第3次课信息安全管理体系2.ppt

进入等级保护范围内的所有重要信息系统 云南省人民政府（第130号令） 云南省网络与信息系统安全监察管理规定 具体而言，下列单位的信息系统： (一)各级机关； (二)银行、保险、证券等金融单位； (三)邮政、电信单位； (四)广播、电视、新闻出版单位； (五)重点电力、煤炭、燃气、燃油等能源单位； (六)航空、铁路和重点公路、水运等运输单位； (七)水利及水源供给单位； (八)重要物资储备单位； (九)重点工程建设单位； (十)大型工商、信息技术企业； (十一)重点科研、教育机构； (十二)医疗卫生、消防、紧急救援等社会应急服务机构； (十三)需要实行重点保护的其他单位。 3.2 被测系统 3、主要测评内容 被测系统描述 物理安全 技术部分 管理部分 信息系统（等级） 网络安全 主机安全 应用安全 数据安全 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 3.2 被测系统 3、主要测评内容 3.3 被测系统－技术 物理层面 物理层面构成组件包括信息系统工作的设施环境以及构成信息系统的硬件设备和介质等。 物理层面构成组件可能分布在被测单位物理控制范围内，也可能位于被测单位物理控制范围外。一般来说，大部分物理层面构成组件位于被测单位的物理控制范围内，是物理层面安全测评的重点。 3、主要测评内容 物理环境可以划分为一般客户机运行场地A（如数据录入室和一般终端室等）、重要客户机运行场地B（如重要终端室）、通信线路间C（如网络设备室等）和机房和介质存放地S（包括计算机机房和已记录的媒体存放间等） 一般客户机场地A 重要客户机场地B 通信线路间C 机房和介质存放地S 3.3 被测系统－技术 3、主要测评内容 网络层面 网络层面构成组件负责支撑信息系统进行网络互联，为信息系统各个构成组件进行安全通信传输，一般包括计算机、网络设备、连接线路以及它们构成的网络拓扑等。 网络层面构成组件可能位于被测单位的物理控制范围内，也可能处于被测单位物理控制范围外。一般来说，大部分网络层面构成组件位于被测单位的物理控制范围内，是网络层面安全保护的重点。 3.3 被测系统－技术 3、主要测评内容 位于被测单位物理控制范围内的网络，通常是局域网，包括客户机、网络设备和服务器等 。 3.3 被测系统－技术 3、主要测评内容 被测单位内的两个不同信息系统可能需要交换信息，而进行网络互联（内部互联）。 被测单位为了与其他单位/网络交换信息，可能需要与他们的网络互联（外部互联）。 网络互联一般都有网络连接边界，这些边界是网络安全测评的重点之一。 3.3 被测系统－技术 3、主要测评内容 设备共用 设备共用是指被测系统和其他信息系统共用网络中的设备、通信线路和/或主机（共用设备的系统可能不需要交换信息）。设备共用可能发生在内网、外网或者外网连接处，设备共用一般有三种基本方式： 客户机共用 （少）； 网络通信设备共用； 服务器共用 。 3.3 被测系统－技术 3、主要测评内容 系统层面 系统层面主要是指主机系统，构成组件有服务器、终端/工作站等计算机设备，包括他们的操作系统、数据库系统及其相关环境等 主机系统直接为信息系统的信息采集、加工、存储、传输、检索等提供运行环境，包括为信息系统用户提供人机交互的环境。通常采取身份鉴别、访问控制、安全审计、系统资源控制等安全功能，以保证系统的安全。 目前常见的操作系统有Windows、Linux和类UNIX等，数据库系统有Oracle、Sybase、MS SQL SERVER等。 3.3 被测系统－技术 3、主要测评内容 应用系统 应用系统体系结构模型可以根据用户与数据之间所具有的层次来划分，即：单层应用体系结构模型、两层应用体系结构模型、多层（可以是三层或三层以上）应用体系结构模型。 3.3 被测系统－技术 3、主要测评内容 数据层面 数据层面构成组件主要包括信息系统安全功能数据和用户数据，这些数据可能处于传输和处理过程中，也可能处于存储状态。对于传输和处理过程中的数据，一般有机密性和完整性的安全要求，而对于存储中的数据，还需要有备份恢复的安全要求。 3.3 被测系统－技术 3、主要测评内容 安全管理机构 安全管理机构包括安全管理的岗位设置、人员配备、授权和审批、沟通和合作等方面内容，严格的安全管理应该由相对独立的职能部门和岗位来完成。 安全管理制度 在被测系统中，安全管理制度一般是文档化的，被正式制定、评审、发布和修订，内容包括策略、制度、规程、表格和记录等，构成一个塔字结构的文档体系。 3.４ 被测系统－管理 3、主要测评内容 安全管理制度文档体系 3.４ 被测系统－管理 3、主要测评内容 人员安全管理 人员安全管理包括信息系统用户、安全管理人