等级保护工作介绍.pptVIP

1、信息系统安全等级保护介绍安徽省公安厅网监总队 王家玉,目录,信息安全等级保护工作概述 等级保护工作有关方面的职责、义务 信息系统安全保护等级的划分与保护 信息安全等级保护工作主要流程 信息系统安全保护等级的确定 信息系统安全保护等级备案与备案审核 信息系统安全建设整改 信息系统安全保护等级测评 监督检查,信息安全等级保护工作概述,发展历程: 1994年，国务院颁布计算机信息系统安全保护条例:第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等 级保护的具体办法，由公安部会同有关部门制定。 1999年，颁布计算机信息系统安全保护等级划分准则，2000年实施 2003年，国家信息化领

2、导小组关于加强信息安全保障工作的意见（中办发200327号）：明确提出“实行信息安全等级保护”。 2004年，全国信息安全保障工作会议：专门将信息安全等级保护工作作为信息安全保障工作的一项重要任务来部署 2004年9月，四部门出台了关于信息安全等级保护工作的实施意见（公通字200466号）：明确了信息安全等级保护制度的原则和基本内容，以及信息安全等级保护工作的职责分工、工作实施的要求等。,信息安全等级保护工作概述,发展历程: 1999-2006年，制定了50多个国标和行标，初步形成了信息安全等级保护标准体系：计算机信息系统安全保护等级划分准则（GB17859-1999）、信息系统安全等级保护定

3、级指南、信息系统安全等级保护基本要求、信息系统安全等级保护实施指南、信息系统安全等级保护测评要求等。 2006年，下发等级保护管理办法（试行） 2007年6月，四部门联合发布信息安全等级保护管理办法（公通字200743号）：明确了信息安全等级保护制度的基本内容、流程及工作要求，明确了有关方面的职责、任务，为开展信息安全等级保护工作提供了规范保障。,信息安全等级保护工作概述,工作进展： 关于开展全国重要信息系统安全等级保护定级工作的通知 （公通字2007861号） 信息安全等级保护备案实施细则（公信安20071360号） 关于开展信息安全等级保护安全建设整改工作的指导意见公信安20091429号

4、 关于开展信息安全等级保护专项监督检查工作的通知 （公信安20101175号）,信息安全等级保护工作概述,网络安全形势 ： 一是西方敌对势力对我网上渗透和颠覆活动不断升级，我们将长期面临敌对势力的信息优势、技术优势所带来的信息安全威胁。 二是境内外反动势力在西方敌对势力的支持下，对我重要网络和信息系统频繁进行攻击破坏：2006年发生几十起攻击我卫星广播电视和插播事件等 三是计算机病毒传播和网络非法入侵十分严重： “熊猫烧香”病毒变种700余个，感染了445万台计算机 四是网络违法犯罪持续大幅上升：黑客病毒技术、网络钓鱼技术、木马间谍程序等新技术，进行网络盗窃、网络诈骗、网络赌博等违法犯罪 五是

5、网上失、窃密情况严重。 六是网络安全管理不善，安全措施不到位，信息系统运行事故时有发生：金融、民航等重要信息系统连续发生运行事故.,等级保护工作意义: 信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法，开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障。 实施信息安全等级保护制度，信息系统运营使用单位和主管部门能按照标准进行安全建设、整改，信息系统安全与否也有了一个衡量尺度。 信息安全等级保护是发达国家的通行做法、也是我国多年工作经验总结。 五个“有利于”：,信息安全等级保护工作概述,信息安全等级保护工作概述,等级保护工作意义: 有利于在信息化建设过程中同步建

6、设信息安全设施，保障信息安全与信息化建设相协调； 有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务，有效控制信息安全建设成本； 有利于优化信息安全资源的配置，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全； 有利于明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理； 有利于推动信息安全产业的发展，逐步探索出一条适应社会主义市场经济发展的信息安全模式 。,信息安全等级保护工作概述,开展等级保护工作的总体要求： 各基础信息网络和重要信息系统，按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改

7、、测评等工作。 公安机关和保密、密码工作部门要及时开展监督检查，严格审查信息系统所定级别，严格检查信息系统开展备案、整改、测评等工作。 对故意将信息系统安全级别定低，逃避公安、保密、密码部门监管，造成信息系统出现重大安全事故的，要追究单位和人员的责任。,等级保护工作有关方面的职责义务,等级保护工作涉及：国家信息安全监管部门；信息系统主管部门；信息系统运营使用单位；公民、法人和其他组织。其职责和义务分别是： 国家监管部门： 公安机关牵头，负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监

8、督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。省及市级信息化领导小组办事机构负责等级保护工作的部门间协调。在信息安全等级保护工作中，坚持“分工负责、密切配合”的原则。,等级保护工作有关方面的职责义务,信息系统主管部门： 依照规范和标准，督促、检查和指导本行业、本部门或本地区信息系统运营使用单位落实等级保护工作。审批本行业系统定级工作。全省统一联网运行的信息系统主管部门可以统一确定安全保护等级。对本行业定级工作提出指导。 为什么要指导：行业主管部门比运营使用单位具有更高的站位、更宏观的视野。 指导什么：侵害客体确定；对不同类型的等级保护客体，本行业

9、主要关注哪些危害后果；对于每一类等级保护客体，确定其危害程度。,等级保护工作有关方面的职责义务,运营、使用单位： 依照规范标准，具体落实本单位等级保护工作中的定级、备案、安全规划、安全建设、测评等,运营使用单位和主管部门是信息系统安全的第一责任人，对所属信息系统安全负有直接责任。 公民、法人和其他组织： 依照标准规范，开展等级保护工作，服从国家对信息安全等级保护工作的监督、指导，保障信息系统安全。 测评机构、产品提供商应当遵守国家有关管理规定和技术标准，接受国家信息安全职能部门的监督管理等。,信息安全保护等级的划分与保护,五个等级： 根据信息系统的重要程度和遭到破坏后的危害程度等因素分为以下五

10、级： 第一级：公民、法人和其他组织合法权益造成损害 第二级：公民、法人和其他组织合法权益产生严重损害，或社会秩序和公共利益造成损害 第三级：社会秩序和公共利益造成严重损害，或者对国家安全造成损害 第四级：对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害 第五级：对国家安全造成特别严重损害,信息安全保护等级的划分与保护,各等级信息系统的保护和监管责任（1） 第一级：系统运营使用单位应当依据规范和技术标准进行保护。 第二级：系统运营使用单位应当依据规范和技术标准进行保护。国家监管部门对该级信息系统信息安全等级保护工作进行指导。 第三级：信息系统运营使用单位应当依据管理规范和技术标准

11、进行保护。国家监管部门对该级信息系统信息安全等级保护工作进行监督、检查。,信息安全保护等级的划分与保护,各等级信息系统的保护和监管责任（2） 第四级：信息系统运营使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。 第五级：信息系统运营使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。,等级保护工作主要流程,一是：定级。 二是：备案。 三是：建设、整改。 四是：等级测评。 五是：定期监督检查,等级保护工作主要流程,各个工作

12、环节间的关系: 定级是等级保护的首要环节 按等级保护是等级保护的核心 建设整改是等级保护工作落实的关键 等级测评是评价安全保护状况的方法 监督检查是保护能力不断提高的保障,信息系统安全保护等级的确定,定级工作原则（1） 坚持“自主定级、自主保护”的原则：各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体，根据所属信息系统的重要程度和遭到破坏后的危害程度，自主确定信息系统的安全保护等级，并按照所定等级，自主对信息系统进行保护。 满足管理要求原则：安全等级不是保障程度等级，也不是技术能力等级，而是从国家管理的需要出发，从信息系统对国家安全、经济建设、公共利益等方面的重要性，以及信息或信息

13、系统被破坏后造成危害的严重性角度对信息系统确定的等级； 全局性原则：等级保护是针对全国范围内、涵盖各个行业信息系统的管理制度，系统定级也必须从国家层面考虑，体现全局性；,信息系统安全保护等级的确定,定级工作原则（2） 以业务为核心原则：系统是为业务服务，安全等级应反映系统承载业务的重要性，应以业务为出发点和核心，将信息系统重要性纳入业务重要性统筹考虑； 合理性原则：反映信息系统的主要安全特征，优化结构、降低投资、突出重点，有效保护。,信息系统安全保护等级的确定,定级范围： 电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位

14、的重要信息系统。 国家重要行业、领域的重要信息系统。 市（地）级以上党政机关的重要网站和办公信息系统。 涉及国家秘密的信息系统。 特别说明：信息系统的安全保护等级是信息系统的客观属性，不以系统已采取或将采取什么安全保护措施为依据，也不以风险评估结果为依据，而是以信息系统的重要性和信息系统遭破坏后对客体的危害程度为依据，来确定信息系统的等级，即从国家、人民群众的根本利益出发，考虑信息系统受到损害后的最大风险。,信息系统安全保护等级的确定,定级对象（1）： 定级对象的确定应当遵循以下三个基本原则： 承载相对独立或单一业务应用的信息系统； 定级对象中的一个或多个业务应用的主要业务流程、部分业务功能独

15、立，同时与其他信息系统的业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程，可以是完整的业务流程的一部分。,信息系统安全保护等级的确定,定级对象（2）： 信息系统的信息安全由本单位主管； 作为定级对象的信息系统应能够唯一地确定其安全责任单位，这个安全责任单位就是负责等级保护工作部署、实施的单位，也是完成等级保护备案和接受监督检查的直接责任单位。 具有信息系统的基本要素； 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如单台的服务器、终

16、端或网络设备等作为定级对象。,信息系统安全保护等级的确定,定级要素：受侵害的客体和对客体的侵害程度 受侵害的客体： 国家安全：国家政权稳固和国防实力的信息系统；重要新闻媒体的发布或播出系统；国家对外活动信息的信息系统；安全保卫信息系统；尖端科技领域的研发. 社会秩序和公共利益:政府机构的社会管理和公共服务系统；教育、科研机构的工作系统；为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统。借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行管理控制都应当是要考虑的方面 公民、法人和其他组织的合法权益:拥有信息系统的个体或某个单位,信息系统安全保护等级的

17、确定,对客体的侵害程度： 一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的资产损失，有限的社会不良影响，对其他组织和个人造成较低损害。 严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的资产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。 特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的资产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。,返回,信息安全保护等级的确定,定级要素与安全保护等级的关系,

18、信息系统安全保护等级的确定,定级工作步骤 摸底调查： 识别单位基本信息 ：单位的职能特点，所在行业及其在行业所处的地位，判断单位主要信息系统的宏观定位。 识别业务种类、流程和服务：了解定级对象不同业务系统影响履行单位职能的具体方式和程度，影响的区域范围、用户人数、业务量的具体数据以及对本单位以外机构或个人的影响等方面。这些具体数据可以为主管部门制定定级指导意见及审批定级结果的重要依据。,信息系统安全保护等级的确定,摸底调查： 识别本单位系统处理的信息：调查了解定级对象信息系统所处理的信息，了解单位对信息的三个安全属性的需求，了解不同业务数据在其保密性、完整性和可用性被破坏后在单位职能、单位资金

19、、单位信誉、人身安全等方面可能对国家、社会、本单位造成的影响，对影响程度的描述应尽可能量化。 识别网络结构和边界：调查了解定级对象信息系统所在单位的整体网络状况、安全防护和外部连接情况，目的是了解信息系统所处的单位内部网络环境和外部环境特点，以及该信息系统的网络安全保护与单位内部网络环境的安全保护的关系。,信息系统安全保护等级的确定,识别主要的软硬件设备：调查了解与定级对象信息系统相关的服务器、网络、终端、存储设备以及安全设备等，设备所在网段，在系统中的功能和作用。调查设备的位置和作用主要就是发现不同信息系统在设备使用方面的共用程度。 识别用户类型和分布：调查了解各系统的管理用户和一般用户，内

20、部用户和外部用户，本地用户和远程用户等类型，了解用户或用户群的数量分布，判断系统服务中断或系统信息被破坏可能影响的范围和程度。,信息系统安全保护等级的确定,单位信息系统描述：通过上述调查，可以较为全面地了解单位信息系统的基本信息、管理信息、业务信息、网络信息、设备信息和用户信息等，信息系统描述是信息系统划分和定级的基础，描述信息的准确和详细决定了系统划分是否合理以及定级结果是否准确。 实施指南具体说明：实施指南中对定级工作中如何识别本单位系统基本信息、管理框架、网络及设备部署、业务种类和特性、系统处理的业务、用户范围和类型等进行了说明,信息系统安全保护等级的确定,确定系统的等级 确定系统等级，

21、就是在调查了解的基础上，将本单位的系统划分成一个个不同安全需求的独立系统，针对这些独立的系统进行等级确定。 信息系统一般都包括业务信息安全（信息保密性、完整性、可用性）和系统服务安全（服务及时、有效），每种安全遭到破坏后侵害客体和对客体侵害程度不同，要将定级对象分成两个方面考虑，确定业务信息安全等级和业务服务安全等级。对于系统定级主要从以下几个方面进行：,信息系统安全保护等级的确定,2.1识别定级对象：定级首先要确定我们要对其定级的对象 定级对象三个确定原则 明确的单位、完整的系统，独立的业务 定级对象的识别： 从以下三方面之一或多个因素划分 安全责任单位：不同的责任单位划分不同系统。注意：一

22、个单位信息中心和业务部门的安全责任区别，系统承担安全责任的应是业务部门 业务类型和业务重要性：不同的系统处理业务不同，可以从系统涉及不同的客体、对客体造成不同程度损害、处理不同类型业务来划分 物理位置差异：不同物理位置的系统受到安全威胁不同，不同物理位置不是一个安全域。 注:定级对象没有对与错，只有合理不合理的问题。,信息系统安全保护等级的确定,确定定级对象系统边界和边界设备： 定级对象确定后，需要确定定级对象的系统边界和边界设备。系统边界不应出现在服务器内部，服务器共用的系统一般归入同一个信息系统，因此不同信息系统的共用设备一般是网络边界设备或终端设备。两个信息系统边界存在共用设备时，共用设

23、备的安全保护等级按两个信息系统安全保护等级较高者确定。 定级报批： 在定级对象确定后，报领导小组批准、可聘请专家咨询、公安机关指导。各部门、各行业要提出定级意见。,信息系统安全保护等级的确定,2.2.确定受侵害的客体（定级要素1） 按照调查的信息，从业务信息安全和业务服务安全方面分析对可能侵害的客体包括国家安全、社会秩序、公共利益、公民、法人和其他组织的合法权益 国家安全 体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全等方面利益。 社会秩序和公共利益 包括政治、经济、生产、生活、科研、工作等各方面的正常秩序和社会公众生产、生活、教育、卫生等方面的利益。 合法权

24、益 是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。,信息系统安全保护等级的确定,2.3. 确定对客体的侵害程度（定级要素2） ： 按照国家安全社会秩序和公共利益合法利益的顺序考虑。 不同的危害方式：信息保密性、完整性和可用性的危害，系统服务及时性、有效性的危害 不同危害后果：直接后果和间接的影响 不同的侵害客体：同一破坏对不同的客体受到的侵害程度不同，如果受侵害客体是公民、法人或其他组织的合法权益，则以本人或本单位的总体利益作为判断侵害程度的基准；如果受侵害客体是社会秩序、公共利益或国家安全，则应以整个行业或国家的总体利益作为判断侵害程度的基准。 侵害程度：一般损

25、害、严重损害、特别严重损害 对客体的受侵害程度要采取综合判定的方法。首先根据不同的受侵害客体、不同危害后果分别确定其危害程度，然后根据不同危害结果的危害程度进行综合评定得出,信息系统安全保护等级的确定,2.4 确定信息系统安全保护等级： 根据信息安全和服务安全破坏侵害的客体及对客体的侵害程度，依据表2、表3分别确定确定业务信息安全等级和系统服务安全等级，由两者较高者决定定级对象的等级。 信息系统等级评审 等级确定过程中，重大问题可聘请专家咨询评审，四级以上应通过国家信息安全等级保护专家评审委员会评审，我省成立了各领域专家组成的评审专家组，各单位可以自行申请评审。当本单位自主定级与专家评审不一致

26、时，以本单位确定的定级为准。 信息系统安全保护等级的最终确定与审批 运营单位根据确定的等级或专家评审等级，自主确定系统等级，有上级主管部门的，应经上级主管部门审批核准，起草定级报告,信息系统安全保护等级的确定,信息系统确定等级一般流程,信息系统安全保护等级的确定,表2 业务信息安全等级矩阵表,返回,信息系统安全保护等级的确定,表3 系统服务安全等级矩阵表,返回,信息系统保护等级的备案与审核,保护等级的备案 基本要求：第二级以上信息系统在等级确定后30日内到市级以上公安机关备案，涉密系统按管理办法和国家保密局规定备案。跨省或全国统一联网运行的系统、跨市或者全省统一联网运行并由主管部门统一定级的系

27、统，其在我省的省级、市级分支系统，到所在市办理备案手续，第三级以上系统还需提供拓扑结构、安全组织结构和管理制度、安全产品情况、专家评审意见、主管部门审批意见等材料 备案步骤：信息系统运营、使用单位首先从安徽省公安厅网络安全便民服务网站 （）上下载备案表和辅助备案工具，然后填写备案表。对于二级系统，只需填写表一、二、三，对于三级系统还需填写表四并提交其中所列材料（可以延期提交）。最后将有关书面材料和利用辅助备案工具生成的备案电子数据提交所在的省辖市公安机关网监部门。,信息系统保护等级的备案与审核,备案审核：公安机关对信息系统的备案情况进行审核 对第二级信息系统，在收齐备案表一、表二、表三后10个

28、工作日内，经审核符合等级保护要求的，直接发给信息系统安全等级保护备案证明，对不符合等级保护要求的，发给不受理回执并书面说明不受理的原因通知备案单位予以纠正。 对于第三级以上（含）信息系统在收齐备案表一、二、三后的10个工作日内（表四可以延期提交），经审核合格的，发给受理回执；不合格的，发给不受理回执并书面说明不受理的原因通知备案单位予以纠正。在直接或延期收齐所有备案表（含表四）后的10个工作日内，经审核合格的，颁发信息系统安全等级保护备案证明；不合格的，发给不受理回执并书面说明不受理的原因通知备案单位予以纠正。,信息系统安全建设整改,制定安全建设整改工作规划 开展需求分析或差距分析 规划安全建设整改的管理体系，开展安全管理建设整改工作 制定安全技术建设整改技术方案，开展安全技术建设整改 开展安全自查和等级测评,信息系统安全建设整改,2010年8月2日，四厅委局关于印发安徽省重要信息系统等级保护安全建设工作方案的通知（皖公通201064号），四个阶段： 1、工作部署（2010年8月30日前） 2、完善备案（2010年9月30日前） 3、建设整改（2010年12月31日前） 4、测评验收（2011年2月底前）,等级测评,等级测评与一般安全测评的区别： 等级测评活动的依据系统安全保护等级和该级别系统的基本保护要求