深圳市重要信息系统等级保护培训.ppt

深圳市重要信息系统等级保护培训 深圳市公安局网监分局 2008年6月,培训内容,一、信息安全等级保护工作概述 二、如何实施等级保护工作,培训内容,一、信息安全等级保护工作概述 二、如何实施等级保护工作,一、信息安全等级保护工作概述,（一）什么是信息安全等级保护工作？ （二）为什么开展信息安全等级保护工作？,（一） 什么是信息安全等级保护工作？,概 念： 信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。,（一） 什么是信息安全等级保护工作？,信息系统的安全保护等级分为以下五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益； 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全； 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害； 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害； 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。,一、信息安全等级保护工作概述,（一）什么是信息安全等级保护工作？ （二）为什么开展信息安全等级保护工作？,（二） 为什么开展信息安全等级保护工作？,1、卫生系统信息化发展状况 信息化建设是医院现代化建设和发展的历史潮流，也是现代医院管理发展的必然要求。1995年5月，卫生部正式启动“金卫工程”，该工程是跨世纪的国家医疗信息网络工程，通过信息化建设加强医院现代化管理，走“优质、高效、低耗”的发展道路。,（二） 为什么开展信息安全等级保护工作？,2、信息安全形势 在医院信息化建设的过程中，部分医院领导缺乏科学合理的管理手段和技术，医院信息系统的安全建设成为了信息化建设中被忽视的问题。由于医院信息系统的体系结构是一个相对开放的环境，加上网络数据资源易传送、修改、复制、下载等特点，而医院的数据资源既涉及密级文件资料，又涉及病人的隐私，一旦发生系统被攻击或数据被窃等破坏行为，后果将不堪设想。因此，开展卫生系统等级保护工作刻不容缓，卫生系统信息安全等级保护定级工作开展的好坏，将直接影响到我市整体的信息安全保障能力和水平。,（二） 为什么开展信息安全等级保护工作？,3、存在的问题 信息安全意识和安全防范能力薄弱，信息安全滞后于信息化发展； 信息系统安全建设和管理的目标不明确； 信息安全保障工作的重点不突出； 信息安全监督管理缺乏依据和标准，监管措施有待到位，监管体系尚待完善； 大多数单位的信息系统安全保护还处在采用防火墙、IDS和防病毒等部件方面； 重视外部攻击与入侵，忽视内部的非法行为； 偏重产品，忽视体系和管理； 国内产品质量和技术问题； 用户信息安全的潜在的需求到现实需求仍有一个过程； 西方发达国家信息技术优势明显，我国面临信息强国的冲击、挑战和威胁，信息安全领域始终面临信息战和网络恐怖袭击的威胁 ； 敌对势力的网上煽动、渗透和破坏活动愈加突出，针对信息系统进行的破坏活动日益严重，利用网络实施的违法犯罪案件持续大幅上升 。,（二） 为什么开展信息安全等级保护工作？,4、相关政策及法律依据： 1、1994年，中华人民共和国计算机信息系统安全保护条例（国务院147号令）规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”； 2、2003年，国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）明确指出“实行信息安全等级保护”，“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”； 3、2004年9月公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了关于信息安全等级保护工作的实施意见（公通字200466号），明确了信息安全等级保护制度的原则和基本内容，以及信息安全等级保护工作的职责分工、工作实施的要求等； 4、2007年公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了信息安全等级保护管理办法，并召开了“全国重要信息系统安全等级保护定级工作电视电话会议”，部署在全国范围内开展重要信息系统安全等级保护定级备案工作。,（二） 为什么开展信息安全等级保护工作？,信息安全等级保护是我国信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作，就是要解决我国信息安全面临的威胁和存在的主要问题。,（二） 为什么开展信息安全等级保护工作？,5、开展等级保护工作的意义： 建立信息安全等级保护制度，开展信息安全等级保护工作，有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设协调；有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务；有利于优化信息安全资源的配置，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全；有利于明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理；有利于推动信息安全产业的发展，逐步探索出一条适应社会主义市场经济发展的信息安全模式。,（二） 为什么开展信息安全等级保护工作？,胡锦涛总书记指出： 信息安全是个大问题，必须把信息安全问题放到至关重要的位置，认真加以考虑和解决；切实把互联网建设好、利用好、管理好 温家宝总理强调： 面对复杂多变的国际环境和互联网的广泛应用，我国信息安全问题日益突出。加入世界贸易组织、发展电子政务等，对信息安全保障提出了新的、更高的要求。必须从国家安全、经济发展、社会稳定、公共利益的高度，充分认识信息安全的极端重要性。,培训内容,一、信息安全等级保护工作概述 二、如何实施等级保护工作,二、如何实施等级保护工作,（一）实施流程 （二）工作要求,（一）实施流程,（一）实施流程 （二）工作要求,（一）实施流程,重大变更,2、安全规划设计,3、安全实施/实现,4、安全运行管理,1、系统定级,局部调整,5、系统终止,（一）实施流程,1、系统定级（首要环节） 2、安全规划设计 安全建设 3、安全实施/实现 4、安全运行管理 5、系统终止,1、系统定级,第一步 开展信息系统基本情况的摸底调查 第二步 初步确定信息系统安全保护等级 第三步 专家评审与审批,第一步 开展信息系统基本情况的摸底调查,正确划分定级对象： 信息系统运营使用单位或主管部门按如下原则确定定级对象： 一是承载相对独立或单一业务的信息系统； 二是信息系统的信息安全由本单位主管； 三是具有信息系统的基本要素。 起支撑作用的网络可以作为定级对象；应用类的信息系统以应用种类划分定级对象。,第一步 开展信息系统基本情况的摸底调查,一是承载相对独立或单一业务的信息系统： 定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流程、部分业务功能独立，同时与其他信息系统的业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程，可以使完整的业务流程的一部分。,第一步 开展信息系统基本情况的摸底调查,二是信息系统的信息安全由本单位主管： 作为定级对象的信息系统应能够唯一地确定其安全责任单位，这个安全责任单位就是负责等级保护工作部署、实施的单位，也是完成等级保护备案和接受监督检查的直接责任单位。,第一步 开展信息系统基本情况的摸底调查,三是具有信息系统的基本要素： 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如单台的服务器、终端或网络设备等作为定级对象。,1、系统定级,第一步 开展信息系统基本情况的摸底调查 第二步 初步确定信息系统安全保护等级 第三步 专家评审与审批,第二步 初步确定信息系统安全保护等级,信息系统的安全保护等级是信息系统的客观属性，不以已采取或采取什么安全保护措施为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益等损害客体的危害程度为依据，确定信息系统的安全等级。,第二步 初步确定信息系统安全保护等级,（一）信息系统的安全保护等级由两个定级要素决定： 1、等级保护对象受到破坏时所侵害的客体 2、受到破坏时对客体造成侵害的程度,第二步 初步确定信息系统安全保护等级,1、等级保护对象受到破坏时所侵害的客体： A、国家安全 B、社会秩序、公共利益 C、公民、法人和其他组织的合法权益,第二步 初步确定信息系统安全保护等级,A、 国家安全利益体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全和资源环境安全等方面利益。 重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等属于影响国家政权稳固和国防实力的信息系统；广播、电视、网络等重要新闻媒体的发布或播出系统，其受到非法控制可能引发影响国家统一、民族团结和社会安定的重大事件；处理国家对外活动信息的信息系统；处理国家重要安全保卫工作信息的信息系统和重大刑事案件的侦查系统；尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信息系统，以及电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统等。,第二步 初步确定信息系统安全保护等级,B、社会秩序包括社会的政治、经济、生产、生活、科研、工作等各方面的正常秩序。公共利益是指不特定的社会成员所共同享有的，维持其生产、生活、教育、卫生等方面的利益。 各级政府机构的社会管理和公共服务系统，如财政、金融、工商、税务、公检法、海关、社保等领域的信息系统，也包括教育、科研机构的工作系统，以及所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统。,第二步 初步确定信息系统安全保护等级,C、合法权益是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。 借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方面，例如：公共通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施、公共服务设施等。 公共利益与社会秩序密切相关，社会秩序的破坏一般会造成对公共利益的损害。,第二步 初步确定信息系统安全保护等级,2、对客体造成侵害的程度 A、造成一般损害 B、造成严重损害 C、造成特别严重损害,第二步 初步确定信息系统安全保护等级,不同危害后果的三种危害程度描述如下： 一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的资产损失，有限的社会不良影响，对其他组织和个人造成较低损害。,第二步 初步确定信息系统安全保护等级,严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的资产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。,第二步 初步确定信息系统安全保护等级,特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的资产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。,第二步 初步确定信息系统安全保护等级,1、影响行使工作职能工作职能包括国家管理职能、公共管理职能、公共服务职能等国家或社会方面的职能。 2、导致业务能力下降下降的表现形式可能包括业务范围的减少、业务处理性能的下降、可服务的用户数量的下降以及其他各种业务指标的下降，每个行业务都有本行业关注的业务指标。例如电力行业关注发电量和用电量，税务行业关注税费收入，银行业关注存款额、贷款额、交易量等，证券经纪行业关注股民数和交易额。 3、引起法律纠纷是比较严重的影响，在较轻的程度时可能表现为投诉、索赔、媒体曝光等形式。 4、导致财产损失包括系统资产被破坏的直接损失、业务量下降带来的损失、直接的资金损失、为客户索赔所支付的资金等，以及由于信誉下降、单位形象降低、客户关系损失等导致的间接经济损失。直接造成人员伤亡，例如医疗服务系统，公安行业的某些系统等。 5、造成社会不良影响包括在社会风气、执政信心等方面的影响。,第二步 初步确定信息系统安全保护等级,（二）定级的一般流程： 信息系统的安全包括业务信息安全和系统服务安全，保护等级由业务信息安全等级和系统服务安全等级的较高者决定。,第二步 初步确定信息系统安全保护等级,3、综合评定对客体的侵害程度,2、确定业务信息安全受到破坏时所侵害的客体,6、综合评定对客体的侵害程度,5、确定系统服务安全受到破坏时所侵害的客体,7、系统服务安全等级,4、业务信息安全等级,8、定级对象的安全保护等级,依据表1,依据表2,1、确定定级对象,第二步 初步确定信息系统安全保护等级,表1：业务信息安全等级矩阵表：,第二步 初步确定信息系统安全保护等级,表2：系统服务安全等级矩阵表：,第二步 初步确定信息系统安全保护等级,综合判定侵害程度： 业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。 系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定。,1、系统定级,第一步 开展信息系统基本情况的摸底调查 第二步 初步确定信息系统安全保护等级 第三步 专家评审与审批,第三步 专家评审与审批,信息系统等级评审： 在信息系统安全保护等级确定过程中，可以聘请专家进行咨询评审，并出具定级评审意见。 对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审，出具评审意见。,第三步 专家评审与审批,信息系统等级的最终确定与审批： 信息系统运营使用单位参考专家定级评审意见，最终确定信息系统等级，形成信息系统安全等级保护定级报告。 如果专家评审意见与运营使用单位意见不一致时，由运营使用单位自主决定系统等级。 信息系统运营使用单位有上级主管部门的，应当经上级主管部门对安全保护等级进行审核批准。,（一）实施流程,1、系统定级（首要环节） 2、安全规划设计 安全建设 3、安全实施/实现 4、安全运行管理 5、系统终止,2、安全建设,信息安全等级保护管理办法第十一条规定，信息系统的安全保护等级确定后，运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设和改建工作。,2、安全建设,第十二条规定，在信息系统建设过程中，运营、使用单位应当按照计算机信息系统安全保护等级划分准则、信息系统安全等级保护基本要求等技术标准，参照信息安全技术 信息系统通用安全技术要求、信息安全技术 操作系统安全技术要求、信息安全技术 数据库管理系统安全技术要求、信息安全技术 服务器技术要求、信息安全技术 终端计算机系统安全等级技术要求等技术标准同步建设符合该等级要求的信息安全设施。,2、安全建设,第十三条规定，运营、使用单位应当参照信息安全技术 信息系统安全管理要求 、信息安全技术 信息系统安全工程管理要求、信息系统安全等级保护基本要求等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。,2、安全建设,信息系统安全建设通过由包括物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等五个层面的基本安全技术措施和安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面的基本安全管理措施来实现和保证。,（1）基本安全技术措施,基本安全技术措施主要包括以下几方面： 物理安全主要是使存在计算机、网络设备的机房以及信息系统的设备和存储数据的介质免受物理环境、自然灾害以及人为操作失误和恶意操作等各种威胁所产生的攻击。具体包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防火等十个控制点。 网络安全一方面，确定网络设备的安全运行，提供有效的网络服务，另一方面，确保在网上传输数据的保密性、完整性和可用性等。具体包括：结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等七个控制点。 主机安全是包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。具体包括：身份鉴别、安全标记、访问控制、可信途径、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等九个控制点。,（1）基本安全技术措施,应用安全对应用系统的安全保护最终就是如何保护系统的各种业务应用程序安全运行。具体包括：身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等十一个控制点。 数据安全及备份恢复保证数据安全和备份恢复主要从：数据完整性、数据保密性、备份和恢复等三个控制点考虑。,（2）基本安全管理措施,基本安全管理措施主要包括以下几方面： 安全管理制度包括信息安全工作的总体方针、策略、规范各种安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程。主要包括：管理制度、制定