当前位置:
文档之家› 信息安全等级保护与整体解决方案
信息安全等级保护与整体解决方案
机密性:(Confidentiality)谁能拥有信息,保证国家秘 密和敏感信息仅为授权者享有
可用性:(Availability )信息和信息系统是否能够使用保 证信息和信息系统随时可为授权者提供服务而不被非授权 者滥用。
可控性:(Controllability)是否能够监控管理信息和系统 保证信息和信息系统的授权认证和监控管理。
信息系统的划分原则是相同的管理机构、相同的 业务类型、相同的物理位置或相似的运行环境
【公安部《信息系统安全保护等级定级指南》】
编辑课件
信息系统的划分(续一)
信息系统的划分可以从安全区域、业务系统和保 护对象三个不同角度进行:
安全区域侧重从物理区域进行划分,比如核心区、接 入区;用户区、管理区;外网、接入网、内网等,其 优点是划分相对容易,缺点是粒度较粗
恢复 restore
及时恢复系统,使其尽快正常对外提供服 务,是降低网络攻击造成损失的有效途径
响应 react
对危及网络安全的事件和行为做出反应,阻止 对信息系统的进一步破坏并使损失降到最低
PDRR模型图
编辑课件
INDEX
网络安全与信息安全 信息安全等级保护 等级化安全体系解决方案
编辑课件
信息安全等级保护
对等级保护政策的理解 信息系统划分 信息系统定级 等级化安全保障体系设计流程 等级化安全保障体系的基本框架
编辑课件
对等级保护的理解
等级保护是我国信息安全领域的一项基本政策
1994年,《中华人民共和国计算机信息系统安全保护条 例》的发布
1999年,《计算机信息系统安全保护等级划分准则》 GB17859-1999发布
业务系统侧重从应用系统进行划分,优点是粒度较细, 缺点是实际操作比较困难,当然也可以考虑几个业务 系统的组合
保护对象则综合了安全区域和业务系统两种方法的优 点,既考虑了信息系统的信息流向、业务流程,也考虑 了信息系统的物理归属
用系统安全; 数据加密技术:硬件和软件加密,实现身份认证和数据信息
的CIA 特性; 认证授权技术:口令认证、SSO 认证(例如Kerberos)、证
书认证等; 访问控制技术:防火墙、访问控制列表等; 审计跟踪技术:入侵检测、日志审计、辨析取证; 防病毒技术:单机防病毒技术逐渐发展成整体防病毒体系; 灾难恢复和备份技术:业务连续性技术,前提就是对数据的
不可否认性:(Non-repudiation)为信息行为承担责任, 保证信息行为人不能否认其信息行为。
编辑课件
安全技术体系
物理安全技术:环境安全、设备安全、媒体安全; 系统安全技术:操作系统及数据库系统的安全性; 网络安全技术:网络隔离、访问控制、VPN、入侵检测、扫
描评估; 应用安全技术:Email 安全、Web 访问安全、内容过滤、应
对于涉及国家秘密的信息系统 规范定密,准确定级;依据标准,同步建设;突出重点,确保 核心;明确责任,加强监督 涉及国家秘密的信息系统按照所处理信息的最高密级,由低到 高划分为秘密级、机密级(一般和增强)和绝密级三个级别,其 总体防护水平分别不低于三级、四级、五级的要求
编辑课件
信息系统的划分
信息系统的概念有大有小,在工程实践中,过大 的划分不利于对信息进行有针对性的保护,因此 需要对信息系统进行有效的划分
2003年,中央办公厅、国务院办公厅转发《国家信息化 领导小组关于加强信息安全保障工作的意见》(中办发 [2003]27号文)
2004年,四部委(公安部、国家保密局、国家密码管理 局、国信办)联合签发了《关于信息安全等级保护工作 的实施意见 》(公通字[2004]66号文)
国务院信息化工作办公室发布《电子政务信息安全等级 保护实施指南(试行)》
网络安全:网络的组成方式、拓扑结构和网络应 用
信息安全:信息的来源、去向,内容的真实无误 及保证信息的完整性,信息不会被非法泄露扩散 保证信息的保密性
编辑课件
安全基本要求
完整性:(Integrity)拥有的信息是否正确;保证信息从 真实的信源发往真实的信宿,传输、存储、处理中未被删 改、增添、替换。
编辑课件
对等级保护的理解(续一)
等级保护是我国信息安全领域的一项基本政策
2005年12月,国家保密局发布《涉及国家秘密的信息 系统分级保护管理办法》、《涉及国家秘密的信息系 统分级保护技术要求》
2005年12月,公安部《信息系统安全等级保护实施指 南》、《信息系统安全等级保护定级要求》、《信息 系统安全等级保护基本要求》、《信息系统安全等级 保护测评准则》(GB送审稿陆续出台)
信息安全等级保护与 等级化安全体系解决方案
编辑课件
INDEX
网络安全与信息安全 信息安全等级保护 等级化安全体系解决方案
编辑课件
网络安全与信息安全
安全定义 安全基本要求 安全技术体系 安全模型
编辑课件
安全定义
防止任何对数据进行未授权访问的措施,或者造 成信息有意无意泄漏、破坏、丢失等问题的发生, 让数据处于远离危险、免于威胁的状态或特性。
2006年3月开始实施的公安部、国家保密局、国家密码 管理局、国信办四部委(局办)发布7号文 《等级保 护管理办法》
编辑课件
对等级保护的理解(续二)
等级保护的核心是将传统的定性设计逐步进化为 定量的安全保障设计
对信息系统实施不同等级的安全保护 对信息系统中使用的安全产品实施分等级管理 对信息系统发生的安全事件分等级响应和处置
备份。 编辑课件
安全模型—P2DR
Protection 防护 Policy 策略
P2DR模型 段(主要指静态防护 手段)保护信息系统的五大特性 。
保护 protect
检测本地网络的安全漏洞和存在的非 法信息流,从而有效阻止网络攻击
检测 detect
信息安全 保障体系
编辑课件
对等级保护的理解(续三)
等级保护体现了差异化的安全保障思想
由系统使命决定系统的等级,充分考虑业务信息安全性和业 务服务保证性
结合基本要求,并依据风险评估的结果对安全保护措施进行 调整
对3级及以上系统实施相应的监督和管理
对涉及国家安全、经济建设、社会稳定等方面的重要信息系统重 点保护