等级保护技术标准简介.ppt
《等级保护技术标准简介.ppt》由会员分享,可在线阅读,更多相关《等级保护技术标准简介.ppt(60页珍藏版)》请在三一文库上搜索。
1、等级保护技术标准简介,报告内容,第一部分、总体情况介绍 第二部分、有关标准编制内容介绍,总体情况介绍,机构背景 等级保护标准制修订背景,总体情况介绍-机构背景,公安部第三研究所,公安部计算机信息系统安全产品质量监督检验中心,公安部信息安全产品检测中心,公安部信息安全等级保护评估中心,总体情况介绍-等级保护标准制修订背景,1994年,中华人民共和国计算机信息系统安全保护条例的发布 1999年,计算机信息系统安全保护等级划分准则 GB17859-1999发布 2001年,国家发改委“计算机信息系统安全保护等级评估体系及互联网络电子身份管理与安全保护平台建设项目”(1110)工程实施 2003年,中
2、央办公厅、国务院办公厅转发国家信息化领导小组关于加强信息安全保障工作的意见 2004年,四部委联合签发了关于信息安全等级保护工作的实施意见 ,总体情况介绍-等级保护标准制修订背景,有关标准编制内容介绍,定级指南 基本要求 实施指南,定级指南标准编制 情况介绍,定级指南标准编制情况介绍,背景介绍 等级确定的原则 决定等级的主要因素分析 等级确定方法 等级划分流程,背景介绍,与系统等级相关的国外资料: FIPS 199(美国联邦政府) 根据信息系统所处理信息的机密性、完整性和可用性被破坏的影响确定。 IATF(NSA) 根据信息价值与威胁确定系统强健度等级。 DITSCAP (DOD) 根据互联模
3、式、处理模式、业务依赖、三性、不可否认性等七个方面确定系统认证级。,背景介绍,上述定级方法存在问题 仅由信息重要性确定信息系统的等级,对大型企业和重点行业的重要业务系统不合适。 在通过三性影响分析,并根据三者取高的方法中,无法为可用性要求高和保密性要求高两类系统提出统一的技术要求。 确定系统等级,与业务无关,不满足等级保护的监管需要。 定级范围往往只在局部范围内。,等级确定的原则,全局性原则 信息系统安全等级保护是针对全国范围内、涵盖各个行业信息系统的管理制度,信息系统安全保护等级的划分也必须从国家层面考虑,体现全局性。 业务为核心原则 信息系统是为业务应用服务的,信息系统的安全保护等级应当依
4、据信息系统承载业务的重要性、业务对信息系统的依赖度和系统特殊的安全需求确定。,等级确定的原则,满足监管要求原则 信息系统安全保护等级既不是信息系统安全保障等级,也不是信息系统所能达到的技术能力等级,而是从安全监管需要,从信息系统对国家安全、经济建设、公共利益等方面的重要性,以及信息或信息系统被破坏后造成危害的严重性角度确定的信息系统应达到的安全等级。 合理性原则 不同于信息安全产品,信息系统千差万别,各具特色,只有在划分安全保护等级的过程中,尽可能反映出信息系统的主要安全特征,合理划分等级,才能做到突出重点,适度保护。,决定等级的主要因素分析,从目前的资料上看,已在不同分级方法中出现的作为划分
5、信息系统安全等级的因素主要包括: 单位业务在国家事务中的重要性(实施意见); 资产(包括有形资产和无形资产)(FIPS199,IATF,DITSCAP,NIST800-37); 威胁(IATF); 信息被破坏后对国家、社会公共利益和单位或个人的影响(FIPS199,通用要求,实施指南); 单位业务对信息系统的依赖程度(DITSCAP),决定等级的主要因素分析,经分析,除排除威胁因素外,划分等级时应考虑以下因素: 信息系统所属类型,即信息系统的安全利益主体。 信息系统主要处理的业务数据类别。 信息系统服务范围,包括服务对象和服务网络覆盖范围。 业务处理的自动化程度,或以手工作业替代信息系统处理业
6、务的程度。,决定等级的主要因素分析,信息系统所属类型,业务数据类别,信息系统服务范围,业务处理的自动化程度,业务重要性,业务数据安全性,业务处理连续性,业务依赖性,决定等级的主要因素分析,业务数据安全性,业务处理连续性,信息系统安全保护等级,等级确定方法,具体步骤: 通过对信息系统类型和业务数据类型赋值,确定信息系统的业务数据安全性等级; 通过对信息系统服务范围和业务处理自动化程度赋值,确定信息系统的业务处理连续性等级; 通过业务数据安全性等级和业务处理连续性等级确定信息系统安全保护等级。 等级调整,信息系统类型赋值,信息系统所属类型赋值表,信息系统类型举例,典型的信息系统所属类型,确定业务数
7、据安全性,业务数据安全性等级矩阵,确定信息系统安全保护等级,信息系统的安全保护等级由业务数据安全性等级和业务处理连续性等级较高者决定。,组合形式,信息系统安全保护等级对应的业务数据安全性要求级别(Sx)和业务处理连续性要求级别(Cy)的组合。,等级划分流程,划分信息系统/子系统,分析承载的业务重要性和依赖度,确定信息系统/子系统安全保护等级,调整信息系统/子系统安全保护等级,基本要求标准编制 情况介绍,基本要求标准编制的主要思路,根据6号文件描述的5个监管等级对象,确定保护对象; 根据保护对象所可能面临的威胁,确定系统的整体保护能力; 根据所应具有的整体保护能力,确定系统的安全目标; 提出满足
8、安全目标的安全要求。,5个监管等级对象,第一级:信息系统所承载业务涉及公民、法人和其他组织的权益,受到破坏后对公民、法人和其他组织的权益造成一定损害;该业务的开展在一定程度上依托于信息系统,系统受到破坏后对业务正常开展产生一定影响。 第二级:信息系统所承载的业务直接关系到公民、法人和其他组织的权益,受到破坏后会对公民、法人和其他组织的权益造成严重损害;该业务的开展主要依托于信息系统,系统受到破坏后影响业务正常开展。 第三级:信息系统所承载的业务涉及国家、社会和公共利益,受到破坏后会对国家、社会和公共利益造成损害的;该业务的开展主要依托于信息系统,系统受到破坏后影响业务正常开展。,5个监管等级对
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 等级 保护 技术标准 简介
链接地址:https://www.31doc.com/p-3030118.html