信息安全等級保護制度的相關標準及其應用

1、信息安全等級保護制度的相關標準及其應用整理ppt目 錄等級保護的國家標準等級保護的定級過程 等級保護的建設整改交流與溝通整理ppt目 錄等級保護的國家標準等級保護的定級過程 等級保護的建設整改交流與溝通整理ppt什么是等級保護？信息系統(tǒng)安全等級保護是指對信息和信息系統(tǒng)劃分為五個安全保護和監(jiān)管等級，實行分等級保護。整理ppt “一個提高，四個有利于”有效地提高我國信息安全建設的整體水平 有利于在信息化建設過程中同步建設信息安全設施，保障信息安全與信息化建設相協(xié)調(diào)； 有利于加強對涉及國家安全、經(jīng)濟秩序、社會穩(wěn)定和公共利益的信息系統(tǒng)的安全保護和管理監(jiān)督；為什么實行等級保護？整理ppt 有利于明確國家

2、、法人和其他組織、公民的安全責任，強化政府監(jiān)管職能，共同落實各項安全建設和安全管理措施； 有利于提高安全保護的科學性、整體性、針對性，推動信息安全產(chǎn)業(yè)水平，逐步探索一條適應社會主義市場經(jīng)濟發(fā)展的信息安全發(fā)展模式。為什么實行等級保護？整理ppt相關標準制定環(huán)境-安全環(huán)境 近年來，黨中央、國務院高度重視，各有關方面協(xié)調(diào)配合、共同努力，我國信息安全保障工作取得了很大進展。但是從總體上看，我國的信息安全保障工作尚處于起步階段，基礎薄弱，水平不高，存在以下突出問題：偏重產(chǎn)品，忽視體系和管理。重視外部攻擊與入侵，忽視內(nèi)部的非法行為缺乏信息安全風險意識，安全投入盲目關鍵技術(shù)、產(chǎn)品受制于人一勞永逸的錯誤觀念，

3、忽視信息安全是個動態(tài)的過程c整理ppt相關標準制定單位-問題產(chǎn)生的原因信息安全防范意識和能力薄弱;信息安全法律法規(guī)不完善，標準體系尚待完善;信息系統(tǒng)安全建設和管理缺乏體系化思想； 現(xiàn)有標準雜、亂，安全建設無所適從；監(jiān)督管理缺乏依據(jù)和標準，監(jiān)管體系尚待完善。整理ppt相關標準制定單位-我們的對策 美國及西方發(fā)達國家為了抵御信息網(wǎng)絡的脆弱性和安全威脅，制定了一系列強化信息網(wǎng)絡安全建設的政策和標準，其中一個很重要思想就是將不同重要程度的信息系統(tǒng)劃分不同的安全等級，以指導不同領域的信息安全工作。 面對嚴峻的形勢和嚴重的問題，如何解決我國信息安全問題，是擺在我國政府、企業(yè)、公民面前的重大關鍵問題。 經(jīng)過

4、我國信息安全領域有關部門和專家學者的多年研究，在借鑒國外先進經(jīng)驗和結(jié)合我國國情的基礎上，提出了分等級保護的策略來解決我國信息安全問題： 信息安全等級保護制度整理ppt等級保護標準制修訂背景 1994年，中華人民共和國計算機信息系統(tǒng)安全保護條例的發(fā)布 1999年，計算機信息系統(tǒng)安全保護等級劃分準則 GB17859-1999發(fā)布 2001年，國家發(fā)改委“計算機信息系統(tǒng)安全保護等級評估體系及互聯(lián)網(wǎng)絡電子身份管理與安全保護平臺建設項目”（1110）工程實施 2003年，中央辦公廳、國務院辦公廳轉(zhuǎn)發(fā)國家信息化領導小組關于加強信息安全保障工作的意見，27號文第一項就是等級保護 2004年，四部委聯(lián)合簽發(fā)了

5、關于信息安全等級保護工作的實施意見 整理ppt 1994年 國務院147號令中華人民共和國計算機信息系統(tǒng)安全保護條例 第9條規(guī)定：計算機信息系統(tǒng)實行安全等級保護。 1999年 國家標準GB17859計算機信息系統(tǒng)安全保護等級劃分準則主要內(nèi)容來源于美國可信計算機系統(tǒng)評價準則TCSEC第一級 用戶自主保護級第二級 系統(tǒng)審計保護級第三級 安全標記保護級第四級 結(jié)構(gòu)化保護級第五級 訪問驗證保護級 等級保護標準制修訂背景整理ppt2001年 國家標準GB/T 18336 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準則 參照CC 即ISO/IEC 154082003年 中辦發(fā)17號文件 提出實行信息安全等級保

6、護的任務2004年 公通字66號文件 公安部、國家保密局、國家密碼管理委員會辦公室、國務院信息辦 發(fā)布 關于信息安全等級保護工作的實施意見2006年 公通字7號文件（已經(jīng)廢除） 四部門發(fā)布信息安全等級保護管理辦法等級保護標準制修訂背景整理ppt2006年 國家標準發(fā)布信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求（GB/T20271-2006）信息安全技術(shù)網(wǎng)絡基礎安全技術(shù)要求（GB/T20270-2006）信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求（GB/T20272-2006）信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求（GB/T20273-2006）信息安全技術(shù)終端計算機系統(tǒng)安全等級技術(shù)要求（GA/T671-200

7、6） 2007年5月底的更新信息系統(tǒng)安全等級保護實施指南信息系統(tǒng)安全等級保護定級指南信息系統(tǒng)安全等級保護基本要求200年 公通字號文件（6月27號發(fā)出） 信息安全等級保護管理辦法公信安號關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知等級保護標準制修訂背景整理ppt等級保護標準制修訂背景2003年9月中辦國辦頒發(fā)關于加強信息安全保障工作的意見中辦發(fā)200327號2005年9月國信辦文件 關于轉(zhuǎn)發(fā)電子政務信息安全等級保護實施指南的通知 國信辦200425號2006年1月四部委會簽 關于印發(fā)信息安全等級保護管理辦法的通知 公通字20067號2005年 公安部標準基本要求定級指南實施指南測評準則2

8、004年11月四部委會簽關于信息安全等級保護工作的實施意見公通字200466號云南云南省人民政府第130號令 浙江浙江省人民政府令 北京北京政府第9號令 國家級政策文件國家級技術(shù)標準國家級政策文件地方政策文件整理ppt安全控制定級指南過程方法確定系統(tǒng)等級啟動采購/開發(fā)實施運行/維護廢棄確定安全需求設計安全方案安全建設安全測評監(jiān)督管理運行維護暫不考慮特殊需求等級需求基本要求產(chǎn)品使用選型監(jiān)督管理測評準則流程方法監(jiān)管流程應急預案應急響應等級保護標準制修訂背景整理ppt開展等級保護工作的環(huán)節(jié) 一是：科學定級二是：嚴格備案三是：系統(tǒng)建設、整改四是：等級測評五是：信息安全監(jiān)管部門監(jiān)督檢查整理ppt等級保護

9、工作中用到的主要標準（一）基礎1、計算機信息系統(tǒng)安全保護等級劃分準則GB17859-19992、信息系統(tǒng)安全等級保護實施指南(國標報批稿)（二）系統(tǒng)定級環(huán)節(jié)3、信息系統(tǒng)安全保護等級定級指南GB/T22240-2008（三）建設整改環(huán)節(jié)4、信息系統(tǒng)安全等級保護基本要求GB/T22239-2008（四）等級測評環(huán)節(jié)5、信息系統(tǒng)安全等級保護測評要求(國標報批稿)6、信息系統(tǒng)安全等級保護測評過程指南(國標報批稿)整理ppt整理ppt小結(jié)-等級保護主要政策和標準信息安全等級保護管理辦法（公通字200743號，以下簡稱管理辦法）計算機信息安全保護等級劃分準則（GB 17859-1999，簡稱劃分準則）信息

10、系統(tǒng)安全等級保護實施指南（簡稱實施指南）信息系統(tǒng)安全保護等級定級指南（GB/T 22240-2008，簡稱定級指南）信息系統(tǒng)安全等級保護基本要求（GB/T 22239-2008，簡稱基本要求）信息系統(tǒng)安全等級保護測評要求（簡稱測評要求）信息系統(tǒng)安全等級保護測評過程指南（簡稱測評過程指南）整理ppt目 錄等級保護的國家標準等級保護的定級過程 等級保護的建設整改交流與溝通整理ppt等級的概念首先出現(xiàn)在國家標準劃分準則中從安全保護能力角度，根據(jù)安全功能的實現(xiàn)情況，將計算機信息系統(tǒng)安全保護能力劃分為五個級別用戶自主保護級系統(tǒng)審計保護級安全標記保護級結(jié)構(gòu)化保護級訪問驗證保護級系統(tǒng)定級-等級的概念整理pp

11、t系統(tǒng)定級-等級的概念-信息系統(tǒng)安全保護能力的等級整理ppt管理辦法從信息系統(tǒng)重要程度及其社會屬性考慮，再次給出了信息系統(tǒng)五個級別的定義第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。第五級，信息系統(tǒng)受到破壞后，會對國家安全造

12、成特別嚴重損害。系統(tǒng)定級-等級的概念-信息系統(tǒng)重要程度的等級整理ppt系統(tǒng)定級- 最終，依據(jù)中華人民共和國計算機信息系統(tǒng)安全保護條例（國務院147號令）、國家信息化領導小組關于加強信息安全保障工作的意見（中辦發(fā)200327號）、關于信息安全等級保護工作的實施意見（公通字200466號）和信息安全等級保護管理辦法（公通字200743號），制定本標準。 本標準是信息安全等級保護相關系列標準之一。整理ppt系統(tǒng)定級-定級原理 整理ppt系統(tǒng)定級-定級流程 整理ppt系統(tǒng)定級-定級方法 確定定級對象；確定業(yè)務信息安全受到破壞時所侵害的客體；綜合評定業(yè)務信息安全被破壞對客體的侵害程度；得到業(yè)務信息安全等

13、級；確定系統(tǒng)服務安全受到破壞時所侵害的客體；綜合評定系統(tǒng)服務安全被破壞對客體的侵害程度；得到系統(tǒng)服務安全等級；由業(yè)務信息安全等級和系統(tǒng)服務安全等級的較高者確 定定級對象的安全保護等級。整理ppt系統(tǒng)定級- -確定定級對象一、定級對象的三個條件具有唯一確定的安全責任單位作為定級對象的信息系統(tǒng)應能夠唯一地確定其安全責任單位，這個安全責任單位就是負責等級保護工作部署、實施的單位，也是完成等級保護備案和接受監(jiān)督檢查的直接責任單位。滿足信息系統(tǒng)的基本要素作為定級對象的信息系統(tǒng)應該是由相關的和配套的設備、設施按照一定的應用目標和規(guī)則組合而成的有形實體。應避免將某個單一的系統(tǒng)組件，如單臺的服務器、終端或網(wǎng)絡

14、設備等作為定級對象。整理ppt系統(tǒng)定級-確定定級對象一、定級對象的三個條件承載相對獨立的業(yè)務應用定級對象承載“相對獨立”的業(yè)務應用是指其中的一個或多個業(yè)務應用的主要業(yè)務流程、部分業(yè)務功能獨立，同時與其他信息系統(tǒng)的業(yè)務應用有少量的數(shù)據(jù)交換，定級對象可能會與其他業(yè)務應用共享一些設備，尤其是網(wǎng)絡傳輸設備?！跋鄬Κ毩ⅰ钡臉I(yè)務應用并不意味著整個業(yè)務流程，可以是完整的業(yè)務流程的一部分。整理ppt系統(tǒng)定級-確定定級對象二、定級對象的識別和劃分可能使定級要素賦值不同因素可能涉及不同客體的系統(tǒng)。可能對客體造成不同程度損害的系統(tǒng)。處理不同類型業(yè)務的系統(tǒng)。本身運行在不同的網(wǎng)絡環(huán)境中的系統(tǒng)。分不開的系統(tǒng)，按照高級別保

15、護。整理ppt系統(tǒng)定級-侵害程度 不同危害后果的三種危害程度描述如下：一般損害：工作職能受到局部影響，業(yè)務能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的財產(chǎn)損失，有限的社會不良影響，對其他組織和個人造成較低損害。嚴重損害：工作職能受到嚴重影響，業(yè)務能力顯著下降且嚴重影響主要功能執(zhí)行，出現(xiàn)較嚴重的法律問題，較高的財產(chǎn)損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴重損害。特別嚴重損害：工作職能受到特別嚴重影響或喪失行使能力，業(yè)務能力嚴重下降且或功能無法執(zhí)行，出現(xiàn)極其嚴重的法律問題，極高的財產(chǎn)損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴重損害。整理ppt系統(tǒng)定級-關

16、于損害的詳述安全保護級別信息和信息系統(tǒng)受到破壞后的影響1 自主保護級不會損害國家安全、社會秩序和公共利益。2 指導保護級會對社會秩序和公共利益造成輕微損害，但不損害國家安全。3 監(jiān)督保護級會對國家安全、社會秩序和公共利益造成損害。4 強制保護級 會對國家安全、社會秩序和公共利益造成嚴重損害。5 專控保護級 會對國家安全、社會秩序和公共利益造成特別嚴重損害。整理ppt系統(tǒng)定級-關于定級級別等級對象侵害客體侵害程度監(jiān)管強度第一級一般系統(tǒng)合法利益損害自主性保護第二級合法權(quán)益嚴重損害指導性保護社會秩序和公共利益損害第三級重要系統(tǒng)社會秩序和公共利益嚴重損害監(jiān)督性保護國家安全損害第四級社會秩序和公共利益特

17、別嚴重損害強制性保護國家安全嚴重損害第五級極端重要系統(tǒng)國家安全特別嚴重損害專控性保護整理ppt系統(tǒng)所屬類型業(yè)務信息類別系統(tǒng)服務范圍業(yè)務依賴程度業(yè)務信息安全性業(yè)務服務保證性信息系統(tǒng)安全保護等級侵害的程度如何？（對客體造成侵害的程度） 一般損害 嚴重損害 特別嚴重損害受到破壞時侵害了什么？（客體） 公民、法人 社會秩序、公共利益 國家安全四個主要因素決定等級整理ppt系統(tǒng)定級-關于等級變更 在信息系統(tǒng)的運行過程中，安全保護等級應隨著信息系統(tǒng)所處理的信息和業(yè)務狀態(tài)的變化進行適當?shù)淖兏?，尤其是當狀態(tài)變化可能導致業(yè)務信息安全或系統(tǒng)服務受到破壞后的受侵害客體和對客體的侵害程度有較大的變化，可能影響到系統(tǒng)的

18、安全保護等級時，應根據(jù)定級標準給出的定級方法重新定級整理ppt目 錄等級保護的國家標準等級保護的定級過程 等級保護的建設整改交流與溝通整理ppt建設整改-管理辦法要求管理辦法第十二條:在信息系統(tǒng)建設過程中，運營、使用單位應當按照計算機信息系統(tǒng)安全保護等級劃分準則（GB17859-1999）、信息系統(tǒng)安全等級保護基本要求等技術(shù)標準，參照等技術(shù)標準同步建設符合該等級要求的信息安全設施。整理ppt建設整改-劃分準則和基本要求 劃分準則以安全保護能力為基礎提出了各級系統(tǒng)應該實現(xiàn)的安全功能，但是劃分準則提出的主要是安全技術(shù)功能，信息系統(tǒng)安全保護能力實現(xiàn)需要通過安全技術(shù)措施和安全管理措施共同落實支撐。因此

19、，在劃分準則的基礎上，制定了基本要求標準，從技術(shù)和管理兩方面提出了相應的措施。整理ppt建設整改-基本要求是核心 基本要求是信息系統(tǒng)安全保護基本“標尺”或達標線，信息系統(tǒng)安全建設整改應以落實基本要求為主要目標，滿足基本要求意味著信息系統(tǒng)具有相應等級的基本安全保護能力，達到了一種基本的安全狀態(tài)。整理ppt建設整改-基本要求-主要組織方式整理ppt建設整改-基本要求-主要組織方式7第三級基本要求7.1技術(shù)要求7.1.1物理安全（類）7.1.1.1物理位置的選擇（控制點）本項要求包括（具體要求）a)機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內(nèi)；。7.2管理要求7.2.1安全管理制度（類）

20、7.2.1.1管理制度（控制點）本項要求包括：（具體要求）a)應制定信息安全工作的總體方針和安全策略，說明機構(gòu)安全工作的總體目標、范圍、原則和安全框架等；整理ppt建設整改-基本要求-安全保護技術(shù)身份鑒別訪問控制安全審計數(shù)據(jù)完整性數(shù)據(jù)保密性數(shù)據(jù)可用性 病毒防范入侵檢測安全監(jiān)控備份與恢復密碼使用等等整理ppt建設整改-基本要求-安全保護技術(shù)確定安全策略落實信息安全責任制建立安全組織機構(gòu)加強人員管理加強系統(tǒng)建設的安全管理加強運行維護的安全管理等整理ppt建設整改-基本要求-物理安全物理安全是指對信息系統(tǒng)所涉及到的主機房、輔助機房、辦公環(huán)境等進行物理安全保護。具體關注內(nèi)容包括：物理位置的選擇、物理訪

21、問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應和電磁防護等方面整理ppt建設整改-基本要求-網(wǎng)絡安全網(wǎng)絡安全是指對信息系統(tǒng)所涉及的通信網(wǎng)絡、網(wǎng)絡邊界、網(wǎng)絡區(qū)域和網(wǎng)絡設備等進行安全保護。具體關注內(nèi)容包括通信過程數(shù)據(jù)完整性、通信過程數(shù)據(jù)保密性、保證通信可靠性的設備和線路冗余、區(qū)域網(wǎng)絡的邊界保護、區(qū)域劃分、身份認證、訪問控制、安全審計、入侵防范、惡意代碼防范、網(wǎng)絡設備自身保護和網(wǎng)絡的網(wǎng)絡管理等方面整理ppt建設整改-基本要求-主機安全主機安全是指對信息系統(tǒng)涉及到的服務器和工作站進行主機系統(tǒng)安全保護。具體關注內(nèi)容包括操作系統(tǒng)或數(shù)據(jù)庫管理系統(tǒng)的選擇、安裝和安全配置、主機入

22、侵防范、惡意代碼防范、資源使用和運行情況監(jiān)控等。其中，安全配置細分為身份鑒別、訪問控制、安全審計等方面的配置內(nèi)容整理ppt建設整改-基本要求-應用安全應用安全是指對信息系統(tǒng)涉及到的應用系統(tǒng)進行安全保護。具體關注內(nèi)容包括應用系統(tǒng)實現(xiàn)身份鑒別、訪問控制、安全審計、剩余信息保護、通信完整性、通信保密性、抗抵賴、軟件容錯和資源控制等功能方面整理ppt建設整改-基本要求-數(shù)據(jù)安全數(shù)據(jù)安全是指對信息系統(tǒng)中業(yè)務數(shù)據(jù)的傳輸、存儲和備份恢復進行安全保護。具體關注內(nèi)容包括數(shù)據(jù)備份系統(tǒng)、冗余備用設備以及備份恢復相關技術(shù)設施等方面整理ppt建設整改-基本要求-安全管理機構(gòu)安全管理機構(gòu)是指明確領導機構(gòu)和責任部門。設立或明確信息安全領導機構(gòu)，明確主管領導，落實責任部門，建立崗位和人員管理制度，根據(jù)職責分工，分別設置安全管理機構(gòu)和崗位，明