H3C安全等级保护方案.pptx

H3C安全等级保护方案汇报点击添加文本点击添加文本点击添加文本点击添加文本目录等级保护概述等级保护条款解读及应对策略H3C等级保护解决方案H3C等级保护安全产品简介H3C安全等保保护实践2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合发布《信息安全等级保护管理办法》(公字【2007】43号文),在全社会范围内(包括国家单位、企业单位、行业等)推行“信息安全等级保护”政策。推行“信息安全等级保护”政策意义:(一)在国民经济和社会信息化发展过程中,提高信息安全保障能力和水平。(二)调动国家、法人、其他组织、公民安全防护积极性。通俗理解为——“谁主管、谁负责、谁运营、谁负责”“管好自己的一亩三分地,保家卫国”信息安全等级保护背景指导监管部门:国家等保工作开展、推进、指导。技术支撑部门:国家等保标准制定、修订、培训、技术指导以及全国测评单位管理。国家测评机构行业测评机构地方测评机构信息安全等级保护管理组织等级保护指导政策《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)《信息安全等级保护工作的实施意见》(公通字[2004]66号)《信息安全技术信息系统安全等级保护实施指南》GB/T25058-2010《信息安全等级保护管理办法》(公通字〔2007〕43号)等级保护工作标准《信息安全技术信息系统安全等级保护基本要求》GB/T22239-2008《信息安全技术信息系统安全等级保护测评要求》MSTL-JBZ-05-005《信息安全技术信息系统安全等级保护测评过程指南》GB/T28449-2012信息安全等级保护国家标准1级自主保护监督保护强制保护专控保护2级3级4级5级依据国家管理规范和技术标准进行保护在国家监管部门指导下保护受到国家监管部门监督、检查下保护受到国家安全监管部门强制监督、检查下保护国家指定专门部门专门监督、检查下保护指导保护信息安全等级划分监管要求用户自主控制资源访问第一级用户自主保护重要敏感信息进行标记访问控制,通过标记实现强制访问控制第三级安全标记保护主体和客体之间细粒度访问控制,建立可信隐蔽通道,可信计算结构化。第四级结构化保护所有过程都需要进行验证。第五级访问验证保护第二级系统审计保护用户访问行为需要被审计信息安全等级保护级别根据业务信息和系统服务遭到破坏或泄密后,对国家安全、社会秩序、公共利及公民、法人、其他组织的合法利益的危害程度来进行定级。受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级信息系统定级安全保护能力技术措施管理措施包含具备基本安全要求满足包含满足实现等级保护要求模型《基本要求》的描述模型等级保护的建设模型每一等级信息系统等级保护的生命周期信息系统等级保护实施生命周期内的主要活动等级化风险评估安全总体设计安全建设规划安全方案设计安全产品采购安全控制集成测试与验收管理机构的设置管理制度的建设人员配置和岗位培训安全建设过程的管理操作管理和控制变更管理和控制安全状态监控事件处置和应急预案安全评估和持续改进监督检查系统调查和描述子系统划分/分解子系统边界确定安全等级确定定级结果文档化定级阶段规划设计阶段安全实施阶段安全运行管理阶段