版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、信息系统安全等级保护讲义,沈阳实现科技发展有限公司 刘志,1,.,内容,安全等级保护概述 安全等级保护定级原理 安全等级保护定级方法 安全等级保护定级管理 安全等级保护技术和管理要求,2,.,原因,3,.,互联网安全环境,4,.,发展史,1994年,国务院颁布计算机信息系统安全保护条例(147号令) 第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。 1999年9月13日,颁布计算机信息系统安全保护等级划分准则(GB/T 17859-1999),于2000年开始实施,它是我国计算机信息系统安全保护等级工作的基础。 2003年,国家信息
2、化领导小组关于加强信息安全保障工作的意见(中办发200327号):明确提出“实行信息安全等级保护”。,5,.,发展史,2004年,全国信息安全保障工作会议:专门将信息安全等级保护工作作为信息安全保障工作的一项重要任务来部署。 2004年9月,公安部、保密局、密码管理局、国信办联合出台了关于信息安全等级保护工作的实施意见(公通字200466号):明确了信息安全等级保护制度的原则和基本内容,以及信息安全等级保护工作的职责分工、工作实施的要求等。 2007年,公安部、保密局、密码管理局、国信办联合制定了信息安全等级保护管理办法,标志着我国等级保护制度的初步形成,6,.,定级范围,运营商和服务提供商
3、电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。 重要行业 铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。 重要机关 市(地)级以上党政机关的重要网站和办公信息系统。 涉密系统 涉及国家秘密的信息系统。,7,.,职责分工,公安机关 负责信息安全等级保护工作的监督、检查、指导。 国家密码管理部门 负责等级保护工作中有
4、关密码工作的监督、检查、指导。 其他相关部门 涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。 信息化领导机构 国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门 依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的等级保护工作。 信息系统的运营、使用单位 应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。,8,.,政策法规,中华人民共和国计算机信息系统安全保护条例(国务院147号令) 国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号文件),
5、中办、国办 关于信息安全等级保护工作的实施意见(公通字200466号文件)公安部、保密局、国密办以及国信办 信息系统安全等级保护基本要求(标准GB/T22239-2008 ) 信息系统安全等级保护定级指南(标准GB/T22240-2008 ) 信息系统安全等级保护实施指南(标准GB/T25058-2010 ) 信息系统安全等级保护测评准则(报批稿) 信息安全等级保护管理办法(公通字200743号文件),公安部、保密局、国密办以及国信办 关于开展全国重要信息系统安全等级保护定级工作的通知(公信安2007861号文件),公安部、保密局、国密办以及国信办,9,.,国家标准,信息技术 词汇 第8部分:
6、安全(GB/T 5271.8) 信息技术 计算机信息系统安全保护等级划分准则(GB17859-1999) 信息技术 信息技术安全性评估准则(GB/T 18336-2000) 信息技术 信息安全管理实用规则( GB/T 19716-2005) 信息技术 信息系统通用安全技术要求(GB/T20271-2006) 信息技术 网络基础安全技术要求(GB/T20270-2006) 信息技术 操作系统安全技术要求(GB/T20272-2006) 信息技术 数据库管理系统安全技术要求(GB/T20273-2006) 信息技术 服务器技术要求 (GB/T21028-2007) 信息技术 终端计算机系统安全等级
7、技术要求(GA/T671-2006) 信息技术 信息系统安全管理要求(GB/T20269-2006) 信息技术 信息系统安全工程管理要求(GB/T20282-2006) 其他国家标准,10,.,内容,安全等级保护概述 安全等级保护定级原理 安全等级保护定级方法 安全等级保护定级管理 安全等级保护技术和管理要求,11,.,定级准则,坚持自主定级、自主保护的原则。 应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序和公共利益以及公民、法人和其他组织的合法权益(受侵害客体)的危害程度等因素确定。,12,.,等级划分,第一级(自主保护级 ) 信息系统受到
8、破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级(指导保护级 ) 信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级(监督保护级 ) 信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级(强制保护级 ) 信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级(专控保护级 ) 信息系统受到破坏后,会对国家安全造成特别严重损害。,13,.,第五级,第四级,第三级,第二级,定级监管部门,第一级,单
9、位自主,公安部门,公安部门和国密部门,国密部门?,14,.,定级要素,受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面: 公民、法人和其他组织的合法权益; 社会秩序、公共利益; 国家安全。 对客体的侵害程度对客体的侵害程度由客观方面的不同外在表现综合决定,表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。侵害程度归结为以下三种: 造成一般损害; 造成严重损害; 造成特别严重损害。,15,.,定级要素与等级的关系,16,.,等级、定级要素、监管关系,17,.,内容,安全等级保护概述 安全等级保护定级原理 安全等级保护定级方法 安全等级保护定级管理 安全等级保护技
10、术和管理要求,18,.,确定安全对象,业务信息安全保护等级 从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。 以业务为主题,如不同应用系统 系统服务安全保护等级 从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。 以服务为主题,如不同子网、数据中心,19,.,定级流程,20,.,确定定级对象(流程1),具有唯一确定的安全责任单位(一个单位) 这种定级对象是能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方
11、面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。 具有信息系统的基本要素(一个系统) 这种定级对象是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。 承载相对独立的业务应用(一种应用) 这种定级对象是指其业务应用的主要业务流程独立,同时与其他业务应用有一定的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。,21,.,确定受侵害的客体(流程2、5),A-侵害国家安全 影响国家政权稳固和国防实力;影响国家统一、民族团结和社会安定;影响国家对外活动中的政治、经济利
12、益;影响国家重要的安全保卫工作;其他影响国家安全的事项。 B1-侵害社会秩序 影响国家机关社会管理和公共服务的工作秩序;影响各种类型的经济活动秩序;影响各行业的科研、生产活动秩序;影响公众在法律约束和道德规范下的正常生活秩序等;其他影响社会秩序的事项。 B2-影响公共利益 影响社会成员使用公共设施;影响社会成员获取公开信息资源;影响社会成员接受公共服务等方面;其他影响公共利益的事项。 C-影响公民、法人和其他组织的合法权益 指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。,22,.,确定对客体的侵害程度(流程3、6),一般损害 工作职能受到局部影响,业务能力有所降
13、低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。 严重损害 工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。 特别严重损害 工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。,23,.,确定对客体的危害后果,影响行使工作职能; 导致业务能力下降; 引起法律纠纷; 导致财产损失; 造成社会不良影响; 对其他组
14、织和个人造成损失; 其他影响。,24,.,确定定级对象的安保等级(流程4、7),业务信息安全保护等级矩阵表 系统服务安全保护等级矩阵表,25,.,表A-业务信息安全保护等级矩阵表,26,.,表B-系统服务安全保护等级矩阵表,27,.,内容,安全等级保护概述 安全等级保护定级原理 安全等级保护定级方法 安全等级保护定级管理 安全等级保护技术和管理要求,28,.,定级监督管理,第一级 信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 国家信息安全监管部门对该级信息系统信息安全等级保护工作进行备案。 第二级 信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 国家信
15、息安全监管部门对该级信息系统信息安全等级保护工作进行指导。 第三级 信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。 第四级 信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。 国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。 第五级 信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。 国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。,29,.,等级测评与自查,第三方测评 运营、使用单位或者其主管部
16、门应当选择符合规定条件的测评机构,依据信息系统安全等级保护测评要求等技术标准,定期对信息系统安全等级状况开展等级测评。 测评周期 第三级:每年至少一次 第四级:每半年至少一次 第五级:应当依据特殊安全需求进行等级测评。 自查 信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。 自查周期 第三级:每年至少一次 第四级:每半年至少一次 第五级:应当依据特殊安全需求进行自查。,30,.,定级申报材料,编写信息系统安全等级保护定级报告 填写信息系统安全等级保护备案表 第三级以上信息系统应当同时提供以下材料: 系统拓扑结构及说明; 系统安全组织机构和管理
17、制度; 系统安全保护设施设计实施方案或者改建实施方案; 系统使用的信息安全产品清单及其认证、销售许可证明; 测评后符合系统安全保护等级的技术检测评估报告; 信息系统安全保护等级专家评审意见; 主管部门审核批准信息系统安全保护等级的意见。,31,.,信息系统安全等级保护定级报告,一、XXX信息系统描述 简述确定该系统为定级对象的理由:1.描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该系统为本单位或部门的定级对象;2. 定级对象具有的信息系统基本要素,描述基本要素、系统网络结构、系统边界和边界设备;3.定级对象是否承载着单一或相对独立的业务,业务情况描
18、述。 二、XXX信息系统安全保护等级确定 (一)业务信息安全保护等级的确定: 1、业务信息描述、2、业务信息受到破坏时所侵害客体的确定、3、信息受到破坏后对侵害客体的侵害程度的确定、4、业务信息安全等级的确定 (二)系统服务安全保护等级的确定: 1、系统服务描述、2、系统服务受到破坏时所侵害客体的确定、3、系统服务受到破坏后对侵害客体的侵害程度的确定、4、系统服务安全等级的确定 (三)整体安全保护等级的确定: 由业务信息安全等级和系统服务安全等级较高者决定,最终确定该系统的安全保护等级。,32,.,信息系统安全等级保护备案表,33,.,涉及国家秘密的信息系统分级保护备案表,34,.,内容,安全
19、等级保护概述 安全等级保护定级原理 安全等级保护定级方法 安全等级保护定级管理 安全等级保护技术和管理要求,35,.,安全保护能力总体要求,第一级安全保护能力 应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害。 在系统遭到损害后,能够恢复部分功能。 第二级安全保护能力 应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件。 在系统遭到损害后,能够在一段时间内恢复部分功能。 第三级安全保护能力 应能够
20、在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件 在系统遭到损害后,能够较快恢复绝大部分功能。 第四级安全保护能力 应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害,能够发现安全漏洞和安全事件。 在系统遭到损害后,能够迅速恢复所有功能。 第五级安全保护能力 (略)由国家指定部门或机构确定。,36,.,基本安全要求结构,某级系统,物理安全,技术要求,管理要
21、求,基本要求,网络安全,主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,37,.,基本技术要求的三种类型类型,38,.,第一级基本技术要求,物理安全 物理访问控制(G1)、 防盗窃和防破坏(G1)、 防雷击(G1)、 防火(G1)、 防水和防潮(G1)、 温湿度控制(G1)、 电力供应(A1) 网络安全 结构安全(G1)、 访问控制(G1)、设备防护(G1) 主机安全 身份鉴别(S1)、 访问控制(S1)、入侵防范(G1)、 恶意代码防范(G1) 应用安全 身份鉴别(S1)、 访问控制(S1)、 通信完整性(S1)、 软件容错(A1)、 数据
22、安全及备份恢复、 数据完整性(S1)、 备份和恢复(A1),39,.,第一级基本管理要求,安全管理制度 管理制度(G1)、制定和发布(G1) 安全管理机构 岗位设置(G1)、人员配备(G1)、授权和审批(G1)、沟通和合作(G1) 人员安全管理 人员录用(G1)、人员离岗(G1)、安全意识教育和培训(G1)、外部人员访问管理(G1) 系统建设管理 系统定级(G1)、安全方案设计(G1)、产品采购和使用(G1)、自行软件开发(G1)、外包软件开发(G1)、工程实施(G1)、测试验收(G1)、系统交付(G1)、安全服务商选择(G1) 系统运维管理 环境管理(G1)、资产管理(G1)、设备管理(G1
23、)、网络安全管理(G1)、系统安全管理(G1)、恶意代码防范管理(G1)、备份与恢复管理(G1)、安全事件处置(G1),40,.,第二级基本技术要求,物理安全 物理位置的选择(G2)、 物理访问控制(G2)、 防盗窃和防破坏(G2)、 防雷击(G2)、 防火(G2)、 防水和防潮(G2)、 防静电(G2)、 温湿度控制(G2)、 电力供应(A2)、 电磁防护(S2) 网络安全 结构安全(G2)、 访问控制(G2)、 安全审计(G2)、 边界完整性检查(S2)、 入侵防范(G2)、 网络设备防护(G2) 主机安全 身份鉴别(S2)、 访问控制(S2)、 安全审计(G2)、 入侵防范(G2)、 恶
24、意代码防范(G2)、 资源控制(A2) 应用安全 身份鉴别(S2)、 访问控制(S2)、 安全审计(G2)、 通信完整性(S2)、 通信保密性(S2)、 软件容错(A2)、 资源控制(A2) 数据安全及备份恢复 数据完整性(S2)、 数据保密性(S2)、 备份和恢复(A2),41,.,第二级基本管理要求,安全管理制度 管理制度(G2)、 制定和发布(G2)、 评审和修订(G2) 安全管理机构 岗位设置(G2)、 人员配备(G2、 授权和审批(G2)、 沟通和合作(G2)、 审核和检查(G2) 人员安全管理 人员录用(G2)、 人员离岗(G2)、 人员考核(G2)、 安全意识教育和培训(G2)、
25、 外部人员访问管理(G2) 系统建设管理 系统定级(G2)、 安全方案设计(G2)、 产品采购和使用(G2)、 自行软件开发(G2)、 外包软件开发(G2)、 工程实施(G2)、 测试验收(G2)、 系统交付(G2)、 安全服务商选择(G2) 系统运维管理 环境管理(G2)、 资产管理(G2)、 介质管理(G2、 设备管理(G2)、 网络安全管理(G2)、 系统安全管理(G2)、 恶意代码防范管理(G2)、 密码管理(G2)、 变更管理(G2)、 备份与恢复管理(G2)、 安全事件处置(G2)、 应急预案管理(G2),42,.,第三级基本技术要求,物理安全 物理位置的选择(G3)、物理访问控制
26、(G3)、防盗窃和防破坏(G3)、防雷击(G3)、防火(G3)、防水和防潮(G3)、防静电(G3)、温湿度控制(G3)、电力供应(A3)、电磁防护(S3) 网络安全 结构安全(G3)、访问控制(G3)、安全审计(G3)、边界完整性检查(S3)、入侵防范(G3)、恶意代码防范(G3)、网络设备防护(G3) 主机安全 身份鉴别(S3)、访问控制(S3)、安全审计(G3)、剩余信息保护(S3)、入侵防范(G3)、恶意代码防范(G3)、资源控制(A3) 应用安全 身份鉴别(S3)、 访问控制(S3)、 安全审计(G3)、 剩余信息保护(S3)、 通信完整性(S3)、 通信保密性(S3、 抗抵赖(G3)
27、、 软件容错(A3)、 资源控制(A3)、 数据安全及备份恢复 数据完整性(S3)、 数据保密性(S3)、 备份和恢复(A3),43,.,第三级基本管理要求,安全管理制度 管理制度(G3)、 制定和发布(G3)、 评审和修订(G3) 安全管理机构 岗位设置(G3)、 人员配备(G3)、 授权和审批(G3)、 沟通和合作(G3)、 审核和检查(G3) 人员安全管理 人员录用(G3)、人员离岗(G3)、 人员考核(G3)、 安全意识教育和培训(G3)、 外部人员访问管理(G3) 系统建设管理 系统定级(G3)、 安全方案设计(G3)、 产品采购和使用(G3)、 自行软件开发(G3)、 外包软件开发
28、(G3)、 工程实施(G3)、 测试验收(G3)、 系统交付(G3)、 系统备案(G3)、 等级测评(G3)、 安全服务商选择(G3) 系统运维管理 环境管理(G3)、 资产管理(G3)、 介质管理(G3)、 设备管理(G3)、 监控管理和安全管理中心(G3)、 网络安全管理(G3)、 系统安全管理(G3)、 恶意代码防范管理(G3)、 密码管理(G3)、 变更管理(G3)、 备份与恢复管理(G3)、 安全事件处置(G3)、应急预案管理(G3),44,.,第四级基本技术要求,物理安全 物理位置的选择(G4)、 物理访问控制(G4)、 防盗窃和防破坏(G4)、 防雷击(G4)、 防火(G4)、 防水和防潮(G4)、 防静电(G4)、 温湿度控制(G4)、 电力供应(A4)、 电磁防护(S4) 网络安全 结构安全(G4)、 访问控制(G4)、 安全审计(G4)、 边界完整性检查(S4、 入侵防范(G4)、 恶意代码防范(
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 质量检测合同模板
- 2024年度平房区环境整治:建筑施工合同范本
- 开发商授权拆迁补偿合同
- 2024年住家保姆工作协议
- 劳务协议书样式
- 简单工程承包协议范例
- 2024标准临时用工合同样本
- 2024年苏州市租房合同范本
- 拼车服务协议示例
- 2024中介的买卖合同书范文
- 初中语文人教七年级上册要拿我当一挺机关枪使用
- 北京颂歌原版五线谱钢琴谱正谱乐谱
- 病史采集和临床检查方法
- PSUR模板仅供参考
- 火力发电企业作业活动风险分级管控清单(参考)
- 民法典合同编之保证合同实务解读PPT
- 全国第四轮学科评估PPT幻灯片课件(PPT 24页)
- 大气污染控制工程课程设计-某厂酸洗硫酸烟雾治理设施设计
- 名牌包包网红主播电商直播带货话术脚本
- 高考语文作文素材人物速递——苏炳添课件18张
- 蛋鸡养殖场管理制度管理办法
评论
0/150
提交评论