三级等保实施流程介绍.pptxVIP

北京科能腾达信息技术股份有限公司 2014 ;有关网络安全的共识;目录; 产生安全问题的原因; 等级保护制度是什么; 等级保护建设原则; 等级保护建设最终目标;安全保护能力建设; 第一级信息系统安全保护能力; 第二级信息系统安全保护能力; 第三级信息系统安全保护能力; 第四级信息系统安全保护能力;建设整改-安全保护等级和安全保护能力等级; 信息系统安全等级保护主要工作;;建设整改工作内容;安全建设整改的依据;;建设整改工作流程;等级保护－－完全实施过程;根据公安部的《信息安全等级保护定级指南》指出作为定级对象的信息系统应具有如下基本特征： 1、具有唯一确定的安全责任单位 作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任，则这个下级单位可以成为信息系统的安全责任单位；如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任，则该信息系统的安全责任单位应是这些下级单位共同所属的单位。 2、具有信息系统的基本要素 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象。 3、承载单一或相对独立的业务应用 定级对象承载“单一”的业务应用是指该业务应用的业务流程独立，且与其他业务应用没有数据交换，且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。; 等级评定; 等级评定;1、确定定级对象;等级保护的备案管理;等级保护的备案管理;;;;系统构成情况分析;安全需求举例-网络安全改造目标（三级）;安全保护现状分析-基本安全措施;设备名称;安全保护现状分析-风险评估需求;安全需求分析报告;;;总体方案设计-基本方法思路;引入等级保护概念，系统安全防护设计思路有所不同;设计总体技术方案;;;;安全域的划分方法??三级）;三级系统安全域参考举例;安全建设内容规划;项目规划;;;基本要求技术措施的落实;三级系统产品支持;等保对照安全产品选择;信息系统安全技术体系设计;? 合理的安全配置是确保主机系统具备的安全功能在业务环境中充分、有效对抗威胁的保证。主要配置内容应包括身份鉴别（鉴别方式、强度、失败处理）、访问控制（控制范围、严格程度以及实现方式）、安全审计（实现方式、对象和项目的选择、日志存储与保护、数据查询与报警）等。;? 合适的操作系统/数据库系统 ? 最小化安装/必要的服务端口 ? 启用身份鉴别/访问控制/安全审计 ? 管理员双因素鉴别（动态口令/数字证书） ? 集中的日志分析 ? 集中的状态监控 ? 病毒防范/入侵检测等;? 终端准入 ? 终端基本安全（最小化安装/端口控制/软件安装 等） ? 补丁升级/病毒防范等 ? 终端管理系统/桌面管理系统;? 对信息系统涉及到的应用系统软件（含应 用/中间件平台）进行安全设计，设计内容 包括身份鉴别、访问控制、安全审计、剩 余信息保护、通信完整性、通信保密性、 抗抵赖、软件容错和资源控制等。;;;安全技术方案论证和备案;方案合理性判断要点;;工程实施管理;;等保三级系统的控制类、控制项及整改点;三级系统的控制类及控制项;安全技术要求-物理安全;等保三级物理安全建设目标 ;安全技术要求-物理安全;三级系统安全保护要求—物理安全;物理位置的选择;等保三级物理安全的整改案例;安全技术要求-网络安全;等保三级网络安全建设目标 ;安全技术要求-网络安全;三级系统安全保护要求—网络安全; 网络安全的整改要点; 网络安全的整改案例;安全技术要求-主机安全;等保三级主机安全建设目标 ;安全技术要求-主机安全;三级系统安全保护要求—主机安全;主机安全的整改要点;主机安全的整改案例;安全技术要求-应用安全;等保三级应用安全建设目标 ;安全技术要求-应用安全;三级系统安全保护要求—应用安全; 应用安全的整改要点; 应用安全的整改案例;安全技术要求-数据安全;等保三级数据安全建设目标 ;安全技术要求-数据安全;三级系统安全保护要求—数据安全与备份恢复; 数据安全及备份恢复的整改要点; 数据安全及备份恢复的整改案例;典型案例小结—技术整改措施; 安全管理体系;安全管理体系;安全管理要求-安全管理机构;安全管理要求 -安全管理机构;三级系统安全保护要求—安全管理机构;安全管理要求-安全管理制度;安全管理要求 -安全管理制度;三级系统安全保护要求—安全管理制度;安全管理要求-人员安全管理;安全管理要求 -人员安