《计算机信息系统安全等级保护》由会员分享,可在线阅读,更多相关《计算机信息系统安全等级保护(38页珍藏版)》请在金锄头文库上搜索。
1、等级保护发展过程19941994年国务院颁布的年国务院颁布的中华人民共和国计算机信息中华人民共和国计算机信息系统安全保护条例系统安全保护条例规定,规定,“ “计算机信息系统实行计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定护的具体办法,由公安部会同有关部门制定” ”。 19991999年,公安部正式发布信息系统安全等级保护的年,公安部正式发布信息系统安全等级保护的国家标准国家标准GB17859-1999GB17859-1999,将计算机信息系统的安全,将计算机信息系统的安全级别明确划分为级别明确划
2、分为5 5级并且提出了具体要求,这级并且提出了具体要求,这5 5级由级由高至低依次为:访问验证保护级、结构化保护级、高至低依次为:访问验证保护级、结构化保护级、安全标记保护级、系统审计保护级、用户自主保护安全标记保护级、系统审计保护级、用户自主保护级。级。GB17859-1999GB17859-1999为等级保护奠定了基础。为等级保护奠定了基础。 等级保护发展过程20032003年中央办公厅、国务院办公厅转发的年中央办公厅、国务院办公厅转发的国家信国家信息化领导小组关于加强信息安全保障工作的意见息化领导小组关于加强信息安全保障工作的意见(中办发中办发200327200327号号)中明确指出:)
3、中明确指出:“ “要重点保护要重点保护基础信息网络和关系国家安全、经济命脉、社会稳基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技保护制度,制定信息安全等级保护的管理办法和技术指南术指南” ”。 20042004年公安部等四部委年公安部等四部委关于信息安全等级保护工关于信息安全等级保护工作的实施意见作的实施意见(公通字公通字200466200466号号)也指出,信)也指出,信息安全等级保护制度是国家在国民经济和社会信息息安全等级保护制度是国家在国民经济和社会信息化的发
4、展过程中,提高信息安全保障能力和水平,化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。信息化建设健康发展的一项基本制度。 等级保护内涵对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护(最主要)对信息系统中使用的信息安全产品实行按等级管理对发生的信息安全事件按照等级进行响应和处理等。 安全保护划分将计算机信息系统按照其在国家安全、经济建设、社会生活中的重要程度,划分为5个不同级别,安全保护要求由高至低依次为:专控保护
5、级(专控保护级(国家保密部门负责实施国家保密部门负责实施)强制保护级强制保护级监督保护级监督保护级指导保护级指导保护级自主保护级自主保护级 面向社会面向社会安全保护划分第二级:系统审计保护级第二级:系统审计保护级( (指导保护级指导保护级) )D DC CB B第一级:用户自主保护级第一级:用户自主保护级第三级:安全标记保护级第三级:安全标记保护级( (监督保护级监督保护级) )第四级:结构化保护级第四级:结构化保护级( (强制保护级强制保护级) )第五级:访问验证保护级第五级:访问验证保护级( (专控保护级专控保护级) )A AE E适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组
6、织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益。适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全。适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成损害。适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害。安全保护实施过程安全保护实施过程安全保护实施过程安全保护等级确定安全保护等级确定信息系统的重要性由以下四个要素决定,其中第一、二个要素决定信息系统内信息资产的重要性,第三、四个要素决定信息系统所提供服务的重要性,而信息资产及信
7、息系统服务的重要性决定了信息系统的重要性。 信息系统所属类型,即信息系统资产的安全利益主体信息系统所属类型,即信息系统资产的安全利益主体 信息系统主要处理的业务信息类型信息系统主要处理的业务信息类型 信息系统服务范围,包括服务对象和服务网络覆盖范围信息系统服务范围,包括服务对象和服务网络覆盖范围 业务对信息系统的依赖程度业务对信息系统的依赖程度 等级保护案例简介背景简介 佛山市南海区是我国电子政务发展最早的地区之一,被国务院办公厅确定为“国家电子政务试点示范工程”基地。 南海电子政务应用系统的建设覆盖了全区各级政府部门, 许多部门通过电子政务平台实现数据共享和数据交换,如何确保在保障信息安全的
8、基础上,进一步实现电子政务系统之间的互连互通是进行等级保护工作的重要内容,因此选择南海区做为电子政务系统试点,有着重要的意义。项目内容系统调查与评估系统调查与评估南海等级化服务项目南海等级化服务项目分域保护框架分域保护框架建设对象建设对象 资产调查资产调查总体安全建议总体安全建议 电子政务电子政务系统等级划分系统等级划分 建议方案和建议方案和管理规范管理规范应用与业务调查应用与业务调查定级规范定级规范调查系统定级调查系统定级分域设计分域设计网络调整方案网络调整方案安全组织安全组织管理办法管理办法系统风险和安全系统风险和安全措施调查措施调查评估加固方案评估加固方案体系和规划建议体系和规划建议项目
9、报告项目报告项目成果南海电子政务分域保护对象框架 项目成果电子政务系统等级划分大社保系统平台序号系统名称三性安全等级系统安全等级保密性等级完整性等级可用性等级1南海区社会保险管理信息系统33332南海区民政局业务系统22223南海区社会保障(市民)卡业务系统22224大社保平台数据中心系统23235南海区社会保险公共服务系统2222项目成果电子政务系统等级划分序号系统名称三性安全等级系统安全等级保密性等级完整性等级可用性等级1南海区基金收费非税收入系统23232南海区会计结算中心业务系统23233狮山镇财务结算中心系统22224南海区统计局基层统计系统2222实施的解决方案的内容管理体系建设管
10、理体系建设 南海区电子政务安全组织管理办法南海区电子政务安全组织管理办法 南海电子政务网络系统安全规范南海电子政务网络系统安全规范 南海电子政务互联网服务安全规范南海电子政务互联网服务安全规范 南海电子政务安全业务系统接入规范南海电子政务安全业务系统接入规范 南海电子政务系统等级安全措施指标南海电子政务系统等级安全措施指标 南海电子政务信息安全应急预案南海电子政务信息安全应急预案 南海区电子政务安全运行维护作业计划南海区电子政务安全运行维护作业计划技术体系建设技术体系建设 网络安全改造与安全域隔离网络安全改造与安全域隔离 周期性安全评估与加固周期性安全评估与加固 政务网安全审计平台政务网安全审
11、计平台 安全监管中心平台安全监管中心平台 电子政务容灾备份中心电子政务容灾备份中心 “大社保系统大社保系统”安全建议安全建议项目成果总体安全建议等级保护案例简介等级化安全体系解决方案设计流程保护对象保护对象v公司公司v部门部门v系统系统v计算区域计算区域v网络基础设施网络基础设施v边界边界v核心服务器区域核心服务器区域v终端接入区域终端接入区域v第三方接入区域第三方接入区域安全目标安全目标v公司安全目标公司安全目标v部门安全建设目标部门安全建设目标v系统安全建设目标系统安全建设目标安全要求安全要求v机密性机密性v完整性完整性v可用性可用性v安全组织安全组织v安全策略安全策略v安全运作安全运作v
12、安全技术安全技术安全措施安全措施v策略策略v解决方案解决方案项目内容安全评估与等级划分公司安全体系设计公司等级化安全体系设计安全组织体系安全运作体系安全规划安全技术体系安全策略试点工作3年安全规划公司全面深度安全评估公司全面深度安全评估网管系统安全域划分及原则规范网管系统等级划分及原则规范成果安全工作总体思路1.1.公司安全的使命和目标公司安全的使命和目标-得到安全目标得到安全目标我们的方向是什么?我们的方向是什么?3.3.安全现状安全现状4.4.关键举措和重点工作关键举措和重点工作-得到总体框架和轮廓得到总体框架和轮廓我们做什么?做成什么样子?我们做什么?做成什么样子?-得到工作计划和实施规
13、划得到工作计划和实施规划我们怎么做我们怎么做?2.2.安全体系总体框架安全体系总体框架5.5.实施策略选择实施策略选择6.6.工作计划工作计划7.7.建设实施建设实施8.8.安全运营和持续改进安全运营和持续改进现在,我们开始做现在,我们开始做项目成果安全域划分(一期)项目成果安全域划分(二期)项目成果等级化安全体系的实现安全支撑系统和基础设施安全研究与测试实验室第三方统一安全接入平台全程全网监控和审计平台统一身份鉴别认证平台终端管理和防病毒集中管理平台安全管理运行中心全网安全域划分与边界整合网络安全性调整和改造安全体系核查与改造项目技术体系安全组织体系和岗位职责安全培训与资质认证组织体系安全策
14、略体系和流程梳理安全策略与流程推广实施策略体系体系推广与常年安全咨询运作体系常年安全外包服务保护对象框架项目成果安全组织体系主管领导(主管安全)领导小组组长信息安全领导小组业务部门负责人成员安全部门负责人工作组组长管理部门负责人成员部门安全管理员成员部门安全管理员成员安全办公室负责人负责人安全管理员安全技术员信息安全工作组信息安全办公室项目成果安全策略体系信息安全方针管理规定工作流程安全组织人员职责技术规范信息安全体系公司层面部门安全工作管理办法部门安全组织人员职责部门层面工作表单运行维护计划应急响应计划系统层面项目成果技术体系策略体系技术体系运作体系组织体系公司部门系统公司部门系统防病毒防病
15、毒监控监控审计审计认证认证第三方第三方统一接入统一接入安全域安全域公司层面公司层面访问访问控制控制访问访问控制控制访问访问控制控制主机主机安全安全边界边界隔离隔离数据库数据库安全安全应用应用安全安全安全域安全域边界边界隔离隔离系统层面系统层面项目成果安全运行体系安全目标要求安全目标要求PLAN:安全目标要求安全目标要求安全现状安全现状 安全计划(建设;维护安全计划(建设;维护) Do:安全项目建设安全项目建设安全维护作业安全维护作业1、更新资产补丁拓扑服务等状态2、安全事件通报.3、安全加固4、更新安全现状和安全目标要求差距5、其他.Check:日常安全检查日常安全检查周期性安全评估1、检查安
16、全目标要求的完成状态2、评估安全状况(资产状态;弱点状态),3、安全现状是否符合可控安全环境Action:调整安全目标要求调整安全目标要求规划安全项目绩效考核各部门、安全管理员项目成果建设规划安全组织体系和岗位职责安全培训与资质认证安全策略体系和流程梳理安全研究与测试实验室第三方统一安全接入平台全程全网监控和审计平台统一鉴别认证平台终端管理和防病毒集中管理平台全网安全域划分与边界整合安全管理运行中心安全策略与流程推广实施常年安全咨询与外包服务网络安全性调整和改造安全体系核查与改造项目技术体系建设组织体系建设策略体系建设运作体系建设安全规划安全调查与风险评估保护对象框架设计定级等级化安全体系设计
17、方案设计等级评测材料准备和等级认证一个评估和定级项目一个体系和规划项目系列集成建设项目,3年系列咨询和外包项目,3年定级阶段规划阶段实施阶段评审验收体系推广与常年安全咨询6月7月8月9月10月11月05年安全培训12月06年安全培训周期性安全评估第三方接入平台6件事-维护专网帐户口令6件事-补丁管理检查6件事-安全预警技术和组织方案6件事-生产终端集中管理6件事-服务与端口管理公司安全办公室运行维护中心6月7月8月9月10月11月体系-组织12月6件事-安全域划分6件事-补丁更新6件事-安全预警6件事-生产终端集中管理6件事-服务与端口管理体系-策略周期性安全评估第三方接入平台建设、实施6件事
18、-安全域建设和实施6件事-生产终端集中管理建设和实施6件事-服务与端口管理建设和实施其他:计算机案件处理计算机案件行政违法行政违法刑事违法刑事违法案件性质界定依据行政违法责任和处罚人身自由罚,对违法行为人的人身自由权利进行限制或者剥人身自由罚,对违法行为人的人身自由权利进行限制或者剥夺的行政处罚,夺的行政处罚,中华人民共和国行政处罚法中华人民共和国行政处罚法明确规定了明确规定了行政拘留的处罚形式。行政拘留的处罚形式。声誉罚,对违法行为人的名誉、信誉或者精神上造成一定损声誉罚,对违法行为人的名誉、信誉或者精神上造成一定损害的行政处罚,具体形式包括警告和通报批评等。害的行政处罚,具体形式包括警告和
19、通报批评等。财产罚,对被处罚人的财产权利和利益受到损害的行政处罚,财产罚,对被处罚人的财产权利和利益受到损害的行政处罚,具体形式包括罚款和没收违法所得等。具体形式包括罚款和没收违法所得等。资格罚,以剥夺或限制被处罚人的资格为内容的行政处罚,资格罚,以剥夺或限制被处罚人的资格为内容的行政处罚,主要形式为吊销许可证和取消联网资格等。主要形式为吊销许可证和取消联网资格等。责令作为与不作为罚,直接要求被处罚人作出某种行为或不责令作为与不作为罚,直接要求被处罚人作出某种行为或不得作出某种行为,也被称为义务罚,主要形式为停止生产、得作出某种行为,也被称为义务罚,主要形式为停止生产、停机整顿、停止联网等。停
20、机整顿、停止联网等。行政违法责任和处罚在计算机信息网络安全管理的实际执法中,主要的行政处罚包括警告、通报批评、停机整顿、责令停止联网、取消联网资格、取消检测资格、罚款、吊销许可证、拘留等形式。行政违法案件查处程序立案调查取证裁决执行 刑事犯罪类型非法侵入计算机信息系统罪 破坏计算机信息系统罪 利用计算机作为工具实施犯罪 3项罪行在刑法第285287条有相应的阐述刑事犯罪案件处理程序报案和受理我我国国计计算算机机信信息息系系统统安安全全保保护护条条例例第第十十四四条条规规定定,“ “对对计计算算机机信信息息系系统统中中发发生生的的案案件件,有有关关使使用用单单位位应应当当在在小小时时内内向向当当地地县县级以上人民政府公安机关报告级以上人民政府公安机关报告” ”。 报案渠道 直接向所辖地区的派出所报案,由派出所予以受理。直接向所辖地区的派出所报案,由派出所予以受理。 通过统一报警电话通过统一报警电话110110,向公安机关报案。,向公安机关报案。 通过公安部网络违法案件举报网站通过公安部网络违法案件举报网站http:/http:/,向公,向公安部报案。安部报案。 关于计算机犯罪事件(1)及时报告(2)不对系统做任何操作,保留现场证据(3)公安部相关技术人员操作 利用专有工具先做一份内存镜像 硬盘整块镜像,原始硬盘保存,对镜像盘进行取证分析 保管过程要严格管理
