电子政务信息系统等级保护标准简介.pptVIP

* * * * 以三级要求为例 * 分为管理和技术两部分，下面有细分为10个类 * 10个控制点 物理层面安全为信息系统的安全运行和信息的安全保护提供基本的计算机、网络硬件设备、设施、环境、介质等方面全面支持。 电磁防护：避免电源信号线等相互干扰；关键设备和磁介质电磁屏蔽 * 8个控制点 网络层面安全为信息系统在网络环境的安全运行提供支持。一方面，确保网络系统的安全运行，提供有效的网络服务，另一方面，确保在网上能够有效的传输数据 结构安全：设备业务处理、带宽满足高峰期需要，建立路由控制的安全访问路径，拓扑图、子网划分，网络间技术隔离，带宽优先级控制 边界完整性：非法外联、非法内联 * 主机系统层面安全是在物理安全的基础上提供主机安全的操作系统和安全的数据库管理系统，以实现操作系统和数据库管理系统的安全运行以及对操作系统和数据库管理系统所存储、传输和处理数据的安全保护 剩余信息保护：应保证用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中； 应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除。 * 10个控制点 应用层面安全是在物理、主机系统、网络等层面安全的支持下，实现用户安全需求所确定的安全目标。 * 数据层面安全主要提供安全措施对鉴别数据、安全属性和用户数据在处理、传输和存储过程中的安全进行保护。 * 安全管理包括对信息系统的所有部件和整个生命周期的安全管理，涵盖上述所有层面，其管理内容应包括组织和人员、工程管理、运行管理、等级保护管理、应急处理管理和密码管理等方面。 * 11个控制点 * 13个控制点 * 根据保护侧重点的不同，技术类安全要求进一步细分为：保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求（简记为S）；保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求（简记为A）；通用安全保护类要求（简记为G）。 * * * * * * * 技术要求—网络安全 结构安全 网络安全(3级) 访问控制 安全审计 边界完整性检查 入侵防范 恶意代码防范 网络设备防护 技术要求—主机安全 身份鉴别 主机系统安全(3级) 访问控制 安全审计 剩余信息保护 入侵防范 恶意代码防范 系统资源控制 技术要求—应用安全 身份鉴别 应用安全(3级) 访问控制 通信完整性 通信保密性 安全审计 剩余信息保护 抗抵赖 软件容错 资源控制 技术要求—数据安全 数据完整性 数据安全(3级) 数据保密性 数据备份与恢复 管理要求—安全管理机构 岗位设置 安全管理机构(3级) 人员配备 授权和审批 沟通和合作 审核和检查 管理要求—安全管理制度 管理制度 安全管理制度(3级) 制订和发布 评审和修订 管理要求—人员安全管理 人员录用 人员安全管理(3级) 人员离岗 人员考核 安全意识教育和培训 外部人员访问管理 管理要求—系统建设管理 系统定级 系统建设管理(3级) 安全方案设计 产品采购和使用 自行软件开发 外包软件开发 工程实施 测试验收 系统交付 安全服务商选择 等 级 测 评 管理要求—系统运维管理 系统运维管理(3级) 环境管理 资产管理 设备管理 介质管理 监控管理 网络安全管理 系统安全管理 恶意代码防范管理 变更管理 密码管理 备份和恢复管理 安全事件处置 应急预案管理 基本要求标注方式 基本要求 技术要求 管理要求 要求标注 业务信息安全类要求（标记为S类） 系统服务保证类要求（标记为A类） 通用安全保护类要求（标记为G类） 三类要求之间的关系 通用安全保护类要求（G） 业务信息安全类（S） 系统服务保证类（A 安全要求 安全保护和系统定级的关系 安全等级 信息系统保护要求的组合 第一级 S1A1G1 第二级 S1A2G2，S2A2G2，S2A1G2 第三级 S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3 第四级 S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4 定级指南要求按照“业务信息”和“系统服务”的需求确定整个系统的安全保护等级 定级过程反映了信息系统的保护要求 不同级别系统控制点的差异 安全要求类 层面 一级 二级 三级 四级 技术要求 物理安全 7 10 10 10 网络安全 3 6 7 7 主机安全 4 6 7 9 应用安全 4 7 9 11 数据安全及备份恢复 2 3 3 3 管理要求 安全管理制度 2 3 3 3 安全管理机构 4 5 5 5 人员安全管理 4 5 5 5 系统建设管理 9 9 11 11 系统运维管理 9 12 13 13 合计 / 48 66 73