[精选]信息系统安全等级保护等级保护基本要求.pptx
《[精选]信息系统安全等级保护等级保护基本要求.pptx》由会员分享,可在线阅读,更多相关《[精选]信息系统安全等级保护等级保护基本要求.pptx(144页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、信息系统安全等级保护信息系统安全等级保护等级保护基本要求等级保护基本要求地址:湖北武汉东湖开发区武大园路6号 :13281151232电邮:caminopro163.车机模式深受手机模式的影响车机模式深受手机模式的影响1内容为王,服务至上内容为王,服务至上2未来中国未来中国TSP,谁主沉浮,谁主沉浮3后装市场必然成为主导地位后装市场必然成为主导地位 4TelematicsTelematics开展开展依据标准标准依据标准标准GB 17859-1999 计算机信息系统 安全等级保护划分准则GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求基本要求GB/T 22240-200
2、8 信息安全技术 信息系统安全等级保护定级指南定级指南GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南实施指南基本要求要求项在各层面的分布基本要求要求项在各层面的分布安全要求类层面一级二级三级四级安全要求类层面一级二级三级四级级差/90 115 28合计/85 175 290 318系统运维管理18 41 62 70系统建设管理20 28 45 48人员管理安全7 11 16 18安全管理机构4 9 20 20安全管理制度3 7 11 14管理要求数据安全及备2 4 8 11份应用安全7 19 31 36主机安全6 19 32 36网络安全9 18 33 32物理安全
3、9 19 32 33技术要求技术要求技术要求-物理安全物理安全合计7 10 10 10电磁防护*电力供给*温湿度控制*防静电*防水和防潮*防火*防雷击*防盗窃和防破坏*物理访问控制*物理位置的选择*控制点一级二级三级四级控制点一级二级三级四级技术要求技术要求-网络安全网络安全控制点一级二级三级四级控制点一级二级三级四级合计3 6 7 7网络设备防护*恶意代码防范*入侵防范*边界完整性检查*安全审计*访问控制*结构安全*技术要求技术要求-主机安全主机安全控制点一级二级三级四级控制点一级二级三级四级合计4 6 7 9资源控制*恶意代码防范*入侵防范*剩余信息保护*安全审计*可信路径*访问控制*安全
4、标记*身份鉴别*合计4 7 9 11资源控制*软件容错*抗抵赖*通信保密性*通信完整性*剩余信息保护*安全审计*可信路经*访问控制*安全标记*身份鉴别*技术要求技术要求-应用安全应用安全控制点一级二级三级四级控制点一级二级三级四级技术要求技术要求-数据安全及备份恢复数据安全及备份恢复合计2 3 3 3备份和恢复*数据保密性*数据完整性*控制点一级二级三级四级控制点一级二级三级四级管理要求管理要求-安全管理制度安全管理制度合计2 3 3 3评审和修订*制定和发布*管理制度*控制点一级二级三级四级控制点一级二级三级四级管理要求管理要求-安全管理机构安全管理机构合计4 5 5 5审核和检查*沟通和合
5、作*授权和审批*人员配备*岗位设置*控制点一级二级三级四级控制点一级二级三级四级管理要求管理要求-人员安全管理人员安全管理合计4 5 5 5外部人员访问管*理安全意识教育和*培训人员考核*人员离岗*人员录用*控制点一级二级三级四级控制点一级二级三级四级管理要求管理要求-系统建设管理系统建设管理合计9 9 11 11安全效劳商选择*等级测评*系统备案*系统交付*测试验收*工程实施*外包软件开发*自行软件开发*产品采购和使用*安全方案设计*系统定级*控制点一级二级三级四级控制点一级二级三级四级管理要求管理要求-系统运维管理系统运维管理合计10 13 13 13应急预案管理*安全事件处置*备份与恢复
6、管理*变更管理*密码管理*恶意代码防范管理*系统安全管理*网络安全管理*监控管理和安全管理中心*设备管理*介质管理*资产管理*环境管理*控制点一级二级三级四级控制点一级二级三级四级安全要素与安全保护等级的关系安全要素与安全保护等级的关系 特别严重损害第五级极端重要系统极端重要系统专门监督检查 严重损害第四级强制监督检查社会秩序和特别严重损害公共利益 一般损害监督检查重要系统重要系统第三级社会秩序和严重损害公共利益社会秩序和一般损害公共利益第二级指导保护严重损害自主保护一般系统一般损害第一级合法权益侵害客体侵害程度等级对象监管强度侵害客体侵害程度等级对象监管强度GB/T22239-2008GB/
7、T22239-2008信息系统安全等级保护基本要求信息系统安全等级保护基本要求贯彻落实贯彻落实 中央、国务院关于节能减中央、国务院关于节能减排工作部署,以实现重点污染物减排排工作部署,以实现重点污染物减排的目标指标为紧要任务的目标指标为紧要任务 ,为实现节能,为实现节能减排和环境保护工作目标奠定基础减排和环境保护工作目标奠定基础统计基基础能力能力数数据据传输能能力力数数据共享能力据共享能力数数据据应用能力用能力指指标体系体系监测体系体系考核体系考核体系业务应用支撑能力用支撑能力总体目体目标工程目的工程目的分省建设目标1 1在工程实施过程中贯彻落实工程标准标准;在工程实施过程中贯彻落实工程标准标
8、准;2 2建设省环境保护厅局到地市环境保护局,地市环境保护局到建设省环境保护厅局到地市环境保护局,地市环境保护局到区县环境保护局,以及省环境保护厅局到省直属机构、市环境保区县环境保护局,以及省环境保护厅局到省直属机构、市环境保护局到市直属机构的网络系统,并通过国家电子政务外网实现与环境护局到市直属机构的网络系统,并通过国家电子政务外网实现与环境保护部的连通;直辖市为市、区县两级网络;保护部的连通;直辖市为市、区县两级网络;3 3组织落实本省直辖市、自治区范围内网络安全体系的建设和组织落实本省直辖市、自治区范围内网络安全体系的建设和省级省级CACA系统的建设;系统的建设;4 4组织所辖各级机构接
9、收部里统一下发的环境统计专项设备,保证组织所辖各级机构接收部里统一下发的环境统计专项设备,保证专项专用;专项专用;5 5准备机房环境,组织所辖各级机构接收并配合部署部里统一采购准备机房环境,组织所辖各级机构接收并配合部署部里统一采购的效劳器、存储、网络、安全等设备和系统软件;的效劳器、存储、网络、安全等设备和系统软件;分省建设目标6 6部署部里统一下发的省级综合数据库平台和地理信息系统平台;部署部里统一下发的省级综合数据库平台和地理信息系统平台;组织所辖市、区县部署部里统一下发的数据传输与交换平台,建立数组织所辖市、区县部署部里统一下发的数据传输与交换平台,建立数据交换传输体系,实现国家、省、
10、下辖市、区县的数据交换与共享;据交换传输体系,实现国家、省、下辖市、区县的数据交换与共享;7 7部署部里统一下发的省级减排应用系统支撑平台;在省级集中部部署部里统一下发的省级减排应用系统支撑平台;在省级集中部署环境统计业务系统、建设工程管理系统、减排数据管理与综合分析署环境统计业务系统、建设工程管理系统、减排数据管理与综合分析系统,按照需要集成已有六个应用系统;组织所辖市、区县相关业务系统,按照需要集成已有六个应用系统;组织所辖市、区县相关业务部门推广应用环境统计业务系统和建设工程管理系统。部门推广应用环境统计业务系统和建设工程管理系统。8 8组织建立省及所辖市、区县运维组织机构,健全运维制度
11、,明确组织建立省及所辖市、区县运维组织机构,健全运维制度,明确运维人员,部署部里统一下发的运行维护管理系统,建立省级运维管运维人员,部署部里统一下发的运行维护管理系统,建立省级运维管理平台。理平台。省、自治省、自治区区直直辖市市基基本本要要求求的的定定位位基本要求中相应等级的要求是根据各等级系统需要基本要求中相应等级的要求是根据各等级系统需要对抗的威胁和应具备的能力而确定的。判断基本要求是对抗的威胁和应具备的能力而确定的。判断基本要求是否到达应按此原则分析。否到达应按此原则分析。基本要求给出了各级信息系统每一保护方面需到达基本要求给出了各级信息系统每一保护方面需到达的要求,但不是具体的安全建设
12、整改方案或作业指导书,的要求,但不是具体的安全建设整改方案或作业指导书,实现基本要求的措施或方式并不局限于基本要求给实现基本要求的措施或方式并不局限于基本要求给出的内容,要结合系统自身的特点综合考虑采取的措施出的内容,要结合系统自身的特点综合考虑采取的措施来到达基本要求提出的保护能力来到达基本要求提出的保护能力基基本本要要求求定定位位举举例例A A点点B B点,点,500KM 5H500KM 5H飞机飞机 OK OK火车火车 OK OK汽车汽车 OK OK自行车自行车 NO NO等等级级保保护护的的基基本本要要求求内容与作用内容与作用为信息系统主管和运营、使用单位提供技术指导为信息系统主管和运
13、营、使用单位提供技术指导为测评机构提供测评依据为测评机构提供测评依据为监管职能部门提供监督检查依据为监管职能部门提供监督检查依据适用环节适用环节建设整改、验收、测评、运维、检查建设整改、验收、测评、运维、检查基基本本要要求求的的描描述述模模型型控制点标注控制点标注业务信息安全相关要求标记为业务信息安全相关要求标记为S S系统效劳保证相关要求标记为系统效劳保证相关要求标记为A A通用安全保护要求标记为通用安全保护要求标记为G G 技术要求技术要求3 3种标注种标注管理要求统属管理要求统属G G系系统统基基本本保保护护要要求求的的组组合合第一级第一级 S1A1G1 S1A1G1第二级第二级 S1A
14、2G2 S1A2G2,S2A2G2S2A2G2,S2A1G2S2A1G2第三级第三级 S1A3G3 S1A3G3,S2A3G3S2A3G3,S3A3G3S3A3G3,S3A2G3S3A2G3,S3A1G3S3A1G3第四级第四级 S1A4G4 S1A4G4,S2A4G4S2A4G4,S3A4G4S3A4G4,S4A4G4S4A4G4,S4A3G4S4A3G4,S4A2G4S4A2G4,S4A1G4S4A1G4如如何何实实现现落实信息安全等级保护基本要求,确保落实信息安全等级保护基本要求,确保系统基本安全;系统基本安全;结合系统自身安全需求,力求系统相对结合系统自身安全需求,力求系统相对安全。安
15、全。基基本本要要求求的的文文档档结结构构物理安全物理安全技术要求技术要求管理要求管理要求基本要求基本要求网络安全网络安全主机安全主机安全应用安全应用安全数据安全及备份恢复数据安全及备份恢复安全管理安全管理制度制度安全管理安全管理机构机构人员安全管理人员安全管理系统建设管理系统建设管理系统运维管理系统运维管理类类安全建设基本流程信息系统安全管理建设信息系统安全管理建设信息系统安全技术建设信息系统安全技术建设开展信息系统安全自查和等级测评开展信息系统安全自查和等级测评信息系统安全需求分析信息系统安全需求分析/相应级别的要求相应级别的要求确定安全策略,制定安全建设方案确定安全策略,制定安全建设方案物
16、物 理理 安安 全全网网 络络 安安 全全主主 机机 安安 全全应应 用用 安安 全全数数 据据 安安 全全安全管理机构安全管理机构安全管理制度安全管理制度人员安全管理人员安全管理系统建设管理系统建设管理系统运行管理系统运行管理信息系统安全技术体系设计信息系统安全技术体系设计物理安全设计物理安全设计数据安全设计数据安全设计备份与恢复备份与恢复应用系统应用系统应用平台应用平台其他安全设计其他安全设计机房机房办公环境办公环境设备和介质设备和介质网络安全设计网络安全设计通信网络通信网络区网边界区网边界主机安全设计主机安全设计应用安全设计应用安全设计效劳器效劳器工作站工作站其他安全设计其他安全设计其他
17、安全设计其他安全设计其他安全设计其他安全设计基本要求中的安全保护技术身份鉴别身份鉴别访问控制访问控制安全审计安全审计数据完整性数据完整性数据保密性数据保密性数据可用性数据可用性o病毒防范病毒防范o入侵检测入侵检测o安全监控安全监控o备份与恢复备份与恢复o密码使用密码使用o等等等等基本要求中的安全保护技术确定安全策略确定安全策略落实信息安全责任制落实信息安全责任制建立安全组织机构建立安全组织机构加强人员管理加强人员管理加强系统建设的安全管理加强系统建设的安全管理加强运行维护的安全管理加强运行维护的安全管理安全技术要求-物理安全物理安全是指对信息系统所涉及到的主机房、物理安全是指对信息系统所涉及到
18、的主机房、辅助机房、办公环境等进行物理安全保护。具辅助机房、办公环境等进行物理安全保护。具体关注内容包括:物理位置的选择、物理访问体关注内容包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供给和电和防潮、防静电、温湿度控制、电力供给和电磁防护等方面磁防护等方面安全技术要求-物理安全序号安全关注点一级二级三级四级1物理位置的选择01222物理访问控制1244+3防盗窃和防破坏256+64防雷击12335防火11+3+36防水和防潮23447防静电01238温湿度控制11+119电力供给124410电磁防
19、护0133+合计9193233安全技术要求-网络安全网络安全是指对信息系统所涉及的通信网络、网络网络安全是指对信息系统所涉及的通信网络、网络边界、网络区域和网络设备等进行安全保护。具体边界、网络区域和网络设备等进行安全保护。具体关注内容包括通信过程数据完整性、通信过程数据关注内容包括通信过程数据完整性、通信过程数据保密性、保证通信可靠性的设备和线路冗余、区域保密性、保证通信可靠性的设备和线路冗余、区域网络的边界保护、区域划分、身份认证、访问控制、网络的边界保护、区域划分、身份认证、访问控制、安全审计、入侵防范、恶意代码防范、网络设备自安全审计、入侵防范、恶意代码防范、网络设备自身保护和网络的网
20、络管理等方面身保护和网络的网络管理等方面安全技术要求-网络安全序号安全关注点一级二级三级四级1网络结构安全34+772网络访问控制34+843网络安全审计02464边界完整性检查01225网络入侵防范0122+6恶意代码防范00227网络设备防护3689合计9183332安全技术要求-主机安全主机安全是指对信息系统涉及到的效劳器和工主机安全是指对信息系统涉及到的效劳器和工作站进行主机系统安全保护。具体关注内容包作站进行主机系统安全保护。具体关注内容包括操作系统或数据库管理系统的选择、安装和括操作系统或数据库管理系统的选择、安装和安全配置、主机入侵防范、恶意代码防范、资安全配置、主机入侵防范、恶
21、意代码防范、资源使用和运行情况监控等。其中,安全配置细源使用和运行情况监控等。其中,安全配置细分为身份鉴别、访问控制、安全审计等方面的分为身份鉴别、访问控制、安全审计等方面的配置内容配置内容安全技术要求-主机安全序号安全关注点一级二级三级四级1身份鉴别15672安全标记00013访问控制34764可信路径00025安全审计046+7+6剩余信息保护00227入侵防范11338恶意代码防范12339资源控制0355合计6193236安全技术要求-应用安全应用安全是指对信息系统涉及到的应用系统进应用安全是指对信息系统涉及到的应用系统进行安全保护。具体关注内容包括应用系统实现行安全保护。具体关注内容
22、包括应用系统实现身份鉴别、访问控制、安全审计、剩余信息保身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件护、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等功能方面容错和资源控制等功能方面安全技术要求-应用安全序号安全关注点一级二级三级四级1身份鉴别34552安全标记00013访问控制24654可信路径00025安全审计03456剩余信息保护00227通信完整性11+1+18通信保密性022+39抗抵赖002210软件容错122311资源控制0377合计7193136安全技术要求-数据安全数据安全是指对信息系统中业务数据的传输、存储和备份恢复进行安全保护。具
23、体关注内容包括数据备份系统、冗余备用设备以及备份恢复相关技术设施等方面安全技术要求-数据安全序号安全关注点一级二级三级四级1数据完整性11232数据保密性01233数据备份与恢复1245合计24811安全管理要求-安全管理机构安全管理结构是指明确领导机构和责任部门。安全管理结构是指明确领导机构和责任部门。设立或明确信息安全领导机构,明确主管领导,设立或明确信息安全领导机构,明确主管领导,落实责任部门,建立岗位和人员管理制度,根落实责任部门,建立岗位和人员管理制度,根据职责分工,分别设置安全管理机构和岗位,据职责分工,分别设置安全管理机构和岗位,明确每个岗位的职责与任务,落实安全管理责明确每个岗
24、位的职责与任务,落实安全管理责任制任制安全管理要求-安全管理机构序号安全关注点一级二级三级四级1岗位设置12442人员配备12333授权和审批12444沟通和合作12555审核和检查0144合计492020安全管理要求-安全管理制度安全管理制度是指确定安全管理策略,制定安安全管理制度是指确定安全管理策略,制定安全管理制度。确定安全管理目标和安全策略,全管理制度。确定安全管理目标和安全策略,针对信息系统的各类管理活动,制定人员安全针对信息系统的各类管理活动,制定人员安全管理制度、系统建设管理制度、系统运维管理管理制度、系统建设管理制度、系统运维管理制度、定期检查制度等,标准安全管理人员或制度、定
25、期检查制度等,标准安全管理人员或操作人员的操作规程等,形成安全管理体系操作人员的操作规程等,形成安全管理体系安全管理要求-安全管理制度序号安全关注点一级二级三级四级1管理制度13442制定和发布23563评审和修订0124合计371114安全管理要求-人员安全管理人员安全管理是指加强人员的安全管理。标准人人员安全管理是指加强人员的安全管理。标准人员录用、离岗过程,关键岗位签署保密协议,对员录用、离岗过程,关键岗位签署保密协议,对各类人员进行安全意识教育、岗位技能培训和相各类人员进行安全意识教育、岗位技能培训和相关安全技术培训,对关键岗位的人员进行全面、关安全技术培训,对关键岗位的人员进行全面、
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 精选 信息系统安全 等级 保护 基本要求
限制150内