等级保护定级指南.ppt

信息系统安全 等级保护定级指南,付欲华,本课程目的,课程要点,什么是等级保护 为什么要实施等级保护 为什么要首先进行定级 等级保护定级怎么做,什么是等级保护？,等级保护等级,根据我国信息安全标准GB/T 222402008 信息系统安全等级保护定级指南对我国非涉密信息系统划分为五个等级进行保护。,等级保护对象,（一）电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。 （二）铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。 （三）市（地）级以上党政机关的重要网站和办公信息系统,为什么要实施等级保护？,2010年重大安全事件,百度被黑,维基解密,伊朗核电站中毒,3Q大战,荆州市商务局,沧州电信泄密,网站篡改,敏感数据泄密,钓鱼网站,真正的中国工商银行网站,假冒的中国工商银行网站,扬州市城乡建设局网站(/),我们身边的重大安全事件案例,深圳市10万孕妇信息泄露 1.2万元一张光盘贩卖 怀疑卫生局、计生委 广东电网珠海供电局无人值守终端向互联网扫描 导致GDCERT告警 广州市政府机关网络信息中心UPS电池火灾 瘫痪72小时 广州市越秀区教育局门户网站域名过期抢注变色情网站 广州市破获省人事厅网站被入侵案，带破福建省建设信息网等10多起黑客入侵案件。,为什么要首先进行定级？,等级保护实施流程,等级保护定级思路,等级保护定级怎么做,等级保护重要标准,GB 17859-1999 计算机信息系统 安全保护等级划分准则 GB/T 222392008 信息系统安全等级保护基本要求 GB/T 222402008 信息系统安全等级保护定级指南 信息系统安全等级保护测评过程指南（国标报批稿） 信息系统安全等级保护测评要求（国标报批稿） GB/T 25058-2010信息系统安全等级保护实施指南 GB/T 25070-2010信息系统等级保护安全设计技术要求,等级保护定级维度,等级保护对象受到破坏时所侵害的客体 对客体造成侵害的程度,定级要素与安全保护等级的关系,等级与侵害客体、侵害程度关系,定级三条件,具有唯一确定的安全责任单位 满足信息系统的基本要素 承载相对独立的业务应用,定级对象识别与划分,可能使定级要素赋值不同因素 可能涉及不同客体的系统。 可能对客体造成不同程度损害的系统。 处理不同类型业务的系统。 本身运行在不同的网络环境中的系统。 分不开的系统，按照高级别保护。,定级流程,G=MAX(S,A),S,A,业务信息安全等级矩阵表,系统服务安全等级矩阵表,等级保护定级报告案例,业务信息安全等级,系统服务安全等级,安全等级确定,四个主要因素决定等级,系统所属类型,业务信息类别,系统服务范围,业务依赖程度,业务信息安全性,业务服务保证性,信息系统安全保护等级,侵害的程度如何？（对客体造成侵害的程度） 一般损害 严重损害 特别严重损害,受到破坏时侵害了什么？（客体） 公民、法人 社会秩序、公共利益 国家安全,等级保护组合可能性,行业等级保护定级,一级信息系统：适用于乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。 二级信息系统：适用于地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网，非涉及秘密、敏感信息的办公系统等。,行业等级保护定级,三级信息系统：适用于地市级以上国家机关、企业、事业单位内部重要的信息系统；重要领域、重要部门跨省、跨市或全国（省）联网运行的信息系统；跨省或全国联网运行重要信息系统在省、地市的分支系统；各部委官方网站；跨省（市）联接的信息网络等。 四级信息系统：适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统，银行、证券、保险、税务、海关等部门中的核心系统。,电力行业等级保护定级,电力行业等级保护定级,某科研院所定级,1.支撑网络： (1)科技网骨干网：主要对全国范围内的用户提供系统服务，受到破坏时将对社会秩序、公共利益造成严重损害，保护等级建议定为三级。 (2)院属单位城域网：主要对院属单位提供系统服务，受到破坏时将对法人合法权益造成严重损害，保护等级建议定为二级。 2.科研应用系统： (1)一般科研应用系统：承载普通科研信息和数据，主要服务于内部或外部用户，受损后仅对公民、法人和其它组织的合法权益造成一般损害，保护等级建议定为一级。 (2)较重要科研应用系统：承载较为重要的科研信息和数据，内部或外部用户依赖性强（访问量大），一旦受损将对公共利益造成一般损害，或对公民、法人和其它组织的合法权益造成严重损害，保护等级建议定为二级。 3)尖端科研应用系统：承载尖端科研信息和数据，主要服务于内部或外部特殊用户，受损后至国家安全（国家竞争力）构成威胁，应定为重要信息系统。,某科研院所定级,3.办公管理系统： (1)ARP院级管理系统：承载重要科研数据，为全院科研活动提供管理平台，受损后将对公共利益造成严重损害，保护等级应定为三级。 (2)ARP所级管理系统：保护等级建议定为二级。 (3)其它办公管理系统，保护等级建议定为一级。 4宣传性网站：主要承载宣传信息，根据受损后对不同客体造成不同性质的影响进行划分，院网站保护等级定为二级；院属单位网站可和其它拟定为一级的信息系统合并。 5.涉密信息系统：依据管理办法及国家保密标准BMB22-2007涉及国家秘密的计算机信息系统分级保护测试指南定级，秘密、机密、绝密三个等级的保护水平不低于信息安全等级保护第三级、第四级、第五级的标准。按照有关规定，涉密信息系统应与其它网络进行物理隔离。 6其它信息系统：应根据承载业务信息或系统服务受损后对不同客体