信息安全等级保护详解.pptVIP

信息安全等级保护 -为信息保驾护航 信息安全等级保护的目的 国际上计算机犯罪正以每年100%的速度增长。在Internet网上的黑客攻击事件也以每年10倍的速度在增长;计算机病毒从1998年发现首例以来,增长的速度呈几何级数。 据美国审计总署资料：世界上120余个国家已经或正在研究进入计算机网络的手段。1995年，入侵美国国防部计算机网络的事件多达25万次，其中65%（16.25万次）获得了成功。欧美等国金融机构的计算机网络被入侵的比例高达77%，我国近几年来计算机犯罪也以30%的速度在增长。国内90%以上的电子商务网站存在严重的安全漏洞。 信息安全等级保护的目的 信息安全等级保护实施步骤 信息系统安全保护等级的划分与保护 信息系统安全保护等级的确定 备案和备案审核 信息系统安全建设整改、等级测评 备案审核 信息安全等级保护实施步骤 信息网络系统 系统1 系统2 系统3 系统4 受影响的客体 公民、法人和其他组织的合法权益； 社会秩序、公共利益；国家安全 侵害的程度 一般损害 严重损害 特别严重损害 业务信息安全被破坏时所侵害的客体 系统服务安全被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 信息安全等级保护测评方法和意义 等级测评和自查要求。 《管理办法》第十四条规定，信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。 第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。 经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改。 信息安全等级保护测评方法和意义 信息系统安全等级保护测评要求 安全技术测评 安全管理测评 物理安全 网络安全 主机系统安全 应用安全 数据安全 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 信息安全等级保护测评方法和意义 案例： 系统简述： 某省政府网站系统ZFWZ，用于发布政务公开信息、地方行政法规和管理措施、领导讲话、政府办事流程、新闻发布、政府公告、举报投诉、省内经济形势介绍、电子表单下载等信息，服务对象主要是省内企业和市民。 信息安全等级保护测评方法和意义 ZFWZ系统等级确定过程： ZFWZ系统是省政府对社会办公的窗口，其中发布的信息内容代表政府形象和体现政府的社会管理和社会服务职能，因此该信息安全被破坏可能对社会秩序造成一定影响； 由于省政府网站的访问量并不很大，信息被篡改可能造成的不良社会影响不会很大，因此对社会秩序的侵害程度为一般损害； 信息安全等级保护测评方法和意义 3.查表知ZFWZ系统的业务信息安全保护等级为第二级，如下表所示。 业务信息安全被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 信息安全等级保护测评方法和意义 4. ZFWZ系统为省内企业和市民提供政府信息查询和下载服务，其系统服务如果不可用侵害的不是省政府本身的利益，而是公众获取公开信息的公众利益； 5.但由于没有必须通过网络才能够执行的办事流程，ZFWZ系统对服务实时性和服务质量要求不高，政务服务工作主要通过网络之外完成，网络仅提供相关信息和表单下载，网站不能提供服务对市民办事影响不大； 信息安全等级保护测评方法和意义 6.查表知ZFWZ系统的业务服务安全保护等级为第二级，如下表所示： 7. ZFWZ系统的安全保护等级为第二级。 系统服务安全被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 信息安全等级保护测评方法和意义 测评实施 一、确定资产与边界（范围） 1、操作系统 序号 名 称 型号 操作系统 1 门户服务器 IBM openpower 710 SUSE Linux 3 应用/DB服务器 IBM p550 AIX5.2 pack6 4 RA服务器 信安服务器 SUSE Linux 信息安全等级保护测评方法和意义 2、网络设备 序号 名 称 型号 操作系统 1 路由器 Quidway AR