第7讲信息安全等级保护.pptVIP

信息安全的属性特征 信息安全是整体的、发展的、非传统的安全 信息安全是一个系统工程，需要全社会共同努力 信息安全不是绝对的，是动态的、相对的 信息安全不是一个国家能完全控制的问题，具有全球化的特点，应从全球信息化角度考虑和布局 信息安全不是一个孤立的问题，应在系统建设过程中充分考虑 公安部关于等级保护文件规定 第一级为自主保护级 第二级为指导保护级 第一级为监督保护级 第一级为强制保护级 第一级为专控保护级 如何理解信息系统的五个安全保护等级 第一级：一般适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。 第二级：一般适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统，如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。 第三级：一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省连接的网络系统等。 第四级：一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。 第五级：一般适用于国家重要领域、重要部门中的极端重要系统。 涉及国家秘密信息系统的分级保护管理 按照国家保密部门有关涉密信息系统分级保护的管理规定和技术标准进行保护 非涉密信息系统不得处理国家秘密信息 涉密信息系统分为秘密、机密、绝密三个等级 国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定等级 涉密信息系统使用的产品原则上选用国产品 涉密系统建成后，由测评机构进行安全保密测评 附录 信息安全等级保护备案实施细则（试行）2007（公安部） 公安机关信息安全等级保护工作规范（试行）2008（检查通知书、限期整改通知书、检查情况通报书） 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知 国家电子政务工程建设项目非涉密信息 系统信息安全风险评估报告格式 一、风险评估项目概述 二、风险评估活动概述 三、评估对象 四、资产识别与分析 五、威胁识别与分析 六、脆弱性识别与分析 七、风险分析 八、综合分析与评价 九、整改意见 附件1：管理措施表 附件2：技术措施表 附件3：资产类型与赋值表 附件4：威胁赋值表 附件5：脆弱性分析赋值表 附件1* 管理（技术）措施表 附件2* 脆弱性分析赋值表 * * * * * * * * * 根据信息和信息系统遭到破坏或泄露后，对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度来进行定级。 第五级 第四级 第三级 国家安全 第四级 第三级 第二级 社会秩序、公共利益 第二级 第二级 第一级 公民、法人和其他组织的合法权益 特别严重损害 严重损害 一般损害 对客体的侵害程度 受侵害的客体 1.受侵害客体； 2.受侵害程度； 流程一：信息系统定级 信息系统等级保护建设，经过信息系统的运营、管理部门以及有关政府部门的批准，并列入信息系统运营单位或政府计划的过程。 一项基本国策，一项基本制度，具有政策的强制性 流程二：等保建设立项 是办公电子化、业务信息化发展必需的保障手段 用户业务开展的实际需求 需请相应级别、具有资质的测评中心进行风险评估； 流程三：风险评估 风险评估是对信息资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。风险评估是确定信息安全需求的一个重要途径。 风险评估完成后出具《评估报告》和《整改意见》； 1 整改意见 需求分析 2 总体设计 详细设计 3 应急方案 灾备方案 5 方案与产品 安全性论证 6 项目预算 7 项目实施 方案设计 4 产品选型 技术指标 信息系统等保体系 建设目标 流程四：等保方案设计思路 重视安全 技管兼行 遵循政策 符合标准 需求主导 突出重点 整体规划 分步实施 流程四：等保方案设计原则 全局管理 统一标准 适度安全 减少影响 满足政策要求 满足标准要求 满足用户自身要求 安全现状 差异性分析 基本要求 需求 流程四：需求分析方法 物理 安全 网络 安全 主机安全 应用安全 数据安全与备份恢复 安全现状与《基本要求》的差异分析对照 标准要求 是否满足 相应措施 物理安全 网络安全 主机安全 应用安全 数据安全 流程四：需求分析方法 等级保护建设方案章节： 二、安全需求分析 一、项目背景 流程四：设计方案章节 四、等保技术体