等級保護(hù)技術(shù)支持單位安全專業(yè)技術(shù)人員培訓(xùn).ppt

等級保護(hù)技術(shù)支持單位 安全技術(shù)人員培訓(xùn) 寧波市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察支隊(duì) 張大軍 2008年1月,目 錄,前言 等級保護(hù)是什么 等級保護(hù)工作發(fā)展情況 等級保護(hù)各階段工作 技術(shù)支持單位應(yīng)注意事項(xiàng),前 言,隨著信息技術(shù)的快速發(fā)展和網(wǎng)絡(luò)應(yīng)用的迅速普及，我國國民經(jīng)濟(jì)和社會(huì)信息化進(jìn)程全面加快，信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強(qiáng)，信息資源已經(jīng)成為國家經(jīng)濟(jì)建設(shè)和社會(huì)發(fā)展的重要戰(zhàn)略資源之一，信息系統(tǒng)已經(jīng)成為能源、交通、金融等國家關(guān)鍵基礎(chǔ)設(shè)施的神經(jīng)中樞。,前 言,信息系統(tǒng)和信息網(wǎng)絡(luò)也是一把雙刃劍，它在推動(dòng)國民經(jīng)濟(jì)和社會(huì)快速發(fā)展、方便人民群眾生產(chǎn)生活的同時(shí)，其安全問題帶來的負(fù)面影響越來越突出，計(jì)算機(jī)病毒、黑客攻擊、利用互聯(lián)網(wǎng)實(shí)施違法犯罪等非傳統(tǒng)安全因素日益增多。,前 言,為做好信息安全保障工作，國家要求實(shí)行信息安全等級保護(hù)制度。下面，我將信息安全等級保護(hù)工作給大家做個(gè)介紹：,一、等級保護(hù)是什么,1、信息安全等級保護(hù)定義： 信息安全等級保護(hù)，是指對國家秘密信息及公民、法人和其他組織的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級實(shí)行安全保護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。,一、等級保護(hù)是什么,2、實(shí)行等級保護(hù)制度目的 實(shí)行信息安全等級保護(hù)制度目的是統(tǒng)一信息安全保護(hù)工作，推進(jìn)規(guī)范化、法制化建設(shè)，保障安全，促進(jìn)發(fā)展。信息安全等級保護(hù)是國家信息安全保障的基本制度、基本策略、基本方法 。,一、等級保護(hù)是什么,2、實(shí)行等級保護(hù)制度目的 實(shí)施信息安全等級保護(hù)制度，信息系統(tǒng)運(yùn)營使用單位和主管部門能按照標(biāo)準(zhǔn)進(jìn)行安全建設(shè)、整改，信息系統(tǒng)安全與否也有了一個(gè)衡量尺度。實(shí)施信息安全等級保護(hù)制度最直接的收益者首先是信息系統(tǒng)運(yùn)營使用單位，最終的收益者是國家、全社會(huì)、人民群眾。,一、等級保護(hù)是什么,3、信息安全等級保護(hù)原則 信息安全等級保護(hù)要貫徹突出重點(diǎn)兼顧一般的原則。重點(diǎn)保護(hù)下列基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)： 黨政機(jī)關(guān)辦公系統(tǒng)；金融、稅務(wù)、能源、交通、社保等基礎(chǔ)設(shè)施的信息系統(tǒng)；國防工業(yè)、國家科研等單位的信息系統(tǒng)；公用通信、廣電傳輸?shù)然A(chǔ)信息系統(tǒng)；網(wǎng)絡(luò)管理中心、關(guān)鍵節(jié)點(diǎn)、重要網(wǎng)站等重要應(yīng)用系統(tǒng)。,一、等級保護(hù)是什么,4、信息系統(tǒng)的等級劃分 信息系統(tǒng)根據(jù)其在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，遭到破壞后對國家安全、社會(huì)秩序、公共利益以及公民、法人和其它組織的合法權(quán)益的危害程度，由低到高劃分為五個(gè)級別。,一、等級保護(hù)是什么,4、信息系統(tǒng)的等級劃分 第一級：信息系統(tǒng)受到破壞后，會(huì)對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會(huì)秩序和公共利益。,一、等級保護(hù)是什么,4、信息系統(tǒng)的等級劃分 第二級：信息系統(tǒng)受到破壞后，會(huì)對公民、法人和其它組織的合法權(quán)益造成嚴(yán)重?fù)p害，或者對社會(huì)秩序和公共利益造成損害，但不損害國家安全。,一、等級保護(hù)是什么,4、信息系統(tǒng)的等級劃分 第三級：信息系統(tǒng)受到破壞后，會(huì)對社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。,一、等級保護(hù)是什么,4、信息系統(tǒng)的等級劃分 第四級：信息系統(tǒng)受到破壞后，會(huì)對社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。,一、等級保護(hù)是什么,4、信息系統(tǒng)的等級劃分 第五級：信息系統(tǒng)受到破壞后，會(huì)對國家安全造成特別嚴(yán)重?fù)p害。,一、等級保護(hù)是什么,4、信息系統(tǒng)的等級劃分 在五個(gè)等級里，安全保護(hù)能力從第一級到第五級逐級增強(qiáng) ，其中第一、二級適用于一般的信息系統(tǒng)（不涉及國家安全）；第三、四級適用于重要信息系統(tǒng)；第五級適用于特別重要信息系統(tǒng)。,二、等級保護(hù)工作發(fā)展情況,1、等級保護(hù)管理制度發(fā)展情況 1994年，中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例（國務(wù)院147號令）規(guī)定，“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級保護(hù)，安全等級的劃分標(biāo)準(zhǔn)和安全等級保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門制定”。該條明確了三個(gè)內(nèi)容：一是確立了等級保護(hù)是信息安全保障工作的一項(xiàng)制度；二是出臺(tái)配套的規(guī)章和技術(shù)標(biāo)準(zhǔn)；三是明確了公安部的牽頭地位。,二、等級保護(hù)工作發(fā)展情況,1、等級保護(hù)管理制度發(fā)展情況 2003年，國家信息化工作領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見明確指出“實(shí)行信息安全等級保護(hù)”，要求重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護(hù)管理制度。標(biāo)志著等級保護(hù)從一項(xiàng)制度提升到國家信息安全保障的一項(xiàng)基本制度。,二、等級保護(hù)工作發(fā)展情況,1、等級保護(hù)管理制度發(fā)展 2004年9月，公安部會(huì)同國家保密局、國家密碼管理局和國信辦聯(lián)合出臺(tái)了關(guān)于信息安全等級保護(hù)工作的實(shí)施意見（公通字200466號），明確了信息安全等級保護(hù)制度的原則和基本內(nèi)容，信息安全等級保護(hù)工作的職責(zé)分工及工作實(shí)施的要求。,二、等級保護(hù)工作發(fā)展情況,1、等級保護(hù)管理制度發(fā)展情況 2007年6月，公安部會(huì)同國家保密局、國家密碼管理局和國信辦聯(lián)合出臺(tái)了信息安全等級保護(hù)管理辦法（公通字200743號），明確了信息安全等級保護(hù)制度的基本內(nèi)容、流程及工作要求，進(jìn)一步明確了信息系統(tǒng)運(yùn)營使用單位和主管部門、監(jiān)管部門的工作職責(zé)、任務(wù)，為開展信息安全等級保護(hù)工作提供了規(guī)范保障。同時(shí)廢止了信息安全等級保護(hù)管理辦法（試行）（公通字20067號）。,二、等級保護(hù)工作發(fā)展情況,2、出臺(tái)各類相關(guān)國家標(biāo)準(zhǔn) 有關(guān)部門相繼出臺(tái)了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則（GB17859-1999）、信息系統(tǒng)安全保護(hù)等級定級指南（試用稿v3.2）、信息系統(tǒng)安全等級保護(hù)基本要求、信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求（GBT20271-2006）、信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求（GBT20270-2006）、信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求（GBT20272-2006）、信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求（GBT20273-2006）、信息安全技術(shù) 服務(wù)器技術(shù)要求、信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級技術(shù)要求（GAT671-2006）等技術(shù)標(biāo)準(zhǔn)。,二、等級保護(hù)工作發(fā)展情況,3、我市等級保護(hù)工作發(fā)展情況 一是成立了寧波市信息安全等級保護(hù)工作領(lǐng)導(dǎo)小組，市委常委、常務(wù)副市長王勇同志任組長，領(lǐng)導(dǎo)小組辦公室設(shè)在市公安局，網(wǎng)監(jiān)支隊(duì)成立了信息安全等級保護(hù)管理大隊(duì)專門負(fù)責(zé)此項(xiàng)工作。,二、等級保護(hù)工作發(fā)展情況,3、我市等級保護(hù)工作發(fā)展情況 二是組建了測評機(jī)構(gòu)輔助做好信息安全等級保護(hù)工作。我市鑫諾檢測技術(shù)有限公司與上海復(fù)旦大學(xué)東方計(jì)算機(jī)信息網(wǎng)絡(luò)安全測評實(shí)驗(yàn)室合作成立了寧波市東方計(jì)算機(jī)信息網(wǎng)絡(luò)安全測評中心，為各單位提供安全測評服務(wù)；市計(jì)算機(jī)信息網(wǎng)絡(luò)安全協(xié)會(huì)對部分協(xié)會(huì)會(huì)員單位進(jìn)行安全服務(wù)資質(zhì)評定工作，發(fā)放了安全服務(wù)資質(zhì)證書。,二、等級保護(hù)工作發(fā)展情況,3、我市等級保護(hù)工作發(fā)展情況 三是完成了信息安全等級保護(hù)試點(diǎn)工作。對北侖電廠順利完成測評工作，取得了良好的效果，為全面開展信息安全等級保護(hù)工作打下了良好的基礎(chǔ)。在試點(diǎn)工作基礎(chǔ)上，我市多家等國有大型企業(yè)已經(jīng)逐步開展安全測評工作。,三、等級保護(hù)各階段工作,根據(jù)信息安全等級保護(hù)管理辦法規(guī)定，信息安全等級保護(hù)工作主要包括定級、備案、測評、整改、監(jiān)管等工作 。,三、等級保護(hù)各階段工作,1、定級工作階段 國家信息安全等級保護(hù)堅(jiān)持自主定級、自主保護(hù)的原則。這個(gè)階段，各信息系統(tǒng)運(yùn)營使用單位要根據(jù)管理辦法和定級指南等國家法規(guī)、國家標(biāo)準(zhǔn)對本單位信息系統(tǒng)進(jìn)行安全定級。,三、等級保護(hù)各階段工作,1、定級工作階段 需要定級的信息系統(tǒng)必備條件：一是所要定級的信息系統(tǒng)所在的單位必須能夠?qū)υ撔畔⑾到y(tǒng)承擔(dān)相應(yīng)的領(lǐng)導(dǎo)、建設(shè)、使用、運(yùn)行等安全責(zé)任。二是所要定級的信息系統(tǒng)必須符合有關(guān)法規(guī)和文件對信息系統(tǒng)的定義，即必須是包含計(jì)算機(jī)硬件、網(wǎng)絡(luò)設(shè)備、系統(tǒng)軟件及應(yīng)用系統(tǒng)等完整的信息系統(tǒng)。三是所要定級的信息系統(tǒng)必須承載相對獨(dú)立的或單一的業(yè)務(wù)應(yīng)用。只有同時(shí)滿足上述三個(gè)條件，才可以作為定級對象。,三、等級保護(hù)各階段工作,1、定級工作階段 系統(tǒng)定級時(shí)需要考慮的三個(gè)方面：信息和信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活以及公民、法人和其他組織的合法權(quán)益方面的重要程度；信息和信息系統(tǒng)遭到破壞后對國家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度；信息和信息系統(tǒng)應(yīng)當(dāng)達(dá)到的安全保護(hù)水平。,三、等級保護(hù)各階段工作,三、等級保護(hù)各階段工作,1、定級工作階段 信息系統(tǒng)安全等級是系統(tǒng)本身客觀屬性，不以已采取或?qū)⒉扇∈裁礃拥陌踩胧橐罁?jù)。安全等級只能調(diào)高，不可降低。對于故意將信息系統(tǒng)安全等級定低逃避公安機(jī)關(guān)監(jiān)管的，要依法追求單位和個(gè)人的法律責(zé)任。此階段工作，各單位可以自主完成也可以委托技術(shù)支持單位協(xié)助完成。,三、等級保護(hù)各階段工作,2、備案階段工作 各信息系統(tǒng)運(yùn)營使用單位完成定級工作以后要及時(shí)向公安、保密、密碼管理等相關(guān)管理部門備案。對于備案工作，管理辦法以及浙江省信息安全等級保護(hù)備案工作細(xì)則均有明確規(guī)定。 技術(shù)支持單位可以協(xié)助各信息系統(tǒng)運(yùn)營使用單位填寫各類表格、準(zhǔn)備各類相關(guān)材料等工作。,三、等級保護(hù)各階段工作,3、測評階段工作內(nèi)容 信息系統(tǒng)運(yùn)營使用單位根據(jù)系統(tǒng)的安全保護(hù)等級，選定符合有關(guān)安全服務(wù)機(jī)構(gòu)條件的測評單位，與測評單位簽署測評協(xié)議和保密協(xié)議，實(shí)施等級測評工作。,三、等級保護(hù)各階段工作,3、測評階段工作內(nèi)容 測評單位根據(jù)信息系統(tǒng)安全保護(hù)等級，按照基本要求和測評準(zhǔn)則，確定系統(tǒng)的具體測評內(nèi)容和方法，對信息系統(tǒng)的安全現(xiàn)狀進(jìn)行等級測評，找出系統(tǒng)保護(hù)現(xiàn)狀與等級保護(hù)基本要求之間的差距，提出測評結(jié)論，編制測評報(bào)告，為信息系統(tǒng)運(yùn)營使用單位履行安全等級保護(hù)職責(zé)，制定并落實(shí)安全等級保護(hù)制度，開展系統(tǒng)等級保護(hù)改建工作奠定基礎(chǔ)。,三、等級保護(hù)各階段工作,3、測評階段工作內(nèi)容 此項(xiàng)工作，我市已經(jīng)成立了測評機(jī)構(gòu)，協(xié)助各單位完成安全測評工作。,三、等級保護(hù)各階段工作,4、安全整改階段工作 制度建設(shè)：信息系統(tǒng)運(yùn)營使用單位應(yīng)根據(jù)管理辦法，參照測評報(bào)告和技術(shù)標(biāo)準(zhǔn)，建立健全并落實(shí)信息安全等級保護(hù)管理制度，主要包括：人員管理制度、系統(tǒng)建設(shè)管理制度、系統(tǒng)運(yùn)行維護(hù)制度、信息安全事件的等級響應(yīng)處置制度、信息系統(tǒng)安全檢測和風(fēng)險(xiǎn)評估制度、安全教育和培訓(xùn)制度等。,三、等級保護(hù)各階段工作,4、安全整改階段工作 制定改建方案：根據(jù)測評報(bào)告提出的系統(tǒng)保護(hù)現(xiàn)狀與等級保護(hù)基本要求之間的差距，參考基本要求、實(shí)施指南以及國家有關(guān)信息安全建設(shè)的相關(guān)標(biāo)準(zhǔn)，明確安全需求，制定信息系統(tǒng)改建方案，為后期的系統(tǒng)改建工作奠定基礎(chǔ)。,三、等級保護(hù)各階段工作,4、安全整改階段工作 安全加固：信息系統(tǒng)運(yùn)營使用單位按照改建方案對信息系統(tǒng)實(shí)施安全加固工作。,三、等級保護(hù)各階段工作,4、安全整改階段工作 安全運(yùn)維：信息系統(tǒng)運(yùn)營使用單位嚴(yán)格遵守各項(xiàng)規(guī)章制度，采取有效安全措施，保障信息系統(tǒng)安全運(yùn)行。,三、等級保護(hù)各階段工作,4、安全整改階段工作 制度建設(shè)、改建方案、安全加固、安全運(yùn)維等工作由各信息系統(tǒng)運(yùn)營使用單位在公安機(jī)關(guān)的監(jiān)督指導(dǎo)下，自主完成或者選擇具有一定安全資質(zhì)的技術(shù)支持單位協(xié)助完成。,三、等級保護(hù)各階段工作,5、監(jiān)督管理階段 根據(jù)管理辦法規(guī)定，公安機(jī)關(guān)對下列事項(xiàng)進(jìn)行檢查： 信息系統(tǒng)安全需求是否發(fā)生變化，原定保護(hù)等級是否準(zhǔn)確；運(yùn)營、使用單位安全管理制度、措施的落實(shí)情況；運(yùn)營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查情況；系統(tǒng)安全等級測評是否符合要求；信息安全產(chǎn)品使用是否符合要求；信息系統(tǒng)安全整改情況；備案材料與運(yùn)營、使用單位、信息系統(tǒng)的符合情況等等。,三、等級保護(hù)各階段工作,5、監(jiān)督管理階段 公安機(jī)關(guān)作為計(jì)算機(jī)網(wǎng)絡(luò)安全協(xié)會(huì)的監(jiān)管部門，我們也將監(jiān)督、指導(dǎo)協(xié)會(huì)加強(qiáng)對各會(huì)員單位的管理。,四、技術(shù)支持單位應(yīng)注意事項(xiàng),1、增強(qiáng)責(zé)任意識(shí) 各技術(shù)支持單位要增強(qiáng)法律和服務(wù)等責(zé)任意識(shí)，遵守國家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，保守在安全服務(wù)活動(dòng)中知悉的國家秘密、商業(yè)秘密和個(gè)人隱私。如果發(fā)現(xiàn)有違法行為，將按照有關(guān)法律予以追究責(zé)任。,四、技術(shù)支持單位應(yīng)注意事項(xiàng),2、增強(qiáng)服務(wù)能力 各技術(shù)支持單位要加強(qiáng)學(xué)習(xí)和實(shí)踐，不斷提高自身的技術(shù)業(yè)務(wù)水平、溝通技巧和工作方法,持續(xù)增強(qiáng)