8号彩票 上海顺达集团(8号彩票
上海顺达东森信息技术股份有限公司

专注信息安全70年
股票代码:871339

服务热线:4009999754

等级保护解决方案

2016-06-25

简介
  信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。
 
信息系统的安全保护等级分为以下五级
第一级: 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级: 信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级: 信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级: 信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级: 信息系统受到破坏后,会对国家安全造成特别严重损害。
 
安全风险分析模型
 

 
☆物理环境安全
地震、水灾、火灾、雷电等环境事故,机房电力设备和其它配套设备的运行故障,因接地不良、机房屏蔽性能差引起的静电干扰或外界的电磁干扰
☆设备安全
设备物理损毁和丢失,设备非授权使用,输出信息泄密
☆存储介质安全
因保管或使用不当而损毁,丢失或被非授权使用
☆设备运行安全
能源供应不当,备份与恢复措施不当,病毒与恶意代码防御不当
☆涉密信息安全
访问控制与身份鉴别措施不当,密码保护措施不当,电磁泄露导致的风险
☆非授权人员安全
缺乏重要区域对授权人员的有效管理与控制
☆通信线路安全
光纤、双绞线在使用中出现的人为或非人为的安全风险
 
信息安全等级保护评估要素
☆身份鉴别
☆自主访问控制
☆客体重用
☆完整性
☆审计
 
  对应用服务的工作流程、流程中所传输的数据内容、所经过的传输环节(客户终端、路由器、交换机、中心服务器节点)对数据采取的保护措施、应用服务支撑平台(如SQL Server 2000等)的安全状况、应用服务流程中各组件自身的安全状况进行调查。
  根据验证方案,现场操作人员协助评估工程师完成一次全过程的应用服务。评估工程师根据此过程中所采取或所能采取的安全保护措施,确定安全要素在访问路径上的实现状况实施现场验证。
  根据评估的结果,总结系统安全要素的实现状况,确定信息系统所达到的安全等级,提出可行的安全建议,并撰写完善的安全评估报告。
  安全保证要求评估  安全保证要求评估主要以与协助人员交流,查阅并分析系统开发过程中相关的文档资料为主。考察的内容包括信息系统安全功能自身安全保护、密码支持、生命周期支持、配置管理、开发、测试、指导性文档、脆弱性分析、交付与运行等。
 
等级保护安全设计各项指标要求
等级保护安全体系设计方法
 
 
等级保护安全体系安全平台结构定义
 
等级保护安全运维流程
等级保护整体安全运维体系