返回
信息安全保障建设中的

信息安全保障建设中的

ID:39833870

大小:227.11 KB

页数:32页

时间:2019-07-12

信息安全保障建设中的_第1页
信息安全保障建设中的_第2页
信息安全保障建设中的_第3页
信息安全保障建设中的_第4页
信息安全保障建设中的_第5页
资源描述:

《信息安全保障建设中的》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全保障建设中的 几个焦点问题国家信息化专家咨询委员会委员沈昌祥院士内容—————————————————————————一、信息安全等级划分与保护二、等级保护与信息安全保障各环节的关系三、可信计算平台是系统级安全的必要条件四、高安全等级系统软件是信息安全的基础一、信息安全等级划分 与保护2004年9月15日由公安部、国家保密局、国家密码管理局和国信办联合下发《关于信息安全等级保护工作的实施意见》(66号文件),明确实施等级保护的基本做法。2007年6月22日又由四单位联合下发《信息安全等级保护管理办法》(43号文件)

2、,规范了信息安全等级保护的管理。坚持自主定级、自主保护原则。应根据在国家安全、经济建设、社会生活中的重要程度,以及系统遭受破坏后的危害程度等因素确定等级。等级划分:等级合法权益社会秩序和公共利益国家安全损害严重损害损害严重损害特别严重损害损害严重损害特别严重损害一级√二级√√三级√√四级√√五级√等级划分:等级合法权益社会秩序和公共利益国家安全损害严重损害损害严重损害特别严重损害损害严重损害特别严重损害一级√二级√√三级√√四级√√五级√等级划分:等级合法权益社会秩序和公共利益国家安全损害严重损害损害严重损害特别严重损害损

3、害严重损害特别严重损害一级√二级√√三级√√四级√√五级√等级分级保护保护级(GB17859)实施与管理一级自主保护自主访问主管部门审批自定二级指导保护审计(自主访问)主管部门审批公安备案三级监督检查标记(强制访问)主管部门审批每年一次测评检查四级强制监督检查结构化保证专家委评审半年一次测评检查五级专门监督检查实时监控专家委评审专门检查等级分级保护保护级(GB17859)实施与管理一级自主保护自主访问主管部门审批自定二级指导保护审计(自主访问)主管部门审批公安备案三级监督检查标记(强制访问)主管部门审批每年一次测评检查四级

4、强制监督检查结构化保证专家委评审半年一次测评检查五级专门监督检查实时监控专家委评审专门检查等级分级保护保护级(GB17859)实施与管理一级自主保护自主访问主管部门审批自定二级指导保护审计(自主访问)主管部门审批公安备案三级监督检查标记(强制访问)主管部门审批每年一次测评检查四级强制监督检查结构化保证专家委评审半年一次测评检查五级专门监督检查实时监控专家委评审专门检查等级分级保护保护级(GB17859)实施与管理一级自主保护自主访问主管部门审批自定二级指导保护审计(自主访问)主管部门审批公安备案三级监督检查标记(强制访问)

5、主管部门审批每年一次测评检查四级强制监督检查结构化保证专家委评审半年一次测评检查五级专门监督检查实时监控专家委评审专门检查等级分级保护保护级(GB17859)实施与管理一级自主保护自主访问主管部门审批自定二级指导保护审计(自主访问)主管部门审批公安备案三级监督检查标记(强制访问)主管部门审批每年一次测评检查四级强制监督检查结构化保证专家委评审半年一次测评检查五级专门监督检查实时监控专家委评审专门检查二、等级保护与信息安全 保障各环节的关系等级保护、风险评估、应急处理和灾难恢复是信息安全保障的主要环节,对等于P.D.R.R模

6、型的各要素。因此各环节应前后联接、融为一体。而现在往往各自独立地制定标准、试点推广,导致保障目标混乱,保护策略相互冲突,达不到应有效果,浪费资源,增大保护成本。这种局面应加以纠正,学术上应重点研究各环节内涵的一致性和外延的匹配性。等级保护是以制度的方式确定保护对象的重要程度和要求,风险评估是检测评估是否达到保护要求的度量工具,应急处理是将剩余风险因突发事件引起损失降低到可接受程度的对应手段。灾难恢复是针对发生灾难性破坏时所采取的由备份进行恢复的措施。它们都是为使一个确定的保护对象的资产少受或不受损失所进行的各个保障环节,缺

7、一不可,单独进行也不成,必须从总体统一保障。等级保护应根据信息系统的综合价值和综合能力保证的要求不同以及安全性破坏造成损失大小来确定其相应的保护等级。信息资产由价值表示,分为经济价值和社会价值。用下图表示:经济价值社会价值综合价值业务能力表现在信息服务上,分为服务范围和连续性依赖程度。服务范围连续性依赖综合能力保证降低威胁能力风险评估计算降低残余风险:降低脆弱性新增或强化安全措施残余风险能接受?降低负面影响维持是否安全应急恢复是一种降低残余风险损失的协调过程,涉及到计划、流程和技术措施,以使IT系统、运行和数据在被破坏后能

8、够得到恢复。这涉及到法律、组织管理和技术支持等环节,首先要做好应急规划。应急贯穿系统全生命周期:开发/采办阶段实现阶段运行/维护阶段启动阶段废弃阶段进行测试计划的培训、演习随时准备恢复原系统确定应急需求确定应急方案三、可信计算平台是系统安全的必要条件随着计算机的普及,安全问题越来越突出,采取老三样的堵漏

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。