信息安全等級(jí)保護(hù)評(píng)估中心 課件

1、信息安全等級(jí)保護(hù)福建省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心康仲生一、信息安全等級(jí)保護(hù)工作概述 （一）開展信息安全等級(jí)保護(hù)工作的政策和法律依據(jù)。1994年，中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 （國(guó)務(wù)院147號(hào)令）規(guī)定，“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)，安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門制定” 。1995年2月18日人大12次會(huì)議通過(guò)并實(shí)施的中華人民共和國(guó)警察法第二章第六條第十二款規(guī)定，公安機(jī)關(guān)人民警察依法履行“監(jiān)督管理計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)工作”。法律依據(jù)。 1999年，強(qiáng)制性國(guó)家標(biāo)準(zhǔn)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB 17859）。（一）開展信息安全等級(jí)保護(hù)工作的政

2、策和法律依據(jù)。2003年，中辦、國(guó)辦轉(zhuǎn)發(fā)的國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)（中辦發(fā)200327號(hào)）明確指出“實(shí)行信息安全等級(jí)保護(hù)”。 “要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級(jí)保護(hù)制度，制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南” 。 2004年，公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)信辦聯(lián)合印發(fā)了關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)（66號(hào)文件） 2007年6月，公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)信辦聯(lián)合制定了信息安全等級(jí)保護(hù)管理辦法（公通字200743號(hào)）（二）近年來(lái)信息安全等級(jí)保護(hù)工作進(jìn)展一是制定了50多個(gè)國(guó)標(biāo)和行

3、標(biāo)，初步形成了信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系二是開展了等級(jí)保護(hù)基礎(chǔ)調(diào)查工作三是開展了等級(jí)保護(hù)試點(diǎn)工作四是出臺(tái)了66號(hào)文、43號(hào)文、861號(hào)文等政策文件。五是召開“全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作電 視電話會(huì)議” 六是成立“國(guó)家信息安全等級(jí)保護(hù)協(xié)調(diào)小組” （三）開展信息安全等級(jí)保護(hù)工作的重要意義 信息安全等級(jí)保護(hù)制度是國(guó)家信息安全保障的基本制度、基本策略、基本方法 ；是當(dāng)今發(fā)達(dá)國(guó)家的通行做法，也是我國(guó)多年來(lái)信息安全工作經(jīng)驗(yàn)的總結(jié) 。 開展信息安全等級(jí)保護(hù)工作：有利于同步建設(shè) ；有利于指導(dǎo)和服務(wù)；有利于保障重點(diǎn)；有利于明確責(zé)任 ；有利于產(chǎn)業(yè)發(fā)展（四）開展等級(jí)保護(hù)工作的總體要求 1、各基礎(chǔ)信息網(wǎng)絡(luò)和重

4、要信息系統(tǒng)，按照“準(zhǔn)確定級(jí)、嚴(yán)格審批、及時(shí)備案、認(rèn)真整改、科學(xué)測(cè)評(píng)”的要求完成等級(jí)保護(hù)的定級(jí)、備案、整改、測(cè)評(píng)等工作 。 2、公安機(jī)關(guān)和保密、密碼工作部門要及時(shí)開展監(jiān)督檢查，嚴(yán)格審查信息系統(tǒng)所定級(jí)別，嚴(yán)格檢查信息系統(tǒng)開展備案、整改、測(cè)評(píng)等工作。 3、對(duì)故意將信息系統(tǒng)安全級(jí)別定低，逃避公安、保密、密碼部門監(jiān)管，造成信息系統(tǒng)出現(xiàn)重大安全事故的，要追究單位和人員的責(zé)任。 二、明確各方責(zé)任義務(wù)（一）、管理辦法中第二條明確了國(guó)家的責(zé)任 國(guó)家通過(guò)制定統(tǒng)一的信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。 信息安全監(jiān)管部門包括公安

5、機(jī)關(guān)、保密部門、國(guó)家密碼工作部門。信息安全監(jiān)管部門代表國(guó)家制定等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。（二）、管理辦法第三條明確了信息安全監(jiān)管部門的職責(zé) 公安機(jī)關(guān)負(fù)責(zé)信息安全等級(jí)保護(hù)工作的監(jiān)督、檢查、指導(dǎo)。國(guó)家保密工作部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。國(guó)家密碼管理部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。涉及其他職能部門管轄范圍的事項(xiàng)，由有關(guān)職能部門依照國(guó)家法律法規(guī)的規(guī)定進(jìn)行管理。國(guó)務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)等級(jí)保護(hù)工作的部門間協(xié)調(diào)。（三）、管理辦法中第四條、

6、第五條分別明確了信息系統(tǒng)主管部門和運(yùn)營(yíng)使用單位的責(zé)任義務(wù) 信息系統(tǒng)主管部門應(yīng)當(dāng)依照管理辦法及相關(guān)標(biāo)準(zhǔn)規(guī)范，督促、檢查、指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運(yùn)營(yíng)、使用單位的信息安全等級(jí)保護(hù)工作。信息系統(tǒng)的運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依照管理辦法及其相關(guān)標(biāo)準(zhǔn)規(guī)范，履行信息安全等級(jí)保護(hù)的義務(wù)和責(zé)任。（四）、公民、法人和其他組織的責(zé)任義務(wù) 公民、法人和其他組織應(yīng)當(dāng)按照國(guó)家有關(guān)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)開展等級(jí)保護(hù)工作，服從國(guó)家對(duì)信息安全等級(jí)保護(hù)工作的監(jiān)督、指導(dǎo)，保障信息系統(tǒng)安全。信息安全產(chǎn)品的研制、生產(chǎn)單位，信息系統(tǒng)的集成、等級(jí)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估等安全服務(wù)機(jī)構(gòu)，依據(jù)國(guó)家有關(guān)管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，開展相應(yīng)工作，并接受

7、國(guó)家信息安全職能部門的監(jiān)督管理。三、信息系統(tǒng)安全保護(hù)等級(jí)的劃分與保護(hù)1、運(yùn)營(yíng)使用單位和主管部門是信息系統(tǒng)安全的第一責(zé)任人，對(duì)所屬信息系統(tǒng)安全負(fù)有直接責(zé)任。2、公安、保密、密碼部門對(duì)運(yùn)營(yíng)使用單位和主管部門開展等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查、指導(dǎo)，對(duì)重要信息系統(tǒng)安全負(fù)監(jiān)管責(zé)任。 （一）“自主定級(jí)、自主保護(hù)”與國(guó)家監(jiān)管（二）信息系統(tǒng)安全保護(hù)等級(jí)的定級(jí)要素受侵害的客體 ： 一是公民、法人和其他組織的合法權(quán)益；二是社會(huì)秩序、公共利益；三是國(guó)家安全。 對(duì)客體的侵害程度： 一是造成一般損害；二是造成嚴(yán)重?fù)p害；三是造成特別嚴(yán)重?fù)p害。 （三）信息系統(tǒng)安全保護(hù)等級(jí)（四）五級(jí)保護(hù)和監(jiān)管 管理辦法第八條規(guī)定，信息系統(tǒng)運(yùn)營(yíng)

8、、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行保護(hù)，國(guó)家有關(guān)信息安全監(jiān)管部門對(duì)其信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督管理。四、信息系統(tǒng)安全保護(hù)等級(jí)的確定與實(shí)施（一）定級(jí)范圍一是電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，經(jīng)營(yíng)性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。 二是國(guó)家重要行業(yè)、領(lǐng)域的重要信息系統(tǒng)。 三是市（地）級(jí)以上黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)。四是涉及國(guó)家秘密的信息系統(tǒng)。電信基礎(chǔ)信息網(wǎng)絡(luò)也是重要信息系統(tǒng)（二）、系統(tǒng)定級(jí)定級(jí)是等級(jí)保護(hù)工作的首要環(huán)節(jié)，是開展信息系統(tǒng)建設(shè)、整改、測(cè)評(píng)、備案、監(jiān)督檢查等后續(xù)工作的重要基礎(chǔ)。信息系統(tǒng)安全級(jí)別定不準(zhǔn)，

9、系統(tǒng)建設(shè)、整改、備案、等級(jí)測(cè)評(píng)等后續(xù)工作都失去了針對(duì)性。需要特別說(shuō)明的是：信息系統(tǒng)的安全保護(hù)等級(jí)是信息系統(tǒng)的客觀屬性，不以已采取或?qū)⒉扇∈裁窗踩Ｗo(hù)措施為依據(jù)，也不以風(fēng)險(xiǎn)評(píng)估為依據(jù)，而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)穩(wěn)定、人民群眾合法權(quán)益的危害程度為依據(jù)，確定信息系統(tǒng)的安全等級(jí)。 定級(jí)工作的步驟：第一步：摸底調(diào)查，掌握信息系統(tǒng)底數(shù)。（信息系統(tǒng)的業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)基本情況）第二步：確定定級(jí)對(duì)象第三步：初步確定信息系統(tǒng)等級(jí)定級(jí)的一般流程：信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全。信息安全是指確保信息系統(tǒng)內(nèi)信息的保密性、完整性和可用性等，系統(tǒng)服務(wù)安全是指確保

10、信息系統(tǒng)可以及時(shí)、有效地提供服務(wù)，以完成預(yù)定的業(yè)務(wù)目標(biāo)。業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對(duì)客體的侵害程度可能不同，因此，信息系統(tǒng)定級(jí)也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)稱業(yè)務(wù)信息安全等級(jí)。從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)稱系統(tǒng)服務(wù)安全等級(jí)。由業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)的較高者確定定級(jí)對(duì)象的安全保護(hù)等級(jí)。 定級(jí)基本流程13、綜合評(píng)定對(duì)客體的侵害程度2、確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體6、綜合評(píng)定對(duì)客體的侵害程度5、確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體7、系統(tǒng)服務(wù)安全保護(hù)等級(jí)4、業(yè)務(wù)信息安全保護(hù)等級(jí)8

11、、定級(jí)對(duì)象的安全保護(hù)等級(jí)1、確定定級(jí)對(duì)象一、定級(jí)對(duì)象的三個(gè)條件具有唯一確定的安全責(zé)任單位作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)能夠唯一地確定其安全責(zé)任單位，這個(gè)安全責(zé)任單位就是負(fù)責(zé)等級(jí)保護(hù)工作部署、實(shí)施的單位，也是完成等級(jí)保護(hù)備案和接受監(jiān)督檢查的直接責(zé)任單位。滿足信息系統(tǒng)的基本要素作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體。應(yīng)避免將某個(gè)單一的系統(tǒng)組件，如單臺(tái)的服務(wù)器、終端或網(wǎng)絡(luò)設(shè)備等作為定級(jí)對(duì)象。定級(jí)階段-關(guān)于定級(jí)對(duì)象確定承載相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用定級(jí)對(duì)象承載“相對(duì)獨(dú)立”的業(yè)務(wù)應(yīng)用是指其中的一個(gè)或多個(gè)業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程、部分業(yè)務(wù)功能獨(dú)立，同時(shí)與其他信息系

12、統(tǒng)的業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換，定級(jí)對(duì)象可能會(huì)與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備?！跋鄬?duì)獨(dú)立”的業(yè)務(wù)應(yīng)用并不意味著整個(gè)業(yè)務(wù)流程，可以是完整的業(yè)務(wù)流程的一部分。定級(jí)階段-關(guān)于定級(jí)對(duì)象確定定級(jí)階段-定級(jí)對(duì)象舉例某期貨交易所辦公系統(tǒng)生產(chǎn)系統(tǒng)交易系統(tǒng)清算系統(tǒng)網(wǎng)站系統(tǒng)定級(jí)階段-定級(jí)對(duì)象舉例定級(jí)對(duì)象結(jié)果1辦公信息系統(tǒng)生產(chǎn)信息系統(tǒng)定級(jí)對(duì)象結(jié)果2辦公信息系統(tǒng)生產(chǎn)信息系統(tǒng)交易信息系統(tǒng)清算信息系統(tǒng)網(wǎng)站信息系統(tǒng)定級(jí)階段-定級(jí)對(duì)象舉例證券公司集中交易系統(tǒng)公司總部各個(gè)營(yíng)業(yè)部數(shù)據(jù)中心柜臺(tái)委托自助委托電話委托網(wǎng)上委托定級(jí)階段-定級(jí)對(duì)象舉例交易系統(tǒng)行情系統(tǒng)清算系統(tǒng)客戶管理系統(tǒng)等定級(jí)階段-定級(jí)對(duì)象舉例定級(jí)對(duì)象結(jié)果1總

13、部信息系統(tǒng)營(yíng)業(yè)部信息系統(tǒng)定級(jí)對(duì)象結(jié)果2總部數(shù)據(jù)中心系統(tǒng)(平臺(tái))外部委托系統(tǒng)(平臺(tái))營(yíng)業(yè)部外部委托系統(tǒng)(平臺(tái))定級(jí)階段-定級(jí)對(duì)象舉例定級(jí)對(duì)象結(jié)果3總部交易系統(tǒng)行情系統(tǒng)清算系統(tǒng)客戶管理系統(tǒng)營(yíng)業(yè)部交易系統(tǒng)行情系統(tǒng)客戶管理系統(tǒng)定級(jí)階段-定級(jí)對(duì)象舉例某電力集團(tuán)公司公司本部供電局(分公司)電力調(diào)度系統(tǒng)綜合信息系統(tǒng)定級(jí)階段-定級(jí)對(duì)象舉例骨干網(wǎng)城域網(wǎng)數(shù)據(jù)中心局域網(wǎng)大樓用戶局域網(wǎng)供電所局域網(wǎng)三產(chǎn)公司局域網(wǎng)等定級(jí)階段-定級(jí)對(duì)象舉例電力營(yíng)銷系統(tǒng)生產(chǎn)管理系統(tǒng)工程管理系統(tǒng)物資管理系統(tǒng)財(cái)務(wù)管理系統(tǒng)OA系統(tǒng)EAI/EIP系統(tǒng)等定級(jí)階段-定級(jí)對(duì)象舉例定級(jí)對(duì)象結(jié)果1本部信息系統(tǒng)供電局信息系統(tǒng)定級(jí)對(duì)象結(jié)果2本部電力調(diào)度系統(tǒng)綜合信

14、息系統(tǒng)營(yíng)業(yè)部電力調(diào)度系統(tǒng)綜合信息系統(tǒng)定級(jí)階段-定級(jí)對(duì)象舉例定級(jí)對(duì)象結(jié)果3本部數(shù)據(jù)中心系統(tǒng)用戶局域網(wǎng)系統(tǒng)骨干網(wǎng)系統(tǒng)供電局?jǐn)?shù)據(jù)中心系統(tǒng)用戶局域網(wǎng)系統(tǒng)城域網(wǎng)系統(tǒng)定級(jí)階段-定級(jí)對(duì)象舉例定級(jí)對(duì)象結(jié)果4電力營(yíng)銷系統(tǒng)生產(chǎn)管理系統(tǒng)工程管理系統(tǒng)物資管理系統(tǒng)財(cái)務(wù)管理系統(tǒng)OA系統(tǒng)EAI/EIP系統(tǒng)定級(jí)階段-定級(jí)對(duì)象舉例信息系統(tǒng)劃分的一些常見(jiàn)方法 例如對(duì)內(nèi)服務(wù)與對(duì)外運(yùn)營(yíng)的業(yè)務(wù)系統(tǒng)，對(duì)內(nèi)服務(wù)的辦公系統(tǒng)，一般來(lái)說(shuō)其中的信息和提供的服務(wù)是面向本單位的，涉及到的等級(jí)保護(hù)客體一般是本單位，而對(duì)外運(yùn)營(yíng)的業(yè)務(wù)系統(tǒng)往往關(guān)系到其他單位、個(gè)人或面向社會(huì)，因此這兩類業(yè)務(wù)可能涉及不同的客體，可能具有不同的安全保護(hù)等級(jí)，可以考慮劃分為不同的信

15、息系統(tǒng)。又比如處理涉及國(guó)家秘密信息的信息系統(tǒng)與處理一般單位敏感信息的信息系統(tǒng)應(yīng)分開。 例如全國(guó)大集中系統(tǒng)數(shù)據(jù)中心的數(shù)據(jù)量和服務(wù)范圍都遠(yuǎn)大于各省級(jí)節(jié)點(diǎn)和市級(jí)節(jié)點(diǎn)，其受到破壞后的損害程度和影響范圍也有很大差別，可能具有不同的安全等級(jí)，可以考慮劃分為不同的信息系統(tǒng)。 一般單位的信息系統(tǒng)建設(shè)和網(wǎng)絡(luò)布局，一般都會(huì)或多或少考慮系統(tǒng)的特點(diǎn)、業(yè)務(wù)重要性及不同系統(tǒng)之間的關(guān)系，進(jìn)行信息系統(tǒng)的等級(jí)劃分應(yīng)盡可能以現(xiàn)有網(wǎng)絡(luò)條件為基礎(chǔ)進(jìn)行劃分，以免引起不必要的網(wǎng)絡(luò)改造和建設(shè)工作，影響原有系統(tǒng)的業(yè)務(wù)運(yùn)行。 有些信息系統(tǒng)中不同業(yè)務(wù)的重要程度雖然會(huì)有所差異，但是由于業(yè)務(wù)之間聯(lián)系緊密，不容易拆分，可以作為一個(gè)信息系統(tǒng)按照同樣級(jí)別

16、保護(hù)。但是，如果其中某一個(gè)業(yè)務(wù)面臨風(fēng)險(xiǎn)或威脅較大，比如與互聯(lián)網(wǎng)相連，可能會(huì)影響到其它的業(yè)務(wù)，就應(yīng)當(dāng)將其從該信息系統(tǒng)中分離出來(lái)，單獨(dú)作為一個(gè)信息系統(tǒng)而實(shí)施保護(hù)。 系統(tǒng)邊界不應(yīng)出現(xiàn)在服務(wù)器內(nèi)部，服務(wù)器共用的系統(tǒng)一般歸入同一個(gè)信息系統(tǒng)，因此不同信息系統(tǒng)的共用設(shè)備一般是網(wǎng)絡(luò)/邊界設(shè)備或終端設(shè)備。兩個(gè)信息系統(tǒng)邊界存在共用設(shè)備時(shí)，共用設(shè)備的安全保護(hù)等級(jí)按兩個(gè)信息系統(tǒng)安全保護(hù)等級(jí)較高者確定。例如，一個(gè)2級(jí)系統(tǒng)和一個(gè)3級(jí)系統(tǒng)之間有一個(gè)防火墻或兩個(gè)系統(tǒng)共用一個(gè)核心交換機(jī)，此時(shí)防火墻和交換機(jī)可以作為兩個(gè)系統(tǒng)的邊界設(shè)備，但應(yīng)滿足3級(jí)系統(tǒng)的要求。定級(jí)階段-關(guān)于系統(tǒng)邊界信息系統(tǒng)的管理終端是與相應(yīng)被管理設(shè)備相對(duì)應(yīng)的，服務(wù)

17、器、網(wǎng)絡(luò)設(shè)備及安全設(shè)備等屬于哪個(gè)系統(tǒng)，終端就應(yīng)歸在哪個(gè)信息系統(tǒng)中。如果無(wú)法做到不同等級(jí)的信息系統(tǒng)使用不同的終端設(shè)備，則應(yīng)將終端設(shè)備劃分為其他的信息系統(tǒng)，并在服務(wù)器與內(nèi)部用戶終端之間建立邊界保護(hù)，對(duì)終端通過(guò)身份鑒別和訪問(wèn)控制等措施加以控制。處理涉密信息的終端必須劃分到相應(yīng)的信息系統(tǒng)中，且不能與非涉密系統(tǒng)共用終端。定級(jí)階段-關(guān)于系統(tǒng)邊界業(yè)務(wù)信息業(yè)務(wù)系統(tǒng)處理的不同類型的數(shù)據(jù)系統(tǒng)服務(wù)業(yè)務(wù)系統(tǒng)的服務(wù)范圍業(yè)務(wù)系統(tǒng)的服務(wù)對(duì)象業(yè)務(wù)系統(tǒng)的服務(wù)人數(shù)業(yè)務(wù)系統(tǒng)的服務(wù)時(shí)間要求定級(jí)階段-關(guān)于業(yè)務(wù)信息和系統(tǒng)服務(wù)的確定三種受侵害的客體:國(guó)家安全體現(xiàn)了國(guó)家層面、與全局相關(guān)的國(guó)家政治安全、軍事安全、經(jīng)濟(jì)安全、社會(huì)安全、科技安全等

18、方面利益。社會(huì)秩序和公共利益包括政治、經(jīng)濟(jì)、生產(chǎn)、生活、科研、工作等各方面的正常秩序和社會(huì)公眾生產(chǎn)、生活、教育、衛(wèi)生等方面的利益。合法權(quán)益是法律確認(rèn)的并受法律保護(hù)的公民、法人和其他組織所享有的一定的社會(huì)權(quán)利和利益， 定級(jí)階段-關(guān)于侵害客體和侵害程度關(guān)于國(guó)家安全重要的國(guó)家事務(wù)處理系統(tǒng)、國(guó)防工業(yè)生產(chǎn)系統(tǒng)和國(guó)防設(shè)施的控制系統(tǒng)等；廣播、電視、網(wǎng)絡(luò)等重要新聞媒體的發(fā)布或播出系統(tǒng)，其受到非法控制可能引發(fā)影響國(guó)家統(tǒng)一、民族團(tuán)結(jié)和社會(huì)安定的重大事件；尖端科技領(lǐng)域的研發(fā)、生產(chǎn)系統(tǒng)等影響國(guó)家經(jīng)濟(jì)競(jìng)爭(zhēng)力和科技實(shí)力的信息系統(tǒng)，以及電力、通信、能源、交通運(yùn)輸、金融等國(guó)家重要基礎(chǔ)設(shè)施的生產(chǎn)、控制、管理系統(tǒng)等。定級(jí)階段-關(guān)

19、于侵害客體和侵害程度關(guān)于社會(huì)秩序各級(jí)政府機(jī)構(gòu)的社會(huì)管理和公共服務(wù)系統(tǒng)，如財(cái)政、金融、工商、稅務(wù)、公檢法、海關(guān)、社保等領(lǐng)域的信息系統(tǒng)，也包括教育、科研機(jī)構(gòu)的工作系統(tǒng)，以及所有為公眾提供醫(yī)療衛(wèi)生、應(yīng)急服務(wù)、供水、供電、郵政等必要服務(wù)的生產(chǎn)系統(tǒng)或管理系統(tǒng)。 定級(jí)階段-關(guān)于侵害客體和侵害程度關(guān)于公共利益借助信息化手段為社會(huì)成員提供使用的公共設(shè)施和通過(guò)信息系統(tǒng)對(duì)公共設(shè)施進(jìn)行進(jìn)行管理控制都應(yīng)當(dāng)是要考慮的方面，例如：公共通信設(shè)施、公共衛(wèi)生設(shè)施、公共休閑娛樂(lè)設(shè)施、公共管理設(shè)施、公共服務(wù)設(shè)施等。公共利益與社會(huì)秩序密切相關(guān)，社會(huì)秩序的破壞一般會(huì)造成對(duì)公共利益的損害。 定級(jí)階段-關(guān)于侵害客體和侵害程度 定級(jí)指南中指

20、出“各行業(yè)可根據(jù)本行業(yè)業(yè)務(wù)特點(diǎn)，分析各類信息和各類信息系統(tǒng)與國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的關(guān)系，從而確定本行業(yè)各類信息和各類信息系統(tǒng)受到破壞時(shí)所侵害的客體?！?各行業(yè)的不同類型的系統(tǒng)，系統(tǒng)遭受破壞的程度造成的主要關(guān)注點(diǎn)不相同，例如銀行系統(tǒng)一般關(guān)注業(yè)務(wù)能力下降的影響，黨政系統(tǒng)主要關(guān)注管理職能的履行等。行業(yè)主管部門通過(guò)梳理本行業(yè)信息系統(tǒng)的現(xiàn)狀，通過(guò)對(duì)這些不同類型、不同程度后果的定量、半定量描述，給出對(duì)等級(jí)保護(hù)客體一般損害、嚴(yán)重?fù)p害和特別嚴(yán)重?fù)p害的指導(dǎo)性意見(jiàn)，以便本行業(yè)的信息系統(tǒng)運(yùn)營(yíng)使用單位可以參照?qǐng)?zhí)行，確定本單位信息系統(tǒng)的安全保護(hù)等級(jí)，只有這樣，一個(gè)行業(yè)內(nèi)確定的安

21、全保護(hù)等級(jí)才具有較好的一致性。定級(jí)階段-關(guān)于侵害客體和侵害程度關(guān)于危害后果影響行使工作職能，工作職能包括國(guó)家管理職能、公共管理職能、公共服務(wù)職能等國(guó)家或社會(huì)方面的職能。導(dǎo)致業(yè)務(wù)能力下降，下降的表現(xiàn)形式可能包括業(yè)務(wù)范圍的減少、業(yè)務(wù)處理性能的下降、可服務(wù)的用戶數(shù)量的下降以及其他各種業(yè)務(wù)指標(biāo)的下降，每個(gè)行業(yè)務(wù)都有本行業(yè)關(guān)注的業(yè)務(wù)指標(biāo)。例如電力行業(yè)關(guān)注發(fā)電量和用電量，稅務(wù)行業(yè)關(guān)注稅費(fèi)收入，銀行業(yè)關(guān)注存款額、貸款額、交易量等，證券經(jīng)紀(jì)行業(yè)關(guān)注股民數(shù)和交易額。定級(jí)階段-關(guān)于行業(yè)定級(jí)指導(dǎo)意見(jiàn)關(guān)于危害后果引起法律糾紛是比較嚴(yán)重的影響，在較輕的程度時(shí)可能表現(xiàn)為投訴、索賠、媒體曝光等形式。導(dǎo)致財(cái)產(chǎn)損失，包括系統(tǒng)資

22、產(chǎn)被破壞的直接損失、業(yè)務(wù)量下降帶來(lái)的損失、直接的資金損失、為客戶索賠所支付的資金等，以及由于信譽(yù)下降、單位形象降低、客戶關(guān)系損失等導(dǎo)致的間接經(jīng)濟(jì)損失。直接造成人員傷亡，例如醫(yī)療服務(wù)系統(tǒng)，公安行業(yè)的某些系統(tǒng)等。造成社會(huì)不良影響，包括在社會(huì)風(fēng)氣、執(zhí)政信心等方面的影響。定級(jí)階段-關(guān)于行業(yè)定級(jí)指導(dǎo)意見(jiàn)直接的結(jié)果和間接的影響:威脅直接作用的結(jié)果信息系統(tǒng)的破壞,但是確定對(duì)客體侵害的程度時(shí)，必須考慮間接的對(duì)客體產(chǎn)生的侵害和影響。按照國(guó)家安全社會(huì)秩序和公共利益-公民、法人和組織的合法利益的順序考慮定級(jí)階段-關(guān)于侵害客體和侵害程度定級(jí)階段信息系統(tǒng)等級(jí)評(píng)審在信息系統(tǒng)安全保護(hù)等級(jí)確定過(guò)程中，可以聘請(qǐng)專家進(jìn)行咨詢?cè)u(píng)審

23、，并出具定級(jí)評(píng)審意見(jiàn)。對(duì)擬確定為第四級(jí)以上信息系統(tǒng)的，運(yùn)營(yíng)、使用單位或者主管部門應(yīng)當(dāng)邀請(qǐng)國(guó)家信息安全保護(hù)等級(jí)專家評(píng)審委員會(huì)評(píng)審，出具評(píng)審意見(jiàn)。評(píng)審意見(jiàn)及時(shí)反饋信息系統(tǒng)運(yùn)營(yíng)使用單位工作組。涉密信息系統(tǒng)按照國(guó)家保密局有關(guān)規(guī)定進(jìn)行等級(jí)評(píng)審。 信息系統(tǒng)運(yùn)營(yíng)使用單位參考專家定級(jí)評(píng)審意見(jiàn)，最終確定信息系統(tǒng)等級(jí)，形成定級(jí)報(bào)告。如果專家評(píng)審意見(jiàn)與運(yùn)營(yíng)使用單位意見(jiàn)不一致時(shí)，由運(yùn)營(yíng)使用單位自主決定系統(tǒng)等級(jí)，信息系統(tǒng)運(yùn)營(yíng)使用單位有上級(jí)主管部門的，應(yīng)當(dāng)經(jīng)上級(jí)主管部門對(duì)安全保護(hù)等級(jí)進(jìn)行審核批準(zhǔn)。定級(jí)劃分實(shí)例 例如某證券公司的信息系統(tǒng)，該信息系統(tǒng)所承載的業(yè)務(wù)有多個(gè)，該單位在全國(guó)遍布多處分支機(jī)構(gòu)。在總部的信息系統(tǒng)中，總體上

24、形成了辦公和業(yè)務(wù)兩大網(wǎng)絡(luò)區(qū)域，且二者之間相互隔離。其中，業(yè)務(wù)網(wǎng)承載著集中交易、網(wǎng)上交易、數(shù)據(jù)中心等業(yè)務(wù)；辦公網(wǎng)絡(luò)主要承載著OA等服務(wù)。核心交易業(yè)務(wù)進(jìn)行了數(shù)據(jù)大集中，數(shù)據(jù)處理中心在總部，處理中心和分支機(jī)構(gòu)所處理的交易業(yè)務(wù)相對(duì)于整個(gè)交易業(yè)務(wù)來(lái)講，都只是一個(gè)階段業(yè)務(wù)。 對(duì)于這樣的跨地域大系統(tǒng)，進(jìn)行系統(tǒng)劃分時(shí)必須綜合考慮系統(tǒng)劃分方法中的多個(gè)方面。首先，從信息系統(tǒng)的管理機(jī)構(gòu)來(lái)考慮，雖然總部和分支機(jī)構(gòu)都處理交易業(yè)務(wù)，但各自管理機(jī)構(gòu)所承擔(dān)的安全責(zé)任不同，即，總部具體負(fù)責(zé)總部核心交易系統(tǒng)的運(yùn)行、維護(hù)等安全責(zé)任；而分支機(jī)構(gòu)直接負(fù)責(zé)其所在的系統(tǒng)的運(yùn)行、維護(hù)和安全責(zé)任。所以從管理機(jī)構(gòu)的不同來(lái)考慮，應(yīng)將兩個(gè)機(jī)構(gòu)的信息

25、系統(tǒng)進(jìn)行劃分，形成總部信息系統(tǒng)和分支機(jī)構(gòu)信息系統(tǒng)。 然后分析總部業(yè)務(wù)網(wǎng)，總部業(yè)務(wù)網(wǎng)絡(luò)承載著多項(xiàng)業(yè)務(wù)，其中集中交易業(yè)務(wù)和網(wǎng)上交易業(yè)務(wù)重要程度最高，因此這兩個(gè)系統(tǒng)應(yīng)首先單獨(dú)進(jìn)行劃分，分別形成集中交易系統(tǒng)和網(wǎng)上交易系統(tǒng)。其他業(yè)務(wù)重要程度相近的、并且各自是相對(duì)獨(dú)立的，也單獨(dú)形成信息系統(tǒng)。 對(duì)于總部辦公網(wǎng)絡(luò)來(lái)講，主要為內(nèi)部員工提供公文管理、信息管理、日常辦公、輔助辦公及郵件收發(fā)等服務(wù)功能，因此可單獨(dú)形成辦公信息系統(tǒng)。 從以上分析可以得出，該單位總部的信息系統(tǒng)可以劃分為：集中交易系統(tǒng)、網(wǎng)上交易系統(tǒng)、其他系統(tǒng)以及辦公信息系統(tǒng)等。定級(jí)實(shí)例1 某省政府網(wǎng)站系統(tǒng)ZFWZ，用于發(fā)布政務(wù)公開信息、地方行政法規(guī)和管理措

26、施、領(lǐng)導(dǎo)講話、政府辦事流程、新聞發(fā)布、政府公告、舉報(bào)投訴、省內(nèi)經(jīng)濟(jì)形勢(shì)介紹、電子表單下載等信息，服務(wù)對(duì)象主要是省內(nèi)企業(yè)和市民。 ZFWZ系統(tǒng)是省政府對(duì)社會(huì)辦公的窗口，其中發(fā)布的信息內(nèi)容代表政府形象和體現(xiàn)政府的社會(huì)管理和社會(huì)服務(wù)職能，因此該信息安全被破壞可能對(duì)社會(huì)秩序造成一定影響；由于省政府網(wǎng)站的訪問(wèn)量并不很大，信息被篡改可能造成的不良社會(huì)影響不會(huì)很大，因此對(duì)社會(huì)秩序的侵害程度為一般損害；查表知ZFWZ系統(tǒng)的業(yè)務(wù)信息安全保護(hù)等級(jí)為第二級(jí)，如下表所示。業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第

27、二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)定級(jí)實(shí)例2 某省電力集團(tuán)公司的省級(jí)電力實(shí)時(shí)監(jiān)控系統(tǒng)，主要運(yùn)行調(diào)度自動(dòng)化控制系統(tǒng)和能量管理系統(tǒng)（SCADA/EMS）DDZDH，負(fù)責(zé)省級(jí)超高壓輸電變電站的調(diào)度控制和數(shù)據(jù)采集。系統(tǒng)實(shí)時(shí)性要求極高，達(dá)到秒級(jí)。 電力系統(tǒng)是國(guó)家重要基礎(chǔ)設(shè)施，省級(jí)DDZDH系統(tǒng)負(fù)責(zé)全省范圍內(nèi)的電力調(diào)度，調(diào)度控制指令或調(diào)度程序被修改，可能造成的停電事故會(huì)影響幾乎所有行業(yè)的正常生產(chǎn)和工作，其所侵害的客體為社會(huì)秩序和公共利益；調(diào)度控制指令或調(diào)度程序被修改可能造成全省范圍大面積停電、人員傷亡和巨額財(cái)產(chǎn)損失，同時(shí)對(duì)其它行業(yè)的生產(chǎn)和工作造成非常嚴(yán)重的影響，因此對(duì)社會(huì)秩序和公共利益的侵害程度為

28、特別嚴(yán)重?fù)p害；查表知DDZDH系統(tǒng)的業(yè)務(wù)信息安全保護(hù)等級(jí)為第四級(jí)，如下表所示。業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)政府部門對(duì)外服務(wù)的系統(tǒng)一般為二級(jí),對(duì)內(nèi)服務(wù)一般為三級(jí)。銀行數(shù)據(jù)中心的系統(tǒng)一般為三級(jí),下級(jí)系統(tǒng)和內(nèi)部辦公系統(tǒng)一般為二級(jí)。電力系統(tǒng)的電力調(diào)度系統(tǒng)為四級(jí),其他的系統(tǒng)二、三級(jí)。證券生產(chǎn)系統(tǒng)一般為三級(jí)，內(nèi)部辦公系統(tǒng)為二級(jí)。電信、廣電行業(yè)的公用通信網(wǎng)的基礎(chǔ)信息網(wǎng)絡(luò)一般定位三級(jí)。單位基本信息 了解單位基本信息有助于判斷單位的職能特點(diǎn)，單位所在行

29、業(yè)及單位在行業(yè)所處的地位和所用，由此判斷單位主要信息系統(tǒng)的宏觀定位。業(yè)務(wù)種類、流程和服務(wù)應(yīng)重點(diǎn)了解定級(jí)對(duì)象信息系統(tǒng)中不同業(yè)務(wù)系統(tǒng)提供的服務(wù)在影響履行單位職能方面具體方式和程度，影響的區(qū)域范圍、用戶人數(shù)、業(yè)務(wù)量的具體數(shù)據(jù)等。定級(jí)階段-關(guān)于定級(jí)報(bào)告的關(guān)注點(diǎn)主要的軟硬件設(shè)備了解與定級(jí)對(duì)象信息系統(tǒng)相關(guān)的服務(wù)器、網(wǎng)絡(luò)、終端、存儲(chǔ)設(shè)備以及安全設(shè)備等，設(shè)備所在網(wǎng)段，在系統(tǒng)中的功能和作用。調(diào)查設(shè)備的位置和作用主要就是發(fā)現(xiàn)不同信息系統(tǒng)在設(shè)備使用方面的共用程度。定級(jí)結(jié)果理由的說(shuō)明了解不同業(yè)務(wù)數(shù)據(jù)和系統(tǒng)服務(wù)在被破壞后對(duì)國(guó)家、社會(huì)、本單位造成的影響的說(shuō)明。定級(jí)階段-關(guān)于定級(jí)報(bào)告的關(guān)注點(diǎn)五、備案和備案審核管理辦法第十五

30、條規(guī)定，已運(yùn)營(yíng)（運(yùn)行）的第二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后30日內(nèi)，由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。 (9月1日開始接受備案，9月26日備案結(jié)束，9月30日前地市公安機(jī)關(guān)向省公安廳報(bào)送備案數(shù)據(jù)（電子）。新建第二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi)，由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。（一）備案范圍與時(shí)間安排二級(jí)以上的信息系統(tǒng)需要備案省公安廳信息系統(tǒng)等級(jí)保護(hù)辦公室聯(lián)系電話：87411982 聯(lián)系人：許微 張慧源（二）備案材料表一 單位基本情況表二 （/）信息系統(tǒng)情況表三（/）信息系統(tǒng)定級(jí)情況表四（/）第三級(jí)以上信息系統(tǒng)提交材料

31、情況 根據(jù)定級(jí)工作通知要求，信息系統(tǒng)安全保護(hù)等級(jí)確定后，第二級(jí)以上的信息系統(tǒng)運(yùn)營(yíng)使用單位或主管部門到公安部網(wǎng)站（）、省公安廳（79:211）下載信息系統(tǒng)安全等級(jí)保護(hù)備案表（見(jiàn)附件）和輔助備案工具，持填寫的備案表和利用輔助備案工具生成的備案電子數(shù)據(jù)，到公安機(jī)關(guān)辦理備案手續(xù)，提交有關(guān)備案材料及電子數(shù)據(jù)文件。其中，第二級(jí)信息系統(tǒng)的備案單位只需填寫備案表中的表一、表二和表三（注：第二級(jí)信息系統(tǒng)備案單位可以先提交電子備案表。公安機(jī)關(guān)審核后再提交紙制材料，并領(lǐng)取備案證明）。第三級(jí)以上信息系統(tǒng)的備案單位還應(yīng)當(dāng)在建設(shè)、整改、測(cè)評(píng)等工作完成后，再行提交備案表表四所列各項(xiàng)內(nèi)容的書面材料。 （二）備案材料跨省的系統(tǒng)

32、，全國(guó)聯(lián)網(wǎng)本省分支系統(tǒng)到公安廳網(wǎng)安總隊(duì)備案。跨地市的系統(tǒng)，到公安廳網(wǎng)安總隊(duì)備案，各地市分支系統(tǒng)應(yīng)向?qū)?yīng)地市的公安局網(wǎng)安處、科備案。廳直級(jí)的信息系統(tǒng)到公安廳網(wǎng)安總隊(duì)備案。地市級(jí)以下（包括地市級(jí)）的系統(tǒng)，到設(shè)區(qū)市的公安局網(wǎng)安處、科備案。（三）“屬地”備案原則全國(guó)人口信息系統(tǒng)福建人口信息系統(tǒng)福州市人口信息系統(tǒng)公安廳網(wǎng)安總隊(duì)備案福州市公安局網(wǎng)安處備案公安部十一局備案泉州市中小企業(yè)管理系統(tǒng)泉州市公安局網(wǎng)安處備案廈門海關(guān)信息系統(tǒng)廈門市公安局網(wǎng)安處備案發(fā)改委內(nèi)部OA辦公系統(tǒng)公安廳網(wǎng)安總隊(duì)備案管理辦法第十七條規(guī)定，信息系統(tǒng)備案后，公安機(jī)關(guān)應(yīng)當(dāng)對(duì)信息系統(tǒng)的備案情況進(jìn)行審核，對(duì)符合等級(jí)保護(hù)要求的，應(yīng)當(dāng)在收到備案材

33、料之日起的10個(gè)工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級(jí)保護(hù)備案證明；發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位予以糾正；發(fā)現(xiàn)定級(jí)不準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位重新審核確定。運(yùn)營(yíng)、使用單位或者主管部門重新確定信息系統(tǒng)等級(jí)后，應(yīng)當(dāng)按照本辦法向公安機(jī)關(guān)重新備案。（四）備案審核各地區(qū)、各部門要結(jié)合本地區(qū)、本行業(yè)開展定級(jí)工作的實(shí)際，認(rèn)真總結(jié)經(jīng)驗(yàn)和不足，提出改進(jìn)和完善定級(jí)方法的意見(jiàn)和建議，及時(shí)總結(jié)定級(jí)工作經(jīng)驗(yàn)，形成定級(jí)工作總結(jié)報(bào)告，并于10月1日前報(bào)送公安廳。（五）及時(shí)總結(jié)并提交報(bào)告（公安）六、信息系統(tǒng)安全建設(shè)整改、等級(jí)測(cè)評(píng)一、主要依據(jù)信息系統(tǒng)安

34、全等級(jí)保護(hù)基本要求 基本要求是針對(duì)每個(gè)等級(jí)的信息系統(tǒng)提出相應(yīng)安全保護(hù)要求，“基本”意味著這些要求是針對(duì)該等級(jí)的信息系統(tǒng)達(dá)到基本保護(hù)能力而提出的，也就是說(shuō)，這些要求的實(shí)現(xiàn)能夠保證系統(tǒng)達(dá)到相應(yīng)等級(jí)的基本保護(hù)能力，但反過(guò)來(lái)說(shuō)，系統(tǒng)達(dá)到相應(yīng)等級(jí)的保護(hù)能力并不僅僅完全依靠這些安全保護(hù)要求。同時(shí)，基本要求強(qiáng)調(diào)的是“要求”，而不是具體實(shí)施方案或作業(yè)指導(dǎo)書，基本要求給出了系統(tǒng)每一保護(hù)方面需達(dá)到的要求，至于這種要求采取何種方式實(shí)現(xiàn)，不在基本要求的描述范圍內(nèi)。 基本要求在整體框架結(jié)構(gòu)上以三種分類為支撐點(diǎn)，自上而下分別為：類、控制點(diǎn)和項(xiàng)。其中，類表示基本要求在整體上大的分類，其中技術(shù)部分分為：物理安全、網(wǎng)絡(luò)安全、主

35、機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)等5大類，管理部分分為：安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等5大類，一共分為10大類?？刂泣c(diǎn)表示每個(gè)大類下的關(guān)鍵控制點(diǎn)，如物理安全大類中的“物理訪問(wèn)控制”作為一個(gè)控制點(diǎn)。而項(xiàng)則是控制點(diǎn)下的具體要求項(xiàng)，如“機(jī)房出入應(yīng)安排專人負(fù)責(zé)，控制、鑒別和記錄進(jìn)入的人員?！钡谌?jí)基本要求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全第一級(jí)基本要求第二級(jí)基本要求第四級(jí)基本要求第五級(jí)基本要求數(shù)據(jù)安全及備份恢復(fù)技術(shù)要求管理要求安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理主機(jī)安全入侵防范：(G2)a.操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件

36、和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。主機(jī)安全入侵防范：(G3）a.應(yīng)能夠檢測(cè)到對(duì)重要服務(wù)器進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警；b.應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測(cè)，并在檢測(cè)到完整性受到破壞后具有恢復(fù)的措施；c.操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。網(wǎng)絡(luò)安全入侵防范：(G3）a.應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；b.當(dāng)檢測(cè)到攻擊行為時(shí)，記

37、錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。網(wǎng)絡(luò)安全入侵防范：(G4）a.應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；b.當(dāng)檢測(cè)到攻擊行為時(shí)，應(yīng)記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警及自動(dòng)采取相應(yīng)動(dòng)作。不同級(jí)別系統(tǒng)控制點(diǎn)的差異安全要求類層面一級(jí)二級(jí)三級(jí)四級(jí)技術(shù)要求物理安全7101010網(wǎng)絡(luò)安全3677主機(jī)安全4679應(yīng)用安全47911數(shù)據(jù)安全及備份恢復(fù)2333管理要求安全管理制度2333安全管理機(jī)構(gòu)4555人員安全管理4555系統(tǒng)建設(shè)管理991

38、111系統(tǒng)運(yùn)維管理9121313合計(jì)/48667377級(jí)差/1874不同級(jí)別系統(tǒng)要求項(xiàng)的差異安全要求類層面一級(jí)二級(jí)三級(jí)四級(jí)技術(shù)要求物理安全9193233網(wǎng)絡(luò)安全9183332主機(jī)安全6193236應(yīng)用安全7193136數(shù)據(jù)安全及備份恢復(fù)24811管理要求安全管理制度371114安全管理機(jī)構(gòu)492020人員安全管理7111618系統(tǒng)建設(shè)管理20284548系統(tǒng)運(yùn)維管理18416270合計(jì)/85175290318級(jí)差/9011528基本要求的定位是系統(tǒng)安全保護(hù)、等級(jí)測(cè)評(píng)的一個(gè)基本“標(biāo)尺”，同樣級(jí)別的系統(tǒng)使用統(tǒng)一的“標(biāo)尺”來(lái)衡量，保證權(quán)威性，是一個(gè)達(dá)標(biāo)線；每個(gè)級(jí)別的信息系統(tǒng)按照基本要求進(jìn)行保護(hù)后，信

39、息系統(tǒng)具有相應(yīng)等級(jí)的基本安全保護(hù)能力，達(dá)到一種基本的安全狀態(tài);是每個(gè)級(jí)別信息系統(tǒng)進(jìn)行安全保護(hù)工作的一個(gè)基本出發(fā)點(diǎn)，更加貼切的保護(hù)可以通過(guò)需求分析對(duì)基本要求進(jìn)行補(bǔ)充，參考其他有關(guān)等級(jí)保護(hù)或安全方面的標(biāo)準(zhǔn)來(lái)實(shí)現(xiàn);（二）、信息系統(tǒng)安全建設(shè)整改 管理辦法第十一條規(guī)定，信息系統(tǒng)的安全保護(hù)等級(jí)確定后，運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照國(guó)家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國(guó)家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品，開展信息系統(tǒng)安全建設(shè)或者改建工作。系統(tǒng)建設(shè)和改建階段相關(guān)技術(shù)環(huán)節(jié)安全需求分析方法系統(tǒng)的安全等級(jí)保護(hù)設(shè)計(jì)、實(shí)施方案設(shè)計(jì) 系統(tǒng)改建實(shí)施方案設(shè)計(jì) 系統(tǒng)建設(shè)和改建階段安全需求分析的目的是使信

40、息系統(tǒng)按照等級(jí)保護(hù)相應(yīng)等級(jí)的要求進(jìn)行設(shè)計(jì)、規(guī)劃和實(shí)施，將來(lái)源于國(guó)家政策性要求、機(jī)構(gòu)使命性要求、系統(tǒng)可能面臨的環(huán)境和影響以及機(jī)構(gòu)自身的需求相結(jié)合作為信息系統(tǒng)的安全需求，使具有相同安全保護(hù)等級(jí)的信息系統(tǒng)能夠達(dá)到相應(yīng)等級(jí)的基本的保護(hù)水平和保護(hù)能力。 系統(tǒng)建設(shè)階段-需求分析方法一、選擇、調(diào)整基本安全要求 定級(jí)指南在確定信息系統(tǒng)的安全保護(hù)等級(jí)的同時(shí)確定了信息系統(tǒng)在業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩個(gè)方面的安全保護(hù)等級(jí) 。系統(tǒng)的安全保護(hù)等級(jí)與這兩者的關(guān)系是：系統(tǒng)的安全保護(hù)等級(jí)=L (信息等級(jí)，服務(wù)等級(jí)) =Max(信息等級(jí)，服務(wù)等級(jí)）例如：L(3,1)=L(3,2)= L(3,3)= L(1,3)= L(2,3

41、)= 3 系統(tǒng)建設(shè)階段-需求分析方法一、選擇、調(diào)整基本安全要求 形成了5個(gè)等級(jí)，25個(gè)安全需求類。表明同樣等級(jí)的信息系統(tǒng)，其安全需求有所不同，因此對(duì)其實(shí)施的保護(hù)也應(yīng)該有不同的要求。為了區(qū)別不同安全技術(shù)要求和管理要求在保護(hù)信息系統(tǒng)的業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全所起的作用，將所有技術(shù)要求和管理要求進(jìn)行了標(biāo)識(shí)，標(biāo)識(shí)分為三種S、A和G。 系統(tǒng)建設(shè)階段-需求分析方法一、選擇、調(diào)整基本安全要求 三類基本要求S類業(yè)務(wù)信息安全保護(hù)類關(guān)注的是保護(hù)數(shù)據(jù)在存儲(chǔ)、傳輸、處理過(guò)程中不被泄漏、破壞和免受未授權(quán)的修改。A類系統(tǒng)服務(wù)安全保護(hù)類關(guān)注的是保護(hù)系統(tǒng)連續(xù)正常的運(yùn)行，避免因?qū)ο到y(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用。G類通

42、用安全保護(hù)類既關(guān)注保護(hù)業(yè)務(wù)信息的安全性，同時(shí)也關(guān)注保護(hù)系統(tǒng)的連續(xù)可用性。例如，以S2表示2級(jí)的業(yè)務(wù)信息安全保護(hù)類要求，A3表示3級(jí)的系統(tǒng)服務(wù)安全保護(hù)類要求。 系統(tǒng)建設(shè)階段-需求分析方法一、選擇、調(diào)整基本安全要求 需求分析步驟：第一步根據(jù)其等級(jí)從基本要求中選擇相應(yīng)等級(jí)的基本安全要求。第二步根據(jù)定級(jí)過(guò)程中確定業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)，確定該信息系統(tǒng)的安全需求類。第三步根據(jù)系統(tǒng)所面臨的威脅特點(diǎn)調(diào)整安全要求。系統(tǒng)建設(shè)階段-需求分析方法二、明確系統(tǒng)特殊安全需求 特殊需求來(lái)自兩個(gè)方面：等級(jí)保護(hù)相應(yīng)等級(jí)的基本要求中某些方面的安全措施所達(dá)到的安全保護(hù)不能滿足本單位信息系統(tǒng)的保護(hù)需求，需要更強(qiáng)

43、的保護(hù)。由于信息系統(tǒng)的業(yè)務(wù)需求、應(yīng)用模式具有特殊性，系統(tǒng)面臨的威脅具有特殊性，基本要求沒(méi)有提供所需要的保護(hù)措施，例如有關(guān)無(wú)線網(wǎng)絡(luò)的接入和防護(hù)基本要求中沒(méi)有提出專門的要求，需要作為特殊需求。 系統(tǒng)建設(shè)階段-需求分析方法二、明確系統(tǒng)特殊安全需求 兩種解決方式：第一種選擇基本要求中更高級(jí)別的安全要求達(dá)到本級(jí)別基本要求不能實(shí)現(xiàn)的安全保護(hù)能力第二種參照管理辦法第十二條和第十三條列出的等級(jí)保護(hù)的其它標(biāo)準(zhǔn)進(jìn)行保護(hù)。等級(jí)保護(hù)基本安全要求和特殊安全需求共同構(gòu)成系統(tǒng)的總的安全需求。系統(tǒng)建設(shè)階段-需求分析方法根據(jù)等級(jí)保護(hù)要求進(jìn)行信息系統(tǒng)安全的設(shè)計(jì)是系統(tǒng)建設(shè)前必須完成的工作。設(shè)計(jì)分為總體安全設(shè)計(jì)和詳細(xì)安全設(shè)計(jì)?？傮w設(shè)

44、計(jì)指導(dǎo)全局，一般針對(duì)整個(gè)單位，詳細(xì)設(shè)計(jì)指導(dǎo)具體項(xiàng)目的建設(shè)實(shí)施。系統(tǒng)建設(shè)階段-保護(hù)方案設(shè)計(jì)引入等級(jí)保護(hù)概念，系統(tǒng)安全防護(hù)設(shè)計(jì)思路有所不同：在設(shè)計(jì)思路上應(yīng)突出對(duì)等級(jí)較高的信息系統(tǒng)的重點(diǎn)保護(hù)。滿足等級(jí)保護(hù)要求不意味著各信息系統(tǒng)獨(dú)立實(shí)施保護(hù)，而應(yīng)本著優(yōu)化資源配置的原則，合理布局，構(gòu)建縱深防御體系。要解決等級(jí)系統(tǒng)之間的互連問(wèn)題，因此必須在總體安全設(shè)計(jì)中規(guī)定相應(yīng)的安全策略。如何在同一個(gè)組織機(jī)構(gòu)的管理控制下，根據(jù)不同等級(jí)的系統(tǒng)需要滿足不同的安全管理要求。系統(tǒng)建設(shè)階段-保護(hù)方案設(shè)計(jì)一、總體安全設(shè)計(jì)方法總體安全設(shè)計(jì)方法主要針對(duì)略有規(guī)模的信息系統(tǒng)，比如信息系統(tǒng)本身是由多個(gè)不同級(jí)別的系統(tǒng)構(gòu)成、信息系統(tǒng)分布在多個(gè)物理

45、地區(qū)、信息系統(tǒng)之間橫向和縱向連接關(guān)系復(fù)雜等?？傮w安全設(shè)計(jì)的基本方法是將復(fù)雜信息系統(tǒng)進(jìn)行簡(jiǎn)化，提取共性形成模型，針對(duì)模型要素結(jié)合相應(yīng)等級(jí)的保護(hù)能力和安全需求提出安全策略和安全措施要求，指導(dǎo)信息系統(tǒng)中各個(gè)組織、各個(gè)安全層面和各個(gè)對(duì)象安全策略和安全措施的具體實(shí)現(xiàn)。 系統(tǒng)建設(shè)階段-保護(hù)方案設(shè)計(jì)總體安全設(shè)計(jì)可參照以下步驟完成：1、局域網(wǎng)內(nèi)部抽象處理，劃分為多個(gè)具有等級(jí)安全域（邊界訪問(wèn)控制策略相同）。2、局域網(wǎng)內(nèi)部安全域之間互聯(lián)的抽象處理3、局域網(wǎng)之間安全域互聯(lián)的抽象處理4、局域網(wǎng)安全域與外部單位互聯(lián)的抽象處理5、安全域內(nèi)部抽象處理6、信息系統(tǒng)抽象模型描述系統(tǒng)建設(shè)階段-保護(hù)方案設(shè)計(jì)系統(tǒng)建設(shè)階段-保護(hù)方案設(shè)

46、計(jì)四級(jí)安全域三級(jí)安全域二級(jí)安全域一級(jí)安全域局域網(wǎng)內(nèi)部安全域之間互聯(lián)的抽象處理系統(tǒng)建設(shè)階段-保護(hù)方案設(shè)計(jì)四級(jí)安全域三級(jí)安全域二級(jí)安全域一級(jí)安全域三級(jí)安全域二級(jí)安全域一級(jí)安全域四級(jí)安全域雙向訪問(wèn)單向推送局域網(wǎng)之間安全域互聯(lián)的抽象處理系統(tǒng)建設(shè)階段-保護(hù)方案設(shè)計(jì)四級(jí)安全域三級(jí)安全域二級(jí)安全域一級(jí)安全域外部機(jī)構(gòu)/單位國(guó)際互聯(lián)網(wǎng)雙向推送局域網(wǎng)安全域與外部單位互聯(lián)的抽象處理雙向訪問(wèn)7、 制定總體安全策略規(guī)則1通過(guò)骨干網(wǎng)/城域網(wǎng)只能建立同級(jí)安全域的連接，實(shí)現(xiàn)上、下級(jí)單位的同級(jí)安全域的互接；規(guī)則24級(jí)安全域通過(guò)專網(wǎng)的VPN通道進(jìn)行數(shù)據(jù)交換；3級(jí)安全域可以通過(guò)公網(wǎng)的VPN通道進(jìn)行數(shù)據(jù)交換；規(guī)則34級(jí)安全域不能與2

47、級(jí)安全域、1級(jí)安全域直接連接；3級(jí)安全域不能與1級(jí)安全域直接連接；規(guī)則4只有1級(jí)安全域可以直接訪問(wèn)Internet。 等等。系統(tǒng)建設(shè)階段-保護(hù)方案設(shè)計(jì)8、關(guān)于等級(jí)邊界進(jìn)行安全控制的規(guī)定規(guī)定14級(jí)安全域與3級(jí)安全域之間必須采用接近物理隔離的專用設(shè)備進(jìn)行隔離；規(guī)定2各級(jí)別安全域網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的邊界處必須使用防火墻進(jìn)行有效的邊界保護(hù)；規(guī)定3通過(guò)3級(jí)安全域與外部單位進(jìn)行數(shù)據(jù)交換時(shí)，必須把要交換的數(shù)據(jù)推送到前置機(jī)，外部單位從外部接入網(wǎng)絡(luò)的前置機(jī)或中間件將數(shù)據(jù)取走，反之亦然；系統(tǒng)建設(shè)階段-保護(hù)方案設(shè)計(jì)三、實(shí)施方案設(shè)計(jì)總體設(shè)計(jì)方案的設(shè)計(jì)原則和安全策略需要具體落實(shí)到若干個(gè)具體的建設(shè)項(xiàng)目中，一個(gè)設(shè)計(jì)方案的實(shí)施可

48、能可以分為若干個(gè)實(shí)施方案，分期、分批建設(shè)，實(shí)現(xiàn)統(tǒng)一設(shè)計(jì)、分步實(shí)施。實(shí)施方案不同于設(shè)計(jì)方案，實(shí)施方案需要根據(jù)階段性的建設(shè)目標(biāo)和建設(shè)內(nèi)容將信息系統(tǒng)安全總體設(shè)計(jì)方案中要求實(shí)現(xiàn)的安全策略、安全技術(shù)體系結(jié)構(gòu)、安全措施和要求落實(shí)到產(chǎn)品功能或物理形態(tài)上，提出能夠?qū)崿F(xiàn)的產(chǎn)品或組件及其具體規(guī)范，并將產(chǎn)品功能特征整理成文檔。使得在信息安全產(chǎn)品采購(gòu)和安全控制開發(fā)階段具有依據(jù)。系統(tǒng)建設(shè)階段-保護(hù)方案設(shè)計(jì)實(shí)施方案的設(shè)計(jì)過(guò)程包括：結(jié)構(gòu)框架設(shè)計(jì)功能要求設(shè)計(jì)性能要求設(shè)計(jì)部署方案設(shè)計(jì)制定安全策略實(shí)現(xiàn)計(jì)劃管理措施實(shí)現(xiàn)內(nèi)容設(shè)計(jì)形成系統(tǒng)建設(shè)的安全實(shí)施方案系統(tǒng)建設(shè)階段-保護(hù)方案設(shè)計(jì)系統(tǒng)建設(shè)的安全實(shí)施方案包含以下內(nèi)容：本期建設(shè)目標(biāo)和建設(shè)

49、內(nèi)容；技術(shù)實(shí)現(xiàn)框架；信息安全產(chǎn)品或組件功能及性能；信息安全產(chǎn)品或組件部署；安全策略和配置；配套的安全管理建設(shè)內(nèi)容；工程實(shí)施計(jì)劃；項(xiàng)目投資概算。系統(tǒng)建設(shè)階段-保護(hù)方案設(shè)計(jì)本節(jié)的目的是針對(duì)已建成并投入運(yùn)行的系統(tǒng)如何找出現(xiàn)有安全防護(hù)與相應(yīng)等級(jí)基本要求的差距，如何根據(jù)差距分析結(jié)果設(shè)計(jì)系統(tǒng)的改建方案，使其能夠指導(dǎo)該系統(tǒng)后期具體的改建工作，逐步達(dá)到相應(yīng)等級(jí)系統(tǒng)的保護(hù)能力。系統(tǒng)改建方案設(shè)計(jì)的主要依據(jù)是安全需求分析的結(jié)果，和對(duì)信息系統(tǒng)目前保護(hù)措施與基本要求的差距的分析和評(píng)估。系統(tǒng)改建方案的主要內(nèi)容則是解決如何針對(duì)這些存在的差距，分析其存在的原因以及如何進(jìn)行整改。系統(tǒng)改建設(shè)實(shí)施方案與新建系統(tǒng)的安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案都是備案所需要提交的技術(shù)文件。(三級(jí)以上） 系統(tǒng)建設(shè)階段-改建實(shí)施方案設(shè)計(jì) 一、確定系統(tǒng)改建的安全需求 1、根據(jù)確定的安全保護(hù)等級(jí)，參照前述的安全需求分析方法，確定