《信息安全等级保护》

1、.信息安全等级保护信息安全等级保护. 根据信息系统在国家安全、经济建设、社会根据信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；将信息系统划分为不同的合法权益的危害程度；将信息系统划分为不同的安全保护等级安全保护等级并对其实施不同的并对其实施不同的保护保护和和监管监管。 .等级保护的政策文件与技术演进等级保护的政策文件与技术演进20032003年年9 9月月中办国办颁发中办国办颁发关于加强信息安全保关于加强信息安全保障工作

2、的意见障工作的意见（中办发（中办发200327200327号）号）20042004年年1111月月四部委会签四部委会签关于信息安全等级保关于信息安全等级保护工作的实施意见护工作的实施意见（公通字（公通字200466200466号）号）20052005年年9 9月月国信办文件国信办文件 关于转发关于转发电子政电子政务信息安全等级保护实务信息安全等级保护实施指南施指南的通知的通知 （国信办（国信办200425200425号）号）20052005年年 公安部标准公安部标准等级保护安全要求等级保护安全要求等级保护定级指南等级保护定级指南等级保护实施指南等级保护实施指南等级保护测评准则等级保护测评准则总

3、结成一种安全工总结成一种安全工作的方法和原则作的方法和原则最先作为最先作为“适度适度安全安全”的工作思的工作思路提出路提出确认为国家信息安确认为国家信息安全的基本制度，安全的基本制度，安全工作的根本方法全工作的根本方法形成等级保护的基形成等级保护的基本理论框架，制定本理论框架，制定了方法，过程和标了方法，过程和标准准. 体现国家管理意志体现国家管理意志 构建国家信息安全保障体系构建国家信息安全保障体系 保障信息化发展和维护国家安全保障信息化发展和维护国家安全.信息安全等级保护是手段，是为了构建国家信息安全等级保护是手段，是为了构建国家信息安全保障体系。信息安全保障体系。信息安全保障体系也是手段

4、，是为了信息应信息安全保障体系也是手段，是为了信息应用发展。用发展。信息安全等级保护是带有很强技术性的国家信息安全等级保护是带有很强技术性的国家风险控制行为风险控制行为.安全风险管理的目的并不是保证没有风险，而安全风险管理的目的并不是保证没有风险，而是要将信息系统带来的业务风险控制在可接受是要将信息系统带来的业务风险控制在可接受的范围内。的范围内。 信息安全等级保护的关键所在正是基于信息系信息安全等级保护的关键所在正是基于信息系统所承载应用的重要性，以及该应用损毁后带统所承载应用的重要性，以及该应用损毁后带来的影响程度来判断风险是否控制在可接受的来的影响程度来判断风险是否控制在可接受的范围内。

5、范围内。.谁主管谁负责、谁运营谁负责谁主管谁负责、谁运营谁负责自主定级、自主保护、监督指导自主定级、自主保护、监督指导.一是：定级。一是：定级。二是：备案。二是：备案。三是：系统建设、整改。三是：系统建设、整改。四是：等级测评。四是：等级测评。五是：信息安全监管部门定期开展监督检查五是：信息安全监管部门定期开展监督检查.定级是信息安全等级保护的重要环节定级是信息安全等级保护的重要环节 首要环节，开始环节，但不是核心环节首要环节，开始环节，但不是核心环节基本要求是信息安全等级保护的核心基本要求是信息安全等级保护的核心 不同级别的信息系统按照基本要求进行保护后，不同级别的信息系统按照基本要求进行保

6、护后， 信息系统具有相应等级的基本安全保护能力，达到一信息系统具有相应等级的基本安全保护能力，达到一种基本的安全状态种基本的安全状态国家管理要求和系统自身安全保护需求结合国家管理要求和系统自身安全保护需求结合 . 五个等级的定义五个等级的定义 第一级第一级, 信息系统受到破坏后，会对公民、法人和其他信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩

7、序和他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损利益造成特别严重损害，或者对国家安全造成严重损害。害。 第五级，信息系统受到破坏后，会对国家安全造成特第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

8、别严重损害。 .定级要素定级要素 受侵害的客体受侵害的客体 公民、法人和其他组织的合法权益；公民、法人和其他组织的合法权益； 社会秩序、公共利益；社会秩序、公共利益； 国家安全。国家安全。.定级要素定级要素 对客体的侵害程度对客体的侵害程度 造成一般损害；造成一般损害； 造成严重损害；造成严重损害； 造成特别严重损害。造成特别严重损害。.受侵害的客体受侵害的客体对客体的侵害程度对客体的侵害程度一般损害一般损害严重损害严重损害特别严重特别严重损害损害公民、法人和其他组公民、法人和其他组织的合法权益织的合法权益第一级第一级第二级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三

9、级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级.定级方法定级方法(1)分解信息系统安全：分解信息系统安全：信息系统的信息系统的安全安全业务信息的业务信息的安全安全系统服务的系统服务的安全安全=+. 确定定级对象确定定级对象； 确定业务信息安全受到破坏时所侵害的客体；确定业务信息安全受到破坏时所侵害的客体； 综合评定业务信息安全被破坏对客体的侵害程度；综合评定业务信息安全被破坏对客体的侵害程度； 得到业务信息安全等级得到业务信息安全等级； 确定系统服务安全受到破坏时所侵害的客体；确定系统服务安全受到破坏时所侵害的客体； 综合评定系统服务安全被破坏对客体的侵害程度；综合评

10、定系统服务安全被破坏对客体的侵害程度； 得到系统服务安全等级得到系统服务安全等级； 由业务信息安全等级和系统服务安全等级的较高由业务信息安全等级和系统服务安全等级的较高者者确定定级对象的安全保护等级确定定级对象的安全保护等级。 .基本要求基本要求基本思路基本思路不同级别不同级别信息系统信息系统重要程度不同重要程度不同应对不同威胁的能力应对不同威胁的能力(威胁威胁弱点弱点)具有不同的安全保护能力具有不同的安全保护能力不同的基本要求不同的基本要求.不同级别的安全保护能力要求不同级别的安全保护能力要求 第一级安全保护能力第一级安全保护能力 应能够防护系统免受来自应能够防护系统免受来自个人个人的、拥有

11、很少资源（如利用公开可的、拥有很少资源（如利用公开可获取的工具等）的威胁源发起的恶意攻击、获取的工具等）的威胁源发起的恶意攻击、一般的一般的自然灾难（灾自然灾难（灾难发生的强度弱、持续时间很短等）以及其他相当危害程度的威难发生的强度弱、持续时间很短等）以及其他相当危害程度的威胁（无意失误、技术故障等）所造成的胁（无意失误、技术故障等）所造成的关键资源关键资源损害，在系统遭损害，在系统遭到损害后，能够到损害后，能够恢复部分功能恢复部分功能。 第二级安全保护能力第二级安全保护能力 应能够防护系统免受来自外部应能够防护系统免受来自外部小型组织小型组织的（如自发的三两人组成的（如自发的三两人组成的黑客

12、组织）、拥有少量资源（如个别人员能力、公开可获或特的黑客组织）、拥有少量资源（如个别人员能力、公开可获或特定开发的工具等）的威胁源发起的恶意攻击、一般的自然灾难定开发的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度一般、持续时间短、覆盖范围小等）以及其他（灾难发生的强度一般、持续时间短、覆盖范围小等）以及其他相当危害程度的威胁（无意失误、技术故障等）所造成的相当危害程度的威胁（无意失误、技术故障等）所造成的重要资重要资源源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够后，能够在一段时间内恢复部分功能在一段时间

13、内恢复部分功能。.不同级别的安全保护能力要求不同级别的安全保护能力要求 第三级安全保护能力第三级安全保护能力 应能够在统一安全策略下防护系统免受来自外部应能够在统一安全策略下防护系统免受来自外部有组织的团体有组织的团体（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员能力、计算能力等）的威胁源发起的恶意攻击、括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严重较为严重的的自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较广等）以及其他相当危害程度的威胁（广等）以及其

14、他相当危害程度的威胁（内部人员的恶意威胁内部人员的恶意威胁、无、无意失误、较严重的技术故障等）所造成的意失误、较严重的技术故障等）所造成的主要资源主要资源损害，能够发损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大较快恢复绝大部分部分功能。功能。 第四级安全保护能力第四级安全保护能力 应能够在统一安全策略下防护系统免受来自应能够在统一安全策略下防护系统免受来自国家级别的、敌对组国家级别的、敌对组织的织的、拥有丰富资源的威胁源发起的恶意攻击、拥有丰富资源的威胁源发起的恶意攻击、严重的严重的自然灾难自然灾难（灾难发生的强度大、持续时间

15、长、覆盖范围广等）以及其他相（灾难发生的强度大、持续时间长、覆盖范围广等）以及其他相当危害程度的威胁（内部人员的恶意威胁、无意失误、严重的技当危害程度的威胁（内部人员的恶意威胁、无意失误、严重的技术故障等）所造成的术故障等）所造成的资源资源损害，能够发现安全漏洞和安全事件，损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够在系统遭到损害后，能够迅速恢复所有功能迅速恢复所有功能。 .19o PDRResponse响应响应核心核心.20o PPDRR Recovery恢复恢复.21一级系统一级系统二级系统二级系统三级系统三级系统四级系统四级系统防护防护防护防护/检测检测策略策略/防护防护/检

16、测检测/恢复恢复/响应响应 策略策略/防护防护/检测检测/恢复恢复.22o IATF 成功的完成业务成功的完成业务信息保障信息保障人人技术技术操作操作防御网络与基础防御网络与基础设施设施防御飞地边界防御飞地边界防御计算环境防御计算环境 支撑性基础设施支撑性基础设施.23一级系统一级系统二级系统二级系统三级系统三级系统四级系统四级系统通信通信/边界（基本）边界（基本）通信通信/边界边界/内部（关键设备）内部（关键设备）通信通信/边界边界/内部（主要设备）内部（主要设备）通信通信/边界边界/内部内部/基础设施（所有设备）基础设施（所有设备）.24一级系统一级系统二级系统二级系统三级系统三级系统四级

17、系统四级系统计划和跟踪（主要制度）计划和跟踪（主要制度）计划和跟踪（主要制度）计划和跟踪（主要制度）良好定义（管理活动制度化）良好定义（管理活动制度化）持续改进（管理活动制度化持续改进（管理活动制度化/及时改进）及时改进）.某级系统某级系统技术要求技术要求管理要求管理要求基本要求基本要求建立安全技术体系建立安全技术体系建立安全管理体系建立安全管理体系具有某级安全保护能力的系统具有某级安全保护能力的系统.某级系统某级系统物理安全物理安全技术要求技术要求管理要求管理要求基本要求基本要求网络安全网络安全主机安全主机安全应用安全应用安全数据安全数据安全安全管理机构安全管理机构安全管理制度安全管理制度人

18、员安全管理人员安全管理系统建设管理系统建设管理系统运维管理系统运维管理.27某级某级基本要求基本要求类类技术要求技术要求管理要求管理要求类类控制点控制点具体要求具体要求控制点控制点具体要求具体要求.等级测评等级测评 信息系统建设完成后，运营、使用单位或者其主信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位，管部门应当选择符合本办法规定条件的测评单位，依据依据信息系统安全等级保护测评要求信息系统安全等级保护测评要求等技术等技术标准，标准，定期定期对信息系统安全等级状况对信息系统安全等级状况开展等级测开展等级测评评。 第三级第三级信息系统应当信息系统应当每年每年

19、至少进行一次等级测评至少进行一次等级测评 第四级第四级信息系统应当信息系统应当每半年每半年至少进行一次等级测至少进行一次等级测评评 第五级信息系统应当依据特殊安全需求进行等级第五级信息系统应当依据特殊安全需求进行等级测评测评.等级测评与其他测评的不同等级测评与其他测评的不同 目的不同：标准符合性测评目的不同：标准符合性测评 性质不同：性质不同：管理办法管理办法强制周期性执行强制周期性执行 执行主体不同：符合条件的测评机构执行主体不同：符合条件的测评机构 执行对象不同：已经确定等级的信息系统执行对象不同：已经确定等级的信息系统 内容不同：依据内容不同：依据基本要求基本要求和和测评要测评要求求 结果不同：符合、基本符合、不符合。结果不同：符合、基本符合、不符合。.等级测评面对的信息系统等级测评面对的信息系统 等级测评面对的信息系统是指等级测评面对的信息系统是指由一个由一个或多个不同安全保护等级的定级对象或多个不同安全保护等级的定级对象构成的构成的信息系统。信息系统。.访谈访谈通过与信息系统用户（个人通过与信息系统用户（个人/ /群体）迚行交流、群体）迚行交流、认论等活劢，获取相关证据证明信息系统安全保护措施认论等活劢，获取相关证据证明信息系统安全保护措施是否落实的一种方法。是否落实的一种方法。检查检查通过对