当前位置:首页 >> 解决方案 >>

信息安全等级保护与解决方案ppt_图文

信息安全等级保护与解决方案 信息安全等级保护与解决方案 ? 信息安全等级保护 信息安全现状与问题 信息安全等级保护简介 ? 信息安全解决方案 信息安全技术 信息安全管理 信息安全方案 信息安全现状 ? 日益增长的安全威胁 – 攻击技术越来越复杂 – 入侵条件越来越简单 信息安全问题 ? 安全事件 – 每年都有上千家政府网站被攻击 ? 安全影响 – 任何网络都可能遭受入侵 信息系统安全等级保护 ? 信息系统安全等级保护简介 ? 信息系统安全保护等级划分 ? 信息系统安全保护定级指南 等级保护出台是信息安全发展的需要 ? 信息安全问题层出不穷 ? 安全保护措施、安全管理建设不足,导致各种安全事故发生 ? 国内缺乏相类似的安全标准 ? 国家、服务商和用户在安全建设过程中缺乏参考依据 ? 随着信息安全技术的发展 ? 随着安全意识的提高 ? 随着安全服务范围增大 ? 对信息安全管理需要实行等级化保护(目标/要求/能力) 信息安全等级保护相关文件 ? 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》 规定计算机信息系统实行信息系统安全等级保护。 ? 2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加 强信息安全保障工作的意见》(中办发[2003]27号)中明确指出:“要 重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重 要信息系统,抓紧建立信息系统安全等级保护制度,制定信息系统安全等 级保护的管理办法和技术指南”。 ? 2004年公安部等四部委《关于信息系统安全等级保护工作的实施意见》 (公通字[2004]66号)也指出:“信息系统安全等级保护制度是国家在 国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维 护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一 项基本制度”。 信息安全等级保护发展历程 1999年9月13日《计算机信息系统安全等级划分准则》GB 17859-1999 2003年9月,27号文明确提出国家信息安全按照等级化保护的制度推行 2003年10月,公安部《关于信息安全等级保护政策建议》 2004年初,信息办领导开始在全国进行等级化保护巡讲(北京、上海、郑州) 2004年4月,等级化保护制度开始在部分行业和省份进行试点 2004年6月,颁布《等级化保护实施指南》等文件 2005年8月,北戴河会议,初步通过了部分标准 2006年3月,颁布部分标准 2006年4月,试点工作启动 2007年6月,公安部等四部委联合下发《信息安全等级保护管理办法》 信息安全等级保护发展历程 ? 2007年7月,四部委联合会签并下发了《关于开展全国重要信息系统安 全等级保护定级工作的通知》(公信安[2007]861号) ? 2007年8月,山东省公安厅、山东省保密局、山东省密码管理局和山东省 信息办联合下发了《山东省重要信息系统安全等级保护定级工作方案》 ? 定级范围: 1 电信、广电行业的公用通信网、广播电视传输网等基础信息网络, 经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单 位的重要信息系统。 2 铁路、银行、海关、税务、民航、电力、证券、保险、科技、发展 改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水 利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政 等行业、部门的生产、调度、管理、办公等重要信息系统。 3 市(地)级以上党政机关的重要网站和办公信息系统。 4 涉及国家秘密的信息系统。 信息安全等级保护指导性文件 ? 《信息系统安全等级保护基本要求》 ? 《信息系统安全等级保护定级指南》 ? 《信息系统安全等级保护实施指南》 ? 《信息系统安全等级保护测评准则》 信息系统安全保护等级划分 第一级为自主保护级,主要对象为一般的信息系统,其受到破坏后,会对公民、 法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设 和公共利益。 第二级为指导保护级,主要对象为一定程度上涉及国家安全、社会秩序、经济建设 和公共利益的一般信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设 和公共利益造成一定损害。 第三级为监督保护级,主要对象为涉及国家安全、社会秩序、经济建设和公共利益 的信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成 较大损害。 第四级为强制保护级,主要对象为涉及国家安全、社会秩序、经济建设和公共利益 的重要信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益 造成严重损害。 第五级为专控保护级,主要对象为涉及国家安全、社会秩序、经济建设和公共利益 的重要信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建 设和公共利益造成特别严重损害。 信息系统安全保护的目标 实行等级保护的总体目标是为了统一信 息安全保护工作,推进规范化、法制化 建设,保障安全,促进发展,完善我国 信息安全法规和标准体系,提高我国信 息安全和信息系统安全建设的整体水平。 信息安全等级保护的对象 ? 信息 ? 信息系统 等级保护工作的三个方面 ? 对信息系统分等级实施安全保护; ? 对信息系统中使用的信息安全产品实行 分等级管理; ? 对信息系统中发生的信息安全事件分等 级响应、处置。 决定信息系统重要性的要素 ? 信息系统所属类型,即信息系统资产的安全利 益主体 ? 信息系统主要处理的业务信息类别 ----决定信息系统内信息资产的重要性 ? 信息系统服务范围,包括服务对象和服务网络 覆盖范围 ? 业务对信息系统的依赖程度 ----决定信息系统所提供服务的重要性 信息系统所属类型赋值表 信息系统所属类型举例 赋 信息系统的社会影响 值 属于一般企事业单位,处理其内部事 1 信息系统资产受到破坏会对本单 务的信息系统。 位利益有直接影响。 属于重要行业、重要领域和国家基础 设施,为国计民生

更多相关标签: