单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,a,1,信息安全等级保护与,等级化安全体系解决方案,a1信息安全等级保护与,a,2,INDEX,网络安全与信息安全,信息安全等级保护,等级化安全体系解决方案,a2INDEX网络安全与信息安全,a,3,网络安全与信息安全,安全定义,安全基本要求,安全技术体系,安全模型,a3网络安全与信息安全安全定义,a,4,安全定义,防止任何对数据进行未授权访问的措施，或者造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。,网络安全：,网络的组成方式、拓扑结构和网络应用,信息安全：信息的来源、去向，内容的真实无误及保证信息的完整性，信息不会被非法泄露扩散保证信息的保密性,a4安全定义防止任何对数据进行未授权访问的措施，或者造成信息,a,5,安全基本要求,完整性：（,Integrity,）拥有的信息是否正确；保证信息从真实的信源发往真实的信宿，传输、存储、处理中未被删改、增添、替换。,机密性：（,Confidentiality,）谁能拥有信息，保证国家秘密和敏感信息仅为授权者享有,可用性：（,Availability,）信息和信息系统是否能够使用保证信息和信息系统随时可为授权者提供服务而不被非授权者滥用。,可控性：（,Controllability,）是否能够监控管理信息和系统保证信息和信息系统的授权认证和监控管理。,不可否认性：（,Non-repudiation,）为信息行为承担责任，保证信息行为人不能否认其信息行为。,a5安全基本要求完整性：（Integrity）拥有的信息是否,a,6,安全技术体系,物理安全技术：环境安全、设备安全、媒体安全；,系统安全技术：操作系统及数据库系统的安全性；,网络安全技术：网络隔离、访问控制、,VPN,、入侵检测、扫描评估；,应用安全技术：,Email,安全、,Web,访问安全、内容过滤、应用系统安全；,数据加密技术：硬件和软件加密，实现身份认证和数据信息的,CIA,特性；,认证授权技术：口令认证、,SSO,认证（例如,Kerberos,）、证书认证等；,访问控制技术：防火墙、访问控制列表等；,审计跟踪技术：入侵检测、日志审计、辨析取证；,防病毒技术：单机防病毒技术逐渐发展成整体防病毒体系；,灾难恢复和备份技术：业务连续性技术，前提就是对数据的备份。,a6安全技术体系,a,7,安全模型,P2DR,P2DR,模型,Protection,防护,检测,Detection,响应,Response,Policy,策略,a7安全模型P2DRP2DR模型Protection检测D,a,8,保护,protect,采用一切手段（主要指静态防护手段）保护信息系统的五大特性。,安全模型,-PDRR,检测,detect,检测本地网络的安全漏洞和存在的非法信息流，从而有效阻止网络攻击,对危及网络安全的事件和行为做出反应，阻止对信息系统的进一步破坏并使损失降到最低,响应,react,及时恢复系统，使其尽快正常对外提供服务，是降低网络攻击造成损失的有效途径,恢复,restore,信息安全,保障体系,PDRR,模型图,a8保护采用一切手段（主要指静态防护手段）保护信息系统的五大,a,9,INDEX,网络安全与信息安全,信息安全等级保护,等级化安全体系解决方案,a9INDEX网络安全与信息安全,a,10,信息安全等级保护,对等级保护政策的理解,信息系统划分,信息系统定级,等级化安全保障体系设计流程,等级化安全保障体系的基本框架,a10信息安全等级保护对等级保护政策的理解,a,11,对等级保护的理解,等级保护是我国信息安全领域的一项基本政策,1994,年，,中华人民共和国计算机信息系统安全保护条例,的发布,1999,年，,计算机信息系统安全保护等级划分准则,GB17859-1999,发布,2003,年，中央办公厅、国务院办公厅转发,国家信息化领导小组关于加强信息安全保障工作的意见,（,中办发,200327,号文,）,2004,年，四部委,(,公安部、国家保密局、国家密码管理局、国信办,),联合签发了,关于信息安全等级保护工作的实施意见,（,公通字,200466,号文,）,国务院信息化工作办公室发布,电子政务信息安全等级保护实施指南（试行）,a11对等级保护的理解等级保护是我国信息安全领域的一项基本政,a,12,对等级保护的理解,（续一）,等级保护是我国信息安全领域的一项基本政策,2005,年,12,月，国家保密局发布,涉及国家秘密的信息系统分级保护管理办法,、,涉及国家秘密的信息系统分级保护技术要求,2005,年,12,月，公安部,信息系统安全等级保护实施指南,、,信息系统安全等级保护定级要求,、,信息系统安全等级保护基本要求,、,信息系统安全等级保护测评准则,（,GB,送审稿陆续出台）,2006,年,3,月开始实施的公安部、国家保密局、国家密码管理局、国信办四部委（局办）发布,7,号文,等级保护管理办法,a12对等级保护的理解（续一）等级保护是我国信息安全领域的一,a,13,对等级保护的理解,（续二）,等级保护的核心是将传统的定性设计逐步进化为定量的安全保障设计,对信息系统实施不同等级的安全保护,对信息系统中使用的安全产品实施分等级管理,对信息系统发生的安全事件分等级响应和处置,a13对等级保护的理解（续二）等级保护的核心是将传统的定性设,a,14,对等级保护的理解,（续三）,等级保护体现了差异化的安全保障思想,由系统使命决定系统的等级，充分考虑业务信息安全性和业务服务保证性,结合基本要求，并依据风险评估的结果对安全保护措施进行调整,对,3,级及以上系统实施相应的监督和管理,对涉及国家安全、经济建设、社会稳定等方面的重要信息系统重点保护,对于涉及国家秘密的信息系统,规范定密，准确定级；依据标准，同步建设；突出重点，确保核心；明确责任，加强监督,涉及国家秘密的信息系统按照所处理信息的最高密级，由低到高划分为秘密级、机密级,(,一般和增强,),和绝密级三个级别，其总体防护水平分别不低于三级、四级、五级的要求,a14对等级保护的理解（续三）等级保护体现了差异化的安全保障,a,15,信息系统的划分,信息系统的概念有大有小，在工程实践中，过大的划分不利于对信息进行有针对性的保护，因此需要对信息系统进行有效的划分,信息系统的划分原则是相同的管理机构、相同的业务类型、相同的物理位置或相似的运行环境,【,公安部,信息系统安全保护等级定级指南,】,a15信息系统的划分信息系统的概念有大有小，在工程实践中，过,a,16,信息系统的划分,（续一）,信息系统的划分可以从,安全区域,、,业务系统,和,保护对象,三个不同角度进行：,安全区域,侧重从物理区域进行划分，比如核心区、接入区；用户区、管理区；外网、接入网、内网等，其优点是划分相对容易，缺点是粒度较粗,业务系统,侧重从应用系统进行划分，优点是粒度较细，缺点是实际操作比较困难，当然也可以考虑几个业务系统的组合,保护对象,则综合了安全区域和业务系统两种方法的优点，既考虑了信息系统的信息流向、业务流程,也考虑了信息系统的物理归属,a16信息系统的划分（续一）信息系统的划分可以从安全区域、业,a,17,信息系统的划分,（续二）,保护对象实质是风险评估的资产划分模型；,安全区域实质是具有类似安全要求的物理位置划分模型；,保护对象侧重在风险评估；,安全区域侧重在边界防护；,风险评估是等级保护的基础组成部分；边界保护相反只是措施而已；,保护对象与安全域并不矛盾，它们是两种不同的分类法，在具体的操作时，原则是：,已有系统,采用保护对象设计方法；,新建系统,采用安全区域设计方法。,新建系统先网络后应用；,已有系统先应用后网络；,a17信息系统的划分（续二）保护对象实质是风险评估的资产划分,a,18,信息系统的划分,（续三）,政务专网,互联网,核心数据,区,业务服务,器区,网络管理,区,办公服务,器区,机关办公,区,WEB,服务,区,机关工作,区,政务专网,政务外网,计算区域,边界,网络基础设施,a18信息系统的划分（续三）政务专网互联网核心数据业务服务网,a,19,信息系统的定级,信息系统所属类型,业务信息类型,信息系统服务范围,业务依赖程度,业务信息安全性取值,业务服务保证性取值,业务服务保证性等级,1.,赋值,选择调节因子,业务子系统安全保护等级,2.,确定两个指标等级,业务信息安全性等级,3,确定业务子系统等级,信息系统安全保护等级,4.,确定信息系统等级,其它业务子系统,来源,信息系统安全保护等级定级指南,a19信息系统的定级信息系统所属类型业务信息类型信息系统服务,a,20,信息系统定级,(,电子政务,),安全,等级,电子政务安全等级描述,保密性,完整性,可用性,1,对电子政务系统中信息的未授权泄漏会对政务机构运行、机构财产、人员造成较小的负面影响。,对电子政务系统和信息的未授权修改和破坏,会对政务机构运行、机构财产、人员造成较小的负面影响。,授权人员对电子政务系统和信息访问的中断,会对政务机构运行、机构财产、人员造成较小的负面影响。,2,对电子政务系统中信息的未授权泄漏会对政务机构运行、机构财产、人员造成中等程度的负面影响。,对电子政务系统和信息的未授权修改和破坏,会对政务机构运行、机构财产、人员造成中等程度的负面影响。,授权人员对电子政务系统和信息访问的中断,会对政务机构运行、机构财产、人员造成中等程度的负面影响。,3,对电子政务系统中信息的未授权泄漏会对政务机构运行、机构财产、人员造成较大的负面影响，对国家安全造成一定程度的损害。,对电子政务系统和信息的未授权修改和破坏,会对政务机构运行、机构财产、人员造成较大的负面影响，对国家安全造成一定程度的损害。,授权人员对电子政务系统和信息访问的中断,会对政务机构运行、机构财产、人员造成较大的负面影响，对国家安全造成一定程度的损害。,4,对电子政务系统中信息的未授权泄漏会对政务机构运行、机构财产、人员造成严重的负面影响，对国家安全造成较大损害。,对电子政务系统和信息的未授权修改和破坏,会对政务机构运行、机构财产、人员造成严重的负面影响，对国家安全造成较大损害。,授权人员对电子政务系统和信息访问的中断,会对政务机构运行、机构财产、人员造成严重的负面影响，对国家安全造成较大损害。,5,对电子政务系统中信息的未授权泄漏会对政务机构运行、机构财产、人员造成极其严重的负面影响，对国家安全造成严重损害。,对电子政务系统和信息的未授权修改和破坏,会对政务机构运行、机构财产、人员造成极其严重的负面影响，对国家安全造成严重损害。,授权人员对电子政务系统和信息访问的中断,会对政务机构运行、机构财产、人员造成极其严重的负面影响，对国家安全造成严重损害。,a20信息系统定级(电子政务)安全电子政务安全等级描述保密性,a,21,信息系统定级,(,电子政务,),某个电子政务系统（假设其名称为,A,）的安全等级可以表示为：,安全等级,(A),Max(,系统保密性等级,),(,系统完整性等级,),(,系统可用性等级,),其中：,系统保密性等级,Max (,各信息或服务的保密性等级,),系统完整性等级,Max (,各信息或服务的完整性等级,),系统可用性等级,Max (,各信息或服务的可用性等级,),a21信息系统定级(电子政务)某个电子政务系统（假设其名称为,a,22,信息系统的定级,（续）,安全等级,等级名称,基本描述,安全保护要求,第一级,自主保护级,适用于一般的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较小的负面影响。,参照国家标准自主进行保护,第二级,指