等级保护政策与标准体系

等级保护政策与标准体系1培训议程信息安全等级保护概述1等级保护政策和标准体系介绍2等级保护主要政策和标准介绍32什么是信息安全等级保护《信息安全等级保护管理办法》指出信息安全等级保护是以信息为核心的、根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；针对信息的保密性、完整性和可用性要求及信息系统必须达到的基本的安全保护水平等因素，对最核心的信息和信息系统划分为五个安全保护和监管等级，实行分级保护。3为什么实行等级保护实施信息安全等级保护，可以有效地提高我国信息安全建设的整体水平；有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督；有利于明确国家、法人和其他组织、公民的安全责任，强化政府监管职能，共同落实各项安全建设和安全管理措施；有利于提高安全保护的科学性、整体性、针对性，推动信息安全产业水平，逐步探索一条适应社会主义市场经济发展的信息安全发展模式。4国家战略国家强制实施信息安全等级保护制度的原因：维护国家安全的需要：基础信息网络与重要信息系统已经成为国家的关键基础设施；信息安全是国家安全的重要组成部分；信息安全形势严峻：敌对势力的入侵、攻击、破坏；针对基础信息网络

和重要信息系统的

违法犯罪持续上升；

基础信息网络和重

要信息系统安全隐

患严重；5信息安全是国家安全的重要组成随着信息化建设的深入发展，网络和信息系统已成为承载国家运转、社会运行的重要基础设施；信息网络已成为我们日常工作和生活中必不可少的重要组成部分；一些关乎国计民生的重点行业，如金融、证券、电力、水利、运营商、民航、铁路、党政机关、企业等的生产经营、指挥调度等工作已经高度依赖信息网络；6信息安全是国家安全的重要组成十八大报告指出“贯彻新时期积极防御军事战略方针，与时俱进加强军事战略指导，高度关注海洋、太空、网络空间安全......”。说明网络空间安全已经成为继陆、海、空、太空之后的第五大国家安全；习近平总书记指出：“没有网络安全，就没有国家安全”；我国信息网络安全面临的形势非常严峻和复杂。

7西方大国的战略威胁美国等西方国家不断推出网络空间国际战略和行动战略，并将其作为在网络空间的行动指南和国际宣言，谋求网络空间主导权、控制权、话语权甚至霸权，全面加强对我网络遏制策略，对未来网络空间的战略格局影响深远；美国加紧网络备战，将分批组建40支网络作战部队，公布了包括电脑病毒在内的网络武器和工具清单。美从指挥体系、作战队伍以及网络战武器等方面已构建完备，随时可以发动网络战；8西方大国的战略威胁炒作中国黑客攻击，起诉中国61398部队5名军人，为对其实施攻击寻找借口，成为我国网络安全最主要的威胁；目前全球已有46个国家组建了网络战部队：英国已研发了用于网络战的武器并加入武器库；俄罗斯组建网络作战队伍、研发进攻性网络武器、在全球构建大规模僵尸网络，以色列-批准耗资3.2亿美元的网络战计划...；美国政府、军方、智库、安全企业和媒体将美受到的网络攻击、入侵窃密等强加至中国黑客，将中国塑造为美国网络安全面临的头号敌人；9西方大国的战略威胁日本、越南、菲律宾等国与我国存在领土、领海争端，美不断助长日、越、菲等国与我制造紧张局面，一旦发生突发事件，极易发生大规模网络攻击；从媒体连续披露的“棱镜”项目等多个政府情报监听计划中，可以看到中国已经成为美网络监听和攻击的主要目标。10敌对势力和黑客组织的威胁近年来藏独、疆独、法轮功等敌对势力、敌对组织，通过互联网对我政府网站、基础信息网络、重要信息系统和国家网络关防等进行入侵攻击、控制和突破。“反共黑客联盟”自2012年5月起，每3天攻击一个我政府网站，篡改网页张贴反共标语，谩骂和组织“推翻”我党。11敌对势力和黑客组织的威胁今年2月土耳其极端组织连续攻击了我国10个网站，并上传了大量涉及新疆“7.5”事件的恐怖视频和照片。昆明“3.01”暴恐事件发生后，该组织在其网站登载了相关新闻并表示支持恐怖活动，3月2日攻击了我596个网站。“匿名者”黑客组织在全球拥有60万成员，该组织号召力极强，具备实施大规模网络攻击的能力，曾多次攻击我政府网站和重要系统。12省内多家重要网站遭攻击、篡改13互联网的快速发展带来的挑战2013年，我国互联网飞速发展，网站总数370万个，网民规模突破6亿，手机网民占80%，手机用户超过12亿，信息消费达到2.2万亿，电子商务交易规模突破10万亿。病毒、木马等恶意程序激增，危害范围更广、速度更快：2013年二季度比一季度，发现新增恶意程序样本就达到5.27亿个,同比增长12.5%,环比增长32.4%，恶意程序样本量的快速增长态势令人担忧。同时，利用“火焰、高斯、红色十号病毒等实施的高级、可持续攻击活动更为频繁。14互联网的快速发展带来的挑战境外约有7.3万个木马或僵尸网络控制服务器控制了我国境内1400余万台主机，新增安全漏洞应接不暇，安全隐患严重：2012年，国家信息安全漏洞共享平台共收集安全漏洞6824个，较2011年增长了23%，每月新增漏洞数量平均超过550个，其中高危漏洞2440个，较2011年增长了12.8%。15网络违法犯罪活动带来的影响一些传统的犯罪类型也更多地利用和针对互联网实施，网络窃密、网络赌博、网络诈骗、网上盗窃等违法犯罪活动日益猖獗。不法分子利用各种手段窃取、贩卖公民个人信息，从事各种违法犯罪活动，被窃取贩卖或泄漏的信息涉及金融、电信、公安、交通、教育、医疗、国土、工商、房产、物业、保险、快递等重要部门和行业。

16网络新技术新应用带来新挑战基于IPv6下一代互联网、物联网、云计算、大数据、移动互联网等新技术正在加快应用到电力、石油、交通等重要行业，逐步实现“智能电网”、“智能油田”和“智慧城市”，推动着我国技术进步和经济发展。与此同时，随着新技术新应用的到来，关系国计民生的信息网络以及大数据更易成为网络攻击的目标。17国家领导高度重视信息网络安全十八大报告：建设下一代信息基础设施，发展现代信息技术产业体系，健全信息安全保障体系，推进信息网络技术广泛运用；高度关注海洋、太空、网络空间安全，积极运筹和平时期军事力量运用，不断拓展和深化军事斗争准备，提高以打赢信息化条件下局部战争能力为核心的完成多样化军事任务能力。

18国家领导高度重视信息网络安全新一届领导：习近平访美关注网络安全与页岩气两大焦点：/2013-05-31/154720620.html；习近平见美国特使就朝鲜形势网络安全交换意见；/13/0319/16/8QBFDHD10001124J.html习近平同奥巴马通话谈网络安全：/o/2013-03-16/101926549804.shtml；习近平主席阐述了中方原则立场,表示当前网络安全问题日益突出,已成为各国普遍关切的综合安全挑战。维护网络空间的和平、安全、开放、合作,符合中美在内的国际社会共同利益。中方坚决反对任何形式的黑客活动。中方愿同美方以建设性方式就网络安全问题保持沟通。国家成立网信办、网络安全立法……19等级保护工作的地位等级保护是国家在信息安全领域强制实施的一项基本制度、基本国策，是开展信息安全工作的基本方法，是促进信息化、维护国家信息安全的根本保障；等级保护工作的性质：信息

安全等级保护工作是国家信

息安全保障工作中的一项保

障性、基础性、制度性和长

效性工作，是提升国家信息

安全保障水平和能力的重要

举措；其核心是“明确重点、突出

重点、保护重点”,提高重要

信息系统的安全防护水平和

管理水平。20培训议程等级保护政策和标准体系介绍2信息安全等级保护概述1等级保护主要政策和标准介绍321信息安全等级保护的提出信息安全等级保护制度的提出：国家对等级保护制度的要求从法律、政策等方面明确了实行等级保护制度是我国信息安全保障工作的一项基本、重要制度和措施；《中华人民共和国计算机信息系统安全保护条例》国务院[1994]147号《国家信息化领导小组关于加强信息安全保障工作的意见》中办发[2003]27号2008年国务院“三定”方案中，增加了公安机关的职能：监督、检查、指导信息安全等级保护工作。22政策推进过程2003年9月中办国办颁发《关于加强信息安全保障工作的意见》中办发[2003]27号2004年11月四部委会签《关于信息安全等级保护工作的实施意见》公通字[2004]66号2006年1月四部委会签《信息安全等级保护管理办法（试行）》（公通字[2006]7号）

2007年6月四部委会签《信息安全等级保护管理办法》公通字[2007]43号1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》国务院[1994]147号《信息系统安全等级保护定级指南》《信息系统安全等级保护基本要求》《信息系统安全等级保护实施指南

》《信息系统安全等级保护测评要求》《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）《信息安全技术网络基础安全技术要求》（GB/T20270-2006）《信息安全技术操作系统安全技术要求》（GB/T20272-2006）《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）。。。。。。GB17859-1999计算机信息系统安全保护等级划分准则23等级保护工作的职责分工等级保护协调（领导）小组：国家层面、各省、各地市成立了以公安机关牵头的协调（领导）小组：负责信息安全等级保护工作的组织领导，制定本地区、本行业开展信息安全等级保护的工作部署和实施方案；督促有关单位落实、研究、协调解决等级保护工作中的重要工作事项，及时通报或报告等级保护实施工作的有关情况；24等级保护工作的职责分工信息安全职能部门：公安机关负责等级保护工作的监督、检查、指导，是等保工作的牵头部门；国家保密部门负责等保工作中有关保密工作的监督、检查、指导；国家密码管理部门负责等保工作中有关密码工作的监督、检查、指导；工业和信息化部门负责等级保护工作中的部门间协调。25等级保护工作的职责分工涉及国家秘密的信息系统，由国家保密局负责-分级保护；其他信息系统，由公安机关统一进行监督、管理；信息系统运营使用单位及其业务主管部门：信息系统运营使用单位按照等级保护工作的管理规范和技术标准，开展信息系统定级、备案、等级测评、安全建设整改、自查等工作，并接受公安机关等部门的监督、指导；26等级保护工作的职责分工有业务主管部门的，主管部门要督促、检查、指导本行业、本部门信息系统运营使用单位开展信息安全等级保护工作；安全服务企业：信息安全企业、信息系统安全集成商等安全服务机构，依据国家有关管理规定和技术标准，开展技术支持、服务等工作，并接受监管部门的监督管理；专家组：配合公安机关开展等级保护工作，对各单位等级保护工作中具体环节、内容提供技术支持、指导。27信息安全等级保护政策体系信息安全等级保护的法律和政策依据：1994年颁布《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）；《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）；总体方面的政策文件：《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）；《信息安全等级保护管理办法》（公通字[2007]43号）；28信息安全等级保护政策体系具体环节的政策文件：定级环节：《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字[2007]861号；备案环节：《信息安全等级保护备案实施细则》(公信安[2007]1360号)安全建设整改环节：《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安12009)1429号)；《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]207l号)。等级测评环节：《关于推动信息安全等级保护测评体系建设和开展等级测讦工作的通知》(公信安[20101303号)；关于印发《信息系统安全等级测评报告模版(试行)》的通知(公信安[2009]1487号)。安全检查环节：《公安机关信息安全等级保护检查工作规范(试行)》(公信安[2008]736号)。29信息系统安全等级保护基本要求计算机信息系统安全保护等级划分准则（GB17859）信息系统通用安全技术要求信息系统物理安全技术要求技术类其他技术类标准信息系统安全管理要求信息系统安全工程管理要求其他管理类标准信息系统安全等级保护定级指南信息系统安全等级保护基本要求的行业细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求管理类产品类数据库管理系统安全技术要求其他产品类标准信息系统安全等级保护行业定级细则操作系统安全技术要求信息系统安全等级保护建设整改网络基础安全技术要求网络和终端设备隔离部件技术要求安全定级基本要求状态分析方法指导信息系统安全等级保护实施指南30信息安全等级保护标准体系30等级保护标准体系-主要标准（一）基础《计算机信息系统安全保护等级划分准则》GB17859-1999《信息系统安全等级保护实施指南》GB/T25058-2010（二）系统定级环节《信息系统安全保护等级定级指南》GB/T22240-2008（三）建设整改环节《信息系统安全等级保护基本要求》GB/T22239-2008（四）等级测评环节《信息系统安全等级保护测评要求》GB/T28448-2012《信息系统安全等级保护测评过程指南》GB/T28449-201231培训议程等级保护主要政策和标准介绍3信息安全等级保护概述1等级保护政策和标准体系介绍232管理办法（简称43号文）《管理办法》第八条:信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理。33管理办法（简称43号文）《管理办法》第九条:信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。34管理办法（简称43号文）《管理办法》第十条:信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。35管理办法（简称43号文）《管理办法》第十二条:在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要求》等技术标准，参照……等技术标准同步建设符合该等级要求的信息安全设施。36管理办法（简称43号文）《管理办法》第十三条:运营、使用单位应当参照《信息安全技术信息系统安全管理要求》（GB/T20269-2006）、《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）、《信息系统安全等级保护基本要求》等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。

37管理办法（简称43号文）《管理办法》第十四条:信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。38实施指南（GB/T25058-2010）介绍和描述了实施信息系统等级保护过程中涉及的阶段、过程和需要完成的活动，通过对过程和活动的介绍，使大家了解对信息系统实施等级保护的流程方法，以及不同的角色在不同阶段的作用等。39实施指南（GB/T25058-2010）等级变更局部调整信息系统定级总体安全规划安全设计与实施安全运行维护信息系统终止40实施指南的主要思路以信息系统安全等级保护建设为主要线索，定义信息系统等级保护实施的主要阶段和过程对每个阶段介绍和描述主要的过程和实施活动对每个活动说明实施主体、主要活动内容和输入输出等41实施指南标准的结构正文由9个章节1个附录构成1.范围2.规范性引用文件3.术语定义4.等级保护实施概述5.信息系统定级6.总体安全规划7.安全设计/实施8.安全运行维护9.信息系统终止附录A主要过程及其输出42实施指南特点阶段过程活动子活动例如:信息系统定级信息系统分析系统识别和描绘识别信息系统的基本信息识别信息系统的管理框架…信息系统划分43系统定级阶段-实施流程主要输入主要输出过程系统立项文档系统建设文档系统管理文档信息系统分析系统总体描述文件系统详细描述文件安全保护等级确定系统总体描述文件系统详细描述文件系统安全保护等级定级建议书44定级指南（GB/T22240-2008）安全保护等级等级的确定是不依赖于安全保护措施的，具有一定的“客观性”，即该系统在存在之初便由其自身所实现的使命决定了它的安全保护等级，而非由“后天”的安全保护措施决定。45为什么首先要定级？46<定级指南>-定级三条件具有唯一确定的安全责任单位一般是使用或运营单位满足信息系统的基本要素单机和纯局域网不定级承载相对独立的业务应用含多个业务应用的综合系统尽量划分47<定级指南>标准的结构正文由6个章节构成1.范围2.规范性引用文件3.术语定义4.定级原理5.定级方法6.级别变更48等级与侵害客体、侵害程度关系49<定级指南>-定级原理50<定级指南>-定级维度等级保护对象受到破坏时所侵害的客体对客体造成侵害的程度51两类信息安全等级信息系统中保存的信息保密性、完整性一般简称为S级信息系统服务连续性一般简称为A级52<定级指南>-可能的系统级别第一级S1A1G1第二级S1A2G2，S2A2G2，S2A1G2第三级S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四级S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G453<定级指南>-定级流程54<定级指南>-定级的时机新建信息系统等级保护实施流程已建信息系统等级保护实施流程不通过不通过等级保护定级是实施等级保护工作的第一步！55常见等级保护定级误区信息系统是上级部门部署的，不需要定级56常见等级保护定级误区信息系统是上级部门部署的，不需要定级由系统运营使用维护单位负责定级跨省跨市信息系统，只要在本地有分支服务器提供业务服务同样需要定级备案57常见等级保护定级误区信息系统等级根据《等级保护基本要求》确定，现在安全措施没有就是一级58常见等级保护定级误区信息系统等级根据《等级保护基本要求》确定，现在安全措施没有就是一级根据《定级指南》和《行业定级细则》确定等级以业务信息和系统服务确定等级《基本要求》确定每个级别需要达到什么保护措施59基本要求（GB/T22239-2008）信息系统安全等级保护基本要求60<基本要求>-标准背景03年，27号文件进一步明确信息安全等级保护制度04年，66号文件要求“尽快制定、完善法律法规和标准体系”编制历程04年10月，接受公安部的标准编制任务05年6月，完成初稿，广泛征求安全领域专家和行业用户意见；05年10月，征求意见稿第一稿，国信办、安标委评审05年11月，征求意见稿第三稿06年6月，试点工作07年04月，征求意见稿第四稿，安标委专家评审07年05月，形成报批稿08年6月19日，正式发布，08年11月1日正式实施。61<基本要求>-标准定位GB17859-1999的细化和发展吸收安全机制并扩展到不同层面增加安全管理方面的内容借鉴PDR、CMM、17799关注可操作性最佳实践当前技术的发展机制要求（目标/要求）62信息系统安全等级保护基本要求计算机信息系统安全保护等级划分准则（GB17859）信息系统通用安全技术要求信息系统物理安全技术要求技术类其他技术类标准信息系统安全管理要求信息系统安全工程管理要求其他管理类标准信息系统安全等级保护定级指南信息系统安全等级保护基本要求的行业细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求管理类产品类数据库管理系统安全技术要求其他产品类标准信息系统安全等级保护行业定级细则操作系统安全技术要求信息系统安全等级保护建设整改网络基础安全技术要求网络和终端设备隔离部件技术要求安全定级基本要求状态分析方法指导信息系统安全等级保护实施指南63基本要求地位63<基本要求>-与其他标准的关系GB17859-1999是基础性标准，《基本要求》17859基础上的进一步细化和扩展。《定级指南》确定出系统等级以及业务信息安全性等级和业务服务保证性等级后，需要按照相应等级，根据《基本要求》选择相应等级的安全保护要求进行系统建设实施。《测评要求》是依据《基本要求》检验系统的各项保护措施是否达到相应等级的基本要求所规定的保护能力。64<基本要求>-标准适用范围用户范围信息系统的主管部门及运营使用单位测评机构安全服务机构（系统集成商，软件开发商）信息安全监管职能部门适用环节需求分析方案设计、系统建设与验收运行维护、等级测评、自查65<