信息安全等级保护详解VIP专享VIP免费

等级保护信息系统安全测评等级保护管理体系不同公安机关标准体系不同国家标准（、）保护对象不同各种信息系统级别划分不同第一级：自主保护级第二级：指导保护级第三级：监督保护级第四级：强制保护级第五级：专控保护级评估队伍不同各级等级保护测评机构和部门等级保护之十大标准•基础类•《计算机信息系统安全保护等级划分准则》17859-1999•《信息系统安全等级保护实施指南》25058-2010•应用类•定级：《信息系统安全保护等级定级指南》22240-2008•建设：《信息系统安全等级保护基本要求》22239-2008•《信息系统通用安全技术要求》20271-2006•《信息系统等级保护安全设计技术要求》25070-2010•测评：《信息系统安全等级保护测评要求•《信息系统安全等级保护测评过程指南》•管理：《信息系统安全管理要求》20269-2006•《信息系统安全工程管理要求》20282-20063等级保护标准系列的逻辑关系划分准则定级指南基本要求测评要求技术设计要求实施指南测评过程指南20269安全管理20270网络基础20271通用安全技术20272操作系统20273数据库20282安全工程管理等级保护420984风险评估7、系统服务安全等级等级保护定级指南－－22240保护对象受到破坏时受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级等级保护定级方法等级保护定级方法保护对象保护对象对客体的侵害程度对客体的侵害程度客体：社会关系客体：社会关系受侵害的客体受侵害的客体信息系统安全信息系统安全系统服务安全系统服务安全业务信息安全业务信息安全3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体4、业务信息安全等级8、定级对象的安全保护等级8＝（4，7）1、确定定级对象（系统边界）一般流程一般流程等级确定等级确定5安全保护等级信息系统定级结果的组合第一级S1A1G1第二级S1A2G2，S2A2G2，S2A1G2第三级S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四级S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4第五级S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A4G5，S5A3G5，S5A2G5，S5A1G5基本保护要求（最低）保护能力对抗能力＋恢复能力技术要求＋管理要求物理、网络、主机、应用、数据制度、机构、人员、建设、运维纵深防御、互补关联、强度一致、平台统一、集中安管业务信息安全类要求S系统服务保证类要求A通用安全保护类要求G整体安全保护能力关键控制点安全类具体要求项控制强度基本要求－－22239基本保护要求（最低）保护能力对抗能力＋恢复能力物理、网络、主机、应用、数据制度、机构、人员、建设、运维纵深防御、互补关联、强度一致、平台统一、集中安管通用安全保护类要求G关键控制点安全类安全要求类层面一级二级三级四级技术要求物理安全7101010网络安全3677主机安全4679应用安全47911数据安全及备份恢复2333管理要求安全管理制度2333安全管理机构4555人员安全管理4555系统建设管理991111系统运维管理9121313合计/48667377级差//1874控制点基本要求－－22239安全要求类层面一级二级三级四级技术要求物理安全9193233网络安全9183332主机安全6193236应用安全7193136数据安全及备份恢复24811管理要求安全管理制度371114安全管理机构492020人员安全管理7111618系统建设管理20284548系统运维管理18416270合计/85175290318级差//9011528控制项8基本要求－－22239等级保护相关的主要方法安全域（第3级）安全域（第2级）监督保护级网络安全域（第3级）安全域（第2级）安全域（第2级）禁止高敏感级信息由高等级安全域流向低等级安全域分域分级防护示意主要防护措施防火墙系统隔离与交换系统网络入侵防御系统主页防篡改系统防病毒网关抗系统网关安全认证网关主机、服务器安全加固文件安全系统电子邮件安全等等安全管理平台主机监控与审计系统网络安全审计系统综合安全管理平台数字证书颁发和管理平台。。。各级安全管理中心对管辖网络实施安全集中管...