51 信息系统安全等级保护基础

1、 信息系统安全与对抗技术 信息系统安全等级保护基础 等级保护与风险管理1994年颁布的人民计算机信息系统安全保护条例 明确规定，我国的计算机信息系统实行安全等级保护，等级保护工作于 2004年正式启动。 等级保护与风险管理风险管理方法 在信息系统生存周期的各个阶段，采用风险分析的方法，分析和评估信息系统的风险，并根据风险情况对信息系统的安全措施进行相应调整，使其安全性达到所需的要求。 等级管理方法 在信息系统生存周期的不同阶段，通过确定信息系统的安全保护等级，并按照确定的安全保护等级的要求进行信息系统安全的设计、实现、运行控制和维护，使其安全性达到确定安全保护等级的安全目标。 等级保护与风险管

2、理宏观层面上，国家信息系统安全保障体系涉及到防范与保护、监控与 检查、应急协调与响应等多个方面，而贯彻落实信息安全等级保护制度，建立等级化的信息安全保护体系，是实现国家信息安全保障的关键环节和重要途径。 实施意义和基本原则-意义信息安全等级主要涉及三大项内容对信息和信息系统分等级进行保护。 对信息系统安全专用产品分等级进行管理。 对所发生的信息安全分等级进行响应和处置。 实施意义和基本原则-意义有利于优化信息安全资源的配置，对信息系统分级实施保护，重点保 障基础信息网络和关系信息系统的安全。 、经济命脉、社会稳定等方面的重要有利于明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理。

3、 有利于推动信息安全产业的发展，逐步探索出一条适应经济发展的信息安全模式。 市场 实施意义和基本原则-原则明确责任，共同保护。通过等级保护，组织和动员国家、法人和其他 组织、公民共同参与信息安全保护工作；各方主体按照规范和标准分别承担相应明确、具体的信息安全保护责任。 依照标准，自行保护。国家运用强制性的规范及标准，要求信息和信 息系统按照相应的建设和管理要求，自行定级，自行保护。 实施意义和基本原则-原则同步建设，动态调整。信息系统在新建、改建、扩建时应当同步建设 信息安全设施， 保障信息安全与信息化建设相适应。 指导监督，重点保护。国家指定信息安全监管职能部门通过备案、指 导、检查、督促整

4、改等方式，主要包括国家事务处理信息系统（党政 机关办公系统）；财政、金融、税务、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统。 基本内容和工作重点信息和信息系统等级划分信息安全产品的等级划分信息安全的等级划分评估机构资质的等级划分 工作重点信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全 等级测评、信息安全检查五个阶段。 信息系统的安全保护等级是信息系统的客观属性，不以已采取或将采取什么安全保护措施为依据，也不以风险评估为依据，而是以信息系统的重要性和信息系统遭到破坏后对、社会稳定、人民群众合法权益的程度为依据确定。 系统定级方法-侵害客体和侵害程度三种

5、受侵害的客体 ：体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全等方面利益。 社会秩序和公共利益：包括政治、经济、生产、生活、科研、工作等各方面的正常秩序和社会公众生产、生活、教育、卫生等方面的利益。 合法权益：是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。 系统定级方法-侵害客体和侵害程度关于 重要的国家事务处理系统、国防工业生产系统和国防设施的控制系 统等；广播、电影、电视等重要新闻媒体的发布或播出系统，尖端 科技领域的研发、生产系统等，以及电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统等。 系统定级方

6、法-侵害客体和侵害程度关于社会秩序 各级政府机构的社会管理和公共服务系统，如财政、金融、工商、税 务、法、社保等领域的信息系统，也包括教育、科研机构 的工作系统，以及所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统。 系统定级方法-侵害客体和侵害程度关于公共利益 借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当提供的安全保护等级。 公共利益与社会秩序密切相关，社会秩序的破坏一般会造成对公共利益的损害。 信息系统安全等级划分-五级等级 对象 侵害客体 侵害程度 监管强度 第一级 一般系统 合法权益 损害 自主保护 第二级 合

7、法权益 严重损害 指导 社会秩序和公共利益 损害 第三级 重要系统 社会秩序和公共利益 严重损害 监督检查 损害 第四级 社会秩序和公共利益 特别严重损害 强制监督检查 严重损害 第五级 重要系统 特别严重损害 专门监督检查 信息系统安全等级划分-五级等级 对象 侵害客体 侵害程度 监管强度 第一级 一般系统 合法权益 损害 自主保护 第二级 合法权益 严重损害 指导 社会秩序和公共利益 损害 第三级 重要系统 社会秩序和公共利益 严重损害 监督检查 损害 第四级 社会秩序和公共利益 特别严重损害 强制监督检查 严重损害 第五级 重要系统 特别严重损害 专门监督检查 信息系统安全等级划分-五级

8、等级 对象 侵害客体 侵害程度 监管强度 第一级 一般系统 合法权益 损害 自主保护 第二级 合法权益 严重损害 指导 社会秩序和公共利益 损害 第三级 重要系统 社会秩序和公共利益 严重损害 监督检查 损害 第四级 社会秩序和公共利益 特别严重损害 强制监督检查 严重损害 第五级 重要系统 特别严重损害 专门监督检查 信息系统安全等级划分-五级等级 对象 侵害客体 侵害程度 监管强度 第一级 一般系统 合法权益 损害 自主保护 第二级 合法权益 严重损害 指导 社会秩序和公共利益 损害 第三级 重要系统 社会秩序和公共利益 严重损害 监督检查 损害 第四级 社会秩序和公共利益 特别严重损害

9、强制监督检查 严重损害 第五级 重要系统 特别严重损害 专门监督检查 信息系统安全等级划分-五级等级 对象 侵害客体 侵害程度 监管强度 第一级 一般系统 合法权益 损害 自主保护 第二级 合法权益 严重损害 指导 社会秩序和公共利益 损害 第三级 重要系统 社会秩序和公共利益 严重损害 监督检查 损害 第四级 社会秩序和公共利益 特别严重损害 强制监督检查 严重损害 第五级 重要系统 特别严重损害 专门监督检查 信息系统安全等级划分-五级第一级安全的信息系统具备对信息和系统进行基本保护的能力。 在技术方面，第一级要求设置基本的安全功能，使信息免遭非授权的泄露和破坏，能保证基本安全的系统服务。

10、 在安全管理方面，第一级要求根据机构自身安全需求，为信息系统正常运行提供基本的安全管理保障。 信息系统安全等级划分-五级第二级安全的信息系统具备对信息和系统进行比较完整的系统化的安 全保护能力。 在技术方面，第二级要求采用系统化的设计方法。 在安全管理方面，第二级要求建立必要的信息系统安全管理制度。 信息系统安全等级划分-五级第三级安全的信息系统具备对信息和系统进行基于安全策略强制的安 全保护能力。 在技术方面，第三级要求按照完整的安全策略模型。 在安全管理方面，第三级要求建立完整的信息系统安全管理体系。 信息系统安全等级划分-五级第四级安全的信息系统具备对信息和系统进行基于安全策略强制的整 体的安全保护能力。 在技术方面，物理隔离，第四级要求采用结构化设计方法。 在安全管理方面，第四级要求建立持