等级保护基本要求培训ppt课件
合集下载
最新等级保护新标准(2.0)介绍--ppt课件PPT课件
• 2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意 见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。
• 2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础 调查和等级保护试点工作,为全面开展等级保护工作奠定基础。
GA/T 1390.2—2017《信息安全技术 网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求》
针对云计算架构的特点,对云计算环境下的物理位置、虚拟化网络、虚拟机、云服务方、云租户、虚拟镜像等技术保护要求,以及 云服务商选择、SLA协议、云安全审计等安全管理要求进行了规定。
GA/T 1390.3—2017 《信息安全技术 网络安全等级保护基本要求 第 3 部分:移动互联安全扩展要求》
针对移动互联网系统中移动终端、移动 应用和无线网络等三个关键要素,明确了无线接入设备的安装选择、无线接入网关处理能 力、非授权移动终端接入等技术保护要求,以及应用软件分发运营商选择、移动终端应用软件恶意代码防范等管理要求进行了规定。
GA/T 1390.5—2017 《信息安全技术 网络安全等级保护基本要求 第 5 部分:工业控制系统安全扩展要求》
长 的 时 间 隧 道,袅
等级保护新标准(2.0)介绍--ppt课件
1
等级保护发展历程与展望
√
2
等级保护2.0标准体系
3
等级保护2.0基本要求解析
4
等级保护2.0扩展要求解析
ppt课件
2
等级保护发展历程与展望
等保1.0时代 等保2.0工作
展望
• 1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实 行安全等级保护。
• 2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础 调查和等级保护试点工作,为全面开展等级保护工作奠定基础。
GA/T 1390.2—2017《信息安全技术 网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求》
针对云计算架构的特点,对云计算环境下的物理位置、虚拟化网络、虚拟机、云服务方、云租户、虚拟镜像等技术保护要求,以及 云服务商选择、SLA协议、云安全审计等安全管理要求进行了规定。
GA/T 1390.3—2017 《信息安全技术 网络安全等级保护基本要求 第 3 部分:移动互联安全扩展要求》
针对移动互联网系统中移动终端、移动 应用和无线网络等三个关键要素,明确了无线接入设备的安装选择、无线接入网关处理能 力、非授权移动终端接入等技术保护要求,以及应用软件分发运营商选择、移动终端应用软件恶意代码防范等管理要求进行了规定。
GA/T 1390.5—2017 《信息安全技术 网络安全等级保护基本要求 第 5 部分:工业控制系统安全扩展要求》
长 的 时 间 隧 道,袅
等级保护新标准(2.0)介绍--ppt课件
1
等级保护发展历程与展望
√
2
等级保护2.0标准体系
3
等级保护2.0基本要求解析
4
等级保护2.0扩展要求解析
ppt课件
2
等级保护发展历程与展望
等保1.0时代 等保2.0工作
展望
• 1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实 行安全等级保护。
等保2.0 资料ppt课件
密码管理
备份与恢复管理
变更管理
安全事件处置 应急预案管理 外包运维管理
技术要求
三级
技术要求
安全物理环境
• 机房出入口应配置电子门禁系统
• 应设置机房防盗报警系统或设置有专人值守的视频监控系统
• 应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等
• 应对机房划分区域进行管理,区域和区域之间设置隔离防火措施
等级保护的基本要求、测 评要求和安全设计技术要 求框架统一,即:安全管 理中心支持下的三重防护 结构框架
通用安全要求+新型应用 安全扩展要求,将云计 算、移动互联、物联网、 工业控制系统等列入标 准规范
将可信验证列入各级别和 各环节的主要功能要求
定级对象
等保进入2.0时代,保护对象从传统的网络和信息系统,向“云移物工大”上扩展,基 础网络、重要信息系统、互联网、大数据中心、云计算平台、物联网系统、移动互联 网、工业控制系统、公众服务平台等都纳入了等级保护的范围。
分 级 保 护
国家保密工
作部门
国家保密标
涉密 信息系统
(国家保密 局、各省保
密局、各地
准 (BMB,强
制执行)
地市保密局)
3个级别 秘密级 机密级(一般、增强) 绝密级
信息的重要性,以 信息最高密级确定 受保护的级别。
单项:保密局发的涉密单项资质 安全产品:保密局发的涉密检测报告 密码产品:国密局发的密码资质 防病毒软件:公安部的检测报告 军队:军用安全产品检测报告
✓ 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间, 在发生严重入侵事件时应提供报警。
添加标题
4、恶意代码和垃圾邮件防护
添加标题
等级保护三级相关要求27页PPT
1、最灵繁的人也看不见自己的背脊。——非洲 2、最困难的事情就是认识自己。——希腊 3、有勇气承担命运这才是英雄好汉。——黑塞 4、与肝胆人共事,无字句处读书。——周恩来 5、阅读使人充实,会谈使人敏捷,写作使人精确纪律是自由的第一条件。——黑格 尔 7、纪律是集体的面貌,集体的声音, 集体的 动作, 集体的 表情, 集体的 信念。 ——马 卡连柯
8、我们现在必须完全保持党的纪律, 否则一 切都会 陷入污 泥中。 ——马 克思 9、学校没有纪律便如磨坊没有水。— —夸美 纽斯
10、一个人应该:活泼而守纪律,天 真而不 幼稚, 勇敢而 鲁莽, 倔强而 有原则 ,热情 而不冲 动,乐 观而不 盲目。 ——马 克思
信息系统安全等级保护基本要求标准研读.pptx
机房应设置火灾自动消防系 统,能够自动检测火情、自 动报警,并自动灭火;
机房及相关的工作房间和辅 助房应采用具有耐火等级的 建筑材料;
机房应采取区域隔离防火措 施,将重要设备与其他设备 隔离开。
标准理解
(1)机房的火灾自动消防系统具 备自动报警和灭火功能,并通过当 地公安消防部门的验收;
(2)机房的设备区域应采取气体 灭火装置;
标准理解
(1)应有设备接入授权控制管理 过程。
(2)限制或禁止内部人员使用电 话拨号、adsl拨号、手机、pda等 连接到外部网络。
- 19 -
All rights reserved © 2007
入侵防范(G3)
标准要求
应在网络边界处监视以下攻 击行为:端口扫描、强力攻 击、木马后门攻击、拒绝服 务攻击、缓冲区溢出攻击、 IP碎片攻击和网络蠕虫攻击 等;
(5)应有IP/VLAN/MPLS地址分 配方案文档;
- 14 -
All rights reserved © 2007
结构安全(G3) ----2
标准要求
应避免将重要网段部署在网 络边界处且直接连接外部信 息系统,重要网段与其他网 段之间采取可靠的技术隔离 手段;
应按照对业务服务的重要次 序来指定带宽分配优先级别 ,保证在网络发生拥堵的时 候优先保护重要主机。
(9)对不同用户建立一个授权访 问列表,控制粒度为单个用户;
(10)禁止使用拨号或互联网对网 络设备进行管理和维护;
(11)拨号访问服务器限制用户数 量和权限。
- 17 -
All rights reserved © 2007
安全审计(G3 )
标准要求
应对网络系统中的网络设备 运行状况、网络流量、用户 行为等进行日志记录;
机房及相关的工作房间和辅 助房应采用具有耐火等级的 建筑材料;
机房应采取区域隔离防火措 施,将重要设备与其他设备 隔离开。
标准理解
(1)机房的火灾自动消防系统具 备自动报警和灭火功能,并通过当 地公安消防部门的验收;
(2)机房的设备区域应采取气体 灭火装置;
标准理解
(1)应有设备接入授权控制管理 过程。
(2)限制或禁止内部人员使用电 话拨号、adsl拨号、手机、pda等 连接到外部网络。
- 19 -
All rights reserved © 2007
入侵防范(G3)
标准要求
应在网络边界处监视以下攻 击行为:端口扫描、强力攻 击、木马后门攻击、拒绝服 务攻击、缓冲区溢出攻击、 IP碎片攻击和网络蠕虫攻击 等;
(5)应有IP/VLAN/MPLS地址分 配方案文档;
- 14 -
All rights reserved © 2007
结构安全(G3) ----2
标准要求
应避免将重要网段部署在网 络边界处且直接连接外部信 息系统,重要网段与其他网 段之间采取可靠的技术隔离 手段;
应按照对业务服务的重要次 序来指定带宽分配优先级别 ,保证在网络发生拥堵的时 候优先保护重要主机。
(9)对不同用户建立一个授权访 问列表,控制粒度为单个用户;
(10)禁止使用拨号或互联网对网 络设备进行管理和维护;
(11)拨号访问服务器限制用户数 量和权限。
- 17 -
All rights reserved © 2007
安全审计(G3 )
标准要求
应对网络系统中的网络设备 运行状况、网络流量、用户 行为等进行日志记录;
信息安全等级保护制度的主要内容和要求136页PPT
拉
60、生活的道路一旦选定,就要勇敢地 走到底 ,决不 回头。过 去和未 来文化 生活的 源泉。 ——库 法耶夫 57、生命不可能有两次,但许多人连一 次也不 善于度 过。— —吕凯 特 58、问渠哪得清如许,为有源头活水来 。—— 朱熹 59、我的努力求学没有得到别的好处, 只不过 是愈来 愈发觉 自己的 无知。 ——笛 卡儿
信息安全等级保护制度的主要内容和 要求
11、用道德的示范来造就一个人,显然比用法律来约束他更有价值。—— 希腊
12、法律是无私的,对谁都一视同仁。在每件事上,她都不徇私情。—— 托马斯
13、公正的法律限制不了好的自由,因为好人不会去做法律不允许的事 情。——弗劳德
14、法律是为了保护无辜而制定的。——爱略特 15、像房子一样,法律和法律都是相互依存的。——伯克
60、生活的道路一旦选定,就要勇敢地 走到底 ,决不 回头。过 去和未 来文化 生活的 源泉。 ——库 法耶夫 57、生命不可能有两次,但许多人连一 次也不 善于度 过。— —吕凯 特 58、问渠哪得清如许,为有源头活水来 。—— 朱熹 59、我的努力求学没有得到别的好处, 只不过 是愈来 愈发觉 自己的 无知。 ——笛 卡儿
信息安全等级保护制度的主要内容和 要求
11、用道德的示范来造就一个人,显然比用法律来约束他更有价值。—— 希腊
12、法律是无私的,对谁都一视同仁。在每件事上,她都不徇私情。—— 托马斯
13、公正的法律限制不了好的自由,因为好人不会去做法律不允许的事 情。——弗劳德
14、法律是为了保护无辜而制定的。——爱略特 15、像房子一样,法律和法律都是相互依存的。——伯克
2020年信息安全技术 等级保护2.0解读培训 PPT课件
络安全设备列表及销售许可证等)。 • 公安机关审核后颁发备案证明。
3.风险评估,差距分析(锐捷安全服务部门可提供此服务)
• 风险评估
① 资产评估 ② 威胁评估 ③ 脆弱性评估 ④ 安全措施评估 ⑤ 综合风险分析
• 差距分析
按照等级保护基本要求每一条进行对比分析,查看是否满足对应等级的要求。 ① 技术差距分析 ② 管理差距分析
安全产品事业部 安全服务中心
等级保护2.0
等保实施流程
锐捷安全服务
等级保护相关标准在调整中,等保2.0新标准即将落地,除了传统信息系统的安全防护 外,新标准增加了云计算、移动互联、物联网、工业控制等新兴领域的安全要求。
信息系统安全等级保护
网络安全等级保护
安全保护等级定义的变化
受侵害的客体
公民、法人和其他组织的合法权益 社会秩序、公共利益 国家安全
b) 应定期开展安全测评,形成安全测评报告,采取措施应对 发现的安全问题。
等级保护2.0
等保实施流程
锐捷安全服务
将网络系统按照重要性 和遭受损坏后的危害性 分成五个安全保护等级
系统 定级
等级保护规定动作
根据信息系统安全等级, 按照国家政策、标准开
展安全建设整改
建设 整改
等级确定后,第二级(含)以 上信息系统到公安机关备案, 公安机关审核后颁发备案证明
d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能 力,控制粒度为端口级;
e) 应限制网络最大流量数及网络连接数;
e) 应在关键网络节点处对进出网络的信息内容进行过滤,实现对内容 的访问控制。
f) 重要网段应采取技术手段防止地址欺骗;
g) 应按用户和系统之间的允许访问规则,决定允许或拒绝 用户对受控系统进行资源访问,控制粒度为单个用户;
3.风险评估,差距分析(锐捷安全服务部门可提供此服务)
• 风险评估
① 资产评估 ② 威胁评估 ③ 脆弱性评估 ④ 安全措施评估 ⑤ 综合风险分析
• 差距分析
按照等级保护基本要求每一条进行对比分析,查看是否满足对应等级的要求。 ① 技术差距分析 ② 管理差距分析
安全产品事业部 安全服务中心
等级保护2.0
等保实施流程
锐捷安全服务
等级保护相关标准在调整中,等保2.0新标准即将落地,除了传统信息系统的安全防护 外,新标准增加了云计算、移动互联、物联网、工业控制等新兴领域的安全要求。
信息系统安全等级保护
网络安全等级保护
安全保护等级定义的变化
受侵害的客体
公民、法人和其他组织的合法权益 社会秩序、公共利益 国家安全
b) 应定期开展安全测评,形成安全测评报告,采取措施应对 发现的安全问题。
等级保护2.0
等保实施流程
锐捷安全服务
将网络系统按照重要性 和遭受损坏后的危害性 分成五个安全保护等级
系统 定级
等级保护规定动作
根据信息系统安全等级, 按照国家政策、标准开
展安全建设整改
建设 整改
等级确定后,第二级(含)以 上信息系统到公安机关备案, 公安机关审核后颁发备案证明
d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能 力,控制粒度为端口级;
e) 应限制网络最大流量数及网络连接数;
e) 应在关键网络节点处对进出网络的信息内容进行过滤,实现对内容 的访问控制。
f) 重要网段应采取技术手段防止地址欺骗;
g) 应按用户和系统之间的允许访问规则,决定允许或拒绝 用户对受控系统进行资源访问,控制粒度为单个用户;
等级保护基础安全防护技术概览ppt课件
2009年
《关于开展信息系统等级
(发改高技
发改委
[2008]2071号) 公安部
国家保密局
(公信安
5
公安部
规定了公安机关受理信息系统运营使用单位信息系统 备案工作的内容、流程、审核等内容
规定了公安机关开展信息安全等级保护检查工作的内 容、程序、方式以及相关法律文书等,使检查工作规 范化、制度化。
明确了项目验收条件:公安机关颁发的信息系统安全 等级保护备案证明、等级测评报告和风险评估报告。
▪ 对信息系统中使用的信息安全产品实行按等 级管理;
▪ 对信息系统中发生的信息安全事件实行分等 级响应、处置。
精选课件ppt
4
1.2等级保护基本概念-政策体系
等级保护政策体系
颁布时间
文件名称
文号
颁布机构
1994年 2月18日 2003年 9月7日
2004年 9月15日 2007年 6月22日
2007年 7月16日
记录活动实行以符合等级1,2,和3的文件 要求的客观证据,阐明所取得的结果或 提供完成活动的证据
运行记录
精选课件ppt
20
1.9等级保护基本概念-实施步骤-
完善管理制度
一级
二级
岗位说明书
岗位说明书
安全管理机构
安全管理制度
人员安全 系统建设管理
人员安全管理规定
等级保护安全管理规范 风险评估管理规范 软件开发管理规定 IT外包管理规定
网 络 层
区域 混乱
协议 攻击
信息 泄露
中间 人攻 击
带宽 资源 滥用
非法 接入
非法 外联
计区网 算域络 环边通 境界信
物 理
等级保护分级保护政策学习PPT课件
等级保护配套标准:
《计算机信息系统安全保护等级划分准则》(GB 17859-1999); 《信息系统通用安全技术要求》(GB/T20271);
《网络基础安全技术要求》(GB/T20270);
《操作系统安全技术要求》(GB/T20272); 《数据库管理系统安全技术要求》(GB/T20273); 《终端计算机系统安全等级技术要求》(GA/T671); 《信息系统安全管理要求》(GB/T20269); 《信息系统安全工程管理要求》(GB/T20282)。
标准(三)
分级保护标准:
《涉及国家秘密的信息系统分级保护技术要求》(BMB17-2006); 《涉及国家秘密的信息系统工程监理规范》(BMB18-2006);
《涉及国家秘密的信息系统分级保护管理规范》(BMB20-2007);
《涉及国家秘密的信息系统分级保护测评指南》(BMB22-2007); 《涉及国家秘密的信息系统分级保护方案设计指南》(BMB23-2008)。
在分级保护方面,国家保密局发布了《涉及国家秘密的信息系统分级保护管理
办法》(国保发[2005]16号),之后陆续发布了《涉及国家秘密的信息系统分 级保护技术要求》、《涉及国家秘密的信息系统分级保护管理规范》、《涉及 国家秘密的信息系统分级保护方案设计指南》、《涉及国家秘密的信息系统分 级保护测评指南》等一系列分级保护的国家保密标准。
标准(一)
等级保护主要标准:
《信息系统安全等级保护定级规范》”(国标报批稿);
《信息系统安全等级保护基本要求》(国标报批稿);
《信息系统安全等级保护实施指南》(国标报批稿); 《信息系统安全等级保护测评规范》(国标报批稿); 《电子政务信息安全等级保护实施指南》(试用稿)。
《计算机信息系统安全保护等级划分准则》(GB 17859-1999); 《信息系统通用安全技术要求》(GB/T20271);
《网络基础安全技术要求》(GB/T20270);
《操作系统安全技术要求》(GB/T20272); 《数据库管理系统安全技术要求》(GB/T20273); 《终端计算机系统安全等级技术要求》(GA/T671); 《信息系统安全管理要求》(GB/T20269); 《信息系统安全工程管理要求》(GB/T20282)。
标准(三)
分级保护标准:
《涉及国家秘密的信息系统分级保护技术要求》(BMB17-2006); 《涉及国家秘密的信息系统工程监理规范》(BMB18-2006);
《涉及国家秘密的信息系统分级保护管理规范》(BMB20-2007);
《涉及国家秘密的信息系统分级保护测评指南》(BMB22-2007); 《涉及国家秘密的信息系统分级保护方案设计指南》(BMB23-2008)。
在分级保护方面,国家保密局发布了《涉及国家秘密的信息系统分级保护管理
办法》(国保发[2005]16号),之后陆续发布了《涉及国家秘密的信息系统分 级保护技术要求》、《涉及国家秘密的信息系统分级保护管理规范》、《涉及 国家秘密的信息系统分级保护方案设计指南》、《涉及国家秘密的信息系统分 级保护测评指南》等一系列分级保护的国家保密标准。
标准(一)
等级保护主要标准:
《信息系统安全等级保护定级规范》”(国标报批稿);
《信息系统安全等级保护基本要求》(国标报批稿);
《信息系统安全等级保护实施指南》(国标报批稿); 《信息系统安全等级保护测评规范》(国标报批稿); 《电子政务信息安全等级保护实施指南》(试用稿)。