[精选]信息安全等级保护概述.pptx

《[精选]信息安全等级保护概述.pptx》由会员分享，可在线阅读，更多相关《[精选]信息安全等级保护概述.pptx（121页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、信息安全等级保护信息安全等级保护627603450qq.627603450qq.本章内容安排v信息安全等级保护制度v信息系统安全等级保护实施v信息系统安全等级确定v信息系统安全等级保护要求v信息系统安全风险评估 第一节 信息安全等级保护制度v一、信息安全等级保护管理v二、信息系统安全等级划分v三、信息系统安全等级保护相关标准一、信息安全等级保护管理 信信息息安安全全等等级保保护是是国国家家信信息息安安全全保保障障的的基基本本制制度度、基基本本策策略略、基基本本方方法法。开开展展信信息息安安全全等等级保保护工工作作是是保保护信信息息化化开开展展、维护国国家家信信息息安安全全的的根根本本保保障障，

2、是是信信息息安安全全保保障障工工作作中中国国家家意意志志的的表表达达。背景l1994年年，计算算机机信信息息系系统安安全全保保护条条例例 规定定，“计算算机机信信息息系系统实行行安安全全等等级保保护，安安全全等等级的的划划分分标准准和和安安全全等等级保保护的的具具体体方方法法，由由 部部会会同同有有关关部部门制制定定。l1995年年2月月18日日人人大大12次次会会议通通过并并实施施的的 警警察察法法第第二二章章第第六六条条第第十十二二款款规定定，机机关关人人民民警警察察依依法法履履行行“监督督管管理理计算算机机信信息息系系统的的安安全全保保护工工作作。法法律律依依据据。l1999年年，强制制

3、性性国国家家标准准计算算机机信信息息系系统安安全全保保护等等级划划分分准准则GB 17859。2003年年，中中办、国国办转发的的国国家家信信息息化化领导小小组关于加加强信信息息安安全全保保障障工工作作的的意意见中中办发200327号号明明确确指指出出“实行行信信息息安安全全等等级保保护。“要要重重点点保保护基基础信信息息网网络和和关关系系 、经济命命脉脉、社社会会稳定定等等方方面面的的重重要要信信息息系系统，抓抓紧建建立立信信息息安安全全等等级保保护制制度度，制制定定信信息息安安全全等等级保保护的的管管理理方方法法和和技技术指指南南 。2004年年，部部、国国家家保保密密局局、国国家家密密码

4、管管理理局局、国国信信办联合合印印发了了关关于于信信息息安安全全等等级保保护工工作作的的实施施意意见66号号文文件件 2006年年1月月，部部、国国家家保保密密局局、国国家家密密码管管理理局局、国国信信办联合合制制定定了了信信息息安安全全等等级保保护管管理理方方法法公公通通字字20067号号 1、政府政府层面：国家制定面：国家制定统一信息安全等一信息安全等级保保护管理管理标准和技准和技术标准，准，组织公民、法人和其他公民、法人和其他组织对信息系信息系统分等分等级实行安全保行安全保护，对信息安全信息安全产品的使用分等品的使用分等级实行管理，行管理，对等等级保保护工作的工作的实施施进行行监督、指督

5、、指导。2、用、用户层面面：公民、法人和其他：公民、法人和其他组织应当按照国家有当按照国家有关等关等级保保护的管理的管理标准和技准和技术标准开展等准开展等级保保护工作，工作，服从国家服从国家对信息安全等信息安全等级保保护工作的工作的监督、指督、指导，保障，保障信息系信息系统安全。安全。3、社会、社会层面面：信息安全：信息安全产品的研制、生品的研制、生产单位，信息位，信息系系统的集成、等的集成、等级测评、风险评估等安全效估等安全效劳机构，依机构，依据国家有关管理据国家有关管理规定和技定和技术标准，开展相准，开展相应工作，并接工作，并接受国家信息安全受国家信息安全职能部能部门的的监督管理。督管理。

6、等级保护制度的基本思想等级保护制度的基本思想信息安全等级保护的工作进展 一是一是2006年年1月制定出台了月制定出台了信息安全等信息安全等级保保护管理方法管理方法试行行。二是二是2006年年5月月18日日组织召开了国家信息安全等召开了国家信息安全等级保保护工作工作协调小小组第一次会第一次会议。三是制定了等三是制定了等级保保护系列技系列技术标准。准。四是开展了等四是开展了等级保保护基基础调查工作。工作。五是部署开展信息安全等五是部署开展信息安全等级保保护试点工作。点工作。六是出台新的六是出台新的信息安全等信息安全等级保保护管理方法管理方法。七是筹七是筹备召开全国信息系召开全国信息系统定定级工作。

7、工作。二、信息系统安全等级划分 v根据信息系统安全等级保护实施指南的规定，信息系统可以分为五个安全等级，国家对不同级别的信息和信息系统实行不同强度的监管政策。v一第一级为自主保护级其主要对象为一般的信息系统，其业务信息安全性或业务效劳保证性受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不危害 、社会秩序和公共利益。本级系统依照国家管理标准和技术标准进行自主保护。二、信息系统安全等级划分 v二第二级为指导保护级其主要对象为一般的信息系统，其业务信息安全性或业务效劳保证性受到破坏后，会对社会秩序和公共利益造成一定损害，但不损害 。本级系统依照国家管理标准和技术标准进行自主保护，必要时信

8、息安全监管职能部门对其进行指导。二、信息系统安全等级划分 v三第三级为监督保护级其主要对象为涉及 、社会秩序和公共利益的重要信息系统，其业务信息安全性或业务效劳保证性受到破坏后，会对 、社会秩序和公共利益造成较大损害。本级系统依照国家管理标准和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查。二、信息系统安全等级划分 v四第四级为强制保护级其主要对象为涉及 、社会秩序和公共利益的重要信息系统，其业务信息安全性或业务效劳保证性受到破坏后，会对 、社会秩序和公共利益造成严重损害。本级系统依照国家管理标准和技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检查。二、信息系统安全

9、等级划分 v五第五级为专控保护级其主要对象为涉及 、社会秩序和公共利益的重要信息系统的核心子系统，其业务信息安全性或业务效劳保证性受到破坏后，会对 、社会秩序和公共利益造成特别严重损害。本级系统依照国家管理标准和技术标准进行自主保护，国家指定专门部门、专门机构进行专门监督、检查。二、安全保护等级的划分 三、信息系统安全等级保护相关标准v我国正式公布的信息系统安全等级保护的强制性国家标准是GB 17859 1999计算机信息系统安全保护等级划分准则，该准则于1999年9月13日经国家质量技术监督局发布，2001年1月1日起实施。随后围绕GB 17859 1999编写和制定了一系列与信息系统安全等

10、级保护有关的标准和指南，旨在标准和指导信息系统安全等级保护实施过程中的活动。一GB 17859 1999计算机信息系统安全保护等级划分准则vGB 17859 1999是建立计算机信息系统安全等级保护制度，实施安全等级管理的重要基础性标准。v它将计算机信息系统安全保护等级划分为五个等级，通过标准、科学和公正的评定和监督管理，一是为计算机信息系统安全等级保护管理法规的制定和执法部门的监督、检查提供依据；二是为计算机信息系统安全产品的研制提供技术支持；三是为安全系统的建设和管理提供技术指导。一GB 17859 1999计算机信息系统安全保护等级划分准则vGB 17859 1999规定了计算机信息系统

11、安全保护能力的五个等级；v定义了计算机信息系统、计算机信息系统可信计算机、客体、主体、敏感标记、安全策略、信道、隐蔽信道、访问监控器；v描述了五个等级的细则。二GA/T 390 2002计算机信息系统安全等级保护通用技术要求v 部于2002年7月15日发布并实施了GA/T 390 2002计算机信息系统安全等级保护通用技术要求。vGA/T 390 2002计算机信息系统安全等级保护通用技术要求作为计算机信息系统安全等级保护要求系列的基础标准，详细说明了计算机信息系统为实现GB 17859 1999所提出的安全等级要求应采取的通用的安全技术，以及为确保这些安全技术所实现的安全功能到达其应具有的安

12、全性而采取的保证措施，并将对计算机信息系统五个安全保护等级每一级的要求，从技术要求方面进行详细描述。二GA/T 390 2002计算机信息系统安全等级保护通用技术要求vGA/T 390 2002主要内容为：1安全功能技术要求，包括物理安全、运行安全、信息安全。2安全保证技术要求，包括TCB自身安全保护、TCB设计和实现、TCB安全管理。3五个安全等级划分要求技术方面细则。三GA/T 388 2002计算机信息系统安全等级保护操作系统技术要求v 部于2002年7月15日发布并实施v该标准作为计算机信息系统安全等级保护要求系列标准的重要组成局部，用于指导设计者如何设计和实现具有所需要的安全等级的操

13、作系统，主要从对操作系统的安全等级进行划分来说明其技术要求，即主要说明为实现GB 17859 1999所提出的安全等级要求对操作系统应采取的安全技术措施，以及各安全技术要求在不同安全级中具体实现的差异。对计算机信息系统五个安全保护等级每一级的安全功能技术要求和安全保证技术要求进行详细描述。四GA/T 389 2002计算机信息系统安全等级保护数据库管理系统技术要求v 部于2002年7月15日发布并实施。v该标准作为计算机信息系统安全等级保护要求系列标准的重要组成局部，用于指导设计者如何设计和实现具有所需要的安全等级的数据库管理系统，主要从对数据库管理系统的安全等级进行划分来说明其技术要求，即主

14、要说明为实现GB 17859 1999所提出的安全等级要求对数据库管理系统应采取的安全技术措施，以及各安全技术要求在不同安全级中具体实现的差异。v对计算机信息系统五个安全保护等级每一级的安全功能技术要求和安全保证技术要求进行详细描述。四GA/T 389 2002计算机信息系统安全等级保护数据库管理系统技术要求vGA/T 389 2002主要内容为：1数据库管理系统安全技术要求，包括身份鉴别、标记与访问控制、数据完整性、数据库安全审计、客体重用、数据库可信恢复、隐蔽信道分析、可信路径、推理控制。2五个安全等级划分要求技术方面细则。五GA/T 387 2002计算机信息系统安全等级保护网络技术要求

15、v 部于2002年7月15日发布并实施v该标准作为计算机信息系统安全等级保护要求系列标准的重要组成局部，用于指导设计者如何设计和实现具有所需要的安全等级的网络系统，主要从对网络系统的安全等级进行划分来说明其技术要求，即主要说明为实现GB 17859 1999所提出的安全等级要求对网络系统应采取的安全技术措施，以及各安全技术要求在不同安全级中具体实现的差异。v对计算机信息系统五个安全保护等级每一级的安全功能技术要求和安全保证技术要求进行详细描述。五GA/T 387 2002计算机信息系统安全等级保护网络技术要求vGA/T 387 2002主要内容为：1简单描述了关于安全等级划分、主体、客体、TC

16、B、密码技术、建立网络安全的一般要求，以及网络安全组成与相互关系。2详细描述了网络基本安全技术，包括自主访问控制、强制访问控制、标记、用户身份鉴别、剩余信息保护、安全审计、数据完整性、隐蔽信道分析、可信路径、可信恢复、抗抵赖、密码支持等。3详细描述了网络安全技术要求。4五个安全等级划分要求技术方面细则。六GA/T 391 2002计算机信息系统安全等级保护管理要求v 部于2002年7月18日发布并实施。v该标准作为GB 17859 1999计算机信息系统安全保护等级划分准则的管理要求，是根据计算机信息系统安全保护条例的规定编写的，是GB 17859 1999的配套标准中的重要标准之一，与上述所

17、介绍的技术要求共同组成计算机信息系统的安全等级保护体系。计算机信息系统的安全等级保护体系从计算机信息系统的管理层面、物理层面、系统层面、网络层面、应用层面、运行层面对计算机信息系统资源实施保护，作为计算机信息系统安全保护的支撑效劳。管理层面贯穿其他五个层面，是其他五个层面实施安全等级保护的保证。六GA/T 391 2002计算机信息系统安全等级保护管理要求vGA/T 391 2002主要内容为：1简单描述了信息系统安全管理的内涵、主要安全要素、信息系统安全管理的基本原则、安全管理的过程、安全管理组织、人员安全管理、安全管理制度等。2五个安全等级划分要求管理方面细则。七信息安全技术信息系统安全等

18、级保护实施指南v该标准以信息系统安全等级保护建设为主要线索，介绍了信息系统的安全等级和保护要求等相关概念；说明了信息系统安全等级保护实施过程中涉及的角色；信息系统安全等级保护实施的基本原则；信息系统安全等级保护实施的基本过程；信息系统安全等级保护实施的主要阶段和主要活动以及与信息系统生命周期之间的关系；提出了信息系统安全等级保护在信息系统生命周期不同阶段的实施要点、实施流程、具体的活动内容以及活动的输入输出等，并对其进行了详细的描述。八信息系统安全保护等级定级指南v根据信息安全技术信息系统安全等级保护实施指南中等级保护实施的生命周期，要对信息系统进行安全等级保护，首先就要科学地确定信息系统的安

19、全等级，信息系统安全保护等级定级指南给出了如何对信息系统的安全等级进行确定的标准化规定和描述。八信息系统安全保护等级定级指南v为确定信息系统的安全保护等级，首先要确定信息系统内各业务子系统在四个定级要素方面的赋值分别为系统所属类型、业务信息类型、效劳范围、依赖程度，然后分别由四个定级要素确定业务信息安全性和业务效劳保证性两个定级指标的等级，再根据业务信息安全性等级和业务效劳保证性等级确定业务子系统安全保护等级，最后由信息系统内各业务子系统的最高等级确定信息系统的安全保护等级。八信息系统安全保护等级定级指南v信息系统安全保护等级定级指南为各单位开展、实施等级保护提供了一个通用标准奠定了坚实的基础

20、。v各单位首先根据信息系统安全保护等级定级指南中的标准方法，明确确定本单位信息系统的安全等级，一旦等级确定完成，后续的建设和运行维护工作，再参考信息安全技术信息系统安全等级保护基本要求实施。九信息安全技术信息系统安全等级保护基本要求 v信息安全技术信息系统安全等级保护基本要求规定了信息系统安全等级保护的基本要求，包括基本技术要求和基本管理要求，适用于不同安全等级的信息系统的安全保护。九信息安全技术信息系统安全等级保护基本要求v信息安全技术信息系统安全等级保护基本要求为安全等级保护的每一个级别共五个级别都规定了要实现的安全目标，以及为了实现安全目标所必须采用的技术措施和管理手段。每一级别的技术措

21、施和管理手段具体要求都被明确提出并分类组织。其中，技术措施的要求分为物理安全、网络安全、主机系统安全、应用安全和数据安全五个不同层次；管理手段的要求分为安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运行维护管理五个不同类别。九信息安全技术信息系统安全等级保护基本要求v信息安全技术信息系统安全等级保护基本要求为安全等级保护的每一级别所规定的技术措施和管理手段的要求，各单位应当根据本单位信息系统安全级别的具体情况严格遵循。十信息系统安全等级保护测评准则v各单位对信息系统安全等级保护的实施力度和遵循情况，不仅需要各单位自身进行检查和评估，而且需要信息安全监管职能部门依法进行监督、检查。

22、评价信息系统是否到达了相应级别的安全保护要求的过程，是对信息系统等级保护进行测评的活动。为了标准安全等级保护的测评活动，信息系统安全等级保护测评准则对每一特定安全级别的信息系统从技术措施和管理措施两方面提出了测评要求。十信息系统安全等级保护测评准则v信息系统安全等级保护测评准则将测评分为安全控制测评和系统整体测评两方面。安全控制测评，主要是测评信息系统安全等级保护要求的基本安全控制在信息系统中的实施和配置情况；系统整体测评，主要对信息系统的整体安全性进行测评。安全控制测评是信息系统整体安全性测评的基础。第二节 信息安全等级保护实施 v一、基本原则v二、参与角色和职责v三、实施过程v四、安全等级

23、保护与信息系统生命周期的关系一、基本原则v等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。v等级保护在实施过程中应遵循以下基本原则：v一自主保护原则由各主管部门和运营、使用单位按照国家相关法规和标准，自主确定信息系统的安全等级，自行组织实施安全保护。v二同步建设原则信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。一、基本原则v三重点保护原则根据信息系统的重要程度、业务特点，通过划分不同的安全等级，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。v四适当调整原则要跟踪信息系统的

24、变化情况，调整安全保护措施。因为信息系统的应用类型、范围等条件的变化及其他原因，安全等级需要变更的，应当根据等级保护的管理标准和技术标准的要求，重新确定信息系统的安全等级，根据信息系统安全等级的调整情况，重新实施安全保护。二、参与角色和职责v信息系统安全等级保护系列标准中的信息安全技术信息系统安全等级保护实施指南，将参与等级保护过程的各类组织和人员划分为：主要角色：是指信息系统主管部门和信息系统运营、使用单位；主要角色将参与等级保护实施过程的所有活动次要角色：是指信息系统安全效劳商、信息安全监管机构、安全测评机构和安全产品供给商。次要角色将参与等级保护实施过程的某一个或多个活动。等级保护实施过

25、程中各类角色的职责 v一信息系统主管部门主要责任：做好下属单位的等级保护监督管理工作；组织、协调和催促下属单位按照等级保护的管理标准和技术标准对信息系统进行等级保护；对下属单位确定的信息系统安全等级进行审批；催促下属单位定期进行安全状况检测评估，及时消除安全隐患和漏洞等。等级保护实施过程中各类角色的职责v二信息系统运营、使用单位信息系统运营、使用单位的主要责任是按照等级保护的管理标准和技术标准，确定其信息系统的安全等级，并报其主管部门审批同意；对安全等级在三级以上的信息系统，报送本地区地市级 机关备案；根据已经确定的安全等级，按照等级保护的管理标准和技术标准，进行信息系统的规划设计、建设施工；

26、采购和使用相应等级的信息安全产品，建设安全设施，落实安全技术措施；对已经完成等级保护建设的信息系统进行检查评估，发现问题及时整改；加强和完善自身等级保护制度的建设，加强自我保护；定期进行安全状况检测评估，及时消除安全隐患和漏洞，建立安全制度，制定不同等级信息安全事件的响应、处置预案，加强信息系统的安全管理。等级保护实施过程中各类角色的职责v三信息系统安全效劳商信息系统安全效劳商的主要责任是根据信息系统运营、使用单位的委托，按照等级保护的管理标准和技术标准，协助信息系统运营、使用单位完成等级保护的相关工作，可能包括确定其信息系统的安全等级、进行安全需求分析、进行信息系统的规划设计、建设施工等。等

27、级保护实施过程中各类角色的职责v四信息安全监管机构信息安全监管机构的主要责任是对不同重要程度的信息系统的等级保护工作给予相应的指导，确保等级保护工作顺利开展；按照等级保护的管理标准和技术标准的要求，重点对第三级、第四级信息系统的等级保护状况进行监督检查；发现存在安全隐患或未到达等级保护的管理标准和技术标准要求的要限期整改，使信息系统的安全保护措施更加完善；对信息系统中使用的信息安全产品的等级进行监督检查。等级保护实施过程中各类角色的职责v五安全测评机构安全测评机构的主要责任是根据信息系统运营、使用单位的委托或根据信息安全监管机构的委托，协助信息系统运营、使用单位或信息安全监管机构按照等级保护的

28、管理标准和技术标准，对已经完成等级保护建设的信息系统进行检查评估，对安全产品供给商提供的信息安全产品进行检查评估。等级保护实施过程中各类角色的职责v六安全产品供给商安全产品供给商的主要责任是按照等级保护的管理标准和技术标准的要求，开发符合等级保护要求的信息安全产品；提交信息安全产品进行安全等级测评并按照等级保护要求销售信息安全产品。三、实施过程v对信息系统实施等级保护的过程划分为五个阶段 一系统定级阶段v系统定级阶段通过对信息系统的调查和分析进行信息系统划分，确定包括相对独立的信息系统的个数，选择适宜的信息系统安全等级定级方法，科学、准确地确定每个信息系统的安全等级。v通常情况下，系统定级阶段

29、包括系统识别和描述、信息系统划分和安全等级确定等几个主要活动。二安全规划设计阶段v安全规划设计阶段通过安全需求分析判断信息系统的安全保护现状与国家等级保护基本要求之间的差距，确定安全需求，然后根据信息系统的划分情况、信息系统定级情况、信息系统承载业务情况和安全需求等，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施规划等，以指导后续的信息系统安全建设工程的实施。v通常情况下，安全规划设计阶段包括安全需求分析、安全总体设计、安全建设规划等几个主要活动。三安全实施阶段v安全实施阶段通过安全方案详细设计、安全产品的采购、安全控制的开发、安全控制集成、机构和人员的配置、安全管理制度的建设、

30、人员的安全技能培训等环节，将安全规划设计阶段的安全方针和策略，具体落实到信息系统中去，其最终的成果是提交满足用户安全需求的信息系统以及配套的安全管理体系。v通常情况下，安全实施阶段包括安全方案详细设计、等级保护安全测评、等级保护技术实施和等级保护管理实施等几个主要活动。安全管理体系的建设应该贯穿信息系统的整个生命周期，涉及等级保护实施过程的各个阶段。四安全运行维护阶段v安全运行维护阶段将介绍运行管理和控制、变更管理和控制、安全状态监控以及安全事件处置和应急预案等过程；通过运行管理和控制、变更管理和控制、对安全状态进行监控、对发生的安全事件及时响应，确保信息系统正常运行；通过安全检查和持续改进不

31、断跟踪信息系统的变化，并依据变化进行调整，确保信息系统满足相应等级的安全要求，处于良好安全状态。安全运行维护阶段需要进行的安全控制活动很多，如运行管理和控制、变更管理和控制、安全状态监控以及安全事件处置和应急预案等。五系统终止阶段v系统终止阶段是对信息系统的过时或无用局部进行报废处理的过程，主要涉及对信息、设备、存储介质或整个信息系统的废弃处理。系统终止阶段的主要活动可能包括对信息的转移、暂存或去除，对设备的迁移或废弃，对存储介质的去除或销毁。系统终止阶段迁移或废弃系统组件时，核心关注点是防止敏感信息泄漏。四、安全等级保护与信息系统生命周期的关系v信息系统生命周期包括五个阶段，即启动准备阶段、

32、设计/开发阶段、实施/实现阶段、运行维护阶段和系统终止阶段。v安全等级保护实施活动与信息系统生命周期中的其他活动有着不可分割的关系；同时，安全等级保护实施活动又有自己的特点，安全等级保护工作将贯穿信息系统生命周期的各个阶段。安全等级保护实施的过程与信息系统生命周期的关系 安全等级保护实施的过程与信息系统生命周期的关系v安全等级保护的实施分为：新建信息系统安全等级保护的实施已建信息系统安全等级保护的实施v两者在信息系统生命周期中的切入点是不同的。新建信息系统安全等级保护的实施 v新建信息系统在生命周期中的各个阶段应同步考虑安全等级保护实施的主要活动。v在启动准备阶段，应该仔细分析和合理划分各个信

33、息系统，确定各个信息系统的安全等级，定级过程也可能在设计/开发阶段实施；v在设计/开发阶段，应该根据各个信息系统的安全等级，进行安全需求分析，合理规划设计网络结构、应用系统、安全保护措施等，确保各个信息系统按照国家等级保护的要求进行规划设计；v在实施/实现阶段，应在系统建设的同时，同步进行安全措施的落实和实现；v在运行维护阶段，应按照国家等级保护的要求进行安全维护和安全管理；v在系统终止阶段，应对系统的废弃过程进行有效安全管理。已建信息系统安全等级保护的实施 v已建信息系统通常处于系统运行维护阶段，但由于在启动准备阶段、设计/开发阶段和实施/实现阶段可能没有同步考虑国家等级保护的要求，因此，应

34、在信息系统运行维护阶段开始启动等级保护工作，等级保护实施过程中的系统定级阶段、安全规划设计阶段、安全实施阶段的主要活动都将在信息系统生命周期的系统运行维护阶段完成。v由于是已经存在的信息系统，工作的重点应放在系统定级阶段如何划分信息系统并确定安全等级、在安全规划设计阶段如何规划设计出符合国家等级保护要求的安全改造方案、在安全实施阶段如何保证在不影响现有业务应用的情况下使各类安全措施可以顺利落实等方面。第三节 信息系统安全等级确定v一、信息系统和业务子系统v二、决定信息系统安全保护等级的因素v三、确定信息系统安全保护等级的步骤v四、信息系统安全保护等级确实定方法v五、定级案例分析第三节 信息系统

35、安全等级确定v系统定级是实施等级保护的前提和基础。信息系统安全等级确实定是否准确直接关系到是否对信息系统采取了足够的安全保护措施，是否能够将信息系统遭到破坏后对 、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度降到最低。v信息系统安全保护等级定级指南中阐述了如何对信息系统的安全级别进行定级，提出了量化流程和方法，各行业信息系统的主管部门可以根据该指南制定适合本行业或部门的具体定级方法和指导意见。一、信息系统和业务子系统v信息系统是基于计算机或计算机网络，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和效劳的人机系统。v业务子系统由信息系统的一局部组件构成，是信息

36、系统中能够承载某项业务工作的子系统。v按照信息系统的定义，典型的信息系统应由计算机硬件设备包括效劳器设备、客户端设备、打印机及存储器等外围设备、计算机网络硬件设备包括交换机、路由器、各种适配器以及通信线路等、安装于这些硬件设备上的软件、所提供的效劳以及相关的人员构成。信息系统内的各业务子系统一般有较为紧密的关联，可能存在共用设备或较为频繁的数据交换。v业务子系统是按照信息系统所承载的业务对信息系统进行划分所形成的子系统。业务子系统是信息系统中可以为定级要素赋值的最小单元。业务子系统应具有信息系统的全部特点，是由计算机硬件、计算机网络硬件以及安装于这些硬件上的软件、提供的效劳以及相关人员构成的一

37、个有形实体，并且承载确定的业务。v如果信息系统只承载一项业务，可以直接为该信息系统确定安全等级，不必划分业务子系统。如果信息系统承载多项业务，应根据各项业务的性质和特点，将信息系统分成假设干业务子系统，分别为各业务子系统确定安全保护等级。信息系统的安全保护等级由各业务子系统的最高等级决定。信息系统是进行等级确定和等级保护管理的最终对象。二、决定信息系统安全保护等级的因素 v信息系统的安全保护等级应当根据信息系统在 、经济建设、社会生活中的重要程度决定。从另一个角度看，信息系统重要程度越高，其遭到破坏后对 、经济建设、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度也越高。决定信息

38、系统重要性的要素v一信息系统所属类型，即信息系统资产的安全利益主体信息系统所属类型在较大程度上决定了信息系统受到破坏后对其社会价值的影响程度。根据社会影响上下，典型的信息系统所属类型、赋值及其社会影响如下表所示。信息系统所属类型举例赋值信息系统的社会影响属于一般企事业单位处理其内部事务的信息系统。1信息系统资产受到破坏会对本单位利益有直接影响。属于重要行业、重要领域和国家基础设施为国计民生、经济建设等提供重要效劳的信息系统，或本身虽属于一般企事业单位，但为 政或重要信息系统提供支撑效劳的信息系统。2信息系统资产受到破坏会对公共利益有直接影响，或对 利益有间接影响。属于 政机关处理国家事务的信息

39、系统。3信息系统资产受到破坏会对 利益有直接影响。决定信息系统重要性的要素v二信息系统主要处理的业务信息类型v根据信息系统中业务信息保密性、完整性或可用性被破坏后，对 利益、经济建设、公共利益或单位利益的影响程度，典型的业务信息类型、赋值及其安全影响如下表所示。业务信息类型举例赋值业务信息的安全影响可以对外公开发布的信息，或不对外发布的单位内部一般信息。1业务信息保密性、完整性或可用性被破坏会对公共利益或本单位经济利益造成一定损害。法人和其他组织及公民的专有信息，如内部敏感信息、关键技术数据、科技情报、商业秘密等。2业务信息保密性、完整性或可用性被破坏会对公共利益或本单位经济利益造成严重损害。

40、涉及 利益，影响国家经济建设的信息。3业务信息保密性、完整性或可用性被破坏会对 利益和国家经济建设造成损害。决定信息系统重要性的要素v三信息系统效劳范围，包括效劳对象和效劳网络覆盖范围v根据信息系统因完整性和可用性受到破坏，无法提供效劳或无法提供有效效劳造成的社会影响范围大小，典型的信息系统效劳范围、赋值和相关影响如下表所示。信息系统效劳范围举例赋值效劳范围的影响地区范围的效劳网络。1信息系统因无法提供效劳或无法提供有效效劳会对局部范围的资产造成损害。省级范围的效劳网络。2信息系统因无法提供效劳或无法提供有效效劳会对较大范围的资产造成损害。全国范围的效劳网络。3信息系统因无法提供效劳或无法提供

41、有效效劳会对全国范围的资产造成损害。决定信息系统重要性的要素v四业务对信息系统的依赖程度v根据信息系统因完整性和可用性受到破坏，无法提供效劳或无法提供有效效劳对单位完成其业务使命的最大影响程度，典型的业务依赖程度、赋值及相关影响如下表所示。业务依赖程度举例赋值业务系统影响业务处理流程的大局部可以通过手工方式或其他方式替代完成，自动化程度低。1信息系统无法提供效劳或无法提供有效效劳对单位完成其业务使命影响较小。业务处理流程的局部环节可以通过手工方式或其他方式替代完成，自动化程度中。2信息系统无法提供效劳或无法提供有效效劳对单位完成其业务使命影响较大。业务处理流程完全依赖信息系统，手工方式无法完成

42、，自动化程度高。3信息系统无法提供效劳或无法提供有效效劳使单位无法完成其业务使命。等级确定的原则v满足国家管理要求原足国家管理要求原则信息系信息系统安全保安全保护等等级既不是信息系既不是信息系统安全安全保障等保障等级，也不是信息系，也不是信息系统所能到达的技所能到达的技术能力等能力等级，而是从国家管理的需要出，而是从国家管理的需要出发，从，从信息系信息系统对 、经济建建设、公共利益等方面、公共利益等方面的重要性，以及信息或信息系的重要性，以及信息或信息系统被破坏后造被破坏后造成危害的成危害的严重性角度确定的信息系重性角度确定的信息系统应到达到达的安全等的安全等级。v全局性原全局性原则信息系信息

43、系统安全等安全等级保保护是是针对全国范全国范围内、内、涵盖各个行涵盖各个行业信息系信息系统的管理制度，信息系的管理制度，信息系统安全保安全保护等等级的划分也必的划分也必须从国家从国家层面考面考虑，表达全局性。，表达全局性。等级确定的原则v业务为核心原核心原则信息系信息系统是是为业务应用效用效劳的，信息系的，信息系统的安全保的安全保护等等级应当依据信息系当依据信息系统承承载业务的重要性、的重要性、业务对信息系信息系统的依的依赖度和度和系系统特殊的安全需求确定。特殊的安全需求确定。v合理性原合理性原则不同于信息安全不同于信息安全产品，信息系品，信息系统千差万千差万别，各具特色，只有在划分安全保各具

44、特色，只有在划分安全保护等等级的的过程中，尽可能反映出信息系程中，尽可能反映出信息系统的主要安全的主要安全特征，合理划分等特征，合理划分等级，才能做到突出重点，才能做到突出重点，适度保适度保护。决定等级的主要因素分析已在不同分已在不同分级方法中出方法中出现的作的作为划分信息系划分信息系统安安全等全等级的因素主要包括：的因素主要包括：v业务系系统在国家事在国家事务中的重要性中的重要性实施意施意见；v资产包括有形包括有形资产和无形和无形资产FIPS199，IATF，DITSCAP，NIST800-37；v威威胁IATF；v信息被破坏后信息被破坏后对国家、社会公共利益和国家、社会公共利益和单位或个位

45、或个人的人的影响影响FIPS199，通用要求，通用要求，实施指南；施指南；v业务对信息系信息系统的依的依赖程度程度DITSCAP 决定等级的主要因素分析划分等划分等级时应考考虑以下因素：以下因素：v系系统所属所属类型，即信息系型，即信息系统的安全利益主体。的安全利益主体。v信息系信息系统主要主要处理的理的业务信息信息类别。v系系统效效劳范范围，包括效，包括效劳对象和效象和效劳网网络覆盖范覆盖范围。v业务依依赖程度程度，或以手工作程度程度，或以手工作业替代信息系替代信息系统处理理业务的程度的程度其中第其中第1、2个要素决定信息系个要素决定信息系统内信息内信息资产的重要性，的重要性，第第3、4个要

46、素决定信息系个要素决定信息系统所提供效所提供效劳的重要性，而的重要性，而信息信息资产及信息系及信息系统效效劳的重要性决定了信息系的重要性决定了信息系统的重的重要性。要性。决定等级的主要因素分析系统所属类型系统所属类型业务信息类别业务信息类别系统效劳范围系统效劳范围业务依赖程度程度业务依赖程度程度业务信息安全性业务信息安全性业务效劳保证性业务效劳保证性决定等级的主要因素分析业务信息安全性业务信息安全性业务效劳保证性业务效劳保证性信息系统安全保护等级信息系统安全保护等级等级确定方法 信息系统划分信息系统划分等级确定方法等级确定方法等级确定步骤等级确定步骤等级调整等级调整信息系统划分 一个组织机构内

47、可能运行一个或多个信息系一个组织机构内可能运行一个或多个信息系统，这些信息系统的安全保护等级可以是相同的，统，这些信息系统的安全保护等级可以是相同的，也可以是不同的。为表达重点保护重要信息系统安也可以是不同的。为表达重点保护重要信息系统安全，有效控制信息安全建设成本，优化信息安全资全，有效控制信息安全建设成本，优化信息安全资源配置的等级保护原则，在进行信息系统的划分时源配置的等级保护原则，在进行信息系统的划分时应考虑以下几个方面：应考虑以下几个方面：1、相同的管理机构、相同的管理机构 2、相同的业务类型、相同的业务类型3、相同的物理位置或相似的运行环境、相同的物理位置或相似的运行环境 信息系统

48、划分 定级对象：定级对象：如果信息系统只承载一项业务，可以直接为如果信息系统只承载一项业务，可以直接为该信息系统确定等级。该信息系统确定等级。如果信息系统承载多项业务，应根据各项业如果信息系统承载多项业务，应根据各项业务的性质和特点，将信息系统分成假设干业务子系务的性质和特点，将信息系统分成假设干业务子系统，分别为各业务子系统确定安全保护等级，信息统，分别为各业务子系统确定安全保护等级，信息系统的安全保护等级由各业务子系统的最高等级决系统的安全保护等级由各业务子系统的最高等级决定。信息系统是进行等级确定和等级保护管理的最定。信息系统是进行等级确定和等级保护管理的最终对象。终对象。信息系统划分

49、信息系统内的各业务子系统一般有较为紧密信息系统内的各业务子系统一般有较为紧密的关联，可能存在共用设备或较为频繁的数据交换。的关联，可能存在共用设备或较为频繁的数据交换。业务子系统是按照信息系统所承载的业务对业务子系统是按照信息系统所承载的业务对信息系统进行划分所形成的子系统。业务子系统是信息系统进行划分所形成的子系统。业务子系统是信息系统中可以为定级要素赋值的最小单元，业务信息系统中可以为定级要素赋值的最小单元，业务子系统应具有信息系统的全部特点子系统应具有信息系统的全部特点。等级确定方法具体步具体步骤：v通通过对信息系信息系统类型和型和业务信息信息类型型赋值，确定，确定信息系信息系统的的业务

50、信息安全性等信息安全性等级；v通通过对信息系信息系统效效劳范范围和和业务依依赖程度程度赋值，确定信息系确定信息系统的的业务效效劳保保证性等性等级；v通通过业务信息安全性等信息安全性等级和和业务效效劳保保证性等性等级确定信息系确定信息系统安全保安全保护等等级。v等等级调整整 确定信息系统安全保护等级的步骤v为确定信息系统的安全保护等级，首先要确定信息系统内各业务子系统在上述四个定级要素方面的赋值，然后分别由四个定级要素确定业务信息安全性和业务效劳保证性两个定级指标的等级，再根据业务信息安全性等级和业务效劳保证性等级确定业务子系统安全保护等级，最后由信息系统内各业务子系统的最高等级确定信息系统的安