信息系统安全等级保护基础调查

1、3/22/20222通过基础调查，使各级公安机关掌握本辖区内信息系统的数量、重要程度、主管部门、运营使用单位等基本情况 分析调查数据，使管理机构全面了解掌握近年来信息化建设的具体成果数据，基础信息网络和重要信息系统的数量、区域分布、行业分布等情况，为制定信息安全等级保护工作规划提供科学依据，为制定国家信息安全政策提供决策参考。3/22/20223信息系统的划分定级指南介绍基础调查步骤和有关事项调查辅助工具使用说明3/22/20224信息系统和业务子系统：信息系统是指基于计算机或计算机网络，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的人机系统；业务子系统由信息系统的一部

2、分组件构成，是信息系统中能够承载某项业务工作的子系统。 一个或多个业务子系统构成信息系统。信息系统的重要性由其业务子系统重要性决定。3/22/20225一个组织机构内可能运行一个或多个信息系统，这些信息系统的安全保护等级可以是相同的，也可以是不同的。为体现重点保护重要信息系统安全，有效控制信息安全建设成本，优化信息安全资源配置的等级保护原则，在将业务子系统组成信息系统时应考虑以下几个方面： 相同的管理机构 相同的业务类型 相同的物理位置或相似的运行环境 各业务子系统之间的关联，如共用设备或数据交换。3/22/20226在一个大而复杂的系统中将某个或某几个业务子系统组成的信息系统划分出来，最困难

3、，也是最主要的是确定信息系统边界，尤其是如何在信息系统内部划定与其它信息系统的边界，因为此时往往存在服务器或网络设备共用的情况。划分原则：由于信息系统的边界保护一般在物理边界或网络边界上实现，信息系统边界不应划分在服务器内，而应划分在网络设备或边界防护设备上，以便采取相应的边界保护。3/22/20227设备共用的几种情形：1、服务器共用2、网络/边界设备共用3、客户端共用4、服务器和网络/边界设备均共用 5、网络/边界设备及客户端共用3/22/20228服务器共用情况下的信息系统边界划分服务器共用情况下的信息系统边界划分当两个信息系统具有不同的用户群，业务当两个信息系统具有不同的用户群，业务流

4、程通过不同的网络途径完成，但两个信息系流程通过不同的网络途径完成，但两个信息系统共用一个服务器进行业务处理。统共用一个服务器进行业务处理。 假设信息系统假设信息系统1 1的安全保护等级为的安全保护等级为3 3，信息，信息系统系统2 2的安全保护等级为的安全保护等级为2 2。 3/22/20229服务器1客户端1客户端2网络/边界设备1客户端3业务3业务业务2业务业务1信息系统信息系统1边界边界网络/边界设备2网络/边界设备3信息系统信息系统2边界边界3/22/202210边界划分：边界划分：系统系统1 1和系统和系统2 2的交叠部分是服务器的交叠部分是服务器1 1，为避免使服，为避免使服务器务

5、器1 1成为两个系统的边界，应将网络成为两个系统的边界，应将网络/ /边界设备边界设备2 2作为作为3 3级系统与级系统与2 2级系统的边界设备。这样两个信息系统就相级系统的边界设备。这样两个信息系统就相当于有两个共用设备，服务器当于有两个共用设备，服务器1 1和网络和网络/ /边界设备边界设备2 2，两，两个子系统的边界划分如上图所示。个子系统的边界划分如上图所示。共用设备的保护措施等级：共用设备的保护措施等级：服务器服务器1 1应当按照应当按照3 3级进行保护，但服务器中的与级进行保护，但服务器中的与信息系统信息系统2 2有关的应用系统，可以采用二级保护。网络有关的应用系统，可以采用二级保

6、护。网络/ /边界设备边界设备2 2应采取应采取3 3级的保护措施。级的保护措施。3/22/202211安全区域：安全区域：在这种情况下，信息系统在这种情况下，信息系统2 2具有两个不同等具有两个不同等级的安全区域，尽管信息系统级的安全区域，尽管信息系统2 2也有也有3 3级保护区级保护区域，但信息系统域，但信息系统2 2的安全保护等级仍然为的安全保护等级仍然为2 2级，级，这是由其本身业务特性决定的。这种情况在实这是由其本身业务特性决定的。这种情况在实际系统中非常普遍，有些系统通过分析后，可际系统中非常普遍，有些系统通过分析后，可能跨越能跨越3 3个等级的安全区域，且每个不同等级的个等级的安

7、全区域，且每个不同等级的安全区域间都有相应的网络边界防护。安全区域间都有相应的网络边界防护。 3/22/202212网络网络/ /边界设备共用情况下的信息系统边界划分：边界设备共用情况下的信息系统边界划分： 服务器服务器2客户端客户端1客户端客户端2网络网络/边界设备边界设备1客户端客户端3业务业务3业务业务2业务业务1信息系统信息系统1边界边界网络网络/边界设备边界设备2信息系统信息系统2边界边界服务器服务器13/22/202213等级确定的原则等级确定的原则决定等级的主要因素分析决定等级的主要因素分析等级确定方法等级确定方法定级举例定级举例3/22/202214满足国家管理要求原则信息系统

8、安全保护等级既不是信息系统安全保障等级，也不是信息系统所能达到的技术能力等级，而是从国家管理的需要出发，从信息系统对国家安全、经济建设、公共利益等方面的重要性，以及信息或信息系统被破坏后造成危害的严重性角度确定的信息系统应达到的安全等级。全局性原则 信息系统安全等级保护是针对全国范围内、涵盖各个行业信息系统的管理制度，信息系统安全保护等级的划分也必须从国家层面考虑，体现全局性。3/22/202215业务为核心原则 信息系统是为业务应用服务的，信息系统的安全保护等级应当依据信息系统承载业务的重要性、业务对信息系统的依赖度和系统特殊的安全需求确定。合理性原则不同于信息安全产品，信息系统千差万别，各

9、具特色，只有在划分安全保护等级的过程中，尽可能反映出信息系统的主要安全特征，合理划分等级，才能做到突出重点，适度保护。3/22/202216第一级第一级 自主保护级自主保护级适用于一般的信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。 第二级第二级 指导保护级指导保护级适用于一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全第三级第三级 监督保护级监督保护级适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成损害。 3/22/202217第四级第四级 强

10、制保护级强制保护级适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害。第五级第五级 专控保护级专控保护级适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重损害。 3/22/202218决定信息系统重要性等级时应考虑以下因素：系统所属类型，即信息系统的安全利益主体。信息系统主要处理的业务信息类别。系统服务范围，包括服务对象和服务网络覆盖范围。业务依赖程度程度，或以手工作业替代信息系统处理业务的程度其中第1、2个要素决定信息系统内信息资产的重要性，第3、4个要素决

11、定信息系统所提供服务的重要性，而信息资产及信息系统服务的重要性决定了信息系统的重要性。 3/22/202219系统所属类型系统所属类型业务信息类别业务信息类别系统服务范围系统服务范围业务依赖程度程度业务依赖程度程度业务信息安全性业务信息安全性业务服务保证性业务服务保证性3/22/202220业务信息安全性业务信息安全性业务服务保证性业务服务保证性信息系统安全保护等级信息系统安全保护等级3/22/202221如果信息系统只承载一项业务，可以直接为该信息系统确定等级。如果信息系统承载多项业务，应根据各项业务的性质和特点，将信息系统分成若干业务子系统，分别为各业务子系统确定安全保护等级，信息系统的安

12、全保护等级由各业务子系统的最高等级决定。信息系统是进行等级确定和等级保护管理的最终对象。 3/22/202222信息系统所属类型业务信息类型信息系统服务范围业务依赖程度业务信息安全性取值业务服务保证性取值业务服务保证性等级1. 赋值赋值选择调节因子业务子系统安全保护等级2. 确定两个指标等级确定两个指标等级业务信息安全性等级3 确定业务子系统等级确定业务子系统等级信息系统安全保护等级4. 确定信息系统等级确定信息系统等级其它业务子系统 。3/22/202223表1：信息系统所属类型赋值表信息系统所属类型赋值信息系统的社会影响1信息系统受到破坏会对单位利益有直接影响2信息系统受到破坏会对公共利益

13、有直接影响，或对国家安全利益有间接影响3信息系统受到破坏会对国家安全利益有直接影响3/22/202224典型的信息系统所属举例信息系统所属类型赋值信息系统所属类型1属于一般企事业单位，处理其内部事务的信息系统2属于重要行业、重要领域和国家基础设施，为国计民生、经济建设等提供重要服务的信息系统，或本身虽属一般企事业单位，但为党政或重要信息系统提供支撑服务的信息系统。 3属于党政机关，处理国家事务的信息系统3/22/202225表2：业务信息类型赋值表业务信息类型赋值业务信息的影响1业务信息被破坏或泄漏会对公共利益或单位经济利益造成一定损害2业务信息被破坏或泄漏会对公共利益或单位经济利益造成严重损

14、害3业务信息被破坏或泄漏会对国家安全利益和国家经济建设造成损害3/22/202226业务信息类型举例业务信息类型赋值业务信息类型1可以对外公开发布的数据信息，或单位内不对外发布的一般信息2法人和其他组织及公民的专有信息，例如内部敏感信息、关键技术数据、科技情报、商业秘密等 3涉及国家安全利益，影响国家经济建设的信息 3/22/202227业务信息安全性等级矩阵 业务信息类型信息系统类型1231122223333443/22/202228表3：信息系统服务范围赋值表信息系统服务范围赋值服务范围的影响1信息系统因无法提供服务或无法提供有效服务会对局部范围的资产有影响2信息系统因无法提供服务或无法提

15、供有效服务会对较大范围的资产造成损害3信息系统因无法提供服务或无法提供有效服务会对全国范围的造成损害3/22/202229信息系统服务范围举例信息系统服务范围赋值信息系统服务范围类型1地区范围内的服务网络2省级范围的服务网络3全国范围的服务网络3/22/202230表4：业务依赖程度赋值表业务依赖程度赋值业务影响1信息系统无法提供服务或无法提供有效服务对单位完成其业务使命影响较小 2信息系统无法提供服务或无法提供有效服务对单位完成其业务使命影响较大 3信息系统无法提供服务或无法提供有效服务使单位无法完成其业务使命。 3/22/202231业务依赖程度举例业务依赖程度赋值业务依赖程度类型1整个业

16、务处理流程可以通过手工方式或其他方式完成2业务处理流程的部分环节可以通过手工方式或其他方式替代完成3业务处理流程完全依赖信息系统，手工方式无法完成。3/22/202232业务服务保证性取值矩阵 信息系统服务范围业务依赖程度1231123223433443/22/202233调节因子k 的取值范围为大于0小于1的数值。 调节因子赋值表 赋值描述调节因子k信息系统无法提供服务或无法提供有效服务会造成国家安全利益损失1.0 k 0.8信息系统无法提供服务或无法提供有效服务会造成较大范围的公共利益损失0.8 k 0.5 信息系统无法提供服务或无法提供有效服务会造成局部利益损失0.5 k 0 3/22/

17、202234调节后的业务服务保证性等级 业务服务保证性取值L= k保证性取值业务服务保证性等级2L 1.6122.0 L 1.423L 1.6132.6 L 1.4233.0 L 2.434L 1.6142.6 L 1.4243.6 L 2.4344.0 L 3.443/22/202235业务子系统的安全保护等级由业务信息安业务子系统的安全保护等级由业务信息安全性等级和业务服务保证性等级较高者决定。全性等级和业务服务保证性等级较高者决定。 信息系统的安全保护等级由各业务子系统信息系统的安全保护等级由各业务子系统的最高等级决定。的最高等级决定。 3/22/202236提升级别的主要参考因素提升级

18、别的主要参考因素：上级主管部门在政策和管理方面的特殊要上级主管部门在政策和管理方面的特殊要求。求。预测业务信息可能会随着时间的变化从量预测业务信息可能会随着时间的变化从量变转化为质变。变转化为质变。业务依赖程度在将来会进一步提高，或随业务依赖程度在将来会进一步提高，或随着信息系统所承载的业务不断完善和稳定，着信息系统所承载的业务不断完善和稳定，与信息系统并行的手工处理（或老的系统）与信息系统并行的手工处理（或老的系统）的业务将有可能取消。的业务将有可能取消。信息系统服务范围随着业务的发展，将会信息系统服务范围随着业务的发展，将会有较大的变化。有较大的变化。 3/22/202237系统简述：系统

19、简述：某省政府网站系统某省政府网站系统ZFWZ，用于发布政，用于发布政务公开信息、地方行政法规和管理措施、领务公开信息、地方行政法规和管理措施、领导讲话、政府办事流程、新闻发布、政府公导讲话、政府办事流程、新闻发布、政府公告、举报投诉、省内经济形势介绍、电子表告、举报投诉、省内经济形势介绍、电子表单下载等信息，服务对象主要是省内企业和单下载等信息，服务对象主要是省内企业和市民。市民。 3/22/202238系统等级分析1、政府网站为政务工作的延伸，其信息系、政府网站为政务工作的延伸，其信息系统类型赋值为统类型赋值为3；2、网站信息属公开信息，其业务信息类型、网站信息属公开信息，其业务信息类型赋

20、值为赋值为1；3、查表知、查表知ZFWZ系统的业务信息安全性等系统的业务信息安全性等级为级为2级，如下表所示：级，如下表所示：3/22/202239系统等级分析业务信息安全性等级矩阵 业务信息类型信息系统所属类型1231122223333443/22/202240系统等级分析系统等级分析4、ZFWZ系统为省内企业和市民服务，其系系统为省内企业和市民服务，其系统服务范围赋值为统服务范围赋值为2；5、ZFWZ系统对实时性要求不高，没有必须系统对实时性要求不高，没有必须通过网络才能够执行的办事流程。政务服务通过网络才能够执行的办事流程。政务服务工作主要通过网络之外完成，网络仅提供相工作主要通过网络之

21、外完成，网络仅提供相关信息和表单下载，因此其业务依赖程度应关信息和表单下载，因此其业务依赖程度应为为1；6、查表知、查表知ZFWZ系统的业务服务保证性等级系统的业务服务保证性等级为为2，如下表所示：，如下表所示：3/22/202241系统等级分析业务服务保证性取值矩阵 信息系统服务信息系统服务范围范围业务依赖程度业务依赖程度1 12 23 31 11 12 23 32 22 23 34 43 33 34 44 43/22/202242系统等级分析7、考虑到、考虑到ZFWZ系统中断仅造成局部利益系统中断仅造成局部利益的损失，一般不会造成社会利益的重要的损失，一般不会造成社会利益的重要损失，调节因

22、子可选为损失，调节因子可选为0.5，查表知，调，查表知，调节后节后ZFWZ系统的业务服务保证性等级系统的业务服务保证性等级为为1级；级；8、ZFWZ系统的安全保护等级为系统的安全保护等级为2级。级。3/22/202243系统简述：系统简述：某省电力集团公司的省级电系统简述：某省电力集团公司的省级电力实时监控系统，主要用于调度自动化控力实时监控系统，主要用于调度自动化控制系统和能量管理系统（制系统和能量管理系统（SCADA/EMS）DDZDH，负责省级超高压输电变电站的调，负责省级超高压输电变电站的调度控制和数据采集。系统实时性要求极高，度控制和数据采集。系统实时性要求极高，达到秒级。达到秒级。

23、 3/22/202244系统等级分析1、DDZDH系统信息属企业专有信息，这些信系统信息属企业专有信息，这些信息被破坏会对公众利益造成严重影响，其业息被破坏会对公众利益造成严重影响，其业务信息类型赋值为务信息类型赋值为2；2、电力行业为国家重要基础领域，、电力行业为国家重要基础领域，DDZDH系系统为其中的重要信息系统，其信息系统类型统为其中的重要信息系统，其信息系统类型赋值应为赋值应为2；3、查表知、查表知DDZDH系统的业务信息安全性等级系统的业务信息安全性等级为为3级，如下表所示：级，如下表所示： 3/22/202245系统等级分析业务信息安全性等级矩阵 业务信息类型信息系统类型1231

24、122223333443/22/202246系统等级分析4、DDZDH系统为省内企业和市民提供电力支系统为省内企业和市民提供电力支持，其系统服务范围赋值为持，其系统服务范围赋值为2；5、DDZDH系统对实时性要求高，且无法采用系统对实时性要求高，且无法采用手工作业替代，其业务自动化处理程度应为手工作业替代，其业务自动化处理程度应为3；6、查表知、查表知DDZDH系统的业务服务保证性等级系统的业务服务保证性等级为为4，如下表所示：，如下表所示： 3/22/202247系统等级分析业务服务保证性等级矩阵 信息系统服信息系统服务范围务范围业务依赖程度业务依赖程度1 12 23 31 11 12 23 32 22 23 34 43 33 34 44 43/22/202248系统等级分析7、考虑到电力系统关系国防和国民经济命脉，、考虑到电力系统关系国防和国民经济命脉，是国家重要基础设施，是国家重要基础设施，DDZDH系统调节因系统调节因子可选为子可选为1，查表知，调节后，查表知，调节后DDZDH系统系统的业务服务保证性等级为的业务服务保证性等级为4级；级；8、DDZDH系统的安全保护等级为系统的安全保护等级为4级。级。3/22/2022491、总的要求是要保证调查登记不漏不重、总的要求是要保证调查登记不漏不重 ；2、被调查单位对本单位名下