怎么让多页内容在一张纸上打印

1、怎么让多页内容在一张纸上打印 等级保护技术标准简介等级保护技术标准简介 公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心 2005年年7月月 pdf转word 怎么让多页内容在一张纸上打印 报告内容报告内容 第一部分、总体情况介绍 第二部分、有关标准编制内容介绍 怎么让多页内容在一张纸上打印 总体情况介绍总体情况介绍 机构背景 等级保护标准制修订背景 怎么让多页内容在一张纸上打印 总体情况介绍总体情况介绍-机构背景机构背景 公 安 部 第 三 研 究 所 公安部计算机信息系统安全产品质量监督检验中心 公安部信息安全产品检测中心 公安部信息安全等级保护评估中心 怎么让多页内容在一张纸

2、上打印 总体情况介绍总体情况介绍-等级保护标准制修订背景等级保护标准制修订背景 怎么让多页内容在一张纸上打印 总体情况介绍总体情况介绍-等级保护标准制修订背景等级保护标准制修订背景 安全 控制 定级 指南 过程 方法 确定 系统 等级 启动采购/开发实施运行/维护废弃 确定 安全 需求 设计 安全 方案 安全 建设 安全 测评 监督 管理 运行 维护 暂不 考虑 特殊 需求 等级 需求 基本 要求 产品 使用 选 型 监督 管理 测评 准则 流程 方法 监管 流程 应急 预案 应急 响应 怎么让多页内容在一张纸上打印 有关标准编制内容介绍有关标准编制内容介绍 定级指南 基本要求 实施指南 怎么

3、让多页内容在一张纸上打印 定级指南标准编制定级指南标准编制 情况介绍情况介绍 怎么让多页内容在一张纸上打印 定级指南标准编制情况介绍定级指南标准编制情况介绍 背景介绍 等级确定的原则 决定等级的主要因素分析 等级确定方法 等级划分流程 怎么让多页内容在一张纸上打印 背景介绍背景介绍 与系统等级相关的国外资料： FIPS 199（美国联邦政府） 根据信息系统所处理信息的机密性、完整性和 可用性被破坏的影响确定。 IATF（NSA） 根据信息价值与威胁确定系统强健度等级。 DITSCAP （DOD） 根据互联模式、处理模式、业务依赖、三性、 不可否认性等七个方面确定系统认证级。 怎么让多页内容在一

4、张纸上打印 背景介绍背景介绍 上述定级方法存在问题 仅由信息重要性确定信息系统的等级，对大型企业和 重点行业的重要业务系统不合适。 在通过三性影响分析，并根据三者取高的方法中，无 法为可用性要求高和保密性要求高两类系统提出统一 的技术要求。 确定系统等级，与业务无关，不满足等级保护的监管 需要。 定级范围往往只在局部范围内。 怎么让多页内容在一张纸上打印 等级确定的原则等级确定的原则 全局性原则 信息系统安全等级保护是针对全国范围内、涵 盖各个行业信息系统的管理制度，信息系统安 全保护等级的划分也必须从国家层面考虑，体 现全局性。 业务为核心原则 信息系统是为业务应用服务的，信息系统的安 全保

5、护等级应当依据信息系统承载业务的重要 性、业务对信息系统的依赖度和系统特殊的安 全需求确定。 怎么让多页内容在一张纸上打印 等级确定的原则等级确定的原则 满足监管要求原则 信息系统安全保护等级既不是信息系统安全保障等级， 也不是信息系统所能达到的技术能力等级，而是从安全 监管需要，从信息系统对国家安全、经济建设、公共利 益等方面的重要性，以及信息或信息系统被破坏后造成 危害的严重性角度确定的信息系统应达到的安全等级。 合理性原则 不同于信息安全产品，信息系统千差万别，各具特色， 只有在划分安全保护等级的过程中，尽可能反映出信息 系统的主要安全特征，合理划分等级，才能做到突出重 点，适度保护。

6、怎么让多页内容在一张纸上打印 决定等级的主要因素分析决定等级的主要因素分析 从目前的资料上看，已在不同分级方法中出现的作 为划分信息系统安全等级的因素主要包括： 单位业务在国家事务中的重要性（实施意见）； 资产（包括有形资产和无形资产）（FIPS199， IATF，DITSCAP，NIST800-37）； 威胁（IATF）； 信息被破坏后对国家、社会公共利益和单位或个人 的影响（FIPS199，通用要求，实施指南）； 单位业务对信息系统的依赖程度（DITSCAP） 怎么让多页内容在一张纸上打印 决定等级的主要因素分析决定等级的主要因素分析 经分析，除排除威胁因素外，划分等级时应考虑以 下因素：

7、 信息系统所属类型，即信息系统的安全利益主体。 信息系统主要处理的业务数据类别。 信息系统服务范围，包括服务对象和服务网络覆盖 范围。 业务处理的自动化程度，或以手工作业替代信息系 统处理业务的程度。 怎么让多页内容在一张纸上打印 决定等级的主要因素分析决定等级的主要因素分析 信息系统所属类型 业务数据类别 信息系统服务范围 业务处理的自动化程度 业务重要性 业务数据安全性 业务处理连续性 业务依赖性 怎么让多页内容在一张纸上打印 决定等级的主要因素分析决定等级的主要因素分析 业务数据安全性 业务处理连续性 信息系统安全保护等级 怎么让多页内容在一张纸上打印 等级确定方法等级确定方法 具体步骤

8、： 通过对信息系统类型和业务数据类型赋值，确定信 息系统的业务数据安全性等级； 通过对信息系统服务范围和业务处理自动化程度赋 值，确定信息系统的业务处理连续性等级； 通过业务数据安全性等级和业务处理连续性等级确 定信息系统安全保护等级。 等级调整 怎么让多页内容在一张纸上打印 信息系统类型赋值信息系统类型赋值 信息系统所属类型赋值表 信息系统所属类型 赋值 信息系统的社会影响 1信息系统受到破坏会对单位利 益有直接影响 2信息系统受到破坏会对公共利 益有直接影响，或对国家安全 利益有间接影响 3信息系统受到破坏会对国家安 全利益有直接影响 怎么让多页内容在一张纸上打印 信息系统类型举例信息系统

9、类型举例 典型的信息系统所属类型 信息系统所属类 型赋值 信息系统所属类型 1属于一般企事业单位，处理其内部事务的 信息系统 2属于重要行业、重要领域和国家基础设施， 为国计民生、经济建设等提供重要服务的 信息系统 3属于党政机关，处理国家事务的信息系统 怎么让多页内容在一张纸上打印 确定业务数据安全性确定业务数据安全性 业务数据安全性等级矩阵 业务数据类型 信息系统类型 123 1122 2233 344 怎么让多页内容在一张纸上打印 确定信息系统安全保护等级确定信息系统安全保护等级 信息系统的安全保护等级由业务数据安全性 等级和业务处理连续性等级较高者决定。 怎么让多页内容在一张纸上打印

10、组合形式组合形式 信息系统安全保护等级对应的业务数据安全 性要求级别（Sx）和业务处理连续性要求级别 (Cy)的组合。 系统保护安全 等级 各种组合（Sx，Cy） 第一级（S1，C1） 第二级（S1，C2）,（S2，C2）,（S2，C1） 第三级（S1，C3）,（S2，C3）,（S3，C3）, （S3，C2）,（S3，C1） 第四级（S1，C4）,（S2，C4）,（S3，C4）, （S4，C4）,（S4，C3）,（ S4，C2）, （S4，C1） 怎么让多页内容在一张纸上打印 等级划分流程等级划分流程 划分信息系统/子系统 分析承载的业务重要性和依赖度 确定信息系统/子系统安全保护等级 调整信

11、息系统/子系统安全保护等级 怎么让多页内容在一张纸上打印 基本要求标准编制基本要求标准编制 情况介绍情况介绍 怎么让多页内容在一张纸上打印 基本要求标准编制的主要思路基本要求标准编制的主要思路 根据6号文件描述的5个监管等级对象，确 定保护对象； 根据保护对象所可能面临的威胁，确定系 统的整体保护能力； 根据所应具有的整体保护能力，确定系统 的安全目标； 提出满足安全目标的安全要求。 怎么让多页内容在一张纸上打印 5个监管等级对象个监管等级对象 第一级：信息系统所承载业务涉及公民、法人和其他组 织的权益，受到破坏后对公民、法人和其他组织的权益 造成一定损害；该业务的开展在一定程度上依托于信息

12、系统，系统受到破坏后对业务正常开展产生一定影响。 第二级：信息系统所承载的业务直接关系到公民、法人 和其他组织的权益，受到破坏后会对公民、法人和其他 组织的权益造成严重损害；该业务的开展主要依托于信 息系统，系统受到破坏后影响业务正常开展。 第三级：信息系统所承载的业务涉及国家、社会和公共 利益，受到破坏后会对国家、社会和公共利益造成损害 的；该业务的开展主要依托于信息系统，系统受到破坏 后影响业务正常开展。 怎么让多页内容在一张纸上打印 5个监管等级对象个监管等级对象 第四级：信息系统所承载的业务直接关系到国家、社会 和公共利益，受到破坏后会对国家、社会和公共利益造 成严重损害的；该业务的开

13、展完全依托于信息系统，系 统受到破坏后业务无法开展。 第五级：信息系统所承载的业务受到破坏后，会直接对 国家安全造成严重损害。 怎么让多页内容在一张纸上打印 整体保护能力整体保护能力 各级系统应对威胁的能力是不同的，即 能够对抗系统面临的威胁的程度以及在 遭到威胁破坏后，系统能够恢复之前的 各种状态的能力是不同的。 系统的整体保护能力就是由威胁对抗能 力和恢复能力的组合而成。 怎么让多页内容在一张纸上打印 整体保护能力整体保护能力-威胁分类威胁分类 怎么让多页内容在一张纸上打印 整体保护能力整体保护能力-威胁分级描述威胁分级描述 不同级别对抗的威胁的种类不同 对于同类威胁，不同级别对抗的 具体

14、威胁的破坏能力也不同。 怎么让多页内容在一张纸上打印 安全目标安全目标 每一级的安全目标与威胁之间存在对应 关系，每个威胁至少被一个安全目标所覆盖； 反过来，每个安全目标至少覆盖一个威胁。 一级具有15个技术目标，16个管理目标； 二级具有29个技术目标，25个管理目标；三 级具有36个技术目标，27个管理目标；四级 具有41个技术目标，28个管理目标。 怎么让多页内容在一张纸上打印 安全要求的选择安全要求的选择 信息系统的安全要求包括安全技术要求和安全管理 要求两类。 根据信息系统的业务数据安全性等级（S）和业务处 理连续性等级（C），分别选择S类技术要求、C类 技术要求和G类技术要求。 信

15、息系统的安全等级与技术要求组合是一对多的关 系。 怎么让多页内容在一张纸上打印 安全要求等级区别安全要求等级区别 安全要求的增加 安全要求的增强 怎么让多页内容在一张纸上打印 安全技术要求的组成安全技术要求的组成 怎么让多页内容在一张纸上打印 安全技术要求安全技术要求-物理物理 怎么让多页内容在一张纸上打印 安全技术要求安全技术要求-网络网络 怎么让多页内容在一张纸上打印 安全技术要求安全技术要求-主机主机 怎么让多页内容在一张纸上打印 安全技术要求安全技术要求-应用应用 怎么让多页内容在一张纸上打印 安全技术要求安全技术要求-数据数据 怎么让多页内容在一张纸上打印 安全管理要求安全管理要求

16、怎么让多页内容在一张纸上打印 管理部分形成的基本思路管理部分形成的基本思路 系统规划管理 机构和人员 政策和制度 系统设计管理 系统实施管理 系统运维管理 系统废弃管理 信息系统生命周期 检查和监督管理 指导限制 执行监督 怎么让多页内容在一张纸上打印 管理部分的覆盖范围管理部分的覆盖范围 信息系统的生命周期 系统规划(定级规划等) 系统设计(设计开发采购等) 系统实施(安装配置测试等) 系统运维 系统废弃 管理人员 管理制度 组织的使命目标战略政策 系统变更 管理机构 怎么让多页内容在一张纸上打印 不同级别之间的区别不同级别之间的区别 管理活动控制点的增加 每个控制点具体管理要求的增多 管理

17、活动的能力逐步加强 借鉴能力成熟度模型（CMM） 一级 非正式执行 二级 计划和跟踪 三级 良好定义 四级 持续改进 怎么让多页内容在一张纸上打印 安全管理机构安全管理机构 岗位设置 人员配备 授权和审批 沟通和合作 审核和检查 怎么让多页内容在一张纸上打印 安全管理制度安全管理制度 管理制度 制定和发布 评审和修订 怎么让多页内容在一张纸上打印 安全管理人员安全管理人员 人员录用 人员离岗 人员考核 安全意识教育和培训 第三方人员管理 怎么让多页内容在一张纸上打印 系统建设管理系统建设管理 系统定级 安全风险评估 安全方案设计 产品采购 自行开发设计 外包开发设计 工程实施工程实施 测试验收

18、测试验收 系统交付系统交付 安全测评安全测评 系统备案系统备案 安全服务商选择安全服务商选择 怎么让多页内容在一张纸上打印 系统运维管理系统运维管理 环境管理 资产管理 介质管理 设备使用管理 运行维护和监控管理 网络安全管理 系统安全管理系统安全管理 恶意代码防护管理恶意代码防护管理 密码管理密码管理 变更管理变更管理 备份和恢复管理备份和恢复管理 安全事件处置安全事件处置 应急计划管理应急计划管理 怎么让多页内容在一张纸上打印 实施指南标准编制实施指南标准编制 情况介绍情况介绍 怎么让多页内容在一张纸上打印 实施指南标准编制目标实施指南标准编制目标 实施指南作为一个对信息系统实施等级保护的

19、指南性 文件，其目标是介绍和描述实施信息系统等级保护过程中应该 涉及的阶段和从事的活动，包括： 活动的内容和控制方法； 活动的主要参与者； 活动中将要使用的等级保护相关标准； 活动的主要工作产品等 通过过程和活动的介绍，使读者了解和知晓对信息系统实 施等级保护的方法，不同的角色在不同阶段的作用等等。 怎么让多页内容在一张纸上打印 实施指南标准编制的主要思路实施指南标准编制的主要思路 以信息系统等级保护建设为主要线索 定义信息系统等级保护实施的生命周期 对每个阶段介绍和描述主要的实施活动 对每个活动说明实施主体、主要内容和输入输出 怎么让多页内容在一张纸上打印 实施指南内容介绍实施指南内容介绍-

20、角色和职责角色和职责 信息系统等级保护的实施过程中涉及到各类 组织和人员，他们将会参与不同的或相同的活动， 比如信息系统的主管单位和信息系统的运营单位 将参与系统定级活动，如果委托安全服务商进行 定级，则安全服务商也会参与定级活动；又如信 息系统的运营单位可以自己完成风险分析活动， 也可以委托安全服务商完成风险分析活动。 怎么让多页内容在一张纸上打印 实施指南内容介绍实施指南内容介绍-角色和职责角色和职责 本指南将面临的使用对象将是： 信息系统的主管单位； 运营单位； 建设单位； 安全服务商； 安全测评机构； 监督管理机构等。 为了保证实施指南的描述有一个清晰的思路，各类使用人 员都能够理解和

21、较好地使用，实施指南并不以某个特定单位的 活动为主线进行描述，而是以信息系统等级保护建设所要从事 的活动为主线，有些活动可能是这个单位执行的，另一些活动 可能是另一个单位执行的。本指南的读者根据自己的角色和从 事的活动选择相应的内容作为指导。 怎么让多页内容在一张纸上打印 实施指南内容介绍实施指南内容介绍-实施的生命周期实施的生命周期 本指南将根据信息系统等级保护实施的特点，结合风险管 理和安全工程方法提出信息系统等级保护实施的生命周期，将 等级保护实施过程划分为4个不同的阶段，然后分章节介绍和 描述不同阶段的安全活动，同时也将表述信息系统等级保护实 施的生命周期和信息系统生命周期的关系，指导系统建设者和 系统运营者在系统建设和运营期间更好地同步进行等级保护建