信息系统安全等级保护工作简介.ppt

信息系统安全等级保护工作简介 提纲 安全等级保护实施过程中涉及的各类角色 安全等级保护相关标准 安全等级保护实施流程 总体安全规划 设计与实施 提纲 安全等级保护实施过程中涉及的各类角色 安全等级保护相关标准 安全等级保护实施流程 总体安全规划 设计与实施 安全等级保护实施过程中涉及的各类角色 国家管理部门 信息系统主管部门 信息系统运营、使用单位 信息安全服务机构 信息安全等级测评机构 信息安全产品提供商 提纲 安全等级保护实施过程中涉及的各类角色 安全等级保护相关标准 安全等级保护实施流程 总体安全规划 设计与实施 安全等级保护相关标准 《信息安全等级保护管理办法》 《信息系统安全等级保护体系框架》 《信息系统安全等级保护实施指南》 《信息系统安全保护等级定级指南》 《信息系统安全等级保护基本要求》 《信息安全风险评估规范》 《信息安全风险评估指南》 《信息安全技术 信息系统安全管理要求》 《信息安全技术 信息系统安全工程管理要求》 《信息安全技术 信息系统通用安全技术要求》 《信息安全技术 网络基础安全技术要求》 《信息安全技术 操作系统安全技术要求》 《信息安全技术 数据库管理系统安全技术要求》 《计算机信息系统安全保护等级划分准则》 提纲 安全等级保护实施过程中涉及的各类角色 安全等级保护相关标准 安全等级保护实施流程 总体安全规划 设计与实施 流程-信息系统安全等级保护实施的基本流程 流程-信息系统定级阶段工作流程 流程-总体安全规划阶段工作流程 流程-安全设计与实施 流程-安全运行与维护 流程-信息系统终止 提纲 安全等级保护实施过程中涉及的各类角色 安全等级保护相关标准 安全等级保护实施流程 总体安全规划 设计与实施 总体安全规划 工作流程 安全需求分析 总体安全设计 安全项目建设规划 总体安全规划－安全需求分析 1、安全现状评估 2、安全需求确定 总体安全规划－安全需求分析－1、安全现状评估 基本步骤 1、确定评估范围 2、获得被评估信息系统的信息 3、确定具体的评估对象 4、确定评估工作的方法 （等级测评法） 5、制定评估工作计划或项目工作计划 6、形成评估指标 7、制定评估方案或测评方案 8、系统测评实施 9、判断安全管理方面与评估指标的符合程度 10、判断安全技术方面与评估指标的符合程度 11、形成和制定安全评估报告 总体安全规划－安全需求分析－1、安全现状评估 基本步骤 7、制定评估方案或测评方案 总体安全规划－安全需求分析－1、安全现状评估 基本步骤－－9、10 分类： 信息安全类（S类） 访问控制 服务保证类（A类） 数据的备份与恢复 通用安全类（G类） 大多数技术类安全 另一种分类： 物理安全 网络安全 主机安全 应用安全 数据安全及备份恢复 总体安全规划－安全需求分析－1、安全现状评估 安全评估报告示例 测评结果： XX服务器： 1）身份鉴别 符合要求的方面： 采用口令鉴别机制，对用户和终端的登录次数作了限制，禁用了不使用的系统默认帐户。远程管理采用ssh协议，增强了网络通信的安全性。 主要存在的问题： 没有对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。 2）访问控制 符合要求的方面： 系统由专人进行管理，并定期对系统帐户的权限分配和使用情况进行审查，对于系统的重要文件能够很好地进行权限设置和保护。 主要存在的问题： root帐户的主目录“/”没有被修改，对系统文件/etc/inetd.conf、/etc/services的权限设置不够合理。 总体安全规划－安全需求分析－1、安全现状评估 总体安全规划－安全需求分析－1、安全现状评估 总体安全规划－安全需求分析－1、安全现状评估 安全评估报告示例 综合分析： 网络安全层面测评项目共计7大类28项，结果汇总如下表： 总体安全规划－安全需求分析－1、安全现状评估 总体安全规划－安全需求分析－1、安全现状评估 过程输出 安全评估报告基本结构 总体安全规划－安全需求分析－2、安全需求确定 1、分析方法 2、基本步骤 1）重要资产分析 边界设备、网关设备、核心网络设备、重要服务器设备、重要应用系统、重要数据等 2）重要资产安全弱点评估 3）重要资产面临威胁评估 4）综合风险分析 5）安全需求分析 6）完成安全需求分析报告 总体安全规划－安全需求分析－2、安全需求确定 总体安全规划－安全需求分析－2、安全需求确定 3、过程输出 安全需求分析报告 总体安全规划－总体安全设计 1、基本思路和设计方法 总体安全设计的基本思路是根据自身信息系统的系统划分情况、系统定级情况、系统的连接情况、系统的业务承载情况、运作机制和管理方式等特点，结合《基本要求》，在较高层次上形成自己信息系统的安全要