等保與安全講座1027

1、22022-4-294Internet EmailWeb 瀏覽瀏覽Intranet 電子商務電子商務 電子政務電子政務電子交易電子交易時間時間7891011121314152122 。網絡安全的目的防火墻是指設置在不同網絡或網絡安全域之間的一系列部件的組合和信息的唯一出入口，能根據企業(yè)的安全政策控制出入網絡的信息流，且本身具有較強的抗攻擊能力，是提供信息安全服務，實現網絡和信息安全的基礎設施。File ServerClientMail ServerClientClientClientFTP Server防火墻2022-4-29282022-4-2930 1、 10、應用安全技術 11、系統安全

2、技術 12、數據庫安全技術 13、安全路由器（具有防火墻的功能，提供某些地址和服務的過濾機制，可以在一定程度上限制訪問。還有帶信息加密的路由器（成對使用）； 14、物理隔離技術 15、災難恢復與備份技術安全服務建立相應的標準定位一、定級如何進行定級p定級對象確定p受侵害客體的分析p侵害程度的分析關鍵技術環(huán)節(jié)定級依據：GB/T22240-2008信息安全技術信息系統安全等級保護定級指南定級對象的三個條件 國家政權穩(wěn)固和國防實力 國家統一、民族團結和社會安定 國家對外活動中的政治、經濟利益 國家重要的安全保衛(wèi)工作 國家經濟競爭力和科技實力 其他影響國家安全的事項 影響國家機關社會管理和公共服務的工

3、作秩序 影響各種類型的經濟活動秩序 影響各行業(yè)的科研、生產秩序 影響公眾在法律約束和道德規(guī)范下的正常生活秩序等 其他影響社會秩序的事項 由法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權利和利益。侵害客體影響行使工作職能導致業(yè)務能力下降引起法律糾紛導致財產損失造成社會不良影響對其他組織和個人造成損失其他影響 受到破壞后可能產生的危害后果定級要素與等級的關系侵害客體對客體的侵害程度 一般損害 嚴重損害 特別嚴重損害 公民、法人和其他組織的合法權益第一級 第二級 第二級 社會秩序、公共利益第二級 第三級 第四級 國家安全第三級 第四級 第五級 業(yè)務信息安全保護等級矩陣表系統服務安全

4、保護等級矩陣表系統安全保護等級矩陣表等級確定矩陣二、備案調整等級保護定級怎么處理？信息系統安全保護措施動態(tài)調整等級調整因素：?！爸笇б庖姟贬槍Χ墏浒傅囊?安全保護現狀分析、查找安全隱患以及與國家信息安全等級保護標準之間的差距，確定安全需求。差距分析 制定信息系統安全等級保護建設整改方案。第三級（含）以上的重要衛(wèi)生信息系統建設整改方案應當經過信息安全技術專家委員會論證。方案設計 完善安全保護設施，建立安全管理制度，落實安全管理措施，形成信息安全技術防護體系和信息安全管理體系，保障衛(wèi)生信息系統安全。建設實施整改依據：GB信息系統安全等級保護基本要求風險、差距分析風險評估自評估委托評估方案設計規(guī)

5、劃體系設計策略體系設計管理體系設計技術體系設計運維體系設計物理安全網絡安全主機安全應用安全數據安全管理安全級別技術部分控制點要求項一級2033二級3279三級36136四級40148級別管理部分控制點要求項一級2852二級3496三級37154四級37170級別級別整體數量整體數量控制點控制點要求項要求項一級一級4885二級二級66175三級三級73290四級四級77868級別級別技術部分技術部分物理安全網絡安全主機安全應用安全數據安全及備份恢復一級一級控制點要求項控制點要求項控制點要求項控制點要求項控制點要求項7939464722二級二級控制點要求項控制點要求項控制點要求項控制點要求項控制點

6、要求項101961861971934三級三級控制點要求項控制點要求項控制點要求項控制點要求項控制點要求項103273373293138四級四級控制點要求項控制點要求項控制點要求項控制點要求項控制點要求項10337329361136311級別級別管理部分管理部分安全管理制度安全管理制度安全管理機構安全管理機構人員安全管理人員安全管理系統建設管理系統建設管理 系統運維管理系統運維管理一級一級控制點要求項控制點要求項控制點要求項控制點要求項控制點要求項234447920918二級二級控制點要求項控制點要求項控制點要求項控制點要求項控制點要求項37595119281241三級三級控制點要求項控制點要求

7、項控制點要求項控制點要求項控制點要求項31152051611451362四級四級控制點要求項控制點要求項控制點要求項控制點要求項控制點要求項31452051811481370安全等級控制點要求項91910321039 物理位置的選擇 （2項） 物理訪問控制 （4項） 防盜竊和防破壞 （6項） 防雷擊 （3項） 防火 （3項） 防水和防潮 （4項） 防靜電 （2項） 溫濕度控制 （1項） 電力供應 （4項） 電磁防護 （3項）以第三級為例安全等級控制點要求項 結構安全 （7項） 訪問控制 （8項） 安全審計 （4項） 邊界完整性檢查 （2項） 入侵防范 （2項） 惡意代碼防范 （2項） 網絡設備

8、防護 （8項）以第三級為例安全等級控制點要求項第一級第二級第三級第四級 身份鑒別 （6項） 訪問控制 （7項） 安全審計 （6項） 剩余信息保護 （2項） 入侵防范 （3項） 惡意代碼防范 （3項） 系統資源控制 （5項）以第三級為例數據庫安全是主機安全的一個部分，數據庫的測評指標是從“主機安全”和“數據安全及備份恢復”中根據數據庫的特點映射得到的。 身份鑒別 （6項） 訪問控制 （7項） 安全審計 （6項） 資源控制 （3項） 備份與恢復（2項）以第三級為例安全等級控制點要求項 一、身份鑒別 （5項） 二、訪問控制 （6項） 三、安全審計 （4項） 四、剩余信息保護 (2項) 五、通信完整性

9、 (1項) 六、通信保密性 (2項) 七、抗抵賴 (2項) 八、軟件容錯 (2項) 九、資源控制 （7項）以第三級為例階階段段責責任任單單位位信息系統定級 總體安全規(guī)劃1.信息系統分析2.安全保護等級確定 安全設計與實施 安全運行與維護 信息系統終止1.風險評估和等保差距分析2.總體安全規(guī)劃設計（1）安全需求分析（2）總體安全設計（3）安全建設項目規(guī)劃1.安全方案詳細設計2.安全整改建設（1）編制管理制度、流程等文檔（2）實施技術措施，進行安全設備調試和系統集成1.安全運維（1）安全巡檢（2）滲透測試、安全加固（3）應急響應（4）安全通告2.等級測評1.數據處理2.銷毀處理3.遷移、廢棄處理業(yè)

10、務業(yè)務系統系統開發(fā)開發(fā)責責任任單單位位準備階段 總體設計1.信息系統分析2.安全保護等級確定 詳細設計開發(fā) 運行維護1.風險評估2.總體安全規(guī)劃設計服務（1）安全需求分析（2）總體安全設計（3）安全建設項目規(guī)劃1.安全方案詳細設計2.安全整改建設（1）編制管理制度、流程等文檔（2）實施技術措施，進行安全設備調試和系統集成1.安全運維（1）安全巡檢（2）滲透測試、安全加固（3）應急響應（4）安全通告2.等級測評1.數據處理2.銷毀處理3.遷移、廢棄處理準備階段 總體設計 詳細設計與實施運行與維護 系統終止信息系統定級 總體安全規(guī)劃 安全設計與實施 安全運行與維護 信息系統終止基礎基礎網絡網絡建設建設安全安全體系體系建設建設 信息系統終止指導 密碼技術 標識與認證技術 授權與訪問控制技術 系統安全技術 漏洞掃描技術 漏洞分析技術 安全測評技術 入侵檢測技術 應急響應技術 備份恢復技術應當按照信息安全等級保護管理辦法要求，從全國信息安全等級保護測評機構推薦目錄中選擇等級測評機構，對第三級（含）以上重要衛(wèi)生信息系統進行等級測評。1、測評申請-系統建設整改工作完成后開展測評第三級（含）以上重要衛(wèi)生信息系統至少應每年進行等級測評。對于重要部門的第二級信息系統，可參照上述要求進行等級測評工作。測評合格后，應當將測評報告向屬地公安機關備案，并向屬地衛(wèi)生行政部門報備。2、測評備案測評合格