《信息安全等级保护(PPT-112).ppt》由会员分享,可在线阅读,更多相关《信息安全等级保护(PPT-112).ppt(112页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全等级保护信息安全等级保护福建省网络与信息安全测评中心康仲生一、信息安全等级保护工作概述一、信息安全等级保护工作概述 (一)开展信息安全等级保护工作的政策和法律依据。1994年,中华人民共和国计算机信息系统安全保护条例(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。1995年2月18日人大12次会议通过并实施的中华人民共和国警察法第二章第六条第十二款规定,公安机关人民警察依法履行“监督管理计算机信息系统的安全保护工作”。法律依据。1999年,强制性国家标准计算机信息系统安全保护等级划分准则GB 17859
2、)。(一)开展信息安全等级保护工作的政策和法律依据。2003年,中办、国办转发的国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2004年,公安部、国家保密局、国家密码管理局、国信办联合印发了关于信息安全等级保护工作的实施意见(66号文件)2007年6月,公安部、国家保密局、国家密码管理局、国信办联合制定了信息安全等级保护管理办法(公通字200743号)(二)近年来信息安全等级保护工作
3、进展(二)近年来信息安全等级保护工作进展一是制定了50多个国标和行标,初步形成了信息安全等级保护标准体系二是开展了等级保护基础调查工作三是开展了等级保护试点工作四是出台了66号文、43号文、861号文等政策文件。五是召开“全国重要信息系统安全等级保护定级工作电 视电话会议”六是成立“国家信息安全等级保护协调小组”(三)开展信息安全等级保护工作的重要意义(三)开展信息安全等级保护工作的重要意义 信息安全等级保护制度是国家信息安全保障的基本制度、基信息安全等级保护制度是国家信息安全保障的基本制度、基本策略、基本方法本策略、基本方法 ;是当今发达国家的通行做法,也是我国多;是当今发达国家的通行做法,
4、也是我国多年来信息安全工作经验的总结年来信息安全工作经验的总结 。开展信息安全等级保护工作:有利于同步建设开展信息安全等级保护工作:有利于同步建设 ;有利于指;有利于指导和服务;有利于保障重点;有利于明确责任导和服务;有利于保障重点;有利于明确责任 ;有利于产业发;有利于产业发展展(四)开展等级保护工作的总体要求(四)开展等级保护工作的总体要求 1 1、各基础信息网络和重要信息系统,按照、各基础信息网络和重要信息系统,按照“准确定级、严格准确定级、严格审批、及时备案、认真整改、科学测评审批、及时备案、认真整改、科学测评”的要求完成等级保护的要求完成等级保护的的定级、备案、整改、定级、备案、整改
5、、测评等工作测评等工作 。2 2、公安机关和保密、密码工作部门要及时开展监督检查,严、公安机关和保密、密码工作部门要及时开展监督检查,严格审查信息系统所定级别,严格检查信息系统开展备案、整改、格审查信息系统所定级别,严格检查信息系统开展备案、整改、测评等工作。测评等工作。3 3、对故意将信息系统安全级别定低,逃避公安、保密、密码、对故意将信息系统安全级别定低,逃避公安、保密、密码部门监管,造成信息系统出现重大安全事故的,要追究单位和部门监管,造成信息系统出现重大安全事故的,要追究单位和人员的责任。人员的责任。二、明确各方责任义务(一)、(一)、管理办法管理办法中第二条明确了国家的责任中第二条明
6、确了国家的责任 国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。信息安全监管部门包括公安机关、保密部门、国家密码工作部门。信息安全监管部门代表国家制定等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。(二)、(二)、管理办法管理办法第三条明确了信息安全监管部门第三条明确了信息安全监管部门的职责的职责 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门
7、负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。(三)、(三)、管理办法管理办法中第四条、第五条分别明确了中第四条、第五条分别明确了信息系统主管部门和运营使用单位的责任义务信息系统主管部门和运营使用单位的责任义务 信息系统主管部门应当依照管理办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。信息系统的运营、使用单位应当依照管理办法及其相关标准规范,履行信息安全等级保护的义务和责任。
8、(四)、公民、法人和其他组织的责任义务(四)、公民、法人和其他组织的责任义务 公民、法人和其他组织应当按照国家有关等级保护的管理规范和技术标准开展等级保护工作,服从国家对信息安全等级保护工作的监督、指导,保障信息系统安全。信息安全产品的研制、生产单位,信息系统的集成、等级测评、风险评估等安全服务机构,依据国家有关管理规定和技术标准,开展相应工作,并接受国家信息安全职能部门的监督管理。三、信息系统安全保护等级的划分与保护1、运营使用单位和主管部门是信息系统安全的第一责任人,对所属信息系统安全负有直接责任。2、公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导,对重要
9、信息系统安全负监管责任。(一)(一)“自主定级、自主保护自主定级、自主保护”与国家监管与国家监管(二)信息系统安全保护等级的定级要素(二)信息系统安全保护等级的定级要素受侵害的客体:一是公民、法人和其他组织的合法权益;二是社会秩序、公共利益;三是国家安全。对客体的侵害程度:一是造成一般损害;二是造成严重损害;三是造成特别严重损害。(三)信息系统安全保护等级(三)信息系统安全保护等级(四)五级保护和监管(四)五级保护和监管 管理办法第八条规定,信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。四、信息系统安全保护等级的
10、确定四、信息系统安全保护等级的确定与实施与实施(一)定级范围(一)定级范围一是电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。二是国家重要行业、领域的重要信息系统。三是市(地)级以上党政机关的重要网站和办公信息系统。四是涉及国家秘密的信息系统。电信基础信息网络也是重要信息系统电信基础信息网络也是重要信息系统(二)、系统定级定级是等级保护工作的首要环节,是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。信息系统安全级别定不准,系统建设、整改、备案、等级测评等后续工作都失去了针对性。需要特别
11、说明的是:信息系统的安全保护等级是信息系统的客观属性,不以已采取或将采取什么安全保护措施为依据,也不以风险评估为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全等级。定级工作的步骤定级工作的步骤:第一步:摸底调查,掌握信息系统底数。第一步:摸底调查,掌握信息系统底数。(信息系统的业务类型、应用或服务范(信息系统的业务类型、应用或服务范围、系统结构基本情况)围、系统结构基本情况)第二步:确定定级对象第二步:确定定级对象第三步:初步确定信息系统等级第三步:初步确定信息系统等级定级的一般流程:定级的一般流程:信息系统安全包括业
12、务信息安全和系统服务安全。信息安全是指确保信息系统内信息的保密性、完整性和可用性等,系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全等级。由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。定级基本流程13、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体
13、的侵害程度5、确定系统服务安全受到破坏时所侵害的客体7、系统服务安全保护等级4、业务信息安全保护等级8、定级对象的安全保护等级1、确定定级对象一、定级对象的三个条件具有唯一确定的安全责任单位作为定级对象的信息系统应能够唯一地确定其安全责任单位,这个安全责任单位就是负责等级保护工作部署、实施的单位,也是完成等级保护备案和接受监督检查的直接责任单位。满足信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如单台的服务器、终端或网络设备等作为定级对象。定级阶段-关于定级对象确定关于定级对象确定承载相对独立的业
14、务应用定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流程、部分业务功能独立,同时与其他信息系统的业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程,可以是完整的业务流程的一部分。定级阶段-关于定级对象确定关于定级对象确定定级阶段-定级对象举例某期货交易所某期货交易所办公系统办公系统生产系统生产系统交易系统交易系统清算系统清算系统网站系统网站系统定级阶段-定级对象举例定级对象结果定级对象结果1办公信息系统办公信息系统生产信息系统生产信息系统定级对象结果定级对象结果2办公信息系统办公信息系统
15、生产信息系统生产信息系统交易信息系统交易信息系统清算信息系统清算信息系统网站信息系统网站信息系统定级阶段-定级对象举例证券公司集中交易系统证券公司集中交易系统公司总部公司总部各个营业部各个营业部数据中心数据中心柜台委托柜台委托自助委托自助委托电话委托电话委托网上委托网上委托定级阶段-定级对象举例交易系统交易系统行情系统行情系统清算系统清算系统客户管理系统客户管理系统等等定级阶段-定级对象举例定级对象结果定级对象结果1总部信息系统总部信息系统营业部信息系统营业部信息系统定级对象结果定级对象结果2总部总部数据中心系统数据中心系统(平台平台)外部委托系统外部委托系统(平台平台)营业部营业部外部委托系
16、统外部委托系统(平台平台)定级阶段-定级对象举例定级对象结果定级对象结果3总部总部交易系统交易系统行情系统行情系统清算系统清算系统客户管理系统客户管理系统营业部营业部交易系统交易系统行情系统行情系统客户管理系统客户管理系统定级阶段-定级对象举例某电力集团公司某电力集团公司公司本部公司本部供电局供电局(分公司分公司)电力调度系统电力调度系统综合信息系统综合信息系统定级阶段-定级对象举例骨干网骨干网城域网城域网数据中心局域网数据中心局域网大楼用户局域网大楼用户局域网供电所局域网供电所局域网三产公司局域网三产公司局域网等等定级阶段-定级对象举例电力营销系统电力营销系统生产管理系统生产管理系统工程管理
17、系统工程管理系统物资管理系统物资管理系统财务管理系统财务管理系统OA系统系统EAI/EIP系统系统等等定级阶段-定级对象举例定级对象结果定级对象结果1本部信息系统本部信息系统供电局信息系统供电局信息系统定级对象结果定级对象结果2本部本部电力调度系统电力调度系统综合信息系统综合信息系统营业部营业部电力调度系统电力调度系统综合信息系统综合信息系统定级阶段-定级对象举例定级对象结果定级对象结果3本部本部数据中心系统数据中心系统用户局域网系统用户局域网系统骨干网系统骨干网系统供电局供电局数据中心系统数据中心系统用户局域网系统用户局域网系统城域网系统城域网系统定级阶段-定级对象举例定级对象结果定级对象结
18、果4电力营销系统电力营销系统生产管理系统生产管理系统工程管理系统工程管理系统物资管理系统物资管理系统财务管理系统财务管理系统OA系统系统EAI/EIP系统系统定级阶段-定级对象举例定级对象举例信息系统划分的一些常见方法 例如对内服务与对外运营的业务系统,对内服务的办公系统,一般来说其中的信息和提供的服务是面向本单位的,涉及到的等级保护客体一般是本单位,而对外运营的业务系统往往关系到其他单位、个人或面向社会,因此这两类业务可能涉及不同的客体,可能具有不同的安全保护等级,可以考虑划分为不同的信息系统。又比如处理涉及国家秘密信息的信息系统与处理一般单位敏感信息的信息系统应分开。例如全国大集中系统数据
19、中心的数据量和服务范围都远大于各省级节点和市级节点,其受到破坏后的损害程度和影响范围也有很大差别,可能具有不同的安全等级,可以考虑划分为不同的信息系统。一般单位的信息系统建设和网络布局,一般都会或多或少考虑系统的特点、业务重要性及不同系统之间的关系,进行信息系统的等级划分应尽可能以现有网络条件为基础进行划分,以免引起不必要的网络改造和建设工作,影响原有系统的业务运行。有些信息系统中不同业务的重要程度虽然会有所差异,但是由于业务之间联系紧密,不容易拆分,可以作为一个信息系统按照同样级别保护。但是,如果其中某一个业务面临风险或威胁较大,比如与互联网相连,可能会影响到其它的业务,就应当将其从该信息系
20、统中分离出来,单独作为一个信息系统而实施保护。系统边界不应出现在服务器内部,服务器共用的系统边界不应出现在服务器内部,服务器共用的系统一般归入同一个信息系统,因此不同信息系系统一般归入同一个信息系统,因此不同信息系统的共用设备一般是网络统的共用设备一般是网络/边界设备或终端设备。边界设备或终端设备。两个信息系统边界存在共用设备时,共用设备的两个信息系统边界存在共用设备时,共用设备的安全保护等级按两个信息系统安全保护等级较高安全保护等级按两个信息系统安全保护等级较高者确定。者确定。例如,一个例如,一个2级系统和一个级系统和一个3级系统之间有一个防级系统之间有一个防火墙或两个系统共用一个核心交换机
21、,此时防火火墙或两个系统共用一个核心交换机,此时防火墙和交换机可以作为两个系统的边界设备,但应墙和交换机可以作为两个系统的边界设备,但应满足满足3级系统的要求。级系统的要求。定级阶段-关于系统边界关于系统边界信息系统的管理终端是与相应被管理设备相对应信息系统的管理终端是与相应被管理设备相对应的,服务器、网络设备及安全设备等属于哪个系的,服务器、网络设备及安全设备等属于哪个系统,终端就应归在哪个信息系统中。统,终端就应归在哪个信息系统中。如果无法做到不同等级的信息系统使用不同的终如果无法做到不同等级的信息系统使用不同的终端设备,则应将终端设备划分为其他的信息系统,端设备,则应将终端设备划分为其他
22、的信息系统,并在服务器与内部用户终端之间建立边界保护,并在服务器与内部用户终端之间建立边界保护,对终端通过身份鉴别和访问控制等措施加以控制。对终端通过身份鉴别和访问控制等措施加以控制。处理涉密信息的终端必须划分到相应的信息系统处理涉密信息的终端必须划分到相应的信息系统中,且不能与非涉密系统共用终端。中,且不能与非涉密系统共用终端。定级阶段-关于系统边界关于系统边界业务信息业务信息业务系统业务系统处理处理的的不同类型的不同类型的数据数据系统服务系统服务业务系统的服务范围业务系统的服务范围业务系统的服务对象业务系统的服务对象业务系统的服务人数业务系统的服务人数业务系统的服务时间要求业务系统的服务时
23、间要求定级阶段-关于业务信息和系统服务的确定关于业务信息和系统服务的确定三种受侵害的客体三种受侵害的客体:国家安全国家安全体现了国家层面、与全局相关的国家政治安全、军事体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全等方面利益。安全、经济安全、社会安全、科技安全等方面利益。社会秩序和公共利益社会秩序和公共利益包括政治、经济、生产、生活、科研、工作等各方面包括政治、经济、生产、生活、科研、工作等各方面的正常秩序和社会公众生产、生活、教育、卫生等方的正常秩序和社会公众生产、生活、教育、卫生等方面的利益。面的利益。合法权益合法权益是法律确认的并受法律保护的公民、法人和
24、其他组织是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益,所享有的一定的社会权利和利益,定级阶段-关于侵害客体和侵害程度关于侵害客体和侵害程度关于国家安全关于国家安全重要的国家事务处理系统、国防工业生产系统重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等;广播、电视、网络和国防设施的控制系统等;广播、电视、网络等等重要新闻媒体的发布或播出系统重要新闻媒体的发布或播出系统,其受到非,其受到非法控制可能引发影响国家统一、民族团结和社法控制可能引发影响国家统一、民族团结和社会安定的重大事件;尖端科技领域的研发、生会安定的重大事件;尖端科技领域的研发、生产系统等
25、产系统等影响国家经济竞争力和科技实力的信影响国家经济竞争力和科技实力的信息系统息系统,以及电力、通信、能源、交通运输、,以及电力、通信、能源、交通运输、金融等金融等国家重要基础设施的生产、控制、管理国家重要基础设施的生产、控制、管理系统系统等。等。定级阶段-关于侵害客体和侵害程度关于侵害客体和侵害程度关于社会秩序关于社会秩序各级政府机构的社会管理和公共服务系统,各级政府机构的社会管理和公共服务系统,如财政、金融、工商、税务、公检法、海关、如财政、金融、工商、税务、公检法、海关、社保等领域的信息系统,也包括教育、科研社保等领域的信息系统,也包括教育、科研机构的工作系统,以及所有为公众提供医疗机构
26、的工作系统,以及所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统。服务的生产系统或管理系统。定级阶段-关于侵害客体和侵害程度关于侵害客体和侵害程度关于公共利益关于公共利益借助信息化手段为社会成员提供使用的公共借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方面,例如:公共理控制都应当是要考虑的方面,例如:公共通信设施、公共卫生设施、公共休闲娱乐设通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施、公共服务设施等。施、公共管理设施、公共
27、服务设施等。公共利益与社会秩序密切相关,社会秩序的公共利益与社会秩序密切相关,社会秩序的破坏一般会造成对公共利益的损害。破坏一般会造成对公共利益的损害。定级阶段-关于侵害客体和侵害程度关于侵害客体和侵害程度 定级指南中指出“各行业可根据本行业业务特点,分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系,从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。”各行业的不同类型的系统,系统遭受破坏的程度造成的主要关注点不相同,例如银行系统一般关注业务能力下降的影响,党政系统主要关注管理职能的履行等。行业主管部门通过梳理本行业信息系统的现状,通过对
28、这些不同类型、不同程度后果的定量、半定量描述,给出对等级保护客体一般损害、严重损害和特别严重损害的指导性意见,以便本行业的信息系统运营使用单位可以参照执行,确定本单位信息系统的安全保护等级,只有这样,一个行业内确定的安全保护等级才具有较好的一致性。定级阶段定级阶段-关于侵害客体和侵害程度关于侵害客体和侵害程度关于侵害客体和侵害程度关于侵害客体和侵害程度关于危害后果关于危害后果影响行使工作职能,工作职能包括国家管理职能、公共管理职能、公共服务职能等国家或社会方面的职能。导致业务能力下降,下降的表现形式可能包括业务范围的减少、业务处理性能的下降、可服务的用户数量的下降以及其他各种业务指标的下降,每
29、个行业务都有本行业关注的业务指标。例如电力行业关注发电量和用电量,税务行业关注税费收入,银行业关注存款额、贷款额、交易量等,证券经纪行业关注股民数和交易额。定级阶段-关于行业定级指导意见关于行业定级指导意见关于危害后果引起法律纠纷是比较严重的影响,在较轻的程度时可能表现为投诉、索赔、媒体曝光等形式。导致财产损失,包括系统资产被破坏的直接损失、业务量下降带来的损失、直接的资金损失、为客户索赔所支付的资金等,以及由于信誉下降、单位形象降低、客户关系损失等导致的间接经济损失。直接造成人员伤亡,例如医疗服务系统,公安行业的某些系统等。造成社会不良影响,包括在社会风气、执政信心等方面的影响。定级阶段-关
30、于行业定级指导意见关于行业定级指导意见直接的结果和间接的影响:威胁直接作用的结果信息系统的破坏,但是确定对客体侵害的程度时,必须考虑间接的对客体产生的侵害和影响。按照国家安全社会秩序和公共利益-公民、法人和组织的合法利益的顺序考虑定级阶段-关于侵害客体和侵害程度关于侵害客体和侵害程度定级阶段定级阶段信息系统等级评审信息系统等级评审信息系统等级评审信息系统等级评审在信息系统安全保护等级确定过程中,可以聘请专家进行咨询评审,并出具定级评审意见。对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审,出具评审意见。评审意见及时反馈信息系统运营使用单位
31、工作组。涉密信息系统按照国家保密局有关规定进行等级评审。信息系统运营使用单位参考专家定级评审意见,最终确定信息系统等级,形成定级报告。如果专家评审意见与运营使用单位意见不一致时,由运营使用单位自主决定系统等级,信息系统运营使用单位有上级主管部门的,应当经上级主管部门对安全保护等级进行审核批准。定级划分实例定级划分实例 例如某证券公司的信息系统,该信息系统所承载的业务有多个,该单位在全国遍布多处分支机构。在总部的信息系统中,总体上形成了办公和业务两大网络区域,且二者之间相互隔离。其中,业务网承载着集中交易、网上交易、数据中心等业务;办公网络主要承载着OA等服务。核心交易业务进行了数据大集中,数据
32、处理中心在总部,处理中心和分支机构所处理的交易业务相对于整个交易业务来讲,都只是一个阶段业务。对于这样的跨地域大系统,进行系统划分时必须综合考虑系统划分方法中的多个方面。首先,从信息系统的管理机构来考虑,虽然总部和分支机构都处理交易业务,但各自管理机构所承担的安全责任不同,即,总部具体负责总部核心交易系统的运行、维护等安全责任;而分支机构直接负责其所在的系统的运行、维护和安全责任。所以从管理机构的不同来考虑,应将两个机构的信息系统进行划分,形成总部信息系统和分支机构信息系统。然后分析总部业务网,总部业务网络承载着多项业务,其中集中交易业务和网上交易业务重要程度最高,因此这两个系统应首先单独进行
33、划分,分别形成集中交易系统和网上交易系统。其他业务重要程度相近的、并且各自是相对独立的,也单独形成信息系统。对于总部办公网络来讲,主要为内部员工提供公文管理、信息管理、日常办公、辅助办公及邮件收发等服务功能,因此可单独形成办公信息系统。从以上分析可以得出,该单位总部的信息系统可以划分为:集中交易系统、网上交易系统、其他系统以及办公信息系统等。定级实例定级实例1 某省政府网站系统ZFWZ,用于发布政务公开信息、地方行政法规和管理措施、领导讲话、政府办事流程、新闻发布、政府公告、举报投诉、省内经济形势介绍、电子表单下载等信息,服务对象主要是省内企业和市民。ZFWZ系统是省政府对社会办公的窗口,其中
34、发布的信息内容代表政府形象和体现政府的社会管理和社会服务职能,因此该信息安全被破坏可能对社会秩序造成一定影响;由于省政府网站的访问量并不很大,信息被篡改可能造成的不良社会影响不会很大,因此对社会秩序的侵害程度为一般损害;查表知ZFWZ系统的业务信息安全保护等级为第二级,如下表所示。业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级定级实例定级实例2 某省电力集团公司的省级电力实时监控系统,主要某省电力集团公司的省级电力实时监控系统,主要运行调度自动化控制系
35、统和能量管理系统(SCADA/EMS)DDZDH,负责省级超高压输电变电站的调度控制和数据采集。系统实时性要求极高,达到秒级。电力系统是国家重要基础设施,省级DDZDH系统负责全省范围内的电力调度,调度控制指令或调度程序被修改,可能造成的停电事故会影响几乎所有行业的正常生产和工作,其所侵害的客体为社会秩序和公共利益;调度控制指令或调度程序被修改可能造成全省范围大面积停电、人员伤亡和巨额财产损失,同时对其它行业的生产和工作造成非常严重的影响,因此对社会秩序和公共利益的侵害程度为特别严重损害;查表知DDZDH系统的业务信息安全保护等级为第四级,如下表所示。业务信息安全被破坏时所侵害的客体对相应客体
36、的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级政府部门对外服务的系统一般为二级,对内服务一般为三级。银行数据中心的系统一般为三级,下级系统和内部办公系统一般为二级。电力系统的电力调度系统为四级,其他的系统二、三级。证券生产系统一般为三级,内部办公系统为二级。电信、广电行业的公用通信网的基础信息网络一般定位三级。单位基本信息 了解单位基本信息有助于判断单位的职能特点,单位所在行业及单位在行业所处的地位和所用,由此判断单位主要信息系统的宏观定位。业务种类、流程和服务应重点了解定级对象信息系统中不同
37、业务系统提供的服务在影响履行单位职能方面具体方式和程度,影响的区域范围、用户人数、业务量的具体数据等。定级阶段-关于定级报告的关注点关于定级报告的关注点主要的软硬件设备了解与定级对象信息系统相关的服务器、网络、终端、存储设备以及安全设备等,设备所在网段,在系统中的功能和作用。调查设备的位置和作用主要就是发现不同信息系统在设备使用方面的共用程度。定级结果理由的说明了解不同业务数据和系统服务在被破坏后对国家、社会、本单位造成的影响的说明。定级阶段-关于定级报告的关注点关于定级报告的关注点五、备案和备案审核管理办法第十五条规定,已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由
38、其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。(9月1日开始接受备案,9月26日备案结束,9月30日前地市公安机关向省公安厅报送备案数据(电子)。新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。(一)备案范围与时间安排(一)备案范围与时间安排二级以上的信息系统需要备案二级以上的信息系统需要备案省公安厅信息系统等级保护办公室联系电话:87411982 联系人:许微 张慧源(二)备案材料表一表一 单位基本情况单位基本情况表二表二(/)信息系统情况)信息系统情况表三(表三(/)信息系统定级情况)信息系统定级情况表四(表四(
39、/)第三级以上信息系统提交材料情况)第三级以上信息系统提交材料情况 根据定级工作通知要求,信息系统安全保护等级确定后,第二级以上的信息系统运营使用单位或主管部门到公安部网站()、省公安厅(ftp:/218.5.2.179:211)下载信息系统安全等级保护备案表(见附件)和辅助备案工具,持填写的备案表和利用辅助备案工具生成的备案电子数据,到公安机关办理备案手续,提交有关备案材料及电子数据文件。其中,第二级信息系统的备案单位只需填写备案表中的表一、表二和表三(注:第二级信息系统备案单位可以先提交电子备案表。公安机关审核后再提交纸制材料,并领取备案证明)。第三级以上信息系统的备案单位还应当在建设、整
40、改、测评等工作完成后,再行提交备案表表四所列各项内容的书面材料。(二)备案材料跨省的系统,全国联网本省分支系统到公安厅跨省的系统,全国联网本省分支系统到公安厅网安总队备案。网安总队备案。跨地市的系统,到公安厅网安总队备案,各地跨地市的系统,到公安厅网安总队备案,各地市分支系统应向对应地市的公安局网安处、科市分支系统应向对应地市的公安局网安处、科备案。备案。厅直级的信息系统到公安厅网安总队备案。厅直级的信息系统到公安厅网安总队备案。地市级以下(包括地市级)的系统,到设区市地市级以下(包括地市级)的系统,到设区市的公安局网安处、科备案的公安局网安处、科备案。(三)“属地”备案原则全国人口信息系统全
41、国人口信息系统福建人口信息系统人口信息系统福州市人口信息系统人口信息系统公安厅网安总队备案公安厅网安总队备案福州市公安局网安处备案福州市公安局网安处备案公安部十一局备案公安部十一局备案泉州市中小企业管理系统泉州市中小企业管理系统泉州市公安局网安处备案泉州市公安局网安处备案厦门海关信息系统厦门海关信息系统厦门市公安局网安处备案厦门市公安局网安处备案发改委内部发改委内部OA办公系统办公系统公安厅网安总队备案公安厅网安总队备案管管理理办办法法第第十十七七条条规规定定,信信息息系系统统备备案案后后,公公安安机机关关应应当当对对信信息息系系统统的的备备案案情情况况进进行行审审核核,对对符符合合等等级级保
42、保护护要要求求的的,应应当当在在收收到到备备案案材材料料之之日日起起的的1010个个工工作作日日内内颁颁发发信信息息系系统统安安全全等等级级保保护护备备案案证证明明;发发现现不不符符合合本本办办法法及及有有关关标标准准的的,应应当当在在收收到到备备案案材材料料之之日日起起的的1010个个工工作作日日内内通通知知备备案案单单位位予予以以纠纠正正;发发现现定定级级不不准准的的,应应当当在在收收到到备备案案材材料料之之日日起起的的1010个个工工作作日日内内通通知知备备案案单单位位重重新新审审核核确确定定。运运营营、使使用用单单位位或或者者主主管管部部门门重重新新确确定定信信息息系系统统等等级级后后
43、,应应当当按按照照本本办办法法向向公公安安机关重新备案。机关重新备案。(四)备案审核各地区、各部门要结合本地区、本行业开展各地区、各部门要结合本地区、本行业开展定级工作的实际,认真总结经验和不足,提定级工作的实际,认真总结经验和不足,提出改进和完善定级方法的意见和建议,及时出改进和完善定级方法的意见和建议,及时总结定级工作经验,形成定级工作总结报告,总结定级工作经验,形成定级工作总结报告,并于并于10月月1日前报送公安厅。日前报送公安厅。(五)及时总结并提交报告(公安)六、信息系统安全建设整改、等级六、信息系统安全建设整改、等级测评测评一、主要依据一、主要依据信息系统安全等级保护基本要求信息系
44、统安全等级保护基本要求 基本要求是针对每个等级的信息系统提出相应安全保护要求,“基本”意味着这些要求是针对该等级的信息系统达到基本保护能力而提出的,也就是说,这些要求的实现能够保证系统达到相应等级的基本保护能力,但反过来说,系统达到相应等级的保护能力并不仅仅完全依靠这些安全保护要求。同时,基本要求强调的是“要求”,而不是具体实施方案或作业指导书,基本要求给出了系统每一保护方面需达到的要求,至于这种要求采取何种方式实现,不在基本要求的描述范围内。基本要求基本要求在整体框架结构上以三种分类为支撑点,自上而下分别为:类、控制点在整体框架结构上以三种分类为支撑点,自上而下分别为:类、控制点和项。其中,
45、类表示和项。其中,类表示基本要求基本要求在整体上大的分类,其中技术部分分为:物理安全、在整体上大的分类,其中技术部分分为:物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等网络安全、主机安全、应用安全和数据安全及备份恢复等5 5大类,管理部分分为:安全管大类,管理部分分为:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5 5大类,一共分大类,一共分为为1010大类。控制点表示每个大类下的关键控制点,如物理安全大类中的大类。控制点表示每个大类下的关键控制点,如物理安全大类中的“物理访问控制物理访问控
46、制”作为一个控制点。而项则是控制点下的具体要求项,如作为一个控制点。而项则是控制点下的具体要求项,如“机房出入应安排专人负责,机房出入应安排专人负责,控制、鉴别和记录进入的人员。控制、鉴别和记录进入的人员。”第三级基本要求物理安全网络安全主机安全应用安全第一级基本要求第二级基本要求第四级基本要求第五级基本要求数据安全及备份恢复技术要求管理要求安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理主机安全入侵防范:(G2)a.操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方通过设置升级服务器等方式式保持系统补丁及时得到更新。主机安全入侵防范:(G3)a.应
47、能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;b.应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施;c.操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。网络安全入侵防范:(G3)a.应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;b.当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。网络安全入侵防范:(
48、G4)a.应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;b.当检测到攻击行为时,应记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警及自动采取相应动作自动采取相应动作。不同级别系统控制点的差异安全要求类层面一级二级三级四级技术要求物理安全7101010网络安全3677主机安全4679应用安全47911数据安全及备份恢复2333管理要求安全管理制度2333安全管理机构4555人员安全管理4555系统建设管理991111系统运维管理9121313合计/48667377级差/1874不同级别系统
49、要求项的差异安全要求类层面一级二级三级四级技术要求物理安全9193233网络安全9183332主机安全6193236应用安全7193136数据安全及备份恢复24811管理要求安全管理制度371114安全管理机构492020人员安全管理7111618系统建设管理20284548系统运维管理18416270合计/85175290318级差/9011528基本要求基本要求的定位的定位是系统安全保护、等级测评的一个基本“标尺”,同样级别的系统使用统一的“标尺”来衡量,保证权威性,是一个达标线;每个级别的信息系统按照基本要求进行保护后,信息系统具有相应等级的基本安全保护能力,达到一种基本的安全状态;是每
50、个级别信息系统进行安全保护工作的一个基本出发点,更加贴切的保护可以通过需求分析对基本要求进行补充,参考其他有关等级保护或安全方面的标准来实现;(二)、信息系统安全建设整改 管理办法第十一条规定,信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。系统建设和改建阶段相关技术环节系统建设和改建阶段相关技术环节安全需求分析方法安全需求分析方法系统的安全等级保护设计、实施方案设计系统的安全等级保护设计、实施方案设计 系统改建实施方案设计系统改建实施方案设计 系统建