等級保護解決方案
2018-12-06
簡介
信息安全等級保護要求不同安全等級的信息系統應具有不同的安全保護能力,一方面通過在安全技術和安全管理上選用與安全等級相適應的安全控制來實現;另一方面分布在信息系統中的安全技術和安全管理上不同的安全控制,通過連接、交互、依賴、協調、協同等相互關聯關系,共同作用于信息系統的安全功能,使信息系統的整體安全功能與信息系統的結構以及安全控制間、層面間和區域間的相互關聯關系密切相關。
信息系統的安全保護等級分為以下五級
第一級: 信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級: 信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級: 信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級: 信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級: 信息系統受到破壞后,會對國家安全造成特別嚴重損害。
安全風險分析模型
☆物理環境安全
地震、水災、火災、雷電等環境事故,機房電力設備和其它配套設備的運行故障,因接地不良、機房屏蔽性能差引起的靜電干擾或外界的電磁干擾
☆設備安全
設備物理損毀和丟失,設備非授權使用,輸出信息泄密
☆存儲介質安全
因保管或使用不當而損毀,丟失或被非授權使用
☆設備運行安全
能源供應不當,備份與恢復措施不當,病毒與惡意代碼防御不當
☆涉密信息安全
訪問控制與身份鑒別措施不當,密碼保護措施不當,電磁泄露導致的風險
☆非授權人員安全
缺乏重要區域對授權人員的有效管理與控制
☆通信線路安全
光纖、雙絞線在使用中出現的人為或非人為的安全風險
信息安全等級保護評估要素
☆身份鑒別
☆自主訪問控制
☆客體重用
☆完整性
☆審計
對應用服務的工作流程、流程中所傳輸的數據內容、所經過的傳輸環節(客戶終端、路由器、交換機、中心服務器節點)對數據采取的保護措施、應用服務支撐平臺(如SQL Server 2000等)的安全狀況、應用服務流程中各組件自身的安全狀況進行調查。
根據驗證方案,現場操作人員協助評估工程師完成一次全過程的應用服務。評估工程師根據此過程中所采取或所能采取的安全保護措施,確定安全要素在訪問路徑上的實現狀況實施現場驗證。
根據評估的結果,總結系統安全要素的實現狀況,確定信息系統所達到的安全等級,提出可行的安全建議,并撰寫完善的安全評估報告。
安全保證要求評估 安全保證要求評估主要以與協助人員交流,查閱并分析系統開發過程中相關的文檔資料為主??疾斓膬热莅ㄐ畔⑾到y安全功能自身安全保護、密碼支持、生命周期支持、配置管理、開發、測試、指導性文檔、脆弱性分析、交付與運行等。
等級保護安全設計各項指標要求
等級保護安全體系設計方法
等級保護安全體系安全平臺結構定義
等級保護安全運維流程
等級保護整體安全運維體系
