等级保护交流资料.pptVIP

某厅信息系统安全建设方案 等级保护经过多年的发展，形成了以《计算机信息系统安全保护等级划分准则》（GB17859-1999）为基础的技术、管理和产品三大类标准体系，并出台了系统定级、安全设计技术要求等政策文件，为开展信息安全等级保护工作提供了标准保障 * 在信息安全等级保护安全建设整改工作中，可参照执行的标准包括在系统定级方面依据定级指南和行业定级细则，在现状分析方面依据测评要求和测评过程指南，在安全要求依据基本要求和行业细则，在方法指导方面可以依据安全设计技术要求和实施指南 * 信息系统分为五个安全保护等级，安全保护能力逐级增高，相应的安全保护要求和措施逐级增强，主要体现在安全要求项数增加，强度的增加 * 依据技术要求，技术部分划分为物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复五个大类，二级、三级、四涵盖控制点分别为79个，136个，148个 * 依据管理要求，管理部分分为安全管理制度、安全管理机构、人员管理、系统建设管理、系统运维管理五个部分，不同的安全保护等级会有不同的安全管理要求，具体体现在管理要素数量的增加和管理强度的增强两个方面 * * 信息系统等级保护安全技术设计包括各级系统安全保护环境的设计及其安全互联的设计。各级系统安全保护环境由相应级别的安全计算环境、安全区域边界、安全通信网络和（或）安全管理中心组成。定级系统互联由安全互联部件和跨定级系统安全管理中心组成 * 北京高级人民法院安全管理平台 2013年6月 2 安全 3 1 安全管理平台需求 安全管理平台的功能 安全管理平台的作用 系统定级 安全设计技术要求 (5)系统建设 (3)政策推动 公通字[2004]66号文 [2007]43号文 (2)政策确立 中办发[2003]27号文 (1)基础 50多个标准 等级保护基本要求 (4) 产品执行标准 GB17859-1999 国务院令[1994]147号文 安全管理平台的需求 信息安全等级保护相关标准及标准之间关系示意图 依据《计算机信息系统安全保护等级划分准则》，将信息系统安全保护能力划分为五个等级。 GB 17859-1999 第二级、系统审计保护级 第三级、安全标记保护级 第四级、结构化保护级 1.自主访问控制 1.自主访问控制 1.自主访问控制 2.身份鉴别 2.强制访问控制 *** 2.强制访问控制 3.客体重用 3.标记 *** 3.标记 4.审计 4.身份鉴别 4.身份鉴别 5.数据完整性 5.客体重用 5.客体重用 　 6.审计 6.审计 7.数据完整性 7.数据完整性 　 8.隐蔽信道分析 *** 9.可信路径 *** 计算机信息系统安全保护能力随着安全保护等级的增高，逐渐增强, 各级之间不仅从安全保障项目上有所差别,更多的体现在安全保障强度上. 安全要素列表 安全要求类 层面 二级 三级 四级 技术要求 物理安全 19 32 33 　 网络安全 18 33 32 　 主机安全 19 32 36 　 应用安全 19 31 36 　 数据安全及备份恢复 4 8 11 合计(控制项) 　 79 136 148 级差 　 　 57 12 1.安全管理制度 2.安全管理机构 3.人员安全管理 4.系统建设管理 5.系统运维管理 1.管理制度 1.岗位设置 1.人员录用 1.系统定级 1.环境管理 2.制定和发布 2.人员配备 2.人员离岗 2.安全方案设计 2.资产管理 3.评审和修订 3.授权和审批 3.人员考核 3.产品采购和使用 3.介质管理 4.沟通和合作 4.安全意识教育和培训 4.自行软件开发 4.设备管理 5.审核和检查 5.外部人员访问管理 5.外包软件开发 5.监控管理和安全管理中心 6.工程实施 6.网络安全管理 7.测试验收 7.系统安全管理 8.系统交付 8.恶意代码防范管理 9.系统备案 9.密码管理 10.等级测评 10.变更管理 11.安全服务商选择 11.备份与恢复管理 12.安全事件处置 13.应急预案管理 安全要素列表 管理要求： 高安全等级技术保护要求主要是针对国家信息安全等级保护第三级以上系统。 监督检查级（三级）涉及到重要性信息的系统，要具有抵御来自外部有组织的恶意攻击能力，和防内部人员攻击的能力，不仅要对安全事件有审计纪录，还要能追踪、能响应处理，要实现多重保护制度。 强制监督检查级（四级）要有能抵御来自敌对组织的大规模攻击的能力，和防止内部人员内外勾结的恶意攻击的能力。不仅要全面审计违规行为，还要具有及时报警和应急处理能力。 2 3 高安全等级保护体系结构 4 安全产品建议 典型方案 1 高安全等级技术防护要求 “一个中心”管理下的“三重防护”体系。 安全计算环境 对