信息强制保护-(精品课件).ppt

27号文件确定未来3－5年的信息安全纲领 当前我国信息安全保障工作的九大任务 实行信息安全等级保护 加强以密码技术为基础的信息保护和网络信任体系建设 建设和完善信息安全监控体系 重视信息安全应急处理工作 加强信息安全技术研究开发，推进信息安全产业发展 加强信息安全法制建设标准化建设 加快信息安全人才培养，增强全民信息安全意识 保证信息安全资金 加强对信息安全保障工作的领导，建立健全信息安全管理责任制 电子政务等级保护的含义 实行信息安全等级保护：信息化发展的不同阶段和不同的信息系统有着不同的安全需求，必须从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。 电子政务等级保护的含义 电子政务等级保护工作的内容 电子政务等级保护的基本原则 重点保护原则：电子政务等级保护要突出重点，重点保护关系国家安全、经济命脉、社会稳定等方面的重要电子政务系统，集中资源首先确保重点系统安全。 自主保护原则：电子政务等级保护要贯彻“谁主管谁负责、谁运营谁负责”的原则，由各主管部门和运营单位依照国家相关法规和标准，自主确定电子政务系统的安全等级并组织实施安全防护。 分区域保护原则：电子政务等级保护要根据各地区、各行业电子政务系统的重要程度、业务特点和不同发展水平，分类、分级、分阶段进行实施，通过划分不同安全保护等级的区域，实现不同强度的安全保护。 同步建设、动态调整原则：电子政务系统在新建、改建、扩建时应当同步建设信息安全设施，保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当重新确定系统的安全保护等级。 电子政务的五个安全等级 电子政务的五个安全等级－1 电子政务的五个安全等级－2 电子政务的五个安全等级－3 电子政务的五个安全等级- 4 电子政务的五个安全等级- 5 电子政务安全措施的等级指标 电子政务安全措施等级指标是满足不同等级电子政务系统基本安全要求的安全措施集合。 电子政务安全措施指标体系包括五个级别，从第一级至第五级，对应第1－5级的电子政务系统。 电子政务的安全措施指标体系可以分解为安全策略、安全组织、安全技术和安全运行四个方面的安全指标。 信息安全等级化指标库举例 电子政务等级保护的基本要素 电子政务系统 使命与目标 信息安全等级 安全保护要求 安全风险 安全保护措施 安全保护成本 等级保护各要素之间的关系 根本关系是不同等级的电子政务系统对应不同等级的安全措施 核心问题是安全措施的确定 安全措施需要满足系统保护要求，对抗系统所面临的风险 系统保护要求的确定：不同电子政务系统的使命和业务目标的差异性，业务和系统本身的特性（所属信息资产特性、实际运行情况和所处环境等）的差异性，决定了系统保护要求特性（安全保护要求的类型和强度）的差异性。 安全措施的确定：系统保护要求类型和强度的差异性，安全风险的差异性，决定了选择不同类型和强度的安全措施；安全措施的选择需要符合系统保护要求的满足程度，面临风险的控制和降低程度和实施安全措施的成本三者之间的平衡，在适度成本下实现适度安全 电子政务等级保护的实现原理 电子政务等级保护是以等级化的电子政务保护对象和电子政务安全措施等级指标为参照系，以风险管理过程为主线，建立并实施电子政务等级保护体系的过程。 等级保护过程与新建和已建系统生命周期对应关系 系统间互联互通的等级保护要求 同等级电子政务系统之间的互联互通： 由系统的拥有单位参照该等级的安全措施等级指标对访问控制的要求，协商确定边界防护措施，保障互联互通电子政务系统的安全 不同等级电子政务系统间的互联互通： 各系统要按照自身相应的安全等级要求进行保护，在此基础上协商对相互连接的保护。同时，高安全等级的系统要充分考虑引入低安全等级系统后带来的风险，采取有效措施进行控制。 涉密系统与其它系统的互联互通，按照国家保密部门的有关规定执行。 电子政务系统互联互通中的密码配置按照国家密码管理部门的要求执行。 定级的方式与过程 电子政务系统定级可以采用以下两种方式进行： 对系统整体定级：系统整体定级是在识别出政务机构所拥有的电子政务系统后，针对系统整体确定其安全等级。 将系统分解为子系统后分别定级：若规模庞大、系统复杂，则可以将系统分解为多层次的多个子系统后，对所分解的每个子系统分别确定其安全等级。 定级原则 依据电子政务五个安全等级的基本要求，从信息安全的保密性、完整性、可用性三个基本属性在遭到破坏时对政务机构履行其政务职能、机构财产、人员造成的影响来定义安全级别，并划分为五个等级。安全级别的确定应在单位层面和国家层面的整体环境下进行