信息安全等級保護定級培訓PPT.ppt

信息安全等級保護培訓,一、我國在信息安全保障工作中為什么要實行等級保護制度,當前，我國基礎信息網絡和重要信息系統(tǒng)安全面臨的形勢十分嚴峻，既有外部威脅，又有自身脆弱性和薄弱環(huán)節(jié)。 一是針對基礎信息網絡和重要信息系統(tǒng)的違法犯罪持續(xù)上升。 二是基礎信息網絡和重要信息系統(tǒng)安全隱患嚴重。 三是我國的信息安全保障工作基礎還很薄弱。,二、實行信息安全等級保護制度能夠解決哪些主要問題,信息安全等級保護是國家信息安全保障工作的基本制度、基本策略、基本方法。開展信息安全等級保護工作是保護信息化發(fā)展、維護國家信息安全的根本保障，是信息安全保障工作中國家意志的體現(xiàn)。 有效解決我國信息安全面臨的威脅和存在的主要問題，充分體現(xiàn)“適度安全、保護重點”的目的，將有限的財力、物力、人力投入到重要信息系統(tǒng)安全保護中，按標準建設安全保護措施，建立安全保護制度，落實安全責任，有效保護基礎信息網絡和關系國家安全、經濟命脈、社會穩(wěn)定的重要信息系統(tǒng)的安全，有效提高我國信息安全保障工作的整體水平。,三、國家、有關部門和企業(yè)在等級保 護工作中各自的責任和義務是什么,1、國家層面 2、信息安全監(jiān)管部門（包括公安機關、保密部門、國家密碼工作部門） 3、信息系統(tǒng)主管部門 4、信息系統(tǒng)運營使用單位 5、安全服務機構,等級保護工作的職責分工 公安機關是等級保護工作的牽頭部門，承擔著信息安全等級保護工作的監(jiān)督、檢查、指導； 國家保密工作部門、國家密碼管理部門負責等級保護工作中有關保密工作和密碼工作的監(jiān)督、檢查、指導； 國信辦及地方信息化領導小組辦事機構負責等級保護工作部門間的協(xié)調。 其中，涉及國家秘密信息系統(tǒng)的等級保護監(jiān)督管理工作由國家保密工作部門負責；非涉及國家秘密信息系統(tǒng)的等級保護監(jiān)督管理工作由公安機關負責。,四、近幾年來開展了哪些具體工作 一是制定了50多個國標和行標，初步形成了信息安全等級保護標準體系 二是開展了等級保護基礎調查工作 三是開展了等級保護試點工作 四是出臺了公安部、國務院信息化工作辦公室等四部門關于信息安全等級保護工作的實施意見 66號文、信息安全等級保護管理辦法 43號文、861號文等政策文件。 五是召開“全國重要信息系統(tǒng)安全等級保護定級工作電視 電話會議” 六是成立“國家信息安全等級保護協(xié)調小組”,五、等級保護工作的主要流程包括哪 些，開展等級保護工作的基本要求 是什么,主要流程包括六項內容： 一是自主定級與審批。 二是評審。 三是備案。 四是系統(tǒng)安全建設。 五是等級測評。 六是監(jiān)督檢查。,六、開展等級保護工作的總體要求,各基礎信息網絡和重要信息系統(tǒng)，按照“準確定級、嚴格審批、及時備案、認真整改、科學測評”的要求完成等級保護的定級、備案、整改、測評等工作 。 公安機關和保密、密碼工作部門要及時開展監(jiān)督檢查，嚴格審查信息系統(tǒng)所定級別，嚴格檢查信息系統(tǒng)開展備案、整改、測評等工作。 對故意將信息系統(tǒng)安全級別定低，逃避公安、保密、密碼部門監(jiān)管，造成信息系統(tǒng)出現(xiàn)重大安全事故的，要追究單位和人員的責任。,七、定級工作的主要步驟是什么,定級是等級保護工作的首要環(huán)節(jié)，是開展信息系統(tǒng)建設、整改、測評、備案、監(jiān)督檢查等后續(xù)工作的重要基礎。 第一步，摸底調查，掌握信息系統(tǒng)底數(shù) 第二步，確定定級對象 第三步，初步確定信息系統(tǒng)等級 第四步，信息系統(tǒng)等級評審,第五步，信息系統(tǒng)等級的最終確定與審批 第六步：備案。 第七步：備案審核。 第八步：及時總結并提交總結報告。,第一步，摸底調查，掌握信息系統(tǒng)底數(shù),按照定級工作通知確定的定級范圍，各單位、各部門可以組織開展對所屬信息系統(tǒng)進行摸底調查，摸清信息系統(tǒng)底數(shù)，掌握信息系統(tǒng)（包括信息網絡）的業(yè)務類型、應用或服務范圍、系統(tǒng)結構等基本情況，為下一步明確要求、落實責任奠定基礎。,第二步，確定定級對象,一是應用系統(tǒng)應按照不同業(yè)務類別單獨確定為定級對象，不以系統(tǒng)是否進行數(shù)據交換、是否獨享設備為確定定級對象條件。起傳輸作用的基礎網絡要作為單獨的定級對象。 二是確認負責定級的單位是否對所定級系統(tǒng)具有安全管理責任。 三是具有信息系統(tǒng)的基本要素。,第三步，初步確定信息系統(tǒng)等級,信息系統(tǒng)的安全保護等級是信息系統(tǒng)的客觀屬性，不以已采取或將采取什么安全保護措施為依據，而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對國家安全、社會穩(wěn)定、人民群眾合法權益的危害程度為依據，確定信息系統(tǒng)的安全保護等級。既要防止個別單位片面追求絕對安全而定級過高，也要防止為了逃避監(jiān)管定級偏低。 信息網絡的安全等級可以參照在其上運行的信息系統(tǒng)的等級、網絡的服務范圍和自身的安全需求確定適當?shù)谋Ｗo等級，不以在其上運行的信息系統(tǒng)的最高等級或最低等級為標準。,跨省或者全國統(tǒng)一聯(lián)網運行的信息系統(tǒng)，可以由主管部門統(tǒng)一確定安全保護等級。由各行業(yè)統(tǒng)一規(guī)劃、統(tǒng)一建設、統(tǒng)一安全保護策略的信息系統(tǒng)，應由各部委統(tǒng)一確定一個級別；由各部委統(tǒng)一規(guī)劃、分級建設、運行的信息系統(tǒng)，應由部、省、地市分別確定系統(tǒng)等級，但各行業(yè)應對該類系統(tǒng)提出定級意見，避免出現(xiàn)同類系統(tǒng)定級出現(xiàn)較大偏差問題。,安全保護等級的劃分,五級監(jiān)管,第四步，信息系統(tǒng)等級評審,在信息系統(tǒng)安全保護等級確定過程中，可以聘請專家進行咨詢評審，并出具定級評審意見。對擬確定為第四級以上信息系統(tǒng)的，運營使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審，出具評審意見。 當專家意見與運營使用單位或者主管部門不一致時，以運營使用單位或者主管部門意見為準。,在信息系統(tǒng)安全保護等級確定過程中，可以聘請專家進行咨詢評審，并出具定級評審意見。對擬確定為第四級以上信息系統(tǒng)的，運營使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審，出具評審意見。 當專家意見與運營使用單位或者主管部門不一致時，以運營使用單位或者主管部門意見為準。,第五步，信息系統(tǒng)等級的最終確定與審批,信息系統(tǒng)運營使用單位參考專家定級評審意見，最終確定信息系統(tǒng)等級，形成定級報告。信息系統(tǒng)運營使用單位有上級主管部門的，應當經上級主管部門對安全保護等級進行審核批準。主管部門一般是指行業(yè)的上級主管部門或監(jiān)管部門。如果是跨地域聯(lián)網運營使用的信息系統(tǒng)，則必須由其上級主管部門審批，確保同類系統(tǒng)或分支系統(tǒng)在各地域分別定級的一致性。,第六步，備案,第二級以上信息系統(tǒng)，在安全保護等級確定后30日內，由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)?？缡』蛘呷珖y(tǒng)一聯(lián)網運行的信息系統(tǒng)在各地運行、應用的分支系統(tǒng)，應當向當?shù)卦O區(qū)的市級以上公安機關備案。定級工作的結果是以備案完成為標志?；A信息網絡和重要信息系統(tǒng)的定級、備案工作9月底前完成。,第七步，備案審核,受理備案的公安機關要公布備案受理地點、備案聯(lián)系方式等。在受理備案時，應對提交的備案材料進行完整性審核和定級準確性審核。對符合等級保護要求的，應頒發(fā)信息系統(tǒng)安全等級保護備案證明。發(fā)現(xiàn)定級不準的，通知備案單位重新審核確定。,第八步，及時總結并提交總結報告,各地區(qū)、各部門要結合本地區(qū)、本行業(yè)開展定級工作的實際，認真總結經驗和不足，提出改進和完善定級方法的意見和建議，及時總結定級工作經驗，形成定級工作總結報告，并于10月中旬報送公安部。,八、定級工作完成后需要開展哪些工作,一是開展安全建設和整改。 二是開展等級測評。 三是開展自查。,九、開展安全等級保護工作依據的主要標準有哪些,1、基礎標準劃分準則（GB17859） 2、基線標準 信息系統(tǒng)安全等級保護基本要求 3、輔助標準定級指南、實施指南、測評準則 4、目標標準 信息系統(tǒng)通用安全技術要求（GB/T20271） 網絡基礎安全技術要求（GB/T20270） 操作系統(tǒng)安全技術要求（GB/T20272） 數(shù)據庫管理系統(tǒng)安全技術要求（GB/T20273） 終端計算機系統(tǒng)安全等級技術要求（GA/T671） 信息系統(tǒng)安全管理要求（GB/T20269） 信息系統(tǒng)安全工程管理要求（GB/T20282） 5、產品標準防火墻、入侵檢測、終端設備隔離部件等,十、公安機關組織開展等級保護中的職責任務是什么,1、監(jiān)督、檢查、指導信息系統(tǒng)運營使用單位和主管部門開展信息安全等級保護工作； 2、監(jiān)督、檢查信息系統(tǒng)運營使用單位的安全保護管理制度和技術措施落實情況、定級和備案情況、安全整改、等級測評、產品使用、自查等情況。,十一、公安機關如何對實施信息安全等級保護進行監(jiān)督管理,一是指導定級。 二是受理備案。 三是定期檢查。,系統(tǒng)定級的具體實施,定級基本流程1,表2 業(yè)務信息安全等級矩陣表 根據系統(tǒng)服務安全被破壞時所侵害的客體以及對相應客體的侵害程度，依據表2系統(tǒng)服務安全等級矩陣表，即可得到系統(tǒng)服務安全等級。,表3 系統(tǒng)服務安全等級矩陣表 作為定級對象的信息系統(tǒng)的安全保護等級由業(yè)務信息安全等級和系統(tǒng)服務安全等級的較高者決定。定級對象等級確定后，可參照附件中的信息系統(tǒng)安全保護等級定級報告模版起草定級報告。,不同危害后果的三種危害程度描述如下： 一般損害：工作職能受到局部影響，業(yè)務能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的資產損失，有限的社會不良影響，對其他組織和個人造成較低損害。 嚴重損害：工作職能受到嚴重影響，業(yè)務能力顯著下降且嚴重影響主要功能執(zhí)行，出現(xiàn)較嚴重的法律問題，較高的資產損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴重損害。,特別嚴重損害：工作職能受到特別嚴重影響或喪失行使能力，業(yè)務能力嚴重下降且或功能無法執(zhí)行，出現(xiàn)極其嚴重的法律問題，極高的資產損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴重損害。 信息安全和系統(tǒng)服務安全被破壞后對客體的侵害程度，由對不同危害結果的危害程度進行綜合評定得出。由于各行業(yè)信息系統(tǒng)所處理的信息種類和系統(tǒng)服務特點各不相同，信息安全和系統(tǒng)服務安全受到破壞后關注的危害結果、危害程度的計算方式均可能不同，各行業(yè)可根據本行業(yè)信息特點和系統(tǒng)服務特點，制定危害程度的綜合評定方法，并給出侵害不同客體造成損害、嚴重損害、特別嚴重損害的具體定義。,三種受侵害的客體: 國家安全 體現(xiàn)了國家層面、與全局相關的國家政治安全、軍事安全、經濟安全、社會安全、科技安全等方面利益。 社會秩序和公共利益 包括政治、經濟、生產、生活、科研、工作等各方面的正常秩序和社會公眾生產、生活、教育、衛(wèi)生等方面的利益。 合法權益 是法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權利和利益，,關于侵害客體和侵害程度,關于國家安全 重要的國家事務處理系統(tǒng)、國防工業(yè)生產系統(tǒng)和國防設施的控制系統(tǒng)等；廣播、電視、網絡等重要新聞媒體的發(fā)布或播出系統(tǒng)，其受到非法控制可能引發(fā)影響國家統(tǒng)一、民族團結和社會安定的重大事件；尖端科技領域的研發(fā)、生產系統(tǒng)等影響國家經濟競爭力和科技實力的信息系統(tǒng)，以及電力、通信、能源、交通運輸、金融等國家重要基礎設施的生產、控制、管理系統(tǒng)等。,關于社會秩序 各級政府機構的社會管理和公共服務系統(tǒng)，如財政、金融、工商、稅務、公檢法、海關、社保等領域的信息系統(tǒng)，也包括教育、科研機構的工作系統(tǒng)，以及所有為公眾提供醫(yī)療衛(wèi)生、應急服務、供水、供電、郵政等必要服務的生產系統(tǒng)或管理系統(tǒng)。,關于公共利益 借助信息化手段為社會成員提供使用的公共設施和通過信息系統(tǒng)對公共設施進行進行管理控制都應當是要考慮的方面，例如：公共通信設施、公共衛(wèi)生設施、公共休閑娛樂設施、公共管理設施、公共服務設施等。 公共利益與社會秩序密切相關，社會秩序的破壞一般會造成對公共利益的損害。,直接的結果和間接的影響: 威脅直接作用的結果信息系統(tǒng)的破壞,但是確定對客體侵害的程度時，必須考慮間接的對客體產生的侵害和影響。 按照國家安全社會秩序和公共利益-公民、法人和組織的合法利益的順序考慮,一、定級對象的三個條件 具有唯一確定的安全責任單位 作為定級對象的信息系統(tǒng)應能夠唯一地確定其安全責任單位，這個安全責任單位就是負責等級保護工作部署、實施的單位，也是完成等級保護備案和接受監(jiān)督檢查的直接責任單位。 滿足信息系統(tǒng)的基本要素 作為定級對象的信息系統(tǒng)應該是由相關的和配套的設備、設施按照一定的應用目標和規(guī)則組合而成的有形實體。應避免將某個單一的系統(tǒng)組件，如單臺的服務器、終端或網絡設備等作為定級對象。,定級階段-關于定級對象確定,承載相對獨立的業(yè)務應用 定級對象承載“相對獨立”的業(yè)務應用是指其中的一個或多個業(yè)務應用的主要業(yè)務流程、部分業(yè)務功能獨立，同時與其他信息系統(tǒng)的業(yè)務應用有少量的數(shù)據交換，定級對象可能會與其他業(yè)務應用共享一些設備，尤其是網絡傳輸設備?！跋鄬Κ毩ⅰ钡臉I(yè)務應用并不意味著整個業(yè)務流程，可以使完整的業(yè)務流程的一部分。,定級階段關鍵技術環(huán)節(jié) 定級對象確定 業(yè)務信息和系統(tǒng)服務確定 受侵害客體和侵害程度的分析,定級階段-定級對象舉例,電力營銷系統(tǒng) 生產管理系統(tǒng) 工程管理系統(tǒng) 物資管理系統(tǒng) 財務管理系統(tǒng) OA系統(tǒng) EAI/EIP系統(tǒng) 等,定級階段-定級對象舉例,定級對象結果1 本部信息系統(tǒng) 供電局信息系統(tǒng) 定級對象結果2 本部 電力調度系統(tǒng) 綜合信息系統(tǒng) 營業(yè)部 電力調度系統(tǒng) 綜合信息系統(tǒng),定級階段-定級對象舉例,定級對象結果3 本部 數(shù)據中心系統(tǒng) 用戶局域網系統(tǒng) 骨干網系統(tǒng) 供電局 數(shù)據中心系統(tǒng) 用戶局域網系統(tǒng) 城域網系統(tǒng),定級階段-定級對象舉例,定級對象結果4 電力營銷系統(tǒng) 生產管理系統(tǒng) 工程管理系統(tǒng) 物資管理系統(tǒng) 財務管理系統(tǒng) OA系統(tǒng) EAI/EIP系統(tǒng),定級階段-定級對象舉例,處理不同類型業(yè)務的系統(tǒng)。 本身運行在不同的網絡環(huán)境中的系統(tǒng)。 分不開的系統(tǒng)，按照高級別保護。,系統(tǒng)邊界不應出現(xiàn)在服務器內部，服務器共用的系統(tǒng)一般歸入同一個信息系統(tǒng)，因此不同信息系統(tǒng)的共用設備一般是網絡/邊界設備或終端設備。 兩個信息系統(tǒng)邊界存在共用設備時，共用設備的安全保護等級按兩個信息系統(tǒng)安全保護等級較高者確定。 例如，一個2級系統(tǒng)和一個3級系統(tǒng)之間有一個防火墻或兩個系統(tǒng)共用一個核心交換機，此時防火墻和交換機可以作為兩個系統(tǒng)的邊界設備，但應滿足3級系統(tǒng)的要求。,信息系統(tǒng)的管理終端是與相應被管理設備相對應的，服務器、網絡設備及安全設備等屬于哪個系統(tǒng)，終端就應歸在哪個信息系統(tǒng)中。 如果無法做到不同等級的信息系統(tǒng)使用不同的終端設備，則應將終端設備劃分為其他的信息系統(tǒng)，并在服務器與內部用戶終端之間建立邊界保護，對終端通過身份