2.3云计算安全等级保护.pptx
- 格式:pptx
- 大小:172.38 KB
- 文档页数:9
下载文档原格式
合集下载
云的等级保护解决方案
云的等级保护解决方案云计算是时下新基建热点,云平台等级保护主要从云平台概念、云计算中心分层架构、开展云平台等级保护思路等方面入手,分析了云计算中心信息系统和传统信息系统存在的差别,以及云计算中心面临的风险和存在的一些安全隐患,重点介绍了云计算中心管理平台应增加对动态系统安全等级、数据标签、主体安全标签的识别功能。
内容目录:0 引言1 动态信息系统2 动态信息系统与信息系统之间的差别3 解决方法3.1 云租户的安全责任划分3.2 剩余信息保护问题3.2.1 要求3.2.2 解决方案3.3 隔离问题3.3.1 虚拟机之间的隔离3.3.2 其他的隔离3.4 计算任务的迁移问题3.5 云内部的管理问题4 结语0、引言“云怎么分等级?”这是一位院士在一次网络安全大会上提出的问题。
笔者试图就这个问题进行分析。
云:是利用虚拟机技术,通过软件定义并根据用户的计算任务来分配算力,为用户提供按需服务的计算资源的集合。
而这个集合往往是由成百上千台甚至是更多物理计算资源组成(一般为 PC 服务器)。
等级保护:1994年第一次提出等级保护,是指对信息和信息系统分等级进行保护。
等级的划分是依据GB/T 22240—2008《信息安全技术信息系统安全等级保护定级指南》来进行的。
对于云来说,可以为用户提供IAAS(基础设施即服务)、PAAS(平台即服务)和SAAS(软件即服务)服务。
无论何种服务,云和用户之间,都是建立由云提供给用户的服务,只是这种服务,用户主导权的大小是不一样的,对于IAAS来说,云仅仅给用户提供基础设施和所有的物理算力资源;而对PAAS来说,云不仅提供基础的物理算力资源,同时还提供系统平台软件,仅应用程序是由用户自己部署;对于SAAS来说,云给用户提供完全的服务,用户可以直接使用。
1、动态信息系统云无论给用户提供何种服务,当云将某些算力提供给用户之后,在用户使用这些算力的过程中,这些算力与用户的终端设备,就构成一个动态信息系统,如图1所示。
云计算信息安全等保三级规划方案
云计算信息安全等保三级规划方案一、引言随着云计算技术的快速发展,越来越多的企业和组织选择将其业务和数据迁移到云平台上。
然而,云计算服务的安全性一直是人们关注的焦点。
信息安全等级保护制度是我国信息安全领域一个重要的法规标准,根据云计算服务的特点,本文提出了云计算信息安全等级保护三级规划方案,以确保云计算服务的安全性。
二、等级划分三、安全需求1.一级安全需求(1)身份认证与访问控制:用户应提供有效证件进行身份认证,并根据权限控制访问资源。
(2)数据保密性:用户的数据应采取加密措施进行保护,确保数据不被未经授权的访问和泄露。
(3)数据完整性:保证数据的完整性,防止数据被篡改。
(4)日志审计:记录用户的操作日志,用于监测和审计。
(5)安全备份与恢复:对用户数据进行定期备份,并具备快速恢复功能。
(6)网络安全:保障网络的安全性,防止攻击和恶意访问。
2.二级安全需求在一级安全需求的基础上,进一步加强以下方面的安全保护:(1)敏感信息保护:对存储和处理敏感信息的数据进行更严格的安全保护措施。
(2)访问审计:对用户的访问操作进行详细审计,确保敏感信息不被滥用。
(3)数据备份与容灾:建立完备的数据备份和容灾方案,确保重要数据的持久性和可用性。
(4)应急响应:建立应急响应机制,快速应对各类安全事件,降低损失。
3.三级安全需求在二级安全需求的基础上,进一步增加以下安全保护:(2)持续安全监控:建立持续性的安全监控系统,对云平台的安全状况进行实时监测和预警。
(3)安全审计与评估:定期进行安全审计和评估,发现和修复潜在安全风险。
(4)安全培训与意识:加强员工的安全意识和培训,提高对安全风险的认识和防范能力。
四、实施步骤1.制定安全策略和规范:制定并实施云计算安全策略、安全管理规范和安全操作规程。
2.安全架构规划:根据云计算安全等级需求划分,设计合理的安全架构,包括网络安全、系统安全和应用安全等。
3.安全技术措施:选择合适的安全技术措施,如身份认证、加密等,保护云计算服务的安全性。
2.3云计算安全等级保护
• 《信息安全技术 网络安全等级保护基本要求 第2部分:云计算安全扩展要求》 (GA/T 1390.2-2017)
2.3 云计算安全等级保护
01
等级保护实施流程
系统定级
等级评审
定级备案
评估和整改 建设
等级测评
监督检查
• • • •
等保过程中涉及的几个要点: 等保原则 定级方法 测评过程
2.3 云计算安全等级保护
2.3 云计算安全等级保护
01
等级保护实施流程
2.定级方法 (4)五级安全保护等级 对客体的侵害程度 一般损害 第一级 第二级 第三级 严重损害 第二级 第三级 第四级 特别严重人和其他组织的合法权益 社会秩序、公共利益 国家安全
2.3 云计算安全等级保护
技术方面
应用安全
数据安全及备份恢复 安全管理制度 安全管理机构 人员安全管理 管理方面 系统建设管理
系统运维管理
环境管理
01
等级保护实施流程
1.等级保护的基本原则 信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。信息系统安 全等级保护实施过程中应遵循以下基本原则。 (1)自主保护原则 信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护 等级,自行组织实施安全保护。 (2)重点保护原则 根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的 安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。 (3)同步建设原则 信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安 全设施,保障信息安全与信息化建设相适应。 (4)动态调整原则 要跟踪信息系统的变化情况,调整安全保护措施。由于信息系统的应用类型、范围等条件的变化 及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新 确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。
等级保护讲解PPT
二级以上 三级以上
10
系统定级
系统备案
安全 建设整改
等级测评
安全自查与监 督检查
1、信息系统备案
• 第二级以上信息系统,由信息系统运营使用单位到所在地的市级以上公安机关网络安全保卫部门办理备案手续,填写《信息系统 安全等级保护备案表》。
• 隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部备案;其他信息 系统向北京市公安局备案。
第四级信息系统:一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如全国铁路、民 航、电力等部门的调度系统,银行、证券、保险、税务、海关等几十个重要行业、部门中的涉及国计民生的 核心系统。
第五级信息系统:一般适用于国家重要领域、重要部门9中的极端重要系统。
系统定级
系统备案
安全 建设整改
定级对象确定
重要性分析
确定安全保护等级 组织专家评审 主管部门审批 公安机关审核
分析一期工程信息系统边界、各系统组成部分关系,确定定级对象
分别分析业务信息和系统服务被破坏后的损害客体及损害程度,确 定业务信息和系统服务安全保护级别
根据定级原则,确定系统整体保护级别为3级
邀请国家等保建设专家委专家对定级成果进行评审,确定保护等级。 定级资料报送委信息化工作办公室审批 定级资料报送给公8安部审核备案
5
基本要求修订-一个标准变为系列标准
第1部分:安全通用要求(送审稿) 第2部分:云计算安全扩展要求(送审稿) 第3部分:移动互联安全扩展要求(送审稿) 第4部分:物联网安全扩展要求(送审稿) 第5部分:工业控制系统安全扩展要求(送审稿)
第6部分:大数据安全扩展要求(立项阶段)
云计算安全策略PPT43页
实现入侵检测与防护、网站应用程序防护、 网络应用程序控管、状态感知防火墙、一致性 监控以及日志文件检查等功能,成为了虚拟化 平台强大的防护盾牌。
趋势科技也在IaaS层面提供防护,可以和 VMware无缝对接。
29
趋势为虚拟化构架的安全
物理器只需安装一次,以无代理形式提供安全防护
客户端部署于 每台虚拟机
包括接入端的浏览器安全;接入端的安全管理, 不仅客户可以接入,服务商也能接入;接入端的安全 认证等。
(2) 应用服务层。
包括可用性(亚马逊宕机事件),网络攻击,隐 私安全,虚拟机环境下多重任务处理等。
(3) 基础设施层。
包括数据安全(保密性、隔离性),数据位置,
数据完整性与可用性,数据备份与恢复,虚拟机的安
6
技术上的风险
资源耗尽:没有充足的资源,资源没有合理使用 隔离故障:存储、内存、路由隔离机制失效云内部 恶意人员:内部人员对高级特权的滥用 管理接口漏洞:远程访问和浏览器手持设备缺陷 传输中的数据截获:更多的数据传输路径,以避免嗅
探和回放攻击等威胁。 数据泄露:通信加密缺陷或应用程序漏洞,数据泄露 不安全或无效的数据删除:资源的重新分配,缺乏有
原则三:总体规划、分步实施原则。
36
安全体系建设可以分为三个阶段
37
云计算面临的安全威胁 云安全参考模型 云安全防护策略 云安全解决方案 云安全部署原则 云安全展望
38
云计算安全未来展望
每次信息技术的重大革新,都将直接影响安全领 域的发展进程,云计算也是这样。
① IT行业法律将会更加健全,云计算第三方认证 机构、行业约束委员会等组织有可能出现。
证支持
长期生存 服务稳定性、持续性及其迁移
3
趋势科技也在IaaS层面提供防护,可以和 VMware无缝对接。
29
趋势为虚拟化构架的安全
物理器只需安装一次,以无代理形式提供安全防护
客户端部署于 每台虚拟机
包括接入端的浏览器安全;接入端的安全管理, 不仅客户可以接入,服务商也能接入;接入端的安全 认证等。
(2) 应用服务层。
包括可用性(亚马逊宕机事件),网络攻击,隐 私安全,虚拟机环境下多重任务处理等。
(3) 基础设施层。
包括数据安全(保密性、隔离性),数据位置,
数据完整性与可用性,数据备份与恢复,虚拟机的安
6
技术上的风险
资源耗尽:没有充足的资源,资源没有合理使用 隔离故障:存储、内存、路由隔离机制失效云内部 恶意人员:内部人员对高级特权的滥用 管理接口漏洞:远程访问和浏览器手持设备缺陷 传输中的数据截获:更多的数据传输路径,以避免嗅
探和回放攻击等威胁。 数据泄露:通信加密缺陷或应用程序漏洞,数据泄露 不安全或无效的数据删除:资源的重新分配,缺乏有
原则三:总体规划、分步实施原则。
36
安全体系建设可以分为三个阶段
37
云计算面临的安全威胁 云安全参考模型 云安全防护策略 云安全解决方案 云安全部署原则 云安全展望
38
云计算安全未来展望
每次信息技术的重大革新,都将直接影响安全领 域的发展进程,云计算也是这样。
① IT行业法律将会更加健全,云计算第三方认证 机构、行业约束委员会等组织有可能出现。
证支持
长期生存 服务稳定性、持续性及其迁移
3
等级保护实施技术细节说明PPT课件
提高设备的安全性和可靠性。
安全加固
定期核查网络设备的配置文件,包括操作系统、网络 协议、服务程序等配置项,确保配置的安全性和合规 性。
05
应用安全技术细节
身份认证和授权管理
总结词
身份认证和授权管理是应用安全的基础,通过实施多因素认证、定期密码更换等措施,确保只有经过 授权的人员能够访问应用。
详细描述
防雷击和电磁兼容性
总结词
防雷击和电磁兼容性是保障企业设备安全稳定运行的重要 因素。
总结词
对于关键设备和系统,应进行电磁兼容性测试和雷击防护 测试,确保其正常运行。
详细描述
企业应采取相应的防雷击措施,如安装避雷针、避雷带等 设备,同时还应考虑设备的电磁兼容性,避免电磁干扰对 设备造成影响。
详细描述
此外,企业还应定期对设备进行维护和检查,确保其安全 稳定运行。
安全审计和日志分析
安全审计策略制定
根据业务需求和安全标准,制定 详细的安全审计策略,明确需要
监控的对象、事件和条件。
日志收集与存储
确保能够收集到所有关键系统、 应用程序和网络设备的日志信息, 并将日志安全地存储在集中式日
志管理系统或审计平台上。
日志分析和告警
利用专业的日志分析工具对收集 到的日志进行深入分析,发现异 常行为、潜在威胁和攻击迹象, 并及时发出告警通知相关人员处
06
主机安全技术细节
操作系统安全配置
操作系统安全配置
确保操作系统安装最新的安全补丁和升级,关闭不必要的服务和 端口,限制用户访问权限,配置安全的登录凭证和策略。
文件和目录权限管理
合理设置文件和目录的权限,避免出现不必要的读写执行权限,防 止未经授权的访问和操作。
安全加固
定期核查网络设备的配置文件,包括操作系统、网络 协议、服务程序等配置项,确保配置的安全性和合规 性。
05
应用安全技术细节
身份认证和授权管理
总结词
身份认证和授权管理是应用安全的基础,通过实施多因素认证、定期密码更换等措施,确保只有经过 授权的人员能够访问应用。
详细描述
防雷击和电磁兼容性
总结词
防雷击和电磁兼容性是保障企业设备安全稳定运行的重要 因素。
总结词
对于关键设备和系统,应进行电磁兼容性测试和雷击防护 测试,确保其正常运行。
详细描述
企业应采取相应的防雷击措施,如安装避雷针、避雷带等 设备,同时还应考虑设备的电磁兼容性,避免电磁干扰对 设备造成影响。
详细描述
此外,企业还应定期对设备进行维护和检查,确保其安全 稳定运行。
安全审计和日志分析
安全审计策略制定
根据业务需求和安全标准,制定 详细的安全审计策略,明确需要
监控的对象、事件和条件。
日志收集与存储
确保能够收集到所有关键系统、 应用程序和网络设备的日志信息, 并将日志安全地存储在集中式日
志管理系统或审计平台上。
日志分析和告警
利用专业的日志分析工具对收集 到的日志进行深入分析,发现异 常行为、潜在威胁和攻击迹象, 并及时发出告警通知相关人员处
06
主机安全技术细节
操作系统安全配置
操作系统安全配置
确保操作系统安装最新的安全补丁和升级,关闭不必要的服务和 端口,限制用户访问权限,配置安全的登录凭证和策略。
文件和目录权限管理
合理设置文件和目录的权限,避免出现不必要的读写执行权限,防 止未经授权的访问和操作。
2024年度-信息系统安全等级保护培训课件
数据备份与恢复技术
定期备份重要数据,并制定详细的数据恢复计划 ,确保在数据丢失或损坏时能够及时恢复。
3
数据脱敏技术
对敏感数据进行脱敏处理,降低数据泄露风险。
14
应用安全技术
身份认证与授权技术
采用用户名/密码、数字证书等身份认证方式,确保用户身份的真 实性和合法性;同时根据用户角色分配相应的权限,防止越权访问 。
某中学在线教育平台
该平台为学生提供在线学习资源和交流互动功能,按照等级保护一级标准进行建 设,通过加强网络安全和内容过滤等措施,确保平台健康安全运行。
23
06
CATALOGUE
信息系统安全等级保护挑战与展望
24
当前面临的主要挑战
网络安全威胁日益严重
网络攻击手段不断翻新,高级持续性 威胁(APT)等网络攻击对信息系统 安全构成严重威胁。
通过实施等级保护,能够有效提高我 国信息安全工作的整体水平,提升我 国网络和信息安全的核心竞争力。
实施等级保护可以规范信息安全管理 ,提高信息系统的安全防护能力,从 而保障信息化的健康发展。
维护国家安全和社会稳定
等级保护制度是国家信息安全保障的 基本制度,对于维护国家安全和社会 稳定具有重要意义。
6
4
等级划分及标准
等级划分
根据信息系统受到破坏后,会对国家 安全、社会秩序、公共利益以及公民 、法人和其他组织的合法权益的危害 程度等因素,将其划分为五个等级。
标准
《信息系统安全等级保护基本要求》 等标准规范了不同等级信息系统的安 全保护要求。
5
重要意义和作用
落实国家信息安全战略
促进信息化健康发展
某ቤተ መጻሕፍቲ ባይዱ商公司交易平台
该平台涉及大量用户数据和交易信息,按照等级保护二级标 准进行建设,通过部署安全防护设备和加强安全管理,确保 平台数据安全和用户隐私。
定期备份重要数据,并制定详细的数据恢复计划 ,确保在数据丢失或损坏时能够及时恢复。
3
数据脱敏技术
对敏感数据进行脱敏处理,降低数据泄露风险。
14
应用安全技术
身份认证与授权技术
采用用户名/密码、数字证书等身份认证方式,确保用户身份的真 实性和合法性;同时根据用户角色分配相应的权限,防止越权访问 。
某中学在线教育平台
该平台为学生提供在线学习资源和交流互动功能,按照等级保护一级标准进行建 设,通过加强网络安全和内容过滤等措施,确保平台健康安全运行。
23
06
CATALOGUE
信息系统安全等级保护挑战与展望
24
当前面临的主要挑战
网络安全威胁日益严重
网络攻击手段不断翻新,高级持续性 威胁(APT)等网络攻击对信息系统 安全构成严重威胁。
通过实施等级保护,能够有效提高我 国信息安全工作的整体水平,提升我 国网络和信息安全的核心竞争力。
实施等级保护可以规范信息安全管理 ,提高信息系统的安全防护能力,从 而保障信息化的健康发展。
维护国家安全和社会稳定
等级保护制度是国家信息安全保障的 基本制度,对于维护国家安全和社会 稳定具有重要意义。
6
4
等级划分及标准
等级划分
根据信息系统受到破坏后,会对国家 安全、社会秩序、公共利益以及公民 、法人和其他组织的合法权益的危害 程度等因素,将其划分为五个等级。
标准
《信息系统安全等级保护基本要求》 等标准规范了不同等级信息系统的安 全保护要求。
5
重要意义和作用
落实国家信息安全战略
促进信息化健康发展
某ቤተ መጻሕፍቲ ባይዱ商公司交易平台
该平台涉及大量用户数据和交易信息,按照等级保护二级标 准进行建设,通过部署安全防护设备和加强安全管理,确保 平台数据安全和用户隐私。
等级保护2.0讲解PPT学习课件
15
22
网络和通信安全
16
33
设备和计算安全
17
26
应用和数据安全
22
34
管理 安全策略和管理
6
7
要求
制度
安全管理机构和
16
26
人员
安全建设管理
25
34
安全运维管理
30
48
合计
/
13
147
230
总体上看,等保2.0通用要求在技术部分的基础上进行了一 些调整,但控制点要求上并没有明显增加,通过合并整合 后相对旧标准略有缩减。
7
2 访问控制
7
3 安全审计
6
3 安全审计
5
设备和计算
主机安全
4 剩余信息 保护
2
安全
4 入侵防范
5
5 入侵防范
3
5 恶意代码 防范
1
6 恶意代码 防范
3
6 资源控制
4
7 资源控制
5
21
原控制项
安全审计
无
入侵防范
无
安全审计 入侵防范
新控制项
d) 应确保审计记录的留存时间符合法律法规要求; (新增) b) 应关闭不需要的系统服务、默认共享和高危端口;
等级保护2.0介绍
2020/2/27
1
什么是等级保护?
网络安全等级保护是指对国家重要信息、法人和其他组织及公民的 专有信息以及公开信息和存储、传输、处理这些信息的信息系统分 等级实行安全保护,对信息系统中使用的信息安全产品实行按等级 管理,对信息系统中发生的信息安全事件分等级响应、处置。
2020/2/27
2020/2/27
等级保护和分级保护基础培训 ppt课件
监理、数据恢复、屏蔽室建设、保密安防监控。
问:分级保护对涉密系统中使用的安全保密产品有哪些要求?
涉密信息系统使用的信息安全保密产品原则上应当选用国产品,并应当通过国家保密局授权
ppt课件
26
的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。
《信息系统通用安全技术要求》GB/T 20271-2006 《信息系统等级保护安全设计技术要求》 测评: 《信息系统安全等级保护测评要求》GB/T 《信息系统安全等级保护测评过程指南》 管理: 《信息系统安全管理要求》 GB/T 20269-2006
《信息系统安全工程管理要求》GB/T 20282-2006
分级保护测评时效性
ppt课件
23
分级保护评测审核内容
ppt课件
24
FAQ
问:等级保护与分级保护各分为几个等级,对应关系是什么? 答:等级保护分5个级别:一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五 级(专控保护)。 分级保护分3个级别:秘密级、机密级(机密增强级)、绝密级。 分级保护与等级保护对应关系:秘密级对应三级、机密级对应四级、绝密级对应五级。 问:等级保护的重要信息系统有哪些? 答:电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网 接入服务单位、数据中心等单位的重要信息系统。铁路、银行、海关、税务、民航、电力、证券、保险、外交、 科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、 文、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。市(地)级以 上党政机关的重要网站和办公信息系统。 问:等级保护的主管部门是谁? 答:公安机关是等级保护工作的主管部门,负责信息安全等级保护工作的监督、检查、指导, 问:等级保护是否是强制性的,可以不做吗? 答:国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级根据信息系统在国家安全、 经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其 他组织的合法权益的危害程度等因素确定。备案后3级系统每年进行一次监督检查,4级每半年进行一次监督检查。 问:是否只是在政府行业实行?企业是否也在等级保护和分级保护范畴之内? 答:等级保护涉及所有行业,只要有信息系统的单位都在等级保护覆盖范围(涉密系统除外)
2.等保2.0 云计算安全扩展要求-权重表
0.4
b) 应允许云服务客户设置不同虚拟机之间 的访问控制策略。
0.4
b) 应允许云服务客户设置不同虚拟机之间的访 问控制策略。
0.4
b) 应允许云服务客户设置不同虚拟机之间的访问控 制策略。
0.4
21
a) 应能检测虚拟机之间的资源隔离失效,并进 行告警;
1
a) 应能检测虚拟机之间的资源隔离失效,并进行告 警;
24
a) 应针对重要业务系统提供加固的操作系 统镜像或操作系统安全加固服务;
1
a) 应针对重要业务系统提供加固的操作系统镜 像或操作系统安全加固服务;
0.4
a) 应针对重要业务系统提供加固的操作系统镜像或 操作系统安全加固服务;
0.4
镜像和快照保护 25
b) 应提供虚拟机镜像、快照完整性校验功 能,防止虚拟机镜像被恶意篡改。
0.4
19
访问控制
a) 应保证当虚拟机迁移时,访问控制策略 随其迁移;
0.4
a) 应保证当虚拟机迁移时,访问控制策略 随其迁移;
0.4
a) 应保证当虚拟机迁移时,访问控制策略随其 迁移;
0.4
a) 应保证当虚拟机迁移时,访问控制策略随其迁 移;
0.4
20
b) 应允许云服务客户设置不同虚拟机之间 的访问控制策略。
1
c) 应能检测到虚拟机与宿主机、虚拟机与虚拟 机之间的异常流量;
0.4
c) 应能检测到虚拟机与宿主机、虚拟机与虚拟机之 间的异常流量;
0.4
15
16
安全审计
17
d) 应在检测到网络攻击行为、异常流量情况时 进行告警。
1
d) 应在检测到网络攻击行为、异常流量情况时进行 告警。
等级保护基础安全防护技术概览ppt课件
2009年
《关于开展信息系统等级
(发改高技
发改委
[2008]2071号) 公安部
国家保密局
(公信安
5
公安部
规定了公安机关受理信息系统运营使用单位信息系统 备案工作的内容、流程、审核等内容
规定了公安机关开展信息安全等级保护检查工作的内 容、程序、方式以及相关法律文书等,使检查工作规 范化、制度化。
明确了项目验收条件:公安机关颁发的信息系统安全 等级保护备案证明、等级测评报告和风险评估报告。
▪ 对信息系统中使用的信息安全产品实行按等 级管理;
▪ 对信息系统中发生的信息安全事件实行分等 级响应、处置。
精选课件ppt
4
1.2等级保护基本概念-政策体系
等级保护政策体系
颁布时间
文件名称
文号
颁布机构
1994年 2月18日 2003年 9月7日
2004年 9月15日 2007年 6月22日
2007年 7月16日
记录活动实行以符合等级1,2,和3的文件 要求的客观证据,阐明所取得的结果或 提供完成活动的证据
运行记录
精选课件ppt
20
1.9等级保护基本概念-实施步骤-
完善管理制度
一级
二级
岗位说明书
岗位说明书
安全管理机构
安全管理制度
人员安全 系统建设管理
人员安全管理规定
等级保护安全管理规范 风险评估管理规范 软件开发管理规定 IT外包管理规定
网 络 层
区域 混乱
协议 攻击
信息 泄露
中间 人攻 击
带宽 资源 滥用
非法 接入
非法 外联
计区网 算域络 环边通 境界信
物 理
等级保护分级保护政策学习PPT课件
等级保护配套标准:
《计算机信息系统安全保护等级划分准则》(GB 17859-1999); 《信息系统通用安全技术要求》(GB/T20271);
《网络基础安全技术要求》(GB/T20270);
《操作系统安全技术要求》(GB/T20272); 《数据库管理系统安全技术要求》(GB/T20273); 《终端计算机系统安全等级技术要求》(GA/T671); 《信息系统安全管理要求》(GB/T20269); 《信息系统安全工程管理要求》(GB/T20282)。
标准(三)
分级保护标准:
《涉及国家秘密的信息系统分级保护技术要求》(BMB17-2006); 《涉及国家秘密的信息系统工程监理规范》(BMB18-2006);
《涉及国家秘密的信息系统分级保护管理规范》(BMB20-2007);
《涉及国家秘密的信息系统分级保护测评指南》(BMB22-2007); 《涉及国家秘密的信息系统分级保护方案设计指南》(BMB23-2008)。
在分级保护方面,国家保密局发布了《涉及国家秘密的信息系统分级保护管理
办法》(国保发[2005]16号),之后陆续发布了《涉及国家秘密的信息系统分 级保护技术要求》、《涉及国家秘密的信息系统分级保护管理规范》、《涉及 国家秘密的信息系统分级保护方案设计指南》、《涉及国家秘密的信息系统分 级保护测评指南》等一系列分级保护的国家保密标准。
标准(一)
等级保护主要标准:
《信息系统安全等级保护定级规范》”(国标报批稿);
《信息系统安全等级保护基本要求》(国标报批稿);
《信息系统安全等级保护实施指南》(国标报批稿); 《信息系统安全等级保护测评规范》(国标报批稿); 《电子政务信息安全等级保护实施指南》(试用稿)。
《计算机信息系统安全保护等级划分准则》(GB 17859-1999); 《信息系统通用安全技术要求》(GB/T20271);
《网络基础安全技术要求》(GB/T20270);
《操作系统安全技术要求》(GB/T20272); 《数据库管理系统安全技术要求》(GB/T20273); 《终端计算机系统安全等级技术要求》(GA/T671); 《信息系统安全管理要求》(GB/T20269); 《信息系统安全工程管理要求》(GB/T20282)。
标准(三)
分级保护标准:
《涉及国家秘密的信息系统分级保护技术要求》(BMB17-2006); 《涉及国家秘密的信息系统工程监理规范》(BMB18-2006);
《涉及国家秘密的信息系统分级保护管理规范》(BMB20-2007);
《涉及国家秘密的信息系统分级保护测评指南》(BMB22-2007); 《涉及国家秘密的信息系统分级保护方案设计指南》(BMB23-2008)。
在分级保护方面,国家保密局发布了《涉及国家秘密的信息系统分级保护管理
办法》(国保发[2005]16号),之后陆续发布了《涉及国家秘密的信息系统分 级保护技术要求》、《涉及国家秘密的信息系统分级保护管理规范》、《涉及 国家秘密的信息系统分级保护方案设计指南》、《涉及国家秘密的信息系统分 级保护测评指南》等一系列分级保护的国家保密标准。
标准(一)
等级保护主要标准:
《信息系统安全等级保护定级规范》”(国标报批稿);
《信息系统安全等级保护基本要求》(国标报批稿);
《信息系统安全等级保护实施指南》(国标报批稿); 《信息系统安全等级保护测评规范》(国标报批稿); 《电子政务信息安全等级保护实施指南》(试用稿)。
云安全技术PPT课件
3.下??意? 件
4.?送信息/ 下?病毒
云安全
?客?所??的网??行安全?估 –阻止? 高??网?的??
32
第32页/共38页
云安全的客户价值
•获得防护所需时间(小时)
•病毒代?部署
•Bandwidth Consumption (kb/day)
•Memory Usage (MB)
•病毒代?更新
•??到威?
更快的防护= 更低的风险+更低的花费
33
第33页/共38页
云安全优势
第34页/共38页
云安全改变信息安全行业
1
防御模式的改变
“云安全”使得网络安全防御模式由被动式向主动式转变。
2 分析模式的改变
“云安全”的出现,使原始的传统病毒分析处理方式,转变为 “云安全”模式下的互联网分析模式。
3
研究方向更加明确
课程要点
• 什么是云计算 • 什么是云安全 • 保护云计算的安全性(云计算安全) • 安全作为云计算的一种服务(安全云)
第1页/共38页
什么是云计算?
第2页/共38页
天下大势,合久必分,分久必合, 计算机技术的分合演义
• 早期计算技术以合为特征—曲高和寡 • 个人电脑的发展使分成为了主流—计算机飞入寻
分析“云安全”的数据,可以全面精确的掌握“安全威胁”动向。
第35页/共38页
互联网内容
下载 网站
门户 网站
搜索 网站
恶意威胁
来源挖掘
用户计算机
用户计算机
用户计算机
云安全客户端
用户计算机
用户计算机
威胁信息 数据中心
数据分析
威胁挖 掘集群
即时升级 服务器
信息系统安全等级保护培训课件(PPT 36页)
分级保护系列标准规范
《涉及国家秘密的计算机信息系统分级保 护技术要求》BMB17-2006 《涉及国家秘密计算机信息系统安全保密 方案设计指南》 BMB23-2008 涉密信息系统安全保障建设 《涉及国家秘密计算机信息系统分级保护 指南 管理规范》BMB20-2007 《涉及国家秘密的信息系统分级保护测评 指南》BMB22—2007 《涉及国家秘密计算机信息系统分级保护 管理办法 》国家保密局16号
敏感信息的办公系统和管理系统)。跨省或全国联网运行的用于生产、调度、管理、控制等
方面的重要系统及在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站 4)四级,国家重要领域、重要部门中的特别重要系统以及核心系统,电力、电信、广电、税 务等 5)五级,国家重要领域、重要部门中的极端重要系统
定级要素与等级的关系
对客体的侵害程度 受侵害的客体 一般损害 严重损害 特别严重损害 公民、法人和其他 组织的合法权益 第一级 第二级 第三级 第二级 第三级 第四级 第二级 第四级 第五级
社会秩序、公共利 益
国家安全
确定等级流程
业务信息安全保护等级矩阵表
系统服务安全保护等级矩阵表
系统安全保护等级矩阵表
等级保护的主要工作流程
自主定级和审批
- 信息系统运营使用单位按照等级保护管理办法和《信息系统安全等级保护定级指南》,确定信 息系统的安全保护等级。有上级主管部门的,应当经上级主管部门审核批准。跨省或者全国统一 联网运行的信息系统可以由其主管部门统一确定安全保护等级。 - 在信息系统确定安全保护等级过程中,可以进行必要的业务和技术评估,组织专家进行咨询评 审。对拟确定为第四级以上的信息系统的运营、使用单位或主管部门应当邀请国家信息安全等级 保护专家评审委员会评审。
最新等级保护ppt课件
➢ 测评双方现场确认
准 料 测评所需的各种资
源
记 ➢ 被测单位签署现场 备 录 归 测评授权委托书
➢ 访谈 ➢ 文档审查 ➢ 配置检查 ➢ 工具测试 ➢ 实地查看
➢ 召开测评现场结束会, 确认测评过程的问题, 对漏掉的和改进的信息 进一步验证和补充测评
➢ 归还测评过程中借阅的 所有文档资料,并由被 测单位文档资料提供者 签字确认
定级对象识别与划分
• 可能使定级要素赋值不同因素 – 可能涉及不同客体的系统。 – 可能对客体造成不同程度损害的系统。 – 处理不同类型业务的系统。
• 本身运行在不同的网络环境中的系统。 • 分不开的系统,按照高级别保护。
两种安全定义
定级流程
S
A
G=MAX(S,A)
业务信息安全等级矩阵表
系统服务安全等级矩阵表
➢ 安全保障管理体系描述
析备
测测
等级保护实施流程
评对测工评具评 指 系统定级
备案
安全建 设整改
等级 测评
监督 检查
➢分析确定被测试系统的对象与指标
方 案
象测测接评 评入标 ➢使用漏洞扫描器、渗透测试工具集等测 试工具,网络拓扑内外部,及边界等位 置进行测试
编 制
确测点内指评确 容 导确
➢根据具体测评指标结合到测评对象上, 构成具体测评单元
➢ 针对单项测评的不符合项,采取逐条判定的 方法,从安全控制间、层面间和区域间触发 考虑,给出系统整体测评的具体结果和结论, 并对系统结构进行整体安全测评
➢ 在单项测评结果汇总分析和系统整体测评分 析的基础上,找出系统保护现状与等级保护 基本要求之间的差距,并形成等级测评结论
➢ 结果汇总分析、系统整体测评分析、综合结 论、改进建议和附录等
准 料 测评所需的各种资
源
记 ➢ 被测单位签署现场 备 录 归 测评授权委托书
➢ 访谈 ➢ 文档审查 ➢ 配置检查 ➢ 工具测试 ➢ 实地查看
➢ 召开测评现场结束会, 确认测评过程的问题, 对漏掉的和改进的信息 进一步验证和补充测评
➢ 归还测评过程中借阅的 所有文档资料,并由被 测单位文档资料提供者 签字确认
定级对象识别与划分
• 可能使定级要素赋值不同因素 – 可能涉及不同客体的系统。 – 可能对客体造成不同程度损害的系统。 – 处理不同类型业务的系统。
• 本身运行在不同的网络环境中的系统。 • 分不开的系统,按照高级别保护。
两种安全定义
定级流程
S
A
G=MAX(S,A)
业务信息安全等级矩阵表
系统服务安全等级矩阵表
➢ 安全保障管理体系描述
析备
测测
等级保护实施流程
评对测工评具评 指 系统定级
备案
安全建 设整改
等级 测评
监督 检查
➢分析确定被测试系统的对象与指标
方 案
象测测接评 评入标 ➢使用漏洞扫描器、渗透测试工具集等测 试工具,网络拓扑内外部,及边界等位 置进行测试
编 制
确测点内指评确 容 导确
➢根据具体测评指标结合到测评对象上, 构成具体测评单元
➢ 针对单项测评的不符合项,采取逐条判定的 方法,从安全控制间、层面间和区域间触发 考虑,给出系统整体测评的具体结果和结论, 并对系统结构进行整体安全测评
➢ 在单项测评结果汇总分析和系统整体测评分 析的基础上,找出系统保护现状与等级保护 基本要求之间的差距,并形成等级测评结论
➢ 结果汇总分析、系统整体测评分析、综合结 论、改进建议和附录等
云数据中心安全等级保护建设方案
1项目综述1.1项目背景为了保障基于“健康云”、“智慧云”的XX数据中心,天融信公司依据公安部《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安[2009]1389号)的要求,贯彻“通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评,落实等级保护制度的各项要求,使信息系统安全管理水平明显提高,安全防范能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益”的方针,为XX 数据中心需要在规划、建设和使用相关信息系统的同时对信息安全也要同步建设,全面开展信息安全等级保护建设整改工作。
1.2安全目标XX的信息安全等级保护建设工作的总体目标是:“遵循国家信息安全等级保护有关法规规定和标准规范,通过全面开展信息安全等级保护定级备案、建设整改和等级测评工作,进一步实现对整个新建云平台的信息系统安全管理体系和技术防护体系,增强信息安全保护意识,明确信息安全保障重点,落实信息安全责任,切实提高系统信息安全防护能力,为整个云平台的顺利建设和信息化健康发展提供可靠保障。
”具体目标包括(1)体系建设,实现按需防御。
通过体系设计制定等级方案,进行安全技术体系、安全管理体系和安全运维体系建设,实现按需防御。
(2)安全运维,确保持续安全。
通过安全监控、安全加固等运维手段,从事前、事中、事后三个方面进行安全运行维护,实现持续性按需防御的安全需求。
(3)通过合规性建设,提升XX云平台安全防护能力,保障系统信息安全,同时满足国家等级保护的合规性要求,为信息化工作的推进保驾护航。
1.3建设范围本方案的设计范围覆盖XX的新建云平台基础设施服务系统。
安全对象包括:●云内安全:虚拟化环境中的虚拟化平台及其相关虚拟化网络、虚拟化主机的安全防护;●云外安全:虚拟化环境以外的网络接入,核心交换,存储备份环境。
1.4建设依据1.4.1国家相关政策要求(1)《中华人民共和国计算机信息系统安全保护条例》(国务院147号令);(2)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003] 27号);(3)《关于信息安全等级保护工作的实施意见》(公通字[2004]66号);(4)《信息安全等级保护管理办法》(公通字[2007]43号);(5)《信息安全等级保护备案实施细则》(公信安[2007]1360号);(6)《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号);(7)《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)。
2.3云计算安全等级保护.pptx
管理方面
系统建设管理
系统运维管理
原有测评指标
新增 测评指标
新增 测评内容
物理位置的选择、物理访问控制、防盗窃和防破坏、防雷 击、防火、防水和防潮、防静电、温湿度控制、电力供应、 电磁防护
物理位置的选择
结构安全、访问控制、安全审计、剩余信息保护、边界完 整性检查、入侵防范、恶意代码防范、网络设备防护
网络架构
• 《信息安全技术 网络安全等级保护基本要求 第2部分:云计算安全扩展要求》 (GA/T 1390.2-2017)
2.3 云计算安全等级保护
01 等级保护实施流程
系统定级
等级评审
定级备案
评估和整改 建设
等级测评
监督检查
• 等保过程中涉及的几个要点: • 等保原则 • 定级方法 • 测评过程
2.3 云计算安全等级保护
3.测评过程 安全等保测评工作由具有测评资质、并由国家信息安全等级保护工作协调小组办公室推荐的测评 机构展开。测评过程一般包含测评准备、方案编制、现场测评、分析与报告编制等四个步骤。
测评过程
具体内容
测评准备
测评机构启动测评项目,组建测评项目组;通过收集和分析被测系统的相关资料信息, 掌握被测系统的大体情况;准备测评工具和表单等测评所需的相关资料,为编制测评方 案打下良好的基础。
云服务商选择、供 应链管理
安全方案设计、 测试验收
环境管理、资产管理、介质管理、设备管理、监控管理和 安全管理中心、网络安全管理、系统安全管理、恶意代码 配 置 管 理 、 监 控 和 防范管理、密码管理、变更管理、备份与恢复管理、安全 审计管理 事件处置、应急预案管理
环境管理
01 等级保护实施流程
1.等级保护的基本原则 信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。信息系统安 全等级保护实施过程中应遵循以下基本原则。 (1)自主保护原则 信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护 等级,自行组织实施安全保护。 (2)重点保护原则 根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的 安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。 (3)同步建设原则 信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安 全设施,保障信息安全与信息化建设相适应。 (4)动态调整原则 要跟踪信息系统的变化情况,调整安全保护措施。由于信息系统的应用类型、范围等条件的变化 及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新 确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 《信息安全技术 网络安全等级保护基本要求 第2部分:云计算安全扩展要求》 (GA/T 1390.2-2017)
2.3 云计算安全等级保护
01 等级保护实施流程
系统定级
等级评审
监督检查
• 等保过程中涉及的几个要点: • 等保原则 • 定级方法 • 测评过程
2.3 云计算安全等级保护
(1)云服务商负责确定云平台的安 全保护能力等级。云平台服务商根据自 身的安全建设能力、安全服务能力以及 安全控制措施实现情况,委托独立的第 三方测评机构开展并通过等级测评,确 定提供的服务模式以及云平台安全级别, 该级别为安全保护能力等级。
(2)用户根据数据和业务的重要程 度,参照《定级指南》明确业务系统安 全级别,该级别为业务系统的重要性安 全等级。
原则上,云服务商不能向高于云平台 安全保护能力等级的业务系统提供服务, 反之,用户不应该选择低于自身业务系 统安全级别的云平台承载业务或处理数 据。
2.3 云计算安全等级保护
02 云计算安全测评
测评层面划分
物理安全
网络安全
技术方面
主机安全
应用安全
数据安全及备份恢复 安全管理制度 安全管理机构
人员安全管理
方案编制
测评机构确定测评对象和测评指标,选择测试工具接入点,从而进一步确定测评实施 内容,并从已有的测评实施手册中选择本次需要用到的测评实施手册,没有测评实施手 册的应开发相应的测评实施手册,最后根据上述情况编制测评方案。
现场测评
测评机构首先应与测评委托单位就测评方案达成一致意见,并进一步确定测评配合人 员,商定测评时间、地点等细节,开展现场测评,完成测评实施手册各项测评内容,获 取足够的测评证据。
2.3 云计算安全等级保护
01 等级保护实施流程
2.定级方法 (4)五级安全保护等级
受侵害的客体
公民、法人和其他组织的合法权益 社会秩序、公共利益 国家安全
对客体的侵害程度
一般损害
严重损害 特别严重损害
第一级
第二级
第二级
第二级
第三级
第四级
第三级
第四级
第五级
2.3 云计算安全等级保护
01 等级保护实施流程
01 等级保护实施流程
1.等级保护的基本原则 信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。信息系统安 全等级保护实施过程中应遵循以下基本原则。 (1)自主保护原则 信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护 等级,自行组织实施安全保护。 (2)重点保护原则 根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的 安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。 (3)同步建设原则 信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安 全设施,保障信息安全与信息化建设相适应。 (4)动态调整原则 要跟踪信息系统的变化情况,调整安全保护措施。由于信息系统的应用类型、范围等条件的变化 及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新 确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。
分析与 报告编制
测评人员通过分析现场测评获得的测评证据和资料,判定单项测评结果及单元测评结 果,并进行整体测评和风险分析,形成等级测评结论,并编制测评报告。
2.3 云计算安全等级保护
01 等级保护实施流程
2.3 云计算安全等级保护
02 云计算安全测评
1.定级对象 针对云计算平台开展等级测评工作 首先需要明确定级对象。《信息系 统安全等级保护定级指南》 (GB/T222240-2008,以下简称 《定级指南》)中明确表明作为定 级对象的信息系统应具有唯一确定 的安全责任单位,承载单一或相对 独立的业务应用。云计算环境下, 信息系统业务涉及到双方甚至多方 安全主体,所以针对云计算平台的 特殊性,应采用“双向”定级方法
管理方面
系统建设管理
系统运维管理
原有测评指标
新增 测评指标
新增 测评内容
物理位置的选择、物理访问控制、防盗窃和防破坏、防雷 击、防火、防水和防潮、防静电、温湿度控制、电力供应、 电磁防护
物理位置的选择
2.3 云计算安全等级保护
01 等级保护实施流程
2.定级方法 《信息系统安全等级保护基本要求》(GB/T 22239-2008)将信息系统作为保护对象,按照信息系 统的重要程度分为五个保护级别,信息系统的重要程度又由两个定级要素、三类侵害客体、三种 侵害程度决定。 (1)两个定级要素 信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体 造成侵害的程度。 (2)三类侵害客体 等级保护对象受到破坏时所侵害的客体包括以下三个方面:公民、法人和其他组织的合法权益; 社会秩序、公共利益;国家安全。 (3)三种侵害程度 对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对 象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害 后果和危害程度加以描述。 等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:造成一般损害;造成严重损害; 造成特别严重损害。 (4)五级安全保护等级
2.3 云计算安全等级保护
01 等级保护
• 信息安全等级保护是保障信息安全与信息化建设相协调的重要手段,重点保障 基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的 安全。在经历了制定准则、规范和标准、强化制度、基础调研、组织试点、快 速推进的历程后,等级保护制度已经在全国各地贯彻执行,有力保障了信息系 统安全。
3.测评过程 安全等保测评工作由具有测评资质、并由国家信息安全等级保护工作协调小组办公室推荐的测评 机构展开。测评过程一般包含测评准备、方案编制、现场测评、分析与报告编制等四个步骤。
测评过程
具体内容
测评准备
测评机构启动测评项目,组建测评项目组;通过收集和分析被测系统的相关资料信息, 掌握被测系统的大体情况;准备测评工具和表单等测评所需的相关资料,为编制测评方 案打下良好的基础。
2.3 云计算安全等级保护
01 等级保护实施流程
系统定级
等级评审
监督检查
• 等保过程中涉及的几个要点: • 等保原则 • 定级方法 • 测评过程
2.3 云计算安全等级保护
(1)云服务商负责确定云平台的安 全保护能力等级。云平台服务商根据自 身的安全建设能力、安全服务能力以及 安全控制措施实现情况,委托独立的第 三方测评机构开展并通过等级测评,确 定提供的服务模式以及云平台安全级别, 该级别为安全保护能力等级。
(2)用户根据数据和业务的重要程 度,参照《定级指南》明确业务系统安 全级别,该级别为业务系统的重要性安 全等级。
原则上,云服务商不能向高于云平台 安全保护能力等级的业务系统提供服务, 反之,用户不应该选择低于自身业务系 统安全级别的云平台承载业务或处理数 据。
2.3 云计算安全等级保护
02 云计算安全测评
测评层面划分
物理安全
网络安全
技术方面
主机安全
应用安全
数据安全及备份恢复 安全管理制度 安全管理机构
人员安全管理
方案编制
测评机构确定测评对象和测评指标,选择测试工具接入点,从而进一步确定测评实施 内容,并从已有的测评实施手册中选择本次需要用到的测评实施手册,没有测评实施手 册的应开发相应的测评实施手册,最后根据上述情况编制测评方案。
现场测评
测评机构首先应与测评委托单位就测评方案达成一致意见,并进一步确定测评配合人 员,商定测评时间、地点等细节,开展现场测评,完成测评实施手册各项测评内容,获 取足够的测评证据。
2.3 云计算安全等级保护
01 等级保护实施流程
2.定级方法 (4)五级安全保护等级
受侵害的客体
公民、法人和其他组织的合法权益 社会秩序、公共利益 国家安全
对客体的侵害程度
一般损害
严重损害 特别严重损害
第一级
第二级
第二级
第二级
第三级
第四级
第三级
第四级
第五级
2.3 云计算安全等级保护
01 等级保护实施流程
01 等级保护实施流程
1.等级保护的基本原则 信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。信息系统安 全等级保护实施过程中应遵循以下基本原则。 (1)自主保护原则 信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护 等级,自行组织实施安全保护。 (2)重点保护原则 根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的 安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。 (3)同步建设原则 信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安 全设施,保障信息安全与信息化建设相适应。 (4)动态调整原则 要跟踪信息系统的变化情况,调整安全保护措施。由于信息系统的应用类型、范围等条件的变化 及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新 确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。
分析与 报告编制
测评人员通过分析现场测评获得的测评证据和资料,判定单项测评结果及单元测评结 果,并进行整体测评和风险分析,形成等级测评结论,并编制测评报告。
2.3 云计算安全等级保护
01 等级保护实施流程
2.3 云计算安全等级保护
02 云计算安全测评
1.定级对象 针对云计算平台开展等级测评工作 首先需要明确定级对象。《信息系 统安全等级保护定级指南》 (GB/T222240-2008,以下简称 《定级指南》)中明确表明作为定 级对象的信息系统应具有唯一确定 的安全责任单位,承载单一或相对 独立的业务应用。云计算环境下, 信息系统业务涉及到双方甚至多方 安全主体,所以针对云计算平台的 特殊性,应采用“双向”定级方法
管理方面
系统建设管理
系统运维管理
原有测评指标
新增 测评指标
新增 测评内容
物理位置的选择、物理访问控制、防盗窃和防破坏、防雷 击、防火、防水和防潮、防静电、温湿度控制、电力供应、 电磁防护
物理位置的选择
2.3 云计算安全等级保护
01 等级保护实施流程
2.定级方法 《信息系统安全等级保护基本要求》(GB/T 22239-2008)将信息系统作为保护对象,按照信息系 统的重要程度分为五个保护级别,信息系统的重要程度又由两个定级要素、三类侵害客体、三种 侵害程度决定。 (1)两个定级要素 信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体 造成侵害的程度。 (2)三类侵害客体 等级保护对象受到破坏时所侵害的客体包括以下三个方面:公民、法人和其他组织的合法权益; 社会秩序、公共利益;国家安全。 (3)三种侵害程度 对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对 象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害 后果和危害程度加以描述。 等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:造成一般损害;造成严重损害; 造成特别严重损害。 (4)五级安全保护等级
2.3 云计算安全等级保护
01 等级保护
• 信息安全等级保护是保障信息安全与信息化建设相协调的重要手段,重点保障 基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的 安全。在经历了制定准则、规范和标准、强化制度、基础调研、组织试点、快 速推进的历程后,等级保护制度已经在全国各地贯彻执行,有力保障了信息系 统安全。
3.测评过程 安全等保测评工作由具有测评资质、并由国家信息安全等级保护工作协调小组办公室推荐的测评 机构展开。测评过程一般包含测评准备、方案编制、现场测评、分析与报告编制等四个步骤。
测评过程
具体内容
测评准备
测评机构启动测评项目,组建测评项目组;通过收集和分析被测系统的相关资料信息, 掌握被测系统的大体情况;准备测评工具和表单等测评所需的相关资料,为编制测评方 案打下良好的基础。