《信息系统安全等级保护工作会议.ppt》由会员分享,可在线阅读,更多相关《信息系统安全等级保护工作会议.ppt(60页珍藏版)》请在金锄头文库上搜索。
1、信息系统安全等级保护工作会议2目录 信息安全等信息安全等信息安全等信息安全等级级保保保保护护工作概述工作概述工作概述工作概述 等等等等级级保保保保护护工作有关方面的工作有关方面的工作有关方面的工作有关方面的职责职责、义务义务 信息系信息系信息系信息系统统安全保安全保安全保安全保护护等等等等级级的划分与保的划分与保的划分与保的划分与保护护 信息安全等信息安全等信息安全等信息安全等级级保保保保护护工作主要流程工作主要流程工作主要流程工作主要流程 信息系信息系信息系信息系统统安全保安全保安全保安全保护护等等等等级级的确定的确定的确定的确定 信息系信息系信息系信息系统统安全保安全保安全保安全保护护等等
2、等等级备级备案与案与案与案与备备案案案案审审核核核核 信息系信息系信息系信息系统统安全建安全建安全建安全建设设整改整改整改整改 信息系信息系信息系信息系统统安全保安全保安全保安全保护护等等等等级测评级测评 监监督督督督检查检查3教育部文件教育部文件4信息安全等级保护工作概述发展展历程程:1994年,国年,国务院院颁布布计算机信息系算机信息系统安全保安全保护条例条例:第九条第九条 计算机信息系算机信息系统实行安全等行安全等级保保护。安全等。安全等级的划分的划分标准和安全等准和安全等 级保保护的具的具体体办法,由公安部会同有关部法,由公安部会同有关部门制定。制定。1999年,年,颁布布计算机信息系
3、算机信息系统安全保安全保护等等级划分准划分准则,2000年年实施施2003年,年,国家信息化国家信息化领导小小组关于加关于加强信息安全保障工作的意信息安全保障工作的意见(中(中办发200327号):号):明确提出“实行信息安全等级保护”。 2004年,全国信息安全保障工作会年,全国信息安全保障工作会议:专门将信息安全等级保护工作作为信息安全保障工作的一项重要任务来部署2004年年9月,四部月,四部门出台了出台了关于信息安全等关于信息安全等级保保护工作的工作的实施施意意见(公通字(公通字200466号):号):明确了信息安全等级保护制度的原则和基本内容,以及信息安全等级保护工作的职责分工、工作实
4、施的要求等。5信息安全等级保护工作概述发展展历程程:1999-20061999-2006年,制定了年,制定了5050多个国多个国标和行和行标,初步形成,初步形成了信息安全等了信息安全等级保保护标准体系:准体系:计算机信息系统安全保护等级划分准则(GB17859-1999)、信息系统安全等级保护定级指南、信息系统安全等级保护基本要求、信息系统安全等级保护实施指南、信息系统安全等级保护测评要求等。20062006年,下年,下发等等级保保护管理管理办法(法(试行)行)20072007年年6 6月,四部月,四部门联合合发布布信息安全等信息安全等级保保护管管理理办法法(公通字(公通字2007432007
5、43号):号):明确了信息安全等级保护制度的基本内容、流程及工作要求,明确了有关方面的职责、任务,为开展信息安全等级保护工作提供了规范保障。6信息安全等级保护工作概述工作工作进展:展:关于开展全国重要信息系统安全等级保护定级工作的通知 (公通字2007861号) 信息安全等级保护备案实施细则(公信安20071360号)关于开展信息安全等级保护安全建设整改工作的指导意见公信安20091429号关于开展信息安全等级保护专项监督检查工作的通知 (公信安20101175号)7信息安全等级保护工作概述网网络安全形安全形势 :一是西方一是西方敌对势力力对我网上渗透和我网上渗透和颠覆活覆活动不断升不断升级,
6、我,我们将将长期期面面临敌对势力的信息力的信息优势、技、技术优势所所带来的信息安全威来的信息安全威胁。二是境内外反二是境内外反动势力在西方力在西方敌对势力的支持下,力的支持下,对我重要网我重要网络和信和信息系息系统频繁繁进行攻行攻击破坏:破坏:2006年发生几十起攻击我卫星广播电视和插播事件等三是三是计算机病毒算机病毒传播和网播和网络非法入侵十分非法入侵十分严重:重: “熊猫烧香”病毒变种700余个,感染了445万台计算机 四是网四是网络违法犯罪持法犯罪持续大幅上升:大幅上升:黑客病毒技术、网络钓鱼技术、木马间谍程序等新技术,进行网络盗窃、网络诈骗、网络赌博等违法犯罪 五是网上失、窃密情况五是
7、网上失、窃密情况严重。重。六是网六是网络安全管理不善,安全措施不到位,信息系安全管理不善,安全措施不到位,信息系统运行事故运行事故时有有发生:生:金融、民航等重要信息系统连续发生运行事故. 8等级保护工作意义:信息安全等级保护是国家信息安全保障的基本制度、基本制度、基本策略、基本方法基本策略、基本方法,开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障根本保障。实施信息安全等级保护制度,信息系统运营使用单位和主管部门能按照标准进行安全建设、整改,信息系统安全与否也有了一个衡量尺度衡量尺度。信息安全等级保护是发达国家的通行做法、也是我国多年工作经验总结。五个“有利于”:信息安全
8、等级保护工作概述9信息安全等级保护工作概述等级保护工作意义:1.有利于在信息化建设过程中同步建同步建设信息安全设施,保障信息安全与信息化建设相协调;2.有利于为信息系统安全建设和管理提供系系统性、性、针对性、可行性性、可行性的指导和服务,有效控制信息安全建设成本;3.有利于优化信息安全资源的配置源的配置,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;4.有利于明确国家、法人和其他组织、公民的信息安全安全责任任,加强信息安全管理;5.有利于推动信息安全信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式 。10信息安全等级保护工作概述开展等
9、级保护工作的总体要求:u各基础信息网络和重要信息系统,按照“准确定准确定级、严格格审批、及批、及时备案、案、认真整改、科学真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。u公安机关和保密、密码工作部门要及时开展监督检查,严格审查信息系统所定级别,严格检查信息系统开展备案、整改、测评等工作。u对故意将信息系统安全级别定低,逃避公安、保密、密码部门监管,造成信息系统出现重大安全事故的,要追究单位和人员的责任。 11等级保护工作有关方面的职责义务 等级保护工作涉及:国家信息安全监管部门;信息国家信息安全监管部门;信息系统主管部门;信息系统运营使用单位;公民、法人系统主管部门;信息
10、系统运营使用单位;公民、法人和其他组织和其他组织。其职责和义务分别是:国家监管部门:国家监管部门: 公安机关公安机关牵头,负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管国家密码管理部门理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。省及市级信息化领导小组办事机构省及市级信息化领导小组办事机构负责等级保护工作的部门间协调。在信息安全等级保护工作中,坚持“分工负责、密切配合分工负责、密切配合”的原则。12等级保护工作有关方面
11、的职责义务信息系统主管部门:信息系统主管部门: 依照规范和标准,督促、检查和指导督促、检查和指导本行业、本部门或本地区信息系统运营使用单位落实等级保护工作。审批审批本行业系统定级工作。全省统一联网运行的信息系统主管部门可以统一确定安全保护等级。对本行业定级工作提出指导。 为什么要指导为什么要指导:行业主管部门比运营使用单位具有更高的站位、更宏观的视野。 指导什么指导什么:侵害客体确定;对不同类型的等级保护客体,本行业主要关注哪些危害后果;对于每一类等级保护客体,确定其危害程度。13等级保护工作有关方面的职责义务运营、使用单位:运营、使用单位: 依照规范标准,具体落实具体落实本单位等级保护工作中
12、的定级、备案、安全规划、安全建设、测评等,运营使用单位和主管部门是信息系统安全的第一责任人第一责任人,对所属信息系统安全负有直接责任直接责任。公民、法人和其他组织公民、法人和其他组织: 依照标准规范,开展等级保护工作,服从国家对信息安全等级保护工作的监督、指导,保障信息系统安全。 测评机构、产品提供商应当遵守国家有关管理规定和技术标准,接受国家信息安全职能部门的监督管理等。14信息安全保护等级的划分与保护u五个等五个等级: 根据信息系统的重要程度和遭到破坏后的危害程度等因素分为以下五级: 第一级:公民、法人和其他组织合法权益造成损害第二级:公民、法人和其他组织合法权益产生严重损害,或社会秩序和
13、公共利益造成损害第三级:社会秩序和公共利益造成严重损害,或者对国家安全造成损害第四级:对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害第五级:对国家安全造成特别严重损害 15信息安全保护等级的划分与保护u各等各等级信息系信息系统的保的保护和和监管管责任(任(1)第一级:系统运营使用单位应当依据规范和技术标准进行保护。第二级:系统运营使用单位应当依据规范和技术标准进行保护。国家监管部门对该级信息系统信息安全等级保护工作进行指指导。第三级:信息系统运营使用单位应当依据管理规范和技术标准进行保护。国家监管部门对该级信息系统信息安全等级保护工作进行监督、督、检查。16信息安全保护等级的
14、划分与保护u各等各等级信息系信息系统的保的保护和和监管管责任(任(2)第四级:信息系统运营使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制制监督、督、检查。第五级:信息系统运营使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定国家指定专门部部门对该级信息系统信息安全等级保护工作进行专门监督、督、检查。 17等级保护工作主要流程等级保护工作主要流程一是:定级。二是:备案。三是:建设、整改。四是:等级测评。五是:定期监督检查18等级保护工作主要流程等级保护工作主要流程各个工作环节间的关系:定级是
15、等级保护的首要环节按等级保护是等级保护的核心建设整改是等级保护工作落实的关键等级测评是评价安全保护状况的方法监督检查是保护能力不断提高的保障19信息系统安全保护等级的确定u定定级工作原工作原则(1)坚持持“自主定自主定级、自主保、自主保护”的原的原则:各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体,根据所属信息系统的重要程度和遭到破坏后的危害程度,自主确定信息系统的安全保护等级,并按照所定等级,自主对信息系统进行保护。满足管理要求原足管理要求原则:安全等级不是保障程度等级,也不是技术能力等级,而是从国家管理的需要出发,从信息系统对国家安全、经济建设、公共利益等方面的重要性,以及信
16、息或信息系统被破坏后造成危害的严重性角度对信息系统确定的等级;全局性原全局性原则:等级保护是针对全国范围内、涵盖各个行业信息系统的管理制度,系统定级也必须从国家层面考虑,体现全局性;20信息系统安全保护等级的确定u定定级工作原工作原则(2)以以业务为核心原核心原则:系统是为业务服务,安全等级应反映系统承载业务的重要性,应以业务为出发点和核心,将信息系统重要性纳入业务重要性统筹考虑;合理性原合理性原则:反映信息系统的主要安全特征,优化结构、降低投资、突出重点,有效保护。21信息系统安全保护等级的确定u定级范围:定级范围:1.电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联
17、网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。 2.国家重要行业、领域的重要信息系统。 3.市(地)级以上党政机关的重要网站和办公信息系统。4.涉及国家秘密的信息系统。 特别说明:信息系统的安全保护等级是信息系统的客观属性,不以特别说明:信息系统的安全保护等级是信息系统的客观属性,不以系统已采取或将采取什么安全保护措施为依据,也不以风险评估结系统已采取或将采取什么安全保护措施为依据,也不以风险评估结果为依据,而是以信息系统的重要性和信息系统遭破坏后对客体的果为依据,而是以信息系统的重要性和信息系统遭破坏后对客体的危害程度为依据,来确定信息系统的等级,即从国家、人民群众的危害
18、程度为依据,来确定信息系统的等级,即从国家、人民群众的根本利益出发,考虑信息系统受到损害后的最大风险。根本利益出发,考虑信息系统受到损害后的最大风险。22信息系统安全保护等级的确定u定级对象(定级对象(1):): 定级对象的确定应当遵循以下三个基本原则:定级对象的确定应当遵循以下三个基本原则:1.承载相对独立或单一业务应用的信息系统承载相对独立或单一业务应用的信息系统; 定级对象中的一个或多个业务应用的主要业务流程、定级对象中的一个或多个业务应用的主要业务流程、部分业务功能独立,同时与其他信息系统的业务应部分业务功能独立,同时与其他信息系统的业务应用有少量的数据交换,定级对象可能会与其他业务用
19、有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。应用共享一些设备,尤其是网络传输设备。“相对相对独立独立”的业务应用并不意味着整个业务流程,可以的业务应用并不意味着整个业务流程,可以是完整的业务流程的一部分。是完整的业务流程的一部分。23信息系统安全保护等级的确定u定定级对象(象(2):):2.2.信息系信息系统的信息安全由本的信息安全由本单位主管位主管; 作为定级对象的信息系统应能够唯一地唯一地确定其安全责任单位,这个安全责任单位就是负责等级保护工作部署、实施的单位,也是完成等级保护备案和接受监督检查的直接责任单位。3.3.具有信息系具有信息系统的基本要素;的
20、基本要素; 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如单台的服务器、终端或网络设备等作为定级对象。24信息系统安全保护等级的确定u定定级要素:要素:受侵害的客体和受侵害的客体和对客体的侵害程度客体的侵害程度l受侵害的客体:受侵害的客体:1.1.国家安全:国家安全:国家政权稳固和国防实力的信息系统;重要新闻媒体的发布或播出系统;国家对外活动信息的信息系统;安全保卫信息系统;尖端科技领域的研发.2.2.社会秩序和公共利益社会秩序和公共利益: :政府机构的社会管理和公共服务系统;教育、科研机构的工作系统;为公众提供
21、医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统。借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行管理控制都应当是要考虑的方面3.3.公民、法人和其他公民、法人和其他组织的合法的合法权益益: :拥有信息系统的个体或某个单位25信息系统安全保护等级的确定l对客体的侵害程度:对客体的侵害程度:1.1.一般损害:工作职能一般损害:工作职能受到局部影响,业务能力业务能力有所降低但不影响主要功能的执行,出现较轻的法法律问题律问题,较低的资产损失资产损失,有限的社会不良影响社会不良影响,对其他组织和个人造成较低损害。2.2.严重损害:严重损害:工作职能受到严重影响,
22、业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的资产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。3.3.特别严重损害:特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的资产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。 返回26信息安全保护等级的确定定级要素与安全保护等级的关系定级要素与安全保护等级的关系等级等级对象对象侵害客体侵害客体侵害程度侵害程度监管强度监管强度第一级第一级一般一般系统系统合法权益合法权益损害损害自主保护自主保护第二级第二级合法权益合法权益严重损害严重
23、损害指导指导社会秩序和公共利益社会秩序和公共利益损害损害第三级第三级重要重要系统系统社会秩序和公共利益社会秩序和公共利益严重损害严重损害监督检查监督检查国家安全国家安全损害损害第四级第四级社会秩序和公共利益社会秩序和公共利益特别严重特别严重损害损害强制监督检查强制监督检查严重损害严重损害第五级第五级极端重极端重要系统要系统国家安全国家安全特别严重特别严重损害损害专门监督检查专门监督检查27信息系统安全保护等级的确定u定定级工作步工作步骤1.摸底调查:识别单位基本信息位基本信息 :单位的职能特点,所在行业及其在行业所处的地位,判断单位主要信息系统的宏观定位。识别业务种种类、流程和服、流程和服务:
24、了解定级对象不同业务系统影响履行单位职能的具体方式和程度,影响的区域范围、用户人数、业务量的具体数据以及对本单位以外机构或个人的影响等方面。这些具体数据可以为主管部门制定定级指导意见及审批定级结果的重要依据。28信息系统安全保护等级的确定1.摸底摸底调查:识别本本单位系位系统处理的信息:理的信息:调查了解定级对象信息系统所处理的信息,了解单位对信息的三个安全属性的需求,了解不同业务数据在其保密性、完整性和可用性被破坏后在单位职能、单位资金、单位信誉、人身安全等方面可能对国家、社会、本单位造成的影响,对影响程度的描述应尽可能量化。识别网网络结构和构和边界:界:调查了解定级对象信息系统所在单位的整
25、体网络状况、安全防护和外部连接情况,目的是了解信息系统所处的单位内部网络环境和外部环境特点,以及该信息系统的网络安全保护与单位内部网络环境的安全保护的关系。29信息系统安全保护等级的确定识别主要的软硬件设备:识别主要的软硬件设备:调查了解与定级对象信息系统相关的服务器、网络、终端、存储设备以及安全设备等,设备所在网段,在系统中的功能和作用。调查设备的位置和作用主要就是发现不同信息系统在设备使用方面的共用程度。识别用户类型和分布:识别用户类型和分布:调查了解各系统的管理用户和一般用户,内部用户和外部用户,本地用户和远程用户等类型,了解用户或用户群的数量分布,判断系统服务中断或系统信息被破坏可能影
26、响的范围和程度。30信息系统安全保护等级的确定单位信息系统描述单位信息系统描述:通过上述调查,可以较为全面地了解单位信息系统的基本信息、管理信息、业务信息、网络信息、设备信息和用户信息等,信息系统描述是信息系统划分和定级的基础,描述信息的准确和详细决定了系统划分是否合理以及定级结果是否准确。 实施指南实施指南具体说明:具体说明:实施指南中对定级工作中如何识别本单位系统基本信息、管理框架、网络及设备部署、业务种类和特性、系统处理的业务、用户范围和类型等进行了说明31信息系统安全保护等级的确定2.确定系确定系统的等的等级 确定系确定系统等等级,就是在,就是在调查了解的基了解的基础上,将上,将本本单
27、位的系位的系统划分成一个个不同安全需求的独立划分成一个个不同安全需求的独立系系统,针对这些独立的系些独立的系统进行等行等级确定。确定。 信息系信息系统一般都包括一般都包括业务信息安全信息安全(信息保密(信息保密性、完整性、可用性)和性、完整性、可用性)和系系统服服务安全安全(服(服务及及时、有效),每种安全遭到破坏后侵害客体和、有效),每种安全遭到破坏后侵害客体和对客体侵害程度不同,要将定客体侵害程度不同,要将定级对象分成两个方面象分成两个方面考考虑,确定,确定业务信息安全等信息安全等级和和业务服服务安全等安全等级。对于系于系统定定级主要从以下几个方面主要从以下几个方面进行:行:32信息系统安
28、全保护等级的确定2.1识别定定级对象:象:定定级首先要确定我首先要确定我们要要对其定其定级的的对象象a)定定级对象三个确定原象三个确定原则明确的单位、完整的系统,独立的业务b)定定级对象的象的识别: 从以下三方面之一或多个因素划分 安全安全责任任单位:位:不同的责任单位划分不同系统。注意:一个单位信息中心和业务部门的安全责任区别,系统承担安全责任的应是业务部门 业务类型和型和业务重要性:重要性:不同的系统处理业务不同,可以从系统涉及不同的客体、对客体造成不同程度损害、处理不同类型业务来划分 物理位置差异:物理位置差异:不同物理位置的系统受到安全威胁不同,不同物理位置不是一个安全域。 注注:定定
29、级对象没有象没有对与与错,只有合理不合理的,只有合理不合理的问题。33信息系统安全保护等级的确定c)确定定级对象系统边界和边界设确定定级对象系统边界和边界设备:备: 定级对象确定后,需要确定定级对象的系统边界和边界设备。系统边界不应出现在服务器内部,服务器共用的系统一般归入同一个信息系统,因此不同信息系统的共用设备一般是网络边界设备或终端设备。两个信息系统边界存在共用设备时,共用设备的安全保护等级按两个信息系统安全保护等级较高者确定。d)定级报批:定级报批: 在定级对象确定后,报领导小组批准、可聘请专家咨询、公安机关指导。各部门、各行业要提出定级意见。34信息系统安全保护等级的确定2.2.确定
30、受侵害的客体(定级要素确定受侵害的客体(定级要素1) 按照调查的信息,从业务信息安全和业务服务安全方面分析对可能侵害的客体包括国家安全、社会秩序、公共利益、公民、法人和其他组织的合法权益国家安全国家安全 体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全等方面利益。社会秩序和公共利益社会秩序和公共利益 包括政治、经济、生产、生活、科研、工作等各方面的正常秩序和社会公众生产、生活、教育、卫生等方面的利益。合法权益合法权益 是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。35信息系统安全保护等级的确定2.3. 确定对客体的侵害程度(定级要素
31、确定对客体的侵害程度(定级要素2) : 按照国家安全社会秩序和公共利益合法利益的顺序考虑。不同的危害方式:信息保密性、完整性和可用性的危害,系统服务及时性、有效性的危害不同危害后果:直接后果和间接的影响不同的侵害客体:同一破坏对不同的客体受到的侵害程度不同,如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准;如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。侵害程度:一般损害、严重损害、特别严重损害 对客体的受侵害程度要采取综合判定的方法。首先根据不同的受侵害客体、不同危害后果分别确定其危害程度,然
32、后根据不同危害结果的危害程度进行综合评定得出 36信息系统安全保护等级的确定2.4 确定信息系统安全保护等级:确定信息系统安全保护等级: 根据信息安全和服务安全破坏侵害的客体及对客体的侵害根据信息安全和服务安全破坏侵害的客体及对客体的侵害程度,依据程度,依据表表2 2、表表3 3分别确定确定业务信息安全等级和系统分别确定确定业务信息安全等级和系统服务安全等级,由两者较高者决定定级对象的等级。服务安全等级,由两者较高者决定定级对象的等级。3.3.信息系统等级评审信息系统等级评审 等级确定过程中,重大问题可聘请专家咨询评审,四级以上等级确定过程中,重大问题可聘请专家咨询评审,四级以上应通过国家信息
33、安全等级保护专家评审委员会评审,我省成立应通过国家信息安全等级保护专家评审委员会评审,我省成立了各领域专家组成的评审专家组,各单位可以自行申请评审。了各领域专家组成的评审专家组,各单位可以自行申请评审。当本单位自主定级与专家评审不一致时,以本单位确定的定级当本单位自主定级与专家评审不一致时,以本单位确定的定级为准。为准。4.4.信息系统安全保护等级的最终确定与审批信息系统安全保护等级的最终确定与审批 运营单位根据确定的等级或专家评审等级,自主确定系统等级,运营单位根据确定的等级或专家评审等级,自主确定系统等级,有上级主管部门的,应经上级主管部门审批核准,起草定级报有上级主管部门的,应经上级主管
34、部门审批核准,起草定级报告告37信息系统安全保护等级的确定3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体7、系统服务安全等级4、业务信息安全等级8、定级对象的安全保护等级依据表2依据表31、确定定级对象信息系统确定等级一般流程38信息系统安全保护等级的确定业务信息安全被破坏时所侵业务信息安全被破坏时所侵害的客体害的客体对相应客体的侵害程度对相应客体的侵害程度一般损害一般损害严重损害严重损害特别严重损特别严重损害害公民、法人和其他组织的合公民、法人和其他组织的合法权益法权益第一级第一级第二级第二级第二级
35、第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级表2 业务信息安全等级矩阵表返回返回39信息系统安全保护等级的确定系统服务安全被破坏时所系统服务安全被破坏时所侵害的客体侵害的客体对相应客体的侵害程度对相应客体的侵害程度一般损害一般损害严重损害严重损害特别严重特别严重损害损害公民、法人和其他组织的公民、法人和其他组织的合法权益合法权益第一级第一级第二级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级表3 系统服务安全等级矩
36、阵表返回返回40信息系统保护等级的备案与审核u保护等级的备案保护等级的备案基本要求:基本要求:第二级第二级以上信息系统在等级确定后30日内到市级以上公安机关备案,涉密系统按管理办法和国家保密局规定备案。跨省或全国统一联网运行的系统、跨市或者全省统一联网运行并由主管部门统一定级的系统,其在我省的省级、市级分支系统,到所在市办理备案手续,第三级以上系统还需提供拓扑结构、安全组织结构和管理制度、安全产品情况、专家评审意见、主管部门审批意见等材料备案步骤:备案步骤:信息系统运营、使用单位首先从安徽省公安厅网络安全便民服务网站 ()上下载备案表和辅助备案工具,然后填写备案表。对于二级系统,只需填写表一、
37、二、三,对于三级系统还需填写表四并提交其中所列材料(可以延期提交)。最后将有关书面材料和利用辅助备案工具生成的备案电子数据提交所在的省辖市公安机关网监部门。41信息系统保护等级的备案与审核信息系统保护等级的备案与审核u备案审核:备案审核:公安机关对信息系统的备案情况进行审核公安机关对信息系统的备案情况进行审核 对第二级信息系统,在收齐备案表一、表二、表三后10个工作日内,经审核符合等级保护要求的,直接发给信息系统安全等级保护备案证明,对不符合等级保护要求的,发给不受理回执并书面说明不受理的原因通知备案单位予以纠正。 对于第三级以上(含)信息系统在收齐备案表一、二、三后的10个工作日内(表四可以
38、延期提交),经审核合格的,发给受理回执;不合格的,发给不受理回执并书面说明不受理的原因通知备案单位予以纠正。在直接或延期收齐所有备案表(含表四)后的10个工作日内,经审核合格的,颁发信息系统安全等级保护备案证明;不合格的,发给不受理回执并书面说明不受理的原因通知备案单位予以纠正。 42信息系统安全建设整改u制定安全建设整改工作规划u开展需求分析或差距分析u规划安全建设整改的管理体系,开展安全管理建设整改工作u制定安全技术建设整改技术方案,开展安全技术建设整改u开展安全自查和等级测评43信息系统安全建设整改2010年年8月月2日,四日,四厅委局委局关于印关于印发安徽省重要信安徽省重要信息系息系统
39、等等级保保护安全建安全建设工作方案工作方案的通知的通知(皖公(皖公通通201064号),四个号),四个阶段:段: 1、工作部署(、工作部署(2010年年8月月30日前)日前) 2、完善、完善备案(案(2010年年9月月30日前)日前) 3、建、建设整改(整改(2010年年12月月31日前)日前) 4、测评验收(收(2011年年2月底前)月底前)44等级测评等级测评与一般安全测评的区别:等级测评活动的依据系统安全保护等级和该级别系统的基本保护要求要求测评人员具有把握国家政策,理解和掌握相关的技术等级测评的结果,将是国家信息安全监管部门依法行政管理的技术依据因此,等级测评活动,是一项政策性很强的技
40、术专业化的一个信息安全服务。45等级测评等级测评的作用:可以确定信息系统的安全状况,尤其是与相应等级基本要求的差距,提出安全整改需求等级测评报告是监管机构指定的备案材料,也是监督检查的依据等级测评是国家发改委项目验收的必要步骤等级测评的现场活动可以与行业要求的第三方测评、风险评估等相结合。46等级测评等级测评依据标准: 信息系统安全等级保护测评要求 信息系统安全等级保护测评过程指南 47等级测评u等等级测评与自与自查定期开展定期开展测评、自、自查 依据依据信息系信息系统安全等安全等级保保护测评要求要求第三第三级信息系信息系统应当每年至少当每年至少进行一次等行一次等级测评,第四,第四级信息系信息
41、系统应当每半年至少当每半年至少进行一次等行一次等级测评,第五,第五级信息系信息系统应当依据特殊安全需求当依据特殊安全需求进行等行等级测评。测评机构的管理,自机构的管理,自查情况也相同情况也相同测评机构管理机构管理 管理管理办法法第二十二条、第二十三条第二十二条、第二十三条规定的定的测评单位条件、位条件、义务,第三,第三级以上信息系以上信息系统应当当选择符合符合条件的等条件的等级保保护测评机构机构进行行测评 48监督、检查u公安机关、国家指定专门部门的监督检查职责公安机关、国家指定专门部门的监督检查职责检查定级情况,安全制度、措施落实情况,运营使用单位和主管部门自查情况,测评单位情况、产品使用情
42、况等等级保护政策、标准、法规的宣传u监督检查方式监督检查方式公安机关应当对第三级、第四级系统的运营使用单位的信息安全等级保护工作情况进行检查。对第三级系统每年至少检查一次,对第四级系统每半年至少检查一次。对第五级信息系统,应当由国家指定的专门部门进行检查。对跨市或者全省统一联网运行的信息系统的检查,应当会同其主管部门进行。 检查不合格的要求限期整改,并将整改报告报公安机关备案信息系统主管部门和运营使用单位应当接受监督、检查、指导,并提供有关文件资料49监督、检查u违规责任违规责任违规行为:违规行为:1.1.不备案不备案2.2.不落实制度措施不落实制度措施3.3.不自查、不测评不自查、不测评4.
43、4.测评单位、安全产品不符合要求测评单位、安全产品不符合要求5.5.接到公安机关等监管部门整改通知不整改的接到公安机关等监管部门整改通知不整改的处罚方式处罚方式限期改正通知限期改正通知给予警告、并向上级主管部门通报,建议对相关给予警告、并向上级主管部门通报,建议对相关人员处罚人员处罚造成严重损害的,由相关部门依照有关法律、法造成严重损害的,由相关部门依照有关法律、法规予以处理规予以处理 2024/8/150几个案例2024/8/151(一)西方国家利用互联网对我“西化”、“分化”和遏制战略图谋更加突出 最近美国政府发布了网络空间国际战略,积极推广美式“互联网自由”,其目标直指中国。今后美国等西
44、方国家将继续在网络战略上对我遏制,在网络技术上对我控制、封锁,围绕制网权和网上渗透与反渗透、颠覆与反颠覆的斗争将更加激烈。 2024/8/152(二)境外敌对势力网上煽动破坏活动更加突出 今年以来,西亚北非局势持续动荡,其中脸谱、推特等网络应用起到了“发动机”和“助推器”作用。境内外敌对势力妄图把中东式政治变局引入中国,煽动发起所谓“中国茉莉花革命”。 2024/8/153(三)群体性事件从网上发端的情况更加突出网络组织动员能力空前强大 , 从近年来发生的一些重大群体性事件看,网上网下互动更加紧密,网络社区仍是群体性事件煽动传播的主要平台,一些别有用心者和意见领袖的插手炒作起到了推波助澜的作用
45、。 2024/8/154(四)网络违法犯罪活动更加突出 当前,各种传统犯罪加速向互联网蔓延,当前,各种传统犯罪加速向互联网蔓延,黑客、诈骗、色情、赌博、侵权、贩卖违禁黑客、诈骗、色情、赌博、侵权、贩卖违禁品、品、传销等犯罪持续高发,网络违法犯罪呈传销等犯罪持续高发,网络违法犯罪呈泛滥态势,人民群众反响强烈。网络团伙犯泛滥态势,人民群众反响强烈。网络团伙犯罪的情况十分突出,多种网络违法犯罪形成罪的情况十分突出,多种网络违法犯罪形成了了“各负其责、利益共享各负其责、利益共享”的利益链条,而的利益链条,而且新的犯罪手法不断出现,已经成为影响社且新的犯罪手法不断出现,已经成为影响社会治安的突出问题。会
46、治安的突出问题。 2024/8/155病毒木马通过网络下载传播的完整途径2024/8/156网络安全是美国所面临最严重的经济和国家安全挑战之一网络安全是美国所面临最严重的经济和国家安全挑战之一美国信息网络安全主管机构开始进入新一轮的整合美国信息网络安全主管机构开始进入新一轮的整合 政府的网络安全归国土安全部统一保障和应急响应,军方信息系统安全由国防部负责。国政府的网络安全归国土安全部统一保障和应急响应,军方信息系统安全由国防部负责。国土安全部和国防部年内整合了部门内现有职责和机构,以期形成合力土安全部和国防部年内整合了部门内现有职责和机构,以期形成合力美国军方建立网络司令部,为未来网络战作准备
47、美国军方建立网络司令部,为未来网络战作准备 美国防部提出将网络空间视为一个新的战场,对涉嫌攻击美国重要设施或网络的计算机与美国防部提出将网络空间视为一个新的战场,对涉嫌攻击美国重要设施或网络的计算机与网络,不论在美境内或境外,网络部队都可以主动攻击、瘫痪对方。网络,不论在美境内或境外,网络部队都可以主动攻击、瘫痪对方。 美军遍布全球美军遍布全球8888个国家的个国家的700700万台电脑和万台电脑和1.51.5万个网络,万个网络,20102010年每天遭受年每天遭受600600万次,约合每小万次,约合每小时时2525万次的非法扫描。万次的非法扫描。各国高度重视网络安全各国高度重视网络安全美国政
48、府和军方相继推出美国政府和军方相继推出“完美公民计划完美公民计划”、“可信可信身份战略身份战略”、“网络基因网络基因”计划,目的是不断提升网计划,目的是不断提升网络监控水平。络监控水平。2024/8/157合肥学院的网络安全工作网络安全体系规划设计工作开展较早,工作得到了合肥市网监支队和同行的肯定存在主要问题: 1 学院在网络安全建设方面的投入不足, 建设 规划难以完整实施 2 学院各部门信息系统建设存在重建设轻安全 的问题,安全管理水平参差不齐2024/8/1582024/8/159学院工作安排各相关部门填报本部门管理信息系统的相关资料,表格可在公管处下载中心栏目下载,电子表格以及加盖部门公章的纸质材料于周五下午下班前交至二号教学楼三楼办公室,电话:2158505 mail:60谢谢 谢谢 大大 家家
