信息安全等级保护入门
信息安全等级保护
1.信息技术安全保障
信息安全保障技术框架
| 人员 | 技术 | 操作 |
|---|---|---|
| 培训 | 深度防御技术框架 | 分析 |
| 意识 | 安全标准 | 监视 |
| 物理安全 | 获得 IA / TA | 入侵检测 |
| 人员安全 | 风险分析 | 警告 |
| 系统安全管理 | 证书与认证 | 恢复 |
信息技术安全保障模型
2.信息安全等级保护测评
等级保护工作由五个环节组成:定级、备案、建设整改、等级测评、安全监管
有人会将安全测评与风险评估混淆,二者有一定相似性,但并不等同。
信息安全保障工作划分为四个阶段:首先满足安全需求;其次经过设计实施信息安全方案;随后进行信息安全评估;最后实施持续监控与维护。
我国的信息安全管理体系主要包含六个方面的内容:一是基于原则的基础性原则;二是涵盖技术和机制的结合的技术与机制原则;三是建立完善的管理体系的管理原则;四是通过科学测评实现有效管理的测评原则;五是保护信息安全的关键核心技术的安全防护原则以及用于信息保密的技术保障原则。这一套体系旨在保障信息安全。
其他标准制定工作需要以基础标准为基础发挥基础作用,在通用性服务领域中应用广泛;其中涉及的安全术语、体系结构、模型和框架等构成四个主要子类。
技术与机制标准涵盖标识与鉴别等技术措施、授权与访问控制、实体管理和物理安全标准四个重要类别;
Management standards are categorized into four subclasses: basis standards, requirement standards, technical support standards for management, and project engineering and service management standards.
密码技术标准包括基础标准、技术标准和管理标准三个子类;
保密技术标准包括技术标准和管理标准两个子类;
测评标准包括测评基础标准、产品测评标准和系统
测评标准三个子类。
这六大类标准之间相互关联着密切的关系,并非孤立存在。例如测评体系不仅涵盖基础指标与管理规范等内容
信息系统安全等级由低到高分为五个等级。
第 一阶段属于自主防护级别,在遭受破坏的情况下可能会对公民、法人以及其他组织的合法权益造成影响;但不会危及国家安全、社会秩序和公共利益。
第二级别作为指导性保护标准,在等级保护对象遭受破坏的情况下可能会导致公民、法人或其他组织权益的重大影响;也可能引发社会秩序及公共利益方面的问题;但这些情况不会危及国家安全。
第三级属于监督保护级别,在等级保护对象遭受破坏时将导致公民、法人和其他组织的合法权益遭受特别严重损害,并可能危害社会秩序和公共利益或直接威胁国家安全。
第四级别的保护等级属于强制性,在等级保护对象遭受破坏时会产生极其严重的危害。这种危害可能包括对社会秩序和公共利益造成的严重影响以及对国家安全造成的重大威胁
第五级为高度安全防护级别,其适用领域包括涉及国家安全、社会秩序、经济建设和公共利益的重要信息以及信息系统的关键部分.一旦遭受破坏,将导致这些领域的安全与秩序发生极其严重的危害.
具体划分如下图所示:
相应的等级监管措施:
第一级,依照国家管理规范和技术标准进行自主保护;
第二级,在信息安全监管职能部门的指导下遵循国家管理规范和技术标准实施自主防护措施;
第三部分根据国家管理规范和技术标准实施自主防护措施;由信息安全监管职能部门负责对其实施监控与评估。
第四级义务,根据国家管理规范和技术标准设立自主防护措施,并由信息安全监管职能部门依法进行监督检查;
第五级的标准是依据国家管理规范和相关技术标准实施自我防护措施,并由相关部门/机构负责监督。
本文有部分内容源自官方发布的文件(GBT22239-2019《信息安全技术-网络安全等级保护基本要求》、GBT28448-2019《信息安全技术-网络安全等级保护测评要求》),如有需要可自行搜索下载或私信索取。
本人小白,如有不对指出烦请指出,一定修改,感谢各位观看。