信息安全等级保护基本要求解读ppt

作者:信息安全等级保护基本要求解读ppt 来源:未知 2021-11-23 22:13   阅读:

PPT内容这是一个关于信息安全等级保护基本要求解读ppt,主要介绍了信息系统安全等级保护基本要求概述、描述模型、逐级增强的特点、各级的要求、标准的使用等内容。信息安全等级

信息安全等级保护基本要求解读ppt

PPT内容

这是一个关于信息安全等级保护基本要求解读ppt,主要介绍了信息系统安全等级保护基本要求概述、描述模型、逐级增强的特点、各级的要求、标准的使用等内容。

信息安全等级保护 基本要求解读 广州华南信息安全测评中心
信息系统安全等级保护基本要求
目标
    通过学习,能够了解标准的结构特点、描述方式和内容形成的技术思路,从而能够正确理解等级的标准要求并掌握不同等级要求的差异,为正确运用标准打下良好的基础。
信息系统安全等级保护基本要求
主要内容
  一.概述
  二.描述模型
  三.逐级增强的特点
  四.各级的要求
  五.标准的使用
信息系统安全等级保护基本要求
概述
内容与作用
为信息系统主管和运营、使用单位提供技术指导。
为测评机构提供测评依据。
为职能监管部门提供监督检查依据。
用户范围
信息系统的主管部门及运营使用单位;测评机构;信息安全监管职能部门。
适用环节
 系统建设、验收、运维、测评、自查。
信息系统安全等级保护基本要求
概述
信息系统安全等级保护基本要求
概述
信息系统安全等级保护基本要求
概述
信息系统安全等级保护基本要求
概述
信息系统安全等级保护基本要求
主要内容
  一.概述
  二.描述模型
  三.逐级增强的特点
  四.各级的要求
  五.标准的使用
信息系统安全等级保护基本要求
描述模型
不同级别的安全保护能力要求
第一级安全保护能力
应能够防护系统免受来自个人的、拥有很少资源(如利用公开可获取的工具等)的威胁源发起的恶意攻击、一般的自然灾难(灾难发生的强度弱、持续时间很短等)以及其他相当危害程度的威胁(无意失误、技术故障等)所造成的关键资源损害,在系统遭到损害后,能够恢复部分功能。
第二级安全保护能力
应能够防护系统免受来自外部小型组织的(如自发的三两人组成的黑客组织)、拥有少量资源(如个别人员能力、公开可获或特定开发的工具等)的威胁源发起的恶意攻击、一般的自然灾难(灾难发生的强度一般、持续时间短、覆盖范围小等)以及其他相当危害程度的威胁(无意失误、技术故障等)所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。
描述模型
不同级别的安全保护能力要求
第三级安全保护能力
应能够在统一安全策略下防护系统免受来自外部有组织的团体(如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾难(灾难发生的强度较大、持续时间较长、覆盖范围较广等)以及其他相当危害程度的威胁(内部人员的恶意威胁、无意失误、较严重的技术故障等)所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。
第四级安全保护能力
应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难(灾难发生的强度大、持续时间长、覆盖范围广等)以及其他相当危害程度的威胁(内部人员的恶意威胁、无意失误、严重的技术故障等)所造成的资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够迅速恢复所有功能。
信息系统安全等级保护基本要求
描述模型
信息系统安全等级保护基本要求
信息系统安全等级保护基本要求
描述模型
信息系统安全等级保护基本要求
描述模型
第三级基本要求
 技术要求
   物理安全(类)
     物理位置的选择(控制点)
  本项要求包括
   a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内(要求项)
   b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁(要求项)
     。。。。。。。。。。。。。。。。
信息系统安全等级保护基本要求
主要内容
  一.概述
  二.描述模型
  三.逐级增强的特点
  四.各级的要求
  五.标准的使用
信息系统安全等级保护基本要求
逐级增强的特点-控制点增加
    二级基本要求:在一级基本要求的基础上,技术方面,二级要求在控制点上增加了物理位置的选择、防静电、电磁防护、网络安全审计、网络入侵防范、边界完整性检查、主机安全审计、主机资源控制、应用资源控制、应用安全审计,通信保密性及数据保密性等。管理方面,增加了审核和检查、管理制度的评审和修订、人员考核、密码管理、变更管理和应急预案管理等控制点。
信息系统安全等级保护基本要求
逐级增强的特点-控制点增加
三级基本要求:在二级基本要求的基础上,技术方面,在控制点上增加了网络恶意代码防范、剩余信息保护、软件容错、抗抵赖等。管理方面,增加了系统备案、安全测评、监控管理和安全管理中心等。
四级基本要求:在上级基本要求的基础上,技术方面,在系统和应用层面控制点上增加安全标记,可信路径。
信息系统安全等级保护基本要求
逐级增强的特点-要求项增强
要求项的增强的三种方式:
   范围增大
   要求细化
   粒度细化
信息系统安全等级保护基本要求
逐级增强的特点-要求项增强
范围增大,如,对物理安全的“防静电”,二级只要求“关键设备应采用必要的接地静电措施”;
而三级则在对象的范围上发生了变化,为“主要设备应采用必要的接地防静电措施”。范围的扩大,表明了该要求项强度的增强。
信息系统安全等级保护基本要求
逐级增强的特点-要求项增强
要求细化:如,人员安全管理中心的“安全意识教育和培训”,二级要求“应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训”,二三级在对培训计划进行了进一步的细化,为“应针对不同岗位制定不同培训计划”,培训计划有了针对性,更符合个人岗位人员的实际需要。
信息系统安全等级保护基本要求
逐级增强的特点-要求项增强
粒度细化:如,网络安全中心的“访问控制”,二级要求“控制粒度为网段级”,而三级要求则将控制粒度细化,为“控制粒度为端口级”。由“网段级”到“端口级”,粒度的细化,同样也增强了要求的强度。
信息系统安全等级保护基本要求
不同级别系统控制点的差异汇总
信息系统安全等级保护基本要求
不同级别系统控制项的差异汇总
信息系统安全等级保护基本要求
主要内容
  一.概述
  二.描述模型
  三.逐级增强的特点
  四.各级的要求
  五.标准的使用
信息系统安全等级保护基本要求
各级的要求-物理安全
信息系统安全等级保护基本要求
各级的要求-物理安全
   物理安全要求主要由机房(包括主、辅机房、介质存放空间等)所部署的设备和采取的安全技术措施两方面提供功能来满足。
    部分物理安全要求涉及到终端所在的办公环境。
信息系统安全等级保护基本要求
各级的要求-物理安全
 四个等级控制点变化:
第一级包括物理访问控制,防盗窃和防破坏、防雷击、防火、防水和防潮、温湿度控制、电力供应。
第二级增加了物理位置的选择、防静电和电磁防护
第三级和第四级没有增加控制点。
信息系统安全等级保护基本要求
各级的要求-物理安全
 物理位置的选择(G)
一级:无此方面要求。
二级:要求选择时主要考虑建筑物具有基本防护自然条件的能力。
三级:除了二级要求外,对建筑物的楼层以及周围环境也提出了要求,如“机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁”。
四级:与三级要求相同。
信息系统安全等级保护基本要求
各级的要求-物理安全
物理访问控制(G)
一级:要求对进出机房时进行基本的出入控制。
二级:除一级外,加强授权审批并对人员进入机房后的活动也应进行控制,限制对重要办公区域的访问。
三级:除二级要求外,提出机房的区域控制,对重要区域要求增加电子门禁控制。
四级:除三级要求外,进一步强化了进出机房的控制,要求出入口和重要区域两道电子门禁监控。
信息系统安全等级保护基本要求
各级的要求-物理安全
信息系统安全等级保护基本要求
各级的要求-物理安全
信息系统安全等级保护基本要求
各级的要求-物理安全
信息系统安全等级保护基本要求
各级的要求-物理安全
信息系统安全等级保护基本要求
各级的要求-网络安全
信息系统安全等级保护基本要求
各级的要求-网络安全
网络安全要求中对广域网络、城域网络等通信网络的要求由构成通信网络的网络设备、安全设备等的网络管理机制提供的功能来满足。
   对局域网安全的要求主要通过采用、防火墙、入侵检测系统、恶意代码防范系统、安全管理中心等设备提供的安全功能来满足。
信息系统安全等级保护基本要求
各级的要求-网络安全
四个等级控制点变化:
第一级包括结构安全和网段划分、网络访问控制、网络设备防护。
第二级增加了网络安全审计、网络入侵方案和边界完整性检查。
第三级增加了网络层的恶意代码防范。
第四级没有增加控制点
信息系统安全等级保护基本要求
各级的要求-网络安全
信息系统安全等级保护基本要求
各级的要求-网络安全
结构安全和网段划分(G)
一级:要求网络资源方面能够为网络的正常运行提供基本的保障。
二级:在一级的要求的基础上,要求网络资源能够满足业务高峰的需要,同时应以网段形式分隔不同部门的系统。
三级:除二级要求外,增加了“处理优先级”考虑,以保证重要主机能够正常运行。
四级:与三级要求相同。
信息系统安全等级保护基本要求
各级的要求-网络安全
网络访问控制(G)
一级:主要在网络边界处对经过的数据进行包头信息的过滤,以控制数据的进出网络,对用户进行基本的访问控制。
二级:在一级要求的基础上,对数据的过滤增强为根据会话信息进行过滤,对用户访问粒度进一步细化,由用户组到单个用户,同时限制拨号访问的用户数量。
三级:在二级要求的基础上,将过滤的力度扩展到应用层,即根据应用的不同而过滤,对设备接入网络进行了一定的限制。
四级:对数据本身所带的协议进行了禁止,同时根据数据的敏感标记允许或拒绝数据通过,并禁止远程拨号访问。
信息系统安全等级保护基本要求
各级的要求-网络安全
网络安全审计(G)
一级:无此要求。
二级:要求对网络设备运行、网络流量等基本情况进行记录。
三级:除二级要求外,要求对形成的记录能够分析、形成报表。同时对审计记录提出了保护要求。
四级:除三级要求外,要求设置审计跟踪极限阈值,并做到集中审计
信息系统安全等级保护基本要求
各级的要求-网络安全
边界完整性检查(S)
一级:无此要求。
二级:能够检测到内部的非法联出情况。
三级:在二级的基础上,能检测到非授权设备私自外联,而且能够准确定位并阻断。
四级:与三级要求相同。
信息系统安全等级保护基本要求
各级的要求-网络安全
网络入侵防范(G)
一级:无此要求。
二级:能够检测常见攻击的发生。
三级:在二级要求的基础上,不仅能够检测,并能发出报警。
四级:在三级要求的基础上,防范能力增强,做到检测、报警并自动采取相应动作阻断等。
信息系统安全等级保护基本要求
各级的要求-网络安全
网络设备防护(G)
一级:对网络设备要求基本的登录鉴别措施。
二级:对登录要求进一步增强,提出了鉴别标识唯一、鉴别信息复杂等要求。
三级:在二级要求的基础上,提出了两种以上鉴别技术的组合来实现身份鉴别,同时提出了特权用户权限分离。
四级:在三级要求的基础上,要求其中一种鉴别技术为是不可伪造的。
信息系统安全等级保护基本要求
各级的要求-主机安全
信息系统安全等级保护基本要求
各级的要求-主机安全
主机包括应用服务器、数据库服务器、安全软件所安装的服务器及管理终端。业务终端、办公终端等。
   主机安全要求通过操作系统、数据库管理系统及其他安全软件(包括防病毒、防入侵、木马检测等软件)实现的安全功能来满足。
信息系统安全等级保护基本要求
各级的要求-主机安全
四个等级控制点变化:
第一级包括身份鉴别、访问控制、恶意代码防范和入侵防范。
第二级增加了安全审计和资源控制
第三级增加了剩余信息保护
第四级增加了安全标记和可信路径。
信息系统安全等级保护基本要求
各级的要求-主机安全
信息系统安全等级保护基本要求
各级的要求-主机安全
身份鉴别(S)
一级:主要强调了该功能的使能性,即,能够进行简单的身份鉴别。
二级:在一级要求的基础上,对登录要求进一步增强,提出了鉴别标识唯一、鉴别信息复杂等要求。
三级:在二级要求的基础上,提出了两种以上鉴别技术的组合来实现身份鉴别。
四级:在三级要求的基础上,要求其中一种鉴别技术为是不可伪造的,同时增加了设置鉴别警示信息的要求。
信息系统安全等级保护基本要求
各级的要求-主机安全
访问控制(S)
一级:要求实现一般的访问控制,安全配置系统。
二级:在一级要求的基础上,提出操作系统和数据库系统特权用户的权限分离要求。
三级:除了二级要求外,提出了对重要信息设置敏感标记,并根据标记进行访问控制。
四级:在三级要求的基础上,要求对所有主体和客体实现基于敏感标记的访问控制,控制粒度应达到为主力为用户级或进程级,客体为文件、数据库表、记录和字段级。
信息系统安全等级保护基本要求
各级的要求-主机安全
安全审计(S)
一级:无此要求。
二级:要求对用户行为,系统异常情况等基本情况进行记录。
三级:在二级要求的基础上,要求形成的记录能够分析、报警。同事对审计记录提出了保护要求。另外、审计覆盖范围扩大,由二级的服务器扩展到重要的客户终端。
四级:在三级要求的基础上,要求做到集中审计。
信息系统安全等级保护基本要求
各级的要求-主机安全
剩余信息保护(S)
一级:无此要求。
二级:无此要求。
三级:要求对存放鉴别信息、文件、记录等存储空间进行重新使用前的清除。
信息系统安全等级保护基本要求
各级的要求-主机安全
入侵防范(G)
一级:要求最小安装和更新补丁防范入侵。
二级:在一级要求的基础上,通过技术措施保证及时更新。
三级:在二级要求的基础上,要求能够检测入侵行为和对程序的完整性破坏,并具有程序完整性恢复的能力。
四级:与三级要求相同。
信息系统安全等级保护基本要求
各级的要求-主机安全
恶意代码防范(G)
一级:重要主机应安装一定的防范产品。
二级:在一级要求的基础上,要求对恶意代码进行统一管理。
三级:除二级要求外,要求主机与网络处的防范产品不同。
四级:与三级要求相同。
信息系统安全等级保护基本要求
各级的要求-主机安全
资源利用(A)
一级:无此要求。
二级:对终端的接入方式妖气,并对单个用户的资源使用进行限制。
三级:在二级要求的基础上,增加了服务器的性能监控和状况预警要求。
四级:与三级要求相同。
信息系统安全等级保护基本要求
各级的要求-应用安全
信息系统安全等级保护基本要求
等级要求-应用安全
    应用安全要求通过应用系统、应用平台系统等实现的安全功能来满足。
    如果应用系统是多层结构的,一般不同层的应用都需要实现同样强度的身份鉴别、访问控制、安全审计、剩余信息保护及资源控制等。
    通信保密性、完整性一般在一个层面实现。
信息系统安全等级保护基本要求
各级的要求-应用安全
四个等级控制点变化:
第一级包括身份鉴别、访问控制、通信完整性、软件容错、
第二级增加了安全审计、通信保密性和资源控制。
第三级增加了剩余信息保护和抗抵赖
第四级增加了安全标记和可信路径
信息系统安全等级保护基本要求
各级的要求-应用安全
信息系统安全等级保护基本要求
各级的要求-应用安全
通信完整性(S)
一级:要求通信双方确定一定的会话方式,从而判断数据的完整性。
二级:要求通信双方利用单向校验码技术来判断数据的完整性。
三级:要求通信双方利用密码技术来判断数据的完整性。
四级:与三级要求相同。
信息系统安全等级保护基本要求
各级的要求-应用安全
通信保密性(S)
一级:无此要求。
二级:要求建立连接前采用密码技术进行初始化验证、通信过程对敏感字段加密。
三级:在二级要求基础上,要求对通信过程加密的范围扩大为整个会话过程。
四级:在三级要求基础上,提出了密钥管理的要求。
信息系统安全等级保护基本要求
各级的要求-应用安全
软件容错(A)
一级:要求具有提供数据有效性校验功能。
二级:要在一级基础上,要求在故障发生时,应用系统应能够继续提供一部分功能。
三级:要在二级基础上,要求具有自动保护能力,以便实施恢复。
四级:要在三级基础上,要求具有自动恢复功能。
信息系统安全等级保护基本要求
各级的要求-数据安全
信息系统安全等级保护基本要求
各级的要求-数据安全
数据完整性(S)
一级:能够对重要客户数据在传输过程中完整性受到的破坏情况进行检测。
二级:在一级要求的基础上,能够对鉴别数据在传输过程中完整性受到的破坏情况进行检测。
三级:在二级要求的基础上,要求能够检测数据存储的完整性。
四级:除三级要求外,要求采用安全、专用的通信协议。
信息系统安全等级保护基本要求
各级的要求-数据安全
数据保密性(S)
一级:无此要求。
二级:能够对鉴别数据在存储经常保密性保护。
三级:在二级要求的基础上,能够对各类敏感数据在存储和传输过程中进行保密性保护。
四级:除三级要求外,要求采用安全、专用的通信协议。
信息系统安全等级保护基本要求
各级的要求-数据安全
数据备份和恢复(A)
一级:能够对重要数据进行备份和恢复。
二级:在一级要求的基础上,能够提供关键设备和通信线路的硬件冗余。
三级:在二级要求的基础上,提出数据的异地备份和防止关键节点单点故障的要求。
四级:除三级要求外,要求能够实现异地的数据实时备份和业务应用的实时无缝切换。
信息系统安全等级保护基本要求
各级的要求-安全管理
信息系统安全等级保护基本要求
各级的要求-安全管理机构
信息系统安全等级保护基本要求
各级的要求-安全管理机构
四个等级控制点变化:
第一级包括岗位设置、人员配备、授权和审批、沟通和合作四个控制点。
第二级增加了审核和检查。
第三级第四级与第二级控制点相同。
信息系统安全等级保护基本要求
各级的要求-安全管理机构
岗位设置:
一级:要求设置基本的工作岗位。
二级:在一级要求的基础上,增加了安全主管,安全管理各个方面的负责人等岗位要求。
三级:除二级要求外,提出设置信息安全的职能部门和上层领导小组的要求。
四级:与三级要求相同。
信息系统安全等级保护基本要求
各级的要求-安全管理机构
人员配备:
一级:要求配备一定数量的不同岗位工作人员。
二级:在一级要求基础上,增加了对部分工作岗位不能兼任的要求。
三级:除二级要求外,要设立专职安全管理员,并要求关键岗位对人共管。
四级:与三级要求相同。
信息系统安全等级保护基本要求
各级的要求-安全管理机构
授权和审批:
一级:要求对关键活动进行审批。
二级:在一级要求的基础上,增加了对关键活动的审批流程的要求。
三级:除二级要求外,增强了审批制度、流程、审查等方面的要求。
四级:与三级要求相同。
信息系统安全等级保护基本要求
各级的要求-安全管理制度
信息系统安全等级保护基本要求
各级的要求-安全管理制度
四个等级控制点变化:
第一级包括管理制度、制定和发布两个控制点。
第二级增加了评审和修订控制点
第三级和第四级与第二级控制点相同。
信息系统安全等级保护基本要求
各级的要求-安全管理制度
管理制度
一级:要求制定日常常用的管理制度。
二级:在一级要求的基础上,管理制度要求更高,并增加了总体方针和安全策略,重要操作规程的要求。
三级:在二级要求的基础上,提出了建立信息安全管理制度体系的要求。
四级:与三级要求相同。
信息系统安全等级保护基本要求
各级的要求-安全管理制度
制定和发布
一级:要求专门人员负责安全管理制度的制定和审定。
二级:在一级要求的基础上,要求有专门部门负责安全管理制度的制定,并提出论证审定的要求。
三级:在二级要求的基础上,提出了对制度统一管理制定和正式发布的要求。
四级:除三级要求外,侧重对密级的安全管理制度的管理。
信息系统安全等级保护基本要求
各级的要求-安全管理制度
评审和修订
一级:无此要求。
二级:要求对安全管理制度定期评审和修订。
三级:在二级要求的基础上,增加了安全管理制度的评审和修订的时机。
四级:除三级要求外,侧重对密级的安全管理制度的修订。
信息系统安全等级保护基本要求
各级的要求-人员安全管理
信息系统安全等级保护基本要求
各级的要求-人员安全管理
四个等级控制点变化:
第一级包括人员录用、人员离岗、安全意识教育和培训和外部人员访问管理等四个控制点。
第二级增加人员考核控制点。
第三级和第四级与第二级控制点相同。
信息系统安全等级保护基本要求
各级的要求-人员安全管理
人员离岗
一级:要求对离岗人员进行设备归还和权限中止。
二级:在一级要求的基础上,增加了规范离岗过程的要求。
三级:与二级要求的基础上,增加了关键岗位人员离岗的要求。
四级:在三级要求的基础上,增加了制度化规范的要求。
信息系统安全等级保护基本要求
各级的要求-人员安全管理
安全意识教育和培训
一级:对人员进行基本的安全意识和责任教育。
二级:除一级要求外,增强了对安全教育培训的正规化管理。
三级:在二级要求的基础上,侧重于不同岗位的安全教育培训和制度化要求。
四级:与三级要求相同。
信息系统安全等级保护基本要求
各级的要求-人员安全管理
外部人员访问管理
一级:对外部人员访问的授权或审批。
二级:除一级要求外,增强了外部人员进行访问时行为监督和记录。
三级:在二级要求的基础上,对外部人员的访问以书面申请进行规范。
四级:除三级要求外,要求对外部人员禁止访问重要区域。
信息系统安全等级保护基本要求
各级的要求-系统建设管理
信息系统安全等级保护基本要求
各级的要求-系统建设管理
四个等级控制点变化:
第一级和第二级包括系统定级、安全方案设计、产品采购、自行软件开发、外包软件开发、工程实施、测试验收、系统交付和安全服务商选择等九个控制点。
第三级和第四级增加了系统备案、安全测评两个控制点。
信息系统安全等级保护基本要求
各级的要求-系统建设管理
安全方案设计
一级:要求形成书面的安全方案和详细设计方案。
二级:在一级要求的基础上,增加了对设计方案的论证和批准。
三级:在二级要求的基础上,提出了系统建设的总体规划,安全保障体系,并加强了体系的论证和修订。
四级:与三级要求相同。
信息系统安全等级保护基本要求
各级的要求-系统建设管理
自行软件开发
一级:主要对开发环境作出了要求。
二级:在一级要求的基础上,增加了对软件开发过程管理建立制度的要求。
三级:在二级要求的基础上,提出了代码编写安全规范程度资源库管理的要求。
四级:在二级要求的基础上,进一步加强了对开发过程监控的管理要求。
信息系统安全等级保护基本要求
各级的要求-系统运维管理
信息系统安全等级保护基本要求
各级的要求-系统运维管理
四个等级控制点变化:
第一级包括环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、备份与恢复管理、安全事件处置。
第二级增加了密码管理、变更管理、应急预案管理 。
第三级增加了监控管理和安全管理中心
第四级与第三级控制点相同
信息系统安全等级保护基本要求
各级的要求-系统运维管理
资产管理
一级:要求对资产进行总体清查,形成资产清单。
二级:在一级要求的基础上,将资产管理制度化,规范责任制和管理行为。
三级:在二级要求的基础上,增加了对资产的标示和信息分类管理要求。
四级:同三级要求。
信息系统安全等级保护基本要求
各级的要求-系统运维管理
介质管理
一级:主要对介质存放环境进行了要求,同时对介质的使用情况进行记录。
二级:在一级要求的基础上,增加了根据介质中数据的重要性进行分类管理的要求,以及对送出维修或销毁的介质保密管理。
三级:在二级要求的基础上,增加了对介质的保密性和可用性的要求。
四级:在三级要求的基础上,增强了对介质销毁的要求。
信息系统安全等级保护基本要求
各级的要求-系统运维管理
系统安全管理
一级:主要对系统的漏洞补丁和访问权限提出了要求。
二级:在一级要求的基础上,增加了对系统帐户以及系统日志的管理要求,同时提出了制度化管理。
三级:在二级要求的基础上,增加了对划分系统角色和最小授权的管理要求。
四级:在三级要求的基础上,增强了对系统资源的使用进行预测的管理要求。
信息系统安全等级保护基本要求
各级的要求-系统运维管理
恶意代码防范管理
一级:主要对用户进行恶意代码防范的基本意识教育。
二级:在一级要求的基础上,增加了对恶意代码防范的制度化管理要求。
三级:在二级要求的基础上,增加了对恶意代码库的定期升级和集中管理的要求。
四级:与三级要求相同。
信息系统安全等级保护基本要求
各级的要求-系统运维管理
变更管理
一级:无此要求。
二级:要求对变更进行审批管理。
三级:在二级要求的基础上,增强对了变更控制的整体流程化和建立安全管理制度的要求,以及对变更失败的管理。
四级:在三级要求的基础上,增加了对变更控制执行情况检查的要求。
信息系统安全等级保护基本要求
各级的要求-系统运维管理
应急预案管理
一级:无此要求。
二级:要求制定不同事件应急预案的要求,并要求对相应人员进行培训。
三级:在二级要求的基础上,增加了对应急预案的演练和定期审查要求。
四级:在三级要求的基础上,增加了建立灾难恢复计划,并对其进行测试,保证可用性。
信息系统安全等级保护基本要求
主要内容
  一.概述
  二.描述模型
  三.逐级增强的特点
  四.各级的要求
  五.标准的使用
信息系统安全等级保护基本要求
标准的使用
基本要求指标的选择
选择《基本要求》中相应等级的基本要求
根据定级结果进行调整。
此外,可以根据行业要求或系统自身特点,分析需要增强的安全保护能力。
信息系统安全等级保护基本要求
标准的使用
建设整改时,可以在《基本要求》中的基础上,参考其他标准、行业要求和系统实际,提出特殊安全要求,开展安全建设整改。
《基本要求》给出了各级信息系统每一保护方面需要达到的要求,但不是具体的安全建设整改方案或作业指导书,实现基本要求的措施或方式并不局限于《基本要求》给出的内容,要结合系统自身的特点综合考虑采取的措施来达到基本要求提出的保护能力。
小结
《基本要求》中相应等级的要求是根据各等级系统需要对抗的威胁和应具备的能力确定的。判定基本要求是否达到应按此原则分析。
《基本要求》的要求逐级增强,这一特点决定了等级保护能力的逐级增强。
《基本要求》不是解决方案,如何实现需要进行安全设计,根基信息系统的实际情况而定。
感谢您的聆听!
 

相关PPT

信息安全等级保护制度的主要内容和工作要求(曾科长)ppt:这是一个关于信息安全等级保护制度的主要内容和工作要求(曾科长)ppt,主要介绍了信息安全等级保护制度的主要内容、信息安全等级保护政策、标准体系、等级保护工作的具体内容和工作要求等内容。
第2章信息安全体系结构ppt:这是一个关于第2章信息安全体系结构ppt,主要介绍了信息安全的保护机制、开放系统互连安全体系结构、信息安全体系框架、信息安全技术、信息安全的产品类型、信息安全等级保护与分级认证等内容。
第12讲信息安全技术基础ppt:这是一个关于第12讲信息安全技术基础ppt,主要介绍了信息安全问题概述、信息安全技术、网络道德及信息安全法规等内容。
《信息安全等级保护基本要求解读ppt》是由用户猎心人于2016-09-18上传,属于高校大学PPT。

分享给小伙伴们:
信息安全等级保护基本要求解读ppt:如果本文侵犯了您的权利, 请联系本网立即做出处理,谢谢。
当前位置:谜语作文网 > 汉字谜语信息安全等级保护基本要求解读ppt转载请注明出处。
下一篇:没有了
信息安全等级保护基本要求解读ppt相关文章