必威体育精装版基于等级保护的信息系统安全防护体系建设方案.ppt

信息安全等级保护细则要求与趋势科技解决方案对应 谢谢！ * * * * * * * * * * * * * * * * * 粗体部分为TrendMicro可提供解决方案的部分 * * * * Copyright 2009 Trend Micro Inc. Copyright 2009 Trend Micro Inc. Copyright 2009 Trend Micro Inc. Copyright 2009 Trend Micro Inc. Copyright 2009 Trend Micro Inc. Copyright 2009 Trend Micro Inc. Copyright 2009 Trend Micro Inc. Copyright 2009 Trend Micro Inc. 基于等级保护的安全防护体系建设方案 1、信息安全等级保护政策要求 2、信息安全等级保护设计方案整体思路 4、信息系统安全现状分析 3、信息安全等级保护建设目标 5、基于等级保护的恶意代码防护体系建设方案 信息安全等级保护解释 系统根据价值和影响力可以划定安全等级 安全保护能力或要求有差别——等级 匹配 信息安全等级保护政策要求 计算机信息系统安全等级保护要求和影响程度 政策要求： 27号文：纲领性文件，信息安全等级保护为安全国策 66号文：四部委关于等级保护实施的计划 43号文：公安部的信息安全等级保护管理办法 1、信息安全等级保护政策要求 2、信息安全等级保护设计方案整体思路 4、信息系统安全现状分析 3、信息安全等级保护建设目标 5、基于等级保护的恶意代码防护体系建设方案 信息安全体系框架 网络防护 数据保护 物理防护 主机防护 网络监测 应用监测 物理监测 主机监测 预警/报警/审计 系统备份与恢复 评估安全风险 制定安全策略 实施安全策略 审核策略有效性 信息安全等级保护的生命周期 信息系统等级保护实施生命周期内的主要活动 规划设计阶段 安全实施/实现阶段 安全运行管理阶段 等级化风险评估 安全总体设计 安全建设规划 安全方案设计 安全产品采购 安全控制集成 测试与验收 管理机构的设置 管理制度的建设 人员配置和岗位培训 安全建设过程的管理 操作管理和控制 变更管理和控制 安全状态监控 安全事件处置和应急预案 安全评估和持续改进 监督检查 定级阶段 系统调查和描述 子系统划分/分解 子系统边界确定 安全等级确定 定级结果文档化 信息安全等级保护方案建设阶段 信息安全等级保护体系设计方法 整体 安全目标 分等级的 保护对象框架 体系建设 和运行 组织体系 技术体系 运作体系 策略体系 安全要求与对策框架 客户的信息资产 定级 分解 国家规定的各等级 安全要求 定制 分等级的安全目标 等级化 安全体系 1、信息安全等级保护政策要求 2、信息安全等级保护设计方案整体思路 4、信息系统安全现状分析 3、信息安全等级保护建设目标 5、基于等级保护的恶意代码防护体系建设方案 信息安全等级保护建设目标 1、信息安全等级保护政策要求 2、信息安全等级保护设计方案整体思路 4、信息系统安全现状分析 3、信息安全等级保护建设目标 5、基于等级保护的恶意代码防护体系建设方案 信息系统等级保护基本框架 《信息系统安全等级保护基本要求》在整体上大的分类，其中技术部分分为：物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大类，管理部分分为：安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5大类， 技术要求 物理安全 物理位置选择 物理访问控制 防盗窃和防破坏 防雷击 防火 防水和防潮 温湿度控制 电力供应 电磁防护 网络安全 结构安全和网段划分 网络访问控制 拨号安全控制 网络安全审计 边界完整性检查 网络入侵检测 恶意代码防护 网络设备防护 主机系统安全 身份鉴别 自主访问控制 强制访问控制 安全审计 可信路径 剩余信息保护 恶意代码防范 入侵防范 系统资源控制 系统自我保护 应用安全 身份鉴别 访问控制 通信完整性 通信必威体育官网网址性 安全审计 剩余信息保护 恶意代码防范 抗抵赖 资源控制 软件容错 代码安全 数据安全 数据完整性 数据必威体育官网网址性 安全备份 管理要求 安全管理制度