国家电子政务信息安全试点培训.pptVIP

安全规划与设计的过程 第三十一页，共四十七页。 安全域划分原则 功能应用相似性原则 安全属性相似性原则 资产价值 安全要求 安全威胁 第三十二页，共四十七页。 保护对象分类 第三十三页，共四十七页。 建立系统分域保护框架的方法 充分覆盖 互不重叠 无需细分 第三十四页，共四十七页。 如何构建系统分域保护框架 第三十五页，共四十七页。 选择和调整安全措施的过程 第三十六页，共四十七页。 安全措施调整因素和调整方式 序号 调整因素 调整方式 1 三性等级中的1－2项低于系统安全等级 降低对应控制项的等级 2 出现基本安全要求之外的特定安全要求 增加控制项 3 不存在基本安全要求所要控制的安全风险 删减控制项 4 风险评估识别出的风险在基本安全要求中 没有控制项 增加控制项 5 与相应基本安全要求提供的安全强度相 比，风险较低 降低控制项的强度等级 6 与对应基本安全要求提供的安全强度相 比，风险较高 提高控制项的强度等级 7 相应基本安全要求中某些措施成本太高， 无法承受 通过其他措施进行弥补 第三十七页，共四十七页。 国家电子政务信息安全试点培训 济源 2005.11.08 电子政务信息安全等级保护实施指南 2005年11月8日 第一页，共四十七页。 27号文件确定未来3－5年的信息安全纲领 第二页，共四十七页。 当前我国信息安全保障工作的九大任务 实行信息安全等级保护 加强以密码技术为基础的信息保护和网络信任体系建设 建设和完善信息安全监控体系 重视信息安全应急处理工作 加强信息安全技术研究开发，推进信息安全产业发展 加强信息安全法制建设标准化建设 加快信息安全人才培养，增强全民信息安全意识 保证信息安全资金 加强对信息安全保障工作的领导，建立健全信息安全管理责任制 第三页，共四十七页。 安全目标 基础网络 数据业务 等级保护的基本概念 区域5 区域4 区域3 区域2 区域1 等级化信息安全体系框架 安全措施 技术 运行 组织 策略 统一终端管理 内网监控 边界保护 策略发布 策略制定 组织建设 运维手册 岗位职责 检查考核 第四页，共四十七页。 电子政务等级保护的含义 实行信息安全等级保护：信息化发展的不同阶段和不同的信息系统有着不同的安全需求，必须从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。 第五页，共四十七页。 电子政务等级保护的含义 依据电子政务系统的使命与目标和系统重要程度，将系统划分为不同的安全等级，并综合平衡考虑系统安全要求、系统所面临安全风险和实施安全保护措施的成本，进行安全措施的调整和定制，形成不同等级的安全措施进行保护 第六页，共四十七页。 电子政务等级保护工作的内容 等级保护 管理办法 等级保护 定级指南 基本安全 要求 等级评估 规范 定级 确定安全 保障措施 安全设计 与建设 运行监控 与改进 管理层 用户层 第七页，共四十七页。 电子政务等级保护的基本原则 重点保护原则：电子政务等级保护要突出重点，重点保护关系国家安全、经济命脉、社会稳定等方面的重要电子政务系统，集中资源首先确保重点系统安全。 自主保护原则：电子政务等级保护要贯彻“谁主管谁负责、谁运营谁负责”的原则，由各主管部门和运营单位依照国家相关法规和标准，自主确定电子政务系统的安全等级并组织实施安全防护。 分区域保护原则：电子政务等级保护要根据各地区、各行业电子政务系统的重要程度、业务特点和不同发展水平，分类、分级、分阶段进行实施，通过划分不同安全保护等级的区域，实现不同强度的安全保护。 同步建设、动态调整原则：电子政务系统在新建、改建、扩建时应当同步建设信息安全设施，保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当重新确定系统的安全保护等级。 第八页，共四十七页。 电子政务的五个安全等级 安全 等级 等级 名称 基本描述 安全保护要求 第一级 自主保护级 适用于一般的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较小的负面影响。 参照国家标准自主进行保护。 第二级 指导保护级 适用于处理日常政务信息和提供一般政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响。 在主管部门的指导下，按照国家标准自主进行保护。 第三级 监督保护级 适用于处理重要政务信息和提供重要政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较大的负面影响，对国家安全造成一定