信息系统等级保护培训

1、信息系统等级保护信息系统等级保护第二十六届世界大学生夏季运动会网络信息安全技术支撑单位一、信息系统等级保护概述一、信息系统等级保护概述二、如何实施等级保护工作二、如何实施等级保护工作培训内容培训内容（一）什么是信息安全等级保护工作？（二）什么是信息系统？（三）等级保护的国家政策与标准规范（四）等级保护的工作内容（五）等级保护的建设流程（六）等级保护各参与部门的角色定位 信息系统等级保护概述信息系统等级保护概述 信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息

2、系统中发生的信息安全事件分等级响应、处置。信息安全等级保护工作定义信息安全等级保护工作定义信息系统定义信息系统定义 信息系统（ Information System ）是一个由人、计算机及其他外围设备等组成的能进行信息的收集、传递、存贮、加工、维护和使用的系统。 例如：门户网站、OA系统、短信平台、教务管理系统等等。等级保护的国家政策等级保护的国家政策颁布时间颁布时间文件名称文件名称文号文号内容及意义内容及意义1994年2月18日中华人民共和国计算机信息系统安全保护条例国务院147号令第一次第一次提出信息系统要实行等级保护，并确定了等级保护的职责单位。2003年9月7日国家信息化领导小组关于加

3、强信息安全保障工作的意见中办国办发【2003】27号等级保护工作的开展必须分步骤、分阶段、有计划的实施。明确了信息安全等级保护制度的基本内容基本内容。2004年9月15日关于信息安全等级保护工作的实施意见公通字【2004】66号将等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障的一项基本制度基本制度。2007年6月22日信息安全等级保护管理办法公通字200743号明确了信息安全等级保护制度的基基本内容、流程及工作要求本内容、流程及工作要求，明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务职责、任务。2007年7月16日关于开展全国重要信息系统安

4、全等级保护定级工作的通知公信安2007861号就定级范围、定级工作主要内容、定级范围、定级工作主要内容、定级工作要求定级工作要求等事项进行了通知。GB17859-1999 计算机信息系统安全保护等级划分准则GB/T20269-2006 信息系统安全管理要求GB/T20282-2006 信息安全技术 信息系统安全工程管理要求GB/T 20270-2006信息安全技术 网络基础安全技术要求GB/T 20271-2006信息安全技术 信息系统通用安全技术要求GB/T 20272-2006信息安全技术 操作系统安全技术要求GB/T 20273-2006信息安全技术 数据库管理系统通用安全技术要求GB/

5、T22239-2008信息安全技术 信息系统安全等级保护基本要求GB/T 22240-2008信息安全技术 信息系统安全等级保护定级指南GB/T 25070-2010信息安全技术 信息系统等级保护安全设计技术要求GB/T 25058-2010信息安全技术 信息系统安全等级保护实施指南GB/T20009-2005信息安全技术 操作系统安全评估准则国家已出台70多个国标、行标以及报批标准，从基础、设计、实施、管理、制度等各个方面对等保系统提出了要求和建议。等级保护技术标准规范等级保护技术标准规范计算机信息系统安全保护等级划分准则（GB 17859-1999） 信息安全技术 信息系统通用安全技术要求

6、 （GB/T 20271-2006） 信息安全技术 操作系统安全技术要求 （GB/T 20272-2006）信息安全技术 信息系统安全等级保护基本要求（GB/T 22239-2008）信息安全技术 信息系统安全等级保护设计技术要求（ GB/T 25070-2010 ） 面向评估者技术标准：面向评估者技术标准： 面向建设者技术标准：面向建设者技术标准：等级保护技术标准规范等级保护技术标准规范信息安全技术 信息系统安全工程管理要求（GB/T 20282-2006）信息系统安全管理体系标准（ISO/IEC 27001） 信息安全技术 信息系统安全等级保护实施指南（ GB/T 25058-2010 ）

7、 管理类标准：管理类标准：等保方案类标准：等保方案类标准：系统定级类标准：系统定级类标准：信息安全技术 信息系统安全等级保护定级指南（GB/T 22240-2008） 等级保护技术标准规范等级保护技术标准规范信息安全技术 信息系统安全等级保护基本要求（GB/T 22239-2008）信息安全技术 信息系统安全等级保护设计技术要求（ GB/T 25070-2010 ）计算机信息系统安全保护等级划分准则（GB 17859-1999） 国家已出台约70余个标准，重点需要了解的有：信息安全技术 信息系统安全等级保护定级指南（GB/T 22240-2008） 等级保护技术标准规范等级保护技术标准规范等级

8、保护思路等级保护思路不同级别信息系统重要程度不同应对威胁的能力（威胁弱点）具有不同的安全保护能力不同的基本要求 某级信息系统技术要求管理要求基本要求建立安全技术体系建立安全管理体系具有某级安全保护能力的系统等级保护建设目标等级保护建设目标物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理等级保护建设要求等级保护建设要求环境安全防其他自然灾害机房与设施安全环境与人员安全设备安全防止电磁泄露发射防盗与防毁防电磁干扰介质安全介质的管理介质的分类介质的防护物理安全等级保护建设要求等级保护建设要求 网络安全1. 网络结构安全2.

9、网络访问控制3. 网络安全审计4. 边界完整性检查5. 网络入侵防范6. 恶意代码防护7. 网络防护设备 主机安全身份鉴别强制访问控制系统安全审计4. 剩余信息保护5. 入侵防范6. 恶意代码防范7. 资源控制 应用安全 1.身份认证 2. 安全审计 3. 剩余信息保护 4. 通信完整性和机密性保护 数据安全1.数据机密性保护 2.数据完整性保护 5.控制软件容错； 6.严格的访问； 7. 自动保护功能； 8. 资源控制；等级保护建设要求等级保护建设要求满足政策要求满足标准要求满足用户自身要求安全现状差异性分析基本要求等级保护建设模式等级保护建设模式通信网络区域边界计算环境安全管理中心等级保护

10、体系架构等级保护体系架构构筑由安全管理中心统一管理下的计算环境、区域边界、通信网络三重防御体系。安全区域边界安全通信网络等级保护技术实现依据等级保护技术实现依据一、信息安全等级保护工作概述一、信息安全等级保护工作概述二、如何实施等级保护工作二、如何实施等级保护工作培训内容培训内容（一）实施流程（一）实施流程（二）工作要求（二）工作要求二、如何实施等级保护工作二、如何实施等级保护工作重大变更2、安全规划设计3、安全实施/实现4、安全运行管理1、系统定级局部调整5、系统终止（一）实施流程（一）实施流程1、系统定级（首要环节）2、安全规划设计 安全建设3、安全实施/实现4、安全运行管理5、系统终止（

11、一）实施流程（一）实施流程第一步第一步 开展信息系统基本情况的摸底调查开展信息系统基本情况的摸底调查第二步第二步 初步确定信息系统安全保护等级初步确定信息系统安全保护等级第三步第三步 专家评审与审批专家评审与审批 1 1、系统定级、系统定级 正确划分定级对象： 信息系统运营使用单位或主管部门按如下原则确定定级对象： 一是承载相对独立或单一业务的信息系统； 二是信息系统的信息安全由本单位主管； 三是具有信息系统的基本要素。 起支撑作用的网络可以作为定级对象；应用类的信息系统以应用种类划分定级对象。第一步第一步 开展信息系统基本情况的摸底调查开展信息系统基本情况的摸底调查 一是承载相对独立或单一业

12、务的信息系统： 定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流程、部分业务功能独立，同时与其他信息系统的业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程，可以是完整的业务流程的一部分。第一步第一步 开展信息系统基本情况的摸底调查开展信息系统基本情况的摸底调查 二是信息系统的信息安全由本单位主管： 作为定级对象的信息系统应能够唯一地确定其安全责任单位，这个安全责任单位就是负责等级保护工作部署、实施的单位，也是完成等级保护备案和接受监督检查的直接责任单位。 第一步第一步 开展信息系统基本

13、情况的摸底调查开展信息系统基本情况的摸底调查 三是具有信息系统的基本要素： 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如单台的服务器、终端或网络设备等作为定级对象。 第一步第一步 开展信息系统基本情况的摸底调查开展信息系统基本情况的摸底调查第一步第一步 开展信息系统基本情况的摸底调查开展信息系统基本情况的摸底调查第二步第二步 初步确定信息系统安全保护等级初步确定信息系统安全保护等级第三步第三步 专家评审与审批专家评审与审批 1 1、系统定级、系统定级 信息系统的安全保护等级是信息系统的客观属性，不以已采取或采取

14、什么安全保护措施为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益等损害客体的危害程度为依据，确定信息系统的安全等级。 第二步第二步 初步确定信息系统安全保护等级初步确定信息系统安全保护等级 （一）信息系统的安全保护等级由两个定级要素决定： 1、等级保护对象受到破坏时所侵害的客体 2、受到破坏时对客体造成侵害的程度第二步第二步 初步确定信息系统安全保护等级初步确定信息系统安全保护等级 1、等级保护对象受到破坏时所侵害的客体： A、国家安全 B、社会秩序、公共利益 C、公民、法人和其他组织的合法权益第二步第二步 初步确定信息系统安全保护等级初步确定信息系统安

15、全保护等级 A、 国家安全利益体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全和资源环境安全等方面利益。 重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等属于影响国家政权稳固和国防实力的信息系统；广播、电视、网络等重要新闻媒体的发布或播出系统，其受到非法控制可能引发影响国家统一、民族团结和社会安定的重大事件；处理国家对外活动信息的信息系统；处理国家重要安全保卫工作信息的信息系统和重大刑事案件的侦查系统；尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信息系统，以及电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统等

16、。第二步第二步 初步确定信息系统安全保护等级初步确定信息系统安全保护等级 B、社会秩序包括社会的政治、经济、生产、生活、科研、工作等各方面的正常秩序。公共利益是指不特定的社会成员所共同享有的，维持其生产、生活、教育、卫生等方面的利益。 各级政府机构的社会管理和公共服务系统，如财政、金融、工商、税务、公检法、海关、社保等领域的信息系统，也包括教育、科研机构的工作系统，以及所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统。第二步第二步 初步确定信息系统安全保护等级初步确定信息系统安全保护等级 C、合法权益是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社

17、会权利和利益。 借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方面，例如：公共通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施、公共服务设施等。 公共利益与社会秩序密切相关，社会秩序的破坏一般会造成对公共利益的损害。 第二步第二步 初步确定信息系统安全保护等级初步确定信息系统安全保护等级 2、对客体造成侵害的程度 A、造成一般损害 B、造成严重损害 C、造成特别严重损害第二步第二步 初步确定信息系统安全保护等级初步确定信息系统安全保护等级 不同危害后果的三种危害程度描述如下： 一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要

18、功能的执行，出现较轻的法律问题，较低的资产损失，有限的社会不良影响，对其他组织和个人造成较低损害。 第二步第二步 初步确定信息系统安全保护等级初步确定信息系统安全保护等级 严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的资产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。 第二步第二步 初步确定信息系统安全保护等级初步确定信息系统安全保护等级 特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的资产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。 第

19、二步第二步 初步确定信息系统安全保护等级初步确定信息系统安全保护等级 1、影响行使工作职能工作职能包括国家管理职能、公共管理职能、公共服务职能等国家或社会方面的职能。 2、导致业务能力下降下降的表现形式可能包括业务范围的减少、业务处理性能的下降、可服务的用户数量的下降以及其他各种业务指标的下降，每个行业务都有本行业关注的业务指标。例如电力行业关注发电量和用电量，税务行业关注税费收入，银行业关注存款额、贷款额、交易量等，证券经纪行业关注股民数和交易额。 3、引起法律纠纷是比较严重的影响，在较轻的程度时可能表现为投诉、索赔、媒体曝光等形式。 4、导致财产损失包括系统资产被破坏的直接损失、业务量下降

20、带来的损失、直接的资金损失、为客户索赔所支付的资金等，以及由于信誉下降、单位形象降低、客户关系损失等导致的间接经济损失。直接造成人员伤亡，例如医疗服务系统，公安行业的某些系统等。 5、造成社会不良影响包括在社会风气、执政信心等方面的影响。第二步第二步 初步确定信息系统安全保护等级初步确定信息系统安全保护等级 （二）定级的一般流程： 信息系统的安全包括业务信息安全和系统服务安全，保护等级由业务信息安全等级和系统服务安全等级的较高者决定。 第二步第二步 初步确定信息系统安全保护等级初步确定信息系统安全保护等级 3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体

21、的侵害程度5、确定系统服务安全受到破坏时所侵害的客体7、系统服务安全等级4、业务信息安全等级8、定级对象的安全保护等级依据表1依据表21、确定定级对象第二步第二步 初步确定信息系统安全保护等级初步确定信息系统安全保护等级 表1：业务信息安全等级矩阵表：业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级第二步第二步 初步确定信息系统安全保护等级初步确定信息系统安全保护等级表表2 2：系统：系统服务安全等级矩阵表：服务安全等级矩阵表：系统服务安全被破坏时所侵害

22、的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级第二步第二步 初步确定信息系统安全保护等级初步确定信息系统安全保护等级 综合判定侵害程度： 业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。 系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定。第二步第二步 初步确定信息系统安全保护等级初步确定信息系统安全保护等级第一步第一步 开展信息系统基本情况的摸底调查开展信息系统基本情况的摸底调查

23、第二步第二步 初步确定信息系统安全保护等级初步确定信息系统安全保护等级第三步第三步 专家评审与审批专家评审与审批 1 1、系统定级、系统定级 信息系统等级评审： 在信息系统安全保护等级确定过程中，可以聘请专家进行咨询评审，并出具定级评审意见。 对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审，出具评审意见。 第三步第三步 专家评审与审批专家评审与审批 信息系统等级的最终确定与审批： 信息系统运营使用单位参考专家定级评审意见，最终确定信息系统等级，形成信息系统安全等级保护定级报告。 如果专家评审意见与运营使用单位意见不一致时，由运营使用单位

24、自主决定系统等级。 信息系统运营使用单位有上级主管部门的，应当经上级主管部门对安全保护等级进行审核批准。 第三步第三步 专家评审与审批专家评审与审批1、系统定级（首要环节）2、安全规划设计 安全建设3、安全实施/实现4、安全运行管理5、系统终止（一）实施流程（一）实施流程信息安全等级保护管理办法第十一条规定，信息系统的安全保护等级确定后，运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设和改建工作。2 2、安全建设、安全建设第十二条规定，在信息系统建设过程中，运营、使用单位应当按照计算机信息系统安

25、全保护等级划分准则、信息系统安全等级保护基本要求等技术标准，参照信息安全技术 信息系统通用安全技术要求、信息安全技术 操作系统安全技术要求、信息安全技术 数据库管理系统安全技术要求、信息安全技术 服务器技术要求、信息安全技术 终端计算机系统安全等级技术要求等技术标准同步建设符合该等级要求的信息安全设施。2 2、安全建设、安全建设第十三条规定，运营、使用单位应当参照信息安全技术 信息系统安全管理要求 、信息安全技术 信息系统安全工程管理要求、信息系统安全等级保护基本要求等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。2 2、安全建设、安全建设 信息系统安全建设通过由包括物理安全、

26、网络安全、主机安全、应用安全和数据安全及备份恢复等五个层面的基本安全技术措施和安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面的基本安全管理措施来实现和保证。2 2、安全建设、安全建设 基本安全技术措施主要包括以下几方面：物理安全主要是使存在计算机、网络设备的机房以及信息系统的设备和存储数据的介质免受物理环境、自然灾害以及人为操作失误和恶意操作等各种威胁所产生的攻击。具体包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防火等十个控制点。网络安全一方面，确定网络设备的安全运行，提供有效的网络服务，另一方

27、面，确保在网上传输数据的保密性、完整性和可用性等。具体包括：结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等七个控制点。主机安全是包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。具体包括：身份鉴别、安全标记、访问控制、可信途径、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等九个控制点。（1 1）基本安全技术措施）基本安全技术措施应用安全对应用系统的安全保护最终就是如何保护系统的各种业务应用程序安全运行。具体包括：身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等十一个控制点。数据安全及备份恢复保证数据安全和备份恢复主要从：数据完整性、数据保密性、备份和恢复等三个控制点考虑。（1 1）基本安全技术措施）基本安全技术措施基本安全管理措施主要包括以下几方面：基本安全管理措