H3C安全等级保护方案V1.0-.pptx

H3C安全等级保护方案汇报
H3C安全产品部
2015年11月
点击添加文本
点击添加文本
点击添加文本
点击添加文本
目录
等级保护概述
等级保护条款解读及应对策略
H3C等级保护解决方案
H3C等级保护安全产品简介
H3C安全等保保护实践
2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合发布《信息安全等级保护管理办法》(公字【2007】43号文),在全社会范围内(包括国家单位、企业单位、行业等)推行“信息安全等级保护”政策。
推行“信息安全等级保护”政策意义:
(一)在国民经济和社会信息化发展过程中,提高信息安全保障能力和水平。
(二)调动国家、法人、其他组织、公民安全防护积极性。
通俗理解为——
“谁主管、谁负责、谁运营、谁负责”
“管好自己的一亩三分地,保家卫国”
信息安全等级保护背景
指导监管部门:
国家等保工作开展、推进、指导。
技术支撑部门:
国家等保标准制定、修订、培训、技术指导以及全国测评单位管理。
国家测评机构
行业测评机构
地方测评机构
信息安全等级保护管理组织
等级保护指导政策
《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)
《信息安全等级保护工作的实施意见》(公通字[2004]66号)
《信息安全技术信息系统安全等级保护实施指南》GB/T 25058-2010
《信息安全等级保护管理办法》(公通字〔2007〕43号)
等级保护工作标准
《信息安全技术信息系统安全等级保护基本要求》GB/T 22239-2008
《信息安全技术信息系统安全等级保护测评要求》 MSTL-JBZ-05-005
《信息安全技术信息系统安全等级保护测评过程指南》GB/T 28449-2012
信息安全等级保护国家标准
1级
自主保护
监督保护
强制保护
专控保护
2级
3级
4级
5级
依据国家管理规范和技术标准进行保护
在国家监管部门指导下保护
受到国家监管部门监督、检查下保护
受到国家安全监管部门强制监督、检查下保护
国家指定专门部门专门监督、检查下保护
指导保护
信息安全等级划分监管要求
用户自主控制资源访问
第一级
用户自主
保护
重要敏感信息进行标记访问控制,通过标记实现强制访问控制
第三级
安全标记
保护
主体和客体之间细粒度访问控制,建立可信隐蔽通道,可信计算结构化。
第四级
结构化
保护
所有过程都需要进行验证。
第五级
访问验证
保护
第二级
系统审计
保护
用户访问行为需要被审计
信息安全等级保护级别
根据业务信息和系统服务遭到破坏或泄密后,对国家安全、社会秩序、公共利及公民、法人、其他组织的合法利益的危害程度来进行定级。
受侵害的客体
对客体的侵害程度
一般损害
严重损害
特别严重损害
公民、法人和其他组织的合法权益
第一级
第二级
第二级
社会秩序、公共利益
第二级
第三级
第四级
国家安全
第三级
第四级
第五级
信息系统定级
安全保护能力
技术措施
管理措施
包含
具备
基本安全要求
满足
包含
满足
实现
等级保护要求模型
《基本要求》的描述模型
等级保护的建设模型
每一等级信息系统
等级保护的生命周期
信息系统等级保护实施生命周期内的主要活动
等级化风险评估
安全总体设计
安全建设规划
安全方案设计
安全产品采购
安全控制集成
测试与验收
管理机构的设置
管理制度的建设
人员配置和岗位培训
安全建设过程的管理
操作管理和控制
变更管理和控制
安全状态监控
事件处置和应急预案
安全评估和持续改进
监督检查
系统调查和描述
子系统划分/分解
子系统边界确定
安全等级确定
定级结果文档化
定级阶段
规划设计阶段
安全实施阶段
安全运行管理阶段