信息安全等级保护与整体解决方案

信息安全等级保护与 等级化安全体系解决方案

信息安全等级保护与整体解决方案

INDEX网络安全与信息安全 信息安全等级保护 等级化安全体系解决方案

信息安全等级保护与整体解决方案

网络安全与信息安全安全定义 安全基本要求 安全技术体系 安全模型

信息安全等级保护与整体解决方案

安全定义防止任何对数据进行未授权访问的措施，或者造 成信息有意无意泄漏、破坏、丢失等问题的发生， 让数据处于远离危险、免于威胁的状态或特性。 网络安全：网络的组成方式、拓扑结构和网络应 用 信息安全：信息的来源、去向，内容的真实无误 及保证信息的完整性，信息不会被非法泄露扩散 保证信息的保密性

信息安全等级保护与整体解决方案

安全基本要求完整性：(Integrity)拥有的信息是否正确；保证信息从 真实的信源发往真实的信宿，传输、存储、处理中未被删 改、增添、替换。 机密性：(Confidentiality)谁能拥有信息，保证国家秘 密和敏感信息仅为授权者享有 可用性：(Availability )信息和信息系统是否能够使用保 证信息和信息系统随时可为授权者提供服务而不被非授权 者滥用。 可控性：(Controllability)是否能够监控管理信息和系统 保证信息和信息系统的授权认证和监控管理。 不可否认性：(Non-repudiation)为信息行为承担责任， 保证信息行为人不能否认其信息行为。

信息安全等级保护与整体解决方案

安全技术体系物理安全技术：环境安全、设备安全、媒体安全； 系统安全技术：操作系统及数据库系统的安全性； 网络安全技术：网络隔离、访问控制、VPN、入侵检测、扫 描评估； 应用安全技术：Email 安全、Web 访问安全、内容过滤、应 用系统安全； 数据加密技术：硬件和软件加密，实现身份认证和数据信息 的CIA 特性； 认证授权技术：口令认证、SSO 认证(例如Kerberos)、证 书认证等； 访问控制技术：防火墙、访问控制列表等； 审计跟踪技术：入侵检测、日志审计、辨析取证； 防病毒技术：单机防病毒技术逐渐发展成整体防病毒体系； 灾难恢复和备份技术：业务连续性技术，前提就是对数据的 备份。

信息安全等级保护与整体解决方案

安全模型—P2DRProtection 防护

Policy 策略

P2DR模型

信息安全等级保护与整体解决方案

安全模型--PDRR采用一切手段(主要指静态防护 手段)保护信息系统的五大特性 。 检测本地网络的安全漏洞和存在的非 法信息流，从而有效阻止网络攻击

保护 protect

检测 detect

信息安全 保障体系恢复 restore及时恢复系统，使其尽快正常对外提供服 务，是降低网络攻击造成损失的有效途径

响应 react对危及网络安全的事件和行为做出反应，阻止 对信息系统的进一步破坏并使损失降到最低

PDRR模型图 模型图

信息安全等级保护与整体解决方案

INDEX网络安全与信息安全 信息安全等级保护 等级化安全体系解决方案

信息安全等级保护与整体解决方案

信息安全等级保护对等级保护政策的理解 信息系统

划分 信息系统定级 等级化安全保障体系设计流程 等级化安全保障体系的基本框架

信息安全等级保护与整体解决方案

对等级保护的理解等级保护是我国信息安全领域的一项基本政策1994年，《中华人民共和国计算机信息系统安全保护条 例》的发布 1999年，《计算机信息系统安全保护等级划分准则》 GB17859-1999发布 2003年，中央办公厅、国务院办公厅转发《国家信息化 领导小组关于加强信息安全保障工作的意见》(中办发 [2003]27号文) 2004年，四部委(公安部、国家保密局、国家密码管理 局、国信办)联合签发了《关于信息安全等级保护工作 的实施意见 》(公通字[2004]66号文) 国务院信息化工作办公室发布《电子政务信息安全等级 保护实施指南(试行)》

信息安全等级保护与整体解决方案

对等级保护的理解(续一)等级保护是我国信息安全领域的一项基本政策2005年12月，国家保密局发布《涉及国家秘密的信息 系统分级保护管理办法》、《涉及国家秘密的信息系 统分级保护技术要求》 2005年12月，公安部《信息系统安全等级保护实施指 南》、《信息系统安全等级保护定级要求》、《信息 系统安全等级保护基本要求》、《信息系统安全等级 保护测评准则》(GB送审稿陆续出台) 2006年3月开始实施的公安部、国家保密局、国家密码 管理局、国信办四部委(局办)发布7号文 《等级保 护管理办法》

信息安全等级保护与整体解决方案

对等级保护的理解(续二)等级保护的核心是将传统的定性设计逐步进化为 定量的安全保障设计对信息系统实施不同等级的安全保护 对信息系统中使用的安全产品实施分等级管理 对信息系统发生的安全事件分等级响应和处置

信息安全等级保护与整体解决方案

对等级保护的理解(续三)等级保护体现了差异化的安全保障思想由系统使命决定系统的等级，充分考虑业务信息安全性和业 务服务保证性 结合基本要求，并依据风险评估的结果对安全保护措施进行 调整 对3级及以上系统实施相应的监督和管理对涉及国家安全、经济建设、社会稳定等方面的重要信息系统重 点保护 对于涉及国家秘密的信息系统 规范定密，准确定级；依据标准，同步建设；突出重点，确保 核心；明确责任，加强监督 涉及国家秘密的信息系统按照所处理信息的最高密级，由低到 高划分为秘密级、机密级(一般和增强)和绝密级三个级别，其 总体防护水平分别不低于三级、四级、五级的要求

信息安全等级保护与整体解决方案

信息系统的划分信息系统的概念有大有小，在工程实践中，过大 的划分不利于对信息进行有针对性的保护，因此 需要对信息系统进行有效的划分 信息系统的划分原则是相同的管理机构、相同的 业务类型、相同的物理位置或相似的运行环境【公安部《信息系统安全保护等级定级指

南》】

信息安全等级保护与整体解决方案

信息系统的划分(续一)信息系统的划分可以从安全区域、业务系统和保 护对象三个不同角度进行：安全区域侧重从物理区域进行划分，比如核心区、接 入区；用户区、管理区；外网、接入网、内网等，其 优点是划分相对容易，缺点是粒度较粗 业务系统侧重从应用系统进行划分，优点是粒度较细， 缺点是实际操作比较困难，当然也可以考虑几个业务 系统的组合 保护对象则综合了安全区域和业务系统两种方法的优 点，既考虑了信息系统的信息流向、业务流程,也考虑 了信息系统的物理归属