1、信息安全基础知识培训信息安全基础知识培训20102010年年7 7月月1515日日6/4/20226/4/20222 2目录目录一、信息安全基础知识一、信息安全基础知识二、证券行业面临的安全威胁二、证券行业面临的安全威胁三、公司安全防护体系三、公司安全防护体系四、公司信息安全标准四、公司信息安全标准一、信息安全基础知识一、信息安全基础知识n信息安全发展史n信息安全的内涵n信息系统安全保障体系的基本内容n等级保护有关背景情况介绍6/4/20226/4/20223 3信息安全发展史信息安全发展史初级阶段:初级阶段:通信保密阶段通信保密阶段 上世纪八十年代前,人们认为信息安全就是通信保密,采用的保障
2、措施就是加密和基于计算机规则的访问控制中级阶段:中级阶段:计算机系统安全阶段计算机系统安全阶段( (静态信息防护静态信息防护) ) 本世纪前,对主机安全的关注及网络攻击的防护是信息安全的核心内容现阶段:现阶段:信息安全保障阶段信息安全保障阶段 人们关心的是信息及信息系统的保障,如何建立完整的保障体系,以便保障信息及信息系统的正常运行6/4/20226/4/20224 4初级阶段初级阶段通信保密通信保密40407070年代年代重点是通过密码技术解决通信保密,保证数据的保密性与完整性主要安全威胁是搭线窃听、密码学分析主要保护措施是加密重要标志:1949年shannon发表的保密通信的信息原理197
3、7年美国国家标准局公布的数据加密标准(DES),对称算法1976年由Diffie、Hellman提出公钥密码体制,非对称算法6/4/20226/4/20225 5中级阶段中级阶段计算机系统安全计算机系统安全7080年代年代重点是确保计算机系统中硬件、软件及正在处理、存储、传输信息的机密性、完整性和可控性主要安全威胁扩展到非法访问、恶意代码、弱口令等主要保护措施是安全操作系统涉及技术(TCB)主要标志1985年美国国防部公布的可信计算机系统评估准则(TCSEC)6/4/20226/4/20226 6TCSECTCSEC标准系列标准系列TCSEC系列标准需要采取的各类硬件、软件本身具备一定的安全强
4、度需要由软硬件组成的系统具备一定的安全程度为了评价对“信息的安全”的保护程度,需要对产品的安全强度、系统的安全强度进行评估。主要表现为:产品安全强度分级:A1 B1 B2 B3 C1 C2 D16/4/20226/4/20227 7现阶段现阶段信息安全保障信息安全保障重点需要保护信息,确保信息在产生、存储、处理、传输过程中及信息系统不被破坏,确保合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施。强调信息的保密性、完整性、可用性主要安全威胁是人为破坏、网络入侵、病毒破坏、信息对抗主要保护措施包括防火墙、防病毒软件、漏洞扫描、入侵检测、PKI、VPN等特点:涉及与信息系统相关的各类要
5、素。6/4/20226/4/20228 8现阶段现阶段信息安全保障信息安全保障提出了提出了“信息安全保障信息安全保障”的概念和要求,是一种立体的保的概念和要求,是一种立体的保障障6/4/20226/4/20229 9信息安全的内涵信息安全的内涵信息安全经典模型(信息安全经典模型(CIACIA模型)模型)保密性保密性ConfidentialityConfidentiality完整性完整性I Integrityntegrity可用性可用性AvailabilityAvailability6/4/20226/4/20221010信息安全的内涵信息安全的内涵保密性(保密性(C C)保证没有经过授权的用户
6、、实体或进程无法窃取信息泄密的表现形式组织信息给未授权的人获取系统被未授权的人进入个人信息被不相关的人获知6/4/20226/4/20221111信息安全的内涵信息安全的内涵完整性(完整性(I I)保证没有经过授权的用户不能改变或者删除信息,从而信息在传送的过程中不会被偶然或故意破坏,保持信息的完整、统一保护信息及处理方法的准确性和完备性;不因人为的因素改变原有的内容,保证不被非法改动和销毁。分成系统完整性数据完整性6/4/20226/4/20221212信息安全的内涵信息安全的内涵可用性(可用性(A A)保证合法用户的正常请求能及时、正确、安全地得到服务或回应,确保授权使用者需要时能够访问信
7、息及相关资产当授权用户要求时,即可使用信息和相关资产不因系统故障或误操作使资源丢失对响应时间有一定要求,并且在局部故障下实现持续运行分成系统通信可用性系统的可用性数据的可用性6/4/20226/4/20221313信息安全的内涵信息安全的内涵随着信息技术、安全技术以及信息化应用的不断发展,随着信息技术、安全技术以及信息化应用的不断发展,信息安全的定义在某些领域已有所拓展,在原来三性的信息安全的定义在某些领域已有所拓展,在原来三性的基础上,增加了:可控性和不可否认性基础上,增加了:可控性和不可否认性可控性:对信息和信息系统实施安全监控管理,防止为非法者所用。规模较大的信息系统已建成或着手建设实现
8、“大集中”安全管理方式的安全监管中心不可否认性:保证信息行为人不能否认自己的行为,比较常见的应用是:使用数字签名实现交易操作的抗抵赖(不可否认)6/4/20226/4/20221414信息安全指保护信息和信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏,为信息和信息系统提供保密性、完整性、可用性、可控性和不可否认性。信息安全保障是保证信息与信息系统的保密性、完整性、可用性、可控性和不可否认性的信息安全保护和防御过程。它要求加强对信息和信息系统的保护,加强对信息安全事件和各种脆弱性的检测,提高应急反应能力和系统恢复能力。信息安全保障体系是实施信息安全保障的法制、组织管理和技术等层面有机结
9、合的整体,是信息社会国家安全的基本组成部分,是保证国家信息化顺利进行的基础。几个基本概念几个基本概念6/4/20226/4/20221515信息系统安全保障体系的基本内容信息系统安全保障体系的基本内容6/4/20226/4/20221616 信息安全保障中的几个概念信息安全保障中的几个概念信息技术系统:信息技术系统:作为信息系统一部分的执行组织机构信息功能的用于采集、创建、通信、计算、分发、处理、存储和/或控制数据或信息的计算机硬件、软件和/或固件的任何组合。信息系统信息系统信息系统 用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和。信息系统信息系统是在信息
10、技术系统的基础上,综合考虑了人员、是在信息技术系统的基础上,综合考虑了人员、管理等系统综合运行环境的一个整体。管理等系统综合运行环境的一个整体。6/4/20226/4/20221717信息安全保障的含义信息安全保障的含义信息安全保障的对象:信息安全保障的对象:整个整个信息系统信息系统!6/4/20226/4/20221818信息系统安全保障模型信息系统安全保障模型Pt代表防护时间;或者理解为入侵代表防护时间;或者理解为入侵者攻击安全目标所花费的时间。者攻击安全目标所花费的时间。Dt代表从入侵者开始发动入侵开始代表从入侵者开始发动入侵开始,系统能够检测到入侵行为所花费,系统能够检测到入侵行为所花
11、费的时间。的时间。Rt代表从发现入侵行为开始,系统代表从发现入侵行为开始,系统能够做出足够的响应。能够做出足够的响应。公式公式 :Pt Dt + Rt 。重点:防护时间大于检测时间加上重点:防护时间大于检测时间加上响应时间,那么响应时间,那么系统是安全的。系统是安全的。P2DR模型模型6/4/20226/4/20221919信息系统安全保障模型信息系统安全保障模型实时监测实时监测安全策略安全策略安全防护安全防护应急响应应急响应灾难恢复灾难恢复风险评估风险评估P2DR3模型模型6/4/20226/4/20222020信息系统安全保障模型要素之一信息系统安全保障模型要素之一安全策略安全策略根据风险
12、评估的结果来设计系统安全的整体保障方案按照等级保护的要求,确定系统的防护等级根据信息安全保障强度,合理划分网络与系统中不同的信息安全域按照分级、分域、分层的思想确定相应的防护措施6/4/20226/4/20222121安全策略的重要性安全策略的重要性 ISO 9000 ISO 9000 质量管理质量管理 ISO 27000 ISO 27000 安全管理安全管理6/4/20226/4/20222222安全策略安全策略各种细化的安全策略各种细化的安全策略1 1、身份鉴别策略、身份鉴别策略 5 5、安全管理策略、安全管理策略2 2、访问控制策略、访问控制策略6 6、安全传输策略、安全传输策略3 3、
13、数据加密策略、数据加密策略7 7、备份恢复策略、备份恢复策略4 4、安全审计策略、安全审计策略等等。等等。6/4/20226/4/20222323信息系统安全保障模型要素之二信息系统安全保障模型要素之二安全防护安全防护在统一的安全策略的指导下,进行有针对性的防护:使用网闸进行物理隔离使用防火墙对外部进行访问控制使用入侵检测分析网内的数据包使用安全审计监控记录用户的行为操作采用认证技术对用户进行身份鉴别(PKI)部署防病毒软件来防范恶意代码的传播使用漏洞扫描技术对系统进行安全加固使用防水墙防止内部信息的泄漏采用防篡改软件保障网页安全采用容错软件来保障系统的高可用性6/4/20226/4/2022
14、2424防火墙防火墙防火墙技术的基本功能防火墙技术的基本功能控制信息的出入保护内部网络免遭某些基于路由的攻击对网络存取和访问进行监控审计防止内部网络信息的泄漏防火墙技术的其他功能防火墙技术的其他功能强化网络安全策略隐藏内部网络结构细节保密通信功能6/4/20226/4/20222525身份鉴别身份鉴别身份验证(身份验证(Identification)是用户向系统出示自己身份)是用户向系统出示自己身份证明的过程。口令认证、数字证书认证是比较普遍采用证明的过程。口令认证、数字证书认证是比较普遍采用的身份验证方式的身份验证方式提供的内容:你有什么?你知道什么?你是什么?提供的内容:你有什么?你知道什
15、么?你是什么?一是只有该主体了解的秘密,如口令、密钥二是主体携带的物品,如智能卡和令牌卡三是只有该主体具有的独一无二的特征或能力,如指纹、声音、视网膜或签字等 鉴别的方式:口令、数字证书、鉴别的方式:口令、数字证书、Keberos、动态密码、动态密码6/4/20226/4/20222626身份鉴别身份鉴别两种高安全强度的鉴别机制两种高安全强度的鉴别机制智能卡:访问不但需要口令,也需要使用物理智能卡。在允许其进入系统之前检查是否允许其访问系统智能卡大小形如信用卡,一般由微处理器、存储器及输入、输出设施构成。微处理器可计算该卡的一个唯一数(ID)和其它数据的加密形式为防止智能卡遗失或被窃,许多系统
16、需要卡和身份识别码(PIN)同时使用生物特征鉴别:利用个人特征进行鉴别,具有很高的安全性。目前已有的设备包括:视网膜扫描仪、声音验证设备、手型识别器6/4/20226/4/20222727安全审计安全审计根据审计对象,安全审计可以分成三个层次根据审计对象,安全审计可以分成三个层次网络层安全审计系统安全审计信息内容安全审计,属高层审计安全审计的主要功能安全审计的主要功能通过事后的安全审计来检测和调查安全策略执行的情况以及安全遭到破坏的情况监督可疑用户,取消可疑用户的权限,调用更强的保护机制,去掉或修复故障网络以及系统的某个或某些失效部件6/4/20226/4/20222828安全审计安全审计网络
17、的安全审计网络的安全审计在网络的边界设置信息审计系统,通过对进出网络通信内容的还原、备份与审计,可在一定程度上防止网内机密信息的流出和网外不良信息的流入,并为网上泄密事件的追查提供有力的技术手段同时根据系统设定的规则,对违规行为进行智能分析和判断并对其采取相应的动作例如:防火墙、入侵检测的审计功能。6/4/20226/4/20222929安全审计安全审计系统的安全审计:主要是利用各种操作系统和应用软件系统的安全审计:主要是利用各种操作系统和应用软件系统的审计功能实现。包括系统的审计功能实现。包括用户访问时间操作记录系统运行信息资源占用系统事件6/4/20226/4/20223030安全审计安全
18、审计内容的安全审计内容的安全审计通过定义的审计规则,如关键字、语句等,对信息的内通过定义的审计规则,如关键字、语句等,对信息的内容进行审核容进行审核根据审计规则,监视、记录或阻断通信的内容根据审计规则,监视、记录或阻断通信的内容如邮件审查,对所有邮件及附件内容进行控制。如邮件审查,对所有邮件及附件内容进行控制。6/4/20226/4/20223131PKIPKI公共密钥体系公共密钥体系公共密钥基础设施(公共密钥基础设施(Public Key Infrastructure)是应用公钥概念和公钥密码技术提供信息安全及信任服务的基础设施 利用利用PKI/CA可以实现可以实现加密传输数字认证 数字签名
19、抗抵赖基于非对称算法基于非对称算法 6/4/20226/4/20223232PKIPKI公共密钥体系公共密钥体系功能功能认证(鉴别)我不认识你! 你是谁?我怎么相信你就是你? 要是别人冒充你怎么办授权我能干什么? 我有什么权利?你能干这个,不能干那个。保密性我与你说话时,别人能不能偷听?完整性收到的传真不太清楚?传送过程中别人篡改过没有?抗抵赖我收到货后,不想付款,想抵赖,怎么样?我将钱寄给你后,你不给发货,想抵赖,如何?6/4/20226/4/20223333PKIPKI公共密钥体系公共密钥体系数字证书:用户身份的表征数字证书:用户身份的表征数字证书:内容包括用户的公钥, 用户姓名及用户的其
20、他信息数字证书解决了公钥发放问题,公钥的拥有者是身份的象征,对方可以据此验证身份CA中心对含有公钥的证书进行数字签名,使证书无法伪造6/4/20226/4/20223434PKIPKI公共密钥体系公共密钥体系验证数字证书的合法性验证数字证书的合法性证书目录服务证书目录服务B的证书有效性检查数字签名验证6/4/20226/4/20223535防病毒防病毒计算机病毒:编制或者在计算机程序中插入的破坏计算计算机病毒:编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码的一组计算机指令或者程序代
21、码计算机病毒的特点计算机病毒的特点影响面广、危害大。病毒产生速度快(已经出现病毒制造机)数量巨大(已经达到数万种)传播速度快(通过Internet)技术手段越来越先进6/4/20226/4/20223636漏洞扫描漏洞扫描漏洞扫描,就是对重要网络信息系统进行检查,发现其漏洞扫描,就是对重要网络信息系统进行检查,发现其中可能被攻击者利用的漏洞。系统安全漏洞扫描是一种中可能被攻击者利用的漏洞。系统安全漏洞扫描是一种事先检查型安全工具事先检查型安全工具扫描设定网络内的服务器、路由器、交换机、防火墙等扫描设定网络内的服务器、路由器、交换机、防火墙等安全设备的漏洞,并可设定模拟攻击,以测试系统的防安全设
22、备的漏洞,并可设定模拟攻击,以测试系统的防御能力御能力从操作系统的角度监视专用主机的整个安全性。如从操作系统的角度监视专用主机的整个安全性。如passwordpassword文件,目录和文件权限,共享文件系统,敏感文件,目录和文件权限,共享文件系统,敏感服务,软件,系统漏洞等服务,软件,系统漏洞等6/4/20226/4/20223737信息系统安全保障模型要素之三信息系统安全保障模型要素之三实时监测实时监测安全防护无法百分之百有效网络与信息系统架构和应用不断变化新的技术和威胁不断出现实时监测和及时整改才能保障防护措施的长期有效众多“点”上的实时监测信息为“面”上的预警提供信息渠道6/4/202
23、26/4/20223838入侵检测入侵检测IDSIDS(Intrusion Detection SystemIntrusion Detection System)就是入侵检测系)就是入侵检测系统,它通过抓取网络上的所有报文,分析处理后,报告统,它通过抓取网络上的所有报文,分析处理后,报告异常和重要的数据模式和行为模式,使网络安全管理员异常和重要的数据模式和行为模式,使网络安全管理员清楚地了解网络上发生的事件,并能够采取行动阻止可清楚地了解网络上发生的事件,并能够采取行动阻止可能的破坏能的破坏入侵检测的功能入侵检测的功能监视、分析用户和系统的行为识别攻击行为对异常行为进行统计进行审计跟踪、识别违
24、反安全法规的行为监视、审计、评估系统6/4/20226/4/20223939入侵检测入侵检测入侵检测系统基本组成入侵检测系统基本组成Sensor:收集系统中表示可能导致资源误用、不正当访问和恶意活动的信息,如如抓获网络中的所有数据包Scanner:收集系统的静态配置信息中可能包括的恶意代码、访问控制配置、服务配置、授权配置、帐号策略和已知脆弱性Analyzer:分析器接受传感器和/扫描器收集的数据,进行信息分析处理,导出有关潜在的、过去的或将来的入侵行为信息6/4/20226/4/20224040信息系统安全保障模型要素之四信息系统安全保障模型要素之四应急响应应急响应一旦在实时监测中发现重大问
25、题要进行应急响应及时启动预案协调相关资源进行有针对性地的响应措施:如事件定性、故障或事件定位、及时隔离、阻断、甚至对抗等必要时请求外部协助,如专业服务厂商、信息安全测评中心、计算机病毒防范服务中心、9682000热线等第三方服务机构直至启用备份系统6/4/20226/4/20224141信息系统安全保障模型要素之五信息系统安全保障模型要素之五灾难恢复灾难恢复信息安全保障闭环的最后一道闸门实在不行了启用备份数据或备用系统各单位要建立多层次立体的灾难恢复体系根据系统的重要程度、系统中断的容忍时间和费效比选取恰当的灾难恢复等级在消除单点故障和保障高可用性的基础上,配置数据恢复手段,并进行异地的灾难备
26、份根据系统的灾难恢复级别要求,选取市里提供的介质异地存放、数据备份、应用备份等服务方式系统恢复后应及时对系统实施风险评估6/4/20226/4/20224242信息系统安全保障模型要素之六信息系统安全保障模型要素之六风险评估:资产风险评估:资产+ +威胁威胁+ +弱点弱点= =风险风险资产:确定重要资产资产:确定重要资产-CIA-CIA三性取向三性取向威胁:发生可能性、可能后果威胁:发生可能性、可能后果弱点:利用难度、可能后果弱点:利用难度、可能后果6/4/20226/4/20224343等级保护基本知识介绍等级保护基本知识介绍6/4/20226/4/20224444等级保护有关背景情况介绍等
27、级保护有关背景情况介绍等级保护的政策依据等级保护的政策依据等级保护的关键环节(流程)等级保护的关键环节(流程)等级保护的现实意义等级保护的现实意义等级保护的相关标准等级保护的相关标准基本要求基本要求核心思想解读核心思想解读6/4/20226/4/20224545等级保护政策依据等级保护政策依据国家信息化领导小组关于加强信息安全保障工作的意国家信息化领导小组关于加强信息安全保障工作的意见见(中办发(中办发200327200327号号 )公安部、国家保密局、国家密码管理委员会办公室、国公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发的务院信息化工作办公室联合下发的关于信
28、息安全等级关于信息安全等级保护工作的实施意见保护工作的实施意见(公通字(公通字200466200466号)号)公安部、国家保密局、国家密码管理局、国务院信息化公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合下发的工作办公室联合下发的信息安全等级保护管理办法信息安全等级保护管理办法(试行)(公通字(试行)(公通字2006720067号)号)关于开展全国重要信息系统安全等级保护定级工作的关于开展全国重要信息系统安全等级保护定级工作的通知通知(公信安(公信安20078612007861号)号)关于印发关于印发信息安全等级保护管理办法信息安全等级保护管理办法的通知(公通的通知(公通字字2
29、00743200743号)号)6/4/20226/4/20224646等级保护政策依据等级保护政策依据中办发中办发200327200327号文号文明确指出明确指出“实行信息安全等级保护实行信息安全等级保护”。 “要重点保护基要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南制定信息安全等级保护的管理办法和技术指南”。6/4/20226/4/20224747等级保护政策依据等级保护政策依据公通字公通字20
30、0466200466号文号文进一步明确了信息安全等级保护制度的基本内容:进一步明确了信息安全等级保护制度的基本内容:一是根据信息和信息系统在国家安全、社会秩序、公共利益、社会生活中一是根据信息和信息系统在国家安全、社会秩序、公共利益、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,确定信息和性要求及信息系统必须要达到的基本的安
31、全保护水平等因素,确定信息和信息系统的安全保护等级,信息系统的安全保护等级,共分五级。共分五级。二是国家通过制定统一的管理规范和技术标准,组织行政机关、公民、法二是国家通过制定统一的管理规范和技术标准,组织行政机关、公民、法人和其他组织根据信息和信息系统的不同重要程度开展有针对性的保护工人和其他组织根据信息和信息系统的不同重要程度开展有针对性的保护工作。国家对不同安全保护级别的信息和信息系统实行不同强度的监管政策作。国家对不同安全保护级别的信息和信息系统实行不同强度的监管政策。三是国家对信息安全产品的使用实行分等级管理。三是国家对信息安全产品的使用实行分等级管理。四是信息安全事件实行分等级响应
32、、处置的制度。四是信息安全事件实行分等级响应、处置的制度。6/4/20226/4/20224848等级保护政策依据等级保护政策依据公通字公通字2006720067号文号文明确了信息安全等级保护的具体要求。明确了信息安全等级保护的具体要求。为推广和实施信息安全等级保护提供法律保障。为推广和实施信息安全等级保护提供法律保障。公信安公信安20078612007861号号标志着等级保护工作正式推向实施阶段。标志着等级保护工作正式推向实施阶段。6/4/20226/4/20224949等级保护政策依据等级保护政策依据公通字公通字200743200743号文号文 2007.6.222007.6.22明确主管
33、单位:明确主管单位:公安机关公安机关负责信息安全等级保护工作的监督、检查、指导负责信息安全等级保护工作的监督、检查、指导。国家保密部门国家保密部门负责等保中保密工作的监督、检查、指导。负责等保中保密工作的监督、检查、指导。国家密码管理部门国家密码管理部门负责等保中有关密码工作的监督、检查负责等保中有关密码工作的监督、检查、指导。、指导。确定确定5 5个等级,但去掉了个等级,但去掉了2006 72006 7号文号文 “自主保护自主保护”、“指导保护指导保护”、“监督保护监督保护”等称为。等称为。6/4/20226/4/20225050等级保护政策依据等级保护政策依据公通字公通字200743200
34、743号文号文五个等级的基本情况五个等级的基本情况第一级:运营、使用单位根据国家管理规范、技术标准第一级:运营、使用单位根据国家管理规范、技术标准自主防护。自主防护。第二级:运营、使用单位根据国家管理规范、技术标准第二级:运营、使用单位根据国家管理规范、技术标准自主防护。国家有关部门进行自主防护。国家有关部门进行指导。指导。第三级:自主防护。国家有关部门进行第三级:自主防护。国家有关部门进行监督、检查。监督、检查。第四级:第四级:运营、使用单位根据国家管理规范、技术标准运营、使用单位根据国家管理规范、技术标准和和业务专门需求业务专门需求进行保护,进行保护,国家有关部门进行国家有关部门进行强制监
35、督强制监督、检查。、检查。第五级:(略)。第五级:(略)。6/4/20226/4/20225151等级保护政策依据等级保护政策依据公通字公通字200743200743号文号文测评周期要求测评周期要求第三级信息系统应当每年至少进行一次等级测评;第三级信息系统应当每年至少进行一次等级测评;第四级信息系统应当每半年至少进行一次等级测评;第四级信息系统应当每半年至少进行一次等级测评;第五级信息系统应当依据特殊安全需求进行等级测评。第五级信息系统应当依据特殊安全需求进行等级测评。自查周期要求自查周期要求第三级信息系统应当每年至少进行一次自查;第三级信息系统应当每年至少进行一次自查;第四级信息系统应当每半
36、年至少进行一次自查;第四级信息系统应当每半年至少进行一次自查;第五级信息系统应当依据特殊安全需求进行自查。第五级信息系统应当依据特殊安全需求进行自查。根据测评、自查情况制定整改方案并实施。根据测评、自查情况制定整改方案并实施。6/4/20226/4/20225252等级保护政策依据等级保护政策依据公通字公通字200743200743号文号文检查周期要求检查周期要求受理备案的公安机关应当对第三级、第四级信息系统的受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次;对第三
37、级信息系统每年至少检查一次;对第四级信息系统每半年至少检查一次。对第四级信息系统每半年至少检查一次。对第五级信息系统,应当由国家指定的专门部门进行检对第五级信息系统,应当由国家指定的专门部门进行检查。查。6/4/20226/4/20225353等级保护政策依据等级保护政策依据公通字公通字200743200743号文号文等级保护的检查内容等级保护的检查内容(一)信息系统安全需求是否发生变化,原定保护等级是否准确;(一)信息系统安全需求是否发生变化,原定保护等级是否准确;(二)运营、使用单位安全管理制度、措施的落实情况;(二)运营、使用单位安全管理制度、措施的落实情况;(三)运营、使用单位及其主管
38、部门对信息系统安全状况的检查情况(三)运营、使用单位及其主管部门对信息系统安全状况的检查情况;(四)系统安全等级测评是否符合要求;(四)系统安全等级测评是否符合要求;(五)信息安全产品使用是否符合要求;(五)信息安全产品使用是否符合要求; (六)信息系统安全整改情况;(六)信息系统安全整改情况;(七)备案材料与运营、使用单位、信息系统的符合情况;(七)备案材料与运营、使用单位、信息系统的符合情况;(八)其他应当进行监督检查的事项。(八)其他应当进行监督检查的事项。6/4/20226/4/20225454等级保护政策依据等级保护政策依据公通字公通字200743200743号文号文第三级以上信息系
39、统应当选择使用符合以下条件的第三级以上信息系统应当选择使用符合以下条件的信息安全产品信息安全产品:(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;者控股的,在中华人民共和国境内具有独立的法人资格;(二)产品的核心技术、关键部件具有我国自主知识产权;(二)产品的核心技术、关键部件具有我国自主知识产权;(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录;(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录; (四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、
40、(四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;木马等程序和功能;(五)对国家安全、社会秩序、公共利益不构成危害;(五)对国家安全、社会秩序、公共利益不构成危害;(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。品认证机构颁发的认证证书。6/4/20226/4/20225555等级保护政策依据等级保护政策依据公通字公通字200743200743号文号文第三级以上信息系统的第三级以上信息系统的安全测评机构安全测评机构应具备的条件:应具备的条件:(一)在中华人民共和国境内注
41、册成立(港澳台地区除外);(一)在中华人民共和国境内注册成立(港澳台地区除外);(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);区除外);(三)从事相关检测评估工作两年以上,无违法记录;(三)从事相关检测评估工作两年以上,无违法记录;(四)工作人员仅限于中国公民;(四)工作人员仅限于中国公民;(五)法人及主要业务、技术人员无犯罪记录;(五)法人及主要业务、技术人员无犯罪记录;(六)使用的技术装备、设施应当符合本办法对信息安全产品的要求;(六)使用的技术装备、设施应当符合本办法对信息安全产品的要求;
42、 (七)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安(七)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;全管理制度;(八)对国家安全、社会秩序、公共利益不构成威胁。(八)对国家安全、社会秩序、公共利益不构成威胁。6/4/20226/4/20225656等级保护政策依据等级保护政策依据公通字公通字200743200743号文号文其他:其他:(一)涉密系统根据(一)涉密系统根据BMB17BMB17建设,根据建设,根据BMB22BMB22测评;测评;(二)秘密、机密、绝密对应第三、四、五等级。(二)秘密、机密、绝密对应第三、四、五等级。(三)密码管理根据
43、(三)密码管理根据商用秘密管理条例商用秘密管理条例执行。执行。6/4/20226/4/20225757等级保护工作的主要流程等级保护工作的主要流程 一是定级。一是定级。二是备案(二级以上信息系统)。二是备案(二级以上信息系统)。三是系统建设、整改(按条件选择产品)。三是系统建设、整改(按条件选择产品)。四是开展等级测评(按条件选择测评机构)。四是开展等级测评(按条件选择测评机构)。五是信息安全监管部门定期开展监督检查。五是信息安全监管部门定期开展监督检查。6/4/20226/4/20225858等级保护现实意义等级保护现实意义确保重点:需要通过国家政策、制度来保障有关确保重点:需要通过国家政策
44、、制度来保障有关国计民生、大型活动(如奥运、世博)信息系统国计民生、大型活动(如奥运、世博)信息系统的安全。的安全。适度防护:由于资金投入、人力资源是有限的,适度防护:由于资金投入、人力资源是有限的,因此要根据不同等级的安全需求进行安全建设与因此要根据不同等级的安全需求进行安全建设与管理,避免过度投入造成的浪费。管理,避免过度投入造成的浪费。普及经验:信息安全工作到底怎样做,多数单位普及经验:信息安全工作到底怎样做,多数单位缺乏办法、经验、底数。因此,等级保护吸取了缺乏办法、经验、底数。因此,等级保护吸取了我国多年信息安全技术、管理成败经验教训,科我国多年信息安全技术、管理成败经验教训,科学的
45、规范了信息安全工作的开展。学的规范了信息安全工作的开展。6/4/20226/4/20225959等级保护相关标准等级保护相关标准计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则(GB17859-1999GB17859-1999) 信息安全技术网络基础安全技术要求信息安全技术网络基础安全技术要求(GB/T20270-2006GB/T20270-2006)信息安全技术信息系统通用安全技术要求信息安全技术信息系统通用安全技术要求GB/T20271-2006GB/T20271-2006)信息安全技术操作系统安全技术要求信息安全技术操作系统安全技术要求(GB/T20272-2006G
46、B/T20272-2006)信息安全技术数据库管理系统安全技术要求信息安全技术数据库管理系统安全技术要求(GB/T20273-2006GB/T20273-2006)信息安全等级保护基本要求信息安全等级保护基本要求(GB/T22239-2008GB/T22239-2008)信息安全等级保护定级指南信息安全等级保护定级指南(GB/T22240-2008GB/T22240-2008)信息安全等级保护测评要求信息安全等级保护测评要求(送审稿)(送审稿)信息安全技术信息安全技术 信息系统等级保护安全设计技术要求信息系统等级保护安全设计技术要求(征求意见)(征求意见)6/4/20226/4/2022606
47、0等级保护核心标准关系的说明等级保护核心标准关系的说明系统建设:系统建设:信息系统安全等级保护定级指南信息系统安全等级保护定级指南确定出系统等级以及业务确定出系统等级以及业务信息安全性等级和系统服务安全等级后,需要按照相应等级,根据信息安全性等级和系统服务安全等级后,需要按照相应等级,根据信息信息安全等级保护基本要求安全等级保护基本要求选择相应等级的安全保护要求进行系统建设实施选择相应等级的安全保护要求进行系统建设实施。系统测评:系统测评:信息系统安全等级保护测评要求信息系统安全等级保护测评要求是针对是针对信息安全等级保信息安全等级保护基本要求护基本要求的具体控制要求开发的测评要求,旨在强调系
48、统按照的具体控制要求开发的测评要求,旨在强调系统按照信息信息安全等级保护基本要求安全等级保护基本要求进行建设完毕后,检验系统的各项保护要求是否进行建设完毕后,检验系统的各项保护要求是否符合相应等级的基本要求。符合相应等级的基本要求。由上可见,由上可见,信息安全等级保护基本要求信息安全等级保护基本要求在整个标准体系中起着承上启在整个标准体系中起着承上启下的作用。相关技术要求可以作为下的作用。相关技术要求可以作为信息安全等级保护基本要求信息安全等级保护基本要求的补充的补充和详细指导标准。和详细指导标准。6/4/20226/4/20226161基本要求基本要求的主要思想及作用的主要思想及作用信息系统
49、的定级信息系统的定级6/4/20226/4/20226262各级系统的保护要求差异各级系统的保护要求差异一级系统二级系统三级系统四级系统防护防护/监测策略/防护/监测/恢复策略/防护/监测/恢复/响应6/4/20226/4/20226363各级系统的保护要求差异各级系统的保护要求差异一级系统二级系统三级系统四级系统通信/边界(基本)通信/边界/内部(关键设备)通信/边界/内部(主要设备)通信/边界/内部/基础设施(所有设备)6/4/20226/4/20226464各级系统的保护要求差异各级系统的保护要求差异一级系统二级系统三级系统四级系统计划和跟踪(主要制度)计划和跟踪(主要制度)良好定义(管
50、理活动制度化)持续改进(管理活动制度化/及时改进)6/4/20226/4/20226565构建系统模型_技术模型6/4/20226/4/20226666构建系统模型_管理模型6/4/20226/4/202267676/4/20226/4/20226868目录目录一、信息安全基础知识一、信息安全基础知识二、证券行业面临的安全威胁二、证券行业面临的安全威胁三、公司安全防护体系三、公司安全防护体系四、公司信息安全标准四、公司信息安全标准二二 证券行业面临的安全威胁证券行业面临的安全威胁n证券盗买盗卖证券盗买盗卖n蠕虫、病毒和木马蠕虫、病毒和木马n恶意攻击恶意攻击DDoSSQL注入域名攻击跨站脚本n钓