信息安全等级保护与解决方案课件.ppt

信息安全等级保护与解决方案 山东省信息中心 山东信息协会信息安全专业委员会 二00七年十二月 信息安全等级保护与解决方案 信息安全等级保护 信息安全现状与问题 信息安全等级保护简介 信息安全解决方案 信息安全技术 信息安全管理 信息安全方案 信息安全现状 日益增长的安全威胁 攻击技术越来越复杂 入侵条件越来越简单 信息安全问题 安全事件 每年都有上千家政府网站被攻击 安全影响 任何网络都可能遭受入侵 信息系统安全等级保护 信息系统安全等级保护简介 信息系统安全保护等级划分 信息系统安全保护定级指南 信息安全等级保护相关文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定计算机信息系统实行信息系统安全等级保护。 2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）中明确指出：“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息系统安全等级保护制度，制定信息系统安全等级保护的管理办法和技术指南”。 2004年公安部等四部委《关于信息系统安全等级保护工作的实施意见》（公通字[2004]66号）也指出：“信息系统安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度”。 信息安全等级保护发展历程 2007年7月，四部委联合会签并下发了《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号） 2007年8月,山东省公安厅、山东省保密局、山东省密码管理局和山东省信息办联合下发了《山东省重要信息系统安全等级保护定级工作方案》 定级范围：１　电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。２　铁路、银行、海关、税务、民航、电力、证券、保险、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。３　市（地）级以上党政机关的重要网站和办公信息系统。４　涉及国家秘密的信息系统。 信息系统安全保护的目标 实行等级保护的总体目标是为了统一信息安全保护工作，推进规范化、法制化建设，保障安全，促进发展，完善我国信息安全法规和标准体系，提高我国信息安全和信息系统安全建设的整体水平。 信息安全等级保护的对象 信息 信息系统 等级保护工作的三个方面 对信息系统分等级实施安全保护; 对信息系统中使用的信息安全产品实行分等级管理; 对信息系统中发生的信息安全事件分等级响应、处置。 决定信息系统重要性的要素 信息系统所属类型，即信息系统资产的安全利益主体 信息系统主要处理的业务信息类别 ----决定信息系统内信息资产的重要性 信息系统服务范围，包括服务对象和服务网络覆盖范围 业务对信息系统的依赖程度 ----决定信息系统所提供服务的重要性 信息系统安全保护等级 业务子系统的安全保护等级由业务信息安全性等级和业务服务保证性等级较高者决定。 信息系统的安全保护等级由各业务子系统的最高等级决定。 信息安全技术 物理安全：物理位置选择、物理访问控制、防盗和防破坏、防雷击、防火、防水、防潮湿、防静电、电力保障、电磁防护 网络安全：结构安全和网段划分、网络访问控制、拨号访问控制、网络安全审计、边界完整性检测、网络入侵防范、网络设备防护、恶意代码防范 主机系统安全：身份鉴别、自主访问控制、强制访问控制、安全审计、系统保护、剩余信息保护、入侵防范、恶意代码防范、资源控制 应用安全：身份鉴别、访问控制、安全审计、剩余信息保护、通信保密性、通信完整性、抗抵赖、软件容错、资源控制 数据安全：数据完整性、数据保密性、数据备份与恢复 结构安全和网段划分 网络设备的业务处理能力应具备冗余空间，要求满足业务高峰期需要； 设计和绘制与当前运行情况相符的网络拓扑结构图； 根据机构业务的特点，在满足业务高峰期需要的基础上，合理设计网络带宽； 在业务终端与业务服务器之间进行路由控制建立安全的访问路径； 根据各部门的工作职能、重要性、所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段； 重要网段应采取网络层地址与数据链路层地址绑定措施，防止地址欺骗； 按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要信息资产主机。 网络安全