信息安全等级保护ppt

强化网络安全防护
采用防火墙、入侵检测等网络安全技术，防止网络攻击和数据泄露 。
定期进行安全检查和评估
对存储涉密信息的系统和设备进行定期的安全检查和评估，及时发 现和修复潜在的安全隐患。
05
涉密信息应用安全
身份鉴别与访问控制
身份鉴别
确保只有合法用户可以 访问涉密信息系统，采 用多因素身份鉴别方式 ，如用户名/密码、数字 证书、动态口令等。
应急处理
制定恶意代码应急处理预案，指导用户在发现恶意代码时如何快 速响应和处置。
应用软件漏洞修补与加固
01
漏洞扫描
定期对涉密信息系统中的应用软件进行漏洞扫描，及时发现潜在的安全
隐患。
02
漏洞修补
针对发现的应用软件漏洞，及时采取修补措施，如升级软件版本、安装
补丁等。
03
加固措施
采用代码混淆、加密等技术手段，对应用软件进行加固处理，提高其抗
密钥进行数据加密和解密。
加密设备与应用
硬件加密设备
通过专门的硬件设备实现加密功能，如加密卡、 加密机等。
软件加密应用
运行在计算机上的加密程序，如文件加密软件、 邮件加密软件等。
量子加密技术
利用量子力学原理进行信息加密，具有极高的安 全性，但目前仍处于研究和实验阶段。
传输过程中的安全防护
网络传输安全
对涉密数据进行脱敏处理，降低数 据泄露的风险。
03
涉密信息传输安全
加密技术与原理
对称加密
采用单钥密码系统的加密方法， 同一个密钥可以同时用作信息的
加密和解密。
非对称加密
又称公钥加密，使用一对密钥， 公钥用于加密，私钥用于解密。
混合加密
结合对称加密和非对称加密的优 点，先用非对称加密协商一个临 时的对称密钥，然后使用该对称

（ 3） 3、推动信息化和工业化深度融合，提高经济发展信 息化水平（5）
2、实施“宽带中国”工程，构建下一代信息基础设施
4、加快社会领域信息化，推进先进网络文化
建设（4） 5、推进农业农村信息化，实现信息强农惠农 （2） 6、健全安全防护和管理，保障重点领域信息 安全（4)
ห้องสมุดไป่ตู้
（1）确保重要信息系统和基础信息网络安全。能源、交通、 金融等领域涉及国计民生的重要信息系统和电信网、广播电 视网、互联网等基础信息网络，要同步规划、同步建设、同 步运行安全 防护设施，强化技术防范，严格安全管理，切 实提高防攻击、放篡改、防病毒、防瘫痪、防窃密能力。加 大无线电安全管理和重要信息系统无线电频率保障力度。加 强互联网网站、地址、域名和接入服务单位 的管理，完善信 息共享机制，规范互联网服务市场秩序。 （2）加强政府和涉密信息系统安全管理。严格政府信息技术 服务外包的安全管理，为政府机关提供服务的数据中心、云 计算服务平台等要设在境内，禁止办公用计算机安装与工作 无关的软件。建立政府网站开办审核、统一标识、监测和
二是个人数据、隐私泄露问题。个人帐号、密码、 照片、位置、行程、通信记录、人际关系直至个人 生活记录等在移动终端上应有尽有，一旦泄露，轻 则危及个人信息安全，重则危及个人隐私、工作秘 密，甚至生命安全。 三是移动支付存在安全隐患。手机常用作交易、资 金支付的手段，易于出现安全问题。 移动智能终端安全 防护，有赖于出台有关法律 法规和标准，更需要企业增进防护措施，用户自身 应提高防范意识。
（一）法律法规制定 1、1994年中华人民共和国计算机信息系统 安全保护条例
1994年2月18日,中华人民共和国国务院发布147 号令, 颁布了行政法规《中华人民共和国计算机信息系统安全保护 条例》（以下简称《条例》）。该条例共分五章三十一条： 第一章总则，第一条至第七条 第二章安全保护制度，第八条至第十六条 第三章安全监督，第十七条至第十九条 第四章法律责任，第二十条至二十七条 第五章附则，第二十八条至三十一条。

详细描述
数据加密技术通过使用加密算法和密钥对数据进行加密处理，使得只有拥有解 密密钥的用户才能访问原始数据。常见的加密算法包括对称加密算法和公钥加 密算法。
入侵检测技术
总结词
入侵检测技术是实时监测和发现网络攻击的重要手段，通过分析网络流量和用户 行为，及时发现异常行为并采取相应的措施。
详细描述
入侵检测技术通过收集和分析网络流量、系统日志等信息，检测出异常行为和攻 击行为，并及时发出警报或采取相应的措施。常见的入侵检测技术包括基于特征 的入侵检测和基于行为的入侵检测。
06
信息系统的安全未来展望
新兴安全威胁与挑战
云计算安全威胁
随着云计算技术的普及，数据泄露、非法访问等安全威胁日益严 重。
物联网安全挑战
物联网设备数量激增，如何保障设备安全、数据隐私成为重要挑战 。
人工智能与网络安全
人工智能在网络安全领域的应用面临算法透明度、误用风险等挑战 。
未来安全技术的发展趋势
05
信息系统的安全实践
安全审计
安全审计定义
安全审计方法
安全审计是对信息系统安全性进行评 估和审查的过程，旨在发现潜在的安 全风险和漏洞。
安全审计的方法包括渗透测试、代码 审查、配置检查等，根据不同的信息 系统和安全需求选择合适的审计方法 。
安全审计目的
通过安全审计，可以及时发现和修复 安全问题，提高信息系统的安全性， 防止未经授权的访问、数据泄露和其 他安全事件的发生。
安全漏洞修补
要点一
安全漏洞定义
安全漏洞是指信息系统存在的安全缺 陷或弱点，可能导致未经授权的访问 、数据泄露或其他安全事件的发生。
要点二
安全漏洞修补过程
发现漏洞后，应立即进行修补。首先 对漏洞进行评估和分析，确定漏洞的 严重程度和影响范围，然后制定修补 方案并实施修补措施。

21
• 什么是信息 • 什么是信息安全 • 为什么实施信息安全管理 • 信息安全管理体系（ISMS）概述 • 信息安全管理体系（ISMS）标准介绍 • 信息安全管理体系（ISMS）实施控制重点
22
ISO/IEC27001控制大项
A.7
资产管理
A.16
教育培训
A.6
信息安全组织
A.8
人力资源安全
A.13
• 信息安全组织：建立信息安全基础设施，管理组织范围内的信息安 全；维护被第三方所访问的组织的信息处理设施和信息资产的安全， 以及当信息处理外包给其他组织时，确保信息的安全。
• 资产管理：核查所有信息资产，做好信息分类，确保信息资产受到 适当程度的保护。
• 人力资源安全：确保所有员工、合同方和第三方了解信息安全威胁 和相关事宜，他们的责任、义务，以减少人为差错、盗窃、欺诈或 误用设施的风险。
pdca方法可编辑课件ppt33策划为处理风险选择控制目标和控制措施考虑接受风险的准则选择控制目标和措施适用性声明声明应包括选择的控制目标和措施选择的原因删减的合理性实施和运行do实施和运行isms提供资源实施培训提高意识按策划的要求管理isms的运行检查check监视和评审isms执行监视和评审程序定期评审isms的有效性和测量控制措施的有效性按计划实施内审和管理评审识别改进的机会保持和改进act保持和改进isms实施改进措施不断总结经验教训确保改进活动达到预期目的pdca方法可编辑课件ppt34ismsisms信息安全管理体系与等级保护对比体系目的控制项控制点isoiec27001建立适合企业实际情况的信息安全管理体系11个39个控制项133个控制点国家等级保护2007版等级保护基本要求保障国家人民社会的信息安全10个一级48个控制点二级66个控制点三级73个控制点四级77个控制点isms信息安全管理体系与等级保护对比可编辑课件ppt35此课件下载可自行编辑修改此课件供参考

c) 应能够对内部用户非授权联到外部网络的行为进行限制或检 查；
d) 应限制无线网络的使用，确保无线网络通过受控的边界防护设备 接入内部网络。
入侵防范
b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行 为； (新增)
设计要求
测评要求
通用要求
云计算
物联网
移动互联
工业控制
7
。 share
等保2.0标准解读
勇 share
等级保护1.0和2.0对比
旧标准(等级保护1.0)
技术要求
物理安全 网络安全 主机安全 应用安全
管理要求
数据安全及备份恢复 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理
9
新标准(等级保护2.0)
无 入侵防范
无
a) 应采用校验码技术或密码技术保证通信过程中数据的完整性；
通信传输 b) 应采用密码技术保证通信过程中敏感信息字段或整个报文的保密 性。
a) 应保证跨越边界的访问和数据流通过边界防护设备提供的受控接 口进行通信；
边界防护
b) 应能够对非授权设备私自联到内部网络的行为进行限制或检 查；
3
4
6 防水和防潮
3
2
7 防静电
2
1
8 温湿度控制
1
4
9 电力供应
3
3
10 电磁防护
2
。 share
物理位置的选择
原控制项
新控制项
b）机房场地应避免设在建筑物的高层或 地下室,以及用水设备的下层或隔壁。 物理位置的选择
b）机房场地应避免设在建筑物的顶层或地下室, 否则应加强防水和防潮措施
防静电
无

26
等级保护-主机安全整改要点
27
入侵防范
剩余信息保护
比较超前 较难实现
安全审计
访问控制
身份鉴别
资源控制
恶意代码防范
28
ቤተ መጻሕፍቲ ባይዱ
等级保护-应用安全概述
应用系统的安全就是保护系统的各种应用程序安全运行。包括 基本应用，如：消息发送、web浏览等；业务应用，如：电子 商务、电子政务等。 应用安全具体包括：9个控制点 身份鉴别（S）、访问控制（S）、安全审计 （G）、 剩余信息保护（S）、 通信完整性（S）、通信保密性（S）、抗抵赖（G）、 软件容错（A）、资源控制（A）
二级 一级
• 信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或 者对社会秩序和公共利益造成损害，但不损害国家安全。 • 信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害 国家安全、社会秩序和公共利益。
9
等级保护-定级
定级建议参考
一级信息系统：公民个人的单机系统，小型集体、民营企业 所属的信息系统，中、小学 校的信息系统，乡镇级党政机关、事业单位的信息系统，其他小型组织的信息系统。 二级信息系统：县级、地市级电信、广电、银行、铁道、海关、税务、民航、证券、电力、 保险、公安、财务、财政、金融、社保、工商、审计、能源、化工、社会服务保障、卫生、 交通运输、国土资源、邮政、 应急抢险、农业等行业所属独立的信息系统，中型集体、 民营企业、小型国有企业所属的信息系统，县级党政机关、事业单位的信息系统，普通高 等院校和科研机构的信息系统，其他中型组织的信息系统。 三级信息系统：省级和副省级电信、广电、银行、铁道、海关、税务、民航、证券、电力、 保险、公安、财政、金融、社保、工商、审计、能源、化工、社会服 金融、社保、工商、 审计、能源、化工、社会服务保障、卫生、交通运输、国土资源、邮政、应急抢险、农业 等行业所属独立的重要信息系统，大型集体、民营企业、大中型国有企业所属的重要信息 系统，地市级党政机关、事业单位的重要信息系统，重点高等院校和科研机构的重要信息 系统，其他大中型组织的信息系统。

防火
防静电
关键设备
稳定电压、短期供应
主要设备 主要设备
电力供应
电磁防护 防水和防潮
线缆隔离
温湿度控制
接地防干扰 电磁屏蔽
三级系统安全保护要求—网络安全

网络安全主要关注的方面包括：网络结构、网 络边界以及网络设备自身安全等。 网络安全具体包括：7个控制点 结构安全(G)、访问控制(G)、安全审计(G)、 边界完整性检查(A)、入侵防范(G)、 恶意代码防范(G)、网络设备防护(G)
三级系统安全保护要求—人员安全管理

对人员安全的管理，主要涉及两方面： 对内部 人员的安全管理和对外部人员的安全管理。 人员安全管理具体包括：5个控制点 人员录用、人员离岗、人员考核、 安全意识教育及培训、外部人员访问管理 整改要点：全员保密协议、关键岗位人员管理、 针对不同岗位的培训计划、外部人员访问管理

应用安全的整改要点
基本的身份鉴别 身份鉴别 访问控制 抗抵赖 安全审计 剩余信息保护 通信完整性 通信保密性 软件容错 资源控制 校验码技术 初始化验证 整个报文及会话过程加密 敏感信息加密
数据有效性检验、部分运行保护
组合鉴别技术 安全策略 最小授权原则 敏感标记的设置及操作
运行情况审计（用户级）
空间释放及信息清除 重要服务器：检测、记录、报警 重要程序完整性 主机与网络的防范产品不同 监视重要服务器
对用户会话数及终端登录的限制
入侵防范
最小服务水平的检测及报警
三级系统安全保护要求—应用安全

应用系统的安全就是保护系统的各种应用程序安全 运行。包括基本应用，如：消息发送、web浏览等； 业务应用，如：电子商务、电子政务等。 应用安全具体包括：9个控制点 身份鉴别（S）、访问控制（S）、安全审计 （G）、 剩余信息保护（S）、通信完整性（S）、 通信保密性（S）、抗抵赖（G）、软件容错（A）、 资源控制（A）

主要内容
等级保护相关政策介绍 等级保护测评简介
等级保护测评内容
等级保护测评流程 等级保护测评方式、技术和工具

17
等级保护测评内容
测评内容覆盖组织的重要信息资产 技术层面：测评和分析在网络和主机上存在的安全技术风险， 包括物理环境、网络设备、主机系统、数据库、应用系统等软 硬件设备
…
序号 …
设备名称 …
操作系统/数据库管理系统
业务应用软件 …
27

等级保护测评流程---各阶段提交物
前期沟通
制定计划与培训
收集资料
序号 姓名 … 岗位/角色 … 联系方式 … 序号 …
测评实施
设备名称 …
形成报告
用 途 … 重要程度 …
测评规划
…
序号 …
等级保护测评原则
标准性原则
规范性原则 可控性原则
整体性原则
测评工作具备充分的计 划性，不对现有的运 行和业务的正常提供 产生显著影响，尽可 能小地影响系统和网 络的正常运行。
最小影响原则
14

等级保护测评原则
从公司、人员、过程三个 标准性原则 方面进行保密控制： 1.测评公司与甲方双方签 署保密协议，不得利用 规范性原则 测评中的任何数据进行 其他有损甲方利益的活 可控性原则 动； 2.人员保密，公司内部签 整体性原则 订保密协议； 3.在测评过程中对测评数 最小影响原则 据严格保密。
5

等级保护测评简介
1.等级保护测评目的 2.等级保护测评依据
3.等级保护测评原则

等级保护测评依据
《信息安全等级保护管理办法》(公通字[2007]43号)
1.信息系统建设完成后，运营、使用单位或者其主管部门应 当选择符合本办法规定条件的测评机构，依据《信息系统安 全等级保护测评要求》等技术标准，定期对信息系统安全等 级状况开展等级测评； 2.第三级信息系统应当每年至少进行一次等级测评，第四级 信息系统应当每半年至少进行一次等级测评，第五级信息系 统应当依据特殊安全需求进行等级测评； 3.信息系统运营、使用单位及其主管部门应当定期对信息系 统安全状况、安全保护制度及措施的落实情况进行自查。第 三级信息系统应当每年至少进行一次自查，第四级信息系统 应当每半年至少进行一次自查，第五级信息系统应当依据特 殊安全需求进行自查； 4.经测评或者自查，信息系统安全状况未达到安全保护等级 要求的，运营、使用单位应当制定方案进行整改

信息安全等级保护概述
华中测评中心广西办事处 测评组长
什么叫信息安全
信息本身的机密性（Confidentiality）、完整性（ Integrity）和可用性（Availability）的保持，即防止 未经授权使用信息、防止对信息的非法修改和破坏、 确保及时可靠地使用信息。
保密性：确保信息没有非授权的 泄漏，不被非授权的个人、组织 和计算机程序. 1.
3
2.
员的恶意威胁、无意失误、较严重的技术故障等）所造成的主要资源损害并能够检测到此类威胁
3. 1. 4 2.
在威胁发生造成损害后，能够较快恢复绝大部分功能。 应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击 严重的自然灾难（灾难发生的强度大、持续时间长、覆盖范围广等）以及其他相当危害程度的威胁（内部人员的恶意威 胁、无意失误、严重的技术故障等）所造成的资源损害并能够检测到此类威胁
信息是指在信息系统中存储、传输、处理的数字化信息。
信息系统是指由计算机及其相关和配套的设备、设施构成的，按照一
定的应用目标和规则对信息进行存储、传输、处理的系统或者网络。
等级保护制度的原则
信息安全等级保护的核心是对信息安全分等级、按标准 进行建设、管理和监督。信息安全等级保护制度遵循以下基本 原则： • （一）明确责任，共同保护。通过等级保护，组织和动员 国家、法人和其他组织、公民共同参与信息安全保护工作 ；各方主体按照规范和标准分别承担相应的、明确具体的 信息安全保护责任。 • （二）依照标准，自行保护。信息系统运营、使用单位及 其主管部门按照国家相关法规和标准，自主确定信息系统 的安全保护等级，自行组织实施安全保护。 • （三）同步建设，动态调整。信息系统在新建、改建、扩 建时应当同步建设信息安全设施，保障信息安全与信息化 建设相适应。因信息和信息系统的应用类型、范围等条件 的变化及其他原因，安全保护等级需要变更的，应当根据 4

病原体侵入机体，消弱机体防御机能 ，破坏 机体内 环境的 相对稳 定性， 且在一 定部位 生长繁 殖，引 起不同 程度的 病理生 理过程
目录
1 概述
2 安全通用要求 3 云计算安全扩展要求 4 移动互联安全扩展要求 5 物联网安全扩展要求 6 工业控制安全要求
病原体侵入机体，消弱机体防御机能 ，破坏 机体内 环境的 相对稳 定性， 且在一 定部位 生长繁 殖，引 起不同 程度的 病理生 理过程
选择
安全运维 管理
环境管理
资产管理
介质管理
设备维护管理 漏洞和风险 管理 网络和系统 安全管理
恶意代码防范 管理
配置管理
密码管理
变更管理 备份与恢复
管理 安全事件处置 应急预案管理
外包运维管理
病原体侵入机体，消弱机体防御机能 ，破坏 机体内 环境的 相对稳 定性， 且在一 定部位 生长繁 殖，引 起不同 程度的 病理生 理过程
病原体侵入机体，消弱机体防御机能 ，破坏 机体内 环境的 相对稳 定性， 且在一 定部位 生长繁 殖，引 起不同 程度的 病理生 理过程
新增领域标准
云计算安全
物联网安全
工业控制安全
大数据安全
移动互联安全
病原体侵入机体，消弱机体防御机能 ，破坏 机体内 环境的 相对稳 定性， 且在一 定部位 生长繁 殖，引 起不同 程度的 病理生 理过程
数据完整性 数据保密性 数据备份恢复 剩余信息保护 个人信息保护
病原体侵入机体，消弱机体防御机能 ，破坏 机体内 环境的 相对稳 定性， 且在一 定部位 生长繁 殖，引 起不同 程度的 病理生 理过程
GB/T 22239.1等级保护安全通用要求
安全管理中心 系统管理 审计管理 安全管理 集中管控

《信息安全技术网络安全等级保护基本要求》
该标准规定了信息安全技术网络安全等级保护的基本要求，包括系统安全、数据 安全、应用安全等方面的要求，为企业开展信息安全等级保护工作提供了重要参 考。
THANK YOU.
信息安全技术发展
提升网络安全技术
加大对网络安全技术的研发和投入，发展更加高效、可靠的 安全防护技术。
培养网络安全人才
加强网络安全人才培养，提高网络安全人才的技术能力和素 质。
未来立法趋势
完善信息安全法律法规
完善信息安全法律法规，加大对网络犯罪的打击力度和惩罚力度。
加强个人隐私保护
强化个人隐私保护立法，防止个人信息被滥用和泄露。
关键信息基础设施供应链安全
企业应建立关键信息基础设施供应链安全管理制度，确保供 应链各环节的安全可控，防范供应链风险。
网络产品和服务采购要求
网络产品和服务采购安全审查
企业在采购网络产品和服务时，应进行安全审查，防范产品和服务的安全风 险。
供应商安全管理
企业应建立供应商安全管理制度，对供应商进行全面安全评估和审查，确保 供应商符合企业安全管理要求。
个人信息保护要求
个人信息保护义务
企业应严格遵守个人信息保护法律法规，收集、使用和披露个人信息应遵循合法 、正当、必要原则。
个人敏感信息保护义务
对于个人敏感信息，企业应采取更加严格的保护措施，确保个人敏感信息不被泄 露和滥用。
关键信息基础设施保护要求
关键信息基础设施安全保护
企业应加强关键信息基础设施的安全保护，采取技术措施和 其他必要措施保障关键信息基础设施的稳定运行和安全可靠 。
03
信息安全法的实施
法律责任
1 2
民事责任