信息安全等级保护专业知识.ppt

信息安全等级保护专业知识 1 主题2 信息安全的属性特征和管理分类 什么是等级保护 等级保护的国家政策与标准规范 等级保护的工作内容 2 等级保护的建设流程 等级保护各参与部门的角色定位 涉及国家秘密信息系统的分级保护 信息安全的属性特征 3 信息安全是整体的、发展的、非传统的安全； 信息安全是一个系统工程，需要全社会共同努力； 信息安全不是绝对的，是动态的、相对的； 信息安全不是一个国家能完全控制的问题，具有全球化的特点，应从全球信息化角度考虑和布局； 信息安全不是一个孤立的问题，应在系统建设过程中充分考虑。 信息安全管理分类 4 密保（分保）—— 分三级（绝密、机密、秘密） 涉密环境（网络、终端、应用系统及数据）的信息安全 等保 —— 分五级 非涉密环境（网络、终端、应用系统及数据）的信息安全 主题2 信息安全的属性特征和管理分类 什么是等级保护 等级保护的国家政策与标准规范 等级保护的工作内容 5 等级保护的建设流程 等级保护各参与部门的角色定位 涉及国家秘密信息系统的分级保护 什么是等级保护 6 信息系统等级保护的定义 是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 等级保护工作分为五个环节：定级、备案、建设整改、等级测评、监督检查。 信息安全等级保护是基本制度、基本国策 等级保护的等级划分准则 7 根据信息和信息系统遭到破坏或泄露后，对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度来进行定级。 1、受侵害客体； 2、受侵害程度。 等级保护的等级划分准则 8 公安部关于等级保护文件规定 第一级为自主保护级 第二级为指导保护级 第一级为监督保护级 第一级为强制保护级 第一级为专控保护级 9 等级保护涉及的几个概念 10 安全策略 安全审计 强制访问控制 等级保护的等级划分准则 11 等级保护的等级划分准则 12 第一级 自主安全保护 第二级 审计安全保护 第三级 强制安全保护 第四级 结构化保护 第五级 访问验证保护级 自主访问控制 身份鉴别 完整性保护 自主访问控制 身份鉴别 完整性保护 系统审计 客体重用 自主访问控制 身份鉴别 完整性保护 系统审计 客体重用 强制访问控制 标记 自主访问控制 身份鉴别 完整性保护 系统审计 客体重用 强制访问控制 标记 自主访问控制 身份鉴别 完整性保护 系统审计 客体重用 强制访问控制 标记 隐蔽通道分析 可信路径 隐蔽通道分析 可信路径 可信恢复 信息系统的五个安全保护等级 13 第一级：一般适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。 第二级：一般适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统，如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。 第三级：一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省连接的网络系统等。 第四级：一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。 第五级：一般适用于国家重要领域、重要部门中的极端重要系统 主题3 信息安全的属性特征和管理分类 什么是等级保护 等级保护的国家政策与标准规范 等级保护的工作内容 14 等级保护的建设流程 等级保护各参与部门的角色定位 涉及国家秘密信息系统的分级保护 等级保护的国家政策 15 颁布时间 文件名称 文号 颁布机构 内容及意义 1994年 2月18日 《中华人民共和国计算机信息系统安全保护条例》 国务院147号令 国务院 第一次提出信息系统要实行等级保护，并确定了等级保护的职责单位。 2003年 9月7日 《国家信息化领导小组关于加强信息安全保障工作的意见》 中办国办发[2003]27号 中共中央办公厅 国务院办公厅 等级保护工作的开展必须分步骤、分阶段、有计划的实施。明确了信息安全等级保护制度的基本内容。 2004年 9月15日 《关于信息安全等级保护工作的实施意见》 公通字[2004]66号 公安部 国家保密局 国家密码管理委员会办公室 （国家密码管理局） 国务院信息化工作办公室 将等级保护从计算机信息系统