等級保護工作中的重點和難點課件

等級保護工作中的重點和難點

馬力公安部信息安全等級保護評估中心信息安全等級保護培訓信息安全等級保護培訓目錄

等級保護的工作環(huán)節(jié)和技術(shù)標準等級保護系統(tǒng)定級中的技術(shù)難點等級保護建設整改中的技術(shù)難點目錄等級保護的工作環(huán)節(jié)和技術(shù)標準等級保護

根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度；遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度；將信息系統(tǒng)劃分為不同的安全保護等級并對其實施不同的保護和監(jiān)管。

等級保護根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生《警察法》規(guī)定：警察履行“監(jiān)督管理計算機信息系統(tǒng)的安全保護工作”的職責。國務院令第147號規(guī)定：“公安部主管全國計算機信息系統(tǒng)安全保護工作”，“等級保護的具體辦法，由公安部會同有關(guān)部門制定”。2008年國務院三定方案，公安部新增職能：“監(jiān)督、檢查、指導信息安全等級保護工作”。公安機關(guān)組織開展等級保護工作的依據(jù)《警察法》規(guī)定：警察履行“監(jiān)督管理計算機信息系統(tǒng)的安全保護工職能部門：制定管理規(guī)范和技術(shù)標準，組織實施，開展監(jiān)督、檢查、指導。行業(yè)主管部門：督促、檢查、指導本行業(yè)、本部門開展等級保護工作。運營使用單位：開展信息系統(tǒng)定級、備案、建設整改、等級測評、自查等工作，落實等級保護制度的各項要求。安全服務機構(gòu)：開展技術(shù)支持、服務等工作，并接受監(jiān)管部門的監(jiān)督管理。相關(guān)部門的責任和義務職能部門：制定管理規(guī)范和技術(shù)標準，組織實施，開展監(jiān)督、檢查等級保護主要工作一是：定級備案二是：建設整改三是：等級測評四是：監(jiān)督檢查等級保護主要工作一是：定級備案

近幾年，公安部根據(jù)國務院147號令的授權(quán)，會同國家保密局、國家密碼管理局、發(fā)改委、原國務院信息辦出臺了一些文件，公安部對有些具體工作出臺了一些指導意見和規(guī)范，構(gòu)成了信息安全等級保護政策體系。匯集成《信息安全等級保護政策匯編》供有關(guān)單位、部門使用。等級保護政策體系近幾年，公安部根據(jù)國務院147號令的授權(quán)，會同國家在安全建設整改工作中的作用

等級保護有關(guān)政策在安全建設整改工作中的作用1、《關(guān)于信息安全等級保護工作的實施意見》（公通字[2004]66號）2、《信息安全等級保護管理辦法》公通字[2007]43號）3、《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公通字[2007]861號）4、《信息安全等級保護備案實施細則》（公信安[2007]1360號）5、《關(guān)于開展信息系統(tǒng)等級保護安全建設整改工作的指導意見》公信安[2009]1429號）等級保護政策體系1、《關(guān)于信息安全等級保護工作的實施意見》（公通字[20046、《關(guān)于加強國家電子政務工程建設項目信息安全風險評估工作的通知》（發(fā)改高技[2008]2071號）7、《關(guān)于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》（公信安[2010]303號）。8、《關(guān)于印發(fā)〈信息系統(tǒng)安全等級測評報告模版（試行）〉的通知》（公信安[2009]1487號）9、《公安機關(guān)信息安全等級保護檢查工作規(guī)范》（公信安[2008]736號）等級保護政策體系6、《關(guān)于加強國家電子政務工程建設項目信息安全風險評估工作的

多年來，在有關(guān)部門支持下，在國內(nèi)有關(guān)專家、企業(yè)的共同努力下，全國信息安全標準化技術(shù)委員會和公安部信息系統(tǒng)安全標準化技術(shù)委員會組織制訂了信息安全等級保護工作需要的一系列標準，形成了比較完整的信息安全等級保護標準體系。匯集成《信息安全等級保護標準匯編》供有關(guān)單位、部門使用。

等級保護標準體系多年來，在有關(guān)部門支持下，在國內(nèi)有關(guān)專家在安全建設整改工作中的作用

等級保護有關(guān)標準在安全建設整改工作中的作用等級保護工作中用到的主要標準（一）基礎1、《計算機信息系統(tǒng)安全保護等級劃分準則》GB17859-19992、《信息系統(tǒng)安全等級保護實施指南》GB/T25058-2010（二）系統(tǒng)定級環(huán)節(jié)3、《信息系統(tǒng)安全保護等級定級指南》GB/T22240-2008（三）建設整改環(huán)節(jié)4、《信息系統(tǒng)安全等級保護基本要求》GB/T22239-2008（四）等級測評環(huán)節(jié)5、《信息系統(tǒng)安全等級保護測評要求》(國標報批稿)6、《信息系統(tǒng)安全等級保護測評過程指南》(國標報批稿)等級保護工作中用到的主要標準（一）基礎小結(jié)-等級保護主要政策和標準《信息安全等級保護管理辦法》（公通字[2007]43號，以下簡稱《管理辦法》）《計算機信息安全保護等級劃分準則》（GB17859-1999，簡稱《劃分準則》）《信息系統(tǒng)安全等級保護實施指南》GB/T25058-2010（簡稱《實施指南》）《信息系統(tǒng)安全保護等級定級指南》（GB/T22240-2008，簡稱《定級指南》）《信息系統(tǒng)安全等級保護基本要求》（GB/T22239-2008，簡稱《基本要求》）《信息系統(tǒng)安全等級保護測評要求》（簡稱《測評要求》）《信息系統(tǒng)安全等級保護測評過程指南》（簡稱《測評過程指南》）小結(jié)-等級保護主要政策和標準《信息安全等級保護管理辦法》（公目錄

等級保護的工作環(huán)節(jié)和技術(shù)標準

等級保護系統(tǒng)定級中的技術(shù)難點等級保護建設整改中的技術(shù)難點目錄等級保護的工作環(huán)節(jié)和技術(shù)標準目錄

等級保護系統(tǒng)定級中的技術(shù)難點等級的概念定級對象的確定影響及后果的判斷目錄等級保護系統(tǒng)定級中的技術(shù)難點系統(tǒng)定級-工作的部署2007年《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公通字[2007]861號）全國重要信息系統(tǒng)安全等級保護定級工作開展以來，各地區(qū)、各部門高度重視，按照定級工作的要求，認真組織落實，到2009年,基本完成了定級工作任務。系統(tǒng)定級-工作的部署2007年《關(guān)于開展全國重要信息系統(tǒng)安全系統(tǒng)定級-等級的概念先后在《劃分準則》、《基本要求》等技術(shù)標準和《管理辦法》等文件中出現(xiàn)了多個有關(guān)等級的概念系統(tǒng)定級-等級的概念先后在《劃分準則》、《基本要求》等技術(shù)標系統(tǒng)定級-等級的概念等級的概念首先出現(xiàn)在國家標準《劃分準則》中從安全保護能力角度，根據(jù)安全功能的實現(xiàn)情況，將計算機信息系統(tǒng)安全保護能力劃分為五個級別用戶自主保護級系統(tǒng)審計保護級安全標記保護級結(jié)構(gòu)化保護級訪問驗證保護級系統(tǒng)定級-等級的概念等級的概念首先出現(xiàn)在國家標準《劃分準則》系統(tǒng)定級-等級的概念該標準僅明確了信息系統(tǒng)安全保護能力的五個等級的劃分，但是沒有考慮“信息系統(tǒng)重要程度”這個屬性，在等級保護的推進過程中，難以依據(jù)該標準開展信息安全等級保護定級工作系統(tǒng)定級-等級的概念該標準僅明確了信息系統(tǒng)安全保護能力的五個系統(tǒng)定級-等級的概念-信息系統(tǒng)重要程度的等級在《管理辦法》中，明確了“信息系統(tǒng)的安全保護等級應當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定”系統(tǒng)定級-等級的概念-信息系統(tǒng)重要程度的等級在《管理辦法》系統(tǒng)定級-等級的概念-信息系統(tǒng)重要程度的等級《管理辦法》從信息系統(tǒng)重要程度及其社會屬性考慮，再次給出了信息系統(tǒng)五個級別的定義第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。系統(tǒng)定級-等級的概念-信息系統(tǒng)重要程度的等級《管理辦法》從系統(tǒng)定級-等級的概念-信息系統(tǒng)安全保護能力的等級《劃分準則》級別安全功能要求用戶自主保護級自主訪問控制、身份鑒別、數(shù)據(jù)完整性保護系統(tǒng)審計保護級自主訪問控制、身份鑒別、客體重用、安全審計、數(shù)據(jù)完整性保護安全標記保護級自主訪問控制、強制訪問控制、安全標記、身份鑒別、客體重用、安全審計、數(shù)據(jù)完整性保護結(jié)構(gòu)化保護級自主訪問控制、強制訪問控制、安全標記、身份鑒別、客體重用、安全審計、數(shù)據(jù)完整性保護、隱蔽信道分析、可信路徑訪問驗證保護級自主訪問控制、強制訪問控制、安全標記、身份鑒別、客體重用、安全審計、數(shù)據(jù)完整性保護、隱蔽信道分析、可信路徑、可信恢復系統(tǒng)定級-等級的概念-信息系統(tǒng)安全保護能力的等級《劃分準則》系統(tǒng)定級-等級的概念–信息系統(tǒng)安全保護能力的等級為了保證不同級別的系統(tǒng)通過安全保護具有《劃分準則》提出的安全保護能力，考慮到《劃分準則》對安全保護能力描述的抽象性和概括性，《基本要求》重新詮釋了《劃分準則》的安全保護能力，給出了安全保護能力的新定義系統(tǒng)定級-等級的概念–信息系統(tǒng)安全保護能力的等級為了保證不系統(tǒng)定級-等級的概念–信息系統(tǒng)安全保護能力的等級安全保護能力的級別：一級安全保護能力：二級安全保護能力：三級安全保護能力：四級安全保護能力；五級安全保護能力；（未公布）系統(tǒng)定級-等級的概念–信息系統(tǒng)安全保護能力的等級系統(tǒng)定級-等級的概念–信息系統(tǒng)安全保護能力的等級三級安全保護能力：應具有能夠?qū)箒碜源笮偷?、有組織的團體（如一個商業(yè)情報組織或犯罪組織等），擁有較為豐富資源（包括人員能力、計算能力等）的威脅源發(fā)起的惡意攻擊、較為嚴重的自然災難（災難發(fā)生的強度較大、持續(xù)時間較長、覆蓋范圍較廣（地區(qū)性）等）以及其他相當危害程度（內(nèi)部人員的惡意威脅、設備的較嚴重故障等）威脅的能力，并在威脅發(fā)生后，能夠較快恢復絕大部分功能。系統(tǒng)定級-等級的概念–信息系統(tǒng)安全保護能力的等級三級安全保系統(tǒng)定級-等級的概念–信息系統(tǒng)安全保護能力的等級為了便于指導信息系統(tǒng)的安全建設整改工作，落實各項安全管理和技術(shù)措施，在有關(guān)信息系統(tǒng)建設整改的工作指南中，對上述安全保護能力給出了更加通俗的描述系統(tǒng)定級-等級的概念–信息系統(tǒng)安全保護能力的等級為了便于指系統(tǒng)定級-等級的概念–信息系統(tǒng)安全保護能力的等級第三級信息系統(tǒng)安全保護能力：信息系統(tǒng)在統(tǒng)一的安全保護策略下具有抵御大規(guī)模、較強惡意攻擊的能力，抵抗較為嚴重的自然災害的能力，防范計算機病毒和惡意代碼危害的能力；具有檢測、發(fā)現(xiàn)、報警、記錄入侵行為的能力；具有對安全事件進行響應處置，并能夠追蹤安全責任的能力；在系統(tǒng)遭到損害后，具有能夠較快恢復正常運行狀態(tài)的能力；對于服務保障性要求高的系統(tǒng)，應能快速恢復正常運行狀態(tài)；具有對系統(tǒng)資源、用戶、安全機制等進行集中控管的能力系統(tǒng)定級-等級的概念–信息系統(tǒng)安全保護能力的等級第三級信息系統(tǒng)定級-等級概念的相互關(guān)系-重要性等級是等級的核心《管理辦法》中信息系統(tǒng)重要程度的等級的概念，是信息安全等級保護工作中的系統(tǒng)定級和備案、安全建設整改、等級測評和監(jiān)督檢查等工作的依據(jù)系統(tǒng)定級-等級概念的相互關(guān)系-重要性等級是等級的核心《管理辦系統(tǒng)定級-等級概念的相互關(guān)系-重要性等級和監(jiān)督管理強度的等級信息系統(tǒng)級別信息系統(tǒng)重要性監(jiān)督管理強度等級第一級一般信息系統(tǒng)自主保護級第二級一般信息系統(tǒng)指導保護級第三級重要信息系統(tǒng)監(jiān)督保護級第四級重要信息系統(tǒng)強制保護級第五級重要信息系統(tǒng)專控保護級系統(tǒng)定級-等級概念的相互關(guān)系-重要性等級和監(jiān)督管理強度的等級系統(tǒng)定級-等級概念的相互關(guān)系-重要性等級和安全保護能力等級信息系統(tǒng)重要程度不同意味著外部威脅源的興趣點也不同，較高級別的系統(tǒng)可能面臨更多的威脅或更強能力的威脅，因此級別更高的系統(tǒng)需要具備更強的安全保護能力才能實現(xiàn)基本安全系統(tǒng)定級-等級概念的相互關(guān)系-重要性等級和安全保護能力等級信系統(tǒng)定級-等級概念的相互關(guān)系-重要性等級和安全保護能力等級信息系統(tǒng)級別重要性安全保護能力級別第一級一般信息系統(tǒng)一級安全保護能力第二級一般信息系統(tǒng)二級安全保護能力第三級重要信息系統(tǒng)三級安全保護能力第四級重要信息系統(tǒng)四級安全保護能力第五級重要信息系統(tǒng)未公布系統(tǒng)定級-等級概念的相互關(guān)系-重要性等級和安全保護能力等級信系統(tǒng)定級-等級概念的相互關(guān)系最后，為了保證三級系統(tǒng)具備或?qū)崿F(xiàn)三級的安全保護能力目標，三級信息系統(tǒng)應按照《劃分準則》和《基本要求》等技術(shù)標準落實三級系統(tǒng)的各項安全管理和技術(shù)措施系統(tǒng)定級-等級概念的相互關(guān)系最后，為了保證三級系統(tǒng)具備或?qū)崿F(xiàn)<定級指南>標準的結(jié)構(gòu)正文由6個章節(jié)構(gòu)成1.范圍2.規(guī)范性引用文件3.術(shù)語定義4.定級原理5.定級方法6.級別變更<定級指南>標準的結(jié)構(gòu)正文由6個章節(jié)構(gòu)成<定級指南>-定級原理受侵害的客體對客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級<定級指南>-定級原理受侵害的客體對客體的侵害程度一般損害嚴<定級指南>-定級流程3、綜合評定對客體的侵害程度2、確定業(yè)務信息安全受到破壞時所侵害的客體6、綜合評定對客體的侵害程度5、確定系統(tǒng)服務安全受到破壞時所侵害的客體7、系統(tǒng)服務安全等級4、業(yè)務信息安全等級8、定級對象的安全保護等級1、確定定級對象<定級指南>-定級流程3、綜合評定對客體的侵害程度2、確定業(yè)<定級指南>-定級方法確定定級對象；確定業(yè)務信息安全受到破壞時所侵害的客體；綜合評定業(yè)務信息安全被破壞對客體的侵害程度；得到業(yè)務信息安全等級；確定系統(tǒng)服務安全受到破壞時所侵害的客體；綜合評定系統(tǒng)服務安全被破壞對客體的侵害程度；得到系統(tǒng)服務安全等級；由業(yè)務信息安全等級和系統(tǒng)服務安全等級的較高者確定定級對象的安全保護等級。<定級指南>-定級方法確定定級對象；定級對象的三個條件具有唯一確定的安全責任單位作為定級對象的信息系統(tǒng)應能夠唯一地確定其安全責任單位，這個安全責任單位就是負責等級保護工作部署、實施的單位，也是完成等級保護備案和接受監(jiān)督檢查的直接責任單位。滿足信息系統(tǒng)的基本要素作為定級對象的信息系統(tǒng)應該是由相關(guān)的和配套的設備、設施按照一定的應用目標和規(guī)則組合而成的有形實體。應避免將某個單一的系統(tǒng)組件，如單臺的服務器、終端或網(wǎng)絡設備等作為定級對象。定級階段-關(guān)于定級對象確定定級對象的三個條件定級階段-關(guān)于定級對象確定承載相對獨立的業(yè)務應用定級對象承載“相對獨立”的業(yè)務應用是指其中的一個或多個業(yè)務應用的主要業(yè)務流程、部分業(yè)務功能獨立，同時與其他信息系統(tǒng)的業(yè)務應用有少量的數(shù)據(jù)交換，定級對象可能會與其他業(yè)務應用共享一些設備，尤其是網(wǎng)絡傳輸設備?！跋鄬Κ毩ⅰ钡臉I(yè)務應用并不意味著整個業(yè)務流程，可以使完整的業(yè)務流程的一部分。定級階段-關(guān)于定級對象確定承載相對獨立的業(yè)務應用定級階段-關(guān)于定級對象確定定級階段-定級對象舉例某期貨交易所辦公系統(tǒng)生產(chǎn)系統(tǒng)交易系統(tǒng)清算系統(tǒng)網(wǎng)站系統(tǒng)定級階段-定級對象舉例某期貨交易所定級階段-定級對象舉例定級對象結(jié)果1辦公信息系統(tǒng)生產(chǎn)信息系統(tǒng)定級對象結(jié)果2辦公信息系統(tǒng)生產(chǎn)信息系統(tǒng)交易信息系統(tǒng)清算信息系統(tǒng)網(wǎng)站信息系統(tǒng)定級階段-定級對象舉例定級對象結(jié)果1定級階段-定級對象舉例證券公司集中交易系統(tǒng)公司總部數(shù)據(jù)中心各個營業(yè)部柜臺委托自助委托電話委托網(wǎng)上委托定級階段-定級對象舉例證券公司集中交易系統(tǒng)定級階段-定級對象舉例交易系統(tǒng)行情系統(tǒng)清算系統(tǒng)客戶管理系統(tǒng)等定級階段-定級對象舉例交易系統(tǒng)定級階段-定級對象舉例定級對象結(jié)果1總部信息系統(tǒng)營業(yè)部信息系統(tǒng)定級對象結(jié)果2總部數(shù)據(jù)中心系統(tǒng)(平臺)外部委托系統(tǒng)(平臺)營業(yè)部外部委托系統(tǒng)(平臺)定級階段-定級對象舉例定級對象結(jié)果1定級階段-定級對象舉例定級對象結(jié)果3總部交易系統(tǒng)行情系統(tǒng)清算系統(tǒng)客戶管理系統(tǒng)營業(yè)部交易系統(tǒng)行情系統(tǒng)客戶管理系統(tǒng)定級階段-定級對象舉例定級對象結(jié)果3定級階段-定級對象舉例某電力集團公司公司本部供電局(分公司)電力調(diào)度系統(tǒng)綜合信息系統(tǒng)定級階段-定級對象舉例某電力集團公司定級階段-定級對象舉例骨干網(wǎng)城域網(wǎng)數(shù)據(jù)中心局域網(wǎng)大樓用戶局域網(wǎng)供電所局域網(wǎng)三產(chǎn)公司局域網(wǎng)等定級階段-定級對象舉例骨干網(wǎng)定級階段-定級對象舉例電力營銷系統(tǒng)生產(chǎn)管理系統(tǒng)工程管理系統(tǒng)物資管理系統(tǒng)財務管理系統(tǒng)OA系統(tǒng)EAI/EIP系統(tǒng)等定級階段-定級對象舉例電力營銷系統(tǒng)定級階段-定級對象舉例定級對象結(jié)果1本部信息系統(tǒng)供電局信息系統(tǒng)定級對象結(jié)果2本部電力調(diào)度系統(tǒng)綜合信息系統(tǒng)營業(yè)部電力調(diào)度系統(tǒng)綜合信息系統(tǒng)定級階段-定級對象舉例定級對象結(jié)果1定級階段-定級對象舉例定級對象結(jié)果3本部數(shù)據(jù)中心系統(tǒng)用戶局域網(wǎng)系統(tǒng)骨干網(wǎng)系統(tǒng)供電局數(shù)據(jù)中心系統(tǒng)用戶局域網(wǎng)系統(tǒng)城域網(wǎng)系統(tǒng)定級階段-定級對象舉例定級對象結(jié)果3定級階段-定級對象舉例定級對象結(jié)果4電力營銷系統(tǒng)生產(chǎn)管理系統(tǒng)工程管理系統(tǒng)物資管理系統(tǒng)財務管理系統(tǒng)OA系統(tǒng)EAI/EIP系統(tǒng)定級階段-定級對象舉例定級對象結(jié)果4處理不同類型業(yè)務的系統(tǒng)。本身運行在不同的網(wǎng)絡環(huán)境中的系統(tǒng)。分不開的系統(tǒng)，按照高級別保護。定級階段-關(guān)于定級對象確定處理不同類型業(yè)務的系統(tǒng)。定級階段-關(guān)于定級對象確定系統(tǒng)邊界不應出現(xiàn)在服務器內(nèi)部，服務器共用的系統(tǒng)一般歸入同一個信息系統(tǒng)，因此不同信息系統(tǒng)的共用設備一般是網(wǎng)絡/邊界設備或終端設備。兩個信息系統(tǒng)邊界存在共用設備時，共用設備的安全保護等級按兩個信息系統(tǒng)安全保護等級較高者確定。例如，一個2級系統(tǒng)和一個3級系統(tǒng)之間有一個防火墻或兩個系統(tǒng)共用一個核心交換機，此時防火墻和交換機可以作為兩個系統(tǒng)的邊界設備，但應滿足3級系統(tǒng)的要求。定級階段-關(guān)于系統(tǒng)邊界系統(tǒng)邊界不應出現(xiàn)在服務器內(nèi)部，服務器共用的系統(tǒng)一般歸入同一個信息系統(tǒng)的管理終端是與相應被管理設備相對應的，服務器、網(wǎng)絡設備及安全設備等屬于哪個系統(tǒng)，終端就應歸在哪個信息系統(tǒng)中。如果無法做到不同等級的信息系統(tǒng)使用不同的終端設備，則應將終端設備劃分為其他的信息系統(tǒng)，并在服務器與內(nèi)部用戶終端之間建立邊界保護，對終端通過身份鑒別和訪問控制等措施加以控制。定級階段-關(guān)于系統(tǒng)邊界信息系統(tǒng)的管理終端是與相應被管理設備相對應的，服務器、網(wǎng)絡設業(yè)務信息業(yè)務系統(tǒng)處理的不同類型的數(shù)據(jù)系統(tǒng)服務業(yè)務系統(tǒng)的服務范圍業(yè)務系統(tǒng)的服務對象業(yè)務系統(tǒng)的服務人數(shù)業(yè)務系統(tǒng)的服務時間要求定級階段-關(guān)于業(yè)務信息和系統(tǒng)服務的確定業(yè)務信息定級階段-關(guān)于業(yè)務信息和系統(tǒng)服務的確定

國家安全體現(xiàn)了國家層面、與全局相關(guān)的國家政治安全、軍事安全、經(jīng)濟安全、社會安全、科技安全等方面利益。社會秩序和公共利益包括政治、經(jīng)濟、生產(chǎn)、生活、科研、工作等各方面的正常秩序和社會公眾生產(chǎn)、生活、教育、衛(wèi)生等方面的利益。合法權(quán)益是法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權(quán)利和利益，定級階段-關(guān)于影響和后果 國家安全定級階段-關(guān)于影響和后果關(guān)于國家安全重要的國家事務處理系統(tǒng)、國防工業(yè)生產(chǎn)系統(tǒng)和國防設施的控制系統(tǒng)等；廣播、電視、網(wǎng)絡等重要新聞媒體的發(fā)布或播出系統(tǒng)，其受到非法控制可能引發(fā)影響國家統(tǒng)一、民族團結(jié)和社會安定的重大事件；尖端科技領(lǐng)域的研發(fā)、生產(chǎn)系統(tǒng)等影響國家經(jīng)濟競爭力和科技實力的信息系統(tǒng)，以及電力、通信、能源、交通運輸、金融等國家重要基礎設施的生產(chǎn)、控制、管理系統(tǒng)等。定級階段-關(guān)于影響和后果關(guān)于國家安全定級階段-關(guān)于影響和后果關(guān)于社會秩序各級政府機構(gòu)的社會管理和公共服務系統(tǒng)，如財政、金融、工商、稅務、公檢法、海關(guān)、社保等領(lǐng)域的信息系統(tǒng)，也包括教育、科研機構(gòu)的工作系統(tǒng)，以及所有為公眾提供醫(yī)療衛(wèi)生、應急服務、供水、供電、郵政等必要服務的生產(chǎn)系統(tǒng)或管理系統(tǒng)。定級階段-關(guān)于影響和后果關(guān)于社會秩序定級階段-關(guān)于影響和后果關(guān)于公共利益借助信息化手段為社會成員提供使用的公共設施和通過信息系統(tǒng)對公共設施進行進行管理控制都應當是要考慮的方面，例如：公共通信設施、公共衛(wèi)生設施、公共休閑娛樂設施、公共管理設施、公共服務設施等。公共利益與社會秩序密切相關(guān)，社會秩序的破壞一般會造成對公共利益的損害。定級階段-關(guān)于影響和后果關(guān)于公共利益定級階段-關(guān)于影響和后果直接的結(jié)果和間接的影響按照國家安全—社會秩序和公共利益---公民、法人和組織的合法利益的順序考慮定級階段-關(guān)于影響和后果定級階段-關(guān)于影響和后果可能的系統(tǒng)級別第一級S1A1G1第二級S1A2G2，S2A2G2，S2A1G2第三級S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4可能的系統(tǒng)級別第一級S1A1G1目錄

等級保護的工作環(huán)節(jié)和技術(shù)標準等級保護系統(tǒng)定級中的技術(shù)難點

等級保護建設整改中的技術(shù)難點目錄等級保護的工作環(huán)節(jié)和技術(shù)標準目錄

等級保護建設整改中的技術(shù)難點標準的理解方案的設計產(chǎn)品的使用目錄等級保護建設整改中的技術(shù)難點建設整改-工作的部署2009年，《關(guān)于印送<關(guān)于開展信息安全等級保護安全建設整改工作的指導意見>的函》（公信安[2009]1429號），標志著等級保護建設整改工作的啟動。、全國已定級信息系統(tǒng)安全建設整改工作總體上用三年時間完成。建設整改-工作的部署2009年，《關(guān)于印送<關(guān)于開展信息安全安全建設整改技術(shù)安全建設整改過程是一個工程過程，通過使用工程技術(shù)方法落實各項技術(shù)措施和管理措施安全建設整改可以分為安全管理建設整改和安全技術(shù)建設整改兩個部分進行安全建設整改技術(shù)安全建設整改過程是一個工程過程，通過使用工程安全建設整改技術(shù)詳細的工作流程和工作內(nèi)容說明可參見公安部印發(fā)的《關(guān)于開展信息系統(tǒng)等級保護安全建設整改工作的指導意見》（公信安[2009]1429號）及其附件：《信息安全等級保護安全建設整改工作指南》安全建設整改技術(shù)詳細的工作流程和工作內(nèi)容說明可參見公安部印發(fā)安全建設整改基本流程信息系統(tǒng)安全管理建設信息系統(tǒng)安全技術(shù)建設開展信息系統(tǒng)安全自查和等級測評信息系統(tǒng)安全保護現(xiàn)狀分析信息系統(tǒng)安全建設整改工作規(guī)劃和工作部署確定安全策略，制定安全建設整改方案物理安全網(wǎng)絡安全主機安全應用安全數(shù)據(jù)安全安全管理機構(gòu)安全管理制度人員安全管理系統(tǒng)建設管理系統(tǒng)運行管理安全建設整改基本流程信息系統(tǒng)安全管理建設信息系統(tǒng)安全技術(shù)建設建設整改-管理辦法要求《管理辦法》第十二條:在信息系統(tǒng)建設過程中，運營、使用單位應當按照《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）、《信息系統(tǒng)安全等級保護基本要求》等技術(shù)標準，參照……等技術(shù)標準同步建設符合該等級要求的信息安全設施。建設整改-管理辦法要求《管理辦法》第十二條:建設整改用到的主要標準《計算機信息系統(tǒng)安全保護等級劃分準則》GB17859-1999《信息系統(tǒng)安全等級保護基本要求》

GB/T22239-2008《信息系統(tǒng)等級保護安全設計技術(shù)要求》

GB/T25070-2010建設整改用到的主要標準《計算機信息系統(tǒng)安全保護等級劃分準則》標準的編制思路門檻合理對每個級別的信息系統(tǒng)安全要求設置合理，按照基本要求建設后，確實達到期望的安全保護能力內(nèi)容完整綜合技術(shù)、管理各個方面的要求，安全要求內(nèi)容考慮全面、完整，覆蓋信息系統(tǒng)生命周期便于使用安全要求分類方式合理，便于安全保護、檢測評估、監(jiān)督檢查實施各方的靈活使用70標準的編制思路門檻合理7071描述模型不同級別信息系統(tǒng)不同級別安全威脅不同級別能力目標不同級別基本要求系統(tǒng)重要程度不同應對71描述模型不同級別信息系統(tǒng)不同級別安全威脅不同級別能力目標72基本安全保護能力對抗能力和恢復能力共同構(gòu)成了信息系統(tǒng)的安全保護能力。安全保護能力主要表現(xiàn)為信息系統(tǒng)應對威脅的能力，稱為對抗能力，但當信息系統(tǒng)無法阻擋威脅對自身的破壞時，信息系統(tǒng)的恢復能力使系統(tǒng)在一定時間內(nèi)恢復到原有狀態(tài)，從而降低負面影響。72基本安全保護能力對抗能力和恢復能力共同構(gòu)成了信息系統(tǒng)的安73能力目標第三級安全保護能力應具有能夠?qū)箒碜源笮偷摹⒂薪M織的團體（如一個商業(yè)情報組織或犯罪組織等），擁有較為豐富資源（包括人員能力、計算能力等）的威脅源發(fā)起的惡意攻擊、較為嚴重的自然災難（災難發(fā)生的強度較大、持續(xù)時間較長、覆蓋范圍較廣（地區(qū)性）等）以及其他相當危害程度（內(nèi)部人員的惡意威脅、設備的較嚴重故障等）威脅的能力，并在威脅發(fā)生后，能夠較快恢復絕大部分功能。73能力目標第三級安全保護能力74描述結(jié)構(gòu)某級系統(tǒng)類技術(shù)要求管理要求基本要求類控制點要求項控制點要求項………………………………74描述結(jié)構(gòu)某級系統(tǒng)類技術(shù)要求管理要求基本要求類控制點要求項75安全類物理安全技術(shù)要求管理要求基本要求網(wǎng)絡安全主機安全應用安全數(shù)據(jù)安全及備份恢復安全管理制度安全管理機構(gòu)人員安全管理系統(tǒng)建設管理系統(tǒng)運維管理類75安全類物理安全技術(shù)要求管理要求基本要求網(wǎng)絡安全主機安全應76示例7第三級基本要求7.1

技術(shù)要求7.1.1物理安全7.1.1.1物理位置的選擇本項要求包括

a)機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內(nèi)

b)機房場地應避免設在建筑物的高層或地下室，以及用水設備的下層或隔壁。。。。。。。類要求項控制點76示例7第三級基本要求類要求項控制點77控制點標注業(yè)務信息安全相關(guān)要求（標記為S）系統(tǒng)服務保證相關(guān)要求（標記為A）通用安全保護要求（標記為G）技術(shù)要求（3種標注）管理要求（統(tǒng)屬G）77控制點標注業(yè)務信息安全相關(guān)要求（標記為S）78描述模型業(yè)務信息安全相關(guān)要求（S）電磁防護訪問控制數(shù)據(jù)完整性數(shù)據(jù)保密性系統(tǒng)服務保證相關(guān)要求（A）電力供應軟件容錯備份與恢復資源控制通用安全保護要求（G）管理要求和大部分技術(shù)要求78描述模型業(yè)務信息安全相關(guān)要求（S）79逐級增強的特點控制點增加要求項增加要求項增強范圍增大要求細化要求粒度細化79逐級增強的特點控制點增加80逐級增強的特點-控制點增加三級基本要求：在二級基本要求的基礎上，技術(shù)方面，在控制點上增加了網(wǎng)絡惡意代碼防范、剩余信息保護、軟件容錯、