首页 > 其他分享 >等保三级技术知识点(上)

等保三级技术知识点(上)

时间:2024-04-11 14:02:48浏览次数:24  
标签:知识点 定级 信息系统 安全 信息安全 技术 保护 三级 等级

1.等级保护实施概述

.1 参照标准
等级保护实施过程主要参见《信息安全技术 信息系统安全等级保护实施指
南》,其它标准参见国家及行业统一标准。在信息系统总体安全规划,安全设计
与实施,安全运行与维护和信息系统终止等阶段,应按照 GB17859-1999、GB/
T 22239-2008、GB/T20269-2006、GB/T20270-2006 和 GB/T20271-2006 等技
术标准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运
行维护管理工作。
——计算机信息系统安全保护等级划分准则
——信息安全技术 信息系统安全等级保护定级指南
——信息安全技术 信息系统安全等级保护基本要求
——信息安全技术 信息系统安全等级保护实施指南
——信息安全技术 信息系统安全等级保护测评要求
——信息安全技术 信息系统安全等级保护测评过程指南

2.基本原则

1.基本原则
信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。信息系统安全等级保护实施过程中应遵循以下基本原则:
a) 自主保护原则
信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护。
b) 重点保护原则
根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。
c) 同步建设原则
信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。
d) 动态调整原则
要跟踪信息系统的变化情况,调整安全保护措施。由于信息系统的应用类型范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全

角色和职责

信息系统安全等级保护实施过程中涉及的各类角色和职责如下:
1.国家管理部门
公安机关负责信息安全等级保护工作的监督、检查、指导;国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导;国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导;涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理;国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
2.信息系统主管部门
负责依照国家信息安全等级保护的管理规范和技术标准,督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
3. 信息系统运营、使用单位
负责依照国家信息安全等级保护的管理规范和技术标准,确定其信息系统的安全保护等级,有主管部门的,应当报其主管部门审核批准;根据已经确定的安全保护等级,到公安机关办理备案手续;按照国家信息安全等级保护管理规范和技术标准,进行信息系统安全保护的规划设计;使用符合国家有关规定满足信息系统安全保护等级需求的信息技术产品和信息安全产品,开展信息系统安全建设或者改建工作;制定、落实各项安全管理制度,定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查,选择符合国家相关规定的等级测评机构,定期进行等级测评;制定不同等级信息安全事件的响应、处置预案对信息系统的信息安全事件分等级进行应急处置。

信息安全服务机

负责根据信息系统运营、使用单位的委托,依照国家信息安全等级保护的管理规范和技术标准,协助信息系统运营、使用单位完成等级保护的相关工作,包括确定其信息系统的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造等。建设和安全改造等。
信息安全等级测评机构
负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权,协助信息系统运营、使用单位或国家管理部门,按照国家信息安全等级保护的管理规范和技术标准,对已经完成等级保护建设的信息系统进行等级测评;对信息安全产品供应商提供的信息安全产品进行安全测评。
 信息安全产品供应商
负责按照国家信息安全等级保护的管理规范和技术标准,开发符合等级保护相关要求的信息安全产品,接受安全测评;按照等级保护相关要求销售信息安全产品并提供相关服务。

实施的基本流程

信息系统实施等级保护的基本流程参见下图:

在安全运行与维护阶段,信息系统因需求变化等原因导致局部调整,而系统的安全保护等级并未改变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、调整和实施安全措施,确保满足等级保护的要求;但信息系统发生重大变更导致系统安全保护等级变化时,应从安全运行与维护阶段进入信息系统定级阶段,重新开始一轮信息安全等级保护的实施过程。

3.信息系统安全定级

3.1参照标准
——计算机信息系统安全保护等级划分准则(GB17859)

3.2 定级原理

第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成
损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生
严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,
或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损
害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害

3.3信息系统安全保护等级的定级要素

信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时
所侵害的客体和对客体造成侵害的程度。

3.4受侵害的客体

等级保护对象受到破坏时所侵害的客体包括以下三个方面:
a) 公民、法人和其他组织的合法权益;
b) 社会秩序、公共利益;
c) 国家安全

3.5对客体的侵害程度

对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害
是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级
保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。等级保护对象
受到破坏后对客体造成侵害的程度归结为以下三种:
a) 造成一般损害;
b) 造成严重损害;
c) 造成特别严重损害。

3.6定级要素与等级的关系

3.7信息系统定级阶段的工作流程

信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规范和 GB/T 22240-2008,确定信息系统的安全保护等级,信息系统运营、使用单
位有主管部门的,应当经主管部门审核批准。

信息系统定级要先确定好定级对象,然后再根据其系统对国家安全、社会秩
序和公共利益、公民、法人和其他组织的合法权益的危害程度等进行分析,来确
定定级对象的安全保护等级,并出具信息系统定级报告。

标签:知识点,定级,信息系统,安全,信息安全,技术,保护,三级,等级
From: https://blog.csdn.net/2403_84237550/article/details/137624012

相关文章

  • 编程中常见的技术难题及其解决方案
    编程中常见的技术难题及其解决方案在编程过程中,我们经常会遇到各种技术难题。这些难题可能来自于语言特性、算法设计、数据结构、并发编程等多个方面。本文将介绍一些常见的编程技术难题,并给出相应的解决方案。一、语言特性相关难题内存管理:在某些编程语言中,内存管理是一......
  • Battleship程序设计语言与技术
    程序设计语言与技术课业10:战舰截止日期以画布为准)对于HW10,你可以作为一个小组(不超过2名学生)工作。请提及您的每个代码文件顶部的合作者姓名。这个家庭课业比以前的课业更详细,所以请尽早开始它涉及以下主题:●继承和覆盖●访问修饰符●抽象课程(我们将在下一堂课中了解这些内容)●......
  • 光纤通信的光谱之战:CWDM与DWDM的技术对决
            在现代光纤通信领域,波分复用技术(WDM)是提高网络带宽和通信效率的关键。其中,粗波分复用(CWDM)和密集波分复用(DWDM)是两种主要的WDM技术,它们都通过在单根光纤上同时传输多个不同波长的光信号来增加光纤的带宽。这篇文章将探讨CWDM和DWDM的技术特点。1、波长间隔和通......
  • 码农必看:常见源代码混淆技术详解
    背景一、项目组代码部署存在的问题在项目组中,核心代码模块被部署于用户服务器上。然而,另一家公司获取了该服务器的root密码,这就存在着潜在的数据泄露和代码泄露的风险。传统的解决方法是通过配置环境变量来进行数据库加密处理,或者直接将jar包放到服务器上。然而,这些方法都......
  • 为什么每个人都需要了解这些数据加密技术?
    在数字时代,数据加密技术不仅对保护企业的商业秘密至关重要,也是个人隐私安全的重要屏障。随着技术的进步和网络犯罪的增加,数据加密已经成为了信息安全领域的一个热点议题。以下是探讨为什么每个人都需要了解这些数据加密技术的几个主要原因:个人隐私保护:在我们日常的在线活动中,个......
  • 2024年的云原生架构需要哪些技术栈
    背景时间过得很快啊,一转眼已经到了2024年,还记得15年刚工作那会掌握个SSM/H(Spring/Struts2/Mybatis/Hibernate)框架就能应付大部分面试了。现在CS专业的新同学估计都没听说过SSM......
  • DIC case study:DIC技术在渔业捕鱼效率方面的提升
    DICcase study:AfisheryresearchinstituteusesDICtechnologytoimprovefishingnetfishingefficiencyDoyouknowhowfishingnetscatchfish?Whatfactorsaffecttheefficiencyoftrawling?Howdotheshapeandtrajectoryofthetrawlchangeduring......
  • JavaScript处理异步循环的技术详解
    文章的更新路线:JavaScript基础知识-Vue2基础知识-Vue3基础知识-TypeScript基础知识-网络基础知识-浏览器基础知识-项目优化知识-项目实战经验-前端温习题(HTML基础知识和CSS基础知识已经更新完毕)正文使用async/await和Promise:优势:代码简洁,易读,适用于处理依赖关系较强......
  • 多线程知识点
     1.多线程基本概念1)概念:多线程简单来说是一个程序具备同时执行多个功能的能力。在多线程中,这些功能被称为线程,每个线程都有自己的执行路径,它们可以并行(xíng)运行,同时共享程序的资源与内存。而在传统的单线程程序中,代码会顺序执行,一个任务完成后才会开始下一个任......
  • JOP攻击的缓解技术
    BTI分支目标识别精讲与实践系列思考1、什么是代码重用攻击?什么是ROP攻击?区别与联系?2、什么是JOP攻击?间接分支跳转指令?3、JOP攻击的缓解技术?控制流完整性保护?4、BTI下的JOP如何缓解?什么是目标着陆台?5、BTI的架构细节?硬件原理?间接分支类型?指令集?6、BTI如何启用?编译选项控......