等級保護(hù)定級指南

本課程目的第一頁，共42頁。課程要點什么是等級保護(hù)為什么要實施等級保護(hù)為什么要首先進(jìn)行定級等級保護(hù)定級怎么做第二頁，共42頁。什么是等級保護(hù)？第三頁，共42頁。等級保護(hù)等級根據(jù)我國信息安全標(biāo)準(zhǔn)GB/T22240—2008《信息系統(tǒng)安全等級保護(hù)定級指南》對我國非涉密信息系統(tǒng)劃分為五個等級進(jìn)行保護(hù)。第四頁，共42頁。等級保護(hù)對象（一）電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，經(jīng)營性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。（二）鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險、外交、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務(wù)、水利、國土資源、能源、交通、文化、教育、統(tǒng)計、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)。

（三）市（地）級以上黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)

第五頁，共42頁。為什么要實施等級保護(hù)？第六頁，共42頁。2010年重大安全事件百度被黑維基解密伊朗核電站中毒3Q大戰(zhàn)第七頁，共42頁。荊州市商務(wù)局第八頁，共42頁。滄州電信泄密第九頁，共42頁。網(wǎng)站篡改第十頁，共42頁。敏感數(shù)據(jù)泄密第十一頁，共42頁。釣魚網(wǎng)站真正的中國工商銀行網(wǎng)站

假冒的中國工商銀行網(wǎng)站

第十二頁，共42頁。揚州市城鄉(xiāng)建設(shè)局網(wǎng)站(/)第十三頁，共42頁。我們身邊的重大安全事件案例深圳市10萬孕婦信息泄露1.2萬元一張光盤販賣

懷疑衛(wèi)生局、計生委廣東電網(wǎng)珠海供電局無人值守終端向互聯(lián)網(wǎng)掃描

導(dǎo)致GDCERT告警廣州市政府機(jī)關(guān)網(wǎng)絡(luò)信息中心UPS電池火災(zāi)

癱瘓72小時廣州市越秀區(qū)教育局門戶網(wǎng)站域名過期搶注變色情網(wǎng)站廣州市破獲省人事廳網(wǎng)站被入侵案，帶破福建省建設(shè)信息網(wǎng)等10多起黑客入侵案件。第十四頁，共42頁。為什么要首先進(jìn)行定級？第十五頁，共42頁。等級保護(hù)實施流程第十六頁，共42頁。等級保護(hù)定級思路第十七頁，共42頁。等級保護(hù)定級怎么做第十八頁，共42頁。第十九頁，共42頁。等級保護(hù)重要標(biāo)準(zhǔn)GB17859-1999計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB/T22239—2008信息系統(tǒng)安全等級保護(hù)基本要求GB/T22240—2008信息系統(tǒng)安全等級保護(hù)定級指南信息系統(tǒng)安全等級保護(hù)測評過程指南（國標(biāo)報批稿）信息系統(tǒng)安全等級保護(hù)測評要求（國標(biāo)報批稿）GB/T25058-2010信息系統(tǒng)安全等級保護(hù)實施指南GB/T25070-2010信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求第二十頁，共42頁。等級保護(hù)定級維度等級保護(hù)對象受到破壞時所侵害的客體對客體造成侵害的程度

第二十一頁，共42頁。定級要素與安全保護(hù)等級的關(guān)系

第二十二頁，共42頁。等級對象侵害客體侵害程度監(jiān)管強(qiáng)度第一級一般系統(tǒng)公民、法人合法利益損害自主性保護(hù)第二級公民、法人合法權(quán)益嚴(yán)重?fù)p害指導(dǎo)性保護(hù)社會秩序和公共利益損害第三級重要系統(tǒng)社會秩序和公共利益嚴(yán)重?fù)p害監(jiān)督性保護(hù)國家安全損害第四級社會秩序和公共利益特別嚴(yán)重?fù)p害強(qiáng)制性保護(hù)國家安全嚴(yán)重?fù)p害第五級極端重要系統(tǒng)國家安全特別嚴(yán)重?fù)p害專控性保護(hù)等級與侵害客體、侵害程度關(guān)系第二十三頁，共42頁。定級三條件具有唯一確定的安全責(zé)任單位滿足信息系統(tǒng)的基本要素承載相對獨立的業(yè)務(wù)應(yīng)用第二十四頁，共42頁。定級對象識別與劃分可能使定級要素賦值不同因素可能涉及不同客體的系統(tǒng)。可能對客體造成不同程度損害的系統(tǒng)。處理不同類型業(yè)務(wù)的系統(tǒng)。本身運行在不同的網(wǎng)絡(luò)環(huán)境中的系統(tǒng)。分不開的系統(tǒng)，按照高級別保護(hù)。第二十五頁，共42頁。定級流程G=MAX(S,A)SA第二十六頁，共42頁。業(yè)務(wù)信息安全等級矩陣表第二十七頁，共42頁。系統(tǒng)服務(wù)安全等級矩陣表第二十八頁，共42頁。等級保護(hù)定級報告案例第二十九頁，共42頁。業(yè)務(wù)信息安全等級第三十頁，共42頁。系統(tǒng)服務(wù)安全等級第三十一頁，共42頁。安全等級確定第三十二頁，共42頁。四個主要因素決定等級系統(tǒng)所屬類型業(yè)務(wù)信息類別系統(tǒng)服務(wù)范圍業(yè)務(wù)依賴程度業(yè)務(wù)信息安全性業(yè)務(wù)服務(wù)保證性信息系統(tǒng)安全保護(hù)等級侵害的程度如何？（對客體造成侵害的程度）

一般損害

嚴(yán)重?fù)p害

特別嚴(yán)重?fù)p害受到破壞時侵害了什么？（客體）

公民、法人

社會秩序、公共利益

國家安全第三十三頁，共42頁。等級保護(hù)組合可能性安全等級信息系統(tǒng)保護(hù)要求的組合第一級S1A1G1第二級S1A2G2，S2A2G2，S2A1G2第三級S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4第三十四頁，共42頁。行業(yè)等級保護(hù)定級一級信息系統(tǒng)：適用于鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級某些單位中不重要的信息系統(tǒng)。小型個體、私營企業(yè)中的信息系統(tǒng)。中小學(xué)中的信息系統(tǒng)。二級信息系統(tǒng)：適用于地市級以上國家機(jī)關(guān)、企業(yè)、事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如小的局域網(wǎng)，非涉及秘密、敏感信息的辦公系統(tǒng)等。第三十五頁，共42頁。行業(yè)等級保護(hù)定級三級信息系統(tǒng)：適用于地市級以上國家機(jī)關(guān)、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng)；重要領(lǐng)域、重要部門跨省、跨市或全國（?。┞?lián)網(wǎng)運行的信息系統(tǒng)；跨省或全國聯(lián)網(wǎng)運行重要信息系統(tǒng)在省、地市的分支系統(tǒng)；各部委官方網(wǎng)站；跨省（市）聯(lián)接的信息網(wǎng)絡(luò)等。四級信息系統(tǒng)：適用于重要領(lǐng)域、重要部門三級信息系統(tǒng)中的部分重要系統(tǒng)。例如全國鐵路、民航、電力等調(diào)度系統(tǒng)，銀行、證券、保險、稅務(wù)、海關(guān)等部門中的核心系統(tǒng)。第三十六頁，共42頁。電力行業(yè)等級保護(hù)定級系統(tǒng)類別系統(tǒng)名稱范圍建議等級備注生產(chǎn)控制系統(tǒng)能量管理系統(tǒng)省級及以上4

省級以下3

變電站自動化系統(tǒng)220千伏及以上3含開關(guān)站、換流站220千伏以下2配網(wǎng)自動化系統(tǒng)

3

電力負(fù)荷管理系統(tǒng)

3

火電機(jī)組控制系統(tǒng)DCS單機(jī)容量300兆瓦及以上3含輔機(jī)控制系統(tǒng)單機(jī)容量300兆瓦以下2水電廠監(jiān)控系統(tǒng)總裝機(jī)1000兆瓦及以上3

總裝機(jī)1000兆瓦以下2

梯級調(diào)度監(jiān)測系統(tǒng)總裝機(jī)2000兆瓦及以上3若無控制功能則為生產(chǎn)管理系統(tǒng)總裝機(jī)2000兆瓦以下2第三十七頁，共42頁。電力行業(yè)等級保護(hù)定級第三十八頁，共42頁。某科研院所定級1.支撐網(wǎng)絡(luò)：(1)科技網(wǎng)骨干網(wǎng)：主要對全國范圍內(nèi)的用戶提供系統(tǒng)服務(wù)，受到破壞時將對社會秩序、公共利益造成嚴(yán)重?fù)p害，保護(hù)等級建議定為三級。(2)院屬單位城域網(wǎng)：主要對院屬單位提供系統(tǒng)服務(wù)，受到破壞時將對法人合法權(quán)益造成嚴(yán)重?fù)p害，保護(hù)等級建議定為二級。2.科研應(yīng)用系統(tǒng)：(1)一般科研應(yīng)用系統(tǒng)：承載普通科研信息和數(shù)據(jù)，主要服務(wù)于內(nèi)部或外部用戶，受損后僅對公民、法人和其它組織的合法權(quán)益造成一般損害，保護(hù)等級建議定為一級。(2)較重要科研應(yīng)用系統(tǒng)：承載較為重要的科研信息和數(shù)據(jù)，內(nèi)部或外部用戶依賴性強(qiáng)（訪問量大），一旦受損將對公共利益造成一般損害，或?qū)?、法人和其它組織的合法權(quán)益造成嚴(yán)重?fù)p害，保護(hù)等級建議定為二級。3)尖端科研應(yīng)用系統(tǒng)：承載尖端科研信息和數(shù)據(jù)，主要服務(wù)于內(nèi)部或外部特殊用戶，受損后至國家安全（國家競爭力）構(gòu)成威脅，應(yīng)定為重要信息系統(tǒng)。第三十九頁，共42頁。某科研院所定級3.辦公管理系統(tǒng)：(1)ARP院級管理系統(tǒng)：承載重要科研數(shù)據(jù)，為全院科研活動提供管理平臺，受損后將對公共利益造成嚴(yán)重?fù)p害，保護(hù)等級應(yīng)定為三級。(2)ARP所級管理系統(tǒng)：保護(hù)等級建議定為二級。(3)其它辦公管理系統(tǒng)，保護(hù)等級建議定為一級。4．宣傳性網(wǎng)站：主要承載宣傳信息，根據(jù)受損后對不同客體造成不同性質(zhì)的影響進(jìn)行劃分，院網(wǎng)站保護(hù)等級定為二級；院屬單位網(wǎng)站可和其它擬定為一級的信息系統(tǒng)合并。5.涉密信息系統(tǒng)：依據(jù)《管理辦法》及國家保密標(biāo)準(zhǔn)BMB22-2007《涉及國家秘密的計算機(jī)信息系統(tǒng)分級保護(hù)測試指南》定級，秘密、機(jī)密、絕密三個等級的保護(hù)水平不低于信息安全等級保護(hù)第三級、第四級、第五級的標(biāo)準(zhǔn)。按照有關(guān)規(guī)定，涉密信息系統(tǒng)應(yīng)與其它網(wǎng)絡(luò)進(jìn)行物理隔離。6．其它信息系統(tǒng)：應(yīng)根據(jù)承載業(yè)務(wù)