等级保护课件

等级保护概述等级保护安全等级划分等级保护整改方案设计,目录CONTENTS,等级保护与分级保护的区别,信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法，是促进信息化健康发展，维护国家安全、社会秩序和公共利益的根本保障。重点保护对象为基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。,等级保护定义,基础类,产品类,运维类,等保安全建设整改,计算机信息系统安全保护等级划分准则,信息系统定级：定级指南GB/T22240-2008信息系统安全建设：基本要求GB/T22239-2008等级保护实施：实施指南信安字200710号等级测评：测评要求GA/T713-2007,风险评估：信息安全风险评估规范GB/T20984-2007事件管理：信息安全事件管理指南GB/Z20985-2007信息安全事件分类分级指南GB/Z20986-2007信息系统灾难恢复规范GB/T20988-2007,操作系统数据库网络PKI网关服务器入侵检测防火墙路由器交换机其他产品,技术要求评估准则测试方法配置指南,等级保护标准体系,1信息系统定级,2安全总体规划,3安全设计与实施,4安全运行维护,6信息系统终止,5安全等级测评,信息系统备案,安全整改设计,安全要求整改,安全等级整改,局部调整,等级变更,等级保护-实施过程,等级保护概述等级保护安全等级划分等级保护整改方案设计,目录CONTENTS,等级保护-定级原则,一级,二级,三级,四级,信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。,信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。,信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。,信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。,五级,信息系统受到破坏后，会对国家安全造成特别严重损害。,信息安全等级保护管理办法规定的五级要求,等级保护-等级划分,定级建议参考,一级信息系统：公民个人的单机系统，小型集体、民营企业所属的信息系统，中、小学校的信息系统，乡镇级党政机关、事业单位的信息系统，其他小型组织的信息系统。二级信息系统：县级、地市级电信、广电、银行、铁道、海关、税务、民航、证券、电力、保险、公安、财务、财政、金融、社保、工商、审计、能源、化工、社会服务保障、卫生、交通运输、国土资源、邮政、应急抢险、农业等行业所属独立的信息系统，中型集体、民营企业、小型国有企业所属的信息系统，县级党政机关、事业单位的信息系统，普通高等院校和科研机构的信息系统，其他中型组织的信息系统。三级信息系统：省级和副省级电信、广电、银行、铁道、海关、税务、民航、证券、电力、保险、公安、财政、金融、社保、工商、审计、能源、化工、社会服金融、社保、工商、审计、能源、化工、社会服务保障、卫生、交通运输、国土资源、邮政、应急抢险、农业等行业所属独立的重要信息系统，大型集体、民营企业、大中型国有企业所属的重要信息系统，地市级党政机关、事业单位的重要信息系统，重点高等院校和科研机构的重要信息系统，其他大中型组织的信息系统。,等级保护-定级,定级建议参考,四级信息系统：国家级电信、广电、银行、铁道、海关、税务、民航、证券、电力、保险、公安、财政、金融、社保、工商、审计、能源、化工、社会服务保障、卫生、交通运输、国土资源、邮政、应急抢险等行业所属全程全网的特大型信息系统，特大型国有企业所属全程全网的特大型信息系统，省级党政机关、事业单位所属的重要信息系统，重点科研机构的重要信息系统。五级信息系统：国家级电信、广电、银行、铁道、海关、税务、民航、证券、电力、保险等重要信息系统中的核心子系统，涉及国防、重大外交、航天航空、核能源、尖端科学技术等重要信息系统中的核心子系统，国家级党政机关重要信息系统中的核心子系统。,等级保护-定级,定级建议参考,税务系统等级定义参考,税务系统各单位定级工作参照以下定级原则：（1）税务总局负责设计、开发、推广、运行维护，全国范围使用，为纳税人提供网上办税业务的信息系统确定安全保护等级为三级，核心数据库系统可定为四级(全国使用的，税务总局集中的)，其他信息系统可定为二级；（2）省国税局和省地税局负责设计、开发、推广、运行维护，全省范围使用，为纳税人提供网上办税业务的信息系统安全保护等级最高定为三级，其他信息系统可定为二级；（3）市国税局和市地税局的信息系统安全保护等级定为二级；（4）税务总局机关内部使用的信息系统安全保护等级原则定为二级；（5）省国税局和省地税局机关内部使用的信息系统安全保护等级最高定为二级。,等级保护-定级,定级建议参考,卫生系统等级定义参考,卫生行业信息安全等级保护工作的指导意见规定以下重要卫生信息系统安全保护等级原则上不低于第三级：（1）卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统；（2）国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健等国家级数据中心；（3）三级甲等医院的核心业务信息系统；（4）卫生部网站系统；（5）其他经过信息安全技术专家委员会评定为第三级以上（含第三级）的信息系统。,等级保护-定级,第二级以上信息系统，由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续。地市级以上公安机关公共信息网络安全监察部门受理本辖区内备案单位的备案。隶属于省级的备案单位，其跨地（市）联网运行的信息系统，由省级公安机关公共信息网络安全监察部门受理备案。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由公安部公共信息网络安全监察局受理备案，其他信息系统由北京市公安局公共信息网络安全监察部门受理备案。信息系统运营、使用单位或者其主管部门（以下简称“备案单位”）应当在信息系统安全保护等级确定后30日内，到公安机关公共信息网络安全监察部门办理备案手续。,等级保护-备案,等级保护概述等级保护安全等级划分等级保护整改方案设计,目录CONTENTS,等级保护-整改工作流程,等级保护-整改内容,应用软件,系统软件,应用层,表示层,会话层,物理层,应用安全,主机安全,网络安全,物理安全,应用层,表示层,会话层,支撑软件,物理安全主要涉及的方面包括环境安全（防火、防水、防雷击等）设备和介质的防盗窃防破坏等方面。物理安全具体包括：10个控制点物理位置的选择（G）、物理访问控制（G）、防盗窃和防破坏（G）、防雷击（G)、防火（G）、防水和防潮（G）、防静电（G）、温湿度控制（G）、电力供应（A）、电磁防护（S）,等级保护-物理安全概述,等级保护-物理安全整改要点,物理位置选择,物理访问控制,防盗窃和防破坏,防雷击、防火、防水和防潮、防静电、温湿度控制,电力供应,电磁防护,不做硬性要求,网络安全主要关注的方面包括：网络结构、网络边界以及网络设备自身安全等。网络安全具体包括：7个控制点结构安全(G)、访问控制(G)、安全审计(G)、边界完整性检查(A)、入侵防范(G)、恶意代码防范(G)、网络设备防护(G),等级保护-网络安全概述,等级保护-网络安全整改要点,结构安全,访问控制,安全审计,增加违规外联检测阻断产品,边界完整性检查,入侵防范,增加网关型防毒墙产品,恶意代码防范,网络设备特别配置服务,网络设备防护,增加网络安全审计产品,主机系统安全是包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。主机安全具体包括：7个控制点身份鉴别(S)、访问控制(S)、安全审计(G)、剩余信息保护(S)、入侵防范(G)、恶意代码防范(G)、资源控制(A),等级保护-主机安全概述,等级保护-主机安全整改要点,身份鉴别,访问控制,安全审计,增加身份认证系统,剩余信息保护,入侵防范,访问控制策略配置服务,比较超前较难实现,主机入侵防范策略配置服务,恶意代码防范,资源控制,网管软件和主机配置服务,应用系统的安全就是保护系统的各种应用程序安全运行。包括基本应用，如：消息发送、web浏览等；业务应用，如：电子商务、电子政务等。应用安全具体包括：9个控制点身份鉴别（S）、访问控制（S）、安全审计（G）、剩余信息保护（S）、通信完整性（S）、通信保密性（S）、抗抵赖（G）、软件容错（A）、资源控制（A）,等级保护-应用安全概述,等级保护-应用安全整改要点,身份鉴别,访问控制,安全审计,应用软件本身配置或升级,剩余信息保护,通信完整性,访问控制策略配置服务,通信保密性,抗抵赖,软件容错,资源控制,系统审计配置服务,比较超前较难实现,增加通讯加密手段,建立统一的CA中心,比较超前较难实现,可通过资源分配达到部分要求,典型案例小结技术整改措施,技术整改措施,32,环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理,信息系统,等级保护管理规范,33,系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、安全服务商选择,信息系统,等级保护管理规范,34,人员录用、人员离岗、人员考核、安全意识教育及培训、外部人员访问管理,信息系统,等级保护管理规范,35,岗位设置、人员配备、授权和审批、沟通和合作、审核和检查,信息系统,等级保护管理规范,36,管理制度、制定和发布、评审和修订,信息系统,等级保护管理规范,典型案例小结管理整改措施,管理整改措施,网络安全及备份恢复的整改要点,主机安全及备份恢复的整改要点,应用安全及备份恢复的整改要点,TCSEC（美国可信计算