《信息系统安全等级保护讲义》由会员分享,可在线阅读,更多相关《信息系统安全等级保护讲义(50页珍藏版)》请在金锄头文库上搜索。
1、信息系统安全等级保护 讲义,沈阳实现科技发展有限公司 刘志,内容,安全等级保护概述 安全等级保护定级原理 安全等级保护定级方法 安全等级保护定级管理 安全等级保护技术和管理要求,原因,互联网安全环境,发展史,1994年,国务院颁布计算机信息系统安全保护条例(147号令) 第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。 1999年9月13日,颁布计算机信息系统安全保护等级划分准则(GB/T 17859-1999),于2000年开始实施,它是我国计算机信息系统安全保护等级工作的基础。 2003年,国家信息化领导小组关于加强信息安全保障
2、工作的意见(中办发200327号):明确提出“实行信息安全等级保护”。,发展史,2004年,全国信息安全保障工作会议:专门将信息安全等级保护工作作为信息安全保障工作的一项重要任务来部署。 2004年9月,公安部、保密局、密码管理局、国信办联合出台了关于信息安全等级保护工作的实施意见(公通字200466号):明确了信息安全等级保护制度的原则和基本内容,以及信息安全等级保护工作的职责分工、工作实施的要求等。 2007年,公安部、保密局、密码管理局、国信办联合制定了信息安全等级保护管理办法,标志着我国等级保护制度的初步形成,定级范围,运营商和服务提供商 电信、广电行业的公用通信网、广播电视传输网等基
3、础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。 重要行业 铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。 重要机关 市(地)级以上党政机关的重要网站和办公信息系统。 涉密系统 涉及国家秘密的信息系统。,职责分工,公安机关 负责信息安全等级保护工作的监督、检查、指导。 国家密码管理部门 负责等级保护工作中有关密码工作的监督、检查、指导。 其他相关部门 涉及其他
4、职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。 信息化领导机构 国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门 依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的等级保护工作。 信息系统的运营、使用单位 应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。,政策法规,中华人民共和国计算机信息系统安全保护条例(国务院147号令) 国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号文件),中办、国办 关于信息安全等级保护工作的实施意见(公通字2004
5、66号文件)公安部、保密局、国密办以及国信办 信息系统安全等级保护基本要求(标准GB/T22239-2008 ) 信息系统安全等级保护定级指南(标准GB/T22240-2008 ) 信息系统安全等级保护实施指南(标准GB/T25058-2010 ) 信息系统安全等级保护测评准则(报批稿) 信息安全等级保护管理办法(公通字200743号文件),公安部、保密局、国密办以及国信办 关于开展全国重要信息系统安全等级保护定级工作的通知(公信安2007861号文件),公安部、保密局、国密办以及国信办,国家标准,信息技术 词汇 第8部分:安全(GB/T 5271.8) 信息技术 计算机信息系统安全保护等级划
6、分准则(GB17859-1999) 信息技术 信息技术安全性评估准则(GB/T 18336-2000) 信息技术 信息安全管理实用规则( GB/T 19716-2005) 信息技术 信息系统通用安全技术要求(GB/T20271-2006) 信息技术 网络基础安全技术要求(GB/T20270-2006) 信息技术 操作系统安全技术要求(GB/T20272-2006) 信息技术 数据库管理系统安全技术要求(GB/T20273-2006) 信息技术 服务器技术要求 (GB/T21028-2007) 信息技术 终端计算机系统安全等级技术要求(GA/T671-2006) 信息技术 信息系统安全管理要求(
7、GB/T20269-2006) 信息技术 信息系统安全工程管理要求(GB/T20282-2006) 其他国家标准,内容,安全等级保护概述 安全等级保护定级原理 安全等级保护定级方法 安全等级保护定级管理 安全等级保护技术和管理要求,定级准则,坚持自主定级、自主保护的原则。 应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序和公共利益以及公民、法人和其他组织的合法权益(受侵害客体)的危害程度等因素确定。,等级划分,第一级(自主保护级 ) 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级(
8、指导保护级 ) 信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级(监督保护级 ) 信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级(强制保护级 ) 信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级(专控保护级 ) 信息系统受到破坏后,会对国家安全造成特别严重损害。,第五级,第四级,第三级,第二级,定级监管部门,第一级,单位自主,公安部门,公安部门和国密部门,国密部门?,定级要素,受侵害的客体等级保护对象受到破坏时所侵害的客体包括
9、以下三个方面: 公民、法人和其他组织的合法权益; 社会秩序、公共利益; 国家安全。 对客体的侵害程度对客体的侵害程度由客观方面的不同外在表现综合决定,表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。侵害程度归结为以下三种: 造成一般损害; 造成严重损害; 造成特别严重损害。,定级要素与等级的关系,等级、定级要素、监管关系,内容,安全等级保护概述 安全等级保护定级原理 安全等级保护定级方法 安全等级保护定级管理 安全等级保护技术和管理要求,确定安全对象,业务信息安全保护等级 从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。 以业务为主题,如不同应用系统
10、系统服务安全保护等级 从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。 以服务为主题,如不同子网、数据中心,定级流程,确定定级对象(流程1),具有唯一确定的安全责任单位(一个单位) 这种定级对象是能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。 具有信息系统的基本要素(一个系统) 这种定级对象是由相关的和配套的设备、设施按照一定的应用目标和规则组合而
11、成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。 承载相对独立的业务应用(一种应用) 这种定级对象是指其业务应用的主要业务流程独立,同时与其他业务应用有一定的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。,确定受侵害的客体(流程2、5),A-侵害国家安全 影响国家政权稳固和国防实力;影响国家统一、民族团结和社会安定;影响国家对外活动中的政治、经济利益;影响国家重要的安全保卫工作;其他影响国家安全的事项。 B1-侵害社会秩序 影响国家机关社会管理和公共服务的工作秩序;影响各种类型的经济活动秩序;影响各行业的科研、生产活动秩序;影响公众在
12、法律约束和道德规范下的正常生活秩序等;其他影响社会秩序的事项。 B2-影响公共利益 影响社会成员使用公共设施;影响社会成员获取公开信息资源;影响社会成员接受公共服务等方面;其他影响公共利益的事项。 C-影响公民、法人和其他组织的合法权益 指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。,确定对客体的侵害程度(流程3、6),一般损害 工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。 严重损害 工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法
13、律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。 特别严重损害 工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。,确定对客体的危害后果,影响行使工作职能; 导致业务能力下降; 引起法律纠纷; 导致财产损失; 造成社会不良影响; 对其他组织和个人造成损失; 其他影响。,确定定级对象的安保等级(流程4、7),业务信息安全保护等级矩阵表 系统服务安全保护等级矩阵表,表A-业务信息安全保护等级矩阵表,表B-系统服务安全保护等级矩阵表,内容,安全等级保
14、护概述 安全等级保护定级原理 安全等级保护定级方法 安全等级保护定级管理 安全等级保护技术和管理要求,定级监督管理,第一级 信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 国家信息安全监管部门对该级信息系统信息安全等级保护工作进行备案。 第二级 信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。 第三级 信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。 第四级 信息系统运营、使用单位应当依据国家有关管理规
15、范、技术标准和业务专门需求进行保护。 国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。 第五级 信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。 国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。,等级测评与自查,第三方测评 运营、使用单位或者其主管部门应当选择符合规定条件的测评机构,依据信息系统安全等级保护测评要求等技术标准,定期对信息系统安全等级状况开展等级测评。 测评周期 第三级:每年至少一次 第四级:每半年至少一次 第五级:应当依据特殊安全需求进行等级测评。 自查 信息系统运营、使用单位及其主管部门应当定期对
16、信息系统安全状况、安全保护制度及措施的落实情况进行自查。 自查周期 第三级:每年至少一次 第四级:每半年至少一次 第五级:应当依据特殊安全需求进行自查。,定级申报材料,编写信息系统安全等级保护定级报告 填写信息系统安全等级保护备案表 第三级以上信息系统应当同时提供以下材料: 系统拓扑结构及说明; 系统安全组织机构和管理制度; 系统安全保护设施设计实施方案或者改建实施方案; 系统使用的信息安全产品清单及其认证、销售许可证明; 测评后符合系统安全保护等级的技术检测评估报告; 信息系统安全保护等级专家评审意见; 主管部门审核批准信息系统安全保护等级的意见。,信息系统安全等级保护定级报告,一、XXX信
17、息系统描述 简述确定该系统为定级对象的理由:1.描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该系统为本单位或部门的定级对象;2. 定级对象具有的信息系统基本要素,描述基本要素、系统网络结构、系统边界和边界设备;3.定级对象是否承载着单一或相对独立的业务,业务情况描述。 二、XXX信息系统安全保护等级确定 (一)业务信息安全保护等级的确定: 1、业务信息描述、2、业务信息受到破坏时所侵害客体的确定、3、信息受到破坏后对侵害客体的侵害程度的确定、4、业务信息安全等级的确定 (二)系统服务安全保护等级的确定: 1、系统服务描述、2、系统服务受到破坏时所侵害客体的确定、3、系统服务受到破坏后对侵害客体的侵害程度的确定、4、系统服务安全等级的确定 (三)整体安全保护等级的确定: 由业务信息安全等级和系统服务安全等级较高者决定,最终确定该系统的安全保护等级。,
