《等级保护标准体系简介.ppt

* * * * * * * * * * * * * * 分为管理和技术两部分，下面有细分为10个类 * 以三级要求为例 * * * * 二级备案 * 控制点逐级增多 * * 拨号的访问控制 * 关键-主要 * * * * 10个控制点 * * * 网络是为信息系统提供有效的网络服务的，网络安全一方面需要确保网络设备的安全运行，另一方面，确保在网上传输数据和网络内的资源的安全。由于网络环境是抵御外部攻击的第一道防线，因此必须进行各方面的防护。 结构安全和网段划分是不对应设备的。设计角度提出的、是否部署在正确的位置上，与物理不同。给出合理的通道。 网络访问控制和恶意代码防范-大门安检和检疫，网络入侵检测就是摄像头和监控系统，边界完整性检查就象电网，不能打洞。 * 网络结构安全没有设备提供， 《测评要求》和《基本要求》的关系 《基本要求》规定了信息系统安全等级保护的基本要求，包括基本技术要求和基本管理要求，适用于不同安全等级信息系统的安全保护 。 《测评要求》规定了对信息系统安全控制进行等级测评的基本内容，使用到的测评方法，涉及到的测评对象，实施测评的过程要求，以及对测评结果进行判定的基本规则。 内容和结构上，存在一一对应关系。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 测评方法 访谈－通过与信息系统用户（个人/群体）迚行交流、认论等活劢，获取相关证据证明信息系统安全保护措施是否落实的一种方法。 检查－通过对测评对象（设备、文档、现场等）迚行观察、查验、分析等活劢，获取相关证据证明信息系统安全保护措施是否有效的一种方法。 测试－利用预定的方法/工具使测评对象产生特定的行为活劢，查看输出结果与预期结果的差异，以获取证据证明信息系统安全保护措施是否有效的一种方法。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 谢 谢 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. * * * * * * * * * * * * * * * * * * * * * * 关于信息安全等级保护工作的实施意见（公通字[2004]66号），信息安全等级保护工作是个庞大的系统工程，关系到国家信息化建设的方方面面，这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施，信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。 信息安全等级 信息安全等级保护标准化工作总体实施计划。 基本要求，测评准则，定级指南，实施指南， 中华人民共和国国家标准批准发布公告2008第10号（总第123号） 全国信息安全标准化技术委员会 北京、山西、上海、江苏、浙江、安徽、江西、山东、河南、湖北、广东、广西、重庆等13个试点省市区的16个单位，以及中组、中联和航天科技集团3个部委作为试点单位。 * * 基本要求在技术部分吸收了17859中身份鉴别、数据完整性、自主访问控制、强制访问控制、审计、客体重用（剩余信息保护）、标记、可信路径等8个安全机制，并将这些机制根据各级的安全目标扩展应用到网络层、主机层、应用层和数据层。 弱化了强制访问控制在三四级，在一定范围内实现子集的强制访问控制。结构化设计及安全机制可信性的要求。 隐蔽信道分析，不成熟 引入了资源控制、入侵防范、恶意代码防范、抗抵赖和软件容错等安全实践。 * * * 不 * * 技术指导 测评依据 安全需求 监督检查的依据 * 1、原则，与其他标准组成了一个“等级保护标准体系”，一脉相承 2、国内外不同安全标准分类差别较大，分为技术和管理，物理、网络、主机、应用等，更贴近系统建设、管理以及机构划分的现实状况，便于使用。 * * 社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 基本要求对每个等级的信息系统提出了相应的安全保护要求，这些要求的实现能够保证系统达到相应等级的基本保护能力。 目标： 要求：防病毒 管理：收发记录 * * * * * 逐级增强的特点-要求项增强 范围增大，如，对物理安全的“防静电”，二级只要求“关键设备应采用必要的接地防静电措施”；而三级则在对象的范围上发生了变化，为“主要设备应采用必要的接地