信息安全等级保护与整体解决方案.ppt

INDEX 网络安全与信息安全 信息安全等级保护 等级化安全体系解决方案 网络安全与信息安全 安全定义 安全基本要求 安全技术体系 安全模型 安全定义 防止任何对数据进行未授权访问的措施，或者造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。 网络安全：网络的组成方式、拓扑结构和网络应用 信息安全：信息的来源、去向，内容的真实无误及保证信息的完整性，信息不会被非法泄露扩散保证信息的保密性 安全基本要求 完整性：（Integrity）拥有的信息是否正确；保证信息从真实的信源发往真实的信宿，传输、存储、处理中未被删改、增添、替换。 机密性：（Confidentiality）谁能拥有信息，保证国家秘密和敏感信息仅为授权者享有 可用性：（Availability ）信息和信息系统是否能够使用保证信息和信息系统随时可为授权者提供服务而不被非授权者滥用。 可控性：（Controllability）是否能够监控管理信息和系统保证信息和信息系统的授权认证和监控管理。 不可否认性：（Non-repudiation）为信息行为承担责任，保证信息行为人不能否认其信息行为。 安全技术体系 物理安全技术：环境安全、设备安全、媒体安全； 系统安全技术：操作系统及数据库系统的安全性； 网络安全技术：网络隔离、访问控制、VPN、入侵检测、扫描评估； 应用安全技术：Email 安全、Web 访问安全、内容过滤、应用系统安全； 数据加密技术：硬件和软件加密，实现身份认证和数据信息的CIA 特性； 认证授权技术：口令认证、SSO 认证（例如Kerberos）、证书认证等； 访问控制技术：防火墙、访问控制列表等； 审计跟踪技术：入侵检测、日志审计、辨析取证； 防病毒技术：单机防病毒技术逐渐发展成整体防病毒体系； 灾难恢复和备份技术：业务连续性技术，前提就是对数据的备份。 安全模型—P2DR 安全模型--PDRR INDEX 网络安全与信息安全 信息安全等级保护 等级化安全体系解决方案 信息安全等级保护 对等级保护政策的理解 信息系统划分 信息系统定级 等级化安全保障体系设计流程 等级化安全保障体系的基本框架 对等级保护的理解 等级保护是我国信息安全领域的一项基本政策 1994年，《中华人民共和国计算机信息系统安全保护条例》的发布 1999年，《计算机信息系统安全保护等级划分准则》 GB17859-1999发布 2003年，中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号文） 2004年，四部委(公安部、国家保密局、国家密码管理局、国信办)联合签发了《关于信息安全等级保护工作的实施意见 》（公通字[2004]66号文） 国务院信息化工作办公室发布《电子政务信息安全等级保护实施指南（试行）》 对等级保护的理解（续一） 等级保护是我国信息安全领域的一项基本政策 2005年12月，国家保密局发布《涉及国家秘密的信息系统分级保护管理办法》、《涉及国家秘密的信息系统分级保护技术要求》 2005年12月，公安部《信息系统安全等级保护实施指南》、《信息系统安全等级保护定级要求》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》（GB送审稿陆续出台） 2006年3月开始实施的公安部、国家保密局、国家密码管理局、国信办四部委（局办）发布7号文 《等级保护管理办法》 对等级保护的理解（续二） 等级保护的核心是将传统的定性设计逐步进化为定量的安全保障设计 对信息系统实施不同等级的安全保护 对信息系统中使用的安全产品实施分等级管理 对信息系统发生的安全事件分等级响应和处置 对等级保护的理解（续三） 等级保护体现了差异化的安全保障思想 由系统使命决定系统的等级，充分考虑业务信息安全性和业务服务保证性 结合基本要求，并依据风险评估的结果对安全保护措施进行调整 对3级及以上系统实施相应的监督和管理 对涉及国家安全、经济建设、社会稳定等方面的重要信息系统重点保护 对于涉及国家秘密的信息系统 规范定密，准确定级；依据标准，同步建设；突出重点，确保核心；明确责任，加强监督 涉及国家秘密的信息系统按照所处理信息的最高密级，由低到高划分为秘密级、机密级(一般和增强)和绝密级三个级别，其总体防护水平分别不低于三级、四级、五级的要求 信息系统的划分 信息系统的概念有大有小，在工程实践中，过大的划分不利于对信息进行有针对性的保护，因此需要对信息系统进行有效的划分 信息系统的划分原则是相同的管理机构、相同的业务类型、相同的物理位置或相似的运行环境 【公安部《信息系统安全保护等级定级指南》】 信息系统的划分（续一） 信息系统的划分可以从安全区域、业务系统和保护对象三个不同角度进行：