信息安全等級(jí)保護(hù)評(píng)估中心

信息平安等級(jí)保護(hù)福建省網(wǎng)絡(luò)與信息平安測(cè)評(píng)中心康仲生一、信息平安等級(jí)保護(hù)工作概述

〔一〕開展信息平安等級(jí)保護(hù)工作的政策和法律依據(jù)。1994年，?中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)平安保護(hù)條例?〔國(guó)務(wù)院147號(hào)令〕規(guī)定，“計(jì)算機(jī)信息系統(tǒng)實(shí)行平安等級(jí)保護(hù)，平安等級(jí)的劃分標(biāo)準(zhǔn)和平安等級(jí)保護(hù)的具體方法，由公安部會(huì)同有關(guān)部門制定〞。1995年2月18日人大12次會(huì)議通過(guò)并實(shí)施的?中華人民共和國(guó)警察法?第二章第六條第十二款規(guī)定，公安機(jī)關(guān)人民警察依法履行“監(jiān)督管理計(jì)算機(jī)信息系統(tǒng)的平安保護(hù)工作〞?！梢罁?jù)。1999年，強(qiáng)制性國(guó)家標(biāo)準(zhǔn)－?計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級(jí)劃分準(zhǔn)那么?GB17859〕?！惨弧抽_展信息平安等級(jí)保護(hù)工作的政策和法律依據(jù)。2003年，中辦、國(guó)辦轉(zhuǎn)發(fā)的?國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息平安保障工作的意見(jiàn)?〔中辦發(fā)[2003]27號(hào)〕明確指出“實(shí)行信息平安等級(jí)保護(hù)〞?！耙攸c(diǎn)保護(hù)根底信息網(wǎng)絡(luò)和關(guān)系國(guó)家平安、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息平安等級(jí)保護(hù)制度，制定信息平安等級(jí)保護(hù)的管理方法和技術(shù)指南〞。

2004年，公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)信辦聯(lián)合印發(fā)了?關(guān)于信息平安等級(jí)保護(hù)工作的實(shí)施意見(jiàn)?〔66號(hào)文件〕

2007年6月，公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)信辦聯(lián)合制定了?信息平安等級(jí)保護(hù)管理方法?〔公通字[2007]43號(hào)〕〔二〕近年來(lái)信息平安等級(jí)保護(hù)工作進(jìn)展一是制定了50多個(gè)國(guó)標(biāo)和行標(biāo)，初步形成了信息平安等級(jí)保護(hù)標(biāo)準(zhǔn)體系二是開展了等級(jí)保護(hù)根底調(diào)查工作三是開展了等級(jí)保護(hù)試點(diǎn)工作四是出臺(tái)了66號(hào)文、43號(hào)文、861號(hào)文等政策文件。五是召開“全國(guó)重要信息系統(tǒng)平安等級(jí)保護(hù)定級(jí)工作電視會(huì)議〞六是成立“國(guó)家信息平安等級(jí)保護(hù)協(xié)調(diào)小組〞〔三〕開展信息平安等級(jí)保護(hù)工作的重要意義信息平安等級(jí)保護(hù)制度是國(guó)家信息平安保障的根本制度、根本策略、根本方法；是當(dāng)今興旺國(guó)家的通行做法，也是我國(guó)多年來(lái)信息平安工作經(jīng)驗(yàn)的總結(jié)。開展信息平安等級(jí)保護(hù)工作：有利于同步建設(shè)；有利于指導(dǎo)和效勞；有利于保障重點(diǎn)；有利于明確責(zé)任；有利于產(chǎn)業(yè)開展〔四〕開展等級(jí)保護(hù)工作的總體要求1、各根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)，按照“準(zhǔn)確定級(jí)、嚴(yán)格審批、及時(shí)備案、認(rèn)真整改、科學(xué)測(cè)評(píng)〞的要求完成等級(jí)保護(hù)的定級(jí)、備案、整改、測(cè)評(píng)等工作。2、公安機(jī)關(guān)和保密、密碼工作部門要及時(shí)開展監(jiān)督檢查，嚴(yán)格審查信息系統(tǒng)所定級(jí)別，嚴(yán)格檢查信息系統(tǒng)開展備案、整改、測(cè)評(píng)等工作。3、對(duì)成心將信息系統(tǒng)平安級(jí)別定低，逃避公安、保密、密碼部門監(jiān)管，造成信息系統(tǒng)出現(xiàn)重大平安事故的，要追究單位和人員的責(zé)任。二、明確各方責(zé)任義務(wù)〔一〕、?管理方法?中第二條明確了國(guó)家的責(zé)任國(guó)家通過(guò)制定統(tǒng)一的信息平安等級(jí)保護(hù)管理標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)實(shí)行平安保護(hù)，對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。信息平安監(jiān)管部門包括公安機(jī)關(guān)、保密部門、國(guó)家密碼工作部門。信息平安監(jiān)管部門代表國(guó)家制定等級(jí)保護(hù)管理標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)實(shí)行平安保護(hù)，對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理?！捕?、?管理方法?第三條明確了信息平安監(jiān)管部門的職責(zé)公安機(jī)關(guān)負(fù)責(zé)信息平安等級(jí)保護(hù)工作的監(jiān)督、檢查、指導(dǎo)。國(guó)家保密工作部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。國(guó)家密碼管理部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。涉及其他職能部門管轄范圍的事項(xiàng)，由有關(guān)職能部門依照國(guó)家法律法規(guī)的規(guī)定進(jìn)行管理。國(guó)務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)等級(jí)保護(hù)工作的部門間協(xié)調(diào)?！踩?、?管理方法?中第四條、第五條分別明確了信息系統(tǒng)主管部門和運(yùn)營(yíng)使用單位的責(zé)任義務(wù)信息系統(tǒng)主管部門應(yīng)當(dāng)依照?管理方法?及相關(guān)標(biāo)準(zhǔn)標(biāo)準(zhǔn)，催促、檢查、指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運(yùn)營(yíng)、使用單位的信息平安等級(jí)保護(hù)工作。信息系統(tǒng)的運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依照?管理方法?及其相關(guān)標(biāo)準(zhǔn)標(biāo)準(zhǔn)，履行信息平安等級(jí)保護(hù)的義務(wù)和責(zé)任?！菜摹?、公民、法人和其他組織的責(zé)任義務(wù)公民、法人和其他組織應(yīng)當(dāng)按照國(guó)家有關(guān)等級(jí)保護(hù)的管理標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)開展等級(jí)保護(hù)工作，服從國(guó)家對(duì)信息平安等級(jí)保護(hù)工作的監(jiān)督、指導(dǎo)，保障信息系統(tǒng)平安。信息平安產(chǎn)品的研制、生產(chǎn)單位，信息系統(tǒng)的集成、等級(jí)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估等平安效勞機(jī)構(gòu)，依據(jù)國(guó)家有關(guān)管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，開展相應(yīng)工作，并接受國(guó)家信息平安職能部門的監(jiān)督管理。三、信息系統(tǒng)平安保護(hù)等級(jí)的劃分

與保護(hù)1、運(yùn)營(yíng)使用單位和主管部門是信息系統(tǒng)平安的第一責(zé)任人，對(duì)所屬信息系統(tǒng)平安負(fù)有直接責(zé)任。2、公安、保密、密碼部門對(duì)運(yùn)營(yíng)使用單位和主管部門開展等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查、指導(dǎo)，對(duì)重要信息系統(tǒng)平安負(fù)監(jiān)管責(zé)任。〔一〕“自主定級(jí)、自主保護(hù)〞與國(guó)家監(jiān)管〔二〕信息系統(tǒng)平安保護(hù)等級(jí)的定級(jí)要素受侵害的客體：一是公民、法人和其他組織的合法權(quán)益；二是社會(huì)秩序、公共利益；三是國(guó)家平安。對(duì)客體的侵害程度：一是造成一般損害；二是造成嚴(yán)重?fù)p害；三是造成特別嚴(yán)重?fù)p害?！踩承畔⑾到y(tǒng)平安保護(hù)等級(jí)〔四〕五級(jí)保護(hù)和監(jiān)管?管理方法?第八條規(guī)定，信息系統(tǒng)運(yùn)營(yíng)、使用單位依據(jù)本方法和相關(guān)技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行保護(hù)，國(guó)家有關(guān)信息平安監(jiān)管部門對(duì)其信息平安等級(jí)保護(hù)工作進(jìn)行監(jiān)督管理。四、信息系統(tǒng)平安保護(hù)等級(jí)確實(shí)定與實(shí)施〔一〕定級(jí)范圍一是電信、廣電行業(yè)的公用通信網(wǎng)、播送電視傳輸網(wǎng)等根底信息網(wǎng)絡(luò)，經(jīng)營(yíng)性公眾互聯(lián)網(wǎng)信息效勞單位、互聯(lián)網(wǎng)接入效勞單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。二是國(guó)家重要行業(yè)、領(lǐng)域的重要信息系統(tǒng)。

三是市〔地〕級(jí)以上黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)。四是涉及國(guó)家秘密的信息系統(tǒng)。電信根底信息網(wǎng)絡(luò)也是重要信息系統(tǒng)〔二〕、系統(tǒng)定級(jí)定級(jí)是等級(jí)保護(hù)工作的首要環(huán)節(jié)，是開展信息系統(tǒng)建設(shè)、整改、測(cè)評(píng)、備案、監(jiān)督檢查等后續(xù)工作的重要根底。信息系統(tǒng)平安級(jí)別定不準(zhǔn)，系統(tǒng)建設(shè)、整改、備案、等級(jí)測(cè)評(píng)等后續(xù)工作都失去了針對(duì)性。需要特別說(shuō)明的是：信息系統(tǒng)的平安保護(hù)等級(jí)是信息系統(tǒng)的客觀屬性，不以已采取或?qū)⒉扇∈裁雌桨脖Ｗo(hù)措施為依據(jù)，也不以風(fēng)險(xiǎn)評(píng)估為依據(jù)，而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對(duì)國(guó)家平安、社會(huì)穩(wěn)定、人民群眾合法權(quán)益的危害程度為依據(jù)，確定信息系統(tǒng)的平安等級(jí)。定級(jí)工作的步驟：第一步：摸底調(diào)查，掌握信息系統(tǒng)底數(shù)?！残畔⑾到y(tǒng)的業(yè)務(wù)類型、應(yīng)用或效勞范圍、系統(tǒng)結(jié)構(gòu)根本情況〕第二步：確定定級(jí)對(duì)象第三步：初步確定信息系統(tǒng)等級(jí)定級(jí)的一般流程：信息系統(tǒng)平安包括業(yè)務(wù)信息平安和系統(tǒng)效勞平安。信息平安是指確保信息系統(tǒng)內(nèi)信息的保密性、完整性和可用性等，系統(tǒng)效勞平安是指確保信息系統(tǒng)可以及時(shí)、有效地提供效勞，以完成預(yù)定的業(yè)務(wù)目標(biāo)。業(yè)務(wù)信息平安和系統(tǒng)效勞平安，與之相關(guān)的受侵害客體和對(duì)客體的侵害程度可能不同，因此，信息系統(tǒng)定級(jí)也應(yīng)由業(yè)務(wù)信息平安和系統(tǒng)效勞平安兩方面確定。從業(yè)務(wù)信息平安角度反映的信息系統(tǒng)平安保護(hù)等級(jí)稱業(yè)務(wù)信息平安等級(jí)。從系統(tǒng)效勞平安角度反映的信息系統(tǒng)平安保護(hù)等級(jí)稱系統(tǒng)效勞平安等級(jí)。由業(yè)務(wù)信息平安等級(jí)和系統(tǒng)效勞平安等級(jí)的較高者確定定級(jí)對(duì)象的平安保護(hù)等級(jí)。定級(jí)根本流程13、綜合評(píng)定對(duì)客體的侵害程度2、確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體6、綜合評(píng)定對(duì)客體的侵害程度5、確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體7、系統(tǒng)服務(wù)安全保護(hù)等級(jí)4、業(yè)務(wù)信息安全保護(hù)等級(jí)8、定級(jí)對(duì)象的安全保護(hù)等級(jí)1、確定定級(jí)對(duì)象一、定級(jí)對(duì)象的三個(gè)條件具有唯一確定的平安責(zé)任單位作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)能夠唯一地確定其平安責(zé)任單位，這個(gè)平安責(zé)任單位就是負(fù)責(zé)等級(jí)保護(hù)工作部署、實(shí)施的單位，也是完成等級(jí)保護(hù)備案和接受監(jiān)督檢查的直接責(zé)任單位。滿足信息系統(tǒng)的根本要素作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)那么組合而成的有形實(shí)體。應(yīng)防止將某個(gè)單一的系統(tǒng)組件，如單臺(tái)的效勞器、終端或網(wǎng)絡(luò)設(shè)備等作為定級(jí)對(duì)象。定級(jí)階段-關(guān)于定級(jí)對(duì)象確定承載相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用定級(jí)對(duì)象承載“相對(duì)獨(dú)立〞的業(yè)務(wù)應(yīng)用是指其中的一個(gè)或多個(gè)業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程、局部業(yè)務(wù)功能獨(dú)立，同時(shí)與其他信息系統(tǒng)的業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換，定級(jí)對(duì)象可能會(huì)與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備?！跋鄬?duì)獨(dú)立〞的業(yè)務(wù)應(yīng)用并不意味著整個(gè)業(yè)務(wù)流程，可以是完整的業(yè)務(wù)流程的一局部。定級(jí)階段-關(guān)于定級(jí)對(duì)象確定定級(jí)階段-定級(jí)對(duì)象舉例某期貨交易所辦公系統(tǒng)生產(chǎn)系統(tǒng)交易系統(tǒng)清算系統(tǒng)網(wǎng)站系統(tǒng)定級(jí)階段-定級(jí)對(duì)象舉例定級(jí)對(duì)象結(jié)果1辦公信息系統(tǒng)生產(chǎn)信息系統(tǒng)定級(jí)對(duì)象結(jié)果2辦公信息系統(tǒng)生產(chǎn)信息系統(tǒng)交易信息系統(tǒng)清算信息系統(tǒng)網(wǎng)站信息系統(tǒng)定級(jí)階段-定級(jí)對(duì)象舉例證券公司集中交易系統(tǒng)公司總部各個(gè)營(yíng)業(yè)部數(shù)據(jù)中心柜臺(tái)委托自助委托委托網(wǎng)上委托定級(jí)階段-定級(jí)對(duì)象舉例交易系統(tǒng)行情系統(tǒng)清算系統(tǒng)客戶管理系統(tǒng)等定級(jí)階段-定級(jí)對(duì)象舉例定級(jí)對(duì)象結(jié)果1總部信息系統(tǒng)營(yíng)業(yè)部信息系統(tǒng)定級(jí)對(duì)象結(jié)果2總部數(shù)據(jù)中心系統(tǒng)(平臺(tái))外部委托系統(tǒng)(平臺(tái))營(yíng)業(yè)部外部委托系統(tǒng)(平臺(tái))定級(jí)階段-定級(jí)對(duì)象舉例定級(jí)對(duì)象結(jié)果3總部交易系統(tǒng)行情系統(tǒng)清算系統(tǒng)客戶管理系統(tǒng)營(yíng)業(yè)部交易系統(tǒng)行情系統(tǒng)客戶管理系統(tǒng)定級(jí)階段-定級(jí)對(duì)象舉例某電力集團(tuán)公司公司本部供電局(分公司)電力調(diào)度系統(tǒng)綜合信息系統(tǒng)定級(jí)階段-定級(jí)對(duì)象舉例骨干網(wǎng)城域網(wǎng)數(shù)據(jù)中心局域網(wǎng)大樓用戶局域網(wǎng)供電所局域網(wǎng)三產(chǎn)公司局域網(wǎng)等定級(jí)階段-定級(jí)對(duì)象舉例電力營(yíng)銷系統(tǒng)生產(chǎn)管理系統(tǒng)工程管理系統(tǒng)物資管理系統(tǒng)財(cái)務(wù)管理系統(tǒng)OA系統(tǒng)EAI/EIP系統(tǒng)等定級(jí)階段-定級(jí)對(duì)象舉例定級(jí)對(duì)象結(jié)果1本部信息系統(tǒng)供電局信息系統(tǒng)定級(jí)對(duì)象結(jié)果2本部電力調(diào)度系統(tǒng)綜合信息系統(tǒng)營(yíng)業(yè)部電力調(diào)度系統(tǒng)綜合信息系統(tǒng)定級(jí)階段-定級(jí)對(duì)象舉例定級(jí)對(duì)象結(jié)果3本部數(shù)據(jù)中心系統(tǒng)用戶局域網(wǎng)系統(tǒng)骨干網(wǎng)系統(tǒng)供電局?jǐn)?shù)據(jù)中心系統(tǒng)用戶局域網(wǎng)系統(tǒng)城域網(wǎng)系統(tǒng)定級(jí)階段-定級(jí)對(duì)象舉例定級(jí)對(duì)象結(jié)果4電力營(yíng)銷系統(tǒng)生產(chǎn)管理系統(tǒng)工程管理系統(tǒng)物資管理系統(tǒng)財(cái)務(wù)管理系統(tǒng)OA系統(tǒng)EAI/EIP系統(tǒng)定級(jí)階段-定級(jí)對(duì)象舉例信息系統(tǒng)劃分的一些常見(jiàn)方法例如對(duì)內(nèi)效勞與對(duì)外運(yùn)營(yíng)的業(yè)務(wù)系統(tǒng)，對(duì)內(nèi)效勞的辦公系統(tǒng)，一般來(lái)說(shuō)其中的信息和提供的效勞是面向本單位的，涉及到的等級(jí)保護(hù)客體一般是本單位，而對(duì)外運(yùn)營(yíng)的業(yè)務(wù)系統(tǒng)往往關(guān)系到其他單位、個(gè)人或面向社會(huì)，因此這兩類業(yè)務(wù)可能涉及不同的客體，可能具有不同的平安保護(hù)等級(jí)，可以考慮劃分為不同的信息系統(tǒng)。又比方處理涉及國(guó)家秘密信息的信息系統(tǒng)與處理一般單位敏感信息的信息系統(tǒng)應(yīng)分開。例如全國(guó)大集中系統(tǒng)數(shù)據(jù)中心的數(shù)據(jù)量和效勞范圍都遠(yuǎn)大于各省級(jí)節(jié)點(diǎn)和市級(jí)節(jié)點(diǎn)，其受到破壞后的損害程度和影響范圍也有很大差異，可能具有不同的平安等級(jí)，可以考慮劃分為不同的信息系統(tǒng)。一般單位的信息系統(tǒng)建設(shè)和網(wǎng)絡(luò)布局，一般都會(huì)或多或少考慮系統(tǒng)的特點(diǎn)、業(yè)務(wù)重要性及不同系統(tǒng)之間的關(guān)系，進(jìn)行信息系統(tǒng)的等級(jí)劃分應(yīng)盡可能以現(xiàn)有網(wǎng)絡(luò)條件為根底進(jìn)行劃分，以免引起不必要的網(wǎng)絡(luò)改造和建設(shè)工作，影響原有系統(tǒng)的業(yè)務(wù)運(yùn)行。有些信息系統(tǒng)中不同業(yè)務(wù)的重要程度雖然會(huì)有所差異，但是由于業(yè)務(wù)之間聯(lián)系緊密，不容易拆分，可以作為一個(gè)信息系統(tǒng)按照同樣級(jí)別保護(hù)。但是，如果其中某一個(gè)業(yè)務(wù)面臨風(fēng)險(xiǎn)或威脅較大，比方與互聯(lián)網(wǎng)相連，可能會(huì)影響到其它的業(yè)務(wù)，就應(yīng)當(dāng)將其從該信息系統(tǒng)中別離出來(lái)，單獨(dú)作為一個(gè)信息系統(tǒng)而實(shí)施保護(hù)。系統(tǒng)邊界不應(yīng)出現(xiàn)在效勞器內(nèi)部，效勞器共用的系統(tǒng)一般歸入同一個(gè)信息系統(tǒng)，因此不同信息系統(tǒng)的共用設(shè)備一般是網(wǎng)絡(luò)/邊界設(shè)備或終端設(shè)備。兩個(gè)信息系統(tǒng)邊界存在共用設(shè)備時(shí)，共用設(shè)備的平安保護(hù)等級(jí)按兩個(gè)信息系統(tǒng)平安保護(hù)等級(jí)較高者確定。例如，一個(gè)2級(jí)系統(tǒng)和一個(gè)3級(jí)系統(tǒng)之間有一個(gè)防火墻或兩個(gè)系統(tǒng)共用一個(gè)核心交換機(jī)，此時(shí)防火墻和交換機(jī)可以作為兩個(gè)系統(tǒng)的邊界設(shè)備，但應(yīng)滿足3級(jí)系統(tǒng)的要求。定級(jí)階段-關(guān)于系統(tǒng)邊界信息系統(tǒng)的管理終端是與相應(yīng)被管理設(shè)備相對(duì)應(yīng)的，效勞器、網(wǎng)絡(luò)設(shè)備及平安設(shè)備等屬于哪個(gè)系統(tǒng)，終端就應(yīng)歸在哪個(gè)信息系統(tǒng)中。如果無(wú)法做到不同等級(jí)的信息系統(tǒng)使用不同的終端設(shè)備，那么應(yīng)將終端設(shè)備劃分為其他的信息系統(tǒng)，并在效勞器與內(nèi)部用戶終端之間建立邊界保護(hù)，對(duì)終端通過(guò)身份鑒別和訪問(wèn)控制等措施加以控制。處理涉密信息的終端必須劃分到相應(yīng)的信息系統(tǒng)中，且不能與非涉密系統(tǒng)共用終端。定級(jí)階段-關(guān)于系統(tǒng)邊界業(yè)務(wù)信息業(yè)務(wù)系統(tǒng)處理的不同類型的數(shù)據(jù)系統(tǒng)效勞業(yè)務(wù)系統(tǒng)的效勞范圍業(yè)務(wù)系統(tǒng)的效勞對(duì)象業(yè)務(wù)系統(tǒng)的效勞人數(shù)業(yè)務(wù)系統(tǒng)的效勞時(shí)間要求定級(jí)階段-關(guān)于業(yè)務(wù)信息和系統(tǒng)效勞確實(shí)定 三種受侵害的客體:國(guó)家平安表達(dá)了國(guó)家層面、與全局相關(guān)的國(guó)家政治平安、軍事平安、經(jīng)濟(jì)平安、社會(huì)平安、科技平安等方面利益。社會(huì)秩序和公共利益包括政治、經(jīng)濟(jì)、生產(chǎn)、生活、科研、工作等各方面的正常秩序和社會(huì)公眾生產(chǎn)、生活、教育、衛(wèi)生等方面的利益。合法權(quán)益是法律確認(rèn)的并受法律保護(hù)的公民、法人和其他組織所享有的一定的社會(huì)權(quán)利和利益，定級(jí)階段-關(guān)于侵害客體和侵害程度關(guān)于國(guó)家平安重要的國(guó)家事務(wù)處理系統(tǒng)、國(guó)防工業(yè)生產(chǎn)系統(tǒng)和國(guó)防設(shè)施的控制系統(tǒng)等；播送、電視、網(wǎng)絡(luò)等重要新聞媒體的發(fā)布或播出系統(tǒng)，其受到非法控制可能引發(fā)影響國(guó)家統(tǒng)一、民族團(tuán)結(jié)和社會(huì)安定的重大事件；尖端科技領(lǐng)域的研發(fā)、生產(chǎn)系統(tǒng)等影響國(guó)家經(jīng)濟(jì)競(jìng)爭(zhēng)力和科技實(shí)力的信息系統(tǒng)，以及電力、通信、能源、交通運(yùn)輸、金融等國(guó)家重要根底設(shè)施的生產(chǎn)、控制、管理系統(tǒng)等。定級(jí)階段-關(guān)于侵害客體和侵害程度關(guān)于社會(huì)秩序各級(jí)政府機(jī)構(gòu)的社會(huì)管理和公共效勞系統(tǒng)，如財(cái)政、金融、工商、稅務(wù)、公檢法、海關(guān)、社保等領(lǐng)域的信息系統(tǒng)，也包括教育、科研機(jī)構(gòu)的工作系統(tǒng)，以及所有為公眾提供醫(yī)療衛(wèi)生、應(yīng)急效勞、供水、供電、郵政等必要效勞的生產(chǎn)系統(tǒng)或管理系統(tǒng)。定級(jí)階段-關(guān)于侵害客體和侵害程度關(guān)于公共利益借助信息化手段為社會(huì)成員提供使用的公共設(shè)施和通過(guò)信息系統(tǒng)對(duì)公共設(shè)施進(jìn)行進(jìn)行管理控制都應(yīng)當(dāng)是要考慮的方面，例如：公共通信設(shè)施、公共衛(wèi)生設(shè)施、公共休閑娛樂(lè)設(shè)施、公共管理設(shè)施、公共效勞設(shè)施等。公共利益與社會(huì)秩序密切相關(guān)，社會(huì)秩序的破壞一般會(huì)造成對(duì)公共利益的損害。定級(jí)階段-關(guān)于侵害客體和侵害程度?定級(jí)指南?中指出“各行業(yè)可根據(jù)本行業(yè)業(yè)務(wù)特點(diǎn)，分析各類信息和各類信息系統(tǒng)與國(guó)家平安、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的關(guān)系，從而確定本行業(yè)各類信息和各類信息系統(tǒng)受到破壞時(shí)所侵害的客體。〞各行業(yè)的不同類型的系統(tǒng)，系統(tǒng)遭受破壞的程度造成的主要關(guān)注點(diǎn)不相同，例如銀行系統(tǒng)一般關(guān)注業(yè)務(wù)能力下降的影響，黨政系統(tǒng)主要關(guān)注管理職能的履行等。行業(yè)主管部門通過(guò)梳理本行業(yè)信息系統(tǒng)的現(xiàn)狀，通過(guò)對(duì)這些不同類型、不同程度后果的定量、半定量描述，給出對(duì)等級(jí)保護(hù)客體一般損害、嚴(yán)重?fù)p害和特別嚴(yán)重?fù)p害的指導(dǎo)性意見(jiàn)，以便本行業(yè)的信息系統(tǒng)運(yùn)營(yíng)使用單位可以參照?qǐng)?zhí)行，確定本單位信息系統(tǒng)的平安保護(hù)等級(jí)，只有這樣，一個(gè)行業(yè)內(nèi)確定的平安保護(hù)等級(jí)才具有較好的一致性。定級(jí)階段-關(guān)于侵害客體和侵害程度關(guān)于危害后果影響行使工作職能，工作職能包括國(guó)家管理職能、公共管理職能、公共效勞職能等國(guó)家或社會(huì)方面的職能。導(dǎo)致業(yè)務(wù)能力下降，下降的表現(xiàn)形式可能包括業(yè)務(wù)范圍的減少、業(yè)務(wù)處理性能的下降、可效勞的用戶數(shù)量的下降以及其他各種業(yè)務(wù)指標(biāo)的下降，每個(gè)行業(yè)務(wù)都有本行業(yè)關(guān)注的業(yè)務(wù)指標(biāo)。例如電力行業(yè)關(guān)注發(fā)電量和用電量，稅務(wù)行業(yè)關(guān)注稅費(fèi)收入，銀行業(yè)關(guān)注存款額、貸款額、交易量等，證券經(jīng)紀(jì)行業(yè)關(guān)注股民數(shù)和交易額。定級(jí)階段-關(guān)于行業(yè)定級(jí)指導(dǎo)意見(jiàn)關(guān)于危害后果引起法律糾紛是比較嚴(yán)重的影響，在較輕的程度時(shí)可能表現(xiàn)為投訴、索賠、媒體曝光等形式。導(dǎo)致財(cái)產(chǎn)損失，包括系統(tǒng)資產(chǎn)被破壞的直接損失、業(yè)務(wù)量下降帶來(lái)的損失、直接的資金損失、為客戶索賠所支付的資金等，以及由于信譽(yù)下降、單位形象降低、客戶關(guān)系損失等導(dǎo)致的間接經(jīng)濟(jì)損失。直接造成人員傷亡，例如醫(yī)療效勞系統(tǒng)，公安行業(yè)的某些系統(tǒng)等。造成社會(huì)不良影響，包括在社會(huì)風(fēng)氣、執(zhí)政信心等方面的影響。定級(jí)階段-關(guān)于行業(yè)定級(jí)指導(dǎo)意見(jiàn)直接的結(jié)果和間接的影響:威脅直接作用的結(jié)果信息系統(tǒng)的破壞,但是確定對(duì)客體侵害的程度時(shí)，必須考慮間接的對(duì)客體產(chǎn)生的侵害和影響。按照國(guó)家平安—社會(huì)秩序和公共利益---公民、法人和組織的合法利益的順序考慮定級(jí)階段-關(guān)于侵害客體和侵害程度定級(jí)階段—信息系統(tǒng)等級(jí)評(píng)審在信息系統(tǒng)平安保護(hù)等級(jí)確定過(guò)程中，可以聘請(qǐng)專家進(jìn)行咨詢?cè)u(píng)審，并出具定級(jí)評(píng)審意見(jiàn)。對(duì)擬確定為第四級(jí)以上信息系統(tǒng)的，運(yùn)營(yíng)、使用單位或者主管部門應(yīng)當(dāng)邀請(qǐng)國(guó)家信息平安保護(hù)等級(jí)專家評(píng)審委員會(huì)評(píng)審，出具評(píng)審意見(jiàn)。評(píng)審意見(jiàn)及時(shí)反響信息系統(tǒng)運(yùn)營(yíng)使用單位工作組。涉密信息系統(tǒng)按照國(guó)家保密局有關(guān)規(guī)定進(jìn)行等級(jí)評(píng)審。信息系統(tǒng)運(yùn)營(yíng)使用單位參考專家定級(jí)評(píng)審意見(jiàn)，最終確定信息系統(tǒng)等級(jí)，形成?定級(jí)報(bào)告?。如果專家評(píng)審意見(jiàn)與運(yùn)營(yíng)使用單位意見(jiàn)不一致時(shí)，由運(yùn)營(yíng)使用單位自主決定系統(tǒng)等級(jí)，信息系統(tǒng)運(yùn)營(yíng)使用單位有上級(jí)主管部門的，應(yīng)當(dāng)經(jīng)上級(jí)主管部門對(duì)平安保護(hù)等級(jí)進(jìn)行審核批準(zhǔn)。定級(jí)劃分實(shí)例例如某證券公司的信息系統(tǒng)，該信息系統(tǒng)所承載的業(yè)務(wù)有多個(gè)，該單位在全國(guó)遍布多處分支機(jī)構(gòu)。在總部的信息系統(tǒng)中，總體上形成了辦公和業(yè)務(wù)兩大網(wǎng)絡(luò)區(qū)域，且二者之間相互隔離。其中，業(yè)務(wù)網(wǎng)承載著集中交易、網(wǎng)上交易、數(shù)據(jù)中心等業(yè)務(wù)；辦公網(wǎng)絡(luò)主要承載著OA等效勞。核心交易業(yè)務(wù)進(jìn)行了數(shù)據(jù)大集中，數(shù)據(jù)處理中心在總部，處理中心和分支機(jī)構(gòu)所處理的交易業(yè)務(wù)相對(duì)于整個(gè)交易業(yè)務(wù)來(lái)講，都只是一個(gè)階段業(yè)務(wù)。對(duì)于這樣的跨地域大系統(tǒng)，進(jìn)行系統(tǒng)劃分時(shí)必須綜合考慮系統(tǒng)劃分方法中的多個(gè)方面。首先，從信息系統(tǒng)的管理機(jī)構(gòu)來(lái)考慮，雖然總部和分支機(jī)構(gòu)都處理交易業(yè)務(wù)，但各自管理機(jī)構(gòu)所承擔(dān)的平安責(zé)任不同，即，總部具體負(fù)責(zé)總部核心交易系統(tǒng)的運(yùn)行、維護(hù)等平安責(zé)任；而分支機(jī)構(gòu)直接負(fù)責(zé)其所在的系統(tǒng)的運(yùn)行、維護(hù)和平安責(zé)任。所以從管理機(jī)構(gòu)的不同來(lái)考慮，應(yīng)將兩個(gè)機(jī)構(gòu)的信息系統(tǒng)進(jìn)行劃分，形成總部信息系統(tǒng)和分支機(jī)構(gòu)信息系統(tǒng)。然后分析總部業(yè)務(wù)網(wǎng)，總部業(yè)務(wù)網(wǎng)絡(luò)承載著多項(xiàng)業(yè)務(wù)，其中集中交易業(yè)務(wù)和網(wǎng)上交易業(yè)務(wù)重要程度最高，因此這兩個(gè)系統(tǒng)應(yīng)首先單獨(dú)進(jìn)行劃分，分別形成集中交易系統(tǒng)和網(wǎng)上交易系統(tǒng)。其他業(yè)務(wù)重要程度相近的、并且各自是相對(duì)獨(dú)立的，也單獨(dú)形成信息系統(tǒng)。對(duì)于總部辦公網(wǎng)絡(luò)來(lái)講，主要為內(nèi)部員工提供公文管理、信息管理、日常辦公、輔助辦公及郵件收發(fā)等效勞功能，因此可單獨(dú)形成辦公信息系統(tǒng)。從以上分析可以得出，該單位總部的信息系統(tǒng)可以劃分為：集中交易系統(tǒng)、網(wǎng)上交易系統(tǒng)、其他系統(tǒng)以及辦公信息系統(tǒng)等。定級(jí)實(shí)例1某省政府網(wǎng)站系統(tǒng)ZFWZ，用于發(fā)布政務(wù)公開信息、地方行政法規(guī)和管理措施、領(lǐng)導(dǎo)講話、政府辦事流程、新聞發(fā)布、政府公告、舉報(bào)投訴、省內(nèi)經(jīng)濟(jì)形勢(shì)介紹、電子表單下載等信息，效勞對(duì)象主要是省內(nèi)企業(yè)和市民。ZFWZ系統(tǒng)是省政府對(duì)社會(huì)辦公的窗口，其中發(fā)布的信息內(nèi)容代表政府形象和表達(dá)政府的社會(huì)管理和社會(huì)效勞職能，因此該信息平安被破壞可能對(duì)社會(huì)秩序造成一定影響；由于省政府網(wǎng)站的訪問(wèn)量并不很大，信息被篡改可能造成的不良社會(huì)影響不會(huì)很大，因此對(duì)社會(huì)秩序的侵害程度為一般損害；查表知ZFWZ系統(tǒng)的業(yè)務(wù)信息平安保護(hù)等級(jí)為第二級(jí)，如下表所示。業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)定級(jí)實(shí)例2某省電力集團(tuán)公司的省級(jí)電力實(shí)時(shí)監(jiān)控系統(tǒng)，主要運(yùn)行調(diào)度自動(dòng)化控制系統(tǒng)和能量管理系統(tǒng)〔SCADA/EMS〕DDZDH，負(fù)責(zé)省級(jí)超高壓輸電變電站的調(diào)度控制和數(shù)據(jù)采集。系統(tǒng)實(shí)時(shí)性要求極高，到達(dá)秒級(jí)。電力系統(tǒng)是國(guó)家重要根底設(shè)施，省級(jí)DDZDH系統(tǒng)負(fù)責(zé)全省范圍內(nèi)的電力調(diào)度，調(diào)度控制指令或調(diào)度程序被修改，可能造成的停電事故會(huì)影響幾乎所有行業(yè)的正常生產(chǎn)和工作，其所侵害的客體為社會(huì)秩序和公共利益；調(diào)度控制指令或調(diào)度程序被修改可能造成全省范圍大面積停電、人員傷亡和巨額財(cái)產(chǎn)損失，同時(shí)對(duì)其它行業(yè)的生產(chǎn)和工作造成非常嚴(yán)重的影響，因此對(duì)社會(huì)秩序和公共利益的侵害程度為特別嚴(yán)重?fù)p害；查表知DDZDH系統(tǒng)的業(yè)務(wù)信息平安保護(hù)等級(jí)為第四級(jí)，如下表所示。業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)政府部門對(duì)外效勞的系統(tǒng)一般為二級(jí),對(duì)內(nèi)效勞一般為三級(jí)。銀行數(shù)據(jù)中心的系統(tǒng)一般為三級(jí),下級(jí)系統(tǒng)和內(nèi)部辦公系統(tǒng)一般為二級(jí)。電力系統(tǒng)的電力調(diào)度系統(tǒng)為四級(jí),其他的系統(tǒng)二、三級(jí)。證券生產(chǎn)系統(tǒng)一般為三級(jí)，內(nèi)部辦公系統(tǒng)為二級(jí)。電信、廣電行業(yè)的公用通信網(wǎng)的根底信息網(wǎng)絡(luò)一般定位三級(jí)。單位根本信息了解單位根本信息有助于判斷單位的職能特點(diǎn)，單位所在行業(yè)及單位在行業(yè)所處的地位和所用，由此判斷單位主要信息系統(tǒng)的宏觀定位。業(yè)務(wù)種類、流程和效勞應(yīng)重點(diǎn)了解定級(jí)對(duì)象信息系統(tǒng)中不同業(yè)務(wù)系統(tǒng)提供的效勞在影響履行單位職能方面具體方式和程度，影響的區(qū)域范圍、用戶人數(shù)、業(yè)務(wù)量的具體數(shù)據(jù)等。定級(jí)階段-關(guān)于定級(jí)報(bào)告的關(guān)注點(diǎn)主要的軟硬件設(shè)備了解與定級(jí)對(duì)象信息系統(tǒng)相關(guān)的效勞器、網(wǎng)絡(luò)、終端、存儲(chǔ)設(shè)備以及平安設(shè)備等，設(shè)備所在網(wǎng)段，在系統(tǒng)中的功能和作用。調(diào)查設(shè)備的位置和作用主要就是發(fā)現(xiàn)不同信息系統(tǒng)在設(shè)備使用方面的共用程度。定級(jí)結(jié)果理由的說(shuō)明了解不同業(yè)務(wù)數(shù)據(jù)和系統(tǒng)效勞在被破壞后對(duì)國(guó)家、社會(huì)、本單位造成的影響的說(shuō)明。定級(jí)階段-關(guān)于定級(jí)報(bào)告的關(guān)注點(diǎn)五、備案和備案審核?管理方法?第十五條規(guī)定，已運(yùn)營(yíng)〔運(yùn)行〕的第二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在平安保護(hù)等級(jí)確定后30日內(nèi)，由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。(9月1日開始接受備案，9月26日備案結(jié)束，9月30日前地市公安機(jī)關(guān)向省公安廳報(bào)送備案數(shù)據(jù)〔電子〕。新建第二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi)，由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)?！惨弧硞浒阜秶c時(shí)間安排二級(jí)以上的信息系統(tǒng)需要備案省公安廳信息系統(tǒng)等級(jí)保護(hù)辦公室聯(lián)系：87411982聯(lián)系人：許微張慧源〔二〕備案材料表一單位根本情況表二〔/〕信息系統(tǒng)情況表三〔/〕信息系統(tǒng)定級(jí)情況表四〔/〕第三級(jí)以上信息系統(tǒng)提交材料情況根據(jù)?定級(jí)工作通知?要求，信息系統(tǒng)平安保護(hù)等級(jí)確定后，第二級(jí)以上的信息系統(tǒng)運(yùn)營(yíng)使用單位或主管部門到公安部網(wǎng)站〔〕、省公安廳〔79:211〕下載?信息系統(tǒng)平安等級(jí)保護(hù)備案表?〔見(jiàn)附件〕和輔助備案工具，持填寫的備案表和利用輔助備案工具生成的備案電子數(shù)據(jù)，到公安機(jī)關(guān)辦理備案手續(xù)，提交有關(guān)備案材料及電子數(shù)據(jù)文件。其中，第二級(jí)信息系統(tǒng)的備案單位只需填寫備案表中的表一、表二和表三〔注：第二級(jí)信息系統(tǒng)備案單位可以先提交電子備案表。公安機(jī)關(guān)審核后再提交紙制材料，并領(lǐng)取備案證明〕。第三級(jí)以上信息系統(tǒng)的備案單位還應(yīng)當(dāng)在建設(shè)、整改、測(cè)評(píng)等工作完成后，再行提交備案表表四所列各項(xiàng)內(nèi)容的書面材料。〔二〕備案材料跨省的系統(tǒng)，全國(guó)聯(lián)網(wǎng)本省分支系統(tǒng)到公安廳網(wǎng)安總隊(duì)備案。跨地市的系統(tǒng)，到公安廳網(wǎng)安總隊(duì)備案，各地市分支系統(tǒng)應(yīng)向?qū)?yīng)地市的公安局網(wǎng)安處、科備案。廳直級(jí)的信息系統(tǒng)到公安廳網(wǎng)安總隊(duì)備案。地市級(jí)以下〔包括地市級(jí)〕的系統(tǒng)，到設(shè)區(qū)市的公安局網(wǎng)安處、科備案?！踩场皩俚亘晜浒冈敲慈珖?guó)人口信息系統(tǒng)福建人口信息系統(tǒng)福州市人口信息系統(tǒng)公安廳網(wǎng)安總隊(duì)備案福州市公安局網(wǎng)安處備案公安部十一局備案泉州市中小企業(yè)管理系統(tǒng)泉州市公安局網(wǎng)安處備案廈門海關(guān)信息系統(tǒng)廈門市公安局網(wǎng)安處備案發(fā)改委內(nèi)部OA辦公系統(tǒng)公安廳網(wǎng)安總隊(duì)備案?管理方法?第十七條規(guī)定，信息系統(tǒng)備案后，公安機(jī)關(guān)應(yīng)當(dāng)對(duì)信息系統(tǒng)的備案情況進(jìn)行審核，對(duì)符合等級(jí)保護(hù)要求的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)頒發(fā)信息系統(tǒng)平安等級(jí)保護(hù)備案證明；發(fā)現(xiàn)不符合本方法及有關(guān)標(biāo)準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位予以糾正；發(fā)現(xiàn)定級(jí)不準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位重新審核確定。運(yùn)營(yíng)、使用單位或者主管部門重新確定信息系統(tǒng)等級(jí)后，應(yīng)當(dāng)按照本方法向公安機(jī)關(guān)重新備案?！菜摹硞浒笇徍烁鞯貐^(qū)、各部門要結(jié)合本地區(qū)、本行業(yè)開展定級(jí)工作的實(shí)際，認(rèn)真總結(jié)經(jīng)驗(yàn)和缺乏，提出改進(jìn)和完善定級(jí)方法的意見(jiàn)和建議，及時(shí)總結(jié)定級(jí)工作經(jīng)驗(yàn)，形成定級(jí)工作總結(jié)報(bào)告，并于10月1日前報(bào)送公安廳。〔五〕及時(shí)總結(jié)并提交報(bào)告〔公安〕六、信息系統(tǒng)平安建設(shè)整改、等級(jí)測(cè)評(píng)一、主要依據(jù)?信息系統(tǒng)平安等級(jí)保護(hù)根本要求??根本要求?是針對(duì)每個(gè)等級(jí)的信息系統(tǒng)提出相應(yīng)平安保護(hù)要求，“根本〞意味著這些要求是針對(duì)該等級(jí)的信息系統(tǒng)到達(dá)根本保護(hù)能力而提出的，也就是說(shuō)，這些要求的實(shí)現(xiàn)能夠保證系統(tǒng)到達(dá)相應(yīng)等級(jí)的根本保護(hù)能力，但反過(guò)來(lái)說(shuō)，系統(tǒng)到達(dá)相應(yīng)等級(jí)的保護(hù)能力并不僅僅完全依靠這些平安保護(hù)要求。同時(shí)，?根本要求?強(qiáng)調(diào)的是“要求〞，而不是具體實(shí)施方案或作業(yè)指導(dǎo)書，?根本要求?給出了系統(tǒng)每一保護(hù)方面需到達(dá)的要求，至于這種要求采取何種方式實(shí)現(xiàn)，不在?根本要求?的描述范圍內(nèi)。?根本要求?在整體框架結(jié)構(gòu)上以三種分類為支撐點(diǎn)，自上而下分別為：類、控制點(diǎn)和項(xiàng)。其中，類表示?根本要求?在整體上大的分類，其中技術(shù)局部分為：物理平安、網(wǎng)絡(luò)平安、主機(jī)平安、應(yīng)用平安和數(shù)據(jù)平安及備份恢復(fù)等5大類，管理局部分為：平安管理制度、平安管理機(jī)構(gòu)、人員平安管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等5大類，一共分為10大類?？刂泣c(diǎn)表示每個(gè)大類下的關(guān)鍵控制點(diǎn)，如物理平安大類中的“物理訪問(wèn)控制〞作為一個(gè)控制點(diǎn)。而項(xiàng)那么是控制點(diǎn)下的具體要求項(xiàng)，如“機(jī)房出入應(yīng)安排專人負(fù)責(zé)，控制、鑒別和記錄進(jìn)入的人員。〞第三級(jí)基本要求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全第一級(jí)基本要求第二級(jí)基本要求第四級(jí)基本要求第五級(jí)基本要求數(shù)據(jù)安全及備份恢復(fù)技術(shù)要求管理要求安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理主機(jī)平安－－>入侵防范：(G2)a.操作系統(tǒng)應(yīng)遵循最小安裝的原那么，僅安裝需要的組件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)效勞器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。主機(jī)平安－－>入侵防范：(G3〕a.應(yīng)能夠檢測(cè)到對(duì)重要效勞器進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警；b.應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測(cè)，并在檢測(cè)到完整性受到破壞后具有恢復(fù)的措施；c.操作系統(tǒng)應(yīng)遵循最小安裝的原那么，僅安裝需要的組件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)效勞器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。網(wǎng)絡(luò)平安－－>入侵防范：(G3〕a.應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕效勞攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；b.當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。網(wǎng)絡(luò)平安－－>入侵防范：(G4〕a.應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕效勞攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；b.當(dāng)檢測(cè)到攻擊行為時(shí)，應(yīng)記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警及自動(dòng)采取相應(yīng)動(dòng)作。不同級(jí)別系統(tǒng)控制點(diǎn)的差異安全要求類層面一級(jí)二級(jí)三級(jí)四級(jí)技術(shù)要求物理安全7101010網(wǎng)絡(luò)安全3677主機(jī)安全4679應(yīng)用安全47911數(shù)據(jù)安全及備份恢復(fù)2333管理要求安全管理制度2333安全管理機(jī)構(gòu)4555人員安全管理4555系統(tǒng)建設(shè)管理991111系統(tǒng)運(yùn)維管理9121313合計(jì)/48667377級(jí)差//1874不同級(jí)別系統(tǒng)要求項(xiàng)的差異安全要求類層面一級(jí)二級(jí)三級(jí)四級(jí)技術(shù)要求物理安全9193233網(wǎng)絡(luò)安全9183332主機(jī)安全6193236應(yīng)用安全7193136數(shù)據(jù)安全及備份恢復(fù)24811管理要求安全管理制度371114安全管理機(jī)構(gòu)492020人員安全管理7111618系統(tǒng)建設(shè)管理20284548系統(tǒng)運(yùn)維管理18416270合計(jì)/85175290318級(jí)差//9011528?根本要求?的定位是系統(tǒng)平安保護(hù)、等級(jí)測(cè)評(píng)的一個(gè)根本“標(biāo)尺〞，同樣級(jí)別的系統(tǒng)使用統(tǒng)一的“標(biāo)尺〞來(lái)衡量，保證權(quán)威性，是一個(gè)達(dá)標(biāo)線；每個(gè)級(jí)別的信息系統(tǒng)按照根本要求進(jìn)行保護(hù)后，信息系統(tǒng)具有相應(yīng)等級(jí)的根本平安保護(hù)能力，到達(dá)一種根本的平安狀態(tài);是每個(gè)級(jí)別信息系統(tǒng)進(jìn)行平安保護(hù)工作的一個(gè)根本出發(fā)點(diǎn)，更加貼切的保護(hù)可以通過(guò)需求分析對(duì)根本要求進(jìn)行補(bǔ)充，參考其他有關(guān)等級(jí)保護(hù)或平安方面的標(biāo)準(zhǔn)來(lái)實(shí)現(xiàn);〔二〕、信息系統(tǒng)平安建設(shè)整改?管理方法?第十一條規(guī)定，信息系統(tǒng)的平安保護(hù)等級(jí)確定后，運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照國(guó)家信息平安等級(jí)保護(hù)管理標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)，使用符合國(guó)家有關(guān)規(guī)定，滿足信息系統(tǒng)平安保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品，開展信息系統(tǒng)平安建設(shè)或者改建工作。系統(tǒng)建設(shè)和改建階段相關(guān)技術(shù)環(huán)節(jié)平安需求分析方法系統(tǒng)的平安等級(jí)保護(hù)設(shè)計(jì)、實(shí)施方案設(shè)計(jì)系統(tǒng)改建實(shí)施方案設(shè)計(jì)系統(tǒng)建設(shè)和改建階段平安需求分析的目的是使信息系統(tǒng)按照等級(jí)保護(hù)相應(yīng)等級(jí)的要求進(jìn)行設(shè)計(jì)、規(guī)劃和實(shí)施，將來(lái)源于國(guó)家政策性要求、機(jī)構(gòu)使命性要求、系統(tǒng)可能面臨的環(huán)境和影響以及機(jī)構(gòu)自身的需求相結(jié)合作為信息系統(tǒng)的平安需求，使具有相同平安保護(hù)等級(jí)的信息系統(tǒng)能夠到達(dá)相應(yīng)等級(jí)的根本的保護(hù)水平和保護(hù)能力。系統(tǒng)建設(shè)階段-需求分析方法一、選擇、調(diào)整根本平安要求?定級(jí)指南?在確定信息系統(tǒng)的平安保護(hù)等級(jí)的同時(shí)確定了信息系統(tǒng)在業(yè)務(wù)信息平安和系統(tǒng)效勞平安兩個(gè)方面的平安保護(hù)等級(jí)。系統(tǒng)的平安保護(hù)等級(jí)與這兩者的關(guān)系是： 系統(tǒng)的平安保護(hù)等級(jí)=L(信息等級(jí)，效勞等級(jí)) =Max(信息等級(jí)，效勞等級(jí)〕 例如：L(3,1)=L(3,2)=L(3,3)=L(1,3)=L(2,3)=3 系統(tǒng)建設(shè)階段-需求分析方法一、選擇、調(diào)整根本平安要求形成了5個(gè)等級(jí)，25個(gè)平安需求類。說(shuō)明同樣等級(jí)的信息系統(tǒng)，其平安需求有所不同，因此對(duì)其實(shí)施的保護(hù)也應(yīng)該有不同的要求。為了區(qū)別不同平安技術(shù)要求和管理要求在保護(hù)信息系統(tǒng)的業(yè)務(wù)信息平安和系統(tǒng)效勞平安所起的作用，將所有技術(shù)要求和管理要求進(jìn)行了標(biāo)識(shí)，標(biāo)識(shí)分為三種S、A和G。 系統(tǒng)建設(shè)階段-需求分析方法一、選擇、調(diào)整根本平安要求三類根本要求S類—業(yè)務(wù)信息平安保護(hù)類—關(guān)注的是保護(hù)數(shù)據(jù)在存儲(chǔ)、傳輸、處理過(guò)程中不被泄漏、破壞和免受未授權(quán)的修改。A類—系統(tǒng)效勞平安保護(hù)類—關(guān)注的是保護(hù)系統(tǒng)連續(xù)正常的運(yùn)行，防止因?qū)ο到y(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用。G類—通用平安保護(hù)類—既關(guān)注保護(hù)業(yè)務(wù)信息的平安性，同時(shí)也關(guān)注保護(hù)系統(tǒng)的連續(xù)可用性。 例如，以S2表示2級(jí)的業(yè)務(wù)信息平安保護(hù)類要求，A3表示3級(jí)的系統(tǒng)效勞平安保護(hù)類要求。系統(tǒng)建設(shè)階段-需求分析方法一、選擇、調(diào)整根本平安要求需求分析步驟：第一步 根據(jù)其等級(jí)從?根本要求?中選擇相應(yīng)等級(jí)的根本平安要求。第二步 根據(jù)定級(jí)過(guò)程中確定業(yè)務(wù)信息平安保護(hù)等級(jí)和系統(tǒng)效勞平安保護(hù)等級(jí)，確定該信息系統(tǒng)的平安需求類。第三步 根據(jù)系統(tǒng)所面臨的威脅特點(diǎn)調(diào)整平安要求。系統(tǒng)建設(shè)階段-需求分析方法二、明確系統(tǒng)特殊平安需求特殊需求來(lái)自兩個(gè)方面：等級(jí)保護(hù)相應(yīng)等級(jí)的根本要求中某些方面的平安措施所到達(dá)的平安保護(hù)不能滿足本單位信息系統(tǒng)的保護(hù)需求，需要更強(qiáng)的保護(hù)。由于信息系統(tǒng)的業(yè)務(wù)需求、應(yīng)用模式具有特殊性，系統(tǒng)面臨的威脅具有特殊性，根本要求沒(méi)有提供所需要的保護(hù)措施，例如有關(guān)無(wú)線網(wǎng)絡(luò)的接入和防護(hù)?根本要求?中沒(méi)有提出專門的要求，需要作為特殊需求。系統(tǒng)建設(shè)階段-需求分析方法二、明確系統(tǒng)特殊平安需求兩種解決方式：第一種 選擇?根本要求?中更高級(jí)別的平安要求到達(dá)本級(jí)別根本要求不能實(shí)現(xiàn)的平安保護(hù)能力第二種 參照?管理方法?第十二條和第十三條列出的等級(jí)保護(hù)的其它標(biāo)準(zhǔn)進(jìn)行保護(hù)。 等級(jí)保護(hù)根本平安要求和特殊平安需求共同構(gòu)成系統(tǒng)的總的平安需求。系統(tǒng)建設(shè)階段-需求分析方法根據(jù)等級(jí)保護(hù)要求進(jìn)行信息系統(tǒng)平安的設(shè)計(jì)是系統(tǒng)建設(shè)前必須完成的工作。設(shè)計(jì)分為總體平安設(shè)計(jì)和詳細(xì)平安設(shè)計(jì)。總體設(shè)計(jì)指導(dǎo)全局，一般針對(duì)整個(gè)單位，詳細(xì)設(shè)計(jì)指導(dǎo)具體工程的建設(shè)實(shí)施。系統(tǒng)建設(shè)階段-保護(hù)方案設(shè)計(jì)引入等級(jí)保護(hù)概念，系統(tǒng)平安防護(hù)設(shè)計(jì)思路有所不同：在設(shè)計(jì)思路上應(yīng)突出對(duì)等級(jí)較高的信息系統(tǒng)的重點(diǎn)保護(hù)。滿足等級(jí)保護(hù)要求不意味著各信息系統(tǒng)獨(dú)立實(shí)施保護(hù)，而應(yīng)本著優(yōu)化資源配置的原那么，合理布局，構(gòu)建縱深防御體系。要解決等級(jí)系統(tǒng)之間的互連問(wèn)題，因此必須在總體平安設(shè)計(jì)中規(guī)定相應(yīng)的平安策略。如何在同一個(gè)組織機(jī)構(gòu)的管理控制下，根據(jù)不同等級(jí)的系統(tǒng)需要滿足不同的平安管理要求。系統(tǒng)建設(shè)階段-保護(hù)方案設(shè)計(jì)一、總體平安設(shè)計(jì)方法總體平安設(shè)計(jì)方法主要針對(duì)略有規(guī)模的信息系統(tǒng)，比方信息系統(tǒng)本身是由多個(gè)不同級(jí)別的系統(tǒng)構(gòu)成、信息系統(tǒng)分布在多個(gè)物理地區(qū)、信息系統(tǒng)之間橫向和縱向連接關(guān)系復(fù)雜等?？傮w平安設(shè)計(jì)的根本方法是將復(fù)雜信息系統(tǒng)進(jìn)行簡(jiǎn)化，提取共性形成模型，針對(duì)模型要素結(jié)合相應(yīng)等級(jí)的保護(hù)能力和平安需求提出平安策略和平安措施要求，指導(dǎo)信息系統(tǒng)中各個(gè)組織、各個(gè)平安層面和各個(gè)對(duì)象平安策略和平安措施的具體實(shí)現(xiàn)。系統(tǒng)建設(shè)階段-保護(hù)方案設(shè)計(jì)總體平安設(shè)計(jì)可參照以下步驟完成：1、局域網(wǎng)內(nèi)部抽象處理，劃分為多個(gè)具有等級(jí)平安域〔邊界訪問(wèn)控制策略相同〕。2、局域網(wǎng)內(nèi)部平安域之間互聯(lián)的抽象處理3、局域網(wǎng)之間平安域互聯(lián)的抽象處理4、局域網(wǎng)平安域與外部單位互聯(lián)的抽象處理5、平安域內(nèi)部抽象處理6、信息系統(tǒng)抽象模型描述系統(tǒng)建設(shè)階段-保護(hù)方案設(shè)計(jì)系統(tǒng)建設(shè)階段-保護(hù)方案設(shè)計(jì)四級(jí)平安域三級(jí)平安域二級(jí)平安域一級(jí)平安域局域網(wǎng)內(nèi)部平安域之間互聯(lián)的抽象處理系統(tǒng)建設(shè)階段-保護(hù)方案設(shè)計(jì)四級(jí)平安域三級(jí)平安域二級(jí)平安域一級(jí)平安域三級(jí)平安域二級(jí)平安域一級(jí)平安域四級(jí)平安域雙向訪問(wèn)單向推送局域網(wǎng)之間平安域互聯(lián)的抽象處理系統(tǒng)建設(shè)階段-保護(hù)方案設(shè)計(jì)四級(jí)平安域三級(jí)平安域二級(jí)平安域一級(jí)平安域外部機(jī)構(gòu)/單位國(guó)際互聯(lián)網(wǎng)雙向推送局域網(wǎng)平安域與外部單位互聯(lián)的抽象處理雙向訪問(wèn) 7、制定總體平安策略 規(guī)那么1 通過(guò)骨干網(wǎng)/城域網(wǎng)只能建立同級(jí)平安域的連接，實(shí)現(xiàn)上、下級(jí)單位的同級(jí)平安域的互接； 規(guī)那么2 4級(jí)平安域通過(guò)專網(wǎng)的VPN通道進(jìn)行數(shù)據(jù)交換；3級(jí)平安域可以通過(guò)公網(wǎng)的VPN通道進(jìn)行數(shù)據(jù)交換； 規(guī)那么3 4級(jí)平安域不能與2級(jí)平安域、1級(jí)平安域直接連接；3級(jí)平安域不能與1級(jí)平安域直接連接； 規(guī)那么4 只有1級(jí)平安域可以直接訪問(wèn)Internet。 等等。。。系統(tǒng)建設(shè)階段-保護(hù)方案設(shè)計(jì) 8、關(guān)于等級(jí)邊界進(jìn)行平安控制的規(guī)定 規(guī)定1 4級(jí)平安域與3級(jí)平安域之間必須采用接近物理隔離的專用設(shè)備進(jìn)行隔離； 規(guī)定2 各級(jí)別平安域網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的邊界處必須使用防火墻進(jìn)行有效的邊界保護(hù)； 規(guī)定3 通過(guò)3級(jí)平安域與外部單位進(jìn)行數(shù)據(jù)交換時(shí)，必須把要交換的數(shù)據(jù)推送到前置機(jī)，外部單位從外部接入網(wǎng)絡(luò)的前置機(jī)或中間件將數(shù)據(jù)取走，反之亦然；系統(tǒng)建設(shè)階段-保護(hù)方案設(shè)計(jì)三、實(shí)施方案設(shè)計(jì)總體設(shè)計(jì)方案的設(shè)計(jì)原那么和平安策略需要具體落實(shí)到假設(shè)干個(gè)具體的建設(shè)工程中，一個(gè)設(shè)計(jì)方案的實(shí)施可能可以分為假設(shè)干個(gè)實(shí)施方案，分期、分批建設(shè)，實(shí)現(xiàn)統(tǒng)一設(shè)計(jì)、分步實(shí)施。實(shí)施方案不同于設(shè)計(jì)方案，實(shí)施方案需要根據(jù)階段性的建設(shè)目標(biāo)和建設(shè)內(nèi)容將信息系統(tǒng)平安總體設(shè)計(jì)方案中要求實(shí)現(xiàn)的平安策略、平安技術(shù)體系結(jié)構(gòu)、平安措施和要求落實(shí)到產(chǎn)品功能或物理形態(tài)上，提出能夠?qū)崿F(xiàn)的產(chǎn)品或組件及其具體標(biāo)準(zhǔn)，并將產(chǎn)品功能特征整理成文檔。使得在信息平安產(chǎn)品采購(gòu)和平安控制開發(fā)階段具有依據(jù)。系統(tǒng)建設(shè)階段-保護(hù)方案設(shè)計(jì)實(shí)施方案的設(shè)計(jì)過(guò)程包括：結(jié)構(gòu)框架設(shè)計(jì)功能要求設(shè)計(jì)性能要求設(shè)計(jì)部署方案設(shè)計(jì)制定平安策略實(shí)現(xiàn)方案管理措施實(shí)現(xiàn)內(nèi)容設(shè)計(jì)形成系統(tǒng)建設(shè)的平安實(shí)施方案系統(tǒng)建設(shè)階段-保護(hù)方案設(shè)計(jì)系統(tǒng)建設(shè)的平安實(shí)施方案包含以下內(nèi)容：本期建設(shè)目標(biāo)和建設(shè)內(nèi)容；技術(shù)實(shí)現(xiàn)框架；信息平安產(chǎn)品或組件功能及性能；信息平安產(chǎn)品或組件部署；平安策略和配置；配套的平安管理建設(shè)內(nèi)容；工程實(shí)施方案；工程投資概算。系統(tǒng)建設(shè)階段-保護(hù)方案設(shè)計(jì)本節(jié)的目的是針對(duì)已建成并投入運(yùn)行的系統(tǒng)如何找出現(xiàn)有平安防護(hù)與相應(yīng)等級(jí)根本要求的差距，如何根據(jù)差距分析結(jié)果設(shè)計(jì)系統(tǒng)的改建方案，使其能夠指導(dǎo)該系統(tǒng)后期具體的改建工作，逐步到達(dá)相應(yīng)等級(jí)系統(tǒng)的保護(hù)能力。系統(tǒng)改建方案設(shè)計(jì)的主要依據(jù)是平安需求分析的結(jié)果，和對(duì)信息系統(tǒng)目前保護(hù)措施與?根本要求?的差距的分析和評(píng)估。系統(tǒng)改建方案的主要內(nèi)容那么是解決如何針對(duì)這些存在的差距，分析其存在的原因以及如何進(jìn)行整改。系統(tǒng)改建設(shè)實(shí)施方案與新建系統(tǒng)的平安保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案都是備案所需要提交的技術(shù)文件。(三級(jí)以上〕系統(tǒng)建設(shè)階段-改建實(shí)施方案設(shè)計(jì)

一、確定系統(tǒng)改建的平安需求 1、