等保测评三级系统整改示例ppt课件

三级系统整改实例，2.世博会前后同等的保护目标防止了信息安全引发的群体性事件。关键信息系统不能被中断，以防止负面事件，如办公室系统的信息泄漏。世博会前后同等保护措施的规范化信息安全保障、自我免疫和强制行动与选择性行动相结合的提升、综合整治与强化、应急演练等服务有待深化。管理层应具体落实建立全市范围的专家团队和技术支持团队，分级保护世博信息安全。三、2005年前中华人民共和国计算机信息系统安全保护条例 (1994年国务院令第147号1994年)国家信息化领导小组关于加强信息安全保障工作的意见(中办发2003)27号关于信息安全等级保护工作的实施意见(工通字2004)66号)2007年信息安全等级保护管理办法(工通字2007)43号关于开展全国重要信息系统安全等级保护定级工作的通知(龚欣安2007)861号)上海市迎世博信息安全保障两年行动计划(发2009187)-公户发2009173，聚200939，等级保护-政策推广的过程。4、基础类2009年信息安全等级保护工作内容及具体要求 GB 17859-1999 关于组织开展2009年度本市重要信息系统等级保护工作的通知 GB/tccc-cccc批准草案申请类评级：计算机信息系统安全保护等级划分准则 GB/T22240-2008建设：信息系统安全等级保护实施指南 GB/t 22239-2008 信息系统安全保护等级定级指南 GB/T 20271-2006 信息系统安全等级保护基本要求评估：信息系统通用安全技术要求 GB/tddd-dddd批准5、等级保护-全面实施过程、信息系统分级、安全总体规划、安全设计和实施、安全运行和维护、信息系统终止、安全等级评估、信息系统归档、安全整改设计、等级符合性检查、应急计划和演练、局部调整、等级变更、6、能力、措施和要求、安全保护能力、基本安全要求等。保护三级信息系统、基本技术措施、基本管理措施等。包括，包含，满足，满足，实现。7、等级保护的基本安全要求、一定等级的系统、物理安全、技术要求、管理要求、基本要求、网络安全、主机安全、应用安全、数据安全、安全管理组织、安全管理体系、人员安全管理、系统建设管理、系统运行和维护管理，以及三级系统的控制类和控制项。三级系统安全保护要求物理安全，物理安全主要涉及环境安全(防火、防水、防雷等)。)设备和介质的防盗和防破坏等。物理安全具体包括：物理位置选择(G)、物理访问控制(G)、防盗和防损坏(G)、防雷击(G)、防火(G)、防水和防潮(G)、防静电(G)、温度和湿度控制(G)、电源(A)、电磁保护(S)，10、物理位置选择、基本保护能力、高层、地下室、物理访问控制、基本访问控制、分区管理、机房活动、电子访问控制、防盗和防损坏、存储位置、标记、监控和报警系统、防雷、建筑物防雷、机房接地、设备防雷、防火、消防设备、自动报警、自动消防系统、区域隔离措施、防静电、关键设备、主要设备、防静电地板、电源、稳定电压、短期供电、主要设备、冗余/并行线路、 备用电源系统、电磁保护、电缆隔离、接地和抗干扰、电磁屏蔽、防水防潮、温湿度控制、物理安全整改要点、11、11、12、12、无硬快速要求、三级系统安全保护要求网络安全，网络安全的主要方面包括：网络结构、网络边界和网络设备安全等。网络安全具体包括：7个控制点结构安全(G)、访问控制(G)、安全审计(G)、边界完整性检查(A)、入侵预防(G)、恶意代码预防(G)、网络设备保护(G)，13、结构安全、关键设备冗余空间、主设备冗余空间、访问控制、访问控制设备(用户、网段)、应用层协议过滤、拨号访问限制、会话终止、安全审计、日志记录、审计报告、边界完整性检查、内部非法连接、未授权设备的未授权外部连接、网络安全的纠正点、子网/网段控制、核心网络带宽、整体网络带宽、重要网段的部署、路由控制、带宽分配优先级、端口控制、最大流量和最大连接。 防止地址欺骗、保护审计记录、定位和阻止、入侵预防、常见攻击检测、记录、警报、恶意代码预防、网络边界预防、网络设备保护、基本登录身份验证、组合身份验证技术、特权用户权限分离、14、14、和、和、和、和、和、和、和、和、和、和、和和，和，和，和，和，和，和，和，和，和，和，和，和，和，和，和，和，和，和，主机安全具体包括：7个控制点身份验证，访问控制，安全审计，剩余信息保护，入侵预防，恶意代码预防，资源控制，16、身份认证、基本身份认证、访问控制、安全策略、管理用户的权限分离、特权用户的权限分离、安全审计、基本服务器操作的审计、审计报告、剩余信息保护、空间释放和信息移除、主机安全的校正点、组合认证技术、敏感标记的设置和操作、审计记录的保护、入侵预防、最小安装原则、重要服务器：检测、记录、警报、恶意代码预防、主机和网络预防产品不同、资源控制、 重要服务器的监控、最低服务级别的检测和警报、重要客户端的审计、服务器的升级、重要程序的完整性、反恶意软件和代码库的统一管理、对用户会话和终端登录次数的限制。17，身份认证系统的增加，访问控制策略配置服务，更难提前实现，主机入侵防御策略配置服务，网络管理软件和主机配置服务，18、三级系统安全保护要求应用安全，应用系统安全是指保护系统中各种应用程序的安全运行。包括诸如消息发送、网页浏览等基本应用。商业应用，如电子商务、电子政务等。应用安全具体包括：9个控制点身份认证、访问控制、安全审计、剩余信息保护、通信完整性、通信机密性、不可否认性、软件容错、资源控制。19、身份认证、基本身份认证、访问控制、安全策略、最低授权原则、安全审计、操作审计(用户级)、审计报告、剩余信息保护、空间释放和信息清除、应用安全整改要点、组合识别技术、敏感标志的设置和操作、审计过程保护、通信完整性、校验码技术、密码技术、软件容错、自动保护功能、资源控制、资源分配限制、资源分配优先级、最低服务级别检测和报警、数据有效性检查、部分操作保护、 对系统中用户会话数和最大并发会话数的限制、审计记录的保护、通信保密性、初始化和验证、整个消息和会话过程的加密、敏感信息的加密、不可否认性、应用软件本身的配置或升级、访问控制策略配置服务、系统审计配置服务更难提前实施，增加通信加密手段和建立统一的CA中心更难实施备份恢复也是防止数据损坏和无法恢复的重要手段，主要包括数据备份、硬件冗余和异地实时备份。数据安全和备份恢复具体包括：数据完整性、数据机密性、备份和恢复。22，数据完整性，数据传输完整性的识别，备份和恢复，重要数据的备份，数据安全的整改点和备份恢复，各种数据传输和存储，远程备份，网络冗余，硬件冗余，本地完全备份，硬件冗余，检测和恢复，数据机密性，区分数据存储的机密性，各种数据的传输和存储，每天一次，异地存储的备份介质，23，建立统一的CA中心，增加通信加密手段，只对世博相关单位，24、整改管理要求。环境管理、资产管理、媒体管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码预防管理、密码管理、变更管理、备份和恢复管理、安全事件处理、应急计划管理、信息系统。25、三级系统安全保护要求安全管理体系，包括信息安全工作的总体方针和政策，规范各种安全管理活动的管理体系，以及管理人员或操作人员日常操作的操作程序。安全管理体系具体包括：三个控制点管理体系、制定和发布、整改点的审核和修订：信息安全管理体系的形成、统一发布、定期修订等.26.三级系统安全保护要求-安全管理组织。安全管理机构主要建立一套从单位最高管理层(董事会)到执行管理层和业务操作层的管理架构，以约束和保证各种安全管理措施在单位内部结构上的实施。安全管理机构具体包括：5个控制点的岗位设置、人员配备、授权审批、沟通协作、审核检查和整改点：信息安全领导小组和职能部门、专职安全员、定期全面安全检查、定期协调会、对外沟通协作等.27.三级体系安全保护要求人员安全管理和人员安全管理主要涉及两个方面：内部人员的安全管理和外部人员的安全管理。人员安全管理具体包括：5个控制点人员招聘、人员离岗、人员考核、安全意识教育培训、外部人员准入管理整改点：完全保密协议、关键岗位人员管理、不同岗位培训计划、外部人员准入管理。28岁。三级系统安全保护要求-系统建设管理。系统建设管理侧重于从分级、设计和施工实施、验收和交付、评价等各种安全管理活动。系统建设管理具体包括：11个控制点的系统分级、安全方案设计、产品采购和使用、自主开发软件开发、外包软件开发、项目实施、测试验收、系统交付、系统备案、等级评估、安全服务供应商选择整改点：系统分级论证、总体规划、产品选型和测试、开发过程中的人员控制、项目实施的制度化、第三方委