深圳市重要信息系統(tǒng)等級保護培訓.ppt

深圳市重要信息系統(tǒng)等級保護培訓 深圳市公安局網監(jiān)分局 2008年6月,培訓內容,一、信息安全等級保護工作概述 二、如何實施等級保護工作,培訓內容,一、信息安全等級保護工作概述 二、如何實施等級保護工作,一、信息安全等級保護工作概述,（一）什么是信息安全等級保護工作？ （二）為什么開展信息安全等級保護工作？,（一） 什么是信息安全等級保護工作？,概 念： 信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置。,（一） 什么是信息安全等級保護工作？,信息系統(tǒng)的安全保護等級分為以下五級： 第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益； 第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全； 第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害； 第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害； 第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。,一、信息安全等級保護工作概述,（一）什么是信息安全等級保護工作？ （二）為什么開展信息安全等級保護工作？,（二） 為什么開展信息安全等級保護工作？,1、衛(wèi)生系統(tǒng)信息化發(fā)展狀況 信息化建設是醫(yī)院現(xiàn)代化建設和發(fā)展的歷史潮流，也是現(xiàn)代醫(yī)院管理發(fā)展的必然要求。1995年5月，衛(wèi)生部正式啟動“金衛(wèi)工程”，該工程是跨世紀的國家醫(yī)療信息網絡工程，通過信息化建設加強醫(yī)院現(xiàn)代化管理，走“優(yōu)質、高效、低耗”的發(fā)展道路。,（二） 為什么開展信息安全等級保護工作？,2、信息安全形勢 在醫(yī)院信息化建設的過程中，部分醫(yī)院領導缺乏科學合理的管理手段和技術，醫(yī)院信息系統(tǒng)的安全建設成為了信息化建設中被忽視的問題。由于醫(yī)院信息系統(tǒng)的體系結構是一個相對開放的環(huán)境，加上網絡數(shù)據(jù)資源易傳送、修改、復制、下載等特點，而醫(yī)院的數(shù)據(jù)資源既涉及密級文件資料，又涉及病人的隱私，一旦發(fā)生系統(tǒng)被攻擊或數(shù)據(jù)被竊等破壞行為，后果將不堪設想。因此，開展衛(wèi)生系統(tǒng)等級保護工作刻不容緩，衛(wèi)生系統(tǒng)信息安全等級保護定級工作開展的好壞，將直接影響到我市整體的信息安全保障能力和水平。,（二） 為什么開展信息安全等級保護工作？,3、存在的問題 信息安全意識和安全防范能力薄弱，信息安全滯后于信息化發(fā)展； 信息系統(tǒng)安全建設和管理的目標不明確； 信息安全保障工作的重點不突出； 信息安全監(jiān)督管理缺乏依據(jù)和標準，監(jiān)管措施有待到位，監(jiān)管體系尚待完善； 大多數(shù)單位的信息系統(tǒng)安全保護還處在采用防火墻、IDS和防病毒等部件方面； 重視外部攻擊與入侵，忽視內部的非法行為； 偏重產品，忽視體系和管理； 國內產品質量和技術問題； 用戶信息安全的潛在的需求到現(xiàn)實需求仍有一個過程； 西方發(fā)達國家信息技術優(yōu)勢明顯，我國面臨信息強國的沖擊、挑戰(zhàn)和威脅，信息安全領域始終面臨信息戰(zhàn)和網絡恐怖襲擊的威脅 ； 敵對勢力的網上煽動、滲透和破壞活動愈加突出，針對信息系統(tǒng)進行的破壞活動日益嚴重，利用網絡實施的違法犯罪案件持續(xù)大幅上升 。,（二） 為什么開展信息安全等級保護工作？,4、相關政策及法律依據(jù)： 1、1994年，中華人民共和國計算機信息系統(tǒng)安全保護條例（國務院147號令）規(guī)定，“計算機信息系統(tǒng)實行安全等級保護，安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定”； 2、2003年，國家信息化領導小組關于加強信息安全保障工作的意見（中辦發(fā)200327號）明確指出“實行信息安全等級保護”，“抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南”； 3、2004年9月公安部會同國家保密局、國家密碼管理局和國務院信息辦聯(lián)合出臺了關于信息安全等級保護工作的實施意見（公通字200466號），明確了信息安全等級保護制度的原則和基本內容，以及信息安全等級保護工作的職責分工、工作實施的要求等； 4、2007年公安部會同國家保密局、國家密碼管理局和國務院信息辦聯(lián)合出臺了信息安全等級保護管理辦法，并召開了“全國重要信息系統(tǒng)安全等級保護定級工作電視電話會議”，部署在全國范圍內開展重要信息系統(tǒng)安全等級保護定級備案工作。,（二） 為什么開展信息安全等級保護工作？,信息安全等級保護是我國信息安全保障的基本制度、基本策略、基本方法。開展信息安全等級保護工作，就是要解決我國信息安全面臨的威脅和存在的主要問題。,（二） 為什么開展信息安全等級保護工作？,5、開展等級保護工作的意義： 建立信息安全等級保護制度，開展信息安全等級保護工作，有利于在信息化建設過程中同步建設信息安全設施，保障信息安全與信息化建設協(xié)調；有利于為信息系統(tǒng)安全建設和管理提供系統(tǒng)性、針對性、可行性的指導和服務；有利于優(yōu)化信息安全資源的配置，重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)的安全；有利于明確國家、法人和其他組織、公民的信息安全責任，加強信息安全管理；有利于推動信息安全產業(yè)的發(fā)展，逐步探索出一條適應社會主義市場經濟發(fā)展的信息安全模式。,（二） 為什么開展信息安全等級保護工作？,胡錦濤總書記指出： 信息安全是個大問題，必須把信息安全問題放到至關重要的位置，認真加以考慮和解決；切實把互聯(lián)網建設好、利用好、管理好 溫家寶總理強調： 面對復雜多變的國際環(huán)境和互聯(lián)網的廣泛應用，我國信息安全問題日益突出。加入世界貿易組織、發(fā)展電子政務等，對信息安全保障提出了新的、更高的要求。必須從國家安全、經濟發(fā)展、社會穩(wěn)定、公共利益的高度，充分認識信息安全的極端重要性。,培訓內容,一、信息安全等級保護工作概述 二、如何實施等級保護工作,二、如何實施等級保護工作,（一）實施流程 （二）工作要求,（一）實施流程,（一）實施流程 （二）工作要求,（一）實施流程,重大變更,2、安全規(guī)劃設計,3、安全實施/實現(xiàn),4、安全運行管理,1、系統(tǒng)定級,局部調整,5、系統(tǒng)終止,（一）實施流程,1、系統(tǒng)定級（首要環(huán)節(jié)） 2、安全規(guī)劃設計 安全建設 3、安全實施/實現(xiàn) 4、安全運行管理 5、系統(tǒng)終止,1、系統(tǒng)定級,第一步 開展信息系統(tǒng)基本情況的摸底調查 第二步 初步確定信息系統(tǒng)安全保護等級 第三步 專家評審與審批,第一步 開展信息系統(tǒng)基本情況的摸底調查,正確劃分定級對象： 信息系統(tǒng)運營使用單位或主管部門按如下原則確定定級對象： 一是承載相對獨立或單一業(yè)務的信息系統(tǒng)； 二是信息系統(tǒng)的信息安全由本單位主管； 三是具有信息系統(tǒng)的基本要素。 起支撐作用的網絡可以作為定級對象；應用類的信息系統(tǒng)以應用種類劃分定級對象。,第一步 開展信息系統(tǒng)基本情況的摸底調查,一是承載相對獨立或單一業(yè)務的信息系統(tǒng)： 定級對象承載“相對獨立”的業(yè)務應用是指其中的一個或多個業(yè)務應用的主要業(yè)務流程、部分業(yè)務功能獨立，同時與其他信息系統(tǒng)的業(yè)務應用有少量的數(shù)據(jù)交換，定級對象可能會與其他業(yè)務應用共享一些設備，尤其是網絡傳輸設備?！跋鄬Κ毩ⅰ钡臉I(yè)務應用并不意味著整個業(yè)務流程，可以使完整的業(yè)務流程的一部分。,第一步 開展信息系統(tǒng)基本情況的摸底調查,二是信息系統(tǒng)的信息安全由本單位主管： 作為定級對象的信息系統(tǒng)應能夠唯一地確定其安全責任單位，這個安全責任單位就是負責等級保護工作部署、實施的單位，也是完成等級保護備案和接受監(jiān)督檢查的直接責任單位。,第一步 開展信息系統(tǒng)基本情況的摸底調查,三是具有信息系統(tǒng)的基本要素： 作為定級對象的信息系統(tǒng)應該是由相關的和配套的設備、設施按照一定的應用目標和規(guī)則組合而成的有形實體。應避免將某個單一的系統(tǒng)組件，如單臺的服務器、終端或網絡設備等作為定級對象。,1、系統(tǒng)定級,第一步 開展信息系統(tǒng)基本情況的摸底調查 第二步 初步確定信息系統(tǒng)安全保護等級 第三步 專家評審與審批,第二步 初步確定信息系統(tǒng)安全保護等級,信息系統(tǒng)的安全保護等級是信息系統(tǒng)的客觀屬性，不以已采取或采取什么安全保護措施為依據(jù)，而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對國家安全、社會穩(wěn)定、人民群眾合法權益等損害客體的危害程度為依據(jù)，確定信息系統(tǒng)的安全等級。,第二步 初步確定信息系統(tǒng)安全保護等級,（一）信息系統(tǒng)的安全保護等級由兩個定級要素決定： 1、等級保護對象受到破壞時所侵害的客體 2、受到破壞時對客體造成侵害的程度,第二步 初步確定信息系統(tǒng)安全保護等級,1、等級保護對象受到破壞時所侵害的客體： A、國家安全 B、社會秩序、公共利益 C、公民、法人和其他組織的合法權益,第二步 初步確定信息系統(tǒng)安全保護等級,A、 國家安全利益體現(xiàn)了國家層面、與全局相關的國家政治安全、軍事安全、經濟安全、社會安全、科技安全和資源環(huán)境安全等方面利益。 重要的國家事務處理系統(tǒng)、國防工業(yè)生產系統(tǒng)和國防設施的控制系統(tǒng)等屬于影響國家政權穩(wěn)固和國防實力的信息系統(tǒng)；廣播、電視、網絡等重要新聞媒體的發(fā)布或播出系統(tǒng)，其受到非法控制可能引發(fā)影響國家統(tǒng)一、民族團結和社會安定的重大事件；處理國家對外活動信息的信息系統(tǒng)；處理國家重要安全保衛(wèi)工作信息的信息系統(tǒng)和重大刑事案件的偵查系統(tǒng)；尖端科技領域的研發(fā)、生產系統(tǒng)等影響國家經濟競爭力和科技實力的信息系統(tǒng)，以及電力、通信、能源、交通運輸、金融等國家重要基礎設施的生產、控制、管理系統(tǒng)等。,第二步 初步確定信息系統(tǒng)安全保護等級,B、社會秩序包括社會的政治、經濟、生產、生活、科研、工作等各方面的正常秩序。公共利益是指不特定的社會成員所共同享有的，維持其生產、生活、教育、衛(wèi)生等方面的利益。 各級政府機構的社會管理和公共服務系統(tǒng)，如財政、金融、工商、稅務、公檢法、海關、社保等領域的信息系統(tǒng)，也包括教育、科研機構的工作系統(tǒng)，以及所有為公眾提供醫(yī)療衛(wèi)生、應急服務、供水、供電、郵政等必要服務的生產系統(tǒng)或管理系統(tǒng)。,第二步 初步確定信息系統(tǒng)安全保護等級,C、合法權益是法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權利和利益。 借助信息化手段為社會成員提供使用的公共設施和通過信息系統(tǒng)對公共設施進行進行管理控制都應當是要考慮的方面，例如：公共通信設施、公共衛(wèi)生設施、公共休閑娛樂設施、公共管理設施、公共服務設施等。 公共利益與社會秩序密切相關，社會秩序的破壞一般會造成對公共利益的損害。,第二步 初步確定信息系統(tǒng)安全保護等級,2、對客體造成侵害的程度 A、造成一般損害 B、造成嚴重損害 C、造成特別嚴重損害,第二步 初步確定信息系統(tǒng)安全保護等級,不同危害后果的三種危害程度描述如下： 一般損害：工作職能受到局部影響，業(yè)務能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的資產損失，有限的社會不良影響，對其他組織和個人造成較低損害。,第二步 初步確定信息系統(tǒng)安全保護等級,嚴重損害：工作職能受到嚴重影響，業(yè)務能力顯著下降且嚴重影響主要功能執(zhí)行，出現(xiàn)較嚴重的法律問題，較高的資產損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴重損害。,第二步 初步確定信息系統(tǒng)安全保護等級,特別嚴重損害：工作職能受到特別嚴重影響或喪失行使能力，業(yè)務能力嚴重下降且或功能無法執(zhí)行，出現(xiàn)極其嚴重的法律問題，極高的資產損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴重損害。,第二步 初步確定信息系統(tǒng)安全保護等級,1、影響行使工作職能工作職能包括國家管理職能、公共管理職能、公共服務職能等國家或社會方面的職能。 2、導致業(yè)務能力下降下降的表現(xiàn)形式可能包括業(yè)務范圍的減少、業(yè)務處理性能的下降、可服務的用戶數(shù)量的下降以及其他各種業(yè)務指標的下降，每個行業(yè)務都有本行業(yè)關注的業(yè)務指標。例如電力行業(yè)關注發(fā)電量和用電量，稅務行業(yè)關注稅費收入，銀行業(yè)關注存款額、貸款額、交易量等，證券經紀行業(yè)關注股民數(shù)和交易額。 3、引起法律糾紛是比較嚴重的影響，在較輕的程度時可能表現(xiàn)為投訴、索賠、媒體曝光等形式。 4、導致財產損失包括系統(tǒng)資產被破壞的直接損失、業(yè)務量下降帶來的損失、直接的資金損失、為客戶索賠所支付的資金等，以及由于信譽下降、單位形象降低、客戶關系損失等導致的間接經濟損失。直接造成人員傷亡，例如醫(yī)療服務系統(tǒng)，公安行業(yè)的某些系統(tǒng)等。 5、造成社會不良影響包括在社會風氣、執(zhí)政信心等方面的影響。,第二步 初步確定信息系統(tǒng)安全保護等級,（二）定級的一般流程： 信息系統(tǒng)的安全包括業(yè)務信息安全和系統(tǒng)服務安全，保護等級由業(yè)務信息安全等級和系統(tǒng)服務安全等級的較高者決定。,第二步 初步確定信息系統(tǒng)安全保護等級,3、綜合評定對客體的侵害程度,2、確定業(yè)務信息安全受到破壞時所侵害的客體,6、綜合評定對客體的侵害程度,5、確定系統(tǒng)服務安全受到破壞時所侵害的客體,7、系統(tǒng)服務安全等級,4、業(yè)務信息安全等級,8、定級對象的安全保護等級,依據(jù)表1,依據(jù)表2,1、確定定級對象,第二步 初步確定信息系統(tǒng)安全保護等級,表1：業(yè)務信息安全等級矩陣表：,第二步 初步確定信息系統(tǒng)安全保護等級,表2：系統(tǒng)服務安全等級矩陣表：,第二步 初步確定信息系統(tǒng)安全保護等級,綜合判定侵害程度： 業(yè)務信息安全被破壞導致的財物損失可以從直接的資金損失大小、間接的信息恢復費用等方面進行確定。 系統(tǒng)服務安全被破壞導致業(yè)務能力下降的程度可以從信息系統(tǒng)服務覆蓋的區(qū)域范圍、用戶人數(shù)或業(yè)務量等不同方面確定。,1、系統(tǒng)定級,第一步 開展信息系統(tǒng)基本情況的摸底調查 第二步 初步確定信息系統(tǒng)安全保護等級 第三步 專家評審與審批,第三步 專家評審與審批,信息系統(tǒng)等級評審： 在信息系統(tǒng)安全保護等級確定過程中，可以聘請專家進行咨詢評審，并出具定級評審意見。 對擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主管部門應當邀請國家信息安全保護等級專家評審委員會評審，出具評審意見。,第三步 專家評審與審批,信息系統(tǒng)等級的最終確定與審批： 信息系統(tǒng)運營使用單位參考專家定級評審意見，最終確定信息系統(tǒng)等級，形成信息系統(tǒng)安全等級保護定級報告。 如果專家評審意見與運營使用單位意見不一致時，由運營使用單位自主決定系統(tǒng)等級。 信息系統(tǒng)運營使用單位有上級主管部門的，應當經上級主管部門對安全保護等級進行審核批準。,（一）實施流程,1、系統(tǒng)定級（首要環(huán)節(jié)） 2、安全規(guī)劃設計 安全建設 3、安全實施/實現(xiàn) 4、安全運行管理 5、系統(tǒng)終止,2、安全建設,信息安全等級保護管理辦法第十一條規(guī)定，信息系統(tǒng)的安全保護等級確定后，運營、使用單位應當按照國家信息安全等級保護管理規(guī)范和技術標準，使用符合國家有關規(guī)定，滿足信息系統(tǒng)安全保護等級需求的信息技術產品，開展信息系統(tǒng)安全建設和改建工作。,2、安全建設,第十二條規(guī)定，在信息系統(tǒng)建設過程中，運營、使用單位應當按照計算機信息系統(tǒng)安全保護等級劃分準則、信息系統(tǒng)安全等級保護基本要求等技術標準，參照信息安全技術 信息系統(tǒng)通用安全技術要求、信息安全技術 操作系統(tǒng)安全技術要求、信息安全技術 數(shù)據(jù)庫管理系統(tǒng)安全技術要求、信息安全技術 服務器技術要求、信息安全技術 終端計算機系統(tǒng)安全等級技術要求等技術標準同步建設符合該等級要求的信息安全設施。,2、安全建設,第十三條規(guī)定，運營、使用單位應當參照信息安全技術 信息系統(tǒng)安全管理要求 、信息安全技術 信息系統(tǒng)安全工程管理要求、信息系統(tǒng)安全等級保護基本要求等管理規(guī)范，制定并落實符合本系統(tǒng)安全保護等級要求的安全管理制度。,2、安全建設,信息系統(tǒng)安全建設通過由包括物理安全、網絡安全、主機安全、應用安全和數(shù)據(jù)安全及備份恢復等五個層面的基本安全技術措施和安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理等五個方面的基本安全管理措施來實現(xiàn)和保證。,（1）基本安全技術措施,基本安全技術措施主要包括以下幾方面： 物理安全主要是使存在計算機、網絡設備的機房以及信息系統(tǒng)的設備和存儲數(shù)據(jù)的介質免受物理環(huán)境、自然災害以及人為操作失誤和惡意操作等各種威脅所產生的攻擊。具體包括：物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應和電磁防火等十個控制點。 網絡安全一方面，確定網絡設備的安全運行，提供有效的網絡服務，另一方面，確保在網上傳輸數(shù)據(jù)的保密性、完整性和可用性等。具體包括：結構安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網絡設備防護等七個控制點。 主機安全是包括服務器、終端/工作站等在內的計算機設備在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全。具體包括：身份鑒別、安全標記、訪問控制、可信途徑、安全審計、剩余信息保護、入侵防范、惡意代碼防范和資源控制等九個控制點。,（1）基本安全技術措施,應用安全對應用系統(tǒng)的安全保護最終就是如何保護系統(tǒng)的各種業(yè)務應用程序安全運行。具體包括：身份鑒別、安全標記、訪問控制、可信路徑、安全審計、剩余信息保護、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制等十一個控制點。 數(shù)據(jù)安全及備份恢復保證數(shù)據(jù)安全和備份恢復主要從：數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復等三個控制點考慮。,（2）基本安全管理措施,基本安全管理措施主要包括以下幾方面： 安全管理制度包括信息安全工作的總體方針、策略、規(guī)范各種安全管理活動的管理制度以及管理人員或操作人員日常操作的操作規(guī)程。主要包括：管理制度、制定