电子政务信息安全等级保护实施指南(ppt 46页).ppt

1、,电子政务信息安全等级保护实施指南,2005年11月8日,27号文件确定未来35年的信息安全纲领,当前我国信息安全保障工作的九大任务,实行信息安全等级保护 加强以密码技术为基础的信息保护和网络信任体系建设 建设和完善信息安全监控体系 重视信息安全应急处理工作 加强信息安全技术研究开发，推进信息安全产业发展 加强信息安全法制建设标准化建设 加快信息安全人才培养，增强全民信息安全意识 保证信息安全资金 加强对信息安全保障工作的领导，建立健全信息安全管理责任制,等级保护的基本概念,安全措施,电子政务等级保护的含义,实行信息安全等级保护：信息化发展的不同阶段和不同的信息系统有着不同的安全需求，必须从实

2、际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。,电子政务等级保护的含义,依据电子政务系统的使命与目标和系统重要程度，将系统划分为不同的安全等级，并综合平衡考虑系统安全要求、系统所面临安全风险和实施安全保护措施的成本，进行安全措施的调整和定制，形成不同等级的安全措施进行保护,电子政务等级保护工作的内容,等级保护 管理办法,等级保护 定级指南,基本安全 要求,等级评估 规范,定级,确定安全 保障措施,安全设计 与建设,运行监控 与改进,管理层,用户层,电子政务等级保护的基本原则,重点保护原则：电子政务

3、等级保护要突出重点，重点保护关系国家安全、经济命脉、社会稳定等方面的重要电子政务系统，集中资源首先确保重点系统安全。 自主保护原则：电子政务等级保护要贯彻“谁主管谁负责、谁运营谁负责”的原则，由各主管部门和运营单位依照国家相关法规和标准，自主确定电子政务系统的安全等级并组织实施安全防护。 分区域保护原则：电子政务等级保护要根据各地区、各行业电子政务系统的重要程度、业务特点和不同发展水平，分类、分级、分阶段进行实施，通过划分不同安全保护等级的区域，实现不同强度的安全保护。 同步建设、动态调整原则：电子政务系统在新建、改建、扩建时应当同步建设信息安全设施，保障信息安全与信息化建设相适应。因信息和信

4、息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当重新确定系统的安全保护等级。,电子政务的五个安全等级,电子政务的五个安全等级1,电子政务的五个安全等级2,电子政务的五个安全等级3,电子政务的五个安全等级- 4,电子政务的五个安全等级- 5,电子政务安全措施的等级指标,电子政务安全措施等级指标是满足不同等级电子政务系统基本安全要求的安全措施集合。 电子政务安全措施指标体系包括五个级别，从第一级至第五级，对应第15级的电子政务系统。 电子政务的安全措施指标体系可以分解为安全策略、安全组织、安全技术和安全运行四个方面的安全指标。,2级要求： 采用设备提供的多级用户管理授权，

5、对每 一个不同的用户授予不同的设备管理权限。,信息安全等级化指标库举例,安全体系指标框架,技术框架,网络基础设施,网络设备管理,网络设备管理授权,1级要求： 采用网络设备自身提供的普通/特权两级 授权管理机制管理设备。,对应措施： 网络设备配置规范 网络设备管理流程 网络设备配置检查流程,3级要求： 采用集中统一设备管理授权，通过中心服务 器实现对各个设备的用户管理、用户授权。 例如TACACS+、RADIOUS等。,量化了安全要求,量化了安全措施,电子政务等级保护的基本要素,电子政务系统 使命与目标 信息安全等级 安全保护要求 安全风险 安全保护措施 安全保护成本,等级保护各要素之间的关系,

6、根本关系是不同等级的电子政务系统对应不同等级的安全措施 核心问题是安全措施的确定 安全措施需要满足系统保护要求，对抗系统所面临的风险 系统保护要求的确定：不同电子政务系统的使命和业务目标的差异性，业务和系统本身的特性（所属信息资产特性、实际运行情况和所处环境等）的差异性，决定了系统保护要求特性（安全保护要求的类型和强度）的差异性。 安全措施的确定：系统保护要求类型和强度的差异性，安全风险的差异性，决定了选择不同类型和强度的安全措施；安全措施的选择需要符合系统保护要求的满足程度，面临风险的控制和降低程度和实施安全措施的成本三者之间的平衡，在适度成本下实现适度安全,电子政务等级保护是以等级化的电子

7、政务保护对象和电子政务安全措施等级指标为参照系，以风险管理过程为主线，建立并实施电子政务等级保护体系的过程。,电子政务等级保护的实现原理,电子政务等级保护实施过程,等级保护过程与新建和已建系统生命周期对应关系,系统间互联互通的等级保护要求,同等级电子政务系统之间的互联互通： 由系统的拥有单位参照该等级的安全措施等级指标对访问控制的要求，协商确定边界防护措施，保障互联互通电子政务系统的安全 不同等级电子政务系统间的互联互通： 各系统要按照自身相应的安全等级要求进行保护，在此基础上协商对相互连接的保护。同时，高安全等级的系统要充分考虑引入低安全等级系统后带来的风险，采取有效措施进行控制。 涉密系统

8、与其它系统的互联互通，按照国家保密部门的有关规定执行。 电子政务系统互联互通中的密码配置按照国家密码管理部门的要求执行。,定级的方式与过程,电子政务系统定级可以采用以下两种方式进行： 对系统整体定级：系统整体定级是在识别出政务机构所拥有的电子政务系统后，针对系统整体确定其安全等级。 将系统分解为子系统后分别定级：若规模庞大、系统复杂，则可以将系统分解为多层次的多个子系统后，对所分解的每个子系统分别确定其安全等级。,定级原则,依据电子政务五个安全等级的基本要求，从信息安全的保密性、完整性、可用性三个基本属性在遭到破坏时对政务机构履行其政务职能、机构财产、人员造成的影响来定义安全级别，并划分为五个

9、等级。安全级别的确定应在单位层面和国家层面的整体环境下进行考虑。,安全级别第一级,对政务机构自身造成较小的负面影响,包括： 对政务机构履行其政务职能带来较小的负面影响，政务机构还可以履行其基本的政务职能，但效率有较小程度的降低； 对政务机构、相关单位、人员造成较小经济损失； 对政务机构、相关单位、人员的形象或名誉造成较小影响； 不会造成人身伤害； 不会造成犯罪或防碍对犯罪行为的调查；,安全级别第二级,对政务机构自身造成中等程度的负面影响,包括： 对政务机构运行带来中等程度的负面影响，政务机构还可以履行其基本的政务职能，但效率有较大程度的降低； 对政务机构、相关单位、人员造成一定程度的经济损失；

10、 对政务机构、相关单位、人员的形象或名誉造成一定程度的负面影响； 造成轻微的人身伤害； 不会造成犯罪或防碍对犯罪行为的调查；,安全级别第三级,对政务机构自身造成较大的负面影响，对国家安全造成一定程度的损害，包括： 对政务机构运行带来较大的负面影响，政务机构的一项或多项政务职能无法履行； 对政务机构、相关单位、人员造成较大经济损失； 对政务机构、相关单位、人员的形象或名誉造成较大的负面影响； 导致严重的人身伤害； 导致犯罪或防碍对犯罪行为的调查；,安全级别第四级,对政务机构自身造成严重的负面影响，对国家安全造成较大损害，包括： 对政务机构运行带来严重的负面影响，政务机构的多项政务职能无法履行，并

11、在省级行政区域范围内造成严重影响； 对国家造成严重的经济损失； 对国家形象造成严重影响； 导致较多的人员伤亡； 导致危害国家安全的犯罪行为；,安全级别第五级,对政务机构自身造成极其严重的负面影响，对国家安全造成严重损害，包括： 对政务机构运行带来较小的负面影响，中央政务机构的一项或多项政务职能无法履行，并在全国范围内造成极其严重的影响； 对国家造成极大的经济损失； 对国家形象造成极大影响； 导致大量人员伤亡； 导致危害国家安全的严重犯罪行为；,定级方法,考虑信息和服务两个因素，通过对每一类信息和服务安全级别的分析，得到系统三性的级别，最终确定系统的安全等级。 安全级别可以根据实际情况进行调整。

12、 系统定级公式： 系统安全等级(A)Max (系统保密性级别) ,(系统完整性级别),(系统可用性级别) 系统保密性级别Max (各信息或服务的保密性级别) 系统完整性级别Max (各信息或服务的完整性级别) 系统可用性级别Max (各信息或服务的可用性级别) ,安全规划与设计的过程,安全域划分原则,功能应用相似性原则 安全属性相似性原则 资产价值 安全要求 安全威胁,保护对象分类,建立系统分域保护框架的方法,充分覆盖 互不重叠 无需细分,如何构建系统分域保护框架,选择和调整安全措施的过程,安全措施调整因素和调整方式,安全规划与方案设计,安全需求分析 安全现状和等级要求之间的差距 安全项目规划

13、 对安全项目的相关性、紧迫性、难易程度和预期效果等因素进行分析，确定实施的先后顺序 安全工作规划 确定安全工作的宗旨、远期安全工作目标和当年目标、关键和重点的工作，并分析潜在的风险和障碍、所需的资源和预算 ，进行实施策略选择，确定当年的安全工作计划和等级保护项目建设计划 安全方案设计 技术解决方案、管理解决方案,实施、等级评估与运行,安全管理措施建设 安全技术措施建设 等级评估与验收 运行监控与改进,等级化安全体系试点交付成果,等级化安全体系的设计成果安全组织,安全管理员,安全技术员,等级化安全体系的设计成果安全技术,防病毒,监控,审计,认证,第三方 统一接入,安全域,访问 控制,访问 控制,访问 控制,主机 安全,边界 隔离,数据库 安全,应用 安全,安全域,边界 隔离,表现