欢迎来到天天文库
浏览记录
ID:43208123
大小:4.02 MB
页数:65页
时间:2019-10-02
《等级保护建设培训》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、信息安全等级保护建设了解等保政策与技术要求我司产品如何与等保要求对应关系培训目的等级保护政策介绍和建设思路等保建设方案统一规划等保项目注意事项目录等级保护政策介绍和建设思路等级保护政策介绍等级保护政策解读等级保护建设思路探讨等保建设方案统一规划等保项目注意事项目录信息安全等级保护制度信息安全等级保护(以下简称等保)是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。等保的5个监管等级对象等级合法权益社会秩序和公共利益国家安全损害严重
2、损害损害严重损害特别严重损害损害严重损害特别严重损害一般系统一级√二级√√重要系统三级√√四级√√极端重要系统五级√等保采用分系统定级的方法,当拥有多个信息系统时,需要分别进行定级,并分别进行保护。在五个监管等级中,三级与四级系统为监管的重点,也是建设的重点。决定等级的主要因素分析信息系统所属类型业务数据类别信息系统服务范围业务处理的自动化程度业务重要性业务数据安全性业务处理连续性业务依赖性基于业务的重要性和依赖性分析关键要素,确定业务数据安全性和业务处理连续性要求。业务数据安全性业务处理连续性信息系统安全保护等级根据业务数据安全性和业务处理连续性要求确定安全保护等级。从等保的定级要
3、求可以看出,等保关注的重点在于业务的可靠性和信息保密性。不同级别之间保护能力的区别总体来看,各级系统应对威胁的能力不同,即能够对抗系统面临的威胁的程度以及在遭到威胁破坏后,系统能够恢复之前的各种状态的能力是不同的。一级具有15个技术目标,16个管理目标;二级具有29个技术目标,25个管理目标;三级具有36个技术目标,27个管理目标;四级具有41个技术目标,28个管理目标。技术要求的变化包括:安全要求的增加安全要求的增强管理要求的变化包括:管理活动控制点的增加,每个控制点具体管理要求的增多管理活动的能力逐步加强,借鉴能力成熟度模型(CMM)安全控制定级指南过程方法确定系统等级启动采购/开发实施
4、运行/维护废弃确定安全需求设计安全方案安全建设安全测评监督管理运行维护暂不考虑特殊需求等级需求基本要求产品使用选型监督管理测评准则流程方法监管流程应急预案应急响应等级保护定义的信息安全建设过程等级保护工作对应完整的信息安全建设生命周期等级保护建设的一般过程整改评估定级评测确定系统或者子系统的安全等级依据等级要求,对现有技术和管理手段的进行评估,并给出改进建议针对评估过程中发现的不满足等保要求的地方进行整改评测机构依据等级要求,对系统是否满足要求进行评测,并给出结论监管对系统进行周期性的检查,以确定系统依然满足等级保护的要求等级保护政策介绍和建设思路等级保护政策介绍等级保护政策与技术解读等级保
5、护建设思路探讨等保建设方案统一规划等保分步实施实践目录等保的地位和作用是信息安全工作的基本制度;是信息安全工作的基本国策;是信息安全工作的基本方法;是保护信息化、维护国家信息安全的根本保障,是国家意志的体现;是开展信息安全工作的抓手,也是灵魂。——摘自公安部的领导讲话等保核心思想:适度安全信息安全工作中,等保给予用户明确的目标,帮助用户更清晰的认识安全薄弱环节。没有100%的安全,适度安全的核心思想让用户达到投资/收益最佳比。系统重要程度系统保护要求安全基线安全基线安全基线一级二级三级四级等保基本保护要求框架物理安全安全管理制度网络安全系统安全应用安全数据安全安全管理机构人员安全管理系统建设
6、管理系统运维管理技术要求管理要求某级要求等保不同级别的保护能力的区别各级系统应对威胁的能力不同,即能够对抗系统面临的威胁的程度以及在遭到威胁破坏后,系统能够恢复之前的各种状态的能力是不同的。技术要求:安全要求的增加安全要求的增强管理要求:管理活动控制点的增加,每个控制点具体管理要求的增多管理活动的能力逐步加强,借鉴能力成熟度模型(CMM)等级保护技术要求归纳13个核心技术要求涉及层面涉及1级系统涉及2级系统涉及3级系统涉及4级系统身份鉴别和自主访问控制网络、主机、应用√√√√强制访问控制主机√√安全审计网络、主机、应用√√√完整性和保密性保护网络、应用、数据√√√√边界保护网络√√√资源控制
7、网络、主机、应用√√√入侵防范和恶意代码防范网络、主机、应用√√√√可信路径设置网络、主机、应用√系统防渗透措施网络、主机、应用√安全管理平台设置网络、主机、应用√√备份与恢复网络、数据√√密码技术应用网络、主机、应用√√环境与设施安全物理√√√√不同等级保护技术措施要求不同等级保护技术措施要求等级保护管理要求安全管理制度信息安全管理的前提安全管理机构信息安全管理的基础人员安全管理信息安全管理的保障系统建设管
此文档下载收益归作者所有