返回
等级保护相关标准解读

等级保护相关标准解读

ID:27693199

大小:3.92 MB

页数:44页

时间:2018-12-03

等级保护相关标准解读_第1页
等级保护相关标准解读_第2页
等级保护相关标准解读_第3页
等级保护相关标准解读_第4页
等级保护相关标准解读_第5页
资源描述:

《等级保护相关标准解读》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、等级保护相关标准解读www.huatechsec.com.cn提纲等级保护背景等保相关标准中软华泰公司参与等级保护建设工作设计技术要求的框架和方案安全建设整改技术路线一、等级保护背景政策和标准国务院147号文法律政策依据科学技术依据GB17859-199950多个配套标准中办国办27号文四部委66号文件四部委43号文件第一次提出信息系统要实行等级保护,并确定了等级保护的职责单位----公安部会同有关部门。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。等级保护从计算机信息系

2、统安全保护的一项制度提升到国家信息安全保障的一项基本制度。等级保护工作的开展必须分步骤、分阶段、有计划的实施。明确了信息安全等级保护制度的基本内容。明确了信息安全等级保护制度的基本内容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务。5等级保护的标准体系GB17859-1999计算机信息系统安全保护等级划分准则信息系统安全等级保护定级指南GB/T20269-2006信息系统安全管理要求GB/T20282-2006信息安全技术信息系统安全工程管理要求GB

3、/T20270-2006信息安全技术网络基础安全技术要求GB/T20271-2006信息安全技术信息系统通用安全技术要求GB/T20272-2006信息安全技术操作系统安全技术要求GB/T20273-2006信息安全技术数据库管理系统通用安全技术要求GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/T24856-2009信息安全技术信息系统等级保护安全设计技术要求信息系统安全等级保护实施指南……信息系统等级保护分级标准07年6月份开始,全国范围内的重要信息系统普遍开展了信息安全等

4、级保护定级工作,到去年为止定级工作基本上已经落实。通过信息系统的定级,国家掌握了重要信息系统在全国范围内的分布、使用情况以及其重要程度。在定级基础上,应开展信息系统安全建设和整改,达到相应等级的安全防护能力。二、等级保护相关标准解读需要了解的几个法规、政策9几个与等级保护有关的标志性政策、文件:《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)。《信息安全等级保护管理办法》(公通字[2007]43号)《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)《中华人

5、民共和国计算机信息系统安全保护条例》(147号令)几个重要的技术标准10《信息系统安全等级保护基本要求》(GB/T22239-2008)《信息系统等级保护安全设计技术要求》(GB/T24856-2009)《计算机信息系统安全保护等级划分准则》(GB17859-1999)国家已出台约50余个标准,重点需要了解的有:最早提出的基础性、强制性标准;粒度较粗,是一个指导性标准;强调基本的技术和管理要求我们在进行产品开发、等保系统设计时的主要依据:(一个中心三重防御)11标准间的关系介绍GB/T22239-200

6、8信息系统安全等级保护基本要求信息系统等级保护安全设计技术要求GB17859-1999计算机信息系统安全保护等级划分准则《计算机信息系统安全保护等级划分准则》12第一级用户自主保护级第二级系统审计保护级第三级安全标记保护级第四级结构化保护级第五级访问验证保护级自主访问控制身份鉴别完整性保护自主访问控制身份鉴别完整性保护系统审计客体重用自主访问控制身份鉴别完整性保护系统审计客体重用强制访问控制标记自主访问控制身份鉴别完整性保护系统审计客体重用强制访问控制标记自主访问控制身份鉴别完整性保护系统审计客体重用强

7、制访问控制标记隐蔽通道分析可信路径隐蔽通道分析可信路径可信恢复《信息系统安全等级保护基本要求》的定位是系统安全保护、等级测评的一个基本“标尺”;按照基本要求进行保护后,信息系统具有相应等级的基本安全保护能力;针对本系统更具体的保护要求可以参考相关标准实现。13各级系统的保护要求的内容某级系统物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理14技术设计要求的思路《信息系统等级保护安全技术设计要求》以信息(应用)系统为核心,统筹规划

8、强调安全体系,一个中心支撑下的三重防御体系(计算环境、区域边界、通信网络)严格的访问控制,操作人员行为控制将网络安全、主机安全、应用安全、数据安全综合考虑信息系统等级保护安全技术设计框架16安全计算环境由定级系统中完成信息存储与处理的计算机系统硬件和系统软件以及外部设备及其连接部件组成,也可以是独立的或移动的计算机系统。安全区域边界是定级系统中安全计算环境的边界以及安全计算环境与安全通信网络之间实现联接功能的部分,对安全计算环境及进出安全计

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。