《等级保护系统定级培训》由会员分享,可在线阅读,更多相关《等级保护系统定级培训(41页珍藏版)》请在金锄头文库上搜索。
1、等级保护系统定级介绍等级保护系统定级介绍2013.71目录等级保护分为哪些等级如何确定系统的等级定级案例分享如何完成定级备案2等级保护分为哪些等级中华人民共和国计算机信息系统安全保护条例(1994年国务院147号令)第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。GB 17859-1999计算机信息系统安全保护等级划分准则第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级;3根据保护侧重点的不同,信息安全技术 信息系统安全等级保护基本要求GBT 222392008中将
2、技术类安全要求进一步细分为:p 保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);p 保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);p 通用安全保护类要求(简记为G)。等级保护分为哪些等级4目录等级保护分为哪些等级如何确定系统的等级定级案例分享如何完成定级备案5如何确定系统的等级?综合评定对客体的侵害程度确定业务信息安全(S)受到破坏时所侵害的客体综合评定对客体的侵害程度确定系统服务安全(A)受到破坏时所侵害的客体系统服务安全保护等级业务信息安全保护等级定级对象的安全保护等级依据表2依据表3确定定级
3、对象6如何确定系统的等级?业务信息安全(S)是指确保信息系统内业务信息的保密性、完整性和可用性等 系统服务安全(A)是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标 7如何确定系统的等级?业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级表表28如何确定系统的等级?系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第
4、四级第五级表表39如何确定定级对象?确定定级对象,三个基本条件:一、具有唯一确定的安全责任单位作为定级对象的信息系统应能够唯一地确定其安全责任单位,这个安全责任单位就是负责等级保护工作部署、实施的单位,也是完成等级保护备案和接受监督检查的直接责任单位。二、满足信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如单台的服务器、终端或网络设备等作为定级对象。10如何确定定级对象?确定定级对象,三个基本条件:三、承载相对独立的业务应用定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流
5、程、部分业务功能独立,同时与其他信息系统的业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程,可以使完整的业务流程的一部分。信息系统的划分没有绝对的对与错,只有合理与不合理,合理地划分信息系统有利于信息系统的保护及安全规划,反之可能给将来的应用和安全保护带来不便,又可能需要重新进行信息系统的划分。 11如何确定定级对象?确定系统边界的几个注意点:系统边界不应出现在服务器内部,服务器共用的系统一般归入同一个信息系统,因此不同信息系统的共用设备一般是网络/边界设备或终端设备。两个信息系统边界存在共用设备时,共用设备的
6、安全保护等级按两个信息系统安全保护等级较高者确定。信息系统的管理终端是与相应被管理设备相对应的,服务器、网络设备及安全设备等属于哪个系统,终端就应归在哪个信息系统中。如果无法做到不同等级的信息系统使用不同的终端设备,则应将终端设备划分为其他的信息系统,并在服务器与内部用户终端之间建立边界保护,对终端通过身份鉴别和访问控制等措施加以控制。12如何判断受侵害的客体?三种受侵害的客体:国家安全体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全等方面利益。社会秩序和公共利益包括政治、经济、生产、生活、科研、工作等各方面的正常秩序和社会公众生产、生活、教育、卫生等方面的利益
7、。公民、法人和其他组织合法权益是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益, 13如何判断受侵害的客体?关于国家安全关于国家安全重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等;广播、电视、网络等重要新闻媒体的发布或播出系统,其受到非法控制可能引发影响国家统一、民族团结和社会安定的重大事件;尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信息系统,以及电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统等。影响国家安全的判断:影响国家政权稳固和国防实力;影响国家统一、民族团结和社会安定;影响国家对外活动中的政治、经济利
8、益;影响国家重要的安全保卫工作;影响国家经济竞争力和科技实力;其他影响国家安全的事项。14如何判断受侵害的客体?关于社会秩序各级政府机构的社会管理和公共服务系统,如财政、金融、工商、税务、公检法、海关、社保等领域的信息系统,也包括教育、科研机构的工作系统,以及所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统。 影响社会秩序的判断:影响国家机关社会管理和公共服务的工作秩序;影响各种类型的经济活动秩序;影响各行业的科研、生产秩序;影响公众在法律约束和道德规范下的正常生活秩序等;其他影响社会秩序的事项。15如何判断受侵害的客体?关于公共利益借助信息化手段为社会成员提供
9、使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方面,例如:公共通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施、公共服务设施等。公共利益与社会秩序密切相关,社会秩序的破坏一般会造成对公共利益的损害。影响公共利益的判断:影响社会成员使用公共设施;影响社会成员获取公开信息资源;影响社会成员接受公共服务等方面;其他影响公共利益的事项。16如何判断受侵害程度?侵害程度的判断:一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的资产损失,有限的社会不良影响,对其他组织和个人造成较低损害。严重损害:工作职能受到严重影响,业务能力显
10、著下降且严重影响主要功能执行,出现较严重的法律问题,较高的资产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的资产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。17目录等级保护分为哪些等级如何确定系统的等级定级案例分享如何完成定级备案18定级案例分享某单位办公信息系统业务信息主要包括公文、事务处理信息、人事管理信息、通知以及公告等信息 侵害客体国家安全社会秩序/公共利益组织 侵害程度一般严重特别严重19定级案例分享业务信息安全被破坏时所侵害的客体对
11、相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级表表220定级案例分享某单位办公信息系统系统服务各部门及内部员工提供服务 ,业务处理流程大部分可以通过手工或其他方式替代完成 侵害客体国家安全社会秩序/公共利益组织 侵害程度一般严重特别严重21定级案例分享系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级表表322定级案例分享某单位办公信息
12、系统信息安全(S):二级业务服务(A):二级最终等级确定:二级,S2A2G223定级案例分享某单位交易信息系统业务信息包含交易权限认证、报单、报价、撮合、交易监控、交易行情等 侵害客体国家安全社会秩序/公共利益组织 侵害程度一般严重特别严重24定级案例分享业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第三级第四级国家安全第三级第四级第五级表表225定级案例分享某单位交易信息系统系统服务为全国的会员单位提供服务 ,200多家,业务处理完全依赖信息系统,信息系统服务中断使业务无法正常进行
13、 侵害客体国家安全社会秩序/公共利益组织 侵害程度一般严重特别严重26系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第三级第四级国家安全第三级第四级第五级定级案例分享表表327定级案例分享某单位交易信息系统信息安全(S):三级业务服务(A):三级最终等级确定:三级,S3A3G328定级案例分享清算信息系统业务信息会员信息、结算数据、合约数据、场内用户信息 、资金管理信息和结算管理信息等侵害客体国家安全社会秩序/公共利益组织 侵害程度一般严重特别严重29业务信息安全被破坏时所侵害的客体
14、对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第三级第四级国家安全第三级第四级第五级定级案例分享表表230定级案例分享清算信息系统系统服务其中会员服务和交易结算为全国的会员单位提供服务 ;交易结算、风险监控和数据管理为内部员工提供服务 ,提供服务的时间为交易结束后的二个小时 侵害客体国家安全社会秩序/公共利益组织 侵害程度一般严重特别严重31业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第二级第三级第四级国家安
15、全第三级第四级第五级定级案例分享表表232定级案例分享某单位清算系统业务信息安全等级 3级系统服务安全等级 2级清算系统安全等级确定: 3级,S3A2G333定级案例分享网站信息系统业务信息包含交易商品信息、开盘价、涨跌、收盘价、成交量、持仓量及其持仓变化、会员成交量和持仓量排名等其他需要公布的信息 侵害客体国家安全社会秩序/公共利益组织 侵害程度一般严重特别严重34业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第二级第三级第四级国家安全第三级第四级第五级定级案例分享表表235定级案例分享
16、网站信息系统系统服务除对外发布一些公开信息外,还作为会员单位登录会员服务系统的入口,因此,其服务中断会在全国范围的内造成影响 侵害客体国家安全社会秩序/公共利益组织 侵害程度一般严重特别严重36业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级定级案例分享37定级案例分享某单位门户网站业务信息安全等级 2级系统服务安全等级 2级门户网站安全等级确定: 2级,S2A2G238目录等级保护分为哪些等级如何确定系统的等级定级案例分享如何完成定级备案39如何完成定级备案1.内部明确等级2.三级及以上开专家评审会3.编写定级报告4.获取定级备案表(网上可下载),填写5.明确备案地点,是省网监还是市网监6.将备案资料送交网监部门7.获得备案证明40谢谢!41
