信息安全等级保护解决方案

安全定义

防止任何对数据进行未授权访问措施,或者造成信息有意无意泄漏、破坏、丢失等问题的发生,让数据安全处于远离危险、免于威胁的状态或特性。 网络安全:网络的组成方式、拓扑结构和网络应用。 信息安全:信息的来源、去向,内容的真实无误及保证信息的完整性,信息不会被非法泄漏扩散,保证信息的保密性。

安全基本要求

完整性:(Integrity)拥有的信息是否正确;保证信息从真实的信源发往真实的信宿,传输、存储、处理中未被删改、增加、替换。
机密性:(Confidentiality)谁能拥有信息,保证国家秘密和敏感信息仅为授权者享有。
可用性:(Availability)信息和信息系统是否能够使用保证信息和信息系统随时可为授权者提供服务而不被非授权者滥用。
可控性:(Controllability)是否能够监控管理信息和系统保证信息和信息系统的授权认证和监控管理。
不可否认性:(Non-repuditation)为信息行为 承担责任,保证信息行为人不能否认其信息行为。

安全技术体系

物理安全技术:环境安全、设备安全、媒体安全;
系统安全技术:操作系统及数据库系统的安全性;
网络安全技术:网络隔离、访问控制、VPN、入侵检测、扫描评估;
应用安全技术:Email安全、Web访问安全、内容过滤、应用系统安全;
数据加密技术:硬件和软件加密,实现身份认证和数据信息的CIA特性;
认证授权技术:口令认证、SSO认证(例如Kerberos)、证书认证等;
访问控制技术:防火墙、访问控列表等;
审计跟踪技术:入侵检测、日志审计、辨析取证;
防病毒技术:单击防病毒技术逐渐发展成整体防病毒体系;
灾难回复和备份技术:业务连续剧性技术,前提就是对数据的备份;

信息系统定级(电子政务)

信息系统的安全保护等级划分

按需防御的等级保护解决方案(3级)

按需防御的等级保护解决方案(2级)