等级保护基本要求培训(第十二期).pptVIP

* 主机系统安全是包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。终端/工作站是带外设的台式机与笔记本计算机，服务器则包括应用程序、网络、web、文件与通信等服务器。主机系统是构成信息系统的主要部分，其上承载着各种应用。因此，主机系统安全是保护信息系统安全的中坚力量。 主机系统安全涉及的控制点包括：身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等九个控制点。 * * 通过网络、主机系统的安全防护，最终应用安全成为信息系统整体防御的最后一道防线。在应用层面运行着信息系统的基于网络的应用以及特定业务应用。基于网络的应用是形成其他应用的基础，包括消息发送、web浏览等，可以说是基本的应用。业务应用采纳基本应用的功能以满足特定业务的要求，如电子商务、电子政务等。由于各种基本应用最终是为业务应用服务的，因此对应用系统的安全保护最终就是如何保护系统的各种业务应用程序安全运行。 应用安全主要涉及的安全控制点包括：身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等十一个控制点。 * * 信息系统处理的各种数据（用户数据、系统数据、业务数据等）在维持系统正常运行上起着至关重要的作用。一旦数据遭到破坏（泄漏、修改、毁坏），都会在不同程度上造成影响，从而危害到系统的正常运行。由于信息系统的各个层面（网络、主机、应用等）都对各类数据进行传输、存储和处理等，因此，对数据的保护需要物理环境、网络、数据库和操作系统、应用程序等提供支持。各个“关口”把好了，数据本身再具有一些防御和修复手段，必然将对数据造成的损害降至最小。 另外，数据备份也是防止数据被破坏后无法恢复的重要手段，而硬件备份等更是保证系统可用的重要内容，在高级别的信息系统中采用异地适时备份会有效的防治灾难发生时可能造成的系统危害。 保证数据安全和备份恢复主要从：数据完整性、数据保密性、备份和恢复等三个控制点考虑。 * * 在信息安全中，最活跃的因素是人，对人的管理包括法律、法规与政策的约束、安全指南的帮助、安全意识的提高、安全技能的培训、人力资源管理措施以及企业文化的熏陶，这些功能的实现都是以完备的安全管理政策和制度为前提。这里所说的安全管理制度包括信息安全工作的总体方针、策略、规范各种安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程。 安全管理制度主要包括：管理制度、制定和发布、评审和修订三个控制点。 * * 安全管理，首先要建立一个健全、务实、有效、统一指挥、统一步调的完善的安全管理机构，明确机构成员的安全职责，这是信息安全管理得以实施、推广的基础。在单位的内部结构上必须建立一整套从单位最高管理层（董事会）到执行管理层以及业务运营层的管理结构来约束和保证各项安全管理措施的执行。其主要工作内容包括对机构内重要的信息安全工作进行授权和审批、内部相关业务部门和安全管理部门之间的沟通协调以及与机构外部各类单位的合作、定期对系统的安全措施落实情况进行检查，以发现问题进行改进。 安全管理机构主要包括：岗位设置、人员配备、授权和审批、沟通和合作以及审核和检查等五个控制点。 * * 人，是信息安全中最关键的因素，同时也是信息安全中最薄弱的环节。很多重要的信息系统安全问题都涉及到用户、设计人员、实施人员以及管理人员。如果这些与人员有关的安全问题没有得到很好的解决，任何一个信息系统都不可能达到真正的安全。只有对人员进行了正确完善的管理，才有可能降低人为错误、盗窃、诈骗和误用设备的风险，从而减小了信息系统遭受人员错误造成损失的概率。 对人员安全的管理，主要涉及两方面：对内部人员的安全管理和对外部人员的安全管理。具体包括：人员录用、人员离岗、人员考核、安全意识教育和培训和外部人员访问管理等五个控制点。 * * 信息系统的安全管理贯穿系统的整个生命周期，系统建设管理主要关注的是生命周期中的前三个阶段（即，初始、采购、实施）中各项安全管理活动。 系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑，具体包括：系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择等十一个控制点。 * * 信息系统建设完成投入运行之后，接下来就是如何维护和管理信息系统了。系统运行涉及到很多管理方面，例如对环境的管理、介质的管理、资产的管理等。同时，还要监控系统由于一些原因发生的重大变化，安全措施也要进行相应的修改，以维护系统始终处于相应安全保护等级的安全状态中。 系统运维管理主要包括：环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理