信息安全与等级保护详细剖析PPT课件.pptx

信息安全信息安全与等级保护详细剖析目录一、定义及标准二、体系结构三、组成部分信息安全与等级保护详细剖析信息安全一般定义信息完整性信息真实性信息保密性信息安全与等级保护详细剖析国家对信息安全的制度及标准等级保护分级保护职责部门公安机关国家保密工作部门标准体系国家标准（GB、GB/T）国家保密标准（BMB，强制执行）适用对象非涉密信息系统涉密信息系统级别划分 第一级（自主保护） 第二级（指导保护） 第三级（监督保护） 第四级（强制保护） 第五级（专控保护）秘密级机密级绝密级涉密信息系统分级保护与信息安全等级保护制度相衔接，三个等级的防护水平不低于国家等级保护的第三、四、五级要求。信息安全与等级保护详细剖析国家对信息安全的制度及标准第一级为自主保护级，主要对象为一般的信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。第二级为指导保护级，主要对象为一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。第三级为监督保护级，主要对象为涉及国家安全、社会秩序、经济建设和公共利益的信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。第四级为强制保护级，主要对象为涉及国家安全、社会秩序、经济建设和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。第五级为专控保护级，主要对象为涉及国家安全、社会秩序、经济建设和公共利益的重要信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。信息安全与等级保护详细剖析国家对信息安全的制度及标准等级对象侵害客体侵害程度监管强度第一级一般系统合法利益损害自主性保护第二级合法权益严重损害指导性保护社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督性保护国家安全损害第四级社会秩序和公共利益特别严重损害强制性保护国家安全严重损害第五级极端重要系统国家安全特别严重损害专控性保护信息安全与等级保护详细剖析信息系统安全体系结构基本信息安全体系技术部分管理部分物理安全网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理信息安全与等级保护详细剖析信息系统安全体系结构 主机安全：身份鉴别 访问控制系统安全审计 恶意代码入侵防御… 网络安全： 应用安全：网络结构安全 网络访问控制身份认证 严格的访问控制网络安全审计 边界完整性安全审计 软件容错网络防护设备…自动保护功能…安全要求 数据安全： 物理安全：数据机密性保护物理位置安全 物理访问控制数据完整性保护防盗窃、防破坏 防雷击、防火灾数据备份、恢复、应急措施…防水、防静电…信息安全与等级保护详细剖析信息系统安全组成部分-----物理安全温湿度控制防火防水、防潮……防盗窃和防破坏物理访问控制电力供应双路供电/UPS电源门禁系统火灾自动报警系统灭火设备机房监控系统环境动力系统物理安全信息安全与等级保护详细剖析信息系统安全组成部分-----网络安全结构安全边界完整入侵防范安全审计网络设备防护恶意代码防范访问控制UTM终端安全管理网络审计日志审计IPS/IDS堡垒机配置核查防火墙防病毒网关流量控制网络安全信息安全与等级保护详细剖析信息系统安全组成部分-----主机安全身份鉴别安全标记资源控制访问控制安全审计可信路径剩余信息保护恶意代码防范入侵防范安全审计安管平台堡垒机数据库审计防病毒软件安全加固服务安全加固系统网管系统漏洞扫描主机安全信息安全与等级保护详细剖析信息系统安全组成部分-----应用安全身份鉴别软件容错可信路径安全审计资源控制剩余信息保护访问控制通信保密性通信完整性安全标记安全加固服务WEB防火墙CA认证中心VPNWEB防篡改应用安全信息安全与等级保护详细剖析信息系统安全组成部分-----数据安全数据完整性备份与恢复数据保密性数据安全产品数据存储、备份、恢复VPN数据安全信息安全与等级保护详细剖析信息系统安全组成部分-----管理安全安全管理机构：岗位设置、人员配置、授权与审批、沟通与合作、审核与检查安全管理制度：管理制度、制定与发布、评审与修订人员安全管理：人员录用、人员离岗、人员考核、安全意识教育与培训、 第三方人员管理系统建设管理：系统定级、系统备案、安全方案设计、产品采购、自行软件研发、外包软件开发、工程实施、工程验收系统运维管理：环境管理、资产管理、介质管理、设备管理、监控管理、网络安全管理、系统安全管理、恶意代码防范、管理、密码管理、变更管理、备份与恢复管理、安全事件管理、