信息安全之等保三级综述分析报告.ppt

数据完整性 鉴别数据传输的完整性 备份和恢复 重要数据的备份 数据安全及备份恢复的整改要点 各类数据传输及存储 异地备份 网络冗余、硬件冗余 本地完全备份 硬件冗余 检测和恢复 数据保密性 鉴别数据存储的保密性 各类数据的传输及存储 每天1次 备份介质场外存放 技 术 整 改 措 施 示意 第3级 管 理 整 改 措 施 示意 第3级 应坚持的基本原则 上网的机器不触“敏” 怎么能保证上网机未触及敏感信息 触“敏”的机器不上网或者严控上网 怎么能保证触“敏”机安全连接外部网络 严禁介质交叉使用 如何严控一般介质插入触敏机使用 如何严控敏感介质插入一般机使用 对安全保障的感想 基于主动防御的思想，保护信息资产 基于信息流的资产、风险全程识别与控制 正视现实，按照等级保护的要求制定适宜安全策略 重视残余风险的识别与控制 综合、专业的安全运维和管理 人、安全意识 核心 谢 谢。 等级保护基本要求 概述 控制点 一级 二级 三级 四级 物理位置的选择 * * * 物理访问控制 * * * * 防盗窃和防破坏 * * * * 防雷击 * * * * 防火 * * * * 防水和防潮 * * * * 防静电 * * * 温湿度控制 * * * * 电力供应－A * * * * 电磁防护－S * * * 合计 7 10 10 10 物理安全 环境 设备、介质 * 基本要求－－GB/T 22239 网络安全 控制点 一级 二级 三级 四级 结构安全 * * * * 访问控制 * * * * 安全审计 * * * 边界完整性检查－S * * * 入侵防范 * * * 恶意代码防范 * * 网络设备防护 * * * * 合计 3 6 7 7 结构 边界 设备 * 基本要求－－GB/T 22239 主机安全 控制点 一级 二级 三级 四级 身份鉴别－S * * * * 安全标记－S * 访问控制－S * * * * 可信路径－S * 安全审计 * * * 剩余信息保护－S * * 入侵防范 * * * * 恶意代码防范 * * * * 资源控制－A * * * 合计 4 6 7 9 服务器； 终端/工作站 On 操作系统； 数据库系统 * 基本要求－－GB/T 22239 应用安全 控制点 一级 二级 三级 四级 身份鉴别－S * * * * 安全标记－S * 访问控制－S * * * * 可信路经－S * 安全审计 * * * 剩余信息保护－S * * 通信完整性－S * * * * 通信保密性－S * * * 抗抵赖 * * 软件容错－A * * * * 资源控制－A * * * 合计 4 7 9 11 基本应用 业务应用 * 基本要求－－GB/T 22239 数据安全及 备份恢复 控制点 一级 二级 三级 四级 数据完整性－S * * * * 数据保密性－S * * * 备份和恢复－A * * * * 合计 2 3 3 3 用户数据 系统数据 业务数据 ＋ 数据备份 硬件冗余 异地实时备份 * 基本要求－－GB/T 22239 管理制度 总体方针 策略 管理制度 操作规程 控制点 一级 二级 三级 四级 管理制度 * * * * 制定和发布 * * * * 评审和修订 * * * 合计 2 3 3 3 * 基本要求－－GB/T 22239 管理机构 最高管理层 执行管理层 业务运营层 控制点 一级 二级 三级 四级 岗位设置 * * * * 人员配备 * * * * 授权和审批 * * * * 沟通和合作 * * * * 审核和检查 * * * 合计 4 5 5 5 * 基本要求－－GB/T 22239 人员安全 内部人员 外部人员 控制点 一级 二级 三级 四级 人员录用 * * * * 人员离岗 * * * * 人员考核 * * * 安全意识教育和培训 * * * * 外部人员访问管理 * * * * 合计 4 5 5 5 * 基本要求－－GB/T 22239 建设管理 定级、设计 建设实施 验收交付测评 控制点 一级 二级 三级 四级 系统定级 * * * * 安全方案设计 * * * * 产品采购和使用 * * * * 自行软件开发 * * * * 外包软件开发 * * * * 工程实施 * * * * 测试验收 * * * * 系统交付 * * * * 系统备案 * * * 等级测评 * * * 安全服务商选择 * * * * 合计 9 9 11 11 * 基本要求－－GB/T 22239 运维管理 日常/应急/变更 制度化管理 监管、安管中心 控制点 一级 二级 三级 四级 环境管理 * * * * 资产管理 * * * * 介质管理 * * * * 设备管理 * * * * 监控管理和安全管理中心 * *