信息安全等級保護

1、信息安全等級保護內容介紹,省公安廳網警總隊王詩軍,目錄,一、為什么開展等級保護二、什么是等級保護三、如何實施等級保護,一、為何開展信息安全等級保護,1、背景2、存在的問題3、國外做法4、現實要求,我省信息化發(fā)展狀況,目前，我省互聯網用戶1800多萬，互聯網站點29萬個，均居全國首位。網絡技術對社會進步的貢獻有目共睹，主要體現在電子政務、電子商務、電子娛樂、遠程醫(yī)療、遠程教育等多個領域的應用。隨著3G、IPv6等新技術的

2、逐漸成熟和投入使用，網絡將給人們的生產、生活帶來更大方便，提供更多就業(yè)機會，促進社會經濟更快發(fā)展。據有關機構調查，在大城市已經有4%的消費者采用了網上購物方式，超過郵購方式，有7%的消費者在未來會采用網上購物方式。,信息安全形勢,現代化建設的許多方面已融入于網絡（信息） 社會之中，政府部門正在積極推進電子政務；金融、證券部門正在穩(wěn)健地開展網絡化的服務業(yè)務（網上銀行支付和網上證券交易）；商貿部門正在推動電子商務的發(fā)展；國防部門積極研究網絡

3、信息戰(zhàn)（現代戰(zhàn)爭的形式）等。,信息安全形勢,信息是戰(zhàn)略資源，是決策之本，是控制一個國家國民經濟與軍事的靈魂。 由Internet的發(fā)展而帶來的網絡系統(tǒng)的安全問題正變得突出，網絡安全已成為關系國家安全的重大戰(zhàn)略問題。運籌帷幄，決勝千里。,存在的問題,信息安全意識和安全防范能力薄弱，信息安全滯后于信息化發(fā)展； 信息系統(tǒng)安全建設和管理的目標不明確； 信息安全保障工作的重點不突出； 信息安全監(jiān)督管理缺乏依據和標準，監(jiān)管

4、措施有待到位，監(jiān)管體系尚待完善。,存在的問題,大多數單位的信息系統(tǒng)安全保護還處在采用防火墻、IDS和防病毒等部件方面。重視外部攻擊與入侵，忽視內部的非法行為偏重產品，忽視體系和管理。國內產品質量和技術問題。用戶信息安全的潛在的需求到現實需求仍有一個過程,存在的問題,西方發(fā)達國家信息技術優(yōu)勢明顯，我國面臨信息強國的沖擊、挑戰(zhàn)和威脅，信息安全領域始終面臨信息戰(zhàn)和網絡恐怖襲擊的威脅 ；敵對勢力的網上煽動、滲透和破壞活動愈加突出，針對

5、信息系統(tǒng)進行的破壞活動日益嚴重，利用網絡實施的違法犯罪案件持續(xù)大幅上升 。,外部環(huán)境,— 美國政府發(fā)布了《保護網絡空間的國家戰(zhàn)略》 （2003.2)試圖根本上提高防止信息系統(tǒng)入侵和破壞能力。— 美國國防部《國防信息系統(tǒng)安全計劃DISSP 》 DISSP：Defense Information System Security Program DISSP的目標： 使美國國防系統(tǒng)的信息系統(tǒng)安全結構從“安全過渡策略”向統(tǒng)

6、一的具有多級安全的“國防目標安全體系”轉變。,外部環(huán)境,2003年2月14日美國政府發(fā)布的《保護網絡空間的國家戰(zhàn)略》，為了確保國家關鍵基礎設施（基礎信息網絡和重要信息系統(tǒng)）的安全，對于網絡空間，從國家關心的角度，美國將其分為五個優(yōu)先級：第一級 家庭用戶和小型商業(yè)機構 第二級 大型機構（公司、政府機構和大學等） 第三級 國家信息基礎設施部門包括聯邦政府、私營 部門（銀行與金融、能源、運輸、電信、信息技術、通用制造業(yè)

7、、化學制造業(yè)）、州和地方政府、高等教育機構。 第四級 國家機構和政策部門 第五級 全球,外部環(huán)境,美國聯邦信息處理標準（FIPS）是國家標準與技術研究所（NIST）制定的一類安全出版物，多為強制性標準。FIPS 199 《聯邦信息和信息系統(tǒng)安全分類標準》描述了如何確定一個信息系統(tǒng)的安全類別。確定系統(tǒng)級別的落腳點在于系統(tǒng)中所處理、傳輸、存儲的所有信息類型的重要性。信息和信息系統(tǒng)的“安全類別”是FIPS 199提出的一種新的系

8、統(tǒng)級別概念。該定義是建立在某些事件的發(fā)生直接導致三類安全目標（保密性、完整性和可用性）的喪失，從而對機構運行（使命，功能，形象，聲譽）、機構資產或個人產生潛在影響的基礎之上。即，衡量指標是三性的喪失而產生的“影響級”，FIPS 199定義了三種影響級：低、中、高。,外部環(huán)境,FIPS 199按照“確定信息類型--確定信息的安全類別--確定系統(tǒng)的安全類別”三個步驟進行系統(tǒng)最終的定級。首先，確定系統(tǒng)內的所有信息類型。FIPS 199指出，

9、一個信息系統(tǒng)內可能包含不止一種類型的信息（例如隱私信息、合同商敏感信息、專屬信息、系統(tǒng)安全信息等）。其次，根據三類安全目標，確定不同信息類型的潛在影響級別（低、中、高）。最后，按照“取高”原則，即選擇系統(tǒng)內所有信息類型的潛在影響級的較高級別作為系統(tǒng)的影響級（低、中、高）。FIPS199確定系統(tǒng)級別的方法的重點是信息和信息系統(tǒng)的級別建立在某些事件的發(fā)生會對機構產生潛在影響的基礎之上，根據安全目標（保密性、完整性和可用性）確定系統(tǒng)所處理

10、、存儲、傳輸的信息的級別，從而確定系統(tǒng)級別。,外部環(huán)境,據有關資料可以看出，信息技術已經改變了美國企業(yè)和政府的運行方式，美國經濟和國家安全對信息技術和信息基礎設施依賴性越來越強，網絡直接支撐著各個經濟領域的運行。 綜合上述情況，不難看出，美國政府在信息安全領域采取的就是分級保護的策略。,現實要求,— 各國在大力推進Internet與信息技術應用的同時，抓緊實施國家信息安全保障體系與國防的信息安全防御體系?！?各國抓緊研

11、究信息安全策略、制訂體系標準、法律法規(guī)，實施安全計劃。 我國在推進信息化進程中，信息安全問題得到重視。要求在黨政部門、要害部門使用具有國內自主產權的安全產品。,現實要求,胡錦濤總書記指出： 信息安全是個大問題，必須把信息安全問題放到至關重要的位置，認真加以考慮和解決 切實把互聯網建設好、利用好、管理好,現實要求,溫家寶總理強調： 面對復雜多變的國際環(huán)境和互聯網的廣泛應用，我國信息安全問題日益

12、突出。加入世界貿易組織、發(fā)展電子政務等，對信息安全保障提出了新的、更高的要求。必須從國家安全、經濟發(fā)展、社會穩(wěn)定、公共利益的高度，充分認識信息安全的極端重要性。,現實要求,溫家寶同志還指出： 堅持積極防御、綜合防范的方針，在全面提高信息安全防護能力的同時，重點保障基礎網絡和重要系統(tǒng)的安全。完善信息安全監(jiān)控體系，建立信息安全的有效機制和應急處理機制。,現實要求,美國及西方發(fā)達國家為了抵御信息網絡的脆弱性和安全威脅，制定了一系列

13、強化信息網絡安全建設的政策和標準，其中一個很重要思想就是按照安全保護強度劃分不同的安全等級，以指導不同領域的信息安全工作。 面對嚴峻的形勢和嚴重的問題，如何解決我國信息安全問題，是擺在我國政府、企業(yè)、公民面前的重大關鍵問題。,二、什么是等級保護,1、等級保護的含義2、等級保護的發(fā)展3、基本原則和要求4 、職責分工,信息安全等級保護定義,《信息安全等級保護管理辦法（試行）》：信息安全等級保護是指對國家秘密信息、法人和其他

14、組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置?！缎畔踩燃壉Ｗo管理辦法》國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術標準，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護，對等級保護工作的實施進行監(jiān)督、管理。,范疇,信息安全等級保護工作是一項由信息系統(tǒng)主管部門、運營使用單位、安全產品提供方、

15、安全服務提供方、檢測評估機構、信息安全監(jiān)督管理部門等多方參與，涉及技術與管理兩個領域的復雜系統(tǒng)工程。是一項制度、一個體系，非風險評估等措施。,等級保護工作發(fā)展概況,1994年國務院頒布實施《中華人民共和國計算機信息系統(tǒng)安全保護條例》2003年中辦、國辦轉發(fā)《國家信息化領導小組關于加強信息安全保障工作的意見》2004年公安部、國家保密局、國家密碼管理局、國信辦出臺了《關于信息安全等級保護工作的實施意見》去年1月四部局辦聯合出臺《信

16、息安全等級保護管理辦法（試行）》今年6月22日四部局辦聯合出臺《信息安全等級保護管理辦法》,信息安全等級保護制度,1994年國務院《計算機信息系統(tǒng)安全保護條例》 （147號令）規(guī)定“計算機信息系統(tǒng)實行安全等級保護。等級劃分標準和等級管理辦法由公安部會同有關部門制定”。,信息安全等級保護制度(續(xù)）,1999年，公安部組織有關單位和專家起草了安全保護等級管理的重要基礎性國家強制性標準――《計算機信息系統(tǒng)安全保護等級劃分準則》，并于1999

17、年9月13日經國家質量技術監(jiān)督局審查通過并正式批準發(fā)布。該標準將計算機信息系統(tǒng)安全保護能力劃分為五個等級，為開展我國計算機信息系統(tǒng)安全保護等級工作確定了劃分原則。,信息安全等級保護制度(續(xù)）,2003年，中央辦公廳、國務院辦公廳轉發(fā)的《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）明確指出：要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度。制定信息

18、安全等級保護的管理辦法和技術指南 。,信息安全等級保護制度(續(xù)）,2004年9月，公安部、國家保密局、國家密碼管理委員會辦公室、國務院信息化工作辦公室聯合下發(fā)了《關于信息安全等級保護工作的實施意見》（公通字[2004]66號），文件中明確指出：信息安全等級保護制度是國家在國民經濟和社會信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設健康發(fā)展的一項基本制度。,信息安全等級保護實施計劃,

19、《實施意見》中信息安全等級保護制度計劃用三年左右的時間在全國范圍內分三個階段實施： （一）準備階段 （二）重點實行階段 （三）全面實行階段,準備階段,為了保障信息安全等級保護制度的順利實施，在全面實施等級保護制度之前，用一年左右的時間做好下列準備工作：,加強領導，落實責任加快完善法律法規(guī)和標準體系建設信息安全等級保護監(jiān)督管理隊伍和技術支撐體系進一步做好等級保護試點工作加強宣傳、培訓工作,重點

20、實行階段,在做好前期準備工作的基礎上，用一年左右的時間，在國家重點保護的涉及國家安全、經濟命脈、社會穩(wěn)定的基礎信息網絡和重要信息系統(tǒng)中實行等級保護制度。經過一年的建設，使基礎信息網絡和重要信息系統(tǒng)的核心要害部位得到有效保護，涉及國家安全、經濟命脈、社會穩(wěn)定的基礎信息網絡和重要信息系統(tǒng)的保護狀況得到較大改善，結束目前基本沒有保護措施或保護措施不到位的狀況。,全面實行階段,在試行工作的基礎上，用一年左右的時間，在全國全面推行信息安全等級保護

21、制度。已經實施等級保護制度的信息和信息系統(tǒng)的運營、使用單位及其主管部門，要進一步完善信息安全保護措施。沒有實施等級保護制度的，要按照等級保護的管理規(guī)范和技術標準認真組織落實。,信息安全等級保護制度的意義,實行等級保護制度，能夠充分調動國家、法人和其他組織及公民的積極性，發(fā)揮各方面的作用，達到有效保護的目的，增強安全保護的整體性、針對性和實效性，使信息系統(tǒng)安全建設更加突出重點、統(tǒng)一規(guī)范、科學合理，對促進我國信息安全的發(fā)展將起到重要推動作用

22、。,信息安全等級保護制度的意義（續(xù)）,實施信息安全等級保護，可以有效地提高我國信息安全建設的整體水平， 有利于在信息化建設過程中同步建設信息安全設施，保障信息安全與信息化建設相協(xié)調； 有利于加強對涉及國家安全、經濟秩序、社會穩(wěn)定和公共利益的信息系統(tǒng)的安全保護和管理監(jiān)督；,信息安全等級保護制度的意義（續(xù)）,有利于明確國家、法人和其他組織、公民的安全責任，強化政府監(jiān)管職能，共同落實各項安全建設和安全管理措施；

23、 有利于提高安全保護的科學性、整體性、針對性，推動信息安全產業(yè)水平，逐步探索一條適應社會主義市場經濟發(fā)展的信息安全發(fā)展模式。,信息安全等級保護的內涵,等級保護是以信息為核心的。根據信息和信息系統(tǒng)在國家安全、經濟建設、社會生活中的重要程度；遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度；針對信息的保密性、完整性和可用性要求及信息系統(tǒng)必須達到的基本的安全保護水平等因素，對最核心的信息和信息系統(tǒng)劃分為

24、五個安全保護和監(jiān)管等級，實行分級保護。,信息安全等級保護的內涵,不是安全產品的堆積。 防火墻+IDS+防病毒+掃描器不等于等級保護等級保護能有效阻止外部攻擊的同時，更能有效防范內部的非法行為。等級保護的實質是：以信息為核心實現主體對客體的安全訪問抗篡改和一致性保障抗抵賴的電子責任易于分析與測試的結構,客體與主體的信息保護需求,專用,專用,僅供部門B,保護的核心是信息,自主保護級,第一級為自主保護級，適用于一般的信息和信息

25、系統(tǒng)，其受到破壞后，會對公民、法人和其他組織的合法權益造成一定損害，但不損害國家安全、社會秩序和公共利益。 依照國家管理規(guī)范和技術標準進行保護。,指導保護級,第二級為指導保護級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益造成嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。 在信息安全監(jiān)管職能部門指導下，依照國家管理規(guī)范和技術標準進行保護。,監(jiān)督保護級,第三

26、級為監(jiān)督保護級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。 依照國家管理規(guī)范和技術標準進行保護，信息安全監(jiān)管職能部門對其進行監(jiān)督、檢查。,強制保護級,第四級為強制保護級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。 依照國家管理規(guī)范、技術標準和業(yè)務專門需求進行保護，國家信息安全監(jiān)管部門對其進行強制監(jiān)督、檢查。,專控保護

27、級,第五級為?？乇Ｗo級，適用于涉及國家安全的重要信息和信息系統(tǒng)的核心子系統(tǒng)，其受到破壞后，會對國家安全造成特別嚴重損害。 系統(tǒng)運營、使用單位依照國家管理規(guī)范、技術標準和業(yè)務特殊需求進行保護，國家指定專門部門進行專門監(jiān)督、檢查。,信息安全產品使用,信息系統(tǒng)的安全保護等級確定后，運營、使用單位應當按照國家信息安全等級保護管理規(guī)范和技術標準，使用符合國家有關規(guī)定，滿足信息系統(tǒng)安全保護等級需求的信息技術產品，開展信息系統(tǒng)安全建設或者

28、改建工作。（原規(guī)定國家對信息安全產品按照安全性和可控性要求進行分等級管理，三級以上信息系統(tǒng)中使用的信息安全產品必須得到公安機關的使用許可）,信息安全等級保護制度的基本原則,信息安全等級保護的核心是對信息安全分等級、按標準進行建設、管理和監(jiān)督。信息安全等級保護制度遵循以下基本原則： 一是明確責任，共同保護 二是依照標準，自行保護 三是同步建設，動態(tài)調

29、整 四是指導監(jiān)督，保護重點,信息安全等級保護工作的基本要求,信息安全等級保護應當做好以下六個方面工作： （一）完善標準，分類指導。 （二）科學定級，嚴格備案。 （三）建設整改，落實措施。 （四）自查自糾，落實要求。 （五）建立制度，加強管理。

30、 （六）監(jiān)督檢查，完善保護。,信息安全等級保護工作職責分工,公安機關負責信息安全等級保護工作的監(jiān)督、檢查、指導。 國家保密工作部門負責等級保護工作中有關保密工作的監(jiān)督、檢查、指導。 國家密碼管理部門負責等級保護工作中有關密碼工作的監(jiān)督、檢查、指導。 在信息安全等級保護工作中，涉及其他職能部門管轄范圍的事項，由有關職能部門依照國家法律法規(guī)的規(guī)定進行管理。

31、 國務院信息化工作辦公室及地方信息化領導小組辦事機構負責信息安全等級保護工作中部門間的協(xié)調。,信息安全等級保護工作職責分工,信息系統(tǒng)的主管部門應當依照相關規(guī)范和標準督促、檢查、指導本行業(yè)、本部門或本地區(qū)信息系統(tǒng)運營、使用單位的信息安全等級保護工作。 信息系統(tǒng)運營、使用單位應當按照等級保護的管理規(guī)范和相關標準規(guī)范履行信息安全等級保護的義務和責任。,三、如何實施等級保護,1、信息安全標準體系 2、實施流程（

32、實施指南） 3、系統(tǒng)定級（定級指南） 4、系統(tǒng)測評（測評準則） 5、工作要求（基本要求）,（一）主要的管理規(guī)范和技術標準,《信息安全等級保護管理辦法》系統(tǒng)定級《信息系統(tǒng)安全保護等級定級指南》安全保護《信息系統(tǒng)安全等級保護基本要求》《信息系統(tǒng)安全等級保護實施指南》檢測評估《信息系統(tǒng)安全等級保護基本要求》《信息系統(tǒng)安全等級保護測評準則》監(jiān)督檢查《信息系統(tǒng)安全等級保護監(jiān)督檢查要求》,主要的管理規(guī)范和

33、技術標準,《計算機信息系統(tǒng)安全保護登記劃分準則》（GB17859-1999）《信息安全技術 網絡基礎安全技術要求》《信息安全技術 信息系統(tǒng)通用安全技術要求》《信息安全技術 操作系統(tǒng)安全技術要求》《信息安全技術 數據庫管理系統(tǒng)安全技術要求》《信息安全技術 服務器技術要求》《信息安全技術 終端計算機系統(tǒng)安全等級技術要求》,管理規(guī)范和技術標準的作用,,主管部門,監(jiān)督檢查,信息安全監(jiān)管職能部門,系統(tǒng)定級,,,,安全保護

34、,檢測評估,運營/使用單位,安全服務商安全評估機構,,,,,,,技術標準,管理規(guī)范,,,,,,風險分析,基本要求,,安全等級定級指南,其他標準要求,,,,等級系統(tǒng)保護方案實施,運行維護管理安全事件管理安全風險管理,安全產品選擇安全工程實施系統(tǒng)安全配置,安全狀況監(jiān)控,系統(tǒng)特定需求,等級化要求,,事件等級劃分,事件響應處置,,,,,產品等級劃分,,,風險評估,系統(tǒng)測評準則,,監(jiān)督檢查要求,等級系統(tǒng)保護策略與安全方案,實施指南,,,

35、,,,,,,,評估指南,,,,,,,（二）實施流程,定義了等級保護工作的實施階段和流程,重大變更,安全規(guī)劃設計,安全實施/實現,安全運行管理,,,,,,,,,系統(tǒng)定級,局部調整,系統(tǒng)終止,系統(tǒng)定級階段,主要輸入,主要輸出,階段主要活動,,,子系統(tǒng)識別和描述,系統(tǒng)立項文檔系統(tǒng)建設文檔系統(tǒng)管理文檔,系統(tǒng)詳細描述文件,,系統(tǒng)識別與劃分,系統(tǒng)總體描述文件,系統(tǒng)總體描述文件,安全等級確定,系統(tǒng)總體描述文件系統(tǒng)詳細描述文件,系統(tǒng)安全保護等級定

36、級建議書,,,,,,安全規(guī)劃設計流程,安全評估和需求分析,,,,,安全總體設計,,安全建設規(guī)劃,,,,主要輸入,系統(tǒng)詳細描述文件系統(tǒng)定級建議書等級保護基本要求,安全評估報告安全需求分析報告等級保護基本要求,總體安全策略/框架單位信息化的中長期規(guī)劃,階段主要活動,安全評估報告安全需求分析報告,安全總體方案書技術防護框架管理策略框架,信息系統(tǒng)安全建設方案,主要輸出,安全評估和需求分析,確定評估范圍,獲得信息系統(tǒng)的信息,確定

37、具體的評估對象,確定評估工作的方法,制定評估工作計劃,,,,,系統(tǒng)詳細描述文件系統(tǒng)定級建議書用戶文檔,輸入,輸出,過程的工作內容,評估工作方案,安全實施/實現階段,主要輸入,主要輸出,階段主要活動,,安全詳細方案設計,安全總體方案書系統(tǒng)安全建設方案安全產品技術白皮書,安全詳細設計方案,安全技術實施,安全測評報告,等級化安全測評,安全詳細設計方案,系統(tǒng)驗收報告,,安全管理實施,安全詳細設計方案,角色與職責說明書 管理制度/操作規(guī)

38、范,,,,,,,系統(tǒng)定級建議書系統(tǒng)驗收報告,安全運行管理,主要輸入,主要輸出,階段主要活動,操作管理和控制,安全詳細設計方案安全組織機構表,操作人員角色/職責表各類操作規(guī)程,變更管理和控制,變更需求,變更結果報告,,安全狀態(tài)監(jiān)控,安全詳細設計方案系統(tǒng)驗收報告等,安全狀態(tài)分析報告,安全事件處置和應急預案,安全詳細設計方案安全組織機構表,,,,,,,,安全事件報告程序 各類應急預案安全事件處置報告,安全運行管理（續(xù)）,主要輸入

39、,主要輸出,階段主要活動,安全評估和持續(xù)改進,安全評估報告安全改進方案,,等級化安全測評,安全詳細設計方案系統(tǒng)驗收報告等,安全等級保護測評報告,監(jiān)督檢查,安全詳細設計方案系統(tǒng)驗收報告等,監(jiān)督檢查結果報告,,,,,,變更需求,（三）系統(tǒng)定級,信息系統(tǒng)的劃分等級確定的原則決定等級的主要因素分析等級確定方法定級舉例,信息系統(tǒng)劃分方法,信息系統(tǒng)和業(yè)務子系統(tǒng)：信息系統(tǒng)是指基于計算機或計算機網絡，按照一定的應用目標和規(guī)則對信息進行

40、采集、加工、存儲、傳輸、檢索和服務的人機系統(tǒng)；業(yè)務子系統(tǒng)由信息系統(tǒng)的一部分組件構成，是信息系統(tǒng)中能夠承載某項業(yè)務工作的子系統(tǒng)。,信息系統(tǒng)劃分方法,如果信息系統(tǒng)只承載一項業(yè)務，可以直接為該信息系統(tǒng)確定等級。如果信息系統(tǒng)承載多項業(yè)務，應根據各項業(yè)務的性質和特點，將信息系統(tǒng)分成若干業(yè)務子系統(tǒng)，分別為各業(yè)務子系統(tǒng)確定安全保護等級，信息系統(tǒng)的安全保護等級由各業(yè)務子系統(tǒng)的最高等級決定。信息系統(tǒng)是進行等級確定和等級保護管理的最終對象。,信

41、息系統(tǒng)劃分方法,劃分信息系統(tǒng)應體現重點保護重要信息系統(tǒng)安全，有效控制信息安全建設成本，優(yōu)化信息安全資源配置的等級保護原則，在將業(yè)務子系統(tǒng)組成信息系統(tǒng)時應考慮以下幾個方面：相同的管理機構相同的業(yè)務類型相同的物理位置或相似的運行環(huán)境各業(yè)務子系統(tǒng)之間的關聯，如共用設備或數據交換。,等級確定的原則,自主定級原則滿足國家管理要求原則全局性原則業(yè)務為核心原則合理性原則,決定等級的主要因素,決定信息系統(tǒng)重要性等級時應考慮以下因素：

42、 1、系統(tǒng)所屬類型，即信息系統(tǒng)的安全利益主體。 2、信息系統(tǒng)主要處理的業(yè)務信息類別。 3、系統(tǒng)服務范圍，包括服務對象和服務網絡覆蓋范圍。 4、業(yè)務依賴程度程度，或以手工作業(yè)替代信息系統(tǒng)處理業(yè)務的程度其中第1、2個要素決定信息系統(tǒng)內信息資產的重要性，第3、4個要素決定信息系統(tǒng)所提供服務的重要性，而信息資產及信息系統(tǒng)服務的重要性決定了信息系統(tǒng)的重要性。,四個主要因素決定兩個定級指標,系統(tǒng)所屬類型,業(yè)務

43、信息類別,系統(tǒng)服務范圍,業(yè)務依賴程度,業(yè)務信息安全性,業(yè)務服務保證性,,,,,兩個等級指標決定等級,業(yè)務信息安全性,業(yè)務服務保證性,信息系統(tǒng)安全保護等級,,,等級確定步驟,信息系統(tǒng)所屬類型,業(yè)務信息類型,信息系統(tǒng)服務范圍,業(yè)務依賴程度,業(yè)務信息安全性取值,業(yè)務服務保證性取值,,,,,,業(yè)務服務保證性等級,1. 賦值,選擇調節(jié)因子,業(yè)務子系統(tǒng)安全保護等級,,,2. 確定兩個指標等級,業(yè)務信息安全性等級,,3 確定業(yè)務子系統(tǒng)等級,信息系統(tǒng)安

44、全保護等級,,4. 確定信息系統(tǒng)等級,其它業(yè)務子系統(tǒng) 。。,,,等級的調整,提升級別的主要參考因素：上級主管部門在政策和管理方面的特殊要求。預測業(yè)務信息可能會隨著時間的變化從量變轉化為質變。業(yè)務依賴程度在將來會進一步提高，或隨著信息系統(tǒng)所承載的業(yè)務不斷完善和穩(wěn)定，與信息系統(tǒng)并行的手工處理（或老的系統(tǒng)）的業(yè)務將有可能取消。信息系統(tǒng)服務范圍隨著業(yè)務的發(fā)展，將會有較大的變化。。,定級實例,系統(tǒng)簡述：某省政府部門網站系統(tǒng)ZFWZ，用

45、于發(fā)布政務公開信息、地方行政法規(guī)和管理措施、領導講話、政府辦事流程、新聞發(fā)布、政府公告、舉報投訴、省內經濟形勢介紹、電子表單下載等信息，服務對象主要是省內企業(yè)和市民。如“廣東網警網站”,定級實例,系統(tǒng)等級分析1、政府網站為政務工作的延伸，其信息系統(tǒng)類型賦值為3；2、網站信息屬公開信息，其業(yè)務信息類型賦值為1；3、查表知ZFWZ系統(tǒng)的業(yè)務信息安全性等級為2級，如下表所示：,信息系統(tǒng)類型賦值,業(yè)務信息類型舉例,定級實例,系統(tǒng)等級分析

46、業(yè)務信息安全性等級矩陣,定級實例,系統(tǒng)等級分析4、ZFWZ系統(tǒng)為省內企業(yè)和市民服務，其系統(tǒng)服務范圍賦值為2；5、ZFWZ系統(tǒng)對實時性要求不高，沒有必須通過網絡才能夠執(zhí)行的辦事流程。政務服務工作主要通過網絡之外完成，網絡僅提供相關信息和表單下載，因此其業(yè)務依賴程度應為1；6、查表知ZFWZ系統(tǒng)的業(yè)務服務保證性等級為2，如下表所示：,信息系統(tǒng)服務范圍賦值,業(yè)務依賴程度賦值,定級實例,系統(tǒng)等級分析業(yè)務服務保證性取值矩陣,定級實例,系統(tǒng)

47、等級分析7、考慮到ZFWZ系統(tǒng)中斷僅造成局部利益的損失，一般不會造成社會利益的重要損失，調節(jié)因子可選為0.5，查表知，調節(jié)后ZFWZ系統(tǒng)的業(yè)務服務保證性等級為1級；8、ZFWZ系統(tǒng)的安全保護等級為2級。,調節(jié)因子k 的取值范圍為大于0小于1的數值。 調節(jié)因子賦值表,確定等級,業(yè)務子系統(tǒng)的安全保護等級由業(yè)務信息安全性等級和業(yè)務服務保證性等級較高者決定。信息系統(tǒng)的安全保護等級由各業(yè)務子系統(tǒng)的最高者決定。,等級備案,已運營（運行）的第

48、二級以上信息系統(tǒng)，應當在安全保護等級確定后30日內，由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。 新建第二級以上信息系統(tǒng)，應當在投入運行后30日內，由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。 受理備案的公安機關應當對第三、第四級信息系統(tǒng)的運營、使用單位的信息安全等級保護工作情況進行檢查。,等級備案(續(xù)),涉密信息系統(tǒng)建設使用單位在系統(tǒng)投入使用前，應當向設區(qū)的市級以上保密工作部門申請進

49、行系統(tǒng)審批，涉密信息系統(tǒng)通過審批后方可投入使用。已投入使用的涉密信息系統(tǒng)，其建設使用單位在按照分級保護要求完成系統(tǒng)整改后，應當向保密工作部門備案。 信息系統(tǒng)運營、使用單位應當充分運用密碼技術對信息系統(tǒng)進行保護。其密碼的配備使用情況應當向國家密碼管理機構備案。 信息系統(tǒng)中的密碼及密碼設備的測評工作由國家密碼管理局認可的測評機構承擔。,基本概念,等級測評是指測評機構、信息系統(tǒng)的主管部門及運營使用單位針對信息系統(tǒng)的安全保護情況進

50、行的信息安全等級保護相關標準要求的符合性測試評定工作。測評單元是指安全控制測評的最小工作單位，由測評項、測評方式、測評對象、測評實施和結果判定等組成，分別描述測評目的和內容、測評使用的方式方法、測試過程中涉及的測評對象、具體測試實施取證過程要求和測評證據的結果判定規(guī)則與方法。測評強度是指測評的廣度和深度，體現測評工作的實際投入程度。,（四）系統(tǒng)測評,指導系統(tǒng)運營使用單位進行自查指導評估機構進行檢測評估監(jiān)管職能部門參照進行監(jiān)督檢查

51、規(guī)范測評內容和行為,測評準則的作用,測評方法,對技術要求‘訪談’方法：目的是了解信息系統(tǒng)的全局性。范圍一般不覆蓋所有要求內容?！畽z查’方法：目的是確認信息系統(tǒng)當前具體安全機制和運行的配置是否符合要求 。范圍一般要覆蓋所有要求內容?！疁y試’方法：目的是驗證信息系統(tǒng)安全機制有效性和安全強度。范圍不覆蓋所有要求內容。,對管理要求對人員方面的要求，重點通過‘訪談’的方式來測評，檢查為輔；對過程方面的要求，通過‘訪談’和‘檢查’的方式

52、來測評；對規(guī)范方面的要求，以‘檢查’文檔為主，‘訪談’為輔,測評方法,測評強度增強的方法,測評廣度越大，范圍越大，包含的測評對象就越多，測評實際投入程度越高。測評的深度越深，越需要在細節(jié)上展開，測評實際投入程度也越高。測評的廣度和深度落實在具體的測評方法――訪談、檢查和測試上，體現出訪談、檢查和測試的投入程度不同。,編制思路,信息系統(tǒng)測評,系統(tǒng)測評（對安全控制、層面、區(qū)域間關聯關系以及系統(tǒng)整體結構，分層次綜合分析、測評）,安全控

53、制測評（以測評單元組織的測評實施）,,,安全控制測評思路,在內容上，與《基本要求》一一對應，針對《基本要求》的每一個控制項，開發(fā)具體的測評實施方法。在結構上，以“測評單元”為基本工作單位，分等級進行組織。,系統(tǒng)測評思路,根據安全控制、層面和區(qū)域之間的關聯作用，逐層測評分析安全控制間、層面間和區(qū)域間關聯關系對整體安全功能的影響，具體應包括：安全控制間安全測評、層面間安全測評、區(qū)域間安全測評 。進行系統(tǒng)整體結構安全測評從安全的角度，

54、分析信息系統(tǒng)整體結構的安全性[從安全角度看系統(tǒng)]從系統(tǒng)的角度，分析信息系統(tǒng)安全防范(體系)的合理性 [以系統(tǒng)的觀點看安全防范（體系)],（五）工作要求,基本要求制定原則,繼承和發(fā)展原有等級保護相關標準的內容門檻合理對每個級別的信息系統(tǒng)安全要求設置合理，按照基本要求建設后，確實達到期望的安全保護能力內容完整綜合技術、管理各個方面的要求，安全要求內容考慮全面、完整，覆蓋信息系統(tǒng)生命周期便于使用安全要求分類方式合理，便于安全保護

55、、檢測評估、監(jiān)督檢查實施各方的靈活使用,主要依據,《中華人民共和國計算機信息系統(tǒng)安全保護條例》 GB 17859-1999 《計算機信息系統(tǒng)安全 保護等級劃分準則》“27號”和“66號”文件其他相關標準《信息系統(tǒng)安全通用技術要求》《信息系統(tǒng)安全管理要求》《信息系統(tǒng)安全工程管理要求》《信息系統(tǒng)安全保護等級定級指南》,主要參考,GB/T 19715-1.2 2005 /ISO/IEC TR 13335:2000 信息技術安全

56、管理指南GB/T 19716-2005/ISO/IEC 17799:2000 信息安全管理實用規(guī)則GB/T 18336-2001 /ISO/IEC 15408-1999信息技術安全性評估準則DoD 8500(美國國防部)信息保障實現指引FIPS 199 和NIST 800-53 (美國聯邦政府)安全等級定級標準和安全措施推薦指南 等,基本要求產生的思路,,不同級別的信息系統(tǒng),重要程度不同保護需求不同,安全保護能力

57、不同,,應對威脅的能力不同,,不同的安全目標,,,不同基本要求,基本要求提出的保護能力,1級安全保護能力：應具有能夠對抗來自個人的、擁有很少資源（如利用公開可獲取的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災難（災難發(fā)生的強度弱、持續(xù)時間很短、系統(tǒng)局部范圍等）以及其他相當危害程度威脅的能力，并在威脅發(fā)生后，能夠恢復部分功能。2級安全保護能力：應具有能夠對抗來自小型組織的（如自發(fā)的三兩人組成的黑客組織）、擁有少量資源（如個別人員能力、

58、公開可獲或特定開發(fā)的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災難（災難發(fā)生的強度一般、持續(xù)時間短、覆蓋范圍?。ň植啃裕┑龋┮约捌渌喈斘：Τ潭龋o意失誤、設備故障等）威脅的能力，并在威脅發(fā)生后，能夠在一段時間內恢復部分功能。,基本要求提出的保護能力,3級安全保護能力：應具有能夠對抗來自大型的、有組織的團體（如一個商業(yè)情報組織或犯罪組織等），擁有較為豐富資源（包括人員能力、計算能力等）的威脅源發(fā)起的惡意攻擊、較為嚴重的自然災難（災難發(fā)生

59、的強度較大、持續(xù)時間較長、覆蓋范圍較廣（地區(qū)性）等）以及其他相當危害程度（內部人員的惡意威脅、設備的較嚴重故障等）威脅的能力，并在威脅發(fā)生后，能夠較快恢復絕大部分功能。4級安全保護能力：應具有能夠對抗來自敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴重的自然災難（災難發(fā)生的強度大、持續(xù)時間長、覆蓋范圍廣（多地區(qū)性）等）以及其他相當危害程度（內部人員的惡意威脅、設備的嚴重故障等）威脅的能力，并在威脅發(fā)生后，能夠迅速恢復所有功能。,基

60、本要求的安全目標,不同等級系統(tǒng)所具有的不同的對抗和恢復能力，可以從實現的安全目標不同來進行具體體現，使較高級別的系統(tǒng)能夠應對更多的威脅和更強的威脅主體，即使面臨同一個威脅也具備更高的保護強度和更為周密的應對措施。安全目標包括了技術目標和管理目標，技術目標主要用于對抗威脅和實現技術能力，管理目標主要為安全技術實現提供組織、人員、程序等方面的保障。,基本要求-組織方式,某級系統(tǒng),物理安全,基本技術要求,基本管理要求,基本要求,網絡安全,主

61、機安全,應用安全,數據安全,安全管理機構,安全管理制度,人員安全管理,系統(tǒng)建設管理,系統(tǒng)運維管理,,,,,,,,,,,,,,基本要求-組織方式,結構安全和網段劃分,網絡安全(四級),網絡訪問控制,撥號訪問控制,網絡安全審計,邊界完整性檢查,,,,,,網絡入侵檢測,惡意代碼防護,網絡設備防護,,,,基本要求-組織方式,環(huán)境管理,系統(tǒng)運維管理(四級),資產管理,設備管理,介質管理,運行維護和監(jiān)控管理,,,,,,網絡安全管理,系統(tǒng)安全管理,惡

62、意代碼防范管理,變更管理,,,,,密碼管理,,系統(tǒng)備案,,備份和恢復管理,安全事件處置,應急計劃管理,,,,基本要求的使用、補充和調整,根據安全等級選擇基本要求，按照基本要求進行保護后，信息系統(tǒng)或子系統(tǒng)具有相應等級的安全保護能力；對信息系統(tǒng)或子系統(tǒng)有增加或特殊保護要求的，應在上述內容的基礎上，分析需補充的安全保護需求，對安全保護基本要求進行補充;對基本要求有調整需求的，應對調整項逐項進行風險分析，以保證不降低整體安全保護強度，并形成

63、書面的調整理由。,基本要求的逐級增強方法,某級系統(tǒng),類,技術要求,管理要求,基本要求,類,,,,,,控制點,具體要求,控制點,具體要求,,,,,……,……,……,……,……,……,其他方面的問題,核心思想:級別越高,安全控制點越多,安全控制要求越細。對于涉密的信息系統(tǒng)，在確定安全保護等級后，除應按照相應安全等級的基本要求進行保護外，還應按照國家保密工作部門和國家密碼管理部門的相關規(guī)定進行要求和保護。第五級信息系統(tǒng)是涉及國家安全、社會