等保三级系统加固及测评关键点课件

加强信息系统安全，日期：2016年9月，广西金浦卫信息系统有限公司Before2005 中华人民共和国计算机信息系统安全保护条例 (1994年国务院147号令)国家信息化领导小组关于加强信息安全保障工作的意见(中间发200327) 关于信息安全等级保护工作的实施意见(共同者)，即可从workspace页面中移除物件。即可从workspace页面中移除物件。等级保护-政策推动流程，基本类信息安全等级保护管理办法 GB 17859-1999 关于开展全国重要信息系统安全等级保护定级工作的通知gb/t cccc-cccc批准应用程序类指定：上海市迎世博信息安全保障两年行动计划gb/t 22440-2008实施：2009年信息安全等级保护工作内容及具体要求 GB/整顿安全等级，调整本地，更改等级，能力、措施和要求，安全保护能力，基本安全要求，等三级信息系统，基本技术措施，基本管理措施，持有，包含，满足，实施，等级保护基本安全要求，特定级别的系统第三阶段系统控制类和控制，物理安全的主要方面是环境安全(防火、防水、防雷击等)设备和介质的防盗损伤防护等。 物理安全性包括选择10个控制点物理位置(g)、物理访问控制(g)、防盗和防破坏(g)、防雷击(g)、防火(g)、防水和防潮(g)、防静电(g)、温度和标识指示，监控报警系统，防雷，建筑物防雷，计算机房接地，设备防雷，防火，消防设备，自动报警，自动消防系统，区域隔离措施，防静电，主要设备，主要设备，防静电地板，供电，稳定电压，稳定电压防雷、防火、防水防潮、防静电、温度和湿度控制、供电、电磁防护、无硬性要求、网络安全主要关注的是网络结构、网络边界和网络设备本身的安全等。网络安全包括7种控制点结构安全(g)、访问控制(g)、安全审核(g)、边界完整性检查(a)、入侵防护(g)、恶意代码防护(g)、网络设备保护(g)和三级系统安全要求子网/网段控制，核心网络带宽，总体网络带宽，重要网段分发，路由控制，带宽分配优先级，端口控制，最大流量数和最大连接，防止地址欺骗，保护审核记录，位置和阻止，入侵预防，常见攻击检测，记录，警报，警报添加网关防病毒产品、预防恶意代码、网络设备特殊配置服务、网络设备保护、网络安全审核产品增加、主机系统安全是计算机设备的操作系统和数据库系统级别安全，包括服务器、终端/工作站等。 主机安全性包括七个控制点身份验证(s)、访问控制(s)、安全审核(g)、剩馀信息保护(s)、入侵防护(g)、恶意代码预防(g)、资源控制(a)和三级系统安全要求审核记录保护、入侵预防、最低安装原则、重要服务器：检测、记录、警报、恶意代码预防、主机和网络的预防产品不同、资源控制、重要服务器监控、最低服务级别检测和警报、重要客户端的审核、升级服务器、重要程序完整性、防恶意软件、代码库集成管理恶意代码预防、资源控制、网络管理软件和主机配置服务、应用程序系统的安全性是对系统中各种应用程序的安全保护。 包含发送消息、浏览web等基本应用程序。业务应用程序，如电子商务、电子政府等9个控制点身份验证(s)、访问控制(s)、安全审核(g)、剩馀信息保护(s)、通信完整性(s)、通信机密性(s)、拒绝(g)和软件容错(a) 通信完整性、奇偶校验技术、密码技术、软件容错、自动保护功能、资源控制、资源分配限制、资源分配优先级、最小服务级别检测和警报、数据验证、部分执行保护、用户会话数和系统的最大并发会话数限制、审计记录保护、通信机密性、初始化验证、和通信机密性、拒绝预防、软件容错、资源控制、系统审计配置服务、难以实现、通信加密手段增加、建立统一CA中心、难以进一步、保护用户数据、系统数据和业务数据的配置服务可以满足某些要求。 最大限度地减少对数据的破坏。备份恢复也是数据损坏后无法恢复的重要手段，例如数据备份、硬件冗馀、场外实时备份等。数据安全性和备份恢复包括三个控制点数据完整性(s)、数据机密性(s)、备份和恢复(a)、三级系统安全要求数据安全性和备份恢复、数据完整性、数据传输完整性识别、备份和恢复、关键数据的备份、数据安全性和备份恢复的整改时间点、以及每天一次，备份介质异地存储，数据完整性，数据机密性，备份和恢复，建立统一CA中心，添加通信加密手段，世博会相关单位，23个，整顿管理要求，环境管理，资产管理，介质管理，设备管理，监控管理和安全管理中心，网络安全政策、管制各种安全管理活动的管理系统、管制管理员或操作员日常操作的操作程序等。安全管理系统包括形成信息安全管理系统、统一发行、定期修订等三个管理点管理系统、修改开发和修订、三级系统安全要求、安全管理系统、安全管理机构主要是为了限制和确保每个安全管理措施的执行，从单位内部结构中的高级管理人员(董事会)开始，从管理层和安全管理机构包括五个控制点职务设置、人员配备、授权和审批、通信和合作、审计和检查整改要点：信息安全组长和职能部门、专门的安全负责人、定期综合安全检查、定期协调会议、外部通信和合作、三级系统安全要求(安全管理机构、人力安全管理等)员工安全管理包括5名控制点员工招聘、员工离职、员工评估、安全意识培训和培训、外部员工访问管理整顿要点：全面保密协议、核心工作管理、针对各种职位的培训计划、外部员工访问管理、三级系统安全要求-员工安全管理、系统构建管理分别进行分级、实施设计构建、接受系统构建管理包括11个控制点系统评级、安全计划设计、产品采购和使用、自己的软件开发、外包软件开发、工程实施、测试验收、系统交付、系统提交、等级评估、安全服务交付服务交付整改点：系统评级演示、总体计划、产品选择测试、开发流程中的人员管理三阶段系统安全要求系统构建管理、系统操作和维护包括日常管理、变更管理、制度化管理、安全事件处理、应急计划管理和安全中心。 系统运行和维护管理包括13个控制点环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心