等级保护培训学习课件.ppt

分省建设目标 （ 1 ）在项目实施过程中贯彻落实工程标准规范； （ 2 ）建设省环境保护厅（局）到地市环境保护局，地市环境保护局到 区县环境保护局，以及省环境保护厅（局）到省直属机构、市环境保 护局到市直属机构的网络系统，并通过国家电子政务外网实现与环境 保护部的连通；（直辖市为市、区县两级网络）； （ 3 ）组织落实本省（直辖市、自治区）范围内网络安全体系的建设和 省级 CA 系统的建设； （ 4 ）组织所辖各级机构接收部里统一下发的环境统计专项设备，保证 专项专用； （ 5 ）准备机房环境，组织所辖各级机构接收并配合部署部里统一采购 的服务器、存储、网络、安全等设备和系统软件； 63 分省建设目标 （ 6 ）部署部里统一下发的省级综合数据库平台和地理信息系统平台； 组织所辖市、区县部署部里统一下发的数据传输与交换平台，建立数 据交换传输体系，实现国家、省、下辖市、区县的数据交换与共享； （ 7 ）部署部里统一下发的省级减排应用系统支撑平台；在省级集中部 署环境统计业务系统、建设项目管理系统、减排数据管理与综合分析 系统，按照需要集成已有六个应用系统；组织所辖市、区县相关业务 部门推广应用环境统计业务系统和建设项目管理系统。 （ 8 ）组织建立省及所辖市、区县运维组织机构，健全运维制度，明确 运维人员，部署部里统一下发的运行维护管理系统，建立省级运维管 理平台。 64 省、自治 区 直 辖 市 65 66 基本要求的定位 ? 《基本要求》中相应等级的要求是根据各等级系统需 要对抗的威胁和应具备的能力而确定的。判断基本要 求是否达到应按此原则分析。 ? 《基本要求》给出了各级信息系统每一保护方面需达 到的要求，但不是具体的安全建设整改方案或作业指 导书，实现基本要求的措施或方式并不局限于《基本 要求》给出的内容，要结合系统自身的特点综合考虑 采取的措施来达到基本要求提出的保护能力 67 《基本要求》定位举例 ? A 点 —— B 点， 500KM 5H ? 飞机 OK ? 火车 OK ? 汽车 OK ? 自行车 NO 68 等级保护的基本要求 ? 内容与作用 ? 为信息系统主管和运营、使用单位提供 技术指导 ? 为测评机构提供 测评依据 ? 为监管职能部门提供 监督检查依据 ? 适用环节 ? 建设整改、验收、测评、运维、检查 69 基本要求的描述模型 ? 控制点标注 ? 业务信息安全相关要求（标记为 S ） ? 系统服务保证相关要求（标记为 A ） ? 通用安全保护要求（标记为 G ） ? 技术要求（ 3 种标注） ? 管理要求（统属 G ） 70 系统基本保护要求的组合 ? 第一级 S1A1G1 ? 第二级 S1A2G2 ， S2A2G2 ， S2A1G2 ? 第三级 S1A3G3 ， S2A3G3 ， S3A3G3 ， S3A2G3 ， S3A1G3 ? 第四级 S1A4G4 ， S2A4G4 ， S3A4G4 ， S4A4G4 ， S4A3G4 ， S4A2G4 ， S4A1G4 71 如何实现 ? 落实信息安全等级保护基本要求，确 保系统 基本安全 ； ? 结合系统自身安全需求，力求系统 相 对安全 。 72 第五级 ? 信息系统受到破坏后 , 会对国家安全造成特 别严重损害； ? 信息系统运营、使用单位应当依据国家管 理规范、技术标准和业务特殊安全需求进行保 护。国家指定专门部门对该级信息系统信息安 全等级保护工作进行专门监督、检查。 31 摘要 ? 等级保护制度是什么 ? 等级保护制度要干什么 ? 如何开展等级保护工作 32 等级保护制度 ? 体现国家管理意志 ? 构建国家信息安全保障体系 ? 保障信息化发展和维护国家安全 33 解决什么 ? 信息安全等级保护是手段，是为了构建国 家信息安全保障体系。 ? 信息安全保障体系也是手段，是为了业务 应用发展。 ? 信息安全等级保护是带有很强技术性的国 家风险控制行为 34 所谓风险 ? 安全风险管理的目的并不是保证没有风险，而 是要将信息系统带来的业务风险控制在可接受 的范围内。 ? 信息安全等级保护的关键所在正是基于信息系 统所承载应用的重要性，以及该应用损毁后带 来的影响程度来判断风险是否控制在可接受的 范围内。 35 安全防护的重点 ? 系统防入侵 ? 网络防攻击 ? 信息防泄露 ? 内容防篡改 ? 内部防越权 36 奥运安保的启示 1 、对奥运的信息系统，开展定级工作 2 、第一次按照基本要求测评差距比较大，奥运系 统进行了相应的整改。 3 、整改后、测评、再整改，能够达到基本保护要 求的大部分的要求 4 、对于奥运系统，达到一个基本安全状态并不够 。因为基本要求是一个底线的要求。 5 、奥运是个特殊时期，奥运系统有许多特殊需求 6 、针对特殊需求重点进行了外