计算机信息系统安全等级保护.ppt

等级保护发展过程,1994年国务院颁布的中华人民共和国计算机信息系统安全保护条例规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。1999年，公安部正式发布信息系统安全等级保护的国家标准GB17859-1999，将计算机信息系统的安全级别明确划分为5级并且提出了具体要求，这5级由高至低依次为：访问验证保护级、结构化保护级、安全标记保护级、系统审计保护级、用户自主保护级。GB17859-1999为等级保护奠定了基础。,等级保护发展过程,2003年中央办公厅、国务院办公厅转发的国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）中明确指出：“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2004年公安部等四部委关于信息安全等级保护工作的实施意见（公通字200466号）也指出，信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。,等级保护内涵,对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护（最主要）对信息系统中使用的信息安全产品实行按等级管理对发生的信息安全事件按照等级进行响应和处理等。,安全保护划分,将计算机信息系统按照其在国家安全、经济建设、社会生活中的重要程度，划分为5个不同级别，安全保护要求由高至低依次为：专控保护级（国家保密部门负责实施）强制保护级监督保护级指导保护级自主保护级,面向社会,安全保护划分,第二级：系统审计保护级(指导保护级),D,C,B,第一级：用户自主保护级,第三级：安全标记保护级(监督保护级),第四级：结构化保护级(强制保护级),第五级：访问验证保护级(专控保护级),A,E,适用于一般的信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。,适用于一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全。,适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成损害。,适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害。,安全保护实施过程,安全保护实施过程,安全保护实施过程,安全保护等级确定,安全保护等级确定,信息系统的重要性由以下四个要素决定，其中第一、二个要素决定信息系统内信息资产的重要性，第三、四个要素决定信息系统所提供服务的重要性，而信息资产及信息系统服务的重要性决定了信息系统的重要性。信息系统所属类型，即信息系统资产的安全利益主体 信息系统主要处理的业务信息类型 信息系统服务范围，包括服务对象和服务网络覆盖范围 业务对信息系统的依赖程度,等级保护案例简介,佛山市南海区电子政务等级保护试点项目,背景简介,佛山市南海区是我国电子政务发展最早的地区之一，被国务院办公厅确定为“国家电子政务试点示范工程”基地。南海电子政务应用系统的建设覆盖了全区各级政府部门，许多部门通过电子政务平台实现数据共享和数据交换，如何确保在保障信息安全的基础上，进一步实现电子政务系统之间的互连互通是进行等级保护工作的重要内容，因此选择南海区做为电子政务系统试点，有着重要的意义。,项目内容,系统调查与评估,南海等级化服务项目,分域保护框架建设对象,资产调查,总体安全建议,电子政务系统等级划分,建议方案和管理规范,应用与业务调查,定级规范,调查系统定级,分域设计,网络调整方案,安全组织管理办法,系统风险和安全措施调查,评估加固方案,体系和规划建议,项目报告,项目成果南海电子政务分域保护对象框架,项目成果电子政务系统等级划分大社保系统平台,项目成果电子政务系统等级划分,实施的解决方案的内容,管理体系建设南海区电子政务安全组织管理办法南海电子政务网络系统安全规范南海电子政务互联网服务安全规范南海电子政务安全业务系统接入规范南海电子政务系统等级安全措施指标南海电子政务信息安全应急预案南海区电子政务安全运行维护作业计划技术体系建设网络安全改造与安全域隔离 周期性安全评估与加固 政务网安全审计平台 安全监管中心平台 电子政务容灾备份中心“大社保系统”安全建议,项目成果总体安全建议,等级保护案例简介,某大型通信企业等级化安全体系咨询项目,等级化安全体系解决方案设计流程,项目内容,安全评估与等级划分,公司安全体系设计,公司等级化安全体系设计,安全组织体系,安全运作体系,安全规划,安全技术体系,安全策略,试点工作,3年安全规划,公司全面深度安全评估,网管系统安全域划分及原则规范,网管系统等级划分及原则规范,成果安全工作总体思路,现在，我们开始做,项目成果安全域划分（一期）,项目成果安全域划分（二期）,项目成果等级化安全体系的实现,安全管理运行中心,保护对象框架,项目成果安全组织体系,主管领导（主管安全）,领导小组组长,信息安全领导小组,业务部门负责人,成员,安全部门负责人,工作组组长,管理部门负责人,成员,部门安全管理员,成员,部门安全管理员,成员,安全办公室负责人,负责人,安全管理员,安全技术员,信息安全工作组,信息安全办公室,项目成果安全策略体系,信息安全方针,管理规定,工作流程,安全组织人员职责,技术规范,信息安全体系,公司层面,部门安全工作管理办法,部门安全组织人员职责,部门层面,工作表单,运行维护计划,应急响应计划,系统层面,项目成果技术体系,防病毒,监控,审计,认证,第三方统一接入,安全域,公司层面,访问控制,访问控制,访问控制,主机安全,边界隔离,数据库安全,应用安全,安全域,边界隔离,系统层面,项目成果安全运行体系,安全目标要求,PLAN：安全目标要求安全现状 安全计划（建设；维护）,Do：安全项目建设安全维护作业1、更新资产补丁拓扑服务等状态2、安全事件通报.3、安全加固4、更新安全现状和安全目标要求差距5、其他.,Check：日常安全检查周期性安全评估1、检查安全目标要求的完成状态2、评估安全状况（资产状态；弱点状态），3、安全现状是否符合可控安全环境,Action：调整安全目标要求规划安全项目绩效考核各部门、安全管理员,项目成果建设规划,安全组织体系和岗位职责,安全培训与资质认证,安全策略体系和流程梳理,全网安全域划分与边界整合,安全管理运行中心,安全策略与流程推广实施,常年安全咨询与外包服务,网络安全性调整和改造,安全体系核查与改造项目,技术体系建设,组织体系建设,策略体系建设,运作体系建设,安全规划,安全调查与风险评估,保护对象框架设计,定级,等级化安全体系设计,方案设计,等级评测,材料准备和等级认证,一个评估和定级项目,一个体系和规划项目,系列集成建设项目，3年,系列咨询和外包项目，3年,定级阶段,规划阶段,实施阶段,评审验收,体系推广与常年安全咨询,05年安全培训,06年安全培训,周期性安全评估,第三方接入平台,6件事-维护专网帐户口令,6件事-补丁管理检查,6件事-安全预警技术和组织方案,6件事-生产终端集中管理,6件事-服务与端口管理,公司安全办公室,运行维护中心,体系-组织,6件事-安全域划分,6件事-补丁更新,6件事-安全预警,6件事-生产终端集中管理,6件事-服务与端口管理,体系-策略,周期性安全评估,第三方接入平台建设、实施,6件事-安全域建设和实施,6件事-生产终端集中管理建设和实施,6件事-服务与端口管理建设和实施,其他：计算机案件处理,计算机案件行政违法刑事违法案件性质界定依据,行政违法责任和处罚,人身自由罚，对违法行为人的人身自由权利进行限制或者剥夺的行政处罚，中华人民共和国行政处罚法明确规定了行政拘留的处罚形式。声誉罚，对违法行为人的名誉、信誉或者精神上造成一定损害的行政处罚，具体形式包括警告和通报批评等。财产罚，对被处罚人的财产权利和利益受到损害的行政处罚，具体形式包括罚款和没收违法所得等。资格罚，以剥夺或限制被处罚人的资格为内容的行政处罚，主要形式为吊销许可证和取消联网资格等。责令作为与不作为罚，直接要求被处罚人作出某种行为或不得作出某种行为，也被称为义务罚，主要形式为停止生产、停机整顿、停止联网等。,行政违法责任和处罚,在计算机信息网络安全管理的实际执法中，主要的行政处罚包括警告、通报批评、停机整顿、责令停止联网、取消联网资格、取消检测资格、罚款、吊销许可证、拘留等形式。,行政违法案件查处程序,立案调查取证裁决执行,刑事犯罪类型,非法侵入计算机信息系统罪 破坏计算机信息系统罪 利用计算机作为工具实施犯罪,3项罪行在刑法第285287条有相应的阐述,刑事犯罪案件处理程序,报案和受理我国计算机信息系统安全保护条例第十四条规定，“对计算机信息系统中发生的案件，有关使用单位应当在小时内向当地县级以上人民政府公安机关报告”。报案渠道直接向所辖地区的派出所报案，由派出所予以受理。通过统一报警电话110，向公安机关报案。通过公安部网络违法案件举报网站http:/，向公安部报案。,关于计算机犯罪事件（1）及时报告（2）不对系统做任何操作，保留现场证据（3）公安部相关技术人员操作 利用专有工具先做一份内存镜像 硬盘整块镜像，原始硬盘保存，对镜像盘进行取证分析 保管过程要严格管理,