等级保护标准体系简介.pptVIP

* 设备管理数据传输加密 鉴别信息传输、存储加密 重要业务数据传输、存储加密 通信线路硬件冗余 网络设备硬件冗余 数据处理系统硬件冗余 关键设备和系统不存在单点故障（热备份） 数据自动备份和恢复功能 异地实时或批量数据备份 * 等级保护的安全管理与27000的不同。 安全管理是安全技术实现的保障和补充， 前两个是前提，管人、管过程、管活动。 * 建立一个健全、务实、有效、统一指挥、统一步调的完善的安全管理机构，明确机构成员的安全职责，这是信息安全管理得以实施、推广的基础。其主要工作内容包括对机构内重要的信息安全工作进行授权和审批、内部相关业务部门和安全管理部门之间的沟通协调以及与机构外部各类单位的合作、定期对系统的安全措施落实情况进行检查，以发现问题进行改进 信息安全管理职能部门，各类管理角色； 明确信息安全管理职能部门及各岗位职责； 配备一定数量的系统管理人员、网络管理人员、安全管理人员等，其中安全管理人员应是专职人员不可兼任； 授权审批部门及批准人，对关键活动进行审批； 加强各类管理人员和组织内部机构之间的合作与沟通； 信息安全职能部门定期或不定期召集相关部门和人员召开安全工作会议，协调安全工作的实施； 安全管理人员的安全检查，安全管理职能部门组织相关人员定期进行全面安全检查。 * * 在信息安全中，最活跃的因素是人，对人的管理包括法律、法规与政策的约束、安全指南的帮助、安全意识的提高、安全技能的培训、人力资源管理措施以及企业文化的熏陶， 这些功能的实现都是以完备的安全管理政策和制度为前提。 这里所说的安全管理制度包括信息安全工作的总体方针、策略、规范各种安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程。 对人的管理包括法律、法规与政策的约束、安全指南的帮助、安全意识的提高、安全技能的培训、人力资源管理措施以及企业文化的熏陶，这些功能的实现都是以完备的安全管理政策和制度为前提。 * * 人，是信息安全中最关键的因素，同时也是信息安全中最薄弱的环节。很多重要的信息系统安全问题都涉及到用户、设计人员、实施人员以及管理人员。 * * 系统建设管理主要关注的是生命周期中的前几个阶段（即，设计、采购、开发、实施、测试、验收、交付）中各项安全管理活动。 * * 信息系统建设完成投入运行之后，接下来就是如何维护和管理信息系统了。系统运行涉及到很多管理方面，例如对环境的管理、人员的管理、资源的管理等。同时，还要监控系统由于一些原因发生的重大变化，安全措施也要进行相应的修改，以维护系统始终处于相应安全保护等级的安全状态中 * * * * * * * * * * * * * * * * 分为管理和技术两部分，下面有细分为10个类 * 以三级要求为例 * * * * 二级备案 * 控制点逐级增多 * * 拨号的访问控制 * 关键-主要 * * * * 10个控制点 * * * 网络是为信息系统提供有效的网络服务的，网络安全一方面需要确保网络设备的安全运行，另一方面，确保在网上传输数据和网络内的资源的安全。由于网络环境是抵御外部攻击的第一道防线，因此必须进行各方面的防护。 结构安全和网段划分是不对应设备的。设计角度提出的、是否部署在正确的位置上，与物理不同。给出合理的通道。 网络访问控制和恶意代码防范-大门安检和检疫，网络入侵检测就是摄像头和监控系统，边界完整性检查就象电网，不能打洞。 * 网络结构安全没有设备提供， * 3个维度看： 1）SAG 2）级差 3）对象映射 全局要求：结构安全、边界完整性检查、入侵防范、恶意代码防范 共性要求：网络设备防护、安全审计 特殊要求：访问控制 * 主机防护与网络访护形成纵深，登堂入室。 可信路径和安全标记作为控制点只在第四级出现，体现出强制访问控制要求。 * 主机安全功能主要由产品提供，与网络不同，网络功能体现在部署不同设备，主机安全功能体现在对安全功能的使用， 高级别入侵防范、恶意代码防范通过其他软件实现。 * 9个控制点 全局 共性：身份鉴别、剩余信息保护、访问控制、安全审计、恶意代码防范、入侵检测 特殊：安全标记、资源控制、 * 按照osi7层协议，应用层是最高层，应用系统安全是最复杂、最具有特殊性的，实现也最困难，但网络安全和系统安全的最终目标是保证支持业务运行的应用系统安全。 抗抵赖的要求根据信息系统的不同可以选择，有些系统需要责任追究， * 由于应用系统一般没有经过专业的安全测试，应用系统安全尤其应当受到重视。 * 信息系统处理的各种数据（鉴别信息数据、系统管理数据/配置信息、重要业务数据等）在维持系统正常运行上起着至关重要的作用。一旦数据遭到破坏（泄漏、修改、毁坏），都会在不同程度上造成影响，从而危害到系统的正常运行。