网络安全与等级保护.ppt

信息安全等级保护定义 《信息安全等级保护管理办法（试行）》：信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 《信息安全等级保护管理办法》国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。 第一级为自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益造成一定损害，但不损害国家安全、社会秩序和公共利益。 第二级为指导保护级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 划分准则--GB 17859-1999 第三级为监督保护级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级为强制保护级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级为专控保护级，适用于涉及国家安全的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全造成特别严重损害。 实施指南－－GB/T 25058-2010 等级保护实施过程 基本原则 主要过程及其活动 角色、职责 基本流程 等级变更 局部调整 信息系统定级 总体安全规划 安全设计与实施 安全运行维护 信息系统终止 国家管理部门 信息系统主管部门 信息系统运营、使用单位 信息安全服务机构 信息安全等级测评机构 信息安全产品供应商 * 等级保护之十大标准 基础类 《计算机信息系统安全保护等级划分准则》GB 17859-1999 《信息系统安全等级保护实施指南》GB/T 25058-2010 应用类 定级：《信息系统安全保护等级定级指南》GB/T 22240-2008 建设：《信息系统安全等级保护基本要求》GB/T 22239-2008 《信息系统通用安全技术要求》GB/T 20271-2006 《信息系统等级保护安全设计技术要求》GB/T 25070-2010 测评：《信息系统安全等级保护测评要求》GB/T 28448-2012 《信息系统安全等级保护测评过程指南》 GB/T 28449-2012 管理：《信息系统安全管理要求》GB/T 20269-2006 《信息系统安全工程管理要求》GB/T 20282-2006 * 7、系统服务安全等级 等级保护定级指南－－GB/T 22240 保护对象受到破坏时受侵害的客体 对客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 等级保护定级方法 保护对象 对客体的侵害程度 客体：社会关系 受侵害的客体 信息系统安全 系统服务安全 业务信息安全 3、综合评定对客体的侵害程度 2、确定业务信息安全受到破坏时所侵害的客体 6、综合评定对客体的侵害程度 5、确定系统服务安全受到破坏时所侵害的客体 4、业务信息安全等级 8、定级对象的安全保护等级 8＝MAX（4，7） 1、确定定级对象（系统边界） 一般流程 等级确定 * 安全保护等级 信息系统定级结果的组合 第一级 S1A1G1 第二级 S1A2G2，S2A2G2，S2A1G2 第三级 S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3 第四级 S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4 第五级 S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A4G5，S5A3G5，S5A2G5，S5A1G5 基本保护要求（最低） 保护能力 对抗能力＋恢复能力 技术要求＋管理要求 物理、网络、主机、应用、数据 制度、机构、人员、建设、运维 纵深防御、互补关联、强度一致、 平台统一、集中安管 业务信息安全类要求 S 系统服务保证类要求 A 通用安全保护类要求 G 整体安全保护能力 关键控制点 安全类 具体要求项 控制强度 基本要求－－GB/T 22239 基本保护要求（最低） 保护能力 对抗能力＋恢复能力 物理、网络、主机、应用、数据 制度、机构、人员、建设、