信息系统安全等级与
- 格式:ppt
- 大小:114.00 KB
- 文档页数:44


GB17859-1999计算机信息系统安全系统保护等级划分准则本标准规定了计算机信息系统安全保护能力的五个等级,分别为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。
这些等级是根据安全保护能力的不同而划分的。
随着安全保护等级的提高,计算机信息系统安全保护能力也会逐渐增强。
本标准引用了GB/T 5271数据处理词汇等标准。
在使用本标准时,应尽可能使用这些标准的最新版本。
除本章定义外,其他未列出的定义可参考GB/T 5271.计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
可信计算基是计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。
客体是信息的载体,主体是引起信息在客体之间流动的人、进程或设备等。
敏感标记是表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制访问控制决策的依据。
安全策略是有关管理、保护和发布敏感信息的法律、规定和实施细则。
信道是系统内的信息传输路径,而隐蔽信道则允许进程以危害系统安全策略的方式传输信息的通信信道。
访问监控器是监控主体和客体之间授权访问关系的部件。
第一级是用户自主保护级,属于计算机信息系统安全保护等级的最低级别。
在这个级别下,用户需要自主采取措施来保护系统的安全。
本文介绍了计算机信息系统可信计算基的两个保护级别,即自主保护级和系统审计保护级。
自主保护级通过访问控制、身份鉴别和数据完整性等机制,使用户具备自主安全保护的能力。
系统审计保护级实施了更细粒度的自主访问控制,通过登录规程、审计安全性相关事件和隔离资源等方式,使用户对自己的行为负责。
具体来说,自主访问控制机制可以根据用户指定方式或默认方式,阻止非授权用户访问客体。
身份鉴别机制要求用户标识自己的身份,并使用保护机制(例如:口令)来鉴别用户的身份。
信息安全知识介绍
信息安全等级保护分几级
信息安全等级保护分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
管理大概80,外网大概40,服务器数外网网络边界进行访问控制,基本的终端数量:内网大概80,外网大概40,服务器数量:11网络现况:电信宽带30MB(互联网),电信专网4MB(一门诊)、10MB(城北门诊),医保电信ADSL,电子远程药品监空系统移动光缆(带宽不详)现有应用系统:HIS、LIS、PACS 、EMR、物资资产财务、CA认证、医保数据备份:没有现有网络安全产品:防火墙1台(网神)在互联网出口处;服务器及内网终端安装Mcafee杀毒软件终端安全管理产品:没有分支机构远程连接:有2个分门诊,使用Radmin 、飞秋、远程桌面等局域网内部远程工具终端使用操作系统:WinXP、win8、win sever 2003、win sever 2008操作系统补丁更新:服务器与内网终端没有更新过终端杀毒软件:服务器、内网终端安装华军软件及功能:1)外网防火墙(对外网网络边界进行访问控制,基本的入侵防护的,可考虑原有网神防火墙利旧,需确认原有网神防火墙是否满足需求)2)内网防火墙(对内部网络边界进行访问控制,基本的入侵防护等)3)终端企业版杀毒软件(服务器及终端主机的防病毒统一管理、可进行终端个体的漏洞扫描及补丁更新)4)终端安全产品(对终端的信息安全进行防护,后期可根据需求增加和调整功能模块) 5)上网行为管理设备(对外网终端的上网行为进行监测,必要时进行管控)后期三级等保可考虑增加设备:1)入侵防御设备(IPS):网络边界处2)防病毒网关(多功能安全网关):网络边界处3)入侵检测设备(IDS):内网核心交换机处4)堡垒主机(运维网关、安全管理平台):核心交换机处5)网闸(信息交换与隔离系统):内外网边界处6)数据库审计(综合审计类产品):新:服务器与内网终端没有更新处5)网闸(信息交换系统运维管理。