欢迎来到天天文库
浏览记录
ID:42275139
大小:900.50 KB
页数:39页
时间:2019-09-11
《信息安全等级保护与整体解决方案》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、信息安全等级保护与等级化安全体系解决方案INDEX网络安全与信息安全信息安全等级保护等级化安全体系解决方案网络安全与信息安全安全定义安全基本要求安全技术体系安全模型安全定义防止任何对数据进行未授权访问的措施,或者造成信息有意无意泄漏、破坏、丢失等问题的发生,让数据处于远离危险、免于威胁的状态或特性。网络安全:网络的组成方式、拓扑结构和网络应用信息安全:信息的来源、去向,内容的真实无误及保证信息的完整性,信息不会被非法泄露扩散保证信息的保密性安全基本要求完整性:(Integrity)拥有的信息是否正确;保证信息从真实的信源发往真实的信宿,传输、存储、处理中未被删改、增添、替换。
2、机密性:(Confidentiality)谁能拥有信息,保证国家秘密和敏感信息仅为授权者享有可用性:(Availability)信息和信息系统是否能够使用保证信息和信息系统随时可为授权者提供服务而不被非授权者滥用。可控性:(Controllability)是否能够监控管理信息和系统保证信息和信息系统的授权认证和监控管理。不可否认性:(Non-repudiation)为信息行为承担责任,保证信息行为人不能否认其信息行为。安全技术体系物理安全技术:环境安全、设备安全、媒体安全;系统安全技术:操作系统及数据库系统的安全性;网络安全技术:网络隔离、访问控制、VPN、入侵检测、扫描评估
3、;应用安全技术:Email安全、Web访问安全、内容过滤、应用系统安全;数据加密技术:硬件和软件加密,实现身份认证和数据信息的CIA特性;认证授权技术:口令认证、SSO认证(例如Kerberos)、证书认证等;访问控制技术:防火墙、访问控制列表等;审计跟踪技术:入侵检测、日志审计、辨析取证;防病毒技术:单机防病毒技术逐渐发展成整体防病毒体系;灾难恢复和备份技术:业务连续性技术,前提就是对数据的备份。安全模型—P2DRP2DR模型Protection防护检测Detection响应ResponsePolicy策略保护protect采用一切手段(主要指静态防护手段)保护信息系统的五
4、大特性。安全模型--PDRR检测detect检测本地网络的安全漏洞和存在的非法信息流,从而有效阻止网络攻击对危及网络安全的事件和行为做出反应,阻止对信息系统的进一步破坏并使损失降到最低响应react及时恢复系统,使其尽快正常对外提供服务,是降低网络攻击造成损失的有效途径恢复restore信息安全保障体系PDRR模型图INDEX网络安全与信息安全信息安全等级保护等级化安全体系解决方案信息安全等级保护对等级保护政策的理解信息系统划分信息系统定级等级化安全保障体系设计流程等级化安全保障体系的基本框架对等级保护的理解等级保护是我国信息安全领域的一项基本政策1994年,《中华人民共和国
5、计算机信息系统安全保护条例》的发布1999年,《计算机信息系统安全保护等级划分准则》GB17859-1999发布2003年,中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号文)2004年,四部委(公安部、国家保密局、国家密码管理局、国信办)联合签发了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号文)国务院信息化工作办公室发布《电子政务信息安全等级保护实施指南(试行)》对等级保护的理解(续一)等级保护是我国信息安全领域的一项基本政策2005年12月,国家保密局发布《涉及国家秘密的信息系统分级保护管理办法
6、》、《涉及国家秘密的信息系统分级保护技术要求》2005年12月,公安部《信息系统安全等级保护实施指南》、《信息系统安全等级保护定级要求》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》(GB送审稿陆续出台)2006年3月开始实施的公安部、国家保密局、国家密码管理局、国信办四部委(局办)发布7号文《等级保护管理办法》对等级保护的理解(续二)等级保护的核心是将传统的定性设计逐步进化为定量的安全保障设计对信息系统实施不同等级的安全保护对信息系统中使用的安全产品实施分等级管理对信息系统发生的安全事件分等级响应和处置对等级保护的理解(续三)等级保护体现了差异化的安全
7、保障思想由系统使命决定系统的等级,充分考虑业务信息安全性和业务服务保证性结合基本要求,并依据风险评估的结果对安全保护措施进行调整对3级及以上系统实施相应的监督和管理对涉及国家安全、经济建设、社会稳定等方面的重要信息系统重点保护对于涉及国家秘密的信息系统规范定密,准确定级;依据标准,同步建设;突出重点,确保核心;明确责任,加强监督涉及国家秘密的信息系统按照所处理信息的最高密级,由低到高划分为秘密级、机密级(一般和增强)和绝密级三个级别,其总体防护水平分别不低于三级、四级、五级的要求信息系统的划分信息系统的
此文档下载收益归作者所有