信息安全等保培训

信息安全等级保护制度介绍,上海市信息安全测评认证中心,1,介绍大纲,信息安全等级保护工作概述,1,2,趋势科技与等级保护合规性,信息安全等级保护制度,3,信息安全等级保护制度是什么信息安全等级保护制度要干什么如何开展信息安全等级保护工作,引言,在当今社会中，信息已成为人类宝贵的资源，并且可以通过Internet为全球人类所使用与共享。信息产业随着互联网技术的发展在一个国家国民经济发展中所占的比重也越来越大。人类生活对Internet的依赖也越来大。,4,引言,由互联网的发展而带来的信息安全问题正变得突出，网络安全也成为关系国家安全的重大战略问题。保障网络与信息系统安全，更好地维护国家安全、经济命脉和社会稳定，已经成为信息化发展中迫切需要解决的重大问题。,5,存在的问题,近年来，国家高度重视，各有关方面协调配合，共同努力，我国信息安全保障工作取得了很大进展，但是从总体上看，我国的信息安全保障工作尚处于起步阶段，基础薄弱，水平不高，存在以下突出问题：大多数单位采用防火墙作为内外网的边界防护设备重视外部攻击与入侵，忽视内部的非法行为偏重产品，忽视体系和管理关键技术，产品受制于人,6,我们面对的威胁,西方发达国家信息技术优势明显，我国面临信息强国的冲击、挑战和威胁，信息安全领域始终面临信息战和网络恐怖袭击的威胁；敌对势力的网上煽动，渗透和破坏活动愈加突出，针对信息系统进行的破坏活动日益严重，利用网络实施的违法犯罪案件持续大幅上升。,7,我们面对的威胁,受威胁的对象是操作系统、数据库系统和信息系统，攻击的目的是使系统瘫痪、信息被窃取、篡改毁坏，早期是能直接接触计算机系统的人（单机、多用户终端、局域网），现在攻击者和方式发生了变化，广域网、因特网使任何信息系统参与人都可能成为攻击者。在参与人中，有正常使用的人，也有非正常使用的人。后者称职为“攻击者或黑客”。“攻击者”分成几类，有着不同的目的。,8,我们面对的威胁,一般黑客有组织犯罪高层次深度打击,9,安全防护的重点,系统防入侵网络防攻击信息防泄露内容放篡改内部防越权,10,当前信息安全形势,外部环境-各国在大力推进Internet与信息技术应用的同时，抓紧实施国家信息安全保障体系与国防信息安全防御体系。-各国抓紧研究信息安全策略、制订体系标准、法律法规、实施安全计划。,11,当前信息安全形势,2009年6月25日英国出台首个国家网络安全战略。英国政府将成立两个网络安全新部门网络安全办公室和网络安全行动中心计划征召包括黑客在内的网络精英保卫网络安全,12,当前的要求与原则,总体要求：坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保护基础网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。主要原则：立足国情，以我为主，坚持管理与技术并重；正确处理安全与发展的关系，以安全促发展，在发展中求安全；统筹规划、突出重点，强化基础性工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。,13,等级保护制度,14,（一）信息安全等级保护制度是什么？,什么是信息安全等级保护工作,概念：信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。,15,什么是信息安全等级保护工作,第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。,16,等级保护工作,（二）等级保护制度要干什么？,17,体现国家管理意志构建国家信息安全管理体系保障信息化发展和维护国家安全,等级保护制度要干什么,18,解决什么,信息安全等级保护是手段，是为了构建国家信息安全保障体系信息安全保障体系也是手段，是为了业务应用发展信息安全等级保护是带有很强技术性的国家风险控制行为信息安全等级保护的关键所在正是基于信息系统所承载应用的重要性，以及该应用损毁后带来的影响程度来判断风险是否控制在可接受的范围内,19,相关政策及法律依据,2003年，国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）明确指出“实行信息安全等级保护”，“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”；2004年9月公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了关于信息安全等级保护工作的实施意见（公通字200466号），明确了信息安全等级保护制度的原则和基本内容，以及信息安全等级保护工作的职责分工、工作实施的要求等；2007年公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了信息安全等级保护管理办法，并召开了“全国重要信息系统安全等级保护定级工作电视电话会议”，部署在全国范围内开展重要信息系统安全等级保护定级备案工作。,20,等级保护工作,（三）如何开展信息安全等级保护工作,21,22,实施流程,重大变更,2、安全规划设计,3、安全实施/实现,4、安全运行管理,1、系统定级,局部调整,5、系统终止,实施流程,1、系统定级（首要环节）2、安全规划设计安全建设3、安全实施/实现4、安全运行管理5、系统终止,安全建设,信息安全等级保护管理办法第十一条规定，信息系统的安全保护等级确定后，运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设和改建工作。,安全建设,信息系统安全建设通过由包括物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等五个层面的基本安全技术措施和安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面的基本安全管理措施来实现和保证。,趋势科技与等级保护合规性,26,趋势科技与等级保护合规性,防毒墙网络版Officescan10.6,趋势科技与等级保护合规性,DeepSecurity,趋势科技与等级保护合规性,邮件安全网关IMSA5000E高级威胁邮件安全网关DDEI,趋势科技与等级保护合规性,网络防