信息安全等级保护专业知识教学PPT课件.ppt

等级保护整改建设流程 * 1.信息系统定级 2.等保建设立项 3.信息安全威胁分析 4.等保方案设计 5.安全体系部署 6.等保体系测评 7.等保整改建设完成 定级工作08年已基本完成 专业机构 ? 整改意见 总设 ? 详设 ? 专家论证 项目实施 ? 内部验收 专业机构 ? 测评报告 未通过 流程1：信息系统定级 * 2007年开始，我国在全国范围展开了信息系统等级保护的定级工作，并在公安部进行了相关的备案。 定级依据：《信息系统安全保护等级定级指南》（国家） 《XX行业信息系统安全保护等级定级指南》 谁主管、运营谁定级；拟确定为四级以上的信息系统需请国家信息安全保护等级专家评审委员会评审； 信息系统定级情况要在公安部门报备； 流程1：信息系统定级 * 根据信息和信息系统遭到破坏或泄露后，对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度来进行定级。 受侵害的客体 对客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 1.受侵害客体； 2.受侵害程度； 流程2：等保建设立项 * 信息系统等级保护建设，经过信息系统的运营、管理部门以及有关政府部门的批准，并列入信息系统运营单位或政府计划的过程。 一项基本国策，一项基本制度，具有政策的强制性 是办公电子化、业务信息化发展必需的保障手段 用户业务开展的实际需求 流程3：风险评估 * 需请相应级别、具有资质的测评中心进行风险评估； 风险评估是对信息资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。风险评估是确定信息安全需求的一个重要途径。 风险评估完成后出具《评估报告》和《整改意见》； 流程4：等级方案设计思路 * 1 整改意见 需求分析 2 总体设计 详细设计 3 应急方案 灾备方案 5 方案与产品 安全性论证 6 项目预算 7 项目实施 方案设计 4 产品选型 技术指标 信息系统等保体系 建设目标 信息安全等级保护专业知识 * 主题2 1 2 3 4 信息安全的属性特征和管理分类 什么是等级保护 等级保护的国家政策与标准规范 等级保护的工作内容 * 5 等级保护的建设流程 6 等级保护各参与部门的角色定位 7 涉及国家秘密信息系统的分级保护 信息安全的属性特征 * 信息安全是整体的、发展的、非传统的安全； 信息安全是一个系统工程，需要全社会共同努力； 信息安全不是绝对的，是动态的、相对的； 信息安全不是一个国家能完全控制的问题，具有全球化的特点，应从全球信息化角度考虑和布局； 信息安全不是一个孤立的问题，应在系统建设过程中充分考虑。 信息安全管理分类 * 密保（分保）—— 分三级（绝密、机密、秘密） 涉密环境（网络、终端、应用系统及数据）的信息安全 等保 —— 分五级 非涉密环境（网络、终端、应用系统及数据）的信息安全 主题2 1 2 3 4 信息安全的属性特征和管理分类 什么是等级保护 等级保护的国家政策与标准规范 等级保护的工作内容 * 5 等级保护的建设流程 6 等级保护各参与部门的角色定位 7 涉及国家秘密信息系统的分级保护 什么是等级保护 * 信息系统等级保护的定义 是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 等级保护工作分为五个环节：定级、备案、建设整改、等级测评、监督检查。 信息安全等级保护是基本制度、基本国策 等级保护的等级划分准则 * 根据信息和信息系统遭到破坏或泄露后，对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度来进行定级。 1、受侵害客体； 2、受侵害程度。 等级保护的等级划分准则 * 公安部关于等级保护文件规定 第一级为自主保护级 第二级为指导保护级 第一级为监督保护级 第一级为强制保护级 第一级为专控保护级 * 等级保护涉及的几个概念 * 主动 用户、进程 主体 被动 文件、存储设备 客体 访问：读、写、执行 权限 安全策略 安全审计 强制访问控制 等级保护的等级划分准则 * 第一级 用户自主保护级 第二级 系统审计保护 第三级 安全标记保护 第四级 结构化保护 第五级 访问验证保护 用户自主控制资源访问 访问行为需要被审计 通过标记实现强制访问控制 可信计算基结构化 所有的过程都需要验证 等级保护的等级划分准则 * 第一级 自主安全保护 第二级 审计安全保护 第