当前位置:首页 >> 军事/政治 >>

信息安全等级保护体系建设_图文

信息安全等级保护制度

与国家环境信息与统计能力建设项目
信息安全保障体系介绍

太极计算机股份有限公司

内容
一、信息安全等级保护制度 二、国家环境信息与统计能力建设项目信息 安全保障体系

一、信息安全等级保护制度
? 信息安全等级保护制度是什么

? 信息安全等级保护制度要干什么
? 如何开展信息安全等级保护工作

引言
在当今社会中,信息已成为人类宝贵的资 源,并且可以通过Internet为全球人类所使 用与共享。 信息产业随着互联网技术的发展在一个国 家国民经济发展中所占的比重也越来越大。 人类生活对Internet的依赖也越来越大。

引言(续)
由互联网的发展而带来的信息安全问题 正变得突出,网络安全已成为关系国家安 全的重大战略问题。 保障网络与信息系统安全,更好地维护 国家安全、经济命脉和社会稳定,已经成

为信息化发展中迫切需要解决的重大问题。

我国现状
近年来,党中央、国务院高度重视,各有 关方面协调配合、共同努力,我国信息安全保

障工作取得了很大进展。但是从总体上看,我
国的信息安全保障工作尚处于起步阶段,基础 薄弱,水平不高,存在以下突出问题:

存在的问题
?

大多数单位虽然采用防火墙作为内外网的边界

防护设备。
? ? ?

重视外部攻击与入侵,忽视内部的非法行为。 偏重产品,忽视体系和管理。

关键技术、产品受制于人。

我们面对的威胁
? 西方发达国家信息技术优势明显,我国面 临信息强国的冲击、挑战和威胁,信息安 全领域始终面临信息战和网络恐怖袭击的 威胁 ; ? 敌对势力的网上煽动、渗透和破坏活动愈 加突出,针对信息系统进行的破坏活动日 益严重,利用网络实施的违法犯罪案件持 续大幅上升。

面对的威胁(续)
?受威胁的对象是操作系统、数据库系统和信息系 统,攻击的目的是使系统瘫痪、信息被窃取、篡改 毁坏。早期是能直接接触计算机系统的人(单机、 多用户终端、局域网),现在攻击者和方式发生了 变化,广域网、因特网使任何信息系统参与人都可 能成为攻击者。在参与人中,有正常使用的人,也 有非正常使用的人,后者称之为“攻击者或黑客”。 “攻击者”分成几类:有着不同目的的。

面对的威胁(续)
? 一般黑客 ? 有组织犯罪
? 高层次深度打击

安全防护的重点
? 系统防入侵
? 网络防攻击 ? 信息防泄露 ? 内容防篡改 ? 内部防越权

网络信息战
? 通过利用、改变和瘫痪敌方的信息、信息系统 和以计算机为基础的网络应用,同时保护己方 的信息、信息系统和以计算机为基础的网络应 用不被敌方利用、改变和瘫痪,以获取信息优 势,而采取的各种作战行动。 ? 信息战是现代战争的一种新作战形式。信息战 分为两大类:一是国家级信息战,也称为战略 信息战;二是战场信息战,也称为指挥控制战。

战略信息战
? 战略信息战是利用非杀伤性技术而秘密实 施的,不需要公开宣战。它利用了国家力 量的所有手段在国家战略级形成可竞争的 优势,把“战争”的范围扩大到经济、政 治和社会的各个方面。这种信息战无论在 平时、危机时刻还是在战争状态下都可能 发生。这种信息战必须有组织地进行,并 且要受最高政治机构的严格控制。

当前信息安全形势
? 外部环境 — 各国在大力推进Internet与信息技术应 用的同时,抓紧实施国家信息安全保障体 系与国防的信息安全防御体系。 各国抓紧研究信息安全策略、制订体 系标准、法律法规,实施安全计划。



外部环境(续)
? 2008年5月1日,美国防高级研究计划局(DARPA) 发布关于展开“国家网络靶场”项目研发工作 公告。 ? 美国认为,网络空间是美国经济、关键设施和 国家安全的重要基础,对于国家力量的影响至 关重要。为此,美国高度重视研发以网络为中 心的C4ISR系统和网络攻防对抗装备,推进网络 中心战能力建设。

外部环境(续)
? 2009年1月8日,美国总统布什签署第54号国家 安全总统令和第23号国土安全总统令,要求美 国政府所有与安全有关的部门(包括国土安全 部、国家安全局等)都参与实施“国家网络安 全综合计划”。这是一项长期计划,将由多个 部门参加并分步骤实施,其最终目的是保护美 国的网络安全,防止美国遭受敌对的电子攻击, 并能对敌方展开在线攻击。

外部环境(续)
? 美国总统奥巴马2009年5月29日公布了一份由安

全部门完成的网络安全评估报告,表明来自网
络空间的威胁已经成为美国面临的最严重的经 济和军事威胁之一。 ? 奥巴马还表示:网络空间以及它带来的威胁都 是真实的,保护网络基础设施将是维护美国国 家安全的第一要务。

外部环境(续)
? 6月25日英国出台首个国家网络安全战略
? 政府将成立两个网络安全新部门
网络安全办公室和网络安全行动中心

? 计划征召包括黑客在内的网络精英护卫网络安全

? 英国已经具备主动发起网络攻击的能力

外部环境(续)
? 台湾加紧开展信息战的准备




控制进入大陆的微机板卡、硬盘等。
专门搜集大陆民用网络(电信、能源、交通、

金融及政府等)的结构、路由以及设备情报。
— 积极研究网络渗透与病毒植入和激活技术。

产生安全问题的原因
? 整体信息安全防范意识和能力薄弱;
? 信息系统安全建设和管理缺乏体系化思想; ? 信息安全法律法规不完善,标准体系尚待完善; ? 自主技术产品缺乏,信息技术产业未完全形成。

当前的要求与原则
?

?

总体要求:坚持积极防御、综合防范的方针, 全面提高信息安全防护能力,重点保护基础 网络和重要信息系统安全,创建安全健康的 网络环境,保障和促进信息化发展,保护公 众利益,维护国家安全。 主要原则:立足国情,以我为主,坚持管理 与技术并重;正确处理安全与发展的关系, 以安全促发展,在发展中求安全;统筹规划, 突出重点,强化基础性工作;明确国家、企 业、个人的责任和义务,充分发挥各方面的 积极性,共同构筑国家信息安全保障体系。

当前的九项任务
? ? ? ? ? ? ?

?
?

全面实行信息安全等级保护制度 加强以密码技术为基础的信息保护和网络信任体系建设 建设和完善信息安全监控体系 重视信息安全应急处理工作 加强信息安全技术研究开发,推进信息安全产业发展 加强信息安全法制建设标准化建设 加快信息安全人才培养,增强全民信息安全意识 保证信息安全资金 加强对信息安全保障工作的领导,建立健全信息安全管 理责任制

等级保护制度
? 等级保护制度是什么 ? 等级保护制度要干什么

? 如何开展等级保护工作

等级保护制度
根据信息系统在国家安全、经济建设、社会
生活中的重要程度;遭到破坏后对国家安全、社会

秩序、公共利益以及公民、法人和其他组织的合法
权益的危害程度;将信息系统划分为不同的安全保 护等级并对其实施不同的保护和监管。

第一级
? 信息系统受到破坏后,会对公民、法人 和其他组织的合法权益产生损害,但不损 害国家安全、社会秩序和公共利益。 ? 信息系统运营、使用单位依照国家有关 管理规范和技术标准进行保护。

第二级
? 信息系统受到破坏后,会对公民、法人和其他 组织的合法权益产生严重损害,或者对社会秩序和 公共利益造成损害,但不损害国家安全。 ? 信息系统运营、使用单位应当依据国家有关管 理规范和技术标准进行保护。国家信息安全监管部 门对该级信息系统信息安全等级保护工作进行指导

第三级
? 信息系统受到破坏后,会对社会秩序和公 共利益造成严重损害,或者对国家安全造成损 害。 ? 信息系统运营、使用单位应当依据国家有 关管理规范和技术标准进行保护。国家信息安 全监管部门对该级信息系统信息安全等级保护 工作进行监督、检查。

第四级
? 信息系统受到破坏后,会对社会秩序和公 共利益造成特别严重损害 ,或者对国家安全 造成严重损害。 ? 信息系统运营、使用单位应当依据国家有 关管理规范、技术标准和业务专门需求进行 保护。国家信息安全监管部门对该级信息系 统信息安全等级保护工作进行强制监督、检 查。

第五级
? 信息系统受到破坏后,会对国家安全造成特 别严重损害; ? 信息系统运营、使用单位应当依据国家管 理规范、技术标准和业务特殊安全需求进行 保护。国家指定专门部门对该级信息系统信 息安全等级保护工作进行专门监督、检查。

摘要
? 等级保护制度是什么 ? 等级保护制度要干什么 ? 如何开展等级保护工作

等级保护制度
? 体现国家管理意志 ? 构建国家信息安全保障体系

? 保障信息化发展和维护国家安全

解决什么
? 信息安全等级保护是手段,是为了构建
国家信息安全保障体系。 ? 信息安全保障体系也是手段,是为了业 务应用发展。 ? 信息安全等级保护是带有很强技术性的 国家风险控制行为

所谓风险
? 安全风险管理的目的并不是保证没有风险,而 是要将信息系统带来的业务风险控制在可接受 的范围内。
? 信息安全等级保护的关键所在正是基于信息系 统所承载应用的重要性,以及该应用损毁后带 来的影响程度来判断风险是否控制在可接受的 范围内。

安全防护的重点
? 系统防入侵
? 网络防攻击 ? 信息防泄露 ? 内容防篡改 ? 内部防越权

等级保护制度的作用
?
? ? ? ?

提出信息安全工作的思路
划定信息系统保护的基线 发现信息系统的问题和差距 明确信息系统安全保护的方向 提升信息系统的安全保护能力

涉及层面
? 管理层面:国家制定统一信息安全等级保护管 理规范和技术标准,组织公民、法人和其他组 织对信息系统分等级实行安全保护,对信息安

全产品的使用分等级实行管理,对等级保护工
作的实施进行监督、指导。

? 用户层面 :公民、法人和其他组织应当按 照国家有关等级保护的管理规范和技术标 准开展等级保护工作,服从国家对信息安 全等级保护工作的监督、指导,保障信息

系统安全。

? 社会层面 :信息安全产品的研制、生产单 位,信息系统的集成、等级测评、风险评

估等安全服务机构,依据国家有关管理规
定和技术标准,开展相应工作,并接受国 家信息安全职能部门的监督管理。

摘要
? 等级保护制度是什么 ? 等级保护制度要干什么

? 如何开展等级保护工作

原则

? 谁拥有谁负责、谁运行谁负责

? 自主定级、自主保护、监督指导

主要流程
一是:定级。

二是:备案。
三是:建设、整改。 四是:等级测评。 五是:定期开展监督检查

安全保护等级确定
? 信息系统运营、使用单位依据《管理办法》 和《定级指南》确定信息系统的安全保护 等级。由主管部门的,应当经主管部门的 审核批准。 ? 跨省或者全国统一联网运行的可以由主管 部门统一确定安全保护等级。 ? 对拟定为四级以上的应当请国家信息安全 保护等级专家评审委员会评审。

等级保护的备案管理
? 信息系统运营、使用单位应当在其系统安 全保护等级确定后,向当地同级公安机关 提请备案 ? 备案时应当到备案机关填写备案登记表并 按要求提交相关资料。 备案登记表/系统体系/功能结构图/系统 安全保护方案或措施/系统安全管理制度等

等级保护的备案管理
信息系统备案信息是国家有关信息安全 职能部门了解和掌握重要信息系统的安全 保护基本状况、分析总体安全形势的基础 资料来源,也是下一步接受备案机关开展 各项监督检查工作所必需的基本依据。

——新建系统:
——已有系统:

环节间的关系
? 定级是等级保护的首要环节
? 分等级保护是等级保护的核心, ? 建设整改是等级保护工作落实的关键 ? 等级测评是评价安全保护状况的方法 ? 监督检查是保护能力不断提高的保障

定级指南
? 安全保护等级
等级的确定是不依赖于安全保护措施的,具有 一定的“客观性”,即该系统在存在之初便由 其自身所实现的使命决定了它的安全保护等级,

而非由“后天”的安全保护措施决定。

等级保护工作核心
? 关注点
承担社会责任,关系国家安全的信息系统的安危

? 重点保障
业务信息安全(S) 系统服务连续(A)

等级保护的推进思想
? 落实信息安全等级保护基本要求,确

保系统基本安全;
? 结合系统自身安全需求,力求系统相 对安全。

第一级信息系统
? 能够抵御来自个人的、拥有很少资源的 攻击,防范一般的自然灾难、操作失误、

技术故障等对关键资源造成的损害,在
系统遭到损害后,能够恢复主要功能。

第二级信息系统
? 能够抵御来自外部小型组织的、拥有一定
资源的攻击,防范一般的自然灾难、内部

人员恶意行为、操作失误、技术故障等对
重要资源造成的损害,能够发现重要的安

全漏洞和安全事件,在系统遭到损害后,
能够在一段时间内恢复主要功能。

第三级信息系统
? 能够在统一安全策略下,抵御来自外部有 组织的团体、拥有较为丰富资源的攻击, 防范较为严重的自然灾难、内部人员恶意 行为、操作失误、技术故障等对主要资源 造成的损害,能够及时监测发现安全漏洞 和安全事件;具有一定的备份恢复能力, 在系统遭到损害后,能够较快恢复绝大部 分功能。

第四级信息系统
? 能够在统一安全策略下,抵御来自敌对组织 的、拥有丰富资源的攻击,防范严重的自然 灾难、内部人员恶意行为、操作失误、技术 故障等对资源造成的损害,能够及时监测发

现安全漏洞、跟踪处置安全事件;具有较强
的备份恢复能力,在系统遭到损害后,能够

迅速恢复所有功能。

等级保护的基本要求
基本要求是什么?
1、安全保护能力的一个基本“标尺”,是一个达 标线; 2、满足基本要求意味着信息系统具有相应等级的 基本安全保护能力,达到了一种基本的安全状 态。 3、基本要求是安全保护的出发点,不是终点。

GB/T22239-2008

? 《信息系统安全等级保护基本要求》

基本要求的定位
? 《基本要求》中相应等级的要求是根据各等级系统需 要对抗的威胁和应具备的能力而确定的。判断基本要 求是否达到应按此原则分析。 ? 《基本要求》给出了各级信息系统每一保护方面需达

到的要求,但不是具体的安全建设整改方案或作业指
导书,实现基本要求的措施或方式并不局限于《基本 要求》给出的内容,要结合系统自身的特点综合考虑 采取的措施来达到基本要求提出的保护能力

《基本要求》定位举例
?A点——B点,500KM 5H
? 飞机 ? 火车 ? 汽车 OK OK OK

? 自行车 NO

等级保护的基本要求
? 内容与作用
? 为信息系统主管和运营、使用单位提供技术指导 ? 为测评机构提供测评依据

? 为监管职能部门提供监督检查依据

? 适用环节
? 建设整改、验收、测评、运维、检查

基本要求的描述模型
? 控制点标注
? 业务信息安全相关要求(标记为S)
? 系统服务保证相关要求(标记为A) ? 通用安全保护要求(标记为G)

? 技术要求(3种标注)

? 管理要求(统属G)

系统基本保护要求的组合
? 第一级 S1A1G1
? 第二级 S1A2G2,S2A2G2,S2A1G2

? 第三级 S1A3G3,S2A3G3,S3A3G3,S3A2G3,
S3A1G3

? 第四级 S1A4G4,S2A4G4,S3A4G4,S4A4G4,
S4A3G4,S4A2G4,S4A1G4

如何实现
? 落实信息安全等级保护基本要求,确 保系统基本安全;

? 结合系统自身安全需求,力求系统相
对安全。

《基本要求》的文档结构

技术要求 基本要求

管理要求

物 理 安 全

网 络 安 全

主 机 安 全

应 用 安 全

数 据 安 全 及 备 份 恢 复

安 全 管 理 制 度

安 全 管 理 机 构

人 员 安 全 管 理

系 统 建 设 管 理

系 统 运 维 管 理

安 全 建 设 基 本 流 程

信息系统安全需求分析/相应级别的要求

确定安全策略,制定安全建设方案

信息系统安全管理建设

信息系统安全技术建设

安 全 管 理 机 构

安 全 管 理 制 度

人 员 安 全 管 理

系 统 建 设 管 理

系 统 运 行 管 理

物 理 安 全

网 络 安 全

主 机 安 全

应 用 安 全

数 据 安 全

开展信息系统安全自查和等级测评

信息系统安全技术体系设计

物理安全设计

网络安全设计

主机安全设计

应用安全设计

数据安全设计 备份与恢复

机房 办公环境 设备和介质 其他安全设计

通信网络 区网边界 其他安全设计

服务器 工作站 其他安全设计

应用系统 应用平台 其他安全设计

《基本要求》中的安全保护技术
? 身份鉴别 ? 病毒防范

? 访问控制
? 安全审计

? 入侵检测
? 安全监控

? 数据完整性
? 数据保密性

? 备份与恢复
? 密码使用

? 数据可用性

? 等等

《基本要求》中的安全保护技术
? 确定安全策略
? 落实信息安全责任制

? 建立安全组织机构
? 加强人员管理

? 加强系统建设的安全管理
? 加强运行维护的安全管理

安全技术要求-物理安全
? 物理安全是指对信息系统所涉及到的主机房、
辅助机房、办公环境等进行物理安全保护。具

体关注内容包括:物理位置的选择、物理访问
控制、防盗窃和防破坏、防雷击、防火、防水

和防潮、防静电、温湿度控制、电力供应和电
磁防护等方面

安全技术要求-物理安全
序号 1 2 3 4 5 6 7 8 9 10 安全关注点 物理位置的选择 物理访问控制 防盗窃和防破坏 防雷击 防火 防水和防潮 防静电 温湿度控制 电力供应 电磁防护 合计 一级 0 1 2 1 1 2 0 1 1 0 9 二级 1 2 5 2 1 3 1 1 2 1 19 三级 2 4 6 3 3 4 2 1 4 3 32 四级 2 4 6 3 3 4 3 1 4 3 33

安全技术要求-网络安全
? 网络安全是指对信息系统所涉及的通信网络、网络

边界、网络区域和网络设备等进行安全保护。具体
关注内容包括通信过程数据完整性、通信过程数据 保密性、保证通信可靠性的设备和线路冗余、区域 网络的边界保护、区域划分、身份认证、访问控制 、安全审计、入侵防范、恶意代码防范、网络设备 自身保护和网络的网络管理等方面

安全技术要求-网络安全
序号 1 2 3 4 5 6 7 合计 安全关注点 网络结构安全 网络访问控制 网络安全审计 边界完整性检查 网络入侵防范 恶意代码防范 网络设备防护 一级 3 3 0 0 0 0 3 9 二级 4 4 2 1 1 0 6 18 三级 7 8 4 2 2 2 8 33 四级 7 4 6 2 2 2 9 32

安全技术要求-主机安全
? 主机安全是指对信息系统涉及到的服务器和工

作站进行主机系统安全保护。具体关注内容包
括操作系统或数据库管理系统的选择、安装和

安全配置、主机入侵防范、恶意代码防范、资
源使用和运行情况监控等。其中,安全配置细 分为身份鉴别、访问控制、安全审计等方面的 配置内容

安全技术要求-主机安全
序号 安全关注点 一级 二级 三级 四级

1
2 3 4 5 6 7 8 9

身份鉴别
安全标记 访问控制 可信路径 安全审计 剩余信息保护 入侵防范 恶意代码防范 资源控制 合计

1
0 3 0 0 0 1 1 0 6

5
0 4 0 4 0 1 2 3 19

6
0 7 0 6 2 3 3 5 32

7
1 6 2 7 2 3 3 5 36

安全技术要求-应用安全
? 应用安全是指对信息系统涉及到的应用系统进

行安全保护。具体关注内容包括应用系统实现
身份鉴别、访问控制、安全审计、剩余信息保

护、通信完整性、通信保密性、抗抵赖、软件
容错和资源控制等功能方面

安全技术要求-应用安全
序号 1 2 3 4 5 6 7 8 9 10 11 安全关注点 身份鉴别 安全标记 访问控制 可信路径 安全审计 剩余信息保护 通信完整性 通信保密性 抗抵赖 软件容错 资源控制 合计 一级 3 0 2 0 0 0 1 0 0 1 0 7 二级 4 0 4 0 3 0 1 2 0 2 3 19 三级 5 0 6 0 4 2 1 2 2 2 7 31 四级 5 1 5 2 5 2 1 3 2 3 7 36

安全技术要求-数据安全
? 数据安全是指对信息系统中业务数据的传输、 存储和备份恢复进行安全保护。具体关注内容 包括数据备份系统、冗余备用设备以及备份恢 复相关技术设施等方面

安全技术要求-数据安全
序号 1 2 3 安全关注点 数据完整性 数据保密性 数据备份与恢复 合计 一级 1 0 1 2 二级 1 1 2 4 三级 2 2 4 8 四级 3 3 5 11

安全管理要求-安全管理机构
? 安全管理结构是指明确领导机构和责任部门。

设立或明确信息安全领导机构,明确主管领导
,落实责任部门,建立岗位和人员管理制度,

根据职责分工,分别设置安全管理机构和岗位
,明确每个岗位的职责与任务,落实安全管理 责任制

安全管理要求 -安全管理机构
序号 1 2 3 4 5 安全关注点 岗位设置 人员配备 授权和审批 沟通和合作 审核和检查 合计 一级 1 1 1 1 0 4 二级 2 2 2 2 1 9 三级 4 3 4 5 4 20 四级 4 3 4 5 4 20

安全管理要求-安全管理制度
? 安全管理制度是指确定安全管理策略,制定安
全管理制度。确定安全管理目标和安全策略,

针对信息系统的各类管理活动,制定人员安全
管理制度、系统建设管理制度、系统运维管理 制度、定期检查制度等,规范安全管理人员或 操作人员的操作规程等,形成安全管理体系

安全管理要求 -安全管理制度
序号 1 2 3 安全关注点 管理制度 制定和发布 评审和修订 合计 一级 1 2 0 3 二级 3 3 1 7 三级 4 5 2 11 四级 4 6 4 14

安全管理要求-人员安全管理
? 人员安全管理是指加强人员的安全管理。规范人
员录用、离岗过程,关键岗位签署保密协议,对 各类人员进行安全意识教育、岗位技能培训和相 关安全技术培训,对关键岗位的人员进行全面、 严格的安全审查和技能考核。对外部人员允许访 问的区域、系统、设备、信息等进行控制

安全管理要求 -人员安全管理
序号 1 2 3 安全关注点 人员录用 人员离岗 人员考核 一级 2 2 0 二级 3 3 1 三级 4 3 3 四级 4 3 4

4
5

安全意识教育和培训
外部人员访问管理 合计

2
1 7

3
1 11

4
2 16

4
3 18

安全管理要求-人员安全管理
? 人员安全管理是指加强人员的安全管理。规范人 员录用、离岗过程,关键岗位签署保密协议,对

各类人员进行安全意识教育、岗位技能培训和相
关安全技术培训,对关键岗位的人员进行全面、

严格的安全审查和技能考核。对外部人员允许访
问的区域、系统、设备、信息等进行控制

安全管理要求 -人员安全管理
序号 1 2 3 安全关注点 人员录用 人员离岗 人员考核 一级 2 2 0 二级 3 3 1 三级 4 3 3 四级 4 3 4

4
5

安全意识教育和培训
外部人员访问管理 合计

2
1 7

3
1 11

4
2 16

4
3 18

安全管理要求-系统建设安全管理
? 系统建设管理是指加强系统建设过程的管理。 制定系统建设相关的管理制度,明确系统定级

备案、方案设计、产品采购使用、软件开发、
工程实施、验收交付、等级测评、安全服务等

内容的管理责任部门、具体管理内容和控制方
法,并按照管理制度落实各项管理措施

安全管理要求-系统建设安全管理
序号 1 2 安全关注点 系统定级 安全方案设计 一级 3 3 二级 3 4 三级 4 5 四级 4 5

3
4 5 6 7 8 9 10

产品采购
自行软件开发 外包软件开发 工程实施 测试验收 系统交付 系统备案 安全测评

1
2 3 1 2 2 0 0

3
3 4 2 3 3 0 0

4
5 4 3 4 5 3 4

5
6 4 4 4 5 3 4

11

安全服务商选择
合计

2
20

3
28

3
45

3
48

安全管理要求-系统运维安全管理
? 系统运维管理是指加强系统运维过程的管理。制定
系统运维相关的管理制度,明确环境管理、资产管 理、介质管理、设备管理、监控管理、网络安全管 理、系统安全管理、恶意代码防范管理、密码管理 、变更管理、备份与恢复管理、安全事件处置、应 急预案管理等内容的管理责任部门、具体管理内容 和控制方法,并按照管理制度落实各项管理措施

安全管理要求-系统运维安全管理
序号 1 2 3 4 5 6 7 8 9 10 11 12 13 安全关注点 环境管理 资产管理 介质管理 设备管理 安全管理中心 网络安全管理 系统安全管理 恶意代码防范 密码管理 变更管理 备份与恢复管理 安全事件处置 应急预案管理 合计 一级 3 1 2 2 0 2 3 1 0 0 2 2 0 18 二级 4 2 4 4 0 6 6 3 1 2 3 4 2 41 三级 4 4 6 5 3 8 7 4 1 4 5 6 5 62 四级 5 4 6 5 3 9 8 4 1 5 6 8 6 70

内容
一、信息安全等级保护制度 二、国家环境信息与统计能力建设项目信息 安全保障体系介绍

1.安全保障体系概述
建设目标

?依据国家信息系统安全等级保护相关政策要求,根据环保业务系

统的实际需要,按照一定规则和体系化的信息安全防护策略进行
的整体设计,制定国家环境信息与统计能力项目统一的信息安全 规范,并据此建立覆盖整个系统的信息安全保障体系,包括技术、 管理和运行等内容。

1.安全保障体系概述
建设原则

重点保护 原则
同步建设 原则 A
B

C

分区域、分阶 段保护原则
D

建设原则

可实施性强、 可扩展原则

F

E

D

节省投 资原则

急用先上 、突出重 点原则

2.等级评定及安全域划分
2.1安全保护等级划分
信息系统安全 等级划分

一级 自主保护级

二级 指导保护级

三级 监督保护级

四级 强制保护级

五级 专控保护级

2. 等级评定及安全域划分
2.2定级依据
由 二 者 的 较 高 者 决 定。
业务信息安全保护等级矩阵表
对相应客体的侵害程度 业务信息安全被破坏时所侵害的客体 公民、法人和其他组织的合法权益 一般损害 第一级 严重损害 第二级 特别严重损害 第二级

社会秩序、公共利益
国家安全

第二级
第三级

第三级
第四级

第四级
第五级

系统服务安全保护等级矩阵表
系统服务安全被破坏时所侵害的客体 公民、法人和其他组织的合法权益 社会秩序、公共利益 国家安全 对相应客体的侵害程度 一般损害 严重损害 第一级 第二级 第三级 第二级 第三级 第四级 特别严重损害 第二级 第四级 第五级

2.3新建应用系统部署结构
新建系统
建 设 项 目 管 理 环 境 统 计 数据管理与 综合分析

新 建 的 三 个 应 用 系 统 部 署 情 况

部级数据

综合数据库平台 地理信息平台 减排应用支撑平台 新建系统
建 设 项 目 管 理 环 境 统 计 数据管理与 综合分析

综合数据库平台 地理信息平台 减排应用支撑平台

新建系统
环 境 统 计

国 家 、 省 、 市 、 县 四 级 数 据 传 输 交 换 体 系

交换中心 环境保护部

城域网
业务专网 省级数据 交换中心 省环境保护厅 业务专网 市级数据 交换节点 市环境保护局 业务专网 县级数据 交换终端 县环境保护局 城域网 市直属机构 城域网 省直属机构

部直属机构 家

国 、 省 、 市 、 县 四 层 三 级 网 络

新建系统
环 境 统 计

2.4环境统计业务系统应用场景

2.5建设项目管理系统应用场景

2.5减排数据管理与综合分析系统应用场景

2.6新建信息系统安全保护等级表
业务系统名称 受到破坏后对相应 客体的侵害程度
对环境保护数据和业务造成严 重损害,进而对公民、法人和其他 组织的合法权益、社会秩序和公共 利益造成严重损害,对国家安全造 成一般损害

业务系统覆盖范围

安全等级 (最高)

部级、省级 (部署和使用)

第三级

环境统计系统

对环境保护数据和业务造成严 重损害,进而对公民、法人和其他 组织的合法权益、社会秩序和公共 利益造成一般损害

地市、区县 (部署和使用)

第二级

2.6新建信息系统安全保护等级表
业务系统名称 受到破坏后对相应 客体的侵害程度
对环境保护数据和业务造成严 重损害,进而对公民、法人和其他 组织的合法权益、社会秩序和公共 利益造成严重损害,对国家安全造 成一般损害

业务系统覆盖范围

安全等级 (最高)

部级、省级 (部署和使用)

第三级

建设项目管理系统

地市、区县 (使用)

2.6新建信息系统安全保护等级表
业务系统名称 受到破坏后对相应 客体的侵害程度
对环境保护数据和业务造成严 重损害,进而对公民、法人和其他 组织的合法权益、社会秩序和公共 利益造成严重损害,对国家安全造 成一般损害

业务系统覆盖范围

安全等级 (最高)

部级、省级 (部署和使用)

第三级

减排数据管理与 综合分析系统

地市、区县 (使用)

3.网络总体安全域

三级

三级

三级

二级

三级
二级
二级

三级
二级

4.安全保障体系总体架构

5.安全设备部署

6.CA认证系统总体设计
认证系统信任体系总体逻辑结构:

PKI基础设施平台

应用安全支撑平台

CA证书认证体系由两个主要部分组成: .PKI基础设施平台 .应用安全支撑平台 部省两级RA系统及应用安全支撑平台作为本次项目建设重点

6.CA认证系统总体设计
应用安全支撑平台

如上图所示,应用安全支撑平台主要包括统一用户管理系统和 身份认证系统,通过身份认证系统作为环保系统的强身份验证,用户 访问应用系统的任何请求,通过身份认证网关的代理,实现身份的验 证,统一用户管理系统是环境保护部系统用户信息的统一管理入口。

6.CA认证系统总体设计
省LRA系统部署图

7.1集中安全管理平台系统逻辑结构
利用

加工

处理

采集

7.2集中安全管理平台部署
1、环境保护部安全管理平台部署
部网控中心

8.安全管理体系
国家环境信息与统计能力系统安全管理体系

安全 制度

安全 机构

人员 安全

系统 建设

系统 运维

8.安全管理体系
? 安全管理机构
岗位设置、人员配置、授权与审批、沟通与合作、审核与检查

? 安全管理制度
管理制度、制定与发布、评审与修订

? 人员安全管理
人员录用、人员离岗、人员考核、安全意识教育与培训、第三方 人员管理

? 系统建设管理
系统定级、系统备案、安全方案设计、产品采购、自行软件研发 、外包软件开发、工程实施、工程验收

? 系统运维管理
环境管理、资产管理、介质管理、设备管理、监控管理、网络安 全管理、系统安全管理、恶意代码防范管理、密码管理、变更管 理、备份与恢复管理、安全事件管理、应急预案管理

http://www.djbh.net http:// www.cspec.gov.cn

谢谢
李金平


相关文章:
信息安全等级保护建设方案_图文.ppt
信息安全等级保护建设方案 - 大数据分析,数据库,Bigdata,大数据行业分析
信息安全等级保护体系解读_图文.ppt
信息安全等级保护体系解读 - 信息安全等级保护体系解读 LOGO 内容概要 1
信息安全等级保护体系建设_图文.ppt
信息安全等级保护体系建设 - 信息安全等级保护的制度分析、应对、定级、备案、等报
信息安全等级保护_图文.ppt
信息安全等级保护 - 信息安全等级保护 内容介绍 省公安厅网警总队 王诗军 目录
信息安全等级保护政策体系_图文.ppt
信息安全等级保护政策体系 - 信息保密与信息安全 保密、常识、技术、意识教育 政策体系和标准体系 第2部分 (1)总体方面的政策文件 信息安全等级保护政策体系和标准...
信息系统安全等级保护--标准体系 PPT_图文.ppt
建设整改 三是:等级测评 四是:监督检查 等级保护标准体系-主要标准 (一)基础 1、《计算机信息系统安全保护等级划分准则》GB17859-1999 2、《信息系统安全等级保护...
某单位信息安全等级保护建设方案 V1.2_图文.doc
某单位信息安全等级保护建设方案 V1.2 - xxxxxx 信息安全等级保护(三级)建设项目 设计方案 二一八年二月 0 文档控制 文档名称: xxxxxx 信息安全等保保护建设...
信息安全等级保护标准体系概述(PPT 96张)_图文.ppt
信息系统安全保护等级定级指南》GB/T22240-2008 (三)建设整改环节 4、《信息系统安全等级保护基本要求》GB/T22239-2008 (四)等级测评环节 5、《信息系统安全...
信息安全等级保护标准体系概述_图文.ppt
信息安全等级保护标准体系概述 - 信息安全等级保护标准体系概述 目录 ? 信息安全等级保护标准体系 ? 信息安全等级保护工作使用的主要标准 ? 管理办法 ? 实施指南 ?...
信息安全等级保护体系培训_图文.ppt
信息安全等级保护体系培训 - 信息安全等级保护体系 目录 1 等级保护概念 2
信息安全等级保护标准体系概述(PPT 96页)_图文.ppt
信息系统安全保护等级定级指南》GB/T22240-2008 (三)建设整改环节 4、《信息系统安全等级保护基本要求》GB/T22239-2008 (四)等级测评环节 5、《信息系统安全...
【新整理】信息安全等级保护标准体系概述.ppt_图文.ppt
【新整理】信息安全等级保护标准体系概述.ppt - 信息安全等级保护标准体系概述 目录 ? 信息安全等级保护标准体系 ? 信息安全等级保护工作使用的主要标准 ? ? ? ?...
信息安全等级保护解决方案_图文.ppt
信息安全等级保护解决方案 - 基础架构,应用解决方案,云计算,大数据,数据中心,
国家信息安全等级保护测评体系建设_图文.pdf
国家信息安全等级保护测评体系建设 - 信息安全等级保护培训班 信息安全等级保护测评体系建设 公安部信息安全等级保护评估中心 内容 1. 等级保护测评体系建设背景 2. ...
信息安全等级保护工作汇报(ppt 65张)_图文.ppt
信息安全等级保护工作汇报(ppt 65张) - 单位名称 我们毕业啦 信息安全等级保护工作汇报 其实是答辩的标题地方 2016-01-18 前言 当前,我国信息化发展...
信息安全等级保护介绍_图文.ppt
信息安全等级保护介绍 - IT系统架构,互联网架构,架构设计,devops,分布
信息安全等级保护与解决方案ppt_图文.ppt
信息系统安全保护等级划分 ? 信息系统安全保护定级指南 等级保护出台是信息安全发展的需要 ? 信息安全问题层出不穷 ? 安全保护措施、安全管理建设不足,导致各种安全...
信息安全等级保护安全建设方案制定与实施教材(PPT 43页....ppt
信息安全等级保护安全建设方案制定与实施教材(PPT 43页) - ? ? 目录 信息安全等级保护建设整改目标 ? 利用三年时间。力争2012前完成。 ? 实现五方面目标: ? 一...
信息安全等级保护政策和标准体系综述_图文.pdf
信息安全等级保护政策和标准体系综述 - 信息安全等级保护政策和标准体系综述 技术
信息安全等级保护_图文.ppt
信息安全等级保护 - 文档均来自网络,如有侵权请联系我删除文档... 信息安全等级保护 内容介绍省公安厅网警总队 ...信息系统安全建设和管理的目标不明确; ? 信息...
更多相关标签: