信息系统安全等级保护工作介绍2017版

信息系统安全等级保护工作介绍第1页，共66页。介绍内容之一一、信息安全等级保护工作概述二、如何实施等级保护工作第2页，共66页。介绍内容之一一、信息安全等级保护工作概述二、如何实施等级保护工作第3页，共66页。一、信息安全等级保护工作概述

（一）什么是信息安全等级保护工作？

（二）为什么开展信息安全等级保护工作？

第4页，共66页。（一）什么是信息安全等级保护工作？

概念：

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。第5页，共66页。（一）什么是信息安全等级保护工作？

等保

宣传

介绍第6页，共66页。（一）什么是信息安全等级保护工作？

信息系统的安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。第7页，共66页。一、信息安全等级保护工作概述

（一）什么是信息安全等级保护工作？

（二）为什么开展信息安全等级保护工作？

第8页，共66页。（二）为什么开展信息安全等级保护工作？

1、信息化发展状况

网络技术对社会进步的贡献有目共睹,主要体现在电子政务，电子商务、电子娱乐、远程医疗、远程教育等多个领域的应用；随着移动4G、城市无线WIFI热点逐渐成熟和普及，网络将给人们的生产、生活带来更大方便，提供更多就业机会，促进社会经济更快发展。

现代化建设的许多方面也已融入于网络(信息)社会之中,政府部门正在积极推进电子政务；金融、证券部门正在稳健地开展网络化的服务业务(网上银行支付和网上证券交易)；商贸部门正在推动电子商务的发展；人社部门也在推进金保工程；国防部门积极研究网络信息战(现代战争的形式)等。第9页，共66页。（二）为什么开展信息安全等级保护工作？2、信息安全形势

在信息化建设的过程中，部分领导缺乏科学合理的管理手段和技术，信息系统的安全建设成为了信息化建设中被忽视的问题。由于很多单位信息系统的体系结构是一个相对开放的环境，加上网络数据资源易传送、修改、复制、下载等特点；数据资源涉及工作密级文件资料，一旦发生系统被攻击或数据被窃等破坏行为，后果将不堪设想。因此，开展各行业系统等级保护工作刻不容缓，系统信息安全等级保护定级、备案、整改及测评工作开展的好坏，将直接影响到全省整体的信息安全保障能力和水平。第10页，共66页。（二）为什么开展信息安全等级保护工作？3、存在的问题信息安全意识和安全防范能力薄弱，信息安全滞后于信息化发展；信息系统安全建设和管理的目标不明确；信息安全保障工作的重点不突出；信息安全监督管理缺乏依据和标准，监管措施有待到位，监管体系尚待完善；大多数单位的信息系统安全保护还处在采用防火墙、IDS和防病毒等部件方面；重视外部攻击与入侵，忽视内部的非法行为；偏重产品，忽视体系和管理；国内产品质量和技术问题；用户信息安全的潜在的需求到现实需求仍有一个过程；西方发达国家信息技术优势明显，我国面临信息强国的冲击、挑战和威胁，信息安全领域始终面临信息战和网络恐怖袭击的威胁；敌对势力的网上煽动、渗透和破坏活动愈加突出，针对信息系统进行的破坏活动日益严重，利用网络实施的违法犯罪案件持续大幅上升。第11页，共66页。（二）为什么开展信息安全等级保护工作？4、相关政策及法律依据：1994年，《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”；2003年，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出“实行信息安全等级保护”，“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”；2004年9月公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了《关于信息安全等级保护工作的实施意见》（公通字[2004]66号），明确了信息安全等级保护制度的原则和基本内容，以及信息安全等级保护工作的职责分工、工作实施的要求等；2007年公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了《信息安全等级保护管理办法》（公通字[2007]43号），并召开了“全国重要信息系统安全等级保护定级工作电视电话会议”，部署在全国范围内开展重要信息系统安全等级保护定级备案工作。第12页，共66页。相关政策及法律依据第13页，共66页。（二）为什么开展信息安全等级保护工作？

信息安全等级保护是我国信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作，就是要解决我国信息安全面临的威胁和存在的主要问题。

第14页，共66页。（二）为什么开展信息安全等级保护工作？

5、开展等级保护工作的意义：

建立信息安全等级保护制度，开展信息安全等级保护工作，有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设协调；有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务；有利于优化信息安全资源的配置，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全；有利于明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理；有利于推动信息安全产业的发展，逐步探索出一条适应社会主义市场经济发展的信息安全模式。第15页，共66页。（二）为什么开展信息安全等级保护工作？习近平总书记提出：“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题”、“没有网络安全就没有国家安全，没有信息化就没有现代化”、“建设网络强国的战略部署要与‘两个一百年’奋斗目标同步推进”等重要论断，深刻阐释了党中央关于加强网络安全和信息化工作的指导思想和方针路线。

第16页，共66页。介绍内容一、信息安全等级保护工作概述二、如何实施等级保护工作第17页，共66页。二、如何实施等级保护工作（一）实施流程（二）工作要求第18页，共66页。（一）实施流程（一）工作内容（二）工作要求第19页，共66页。等级保护的5个规定动作的顺序和相关的说明：运营单位自主测评机构协助其他的单位实施（根据整改的要求来定）运营单位自主定级测评机构协助测评机构实施运营使用单位配合测评机构实施运营使用单位配合运营单位自主备案测评机构协助运营单位自查行业主管单位定期检查公安机关定期检查工作内容第20页，共66页。1、系统定级第一步开展信息系统基本情况的摸底调查第二步初步确定信息系统安全保护等级第三步专家评审与审批

第21页，共66页。第一步开展信息系统基本情况的摸底调查

正确划分定级对象：

信息系统运营使用单位或主管部门按如下原则确定定级对象：一是承载相对独立或单一业务的信息系统；二是信息系统的信息安全由本单位主管；三是具有信息系统的基本要素。起支撑作用的网络可以作为定级对象；应用类的信息系统以应用种类划分定级对象。第22页，共66页。第一步开展信息系统基本情况的摸底调查

一是承载相对独立或单一业务的信息系统：定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流程、部分业务功能独立，同时与其他信息系统的业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程，可以使完整的业务流程的一部分。第23页，共66页。第一步开展信息系统基本情况的摸底调查

二是信息系统的信息安全由本单位主管：

作为定级对象的信息系统应能够唯一地确定其安全责任单位，这个安全责任单位就是负责等级保护工作部署、实施的单位，也是完成等级保护备案和接受监督检查的直接责任单位。

第24页，共66页。第一步开展信息系统基本情况的摸底调查

三是具有信息系统的基本要素：作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如单台的服务器、终端或网络设备等作为定级对象。

第25页，共66页。1、系统定级第一步开展信息系统基本情况的摸底调查第二步初步确定信息系统安全保护等级第三步专家评审与审批

第26页，共66页。第二步初步确定信息系统安全保护等级

信息系统的安全保护等级是信息系统的客观属性，不以已采取或采取什么安全保护措施为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、公民、法人及其它合法组织的权益等损害客体的危害程度为依据，确定信息系统的安全等级。

第27页，共66页。第二步初步确定信息系统安全保护等级

（一）信息系统的安全保护等级由两个定级要素决定：

1、等级保护对象受到破坏时所侵害的客体

2、受到破坏时对客体造成侵害的程度第28页，共66页。第二步初步确定信息系统安全保护等级

1、等级保护对象受到破坏时所侵害的客体：

A、国家安全

B、社会秩序、公共利益

C、公民、法人和其他组织的合法权益第29页，共66页。第二步初步确定信息系统安全保护等级

A、国家安全利益——体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全和资源环境安全等方面利益。重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等属于影响国家政权稳固和国防实力的信息系统；广播、电视、网络等重要新闻媒体的发布或播出系统，其受到非法控制可能引发影响国家统一、民族团结和社会安定的重大事件；处理国家对外活动信息的信息系统；处理国家重要安全保卫工作信息的信息系统和重大刑事案件的侦查系统；尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信息系统，以及电力、通信、能源、交通、人社、金融等国家重要基础设施的生产、控制、管理系统等。第30页，共66页。第二步初步确定信息系统安全保护等级

B、社会秩序——包括社会的政治、经济、生产、生活、科研、工作等各方面的正常秩序。公共利益——是指不特定的社会成员所共同享有的，维持其生产、生活、教育、卫生、社会保障、民政救助等方面的利益。各级政府机构的社会管理和公共服务系统，如财政、金融、工商、税务、公检法、海关、社保等领域的信息系统，也包括教育、科研机构的工作系统，以及所有为公众提供医疗卫生、社会保障、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统。第31页，共66页。第二步初步确定信息系统安全保护等级

C、合法权益——是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。

借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方面，例如：公共通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施、公共服务设施等。公共利益与社会秩序密切相关，社会秩序的破坏一般会造成对公共利益的损害。

第32页，共66页。第二步初步确定信息系统安全保护等级

2、对客体造成侵害的程度

A、造成一般损害

B、造成严重损害

C、造成特别严重损害第33页，共66页。第二步初步确定信息系统安全保护等级

不同危害后果的三种危害程度描述如下：

一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的资产损失，有限的社会不良影响，对其他组织和个人造成较低损害。

第34页，共66页。第二步初步确定信息系统安全保护等级

严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的资产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。

第35页，共66页。第二步初步确定信息系统安全保护等级

特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的资产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。第36页，共66页。第二步初步确定信息系统安全保护等级

1、影响行使工作职能——工作职能包括国家管理职能、公共管理职能、公共服务职能等国家或社会方面的职能。

2、导致业务能力下降——下降的表现形式可能包括业务范围的减少、业务处理性能的下降、可服务的用户数量的下降以及其他各种业务指标的下降，每个行业务都有本行业关注的业务指标。例如电力行业关注发电量和用电量，税务行业关注税费收入，银行业关注存款额、贷款额、交易量等，证券经纪行业关注股民数和交易额。

3、引起法律纠纷——是比较严重的影响，在较轻的程度时可能表现为投诉、索赔、媒体曝光等形式。

4、导致财产损失——包括系统资产被破坏的直接损失、业务量下降带来的损失、直接的资金损失、为客户索赔所支付的资金等，以及由于信誉下降、单位形象降低、客户关系损失等导致的间接经济损失。直接造成人员伤亡，例如医疗服务系统，公安行业的某些系统等。

5、造成社会不良影响——包括在社会风气、执政信心等方面的影响。第37页，共66页。第二步初步确定信息系统安全保护等级

（二）定级的一般流程：

信息系统的安全包括业务信息安全和系统服务安全，保护等级由业务信息安全等级和系统服务安全等级的较高者决定。

第38页，共66页。第二步初步确定信息系统安全保护等级

3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体7、系统服务安全等级4、业务信息安全等级8、定级对象的安全保护等级依据表1依据表21、确定定级对象第39页，共66页。第二步初步确定信息系统安全保护等级

业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级

表1：业务信息安全等级矩阵表：第40页，共66页。第二步初步确定信息系统安全保护等级表2：系统服务安全等级矩阵表：系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级第41页，共66页。第二步初步确定信息系统安全保护等级

综合判定侵害程度：

业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定。第42页，共66页。1、系统定级第一步开展信息系统基本情况的摸底调查第二步初步确定信息系统安全保护等级第三步专家评审与审批

第43页，共66页。第三步专家评审与审批

信息系统等级评审：

在信息系统安全保护等级确定过程中，可以聘请专家进行咨询评审，并出具定级评审意见。对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审，出具评审意见。第44页，共66页。第三步专家评审与审批

信息系统等级的最终确定与审批：

信息系统运营使用单位参考专家定级评审意见，最终确定信息系统等级，形成《信息系统安全等级保护定级介绍》。如果专家评审意见与运营使用单位意见不一致时，由运营使用单位自主决定系统等级。信息系统运营使用单位有上级主管部门的，应当经上级主管部门对安全保护等级进行审核批准。第45页，共66页。2、安全建设●《信息安全等级保护管理办法》第十一条规定，信息系统的安全保护等级确定后，运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设和改建工作。第46页，共66页。2、安全建设●第十二条规定，在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》等技术标准，参照《信息安全技术信息系统通用安全技术要求》、《信息安全技术操作系统安全技术要求》、《信息安全技术数据库管理系统安全技术要求》、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》等技术标准同步建设符合该等级要求的信息安全设施。第47页，共66页。2、安全建设●第十三条规定，运营、使用单位应当参照《信息安全技术信息系统安全管理要求》、《信息安全技术信息系统安全工程管理要求》、《信息系统安全等级保护基本要求》等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。第48页，共66页。2、安全建设

信息系统安全建设通过由包括物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等五个层面的基本安全技术措施和安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面的基本安全管理措施来实现和保证。第49页，共66页。（1）基本安全技术措施

基本安全技术措施主要包括以下几方面：●物理安全——主要是使存在计算机、网络设备的机房以及信息系统的设备和存储数据的介质免受物理环境、自然灾害以及人为操作失误和恶意操作等各种威胁所产生的攻击。具体包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防火等十个控制点。●网络安全——一方面，确定网络设备的安全运行，提供有效的网络服务，另一方面，确保在网上传输数据的保密性、完整性和可用性等。具体包括：结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等七个控制点。●主机安全——是包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。具体包括：身份鉴别、安全标记、访问控制、可信途径、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等九个控制点。第50页，共66页。（1）基本安全技术措施●应用安全——对应用系统的安全保护最终就是如何保护系统的各种业务应用程序安全运行。具体包括：身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等十一个控制点。●数据安全及备份恢复——保证数据安全和备份恢复主要从：数据完整性、数据保密性、备份和恢复等三个控制点考虑。第51页，共66页。（2）基本安全管理措施基本安全管理措施主要包括以下几方面：●安全管理制度——包括信息安全工作的总体方针、策略、规范各种安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程。主要包括：管理制度、制定和发布、评审和修订三个控制点。●安全管理机构——其主要工作内容包括对机构内重要的信息安全工作进行授权和审批、内部相关业务部门和安全管理部门之间的沟通协调以及与机构外部各类单位的合作、定期对系统的安全措施落实情况进行检查，以发现问题进行改进。主要包括：岗位设置、人员配备、授权和审批、沟通和合作以及审核和检查等五个控制点。●人员安全管理——对人员安全的管理，主要涉及两个方面：对内部人员的安全管理和对外部人员的安全管理。具体包括：人员录用、人员离岗、人员考核、安全意识教育和介绍和外部人员访问管理等五个控制点。●系统建设管理——分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑，具体包括：系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商等十一个控制点。第52页，共66页。（2）基本安全管理措施●系统运维管理——主要包括：环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等十三个控制点。第53页，共66页。2、安全建设某级信息系统技术要求管理要求基本要求建立安全技术体系建立安全管理体系具有某级安全保护能力的系统第54页，共66页。2、安全建设物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理第55页，共66页。2、安全建设环境安全防其他自然灾害机房与设施安全环境与人员安全设备安全防止电磁泄露发射防盗与防毁防电磁干扰介质安全介质的管理介质的分类介质的防护物理安全第56页，共66页。2、安全建设

网络安全1.网络结构安全2.网络访问控制3.网络安全审计4.边界完整性检查5.网络入侵防范6.恶意代码防护7.网络防护设备主机安全身份鉴别强制访问控制系统安全标计4.剩余信息保护5.入侵防范6.可信路径7.恶意代码防范8.资源控制9.安全标记

应用安全

1.身份鉴别

2.安全审计3.剩余信息保护4.通信完整性和保密性保护5.安全标记6.可信路径数据安全1.数据保密性保护2.数据完整性保护3.数据可用性保护7.控制软件容错；8.严格的访问；9.通信保密性、10.资源控制；11.抗抵赖第57页，共66页。2、安全建设满足政策要求满足标准要求满足用户自身要求安全现状差异性分析基本要求需求物理安全网络安全主机安全应用安全数据安全与备份恢复第58页，共66页。2、安全建设其它定级系统安全接入/隔离设备计算环境区域边界通信网络网站/应用服务器交换设备用户终端安全管理中心通信网络区域边界计算环境安全管理中心第59页，共66页。构筑由安全管理中心统一管理下的计算环境、区域边界、通信网络三重防御体系。安全区域边界可信计算环境安全管理中心安全通信网络