信息系统等级保护.pptVIP

*信息系统等级保护——综合篇内容概要信息安全与等级保护什么是等级保护等级保护的国家政策与标准规范等级保护的工作内容等级保护的建设流程等级保护各参与部门的角色定位密保（分保）——分三级（绝密、机密、秘密）涉密环境（网络、终端、应用系统及数据）的信息安全等保——分五级非涉密环境（网络、终端、应用系统及数据）的信息安全信息安全的宏观范畴信息安全与等级保护信息安全与等级保护01什么是等级保护02等级保护的国家政策与标准规范03等级保护的工作内容04等级保护的建设流程05等级保护各参与部门的角色定位06内容概要什么是等级保护信息系统等级保护的定义是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。受侵害程度；受侵害客体；根据信息和信息系统遭到破坏或泄露后，对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度来进行定级。等级保护的等级划分准则等级保护的等级划分准则等级保护涉及的几个基本概念主动用户、进程主体被动文件、存储设备客体访问：读、写、执行权限安全策略安全审计强制访问控制等级保护的等级划分准则第一级用户自主保护级第二级系统审计保护第三级安全标记保护第四级结构化保护第五级访问验证保护用户自主控制资源访问访问行为需要被审计通过标记实现强制访问控制可信计算基结构化所有的过程都需要验证等级保护的等级划分准则第一级自主安全保护第二级审计安全保护第三级强制安全保护第四级结构化保护第五级访问验证保护级自主访问控制身份鉴别完整性保护自主访问控制身份鉴别完整性保护系统审计客体重用自主访问控制身份鉴别完整性保护系统审计客体重用强制访问控制标记自主访问控制身份鉴别完整性保护系统审计客体重用强制访问控制标记自主访问控制身份鉴别完整性保护系统审计客体重用强制访问控制标记隐蔽通道分析可信路径隐蔽通道分析可信路径可信恢复01信息安全与等级保护02什么是等级保护03等级保护的国家政策与标准规范04等级保护的工作内容05等级保护的建设流程06等级保护各参与部门的角色定位内容概要等级保护的国家政策颁布时间文件名称文号颁布机构内容及意义1994年2月18日《中华人民共和国计算机信息系统安全保护条例》国务院147号令国务院第一次提出信息系统要实行等级保护，并确定了等级保护的职责单位。2003年9月7日《国家信息化领导小组关于加强信息安全保障工作的意见》中办国办发[2003]27号中共中央办公厅国务院办公厅等级保护工作的开展必须分步骤、分阶段、有计划的实施。明确了信息安全等级保护制度的基本内容。2004年9月15日《关于信息安全等级保护工作的实施意见》公通字[2004]66号公安部国家保密局国家密码管理委员会办公室（国家密码管理局）国务院信息化工作办公室将等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障的一项基本制度。2007年6月22日《信息安全等级保护管理办法》公通字[2007]43号明确了信息安全等级保护制度的基本内容、流程及工作要求，明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务。2007年7月16日《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号就定级范围、定级工作主要内容、定级工作要求等事项进行了通知。等级保护的技术标准规范GB17859-1999计算机信息系统安全保护等级划分准则信息系统安全等级保护定级指南GB/T20269-2006信息系统安全管理要求GB/T20282-2006信息安全技术信息系统安全工程管理要求GB/T20270-2006信息安全技术网络基础安全技术要求GB/T20271-2006信息安全技术信息系统通用安全技术要求GB/T20272-2006信息安全技术操作系统安全技术要求GB/T20273-2006信息安全技术数据库管理系统通用安全技术要求GB/T22239-2008信息安全技术信息系统安全等级保护基本要求信息安全技术信息系统等级保护安全设计技术要求(已送批)信息系统安全等级保护实施指南……GB/T20009-2005信