返回
信息安全等级保护技术基础培训教程

信息安全等级保护技术基础培训教程

ID:24990110

大小:48.72 KB

页数:25页

时间:2018-11-14

信息安全等级保护技术基础培训教程_第1页
信息安全等级保护技术基础培训教程_第2页
信息安全等级保护技术基础培训教程_第3页
信息安全等级保护技术基础培训教程_第4页
信息安全等级保护技术基础培训教程_第5页
资源描述:

《信息安全等级保护技术基础培训教程》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、第四章信息系统保护的一般方法和过程4.2安全规划与设计安全规划设计的目的是通过安全需求分析判断信息系统的安全保护现状与等级保护基本要求之间的差距,确定安全需求,然后根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况和安全需求等,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划等,以指导后续的信息系统安全建设工程实施。国家提出的等级保护基本要求,是国家为了等级保护的实施出台的一个关于技术与管理的标准,给出不同等级的信息系统应该达到一个基线要求,但是它并不能完全体现一个机构信息系统的安全需求,

2、与总体设计相关的技术标准还有《计算机信息系统安全等级划分准则》(GB17859-1999)《信息安全技术信息系统安全管理要求》(GBT20269-2006);《信息安全技术网络基础安全技术要求》(GB120270-2006);《信息安全技术信息系统通用安全技术要求》(GBT20271-2006);《信息安全技术操作系统安全技术要求》(GBT20272-2006);《信息安全技术数据虚管理系统安全技术要求》(GBT20273-2006)。这些标准是目标标准,但这些标准的制定并没有考虑信息资产环境的因素,使用这些标准进行信

3、息系统安全设计时,应该考虑信息的资产环境因素。按照我国信息安全专家吉增瑞先生的观点,对信息系统的定级是对信息资产与资产环境(主要是威胁)的评估,而所确定的等级是信息系统的需求等级。本书认同他对信息系统的定级,所确定酌的等级是信息系统的需求等级,但是,定级主要是对信息资产的定级,是信息资产的价值需要做这相应等级保护需求的决定,而不必考虑资产的环境。对于资产环境的考虑,则应该在考虑信息系统的安全保护措施时来考虑。4.2.1安全规划设计安全规划设计是要在安全需求分析的基础上进行安全总体的设计。在安全总体设计的基础上进行安全建

4、设规划。1.安全需求分析安全需求分析首先应判断信息系统的安全保护现状与国家等级保护基本要求之间的差距,这种差距作为初步的安全需求;除上述安全需求外,还要通过风险分析的方法确定系统额外的安全需求,这种需求反映在对特殊环境和威胁的安全保护要求,或对系统重要对象的较高保护要求方面。通过现状差距的分析和特殊要求的分析,明确系统的完整安全需求。安全需求分析的主要活动内容包括:1)明确评估对象和评估方法;明确评估对象和评估方法的目标是通过收集和了解被评估信息系统的网络结构、业务流程、设备信息和数据信息等,明确被评估信息系统的具体评

5、估对象;通过分析被评估信息系统和具体评估对象的特性选择和确定具体的评估方法。此项工作要依赖于以下文件,而这些文件是在等级保护的定级阶段形成的:信息系统详细描述文件、信息系统安全等级定级报告、信息系统相关的其他文档,以便进行如下五项工作:(1)确定评估范围;(2)获得信息系统的信息;(3)确定具体的评估对象;(4)确定评估工作的方法;(5)制订评估工作计划。此项工作结束后形成<评估工作方案》。2)评估指标体系的选择和确定此项工作的目标是根据被评估信息系统的安全等级,从等级保护基本要求和其他相关的技术与管理标准的指标中选择

6、和组合评估用的安全指标,形成一套信息系统的评估指标,作为评估的依据;将具体评估对象和评估指标进行结合,形成评估使用的评估方案。此项工作需要依赖以下文件:信息系统详细描述文件、信息系统安全等级定级报告、评估工作方案、等级保护基本要求。(1)形成评估指标根据各个信息系统的安全等级从基本要求及其他相关标准中选择相应等级的通用指标,然后根据系统信息资产安全性等级选择信息资产安全性指标,根据系统服务功能等级选择业务连续性指标,之后进行三类指标的组合,形成评估指标。如对于一个信息系统(已经划分到不能再划分的子系统),数据信息的安全

7、等级赋值为3,服务功能的安全等级赋值为2,我们在选择评估指标时,选择标准中S类(保护数据类)的等级要求为第三级的要求,选择标准中A类(保护服务功能类)的等级要求为第二级的要求,而对于选择的G类(通用保护类)标准要求时,必须使此项要求能够满足对两者之中较高的要求,所以也应该选择第三级,这样的组合为S3G3A2。这样全部的评估指标的组合为:S5A5、S5A4、S5A3、S5A2、S5A1、S4A5、S4A4、S4A3、S4A2、S4AI、S3A5、S3A4、S3A3、S3A2.S3A1.S2A5.S2A4、S2A3、S2A

8、2、S2A1、SIA5、SIA4、SIA3、SIA2、SIA1,而G类要求一定是其中的较高的要求相同。(2)制定评估方案根据评估指标,结合确定的具体评估对象制定可以操作的评估方案,评估方案可以包含以下内容:①管理状况评估表格;②网络状况评估表格;③网络设备(包括安全设备)评估表格;④主机设备评估表格;⑤主要设备安全测试方案;⑥重要

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。