等级保护基本要求培训(第十二期)
信息安全技术-网络安全等级保护基本要求(表格版)
第一级 /
a) 机房出入口应安排专人值守或 物理访问 配置电子门禁系统,控制、鉴别 控制 和记录进入的人员 a) 应将机房设备或主要部件进行 防盗窃和 固定,并设置明显的不易除去的 防破坏 标记 a) 应将各类机柜、设施和设备等 通过接地系统安全接地
防雷击
资源控制
/
数据完整 a) 应采用校验码技术保证重要数 性 据在传输过程中的完整性
数据保密 性
/
数据备份 a) 应提供重要数据的本地数据备 恢复 份与恢复功能
剩余信息 保护 个人信息 保护 二、管理要求 基本要求 安全策略
/ /
第一级 /
管理制度 安全策略和管 理制度
a) 应建立日常管理活动中常用的 安全管理制度
产品采购 a) 应确保信息安全产品采购和使 和使用 用符合国家的有关规定
自行软件 开发
/
安全建设管理
外包软件 开发
/
工程实施
a) 应指定或授权专门的部门或人 员负责工程实施过程的管理
工程实施
a) 应指定或授权专门的部门或人 员负责工程实施过程的管理
测试验收 a) 应进行安全性测试验收 a) 应根据交付清单对所交接的设 备、软件和文档等进行清点; b) 应对负责运行维护的技术人员 系统交付 进行相应的技能培训
b) ;
b) ;
c) 当进行远程管理时,应采取必要措施,防止鉴 c) ; 别信息在网络传输过程中被窃听。 d) 应采用两种或两种以上组合的鉴别技术 对用户进行身份鉴别。 a) ; b) ; c) ; a) ; b) ; c) ;
管理制度 安全策略和管 理制度 制定和发 布 评审和修 订
a) 应建立日常管理活动中常用的 安全管理制度
等级保护基本要求培训(第十二期)
等级保护的背景与发展
背景
随着信息技术的发展,信息安全问题日益突出,为应对这一挑战,我国政府制 定了一系列的信息安全法律法规和标准,等级保护制度就是其中之一。
发展
等级保护制度经历了从初步建立到逐步完善的过程,目前已经成为我国信息安 全保障的基本制度。
等级保护的基本原则
分级管理
对不同等级的信息和信 息系统实行不同的管理
安全物理环境问题
缺乏对物理访问的严格控制,可能导 致未经授权的人员进入关键区域。
安全通信网络问题与解决方案
总结词
安全通信网络问题主要涉及网络安全设备和通信保密。
安全通信网络问题
网络设备可能存在安全漏洞,通信过程中信息可能被窃取或篡改。
安全通信网络解决方案
及时更新网络设备的安全补丁,使用加密技术确保通信保密。
应用边界等。
网络边界应采取必要的安全防护 措施,如防火墙、入侵检测系统 等,以防止未经授权的访问和攻
击。
应用边界应采取身份认证和访问 控制措施,防止非法用户和恶意
软件的入侵。
安全计算环境
01
安全计算环境是保障信 息系统安全的核心,包 括操作系统、数据库、 应用程序等。
02
操作系统应采取必要的 安全配置和管理措施, 如账户管理、权限控制 等。
温湿度应控制在适宜范围内,并定期进 行环境清洁和消毒。
供电应采用专线专用,并配置防雷击和 浪涌保护器。
场地应选择具备良好电磁屏蔽和抗干扰 能力的区域,并采取物理访问控制和监 控措施。
机房应满足防水、防潮、防雷、防震等 要求,配备UPS电源和消防报警系统。
安全通信网络
01
02
03
04
安全通信网络是保障信息系统 安全运行的关键,包括内网、
《等级保护培训》课件
等保工作的法律法规要求
网络安全法
网络安全法是我国关于网络安 全的基本法律,对等保工作的 法律责任和义务进行了明确规 定。
相关政策和标准
国家制定了一系列相关政策和 标准,如《信息安全等级保护 管理办法》等,用于指导和推 动等保工作。
行业规范和标准
各行各业也发布了一些行业规 范和标准,用于指导该行业的 等保工作。
熟悉国家相关护基础
等级保护定义
等级保护指基于网络安全等级划分,对信息系 统进行的防护和管理。
等级划分原则
根据信息系统的安全需求和重要程度进行分类 划分。
等级保护目的
确保信息系统的稳定运行,防止信息泄露、丢 失和被破坏。
评估与认证
对等级保护措施进行定期评估和认证,确保其 有效性。
通过加密数据和通信传输,保护 敏感信息不被非法获取。
多因素认证
采用多个身份验证步骤,提高用 户身份识别的安全性。
等级保护组织和管理
等级保护责任人 等级保护管理员 等级评估人员
负责制定和实施等级保护策略,并组织相关培训 和评估。
负责监督和管理信息系统的等级保护工作,确保 措施得到有效执行。
负责对信息系统进行等级评估和认证,确保安全 等级达到要求。
《等级保护培训》PPT课 件
现在,我们一起来探索《等级保护培训》吧!这个课件将帮助您了解等级保 护的基础知识和相关的法律法规要求,以及网络安全风险管理和防范措施。
课程目标
1 全面认识等级保护
了解等级保护的定义、目的和重要性。
2 掌握等保基础知识
学习等级保护的基本概念、等级划分和评估要求。
3 了解等保法律要求
网络安全风险管理
1
风险控制
2
采取适当的安全策略和措施,降低网络
信息系统安全等级保护基本要求培训教材
【最新资料,WORD文档,可编辑修改】目录1概述..............................................1.1背景介绍 ...................................................1.2主要作用及特点 .............................................1.3与其他标准的关系 ...........................................1.4框架结构 ...................................................2描述模型 .......................................................2.1总体描述 ...................................................2.2保护对象 ...................................................2.3安全保护能力 ...............................................2.4安全要求 ...................................................3逐级增强的特点..................................................3.1增强原则 ...................................................3.2总体描述 ...................................................3.3控制点增加 .................................................3.4要求项增加 .................................................3.5控制强度增强 ...............................................4各级安全要求....................................................4.1技术要求 ...................................................4.1.1物理安全..............................................4.1.2网络安全..............................................4.1.3主机安全..............................................4.1.4应用安全..............................................4.1.5数据安全及备份恢复....................................4.2管理要求 ...................................................4.2.1安全管理制度..........................................4.2.2安全管理机构..........................................4.2.3人员安全管理..........................................4.2.4系统建设管理..........................................4.2.5系统运维管理..........................................本教材根据《信息系统安全等级保护管理办法》公通字[2007]43号和《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号文件,围绕信息安全等级工作,介绍信息系统安全建设和改造过程中使用的主要标准之一《信息系统安全等级保护基本要求》(以下简称《基本要求》),描述《基本要求》的技术要求分级思路、逐级增强特点以及具体各级安全要求。
《信息系统安全等级保护基本要求》培训教材
《信息系统安全等级保护基本要求》培训教材本教材围绕标准《信息系统安全等级保护基本要求》(以下简称《基本要求》),介绍其描述模型、逐级增强特点以及具体各级安全要求。
通过培训,使得用户能够了解《基本要求》的基本思路和主要内容,正确选择合适的安全要求进行信息系统保护。
1概述1.1背景介绍2004年,66号文件中指出“信息安全等级保护工作是个庞大的系统工程,关系到国家信息化建设的方方面面,这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施,信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。
”信息安全等级保护工作第一阶段为准备阶段,准备阶段中重要工作之一是“加快制定、完善管理规范和技术标准体系”。
依据此要求,《基本要求》列入了首批需完成的6个标准之一。
1.2主要作用及特点1.主要作用《基本要求》对等级保护工作中的安全控制选择、调整、实施等提出规范性要求,根据使用对象不同,其主要作用分为三种:a)为信息系统建设单位和运营、使用单位提供技术指导在信息系统的安全保护等级确定后,《基本要求》为信息系统的建设单位和运营、使用单位如何对特定等级的信息系统进行保护提供技术指导。
b)为评估机构提供评估依据《基本要求》为信息系统主管部门,信息系统运营、使用单位或专门的安全评估机构对信息系统安全保护等级的检测评估提供依据。
c)为职能监管部门提供监督检查依据《基本要求》为监管部门的监督检查提供依据,用于判断一个特定等级的信息系统是否按照国家要求进行了基本的保护。
2.主要特点《基本要求》是针对每个等级的信息系统提出相应安全保护要求,“基本”意味着这些要求是针对该等级的信息系统达到基本保护能力而提出的,也就是说,这些要求的实现能够保证系统达到相应等级的基本保护能力,但反过来说,系统达到相应等级的保护能力并不仅仅完全依靠这些安全保护要求。
同时,《基本要求》强调的是“要求”,而不是具体实施方案或作业指导书,《基本要求》给出了系统每一保护方面需达到的要求,至于这种要求采取何种方式实现,不在《基本要求》的描述范围内。
等级保护定级指南(第十二期)讲解
新建信息系统等级保护实施流程
定级
建设
不通过
测评
结果分 析
系统备 案
定期检 查
已建信息系统等级保护实施流程
定级
系统备 案
不通过
整改
测评
结果分 析
结果确 认
定期检 查
等级保护定级思路
不同信息系统 重要程度不同 应对不同威胁的能力 具有不同的安全保护能力 不同的等级保护等级
等级保护定级怎么做
等级保护重要标准
行业等级保护定级
三级信息系统:适用于地市级以上国家机关、企业 、事业单位内部重要的信息系统;重要领域、重 要部门跨省、跨市或全国(省)联网运行的信息 系统;跨省或全国联网运行重要信息系统在省、 地市的分支系统;各部委官方网站;跨省(市) 联接的信息网络等。
四级信息系统:适用于重要领域、重要部门信息系 统中的部分重要系统。例如全国铁路、民航、电 力等调度系统,银行、证券、保险、税务、海关 等部门中的核心系统。
• 广东电网某供电局无人值守终端向互联网 扫描 导致GDCERT告警
• 广州市政府机关网络信息中心UPS电池火 灾 瘫痪72小时
• 广州市某区教育局门户网站域名过期抢注 变色情网站
• 广州市破获省人事厅网站被入侵案,带破 福建省建设信息网等10多起黑客入侵案件 。
为什么要首先进行定级?
等级保护实施流程
等级与侵害客体、侵害程度关系
等级 第一级
第二级
对象 一般系统
第三级 第四级
重要系统
极端重要系
第五级
统
侵害客体 公民、法人合法利益
侵害程度 一般损害
公民、法人合法权益 严重损害
社会秩序和公共利益 一般损害
等级保护基本要求培训(第十二期)
能力成熟度模型CMM
各级系统的保护要求差异(宏观)
一级系统
计划和跟踪(主要制度)
二级系统
计划和跟踪(主要制度)
三级系统
良好定义(管理活动制度化)
四级系统
持续改进(管理活动制度化/及时改进)
各级系统的保护要求差异(微观)
技术要求
某级系统 基本要求
管理要求
物网主应数 理络机用据 安安安安安 全全全全全
各级系统的保护要求差异(宏观)
安全保护模型IATF
成功的完成业务 信息保障
操作
人 技术
防御网络与 基础设施
防御 飞地 边界
防御 计算 环境
支撑 性基 础设 施
各级系统的保护要求差异(宏观)
一级系统 二级系统 三级系统 四级系统
通信/边界(基本) 通信/边界/内部(关键设备) 通信/边界/内部(主要设备) 通信/边界/内部/基础设施(所有设备)
不同级别的安全保护能力要求
第一级 第二级 第三级 第四级
人员威胁 个人 小型组织
外部组织 或内部人 员 国家级别
自然威胁 一般自然 灾害 一般自然 灾害
较为严重 灾害
严重灾害
损害对象 关键资源 重要资源
主要资源
所有资源
恢复能力 部分恢复
一段时间 内部分恢 复
较快恢复 绝大部分
迅速恢复 所有
发现能力
具有某级安全保护能力的系统
各级系统的保护要求差异(宏观)
• 安全保护模型PPDRR
Protection防护
Recovery
恢复
Policy 策略
Detection
检测
Response 响应
各级系统的保护要求差异(宏观)
等级保护培训
CPCS3
三级系统测评 服务
每个三 级系统
21-50台设备 50台以上设备
CPCS2
二级系统测评 服务
按照国家等级保护二级测评标准进行文档审核与 现场测评,出具测评报告
1-20台设备 每个二 级系统 21-50台设备 50台以上设备
¨等级保护整体服务包 三级系统整体 服务 提供等级保护三级整体服务,包含三级评估服务, 三级管理整改服务,设备安全加固服务和三级测 每个三 评服务,并最终出具测评报告。客户另外进行产 级系统 品采购和集成后,即可以完成等级保护全过程。 提供等级保护二级整体服务,包含二级评估服务, 二级管理整改服务,设备安全加固服务和二级测 每个二 评服务,并最终出具测评报告。客户另外进行产 级系统 品采购和集成后,即可以完成等级保护全过程。 1-20台设备 21-50台设备 50台以上设备 1-20台设备 21-50台设备 50台以上设备 XXXX XXXX XXXX XXXX XXXX XXXX
等级保护安全培训
2014年6月
议题
什么是等级保护? 谁是等级保护的目标客户? 谁主管等级保护事宜? 等级保护项目我们能做什么? 等级保护相关标准、政策
等级保护的含义
官方说法:信息安全等级保护是指对国家秘密信息、法人和其他组织及 公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统 分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管 理,对信息系统中发生的信息安全事件分等级响应、处置。 一句话:系统重要程度有多高,安全保护就应当有多强,既不能保护不 足,也不能过渡保护。 要点:平衡安全与成本
CPAS3
CPAS2
21-50台设备
50台以上设备
XXXX
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• GB/T 20273ቤተ መጻሕፍቲ ባይዱ2006 数据库管理系统安全技术要求
• GB/T 20275—2006 入侵检测系统技术要求和测试评价方法
• GB/T 20278—2006 网络脆弱性扫描产品技术要求
• GB/T 20279—2006 网络和终端设备隔离部件安全技术要求
• GB/T 20281—2006 防火墙技术要求和测试评价方法
等级保护基本要求培训(第十二期)
等级保护相关标准
• GA/T 708-2007 信息系统安全等级保护体系框架
• GA/T 709-2007 信息系统安全等级保护基本模型
• GA/T 710-2007 信息系统安全等级保护基本配置
• GA/T 711-2007 应用软件系统安全等级保护通用技术指南
• GA/T 712-2007 应用软件系统安全等级保护通用测试指南
等级保护基本要求培训(第十二期)
不同级别的安全保护能力要求
• 第三级安全保护能力
– 应能够在统一安全策略下防护系统免受来自外部有组织的团体 (如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包 括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重 的自然灾难(灾难发生的强度较大、持续时间较长、覆盖范围较 广等)以及其他相当危害程度的威胁(内部人员的恶意威胁、无 意失误、较严重的技术故障等)所造成的主要资源损害,能够发 现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大 部分功能。
安全保护和系统定级的关系
安全等级
信息系统保护要求的组合
第一级 S1A1G1
第二级 S1A2G2,S2A2G2,S2A1G2
第三级 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3
第四级 S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4, S4A2G4,S4A1G4
• 是系统安全保护、等级测评的一个基本“标尺”, 同样级别的系统使用统一的“标尺”来衡量,保 证权威性,是一个达标线;
• 每个级别的信息系统按照基本要求进行保护后, 信息系统具有相应等级的基本安全保护能力,达 到一种基本的安全状态;
• 是每个级别信息系统进行安全保护工作的一个基 本出发点,更加贴切的保护可以通过需求分析对 基本要求进行补充,参考其他有关等级保护或安 全方面的标准来实现;
• GB/T 21053—2007 公钥基础设施 PKI系统安全等级保护技术要求
• GB/Z 20985—2007 信息安全事件管理指南 YD/T
• GB/Z 20986—2007 信息安全事件分类分级指南
等级保护基本要求培训(第十二期)
定级流程
S
A
G=MAX(S,A)
等级保护基本要求培训(第十二期)
• GA/T 713-2007 信息系统安全管理测评
• GB/T 18018—2007 路由器安全技术要求
• GB/T 20269—2006 信息系统安全管理要求
• GB/T 20270—2006 网络基础安全技术要求
• GB/T 20271—2006 信息系统安全通用技术要求
• GB/T 20272—2006 操作系统安全技术要求
• GB/T 20282—2006 信息系统安全工程管理要求
• GB/T 20979—2007 虹膜识别系统技术要求
• GB/T 20984—2007 信息安全风险评估规范
• GB/T 20988—2007 信息系统灾难恢复规范
• GB/T 21028—2007 服务器安全技术要求
• GB/T 21052—2007 信息系统物理安全技术要求
等级保护基本要求培训( 第十二期)
2020/11/29
等级保护基本要求培训(第十二期)
目录
• 等级保护知识回顾 • 使用时机和主要作用 • 基本要求主要思想 • 各级系统保护的主要内容
等级保护基本要求培训(第十二期)
等级保护等级
等级保护基本要求培训(第十二期)
等级保护基本要求培训(第十二期)
等级保护重要标准
源损害,在系统遭到损害后,能够恢复部分功能。 • 第二级安全保护能力
– 应能够防护系统免受来自外部小型组织的(如自发的三两人 组成的黑客组织)、拥有少量资源(如个别人员能力、公开 可获或特定开发的工具等)的威胁源发起的恶意攻击、一般 的自然灾难(灾难发生的强度一般、持续时间短、覆盖范围 小等)以及其他相当危害程度的威胁(无意失误、技术故障 等)所造成的重要资源损害,能够发现重要的安全漏洞和安 全事件,在系统遭到损害后,能够在一段时间内恢复部分功 能。
• GB 17859-1999 计算机信息系统 安全保护等级划分准则 • GB/T 22239—2008 信息系统安全等级保护基本要求 • GB/T 22240—2008 信息系统安全等级保护定级指南 • 信息系统安全等级保护测评过程指南(国标报批稿) • 信息系统安全等级保护测评要求(国标报批稿) • GB/T 25058-2010信息系统安全等级保护实施指南 • GB/T 25070-2010信息系统等级保护安全设计技术要求
等级保护基本要求培训(第十二期)
使用时机和主要作用
等级保护基本要求培训(第十二期)
等级保护基本要求作用
等级保护基本要求培训(第十二期)
技术标准和管理规范的作用
信息系统定级 信息系统安全建设或改建
技术标准和管理规范 安全状况达到等级保护要求的信息系统
等级保护基本要求培训(第十二期)
《基本要求》的定位
等等
等级保护基本要求培训(第十二期)
基本要求主要思想
等级保护基本要求培训(第十二期)
《基本要求》基本思路
等级保护基本要求培训(第十二期)
不同级别的安全保护能力要求
• 第一级安全保护能力
– 应能够防护系统免受来自个人的、拥有很少资源(如利用公 开可获取的工具等)的威胁源发起的恶意攻击、一般的自然 灾难(灾难发生的强度弱、持续时间很短等)以及其他相当 危害程度的威胁(无意失误、技术故障等)所造成的关键资
等级保护基本要求培训(第十二期)
等级保护基本要求效果
等保三级
等保二级
等级保护基本要求培训(第十二期)
《基本要求》的定位
基本要求
保护 某级信息系统
基本保护
特殊需求 补充措施
精基确本保保护护
测评 基本要求
补充的安全措施
GB17859-1999 通用技术要求 安全管理要求 高级别的基本要求 等级保护其他标准 安全方面相关标准