《信息系统安全等级保护基本要求》培训资料

《信息系统安全等级保护基本要求》培训资料

ID:18616185

大小:809.00 KB

页数:59页

时间:2018-09-19

《信息系统安全等级保护基本要求》培训资料_第1页
《信息系统安全等级保护基本要求》培训资料_第2页
《信息系统安全等级保护基本要求》培训资料_第3页
《信息系统安全等级保护基本要求》培训资料_第4页
《信息系统安全等级保护基本要求》培训资料_第5页
资源描述:

《《信息系统安全等级保护基本要求》培训资料》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全等级保护培训教材《信息系统安全等级保护基本要求》2007年7月59目录1概述31.1背景介绍31.2主要作用及特点31.3与其他标准的关系41.4框架结构42描述模型52.1总体描述52.2保护对象62.3安全保护能力62.4安全要求83逐级增强的特点93.1增强原则93.2总体描述103.3控制点增加113.4要求项增加113.5控制强度增强124各级安全要求134.1技术要求134.1.1物理安全134.1.2网络安全194.1.3主机安全244.1.4应用安全304.1.5数据安全及备份恢复364.2管理要求384.2.1安全管理制度384.

2、2.2安全管理机构414.2.3人员安全管理444.2.4系统建设管理474.2.5系统运维管理5259本教材根据《信息系统安全等级保护管理办法》公通字[2007]43号和《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号文件,围绕信息安全等级工作,介绍信息系统安全建设和改造过程中使用的主要标准之一《信息系统安全等级保护基本要求》(以下简称《基本要求》),描述《基本要求》的技术要求分级思路、逐级增强特点以及具体各级安全要求。通过培训,使得用户能够了解《基本要求》在信息系统安全等级保护中的作用、基本思路和主要内容,以便正确选择合

3、适的安全要求进行信息系统保护。1概述1.1背景介绍2004年,66号文件中指出“信息安全等级保护工作是个庞大的系统工程,关系到国家信息化建设的方方面面,这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施,信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。”信息安全等级保护工作第一阶段为准备阶段,准备阶段中重要工作之一是“加快制定、完善管理规范和技术标准体系”。依据此要求,《基本要求》列入了首批需完成的6个标准之一。1.2主要作用及特点1.主要作用《基本要求》对等级保护工作中的安全控制选择、调整、实施等提出规范性要求,根据使用对象不同

4、,其主要作用分为三种:a)为信息系统建设单位和运营、使用单位提供技术指导在信息系统的安全保护等级确定后,《基本要求》为信息系统的建设单位和运营、使用单位如何对特定等级的信息系统进行保护提供技术指导。b)为测评机构提供评估依据《基本要求》为信息系统主管部门,信息系统运营、使用单位或专门的等级测评机构对信息系统安全保护等级的检测评估提供依据。c)为职能监管部门提供监督检查依据《基本要求》为监管部门的监督检查提供依据,用于判断一个特定等级的信息系统是否按照国家要求进行了基本的保护。2.主要特点《基本要求》是针对每个等级的信息系统提出相应安全保护要求,“基本”意味

5、着这些要求是针对该等级的信息系统达到基本保护能力而提出的,也就是说,这些要求的实现能够保证系统达到相应等级的基本保护能力,但反过来说,系统达到相应等级的保护能力并不仅仅完全依靠这些安全保护要求。同时,《基本要求》强调的是“要求”59,而不是具体实施方案或作业指导书,《基本要求》给出了系统每一保护方面需达到的要求,至于这种要求采取何种方式实现,不在《基本要求》的描述范围内。按照《基本要求》进行保护后,信息系统达到一种安全状态,具备了相应等级的保护能力。1.1与其他标准的关系从标准间的承接关系上讲:l《信息系统安全等级保护定级指南》确定出系统等级以及业务信息安

6、全性等级和系统服务安全等级后,需要按照相应等级,根据《基本要求》选择相应等级的安全保护要求进行系统建设实施。l《信息系统安全等级保护测评准则》是针对《基本要求》的具体控制要求开发的测评要求,旨在强调系统按照《基本要求》进行建设完毕后,检验系统的各项保护要求是否符合相应等级的基本要求。由上可见,《基本要求》在整个标准体系中起着承上启下的作用。从技术角度上讲:《基本要求》的技术部分吸收和借鉴了GB17859:1999标准,采纳其中的身份鉴别、数据完整性、自主访问控制、强制访问控制、审计、客体重用(改为剩余信息保护)标记、可信路径等8个安全机制的部分或全部内容,

7、并将这些机制扩展到网络层、主机系统层、应用层和数据层。《基本要求》的技术部分弱化了在信息系统中实现安全机制结构化设计及安全机制可信性方面的要求,例如没有提出信息系统的可信恢复,但在4级系统提出了灾难备份与恢复的要求,保证业务连续运行。《基本要求》没有对隐蔽通道分析的安全机制提出要求。此外,《基本要求》的管理部分充分借鉴了ISO/IEC17799:2005等国际上流行的信息安全管理方面的标准,尽量做到全方位的安全管理。1.2框架结构《基本要求》在整体框架结构上以三种分类为支撑点,自上而下分别为:类、控制点和项。其中,类表示《基本要求》在整体上大的分类,其中技

8、术部分分为:物理安全、网络安全、主机安全、应用安全和数据安全及备份

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。