三级等保培训讲解.pptVIP

数据完整性 鉴别数据传输的完整性 备份和恢复 重要数据的备份 数据安全及备份恢复的整改要点 各类数据传输及存储 异地备份 网络冗余、硬件冗余 本地完全备份 硬件冗余 检测和恢复 数据保密性 鉴别数据存储的保密性 各类数据的传输及存储 每天1次 备份介质场外存放 * 管理制度 管理机构 人员管理 系统建设管理 系统运维管理 安全管理制度包括信息安全工作的总体方针、策略、规范各种安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程。 安全管理制度具体包括：3个控制点 管理制度、制定和发布、评审和修订 整改要点：形成信息安全管理制度体系、 统一发布、定期修订等 安全管理机构主要是在单位的内部结构上建立一整套从单位最高管理层（董事会）到执行管理层以及业务运营层的管理结构来约束和保证各项安全管理措施的执行。 安全管理机构具体包括：5个控制点 岗位设置、人员配备、授权和审批、 沟通和合作、审核和检查 整改要点：信息安全领导小组与职能部门、专职安全员、定期全面安全检查、定期协调会议、外部沟通与合作等 对人员安全的管理，主要涉及两方面： 对内部人员的安全管理和对外部人员的安全管理。 人员安全管理具体包括：5个控制点 人员录用、人员离岗、人员考核、 安全意识教育及培训、外部人员访问管理 整改要点：全员保密协议、关键岗位人员管理、针对不同岗位的培训计划、外部人员访问管理 系统建设管理分别从定级、设计建设实施、验收交付、测评等方面考虑，关注各项安全管理活动。 系统建设管理具体包括：11个控制点 系统定级、安全方案设计、产品采购和使用、 自行软件开发、外包软件开发、工程实施、 测试验收、系统交付、系统备案、等级测评、 安全服务商选择 整改要点：系统定级的论证、总体规划、产品选型测试、开发过程的人员控制、工程实施制度化、第三方委托测试、运行起30 天内备案、每年进行1次等级测评、安全服务商的选择 系统运维管理涉及日常管理、变更管理、制度化管理、安全事件处置、应急预案管理和安管中心等。 系统运维管理具体包括：13个控制点 环境管理、资产管理、介质管理、设备管理、 监控管理和安全管理中心、网络安全管理、 系统安全管理、恶意代码防范管理、密码管理、 变更管理、备份与恢复管理、安全事件处置、 应急预案管理 整改要点：办公环境保密性、资产的标识和分类管理、介质/设备/系统/网络/密码/备份与恢复的制度化管理、建立安全管理中心、安全事件分类分级响应、 应急预案的演练和审查 技 术 整 改 措 施 典型案例小结—管理整改措施 管 理 整 改 措 施 * * 业务信息安全类S：关注的是保护数据在存储、传输、处理过程中不被泄露、破坏和免受未授权修改。 系统服务安全类A：关注的是保护系统连续正常运行。 通用安全保护类G：大多数技术类安全要求都属于此类，属于基础类。 G3控制项有154项。 G类必须达到三级，A、S类选择一个达到三级即可。 * * 主要是对已有设备的配置和使用情况进行检查和修改。 30的服务： 网络及安全设备的配置和优化服务； 监控分析及优化服务； 是否进行了路由控制建立安全的访问路径？ 重要网段的隔离部署； 重要网段应采取技术手段防止地址欺骗；如：MAC+IP绑定 审计数据的梳理及分析； 设定用户的访问权限并配置策略（内部和外部）； 对登录网络设备的用户进行身份鉴别和地址限制； 对重要业务的带宽做最小流量设置。 * 30服务： 主机系统配置检查； 主机系统配置优化与加固； 主机系统审计记录分析； 主机系统脆弱性测试； 主机系统是否有帐户设置和管理规范？ 登录主机系统的用户身份鉴别手段复杂程度？ 管理用户的权限如何界定？ 是否有主机系统审计？是否对审计记录进行定期分析？ 主机系统的入侵防范和防恶意代码攻击策略如何设置？是否在有效期内？是否定期更新？ * 30服务： 数据库系统脆弱性检查； 应用软件脆弱性检查； 应用系统是否有登录控制功能？ 是否有限制非法登录次数和自动退出等措施？ 是否配置访问控制策略，并严格限制默认帐户的访问权限？ 是否启用了应用系统的审计？并对审计记录进行定期分析？ 应用系统是否有数据通讯完整性和保密性的措施？ 应用系统是否提供数据有效性检验功能？ 是否对系统的最大并发会话连接数进行限制？ 系统渗透性测试； * 30服务： 数据修复服务； 数据备份与恢复服务； * 30服务： 数据修复服务； 数据