信息安全标准介绍ppt课件.ppt
《信息安全标准介绍ppt课件.ppt》由会员分享,可在线阅读,更多相关《信息安全标准介绍ppt课件.ppt(120页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、 2010 联想网御信息安全相关标准介绍安全服务部 袁曙光联想网御科技(北京)有限公司目录信息安全标准概述等级保护标准 ISO27000系列标准 ITIL与ISO20000 企业内控相关标准什么是标准什么是标准标准是对重复性事物和概念所作的统一规定。它以科学、技术和实践经验的综合成果为基础,经有关方面协商一致,由主管机构批准,以特定形式发布,作为共同遵守的准则和依据。“没有规矩,不成方圆”主要的信息安全标准国际标准主要的信息安全标准国际标准发布的机构发布的机构安全标准安全标准1ISO(国际标准组织)ISO17799/ISO27001/ISO27002ISO/IEC 15408ISO/IEC 1
2、3335ISO/TR 135692ISACA(信息系统审计与控制学会)COBIT 4.13ISSEA(国际系统安全工程协会)SSE-CMM Systems Security Engineering - Capability Maturity Model 3.04ISSA(信息系统安全协会)GAISP Version 3.05ISF (信息安全论坛)The Standard of Good Practice forInformation Security6IETF (互联网工程任务小组)各种RFC (Request for Comments)主要的信息安全标准国际标准主要的信息安全标准国际标准(
3、 (续)续)发布的机构发布的机构安全标准安全标准7NIST(国家标准和技术研究所)NIST 800系列8DOD (美国国防部)TCSEC(可信计算机系统评测标准) 彩虹系列9Carnegie Mellon Software Engineering Institute (SEI) Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) Criteria Version 2.010OECD(经济与贸易发展组织)Guidelines for the Security of InformationSyste
4、ms and Networks and AssociatedImplementation Plan11The Open GroupManagers Guide to Information Security12ITILSecurity management除了上述标准,世界各国的官方机构和行业监管机构还有许多信息安全方面的标准、指引和建议的操作实践。主要的信息安全标准国内标准主要的信息安全标准国内标准发布的机构发布的机构安全标准安全标准1全国信息安全标准化技术委员会等级保护系列标准信息安全技术 信息系统安全等级保护基本要求信息安全技术 信息系统安全等级保护定级指南 信息安全技术 信息系统安全等
5、级保护实施指南其他信息安全标准 截至2007年底,共完成了国家标准59项,还有56项国家标准在研制中。2公安部、安全部、国家保密局、国家密码管理委员会等部门 一系列的信息安全方面的政策法规如:计算机信息网络国际联网安全保护管理办法 互联网信息服务管理办法计算机信息系统保密管理暂行规定 计算机软件保护条例商用密码管理条例,等。第 7 页信息安全标准的演进信息安全标准的演进各个主流标准的使用位置各个主流标准的使用位置目录信息安全标准概述等级保护标准 ISO27000系列标准 ITIL与ISO20000 企业内控相关标准等级保护相关法规等级保护相关法规1、1994年中华人民共和国计算机信息系统安全保
6、护条例 (国务院147号令)2、2003年国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)3、关于信息安全等级保护工作的实施意见(公通字200466号)4、信息安全等级保护管理办法(公通字200743号5、关于开展全国重要信息系统安全保护等级定级工作的通知(公信安2007861号)6、国务院办公厅关于印发的通知(国办发200928号)7、发改委、公安部、国家保密局会签文件关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号)8、信息安全等级保护备案实施细则(公信安20071360号9、公安机关信息安全等级保护检查工作规范(试行)(公信安
7、2008736号 )10、关于开展信息安全等级保护安全建设整改工作的指导意见(2009年10月)重要法规梳理重要法规梳理l27号文:明确指出“实行信息安全等级保护”,这是我国第一个信息安全保障工作的纲领性文件。l66号文:等级保护是今后国家信息安全的基本制度也是根本方法、等级保护制度的重要意义、原则、基本内容、工作职责分工、工作要求和实施计划。 l43号文:明确 五个安全等级,确立了等级保护主要内容是定级、备案、系统建设整改、等级测评、监督检查。l736号文:是等级保护检查工作制定的工作规范,在检查依据、内容、程序、形式、时限要求等方面了详细规定。l2009年10月发布关于开展信息安全等级保护
8、安全建设整改工作的指导意见,是信息系统定级备案工作完成后,开展信息安全等级保护后续工作的指导性文件。类别类别要求要求公安机关公安机关监督、检查、指导。国家保密工作部门国家保密工作部门保密保密工作的监督、检查、指导。国家密码管理部门国家密码管理部门密码密码工作的监督、检查、指导。工信部信息安全协调司工信部信息安全协调司部门间的协调其他职能部门其他职能部门依据国际法律法规的规定信息安全等级保护管理办法(公通字【2007】43号),明确了公安、保密、密码、信息化部门以及其他部门的职责:我国我国信息安全等级保护职责信息安全等级保护职责分工分工等级保护职责分工原则等级保护职责分工原则l谁主管、谁负责l谁
9、运营、谁负责l谁建设、谁负责等级保护标准体系等级保护标准体系基础类标准基础类标准计算机信息系统安全保护等级划分准则(GB17859-1999)信息系统安全等级保护基本要求(GB/T 22239-2008)等级保护标准体系等级保护标准体系应用类标准应用类标准u 信息系统定级信息系统安全保护等级定级指南(GB/T 22240-2008)u 等级保护实施信息系统安全等级保护实施指南(报批稿)u 信息系统安全建设信息系统通用安全技术要求(GB/T 20271-2006)信息系统等级保护安全设计技术要求(报批稿)信息系统安全管理要求(GB/T 20269-2006)信息系统安全工程管理要求(GB/T 2
10、0282-2006)信息系统物理安全技术要求(GB/T 21052-2007)网络基础安全技术要求(GB/T 20270-2006)信息系统安全等级保护体系框架(GA/T 708-2007)信息系统安全等级保护基本模型(GA/T 709-2007)信息系统安全等级保护基本配置(GA/T 710-2007)u 等级测评信息系统安全等级保护测评要求(报批稿)信息系统安全等级保护测评过程指南(报批稿)信息系统安全管理测评(GA/T 713-2007) 等级保护标准体系等级保护标准体系产品类标准产品类标准u 操作系统操作系统安全技术要求操作系统安全评估准则u 数据库数据库管理系统安全技术要求数据库管理
11、系统安全评估准则u 网络网络端设备隔离部件技术要求网络端设备隔离部件测试评价方法u PKI公钥基础设施安全技术要求PKI系统安全等级保护技术要求u 网关网关安全技术要求服务器服务器安全技术要求u 入侵检测入侵检测系统技术要求和检测方法计算机网络入侵分级要求u 防火墙防火墙安全技术要求防火墙技术测评方法u 路由器路由器安全技术要求路由器安全评估准则路由器安全测评要求u 交换机网络交换机安全技术要求交换机安全测评要求u 其他产品终端计算机系统安全等级技术要求终端计算机系统测评方法审计产品技术要求和测评方法等级保护标准体系等级保护标准体系其他类标准其他类标准u 风险评估信息安全风险评估规范(GB/T
12、 20984-2007)u 事件管理信息安全事件管理指南(GB/Z 20985-2007)信息安全事件分类分级指南(GB/Z 20986-2007)信息系统灾难恢复规范(GB/T 20988-2007GB/T 20988-2007) 等等级级保保护护标标准准关关系系信息系统安全等级保护基本要求信息系统安全等级保护基本要求GB/T 22239-2008计算机信息系统安全保护等级划分准则(GB17859)信息系统通用安全技术要求信息系统物理安全技术要求技术类技术类其他技术类标准信息系统安全管理要求信息系统安全工程管理要求其他管理类标准信息系统安全等级保护定级指南(GB/T 22240-2008)信
13、息系统安全等级保护基本要求的行业细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求管理类管理类产品类产品类数据库管理系统安全技术要求其他产品类标准信息系统安全等级保护行业定级细则操作系统安全技术要求信息安全等级信息安全等级保护安全建设保护安全建设网络基础安全技术要求网络和终端设备隔离部件技术要求安全等级基线要求状况分析方法指导信息系统安全等级保护实施指南 关于开展信息安全等级保护安全建设整改工作的指导意见 计算机信息系统安全保护等级划分准则(GB17859-1999) 信息系统安全等级保护基本要求(GB/T 22239-2008) 信息系统安全等级
14、保护实施指南(报批稿)主要政策标准主要政策标准指导意见指导意见关于开展信息安全等级保护安全建设整改工作的指导意见 在全国完成信息系统安全保护定级工作后,公安部拟下发通知部署安全保护等级为第三级以上的信息系统(以下简称“重要信息系统”)等级保护安全建设工作。等级保护安全建设工作主要包括三项工作内容:一是开展重要信息系统等级测评工作;二是开展重要信息系统安全建设整改工作;三是开展重要信息系统检查工作。 是信息系统定级备案工作完成后,开展信息安全等级保护后续工作的指导性文件。本通知下发后,国家信息安全等级保护制度的政策体系将基本成型。指导意见中的指导意见中的“工作目标工作目标” 依据信息安全等级保护
15、有关政策和标准,通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评,落实等级保护制度的各项要求,使信息系统安全管理水平明显提高,安全防范能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益,力争在2012年底前完成已定级信息系统安全建设整改工作。指导意见中指导意见中“工作目标工作目标”的政策要点的政策要点(一)工作主体各地区、各部门,这其中包括信息系统备案单位;(二)工作对象安全保护等级为第三级以上的信息系统;(三)工作内容信息系统等级测评工作、信息系统安全建设整改工作、等级保护工作监督、检查;指导意见中指导意见中“工作目标工作目
16、标”的政策要点的政策要点(四)工作依据等级保护政策和标准,主要包括:国务院147号令,中办发27号文件、公通字66号文件、43号文件以及基本要求、测评要求测评工作过程指南、实施指南、测评过程指南等相关技术标准;指导意见中指导意见中“工作目标工作目标”的政策要点的政策要点(五)时间要求总体上用三年时间完成重要信息系统安全建设工作。各地区、各部门要于2009年底前完成工作部署,从2010年开始到2011年底前完成全国三级以上重要信息系统安全建设工作。为体现“突出重点、保护重点”的原则,安全保护等级为第四级的信息系统应于2010年底前完成等级保护安全建设工作;指导意见中指导意见中“工作目标工作目标”
17、的政策要点的政策要点(六)直观工作目标明确等级保护安全建设需求,有针对性的开展安全等级保护管理制度建设和技术措施建设,落实等级保护制度的各项要求。在信息系统整个生命周期中,在系统立项、规划设计、建设、投入使用、日常运维等各个工作环节,通过定级、备案、等级测评、建设整改、监督检查等工作流程,建立并完善等级保护工作领导体制和工作机制,落实各项工作责任,落实各项管理制度和技术措施,认真开展自查和检查等;指导意见中指导意见中“工作目标工作目标”的政策要点的政策要点(七)根本工作目标这是国家贯彻落实信息安全等级保护制度的根本目标。贯彻实施信息安全等级保护工作不仅要提升系统安全保护能力,而且提出系统安全要
18、保障信息化健康发展,维护国家安全、社会秩序和公共利益,这与信息系统定级工作的依据标准一致,安全建设作为信息系统定级的后续工作,其工作目标与信息系统定级依据相同,在政策体系上保持了一致。建设整改的流程建设整改的流程信息系统安全建设整改工作分五步进行。第一步:制定信息系统安全建设整改工作规划,对信息系统安全建设整改工作进行总体部署;第二步:开展信息系统安全保护现状分析,从管理和技术两个方面确定信息系统安全建设整改需求;第三步:确定安全保护策略,制定信息系统安全建设整改方案;第四步:开展信息系统安全建设整改工作,建立并落实安全管理制度,落实安全责任制,建设安全设施,落实安全措施;第五步:开展安全自查
19、和等级测评,及时发现信息系统中存在安全隐患和威胁,进一步开展安全建设整改工作。该流程如下图所示。信息系统安全管理建设信息系统安全技术建设开展信息系统安全自查和等级测评信息系统安全保护现状分析信息系统安全建设整改工作规划和工作部署确定安全策略,制定安全建设整改方案物 理 安 全网 络 安 全主 机 安 全应 用 安 全数 据 安 全安全管理机构安全管理制度人员安全管理系统建设管理系统运行管理建设整改的流程建设整改的流程管理制度建设管理制度建设明确主管领导、落实责任部门落实安全岗位和人员信息系统安全管理现状分析确定安全管理策略、制定安全管理制度安全自查和调整系统建设管理落实安全管理措施人员安全管理
20、环境和资产管理设备和介质管理日常运行维护集中安全管理事件处置和应急响应灾难备份安全监测系统运维管理安全技术建设安全技术建设信息系统安全保护技术现状分析开展建设整改技术方案详细设计工程实施及验收等级测评不符合标准要求开展建设整改技术方案论证和评审确定安全策略,开展建设整改技术方案总体设计通信网络安全物理安全。应用系统安全区域边界安全主机系统安全备份和恢复建设并落实安全技术措施计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则早在1985年,美国国防部为指导计算机安全产品的制造和数据处理系统的安全建设与评估,制定并颁布了可信计算机系统评估准则(DoD 5200.28-STD),也
21、就是TCSEC。1999年我国在此标准的基础上修改制定了国家强制标准GB 17859-1999计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则 GB 17859-1999计算机信息系统安全保护等级划分准则 用户自主保护级 自主访问控制、身份鉴别、数据完整性 系统审计保护级 自主访问控制、身份鉴别、数据完整性、安全审计、客体重用 安全标记保护级 自主访问控制、身份鉴别、数据完整性、安全审计、客体重用、强制访问控制、标记 结构化保护级 自主访问控制、身份鉴别、数据完整性、安全审
22、计、客体重用、强制访问控制、标记、隐蔽信道分析、可信路径 访问验证保护级 自主访问控制、身份鉴别、数据完整性、安全审计、客体重用、强制访问控制、标记、隐蔽信道分析、可信路径、可信恢复基本要求基本要求标准编制思路标准编制思路一级系统一级系统二级系统二级系统三级系统三级系统四级系统四级系统防护防护防护防护/监测监测策略策略/防护防护/监测监测/恢复恢复策略策略/防护防护/监测监测/恢复恢复/响应响应一级系统一级系统二级系统二级系统三级系统三级系统四级系统四级系统通信通信/边界(基本)边界(基本)通信通信/边界边界/内部(关键设备)内部(关键设备)通信通信/边界边界/内部(主要设备)内部(主要设备)
23、通信通信/边界边界/内部内部/基础设施(所有设备)基础设施(所有设备)基本要求基本要求标准编制思路标准编制思路基本要求的组织方式基本要求的组织方式某级系统某级系统类类技术要求技术要求管理要求管理要求基本要求基本要求类类控制点控制点具体要求具体要求控制点控制点具体要求具体要求三、标准的主要内容三、标准的主要内容7 第三级基本要求7.1 技术要求7.1.1 物理安全(类)7.1.1.1 物理位置的选择(控制点) 本项要求包括(具体要求) a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内 b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下 层或隔壁。 。7.2 管理要求7.2.
24、1 安全管理制度(类)7.2.1.1 管理制度(控制点) 本项要求包括: (具体要求) a)应制定信息安全工作的总体方针和安全策略,说明机构安全工作 的总体目标、范围、原则和安全框架等; b)应对安全管理活动中的各类管理内容建立安全管理制度;实施指南实施指南- -基本实施过程基本实施过程重大变更重大变更局部调整局部调整系统定级系统定级安全规划设计安全规划设计安全实施安全实施/ /实现实现安全运行管理安全运行管理系统终止系统终止与信息系统生命周期之间的关系与信息系统生命周期之间的关系新建信息系统新建信息系统等级保护实施过新建信息系统等级保护实施过程程信息系统生命周期信息系统生命周期安全运行管理安
25、全运行管理(变更管理(变更管理/ /定期安全测定期安全测评评/ /监督检查)监督检查)系统系统定级定级安全规安全规划设计划设计安全安全实施实施系统系统终止终止设计开设计开发阶段发阶段运行维护阶段运行维护阶段启动启动阶段阶段实施实施阶段阶段中止中止阶段阶段安全态势分析信息安全标准概述等级保护标准 ISO27000系列标准 ITIL与ISO20000 企业内控相关标准ISO 27001 ISO 27001 介绍介绍什么是什么是 文档化体系 信息安全策略 风险处置计划 范围内的信息资产清单 风险评估 适用性声明 策略、流程、指南、程序 ISMS 需要 执行与管理 复查、 审计和考核 持续改进 认证
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全标准 介绍 ppt 课件
限制150内