《信息安全防护措施与等级保护课件》由会员分享,可在线阅读,更多相关《信息安全防护措施与等级保护课件(107页珍藏版)》请在金锄头文库上搜索。
1、第第5 5讲讲 信息安全防护措施与信息安全防护措施与等级保护等级保护课前检查 李李国国华华是是一一个个计计算算机机记记录录员员,在在一一个个数数据据收收集集记记录录部部门门工工作作,可可以以访访问问有有关关财财产产税税记记录录的的相相关关文文件件。为为了了作作一一项项科科学学研研究究,王王爱爱民民被被授权访问记录的数字部分,但无权访问相关人的姓名部分。授权访问记录的数字部分,但无权访问相关人的姓名部分。 王王爱爱民民找找到到了了想想要要使使用用的的一一些些信信息息,但但是是需需要要对对应应的的姓姓名名和和地地址址信信息息。于于是是他他向向李李国国华华索索要要相相关关人人的的姓姓名名、地地址址,
2、以以便便与与这这些些研研究究对对象进行联系,从而获得更多信息,开展进一步研究。象进行联系,从而获得更多信息,开展进一步研究。 李国华是否应该将姓名、地址信息告诉王爱民呢?李国华是否应该将姓名、地址信息告诉王爱民呢?案例案例案例案例1 1分析分析分析分析1 1、工作权限与责任问题。、工作权限与责任问题。记录员没有权力决定数据信息是否可以给别人使用。应该请示上级。记录员没有权力决定数据信息是否可以给别人使用。应该请示上级。2 2、隐私数据使用问题。、隐私数据使用问题。科学研究只能访问统计数据,而不能随便访问涉及个人隐私的信息数据科学研究只能访问统计数据,而不能随便访问涉及个人隐私的信息数据3 3、
3、使用隐私数据动机问题。、使用隐私数据动机问题。声称作研究用,但也可能有其他目的。声称作研究用,但也可能有其他目的。4 4、工作权限的确定问题。、工作权限的确定问题。只只允允许许访访问问统统计计数数据据,不不允允许许访访问问个个体体姓姓名名、地地址址,说说明明科科学学研研究究的的范范围。只能在此范围内完成。围。只能在此范围内完成。类似的还有医学研究,要访问医疗疾病数据。也有隐私问题类似的还有医学研究,要访问医疗疾病数据。也有隐私问题 郭郭某某是是一一个个程程序序员员,在在一一家家大大公公司司下下的的计计算算机机子子公公司司X X工工作作。这这家家公公司司有有很很多多政府合同。陆某是郭某的上级,分
4、配郭某去编写不同种类的仿真程序。政府合同。陆某是郭某的上级,分配郭某去编写不同种类的仿真程序。 为为了了提提高高工工作作效效率率,郭郭某某编编写写了了一一些些工工具具程程序序,如如交交叉叉引引用用等等工工具具。但但这这些些都都不不是是分分配配给给他他的的工工作作,而而是是郭郭某某晚晚上上在在自自己己家家里里使使用用自自己己的的计计算算机机编编写写完完成成的的。他在工作中使用,没有将这些告诉任何人。他在工作中使用,没有将这些告诉任何人。 郭郭某某决决定定出出售售自自己己的的这这些些工工具具程程序序。当当公公司司经经理理得得知知后后,命命陆陆某某转转告告郭郭某某,无无权出售这些工具,因为受聘时签订
5、的合同,注明了他的所有发明都属于公司。权出售这些工具,因为受聘时签订的合同,注明了他的所有发明都属于公司。案例案例案例案例2 2分析分析分析分析 陆陆某某不不同同意意这这个个观观点点,因因为为他他知知道道郭郭某某是是自自行行完完成成这这些些工工具具的的。所所有有他他很很不不情愿地告诉郭某不要在市场上出售这些工具,并叫郭某复制了一份给他。情愿地告诉郭某不要在市场上出售这些工具,并叫郭某复制了一份给他。 之之后后,陆陆某某辞辞去去了了该该公公司司的的工工作作,并并在在另另一一计计算算机机公公司司Y Y当当上上了了管管理理人人员员。该该公公司司是是X X公公司司的的竞竞争争对对手手。他他把把郭郭某某
6、的的工工具具复复制制版版发发给给和和他他一一起起工工作作的的员员工工们们。使使他们大大提高了工作效率。因而陆某受到经理嘉奖,获得一大笔奖金。他们大大提高了工作效率。因而陆某受到经理嘉奖,获得一大笔奖金。 郭郭某某听听说说后后就就和和陆陆某某联联系系交交涉涉,而而陆陆某某争争辩辩说说,因因为为这这些些工工具具属属于于X X公公司司,且且它的运转靠的是政府资金,所以这些工具是公共产品,并不属于任何人。它的运转靠的是政府资金,所以这些工具是公共产品,并不属于任何人。1 1、权权利利问问题题。对对于于这这些些工工具具软软件件。郭郭某某、陆陆某某、X X公公司司、Y Y公公司司各各自自的的权权利是什么?
7、利是什么?2 2、权权利利的的根根据据。谁谁给给了了他他们们的的这这些些权权利利?这这个个案案例例牵牵涉涉到到哪哪些些有有关关公公平平竞争、商业、财产权的原则。竞争、商业、财产权的原则。3 3、在公司开发产品的考虑。郭某能作什么事?、在公司开发产品的考虑。郭某能作什么事?4 4、对对员员工工自自己己开开发发的的产产品品应应该该如如何何处处理理。X X公公司司如如何何作作?陆陆某某如如何何作作?Y Y公司如何作?公司如何作?1.1.1.1.信息安全防护措施信息安全防护措施信息安全防护措施信息安全防护措施2.2.2.2.信息安全等级保护信息安全等级保护信息安全等级保护信息安全等级保护等级保护基本概
8、念介绍等级保护基本概念介绍等级保护定级等级保护定级等级保护基本要求等级保护基本要求等级保护实施等级保护实施等级保护测评等级保护测评第第5讲讲 信息安全防护措施与信息安全防护措施与等级保护等级保护学习目标技能目标技能目标技能目标技能目标1. 1.能构建信息泄密风险防护整体解决方案能构建信息泄密风险防护整体解决方案能构建信息泄密风险防护整体解决方案能构建信息泄密风险防护整体解决方案2. 2.能根据相应的法律法规,判断信息安全的合法性能根据相应的法律法规,判断信息安全的合法性能根据相应的法律法规,判断信息安全的合法性能根据相应的法律法规,判断信息安全的合法性知识目标知识目标知识目标知识目标1. 1.
9、了解信息安全等级保护的含义了解信息安全等级保护的含义了解信息安全等级保护的含义了解信息安全等级保护的含义2. 2.知道信息安全等级保护制度体系的组成知道信息安全等级保护制度体系的组成知道信息安全等级保护制度体系的组成知道信息安全等级保护制度体系的组成 3. 3.熟悉信息安全等级保护制度熟悉信息安全等级保护制度熟悉信息安全等级保护制度熟悉信息安全等级保护制度 4. 4.了解有哪些信息安全保护措施了解有哪些信息安全保护措施了解有哪些信息安全保护措施了解有哪些信息安全保护措施信息安全信息安全等级保护等级保护为什么要进行等级保护为什么要进行等级保护如何进行等级保护如何进行等级保护什么是等级保护什么是等
10、级保护等级保护标准整体框架等级保护标准整体框架等级保护定级等级保护定级等级保护基本要求等级保护基本要求什么是等级保护?信信息息系系统统安安全全等等级级保保护护是是指指对对信信息息和和信信息息系系统统划划分为五个安全保护和监管等级,实行分等级保护。分为五个安全保护和监管等级,实行分等级保护。 每月新增计算机病毒几千种,感染计算机每月新增计算机病毒几千种,感染计算机每月新增计算机病毒几千种,感染计算机每月新增计算机病毒几千种,感染计算机1000100010001000多万多万多万多万台。台。台。台。 10101010多万个网络地址对应的主机被木马控制多万个网络地址对应的主机被木马控制多万个网络地址
11、对应的主机被木马控制多万个网络地址对应的主机被木马控制 300300300300多台被利用作为僵尸网络控制端服务器多台被利用作为僵尸网络控制端服务器多台被利用作为僵尸网络控制端服务器多台被利用作为僵尸网络控制端服务器 网页篡改事件达网页篡改事件达网页篡改事件达网页篡改事件达5000500050005000多次。多次。多次。多次。为什么实行等级保护?为什么实行等级保护? 据英国一家报纸报道,最近该国国家医据英国一家报纸报道,最近该国国家医据英国一家报纸报道,最近该国国家医据英国一家报纸报道,最近该国国家医疗服务系统和疗服务系统和疗服务系统和疗服务系统和1010多家政府网站被入侵并植入多家政府网站
12、被入侵并植入多家政府网站被入侵并植入多家政府网站被入侵并植入病毒,登录这些网站的用户都可能感染病毒病毒,登录这些网站的用户都可能感染病毒病毒,登录这些网站的用户都可能感染病毒病毒,登录这些网站的用户都可能感染病毒并导致个人信息泄露。并导致个人信息泄露。并导致个人信息泄露。并导致个人信息泄露。 为什么实行等级保护?为什么实行等级保护?我国我国2003-2007被篡改网站数量被篡改网站数量 黑客入侵了美国某银行在某商店的黑客入侵了美国某银行在某商店的自动提款机网络,盗取客户识别码,继自动提款机网络,盗取客户识别码,继而使用空白卡从自动提款机提取现金。而使用空白卡从自动提款机提取现金。 为什么实行等
13、级保护?为什么实行等级保护?为什么实行等级保护?为什么实行等级保护?真正的中国工商银行网站真正的中国工商银行网站真正的中国工商银行网站真正的中国工商银行网站 假冒的中国工商银行网站假冒的中国工商银行网站假冒的中国工商银行网站假冒的中国工商银行网站 如何进行等级保护?根根据据信信息息系系统统应应用用业业务务重重要要程程度度及及其其实实际际安安全全需需求求,实实行行分分级级、分分类类、分分阶阶段段实实施施保保护护,保保障障信信息息安安全全和和系系统统安安全全正正常常运运行行,维维护护国国家家利利益益、公公共利益和社会稳定。共利益和社会稳定。如何进行等级保护?等等级级保保护护的的核核心心是是对对信信
14、息息系系统统特特别别是是对对业业务务应应用用系系统统安安全全分分等等级级、按按标标准准进进行行建建设设、管管理理和和监监督督。国国家家对对信信息息安安全全等等级级保保护护工工作作运运用用法法律律和和技技术术规规范范逐逐级级加加强强监监管管力力度度。突突出出重重点点,保保障障重重要要信信息息资源和重要信息系统的安全。资源和重要信息系统的安全。等级保护标准总体框架中办发中办发中办发中办发200327200327号号号号国家信息化领导小组关于加强信息安全保障工作的意见国家信息化领导小组关于加强信息安全保障工作的意见国家信息化领导小组关于加强信息安全保障工作的意见国家信息化领导小组关于加强信息安全保障
15、工作的意见公通字公通字公通字公通字200466200466号号号号关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的实施意见公通字公通字公通字公通字200643200643号号号号信息安全登记保护管理办法信息安全登记保护管理办法信息安全登记保护管理办法信息安全登记保护管理办法实实实实施施施施指指指指南南南南等等等等级级级级划划划划分分分分准准准准则则则则定定定定级级级级指指指指南南南南测测测测评评评评准准准准则则则则基基基基本本本本要要要要求求求求通通通通用用用用安安安安全全全全技技技技术术术术要要要要求求求求网网网
16、网络络络络基基基基础础础础安安安安全全全全技技技技术术术术要要要要求求求求操操操操作作作作系系系系统统统统安安安安全全全全技技技技术术术术要要要要求求求求数数数数据据据据库库库库安安安安全全全全技技技技术术术术要要要要求求求求服服服服务务务务器器器器安安安安全全全全技技技技术术术术要要要要求求求求终终终终端端端端安安安安全全全全技技技技术术术术要要要要求求求求中保委发中保委发中保委发中保委发2004720047号号号号国保发国保发国保发国保发200516200516号号号号B BMMB B1 17 7- -2 20 00 06 6B BMMB B2 20 0- -2 20 00 07 7B B
17、MMB B2 22 2- -2 20 00 07 7分分分分级级级级保保保保护护护护方方方方案案案案设设设设计计计计指指指指南南南南等级保护标准制修订背景等级保护标准制修订背景2003200320032003年年年年9 9 9 9月月月月中办国办颁发中办国办颁发中办国办颁发中办国办颁发关于加强信息安关于加强信息安关于加强信息安关于加强信息安全保障工作的意见全保障工作的意见全保障工作的意见全保障工作的意见中办发中办发中办发中办发200327200327200327200327号号号号2005200520052005年年年年9 9 9 9月月月月国信办文件国信办文件国信办文件国信办文件 关于转发关
18、于转发关于转发关于转发电电电电子政务信息安全等子政务信息安全等子政务信息安全等子政务信息安全等级保护实施指南级保护实施指南级保护实施指南级保护实施指南的通知的通知的通知的通知 国信办国信办国信办国信办200425200425200425200425号号号号2006200620062006年年年年1 1 1 1月月月月四部委会签四部委会签四部委会签四部委会签 关于印发关于印发关于印发关于印发信信信信息安全等级保护管息安全等级保护管息安全等级保护管息安全等级保护管理办法的通知理办法的通知理办法的通知理办法的通知 公通字公通字公通字公通字20067200672006720067号号号号2005200
19、520052005年年年年 公安部标准公安部标准公安部标准公安部标准基本要求基本要求基本要求基本要求定级指南定级指南定级指南定级指南实施指南实施指南实施指南实施指南测评准则测评准则测评准则测评准则2004200420042004年年年年11111111月月月月四部委会签四部委会签四部委会签四部委会签关于信息安全等关于信息安全等关于信息安全等关于信息安全等级保护工作的实施级保护工作的实施级保护工作的实施级保护工作的实施意见意见意见意见公通字公通字公通字公通字200466200466200466200466号号号号云南云南云南云南云南省人民云南省人民云南省人民云南省人民政府第政府第政府第政府第13
20、0130130130号令号令号令号令 浙江浙江浙江浙江浙江省人民浙江省人民浙江省人民浙江省人民政府令政府令政府令政府令 北京北京北京北京北京政府第北京政府第北京政府第北京政府第9 9 9 9号令号令号令号令 国家级政策文件国家级政策文件国家级政策文件国家级政策文件国家级技术标准国家级技术标准国家级技术标准国家级技术标准国家级政策文件国家级政策文件国家级政策文件国家级政策文件地方政策文件地方政策文件地方政策文件地方政策文件安全安全安全安全控制控制控制控制定级定级定级定级指南指南指南指南过程过程过程过程方法方法方法方法确定确定确定确定系统系统系统系统等级等级等级等级启动启动启动启动采购采购采购采购
21、/ / / /开发开发开发开发实施实施实施实施运行运行运行运行/ / / /维护维护维护维护废弃废弃废弃废弃确定确定确定确定安全安全安全安全需求需求需求需求设计设计设计设计安全安全安全安全方案方案方案方案安全安全安全安全建设建设建设建设安全安全安全安全测评测评测评测评监督监督监督监督管理管理管理管理运行运行运行运行维护维护维护维护暂不暂不暂不暂不考虑考虑考虑考虑特殊特殊特殊特殊需求需求需求需求等级等级等级等级需求需求需求需求基本基本基本基本要求要求要求要求产品产品产品产品使用使用使用使用选选选选型型型型监督监督监督监督管理管理管理管理测评测评测评测评准则准则准则准则流程流程流程流程方法方法方法
22、方法监管监管监管监管流程流程流程流程应急应急应急应急预案预案预案预案应急应急应急应急响应响应响应响应等级保护标准制修订背景等级保护标准制修订背景课堂检测等等级级保保护护保保护护对对象象有有哪哪些些?哪哪些些对对象象不不属属于等级保护范围?于等级保护范围?等级保护有几个等级?各级名称?等级保护有几个等级?各级名称?等级保护有哪些步骤?等级保护有哪些步骤?等级保护标准有哪些?等级保护标准有哪些?等级保护定级维度等等级级保保护护对对象象受受到到破破坏时所侵害的客体坏时所侵害的客体对对客客体体造造成成侵侵害害的的程程度度 定级阶段- -关于定级范围关于定级范围(一)电信、广电行业的公用通信网、广播电视
23、传(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重单位、互联网接入服务单位、数据中心等单位的重要信息系统。要信息系统。(二)铁路、银行、海关、税务、民航、电力、证(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、利、国土资源、能源、交通、文化、教育、统计、工
24、商行政管理、邮政等行业、部门的生产、调度、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。管理、办公等重要信息系统。(三)市(地)级以上党政机关的重要网站和办公(三)市(地)级以上党政机关的重要网站和办公信息系统信息系统 一、定级对象的三个条件一、定级对象的三个条件 具有唯一确定的具有唯一确定的安全责任单位安全责任单位安全责任单位安全责任单位n n作作为为定定级级对对象象的的信信息息系系统统应应能能够够唯唯一一地地确确定定其其安安全全责责任任单单位位,这这个个安安全全责责任任单单位位就就是是负负责责等等级级保保护护工工作作部部署署、实实施施的的单单位位,也是完成等级保护备
25、案和接受监督检查的直接责任单位。也是完成等级保护备案和接受监督检查的直接责任单位。 满足满足信息系统的基本要素信息系统的基本要素信息系统的基本要素信息系统的基本要素n n作作为为定定级级对对象象的的信信息息系系统统应应该该是是由由相相关关的的和和配配套套的的设设备备、设设施施按按照照一一定定的的应应用用目目标标和和规规则则组组合合而而成成的的有有形形实实体体。应应避避免免将将某某个个单单一一的的系系统统组组件件,如如单单台台的的服服务务器器、终终端端或或网网络络设设备备等作为定级对象。等作为定级对象。定级阶段- -关于定级对象确定关于定级对象确定一、定级对象的三个条件一、定级对象的三个条件 承
26、载承载相对独立的业务相对独立的业务相对独立的业务相对独立的业务应用应用n n定定级级对对象象承承载载“ “相相对对独独立立” ”的的业业务务应应用用是是指指其其中中的的一一个个或或多多个个业业务务应应用用的的主主要要业业务务流流程程、部部分分业业务务功功能能独独立立,同同时时与与其其他他信信息息系系统统的的业业务务应应用用有有少少量量的的数数据据交交换换,定定级级对对象象可可能能会会与与其其他他业业务务应应用用共共享享一一些些设设备备,尤尤其其是是网网络络传传输输设设备备。“ “相相对对独独立立” ”的的业业务务应应用用并并不不意意味味着着整个业务流程,可以是完整的业务流程的一部分。整个业务流
27、程,可以是完整的业务流程的一部分。定级阶段- -关于定级对象确定关于定级对象确定二、定级对象的识别和划分二、定级对象的识别和划分 可能使定级要素赋值不同因素可能使定级要素赋值不同因素n n可能涉及不同客体的系统。可能涉及不同客体的系统。n n可能对客体造成不同程度损害的系统。可能对客体造成不同程度损害的系统。n n处理不同类型业务的系统。处理不同类型业务的系统。 本身运行在不同的网络环境中的系统。本身运行在不同的网络环境中的系统。 分不开的系统,按照高级别保护。分不开的系统,按照高级别保护。定级阶段- -关于定级对象确定关于定级对象确定 系系统统边边界界不不应应出出现现在在服服务务器器内内部部
28、,服服务务器器共共用用的的系系统统一一般般归归入入同同一一个个信信息息系系统统,因因此此不不同同信信息息系系统统的的共共用用设设备备一一般般是是网网络络/ /边边界界设备或终端设备。设备或终端设备。 两两个个信信息息系系统统边边界界存存在在共共用用设设备备时时,共共用用设设备备的的安安全全保保护护等等级级按按两两个个信信息息系系统统安安全全保保护护等等级级较较高高者者确确定定。例例如如,一一个个2 2级级系系统统和和一一个个3 3级级系系统统之之间间有有一一个个防防火火墙墙或或两两个个系系统统共共用用一一个个核核心心交交换换机机,此此时时防防火火墙墙和和交交换换机机可可以以作作为为两两个个系系
29、统统的的边边界界设设备备,但但应应满满足足3 3级系统的要求。级系统的要求。定级阶段- -关于系统边界关于系统边界 信信息息系系统统的的管管理理终终端端是是与与相相应应被被管管理理设设备备相相对对应应的的,服服务务器器、网网络络设设备备及及安安全全设设备备等等属属于于哪哪个个系系统统,终终端端就就应应归归在在哪个信息系统中。哪个信息系统中。 如如果果无无法法做做到到不不同同等等级级的的信信息息系系统统使使用用不不同同的的终终端端设设备备,则则应应将将终终端端设设备备划划分分为为其其他他的的信信息息系系统统,并并在在服服务务器器与与内内部部用用户户终终端端之之间间建建立立边边界界保保护护,对对终
30、终端端通通过过身身份份鉴鉴别别和和访访问控制等措施加以控制。问控制等措施加以控制。 处处理理涉涉密密信信息息的的终终端端必必须须划划分分到到相相应应的的信信息息系系统统中中,且且不不能与非涉密系统共用终端。能与非涉密系统共用终端。定级阶段- -关于系统边界关于系统边界 识别单位基本信息识别单位基本信息 n n了了解解单单位位基基本本信信息息有有助助于于判判断断单单位位的的职职能能特特点点,单单位位所所在在行行业业及及单单位位在在行行业业所所处处的的地地位位和和所所用用,由由此此判判断断单单位位主主要要信信息息系系统统的宏观定位。的宏观定位。 识别业务种类、流程和服务识别业务种类、流程和服务n
31、n应应重重点点了了解解定定级级对对象象信信息息系系统统中中不不同同业业务务系系统统提提供供的的服服务务在在影影响响履履行行单单位位职职能能方方面面具具体体方方式式和和程程度度,影影响响的的区区域域范范围围、用用户户人人数数、业业务务量量的的具具体体数数据据以以及及对对本本单单位位以以外外机机构构或或个个人人的的影影响响等等方方面面。这这些些具具体体数数据据即即可可以以为为主主管管部部门门制制定定定定级级指指导导意意见见提提供参照,也可以作为主管部门审批定级结果的重要依据。供参照,也可以作为主管部门审批定级结果的重要依据。定级阶段- -关于定级过程关于定级过程 识别信息识别信息n n调调查查了了
32、解解定定级级对对象象信信息息系系统统所所处处理理的的信信息息,了了解解单单位位对对信信息息的的三三个个安安全全属属性性的的需需求求,了了解解不不同同业业务务数数据据在在其其保保密密性性、完完整整性性和和可可用用性性被被破破坏坏后后在在单单位位职职能能、单单位位资资金金、单单位位信信誉誉、人人身身安安全全等等方方面面可可能能对对国国家家、社社会会、本本单单位位造造成成的的影影响响,对对影响程度的描述应尽可能量化。影响程度的描述应尽可能量化。 识别网络结构和边界识别网络结构和边界n n调调查查了了解解定定级级对对象象信信息息系系统统所所在在单单位位的的整整体体网网络络状状况况、安安全全防防护护和和
33、外外部部连连接接情情况况,目目的的是是了了解解信信息息系系统统所所处处的的单单位位内内部部网网络络环环境境和和外外部部环环境境特特点点,以以及及该该信信息息系系统统的的网网络络安安全全保保护护与单位内部网络环境的安全保护的关系。与单位内部网络环境的安全保护的关系。定级阶段- -关于定级过程关于定级过程 识别主要的软硬件设备识别主要的软硬件设备n n调调查查了了解解与与定定级级对对象象信信息息系系统统相相关关的的服服务务器器、网网络络、终终端端、存存储储设设备备以以及及安安全全设设备备等等,设设备备所所在在网网段段,在在系系统统中中的的功功能能和和作作用用。调调查查设设备备的的位位置置和和作作用
34、用主主要要就就是是发发现现不不同同信信息息系系统统在设备使用方面的共用程度。在设备使用方面的共用程度。 识别用户类型和分布识别用户类型和分布n n调调查查了了解解各各系系统统的的管管理理用用户户和和一一般般用用户户,内内部部用用户户和和外外部部用用户户,本本地地用用户户和和远远程程用用户户等等类类型型,了了解解用用户户或或用用户户群群的的数数量量分分布布,判判断断系系统统服服务务中中断断或或系系统统信信息息被被破破坏坏可可能能影影响响的的范范围围和程度。和程度。 形成定级结果形成定级结果n n取各类信息和服务的较高。取各类信息和服务的较高。定级阶段- -关于定级过程关于定级过程 定级阶段相关技
35、术环节定级阶段相关技术环节n n行业定级指导意见行业定级指导意见n n关键概念关键概念n n定级方法定级方法定级阶段_相关技术环节 根根据据管管理理办办法法第第十十条条:信信息息系系统统运运营营、使使用用单单位位应应当当依依据据本本办办法法和和信信息息系系统统安安全全等等级级保保护护定定级级指指南南确确定定信信息息系系统统的的安安全全保保护护等等级级。有有主主管管部部门门的的,应应当当经经主主管管部部门门审审核核批批准准。跨跨省省或或者者全全国国统统一一联联网网运运行行的的信息系统可以由主管部门统一确定安全保护等级。信息系统可以由主管部门统一确定安全保护等级。 根根据据关关于于开开展展全全国国
36、重重要要信信息息系系统统安安全全等等级级保保护护定定级级工工作作的的通通知知(以以下下简简称称定定级级通通知知)要要求求:各各行行业业主主管管部部门门要要根根据据行行业业特特点点提提出出指指导导本地区、本行业定级工作的指导意见。本地区、本行业定级工作的指导意见。定级阶段 为什么需要行业对定级提出指导意见为什么需要行业对定级提出指导意见n n行业的职能不同行业的职能不同n n信息系统在行业内所发挥的作用不同信息系统在行业内所发挥的作用不同n n信息系统被破坏后对国家和社会的危害后果不同信息系统被破坏后对国家和社会的危害后果不同n n行业主管部门比运营使用单位具有更高的站位、更宏观的视野行业主管部
37、门比运营使用单位具有更高的站位、更宏观的视野定级阶段- -关于行业定级指导意见关于行业定级指导意见 行业定级指导意见的意义:行业定级指导意见的意义:n n贯彻四部委会签的贯彻四部委会签的管理办法管理办法n n阐明本行业实施等级保护工作的政策和方针阐明本行业实施等级保护工作的政策和方针n n制定本行业定级工作的阶段计划制定本行业定级工作的阶段计划n n统一本行业对定级要素赋值规范统一本行业对定级要素赋值规范定级阶段- -关于行业定级指导意见关于行业定级指导意见 定级工作的指导意见应包括:定级工作的指导意见应包括:n n对定级对象确定的指导对定级对象确定的指导n n符符合合哪哪些些条条件件的的信信
38、息息系系统统的的等等级级保保护护客客体体是是国国家家安安全全、哪哪些些是是公公共利益共利益/ /社会秩序。社会秩序。n n对不同类型的等级保护客体,本行业主要关注哪些危害后果对不同类型的等级保护客体,本行业主要关注哪些危害后果n n对对于于每每一一类类等等级级保保护护客客体体,符符合合哪哪些些条条件件可可以以判判断断为为一一般般损损害害、哪些是严重损害、哪些是非常严重损害哪些是严重损害、哪些是非常严重损害定级阶段- -关于行业定级指导意见关于行业定级指导意见定级阶段_关于三种危害程度 不同危害后果的三种危害程度描述如下:不同危害后果的三种危害程度描述如下:不同危害后果的三种危害程度描述如下:不
39、同危害后果的三种危害程度描述如下:一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。对其他组织和个人造成较低
40、损害。对其他组织和个人造成较低损害。对其他组织和个人造成较低损害。严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人
41、造成较严重损害。影响,对其他组织和个人造成较严重损害。影响,对其他组织和个人造成较严重损害。影响,对其他组织和个人造成较严重损害。特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,重下降且或功能无法执行
42、,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。大范围的社会不良影响,对其他组织和个人造成非常严重损害。大范围的社会不良影响,对其他组织和个人造成非常严重损害。大范围的社会不良影响,对其他组织和个人造成非常严重损害。等级保护对象受到破坏时所侵害的客体包括以下三个方面:等级保护对象受到破坏时所侵害的客体包括以下三个方面:n n公民、法人和其他组织的合法权益;公民、法人和其他组织的合法权益;n n社会秩序、公共利益;社会秩序、公共利益;n n国家安全。国家安全。 定级阶段-三种客体定级要素与安全保护等级的关系 对对定级指南定级指南中有关概念的补充说
43、明:中有关概念的补充说明:n n三种客体三种客体n n对客体侵害程度对客体侵害程度定级阶段_关键概念的补充说明三种受侵害的客体体现了三种不同层次、不同覆盖范围的社会关系。三种受侵害的客体体现了三种不同层次、不同覆盖范围的社会关系。 国国国国家家家家安安安安全全全全利利益益体体现现了了国国家家层层面面、与与全全局局相相关关的的国国家家政政治治安安全全、军军事事安安全全、经济安全、社会安全、科技安全和资源环境安全等方面利益。经济安全、社会安全、科技安全和资源环境安全等方面利益。 社社社社会会会会秩秩秩秩序序序序包包括括社社会会的的政政治治、经经济济、生生产产、生生活活、科科研研、工工作作等等各各方
44、方面面的的正正常常秩秩序序。公公共共利利益益是是指指不不特特定定的的社社会会成成员员所所共共同同享享有有的的,维维持持其其生生产产、生活、教育、卫生等方面的利益。、生活、教育、卫生等方面的利益。 合合合合法法法法权权权权益益益益是是法法律律确确认认的的并并受受法法律律保保护护的的公公民民、法法人人和和其其他他组组织织所所享享有有的的一定的社会权利和利益,一定的社会权利和利益, 定级阶段-三种客体说明 对对客客体体的的侵侵害害不不是是威威胁胁直直接接作作用用的的结结果果,而而是是通通过过对对等等级级保保护护对对象象信信息息系系统统的的破破坏坏而而导导致致的的,因因此此确确定定对对客客体体侵侵害害
45、的的程程度度时时,必必须须考考虑虑对对等等级级保保护护对对象象所所造造成成破破坏坏的的不不同同客客观观表表现现形形态态以及不同程度的结果,也就是侵害的客观方面。以及不同程度的结果,也就是侵害的客观方面。定级阶段 关于损害后果关于损害后果n n影影影影响响响响行行行行使使使使工工工工作作作作职职职职能能能能,工工作作职职能能包包括括国国家家管管理理职职能能、公公共共管管理理职职能、公共服务职能等国家或社会方面的职能。能、公共服务职能等国家或社会方面的职能。n n导导导导致致致致业业业业务务务务能能能能力力力力下下下下降降降降,下下降降的的表表现现形形式式可可能能包包括括业业务务范范围围的的减减少
46、少、业业务务处处理理性性能能的的下下降降、可可服服务务的的用用户户数数量量的的下下降降以以及及其其他他各各种种业业务务指指标标的的下下降降,每每个个行行业业务务都都有有本本行行业业关关注注的的业业务务指指标标。例例如如电电力力行行业业关关注注发发电电量量和和用用电电量量,税税务务行行业业关关注注税税费费收收入入,银银行行业业关关注注存存款款额额、贷贷款款额额、交交易易量量等等,证证券券经经纪纪行行业业关关注注股股民民数和交易额。数和交易额。定级阶段-关于损害的详述 关于损害后果关于损害后果n n引引引引起起起起法法法法律律律律纠纠纠纠纷纷纷纷是是比比较较严严重重的的影影响响,在在较较轻轻的的程
47、程度度时时可可能表现为投诉、索赔、媒体曝光等形式。能表现为投诉、索赔、媒体曝光等形式。n n导导导导致致致致财财财财产产产产损损损损失失失失,包包括括系系统统资资产产被被破破坏坏的的直直接接损损失失、业业务务量量下下降降带带来来的的损损失失、直直接接的的资资金金损损失失、为为客客户户索索赔赔所所支支付付的的资资金金等等,以以及及由由于于信信誉誉下下降降、单单位位形形象象降降低低、客户关系损失等导致的间接经济损失。客户关系损失等导致的间接经济损失。n n直直直直接接接接造造造造成成成成人人人人员员员员伤伤伤伤亡亡亡亡,例例如如医医疗疗服服务务系系统统,公公安安行行业业的的某些系统等。某些系统等。
48、n n造造造造成成成成社社社社会会会会不不不不良良良良影影影影响响响响,包包括括在在社社会会风风气气、执执政政信信心心等等方方面的影响。面的影响。定级阶段- -关于损害的详述关于损害的详述定级阶段- -关于损害的详述关于损害的详述安全保护级别信息和信息系统受到破坏后的影响1 自主保护级不会损害国家安全、社会秩序和公共利益。2 指导保护级会对社会秩序和公共利益造成轻微损害,但不损害国家安全。3 监督保护级会对国家安全、社会秩序和公共利益造成损害。4 强制保护级 会对国家安全、社会秩序和公共利益造成严重损害。5 专控保护级 会对国家安全、社会秩序和公共利益造成特别严重损害。定级阶段- -关于定级级
49、别关于定级级别等级对象侵害客体侵害程度监管强度第一级一般系统合法利益损害自主性保护第二级合法权益严重损害指导性保护社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督性保护国家安全损害第四级社会秩序和公共利益特别严重损害强制性保护国家安全严重损害第五级极端重要系统国家安全特别严重损害专控性保护定级阶段- -关于定级方法关于定级方法定级的一般方法定级的一般方法定级的一般方法定级的一般方法 信息系统安全包括业务信息安全和系统服务安全,与之信息系统安全包括业务信息安全和系统服务安全,与之信息系统安全包括业务信息安全和系统服务安全,与之信息系统安全包括业务信息安全和系统服务安全,与之相关
50、的受侵害客体和对客体的侵害程度可能不同,因此,信相关的受侵害客体和对客体的侵害程度可能不同,因此,信相关的受侵害客体和对客体的侵害程度可能不同,因此,信相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。息系统定级也应由业务信息安全和系统服务安全两方面确定。息系统定级也应由业务信息安全和系统服务安全两方面确定。息系统定级也应由业务信息安全和系统服务安全两方面确定。 从业务信息安全角度反映的信息系统安全保护等级称业从业务信息安全角度反映的信息系统安全保护等级称业从业务信息安全角度反映的信息系统安全保护等级称业从业务信息安全角度反映的信息系统安
51、全保护等级称业务信息安全保护等级。务信息安全保护等级。务信息安全保护等级。务信息安全保护等级。 从系统服务安全角度反映的信息系统安全保护等级称系从系统服务安全角度反映的信息系统安全保护等级称系从系统服务安全角度反映的信息系统安全保护等级称系从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。统服务安全保护等级。统服务安全保护等级。统服务安全保护等级。定级阶段- -关于定级方法关于定级方法定级阶段-关于定级方法与流程 根根据据业业务务信信息息安安全全被被破破坏坏时时所所侵侵害害的的客客体体以以及及对对相相应应客客体体的的侵侵害害程程度度,依依据据下下表表业业务务信息安全保护等级矩
52、阵表,即可得到业务信息安全保护等级。信息安全保护等级矩阵表,即可得到业务信息安全保护等级。 定级阶段-关于定级方法与流程 根根据据系系统统服服务务安安全全被被破破坏坏时时所所侵侵害害的的客客体体以以及及对对相相应应客客体体的的侵侵害害程程度度,依依据据下下表表系统服务安全保护等级矩阵表,即可得到系统服务安全保护等级。系统服务安全保护等级矩阵表,即可得到系统服务安全保护等级。 四个主要因素决定等级四个主要因素决定等级系统所属类型系统所属类型系统所属类型系统所属类型业务信息类别业务信息类别业务信息类别业务信息类别系统服务范围系统服务范围系统服务范围系统服务范围业务依赖程度业务依赖程度业务依赖程度业
53、务依赖程度业务信息业务信息业务信息业务信息安全性安全性安全性安全性业务服务业务服务业务服务业务服务保证性保证性保证性保证性信息系统安信息系统安信息系统安信息系统安全保护等级全保护等级全保护等级全保护等级侵害的程度如何?侵害的程度如何?侵害的程度如何?侵害的程度如何?(对客体造成侵害(对客体造成侵害(对客体造成侵害(对客体造成侵害的程度)的程度)的程度)的程度) 一般损害一般损害一般损害一般损害 严重损害严重损害严重损害严重损害 特别严重损害特别严重损害特别严重损害特别严重损害受到破坏时侵害了什么受到破坏时侵害了什么受到破坏时侵害了什么受到破坏时侵害了什么?(客体)?(客体)?(客体)?(客体)
54、 公民、法人公民、法人公民、法人公民、法人 社会秩序、公共利益社会秩序、公共利益社会秩序、公共利益社会秩序、公共利益 国家安全国家安全国家安全国家安全定级阶段-关于等级变更 在信息系统的运行过程中,安全保护等级应随着信息系统所处理的信息在信息系统的运行过程中,安全保护等级应随着信息系统所处理的信息在信息系统的运行过程中,安全保护等级应随着信息系统所处理的信息在信息系统的运行过程中,安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更,尤其是当状态变化可能导致业务信和业务状态的变化进行适当的变更,尤其是当状态变化可能导致业务信和业务状态的变化进行适当的变更,尤其是当状态变化可能导
55、致业务信和业务状态的变化进行适当的变更,尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化,可能影响到系统的安全保护等级时,应根据定级标准给出的定的变化,可能影响到系统的安全保护等级时,应根据定级标准给出的定的变化,可能影响到系统的安全保护等级时,应根据定级标准给出的定的变化,可能影响到系统的安全保护等级时,应根据定级标准给出的定级方法重新定级级方法重新定级级方法
56、重新定级级方法重新定级定级案例-三级系统定级 定级案例-三级系统定级 定级案例-三级系统定级 定级案例-三级系统定级 小测试等级保护定级维度是那两个?等级保护定级维度是那两个?等级保护定级客体有哪些?等级保护定级客体有哪些?一一个个对对国国家家安安全全会会造造成成一一般般损损害害的的信信息息系系统统应应该该定为等级保护几级?定为等级保护几级?基本要求的作用基本要求的作用信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求运营、使用单位运营、使用单位运营、使用单位运营、使用单位(安全服务商)(安全服务商)(安全服务商)(安全服务商)主管
57、部门主管部门主管部门主管部门(等级测评机构)(等级测评机构)(等级测评机构)(等级测评机构)安全保护安全保护安全保护安全保护测评检查测评检查测评检查测评检查基本要求的定位是是系系统统安安全全保保护护、等等级级测测评评的的一一个个基基本本“ “标标尺尺” ”,同同样样级级别别的的系系统统使使用用统统一一的的“ “标标尺尺” ”来来衡衡量量,保保证证权威性,是权威性,是一个达标线一个达标线;每每个个级级别别的的信信息息系系统统按按照照基基本本要要求求进进行行保保护护后后,信信息息系系统统具具有有相相应应等等级级的的基基本本安安全全保保护护能能力力,达达到一种基本的安全状态到一种基本的安全状态; ;
58、是是每每个个级级别别信信息息系系统统进进行行安安全全保保护护工工作作的的一一个个基基本本出出发发点点,更更加加贴贴切切的的保保护护可可以以通通过过需需求求分分析析对对基基本本要要求求进进行行补补充充,参参考考其其他他有有关关等等级级保保护护或或安安全方面的标准来实现全方面的标准来实现; ;基本要求的定位某级信息系统某级信息系统某级信息系统某级信息系统基本保护基本保护基本保护基本保护精确保护精确保护精确保护精确保护基本要求基本要求基本要求基本要求保护保护保护保护基本要求基本要求基本要求基本要求测评测评测评测评补充的安全措施补充的安全措施补充的安全措施补充的安全措施GB17859-1999GB17
59、859-1999通用技术要求通用技术要求通用技术要求通用技术要求安全管理要求安全管理要求安全管理要求安全管理要求高级别的基本要求高级别的基本要求高级别的基本要求高级别的基本要求等级保护其他标准等级保护其他标准等级保护其他标准等级保护其他标准安全方面相关标准安全方面相关标准安全方面相关标准安全方面相关标准等等等等等等等等基本保护基本保护基本保护基本保护特殊需求特殊需求特殊需求特殊需求补充措施补充措施补充措施补充措施基本要求基本思路基本要求基本思路不同级别不同级别不同级别不同级别信息系统信息系统信息系统信息系统重要程度不同重要程度不同重要程度不同重要程度不同应对不同威胁的能力应对不同威胁的能力应对
60、不同威胁的能力应对不同威胁的能力( (威胁威胁威胁威胁 弱点弱点弱点弱点) )具有不同的安全保护能力具有不同的安全保护能力具有不同的安全保护能力具有不同的安全保护能力不同的基本要求不同的基本要求不同的基本要求不同的基本要求各个要素之间的关系各个要素之间的关系安全保护能力安全保护能力安全保护能力安全保护能力基本安全要求基本安全要求基本安全要求基本安全要求每个等级的信息系统每个等级的信息系统每个等级的信息系统每个等级的信息系统基本技术措施基本技术措施基本技术措施基本技术措施基本管理措施基本管理措施基本管理措施基本管理措施具备具备具备具备包含包含包含包含包含包含包含包含满足满足满足满足满足满足满足满
61、足实现实现实现实现基本要求核心思路基本要求核心思路某级系统某级系统某级系统某级系统技术要求技术要求技术要求技术要求管理要求管理要求管理要求管理要求基本要求基本要求基本要求基本要求建立安全技术体系建立安全技术体系建立安全技术体系建立安全技术体系建立安全管理体系建立安全管理体系建立安全管理体系建立安全管理体系具有某级安全保护能力的系统具有某级安全保护能力的系统具有某级安全保护能力的系统具有某级安全保护能力的系统各级系统的保护要求差异(宏观)各级系统的保护要求差异(宏观)安全保护模型安全保护模型安全保护模型安全保护模型PPDRRPPDRRPPDRRPPDRR P Protectionrotectio
62、n防护防护防护防护 P Policy olicy D Detectionetection 策略策略策略策略 检测检测检测检测 R Responseesponse 响应响应响应响应 R Recoveryecovery恢复恢复恢复恢复各级系统的保护要求差异(宏观)一级系统一级系统一级系统一级系统二级系统二级系统二级系统二级系统三级系统三级系统三级系统三级系统四级系统四级系统四级系统四级系统防护防护防护防护防护防护防护防护/ /监测监测监测监测策略策略策略策略/ /防护防护防护防护/ /监测监测监测监测/ /恢复恢复恢复恢复策略策略策略策略/ /防护防护防护防护/ /监测监测监测监测/ /恢复恢复恢
63、复恢复/ /响应响应响应响应各级系统的保护要求差异(宏观)成功的完成业务成功的完成业务成功的完成业务成功的完成业务信息保障信息保障信息保障信息保障人人人人技术技术技术技术操作操作操作操作防防防防御御御御网网网网络络络络与与与与基础设施基础设施基础设施基础设施防御防御防御防御飞地飞地飞地飞地边界边界边界边界防御防御防御防御计算计算计算计算环境环境环境环境支支支支 撑撑撑撑性性性性 基基基基础础础础 设设设设施施施施安全保护模型安全保护模型安全保护模型安全保护模型IATFIATF各级系统的保护要求差异(宏观)一级系统一级系统一级系统一级系统二级系统二级系统二级系统二级系统三级系统三级系统三级系统三
64、级系统四级系统四级系统四级系统四级系统通信通信通信通信/ /边界(基本)边界(基本)边界(基本)边界(基本)通信通信通信通信/ /边界边界边界边界/ /内部(关键设备)内部(关键设备)内部(关键设备)内部(关键设备)通信通信通信通信/ /边界边界边界边界/ /内部(主要设备)内部(主要设备)内部(主要设备)内部(主要设备)通信通信通信通信/ /边界边界边界边界/ /内部内部内部内部/ /基础设施(所有设备)基础设施(所有设备)基础设施(所有设备)基础设施(所有设备)各级系统的保护要求差异(宏观)一级系统一级系统一级系统一级系统二级系统二级系统二级系统二级系统三级系统三级系统三级系统三级系统四级
65、系统四级系统四级系统四级系统计划和跟踪(主要制度)计划和跟踪(主要制度)计划和跟踪(主要制度)计划和跟踪(主要制度)计划和跟踪(主要制度)计划和跟踪(主要制度)计划和跟踪(主要制度)计划和跟踪(主要制度)良好定义(管理活动制度化)良好定义(管理活动制度化)良好定义(管理活动制度化)良好定义(管理活动制度化)持续改进(管理活动制度化持续改进(管理活动制度化持续改进(管理活动制度化持续改进(管理活动制度化/ /及时改进)及时改进)及时改进)及时改进)等级保护基本要求构架某级系统某级系统某级系统某级系统物物物物理理理理安安安安全全全全技术要求技术要求技术要求技术要求管理要求管理要求管理要求管理要求基
66、本要求基本要求基本要求基本要求网网网网络络络络安安安安全全全全主主主主机机机机安安安安全全全全应应应应用用用用安安安安全全全全数数数数据据据据安安安安全全全全安安安安全全全全管管管管理理理理机机机机构构构构安安安安全全全全管管管管理理理理制制制制度度度度人人人人员员员员安安安安全全全全管管管管理理理理系系系系统统统统建建建建设设设设管管管管理理理理系系系系统统统统运运运运维维维维管管管管理理理理等级保护基本要求效果基本要求的主要内容由由由由9 9个章节个章节个章节个章节2 2个附录构成个附录构成个附录构成个附录构成n n1.1.适用范围适用范围适用范围适用范围n n2.2.规范性引用文件规范性
67、引用文件规范性引用文件规范性引用文件n n3 3术语定义术语定义术语定义术语定义n n4.4.等级保护概述等级保护概述等级保护概述等级保护概述n n5. 6.7.8.95. 6.7.8.9基本要求基本要求基本要求基本要求n n附录附录附录附录A A 关于信息系统整体安全保护能力的要求关于信息系统整体安全保护能力的要求关于信息系统整体安全保护能力的要求关于信息系统整体安全保护能力的要求n n附录附录附录附录B B 基本安全要求的选择和使用基本安全要求的选择和使用基本安全要求的选择和使用基本安全要求的选择和使用基本要求的组织方式某级系统某级系统某级系统某级系统类类类类技术要求技术要求技术要求技术要
68、求管理要求管理要求管理要求管理要求基本要求基本要求基本要求基本要求类类类类控制点控制点控制点控制点具体要求具体要求具体要求具体要求控制点控制点控制点控制点具体要求具体要求具体要求具体要求基本要求基本要求基本要求基本要求- -组织方式组织方式组织方式组织方式某级系统某级系统某级系统某级系统物物物物理理理理安安安安全全全全技术要求技术要求技术要求技术要求管理要求管理要求管理要求管理要求基本要求基本要求基本要求基本要求网网网网络络络络安安安安全全全全主主主主机机机机安安安安全全全全应应应应用用用用安安安安全全全全数数数数据据据据安安安安全全全全安安安安全全全全管管管管理理理理机机机机构构构构安安安安
69、全全全全管管管管理理理理制制制制度度度度人人人人员员员员安安安安全全全全管管管管理理理理系系系系统统统统建建建建设设设设管管管管理理理理系系系系统统统统运运运运维维维维管管管管理理理理基本要求标注方式基本要求基本要求基本要求基本要求n n技术要求技术要求技术要求技术要求n n管理要求管理要求管理要求管理要求要求标注要求标注要求标注要求标注n n业务信息安全类要求(标记为业务信息安全类要求(标记为业务信息安全类要求(标记为业务信息安全类要求(标记为S S类)类)类)类)n n系统服务保证类要求(标记为系统服务保证类要求(标记为系统服务保证类要求(标记为系统服务保证类要求(标记为A A类)类)类)
70、类)n n通用安全保护类要求(标记为通用安全保护类要求(标记为通用安全保护类要求(标记为通用安全保护类要求(标记为G G类)类)类)类) 三类要求之间的关系通用安全保护类要求(通用安全保护类要求(通用安全保护类要求(通用安全保护类要求(GG)业业业业务务务务信信信信息息息息安安安安全全全全类类类类( S S )系系系系统统统统服服服服务务务务保保保保证证证证类类类类( A A安全要求安全要求安全要求安全要求基本要求的选择和使用一一个个3 3级级系系统统, ,定定级级结结果果为为S3A2S3A2,保保护护类类型型应应该该是是S3A2G3S3A2G3第第1 1步步: :n n选择标准中选择标准中3
71、 3级基本要求的技术要求和管理要求级基本要求的技术要求和管理要求; ;第第2 2步步: :n n要求中标注为要求中标注为S S类和类和G G类的不变类的不变; ;n n标注为标注为A A类的要求可以选用类的要求可以选用2 2级基本要求中的级基本要求中的A A类作为基本要求类作为基本要求; ;安全保护和系统定级的关系安全等安全等级信息系信息系统保保护要求的要求的组合合第一第一级S1A1G1S1A1G1第二第二级S1A2G2S1A2G2,S2A2G2S2A2G2,S2A1G2S2A1G2第三第三级S1A3G3S1A3G3,S2A3G3S2A3G3,S3A3G3S3A3G3,S3A2G3S3A2G3
72、,S3A1G3S3A1G3第四第四级S1A4G4S1A4G4,S2A4G4S2A4G4,S3A4G4S3A4G4,S4A4G4S4A4G4,S4A3G4S4A3G4,S4A2G4S4A2G4,S4A1G4S4A1G4定级指南要求按照定级指南要求按照定级指南要求按照定级指南要求按照“业务信息业务信息业务信息业务信息”和和和和“系统服务系统服务系统服务系统服务”的需求确定整的需求确定整的需求确定整的需求确定整个系统的安全保护等级个系统的安全保护等级个系统的安全保护等级个系统的安全保护等级定级过程反映了信息系统的保护要求定级过程反映了信息系统的保护要求定级过程反映了信息系统的保护要求定级过程反映了信
73、息系统的保护要求不同级别系统控制点的差异安全要求类层面一级二级三级四级技术要求物理安全7101010网络安全3677主机安全4679应用安全47911数据安全及备份恢复2333管理要求安全管理制度2333安全管理机构4555人员安全管理4555系统建设管理991111系统运维管理9121313合计/48667377级差/1874不同级别系统要求项的差异安全要求类层面一级二级三级四级技术要求物理安全9193233网络安全9183332主机安全6193236应用安全7193136数据安全及备份恢复24811管理要求安全管理制度371114安全管理机构492020人员安全管理7111618系统建设管
74、理20284548系统运维管理18416270合计/85175290318级差/9011528小测试等级保护基本要求共有几个控制层面?等级保护基本要求共有几个控制层面?一一个个定定为为三三级级的的信信息息系系统统可可能能有有几几种种不不同同的的等等级级保护要求组合?保护要求组合?等级保护基本要求对我公司的意义?等级保护基本要求对我公司的意义?目录等级保护基本概念介绍等级保护基本概念介绍等级保护定级等级保护定级等级保护基本要求等级保护基本要求等级保护实施等级保护实施等级保护测评等级保护测评我公司开展的等级保护支持服务我公司开展的等级保护支持服务等级保护角色和职责国家管理部门国家管理部门国家管理部
75、门国家管理部门信息系统主管部门信息系统主管部门信息系统主管部门信息系统主管部门安全服务商安全服务商安全服务商安全服务商安全产品提供商安全产品提供商安全产品提供商安全产品提供商安全测评机构部门安全测评机构部门安全测评机构部门安全测评机构部门系统定级系统定级系统定级系统定级安全保护安全保护安全保护安全保护检测评估检测评估检测评估检测评估监督检查监督检查监督检查监督检查技术标准技术标准技术标准技术标准管理规范管理规范管理规范管理规范等级保护实施原则自主保护原则自主保护原则自主保护原则自主保护原则n n信信息息系系统统运运营营、使使用用单单位位及及其其主主管管部部门门按按照照国国家家相相关关法法规规和
76、和标标准准,自自主主确确定定信信息息系统的安全保护等级,自行组织实施安全保护。系统的安全保护等级,自行组织实施安全保护。重点保护原则重点保护原则重点保护原则重点保护原则n n根根据据信信息息系系统统的的重重要要程程度度、业业务务特特点点,通通过过划划分分不不同同安安全全保保护护等等级级的的信信息息系系统统,实实现现不不同同强强度度的的安安全全保保护护,集集中中资资源源优优先先保保护护涉涉及及核核心心业业务务或或关关键键信信息息资资产产的的信信息系统。息系统。同步建设原则同步建设原则同步建设原则同步建设原则n n信信息息系系统统在在新新建建、改改建建、扩扩建建时时应应当当同同步步规规划划和和设设
77、计计安安全全方方案案,投投入入一一定定比比例例的的资金建设信息安全设施,保障信息安全与信息化建设相适应。资金建设信息安全设施,保障信息安全与信息化建设相适应。动态调整原则动态调整原则动态调整原则动态调整原则n n要要跟跟踪踪信信息息系系统统的的变变化化情情况况,调调整整安安全全保保护护措措施施。由由于于信信息息系系统统的的应应用用类类型型、范范围围等等条条件件的的变变化化及及其其他他原原因因,安安全全保保护护等等级级需需要要变变更更的的,应应当当根根据据等等级级保保护护的的管管理理规规范范和和技技术术标标准准的的要要求求,重重新新确确定定信信息息系系统统的的安安全全保保护护等等级级,根根据据信
78、信息息系系统统安安全保护等级的调整情况,重新实施安全保护。全保护等级的调整情况,重新实施安全保护。等级保护实施流程信息系统全生命周期系统系统系统系统定级定级定级定级规划规划规划规划设计设计设计设计安全安全安全安全实施实施实施实施安全运维(变更管理安全运维(变更管理安全运维(变更管理安全运维(变更管理/ /定期安定期安定期安定期安全测评全测评全测评全测评/ /监督检查)监督检查)监督检查)监督检查)系统系统系统系统终止终止终止终止启动阶段启动阶段启动阶段启动阶段设计设计设计设计/ /开发阶段开发阶段开发阶段开发阶段实施阶段实施阶段实施阶段实施阶段运行维护阶段运行维护阶段运行维护阶段运行维护阶段废
79、弃废弃废弃废弃阶段阶段阶段阶段系统定级系统定级系统定级系统定级安全实施安全实施安全实施安全实施安全运维(变更管理安全运维(变更管理安全运维(变更管理安全运维(变更管理/ /定期安全测评定期安全测评定期安全测评定期安全测评/ /监督检查)监督检查)监督检查)监督检查)系统系统系统系统终止终止终止终止已建信息系统等级保护实施过程已建信息系统等级保护实施过程已建信息系统等级保护实施过程已建信息系统等级保护实施过程新建信息系统等级保护实施过程实程新建信息系统等级保护实施过程实程新建信息系统等级保护实施过程实程新建信息系统等级保护实施过程实程信息系统生命周期生期信息系统生命周期生期信息系统生命周期生期信
80、息系统生命周期生期规划设计规划设计规划设计规划设计等级保护测评流程等级保护测评中的角色关系等级保护测评中的角色关系系统系统系统系统承建单位承建单位承建单位承建单位主管主管主管主管 使用使用使用使用 运行单位运行单位运行单位运行单位测评机构测评机构测评机构测评机构专家组专家组专家组专家组支持测评支持测评支持测评支持测评提供技术、工程和质量文档提供技术、工程和质量文档提供技术、工程和质量文档提供技术、工程和质量文档实施的配合实施的配合实施的配合实施的配合公安公安公安公安网监部门网监部门网监部门网监部门测评工作组织协调测评工作组织协调测评工作组织协调测评工作组织协调确保技术、工程和质量文档、提供确保
81、技术、工程和质量文档、提供确保技术、工程和质量文档、提供确保技术、工程和质量文档、提供运营相关文档的提供运营相关文档的提供运营相关文档的提供运营相关文档的提供评审实施方案等相关文档评审实施方案等相关文档评审实施方案等相关文档评审实施方案等相关文档配合等级测评实施配合等级测评实施配合等级测评实施配合等级测评实施测评过程中的风险管理和应急管理测评过程中的风险管理和应急管理测评过程中的风险管理和应急管理测评过程中的风险管理和应急管理制定测评计划和方案等相关文档制定测评计划和方案等相关文档制定测评计划和方案等相关文档制定测评计划和方案等相关文档在相关单位支持下实施等级测评在相关单位支持下实施等级测评在
82、相关单位支持下实施等级测评在相关单位支持下实施等级测评提交测评报告提交测评报告提交测评报告提交测评报告监督方案评审和系统测评监督方案评审和系统测评监督方案评审和系统测评监督方案评审和系统测评监督确保遵守公正的测评原则和方法监督确保遵守公正的测评原则和方法监督确保遵守公正的测评原则和方法监督确保遵守公正的测评原则和方法对评估结论进行评审对评估结论进行评审对评估结论进行评审对评估结论进行评审测评工作测评工作测评工作测评工作 组织与监管组织与监管组织与监管组织与监管等级保护测评案例(1)(1)某公司(简称某公司(简称某公司(简称某公司(简称“AAA”“AAA”)用电)用电)用电)用电信息系统承载着该
83、公司的电信息系统承载着该公司的电信息系统承载着该公司的电信息系统承载着该公司的电力营销业务,由数据存储、力营销业务,由数据存储、力营销业务,由数据存储、力营销业务,由数据存储、业务处理、接入、对外服务业务处理、接入、对外服务业务处理、接入、对外服务业务处理、接入、对外服务和外联等五个功能区域组成,和外联等五个功能区域组成,和外联等五个功能区域组成,和外联等五个功能区域组成,是一个安全等级为三级的信是一个安全等级为三级的信是一个安全等级为三级的信是一个安全等级为三级的信息系统。息系统。息系统。息系统。(2)(2)现场测评时间为现场测评时间为现场测评时间为现场测评时间为XX年年年年XX月月月月XX
84、日日日日至至至至XX年年年年XX月月月月XX日,现场测评小日,现场测评小日,现场测评小日,现场测评小组分为管理组(组分为管理组(组分为管理组(组分为管理组(2 2人)和技人)和技人)和技人)和技术组(术组(术组(术组(4 4人)两组,分别完人)两组,分别完人)两组,分别完人)两组,分别完成安全管理和安全技术方面成安全管理和安全技术方面成安全管理和安全技术方面成安全管理和安全技术方面的测评的测评的测评的测评。 等级保护被测评案例(3)(3)被测系统为承载着被测系统为承载着被测系统为承载着被测系统为承载着AAAAAA公司公司公司公司电力营销业务,是电力营销业务,是电力营销业务,是电力营销业务,是A
85、AAAAA公司公司公司公司的重要信息系统,其安全等的重要信息系统,其安全等的重要信息系统,其安全等的重要信息系统,其安全等级定为三级(级定为三级(级定为三级(级定为三级(S3A2G3S3A2G3)。)。)。)。 (4)(4)被测系统由数据存储、业务处被测系统由数据存储、业务处被测系统由数据存储、业务处被测系统由数据存储、业务处理、接入、对外服务和外联理、接入、对外服务和外联理、接入、对外服务和外联理、接入、对外服务和外联等五个功能区域组成等五个功能区域组成等五个功能区域组成等五个功能区域组成. .对外有对外有对外有对外有可以为大客户单位、可以为大客户单位、可以为大客户单位、可以为大客户单位、i
86、nternetinternet网、拨号用户等提网、拨号用户等提网、拨号用户等提网、拨号用户等提供电费数据查询、交纳、业供电费数据查询、交纳、业供电费数据查询、交纳、业供电费数据查询、交纳、业务扩充、投诉等服务的功能务扩充、投诉等服务的功能务扩充、投诉等服务的功能务扩充、投诉等服务的功能模块。数据存储功能区位于模块。数据存储功能区位于模块。数据存储功能区位于模块。数据存储功能区位于屏蔽机房,其它功能区域位屏蔽机房,其它功能区域位屏蔽机房,其它功能区域位屏蔽机房,其它功能区域位于中心机房。于中心机房。于中心机房。于中心机房。 测评对象根根据据用用电电信信息息系系统统的的实实际际情情况况,分分别别确
87、确定定物物理理安安全全、网网络络安安全全、主主机机系系统统安安全全、应用安全等各层面的测评对象。应用安全等各层面的测评对象。 物理方面主要是测评屏蔽机房和主机房。物理方面主要是测评屏蔽机房和主机房。 网网络络方方面面主主要要测测评评的的设设备备有有:路路由由器器、交交换换机机、防防火火墙墙、IDSIDS、外外联联检检测测、防病毒等防病毒等 。测评对象(2)主主机机方方面面主主要要测测评评的的主主机机服服务务器器(包包括括数数据据库库服服务务器器) 。测评对象(3)应用方面主要测评的应用系统应用方面主要测评的应用系统 。测评对象(4)安安全全管管理理,主主要要测测评评对对象象为为与与信信息息安安
88、全全管管理理有有关关的的策策略略、制制度度、操操作作规规程程、运运行行记记录录、管管理理人人员员、技技术术人人员和相关设备设施等。员和相关设备设施等。测评指标选取 被被测测系系统统的的定定级级结结果果为为:安安全全保保护护等等级级为为3 3级级,业业务务信信息息安安全全等等级级为为S3S3,系系统统服服务务安安全全等等级级为为A2A2;则则该该系系统统的的测测评评指指标标应应包包括括GB/T GB/T 22239-2008“22239-2008“技技术术要要求求” ”中中的的3 3级级通通用用指指标标类类(G3G3),3 3级级业业务务信信息息安安全全指指标标类类(S3S3),2 2级级系系统
89、统服服务务安安全全指指标标类类(A2A2),以以及及第第3 3级级“ “管理要求管理要求” ”中的所有指标类。中的所有指标类。 测评工具和接入点 根根据据3 3级级信信息息系系统统的的测测评评强强度度要要求求,在在测测试试的的广广度度上上,应应基基本本覆覆盖盖不不同同类类型型的的机机制制,在在数数量量、范范围围上上可可以以抽抽样样;在在测测试试的的深深度度上上,应应执执行行功功能能测测试试和和渗渗透透测测试试,功功能能测测试试可可能能涉涉及及机机制制的的功功能能规规范范、高高级级设设计计和和操操作作规规程程等等文文档档,渗渗透透测测试试可可能能涉涉及及机机制制的的所所有有可可用用文文档档,并并
90、试试图图智智取取进进入入信信息息系系统统等等。因因此此,对对其其进进行行测测评评,应应涉涉及及到到漏漏洞扫描工具、渗透测评工具集等多种测试工具。洞扫描工具、渗透测评工具集等多种测试工具。使使用用的的测测试试工工具具主主要要有有:网网络络漏漏洞洞扫扫描描器器、数数据据库库安安全全扫描器、渗透测试工具集等。扫描器、渗透测试工具集等。 测评内容-物理安全 物物理理安安全全测测评评将将通通过过访访谈谈、文文档档审审查查和和实实地地察察看看的的方方式式测测评评信信息息系系统统的的的的物物理理安安全全保保障障情情况况。主主要要涉涉及及对对象象为为屏蔽机房和主机房。屏蔽机房和主机房。 测评内容网络安全 网网
91、络络安安全全测测评评将将通通过过访访谈谈、配配置置检检查查和和工工具具测测试试的的方方式式测测评评信信息息系系统统的的的的网网络络安安全全保保障障情情况况。主主要要涉涉及及对对象象为为网网络络互互联联设设备备、网网络络安安全全设设备备和和网网络络拓拓扑扑结构等三大类对象。结构等三大类对象。 测评内容主机安全 主主机机系系统统安安全全测测评评将将通通过过访访谈谈、配配置置检检查查和和工工具具测测试试的的方方式式测测评评主主机机系系统统安安全全保保障障情情况况。本本次次重重点点测测评评的的操操作作系系统统包包括括各各网网站站服服务务器器、应应用用服服务务器器和和数数据库服务器等的操作系统,数据库管
92、理系统为数据库服务器据库服务器等的操作系统,数据库管理系统为数据库服务器SybaseSybase。 。 测评内容应用安全和数据安全 应应用用安安全全测测评评将将通通过过访访谈谈、配配置置检检查查和和工工具具测测试试的的方方式式测测评评应应用用安安全全保保障障情情况况,主主要要涉涉及及对对象象为为用用电电信信息息系系统统、对外服务网站系统和远程客户服务系统。对外服务网站系统和远程客户服务系统。 测评内容安全管理部分安安全全管管理理部部分分为为全全局局性性问问题题,涉涉及及安安全全管管理理制制度度、安安全全管管理理机机构构、人人员员安安全全管管理理、系系统统建建设设管管理理和和系系统统运运维维管管
93、理理等等五五个个方方面面。主主要要是是审审查查相相关关管管理理文文档档和记录文件。和记录文件。 等级保护测评实施物理安全要要求求:对对于于温温湿湿度度控控制制(G3G3),在在GB/T GB/T 22239-200822239-2008中中的的描描述述为为“ “机机房房应应设设置置温温、湿湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。” ” 测评方法测评方法(1 1)应应检检查查机机房房是是否否有有温温湿湿度度控控制制设设计计/ /验验收收文文档档,查查看看机机房房温温、湿湿度度是是否否满满足足GB GB 28
94、87-2887-8989计计算算站站场场地地技技术术条条件件的的要要求求,是是否否能能够够满满足足系系统统运运行行需需要要,是是否否与与当当前前实实际际情况相符合。情况相符合。(2 2)应应访访谈谈物物理理安安全全负负责责人人,询询问问机机房房是是否否配配备备了了温温、湿湿度度自自动动调调节节设设施施,保保证证温温湿湿度度能能够够满满足足计计算算机机设设备备运运行行的的要要求求,是是否否在在机机房房管管理理制制度度中中规规定定了了温温湿湿度度控控制制的的要要求求,是否有人负责此项工作是否有人负责此项工作 (3 3)应应检检查查温温、湿湿度度自自动动调调节节设设施施是是否否能能够够正正常常运运行
95、行,查查看看温温湿湿度度记记录录、运运行行记记录录和和维维护记录。护记录。(4 4)应应访访谈谈机机房房维维护护人人员员,询询问问是是否否定定期期检检查查和和维维护护机机房房的的温温湿湿度度自自动动调调节节设设施施,询询问问是否出现过温湿度影响系统运行的事件。是否出现过温湿度影响系统运行的事件。 等级保护测评实施网络安全按按照照测测评评方方案案的的要要求求,核核心心交交换换机机SJ6509SJ6509应应测测评评网网络络访访问问控控制制(G3G3)、网网络安全审计(络安全审计(G3G3)、网络设备防护()、网络设备防护(G3G3)等部分的内容。)等部分的内容。测评方法测评方法(1 1)检查网络
96、设备测试报告,检查是否符合国家关于交换机的安全要求;)检查网络设备测试报告,检查是否符合国家关于交换机的安全要求;(2 2)应应检检查查边边界界和和主主要要网网络络设设备备上上的的安安全全设设置置,查查看看是是否否对对边边界界和和主主要要网网络络设设备的管理员登录地址进行限制;备的管理员登录地址进行限制;(3 3)应应测测试试边边界界和和主主要要网网络络设设备备的的安安全全设设置置,对对网网络络设设备备的的管管理理员员登登录录地地址址进进行限制(如使用任意地址登录,观察网络设备的动作等)等功能是否有效。行限制(如使用任意地址登录,观察网络设备的动作等)等功能是否有效。等级保护测评实施主机安全要
97、要求求:数数据据库库为为SybaseSybase应应测测评评身身份份鉴鉴别别(S3S3)、自自主主访访问问控控制制(S3S3)、强强制制访访问问控控制制(S3S3)、安安全全审审计计(G3G3)、资资源源控控制制(A2A2)、数数据据备备份份与与恢恢复复(A2A2)、数据完整性()、数据完整性(S3S3)、数据保密性()、数据保密性(S3S3)等部分的内容。)等部分的内容。 测测评评方方法法:应应检检查查主主要要数数据据库库管管理理系系统统,查查看看对对管管理理用用户户的的身身份份鉴鉴别别是是否否采采用用两两个个及及两两个个以以上上鉴鉴别别技技术术的的组组合合来来进进行行身身份份鉴鉴别别(如如
98、采采用用用用户户名名/ /口口令令、挑挑战战应应答答、动动态态口口令令、物物理理设设备备、生生物物识识别别技技术术和和数数字字证证书书方方式式的的身身份份鉴鉴别别技技术中的任意两个组合)。术中的任意两个组合)。 等级保护测评实施应用和数据安全要要求求:业业务务应应用用程程序序(用用户户自自主主开开发发)应应测测评评身身份份鉴鉴别别(S3S3)、访访问问控控制制(S3S3)、安安全全审审计计(G3G3)、剩剩余余信信息息保保护护(G3G3)、通通信信完完整整性性(S3S3)、通通信信保保密密性性(S3S3)、抗抗抵抵赖赖(S3S3)、软软件件容容错错(A3A3)、资资源源控控制制(A3A3)、数
99、数据据备备份份与与恢恢复复(A3A3)、数数据据完完整整性性(S3S3)、数数据据保保密密性性(S3S3)等等部部分分的的内内容。容。应应访访谈谈安安全全管管理理员员,查查看看相相关关设设计计文文档档,检检查查业业务务系系统统数数据据在在通通信信过过程程中中是是否采取保密措施,具体措施有哪些;否采取保密措施,具体措施有哪些;应应测测试试主主要要应应用用系系统统,通通过过查查看看通通信信双双方方数数据据包包的的内内容容,查查看看系系统统在在通通信信过过程中,对整个报文或会话过程进行加密的功能是否有效。程中,对整个报文或会话过程进行加密的功能是否有效。 等级保护测评实施管理安全对对于于系系统统运运
100、维维管管理理中中的的密密码码管管理理“ “应应建建立立密密码码使使用用管管理理制制度度,使使用用符符合合国国家家密密码码管管理理规规定定的的密密码码技技术和产品术和产品” ”的要求。的要求。测测评评方方法法:应应访访谈谈安安全全员员,询询问问密密码码技技术术和和产产品品的的使使用用是是否否遵遵照照国国家家密密码码管管理理规规定定;应应检检查查是是否否具有密码使用管理制度。具有密码使用管理制度。作业学习以下等级保护标准文件并提交学习心得:学习以下等级保护标准文件并提交学习心得:n n关于信息安全等级保护工作的实施意见(关于信息安全等级保护工作的实施意见(关于信息安全等级保护工作的实施意见(关于信
101、息安全等级保护工作的实施意见(公通字公通字200466200466号)号)n n信息安全等级保护管理办法信息安全等级保护管理办法n n计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则(GB17859-1999GB17859-1999) n n信息系统安全保护等级定级指南信息系统安全保护等级定级指南n n信息系统安全等级保护基本要求信息系统安全等级保护基本要求n n信息系统安全等级保护实施指南信息系统安全等级保护实施指南n n信息系统安全等级保护测评准则信息系统安全等级保护测评准则思考等级保护体系与思考等级保护体系与ISO27001ISO27001之间的区别和联系之间的区别和联系
