信息系统安全等级保护ppt课件.pptx

《信息系统安全等级保护ppt课件.pptx》由会员分享，可在线阅读，更多相关《信息系统安全等级保护ppt课件.pptx（36页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。信息系统安全等级保护“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。内 容u等级保护简介u等级保护定级与备案u等级保护解决方案u等级保护测评“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。什么是等级

2、保护 信息安全等级保护是指：对国家秘密信息、法人和其他组织及公民的专有信息、公开信息分类分级进行管理和保护； 根据信息系统应用业务重要程度及其实际安全需求，实行分级、分类、分阶段实施保护，保障信息安全和系统安全正常运行，维护国家利益、公共利益和社会稳定。 等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点，保障重要信息资源和重要信息系统的安全。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众

3、性治安防控工程”。 国家对信息安全保障的政策演变国家信息化领导小组关于加强信息安全保障工作的意见（中办发（2003）27号文）等级保护系列标准规范关于开展全国重要信息系统安全等级保护定级工作通知（公信安【2007】861号）信息系统安全保护等级保护定级指南关于信息安全等级保护工作的实施意见（2004 66号）信息安全等级保护管理办法（2007 43号）信息系统安全等级保护实施指南信息系统安全等级保护基本要求信息系统安全等级保护测评要求信息系统安全等级保护监督检查要求分级保护系列标准规范涉及国家秘密的计算机信息系统分级保护技术要求BMB17-2006涉及国家秘密计算机信息系统安全保密方案设计指南

4、 BMB23-2008涉及国家秘密计算机信息系统分级保护管理规范BMB20-2007涉及国家秘密的信息系统分级保护测评指南BMB222007涉及国家秘密计算机信息系统分级保护管理办法 国家保密局16号非涉密信息系统安全保障建设指南涉密信息系统安全保障建设指南等级保护标准规范“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 等级保护的主要工作流程自主定级和审批评审备案系统建设等级测评监督检查-信息系统运营使用单位按照等级保护管理办法和信息系统安全等级保护定级指南，确定信息系统的安

5、全保护等级。有上级主管部门的，应当经上级主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。-在信息系统确定安全保护等级过程中，可以进行必要的业务和技术评估，组织专家进行咨询评审。对拟确定为第四级以上的信息系统的运营、使用单位或主管部门应当邀请国家信息安全等级保护专家评审委员会评审。-第二级以上信息系统由其运营使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上

6、公安机关备案。-信息系统的安全保护等级确定后，运营使用单位应当按照国家信息安全等级保护管理规范和划分准则、基本要求、操作系统、数据库、网络、服务器、终端等技术要求，使用符合本系统安全保护等级要求的信息安全产品，同步建设符合本系统安全保护等级要求的信息安全设施。运营使用单位应当按照安全管理要求、安全工程管理要求等管理规范，建立安全组织，制定并落实符合本系统安全保护等级的安全管理制度。-信息系统建设完成后，运营使用单位应当选择符合本系统安全保护等级要求的检测机构，依据信息系统安全等级保护测评指南等技术标准对信息系统安全等级状况开展技术评测。三级信息系统应当每年至少进行一次等级测评；四级信息系统应当

7、每半年至少进行一次等级测评；五级信息系统应当依据特殊安全需求进行等级测评。-受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。三级信息系统每年至少检查一次，四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。内 容u等级保护简介u等级保护定级与备案u等级保护解决方案u等级保护测评“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为

8、指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。安全保护等级的划分1）用户自主保护级 公民、法人和其它组织的合法权益：损害，国家安全、社会秩序和公共利益：不损害2）系统审计保护级 公民、法人和其它组织的合法权益：损害，社会秩序和公共利益：损害，国家安全：不损害3）安全标记保护级 社会秩序和公共利益：严重损害，国家安全：损害4）结构化保护级 社会秩序和公共利益：特别严重损害，国家安全：严重损害5）访问验证保护级 国家安全：特别严重损害“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基

9、础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。定级要素与等级的关系受侵害的客体 对客体的侵害程度 一般损害 严重损害特别严重损害公民、法人和其他组织的合法权益 第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。确定等级流程业务信息安全保护等级矩阵表系统服务安全保护等级矩阵表系统安全保护等级矩阵表确定定级对象：具有唯一确定的安全责任单位；满足信息系统的基本要素；承载相对独立的业务应用“雪

10、亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。等级保护要求的组合“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。安全保护等级定级参考1）一级，小型私营、个体企业、中小学，乡镇所属信息系统，县级单位一般的信息系统2）二级，县级某些单位重要信息系统；地市级以上国家机关、企事业单位内部一般信息系统（例如非涉及工作、商业秘密，敏感信息的办公系统和管理系统）3）三级，地市级

11、以上国家机关、企事业单位内部重要信息系统（例如涉及工作、商业秘密，敏感信息的办公系统和管理系统）。跨省或全国联网运行的用于生产、调度、管理、控制等方面的重要系统及在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站4）四级，国家重要领域、重要部门中的特别重要系统以及核心系统，电力、电信、广电、税务等5）五级，国家重要领域、重要部门中的极端重要系统“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。系统定级和备案流程系统定级 定级报告 备案表 其它材料专家评审 专家评审系

12、统定级 专家建议申报网安 提交申报材料网安审核 10工作日内网安完成审核领取备案书 领取备案书 准备等级测评“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。系统备案“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。系统备案14需要准备的材料2级 信息系统安全等级保护备案表 信息系统安全等级保护定级报告 网络与信息安全承诺书 XX单位信息系统等级保护联系表 工商营业

13、执照(或执业许可证、事业单位证书、非盈利性机构证书等许可证明)+法人代表身份证+组织机构代码证（如三证合一，省略）3级 信息系统安全等级保护备案表 信息系统安全等级保护定级报告 网络与信息安全承诺书 XX单位信息系统等级保护联系表 工商营业执照+法人代表身份证+组织机构代码证（如三证合一，省略） 信息系统安全等级保护备案表表四涉及的材料扫描件“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。系统备案 信息系统安全等级保护备案表表四涉及的材料扫描件：p系统拓扑结构及说明p系统安全组

14、织机构及管理制度p系统安全保护设施设计实施方案或改建实施方案p系统使用的安全产品清单及认证、销售许可证明p系统等级测评报告p专家评审情况p上级主管部门审批意见“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。内 容u等级保护简介u等级保护定级与备案u等级保护解决方案u等级保护测评“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。安全保障体系模型“雪亮工程是以区（县）

15、、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。安全等级保护“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。技术安全要求“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。管理安全要求“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、

16、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。差距分析等级保护差距分析以信息系统为单位以基本要求为依据业务信息与系统服务关联分析-根据系统所确定的安全等级从基本要求中选择相应等级的基本安全需求-根据系统所面临的威胁特点调整安全要求，去掉不适用项-基本要求中某些地方的安全措施不能满足本单位信息系统的保护要求；没有提供所需要的保护措施 -对比信息系统现状和安全要求之间的差距，确定不满足要求的安全项 1、确定信息系统的基本安全需求2、选择调整基本安全需求 3、明确特殊安全需求4、根据各项安全要求进行逐项分析确定不符合安全项现状梳理明确安全建设需求123“雪亮工程是以区

17、（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。等级保护设计方案 安全技术体系设计安全技术体系设计 物理安全设计 网络安全设计 主机安全设计 应用安全设计 数据安全设计 安全管理设计 安全管理体系设计安全管理体系设计安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理 安全服务保障设计安全服务保障设计风险评估安全加固安全巡检应急响应安全培训“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众

18、性治安防控工程”。等级保护设计 安全的网络结构 安全的边界防护 安全的计算环境“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。网络和基础设施保护1-关键网络设备进行安全加固2-采用双核心设计，确保网络的容错能力；并通过核心交换机执行QOS，保障关键应用的资源3-配置网络设备的日志审计，并通过统一的网络日志审计平台实现集中记录，同时也作为安全管理平台的分析依据。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视

19、频监控联网应用为重点的“群众性治安防控工程”。区域边界保护“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。区域边界保护“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。保护计算环境“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。保护计算环境“雪亮工

20、程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。实现集中安全管理“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。落实安全管理措施三级系统安全管理措施- 建立全面的安全管理制度，并安排专人负责并监控执行情况；- 建立全面的人员管理体系，制定严格的考核标准- 建设过程的各项活动都要求进行制度化规范，按照制度要求进行活动的开展- 实现严格的保密性管理- 成立安全运维小组，对安

21、全维护的责任落实到具体的人- 引入第三方专业安全服务“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。内 容u等级保护简介u等级保护定级与备案u等级保护解决方案u等级保护测评“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。测评依据u 中华人民共和国计算机信息系统安全保护条例（国务院147号令）u 信息安全等级保护管理办法（公通字200743号）u GB 17859

22、-1999计算机信息系统安全保护等级划分准则u GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 u GB/T 28448-2012信息安全技术 信息系统安全等级保护测评要求u GB/T 28449-2012信息安全技术 信息系统安全等级保护测评过程指南u 信息安全等级保护测评报告模版（2015年版）（公信安20142866号）u 信息系统安全等级测评合同“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。测评方法“雪亮工程是以区（县）、乡（镇）、村（社区

23、）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。测评过程 信息收集 工具和表单测评准备 确定对象和指标 开发指导书方案编制 测评实施 结果记录 问题确认现场测评 整改后验证问题验证 整体测评 风险分析报告编制“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。需配合事项 测评开始前请提前备份重要数据、程序、配置文件等，保证测评完成后能够恢复系统的正常运行 测评过程中需要相应方面的管理/技术人员全程配合，为避

24、免不必要的风险，请配合人员亲自操作，协助完成测评人员对设备相关安全配置的检查和采集 需要到物理机房实地检查，请提前申请进入机房的相关手续，并协调查看机房管理相关管理记录 需要登录网络设备、安全设备检查相关配置及漏洞扫描，请分配可接入的网络端口及地址，提供配置文件 需要登录相关主机设备检查相关配置及漏洞扫描，请分配可接入的网络端口及地址 请提供应用系统访问地址，以及访问该应用所需的网络地址，帐户名称、口令以及其它鉴别方式所需软硬件设备 请提供安全管理制度电子档或纸质版本，以及相关记录文件“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。