信息系统等级保护共44页文档.pptVIP

内容概要 信息安全与等级保护 什么是等级保护 s等级保护的国家政策与标准规范 等级保护的工作内容 ●等级保护的建设流程 ●等级保护各参与部门的角色定位 Chengdu Microsoft Technology  信息安全与等级保护 Q信息安全的宏观范畴 9密保(分保)—分三级(绝密、机密、秘密) 涉密环境(网络、终端、应用系统及数据)的信息 等保—分五级 非涉密环境(网络、终端、应用系统及数据)的信 息安全 Technology  内容概要 9信息安全与等级保护 9什么是等级保护 s等级保护的国家政策与标准规范 等级保护的工作内容 ●等级保护的建设流程 ●等级保护各参与部门的角色定位 Chengdu Microsoft Technology  什么是等级保护 系统等级保护的定义 是指对国家秘密信息、法人和其他组织及公民的 信息以及公开信息和存储、传输、处理这些信息 的信息系统分等级实行安全保护,对信息系统中使用 的信息安全产品实行按等级管理,对信息系统中发生 的信息安全事件分等级响应、处置。 Technology  等级保护的等级划分准则 口根据信息和信息系统遭到破坏或泄露后,对国 全、社会秩序、公共利益及公民、法人 他组织的合法权益的危害程度来进行定级。 2、受侵害程度; Chengdu Microsoft Technology  等级保护的等级划分准则 等级对象 侵害客体 侵害程度监管强度 第一级 合法权益 损害 自主保护 般系 第二级统 合法权益 严重损害 指导 社会秩序和公共利益 损害 社会秩序和公共利益 严重损害 第三级 监督检查 重要系 国家安全 损害 统「社会秩序和公共利益十特别严重损害 第四级 国家安全 严重损客强制监督检查 极端重 第五级 要系统 国家安全 特别严重损害传专门监督检查 Technology  等级保护涉及的几个基本概念 主体 限 读、写、执行 主动 被动 用户、进程 文件、存储设备 强制访问控制 安全策略 安全审计 Technology  等级保护的等级划分准则 级用户自主保护级 级系统审计保护 用户自主控制资源访问 级安全标记保 访问行为需要被审计 ◎第四级结构化保护 通过标记实现强制访问控制 ◎第五级访问验证保护 可信计算基结构化 所有的过程都需要验证 Technology  等级保护的等级划分准则 自主访问控制 身份鉴别 第一级自主安全保护 完整性保护 自主访问控制 系统审计 第二级审计安全保护 身份鉴别 完整性保护 客体重用 自主访问控制 第三级强制安全保护 身份鉴别 系统审计强制访问控制 完整性保护 客体重用 标记 自主访问控制系统审计 强制访问控制 第四级结构化保护 身份鉴别 客体重用 标记 完整性保护 隐蔽通道分析可信路径 第五级访问验证保护级 自主访问控制‖统审计强制访问控制 身份鉴别 客体重用 标记 完整性保护隐截通道分析可信路径 可信恢复 Chengdu Microsoft Technology  内容概要 9信息安全与等级保护 9什么是等级保护 等级保护的国家政策与标准规范 等级保护的工作内容 ●等级保护的建设流程 ●等级保护各参与部门的角色定位 Chengdu Microsoft Technology