等级保护南大.pptVIP

网络安全与信息安全概述 主要议题 安全评价标准与等级保护 信息安全保密设计及标准 PHASE1 安全评价标准与等级保护 PHASE1 安全评价标准与等级保护 安全评价标准与等级保护 涉密系统安全标准和设计要求 PHASE1.1.2 分级标准简介 美国分级标准参考因素 ：资产，包括有形资产和无形资产（FIPS199， IATF ） ：威胁（如IATF等） ：危害性（FIPS199，IATF ） ：单位业务对信息系统的依赖程度（DITSCAP） PHASE1.1.3 分级标准简介 美国分级标准 联邦政府机构标准：对信息和信息系统的三类安全目标（保密性、完整性和可用性）影响来定标准，分低、中、高 安全级别SC＝{(保密性，影响级)，(完整性，影响级)，(可用性，影响级)} PHASE1.1.4 分级标准简介 美国分级标准 国防部标准：业务保障类、保密类 完整性、可用性：形成三级业务保障类 机密类、敏感类和公开类（高、中、基本）形成三级保密类 组合形成九种分级标准 PHASE1.1.5 分级标准简介 PHASE1.1.15 安全规划与设计流程 安全总体设计 系统整体安全管理策略设计 选择和规定信息安全的组织管理体系和对各信息系统的安全管理职责 选择和规定各等级信息系统的人员安全管理策略 选择和规定各等级信息系统机房及办公区等物理环境的安全管理策略 选择和规定各等级信息系统介质、设备等的安全管理策略 选择和规定各等级信息系统运行安全管理策略 选择和规定各等级信息系统安全事件处置和应急管理策略 形成信息系统安全管理策略框架 设计结果文档 安全建设规划 安全建设目标确定 安全建设内容规划 安全建设方案设计 PHASE1.15 安全规划与设计流程 安全 实施 流程 PHASE1.16 安全实施 安全方案详细设计 结构框架设计 功能要求设计 性能要求设计 部署方案设计 制定安全策略实现计划 等级保护管理实施内容设计 设计结果文档 PHASE1.16 安全实施 等级保护管理实施 管理机构和人员的设置 安全组织 角色说明 管理制度的建设和修订 应用范围 人员职责 行为规范 评估与完善 人员安全技能培训 安全实施过程管理 PHASE1.16 安全实施 等级保护管理实施 安全实施过程管理 质量管理 风险管理 变更管理 进度管理 文档管理 PHASE1.16 安全实施 等级保护技术实施 安全产品采购 安全控制开发 安全控制集成 集成实施方案制定 集成准备阶段 集成实施阶段 培训阶段 形成安全控制集成报告 测试与验收 验收准备 组织验收 系统交付 验收报告 等级保护安全测评 全实施过程管理 PHASE1.16 安全实施 安全运维 主要活动 PHASE1.17 安全运维 监控对象状态信息收集 监控状态分析和报告 状态分析 影响分析 安全状态分析报告 安全事件处置和应急预案 安全事件分级 应急预案制定 安全事件处置 安全检查和持续改进 等级保护安全测评 等级保护监督检查 PHASE1.18 安全状态监控 * PHASE1.1.1 信息安全基本要素 信息安全三要素 信息可用性 信息完整性 信息保密性 国家等级化分级标准 公安部、信息产业部为主导：计算机信息系统安 全保护等级划分准则 ?? GB 17859-1999 用户自主保护级 系统审计保护级 安全标记保护级 结构化保护级 访问验证保护级 PHASE1.1.5 其它分级安全标准 国家保密局为主导（MBZ系列） 信息系统物理安全、运行安全、信息保密、安全管理 秘密级 机密级 绝密级 中机、国家密码委 以应用不同领域为依据，采用不同密码算法为标准 商密 普密 核密 PHASE1.1.6 信息安全评价标准与等级保护五级划分 五级等级保护基本内容 目标：对信息系统重点保护和有效保护 对象：信息和信息系统 涉及工作面 对信息系统分等级实施保护 对涉及到的信息安全产品实施分级管理 对信息安全事件分等级响应 PHASE1.1.6 信息安全评价标准与等级保护五级划分 五级划分 自主保护级：一般信息系统，不损害国家安全和公众利益 指导保护级：出现问题，对社会秩序和公众利益造成轻微损害，自主保护为主，必要时监管部予以指导 监督保护级：涉及重要的国家、社会、公共利益