警
符合要求 主机恶意代码防范
符合内容
应安装防恶意代码软件,并及时更新防恶意代 码软件版本和恶意代码库
备注
趋势科技与等级保护合规性
❖ Web 安全网关 IWSA
符合要求 网络结构安全
网络访问控制
符合内容
避免将重要网段部署在网络边界处且直接连接 外部信息系统,重要网段与其他网段之间采取 可靠的技术隔离手段
❖ 主要原则:立足国情,以我为主,坚持管理与技术并重; 正确处理安全与发展的关系,以安全促发展,在发展中求 安全;统筹规划、突出重点,强化基础性工作;明确国家 、企业、个人的责任和义务,充分发挥各方面的积极性, 共同构筑国家信息安全保障体系。
13
等级保护制度
(一)信息安全等级保护制度是什么?
14
什么是信息安全等级保护工作
操作系统通过设置升级服务器等方式保持系统 补丁及时得到更新
上海市信息安全测评认证中心
1
介绍大纲
1 信息安全等级保护工作概述 2 趋势科技与等级保护合规性
信息安全等级保护制度
信息安全等级保护制度是什么 信息安全等级保护制度要干什么 如何开展信息安全等级保护工作
3
引言
❖ 在当今社会中,信息已成为人类宝贵的资源,并且可以通 过Internet为全球人类所使用与共享。
应安装防恶意代码软件,并及时更新防恶意代 码软件版本和恶意代码库
备注
趋势科技与等级保护合规性
❖ Deep Security
符合要求 主机入侵防范 主机恶意代码防范
符合内容
能够检测到对重要服务器进行入侵的行为,能 够记录入侵的源IP、攻击的类型、攻击的目的 、攻击的时间,并在发生严重入侵事件时提供 报警
符合要求 主机恶意代码防范
符合内容
应安装防恶意代码软件,并及时更新防恶意代 码软件版本和恶意代码库
备注
趋势科技与等级保护合规性
❖ Web 安全网关 IWSA
符合要求 网络结构安全
网络访问控制
符合内容
避免将重要网段部署在网络边界处且直接连接 外部信息系统,重要网段与其他网段之间采取 可靠的技术隔离手段
❖ 主要原则:立足国情,以我为主,坚持管理与技术并重; 正确处理安全与发展的关系,以安全促发展,在发展中求 安全;统筹规划、突出重点,强化基础性工作;明确国家 、企业、个人的责任和义务,充分发挥各方面的积极性, 共同构筑国家信息安全保障体系。
13
等级保护制度
(一)信息安全等级保护制度是什么?
14
什么是信息安全等级保护工作
操作系统通过设置升级服务器等方式保持系统 补丁及时得到更新
信息系统等级保护44页PPT
以《需基求本背要求景》中 “ 用 求以中以为网 、《物《政目络数基理基策标、据本依主”,安本机部以据要全要分、《求求部要应设》》 经级计分中分要过保为为管求信护依依理》息 专据据为安安 家方全全 论法等 证部
通过
流程四:等保体系整体架构
安全接入/隔离设备
区域边界
区域边界
通信网络
通信网络
其它定级系统
公通字 [2019]66号
公通字 [2019]43号
公信安 [2019]861 号
颁布机构
国务院
中共中央办公厅 国务院办公厅
公安部 国家保密局 国家密码管理委 员会办公室 (国家密码管理 局) 国务院信息化工 作办公室
内容及意义
第一次提出信息系统要实行 等级保护,并确定了等级保 护的职责单位。
等级保护工作的开展必须分 步骤、分阶段、有计划的实 施。明确了信息安全等级保 护制度的基本内容。
安全管理 中心
安全管理中心
计算环境
网站/应用服务器 交换设备 计算环境
终端 用户
流程五:等保体系部署
通信网络
国家安全
第三级 第四级 第五级
流程二:等保建设立项
信息系统等级保护建设,经过信息系统的运营、管理部 门以及有关政府部门的批准,并列入信息系统运营单位或政 府计划的过程。
一项基本国策,一项基本制度,具有政策的强制性 是办公电子化、业务信息化发展必需的保障手段 用户业务开展的实际需求
流程三:风险评估
信息系统安全等级保护定级指南
GB17859-2019 计算机信息系统安全保护等级划分准则
等级保护的技术标准规范
面向评估者技术标准:
《计算机信息系统安全保护等级划分准则》 (GB 17859-2019) 《信息安全技术 信息系统通用安全技术要求》 (GB/T 20271-2019) 《信息安全技术 操作系统安全技术要求》 (GB/T 20272-2019)
信息安全等级保护政策体系-PPT
第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
(2)《信息系统安全等级保护基本要求》(GB/T22239—2008) 1)主要作用
不同安全保护等级的信息系统有着不同的安全需求,为此,针对不同等级的信息系统提出了相应 的基本安全保护要求,各个级别信息系统的安全保护要求构成了《信息系统安全等级保护基本要求》。 2)主要内容
第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
(2)《信息系统安全等级保护基本要求》
(GB/T22239—2008) 2)主要内容 保护要求的分级方法
网络恶意代码防 范、剩余信息保 护、抗抵赖
安全保护能力逐级增高,相应的安全保护
要求和措施逐级增强
监控管理和安全 管理中心
信息保密与信息安全
保密、常识、技术、意识教育
政策体系和标准体系
第2部分
信息安全等级保护政策体系和标准体系
1.信息安全等级保护政策体系
(1)总体方面的政策文件 《关于信息安全等级保护工作的实施意见》(公通字 [2004]66 号) 《信息安全等级保护管理办法》(公通字 [2007]43 号) (2)具体环节的政策文件 对应等级保护工作的具体环节(信息系统定级、备案、 安全建设整改、等级测评、安全检查),公安部出台了 相应的政策规范。
第2部分
信息安全等级保护政策体系和标准体系
2.信息安全等级保护标准体系
他类标准 1)风险评估 《信息安全风险评估规范》(GB/T 20984—2007)。 2)事件管理 《信息安全事件管理指南》(GB/Z 20985—2007); 《信息安全事件分类分级指南》(GB/Z 20986—2007); 《信息系统灾难恢复规范》(GB/T 20988—2007)。