收藏
下载资源

信息安全等级保护

上传人:豆浆 文档编号:53060901 上传时间:2018-08-27 格式:PPT 页数:112 大小:772.50KB
返回 下载 相关 举报
信息安全等级保护_第1页
第1页 / 共112页
信息安全等级保护_第2页
第2页 / 共112页
信息安全等级保护_第3页
第3页 / 共112页
信息安全等级保护_第4页
第4页 / 共112页
信息安全等级保护_第5页
第5页 / 共112页
点击查看更多>>
资源描述

《信息安全等级保护》由会员分享,可在线阅读,更多相关《信息安全等级保护(112页珍藏版)》请在金锄头文库上搜索。

1、信息安全等级保护,福建省网络与信息安全测评中心,一、信息安全等级保护工作概述,(一)开展信息安全等级保护工作的政策和法律依据。,1994年,中华人民共和国计算机信息系统安全保护条例 (国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定” 。1995年2月18日人大12次会议通过并实施的中华人民共和国警察法第二章第六条第十二款规定,公安机关人民警察依法履行“监督管理计算机信息系统的安全保护工作”。法律依据。1999年,强制性国家标准计算机信息系统安全保护等级划分准则GB 17859)。,(一)开展信息安全等级保护工作的政

2、策和法律依据。,2003年,中办、国办转发的国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)明确指出“实行信息安全等级保护”。 “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南” 。2004年,公安部、国家保密局、国家密码管理局、国信办联合印发了关于信息安全等级保护工作的实施意见(66号文件)2007年6月,公安部、国家保密局、国家密码管理局、国信办联合制定了信息安全等级保护管理办法(公通字200743号),(二)近年来信息安全等级保护工作进展,一是制定了50多个国标和

3、行标,初步形成了信息安全等级保护标准体系 二是开展了等级保护基础调查工作 三是开展了等级保护试点工作 四是出台了66号文、43号文、861号文等政策文件。 五是召开“全国重要信息系统安全等级保护定级工作电 视电话会议” 六是成立“国家信息安全等级保护协调小组”,(三)开展信息安全等级保护工作的重要意义,信息安全等级保护制度是国家信息安全保障的基本制度、基本策略、基本方法 ;是当今发达国家的通行做法,也是我国多年来信息安全工作经验的总结 。开展信息安全等级保护工作:有利于同步建设 ;有利于指导和服务;有利于保障重点;有利于明确责任 ;有利于产业发展,(四)开展等级保护工作的总体要求,1、各基础信

4、息网络和重要信息系统,按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作 。2、公安机关和保密、密码工作部门要及时开展监督检查,严格审查信息系统所定级别,严格检查信息系统开展备案、整改、测评等工作。3、对故意将信息系统安全级别定低,逃避公安、保密、密码部门监管,造成信息系统出现重大安全事故的,要追究单位和人员的责任。,二、明确各方责任义务,(一)、管理办法中第二条明确了国家的责任,国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。信息安全监管部门包

5、括公安机关、保密部门、国家密码工作部门。信息安全监管部门代表国家制定等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。,(二)、管理办法第三条明确了信息安全监管部门的职责,公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。,(三)、管理办法

6、中第四条、第五条分别明确了信息系统主管部门和运营使用单位的责任义务,信息系统主管部门应当依照管理办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。信息系统的运营、使用单位应当依照管理办法及其相关标准规范,履行信息安全等级保护的义务和责任。,(四)、公民、法人和其他组织的责任义务,公民、法人和其他组织应当按照国家有关等级保护的管理规范和技术标准开展等级保护工作,服从国家对信息安全等级保护工作的监督、指导,保障信息系统安全。信息安全产品的研制、生产单位,信息系统的集成、等级测评、风险评估等安全服务机构,依据国家有关管理规定和技术标准,开展相应

7、工作,并接受国家信息安全职能部门的监督管理。,三、信息系统安全保护等级的划分 与保护,1、运营使用单位和主管部门是信息系统安全的第一责任人,对所属信息系统安全负有直接责任。 2、公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导,对重要信息系统安全负监管责任。,(一)“自主定级、自主保护”与国家监管,(二)信息系统安全保护等级的定级要素,受侵害的客体 :一是公民、法人和其他组织的合法权益;二是社会秩序、公共利益;三是国家安全。 对客体的侵害程度:一是造成一般损害;二是造成严重损害;三是造成特别严重损害。,(三)信息系统安全保护等级,(四)五级保护和监管管理办法第八

8、条规定,信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。,四、信息系统安全保护等级的确定与实施,(一)定级范围,一是电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。 二是国家重要行业、领域的重要信息系统。三是市(地)级以上党政机关的重要网站和办公信息系统。四是涉及国家秘密的信息系统。,电信基础信息网络也是重要信息系统,(二)、系统定级,定级是等级保护工作的首要环节,是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要

9、基础。信息系统安全级别定不准,系统建设、整改、备案、等级测评等后续工作都失去了针对性。 需要特别说明的是:信息系统的安全保护等级是信息系统的客观属性,不以已采取或将采取什么安全保护措施为依据,也不以风险评估为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全等级。,定级工作的步骤:,第一步:摸底调查,掌握信息系统底数。(信息系统的业务类型、应用或服务范围、系统结构基本情况) 第二步:确定定级对象 第三步:初步确定信息系统等级,定级的一般流程:,信息系统安全包括业务信息安全和系统服务安全。信息安全是指确保信息系统内信息的保密

10、性、完整性和可用性等,系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。 业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全等级。 由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。,定级基本流程1,一、定级对象的三个条件 具有唯一确定的安全责任单位 作为定级对象的信息系统应能够唯一地确定其安全责任单位,这个安全责任单位就是负责等级保护工作

11、部署、实施的单位,也是完成等级保护备案和接受监督检查的直接责任单位。 满足信息系统的基本要素 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如单台的服务器、终端或网络设备等作为定级对象。,定级阶段-关于定级对象确定,承载相对独立的业务应用 定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流程、部分业务功能独立,同时与其他信息系统的业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程,可以是完整的业务流程的一部分。

12、,定级阶段-关于定级对象确定,定级阶段-定级对象举例,某期货交易所办公系统 生产系统交易系统 清算系统 网站系统,定级阶段-定级对象举例,定级对象结果1 办公信息系统 生产信息系统 定级对象结果2 办公信息系统生产信息系统 交易信息系统 清算信息系统 网站信息系统,定级阶段-定级对象举例,证券公司集中交易系统 公司总部 各个营业部数据中心 柜台委托 自助委托 电话委托 网上委托,定级阶段-定级对象举例,交易系统 行情系统 清算系统 客户管理系统 等,定级阶段-定级对象举例,定级对象结果1 总部信息系统 营业部信息系统 定级对象结果2 总部 数据中心系统(平台) 外部委托系统(平台) 营业部 外

13、部委托系统(平台),定级阶段-定级对象举例,定级对象结果3 总部 交易系统 行情系统 清算系统 客户管理系统 营业部 交易系统 行情系统 客户管理系统,定级阶段-定级对象举例,某电力集团公司 公司本部 供电局(分公司)电力调度系统 综合信息系统,定级阶段-定级对象举例,骨干网 城域网 数据中心局域网 大楼用户局域网 供电所局域网 三产公司局域网 等,定级阶段-定级对象举例,电力营销系统 生产管理系统 工程管理系统 物资管理系统 财务管理系统 OA系统 EAI/EIP系统 等,定级阶段-定级对象举例,定级对象结果1 本部信息系统 供电局信息系统 定级对象结果2 本部 电力调度系统 综合信息系统

14、营业部 电力调度系统 综合信息系统,定级阶段-定级对象举例,定级对象结果3 本部 数据中心系统 用户局域网系统 骨干网系统 供电局 数据中心系统 用户局域网系统 城域网系统,定级阶段-定级对象举例,定级对象结果4 电力营销系统 生产管理系统 工程管理系统 物资管理系统 财务管理系统 OA系统 EAI/EIP系统,定级阶段-定级对象举例,信息系统划分的一些常见方法,例如对内服务与对外运营的业务系统,对内服务的办公系统,一般来说其中的信息和提供的服务是面向本单位的,涉及到的等级保护客体一般是本单位,而对外运营的业务系统往往关系到其他单位、个人或面向社会,因此这两类业务可能涉及不同的客体,可能具有不

15、同的安全保护等级,可以考虑划分为不同的信息系统。又比如处理涉及国家秘密信息的信息系统与处理一般单位敏感信息的信息系统应分开。 例如全国大集中系统数据中心的数据量和服务范围都远大于各省级节点和市级节点,其受到破坏后的损害程度和影响范围也有很大差别,可能具有不同的安全等级,可以考虑划分为不同的信息系统。 一般单位的信息系统建设和网络布局,一般都会或多或少考虑系统的特点、业务重要性及不同系统之间的关系,进行信息系统的等级划分应尽可能以现有网络条件为基础进行划分,以免引起不必要的网络改造和建设工作,影响原有系统的业务运行。有些信息系统中不同业务的重要程度虽然会有所差异,但是由于业务之间联系紧密,不容易

16、拆分,可以作为一个信息系统按照同样级别保护。但是,如果其中某一个业务面临风险或威胁较大,比如与互联网相连,可能会影响到其它的业务,就应当将其从该信息系统中分离出来,单独作为一个信息系统而实施保护。,系统边界不应出现在服务器内部,服务器共用的系统一般归入同一个信息系统,因此不同信息系统的共用设备一般是网络/边界设备或终端设备。 两个信息系统边界存在共用设备时,共用设备的安全保护等级按两个信息系统安全保护等级较高者确定。 例如,一个2级系统和一个3级系统之间有一个防火墙或两个系统共用一个核心交换机,此时防火墙和交换机可以作为两个系统的边界设备,但应满足3级系统的要求。,定级阶段-关于系统边界,信息系统的管理终端是与相应被管理设备相对应的,服务器、网络设备及安全设备等属于哪个系统,终端就应归在哪个信息系统中。 如果无法做到不同等级的信息系统使用不同的终端设备,则应将终端设备划分为其他的信息系统,并在服务器与内部用户终端之间建立边界保护,对终端通过身份鉴别和访问控制等措施加以控制。 处理涉密信息的终端必须划分到相应的信息系统中,且不能与非涉密系统共用终端。,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 综合/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号