信息安全等级保护基本要求解读.ppt

信息系统安全等级保护基本要求 各级的要求-系统运维管理 介质管理 一级：主要对介质存放环境进行了要求，同时对介质的使用情况进行记录。 二级：在一级要求的基础上，增加了根据介质中数据的重要性进行分类管理的要求，以及对送出维修或销毁的介质保密管理。 三级：在二级要求的基础上，增加了对介质的保密性和可用性的要求。 四级：在三级要求的基础上，增强了对介质销毁的要求。 信息系统安全等级保护基本要求 各级的要求-系统运维管理 系统安全管理 一级：主要对系统的漏洞补丁和访问权限提出了要求。 二级：在一级要求的基础上，增加了对系统帐户以及系统日志的管理要求，同时提出了制度化管理。 三级：在二级要求的基础上，增加了对划分系统角色和最小授权的管理要求。 四级：在三级要求的基础上，增强了对系统资源的使用进行预测的管理要求。 信息系统安全等级保护基本要求 各级的要求-系统运维管理 恶意代码防范管理 一级：主要对用户进行恶意代码防范的基本意识教育。 二级：在一级要求的基础上，增加了对恶意代码防范的制度化管理要求。 三级：在二级要求的基础上，增加了对恶意代码库的定期升级和集中管理的要求。 四级：与三级要求相同。 信息系统安全等级保护基本要求 各级的要求-系统运维管理 变更管理 一级：无此要求。 二级：要求对变更进行审批管理。 三级：在二级要求的基础上，增强对了变更控制的整体流程化和建立安全管理制度的要求，以及对变更失败的管理。 四级：在三级要求的基础上，增加了对变更控制执行情况检查的要求。 信息系统安全等级保护基本要求 各级的要求-系统运维管理 应急预案管理 一级：无此要求。 二级：要求制定不同事件应急预案的要求，并要求对相应人员进行培训。 三级：在二级要求的基础上，增加了对应急预案的演练和定期审查要求。 四级：在三级要求的基础上，增加了建立灾难恢复计划，并对其进行测试，保证可用性。 信息系统安全等级保护基本要求 主要内容 一.概述 二.描述模型 三.逐级增强的特点 四.各级的要求 五.标准的使用 信息系统安全等级保护基本要求 标准的使用 基本要求指标的选择 选择《基本要求》中相应等级的基本要求 根据定级结果进行调整。 此外，可以根据行业要求或系统自身特点，分析需要增强的安全保护能力。 信息系统安全等级保护基本要求 标准的使用 建设整改时，可以在《基本要求》中的基础上，参考其他标准、行业要求和系统实际，提出特殊安全要求，开展安全建设整改。 《基本要求》给出了各级信息系统每一保护方面需要达到的要求，但不是具体的安全建设整改方案或作业指导书，实现基本要求的措施或方式并不局限于《基本要求》给出的内容，要结合系统自身的特点综合考虑采取的措施来达到基本要求提出的保护能力。 小结 《基本要求》中相应等级的要求是根据各等级系统需要对抗的威胁和应具备的能力确定的。判定基本要求是否达到应按此原则分析。 《基本要求》的要求逐级增强，这一特点决定了等级保护能力的逐级增强。 《基本要求》不是解决方案，如何实现需要进行安全设计，根基信息系统的实际情况而定。 感谢您的聆听！ * 安全保护能力是是什么，从哪几方面来讲，主要是对抗能力，恢复能力，各级别需要的对抗能力和恢复能力是什么样的 什么威胁源，动机是什么、范围是什么样的、有什么能力 * * 信息系统安全等级保护基本要求 各级的要求-应用安全 四个等级控制点变化： 第一级包括身份鉴别、访问控制、通信完整性、软件容错、 第二级增加了安全审计、通信保密性和资源控制。 第三级增加了剩余信息保护和抗抵赖 第四级增加了安全标记和可信路径 信息系统安全等级保护基本要求 各级的要求-应用安全 信息系统安全等级保护基本要求 各级的要求-应用安全 通信完整性（S） 一级：要求通信双方确定一定的会话方式，从而判断数据的完整性。 二级：要求通信双方利用单向校验码技术来判断数据的完整性。 三级：要求通信双方利用密码技术来判断数据的完整性。 四级：与三级要求相同。 信息系统安全等级保护基本要求 各级的要求-应用安全 通信保密性（S） 一级：无此要求。 二级：要求建立连接前采用密码技术进行初始化验证、通信过程对敏感字段加密。 三级：在二级要求基础上，要求对通信过程加密的范围扩大为整个会话过程。 四级：在三级要求基础上，提出了密钥管理的要求。 信息系统安全等级保护基本要求 各级的要求-应用安全 软件容错（A） 一级：要求具有提供数据有效性校验功能。 二级：要在一级基础上，要求在故障发生时，应用系统应能够继续提供一部分功能。 三级：要在二级基础上，要求具有自动保护能力，以便实施恢复。 四级：要在三级基础上，要求具有自动恢复功能。 信息系统安全等级保护基本要求 各级的要求-数据安全 信息系统安全等级保护基本要求 各级的要求-数据安全