信息安全等级保护培训教材.pptx

信息安全等级保护培训;目录;等级保护基本知识介绍;等级保护政策依据;等级保护政策依据;等级保护政策依据;等级保护政策依据;等级保护政策依据;等级保护政策依据;等级保护政策依据;等级保护政策依据;等级保护政策依据;等级保护政策依据;等级保护政策依据;等级保护政策依据;等级保护工作的主要流程 ;等级保护现实意义;等级保护相关标准;等级保护核心标准关系的说明;信息系统的定级;各级系统的保护要求差异;各级系统的保护要求差异;各级系统的保护要求差异;构建系统模型_技术模型;各级系统的保护要求差异;等级保护基本要求的具体介绍;主要内容;不同级别系统控制点的差异;不同级别系统要求项的差异;物理安全;物理安全;物理安全;物理安全;物理安全;物理安全;物理安全;物理安全;物理安全;物理安全;物理安全;物理安全;网络安全;（一）结构安全 主要网络设备处理能力具备冗余空间（CPU；MEM；I/O）； 网络各个部分的带宽满足业务高峰期需要； 安全访问路径（可控路由；静态路由）； 网络拓扑结构图(与当前运行情况相符)； 划分子网或网段；重要网段与其他网段之间技术隔离； 确定服务重要次序指定带宽分配优先级别。（很难，除非协议不同） ;（二）访问控制 边界部署访问控制设备（FW） 数据流控制粒度为端口级； 实现命令级（ftp、telnet）的控制； 会话终止（非活跃一定时间）； 限制网络最大流量数及网络连接数； 重要网段应采取技术手段防止地址欺骗（MAC地址邦定）； 限制具有拨号访问权限的用户数量 ;（三）安全审计 记录网络设备运行状况、网络流量、用户行为等进行日志记录； 记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息； 能够根据记录数据进行分析，并生成审计报表； 审计记录保护，避免删除、修改或覆盖等 ;（四）边界完整性检查 对非授权设备进行有效阻断； 外联监控 ;（五）入侵防范 在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等； 记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入??事件时应提供报警。 ;（六）恶意代码防范 在网络边界处对恶意代码进行检测和清除； 恶意代码库的升级和检测系统的更新。 ;（（七）网络设备防护 管理员登录地址限制 两种或两种以上组合的鉴别技术 口令应有复杂度要求并定期更换 登录失败处理功能 远程管理加密鉴别信息 设备特权用户的权限分离 ;主机安全;（一）身份鉴别 口令应有复杂度要求并定期更换； 登录失败处理 远程管理时，加密鉴别信息 用户名具有唯一性（避免多人使用相同帐号） 两种或两种以上组合的鉴别技术 ;（二）访问控制 角色分配，最小授权原则； 特权用户的权限分离（系统管理员、安全员、审计员）； 重命名默认帐户，修改默认口令； 删除多余的、过期的帐户。 设置敏感标记;（三）安全审计 范围覆盖到每个用户； 审计内容包括重要用户管理、登录/登出、非授权访问等安全相关事件； 记录包括日期、时间、类型、主体标识、客体标识和结果等； 根据记录数据进行分析，并生成审计报表； 保护审计记录，避免删除、修改或覆盖等。;（四）剩余信息保护 鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除； 系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除。 ;（五）入侵防范 检测到对重要服务器进行入侵的行为，记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警； 对重要程序的完整性进行检测，检测+恢复措施； 遵循最小安装的原则+保持系统补丁及时得到更新。 ;（六）恶意代码防范 安装防恶意代码软件+更新恶意代码库； 与网络防恶意代码产品不同的恶意代码库； 统一管理（网络版）。 ;（七）资源控制 设定终端接入方式、网络地址范围 操作超时锁定； 监视服务器的CPU、硬盘、内存、网络等资源 限制单个用户对系统资源的最大或最小使用限度； 对系统的服务水平（CPU、内存、硬盘、I/O）降低到预定最小值进行检测报警。 ;应用安全;（一）身份鉴别 采用两种或两种以上组合的鉴别技术 身份标识唯一和鉴别信息复杂度检查功能 登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出 ;（二）访问控制 访问控制涵盖主体、客体、操作 限制默认账户/角色的访问权限 最小授权，相互制约-系统管理员、系统安全员、系统审计员三权分立 敏感标记-介于自主访问控制与强制访问控制之间的控制要求 ;（三）安全审计 审计涵盖每个用户，包括管理员等特权用户 审计功能不能单独中断 审计日志不能单条删除、修改 审计日志可读性强，便于分析统计 ;（四）剩余信息保护 鉴别信息的存储空间被释放或再分配给其他