信息安全等级保护课件

1、信息安全等级保护1 信息安全等级保护信息安全等级保护 信息安全等级保护2 根据信息系统在国家安全、经济建设、社会根据信息系统在国家安全、经济建设、社会 生活中的重要程度；遭到破坏后对国家安全、社生活中的重要程度；遭到破坏后对国家安全、社 会秩序、公共利益以及公民、法人和其他组织的会秩序、公共利益以及公民、法人和其他组织的 合法权益的危害程度；将信息系统划分为不同的合法权益的危害程度；将信息系统划分为不同的 安全保护等级安全保护等级并对其实施不同的并对其实施不同的保护保护和和监管监管。 信息安全等级保护3 等级保护的政策文件与技术演进等级保护的政策文件与技术演进 20032003年年9 9月月

2、中办国办颁发中办国办颁发 关于加强信息安全保关于加强信息安全保 障工作的意见障工作的意见 （中办发（中办发200327200327号）号） 20042004年年1111月月 四部委会签四部委会签 关于信息安全等级保关于信息安全等级保 护工作的实施意见护工作的实施意见 （公通字（公通字200466200466号）号） 20052005年年9 9月月 国信办文件国信办文件 关于转发关于转发电子政电子政 务信息安全等级保护实务信息安全等级保护实 施指南施指南的通知的通知 （国信办（国信办200425200425号）号） 20052005年年 公安部标准公安部标准 等级保护安全要求等级保护安全要求 等

3、级保护定级指南等级保护定级指南 等级保护实施指南等级保护实施指南 等级保护测评准则等级保护测评准则 总结成一种安全工总结成一种安全工 作的方法和原则作的方法和原则 最先作为最先作为“适度适度 安全安全”的工作思的工作思 路提出路提出 确认为国家信息安确认为国家信息安 全的基本制度，安全的基本制度，安 全工作的根本方法全工作的根本方法 形成等级保护的基形成等级保护的基 本理论框架，制定本理论框架，制定 了方法，过程和标了方法，过程和标 准准 信息安全等级保护4 体现国家管理意志体现国家管理意志 构建国家信息安全保障体系构建国家信息安全保障体系 保障信息化发展和维护国家安全保障信息化发展和维护国家

4、安全 信息安全等级保护5 信息安全等级保护是手段，是为了构建国家信息安全等级保护是手段，是为了构建国家 信息安全保障体系。信息安全保障体系。 信息安全保障体系也是手段，是为了信息应信息安全保障体系也是手段，是为了信息应 用发展。用发展。 信息安全等级保护是带有很强技术性的国家信息安全等级保护是带有很强技术性的国家 风险控制行为风险控制行为 信息安全等级保护6 安全风险管理的目的并不是保证没有风险，而安全风险管理的目的并不是保证没有风险，而 是要将信息系统带来的业务风险控制在可接受是要将信息系统带来的业务风险控制在可接受 的范围内。的范围内。 信息安全等级保护的关键所在正是基于信息系信息安全等级

5、保护的关键所在正是基于信息系 统所承载应用的重要性，以及该应用损毁后带统所承载应用的重要性，以及该应用损毁后带 来的影响程度来判断风险是否控制在可接受的来的影响程度来判断风险是否控制在可接受的 范围内。范围内。 信息安全等级保护7 谁主管谁负责、谁运营谁负责谁主管谁负责、谁运营谁负责 自主定级、自主保护、监督指导自主定级、自主保护、监督指导 信息安全等级保护8 一是：定级。一是：定级。 二是：备案。二是：备案。 三是：系统建设、整改。三是：系统建设、整改。 四是：等级测评。四是：等级测评。 五是：信息安全监管部门定期开展监督检查五是：信息安全监管部门定期开展监督检查 信息安全等级保护9 定级是

6、信息安全等级保护的重要环节定级是信息安全等级保护的重要环节 首要环节，开始环节，但不是核心环节首要环节，开始环节，但不是核心环节 基本要求是信息安全等级保护的核心基本要求是信息安全等级保护的核心 不同级别的信息系统按照基本要求进行保护后，不同级别的信息系统按照基本要求进行保护后， 信息系统具有相应等级的基本安全保护能力，达到一信息系统具有相应等级的基本安全保护能力，达到一 种基本的安全状态种基本的安全状态 国家管理要求和系统自身安全保护需求结合国家管理要求和系统自身安全保护需求结合 信息安全等级保护10 五个等级的定义五个等级的定义 第一级第一级, 信息系统受到破坏后，会对公民、法人和其他信息

7、系统受到破坏后，会对公民、法人和其他 组织的合法权益造成损害，但不损害国家安全、社会组织的合法权益造成损害，但不损害国家安全、社会 秩序和公共利益。秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其第二级，信息系统受到破坏后，会对公民、法人和其 他组织的合法权益产生严重损害，或者对社会秩序和他组织的合法权益产生严重损害，或者对社会秩序和 公共利益造成损害，但不损害国家安全。公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共第三级，信息系统受到破坏后，会对社会秩序和公共 利益造成严重损害，或者对国家安全造成损害。利益造成严重损害，或者对国家安全造成

8、损害。 第四级，信息系统受到破坏后，会对社会秩序和公共第四级，信息系统受到破坏后，会对社会秩序和公共 利益造成特别严重损害，或者对国家安全造成严重损利益造成特别严重损害，或者对国家安全造成严重损 害。害。 第五级，信息系统受到破坏后，会对国家安全造成特第五级，信息系统受到破坏后，会对国家安全造成特 别严重损害。别严重损害。 信息安全等级保护11 定级要素定级要素 受侵害的客体受侵害的客体 公民、法人和其他组织的合法权益；公民、法人和其他组织的合法权益； 社会秩序、公共利益；社会秩序、公共利益； 国家安全。国家安全。 信息安全等级保护12 定级要素定级要素 对客体的侵害程度对客体的侵害程度 造成

9、一般损害；造成一般损害； 造成严重损害；造成严重损害； 造成特别严重损害。造成特别严重损害。 信息安全等级保护13 受侵害的客体受侵害的客体 对客体的侵害程度对客体的侵害程度 一般损害一般损害严重损害严重损害特别严重特别严重 损害损害 公民、法人和其他组公民、法人和其他组 织的合法权益织的合法权益 第一级第一级第二级第二级第二级第二级 社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级 国家安全国家安全第三级第三级第四级第四级第五级第五级 信息安全等级保护14 定级方法定级方法(1) 分解信息系统安全：分解信息系统安全： 信息系统的信息系统的 安全安全 业务信息的业务信息

10、的 安全安全 系统服务的系统服务的 安全安全 =+ 信息安全等级保护15 确定定级对象确定定级对象； 确定业务信息安全受到破坏时所侵害的客体；确定业务信息安全受到破坏时所侵害的客体； 综合评定业务信息安全被破坏对客体的侵害程度；综合评定业务信息安全被破坏对客体的侵害程度； 得到业务信息安全等级得到业务信息安全等级； 确定系统服务安全受到破坏时所侵害的客体；确定系统服务安全受到破坏时所侵害的客体； 综合评定系统服务安全被破坏对客体的侵害程度；综合评定系统服务安全被破坏对客体的侵害程度； 得到系统服务安全等级得到系统服务安全等级； 由业务信息安全等级和系统服务安全等级的较高由业务信息安全等级和系统

11、服务安全等级的较高 者者确定定级对象的安全保护等级确定定级对象的安全保护等级。 信息安全等级保护16 基本要求基本要求基本思路基本思路 不同级别不同级别 信息系统信息系统 重要程度不同重要程度不同 应对不同威胁的能力应对不同威胁的能力 (威胁威胁弱点弱点) 具有不同的安全保护能力具有不同的安全保护能力 不同的基本要求不同的基本要求 信息安全等级保护17 不同级别的安全保护能力要求不同级别的安全保护能力要求 第一级安全保护能力第一级安全保护能力 应能够防护系统免受来自应能够防护系统免受来自个人个人的、拥有很少资源（如利用公开可的、拥有很少资源（如利用公开可 获取的工具等）的威胁源发起的恶意攻击、

12、获取的工具等）的威胁源发起的恶意攻击、一般的一般的自然灾难（灾自然灾难（灾 难发生的强度弱、持续时间很短等）以及其他相当危害程度的威难发生的强度弱、持续时间很短等）以及其他相当危害程度的威 胁（无意失误、技术故障等）所造成的胁（无意失误、技术故障等）所造成的关键资源关键资源损害，在系统遭损害，在系统遭 到损害后，能够到损害后，能够恢复部分功能恢复部分功能。 第二级安全保护能力第二级安全保护能力 应能够防护系统免受来自外部应能够防护系统免受来自外部小型组织小型组织的（如自发的三两人组成的（如自发的三两人组成 的黑客组织）、拥有少量资源（如个别人员能力、公开可获或特的黑客组织）、拥有少量资源（如个

13、别人员能力、公开可获或特 定开发的工具等）的威胁源发起的恶意攻击、一般的自然灾难定开发的工具等）的威胁源发起的恶意攻击、一般的自然灾难 （灾难发生的强度一般、持续时间短、覆盖范围小等）以及其他（灾难发生的强度一般、持续时间短、覆盖范围小等）以及其他 相当危害程度的威胁（无意失误、技术故障等）所造成的相当危害程度的威胁（无意失误、技术故障等）所造成的重要资重要资 源源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害 后，能够后，能够在一段时间内恢复部分功能在一段时间内恢复部分功能。 信息安全等级保护18 不同级别的安全保护能力要求不同级

14、别的安全保护能力要求 第三级安全保护能力第三级安全保护能力 应能够在统一安全策略下防护系统免受来自外部应能够在统一安全策略下防护系统免受来自外部有组织的团体有组织的团体 （如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包 括人员能力、计算能力等）的威胁源发起的恶意攻击、括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严重较为严重 的的自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较 广等）以及其他相当危害程度的威胁（广等）以及其他相当危害程度的威胁（内部人员的恶意威胁内

15、部人员的恶意威胁、无、无 意失误、较严重的技术故障等）所造成的意失误、较严重的技术故障等）所造成的主要资源主要资源损害，能够发损害，能够发 现安全漏洞和安全事件，在系统遭到损害后，能够现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大较快恢复绝大 部分部分功能。功能。 第四级安全保护能力第四级安全保护能力 应能够在统一安全策略下防护系统免受来自应能够在统一安全策略下防护系统免受来自国家级别的、敌对组国家级别的、敌对组 织的织的、拥有丰富资源的威胁源发起的恶意攻击、拥有丰富资源的威胁源发起的恶意攻击、严重的严重的自然灾难自然灾难 （灾难发生的强度大、持续时间长、覆盖范围广等）以及其他相（灾

16、难发生的强度大、持续时间长、覆盖范围广等）以及其他相 当危害程度的威胁（内部人员的恶意威胁、无意失误、严重的技当危害程度的威胁（内部人员的恶意威胁、无意失误、严重的技 术故障等）所造成的术故障等）所造成的资源资源损害，能够发现安全漏洞和安全事件，损害，能够发现安全漏洞和安全事件， 在系统遭到损害后，能够在系统遭到损害后，能够迅速恢复所有功能迅速恢复所有功能。 信息安全等级保护19 19 o PDR Response 响应 核心 信息安全等级保护20 20 o PPDRR Recovery 恢复 信息安全等级保护21 21 一级系统一级系统 二级系统二级系统 三级系统三级系统 四级系统四级系统

17、防护防护 防护防护/检测检测 策略策略/防护防护/检测检测/恢复恢复/响应响应 策略策略/防护防护/检测检测/恢复恢复 信息安全等级保护22 22 o IATF 成功的完成业务 信息保障 深度防御战略深度防御战略 人 技术 操作 防御网络与基础 设施 防御飞地边界防御计算环境 支撑性基础设施 信息安全等级保护23 23 一级系统一级系统 二级系统二级系统 三级系统三级系统 四级系统四级系统 通信通信/边界（基本）边界（基本） 通信通信/边界边界/内部（关键设备）内部（关键设备） 通信通信/边界边界/内部（主要设备）内部（主要设备） 通信通信/边界边界/内部内部/基础设施（所有设备）基础设施（所

18、有设备） 信息安全等级保护24 24 一级系统一级系统 二级系统二级系统 三级系统三级系统 四级系统四级系统 计划和跟踪（主要制度）计划和跟踪（主要制度） 计划和跟踪（主要制度）计划和跟踪（主要制度） 良好定义（管理活动制度化）良好定义（管理活动制度化） 持续改进（管理活动制度化持续改进（管理活动制度化/及时改进）及时改进） 信息安全等级保护25 某级系统 技术要求管理要求 基本要求 建立安全技术体系 建立安全管理体系 具有某级安全保护能力的系统 信息安全等级保护26 某级系统 物理安全 技术要求管理要求 基本要求 网络安全 主机安全 应用安全 数据安全 安全管理机构 安全管理制度 人员安全管

19、理 系统建设管理 系统运维管理 信息安全等级保护27 27 某级某级基本要求基本要求 类类 技术要求技术要求管理要求管理要求 类类 控制点控制点 具体要求具体要求 控制点控制点 具体要求具体要求 信息安全等级保护28 等级测评等级测评 信息系统建设完成后，运营、使用单位或者其主信息系统建设完成后，运营、使用单位或者其主 管部门应当选择符合本办法规定条件的测评单位，管部门应当选择符合本办法规定条件的测评单位， 依据依据信息系统安全等级保护测评要求信息系统安全等级保护测评要求等技术等技术 标准，标准，定期定期对信息系统安全等级状况对信息系统安全等级状况开展等级测开展等级测 评评。 第三级第三级信息

20、系统应当信息系统应当每年每年至少进行一次等级测评至少进行一次等级测评 第四级第四级信息系统应当信息系统应当每半年每半年至少进行一次等级测至少进行一次等级测 评评 第五级信息系统应当依据特殊安全需求进行等级第五级信息系统应当依据特殊安全需求进行等级 测评测评 信息安全等级保护29 等级测评与其他测评的不同等级测评与其他测评的不同 目的不同：标准符合性测评目的不同：标准符合性测评 性质不同：性质不同：管理办法管理办法强制周期性执行强制周期性执行 执行主体不同：符合条件的测评机构执行主体不同：符合条件的测评机构 执行对象不同：已经确定等级的信息系统执行对象不同：已经确定等级的信息系统 内容不同：依据

21、内容不同：依据基本要求基本要求和和测评要测评要 求求 结果不同：符合、基本符合、不符合。结果不同：符合、基本符合、不符合。 信息安全等级保护30 等级测评面对的信息系统等级测评面对的信息系统 等级测评面对的信息系统是指等级测评面对的信息系统是指由一个由一个 或多个不同安全保护等级的定级对象或多个不同安全保护等级的定级对象 构成的构成的信息系统。信息系统。 信息安全等级保护31 访谈访谈通过与信息系统用户（个人通过与信息系统用户（个人/ /群体）迚行交流、群体）迚行交流、 认论等活劢，获取相关证据证明信息系统安全保护措施认论等活劢，获取相关证据证明信息系统安全保护措施 是否落实的一种方法。是否落实的一种方法。 检查检查通过对测评对