信息安全保障基础知识(卫生厅).ppt

信息化在医疗卫生系统的应用 1.1、术语 ■ 计算机信息系统（147号令） 计算机信息系统是由计算机及其相关的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。（属性：软件、硬件、操作人员及系统所承载的信息）。 1.3、信息安全属性 1.4、信息安全属性应用 1.5、安全涉及的因素 1.6、网络安全 1.7、文化安全 2.2、信息安全常见威胁 2.3、信息安全目的 2.5、应急响应安全模型—PDR模型 ■ P代表保护、D代表检测、R代表响应 ■ Pt：有效保护时间，是指信息系统的安全控制措施所能有效发挥保护作用的时间。 ■ Dt：检测时间，是指安全检测机制能够有效发现攻击、破坏行为所需的时间。 ■ Rt：响应时间，是指安全响应机制作出反应和处理所需的时间。 2.6、安全保障模型—PPDRR模型 2.7、风险管理模型 2.9、安全技术层次体系结构 2.10、安全防护体系结构 3.1、等级保护制度的法律地位 3.2、等级保护制度的发展历程 3.3、等级保护制度的发展历程 3.4、等级保护标准体系 3.5、等保实施过程与信息系统生命周期 3.6、等级保护知识体系的应用 4.1、等级保护实施各阶段关键活动 4.2、定级工作的基本原则 4.3、定级流程 4.4、安全总体规划与设计目标 4.5、安全需求的确定 4.6、体系应达到的安全保护能力要求 4.7、明确安全现状达到的安全保护能力 4.8、安全总体规划 ■ 安全目标：明确信息安全工作应达到的信息系统安全保护能力 ■ 安全方针：实现安全目标的总体指导思想，管理与技术并重 ■ 安全策略：指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则 ■ 安全措施：实现安全策略的具体措施和方法 5.1、信息安全等级保护管理办法 5.2、等级测评流程（1） 5.3、等级测评流程（2） 5.4、等级测评基本指标 5.5、测评机构应具备的条件 信息系统的安全保护等级是信息系统的客观属性，不以已采取或将采取什么安全保护措施为依据，也不以风险评估为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会秩序、人民群众合法权益的危害程度为依据。 ■ 满足管理要求的原则 ■ 全局性原则 ■ 业务为核心原则 ■ 合理性原则 3、综合评定对客体的侵害程度 2、确定业务信息安全受到破坏时所侵害的客体 6、综合评定对客体的侵害程度 5、确定系统服务安全受到破坏时所侵害的客体 7、系统服务安全等级 4、业务信息安全等级 8、定级对象的安全保护等级 依据矩阵表 依据矩阵表 1、确定定级对象 ■ 突出重点、有效保护 ● 确保重要系统重点保护，增强安全保护的整体性、针对性和实效性； ■ 优化结构、降低投资 ● 通过分级、分域防护的原则解决不同系统间互连互通的安全难题； ■ 构建纵深的防御体系 ● 从通信网络、局域网络边界、局域网络内部、各种业务应用平台等各 层次落实各种安全措施，从人、技术、操作等几方面建立信息安全防 护体系形成纵深防御体系； ■ 保证一致的安全强度 ● 将基本安全功能要求，如身份鉴别、访问控制、安全审计、入侵防范、 安全标记等内容，分解到信息系统中的各个层面，在实现各个层面安 全功能时，应保证各个层面安全功能实现强度的一致性。 安全现状达到的安全保护能力 体系应达到的安全保护能力 安全需求 信息系统框架 安全保护能力 ■ 如何准确判定安全现状达到的安全保护能力与体系应达到的安全保护能力，是安全总体规划与安全设计的关键活动。 ■ 信息系统安全需求应该是满足的要求: ● 国家政策性要求（等级保护要求）； ● 机构使命性要求 ； ● 系统可能面临的环境和影响 ； ● 机构自身的需求； 系统对应等级的基本要求（基本安全要求） 体系应达到的安全保护能力要求 特殊安全要求 信息系统框架 安全要求 特殊安全要求包括但不限于： ■行业标准/规范的具体安全要求 ■主管部门规定的具体安全要求 ■系统运营、使用单位基于特定安全环境或者业务应用提出的具体安全要求 ■ 评估方法： ● 等级测评：是在确定信息系统安全保护等级的前提下，依据国家等级保护标准、国家信息安全规范、行业标准、地方标准或相关技术规范，对信息系统的现有安全保障能力与等级保护基本要求进行符合性评估，得到与相应等级要求的