信息安全等級(jí)保護(hù)培訓(xùn)課件

信息安全等級(jí)保護(hù)培訓(xùn)安全服務(wù)部陳堅(jiān)城

等級(jí)保護(hù)基本要求

等級(jí)保護(hù)基本概念介紹

等級(jí)保護(hù)定級(jí)123

等級(jí)保護(hù)測(cè)評(píng)實(shí)施4等級(jí)保護(hù)基本概念介紹《信息安全等級(jí)保護(hù)管理辦法》指出

信息安全等級(jí)保護(hù)是以信息為核心。根據(jù)信息和信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度；遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度；針對(duì)信息的保密性、完整性和可用性要求及信息系統(tǒng)必須要達(dá)到的基本的安全保護(hù)水平等因素，對(duì)最核心的信息和信息系統(tǒng)劃分為五個(gè)安全保護(hù)和監(jiān)管等級(jí)，實(shí)行分等級(jí)保護(hù)。什么是等級(jí)保護(hù)？為什么實(shí)行等級(jí)保護(hù)？

“一個(gè)提高，六個(gè)有利于”實(shí)施信息安全等級(jí)保護(hù)，可以有效地提高我國(guó)信息安全建設(shè)的整體水平。有利于在信息化建設(shè)過(guò)程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相協(xié)調(diào)；有利于加強(qiáng)對(duì)涉及國(guó)家安全、經(jīng)濟(jì)秩序、社會(huì)穩(wěn)定和公共利益的信息系統(tǒng)的安全保護(hù)和管理監(jiān)督；有利于明確國(guó)家、法人和其他組織、公民的安全責(zé)任，強(qiáng)化政府監(jiān)管職能，共同落實(shí)各項(xiàng)安全建設(shè)和安全管理措施；有利于提高安全保護(hù)的科學(xué)性、整體性、針對(duì)性，推動(dòng)信息安全產(chǎn)業(yè)水平，逐步探索一條適應(yīng)社會(huì)主義市場(chǎng)經(jīng)濟(jì)發(fā)展的信息安全發(fā)展模式。有利于明確國(guó)家、法人和其他組織、公民的安全責(zé)任，強(qiáng)化政府監(jiān)管職能，共同落實(shí)各項(xiàng)安全建設(shè)和安全管理措施；有利于提高安全保護(hù)的科學(xué)性、整體性、針對(duì)性，推動(dòng)信息安全產(chǎn)業(yè)水平，逐步探索一條適應(yīng)社會(huì)主義市場(chǎng)經(jīng)濟(jì)發(fā)展的信息安全發(fā)展模式。近期重大信息泄密事件2010年7月26日，Wikileaks（維基泄密）的網(wǎng)站在《紐約時(shí)報(bào)》《衛(wèi)報(bào)》和《鏡報(bào)》配合下，在網(wǎng)上公開(kāi)了多達(dá)9.2萬(wàn)份的駐阿美軍高度秘密文件，引起軒然大波。近期，一些同阿桑奇發(fā)生糾葛的組織和個(gè)人遭到在線攻擊，似乎是黑客為該網(wǎng)站進(jìn)行報(bào)復(fù)而采取的行動(dòng)。這一泄密行為很可能危及到目前在阿美軍士兵的安全。電腦戰(zhàn)爭(zhēng)爆發(fā)轟癱伊朗核電站伊朗2010年9月26日向外界證實(shí)，“震網(wǎng)”（Stuxnet）電腦病毒入侵伊朗布什爾核電站。導(dǎo)致伊朗核計(jì)劃延遲1年以上。為什么實(shí)行等級(jí)保護(hù)？銀行網(wǎng)站被“釣魚(yú)”者仿冒真正的中國(guó)工商銀行網(wǎng)站

假冒的中國(guó)工商銀行網(wǎng)站

為什么實(shí)行等級(jí)保護(hù)？揚(yáng)州市城鄉(xiāng)建設(shè)局網(wǎng)站信息安全保護(hù)的必要性和緊迫性據(jù)近期全球信息安全調(diào)查報(bào)告顯示，中國(guó)內(nèi)地企業(yè)在信息安全管理方面存在滯后，信息安全與隱私保障方面已被印度趕超。數(shù)據(jù)顯示，內(nèi)地企業(yè)44％的信息安全事件與數(shù)據(jù)失竊有關(guān)，而全球的平均水平只有16％。42%的中國(guó)內(nèi)地受訪企業(yè)都經(jīng)歷了應(yīng)用軟件、系統(tǒng)和網(wǎng)絡(luò)的安全事件。由此可以看出，泄密給中國(guó)企業(yè)造成了巨大的損失，中國(guó)的企業(yè)迫切的需要一種全新的數(shù)據(jù)安全產(chǎn)品改善這種不完善的信息安全機(jī)制，只有企業(yè)的核心數(shù)據(jù)得到有效的保護(hù)，企業(yè)的核心競(jìng)爭(zhēng)力才能得到更大的提升。信息安全等級(jí)保護(hù)的標(biāo)準(zhǔn)體系基礎(chǔ)類(lèi)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》GB17859-1999《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》GB/T25058-2010應(yīng)用類(lèi)定級(jí)：《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》GB/T22240-2008建設(shè)：《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》GB/T22239-2008

《信息系統(tǒng)通用安全技術(shù)要求》GB/T20271-2006

《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》GB/T25070-2010測(cè)評(píng)：《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》管理：《信息系統(tǒng)安全管理要求》GB/T20269-2006

《信息系統(tǒng)安全工程管理要求》GB/T20282-2006信息安全等級(jí)保護(hù)的標(biāo)準(zhǔn)體系技術(shù)類(lèi)GB/T21052-2007信息安全技術(shù)

信息系統(tǒng)物理安全技術(shù)要求GB/T20270-2006信息安全技術(shù)

網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T20271-2006信息安全技術(shù)

信息系統(tǒng)通用安全技術(shù)要求GB/T20272-2006信息安全技術(shù)

操作系統(tǒng)安全技術(shù)要求GB/T20273-2006信息安全技術(shù)

數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求其他信息產(chǎn)品、信息安全產(chǎn)品等其它類(lèi)GB/T20984-2007信息安全技術(shù)

信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB/T20285-2007信息安全技術(shù)

信息安全事件管理指南GB/Z20986-2007信息安全技術(shù)

信息安全事件分類(lèi)分級(jí)指南GB/T20988-2007信息安全技術(shù)

信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范等級(jí)保護(hù)標(biāo)準(zhǔn)與工作環(huán)節(jié)的關(guān)系信息安全等級(jí)保護(hù)安全建設(shè)整改工作安全等級(jí)現(xiàn)狀分析方法指導(dǎo)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求安全要求信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求信息系統(tǒng)安全等級(jí)保護(hù)行業(yè)定級(jí)細(xì)則信息系統(tǒng)安全等級(jí)保護(hù)基本要求計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則(GB17859)技術(shù)類(lèi)管理類(lèi)信息系統(tǒng)安全等級(jí)保護(hù)基本要求的行業(yè)細(xì)則產(chǎn)品類(lèi)操作系統(tǒng)安全技術(shù)要求數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求網(wǎng)絡(luò)和終端設(shè)備隔離部件技術(shù)要求其他產(chǎn)品類(lèi)標(biāo)準(zhǔn)信息系統(tǒng)通用安全技術(shù)要求信息系統(tǒng)物理安全技術(shù)要求網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求其他技術(shù)類(lèi)標(biāo)準(zhǔn)信息系統(tǒng)安全管理要求信息系統(tǒng)安全工程管理要求其他管理類(lèi)標(biāo)準(zhǔn)信息安全等級(jí)保護(hù)工作要求遵循以下基本原則：自主保護(hù)原則信息系統(tǒng)運(yùn)營(yíng)、使用單位及其主管部門(mén)按照國(guó)家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定信息系統(tǒng)的安全保護(hù)等級(jí)，自行組織實(shí)施安全保護(hù)。重點(diǎn)保護(hù)原則根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，通過(guò)劃分不同安全保護(hù)等級(jí)的信息系統(tǒng)，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。同步建設(shè)原則信息系統(tǒng)在新建、改建、擴(kuò)建時(shí)應(yīng)當(dāng)同步規(guī)劃和設(shè)計(jì)安全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。動(dòng)態(tài)調(diào)整原則要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護(hù)措施。由于信息系統(tǒng)的應(yīng)用類(lèi)型、范圍等條件的變化及其他原因，安全保護(hù)等級(jí)需要變更的，應(yīng)當(dāng)根據(jù)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重新確定信息系統(tǒng)的安全保護(hù)等級(jí)，根據(jù)信息系統(tǒng)安全保護(hù)等級(jí)的調(diào)整情況，重新實(shí)施安全保護(hù)。信息安全等級(jí)保護(hù)要做什么？全面完成定級(jí)備案進(jìn)一步清理本單位信息系統(tǒng)看是否有否未定級(jí)所定的級(jí)別是否準(zhǔn)確定級(jí)偏低百害而無(wú)一利上級(jí)領(lǐng)導(dǎo)的重視程度自然減弱經(jīng)費(fèi)保障也不到位出了安全問(wèn)題承擔(dān)責(zé)任落實(shí)等保經(jīng)費(fèi)保障國(guó)家發(fā)展和改革委員會(huì)、公安部、保密局聯(lián)合發(fā)出《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》省發(fā)改委、公安廳、保密局已轉(zhuǎn)發(fā)。組織實(shí)施安全整改自檢測(cè)評(píng)整改方案整改實(shí)施整改后的測(cè)評(píng)加強(qiáng)系統(tǒng)監(jiān)督檢查運(yùn)營(yíng)、使用單位對(duì)于第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng)。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查。將安全測(cè)評(píng)納入自查環(huán)節(jié)，在自查結(jié)束后將自查報(bào)告連同測(cè)評(píng)報(bào)告報(bào)公安網(wǎng)監(jiān)部門(mén)。國(guó)家對(duì)等級(jí)保護(hù)測(cè)評(píng)的要求《信息安全等級(jí)保護(hù)管理辦法》“等級(jí)保護(hù)的實(shí)施與管理”第十四條指出：信息系統(tǒng)建設(shè)完成后，運(yùn)營(yíng)、使用單位或者其主管部門(mén)應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測(cè)評(píng)單位，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn)，定期對(duì)信息系統(tǒng)安全等級(jí)狀況開(kāi)展等級(jí)測(cè)評(píng)。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)。廣東省安全保護(hù)條例對(duì)測(cè)評(píng)要求第十二條第二級(jí)以上計(jì)算機(jī)信息系統(tǒng)建設(shè)完成后，運(yùn)營(yíng)、使用單位或者其主管部門(mén)應(yīng)當(dāng)選擇符合國(guó)家規(guī)定的安全等級(jí)測(cè)評(píng)機(jī)構(gòu)，依據(jù)國(guó)家規(guī)定的技術(shù)標(biāo)準(zhǔn)，對(duì)計(jì)算機(jī)信息系統(tǒng)安全等級(jí)狀況開(kāi)展等級(jí)測(cè)評(píng)，測(cè)評(píng)合格后方可投入使用。第十三條計(jì)算機(jī)信息系統(tǒng)的運(yùn)營(yíng)、使用單位及其主管部門(mén)應(yīng)當(dāng)按照國(guó)家規(guī)定定期對(duì)計(jì)算機(jī)信息系統(tǒng)開(kāi)展安全等級(jí)測(cè)評(píng)，并對(duì)計(jì)算機(jī)信息系統(tǒng)安全狀況、安全管理制度及措施的落實(shí)情況進(jìn)行自查。計(jì)算機(jī)信息系統(tǒng)安全狀況經(jīng)測(cè)評(píng)或者自查，未達(dá)到安全等級(jí)保護(hù)要求的，運(yùn)營(yíng)、使用單位應(yīng)當(dāng)進(jìn)行整改。等級(jí)保護(hù)實(shí)施的基本流程系統(tǒng)備案公安網(wǎng)監(jiān)審核安全需求分析定級(jí)不準(zhǔn)材料不齊頒發(fā)證書(shū)規(guī)劃等保整改方案檢查報(bào)告及整改方案提交網(wǎng)監(jiān)備案等保整改實(shí)施等保驗(yàn)收測(cè)評(píng)測(cè)評(píng)報(bào)告提交網(wǎng)監(jiān)備案運(yùn)營(yíng)單位系統(tǒng)自運(yùn)維材料齊、定級(jí)準(zhǔn)合格不合格合格不合格已建運(yùn)行系統(tǒng)在定級(jí)確定后，新建系統(tǒng)在通過(guò)立項(xiàng)申請(qǐng)后，30日內(nèi)由所屬公安機(jī)關(guān)辦理備案手續(xù)根據(jù)等保有關(guān)規(guī)定和標(biāo)準(zhǔn)，分析系統(tǒng)安全建設(shè)整改需求，可委托等保技術(shù)支持單位進(jìn)行?？晌杏械缺Ｕ暮拖到y(tǒng)集成資質(zhì)的單位進(jìn)行，采用集成項(xiàng)目實(shí)施方法進(jìn)行。選擇第三方等級(jí)測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)，其中新建系統(tǒng)可以在試運(yùn)行階段進(jìn)行。三級(jí)系統(tǒng)每年一次，四級(jí)系統(tǒng)每半年一次，選擇第三方等級(jí)測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)系統(tǒng)定級(jí)系統(tǒng)運(yùn)營(yíng)單位按照《信息系統(tǒng)信息安全等級(jí)保護(hù)定級(jí)指南》自行申報(bào)。等級(jí)保護(hù)工作的實(shí)施過(guò)程定級(jí)備案安全需求分析（差距測(cè)評(píng)）安全整改驗(yàn)收測(cè)評(píng)項(xiàng)目驗(yàn)收定期檢查階段定級(jí)備案安全需求分析安全整改驗(yàn)收測(cè)評(píng)項(xiàng)目驗(yàn)收定期檢查主要負(fù)責(zé)系統(tǒng)運(yùn)營(yíng)使用單位網(wǎng)監(jiān)安全咨詢(xún)服務(wù)機(jī)構(gòu)系統(tǒng)運(yùn)營(yíng)使用單位等級(jí)測(cè)評(píng)機(jī)構(gòu)系統(tǒng)運(yùn)營(yíng)使用單位系統(tǒng)運(yùn)營(yíng)使用單位配合工作安全咨詢(xún)服務(wù)機(jī)構(gòu)系統(tǒng)運(yùn)營(yíng)使用單位系統(tǒng)運(yùn)營(yíng)使用單位安全咨詢(xún)服務(wù)機(jī)構(gòu)系統(tǒng)運(yùn)營(yíng)使用單位等級(jí)測(cè)評(píng)機(jī)構(gòu)等級(jí)測(cè)評(píng)機(jī)構(gòu)監(jiān)督檢查網(wǎng)監(jiān)/網(wǎng)監(jiān)網(wǎng)監(jiān)網(wǎng)監(jiān)網(wǎng)監(jiān)網(wǎng)監(jiān)廣東省等保驗(yàn)收測(cè)評(píng)機(jī)構(gòu)等級(jí)保護(hù)定級(jí)關(guān)于定級(jí)范圍（一）電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，經(jīng)營(yíng)性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。（二）鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險(xiǎn)、外交、科技、發(fā)展改革、國(guó)防科技、公安、人事勞動(dòng)和社會(huì)保障、財(cái)政、審計(jì)、商務(wù)、水利、國(guó)土資源、能源、交通、文化、教育、統(tǒng)計(jì)、工商行政管理、郵政等行業(yè)、部門(mén)的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)。

（三）市（地）級(jí)以上黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)

標(biāo)準(zhǔn)定位《GB/T22240-2008信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》

※系統(tǒng)定級(jí)是開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)工作的“基本出發(fā)點(diǎn)”。

※定級(jí)結(jié)果應(yīng)當(dāng)成為安全保護(hù)的總體安全需求。7、系統(tǒng)服務(wù)安全等級(jí)定級(jí)方法與流程26保護(hù)對(duì)象受到破壞時(shí)受侵害的客體對(duì)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)等級(jí)保護(hù)定級(jí)方法保護(hù)對(duì)象對(duì)客體的侵害程度客體：社會(huì)關(guān)系受侵害的客體信息系統(tǒng)安全等級(jí)系統(tǒng)服務(wù)安全等級(jí)業(yè)務(wù)信息安全等級(jí)3、綜合評(píng)定對(duì)客體的侵害程度2、確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體6、綜合評(píng)定對(duì)客體的侵害程度5、確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體4、業(yè)務(wù)信息安全等級(jí)8、定級(jí)對(duì)象的安全保護(hù)等級(jí)8＝MAX（4，7）1、確定定級(jí)對(duì)象（系統(tǒng)邊界）一般流程等級(jí)確定定級(jí)指南表1-定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系等級(jí)保護(hù)基本要求

基本要求的作用基本要求監(jiān)管機(jī)構(gòu)檢查測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)使用單位自查集成廠商指導(dǎo)建設(shè)基本要求的定位是系統(tǒng)安全保護(hù)、等級(jí)測(cè)評(píng)的一個(gè)基本“標(biāo)尺”，同樣級(jí)別的系統(tǒng)使用統(tǒng)一的“標(biāo)尺”來(lái)衡量，保證權(quán)威性，是一個(gè)達(dá)標(biāo)線；每個(gè)級(jí)別的信息系統(tǒng)按照基本要求進(jìn)行保護(hù)后，信息系統(tǒng)具有相應(yīng)等級(jí)的基本安全保護(hù)能力，達(dá)到一種基本的安全狀態(tài);是每個(gè)級(jí)別信息系統(tǒng)進(jìn)行安全保護(hù)工作的一個(gè)基本出發(fā)點(diǎn)，更加貼切的保護(hù)可以通過(guò)需求分析對(duì)基本要求進(jìn)行補(bǔ)充，參考其他有關(guān)等級(jí)保護(hù)或安全方面的標(biāo)準(zhǔn)來(lái)實(shí)現(xiàn)?；疽蟮亩ㄎ荒臣?jí)系統(tǒng)基本要求技術(shù)要求管理要求建立安全技術(shù)體系建立安全管理體系某級(jí)系統(tǒng)等級(jí)保護(hù)基本要求構(gòu)架基本要求技術(shù)要求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全管理要求安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理某級(jí)系統(tǒng)基本要求標(biāo)注方式信息系統(tǒng)安全等級(jí)保護(hù)基本要求技術(shù)要求管理要求要求標(biāo)注業(yè)務(wù)信息安全類(lèi)要求

（標(biāo)記為S類(lèi)）系統(tǒng)服務(wù)保證類(lèi)要求

（標(biāo)記為A類(lèi)）通用安全保護(hù)類(lèi)要求

（標(biāo)記為G類(lèi)）基本要求的選擇和使用一個(gè)3級(jí)系統(tǒng),定級(jí)結(jié)果為S3A2，安全保護(hù)類(lèi)型應(yīng)該是S3A2G3第1步:選擇標(biāo)準(zhǔn)中3級(jí)基本要求的技術(shù)要求和管理要求;第2步:要求中標(biāo)注為S類(lèi)和G類(lèi)的不變;標(biāo)注為A類(lèi)的要求可以選用2級(jí)基本要求中的A類(lèi)作為基本要求;安全保護(hù)和系統(tǒng)定級(jí)的關(guān)系34安全保護(hù)等級(jí)信息系統(tǒng)定級(jí)結(jié)果的組合第一級(jí)S1A1G1第二級(jí)S1A2G2，S2A2G2，S2A1G2第三級(jí)S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級(jí)S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4第五級(jí)S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A4G5，S5A3G5，S5A2G5，S5A1G5基本保護(hù)要求（最低）保護(hù)能力對(duì)抗能力＋恢復(fù)能力技術(shù)要求＋管理要求物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)制度、機(jī)構(gòu)、人員、建設(shè)、運(yùn)維縱深防御、互補(bǔ)關(guān)聯(lián)、強(qiáng)度一致、

平臺(tái)統(tǒng)一、集中安管業(yè)務(wù)信息安全類(lèi)要求S系統(tǒng)服務(wù)保證類(lèi)要求A通用安全保護(hù)類(lèi)要求G整體安全保護(hù)能力關(guān)鍵控制點(diǎn)安全類(lèi)具體要求項(xiàng)控制強(qiáng)度安全要求類(lèi)層面一級(jí)二級(jí)三級(jí)四級(jí)技術(shù)要求物理安全7101010網(wǎng)絡(luò)安全3677主機(jī)安全4679應(yīng)用安全47911數(shù)據(jù)安全及備份恢復(fù)2333管理要求安全管理制度2333安全管理機(jī)構(gòu)4555人員安全管理4555系統(tǒng)建設(shè)管理991111系統(tǒng)運(yùn)維管理9121313合計(jì)/48667377級(jí)差//1874控制點(diǎn)各個(gè)級(jí)別的控制點(diǎn)35安全要求類(lèi)層面一級(jí)二級(jí)三級(jí)四級(jí)技術(shù)要求物理安全9193233網(wǎng)絡(luò)安全9183332主機(jī)安全6193236應(yīng)用安全7193136數(shù)據(jù)安全及備份恢復(fù)24811管理要求安全管理制度371114安全管理機(jī)構(gòu)492020人員安全管理7111618系統(tǒng)建設(shè)管理20284548系統(tǒng)運(yùn)維管理18416270合計(jì)/85175290318級(jí)差//9011528控制項(xiàng)36各個(gè)級(jí)別的具體控制項(xiàng)等級(jí)保護(hù)測(cè)評(píng)實(shí)施等級(jí)保護(hù)測(cè)評(píng)中的角色和職責(zé)關(guān)系系統(tǒng)承建單位主管\使用\運(yùn)行單位測(cè)評(píng)機(jī)構(gòu)專(zhuān)家組支持測(cè)評(píng)提供技術(shù)、工程和質(zhì)量文檔實(shí)施的配合公安網(wǎng)監(jiān)部門(mén)對(duì)方案評(píng)審對(duì)評(píng)估結(jié)論進(jìn)行評(píng)審測(cè)評(píng)工作

組織與監(jiān)管制定測(cè)評(píng)計(jì)劃和方案等相關(guān)文檔在相關(guān)單位支持下實(shí)施等級(jí)測(cè)評(píng)提交測(cè)評(píng)報(bào)告測(cè)評(píng)工作組織協(xié)調(diào)確保技術(shù)、工程和質(zhì)量文檔、提供運(yùn)營(yíng)相關(guān)文檔的提供評(píng)審實(shí)施方案等相關(guān)文檔配合等級(jí)測(cè)評(píng)實(shí)施測(cè)評(píng)過(guò)程中的風(fēng)險(xiǎn)管理和應(yīng)急管理等級(jí)保護(hù)測(cè)評(píng)的實(shí)施方法等保評(píng)測(cè)資產(chǎn)對(duì)象調(diào)研技術(shù)類(lèi)管理類(lèi)物理安全核查網(wǎng)絡(luò)安全核查主機(jī)安全核查應(yīng)用安全核查數(shù)據(jù)安全核查漏洞掃描安全管理機(jī)構(gòu)核查安全管理制度核查人員安全管理核查系統(tǒng)建設(shè)管理核查系統(tǒng)運(yùn)維管理核查安全分析/整改設(shè)計(jì)技術(shù)類(lèi)管理類(lèi)物理安全合規(guī)性網(wǎng)絡(luò)安全合規(guī)性主機(jī)安全合規(guī)性應(yīng)用安全合規(guī)性數(shù)據(jù)安全合規(guī)性安全管理機(jī)構(gòu)合規(guī)性安全管理制度合規(guī)性人員安全管理合規(guī)性系統(tǒng)建設(shè)管理合規(guī)性系統(tǒng)運(yùn)維管理合規(guī)性項(xiàng)目

驗(yàn)收資產(chǎn)調(diào)研表網(wǎng)絡(luò)拓?fù)鋱D等級(jí)保護(hù)安全整改方案等級(jí)保護(hù)測(cè)評(píng)報(bào)告驗(yàn)收?qǐng)?bào)告等級(jí)保護(hù)測(cè)評(píng)過(guò)程40等級(jí)測(cè)評(píng)過(guò)程方案編制測(cè)評(píng)準(zhǔn)備分析與報(bào)告編制現(xiàn)場(chǎng)測(cè)評(píng)項(xiàng)目啟動(dòng)、信息收集和分析、工具和表單準(zhǔn)備文檔R&R測(cè)評(píng)對(duì)象確定、測(cè)評(píng)指標(biāo)確定、

測(cè)試工具接入點(diǎn)確定、測(cè)評(píng)內(nèi)容確定、

測(cè)評(píng)實(shí)施手冊(cè)開(kāi)發(fā)、測(cè)評(píng)方案編制現(xiàn)場(chǎng)測(cè)評(píng)方法確定（一般包括：訪談、檢查、工具測(cè)試等）、

現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄、結(jié)果確認(rèn)和資料歸還單項(xiàng)測(cè)評(píng)結(jié)果判定、單元測(cè)評(píng)結(jié)果判定、整體測(cè)評(píng)、風(fēng)險(xiǎn)分析、等級(jí)測(cè)評(píng)結(jié)論形成、測(cè)評(píng)報(bào)告編制等級(jí)保護(hù)測(cè)評(píng)方法（1/2）測(cè)評(píng)方法測(cè)評(píng)采用訪談、檢查和測(cè)試三種方法，測(cè)評(píng)對(duì)象是測(cè)評(píng)實(shí)施過(guò)程中涉及到的信息系統(tǒng)的構(gòu)成成份，包括人員、文檔、機(jī)制、軟件、設(shè)備。測(cè)評(píng)的層面涉及物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用系統(tǒng)安全、數(shù)據(jù)安全以及安全管理。測(cè)評(píng)要求使用測(cè)評(píng)表進(jìn)行具體檢查時(shí)，首先按詢(xún)問(wèn)、查驗(yàn)、檢測(cè)等工作方式將所有檢查項(xiàng)目分類(lèi)。以訪談方式檢查的項(xiàng)目，在與有關(guān)人員的談話(huà)或會(huì)議上進(jìn)行；以檢查方式檢查的項(xiàng)目，將需要的文檔清單在檢查現(xiàn)場(chǎng)提交給被檢查方，請(qǐng)被檢查方當(dāng)前提供并進(jìn)行查驗(yàn)；以測(cè)試方式檢查的項(xiàng)目，按檢測(cè)部門(mén)或設(shè)備分類(lèi)后，根據(jù)具體情況選擇檢測(cè)順序。等級(jí)保護(hù)測(cè)評(píng)方法（2/2）對(duì)技術(shù)要求“訪談”方法：目的是了解信息系統(tǒng)的全局性。范圍一般不覆蓋所有要求內(nèi)容?！皺z查”方法：目的是確認(rèn)信息系統(tǒng)當(dāng)前具體安全機(jī)制和運(yùn)行的配置是否符合要求。范圍一般要覆蓋所有要求內(nèi)容。“測(cè)試”方法：目的是驗(yàn)證信息系統(tǒng)安全機(jī)制有效性和安全強(qiáng)度。范圍不覆蓋所有要求內(nèi)容。對(duì)管理要求對(duì)人員方面的要求，重點(diǎn)通過(guò)“訪談”的方式來(lái)測(cè)評(píng)，檢查為輔；對(duì)過(guò)程方面的要求，通過(guò)“訪談”和“檢查”的方式來(lái)測(cè)評(píng)；對(duì)規(guī)范方面的要求，以“檢查”文檔為主，“訪談”為輔等級(jí)保護(hù)測(cè)評(píng)案例某公司（簡(jiǎn)稱(chēng)“AAA”）用電信息系統(tǒng)承載著該公司的電力營(yíng)銷(xiāo)業(yè)務(wù)，由數(shù)據(jù)存儲(chǔ)、業(yè)務(wù)處理、接入、對(duì)外服務(wù)和外聯(lián)等五個(gè)功能區(qū)域組成，是一個(gè)安全等級(jí)為三級(jí)的信息系統(tǒng)?，F(xiàn)場(chǎng)測(cè)評(píng)小組分為管理組（2人）和技術(shù)組（4人）兩組，分別完成安全管理和安全技術(shù)方面的測(cè)評(píng)。

被測(cè)系統(tǒng)為承載著AAA公司電力營(yíng)銷(xiāo)業(yè)務(wù)，是AAA公司的重要信息系統(tǒng)，其安全等級(jí)定為三級(jí)（S3A2G3）。

被測(cè)系統(tǒng)由數(shù)據(jù)存儲(chǔ)、業(yè)務(wù)處理、接入、對(duì)外服務(wù)和外聯(lián)等五個(gè)功能區(qū)域組成.對(duì)外有可以為大客戶(hù)單位、internet網(wǎng)、撥號(hào)用戶(hù)等提供電費(fèi)數(shù)據(jù)查詢(xún)、交納、業(yè)務(wù)擴(kuò)充、投訴等服務(wù)的功能模塊。數(shù)據(jù)存儲(chǔ)功能區(qū)位于屏蔽機(jī)房，其它功能區(qū)域位于中心機(jī)房。

測(cè)評(píng)對(duì)象（1/4）根據(jù)用信息系統(tǒng)的實(shí)際情況，分別確定物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全等各層面的測(cè)評(píng)對(duì)象。物理方面主要是測(cè)評(píng)屏蔽機(jī)房和主機(jī)房。網(wǎng)絡(luò)方面主要測(cè)評(píng)的設(shè)備有：路由器、交換機(jī)、防火墻、IDS、外聯(lián)檢測(cè)、防病毒等。序號(hào)功能區(qū)域設(shè)備名稱(chēng)用途設(shè)備信息抽查說(shuō)明1外聯(lián)區(qū)DW3600（Internet）外部接入路由器（Internet）型號(hào)：CISCO3600IP:查1臺(tái)2DW36002、3、4（DDN）外部接入路由器（DDN）型號(hào)：CISCO3600IP:查1臺(tái)3DW36005、6（PSTN）外部接入路由器（PSTN撥號(hào)接入）型號(hào)：CISCO3600IP:查1臺(tái)4對(duì)外服務(wù)區(qū)DW208FWDW208FW防火墻，系統(tǒng)內(nèi)外隔離型號(hào)：Netscreen208

IP:192.168.32-33/24查1臺(tái)測(cè)評(píng)對(duì)象（2/4）主機(jī)方面主要測(cè)評(píng)的主機(jī)服務(wù)器（包括數(shù)據(jù)庫(kù)服務(wù)器）。序號(hào)設(shè)備名稱(chēng)用途設(shè)備信息抽查說(shuō)明1S1對(duì)外服務(wù)業(yè)務(wù)邏輯處理IBMPC服務(wù)器，WIN2003查1臺(tái)2S2對(duì)外服務(wù)網(wǎng)站IBMPC服務(wù)器，WIN2003查1臺(tái)31#業(yè)務(wù)用電業(yè)務(wù)處理中間件IBMPC服務(wù)器，LINUX查1臺(tái)4DB1(數(shù)據(jù)庫(kù)服務(wù)器1)用電數(shù)據(jù)存儲(chǔ)服務(wù)器IBM小型機(jī)，AIX，SYBASE查1臺(tái)5用電業(yè)務(wù)客服機(jī)運(yùn)行用電業(yè)務(wù)客服端程序DELLPC,WIN2000查1臺(tái)6…………測(cè)評(píng)對(duì)象（3/4）應(yīng)用方面主要測(cè)評(píng)的應(yīng)用系統(tǒng)。序號(hào)系統(tǒng)名稱(chēng)系統(tǒng)描述抽查說(shuō)明1用電應(yīng)用系統(tǒng)主要完成的功能包括業(yè)務(wù)擴(kuò)充、電量計(jì)量、電費(fèi)計(jì)算、查詢(xún)、統(tǒng)計(jì)等業(yè)務(wù)。涉及到的業(yè)務(wù)信息包括用戶(hù)登錄權(quán)限認(rèn)證信息、用電業(yè)務(wù)數(shù)據(jù)等于電力公司服務(wù)業(yè)務(wù)相關(guān)的信息抽查2對(duì)外服務(wù)網(wǎng)站系統(tǒng)…3……測(cè)評(píng)對(duì)象（4/4）安全管理，主要測(cè)評(píng)對(duì)象為與信息安全管理有關(guān)的策略、制度、操作規(guī)程、運(yùn)行記錄、管理人員、技術(shù)人員和相關(guān)設(shè)備設(shè)施等。測(cè)評(píng)指標(biāo)選取被測(cè)系統(tǒng)的定級(jí)結(jié)果為：安全保護(hù)等級(jí)為3級(jí)，業(yè)務(wù)信息安全等級(jí)為S3，系統(tǒng)服務(wù)安全等級(jí)為A2；則該系統(tǒng)的測(cè)評(píng)指標(biāo)應(yīng)包括《基本要求》“技術(shù)要求”中的3級(jí)通用指標(biāo)類(lèi)（G3），3級(jí)業(yè)務(wù)信息安全指標(biāo)類(lèi)（S3），2級(jí)系統(tǒng)服務(wù)安全指標(biāo)類(lèi)（A2），以及第3級(jí)“管理要求”中的所有指標(biāo)類(lèi)。評(píng)測(cè)指標(biāo)技術(shù)/管理層面類(lèi)數(shù)量S類(lèi)（3級(jí)）A類(lèi)（2類(lèi)）G類(lèi)（3級(jí)）小計(jì)安全技術(shù)物理安全11810網(wǎng)絡(luò)安全1067主機(jī)安全3137應(yīng)用安全5229數(shù)據(jù)安全2103安全管理安全管理機(jī)構(gòu)0033安全管理制度0055人員安全管理0055系統(tǒng)建設(shè)管理001111系統(tǒng)運(yùn)維管理001313合計(jì)73類(lèi)測(cè)評(píng)工具和接入點(diǎn)根據(jù)3級(jí)信息系統(tǒng)的測(cè)評(píng)強(qiáng)度要求，在測(cè)試的廣度上，應(yīng)基本覆蓋不同類(lèi)型的機(jī)制，在數(shù)量、范圍上可以抽樣；在測(cè)試的深度上，應(yīng)執(zhí)行功能測(cè)試和滲透測(cè)試，功能測(cè)試可能涉及機(jī)制的功能規(guī)范、高級(jí)設(shè)計(jì)和操作規(guī)程等文檔，滲透測(cè)試可能涉及機(jī)制的所有可用文檔，并試圖智取進(jìn)入信息系統(tǒng)等。因此，對(duì)其進(jìn)行測(cè)評(píng)，應(yīng)涉及到漏洞掃描工具、滲透測(cè)評(píng)工具集等多種測(cè)試工具。使用的測(cè)試工具主要有：網(wǎng)絡(luò)漏洞掃描器、數(shù)據(jù)庫(kù)安全掃描器、滲透測(cè)試工具集等。測(cè)評(píng)內(nèi)容—物理安全物理安全測(cè)評(píng)將通過(guò)訪談、文檔審查和實(shí)地察看的方式測(cè)評(píng)信息系統(tǒng)的的物理安全保障情況。主要涉及對(duì)象為屏蔽機(jī)房和主機(jī)房。序號(hào)評(píng)測(cè)指標(biāo)評(píng)測(cè)內(nèi)容描述1物理位置的選擇通過(guò)訪談物理安全負(fù)責(zé)人，檢查屏蔽機(jī)房和主機(jī)房等過(guò)程，測(cè)評(píng)屏蔽機(jī)房和主機(jī)房等信息系統(tǒng)物理場(chǎng)所在位置上是否具有防震、防風(fēng)和防雨等多方面的安全防范能力。2物理訪問(wèn)控制通過(guò)訪談物理安全負(fù)責(zé)人，檢查屏蔽機(jī)房和主機(jī)房出入口、機(jī)房分區(qū)域情況等過(guò)程，評(píng)測(cè)信息系統(tǒng)在物理訪問(wèn)控制方面的安全防范能力。………測(cè)評(píng)內(nèi)容—網(wǎng)絡(luò)安