第5講(信息系統(tǒng)等級(jí)保護(hù))

第5講信息安全防護(hù)措施與等級(jí)保護(hù)課前檢查李國(guó)華是一個(gè)計(jì)算機(jī)記錄員，在一個(gè)數(shù)據(jù)收集記錄部門工作，可以訪問有關(guān)財(cái)產(chǎn)稅記錄的相關(guān)文件。為了作一項(xiàng)科學(xué)研究，王愛民被授權(quán)訪問記錄的數(shù)字部分，但無(wú)權(quán)訪問相關(guān)人的姓名部分。王愛民找到了想要使用的一些信息，但是需要對(duì)應(yīng)的姓名和地址信息。于是他向李國(guó)華索要相關(guān)人的姓名、地址，以便與這些研究對(duì)象進(jìn)行聯(lián)系，從而獲得更多信息，開展進(jìn)一步研究。李國(guó)華是否應(yīng)該將姓名、地址信息告訴王愛民呢？案例1分析1、工作權(quán)限與責(zé)任問題。記錄員沒有權(quán)力決定數(shù)據(jù)信息是否可以給別人使用。應(yīng)該請(qǐng)示上級(jí)。2、隱私數(shù)據(jù)使用問題。科學(xué)研究只能訪問統(tǒng)計(jì)數(shù)據(jù)，而不能隨便訪問涉及個(gè)人隱私的信息數(shù)據(jù)3、使用隱私數(shù)據(jù)動(dòng)機(jī)問題。聲稱作研究用，但也可能有其他目的。4、工作權(quán)限的確定問題。只允許訪問統(tǒng)計(jì)數(shù)據(jù)，不允許訪問個(gè)體姓名、地址，說明科學(xué)研究的范圍。只能在此范圍內(nèi)完成。類似的還有醫(yī)學(xué)研究，要訪問醫(yī)療疾病數(shù)據(jù)。也有隱私問題郭某是一個(gè)程序員，在一家大公司下的計(jì)算機(jī)子公司X工作。這家公司有很多政府合同。陸某是郭某的上級(jí)，分配郭某去編寫不同種類的仿真程序。為了提高工作效率，郭某編寫了一些工具程序，如交叉引用等工具。但這些都不是分配給他的工作，而是郭某晚上在自己家里使用自己的計(jì)算機(jī)編寫完成的。他在工作中使用，沒有將這些告訴任何人。郭某決定出售自己的這些工具程序。當(dāng)公司經(jīng)理得知后，命陸某轉(zhuǎn)告郭某，無(wú)權(quán)出售這些工具，因?yàn)槭芷笗r(shí)簽訂的合同，注明了他的所有發(fā)明都屬于公司。案例2分析陸某不同意這個(gè)觀點(diǎn)，因?yàn)樗拦呈亲孕型瓿蛇@些工具的。所有他很不情愿地告訴郭某不要在市場(chǎng)上出售這些工具，并叫郭某復(fù)制了一份給他。之后，陸某辭去了該公司的工作，并在另一計(jì)算機(jī)公司Y當(dāng)上了管理人員。該公司是X公司的競(jìng)爭(zhēng)對(duì)手。他把郭某的工具復(fù)制版發(fā)給和他一起工作的員工們。使他們大大提高了工作效率。因而陸某受到經(jīng)理嘉獎(jiǎng)，獲得一大筆獎(jiǎng)金。郭某聽說后就和陸某聯(lián)系交涉，而陸某爭(zhēng)辯說，因?yàn)檫@些工具屬于X公司，且它的運(yùn)轉(zhuǎn)靠的是政府資金，所以這些工具是公共產(chǎn)品，并不屬于任何人。1、權(quán)利問題。對(duì)于這些工具軟件。郭某、陸某、X公司、Y公司各自的權(quán)利是什么？2、權(quán)利的根據(jù)。誰(shuí)給了他們的這些權(quán)利？這個(gè)案例牽涉到哪些有關(guān)公平競(jìng)爭(zhēng)、商業(yè)、財(cái)產(chǎn)權(quán)的原則。3、在公司開發(fā)產(chǎn)品的考慮。郭某能作什么事？4、對(duì)員工自己開發(fā)的產(chǎn)品應(yīng)該如何處理。X公司如何作？陸某如何作？Y公司如何作？1.信息安全防護(hù)措施2.信息安全等級(jí)保護(hù)等級(jí)保護(hù)基本概念介紹等級(jí)保護(hù)定級(jí)等級(jí)保護(hù)基本要求等級(jí)保護(hù)實(shí)施等級(jí)保護(hù)測(cè)評(píng)第5講

信息安全防護(hù)措施與

等級(jí)保護(hù)學(xué)習(xí)目標(biāo)技能目標(biāo)1.能構(gòu)建信息泄密風(fēng)險(xiǎn)防護(hù)整體解決方案2.能根據(jù)相應(yīng)的法律法規(guī)，判斷信息安全的合法性知識(shí)目標(biāo)1.了解信息安全等級(jí)保護(hù)的含義2.知道信息安全等級(jí)保護(hù)制度體系的組成

3.熟悉信息安全等級(jí)保護(hù)制度4.了解有哪些信息安全保護(hù)措施信息安全等級(jí)保護(hù)為什么要進(jìn)行等級(jí)保護(hù)如何進(jìn)行等級(jí)保護(hù)什么是等級(jí)保護(hù)等級(jí)保護(hù)標(biāo)準(zhǔn)整體框架等級(jí)保護(hù)定級(jí)等級(jí)保護(hù)基本要求什么是等級(jí)保護(hù)？信息系統(tǒng)安全等級(jí)保護(hù)是指對(duì)信息和信息系統(tǒng)劃分為五個(gè)安全保護(hù)和監(jiān)管等級(jí)，實(shí)行分等級(jí)保護(hù)。

每月新增計(jì)算機(jī)病毒幾千種，感染計(jì)算機(jī)1000多萬(wàn)臺(tái)。10多萬(wàn)個(gè)網(wǎng)絡(luò)地址對(duì)應(yīng)的主機(jī)被木馬控制300多臺(tái)被利用作為僵尸網(wǎng)絡(luò)控制端服務(wù)器網(wǎng)頁(yè)篡改事件達(dá)5000多次。為什么實(shí)行等級(jí)保護(hù)？

據(jù)英國(guó)一家報(bào)紙報(bào)道，最近該國(guó)國(guó)家醫(yī)療服務(wù)系統(tǒng)和10多家政府網(wǎng)站被入侵并植入病毒，登錄這些網(wǎng)站的用戶都可能感染病毒并導(dǎo)致個(gè)人信息泄露。

為什么實(shí)行等級(jí)保護(hù)？我國(guó)2003-2007被篡改網(wǎng)站數(shù)量

黑客入侵了美國(guó)某銀行在某商店的自動(dòng)提款機(jī)網(wǎng)絡(luò)，盜取客戶識(shí)別碼，繼而使用空白卡從自動(dòng)提款機(jī)提取現(xiàn)金。

為什么實(shí)行等級(jí)保護(hù)？

為什么實(shí)行等級(jí)保護(hù)？真正的中國(guó)工商銀行網(wǎng)站

假冒的中國(guó)工商銀行網(wǎng)站

如何進(jìn)行等級(jí)保護(hù)？根據(jù)信息系統(tǒng)應(yīng)用業(yè)務(wù)重要程度及其實(shí)際安全需求，實(shí)行分級(jí)、分類、分階段實(shí)施保護(hù)，保障信息安全和系統(tǒng)安全正常運(yùn)行，維護(hù)國(guó)家利益、公共利益和社會(huì)穩(wěn)定。如何進(jìn)行等級(jí)保護(hù)？等級(jí)保護(hù)的核心是對(duì)信息系統(tǒng)特別是對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。國(guó)家對(duì)信息安全等級(jí)保護(hù)工作運(yùn)用法律和技術(shù)規(guī)范逐級(jí)加強(qiáng)監(jiān)管力度。突出重點(diǎn)，保障重要信息資源和重要信息系統(tǒng)的安全。等級(jí)保護(hù)標(biāo)準(zhǔn)總體框架中辦發(fā)[2003]27號(hào)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》公通字[2004]66號(hào)《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》公通字[2006]43號(hào)《信息安全登記保護(hù)管理辦法》實(shí)施指南等級(jí)劃分準(zhǔn)則定級(jí)指南測(cè)評(píng)準(zhǔn)則基本要求通用安全技術(shù)要求網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求操作系統(tǒng)安全技術(shù)要求數(shù)據(jù)庫(kù)安全技術(shù)要求服務(wù)器安全技術(shù)要求終端安全技術(shù)要求中保委發(fā)[2004]7號(hào)國(guó)保發(fā)[2005]16號(hào)BMB17-2006BMB20-2007BMB22-2007分級(jí)保護(hù)方案設(shè)計(jì)指南等級(jí)保護(hù)標(biāo)準(zhǔn)制修訂背景2003年9月中辦國(guó)辦頒發(fā)《關(guān)于加強(qiáng)信息安全保障工作的意見》中辦發(fā)[2003]27號(hào)2005年9月國(guó)信辦文件《關(guān)于轉(zhuǎn)發(fā)《電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南》的通知》國(guó)信辦[2004]25號(hào)2006年1月四部委會(huì)簽《關(guān)于印發(fā)《信息安全等級(jí)保護(hù)管理辦法的通知》公通字[2006]7號(hào)2005年

公安部標(biāo)準(zhǔn)《基本要求》《定級(jí)指南》《實(shí)施指南》《測(cè)評(píng)準(zhǔn)則》2004年11月四部委會(huì)簽《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》公通字[2004]66號(hào)云南云南省人民政府第130號(hào)令

浙江浙江省人民政府令

北京北京政府第9號(hào)令

國(guó)家級(jí)政策文件國(guó)家級(jí)技術(shù)標(biāo)準(zhǔn)國(guó)家級(jí)政策文件地方政策文件安全控制定級(jí)指南過程方法確定系統(tǒng)等級(jí)啟動(dòng)采購(gòu)/開發(fā)實(shí)施運(yùn)行/維護(hù)廢棄確定安全需求設(shè)計(jì)安全方案安全建設(shè)安全測(cè)評(píng)監(jiān)督管理運(yùn)行維護(hù)暫不考慮特殊需求等級(jí)需求基本要求產(chǎn)品使用選型監(jiān)督管理測(cè)評(píng)準(zhǔn)則流程方法監(jiān)管流程應(yīng)急預(yù)案應(yīng)急響應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)制修訂背景課堂檢測(cè)等級(jí)保護(hù)保護(hù)對(duì)象有哪些？哪些對(duì)象不屬于等級(jí)保護(hù)范圍？等級(jí)保護(hù)有幾個(gè)等級(jí)？各級(jí)名稱？等級(jí)保護(hù)有哪些步驟？等級(jí)保護(hù)標(biāo)準(zhǔn)有哪些？等級(jí)保護(hù)定級(jí)維度等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體對(duì)客體造成侵害的程度

定級(jí)階段-關(guān)于定級(jí)范圍（一）電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，經(jīng)營(yíng)性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。（二）鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險(xiǎn)、外交、科技、發(fā)展改革、國(guó)防科技、公安、人事勞動(dòng)和社會(huì)保障、財(cái)政、審計(jì)、商務(wù)、水利、國(guó)土資源、能源、交通、文化、教育、統(tǒng)計(jì)、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)。

（三）市（地）級(jí)以上黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)

一、定級(jí)對(duì)象的三個(gè)條件具有唯一確定的安全責(zé)任單位作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)能夠唯一地確定其安全責(zé)任單位，這個(gè)安全責(zé)任單位就是負(fù)責(zé)等級(jí)保護(hù)工作部署、實(shí)施的單位，也是完成等級(jí)保護(hù)備案和接受監(jiān)督檢查的直接責(zé)任單位。滿足信息系統(tǒng)的基本要素作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體。應(yīng)避免將某個(gè)單一的系統(tǒng)組件，如單臺(tái)的服務(wù)器、終端或網(wǎng)絡(luò)設(shè)備等作為定級(jí)對(duì)象。定級(jí)階段-關(guān)于定級(jí)對(duì)象確定一、定級(jí)對(duì)象的三個(gè)條件承載相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用定級(jí)對(duì)象承載“相對(duì)獨(dú)立”的業(yè)務(wù)應(yīng)用是指其中的一個(gè)或多個(gè)業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程、部分業(yè)務(wù)功能獨(dú)立，同時(shí)與其他信息系統(tǒng)的業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換，定級(jí)對(duì)象可能會(huì)與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備。“相對(duì)獨(dú)立”的業(yè)務(wù)應(yīng)用并不意味著整個(gè)業(yè)務(wù)流程，可以是完整的業(yè)務(wù)流程的一部分。定級(jí)階段-關(guān)于定級(jí)對(duì)象確定二、定級(jí)對(duì)象的識(shí)別和劃分可能使定級(jí)要素賦值不同因素可能涉及不同客體的系統(tǒng)?？赡軐?duì)客體造成不同程度損害的系統(tǒng)。處理不同類型業(yè)務(wù)的系統(tǒng)。本身運(yùn)行在不同的網(wǎng)絡(luò)環(huán)境中的系統(tǒng)。分不開的系統(tǒng)，按照高級(jí)別保護(hù)。定級(jí)階段-關(guān)于定級(jí)對(duì)象確定系統(tǒng)邊界不應(yīng)出現(xiàn)在服務(wù)器內(nèi)部，服務(wù)器共用的系統(tǒng)一般歸入同一個(gè)信息系統(tǒng)，因此不同信息系統(tǒng)的共用設(shè)備一般是網(wǎng)絡(luò)/邊界設(shè)備或終端設(shè)備。兩個(gè)信息系統(tǒng)邊界存在共用設(shè)備時(shí)，共用設(shè)備的安全保護(hù)等級(jí)按兩個(gè)信息系統(tǒng)安全保護(hù)等級(jí)較高者確定。例如，一個(gè)2級(jí)系統(tǒng)和一個(gè)3級(jí)系統(tǒng)之間有一個(gè)防火墻或兩個(gè)系統(tǒng)共用一個(gè)核心交換機(jī)，此時(shí)防火墻和交換機(jī)可以作為兩個(gè)系統(tǒng)的邊界設(shè)備，但應(yīng)滿足3級(jí)系統(tǒng)的要求。定級(jí)階段-關(guān)于系統(tǒng)邊界信息系統(tǒng)的管理終端是與相應(yīng)被管理設(shè)備相對(duì)應(yīng)的，服務(wù)器、網(wǎng)絡(luò)設(shè)備及安全設(shè)備等屬于哪個(gè)系統(tǒng)，終端就應(yīng)歸在哪個(gè)信息系統(tǒng)中。如果無(wú)法做到不同等級(jí)的信息系統(tǒng)使用不同的終端設(shè)備，則應(yīng)將終端設(shè)備劃分為其他的信息系統(tǒng)，并在服務(wù)器與內(nèi)部用戶終端之間建立邊界保護(hù)，對(duì)終端通過身份鑒別和訪問控制等措施加以控制。處理涉密信息的終端必須劃分到相應(yīng)的信息系統(tǒng)中，且不能與非涉密系統(tǒng)共用終端。定級(jí)階段-關(guān)于系統(tǒng)邊界識(shí)別單位基本信息

了解單位基本信息有助于判斷單位的職能特點(diǎn)，單位所在行業(yè)及單位在行業(yè)所處的地位和所用，由此判斷單位主要信息系統(tǒng)的宏觀定位。識(shí)別業(yè)務(wù)種類、流程和服務(wù)應(yīng)重點(diǎn)了解定級(jí)對(duì)象信息系統(tǒng)中不同業(yè)務(wù)系統(tǒng)提供的服務(wù)在影響履行單位職能方面具體方式和程度，影響的區(qū)域范圍、用戶人數(shù)、業(yè)務(wù)量的具體數(shù)據(jù)以及對(duì)本單位以外機(jī)構(gòu)或個(gè)人的影響等方面。這些具體數(shù)據(jù)即可以為主管部門制定定級(jí)指導(dǎo)意見提供參照，也可以作為主管部門審批定級(jí)結(jié)果的重要依據(jù)。定級(jí)階段-關(guān)于定級(jí)過程識(shí)別信息調(diào)查了解定級(jí)對(duì)象信息系統(tǒng)所處理的信息，了解單位對(duì)信息的三個(gè)安全屬性的需求，了解不同業(yè)務(wù)數(shù)據(jù)在其保密性、完整性和可用性被破壞后在單位職能、單位資金、單位信譽(yù)、人身安全等方面可能對(duì)國(guó)家、社會(huì)、本單位造成的影響，對(duì)影響程度的描述應(yīng)盡可能量化。識(shí)別網(wǎng)絡(luò)結(jié)構(gòu)和邊界調(diào)查了解定級(jí)對(duì)象信息系統(tǒng)所在單位的整體網(wǎng)絡(luò)狀況、安全防護(hù)和外部連接情況，目的是了解信息系統(tǒng)所處的單位內(nèi)部網(wǎng)絡(luò)環(huán)境和外部環(huán)境特點(diǎn)，以及該信息系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)與單位內(nèi)部網(wǎng)絡(luò)環(huán)境的安全保護(hù)的關(guān)系。定級(jí)階段-關(guān)于定級(jí)過程識(shí)別主要的軟硬件設(shè)備調(diào)查了解與定級(jí)對(duì)象信息系統(tǒng)相關(guān)的服務(wù)器、網(wǎng)絡(luò)、終端、存儲(chǔ)設(shè)備以及安全設(shè)備等，設(shè)備所在網(wǎng)段，在系統(tǒng)中的功能和作用。調(diào)查設(shè)備的位置和作用主要就是發(fā)現(xiàn)不同信息系統(tǒng)在設(shè)備使用方面的共用程度。識(shí)別用戶類型和分布調(diào)查了解各系統(tǒng)的管理用戶和一般用戶，內(nèi)部用戶和外部用戶，本地用戶和遠(yuǎn)程用戶等類型，了解用戶或用戶群的數(shù)量分布，判斷系統(tǒng)服務(wù)中斷或系統(tǒng)信息被破壞可能影響的范圍和程度。形成定級(jí)結(jié)果取各類信息和服務(wù)的較高。定級(jí)階段-關(guān)于定級(jí)過程定級(jí)階段相關(guān)技術(shù)環(huán)節(jié)行業(yè)定級(jí)指導(dǎo)意見關(guān)鍵概念定級(jí)方法定級(jí)階段_相關(guān)技術(shù)環(huán)節(jié)根據(jù)《管理辦法》第十條：信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)本辦法和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》確定信息系統(tǒng)的安全保護(hù)等級(jí)。有主管部門的，應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)?？缡』蛘呷珖?guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護(hù)等級(jí)。根據(jù)《關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（以下簡(jiǎn)稱《定級(jí)通知》）要求：各行業(yè)主管部門要根據(jù)行業(yè)特點(diǎn)提出指導(dǎo)本地區(qū)、本行業(yè)定級(jí)工作的指導(dǎo)意見。定級(jí)階段為什么需要行業(yè)對(duì)定級(jí)提出指導(dǎo)意見行業(yè)的職能不同信息系統(tǒng)在行業(yè)內(nèi)所發(fā)揮的作用不同信息系統(tǒng)被破壞后對(duì)國(guó)家和社會(huì)的危害后果不同行業(yè)主管部門比運(yùn)營(yíng)使用單位具有更高的站位、更宏觀的視野定級(jí)階段-關(guān)于行業(yè)定級(jí)指導(dǎo)意見行業(yè)定級(jí)指導(dǎo)意見的意義：貫徹四部委會(huì)簽的《管理辦法》闡明本行業(yè)實(shí)施等級(jí)保護(hù)工作的政策和方針制定本行業(yè)定級(jí)工作的階段計(jì)劃統(tǒng)一本行業(yè)對(duì)定級(jí)要素賦值規(guī)范定級(jí)階段-關(guān)于行業(yè)定級(jí)指導(dǎo)意見定級(jí)工作的指導(dǎo)意見應(yīng)包括：對(duì)定級(jí)對(duì)象確定的指導(dǎo)符合哪些條件的信息系統(tǒng)的等級(jí)保護(hù)客體是國(guó)家安全、哪些是公共利益/社會(huì)秩序。。。對(duì)不同類型的等級(jí)保護(hù)客體，本行業(yè)主要關(guān)注哪些危害后果對(duì)于每一類等級(jí)保護(hù)客體，符合哪些條件可以判斷為一般損害、哪些是嚴(yán)重?fù)p害、哪些是非常嚴(yán)重?fù)p害定級(jí)階段-關(guān)于行業(yè)定級(jí)指導(dǎo)意見定級(jí)階段_關(guān)于三種危害程度

不同危害后果的三種危害程度描述如下：一般損害：工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的財(cái)產(chǎn)損失，有限的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成較低損害。嚴(yán)重?fù)p害：工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行，出現(xiàn)較嚴(yán)重的法律問題，較高的財(cái)產(chǎn)損失，較大范圍的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成較嚴(yán)重?fù)p害。特別嚴(yán)重?fù)p害：工作職能受到特別嚴(yán)重影響或喪失行使能力，業(yè)務(wù)能力嚴(yán)重下降且或功能無(wú)法執(zhí)行，出現(xiàn)極其嚴(yán)重的法律問題，極高的財(cái)產(chǎn)損失，大范圍的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成非常嚴(yán)重?fù)p害。等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體包括以下三個(gè)方面：公民、法人和其他組織的合法權(quán)益；社會(huì)秩序、公共利益；國(guó)家安全。

定級(jí)階段-三種客體定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系

對(duì)《定級(jí)指南》中有關(guān)概念的補(bǔ)充說明：三種客體對(duì)客體侵害程度定級(jí)階段_關(guān)鍵概念的補(bǔ)充說明

三種受侵害的客體體現(xiàn)了三種不同層次、不同覆蓋范圍的社會(huì)關(guān)系。國(guó)家安全利益體現(xiàn)了國(guó)家層面、與全局相關(guān)的國(guó)家政治安全、軍事安全、經(jīng)濟(jì)安全、社會(huì)安全、科技安全和資源環(huán)境安全等方面利益。社會(huì)秩序包括社會(huì)的政治、經(jīng)濟(jì)、生產(chǎn)、生活、科研、工作等各方面的正常秩序。公共利益是指不特定的社會(huì)成員所共同享有的，維持其生產(chǎn)、生活、教育、衛(wèi)生等方面的利益。合法權(quán)益是法律確認(rèn)的并受法律保護(hù)的公民、法人和其他組織所享有的一定的社會(huì)權(quán)利和利益，

定級(jí)階段-三種客體說明對(duì)客體的侵害不是威脅直接作用的結(jié)果，而是通過對(duì)等級(jí)保護(hù)對(duì)象——信息系統(tǒng)的破壞而導(dǎo)致的，因此確定對(duì)客體侵害的程度時(shí)，必須考慮對(duì)等級(jí)保護(hù)對(duì)象所造成破壞的不同客觀表現(xiàn)形態(tài)以及不同程度的結(jié)果，也就是侵害的客觀方面。定級(jí)階段關(guān)于損害后果影響行使工作職能，工作職能包括國(guó)家管理職能、公共管理職能、公共服務(wù)職能等國(guó)家或社會(huì)方面的職能。導(dǎo)致業(yè)務(wù)能力下降，下降的表現(xiàn)形式可能包括業(yè)務(wù)范圍的減少、業(yè)務(wù)處理性能的下降、可服務(wù)的用戶數(shù)量的下降以及其他各種業(yè)務(wù)指標(biāo)的下降，每個(gè)行業(yè)務(wù)都有本行業(yè)關(guān)注的業(yè)務(wù)指標(biāo)。例如電力行業(yè)關(guān)注發(fā)電量和用電量，稅務(wù)行業(yè)關(guān)注稅費(fèi)收入，銀行業(yè)關(guān)注存款額、貸款額、交易量等，證券經(jīng)紀(jì)行業(yè)關(guān)注股民數(shù)和交易額。定級(jí)階段-關(guān)于損害的詳述關(guān)于損害后果引起法律糾紛是比較嚴(yán)重的影響，在較輕的程度時(shí)可能表現(xiàn)為投訴、索賠、媒體曝光等形式。導(dǎo)致財(cái)產(chǎn)損失，包括系統(tǒng)資產(chǎn)被破壞的直接損失、業(yè)務(wù)量下降帶來的損失、直接的資金損失、為客戶索賠所支付的資金等，以及由于信譽(yù)下降、單位形象降低、客戶關(guān)系損失等導(dǎo)致的間接經(jīng)濟(jì)損失。直接造成人員傷亡，例如醫(yī)療服務(wù)系統(tǒng)，公安行業(yè)的某些系統(tǒng)等。造成社會(huì)不良影響，包括在社會(huì)風(fēng)氣、執(zhí)政信心等方面的影響。定級(jí)階段-關(guān)于損害的詳述定級(jí)階段-關(guān)于損害的詳述安全保護(hù)級(jí)別信息和信息系統(tǒng)受到破壞后的影響1自主保護(hù)級(jí)不會(huì)損害國(guó)家安全、社會(huì)秩序和公共利益。2指導(dǎo)保護(hù)級(jí)會(huì)對(duì)社會(huì)秩序和公共利益造成輕微損害，但不損害國(guó)家安全。3監(jiān)督保護(hù)級(jí)會(huì)對(duì)國(guó)家安全、社會(huì)秩序和公共利益造成損害。4強(qiáng)制保護(hù)級(jí)

會(huì)對(duì)國(guó)家安全、社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害。5專控保護(hù)級(jí)

會(huì)對(duì)國(guó)家安全、社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害。定級(jí)階段-關(guān)于定級(jí)級(jí)別等級(jí)對(duì)象侵害客體侵害程度監(jiān)管強(qiáng)度第一級(jí)一般系統(tǒng)合法利益損害自主性保護(hù)第二級(jí)合法權(quán)益嚴(yán)重?fù)p害指導(dǎo)性保護(hù)社會(huì)秩序和公共利益損害第三級(jí)重要系統(tǒng)社會(huì)秩序和公共利益嚴(yán)重?fù)p害監(jiān)督性保護(hù)國(guó)家安全損害第四級(jí)社會(huì)秩序和公共利益特別嚴(yán)重?fù)p害強(qiáng)制性保護(hù)國(guó)家安全嚴(yán)重?fù)p害第五級(jí)極端重要系統(tǒng)國(guó)家安全特別嚴(yán)重?fù)p害專控性保護(hù)定級(jí)階段-關(guān)于定級(jí)方法定級(jí)的一般方法

信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對(duì)客體的侵害程度可能不同，因此，信息系統(tǒng)定級(jí)也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。

從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)稱業(yè)務(wù)信息安全保護(hù)等級(jí)。

從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)稱系統(tǒng)服務(wù)安全保護(hù)等級(jí)。定級(jí)階段-關(guān)于定級(jí)方法定級(jí)階段-關(guān)于定級(jí)方法與流程

根據(jù)業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體以及對(duì)相應(yīng)客體的侵害程度，依據(jù)下表業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表，即可得到業(yè)務(wù)信息安全保護(hù)等級(jí)。

定級(jí)階段-關(guān)于定級(jí)方法與流程

根據(jù)系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體以及對(duì)相應(yīng)客體的侵害程度，依據(jù)下表系統(tǒng)服務(wù)安全保護(hù)等級(jí)矩陣表，即可得到系統(tǒng)服務(wù)安全保護(hù)等級(jí)。

四個(gè)主要因素決定等級(jí)系統(tǒng)所屬類型業(yè)務(wù)信息類別系統(tǒng)服務(wù)范圍業(yè)務(wù)依賴程度業(yè)務(wù)信息安全性業(yè)務(wù)服務(wù)保證性信息系統(tǒng)安全保護(hù)等級(jí)侵害的程度如何？（對(duì)客體造成侵害的程度）

一般損害

嚴(yán)重?fù)p害

特別嚴(yán)重?fù)p害受到破壞時(shí)侵害了什么？（客體）

公民、法人

社會(huì)秩序、公共利益

國(guó)家安全定級(jí)階段-關(guān)于等級(jí)變更

在信息系統(tǒng)的運(yùn)行過程中，安全保護(hù)等級(jí)應(yīng)隨著信息系統(tǒng)所處理的信息和業(yè)務(wù)狀態(tài)的變化進(jìn)行適當(dāng)?shù)淖兏?，尤其是?dāng)狀態(tài)變化可能導(dǎo)致業(yè)務(wù)信息安全或系統(tǒng)服務(wù)受到破壞后的受侵害客體和對(duì)客體的侵害程度有較大的變化，可能影響到系統(tǒng)的安全保護(hù)等級(jí)時(shí)，應(yīng)根據(jù)定級(jí)標(biāo)準(zhǔn)給出的定級(jí)方法重新定級(jí)定級(jí)案例-三級(jí)系統(tǒng)定級(jí)

定級(jí)案例-三級(jí)系統(tǒng)定級(jí)

定級(jí)案例-三級(jí)系統(tǒng)定級(jí)

定級(jí)案例-三級(jí)系統(tǒng)定級(jí)

小測(cè)試等級(jí)保護(hù)定級(jí)維度是那兩個(gè)？等級(jí)保護(hù)定級(jí)客體有哪些？一個(gè)對(duì)國(guó)家安全會(huì)造成一般損害的信息系統(tǒng)應(yīng)該定為等級(jí)保護(hù)幾級(jí)？基本要求的作用信息系統(tǒng)安全等級(jí)保護(hù)基本要求運(yùn)營(yíng)、使用單位（安全服務(wù)商）主管部門（等級(jí)測(cè)評(píng)機(jī)構(gòu)）安全保護(hù)測(cè)評(píng)檢查基本要求的定位是系統(tǒng)安全保護(hù)、等級(jí)測(cè)評(píng)的一個(gè)基本“標(biāo)尺”，同樣級(jí)別的系統(tǒng)使用統(tǒng)一的“標(biāo)尺”來衡量，保證權(quán)威性，是一個(gè)達(dá)標(biāo)線；每個(gè)級(jí)別的信息系統(tǒng)按照基本要求進(jìn)行保護(hù)后，信息系統(tǒng)具有相應(yīng)等級(jí)的基本安全保護(hù)能力，達(dá)到一種基本的安全狀態(tài);是每個(gè)級(jí)別信息系統(tǒng)進(jìn)行安全保護(hù)工作的一個(gè)基本出發(fā)點(diǎn)，更加貼切的保護(hù)可以通過需求分析對(duì)基本要求進(jìn)行補(bǔ)充，參考其他有關(guān)等級(jí)保護(hù)或安全方面的標(biāo)準(zhǔn)來實(shí)現(xiàn);基本要求的定位某級(jí)信息系統(tǒng)基本保護(hù)精確保護(hù)基本要求保護(hù)基本要求測(cè)評(píng)補(bǔ)充的安全措施GB17859-1999通用技術(shù)要求安全管理要求高級(jí)別的基本要求等級(jí)保護(hù)其他標(biāo)準(zhǔn)安全方面相關(guān)標(biāo)準(zhǔn)等等基本保護(hù)特殊需求補(bǔ)充措施基本要求基本思路不同級(jí)別信息系統(tǒng)重要程度不同應(yīng)對(duì)不同威脅的能力(威脅\弱點(diǎn))具有不同的安全保護(hù)能力不同的基本要求各個(gè)要素之間的關(guān)系安全保護(hù)能力基本安全要求每個(gè)等級(jí)的信息系統(tǒng)基本技術(shù)措施基本管理措施具備包含包含滿足滿足實(shí)現(xiàn)基本要求核心思路某級(jí)系統(tǒng)技術(shù)要求管理要求基本要求建立安全技術(shù)體系建立安全管理體系具有某級(jí)安全保護(hù)能力的系統(tǒng)各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀）安全保護(hù)模型PPDRR

Protection防護(hù)

PolicyDetection

策略

檢測(cè)

Response

響應(yīng)

Recovery恢復(fù)各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀）一級(jí)系統(tǒng)二級(jí)系統(tǒng)三級(jí)系統(tǒng)四級(jí)系統(tǒng)防護(hù)防護(hù)/監(jiān)測(cè)策略/防護(hù)/監(jiān)測(cè)/恢復(fù)策略/防護(hù)/監(jiān)測(cè)/恢復(fù)/響應(yīng)各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀）成功的完成業(yè)務(wù)信息保障深度防御戰(zhàn)略人技術(shù)操作防御網(wǎng)絡(luò)與基礎(chǔ)設(shè)施防御飛地邊界防御計(jì)算環(huán)境支撐性基礎(chǔ)設(shè)施安全保護(hù)模型IATF各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀）一級(jí)系統(tǒng)二級(jí)系統(tǒng)三級(jí)系統(tǒng)四級(jí)系統(tǒng)通信/邊界（基本）通信/邊界/內(nèi)部（關(guān)鍵設(shè)備）通信/邊界/內(nèi)部（主要設(shè)備）通信/邊界/內(nèi)部/基礎(chǔ)設(shè)施（所有設(shè)備）各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀）一級(jí)系統(tǒng)二級(jí)系統(tǒng)三級(jí)系統(tǒng)四級(jí)系統(tǒng)計(jì)劃和跟蹤（主要制度）計(jì)劃和跟蹤（主要制度）良好定義（管理活動(dòng)制度化）持續(xù)改進(jìn)（管理活動(dòng)制度化/及時(shí)改進(jìn)）等級(jí)保護(hù)基本要求構(gòu)架某級(jí)系統(tǒng)物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理等級(jí)保護(hù)基本要求效果基本要求的主要內(nèi)容由9個(gè)章節(jié)2個(gè)附錄構(gòu)成1.適用范圍2.規(guī)范性引用文件3術(shù)語(yǔ)定義4.等級(jí)保護(hù)概述5.6.7.8.9基本要求附錄A關(guān)于信息系統(tǒng)整體安全保護(hù)能力的要求附錄B基本安全要求的選擇和使用基本要求的組織方式某級(jí)系統(tǒng)類技術(shù)要求管理要求基本要求類控制點(diǎn)具體要求控制點(diǎn)具體要求………………………………基本要求-組織方式某級(jí)系統(tǒng)物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理基本要求標(biāo)注方式基本要求技術(shù)要求管理要求要求標(biāo)注業(yè)務(wù)信息安全類要求（標(biāo)記為S類）系統(tǒng)服務(wù)保證類要求（標(biāo)記為A類）通用安全保護(hù)類要求（標(biāo)記為G類）

三類要求之間的關(guān)系通用安全保護(hù)類要求（G）業(yè)務(wù)信息安全類（S）系統(tǒng)服務(wù)保證類（A安全要求基本要求的選擇和使用一個(gè)3級(jí)系統(tǒng),定級(jí)結(jié)果為S3A2，保護(hù)類型應(yīng)該是S3A2G3第1步:選擇標(biāo)準(zhǔn)中3級(jí)基本要求的技術(shù)要求和管理要求;第2步:要求中標(biāo)注為S類和G類的不變;標(biāo)注為A類的要求可以選用2級(jí)基本要求中的A類作為基本要求;安全保護(hù)和系統(tǒng)定級(jí)的關(guān)系安全等級(jí)信息系統(tǒng)保護(hù)要求的組合第一級(jí)S1A1G1第二級(jí)S1A2G2，S2A2G2，S2A1G2第三級(jí)S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級(jí)S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4定級(jí)指南要求按照“業(yè)務(wù)信息”和“系統(tǒng)服務(wù)”的需求確定整個(gè)系統(tǒng)的安全保護(hù)等級(jí)定級(jí)過程反映了信息系統(tǒng)的保護(hù)要求不同級(jí)別系統(tǒng)控制點(diǎn)的差異安全要求類層面一級(jí)二級(jí)三級(jí)四級(jí)技術(shù)要求物理安全7101010網(wǎng)絡(luò)安全3677主機(jī)安全4679應(yīng)用安全47911數(shù)據(jù)安全及備份恢復(fù)2333管理要求安全管理制度2333安全管理機(jī)構(gòu)4555人員安全管理4555系統(tǒng)建設(shè)管理991111系統(tǒng)運(yùn)維管理9121313合計(jì)/48667377級(jí)差//1874不同級(jí)別系統(tǒng)要求項(xiàng)的差異安全要求類層面一級(jí)二級(jí)三級(jí)四級(jí)技術(shù)要求物理安全9193233網(wǎng)絡(luò)安全9183332主機(jī)安全6193236應(yīng)用安全7193136數(shù)據(jù)安全及備份恢復(fù)24811管理要求安全管理制度371114安全管理機(jī)構(gòu)492020人員安全管理7111618系統(tǒng)建設(shè)管理20284548系統(tǒng)運(yùn)維管理18416270合計(jì)/85175290318級(jí)差//9011528小測(cè)試等級(jí)保護(hù)基本要求共有幾個(gè)控制層面？一個(gè)定為三級(jí)的信息系統(tǒng)可能有幾種不同的等級(jí)保護(hù)要求組合？等級(jí)保護(hù)基本要求對(duì)我公司的意義？目錄等級(jí)保護(hù)基本概念介紹等級(jí)保護(hù)定級(jí)等級(jí)保護(hù)基本要求等級(jí)保護(hù)實(shí)施等級(jí)保護(hù)測(cè)評(píng)我公司開展的等級(jí)保護(hù)支持服務(wù)等級(jí)保護(hù)角色和職責(zé)國(guó)家管理部門信息系統(tǒng)主管部門安全服務(wù)商安全產(chǎn)品提供商安全測(cè)評(píng)機(jī)構(gòu)部門系統(tǒng)定級(jí)安全保護(hù)檢測(cè)評(píng)估監(jiān)督檢查技術(shù)標(biāo)準(zhǔn)管理規(guī)范等級(jí)保護(hù)實(shí)施原則自主保護(hù)原則信息系統(tǒng)運(yùn)營(yíng)、使用單位及其主管部門按照國(guó)家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定信息系統(tǒng)的安全保護(hù)等級(jí)，自行組織實(shí)施安全保護(hù)。重點(diǎn)保護(hù)原則根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，通過劃分不同安全保護(hù)等級(jí)的信息系統(tǒng)，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。同步建設(shè)原則信息系統(tǒng)在新建、改建、擴(kuò)建時(shí)應(yīng)當(dāng)同步規(guī)劃和設(shè)計(jì)安全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。動(dòng)態(tài)調(diào)整原則要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護(hù)措施。由于信息系統(tǒng)的應(yīng)用類型、范圍等條件的變化及其他原因，安全保護(hù)等級(jí)需要變更的，應(yīng)當(dāng)根據(jù)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重新確定信息系統(tǒng)的安全保護(hù)等級(jí)，根據(jù)信息系統(tǒng)安全保護(hù)等級(jí)的調(diào)整情況，重新實(shí)施安全保護(hù)。等級(jí)保護(hù)實(shí)施流程信息系統(tǒng)全生命周期系統(tǒng)定級(jí)規(guī)劃設(shè)計(jì)安全實(shí)施安全運(yùn)維（變更管理/定期安全測(cè)評(píng)/監(jiān)督檢查）系統(tǒng)終止啟動(dòng)階段設(shè)計(jì)/開發(fā)階段實(shí)施階段運(yùn)行維護(hù)階段廢棄階段系統(tǒng)定級(jí)安全實(shí)施安全運(yùn)維（變更管理/定期安全測(cè)評(píng)/監(jiān)督檢查）系統(tǒng)終止已建信息系統(tǒng)等級(jí)保護(hù)實(shí)施過程新建信息系統(tǒng)等級(jí)保護(hù)實(shí)施過程實(shí)程信息系統(tǒng)生命周期生期規(guī)劃設(shè)計(jì)等級(jí)保護(hù)測(cè)評(píng)流程等級(jí)保護(hù)測(cè)評(píng)中的角色關(guān)系系統(tǒng)承建單位主管\使用\運(yùn)行單位測(cè)評(píng)機(jī)構(gòu)專家組支持測(cè)評(píng)提供技術(shù)、工程和質(zhì)量文檔實(shí)施的配合公安網(wǎng)監(jiān)部門測(cè)評(píng)工作組織協(xié)調(diào)確保技術(shù)、工程和質(zhì)量文檔、提供運(yùn)營(yíng)相關(guān)文檔的提供評(píng)審實(shí)施方案等相關(guān)文檔配合等級(jí)測(cè)評(píng)實(shí)施測(cè)評(píng)過程中的風(fēng)險(xiǎn)管理和應(yīng)急管理制定測(cè)評(píng)計(jì)劃和方案等相關(guān)文檔在相關(guān)單位支持下實(shí)施等級(jí)測(cè)評(píng)提交測(cè)評(píng)報(bào)告監(jiān)督方案評(píng)審和系統(tǒng)測(cè)評(píng)監(jiān)督確保遵守公正的測(cè)評(píng)原則和方法對(duì)評(píng)估結(jié)論進(jìn)行評(píng)審測(cè)評(píng)工作

組織與監(jiān)管等級(jí)保護(hù)測(cè)評(píng)案例(1)某公司（簡(jiǎn)稱“AAA”）用電信息系統(tǒng)承載著該公司的電力營(yíng)銷業(yè)務(wù)，由數(shù)據(jù)存儲(chǔ)、業(yè)務(wù)處理、接入、對(duì)外服務(wù)和外聯(lián)等五個(gè)功能區(qū)域組成，是一個(gè)安全等級(jí)為三級(jí)的信息系統(tǒng)。(2)現(xiàn)場(chǎng)測(cè)評(píng)時(shí)間為X年X月X日至X年X月X日，現(xiàn)場(chǎng)測(cè)評(píng)小組分為管理組（2人）和技術(shù)組（4人）兩組，分別完成安全管理和安全技術(shù)方面的測(cè)評(píng)。

等級(jí)保護(hù)被測(cè)評(píng)案例(3)被測(cè)系統(tǒng)為承載著AAA公司電力營(yíng)銷業(yè)務(wù)，是AAA公司的重要信息系統(tǒng)，其安全等級(jí)定為三級(jí)（S3A2G3）。

(4)被測(cè)系統(tǒng)由數(shù)據(jù)存儲(chǔ)、業(yè)務(wù)處理、接入、對(duì)外服務(wù)和外聯(lián)等五個(gè)功能區(qū)域組成.對(duì)外有可以為大客戶單位、internet網(wǎng)、撥號(hào)用戶等提供電費(fèi)數(shù)據(jù)查詢、交納、業(yè)務(wù)擴(kuò)充、投訴等服務(wù)的功能模塊。數(shù)據(jù)存儲(chǔ)功能區(qū)位于屏蔽機(jī)房，其它功能區(qū)域位于中心機(jī)房。

測(cè)評(píng)對(duì)象根據(jù)用電信息系統(tǒng)的實(shí)際情況，分別確定物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全等各層面的測(cè)評(píng)對(duì)象。物理方面主要是測(cè)評(píng)屏蔽機(jī)房和主機(jī)房。網(wǎng)絡(luò)方面主要測(cè)評(píng)的設(shè)備有：路由器、交換機(jī)、防火墻、IDS、外聯(lián)檢測(cè)、防病毒等

。測(cè)評(píng)對(duì)象（2）主機(jī)方面主要測(cè)評(píng)的主機(jī)服務(wù)器（包括數(shù)據(jù)庫(kù)服務(wù)器）

。測(cè)評(píng)對(duì)象（3）應(yīng)用方面主要測(cè)評(píng)的應(yīng)用系統(tǒng)

。測(cè)評(píng)對(duì)象（4）安全管理，主要測(cè)評(píng)對(duì)象為與信息安全管理有關(guān)的策略、制度、操作規(guī)程、運(yùn)行記錄、管理人員、技術(shù)人員和相關(guān)設(shè)備設(shè)施等。測(cè)評(píng)指標(biāo)選取

被測(cè)系統(tǒng)的定級(jí)結(jié)果為：安全保護(hù)等級(jí)為3級(jí)，業(yè)務(wù)信息安全等級(jí)為S3，系統(tǒng)服務(wù)安全等級(jí)為A2；則該系統(tǒng)的測(cè)評(píng)指標(biāo)應(yīng)包括GB/T22239-2008“技術(shù)要求”中的3級(jí)通用指標(biāo)類（G3），3級(jí)業(yè)務(wù)信息安全指標(biāo)類（S3），2級(jí)系統(tǒng)服務(wù)安全指標(biāo)類（A2），以及第3級(jí)“管理要求”中的所有指標(biāo)類。

測(cè)評(píng)工具和接入點(diǎn)

根據(jù)3級(jí)信息系統(tǒng)的測(cè)評(píng)強(qiáng)度要求，在測(cè)試的廣度上，應(yīng)基本覆蓋不同類型的機(jī)制，在數(shù)量、范圍上可以抽樣；在測(cè)試的深度上，應(yīng)執(zhí)行功能測(cè)試和滲透測(cè)試，功能測(cè)試可能涉及機(jī)制的功能規(guī)范、高級(jí)設(shè)計(jì)和操作規(guī)程等文檔，滲透測(cè)試可能涉及機(jī)制的所有可用文檔，并試圖智取進(jìn)入信息系統(tǒng)等。因此，對(duì)其進(jìn)行測(cè)評(píng)，應(yīng)涉及到漏洞掃描工具、滲透測(cè)評(píng)工具集等多種測(cè)試工具。使用的測(cè)試工具主要有：網(wǎng)絡(luò)漏洞掃描器、數(shù)據(jù)庫(kù)安全掃描器、滲透測(cè)試工具集等。

測(cè)評(píng)內(nèi)容--物理安全

物理安全測(cè)評(píng)將通過訪談、文檔審查和實(shí)地察看的方式測(cè)評(píng)信息系統(tǒng)的的物理安全保障情況。主要涉及對(duì)象為屏蔽機(jī)房和主機(jī)房。

測(cè)評(píng)內(nèi)容—網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全測(cè)評(píng)將通過訪談、配置檢查和工具測(cè)試的方式測(cè)評(píng)信息系統(tǒng)的的網(wǎng)絡(luò)安全保障情況。主要涉及對(duì)象為網(wǎng)絡(luò)互聯(lián)設(shè)備、網(wǎng)絡(luò)安全設(shè)備和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等三大類對(duì)象。

測(cè)評(píng)內(nèi)容—主機(jī)安全

主機(jī)系統(tǒng)安全測(cè)評(píng)將通過訪談、配置檢查和工具測(cè)試的方式測(cè)評(píng)主機(jī)系統(tǒng)安全保障情況。本次重點(diǎn)測(cè)評(píng)的操作系統(tǒng)包括各網(wǎng)站服務(wù)器、應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器等的操作系統(tǒng)，數(shù)據(jù)庫(kù)管理系統(tǒng)為數(shù)據(jù)庫(kù)服務(wù)器Sybase。

。

測(cè)評(píng)內(nèi)容—應(yīng)用安全和數(shù)據(jù)安全

應(yīng)用安全測(cè)評(píng)將通過訪談、配置檢查和工具測(cè)試的方式測(cè)評(píng)應(yīng)用安全保障情況，主要涉及對(duì)象為用電信息系統(tǒng)、對(duì)外服務(wù)網(wǎng)站系統(tǒng)和遠(yuǎn)程客戶服務(wù)系統(tǒng)。

測(cè)評(píng)內(nèi)容—安全管理部分安全管理部分為全局性問題，涉及安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面。主要是審查相關(guān)管理文檔和記錄文件。

等級(jí)保護(hù)測(cè)評(píng)實(shí)施—物理安全要求：對(duì)于溫濕度控制（G3），在GB/T22239-2008中的描述為“機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，使