信息安全等级保护16538new.ppt

信息安全等级保护内容介绍 省公安厅网警总队 王诗军 目录 一、为什么开展等级保护 二、什么是等级保护 三、如何实施等级保护 一、为何开展信息安全等级保护 1、背景 2、存在的问题 3、国外做法 4、现实要求 我省信息化发展状况 目前，我省互联网用户1800多万，互联网站点29万个，均居全国首位。网络技术对社会进步的贡献有目共睹，主要体现在电子政务、电子商务、电子娱乐、远程医疗、远程教育等多个领域的应用。随着3G、IPv6等新技术的逐渐成熟和投入使用，网络将给人们的生产、生活带来更大方便，提供更多就业机会，促进社会经济更快发展。据有关机构调查，在大城市已经有4%的消费者采用了网上购物方式，超过邮购方式，有7%的消费者在未来会采用网上购物方式。 信息安全形势 现代化建设的许多方面已融入于网络（信息） 社会之中，政府部门正在积极推进电子政务；金融、证券部门正在稳健地开展网络化的服务业务（网上银行支付和网上证券交易）；商贸部门正在推动电子商务的发展；国防部门积极研究网络信息战（现代战争的形式）等。 信息安全形势 信息是战略资源，是决策之本，是控制一个国家国民经济与军事的灵魂。 由Internet的发展而带来的网络系统的安全问题正变得突出，网络安全已成为关系国家安全的重大战略问题。 运筹帷幄，决胜千里。 存在的问题 信息安全意识和安全防范能力薄弱，信息安全滞后于信息化发展； 信息系统安全建设和管理的目标不明确； 信息安全保障工作的重点不突出； 信息安全监督管理缺乏依据和标准，监管措施有待到位，监管体系尚待完善。 存在的问题 大多数单位的信息系统安全保护还处在采用防火墙、IDS和防病毒等部件方面。 重视外部攻击与入侵，忽视内部的非法行为 偏重产品，忽视体系和管理。 国内产品质量和技术问题。 用户信息安全的潜在的需求到现实需求仍有一个过程 存在的问题 西方发达国家信息技术优势明显，我国面临信息强国的冲击、挑战和威胁，信息安全领域始终面临信息战和网络恐怖袭击的威胁 ； 敌对势力的网上煽动、渗透和破坏活动愈加突出，针对信息系统进行的破坏活动日益严重，利用网络实施的违法犯罪案件持续大幅上升 。 外部环境 — 美国政府发布了《保护网络空间的国家战略》 （2003.2 试图根本上提高防止信息系统入侵和破坏能力。 — 美国国防部《国防信息系统安全计划DISSP 》 DISSP：Defense Information System Security Program DISSP的目标： 使美国国防系统的信息系统安全结构从“安全过渡策略”向统一的具有多级安全的“国防目标安全体系”转变。 外部环境 2003年2月14日美国政府发布的《保护网络空间的国家战略》，为了确保国家关键基础设施（基础信息网络和重要信息系统）的安全，对于网络空间，从国家关心的角度，美国将其分为五个优先级： 第一级 家庭用户和小型商业机构 第二级 大型机构（公司、政府机构和大学等） 第三级 国家信息基础设施部门包括联邦政府、私营 部门（银行与金融、能源、运输、电信、信息技术、通用制造业、化学制造业）、州和地方政府、高等教育机构。 第四级 国家机构和政策部门 第五级 全球 外部环境 美国联邦信息处理标准（FIPS）是国家标准与技术研究所（NIST）制定的一类安全出版物，多为强制性标准。FIPS 199 《联邦信息和信息系统安全分类标准》描述了如何确定一个信息系统的安全类别。确定系统级别的落脚点在于系统中所处理、传输、存储的所有信息类型的重要性。 信息和信息系统的“安全类别”是FIPS 199提出的一种新的系统级别概念。该定义是建立在某些事件的发生直接导致三类安全目标（必威体育官网网址性、完整性和可用性）的丧失，从而对机构运行（使命，功能，形象，声誉）、机构资产或个人产生潜在影响的基础之上。即，衡量指标是三性的丧失而产生的“影响级”，FIPS 199定义了三种影响级：低、中、高。 外部环境 FIPS 199按照“确定信息类型--确定信息的安全类别--确定系统的安全类别”三个步骤进行系统最终的定级。 首先，确定系统内的所有信息类型。FIPS 199指出，一个信息系统内可能包含不止一种类型的信息（例如隐私信息、合同商敏感信息、专属信息、系统安全信息等）。 其次，根据三类安全目标，确定不同信息类型的潜在影响级别（低、中、高）。 最后，按照“取高”原则，即选择系统内所有信息类型的潜在影响级的较高级别作为系统的影响级（低、中、高）。FIPS199确定系统级别的方法的重点是信息和信息系统的级别建立在某些事件的发生会对机构产生潜在影响的基础之上，根据安全目标（必威体育官网网址性、完整性和可用性）确定系统所处理、存储、传输的信息的级别，从而确定系统级别。