资源描述
,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,Click to edit Master title style,本幻灯片资料仅供参考,不能作为科学依据,如有不当之处,请参考专业资料。谢谢,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Click to edit Master title style,*,*,本幻灯片资料仅供参考,不能作为科学依据,如有不当之处,请参考专业资料。谢谢,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Click to edit Master title style,*,*,本幻灯片资料仅供参考,不能作为科学依据,如有不当之处,请参考专业资料。谢谢,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Click to edit Master title style,*,*,本幻灯片资料仅供参考,不能作为科学依据,如有不当之处,请参考专业资料。谢谢,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Click to edit Master title style,*,*,本幻灯片资料仅供参考,不能作为科学依据,如有不当之处,请参考专业资料。谢谢,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Click to edit Master title style,*,*,本幻灯片资料仅供参考,不能作为科学依据,如有不当之处,请参考专业资料。谢谢,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Click to edit Master title style,*,*,本幻灯片资料仅供参考,不能作为科学依据,如有不当之处,请参考专业资料。谢谢,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Click to edit Master title style,*,*,本幻灯片资料仅供参考,不能作为科学依据,如有不当之处,请参考专业资料。谢谢,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Click to edit Master title style,*,*,本幻灯片资料仅供参考,不能作为科学依据,如有不当之处,请参考专业资料。谢谢,三级等保系统整改处理方案,第1页,第一级自主保护级,主要对象为普通信息系统,其业务信息安全性或业务服务确保性受到破坏后,会对公民、法人和其它组织正当权益产生损害,但不损害国家安全、社会秩序和公共利益;本级系统依照国家管理规范和技术标准进行自主保护。,第二级为指导保护级,主要对象为普通信息系统,其业务信息安全性或业务服务确保性受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全;本级系统依照国家管理规范和技术标准进行自主保护,必要时,信息安全监管职能部门对其进行指导。,第三级为监督保护级,主要对象为包括国家安全、社会秩序和公共利益主要信息系统,其业务信息安全性或业务服务确保性受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检验。,等级保护概念,第2页,第四级为强制保护级,主要对象为包括国家安全、社会秩序和公共利益主要信息系统,其业务信息安全性或业务服务确保性受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行强制监督、检验。,第五级为专控保护级,主要对象为包括国家安全、社会秩序和公共利益主要信息系统关键子系统,其业务信息安全性或业务服务确保性受到破坏后,会对国家安全、社会秩序和公共利益造成尤其严重损害;本级系统依照国家管理规范和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督、检验。,等级保护概念,第3页,等级保护定级,信息系统定级主要考虑两方面,一是业务信息受到破坏客体是谁,二是对客体侵害程度怎样。两方面结合起来依据下表制订信息系统应该定位第几级。,第4页,Before,中华人民共和国计算机信息系统安全保护条例,(,1994,年 国务院,147,号令),国家信息化领导小组关于加强信息安全保障工作意见,(中办发,27,号),关于信息安全等级保护工作,实施意见,(公通字,66,号),信息安全等级保护,管理方法,(公通字,43,号),关于开展全国主要信息系统安全,等级保护定级工作,通知,(公信安,861,号),上海市:沪公发,319,号,上海市迎世博信息安全保障两年行动计划,年信息安全等级保护工作内容及详细要求,(公信安,232,号),关于组织开展,年度本市主要信息系统,等级保护工作,通知,(沪公发,187,号)沪公发,173,号、沪密局,39,号、。,等级保护政策推进过程,第5页,基础类,计算机信息系统安全保护,等级划分准则,GB 17859-1999,信息系统安全等级保护,实施指南,GB/T CCCC-CCCC,报批稿,应用类,定级:,信息系统安全保护,等级定级指南,GB/T 22240-,建设:,信息系统安全等级保护,基本要求,GB/T 22239-,信息系统通用安全技术要求,GB/T 20271-,信息系统等级保护安全设计技术要求,测评:,信息系统安全等级保护,测评要求,GB/T DDDD-DDDD,报批稿,信息系统安全等级保护测评过程指南,管理:,信息系统安全管理要求,GB/T 20269-,信息系统安全工程管理要求,GB/T 20282-,等级保护十大关键标准,第6页,等级保护完全实施过程,信息系统定级,安全总体规划,安全设计与实施,安全运行维护,信息系统终止,安全等级测评,信息系统立案,安全整改设计,等级符合性检验,应急预案及演练,安全要求整改,安全等级整改,局部调整,等级变更,第7页,能力、办法和要求,安全保护能力,基本安全要求,等保,3,级信息系统,基本技术办法,基本管理办法,具备,包含,包含,满足,满足,实现,第8页,等级保护基本安全要求,某级系统,物理安全,技术要求,管理要求,基本要求,网络安全,主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,第9页,三级系统控制类及控制项,指标类,技术,/,管理,层面,类数量,项数量,S,类,(3,级,),A,类,(3,级,),G,类,(3,级,),小计,小计,安全技术,物理安全,1,1,8,10,32,网络安全,1,0,6,7,33,主机安全,3,1,3,7,32,应用安全,5,2,2,9,31,数据安全,2,1,0,3,8,安全管理,安全管理制度,N/A,3,11,安全管理机构,5,20,人员安全管理,5,16,系统建设管理,11,45,系统运维管理,13,60,合 计,73,(类),290,(项),第10页,三级系统安全保护要求,物理安全,物理安全主要包括方面包含,环境,安全(防火、防水、防雷击等),设备,和,介质,防偷窃防破坏等方面。,物理安全详细包含:,10,个控制点,物理位置选择(,G,)、物理访问控制(,G,)、,防偷窃和防破坏(,G,)、防雷击(,G),、,防火(,G,)、防水和防潮(,G,)、防静电(,G,)、温湿度控制(,G,)、电力供给(,A,)、,电磁防护(,S,),第11页,物理位置选择,基本防护能力,高层、地下室,物理访问控制,基本出入控制,分区域管理,在机房中活动,电子门禁,防偷窃和防破坏,存放位置、标识标识,监控报警系统,防雷击,建筑防雷、机房接地,设备防雷,防火,灭火设备、自动报警,自动消防系统,区域隔离办法,防,静电,关键设备,主要设备,防静电地板,电力供给,稳定电压、短期供给,主要设备,冗余,/,并行线路,备用供电系统,电磁防护,线缆隔离,接地防干扰,电磁屏蔽,防水和防潮,温湿度控制,物理安全整改关键点,第12页,物理位置选择,物理访问控制,防偷窃和防破坏,防雷击、防火、防水和防潮、防静电、温湿度控制,电力供给,电磁防护,不做硬性要求,第13页,三级系统安全保护要求,网络安全,网络安全主要关注方面包含:,网络结构、网络边界以及网络设备,本身安全等。,网络安全详细包含:,7,个控制点,结构安全,(G),、访问控制,(G),、安全审计,(G),、,边界完整性检验,(A),、入侵防范,(G),、,恶意代码防范,(G),、网络设备防护,(G),第14页,结构安全,关键设备冗余空间,主要设备冗余空间,访问控制,访问控制设备(用户、网段),应用层协议过滤,拨号访问限制,会话终止,安全审计,日志统计,审计报表,边界完整性检验,内部非法联出,非授权设备私自外联,网络安全整改关键点,子网,/,网段控制,关键网络带宽,整体网络带宽,主要网段布署,路由控制,带宽分配优先级,端口控制,最大流量数及最大连接数,预防地址坑骗,审计统计保护,定位及阻断,入侵防范,检测常见攻击,统计、报警,恶意代码防范,网络边界处防范,网络设备防护,基本登录判别,组合判别技术,特权用户权限分离,第15页,结构安全,访问控制,安全审计,增加违规外联检测阻断产品,边界完整性检验,入侵防范,增加网关型防毒墙产品,恶意代码防范,网络设备尤其配置服务,网络设备防护,增加网络安全审计产品,第16页,三级系统安全保护要求,主机安全,主机系统安全是包含,服务器、终端,/,工作站,等在内计算机设备在,操作系统及数据库系统,层面安全。,主机安全详细包含:,7,个控制点,身份判别,(S),、访问控制,(S),、安全审计,(G),、,剩下信息保护,(S),、入侵防范,(G),、,恶意代码防范,(G),、资源控制,(A),第17页,身份判别,基本身份判别,访问控制,安全策略,管理用户权限分离,特权用户权限分离,安全审计,服务器基本运行情况审计,审计报表,剩下信息保护,空间释放及信息去除,主机安全整改关键点,组合判别技术,敏感标识设置及操作,审计统计保护,入侵防范,最小安装标准,主要服务器:检测、统计、报警,恶意代码防范,主机与网络防范产品不一样,资源控制,监视主要服务器,最小服务水平检测及报警,主要客户端审计,升级服务器,主要程序完整性,防恶意代码软件、代码库统一管理,对用户会话数及终端登录限制,第18页,身份判别,访问控制,安全审计,增加身份认证系统,剩下信息保护,入侵防范,访问控制策略配置服务,比较超前较难实现,主机入侵防范策略配置服务,恶意代码防范,资源控制,网管软件和主机配置服务,第19页,三级系统安全保护要求,应用安全,应用系统安全就是保护系统各种,应用程序,安全运行。包含,基本应用,,如:消息发送、,web,浏览等;,业务应用,,如:电子商务、电子政务等。,应用安全详细包含:,9,个控制点,身份判别(,S,)、访问控制(,S,)、安全审计(,G,)、剩下信息保护(,S,)、通信完整性(,S,)、,通信保密性(,S,)、抗抵赖(,G,)、软件容错(,A,)、资源控制(,A,),第20页,身份判别,基本身份判别,访问控制,安全策略,最小授权标准,安全审计,运行情况审计(用户级),审计报表,剩下信息保护,空间释放及信息去除,应用安全整改关键点,组合判别技术,敏感标识设置及操作,审计过程保护,通信完整性,校验码技术,密码技术,软件容错,自动保护功效,资源控制,资源分配限制、资源分配优先级,最小服务水平检测及报警,数据有效性检验、部分运行保护,对用户会话数及 系统最大并发会话数限制,审计统计保护,通信保密性,初始化验证,整个报文及会话过程加密,敏感信息加密,抗抵赖,第21页,身份判别,访问控制,安全审计,应用软件本身配置或升级,剩下信息保护,通信完整性,访问控制策略配置服务,通信保密性,抗抵赖,软件容错,资源控制,系统审计配置服务,比较超前较难实现,增加通讯加密伎俩,建立统一,CA,中心,比较超前较难实现,可经过配置服务到达部分要求,第22页,三级系统安全保护要求,数据安全与备份恢复,数据安全主要是保护,用户数据、系统数据、业务数据,保护。将对数据造成损害降至最小。,备份恢复也是预防数据被破坏后无法恢复主要伎俩,主要包含,数据备份、硬件冗余和异地实时备份,。,数据安全和备份恢复详细包含:,3,个控制点,数据完整性(,S,)、数据保密性(,S,)、,备份和恢复(,A,),第23页,数据完整性,判别数据传输完整性,备份和恢复,主要数据备份,数据安全及备份恢复整改关键点,各类数据传输及存放,异地备份,网络冗余、硬件冗余,当地完全备份,硬件冗余,检测和恢复,数据保密性,判别数据存放保密性,各类数据传输及存放,天天,1,次,备份介质场外存放,第24页,数据完整性,数据保密性,备份与恢复,建立统一,CA,中心,增加通讯加密伎俩,仅世博相关单位,第25页,管理要求方面整改,管理制度,管理机构,人员管理,系统建设管理,系统运维管理,环境管理、,资产管理、,介质管理、,设备管理、,监控管理和安全管理中心、,网络安全管理、,系统安全管理、,恶意代码防范管理、,密码管理、,变更管理、,备份与恢复管理、,安全事件处置、,应急预案管理,信息,系统,第26页,26,三级系统安全保护要求,安全管理制度,安全管理制度包含信息安全工作,总体方针、策略、规范,各种安全管理活动,管理制度,以及管理人员或操作人员日常操作,操作规程,。,安全管理制度详细包含:,3,个控制点,管理制度、制订和公布、评审和修订,整改关键点:,形成信息安全管理制度体系、,统一公布、定时修订等,第27页,三级系统安全保护要求,安全管理机构,安全管理机构主要是在单位内部结构上建立一整套从单位,最高管理层,(董事会)到,执行管理层,以及,业务运行层,管理结构来约束和确保各项安全管理办法执行。,安全管理机构详细包含:,5,个控制点,岗位设置、人员配置、授权和审批、,沟通和合作、审核和检验,整改关键点:,信息安全领导小组与职能部门、专职安全员、定时全方面安全检验、定时协调会议、外部沟通与合作等,第28页,三级系统安全保护要求,人员安全管理,对人员安全管理,主要包括两方面:对,内部人员,安全管理和对,外部人员,安全管理。,人员安全管理详细包含:,5,个控制点,人员录用、人员离岗、人员考评、,安全意识教育及培训、外部人员访问管理,整改关键点:,全员保密协议、关键岗位人员管理、针对不一样岗位培训计划、外部人员访问管理,第29页,三级系统安全保护要求,系统建设管理,系统建设管理分别从,定级、设计建设实施、验收交付、测评,等方面考虑,关注各项安全管理活动。,系统建设管理详细包含:,11,个控制点,系统定级、安全方案设计、产品采购和使用、,自行软件开发、外包软件开发、工程实施、,测试验收、系统交付、系统立案、等级测评、,安全服务商选择,整改关键点:,系统定级论证、总体规划、产品选型测试、开发过程人员控制、工程实施制度化、第三方委托测试、运行起,30,天内立案、每年进行,1,次等级测评、安全服务商选择,第30页,三级系统安全保护要求,系统运维管理,系统运维管理包括,日常管理、变更管理、制度化管理、安全事件处置、应急预案管理和安管中心,等。,系统运维管理详细包含:,13,个控制点,环境管理、资产管理、介质管理、设备管理、,监控管理和安全管理中心、网络安全管理、,系统安全管理、恶意代码防范管理、密码管理、,变更管理、备份与恢复管理、安全事件处置、,应急预案管理,整改关键点:,办公环境保密性、资产标识和分类管理、介质,/,设备,/,系统,/,网络,/,密码,/,备份与恢复制度化管理、建立安全管理中心、安全事件分类分级响应、应急预案演练和审查,第31页,经典案例小结,技术整改办法,技,术,整,改,措,施,第32页,经典案例小结,管理整改办法,管,理,整,改,措,施,第33页,
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
