信息安全等級(jí)保護(hù)

1、信息安全等級(jí)保護(hù)內(nèi)容介紹,省公安廳網(wǎng)警總隊(duì)王詩(shī)軍,目錄,一、為什么開(kāi)展等級(jí)保護(hù)二、什么是等級(jí)保護(hù)三、如何實(shí)施等級(jí)保護(hù),一、為何開(kāi)展信息安全等級(jí)保護(hù),1、背景2、存在的問(wèn)題3、國(guó)外做法4、現(xiàn)實(shí)要求,我省信息化發(fā)展?fàn)顩r,目前，我省互聯(lián)網(wǎng)用戶1800多萬(wàn)，互聯(lián)網(wǎng)站點(diǎn)29萬(wàn)個(gè)，均居全國(guó)首位。網(wǎng)絡(luò)技術(shù)對(duì)社會(huì)進(jìn)步的貢獻(xiàn)有目共睹，主要體現(xiàn)在電子政務(wù)、電子商務(wù)、電子娛樂(lè)、遠(yuǎn)程醫(yī)療、遠(yuǎn)程教育等多個(gè)領(lǐng)域的應(yīng)用。隨著3G、IPv6等新技術(shù)的

2、逐漸成熟和投入使用，網(wǎng)絡(luò)將給人們的生產(chǎn)、生活帶來(lái)更大方便，提供更多就業(yè)機(jī)會(huì)，促進(jìn)社會(huì)經(jīng)濟(jì)更快發(fā)展。據(jù)有關(guān)機(jī)構(gòu)調(diào)查，在大城市已經(jīng)有4%的消費(fèi)者采用了網(wǎng)上購(gòu)物方式，超過(guò)郵購(gòu)方式，有7%的消費(fèi)者在未來(lái)會(huì)采用網(wǎng)上購(gòu)物方式。,信息安全形勢(shì),現(xiàn)代化建設(shè)的許多方面已融入于網(wǎng)絡(luò)（信息） 社會(huì)之中，政府部門正在積極推進(jìn)電子政務(wù)；金融、證券部門正在穩(wěn)健地開(kāi)展網(wǎng)絡(luò)化的服務(wù)業(yè)務(wù)（網(wǎng)上銀行支付和網(wǎng)上證券交易）；商貿(mào)部門正在推動(dòng)電子商務(wù)的發(fā)展；國(guó)防部門積極研究網(wǎng)絡(luò)

3、信息戰(zhàn)（現(xiàn)代戰(zhàn)爭(zhēng)的形式）等。,信息安全形勢(shì),信息是戰(zhàn)略資源，是決策之本，是控制一個(gè)國(guó)家國(guó)民經(jīng)濟(jì)與軍事的靈魂。 由Internet的發(fā)展而帶來(lái)的網(wǎng)絡(luò)系統(tǒng)的安全問(wèn)題正變得突出，網(wǎng)絡(luò)安全已成為關(guān)系國(guó)家安全的重大戰(zhàn)略問(wèn)題。運(yùn)籌帷幄，決勝千里。,存在的問(wèn)題,信息安全意識(shí)和安全防范能力薄弱，信息安全滯后于信息化發(fā)展； 信息系統(tǒng)安全建設(shè)和管理的目標(biāo)不明確； 信息安全保障工作的重點(diǎn)不突出； 信息安全監(jiān)督管理缺乏依據(jù)和標(biāo)準(zhǔn)，監(jiān)管

4、措施有待到位，監(jiān)管體系尚待完善。,存在的問(wèn)題,大多數(shù)單位的信息系統(tǒng)安全保護(hù)還處在采用防火墻、IDS和防病毒等部件方面。重視外部攻擊與入侵，忽視內(nèi)部的非法行為偏重產(chǎn)品，忽視體系和管理。國(guó)內(nèi)產(chǎn)品質(zhì)量和技術(shù)問(wèn)題。用戶信息安全的潛在的需求到現(xiàn)實(shí)需求仍有一個(gè)過(guò)程,存在的問(wèn)題,西方發(fā)達(dá)國(guó)家信息技術(shù)優(yōu)勢(shì)明顯，我國(guó)面臨信息強(qiáng)國(guó)的沖擊、挑戰(zhàn)和威脅，信息安全領(lǐng)域始終面臨信息戰(zhàn)和網(wǎng)絡(luò)恐怖襲擊的威脅 ；敵對(duì)勢(shì)力的網(wǎng)上煽動(dòng)、滲透和破壞活動(dòng)愈加突出，針對(duì)

5、信息系統(tǒng)進(jìn)行的破壞活動(dòng)日益嚴(yán)重，利用網(wǎng)絡(luò)實(shí)施的違法犯罪案件持續(xù)大幅上升 。,外部環(huán)境,— 美國(guó)政府發(fā)布了《保護(hù)網(wǎng)絡(luò)空間的國(guó)家戰(zhàn)略》 （2003.2)試圖根本上提高防止信息系統(tǒng)入侵和破壞能力。— 美國(guó)國(guó)防部《國(guó)防信息系統(tǒng)安全計(jì)劃DISSP 》 DISSP：Defense Information System Security Program DISSP的目標(biāo)： 使美國(guó)國(guó)防系統(tǒng)的信息系統(tǒng)安全結(jié)構(gòu)從“安全過(guò)渡策略”向統(tǒng)

6、一的具有多級(jí)安全的“國(guó)防目標(biāo)安全體系”轉(zhuǎn)變。,外部環(huán)境,2003年2月14日美國(guó)政府發(fā)布的《保護(hù)網(wǎng)絡(luò)空間的國(guó)家戰(zhàn)略》，為了確保國(guó)家關(guān)鍵基礎(chǔ)設(shè)施（基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)）的安全，對(duì)于網(wǎng)絡(luò)空間，從國(guó)家關(guān)心的角度，美國(guó)將其分為五個(gè)優(yōu)先級(jí)：第一級(jí) 家庭用戶和小型商業(yè)機(jī)構(gòu) 第二級(jí) 大型機(jī)構(gòu)（公司、政府機(jī)構(gòu)和大學(xué)等） 第三級(jí) 國(guó)家信息基礎(chǔ)設(shè)施部門包括聯(lián)邦政府、私營(yíng) 部門（銀行與金融、能源、運(yùn)輸、電信、信息技術(shù)、通用制造業(yè)

7、、化學(xué)制造業(yè)）、州和地方政府、高等教育機(jī)構(gòu)。 第四級(jí) 國(guó)家機(jī)構(gòu)和政策部門 第五級(jí) 全球,外部環(huán)境,美國(guó)聯(lián)邦信息處理標(biāo)準(zhǔn)（FIPS）是國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）制定的一類安全出版物，多為強(qiáng)制性標(biāo)準(zhǔn)。FIPS 199 《聯(lián)邦信息和信息系統(tǒng)安全分類標(biāo)準(zhǔn)》描述了如何確定一個(gè)信息系統(tǒng)的安全類別。確定系統(tǒng)級(jí)別的落腳點(diǎn)在于系統(tǒng)中所處理、傳輸、存儲(chǔ)的所有信息類型的重要性。信息和信息系統(tǒng)的“安全類別”是FIPS 199提出的一種新的系

8、統(tǒng)級(jí)別概念。該定義是建立在某些事件的發(fā)生直接導(dǎo)致三類安全目標(biāo)（保密性、完整性和可用性）的喪失，從而對(duì)機(jī)構(gòu)運(yùn)行（使命，功能，形象，聲譽(yù)）、機(jī)構(gòu)資產(chǎn)或個(gè)人產(chǎn)生潛在影響的基礎(chǔ)之上。即，衡量指標(biāo)是三性的喪失而產(chǎn)生的“影響級(jí)”，F(xiàn)IPS 199定義了三種影響級(jí)：低、中、高。,外部環(huán)境,FIPS 199按照“確定信息類型--確定信息的安全類別--確定系統(tǒng)的安全類別”三個(gè)步驟進(jìn)行系統(tǒng)最終的定級(jí)。首先，確定系統(tǒng)內(nèi)的所有信息類型。FIPS 199指出，

9、一個(gè)信息系統(tǒng)內(nèi)可能包含不止一種類型的信息（例如隱私信息、合同商敏感信息、專屬信息、系統(tǒng)安全信息等）。其次，根據(jù)三類安全目標(biāo)，確定不同信息類型的潛在影響級(jí)別（低、中、高）。最后，按照“取高”原則，即選擇系統(tǒng)內(nèi)所有信息類型的潛在影響級(jí)的較高級(jí)別作為系統(tǒng)的影響級(jí)（低、中、高）。FIPS199確定系統(tǒng)級(jí)別的方法的重點(diǎn)是信息和信息系統(tǒng)的級(jí)別建立在某些事件的發(fā)生會(huì)對(duì)機(jī)構(gòu)產(chǎn)生潛在影響的基礎(chǔ)之上，根據(jù)安全目標(biāo)（保密性、完整性和可用性）確定系統(tǒng)所處理

10、、存儲(chǔ)、傳輸?shù)男畔⒌募?jí)別，從而確定系統(tǒng)級(jí)別。,外部環(huán)境,據(jù)有關(guān)資料可以看出，信息技術(shù)已經(jīng)改變了美國(guó)企業(yè)和政府的運(yùn)行方式，美國(guó)經(jīng)濟(jì)和國(guó)家安全對(duì)信息技術(shù)和信息基礎(chǔ)設(shè)施依賴性越來(lái)越強(qiáng)，網(wǎng)絡(luò)直接支撐著各個(gè)經(jīng)濟(jì)領(lǐng)域的運(yùn)行。 綜合上述情況，不難看出，美國(guó)政府在信息安全領(lǐng)域采取的就是分級(jí)保護(hù)的策略。,現(xiàn)實(shí)要求,— 各國(guó)在大力推進(jìn)Internet與信息技術(shù)應(yīng)用的同時(shí)，抓緊實(shí)施國(guó)家信息安全保障體系與國(guó)防的信息安全防御體系?！?各國(guó)抓緊研

11、究信息安全策略、制訂體系標(biāo)準(zhǔn)、法律法規(guī)，實(shí)施安全計(jì)劃。 我國(guó)在推進(jìn)信息化進(jìn)程中，信息安全問(wèn)題得到重視。要求在黨政部門、要害部門使用具有國(guó)內(nèi)自主產(chǎn)權(quán)的安全產(chǎn)品。,現(xiàn)實(shí)要求,胡錦濤總書(shū)記指出： 信息安全是個(gè)大問(wèn)題，必須把信息安全問(wèn)題放到至關(guān)重要的位置，認(rèn)真加以考慮和解決 切實(shí)把互聯(lián)網(wǎng)建設(shè)好、利用好、管理好,現(xiàn)實(shí)要求,溫家寶總理強(qiáng)調(diào)： 面對(duì)復(fù)雜多變的國(guó)際環(huán)境和互聯(lián)網(wǎng)的廣泛應(yīng)用，我國(guó)信息安全問(wèn)題日益

12、突出。加入世界貿(mào)易組織、發(fā)展電子政務(wù)等，對(duì)信息安全保障提出了新的、更高的要求。必須從國(guó)家安全、經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定、公共利益的高度，充分認(rèn)識(shí)信息安全的極端重要性。,現(xiàn)實(shí)要求,溫家寶同志還指出： 堅(jiān)持積極防御、綜合防范的方針，在全面提高信息安全防護(hù)能力的同時(shí)，重點(diǎn)保障基礎(chǔ)網(wǎng)絡(luò)和重要系統(tǒng)的安全。完善信息安全監(jiān)控體系，建立信息安全的有效機(jī)制和應(yīng)急處理機(jī)制。,現(xiàn)實(shí)要求,美國(guó)及西方發(fā)達(dá)國(guó)家為了抵御信息網(wǎng)絡(luò)的脆弱性和安全威脅，制定了一系列

13、強(qiáng)化信息網(wǎng)絡(luò)安全建設(shè)的政策和標(biāo)準(zhǔn)，其中一個(gè)很重要思想就是按照安全保護(hù)強(qiáng)度劃分不同的安全等級(jí)，以指導(dǎo)不同領(lǐng)域的信息安全工作。 面對(duì)嚴(yán)峻的形勢(shì)和嚴(yán)重的問(wèn)題，如何解決我國(guó)信息安全問(wèn)題，是擺在我國(guó)政府、企業(yè)、公民面前的重大關(guān)鍵問(wèn)題。,二、什么是等級(jí)保護(hù),1、等級(jí)保護(hù)的含義2、等級(jí)保護(hù)的發(fā)展3、基本原則和要求4 、職責(zé)分工,信息安全等級(jí)保護(hù)定義,《信息安全等級(jí)保護(hù)管理辦法（試行）》：信息安全等級(jí)保護(hù)是指對(duì)國(guó)家秘密信息、法人和其他

14、組織及公民的專有信息以及公開(kāi)信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置?！缎畔踩燃?jí)保護(hù)管理辦法》國(guó)家通過(guò)制定統(tǒng)一的信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。,范疇,信息安全等級(jí)保護(hù)工作是一項(xiàng)由信息系統(tǒng)主管部門、運(yùn)營(yíng)使用單位、安全產(chǎn)品提供方、

15、安全服務(wù)提供方、檢測(cè)評(píng)估機(jī)構(gòu)、信息安全監(jiān)督管理部門等多方參與，涉及技術(shù)與管理兩個(gè)領(lǐng)域的復(fù)雜系統(tǒng)工程。是一項(xiàng)制度、一個(gè)體系，非風(fēng)險(xiǎn)評(píng)估等措施。,等級(jí)保護(hù)工作發(fā)展概況,1994年國(guó)務(wù)院頒布實(shí)施《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》2003年中辦、國(guó)辦轉(zhuǎn)發(fā)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》2004年公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)信辦出臺(tái)了《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》去年1月四部局辦聯(lián)合出臺(tái)《信

16、息安全等級(jí)保護(hù)管理辦法（試行）》今年6月22日四部局辦聯(lián)合出臺(tái)《信息安全等級(jí)保護(hù)管理辦法》,信息安全等級(jí)保護(hù)制度,1994年國(guó)務(wù)院《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》 （147號(hào)令）規(guī)定“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。等級(jí)劃分標(biāo)準(zhǔn)和等級(jí)管理辦法由公安部會(huì)同有關(guān)部門制定”。,信息安全等級(jí)保護(hù)制度(續(xù)）,1999年，公安部組織有關(guān)單位和專家起草了安全保護(hù)等級(jí)管理的重要基礎(chǔ)性國(guó)家強(qiáng)制性標(biāo)準(zhǔn)――《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》，并于1999

17、年9月13日經(jīng)國(guó)家質(zhì)量技術(shù)監(jiān)督局審查通過(guò)并正式批準(zhǔn)發(fā)布。該標(biāo)準(zhǔn)將計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力劃分為五個(gè)等級(jí)，為開(kāi)展我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)工作確定了劃分原則。,信息安全等級(jí)保護(hù)制度(續(xù)）,2003年，中央辦公廳、國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)的《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）明確指出：要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級(jí)保護(hù)制度。制定信息

18、安全等級(jí)保護(hù)的管理辦法和技術(shù)指南 。,信息安全等級(jí)保護(hù)制度(續(xù)）,2004年9月，公安部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)辦公室、國(guó)務(wù)院信息化工作辦公室聯(lián)合下發(fā)了《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（公通字[2004]66號(hào)），文件中明確指出：信息安全等級(jí)保護(hù)制度是國(guó)家在國(guó)民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展過(guò)程中，提高信息安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)健康發(fā)展的一項(xiàng)基本制度。,信息安全等級(jí)保護(hù)實(shí)施計(jì)劃,

19、《實(shí)施意見(jiàn)》中信息安全等級(jí)保護(hù)制度計(jì)劃用三年左右的時(shí)間在全國(guó)范圍內(nèi)分三個(gè)階段實(shí)施： （一）準(zhǔn)備階段 （二）重點(diǎn)實(shí)行階段 （三）全面實(shí)行階段,準(zhǔn)備階段,為了保障信息安全等級(jí)保護(hù)制度的順利實(shí)施，在全面實(shí)施等級(jí)保護(hù)制度之前，用一年左右的時(shí)間做好下列準(zhǔn)備工作：,加強(qiáng)領(lǐng)導(dǎo)，落實(shí)責(zé)任加快完善法律法規(guī)和標(biāo)準(zhǔn)體系建設(shè)信息安全等級(jí)保護(hù)監(jiān)督管理隊(duì)伍和技術(shù)支撐體系進(jìn)一步做好等級(jí)保護(hù)試點(diǎn)工作加強(qiáng)宣傳、培訓(xùn)工作,重點(diǎn)

20、實(shí)行階段,在做好前期準(zhǔn)備工作的基礎(chǔ)上，用一年左右的時(shí)間，在國(guó)家重點(diǎn)保護(hù)的涉及國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)中實(shí)行等級(jí)保護(hù)制度。經(jīng)過(guò)一年的建設(shè)，使基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的核心要害部位得到有效保護(hù)，涉及國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的保護(hù)狀況得到較大改善，結(jié)束目前基本沒(méi)有保護(hù)措施或保護(hù)措施不到位的狀況。,全面實(shí)行階段,在試行工作的基礎(chǔ)上，用一年左右的時(shí)間，在全國(guó)全面推行信息安全等級(jí)保護(hù)

21、制度。已經(jīng)實(shí)施等級(jí)保護(hù)制度的信息和信息系統(tǒng)的運(yùn)營(yíng)、使用單位及其主管部門，要進(jìn)一步完善信息安全保護(hù)措施。沒(méi)有實(shí)施等級(jí)保護(hù)制度的，要按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)認(rèn)真組織落實(shí)。,信息安全等級(jí)保護(hù)制度的意義,實(shí)行等級(jí)保護(hù)制度，能夠充分調(diào)動(dòng)國(guó)家、法人和其他組織及公民的積極性，發(fā)揮各方面的作用，達(dá)到有效保護(hù)的目的，增強(qiáng)安全保護(hù)的整體性、針對(duì)性和實(shí)效性，使信息系統(tǒng)安全建設(shè)更加突出重點(diǎn)、統(tǒng)一規(guī)范、科學(xué)合理，對(duì)促進(jìn)我國(guó)信息安全的發(fā)展將起到重要推動(dòng)作用

22、。,信息安全等級(jí)保護(hù)制度的意義（續(xù)）,實(shí)施信息安全等級(jí)保護(hù)，可以有效地提高我國(guó)信息安全建設(shè)的整體水平， 有利于在信息化建設(shè)過(guò)程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相協(xié)調(diào)； 有利于加強(qiáng)對(duì)涉及國(guó)家安全、經(jīng)濟(jì)秩序、社會(huì)穩(wěn)定和公共利益的信息系統(tǒng)的安全保護(hù)和管理監(jiān)督；,信息安全等級(jí)保護(hù)制度的意義（續(xù)）,有利于明確國(guó)家、法人和其他組織、公民的安全責(zé)任，強(qiáng)化政府監(jiān)管職能，共同落實(shí)各項(xiàng)安全建設(shè)和安全管理措施；

23、 有利于提高安全保護(hù)的科學(xué)性、整體性、針對(duì)性，推動(dòng)信息安全產(chǎn)業(yè)水平，逐步探索一條適應(yīng)社會(huì)主義市場(chǎng)經(jīng)濟(jì)發(fā)展的信息安全發(fā)展模式。,信息安全等級(jí)保護(hù)的內(nèi)涵,等級(jí)保護(hù)是以信息為核心的。根據(jù)信息和信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度；遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度；針對(duì)信息的保密性、完整性和可用性要求及信息系統(tǒng)必須達(dá)到的基本的安全保護(hù)水平等因素，對(duì)最核心的信息和信息系統(tǒng)劃分為

24、五個(gè)安全保護(hù)和監(jiān)管等級(jí)，實(shí)行分級(jí)保護(hù)。,信息安全等級(jí)保護(hù)的內(nèi)涵,不是安全產(chǎn)品的堆積。 防火墻+IDS+防病毒+掃描器不等于等級(jí)保護(hù)等級(jí)保護(hù)能有效阻止外部攻擊的同時(shí)，更能有效防范內(nèi)部的非法行為。等級(jí)保護(hù)的實(shí)質(zhì)是：以信息為核心實(shí)現(xiàn)主體對(duì)客體的安全訪問(wèn)抗篡改和一致性保障抗抵賴的電子責(zé)任易于分析與測(cè)試的結(jié)構(gòu),客體與主體的信息保護(hù)需求,專用,專用,僅供部門B,保護(hù)的核心是信息,自主保護(hù)級(jí),第一級(jí)為自主保護(hù)級(jí)，適用于一般的信息和信息

25、系統(tǒng)，其受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成一定損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。 依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。,指導(dǎo)保護(hù)級(jí),第二級(jí)為指導(dǎo)保護(hù)級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。 在信息安全監(jiān)管職能部門指導(dǎo)下，依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。,監(jiān)督保護(hù)級(jí),第三

26、級(jí)為監(jiān)督保護(hù)級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。 依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)，信息安全監(jiān)管職能部門對(duì)其進(jìn)行監(jiān)督、檢查。,強(qiáng)制保護(hù)級(jí),第四級(jí)為強(qiáng)制保護(hù)級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。 依照國(guó)家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行保護(hù)，國(guó)家信息安全監(jiān)管部門對(duì)其進(jìn)行強(qiáng)制監(jiān)督、檢查。,?？乇Ｗo(hù)

27、級(jí),第五級(jí)為?？乇Ｗo(hù)級(jí)，適用于涉及國(guó)家安全的重要信息和信息系統(tǒng)的核心子系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。 系統(tǒng)運(yùn)營(yíng)、使用單位依照國(guó)家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊需求進(jìn)行保護(hù)，國(guó)家指定專門部門進(jìn)行專門監(jiān)督、檢查。,信息安全產(chǎn)品使用,信息系統(tǒng)的安全保護(hù)等級(jí)確定后，運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照國(guó)家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國(guó)家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品，開(kāi)展信息系統(tǒng)安全建設(shè)或者

28、改建工作。（原規(guī)定國(guó)家對(duì)信息安全產(chǎn)品按照安全性和可控性要求進(jìn)行分等級(jí)管理，三級(jí)以上信息系統(tǒng)中使用的信息安全產(chǎn)品必須得到公安機(jī)關(guān)的使用許可）,信息安全等級(jí)保護(hù)制度的基本原則,信息安全等級(jí)保護(hù)的核心是對(duì)信息安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。信息安全等級(jí)保護(hù)制度遵循以下基本原則： 一是明確責(zé)任，共同保護(hù) 二是依照標(biāo)準(zhǔn)，自行保護(hù) 三是同步建設(shè)，動(dòng)態(tài)調(diào)

29、整 四是指導(dǎo)監(jiān)督，保護(hù)重點(diǎn),信息安全等級(jí)保護(hù)工作的基本要求,信息安全等級(jí)保護(hù)應(yīng)當(dāng)做好以下六個(gè)方面工作： （一）完善標(biāo)準(zhǔn)，分類指導(dǎo)。 （二）科學(xué)定級(jí)，嚴(yán)格備案。 （三）建設(shè)整改，落實(shí)措施。 （四）自查自糾，落實(shí)要求。 （五）建立制度，加強(qiáng)管理。

30、 （六）監(jiān)督檢查，完善保護(hù)。,信息安全等級(jí)保護(hù)工作職責(zé)分工,公安機(jī)關(guān)負(fù)責(zé)信息安全等級(jí)保護(hù)工作的監(jiān)督、檢查、指導(dǎo)。 國(guó)家保密工作部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。 國(guó)家密碼管理部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。 在信息安全等級(jí)保護(hù)工作中，涉及其他職能部門管轄范圍的事項(xiàng)，由有關(guān)職能部門依照國(guó)家法律法規(guī)的規(guī)定進(jìn)行管理。

31、 國(guó)務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)信息安全等級(jí)保護(hù)工作中部門間的協(xié)調(diào)。,信息安全等級(jí)保護(hù)工作職責(zé)分工,信息系統(tǒng)的主管部門應(yīng)當(dāng)依照相關(guān)規(guī)范和標(biāo)準(zhǔn)督促、檢查、指導(dǎo)本行業(yè)、本部門或本地區(qū)信息系統(tǒng)運(yùn)營(yíng)、使用單位的信息安全等級(jí)保護(hù)工作。 信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照等級(jí)保護(hù)的管理規(guī)范和相關(guān)標(biāo)準(zhǔn)規(guī)范履行信息安全等級(jí)保護(hù)的義務(wù)和責(zé)任。,三、如何實(shí)施等級(jí)保護(hù),1、信息安全標(biāo)準(zhǔn)體系 2、實(shí)施流程（

32、實(shí)施指南） 3、系統(tǒng)定級(jí)（定級(jí)指南） 4、系統(tǒng)測(cè)評(píng)（測(cè)評(píng)準(zhǔn)則） 5、工作要求（基本要求）,（一）主要的管理規(guī)范和技術(shù)標(biāo)準(zhǔn),《信息安全等級(jí)保護(hù)管理辦法》系統(tǒng)定級(jí)《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》安全保護(hù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》檢測(cè)評(píng)估《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》監(jiān)督檢查《信息系統(tǒng)安全等級(jí)保護(hù)監(jiān)督檢查要求》,主要的管理規(guī)范和

33、技術(shù)標(biāo)準(zhǔn),《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)登記劃分準(zhǔn)則》（GB17859-1999）《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》《信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》《信息安全技術(shù) 服務(wù)器技術(shù)要求》《信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》,管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的作用,,主管部門,監(jiān)督檢查,信息安全監(jiān)管職能部門,系統(tǒng)定級(jí),,,,安全保護(hù)

34、,檢測(cè)評(píng)估,運(yùn)營(yíng)/使用單位,安全服務(wù)商安全評(píng)估機(jī)構(gòu),,,,,,,技術(shù)標(biāo)準(zhǔn),管理規(guī)范,,,,,,風(fēng)險(xiǎn)分析,基本要求,,安全等級(jí)定級(jí)指南,其他標(biāo)準(zhǔn)要求,,,,等級(jí)系統(tǒng)保護(hù)方案實(shí)施,運(yùn)行維護(hù)管理安全事件管理安全風(fēng)險(xiǎn)管理,安全產(chǎn)品選擇安全工程實(shí)施系統(tǒng)安全配置,安全狀況監(jiān)控,系統(tǒng)特定需求,等級(jí)化要求,,事件等級(jí)劃分,事件響應(yīng)處置,,,,,產(chǎn)品等級(jí)劃分,,,風(fēng)險(xiǎn)評(píng)估,系統(tǒng)測(cè)評(píng)準(zhǔn)則,,監(jiān)督檢查要求,等級(jí)系統(tǒng)保護(hù)策略與安全方案,實(shí)施指南,,,

35、,,,,,,,評(píng)估指南,,,,,,,（二）實(shí)施流程,定義了等級(jí)保護(hù)工作的實(shí)施階段和流程,重大變更,安全規(guī)劃設(shè)計(jì),安全實(shí)施/實(shí)現(xiàn),安全運(yùn)行管理,,,,,,,,,系統(tǒng)定級(jí),局部調(diào)整,系統(tǒng)終止,系統(tǒng)定級(jí)階段,主要輸入,主要輸出,階段主要活動(dòng),,,子系統(tǒng)識(shí)別和描述,系統(tǒng)立項(xiàng)文檔系統(tǒng)建設(shè)文檔系統(tǒng)管理文檔,系統(tǒng)詳細(xì)描述文件,,系統(tǒng)識(shí)別與劃分,系統(tǒng)總體描述文件,系統(tǒng)總體描述文件,安全等級(jí)確定,系統(tǒng)總體描述文件系統(tǒng)詳細(xì)描述文件,系統(tǒng)安全保護(hù)等級(jí)定

36、級(jí)建議書(shū),,,,,,安全規(guī)劃設(shè)計(jì)流程,安全評(píng)估和需求分析,,,,,安全總體設(shè)計(jì),,安全建設(shè)規(guī)劃,,,,主要輸入,系統(tǒng)詳細(xì)描述文件系統(tǒng)定級(jí)建議書(shū)等級(jí)保護(hù)基本要求,安全評(píng)估報(bào)告安全需求分析報(bào)告等級(jí)保護(hù)基本要求,總體安全策略/框架單位信息化的中長(zhǎng)期規(guī)劃,階段主要活動(dòng),安全評(píng)估報(bào)告安全需求分析報(bào)告,安全總體方案書(shū)技術(shù)防護(hù)框架管理策略框架,信息系統(tǒng)安全建設(shè)方案,主要輸出,安全評(píng)估和需求分析,確定評(píng)估范圍,獲得信息系統(tǒng)的信息,確定

37、具體的評(píng)估對(duì)象,確定評(píng)估工作的方法,制定評(píng)估工作計(jì)劃,,,,,系統(tǒng)詳細(xì)描述文件系統(tǒng)定級(jí)建議書(shū)用戶文檔,輸入,輸出,過(guò)程的工作內(nèi)容,評(píng)估工作方案,安全實(shí)施/實(shí)現(xiàn)階段,主要輸入,主要輸出,階段主要活動(dòng),,安全詳細(xì)方案設(shè)計(jì),安全總體方案書(shū)系統(tǒng)安全建設(shè)方案安全產(chǎn)品技術(shù)白皮書(shū),安全詳細(xì)設(shè)計(jì)方案,安全技術(shù)實(shí)施,安全測(cè)評(píng)報(bào)告,等級(jí)化安全測(cè)評(píng),安全詳細(xì)設(shè)計(jì)方案,系統(tǒng)驗(yàn)收?qǐng)?bào)告,,安全管理實(shí)施,安全詳細(xì)設(shè)計(jì)方案,角色與職責(zé)說(shuō)明書(shū) 管理制度/操作規(guī)

38、范,,,,,,,系統(tǒng)定級(jí)建議書(shū)系統(tǒng)驗(yàn)收?qǐng)?bào)告,安全運(yùn)行管理,主要輸入,主要輸出,階段主要活動(dòng),操作管理和控制,安全詳細(xì)設(shè)計(jì)方案安全組織機(jī)構(gòu)表,操作人員角色/職責(zé)表各類操作規(guī)程,變更管理和控制,變更需求,變更結(jié)果報(bào)告,,安全狀態(tài)監(jiān)控,安全詳細(xì)設(shè)計(jì)方案系統(tǒng)驗(yàn)收?qǐng)?bào)告等,安全狀態(tài)分析報(bào)告,安全事件處置和應(yīng)急預(yù)案,安全詳細(xì)設(shè)計(jì)方案安全組織機(jī)構(gòu)表,,,,,,,,安全事件報(bào)告程序 各類應(yīng)急預(yù)案安全事件處置報(bào)告,安全運(yùn)行管理（續(xù)）,主要輸入

39、,主要輸出,階段主要活動(dòng),安全評(píng)估和持續(xù)改進(jìn),安全評(píng)估報(bào)告安全改進(jìn)方案,,等級(jí)化安全測(cè)評(píng),安全詳細(xì)設(shè)計(jì)方案系統(tǒng)驗(yàn)收?qǐng)?bào)告等,安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告,監(jiān)督檢查,安全詳細(xì)設(shè)計(jì)方案系統(tǒng)驗(yàn)收?qǐng)?bào)告等,監(jiān)督檢查結(jié)果報(bào)告,,,,,,變更需求,（三）系統(tǒng)定級(jí),信息系統(tǒng)的劃分等級(jí)確定的原則決定等級(jí)的主要因素分析等級(jí)確定方法定級(jí)舉例,信息系統(tǒng)劃分方法,信息系統(tǒng)和業(yè)務(wù)子系統(tǒng)：信息系統(tǒng)是指基于計(jì)算機(jī)或計(jì)算機(jī)網(wǎng)絡(luò)，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行

40、采集、加工、存儲(chǔ)、傳輸、檢索和服務(wù)的人機(jī)系統(tǒng)；業(yè)務(wù)子系統(tǒng)由信息系統(tǒng)的一部分組件構(gòu)成，是信息系統(tǒng)中能夠承載某項(xiàng)業(yè)務(wù)工作的子系統(tǒng)。,信息系統(tǒng)劃分方法,如果信息系統(tǒng)只承載一項(xiàng)業(yè)務(wù)，可以直接為該信息系統(tǒng)確定等級(jí)。如果信息系統(tǒng)承載多項(xiàng)業(yè)務(wù)，應(yīng)根據(jù)各項(xiàng)業(yè)務(wù)的性質(zhì)和特點(diǎn)，將信息系統(tǒng)分成若干業(yè)務(wù)子系統(tǒng)，分別為各業(yè)務(wù)子系統(tǒng)確定安全保護(hù)等級(jí)，信息系統(tǒng)的安全保護(hù)等級(jí)由各業(yè)務(wù)子系統(tǒng)的最高等級(jí)決定。信息系統(tǒng)是進(jìn)行等級(jí)確定和等級(jí)保護(hù)管理的最終對(duì)象。,信

41、息系統(tǒng)劃分方法,劃分信息系統(tǒng)應(yīng)體現(xiàn)重點(diǎn)保護(hù)重要信息系統(tǒng)安全，有效控制信息安全建設(shè)成本，優(yōu)化信息安全資源配置的等級(jí)保護(hù)原則，在將業(yè)務(wù)子系統(tǒng)組成信息系統(tǒng)時(shí)應(yīng)考慮以下幾個(gè)方面：相同的管理機(jī)構(gòu)相同的業(yè)務(wù)類型相同的物理位置或相似的運(yùn)行環(huán)境各業(yè)務(wù)子系統(tǒng)之間的關(guān)聯(lián)，如共用設(shè)備或數(shù)據(jù)交換。,等級(jí)確定的原則,自主定級(jí)原則滿足國(guó)家管理要求原則全局性原則業(yè)務(wù)為核心原則合理性原則,決定等級(jí)的主要因素,決定信息系統(tǒng)重要性等級(jí)時(shí)應(yīng)考慮以下因素：

42、 1、系統(tǒng)所屬類型，即信息系統(tǒng)的安全利益主體。 2、信息系統(tǒng)主要處理的業(yè)務(wù)信息類別。 3、系統(tǒng)服務(wù)范圍，包括服務(wù)對(duì)象和服務(wù)網(wǎng)絡(luò)覆蓋范圍。 4、業(yè)務(wù)依賴程度程度，或以手工作業(yè)替代信息系統(tǒng)處理業(yè)務(wù)的程度其中第1、2個(gè)要素決定信息系統(tǒng)內(nèi)信息資產(chǎn)的重要性，第3、4個(gè)要素決定信息系統(tǒng)所提供服務(wù)的重要性，而信息資產(chǎn)及信息系統(tǒng)服務(wù)的重要性決定了信息系統(tǒng)的重要性。,四個(gè)主要因素決定兩個(gè)定級(jí)指標(biāo),系統(tǒng)所屬類型,業(yè)務(wù)

43、信息類別,系統(tǒng)服務(wù)范圍,業(yè)務(wù)依賴程度,業(yè)務(wù)信息安全性,業(yè)務(wù)服務(wù)保證性,,,,,兩個(gè)等級(jí)指標(biāo)決定等級(jí),業(yè)務(wù)信息安全性,業(yè)務(wù)服務(wù)保證性,信息系統(tǒng)安全保護(hù)等級(jí),,,等級(jí)確定步驟,信息系統(tǒng)所屬類型,業(yè)務(wù)信息類型,信息系統(tǒng)服務(wù)范圍,業(yè)務(wù)依賴程度,業(yè)務(wù)信息安全性取值,業(yè)務(wù)服務(wù)保證性取值,,,,,,業(yè)務(wù)服務(wù)保證性等級(jí),1. 賦值,選擇調(diào)節(jié)因子,業(yè)務(wù)子系統(tǒng)安全保護(hù)等級(jí),,,2. 確定兩個(gè)指標(biāo)等級(jí),業(yè)務(wù)信息安全性等級(jí),,3 確定業(yè)務(wù)子系統(tǒng)等級(jí),信息系統(tǒng)安

44、全保護(hù)等級(jí),,4. 確定信息系統(tǒng)等級(jí),其它業(yè)務(wù)子系統(tǒng) 。。,,,等級(jí)的調(diào)整,提升級(jí)別的主要參考因素：上級(jí)主管部門在政策和管理方面的特殊要求。預(yù)測(cè)業(yè)務(wù)信息可能會(huì)隨著時(shí)間的變化從量變轉(zhuǎn)化為質(zhì)變。業(yè)務(wù)依賴程度在將來(lái)會(huì)進(jìn)一步提高，或隨著信息系統(tǒng)所承載的業(yè)務(wù)不斷完善和穩(wěn)定，與信息系統(tǒng)并行的手工處理（或老的系統(tǒng)）的業(yè)務(wù)將有可能取消。信息系統(tǒng)服務(wù)范圍隨著業(yè)務(wù)的發(fā)展，將會(huì)有較大的變化。。,定級(jí)實(shí)例,系統(tǒng)簡(jiǎn)述：某省政府部門網(wǎng)站系統(tǒng)ZFWZ，用

45、于發(fā)布政務(wù)公開(kāi)信息、地方行政法規(guī)和管理措施、領(lǐng)導(dǎo)講話、政府辦事流程、新聞發(fā)布、政府公告、舉報(bào)投訴、省內(nèi)經(jīng)濟(jì)形勢(shì)介紹、電子表單下載等信息，服務(wù)對(duì)象主要是省內(nèi)企業(yè)和市民。如“廣東網(wǎng)警網(wǎng)站”,定級(jí)實(shí)例,系統(tǒng)等級(jí)分析1、政府網(wǎng)站為政務(wù)工作的延伸，其信息系統(tǒng)類型賦值為3；2、網(wǎng)站信息屬公開(kāi)信息，其業(yè)務(wù)信息類型賦值為1；3、查表知ZFWZ系統(tǒng)的業(yè)務(wù)信息安全性等級(jí)為2級(jí)，如下表所示：,信息系統(tǒng)類型賦值,業(yè)務(wù)信息類型舉例,定級(jí)實(shí)例,系統(tǒng)等級(jí)分析

46、業(yè)務(wù)信息安全性等級(jí)矩陣,定級(jí)實(shí)例,系統(tǒng)等級(jí)分析4、ZFWZ系統(tǒng)為省內(nèi)企業(yè)和市民服務(wù)，其系統(tǒng)服務(wù)范圍賦值為2；5、ZFWZ系統(tǒng)對(duì)實(shí)時(shí)性要求不高，沒(méi)有必須通過(guò)網(wǎng)絡(luò)才能夠執(zhí)行的辦事流程。政務(wù)服務(wù)工作主要通過(guò)網(wǎng)絡(luò)之外完成，網(wǎng)絡(luò)僅提供相關(guān)信息和表單下載，因此其業(yè)務(wù)依賴程度應(yīng)為1；6、查表知ZFWZ系統(tǒng)的業(yè)務(wù)服務(wù)保證性等級(jí)為2，如下表所示：,信息系統(tǒng)服務(wù)范圍賦值,業(yè)務(wù)依賴程度賦值,定級(jí)實(shí)例,系統(tǒng)等級(jí)分析業(yè)務(wù)服務(wù)保證性取值矩陣,定級(jí)實(shí)例,系統(tǒng)

47、等級(jí)分析7、考慮到ZFWZ系統(tǒng)中斷僅造成局部利益的損失，一般不會(huì)造成社會(huì)利益的重要損失，調(diào)節(jié)因子可選為0.5，查表知，調(diào)節(jié)后ZFWZ系統(tǒng)的業(yè)務(wù)服務(wù)保證性等級(jí)為1級(jí)；8、ZFWZ系統(tǒng)的安全保護(hù)等級(jí)為2級(jí)。,調(diào)節(jié)因子k 的取值范圍為大于0小于1的數(shù)值。 調(diào)節(jié)因子賦值表,確定等級(jí),業(yè)務(wù)子系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全性等級(jí)和業(yè)務(wù)服務(wù)保證性等級(jí)較高者決定。信息系統(tǒng)的安全保護(hù)等級(jí)由各業(yè)務(wù)子系統(tǒng)的最高者決定。,等級(jí)備案,已運(yùn)營(yíng)（運(yùn)行）的第

48、二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后30日內(nèi)，由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。 新建第二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi)，由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。 受理備案的公安機(jī)關(guān)應(yīng)當(dāng)對(duì)第三、第四級(jí)信息系統(tǒng)的運(yùn)營(yíng)、使用單位的信息安全等級(jí)保護(hù)工作情況進(jìn)行檢查。,等級(jí)備案(續(xù)),涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)投入使用前，應(yīng)當(dāng)向設(shè)區(qū)的市級(jí)以上保密工作部門申請(qǐng)進(jìn)

49、行系統(tǒng)審批，涉密信息系統(tǒng)通過(guò)審批后方可投入使用。已投入使用的涉密信息系統(tǒng)，其建設(shè)使用單位在按照分級(jí)保護(hù)要求完成系統(tǒng)整改后，應(yīng)當(dāng)向保密工作部門備案。 信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)充分運(yùn)用密碼技術(shù)對(duì)信息系統(tǒng)進(jìn)行保護(hù)。其密碼的配備使用情況應(yīng)當(dāng)向國(guó)家密碼管理機(jī)構(gòu)備案。 信息系統(tǒng)中的密碼及密碼設(shè)備的測(cè)評(píng)工作由國(guó)家密碼管理局認(rèn)可的測(cè)評(píng)機(jī)構(gòu)承擔(dān)。,基本概念,等級(jí)測(cè)評(píng)是指測(cè)評(píng)機(jī)構(gòu)、信息系統(tǒng)的主管部門及運(yùn)營(yíng)使用單位針對(duì)信息系統(tǒng)的安全保護(hù)情況進(jìn)

50、行的信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)要求的符合性測(cè)試評(píng)定工作。測(cè)評(píng)單元是指安全控制測(cè)評(píng)的最小工作單位，由測(cè)評(píng)項(xiàng)、測(cè)評(píng)方式、測(cè)評(píng)對(duì)象、測(cè)評(píng)實(shí)施和結(jié)果判定等組成，分別描述測(cè)評(píng)目的和內(nèi)容、測(cè)評(píng)使用的方式方法、測(cè)試過(guò)程中涉及的測(cè)評(píng)對(duì)象、具體測(cè)試實(shí)施取證過(guò)程要求和測(cè)評(píng)證據(jù)的結(jié)果判定規(guī)則與方法。測(cè)評(píng)強(qiáng)度是指測(cè)評(píng)的廣度和深度，體現(xiàn)測(cè)評(píng)工作的實(shí)際投入程度。,（四）系統(tǒng)測(cè)評(píng),指導(dǎo)系統(tǒng)運(yùn)營(yíng)使用單位進(jìn)行自查指導(dǎo)評(píng)估機(jī)構(gòu)進(jìn)行檢測(cè)評(píng)估監(jiān)管職能部門參照進(jìn)行監(jiān)督檢查

51、規(guī)范測(cè)評(píng)內(nèi)容和行為,測(cè)評(píng)準(zhǔn)則的作用,測(cè)評(píng)方法,對(duì)技術(shù)要求‘訪談’方法：目的是了解信息系統(tǒng)的全局性。范圍一般不覆蓋所有要求內(nèi)容?！畽z查’方法：目的是確認(rèn)信息系統(tǒng)當(dāng)前具體安全機(jī)制和運(yùn)行的配置是否符合要求 。范圍一般要覆蓋所有要求內(nèi)容?！疁y(cè)試’方法：目的是驗(yàn)證信息系統(tǒng)安全機(jī)制有效性和安全強(qiáng)度。范圍不覆蓋所有要求內(nèi)容。,對(duì)管理要求對(duì)人員方面的要求，重點(diǎn)通過(guò)‘訪談’的方式來(lái)測(cè)評(píng)，檢查為輔；對(duì)過(guò)程方面的要求，通過(guò)‘訪談’和‘檢查’的方式

52、來(lái)測(cè)評(píng)；對(duì)規(guī)范方面的要求，以‘檢查’文檔為主，‘訪談’為輔,測(cè)評(píng)方法,測(cè)評(píng)強(qiáng)度增強(qiáng)的方法,測(cè)評(píng)廣度越大，范圍越大，包含的測(cè)評(píng)對(duì)象就越多，測(cè)評(píng)實(shí)際投入程度越高。測(cè)評(píng)的深度越深，越需要在細(xì)節(jié)上展開(kāi)，測(cè)評(píng)實(shí)際投入程度也越高。測(cè)評(píng)的廣度和深度落實(shí)在具體的測(cè)評(píng)方法――訪談、檢查和測(cè)試上，體現(xiàn)出訪談、檢查和測(cè)試的投入程度不同。,編制思路,信息系統(tǒng)測(cè)評(píng),系統(tǒng)測(cè)評(píng)（對(duì)安全控制、層面、區(qū)域間關(guān)聯(lián)關(guān)系以及系統(tǒng)整體結(jié)構(gòu)，分層次綜合分析、測(cè)評(píng)）,安全控

53、制測(cè)評(píng)（以測(cè)評(píng)單元組織的測(cè)評(píng)實(shí)施）,,,安全控制測(cè)評(píng)思路,在內(nèi)容上，與《基本要求》一一對(duì)應(yīng)，針對(duì)《基本要求》的每一個(gè)控制項(xiàng)，開(kāi)發(fā)具體的測(cè)評(píng)實(shí)施方法。在結(jié)構(gòu)上，以“測(cè)評(píng)單元”為基本工作單位，分等級(jí)進(jìn)行組織。,系統(tǒng)測(cè)評(píng)思路,根據(jù)安全控制、層面和區(qū)域之間的關(guān)聯(lián)作用，逐層測(cè)評(píng)分析安全控制間、層面間和區(qū)域間關(guān)聯(lián)關(guān)系對(duì)整體安全功能的影響，具體應(yīng)包括：安全控制間安全測(cè)評(píng)、層面間安全測(cè)評(píng)、區(qū)域間安全測(cè)評(píng) 。進(jìn)行系統(tǒng)整體結(jié)構(gòu)安全測(cè)評(píng)從安全的角度，

54、分析信息系統(tǒng)整體結(jié)構(gòu)的安全性[從安全角度看系統(tǒng)]從系統(tǒng)的角度，分析信息系統(tǒng)安全防范(體系)的合理性 [以系統(tǒng)的觀點(diǎn)看安全防范（體系)],（五）工作要求,基本要求制定原則,繼承和發(fā)展原有等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)的內(nèi)容門檻合理對(duì)每個(gè)級(jí)別的信息系統(tǒng)安全要求設(shè)置合理，按照基本要求建設(shè)后，確實(shí)達(dá)到期望的安全保護(hù)能力內(nèi)容完整綜合技術(shù)、管理各個(gè)方面的要求，安全要求內(nèi)容考慮全面、完整，覆蓋信息系統(tǒng)生命周期便于使用安全要求分類方式合理，便于安全保護(hù)

55、、檢測(cè)評(píng)估、監(jiān)督檢查實(shí)施各方的靈活使用,主要依據(jù),《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》 GB 17859-1999 《計(jì)算機(jī)信息系統(tǒng)安全 保護(hù)等級(jí)劃分準(zhǔn)則》“27號(hào)”和“66號(hào)”文件其他相關(guān)標(biāo)準(zhǔn)《信息系統(tǒng)安全通用技術(shù)要求》《信息系統(tǒng)安全管理要求》《信息系統(tǒng)安全工程管理要求》《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》,主要參考,GB/T 19715-1.2 2005 /ISO/IEC TR 13335:2000 信息技術(shù)安全

56、管理指南GB/T 19716-2005/ISO/IEC 17799:2000 信息安全管理實(shí)用規(guī)則GB/T 18336-2001 /ISO/IEC 15408-1999信息技術(shù)安全性評(píng)估準(zhǔn)則DoD 8500(美國(guó)國(guó)防部)信息保障實(shí)現(xiàn)指引FIPS 199 和NIST 800-53 (美國(guó)聯(lián)邦政府)安全等級(jí)定級(jí)標(biāo)準(zhǔn)和安全措施推薦指南 等,基本要求產(chǎn)生的思路,,不同級(jí)別的信息系統(tǒng),重要程度不同保護(hù)需求不同,安全保護(hù)能力

57、不同,,應(yīng)對(duì)威脅的能力不同,,不同的安全目標(biāo),,,不同基本要求,基本要求提出的保護(hù)能力,1級(jí)安全保護(hù)能力：應(yīng)具有能夠?qū)箒?lái)自個(gè)人的、擁有很少資源（如利用公開(kāi)可獲取的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度弱、持續(xù)時(shí)間很短、系統(tǒng)局部范圍等）以及其他相當(dāng)危害程度威脅的能力，并在威脅發(fā)生后，能夠恢復(fù)部分功能。2級(jí)安全保護(hù)能力：應(yīng)具有能夠?qū)箒?lái)自小型組織的（如自發(fā)的三兩人組成的黑客組織）、擁有少量資源（如個(gè)別人員能力、

58、公開(kāi)可獲或特定開(kāi)發(fā)的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度一般、持續(xù)時(shí)間短、覆蓋范圍?。ň植啃裕┑龋┮约捌渌喈?dāng)危害程度（無(wú)意失誤、設(shè)備故障等）威脅的能力，并在威脅發(fā)生后，能夠在一段時(shí)間內(nèi)恢復(fù)部分功能。,基本要求提出的保護(hù)能力,3級(jí)安全保護(hù)能力：應(yīng)具有能夠?qū)箒?lái)自大型的、有組織的團(tuán)體（如一個(gè)商業(yè)情報(bào)組織或犯罪組織等），擁有較為豐富資源（包括人員能力、計(jì)算能力等）的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難（災(zāi)難發(fā)生

59、的強(qiáng)度較大、持續(xù)時(shí)間較長(zhǎng)、覆蓋范圍較廣（地區(qū)性）等）以及其他相當(dāng)危害程度（內(nèi)部人員的惡意威脅、設(shè)備的較嚴(yán)重故障等）威脅的能力，并在威脅發(fā)生后，能夠較快恢復(fù)絕大部分功能。4級(jí)安全保護(hù)能力：應(yīng)具有能夠?qū)箒?lái)自敵對(duì)組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度大、持續(xù)時(shí)間長(zhǎng)、覆蓋范圍廣（多地區(qū)性）等）以及其他相當(dāng)危害程度（內(nèi)部人員的惡意威脅、設(shè)備的嚴(yán)重故障等）威脅的能力，并在威脅發(fā)生后，能夠迅速恢復(fù)所有功能。,基

60、本要求的安全目標(biāo),不同等級(jí)系統(tǒng)所具有的不同的對(duì)抗和恢復(fù)能力，可以從實(shí)現(xiàn)的安全目標(biāo)不同來(lái)進(jìn)行具體體現(xiàn)，使較高級(jí)別的系統(tǒng)能夠應(yīng)對(duì)更多的威脅和更強(qiáng)的威脅主體，即使面臨同一個(gè)威脅也具備更高的保護(hù)強(qiáng)度和更為周密的應(yīng)對(duì)措施。安全目標(biāo)包括了技術(shù)目標(biāo)和管理目標(biāo)，技術(shù)目標(biāo)主要用于對(duì)抗威脅和實(shí)現(xiàn)技術(shù)能力，管理目標(biāo)主要為安全技術(shù)實(shí)現(xiàn)提供組織、人員、程序等方面的保障。,基本要求-組織方式,某級(jí)系統(tǒng),物理安全,基本技術(shù)要求,基本管理要求,基本要求,網(wǎng)絡(luò)安全,主

61、機(jī)安全,應(yīng)用安全,數(shù)據(jù)安全,安全管理機(jī)構(gòu),安全管理制度,人員安全管理,系統(tǒng)建設(shè)管理,系統(tǒng)運(yùn)維管理,,,,,,,,,,,,,,基本要求-組織方式,結(jié)構(gòu)安全和網(wǎng)段劃分,網(wǎng)絡(luò)安全(四級(jí)),網(wǎng)絡(luò)訪問(wèn)控制,撥號(hào)訪問(wèn)控制,網(wǎng)絡(luò)安全審計(jì),邊界完整性檢查,,,,,,網(wǎng)絡(luò)入侵檢測(cè),惡意代碼防護(hù),網(wǎng)絡(luò)設(shè)備防護(hù),,,,基本要求-組織方式,環(huán)境管理,系統(tǒng)運(yùn)維管理(四級(jí)),資產(chǎn)管理,設(shè)備管理,介質(zhì)管理,運(yùn)行維護(hù)和監(jiān)控管理,,,,,,網(wǎng)絡(luò)安全管理,系統(tǒng)安全管理,惡

62、意代碼防范管理,變更管理,,,,,密碼管理,,系統(tǒng)備案,,備份和恢復(fù)管理,安全事件處置,應(yīng)急計(jì)劃管理,,,,基本要求的使用、補(bǔ)充和調(diào)整,根據(jù)安全等級(jí)選擇基本要求，按照基本要求進(jìn)行保護(hù)后，信息系統(tǒng)或子系統(tǒng)具有相應(yīng)等級(jí)的安全保護(hù)能力；對(duì)信息系統(tǒng)或子系統(tǒng)有增加或特殊保護(hù)要求的，應(yīng)在上述內(nèi)容的基礎(chǔ)上，分析需補(bǔ)充的安全保護(hù)需求，對(duì)安全保護(hù)基本要求進(jìn)行補(bǔ)充;對(duì)基本要求有調(diào)整需求的，應(yīng)對(duì)調(diào)整項(xiàng)逐項(xiàng)進(jìn)行風(fēng)險(xiǎn)分析，以保證不降低整體安全保護(hù)強(qiáng)度，并形成

63、書(shū)面的調(diào)整理由。,基本要求的逐級(jí)增強(qiáng)方法,某級(jí)系統(tǒng),類,技術(shù)要求,管理要求,基本要求,類,,,,,,控制點(diǎn),具體要求,控制點(diǎn),具體要求,,,,,……,……,……,……,……,……,其他方面的問(wèn)題,核心思想:級(jí)別越高,安全控制點(diǎn)越多,安全控制要求越細(xì)。對(duì)于涉密的信息系統(tǒng)，在確定安全保護(hù)等級(jí)后，除應(yīng)按照相應(yīng)安全等級(jí)的基本要求進(jìn)行保護(hù)外，還應(yīng)按照國(guó)家保密工作部門和國(guó)家密碼管理部門的相關(guān)規(guī)定進(jìn)行要求和保護(hù)。第五級(jí)信息系統(tǒng)是涉及國(guó)家安全、社會(huì)