《3信息安全等级保护ppt课件.pptx》由会员分享,可在线阅读,更多相关《3信息安全等级保护ppt课件.pptx(121页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、LOGO全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院信息安全等级保护信息安全等级保护全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院本章内容安排本章内容安排v信息安全等级保护制度v信息系统安全等级保护实施v信息系统安全等级确定v信息系统安全等级保护要求v信息系统安全风险评估 全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院第一第一节节 信息安全等信息安全等级级保保护护制度制度v一、信息安全等级保护管理v二、信息系统安全等级划分v三、信息系统安全等级保护相关标准全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院
2、网络安全分院一、信息安全等一、信息安全等级级保保护护管理管理 信息安全等信息安全等级保保护是国家信息安全是国家信息安全保障的基本制度、基本策略、基本方法。保障的基本制度、基本策略、基本方法。开展信息安全等开展信息安全等级保保护工作是保工作是保护信息信息化化发展、展、维护国家信息安全的根本保障,国家信息安全的根本保障,是信息安全保障工作中国家意志的体是信息安全保障工作中国家意志的体现。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院背景背景l1994年,年,中中华人民共和国人民共和国计算机信息系算机信息系统安全保安全保护条例条例 规定,定,“计算机信息系算机信息系统实行安
3、全等行安全等级保保护,安全等,安全等级的的划分划分标准和安全等准和安全等级保保护的具体的具体办法,由公安部会同有关法,由公安部会同有关部部门制定制定”。l1995年年2月月18日人大日人大12次会次会议通通过并并实施的施的中中华人民共人民共和国警察法和国警察法第二章第六条第十二款第二章第六条第十二款规定,公安机关人民定,公安机关人民警察依法履行警察依法履行“监督管理督管理计算机信息系算机信息系统的安全保的安全保护工作工作”。法律依据。法律依据。l1999年,年,强制性国家制性国家标准准计算机信息系算机信息系统安全保安全保护等等级划分准划分准则GB 17859)。)。全国公安教育训练网络学院网络
4、安全分院全国公安教育训练网络学院网络安全分院 2003年,中年,中办、国、国办转发的的国家信息化国家信息化领导小小组关于加加强信息安全保障工作的意信息安全保障工作的意见(中(中办发200327号)号)明确指出明确指出“实行信息安全等行信息安全等级保保护”。“要重点保要重点保护基基础信息信息网网络和关系国家安全、和关系国家安全、经济命脉、社会命脉、社会稳定等方面的重要定等方面的重要信息系信息系统,抓,抓紧建立信息安全等建立信息安全等级保保护制度,制定信息安制度,制定信息安全等全等级保保护的管理的管理办法和技法和技术指南指南”。2004年,公安部、国家保密局、国家密年,公安部、国家保密局、国家密码
5、管理局、国管理局、国信信办联合印合印发了了关于信息安全等关于信息安全等级保保护工作的工作的实施意施意见(66号文件)号文件)2006年年1月,公安部、国家保密局、国家密月,公安部、国家保密局、国家密码管理局、管理局、国信国信办联合制定了合制定了信息安全等信息安全等级保保护管理管理办法法(公通(公通字字20067号)号)全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院 1、政府政府层面:国家制定面:国家制定统一信息安全等一信息安全等级保保护管理管理规范和技范和技术标准,准,组织公民、法人和其他公民、法人和其他组织对信息系信息系统分等分等级实行安全保行安全保护,对信息安全信
6、息安全产品的使用分等品的使用分等级实行管理,行管理,对等等级保保护工作的工作的实施施进行行监督、指督、指导。2、用、用户层面面:公民、法人和其他:公民、法人和其他组织应当按照国家有当按照国家有关等关等级保保护的管理的管理规范和技范和技术标准开展等准开展等级保保护工作,工作,服从国家服从国家对信息安全等信息安全等级保保护工作的工作的监督、指督、指导,保障,保障信息系信息系统安全。安全。3、社会、社会层面面:信息安全:信息安全产品的研制、生品的研制、生产单位,信息位,信息系系统的集成、等的集成、等级测评、风险评估等安全服估等安全服务机构,依机构,依据国家有关管理据国家有关管理规定和技定和技术标准,
7、开展相准,开展相应工作,并接工作,并接受国家信息安全受国家信息安全职能部能部门的的监督管理。督管理。等级保护制度的基本思想等级保护制度的基本思想全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院信息安全等信息安全等级级保保护护的工作的工作进进展展 一是一是2006年年1月制定出台了月制定出台了信息安全等信息安全等级保保护管理管理办法(法(试行)行)。二是二是2006年年5月月18日日组织召开了国家信息安全等召开了国家信息安全等级保保护工作工作协调小小组第一次会第一次会议。三是制定了等三是制定了等级保保护系列技系列技术标准。准。四是开展了等四是开展了等级保保护基基础调查工作
8、。工作。五是部署开展信息安全等五是部署开展信息安全等级保保护试点工作。点工作。六是出台新的六是出台新的信息安全等信息安全等级保保护管理管理办法法。七是筹七是筹备召开全国信息系召开全国信息系统定定级工作。工作。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院二、信息系二、信息系统统安全等安全等级级划分划分 v根据信息系统安全等级保护实施指南的规定,信息系统可以分为五个安全等级,国家对不同级别的信息和信息系统实行不同强度的监管政策。v(一)第一级为自主保护级其主要对象为一般的信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但
9、不危害国家安全、社会秩序和公共利益。本级系统依照国家管理规范和技术标准进行自主保护。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院二、信息系二、信息系统统安全等安全等级级划分划分 v(二)第二级为指导保护级其主要对象为一般的信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对社会秩序和公共利益造成一定损害,但不损害国家安全。本级系统依照国家管理规范和技术标准进行自主保护,必要时信息安全监管职能部门对其进行指导。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院二、信息系二、信息系统统安全等安全等级级划分划分 v(三)第三级为监督保护级其主要
10、对象为涉及国家安全、社会秩序和公共利益的重要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成较大损害。本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院二、信息系二、信息系统统安全等安全等级级划分划分 v(四)第四级为强制保护级其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害。本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对
11、其进行强制监督、检查。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院二、信息系二、信息系统统安全等安全等级级划分划分 v(五)第五级为专控保护级其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害。本级系统依照国家管理规范和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督、检查。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院二、安全保二、安全保护护等等级级的划分的划分 全国公安教育训练网络学院网络安全分院全国公安教育训练
12、网络学院网络安全分院三、信息系三、信息系统统安全等安全等级级保保护护相关相关标标准准v我国正式颁布的信息系统安全等级保护的强制性国家标准是GB 17859 1999计算机信息系统安全保护等级划分准则,该准则于1999年9月13日经国家质量技术监督局发布,2001年1月1日起实施。随后围绕GB 17859 1999编写和制定了一系列与信息系统安全等级保护有关的标准和指南,旨在规范和指导信息系统安全等级保护实施过程中的活动。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院(一)(一)GB 17859 1999GB 17859 1999计计算机信算机信息系息系统统安全保安全保
13、护护等等级级划分准划分准则则vGB 17859 1999是建立计算机信息系统安全等级保护制度,实施安全等级管理的重要基础性标准。v它将计算机信息系统安全保护等级划分为五个等级,通过规范、科学和公正的评定和监督管理,一是为计算机信息系统安全等级保护管理法规的制定和执法部门的监督、检查提供依据;二是为计算机信息系统安全产品的研制提供技术支持;三是为安全系统的建设和管理提供技术指导。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院(一)(一)GB 17859 1999GB 17859 1999计计算机信算机信息系息系统统安全保安全保护护等等级级划分准划分准则则vGB 1785
14、9 1999规定了计算机信息系统安全保护能力的五个等级;v定义了计算机信息系统、计算机信息系统可信计算机、客体、主体、敏感标记、安全策略、信道、隐蔽信道、访问监控器;v描述了五个等级的细则。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院(二)(二)GA/T 390 2002GA/T 390 2002计计算机信算机信息系息系统统安全等安全等级级保保护护通用技通用技术术要求要求v公安部于2002年7月15日发布并实施了GA/T 390 2002计算机信息系统安全等级保护通用技术要求。vGA/T 390 2002计算机信息系统安全等级保护通用技术要求作为计算机信息系统安全等
15、级保护要求系列的基础标准,详细说明了计算机信息系统为实现GB 17859 1999所提出的安全等级要求应采取的通用的安全技术,以及为确保这些安全技术所实现的安全功能达到其应具有的安全性而采取的保证措施,并将对计算机信息系统五个安全保护等级每一级的要求,从技术要求方面进行详细描述。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院(二)(二)GA/T 390 2002GA/T 390 2002计计算机信算机信息系息系统统安全等安全等级级保保护护通用技通用技术术要求要求vGA/T 390 2002主要内容为:(1)安全功能技术要求,包括物理安全、运行安全、信息安全。(2)安全
16、保证技术要求,包括TCB自身安全保护、TCB设计和实现、TCB安全管理。(3)五个安全等级划分要求技术方面细则。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院(三)(三)GA/T 388 2002GA/T 388 2002计计算机信息系算机信息系统统安全等安全等级级保保护护操作系操作系统统技技术术要求要求v公安部于2002年7月15日发布并实施v该标准作为计算机信息系统安全等级保护要求系列标准的重要组成部分,用于指导设计者如何设计和实现具有所需要的安全等级的操作系统,主要从对操作系统的安全等级进行划分来说明其技术要求,即主要说明为实现GB 17859 1999所提出的
17、安全等级要求对操作系统应采取的安全技术措施,以及各安全技术要求在不同安全级中具体实现的差异。对计算机信息系统五个安全保护等级每一级的安全功能技术要求和安全保证技术要求进行详细描述。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院(四)(四)GA/T 389 2002GA/T 389 2002计计算机信息系算机信息系统统安全等安全等级级保保护护数据数据库库管理系管理系统统技技术术要求要求v公安部于2002年7月15日发布并实施。v该标准作为计算机信息系统安全等级保护要求系列标准的重要组成部分,用于指导设计者如何设计和实现具有所需要的安全等级的数据库管理系统,主要从对数据库
18、管理系统的安全等级进行划分来说明其技术要求,即主要说明为实现GB 17859 1999所提出的安全等级要求对数据库管理系统应采取的安全技术措施,以及各安全技术要求在不同安全级中具体实现的差异。v对计算机信息系统五个安全保护等级每一级的安全功能技术要求和安全保证技术要求进行详细描述。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院(四)(四)GA/T 389 2002GA/T 389 2002计计算机信息系算机信息系统统安全等安全等级级保保护护数据数据库库管理系管理系统统技技术术要求要求vGA/T 389 2002主要内容为:(1)数据库管理系统安全技术要求,包括身份鉴别
19、、标记与访问控制、数据完整性、数据库安全审计、客体重用、数据库可信恢复、隐蔽信道分析、可信路径、推理控制。(2)五个安全等级划分要求技术方面细则。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院(五)(五)GA/T 387 2002GA/T 387 2002计计算机信算机信息系息系统统安全等安全等级级保保护护网网络络技技术术要求要求v公安部于2002年7月15日发布并实施v该标准作为计算机信息系统安全等级保护要求系列标准的重要组成部分,用于指导设计者如何设计和实现具有所需要的安全等级的网络系统,主要从对网络系统的安全等级进行划分来说明其技术要求,即主要说明为实现GB 1
20、7859 1999所提出的安全等级要求对网络系统应采取的安全技术措施,以及各安全技术要求在不同安全级中具体实现的差异。v对计算机信息系统五个安全保护等级每一级的安全功能技术要求和安全保证技术要求进行详细描述。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院(五)(五)GA/T 387 2002GA/T 387 2002计计算机信算机信息系息系统统安全等安全等级级保保护护网网络络技技术术要求要求vGA/T 387 2002主要内容为:(1)简单描述了关于安全等级划分、主体、客体、TCB、密码技术、建立网络安全的一般要求,以及网络安全组成与相互关系。(2)详细描述了网络基本
21、安全技术,包括自主访问控制、强制访问控制、标记、用户身份鉴别、剩余信息保护、安全审计、数据完整性、隐蔽信道分析、可信路径、可信恢复、抗抵赖、密码支持等。(3)详细描述了网络安全技术要求。(4)五个安全等级划分要求技术方面细则。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院(六)(六)GA/T 391 2002GA/T 391 2002计计算机信算机信息系息系统统安全等安全等级级保保护护管理要求管理要求v公安部于2002年7月18日发布并实施。v该标准作为GB 17859 1999计算机信息系统安全保护等级划分准则的管理要求,是根据计算机信息系统安全保护条例的规定编写的
22、,是GB 17859 1999的配套标准中的重要标准之一,与上述所介绍的技术要求共同组成计算机信息系统的安全等级保护体系。计算机信息系统的安全等级保护体系从计算机信息系统的管理层面、物理层面、系统层面、网络层面、应用层面、运行层面对计算机信息系统资源实施保护,作为计算机信息系统安全保护的支撑服务。管理层面贯穿其他五个层面,是其他五个层面实施安全等级保护的保证。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院(六)(六)GA/T 391 2002GA/T 391 2002计计算机信算机信息系息系统统安全等安全等级级保保护护管理要求管理要求vGA/T 391 2002主要内
23、容为:(1)简单描述了信息系统安全管理的内涵、主要安全要素、信息系统安全管理的基本原则、安全管理的过程、安全管理组织、人员安全管理、安全管理制度等。(2)五个安全等级划分要求管理方面细则。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院(七)(七)信息安全技信息安全技术术信息系信息系统统安全等安全等级级保保护实护实施指南施指南v该标准以信息系统安全等级保护建设为主要线索,介绍了信息系统的安全等级和保护要求等相关概念;说明了信息系统安全等级保护实施过程中涉及的角色;信息系统安全等级保护实施的基本原则;信息系统安全等级保护实施的基本过程;信息系统安全等级保护实施的主要阶段和
24、主要活动以及与信息系统生命周期之间的关系;提出了信息系统安全等级保护在信息系统生命周期不同阶段的实施要点、实施流程、具体的活动内容以及活动的输入输出等,并对其进行了详细的描述。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院(八)(八)信息系信息系统统安全保安全保护护等等级级定定级级指南指南v根据信息安全技术信息系统安全等级保护实施指南中等级保护实施的生命周期,要对信息系统进行安全等级保护,首先就要科学地确定信息系统的安全等级,信息系统安全保护等级定级指南给出了如何对信息系统的安全等级进行确定的规范化规定和描述。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学
25、院网络安全分院(八)(八)信息系信息系统统安全保安全保护护等等级级定定级级指南指南v为确定信息系统的安全保护等级,首先要确定信息系统内各业务子系统在四个定级要素方面的赋值(分别为系统所属类型、业务信息类型、服务范围、依赖程度),然后分别由四个定级要素确定业务信息安全性和业务服务保证性两个定级指标的等级,再根据业务信息安全性等级和业务服务保证性等级确定业务子系统安全保护等级,最后由信息系统内各业务子系统的最高等级确定信息系统的安全保护等级。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院(八)(八)信息系信息系统统安全保安全保护护等等级级定定级级指南指南v信息系统安全保护
26、等级定级指南为各单位开展、实施等级保护提供了一个通用标准奠定了坚实的基础。v各单位首先根据信息系统安全保护等级定级指南中的标准方法,明确确定本单位信息系统的安全等级,一旦等级确定完成,后续的建设和运行维护工作,再参考信息安全技术信息系统安全等级保护基本要求实施。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院(九)(九)信息安全技信息安全技术术信息系信息系统统安全等安全等级级保保护护基本要求基本要求 v信息安全技术信息系统安全等级保护基本要求规定了信息系统安全等级保护的基本要求,包括基本技术要求和基本管理要求,适用于不同安全等级的信息系统的安全保护。全国公安教育训练网络
27、学院网络安全分院全国公安教育训练网络学院网络安全分院(九)(九)信息安全技信息安全技术术信息系信息系统统安全等安全等级级保保护护基本要求基本要求v信息安全技术信息系统安全等级保护基本要求为安全等级保护的每一个级别(共五个级别)都规定了要实现的安全目标,以及为了实现安全目标所必须采用的技术措施和管理手段。每一级别的技术措施和管理手段具体要求都被明确提出并分类组织。其中,技术措施的要求分为物理安全、网络安全、主机系统安全、应用安全和数据安全五个不同层次;管理手段的要求分为安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运行维护管理五个不同类别。全国公安教育训练网络学院网络安全分院全国公
28、安教育训练网络学院网络安全分院(九)(九)信息安全技信息安全技术术信息系信息系统统安全等安全等级级保保护护基本要求基本要求v信息安全技术信息系统安全等级保护基本要求为安全等级保护的每一级别所规定的技术措施和管理手段的要求,各单位应当根据本单位信息系统安全级别的具体情况严格遵循。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院(十)(十)信息系信息系统统安全等安全等级级保保护测评护测评准准则则v各单位对信息系统安全等级保护的实施力度和遵循情况,不仅需要各单位自身进行检查和评估,而且需要信息安全监管职能部门依法进行监督、检查。评价信息系统是否达到了相应级别的安全保护要求的过
29、程,是对信息系统等级保护进行测评的活动。为了规范安全等级保护的测评活动,信息系统安全等级保护测评准则对每一特定安全级别的信息系统从技术措施和管理措施两方面提出了测评要求。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院(十)(十)信息系信息系统统安全等安全等级级保保护测评护测评准准则则v信息系统安全等级保护测评准则将测评分为安全控制测评和系统整体测评两方面。安全控制测评,主要是测评信息系统安全等级保护要求的基本安全控制在信息系统中的实施和配置情况;系统整体测评,主要对信息系统的整体安全性进行测评。安全控制测评是信息系统整体安全性测评的基础。全国公安教育训练网络学院网络安
30、全分院全国公安教育训练网络学院网络安全分院第二第二节节 信息安全等信息安全等级级保保护实护实施施 v一、基本原则v二、参与角色和职责v三、实施过程v四、安全等级保护与信息系统生命周期的关系全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院一、基本原一、基本原则则v等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。v等级保护在实施过程中应遵循以下基本原则:v(一)自主保护原则由各主管部门和运营、使用单位按照国家相关法规和标准,自主确定信息系统的安全等级,自行组织实施安全保护。v(二)同步建设原则信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例
31、的资金建设信息安全设施,保障信息安全与信息化建设相适应。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院一、基本原一、基本原则则v(三)重点保护原则根据信息系统的重要程度、业务特点,通过划分不同的安全等级,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。v(四)适当调整原则要跟踪信息系统的变化情况,调整安全保护措施。因为信息系统的应用类型、范围等条件的变化及其他原因,安全等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全等级,根据信息系统安全等级的调整情况,重新实施安全保护。全国公安教育训练网络学院网络安全分
32、院全国公安教育训练网络学院网络安全分院二、参与角色和二、参与角色和职责职责v信息系统安全等级保护系列标准中的信息安全技术信息系统安全等级保护实施指南,将参与等级保护过程的各类组织和人员划分为:主要角色:是指信息系统主管部门和信息系统运营、使用单位;主要角色将参与等级保护实施过程的所有活动次要角色:是指信息系统安全服务商、信息安全监管机构、安全测评机构和安全产品供应商。次要角色将参与等级保护实施过程的某一个或多个活动。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院等等级级保保护实护实施施过过程中各程中各类类角色的角色的职责职责 v(一)信息系统主管部门主要责任:做好下属
33、单位的等级保护监督管理工作;组织、协调和督促下属单位按照等级保护的管理规范和技术标准对信息系统进行等级保护;对下属单位确定的信息系统安全等级进行审批;督促下属单位定期进行安全状况检测评估,及时消除安全隐患和漏洞等。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院等等级级保保护实护实施施过过程中各程中各类类角色的角色的职责职责v(二)信息系统运营、使用单位信息系统运营、使用单位的主要责任是按照等级保护的管理规范和技术标准,确定其信息系统的安全等级,并报其主管部门审批同意;对安全等级在三级以上的信息系统,报送本地区地市级公安机关备案;根据已经确定的安全等级,按照等级保护的管
34、理规范和技术标准,进行信息系统的规划设计、建设施工;采购和使用相应等级的信息安全产品,建设安全设施,落实安全技术措施;对已经完成等级保护建设的信息系统进行检查评估,发现问题及时整改;加强和完善自身等级保护制度的建设,加强自我保护;定期进行安全状况检测评估,及时消除安全隐患和漏洞,建立安全制度,制定不同等级信息安全事件的响应、处置预案,加强信息系统的安全管理。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院等等级级保保护实护实施施过过程中各程中各类类角色的角色的职责职责v(三)信息系统安全服务商信息系统安全服务商的主要责任是根据信息系统运营、使用单位的委托,按照等级保护的
35、管理规范和技术标准,协助信息系统运营、使用单位完成等级保护的相关工作,可能包括确定其信息系统的安全等级、进行安全需求分析、进行信息系统的规划设计、建设施工等。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院等等级级保保护实护实施施过过程中各程中各类类角色的角色的职责职责v(四)信息安全监管机构信息安全监管机构的主要责任是对不同重要程度的信息系统的等级保护工作给予相应的指导,确保等级保护工作顺利开展;按照等级保护的管理规范和技术标准的要求,重点对第三级、第四级信息系统的等级保护状况进行监督检查;发现存在安全隐患或未达到等级保护的管理规范和技术标准要求的要限期整改,使信息系
36、统的安全保护措施更加完善;对信息系统中使用的信息安全产品的等级进行监督检查。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院等等级级保保护实护实施施过过程中各程中各类类角色的角色的职责职责v(五)安全测评机构安全测评机构的主要责任是根据信息系统运营、使用单位的委托或根据信息安全监管机构的委托,协助信息系统运营、使用单位或信息安全监管机构按照等级保护的管理规范和技术标准,对已经完成等级保护建设的信息系统进行检查评估,对安全产品供应商提供的信息安全产品进行检查评估。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院等等级级保保护实护实施施过过程中各程中
37、各类类角色的角色的职责职责v(六)安全产品供应商安全产品供应商的主要责任是按照等级保护的管理规范和技术标准的要求,开发符合等级保护要求的信息安全产品;提交信息安全产品进行安全等级测评并按照等级保护要求销售信息安全产品。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院三、三、实实施施过过程程v对信息系统实施等级保护的过程划分为五个阶段 全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院(一)系(一)系统统定定级阶级阶段段v系统定级阶段通过对信息系统的调查和分析进行信息系统划分,确定包括相对独立的信息系统的个数,选择合适的信息系统安全等级定级方法,科学
38、、准确地确定每个信息系统的安全等级。v通常情况下,系统定级阶段包括系统识别和描述、信息系统划分和安全等级确定等几个主要活动。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院(二)安全(二)安全规规划划设计阶设计阶段段v安全规划设计阶段通过安全需求分析判断信息系统的安全保护现状与国家等级保护基本要求之间的差距,确定安全需求,然后根据信息系统的划分情况、信息系统定级情况、信息系统承载业务情况和安全需求等,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施规划等,以指导后续的信息系统安全建设工程的实施。v通常情况下,安全规划设计阶段包括安全需求分析、安全总体设计、安
39、全建设规划等几个主要活动。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院(三)安全(三)安全实实施施阶阶段段v安全实施阶段通过安全方案详细设计、安全产品的采购、安全控制的开发、安全控制集成、机构和人员的配置、安全管理制度的建设、人员的安全技能培训等环节,将安全规划设计阶段的安全方针和策略,具体落实到信息系统中去,其最终的成果是提交满足用户安全需求的信息系统以及配套的安全管理体系。v通常情况下,安全实施阶段包括安全方案详细设计、等级保护安全测评、等级保护技术实施和等级保护管理实施等几个主要活动。安全管理体系的建设应该贯穿信息系统的整个生命周期,涉及等级保护实施过程的各个
40、阶段。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院(四)安全运行(四)安全运行维护阶维护阶段段v安全运行维护阶段将介绍运行管理和控制、变更管理和控制、安全状态监控以及安全事件处置和应急预案等过程;通过运行管理和控制、变更管理和控制、对安全状态进行监控、对发生的安全事件及时响应,确保信息系统正常运行;通过安全检查和持续改进不断跟踪信息系统的变化,并依据变化进行调整,确保信息系统满足相应等级的安全要求,处于良好安全状态。安全运行维护阶段需要进行的安全控制活动很多,如运行管理和控制、变更管理和控制、安全状态监控以及安全事件处置和应急预案等。全国公安教育训练网络学院网络安全
41、分院全国公安教育训练网络学院网络安全分院(五)系(五)系统终统终止止阶阶段段v系统终止阶段是对信息系统的过时或无用部分进行报废处理的过程,主要涉及对信息、设备、存储介质或整个信息系统的废弃处理。系统终止阶段的主要活动可能包括对信息的转移、暂存或清除,对设备的迁移或废弃,对存储介质的清除或销毁。系统终止阶段迁移或废弃系统组件时,核心关注点是防止敏感信息泄漏。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院四、安全等四、安全等级级保保护护与信息系与信息系统统生命周生命周期的关系期的关系v信息系统生命周期
42、包括五个阶段,即启动准备阶段、设计/开发阶段、实施/实现阶段、运行维护阶段和系统终止阶段。v安全等级保护实施活动与信息系统生命周期中的其他活动有着不可分割的关系;同时,安全等级保护实施活动又有自己的特点,安全等级保护工作将贯穿信息系统生命周期的各个阶段。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院安全等安全等级级保保护实护实施的施的过过程与信息系程与信息系统统生命周期的关系生命周期的关系 全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院安全等安全等级级保保护实护实施的施的过过程与信息系程与信息系统统生命周期的关系生命周期的关系v安全等级保护的
43、实施分为:新建信息系统安全等级保护的实施已建信息系统安全等级保护的实施v两者在信息系统生命周期中的切入点是不同的。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院新建信息系新建信息系统统安全等安全等级级保保护护的的实实施施 v新建信息系统在生命周期中的各个阶段应同步考虑安全等级保护实施的主要活动。v在启动准备阶段,应该仔细分析和合理划分各个信息系统,确定各个信息系统的安全等级,定级过程也可能在设计/开发阶段实施;v在设计/开发阶段,应该根据各个信息系统的安全等级,进行安全需求分析,合理规划设计网络结构、应用系统、安全保护措施等,确保各个信息系统按照国家等级保护的要求进行
44、规划设计;v在实施/实现阶段,应在系统建设的同时,同步进行安全措施的落实和实现;v在运行维护阶段,应按照国家等级保护的要求进行安全维护和安全管理;v在系统终止阶段,应对系统的废弃过程进行有效安全管理。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院已建信息系已建信息系统统安全等安全等级级保保护护的的实实施施 v已建信息系统通常处于系统运行维护阶段,但由于在启动准备阶段、设计/开发阶段和实施/实现阶段可能没有同步考虑国家等级保护的要求,因此,应在信息系统运行维护阶段开始启动等级保护工作,等级保护实施过程中的系统定级阶段、安全规划设计阶段、安全实施阶段的主要活动都将在信息系
45、统生命周期的系统运行维护阶段完成。v由于是已经存在的信息系统,工作的重点应放在系统定级阶段如何划分信息系统并确定安全等级、在安全规划设计阶段如何规划设计出符合国家等级保护要求的安全改造方案、在安全实施阶段如何保证在不影响现有业务应用的情况下使各类安全措施可以顺利落实等方面。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院第三第三节节 信息系信息系统统安全等安全等级级确定确定v一、信息系统和业务子系统v二、决定信息系统安全保护等级的因素v三、确定信息系统安全保护等级的步骤v四、信息系统安全保护等级的确定方法v五、定级案例分析全国公安教育训练网络学院网络安全分院全国公安教育
46、训练网络学院网络安全分院第三第三节节 信息系信息系统统安全等安全等级级确定确定v系统定级是实施等级保护的前提和基础。信息系统安全等级的确定是否准确直接关系到是否对信息系统采取了足够的安全保护措施,是否能够将信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度降到最低。v信息系统安全保护等级定级指南中阐述了如何对信息系统的安全级别进行定级,提出了量化流程和方法,各行业信息系统的主管部门可以根据该指南制定适合本行业或部门的具体定级方法和指导意见。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院一、信息系一、信息系统统和和业务业务子系子
47、系统统v信息系统是基于计算机或计算机网络,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的人机系统。v业务子系统由信息系统的一部分组件构成,是信息系统中能够承载某项业务工作的子系统。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院v按照信息系统的定义,典型的信息系统应由计算机硬件设备(包括服务器设备、客户端设备、打印机及存储器等外围设备)、计算机网络硬件设备(包括交换机、路由器、各种适配器以及通信线路等)、安装于这些硬件设备上的软件、所提供的服务以及相关的人员构成。信息系统内的各业务子系统一般有较为紧密的关联,可能存在共用设备或较为频繁的数据交换。
48、全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院v业务子系统是按照信息系统所承载的业务对信息系统进行划分所形成的子系统。业务子系统是信息系统中可以为定级要素赋值的最小单元。业务子系统应具有信息系统的全部特点,是由计算机硬件、计算机网络硬件以及安装于这些硬件上的软件、提供的服务以及相关人员构成的一个有形实体,并且承载确定的业务。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院v如果信息系统只承载一项业务,可以直接为该信息系统确定安全等级,不必划分业务子系统。如果信息系统承载多项业务,应根据各项业务的性质和特点,将信息系统分成若干业务子系统,分别为各
49、业务子系统确定安全保护等级。信息系统的安全保护等级由各业务子系统的最高等级决定。信息系统是进行等级确定和等级保护管理的最终对象。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院二、决定信息系二、决定信息系统统安全保安全保护护等等级级的因素的因素 v信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度决定。从另一个角度看,信息系统重要程度越高,其遭到破坏后对国家安全、经济建设、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度也越高。全国公安教育训练网络学院网络安全分院全国公安教育训练网络学院网络安全分院决定信息系决定信息系统统重要
50、性的要素重要性的要素v(一)信息系统所属类型,即信息系统资产的安全利益主体信息系统所属类型在较大程度上决定了信息系统受到破坏后对其社会价值的影响程度。根据社会影响高低,典型的信息系统所属类型、赋值及其社会影响如下表所示。信息系统所属类型举例赋值信息系统的社会影响属于一般企事业单位处理其内部事务的信息系统。1信息系统资产受到破坏会对本单位利益有直接影响。属于重要行业、重要领域和国家基础设施为国计民生、经济建设等提供重要服务的信息系统,或本身虽属于一般企事业单位,但为党政或重要信息系统提供支撑服务的信息系统。2信息系统资产受到破坏会对公共利益有直接影响,或对国家安全利益有间接影响。属于党政机关处理