2019年安全形势及新技术条件下的等级保护 - 陈宇_图文.ppt
合集下载
第7讲信息安全等级保护-PPT课件
第二级 审计安全保护
第三级 强制安全保护
第四级 结构化保护
隐蔽通道分析 系统审计 客体重用 可信恢复
第五级 访问验证保护级
强制访问控制 标记 可信路径
隐蔽通道分析
如何理解信息系统的五个安全保护等级
第一级:一般适用于小型私营、个体企业、中小学、乡镇所属信息 系统、县级单位中一般的信息系统。 第二级:一般适用于县级某些单位中的重要信息系统;地市级以上 国家机关、企事业单位内部一般的信息系统,如涉及工作秘密、商 业秘密、敏感信息的办公系统和管理系统等。 第三级:一般适用于地市级以上国家机关、企业、事业单位内部重 要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系 统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指 挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的 分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省 连接的网络系统等。 第四级:一般适用于国家重要领域、重要部门中的特别重要系统以 及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等 重要部门的生产、调度、指挥等涉及国家安全、国计民生的核心系 统。 第五级:一般适用于国家重要领域、重要部门中的极端重要系统。
GB17859-2019 计算机信息系统安全保护等级划分准则
等级保护的技术标准规范
面向评估者技术标准:
《计算机信息系统安全保护等级划分准则》 (GB 17859-2019) 《信息安全技术 信息系统通用安全技术要求》 (GB/T 20271-2019)
《信息安全技术 操作系统安全技术要求》 (GB/T 20272-2019)
9 月 7日
中办国办发 中共中央办公厅 [2019]27号 国务院办公厅
等级保护政策、流程、内容、定级介绍 ppt课件
2010年10月15日,第十七届中央委员会第五次全体会议 中提出的十二五规划中要求“健全网络与信息安全法律 法规,完善信息安全标准体系和认证认可体系,实施信 息安全等级保护、风险评估等制度”。
2012年7月17日,国务院办公厅(国发[2012]23号)——
《国务院关于大力推进信息化发展和切实保障信息安全
ppt课件
9
4 主要工作内容
工作实施过程中涉及到的角色和职责:
系统定级 系统备案 安全建设 等级测评 监督检查
ppt课件
10
5 等级保护主要工作流程
业务流程
•不合格项整改 •整改后测评
备案
测评申请
信息系统
测评
测评准备
ppt课件
11
6 等级保护定级工作流程
定级流程4 Biblioteka 级备案ppt课件8
3 等保测评作用
工作实施过程中涉及到的角色和职责: 在信息系统建设、整改时,信息系统运营使用单位通过
等级测评进行安全需求分析,确定系统的特殊安全需求 。信息系统等级保护基本安全要求与确定的特殊安全需 求共同确定了该系统的安全需求。 在系统运维过程中,定期委托测评机构开展等级测评, 对信息系统安全等级保护状况、安全保障性能进行安全 测试,对信息安全管控能力进行考察和评价,从而判定 是否具备《信息系统安全等级保护基本要求》中相应等 级安全保护能力。 等级测评报告是信息系统后期开展整改加固的重要指导 性文件,也是信息系统备案的重要附件材料。等级测评 结论是信息系统满足要求程度的证明文件。
信息安全等级保护基本介绍
河南天祺信息安全技术有限公司
信息安全系统等级保护
1 信息安全等级保护发展历程
2 等级保护的基本概念和含义
信息安全等级保护制度的主要内容和要求136页PPT
拉
60、生活的道路一旦选定,就要勇敢地 走到底 ,决不 回头。过 去和未 来文化 生活的 源泉。 ——库 法耶夫 57、生命不可能有两次,但许多人连一 次也不 善于度 过。— —吕凯 特 58、问渠哪得清如许,为有源头活水来 。—— 朱熹 59、我的努力求学没有得到别的好处, 只不过 是愈来 愈发觉 自己的 无知。 ——笛 卡儿
信息安全等级保护制度的主要内容和 要求
11、用道德的示范来造就一个人,显然比用法律来约束他更有价值。—— 希腊
12、法律是无私的,对谁都一视同仁。在每件事上,她都不徇私情。—— 托马斯
13、公正的法律限制不了好的自由,因为好人不会去做法律不允许的事 情。——弗劳德
14、法律是为了保护无辜而制定的。——爱略特 15、像房子一样,法律和法律都是相互依存的。——伯克
60、生活的道路一旦选定,就要勇敢地 走到底 ,决不 回头。过 去和未 来文化 生活的 源泉。 ——库 法耶夫 57、生命不可能有两次,但许多人连一 次也不 善于度 过。— —吕凯 特 58、问渠哪得清如许,为有源头活水来 。—— 朱熹 59、我的努力求学没有得到别的好处, 只不过 是愈来 愈发觉 自己的 无知。 ——笛 卡儿
信息安全等级保护制度的主要内容和 要求
11、用道德的示范来造就一个人,显然比用法律来约束他更有价值。—— 希腊
12、法律是无私的,对谁都一视同仁。在每件事上,她都不徇私情。—— 托马斯
13、公正的法律限制不了好的自由,因为好人不会去做法律不允许的事 情。——弗劳德
14、法律是为了保护无辜而制定的。——爱略特 15、像房子一样,法律和法律都是相互依存的。——伯克
等级保护和分级保护基础培训 ppt课件
监理、数据恢复、屏蔽室建设、保密安防监控。
问:分级保护对涉密系统中使用的安全保密产品有哪些要求?
涉密信息系统使用的信息安全保密产品原则上应当选用国产品,并应当通过国家保密局授权
ppt课件
26
的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。
《信息系统通用安全技术要求》GB/T 20271-2006 《信息系统等级保护安全设计技术要求》 测评: 《信息系统安全等级保护测评要求》GB/T 《信息系统安全等级保护测评过程指南》 管理: 《信息系统安全管理要求》 GB/T 20269-2006
《信息系统安全工程管理要求》GB/T 20282-2006
分级保护测评时效性
ppt课件
23
分级保护评测审核内容
ppt课件
24
FAQ
问:等级保护与分级保护各分为几个等级,对应关系是什么? 答:等级保护分5个级别:一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五 级(专控保护)。 分级保护分3个级别:秘密级、机密级(机密增强级)、绝密级。 分级保护与等级保护对应关系:秘密级对应三级、机密级对应四级、绝密级对应五级。 问:等级保护的重要信息系统有哪些? 答:电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网 接入服务单位、数据中心等单位的重要信息系统。铁路、银行、海关、税务、民航、电力、证券、保险、外交、 科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、 文、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。市(地)级以 上党政机关的重要网站和办公信息系统。 问:等级保护的主管部门是谁? 答:公安机关是等级保护工作的主管部门,负责信息安全等级保护工作的监督、检查、指导, 问:等级保护是否是强制性的,可以不做吗? 答:国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级根据信息系统在国家安全、 经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其 他组织的合法权益的危害程度等因素确定。备案后3级系统每年进行一次监督检查,4级每半年进行一次监督检查。 问:是否只是在政府行业实行?企业是否也在等级保护和分级保护范畴之内? 答:等级保护涉及所有行业,只要有信息系统的单位都在等级保护覆盖范围(涉密系统除外)
从威胁、目标和能力分析等级保护的安全整改和运维.ppt.ppt
风险评估管理系统 天燕风险控制系统 ……
RAMS
产品化安全服务 安全管理咨询 风险评估生产力 ……
第一代技术
马来西亚电信 广东移动风险评估 山东移动风险评估 四川移动风险评估 福建移动风险评估 河南移动风险评估 ……
全国人大风险评估 湖南移动全网评估 博时基金风险评估 中兴通讯管理咨询 中国民航管理咨询 ……
威胁
抵御
利用
漏洞
存在
增加
增加
控制
需要
风险
引发 增加
资产
拥有
需求
价值
6
最精简的风险管理3要素
三要素风险模型:R3-AST 资产和业务 Asset
定级 保护轮廓
7
保障措施 Safeguard
技术体系 管理体系
威胁 Threat
不同级别 威胁不同
风险立方体-Risk Cube
资产
安全目标
措施(安全能力)
18
第一阶段:安全评估
• 意义: 2003年7月, 中办发[2003]27号文 件对开展信息安全风险评估工作提出了 明确的要求。
• 工作内容
– 行业信息安全保障要求
• 风险评估/自评估
– 两个层面、三个纬度
• 技术层面:网络、系统、应用 • 管理层面:人员机构、制度流程、物理环境
19
启明星辰风险评估技术发展
互联网攻击 措施(安全能力)
威胁
9
风险立方体中的安全工作
资产
O2-2.应具有防止雷击事件导致重要设备被破坏的能力 O2-3.应具有防水和防潮的能力 O2-4.应具有灭火的能力 O2-5.应具有检测火灾和报警的能力
硬件设备 网络线路 机房 (2级)
(完整版)新安全生产法PPT课件
新安全生产法
1.目前安全生产形势 2.修法背景及原因 3.修法思路和原则 4.修订亮点 5.修改具体内容
1.目前安全生产形势——以建筑行业为例
1)总体事故情况 据初步统计,2019年全国共发生房屋建筑及市政工程建筑
施工事故520起、死亡646人,与2019年相比,分别下降了 1.52%和4.15%(最终数据以文件印发为准)。
由于危险物品具有危险性大、容易造成人身伤害和财产损失的特性,必须加 强安全监督管理。
事故隐患排查治理
重大危险源管理
生产经营场所和员工宿舍的安全要求
危险作业管理 从业人员管理
劳动防护用品
安全生产检查
安全生产协作管理
经费保障
生产安全事故,是指在生产经营活 动中造成人身伤亡(包括急性工业中 毒)或者直接经济损失的事故。
5.修改具体内容
1)章节对比
修订前 《安全生产法》
章节对比
1-15条,共15条
第一章 总则
16-43条,共28条 第二章 生产经营单位的安全生产保障
44-52条,共9条 53-67条,共15条 68-76条,共9条
第三章 从业人员的权利和义务
第三章 从T业e人x员t 的安全生产权利义务
第四章 安全的生产监督管理 Text
(3)违规进行设备维修和基建施工。按照有关规定,炸药在线生产 时不能进行设备维修,但502工房在生产作业的同时,对工房内膜热合 机进行维修。事故发生时,工房外侧安全距离范围内违规进行包装工房 连廊基建施工。
( 4 )没有建立相应的药物管理制度。起爆件保管、领用、使用、 登记和回收管理混乱,致使起爆件中的太安混入震源药柱废药。采用回 收不合格震源药柱中主装药再利用的生产方式,致使震源药柱起爆件中 的太安混入废药后,进入乳化炸药制药环节。
1.目前安全生产形势 2.修法背景及原因 3.修法思路和原则 4.修订亮点 5.修改具体内容
1.目前安全生产形势——以建筑行业为例
1)总体事故情况 据初步统计,2019年全国共发生房屋建筑及市政工程建筑
施工事故520起、死亡646人,与2019年相比,分别下降了 1.52%和4.15%(最终数据以文件印发为准)。
由于危险物品具有危险性大、容易造成人身伤害和财产损失的特性,必须加 强安全监督管理。
事故隐患排查治理
重大危险源管理
生产经营场所和员工宿舍的安全要求
危险作业管理 从业人员管理
劳动防护用品
安全生产检查
安全生产协作管理
经费保障
生产安全事故,是指在生产经营活 动中造成人身伤亡(包括急性工业中 毒)或者直接经济损失的事故。
5.修改具体内容
1)章节对比
修订前 《安全生产法》
章节对比
1-15条,共15条
第一章 总则
16-43条,共28条 第二章 生产经营单位的安全生产保障
44-52条,共9条 53-67条,共15条 68-76条,共9条
第三章 从业人员的权利和义务
第三章 从T业e人x员t 的安全生产权利义务
第四章 安全的生产监督管理 Text
(3)违规进行设备维修和基建施工。按照有关规定,炸药在线生产 时不能进行设备维修,但502工房在生产作业的同时,对工房内膜热合 机进行维修。事故发生时,工房外侧安全距离范围内违规进行包装工房 连廊基建施工。
( 4 )没有建立相应的药物管理制度。起爆件保管、领用、使用、 登记和回收管理混乱,致使起爆件中的太安混入震源药柱废药。采用回 收不合格震源药柱中主装药再利用的生产方式,致使震源药柱起爆件中 的太安混入废药后,进入乳化炸药制药环节。
网络安全等级保护2.0解读 PPT精品课件
网络安全等级保护2.0高风险指引
序号 层面
1
2 3
4
安全
计算
环境
5
6 7
8
控制点
控制项
对应案例
身份鉴别
a)应对登录的用户进行身份标识和鉴别, 设备存在弱口令、应用系统
身份标识具有唯一性,身份鉴别信息具有 口令策略缺失、应用系统存
复杂度要求并定期更换;
在弱口令
b)应具有登录失败处理功能,应配置并启 用结束会话、限制非法登录次数和当登录 连接超时自动退出等相关措施;
设备未开启安全审计措施、 应用系统无安全审计措施
适用范围
所有系统 3级及以上系统
所有系统 3级及以上系统
所有系统 所有系统 所有系统 3级及以上系统
等保2.0测评结论谢谢!ຫໍສະໝຸດ 应用系统无登录失败 处理机制
c)当进行远程管理时,应采取必要措施防 止鉴别信息在网络传输过程中被窃
设备鉴别信息无防窃取措施
d)应采用口令、密码技术、生物技术等两 种或两种以上组合的鉴别技术对用户进行 身份鉴别,且其中一种鉴别技术至少应使 用密码技术来实现。
设备未实现双因素认证、互 联网可访问系统未实现双因
安全通用要求和安全扩展要求
等级保护2.0为1+N模式,1为通用要求,适用各个行业和各个领域,N指 具体的一个领域内的扩展要求,目前N为5,分别是云计算、移动互联、物联 网、工业控制、大数据。未来随着技术的发展,N会不断扩展。
分类结构的变化
安全通用要求要求项变化
充分强化可信计算技术使用的要求
➢ 增加:从一级到四级均在“安全通信网络”、“安全区域边界” 和“安全计算环境”中增加了“可信验证”控制点(和GB/T 25070设计要求保持一致)。