等级保护与网站防护.doc

等级保护与WEB防护 2008-09-01 为什么要实行等级保护？ 信息系统与社会组织体系是具有对应关系的，而这些组织体系是分层次和级别的，因此各种信息系统是具 有不同等级的重要性和社会、经济价值的。对信息系统的基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统的重要程度进行区别对待就是级别的客观要求。信息安全必须符合这些客观要求，这就需要对信息系统进行分级、分区域、分阶段进行保护，这是做好国家信息安全的必要条件。  等级保护具体分级说明  第一级 信息系统受到破坏后，会对公民、法人和其他组织的合法权 益造成损害，但不损害国家安全、社会秩序和公共利益   第二级 信息系统受到破坏后，会对公民、法人和其他组织的合法权 益产生严重损害，或者对社会秩序和公共利益造成损害，但 不损害国家安全   第三级 信息系统受到破坏后，会对社会秩序和公共利益造成严重损 害，或者对国家安全造成 损害   第四级 信息系统受到破坏后，会对社会秩序和公共利益造成特别严 重损害，或者对国家安全造成严重损害   第五级 信息系统受到破坏后，会对国家安全造成特别严重损害  网站安全等级定级（参考） 企事业单位网站‐‐‐‐‐‐‐1级区县级政府网站‐‐‐‐‐‐‐1级 地市政府网站‐‐‐‐‐‐2级省级政府网站‐‐‐‐‐‐2级‐‐‐‐‐‐2级 中央政府网站‐‐‐‐‐‐3级‐‐‐‐‐‐3级 中央门户‐‐‐‐‐‐3级‐‐‐‐‐‐‐3级  等级保护的实施与管理 ? 定级 – 信息系统安全等级保护定级指南 – 四级以上应请国家信息安全保护等级专家评审委员会评审 ? 系统等级建设 – 计算机信息系统安全保护等级划分准则 – 信息系统安全等级保护基本要求 – 信息安全技术信息系统通用安全技术要求 – 信息安全技术网络基础安全技术要求 – 信息安全技术操作系统安全技术要求 – 信息安全技术数据库管理系统安全技术要求 ? 系统测评与自查 – 信息系统安全等级保护测评要求 – 三级每年至少进行一次 ? 备案 – 已运营二级以上系统，应在等级确定后30日内，到市级以上公安机关备案 – 新建二级以上系统，应投入运行后30日内，到市级以上公安机关备案 – 等级保护备案证明  主要防范措施 三级（以上）： 防火墙； 防病毒； 身份认证； 安全审计 网站防入侵（SQL注入、跨站脚本等） 网页防篡改； 网页木马检测； 渗透测试，代码审计； 系统加固； 抗拒绝服务攻击；  主要防范措施 二级： 防火墙； 防病毒； IPS； 安全审计； 网页防篡改； 网页木马检测系统；  主要防范措施 一级 防火墙； 防病毒； 网页防篡改； 网页木马检测系统；