等级保护技术支持单位安全专业技术人员培训.ppt

等级保护技术支持单位 安全技术人员培训 宁波市公安局公共信息网络安全监察支队 张大军 2008年1月,目 录,前言 等级保护是什么 等级保护工作发展情况 等级保护各阶段工作 技术支持单位应注意事项,前 言,随着信息技术的快速发展和网络应用的迅速普及，我国国民经济和社会信息化进程全面加快，信息系统的基础性、全局性作用日益增强，信息资源已经成为国家经济建设和社会发展的重要战略资源之一，信息系统已经成为能源、交通、金融等国家关键基础设施的神经中枢。,前 言,信息系统和信息网络也是一把双刃剑，它在推动国民经济和社会快速发展、方便人民群众生产生活的同时，其安全问题带来的负面影响越来越突出，计算机病毒、黑客攻击、利用互联网实施违法犯罪等非传统安全因素日益增多。,前 言,为做好信息安全保障工作，国家要求实行信息安全等级保护制度。下面，我将信息安全等级保护工作给大家做个介绍：,一、等级保护是什么,1、信息安全等级保护定义： 信息安全等级保护，是指对国家秘密信息及公民、法人和其他组织的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。,一、等级保护是什么,2、实行等级保护制度目的 实行信息安全等级保护制度目的是统一信息安全保护工作，推进规范化、法制化建设，保障安全，促进发展。信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法 。,一、等级保护是什么,2、实行等级保护制度目的 实施信息安全等级保护制度，信息系统运营使用单位和主管部门能按照标准进行安全建设、整改，信息系统安全与否也有了一个衡量尺度。实施信息安全等级保护制度最直接的收益者首先是信息系统运营使用单位，最终的收益者是国家、全社会、人民群众。,一、等级保护是什么,3、信息安全等级保护原则 信息安全等级保护要贯彻突出重点兼顾一般的原则。重点保护下列基础信息网络和重要信息系统： 党政机关办公系统；金融、税务、能源、交通、社保等基础设施的信息系统；国防工业、国家科研等单位的信息系统；公用通信、广电传输等基础信息系统；网络管理中心、关键节点、重要网站等重要应用系统。,一、等级保护是什么,4、信息系统的等级划分 信息系统根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其它组织的合法权益的危害程度，由低到高划分为五个级别。,一、等级保护是什么,4、信息系统的等级划分 第一级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。,一、等级保护是什么,4、信息系统的等级划分 第二级：信息系统受到破坏后，会对公民、法人和其它组织的合法权益造成严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。,一、等级保护是什么,4、信息系统的等级划分 第三级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。,一、等级保护是什么,4、信息系统的等级划分 第四级：信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。,一、等级保护是什么,4、信息系统的等级划分 第五级：信息系统受到破坏后，会对国家安全造成特别严重损害。,一、等级保护是什么,4、信息系统的等级划分 在五个等级里，安全保护能力从第一级到第五级逐级增强 ，其中第一、二级适用于一般的信息系统（不涉及国家安全）；第三、四级适用于重要信息系统；第五级适用于特别重要信息系统。,二、等级保护工作发展情况,1、等级保护管理制度发展情况 1994年，中华人民共和国计算机信息系统安全保护条例（国务院147号令）规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。该条明确了三个内容：一是确立了等级保护是信息安全保障工作的一项制度；二是出台配套的规章和技术标准；三是明确了公安部的牵头地位。,二、等级保护工作发展情况,1、等级保护管理制度发展情况 2003年，国家信息化工作领导小组关于加强信息安全保障工作的意见明确指出“实行信息安全等级保护”，要求重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护管理制度。标志着等级保护从一项制度提升到国家信息安全保障的一项基本制度。,二、等级保护工作发展情况,1、等级保护管理制度发展 2004年9月，公安部会同国家保密局、国家密码管理局和国信办联合出台了关于信息安全等级保护工作的实施意见（公通字200466号），明确了信息安全等级保护制度的原则和基本内容，信息安全等级保护工作的职责分工及工作实施的要求。,二、等级保护工作发展情况,1、等级保护管理制度发展情况 2007年6月，公安部会同国家保密局、国家密码管理局和国信办联合出台了信息安全等级保护管理办法（公通字200743号），明确了信息安全等级保护制度的基本内容、流程及工作要求，进一步明确了信息系统运营使用单位和主管部门、监管部门的工作职责、任务，为开展信息安全等级保护工作提供了规范保障。同时废止了信息安全等级保护管理办法（试行）（公通字20067号）。,二、等级保护工作发展情况,2、出台各类相关国家标准 有关部门相继出台了计算机信息系统安全保护等级划分准则（GB17859-1999）、信息系统安全保护等级定级指南（试用稿v3.2）、信息系统安全等级保护基本要求、信息安全技术 信息系统通用安全技术要求（GBT20271-2006）、信息安全技术 网络基础安全技术要求（GBT20270-2006）、信息安全技术 操作系统安全技术要求（GBT20272-2006）、信息安全技术 数据库管理系统安全技术要求（GBT20273-2006）、信息安全技术 服务器技术要求、信息安全技术 终端计算机系统安全等级技术要求（GAT671-2006）等技术标准。,二、等级保护工作发展情况,3、我市等级保护工作发展情况 一是成立了宁波市信息安全等级保护工作领导小组，市委常委、常务副市长王勇同志任组长，领导小组办公室设在市公安局，网监支队成立了信息安全等级保护管理大队专门负责此项工作。,二、等级保护工作发展情况,3、我市等级保护工作发展情况 二是组建了测评机构辅助做好信息安全等级保护工作。我市鑫诺检测技术有限公司与上海复旦大学东方计算机信息网络安全测评实验室合作成立了宁波市东方计算机信息网络安全测评中心，为各单位提供安全测评服务；市计算机信息网络安全协会对部分协会会员单位进行安全服务资质评定工作，发放了安全服务资质证书。,二、等级保护工作发展情况,3、我市等级保护工作发展情况 三是完成了信息安全等级保护试点工作。对北仑电厂顺利完成测评工作，取得了良好的效果，为全面开展信息安全等级保护工作打下了良好的基础。在试点工作基础上，我市多家等国有大型企业已经逐步开展安全测评工作。,三、等级保护各阶段工作,根据信息安全等级保护管理办法规定，信息安全等级保护工作主要包括定级、备案、测评、整改、监管等工作 。,三、等级保护各阶段工作,1、定级工作阶段 国家信息安全等级保护坚持自主定级、自主保护的原则。这个阶段，各信息系统运营使用单位要根据管理办法和定级指南等国家法规、国家标准对本单位信息系统进行安全定级。,三、等级保护各阶段工作,1、定级工作阶段 需要定级的信息系统必备条件：一是所要定级的信息系统所在的单位必须能够对该信息系统承担相应的领导、建设、使用、运行等安全责任。二是所要定级的信息系统必须符合有关法规和文件对信息系统的定义，即必须是包含计算机硬件、网络设备、系统软件及应用系统等完整的信息系统。三是所要定级的信息系统必须承载相对独立的或单一的业务应用。只有同时满足上述三个条件，才可以作为定级对象。,三、等级保护各阶段工作,1、定级工作阶段 系统定级时需要考虑的三个方面：信息和信息系统在国家安全、经济建设、社会生活以及公民、法人和其他组织的合法权益方面的重要程度；信息和信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；信息和信息系统应当达到的安全保护水平。,三、等级保护各阶段工作,三、等级保护各阶段工作,1、定级工作阶段 信息系统安全等级是系统本身客观属性，不以已采取或将采取什么样的安全措施为依据。安全等级只能调高，不可降低。对于故意将信息系统安全等级定低逃避公安机关监管的，要依法追求单位和个人的法律责任。此阶段工作，各单位可以自主完成也可以委托技术支持单位协助完成。,三、等级保护各阶段工作,2、备案阶段工作 各信息系统运营使用单位完成定级工作以后要及时向公安、保密、密码管理等相关管理部门备案。对于备案工作，管理办法以及浙江省信息安全等级保护备案工作细则均有明确规定。 技术支持单位可以协助各信息系统运营使用单位填写各类表格、准备各类相关材料等工作。,三、等级保护各阶段工作,3、测评阶段工作内容 信息系统运营使用单位根据系统的安全保护等级，选定符合有关安全服务机构条件的测评单位，与测评单位签署测评协议和保密协议，实施等级测评工作。,三、等级保护各阶段工作,3、测评阶段工作内容 测评单位根据信息系统安全保护等级，按照基本要求和测评准则，确定系统的具体测评内容和方法，对信息系统的安全现状进行等级测评，找出系统保护现状与等级保护基本要求之间的差距，提出测评结论，编制测评报告，为信息系统运营使用单位履行安全等级保护职责，制定并落实安全等级保护制度，开展系统等级保护改建工作奠定基础。,三、等级保护各阶段工作,3、测评阶段工作内容 此项工作，我市已经成立了测评机构，协助各单位完成安全测评工作。,三、等级保护各阶段工作,4、安全整改阶段工作 制度建设：信息系统运营使用单位应根据管理办法，参照测评报告和技术标准，建立健全并落实信息安全等级保护管理制度，主要包括：人员管理制度、系统建设管理制度、系统运行维护制度、信息安全事件的等级响应处置制度、信息系统安全检测和风险评估制度、安全教育和培训制度等。,三、等级保护各阶段工作,4、安全整改阶段工作 制定改建方案：根据测评报告提出的系统保护现状与等级保护基本要求之间的差距，参考基本要求、实施指南以及国家有关信息安全建设的相关标准，明确安全需求，制定信息系统改建方案，为后期的系统改建工作奠定基础。,三、等级保护各阶段工作,4、安全整改阶段工作 安全加固：信息系统运营使用单位按照改建方案对信息系统实施安全加固工作。,三、等级保护各阶段工作,4、安全整改阶段工作 安全运维：信息系统运营使用单位严格遵守各项规章制度，采取有效安全措施，保障信息系统安全运行。,三、等级保护各阶段工作,4、安全整改阶段工作 制度建设、改建方案、安全加固、安全运维等工作由各信息系统运营使用单位在公安机关的监督指导下，自主完成或者选择具有一定安全资质的技术支持单位协助完成。,三、等级保护各阶段工作,5、监督管理阶段 根据管理办法规定，公安机关对下列事项进行检查： 信息系统安全需求是否发生变化，原定保护等级是否准确；运营、使用单位安全管理制度、措施的落实情况；运营、使用单位及其主管部门对信息系统安全状况的检查情况；系统安全等级测评是否符合要求；信息安全产品使用是否符合要求；信息系统安全整改情况；备案材料与运营、使用单位、信息系统的符合情况等等。,三、等级保护各阶段工作,5、监督管理阶段 公安机关作为计算机网络安全协会的监管部门，我们也将监督、指导协会加强对各会员单位的管理。,四、技术支持单位应注意事项,1、增强责任意识 各技术支持单位要增强法律和服务等责任意识，遵守国家有关法律法规和技术标准，保守在安全服务活动中知悉的国家秘密、商业秘密和个人隐私。如果发现有违法行为，将按照有关法律予以追究责任。,四、技术支持单位应注意事项,2、增强服务能力 各技术支持单位要加强学习和实践，不断提高自身的技术业务水平、沟通技巧和工作方法,持续增强