等保三级系统加固及测评关键点选编.pptx

信息系统安全加固;Before 2005 《中华人民共和国计算机信息系统安全保护条例》（1994年 国务院147号令） 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号） 《关于信息安全等级保护工作的实施意见》（公通字[2004]66号） 2007 《信息安全等级保护管理办法》（公通字[2007]43号） 《关于开展全国重要信息系统安全等级保护定级工作的通知》 （公信安[2007]861号）－－－上海市：沪公发[2007]319号 《上海市迎世博信息安全保障两年行动计划》 2009 《2009年信息安全等级保护工作内容及具体要求》（公信安[2009]232号） 《关于组织开展2009年度本市重要信息系统等级保护工作的通知》 （沪公发[2009]187号）－－－沪公发[2009]173号、沪密局[2009]39号、。。。;基础类 《计算机信息系统安全保护等级划分准则》GB 17859-1999 《信息系统安全等级保护实施指南》GB/T CCCC-CCCC 报批稿 应用类 定级：《信息系统安全保护等级定级指南》GB/T 22240-2008 建设：《信息系统安全等级保护基本要求》GB/T 22239-2008 《信息系统通用安全技术要求》GB/T 20271-2006 《信息系统等级保护安全设计技术要求》 测评：《信息系统安全等级保护测评要求》 GB/T DDDD-DDDD 报批稿 《信息系统安全等级保护测评过程指南》 管理：《信息系统安全管理要求》GB/T 20269-2006 《信息系统安全工程管理要求》GB/T 20282-2006 ;等级保护－－完全实施过程;能力、措施和要求;等级保护基本安全要求;三级系统的控制类及控制项;物理安全主要涉及的方面包括环境安全（防火、防水、防雷击等）设备和介质的防盗窃防破坏等方面。 物理安全具体包括：10个控制点 物理位置的选择（G）、 物理访问控制（G）、 防盗窃和防破坏（G）、 防雷击（G)、 防火（G）、防水和防潮（G） 、防静电（G） 、温湿度控制（G）、电力供应（A）、 电磁防护（S） ;物理位置的选择;物理位置选择;网络安全主要关注的方面包括：网络结构、网络边界以及网络设备自身安全等。 网络安全具体包括：7个控制点 结构安全(G)、访问控制(G)、安全审计(G)、 边界完整性检查(A)、入侵防范(G)、 恶意代码防范(G)、网络设备防护(G) ;结构安全;;主机系统安全是包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。 主机安全具体包括：7个控制点 身份鉴别(S)、访问控制(S)、安全审计(G)、 剩余信息保护(S)、入侵防范(G)、 恶意代码防范(G)、资源控制(A) ;身份鉴别;;应用系统的安全就是保护系统的各种应用程序安全运行。包括基本应用，如：消息发送、web浏览等；业务应用，如：电子商务、电子政务等。 应用安全具体包括：9个控制点 身份鉴别（S）、访问控制（S）、安全审计 （G）、剩余信息保护（S）、通信完整性（S）、 通信保密性（S）、抗抵赖（G）、软件容错（A）、资源控制（A） ;身份鉴别;身份鉴别;数据安全主要是保护用户数据、系统数据、业务数据的保护。将对数据造成的损害降至最小。 备份恢复也是防止数据被破坏后无法恢复的重要手段，主要包括数据备份、硬件冗余和异地实时备份。 数据安全和备份恢复具体包括：3个控制点 数据完整性（S）、数据保密性（S）、 备份和恢复（A）;数据完整性;;23;安全管理制度包括信息安全工作的总体方针、策略、规范各种安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程。 安全管理制度具体包括：3个控制点 管理制度、制定和发布、评审和修订 整改要点：形成信息安全管理制度体系、 统一发布、定期修订等 ;安全管理机构主要是在单位的内部结构上建立一整套从单位最高管理层（董事会）到执行管理层以及业务运营层的管理结构来约束和保证各项安全管理措施的执行。 安全管理机构具体包括：5个控制点 岗位设置、人员配备、授权和审批、 沟通和合作、审核和检查 整改要点：信息安全领导小组与职能部门、专职安全员、定期全面安全检查、定期协调会议、外部沟