信息安全之等保三级综述ppt
合集下载
等级保护2.0 三级 概述
等级保护2.0 三级概述等级保护2.0(等保2.0)是我国信息安全保障的基本制度,其三级标准是在法律法规的基础上,对信息系统安全、物理和环境安全、网络通信安全、设备和计算安全、应用和数据安全、安全管理、评估与审计、应急响应等方面提出的具体要求。
1. 法律法规基础:等保2.0三级依据国家法律法规和标准,对信息系统的合规性进行严格要求,确保信息系统符合法律法规的要求。
2. 信息系统安全:等保2.0三级对信息系统的安全性提出更高要求,包括信息的保密性、完整性和可用性等。
3. 物理和环境安全:等保2.0三级强调物理和环境安全,对物理访问控制、物理安全监测等提出具体要求。
4. 网络通信安全:等保2.0三级在网络通信安全方面要求建立完善的网络安全体系,包括网络隔离、入侵检测、漏洞扫描等。
5. 设备和计算安全:等保2.0三级对设备和计算安全提出要求,包括防病毒、身份认证、访问控制等。
6. 应用和数据安全:等保2.0三级要求应用和数据安全得到保障,包括数据加密、数据备份等。
7. 安全管理:等保2.0三级强调安全管理,要求建立完善的安全管理体系,包括安全组织、安全策略、安全制度等。
8. 评估与审计:等保2.0三级要求对信息系统进行定期的评估和审计,确保信息系统的安全性。
9. 应急响应:等保2.0三级要求建立完善的应急响应机制,包括应急预案、应急演练等。
10. 技术要求符合性验证:等保2.0三级还要求对各项安全技术要求进行符合性验证,确保各项安全措施的有效性。
11. 人员安全:等保2.0三级强调人员安全的重要性,包括对员工的安全培训、岗位管理以及权限管理等方面提出了具体要求。
12. 供应链安全:等保2.0三级要求对供应链安全进行管理,包括对供应商的评估、管理以及控制等方面提出了具体要求。
通过满足等级保护2.0三级的要求,组织可以有效地提高信息系统的安全防护能力,减少安全风险,保障业务的正常运行。
信息安全之等保三级综述
PPT文档演模板
•7
信息安全之等保三级综述
等级保护标准系列的逻辑关系
•等级保护
•实施指南
•划分准则
•定级指南
•基本要求
•技术设计要求
•测评要求 •测评过程指南
•GB/T 20269 安全管理 •GB/T 20282 安全工程管理 •GB/T 20270 网络基础 •GB/T 20271 通用安全技术 •GB/T 20272 操作系统 •GB/T 20273 数据库 •GB/T 20984 风险评估
•公共服务区
•E-mail •www •App.
•Internet
•公共通信网
•部 •门
•公共服务区
•对
•外
•应
•用
•入侵检测
•市级机关
•部
•门
•内
•部
•应
•用
•业
•SEC
•务
•理
•安全管理监控区 信息安全之等保三级综••用户述
•Internet
•基于信息流的风险识别、控制方法
基于信息流的资源分布模型研究 九大区域 分层
•1、确定定级对象(系统边界)
•等级确定
•2、确定业务信息安全受到破坏 时所侵害的客体
•5、确定系统服务安全受到破坏 时所侵害的客体
•3、综合评定对客体的侵害程 度
•4、业务信息安全等级
•6、综合评定对客体的侵害程 度
•7、系统服务安全等级
保护对象受到破坏时受侵害的客体
公民、法人和其他组织的合法权益 社会秩序、公共利益 国家安全
l 其他类
Ø GB/T 20984-2007 信息安全技术 信息安全风险评估规范 Ø GB/T 20285-2007 信息安全技术 信息安全事件管理指南 Ø GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南 Ø GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范
安全等保第三级基本要求培训课件
安全等保第三级基本要求培训课件预览说明:预览图片所展示的格式为文档的源格式展示,下载源文件没有水印,内容可编辑和复制信息安全技术信息系统安全等级保护基本要求Information security technology-Baseline for classified protection of information system1 第三级基本要求1.1 技术要求1.1.1 物理安全1.1.1.1 物理位置的选择(G3)本项要求包括:a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
1.1.1.2 物理访问控制(G3)本项要求包括:a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员;b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;c)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;d)重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
1.1.1.3 防盗窃和防破坏(G3)本项要求包括:a)应将主要设备放置在机房内;b)应将设备或主要部件进行固定,并设置明显的不易除去的标记;c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;d)应对介质分类标识,存储在介质库或档案室中;e)应利用光、电等技术设置机房防盗报警系统;f)应对机房设置监控报警系统。
1.1.1.4 防雷击(G3)本项要求包括:a)机房建筑应设置避雷装置;b)应设置防雷保安器,防止感应雷;c)机房应设置交流电源地线。
1.1.1.5 防火(G3)本项要求包括:a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;c)机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
1.1.1.6 防水和防潮(G3)本项要求包括:a)水管安装,不得穿过机房屋顶和活动地板下;b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;d)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
信息安全等保培训ppt课件
信息安全等级保护制度介绍
上海市信息安全测评认证中心
1
介绍大纲
1 信息安全等级保护工作概述 2 趋势科技与等级保护合规性
信息安全等级保护制度
信息安全等级保护制度是什么 信息安全等级保护制度要干什么 如何开展信息安全等级保护工作
3
引言
❖ 在当今社会中,信息已成为人类宝贵的资源,并且可以通 过Internet为全球人类所使用与共享。
应安装防恶意代码软件,并及时更新防恶意代 码软件版本和恶意代码库
备注
趋势科技与等级保护合规性
❖ Deep Security
符合要求 主机入侵防范 主机恶意代码防范
符合内容
能够检测到对重要服务器进行入侵的行为,能 够记录入侵的源IP、攻击的类型、攻击的目的 、攻击的时间,并在发生严重入侵事件时提供 报警
符合要求 主机恶意代码防范
符合内容
应安装防恶意代码软件,并及时更新防恶意代 码软件版本和恶意代码库
备注
趋势科技与等级保护合规性
❖ Web 安全网关 IWSA
符合要求 网络结构安全
网络访问控制
符合内容
避免将重要网段部署在网络边界处且直接连接 外部信息系统,重要网段与其他网段之间采取 可靠的技术隔离手段
❖ 主要原则:立足国情,以我为主,坚持管理与技术并重; 正确处理安全与发展的关系,以安全促发展,在发展中求 安全;统筹规划、突出重点,强化基础性工作;明确国家 、企业、个人的责任和义务,充分发挥各方面的积极性, 共同构筑国家信息安全保障体系。
13
等级保护制度
(一)信息安全等级保护制度是什么?
14
什么是信息安全等级保护工作
操作系统通过设置升级服务器等方式保持系统 补丁及时得到更新
上海市信息安全测评认证中心
1
介绍大纲
1 信息安全等级保护工作概述 2 趋势科技与等级保护合规性
信息安全等级保护制度
信息安全等级保护制度是什么 信息安全等级保护制度要干什么 如何开展信息安全等级保护工作
3
引言
❖ 在当今社会中,信息已成为人类宝贵的资源,并且可以通 过Internet为全球人类所使用与共享。
应安装防恶意代码软件,并及时更新防恶意代 码软件版本和恶意代码库
备注
趋势科技与等级保护合规性
❖ Deep Security
符合要求 主机入侵防范 主机恶意代码防范
符合内容
能够检测到对重要服务器进行入侵的行为,能 够记录入侵的源IP、攻击的类型、攻击的目的 、攻击的时间,并在发生严重入侵事件时提供 报警
符合要求 主机恶意代码防范
符合内容
应安装防恶意代码软件,并及时更新防恶意代 码软件版本和恶意代码库
备注
趋势科技与等级保护合规性
❖ Web 安全网关 IWSA
符合要求 网络结构安全
网络访问控制
符合内容
避免将重要网段部署在网络边界处且直接连接 外部信息系统,重要网段与其他网段之间采取 可靠的技术隔离手段
❖ 主要原则:立足国情,以我为主,坚持管理与技术并重; 正确处理安全与发展的关系,以安全促发展,在发展中求 安全;统筹规划、突出重点,强化基础性工作;明确国家 、企业、个人的责任和义务,充分发挥各方面的积极性, 共同构筑国家信息安全保障体系。
13
等级保护制度
(一)信息安全等级保护制度是什么?
14
什么是信息安全等级保护工作
操作系统通过设置升级服务器等方式保持系统 补丁及时得到更新
信息系统等级保护44页PPT
以《需基求本背要求景》中 “ 用 求以中以为网 、《物《政目络数基理基策标、据本依主”,安本机部以据要全要分、《求求部要应设》》 经级计分中分要过保为为管求信护依依理》息 专据据为安安 家方全全 论法等 证部
通过
流程四:等保体系整体架构
安全接入/隔离设备
区域边界
区域边界
通信网络
通信网络
其它定级系统
公通字 [2019]66号
公通字 [2019]43号
公信安 [2019]861 号
颁布机构
国务院
中共中央办公厅 国务院办公厅
公安部 国家保密局 国家密码管理委 员会办公室 (国家密码管理 局) 国务院信息化工 作办公室
内容及意义
第一次提出信息系统要实行 等级保护,并确定了等级保 护的职责单位。
等级保护工作的开展必须分 步骤、分阶段、有计划的实 施。明确了信息安全等级保 护制度的基本内容。
安全管理 中心
安全管理中心
计算环境
网站/应用服务器 交换设备 计算环境
终端 用户
流程五:等保体系部署
通信网络
国家安全
第三级 第四级 第五级
流程二:等保建设立项
信息系统等级保护建设,经过信息系统的运营、管理部 门以及有关政府部门的批准,并列入信息系统运营单位或政 府计划的过程。
一项基本国策,一项基本制度,具有政策的强制性 是办公电子化、业务信息化发展必需的保障手段 用户业务开展的实际需求
流程三:风险评估
信息系统安全等级保护定级指南
GB17859-2019 计算机信息系统安全保护等级划分准则
等级保护的技术标准规范
面向评估者技术标准:
《计算机信息系统安全保护等级划分准则》 (GB 17859-2019) 《信息安全技术 信息系统通用安全技术要求》 (GB/T 20271-2019) 《信息安全技术 操作系统安全技术要求》 (GB/T 20272-2019)
信息安全等级保护标准体系概述(ppt共96张)
等级保护标准体系
多年来,在有关部门支持下,在国内 有关专家、企业的共同努力下,全国信息安全标 准化技术委员会和公安部信息系统安全标准化技 术委员会组织制订了信息安全等级保护工作需要 的一系列标准,形成了比较完整的信息安全等级 保护标准体系。汇集成《信息安全等级保护标准 汇编》供有关单位、部门使用。
信息安全等级保护标准体系概述(PPT9 6页)
等级保护标准体系
• 从等级保护生命周期看
• 通用/基础标准 • 系统定级用标准 • 安全建设用标准 • 等级测评用标准 • 运行维护用标准等
信息安全等级保护标准体系概述(PPT9 6页)
信息安全等级保护标准体系概述(PPT9 6页)
等级保护主要工作
一是:定级备案 二是:建设整改 三是:等级测评 四是:监督检查
标准定位和关系
• 管理办法(43文件)(总要求) • 实施指南(GB/T25058-2010) • 定级指南(GB/T22240-2008) • 基本要求(GB/T22239-2008) • 测评要求 • 建设指南
信息安全等级保护标准体系概述(PPT9 6页)
信息安全等级保护标准体系概述(PPT9 6页)
信息安全等级保护标准体系概述(PPT9 6页)
信息安全等级保护标准体系概述(PPT9 6页)
等级保护工作中用到的主要标准
(一)基础 1、《计算机信息系统安全保护等级划分准则》GB17859-1999 2、《信息系统安全等级保护实施指南》GB/T 25058-2010 (二)系统定级环节 3、《信息系统安全保护等级定级指南》GB/T22240-2008 (三)建设整改环节 4、《信息系统安全等级保护基本要求》GB/T22239-2008 (四)等级测评环节 5、《信息系统安全等级保护测评要求》(国标报批稿) 6、《信息系统安全等级保护测评过程指南》(国标报批稿)
等保三级基本要求设计方案PPT课件
自动退出等措施
92
d. 当对服务器进行远程管理时,应 采取必要措施,防止鉴别信息在网
络传输过程中被窃听
93
e. 应为操作系统和数据库的不同用 户分配不同的用户名,确保用户名
具有唯一性
94
f. 应采取两种或两种以上组合的鉴别 技术对管理用户进行身份鉴别
95பைடு நூலகம்
3.2 访问控制(S3)
96
a. 应启用访问控制功能,依据安全 策略控制用户对资源的访问
进行审计
143
b. 应保证无法单独中断审计进程, 无法删除、修改或覆盖审计记录
144
c. 审计记录的内容至少应包括事件 日期、时间、发起者信息、类型、
描述和结果等
145
d. 应提供对审计记录数据进行统计、 查询、分析及生成审计报表的功能
146
4.4 剩余信息保护(S3)
147
a. 应保证用户鉴别信息所在的存储 空间被释放或再分配给其他用户前 得到完全消除,无论这些信息是存
报警
75
2.6 恶意代码防范(G3)
76
a. 应在网络边界处对恶意代码进行 检测和清除
77
b. 应维护恶意代码库的升级和检测 系统的更新
78
2.7 网络设备防护(G3)
79
a. 应对登录网络设备的用户进行身 份鉴别
80
b. 应对网络设备的管理员登录地址 进行限制
81
c. 网络设备用户的标识应唯一
码库
119
b. 主机防恶意代码产品应具有与网 络防恶意代码产品不同的恶意代码
库
120
c. 应支持防恶意代码软件的统一管 理
121
3.7 资源控制(A3)
92
d. 当对服务器进行远程管理时,应 采取必要措施,防止鉴别信息在网
络传输过程中被窃听
93
e. 应为操作系统和数据库的不同用 户分配不同的用户名,确保用户名
具有唯一性
94
f. 应采取两种或两种以上组合的鉴别 技术对管理用户进行身份鉴别
95பைடு நூலகம்
3.2 访问控制(S3)
96
a. 应启用访问控制功能,依据安全 策略控制用户对资源的访问
进行审计
143
b. 应保证无法单独中断审计进程, 无法删除、修改或覆盖审计记录
144
c. 审计记录的内容至少应包括事件 日期、时间、发起者信息、类型、
描述和结果等
145
d. 应提供对审计记录数据进行统计、 查询、分析及生成审计报表的功能
146
4.4 剩余信息保护(S3)
147
a. 应保证用户鉴别信息所在的存储 空间被释放或再分配给其他用户前 得到完全消除,无论这些信息是存
报警
75
2.6 恶意代码防范(G3)
76
a. 应在网络边界处对恶意代码进行 检测和清除
77
b. 应维护恶意代码库的升级和检测 系统的更新
78
2.7 网络设备防护(G3)
79
a. 应对登录网络设备的用户进行身 份鉴别
80
b. 应对网络设备的管理员登录地址 进行限制
81
c. 网络设备用户的标识应唯一
码库
119
b. 主机防恶意代码产品应具有与网 络防恶意代码产品不同的恶意代码
库
120
c. 应支持防恶意代码软件的统一管 理
121
3.7 资源控制(A3)
等级保护PPT课件
.
17
基本概念
• 访问控制机制
– 自主访问控制(Discretionary Access Control)
• 如果作为客体的拥有者的个人用户可以设置访问控 制属性来许可或拒绝对客体的访问,那么这样的机 制就称为自主访问控制。
• 例:一个小孩有本笔记。她允许妈妈读,但其他人 不可以读。
• 访问控制取决于拥有者. 的判断力。
TCB
安全域
TCB安全功能 (TSF)
TCB安全策略 (TSP)
TCB安全功能 (TSF)
TCB安全策略 (TSP)
.
26
基本概念
• 可信计算基(trusted computing base)
– 高安全级别操作系统中TCB的设计原则
• TCB独立于系统的其他部分 • TCB不含有和安全无关的内容 • 具有引用监视器的特性
.
5
等级保护与分级保护的关系
• 涉密信息系统分级保护保护的对象是所有涉及国 家秘密的信息系统,重点是:
– 党政机关 – 军队和军工单位,
• 由各级保密工作部门根据涉密信息系统的保护等 级实施监督管理,确保系统和信息安全,确保国 家秘密不被泄漏
.
6
等级保护与分级保护的关系
• 国家信息安全等级保护是国家从整体上、根本上 解决国家信息安全问题的办法, 对信息系统实行等 级保护是国家法定制度和基本国策,是信息安全 保护工作的发展方向。
• 战略高度
– 通过提高国家信息安全综合防护能力
– 保障国家安全,维护和稳定信息社会秩序,促 进经济发展,提高综合国力
• 核心
– 对信息安全分等级、按标准进行建设、管理和
监督
.
32
2.信息安全等级保护综述
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
不同敏感级信息的服务器和用户终端划分到不同的安全域。
例如,可将一个第4级局域网划分为若干个第4级和第3级安全 域,进行分级分域管理,实现多边安全控制,保障系统的总 体安全。
信息系统等级保护综述
安全域等级防护设计示意
外网节点网管中心 (监督保护级)
私有数据可通过VPN跨域传输 接入网络 (指导保护级)
信息系统等级保护综述
安全管理监控区
基于信息流的风险识别、控制方法 基于信息流的资源分布模型研究 九大区域 分层
资产——脆弱性——威胁
信息系统等级保护综述
合理分域,准确定级
• 信息系统等级(分级)保护以系统所处理信息的最高重要程
度来确定安全等级 • 在合理划分安全域边界安全可控的情况下,各安全域可根据 信息的最高重要程度单独定级,实施“分域分级防护”的策略 ,从而降低系统建设成本和管理风险
信息系统等级保护综述
基本要求--GB/T 22239
控 制 点
安全要求类 技术要求
管理要求
合计 级差
层面 物理安全 网络安全 主机安全 应用安全 数据安全及备份恢复 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 / /
一级 7 3 4 4 2 2 4 4 9 9 48 /
二级 10 6 6 7 3 3 5 5 9 12 66 18
安全管理平台 各级安全管理中心对管辖网络实施 安全集中管理。
主机监控与审计系统
网络安全审计系统
综合安全管理平台
数字证书颁发和管理平台
。。。 信息系统等级保护综述
物理安全的整改要点
物理位置的选择 物理访问控制 基本防护能力 高层、地下室 基本出入控制 分区域管理 电子门禁
在机房中的活动
自主访问控制 标记与强制访问控制 操作系统、数据库管理系统、 安全审计系统*、终端安全管 理*、身份鉴别系统等
安全计算环境
系统安全审计 用户数据完整性保护 用户数据保密性保护 客体安全重用
系统可执行程序保护
区域边界访问控制 安全区域边界 区域边界协议过滤 区域边界安全审计 区域边界完整性保护 网络安全审计 安全通信网络 网络数据传输完整性保护 网络数据传输保密性保护 网络可信接入 系统管理 安全管理中心 安全管理
等级保护综述
信息系统等级保护综述
信息系统安全测评:等级保护与分级保护
管理体系不同 标准体系不同 保护对象不同 等级保护 公安机关 国家标准 (GB、GB/T) 各种信息系统 第一级:自主保护级 第二级:指导保护级 第三级:监督保护级 第四级:强制保护级 第五级:专控保护级 分级保护 国家保密工作部门 国家保密标准 (BMB,强制执行) 国家涉密信息系统 秘密级 机密级 绝密级 测评中心、 技术检查中心、 资质单位、自身力量
安全保护等级 第一级 第二级 第三级 第四级 第五级
信息系统定级结果的组合 S1A1G1 S1A2G2,S2A2G2,S2A1G2 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3 S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4 S1A5G5,S2A5G5,S3A5G5,S4A5G5,S5A4G5,S5A3G5,S5A2G5, S5A1G5
操作系统等
安全隔离与信息交换系统、 安全网关等
VPN、加密机*、路由器等
安全管理平台
审计管理 信息系统等级保护综述
二级、三级等级保护要求比较
等级保护要求 (技术&管理)
2级 VS 3级
信息系统等级保护综述
等级保护相关的
主要方法
Байду номын сангаас
信息系统等级保护综述
部 门 内 部 应 用
安全管理监控区
SEC
公共服务区
等级保护标准系列的逻辑关系
等级保护
划分准则
GB/T 20269 安全管理
定级指南
GB/T 20282 安全工程管理 GB/T 20270 网络基础
实施指南
基本要求
技术设计要求
GB/T 20271 通用安全技术 GB/T 20272 操作系统
测评要求 测评过程指南
GB/T 20273 数据库 GB/T 20984 风险评估
三级 10 7 7 9 3 3 5 5 11 13 73 7
四级 10 7 9 11 3 3 5 5 11 13 77 4
信息系统等级保护综述
基本要求--GB/T 22239
控 制 项
安全要求类 技术要求
层面 物理安全 网络安全 主机安全 应用安全 数据安全及备份恢复 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 / /
级别划分不同
评估队伍不同
各级等级保护测评机构 和部门
信息系统等级保护综述
信息系统的测评标准选择
•信息网络系统应根据信息安全等级保护标准,采取 相应等级的信息安全保障措施进行安全防护 • 对于集中处理工作秘密的信息系统,可参照秘密 级信息系统保护的要求进行保护和管理。
适用的方法: 电子政务外网:等级保护标准 电子政务内网(涉密):分级保护要求
8、定级对象的安全保护等级
8=MAX(4,7)
信息系统等级保护综述
8
基本要求--GB/T 22239
基本保护要求(最低)
对抗能力+恢复能力
物理、网络、主机、应用、数据
保护能力
技术要求+管理要求
制度、机构、人员、建设、运维
整体安全保护能力
纵深防御、互补关联、强度一致、 平台统一、集中安管 业务信息安全类要求 S 系统服务保证类要求 A 通用安全保护类要求 G 安全类 关键控制点 具体要求项 控制强度
11
一级 9 9 6 7 2 3 4 7 20 18 85 /
二级 19 18 19 19 4 7 9 11 28 41 175 90
三级 32 33 32 31 8 11 20 16 45 62 290 115
四级 33 32 36 36 11 14 20 18 48 70 318 28
管理要求
合计 级差
对客体的侵害程度 保护对象受到破坏时受侵害的客体 一般损害 严重损害 第二级 第三级 第四级 特别严重损害 第二级 第四级 第五级
3、综合评定对客体的侵害程度
6、综合评定对客体的侵害程度
公民、法人和其他组织的合法权益 社会秩序、公共利益
第一级 第二级 第三级
4、业务信息安全等级
7、系统服务安全等级
国家安全
信息系统等级保护综述
综合局域网信息系统的安全域划分与定级示例
⑵ 为了实现最高敏感级信息系统的最小化,控制敏感信息的知
晓范围,降低失泄密的风险,对于使用范围集中的局域网敏感型 信息系统,可根据业务部门和信息敏感级划分不同的安全域。
首先通过使用VLAN、防火墙等技术划分不同的安全域,对
不同部门的业务进行分割; 然后,在同一部门内可再根据信息敏感级,将处理、存储
信息系统等级保护综述
6
实施指南--GB/T 25058-2010
等级保护实施过程 基本原则 角色、职责 基本流程 主要过程及其活动
信息系统定级
总体安全规划
等级变更
国家管理部门(4家)
信息系统主管部门 信息系统运营、使用单位 信息安全服务机构
安全设计与实施
局部调整
安全运行维护 信息系统终止
信息安全等级测评机构 信息安全产品供应商
其他类
GB/T GB/T GB/Z GB/T
20984-2007 信息安全技术 信息安全风险评估规范 20285-2007 信息安全技术 信息安全事件管理指南 20986-2007 信息安全技术 信息安全事件分类分级指南 20988-2007 信息安全技术 信息系统灾难恢复规范
5
信息系统等级保护综述
信息系统等级保护综述
等级保护之十大标准
基础类
《计算机信息系统安全保护等级划分准则》GB 17859-1999
《信息系统安全等级保护实施指南》GB/T 25058-2010
定级:《信息系统安全保护等级定级指南》GB/T 22240-2008 建设:《信息系统安全等级保护基本要求》GB/T 22239-2008 《信息系统通用安全技术要求》GB/T 20271-2006 《信息系统等级保护安全设计技术要求》GB/T 25070-2010
应用类
测评:《信息系统安全等级保护测评要求 《信息系统安全等级保护测评过程指南》 管理:《信息系统安全管理要求》GB/T 20269-2006 《信息系统安全工程管理要求》GB/T 20282-2006
信息系统等级保护综述
4
等级保护之相关标准
技术类
GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求 GB/T 20270-2006 信息安全技术 网络基础安全技术要求 GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求 GB/T 20272-2006 信息安全技术 操作系统安全技术要求 GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求 其他信息产品、信息安全产品等。。。
信息系统等级保护综述
设计技术要求(示意)
用户身份鉴别
第 安全计算环境 一 级 系 统
安全区域边界 安全通信网络
自主访问控制 用户数据完整性保护 恶意代码防范 区域边界包过滤 区域边界恶意代码防范 网络数据传输完整性保护 使用范围
操作系统、数据库管理系统等
主机防病毒软件*等 防火墙、网关等 防病毒网关*等 路由器等 安全功能 用户身份鉴别 自主访问控制 系统安全审计 产品类型