信息系統(tǒng)安全等級保護講義課件

信息系統(tǒng)安全等級保護

講義內容安全等級保護概述安全等級保護定級原理安全等級保護定級方法安全等級保護定級管理安全等級保護技術和管理要求原因發(fā)展史1994年，國務院頒布《計算機信息系統(tǒng)安全保護條例》（147號令）第九條計算機信息系統(tǒng)實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定。1999年9月13日，頒布《計算機信息系統(tǒng)安全保護等級劃分準則》（GB/T17859-1999)，于2000年開始實施，它是我國計算機信息系統(tǒng)安全保護等級工作的基礎。2003年，《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）：明確提出“實行信息安全等級保護”。發(fā)展史2004年，全國信息安全保障工作會議：專門將信息安全等級保護工作作為信息安全保障工作的一項重要任務來部署。2004年9月，公安部、保密局、密碼管理局、國信辦聯合出臺了《關于信息安全等級保護工作的實施意見》（公通字[2004]66號）：明確了信息安全等級保護制度的原則和基本內容，以及信息安全等級保護工作的職責分工、工作實施的要求等。2007年，公安部、保密局、密碼管理局、國信辦聯合制定了《信息安全等級保護管理辦法》，標志著我國等級保護制度的初步形成定級范圍運營商和服務提供商電信、廣電行業(yè)的公用通信網、廣播電視傳輸網等基礎信息網絡，經營性公眾互聯網信息服務單位、互聯網接入服務單位、數據中心等單位的重要信息系統(tǒng)。重要行業(yè)鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、統(tǒng)計、工商行政管理、郵政等行業(yè)、部門的生產、調度、管理、辦公等重要信息系統(tǒng)。重要機關市（地）級以上黨政機關的重要網站和辦公信息系統(tǒng)。涉密系統(tǒng)涉及國家秘密的信息系統(tǒng)。政策法規(guī)《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務院147號令）《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號文件），中辦、國辦《關于信息安全等級保護工作的實施意見》（公通字[2004]66號文件）公安部、保密局、國密辦以及國信辦《信息系統(tǒng)安全等級保護基本要求》（標準GB/T22239-2008）《信息系統(tǒng)安全等級保護定級指南》（標準GB/T22240-2008）《信息系統(tǒng)安全等級保護實施指南》（標準GB/T25058-2010）《信息系統(tǒng)安全等級保護測評準則》（報批稿）《信息安全等級保護管理辦法》（公通字[2007]43號文件），公安部、保密局、國密辦以及國信辦《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安[2007]861號文件），公安部、保密局、國密辦以及國信辦國家標準《信息技術詞匯》第8部分：安全（GB/T5271.8）《信息技術計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）《信息技術信息技術安全性評估準則》（GB/T18336-2000）《信息技術信息安全管理實用規(guī)則[》（GB/T19716-2005）《信息技術信息系統(tǒng)通用安全技術要求》（GB/T20271-2006）《信息技術網絡基礎安全技術要求》（GB/T20270-2006）《信息技術操作系統(tǒng)安全技術要求》（GB/T20272-2006）《信息技術數據庫管理系統(tǒng)安全技術要求》（GB/T20273-2006）《信息技術服務器技術要求》（GB/T21028-2007）《信息技術終端計算機系統(tǒng)安全等級技術要求》（GA/T671-2006）《信息技術信息系統(tǒng)安全管理要求》（GB/T20269-2006）《信息技術信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）其他國家標準內容安全等級保護概述安全等級保護定級原理安全等級保護定級方法安全等級保護定級管理安全等級保護技術和管理要求等級劃分第一級（自主保護級）信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。第二級（指導保護級）信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級（監(jiān)督保護級）信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。第四級（強制保護級）信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。第五級（?？乇Ｗo級）信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。第五級第四級第三級第二級定級監(jiān)管部門第一級單位自主公安部門公安部門和國密部門國密部門？定級要素受侵害的客體——等級保護對象受到破壞時所侵害的客體包括以下三個方面：公民、法人和其他組織的合法權益；社會秩序、公共利益；國家安全。對客體的侵害程度——對客體的侵害程度由客觀方面的不同外在表現綜合決定，表現為對等級保護對象的破壞，通過危害方式、危害后果和危害程度加以描述。侵害程度歸結為以下三種：造成一般損害；造成嚴重損害；造成特別嚴重損害。等級、定級要素、監(jiān)管關系等級受侵害客體侵害程度監(jiān)管強度第一級公民、法人和其他組織的合法權益一般損害自主保護第二級公民、法人和其他組織的合法權益嚴重損害、特別嚴重損害指導保護社會秩序和公共利益嚴重損害第三級社會秩序和公共利益嚴重損害監(jiān)督保護國家安全一般損害第四級社會秩序和公共利益特別嚴重損害強制保護國家安全嚴重損害第五級國家安全特別嚴重損害?？乇Ｗo內容安全等級保護概述安全等級保護定級原理安全等級保護定級方法安全等級保護定級管理安全等級保護技術和管理要求確定安全對象業(yè)務信息安全保護等級從業(yè)務信息安全角度反映的信息系統(tǒng)安全保護等級稱業(yè)務信息安全保護等級。以業(yè)務為主題，如不同應用系統(tǒng)系統(tǒng)服務安全保護等級從系統(tǒng)服務安全角度反映的信息系統(tǒng)安全保護等級稱系統(tǒng)服務安全保護等級。以服務為主題，如不同子網、數據中心確定定級對象（流程1）具有唯一確定的安全責任單位（一個單位）這種定級對象是能夠唯一地確定其安全責任單位。如果一個單位的某個下級單位負責信息系統(tǒng)安全建設、運行維護等過程的全部安全責任，則這個下級單位可以成為信息系統(tǒng)的安全責任單位；如果一個單位中的不同下級單位分別承擔信息系統(tǒng)不同方面的安全責任，則該信息系統(tǒng)的安全責任單位應是這些下級單位共同所屬的單位。具有信息系統(tǒng)的基本要素（一個系統(tǒng)）這種定級對象是由相關的和配套的設備、設施按照一定的應用目標和規(guī)則組合而成的有形實體。應避免將某個單一的系統(tǒng)組件，如服務器、終端、網絡設備等作為定級對象。承載相對獨立的業(yè)務應用（一種應用）這種定級對象是指其業(yè)務應用的主要業(yè)務流程獨立，同時與其他業(yè)務應用有一定的數據交換，定級對象可能會與其他業(yè)務應用共享一些設備，尤其是網絡傳輸設備。確定受侵害的客體（流程2、5）A-侵害國家安全影響國家政權穩(wěn)固和國防實力；影響國家統(tǒng)一、民族團結和社會安定；影響國家對外活動中的政治、經濟利益；影響國家重要的安全保衛(wèi)工作；其他影響國家安全的事項。B1-侵害社會秩序影響國家機關社會管理和公共服務的工作秩序；影響各種類型的經濟活動秩序；影響各行業(yè)的科研、生產活動秩序；影響公眾在法律約束和道德規(guī)范下的正常生活秩序等；其他影響社會秩序的事項。B2-影響公共利益影響社會成員使用公共設施；影響社會成員獲取公開信息資源；影響社會成員接受公共服務等方面；其他影響公共利益的事項。C-影響公民、法人和其他組織的合法權益指由法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權利和利益。確定對客體的侵害程度（流程3、6）一般損害工作職能受到局部影響，業(yè)務能力有所降低但不影響主要功能的執(zhí)行，出現較輕的法律問題，較低的財產損失，有限的社會不良影響，對其他組織和個人造成較低損害。嚴重損害工作職能受到嚴重影響，業(yè)務能力顯著下降且嚴重影響主要功能執(zhí)行，出現較嚴重的法律問題，較高的財產損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴重損害。特別嚴重損害工作職能受到特別嚴重影響或喪失行使能力，業(yè)務能力嚴重下降且或功能無法執(zhí)行，出現極其嚴重的法律問題，極高的財產損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴重損害。確定定級對象的安保等級（流程4、7）業(yè)務信息安全保護等級矩陣表系統(tǒng)服務安全保護等級矩陣表表A-業(yè)務信息安全保護等級矩陣表業(yè)務信息安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級定級監(jiān)督管理第一級信息系統(tǒng)運營、使用單位應當依據國家有關管理規(guī)范和技術標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行備案。第二級信息系統(tǒng)運營、使用單位應當依據國家有關管理規(guī)范和技術標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導。第三級信息系統(tǒng)運營、使用單位應當依據國家有關管理規(guī)范和技術標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查。第四級信息系統(tǒng)運營、使用單位應當依據國家有關管理規(guī)范、技術標準和業(yè)務專門需求進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。第五級信息系統(tǒng)運營、使用單位應當依據國家管理規(guī)范、技術標準和業(yè)務特殊安全需求進行保護。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、檢查。等級測評與自查第三方測評運營、使用單位或者其主管部門應當選擇符合規(guī)定條件的測評機構，依據《信息系統(tǒng)安全等級保護測評要求》等技術標準，定期對信息系統(tǒng)安全等級狀況開展等級測評。測評周期第三級：每年至少一次第四級：每半年至少一次第五級：應當依據特殊安全需求進行等級測評。自查信息系統(tǒng)運營、使用單位及其主管部門應當定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查。自查周期第三級：每年至少一次第四級：每半年至少一次第五級：應當依據特殊安全需求進行自查。定級申報材料編寫《信息系統(tǒng)安全等級保護定級報告》填寫《信息系統(tǒng)安全等級保護備案表》第三級以上信息系統(tǒng)應當同時提供以下材料：系統(tǒng)拓撲結構及說明；系統(tǒng)安全組織機構和管理制度；系統(tǒng)安全保護設施設計實施方案或者改建實施方案；系統(tǒng)使用的信息安全產品清單及其認證、銷售許可證明；測評后符合系統(tǒng)安全保護等級的技術檢測評估報告；信息系統(tǒng)安全保護等級專家評審意見；主管部門審核批準信息系統(tǒng)安全保護等級的意見?！缎畔⑾到y(tǒng)安全等級保護定級報告》一、XXX信息系統(tǒng)描述簡述確定該系統(tǒng)為定級對象的理由：1.描述承擔信息系統(tǒng)安全責任的相關單位或部門，說明本單位或部門對信息系統(tǒng)具有信息安全保護責任，該系統(tǒng)為本單位或部門的定級對象；2.定級對象具有的信息系統(tǒng)基本要素，描述基本要素、系統(tǒng)網絡結構、系統(tǒng)邊界和邊界設備；3.定級對象是否承載著單一或相對獨立的業(yè)務，業(yè)務情況描述。二、XXX信息系統(tǒng)安全保護等級確定（一）業(yè)務信息安全保護等級的確定：1、業(yè)務信息描述、2、業(yè)務信息受到破壞時所侵害客體的確定、3、信息受到破壞后對侵害客體的侵害程度的確定、4、業(yè)務信息安全等級的確定（二）系統(tǒng)服務安全保護等級的確定：1、系統(tǒng)服務描述、2、系統(tǒng)服務受到破壞時所侵害客體的確定、3、系統(tǒng)服務受到破壞后對侵害客體的侵害程度的確定、4、系統(tǒng)服務安全等級的確定（三）整體安全保護等級的確定：由業(yè)務信息安全等級和系統(tǒng)服務安全等級較高者決定，最終確定該系統(tǒng)的安全保護等級。信息系統(tǒng)名稱安全保護等級業(yè)務信息安全等級系統(tǒng)服務安全等級XXX信息系統(tǒng)XXX信息系統(tǒng)安全等級保護備案表

涉及國家秘密的信息系統(tǒng)分級保護備案表內容安全等級保護概述安全等級保護定級原理安全等級保護定級方法安全等級保護定級管理安全等級保護技術和管理要求安全保護能力總體要求第一級安全保護能力應能夠防護系統(tǒng)免受來自個人的、擁有很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災難、以及其他相當危害程度的威脅所造成的關鍵資源損害。在系統(tǒng)遭到損害后，能夠恢復部分功能。第二級安全保護能力應能夠防護系統(tǒng)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災難、以及其他相當危害程度的威脅所造成的重要資源損害，能夠發(fā)現重要的安全漏洞和安全事件。在系統(tǒng)遭到損害后，能夠在一段時間內恢復部分功能。第三級安全保護能力應能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自外部有組織的團體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴重的自然災難、以及其他相當危害程度的威脅所造成的主要資源損害，能夠發(fā)現安全漏洞和安全事件在系統(tǒng)遭到損害后，能夠較快恢復絕大部分功能。第四級安全保護能力應能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴重的自然災難、以及其他相當危害程度的威脅所造成的資源損害，能夠發(fā)現安全漏洞和安全事件。在系統(tǒng)遭到損害后，能夠迅速恢復所有功能。第五級安全保護能力（略）由國家指定部門或機構確定?；景踩蠼Y構某級系統(tǒng)物理安全技術要求管理要求基本要求網絡安全主機安全應用安全數據安全安全管理機構安全管理制度人員安全管理系統(tǒng)建設管理系統(tǒng)運維管理基本技術要求的三種類型類型第一級基本技術要求物理安全物理訪問控制（G1）、防盜竊和防破壞（G1）、防雷擊（G1）、防火（G1）、防水和防潮（G1）、溫濕度控制（G1）、電力供應（A1）網絡安全結構安全（G1）、訪問控制（G1）、設備防護（G1）主機安全身份鑒別（S1）、訪問控制（S1）、入侵防范（G1）、惡意代碼防范（G1）應用安全身份鑒別（S1）、訪問控制（S1）、通信完整性（S1）、軟件容錯（A1）、數據安全及備份恢復、數據完整性（S1）、備份和恢復（A1）第一級基本管理要求安全管理制度管理制度（G1）、制定和發(fā)布（G1）安全管理機構崗位設置（G1）、人員配備（G1）、授權和審批（G1）、溝通和合作（G1）人員安全管理人員錄用（G1）、人員離崗（G1）、安全意識教育和培訓（G1）、外部人員訪問管理（G1）系統(tǒng)建設管理系統(tǒng)定級（G1）、安全方案設計（G1）、產品采購和使用（G1）、自行軟件開發(fā)（G1）、外包軟件開發(fā)（G1）、工程實施（G1）、測試驗收（G1）、系統(tǒng)交付（G1）、安全服務商選擇（G1）系統(tǒng)運維管理環(huán)境管理（G1）、資產管理（G1）、設備管理（G1）、網絡安全管理（G1）、系統(tǒng)安全管理（G1）、惡意代碼防范管理（G1）、備份與恢復管理（G1）、安全事件處置（G1）第二級基本技術要求物理安全物理位置的選擇（G2）、物理訪問控制（G2）、防盜竊和防破壞（G2）、防雷擊（G2）、防火（G2） 、防水和防潮（G2） 、防靜電（G2） 、溫濕度控制（G2）、電力供應（A2）、電磁防護（S2）網絡安全結構安全（G2）、訪問控制（G2） 、安全審計（G2）、邊界完整性檢查（S2）、入侵防范（G2）、網絡設備防護（G2）主機安全身份鑒別（S2）、訪問控制（S2）、安全審計（G2）、入侵防范（G2） 、惡意代碼防范（G2）、資源控制（A2）應用安全身份鑒別（S2）、訪問控制（S2）、安全審計（G2）、通信完整性（S2） 、通信保密性（S2）、軟件容錯（A2）、資源控制（A2）數據安全及備份恢復數據完整性（S2）、數據保密性（S2）、備份和恢復（A2）第二級基本管理要求安全管理制度管理制度（G2）、制定和發(fā)布（G2）、評審和修訂（G2）安全管理機構崗位設置（G2）、人員配備（G2、授權和審批（G2）、溝通和合作（G2）、審核和檢查（G2）人員安全管理人員錄用（G2）、人員離崗（G2）、人員考核（G2）、安全意識教育和培訓（G2）、外部人員訪問管理（G2）系統(tǒng)建設管理系統(tǒng)定級（G2）、安全方案設計（G2）、產品采購和使用（G2） 、自行軟件開發(fā)（G2）、外包軟件開發(fā)（G2）、工程實施（G2）、測試驗收（G2）、系統(tǒng)交付（G2）、安全服務商選擇（G2）系統(tǒng)運維管理環(huán)境管理（G2）、資產管理（G2）、介質管理（G2、設備管理（G2）、網絡安全管理（G2）、系統(tǒng)安全管理（G2）、惡意代碼防范管理（G2）、密碼管理（G2）、變更管理（G2）、備份與恢復管理（G2）、安全事件處置（G2）、應急預案管理（G2）第三級基本技術要求物理安全物理位置的選擇（G3）、物理訪問控制（G3）、防盜竊和防破壞（G3）、防雷擊（G3）、防火（G3）、防水和防潮（G3）、防靜電（G3）、溫濕度控制（G3）、電力供應（A3）、電磁防護（S3）網絡安全結構安全（G3）、訪問控制（G3）、安全審計（G3）、邊界完整性檢查（S3）、入侵防范（G3）、惡意代碼防范（G3）、網絡設備防護（G3）主機安全身份鑒別（S3）、訪問控制（S3）、安全審計（G3）、剩余信息保護（S3）、入侵防范（G3）、惡意代碼防范（G3）、資源控制（A3）應用安全身份鑒別（S3）、訪問控制（S3）、安全審計（G3）、剩余信息保護（S3）、通信完整性（S3）、通信保密性（S3、抗抵賴（G3）、軟件容錯（A3）、資源控制（A3）、數據安全及備份恢復數據完整性（S3）、數據保密性（S3）、備份和恢復（A3）第三級基本管理要求安全管理制度管理制度（G3）、制定和發(fā)布（G3）、評審和修訂（G3）安全管理機構崗位設置（G3）、人員配備（G3）、授權和審批（G3）、溝通和合作（G3）、審核和檢查（G3） 人員安全管理人員錄用（G3）、人員離崗（G3）、人員考核（G3）、安全意識教育和培訓（G3）、外部人員訪問管理（G3）系統(tǒng)建設管理系統(tǒng)定級（G3）、安全方案設計（G3）、產品采購和使用（G3）、自行軟件開發(fā)（G3）、外包軟件開發(fā)（G3）、工程實施（G3）、測試驗收（G3）、系統(tǒng)交付（G3）、系統(tǒng)備案（G3）、等級測評（G3）、安全服務商選擇（G3）系統(tǒng)運維管理環(huán)境管理（G3）、資產管理（G3）、介質管理（G3）、設備管理（G3）、監(jiān)控管理和安全管理中心（G3）、網絡安全管理（G3）、系統(tǒng)安全管理（G3）、惡意代碼防范管理（G3）、密碼管理（G3）、變更管理（G3）、備份與恢復管理（G3）、安全事件處置（G3）、應急預案管理（G3）第四級基本技術要求物理安全物理位置的選擇（G4）、物理訪問控制（G4）、防盜竊和防破壞（G4）、防雷擊（G4）、防火（G4）、防水和防潮（G4）、防靜電（G4）、溫濕度控制（G4）、電力供應（A4）、電磁防護（S4）網絡安全結構安全（G4）、訪問控制（G4）、安全審計（G4）、邊界完整性檢查（S4、入侵防范（G4）、惡意代碼防范（G4）、網絡設備防護（G4）主機安全身份鑒別（S4）、安全標記（S4）、訪問控制（S4）、可信路徑（S4）、安全審計（G4）、剩余信息保護（S4）、入侵防范（G4）、惡意代碼防范（G4）、資源控制（A4）應用安全身份鑒別（S4）、安全標記（S4）、訪問控制（S4）、可信路徑（S4）、安全審計（G4）、剩余信息保護（S4）、通信完整性（S4）、通信保密性（S4）、抗抵賴（G4）、軟件容錯（A4）、資源控制（A4）