《信息安全等級保護》

1、編輯ppt信息安全等級保護信息安全等級保護編輯ppt 根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度；遭到破壞后對國家安全、社生活中的重要程度；遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度；將信息系統(tǒng)劃分為不同的合法權(quán)益的危害程度；將信息系統(tǒng)劃分為不同的安全保護等級安全保護等級并對其實施不同的并對其實施不同的保護保護和和監(jiān)管監(jiān)管。 編輯ppt等級保護的政策文件與技術(shù)演進等級保護的政策文件與技術(shù)演進20032003年年9 9月月中辦國辦頒發(fā)中辦國辦頒發(fā)關(guān)于加強信息安全保

2、關(guān)于加強信息安全保障工作的意見障工作的意見（中辦發(fā)（中辦發(fā)200327200327號）號）20042004年年1111月月四部委會簽四部委會簽關(guān)于信息安全等級保關(guān)于信息安全等級保護工作的實施意見護工作的實施意見（公通字（公通字200466200466號）號）20052005年年9 9月月國信辦文件國信辦文件 關(guān)于轉(zhuǎn)發(fā)關(guān)于轉(zhuǎn)發(fā)電子政電子政務(wù)信息安全等級保護實務(wù)信息安全等級保護實施指南施指南的通知的通知 （國信辦（國信辦200425200425號）號）20052005年年 公安部標準公安部標準等級保護安全要求等級保護安全要求等級保護定級指南等級保護定級指南等級保護實施指南等級保護實施指南等級保護測

3、評準則等級保護測評準則總結(jié)成一種安全工總結(jié)成一種安全工作的方法和原則作的方法和原則最先作為最先作為“適度適度安全安全”的工作思的工作思路提出路提出確認為國家信息安確認為國家信息安全的基本制度，安全的基本制度，安全工作的根本方法全工作的根本方法形成等級保護的基形成等級保護的基本理論框架，制定本理論框架，制定了方法，過程和標了方法，過程和標準準編輯ppt體現(xiàn)國家管理意志體現(xiàn)國家管理意志構(gòu)建國家信息安全保障體系構(gòu)建國家信息安全保障體系保障信息化發(fā)展和維護國家安全保障信息化發(fā)展和維護國家安全編輯ppt信息安全等級保護是手段，是為了構(gòu)建國家信息安全等級保護是手段，是為了構(gòu)建國家信息安全保障體系。信息安全

4、保障體系。信息安全保障體系也是手段，是為了信息應(yīng)信息安全保障體系也是手段，是為了信息應(yīng)用發(fā)展。用發(fā)展。信息安全等級保護是帶有很強技術(shù)性的國家信息安全等級保護是帶有很強技術(shù)性的國家風險控制行為風險控制行為編輯ppt安全風險管理的目的并不是保證沒有風險，而安全風險管理的目的并不是保證沒有風險，而是要將信息系統(tǒng)帶來的業(yè)務(wù)風險控制在可接受是要將信息系統(tǒng)帶來的業(yè)務(wù)風險控制在可接受的范圍內(nèi)。的范圍內(nèi)。 信息安全等級保護的關(guān)鍵所在正是基于信息系信息安全等級保護的關(guān)鍵所在正是基于信息系統(tǒng)所承載應(yīng)用的重要性，以及該應(yīng)用損毀后帶統(tǒng)所承載應(yīng)用的重要性，以及該應(yīng)用損毀后帶來的影響程度來判斷風險是否控制在可接受的來的影

5、響程度來判斷風險是否控制在可接受的范圍內(nèi)。范圍內(nèi)。編輯ppt誰主管誰負責、誰運營誰負責誰主管誰負責、誰運營誰負責自主定級、自主保護、監(jiān)督指導自主定級、自主保護、監(jiān)督指導編輯ppt一是：定級。一是：定級。二是：備案。二是：備案。三是：系統(tǒng)建設(shè)、整改。三是：系統(tǒng)建設(shè)、整改。四是：等級測評。四是：等級測評。五是：信息安全監(jiān)管部門定期開展監(jiān)督檢查五是：信息安全監(jiān)管部門定期開展監(jiān)督檢查編輯ppt定級是信息安全等級保護的重要環(huán)節(jié)定級是信息安全等級保護的重要環(huán)節(jié) 首要環(huán)節(jié)，開始環(huán)節(jié)，但不是核心環(huán)節(jié)首要環(huán)節(jié)，開始環(huán)節(jié)，但不是核心環(huán)節(jié)基本要求是信息安全等級保護的核心基本要求是信息安全等級保護的核心 不同級別的信

6、息系統(tǒng)按照基本要求進行保護后，不同級別的信息系統(tǒng)按照基本要求進行保護后， 信息系統(tǒng)具有相應(yīng)等級的基本安全保護能力，達到一信息系統(tǒng)具有相應(yīng)等級的基本安全保護能力，達到一種基本的安全狀態(tài)種基本的安全狀態(tài)國家管理要求和系統(tǒng)自身安全保護需求結(jié)合國家管理要求和系統(tǒng)自身安全保護需求結(jié)合 編輯ppt 五個等級的定義五個等級的定義 第一級第一級, 信息系統(tǒng)受到破壞后，會對公民、法人和其他信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。秩序和公共利益。 第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其第二級，信息系

7、統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。公共利益造成損害，但不損害國家安全。 第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。利益造成嚴重損害，或者對國家安全造成損害。 第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損利益造成特別嚴重損害，或者對國家安全造成嚴重損害。害。 第五級，信息系統(tǒng)受到破壞后，會

8、對國家安全造成特第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。別嚴重損害。 編輯ppt定級要素定級要素 受侵害的客體受侵害的客體 公民、法人和其他組織的合法權(quán)益；公民、法人和其他組織的合法權(quán)益； 社會秩序、公共利益；社會秩序、公共利益； 國家安全。國家安全。編輯ppt定級要素定級要素 對客體的侵害程度對客體的侵害程度 造成一般損害；造成一般損害； 造成嚴重損害；造成嚴重損害； 造成特別嚴重損害。造成特別嚴重損害。編輯ppt受侵害的客體受侵害的客體對客體的侵害程度對客體的侵害程度一般損害一般損害嚴重損害嚴重損害特別嚴重特別嚴重損害損害公民、法人和其他組公民、法人和其他組織的合法權(quán)益織

9、的合法權(quán)益第一級第一級第二級第二級第二級第二級社會秩序、公共利益社會秩序、公共利益第二級第二級第三級第三級第四級第四級國家安全國家安全第三級第三級第四級第四級第五級第五級編輯ppt定級方法定級方法(1)分解信息系統(tǒng)安全：分解信息系統(tǒng)安全：信息系統(tǒng)的信息系統(tǒng)的安全安全業(yè)務(wù)信息的業(yè)務(wù)信息的安全安全系統(tǒng)服務(wù)的系統(tǒng)服務(wù)的安全安全=+編輯ppt 確定定級對象確定定級對象； 確定業(yè)務(wù)信息安全受到破壞時所侵害的客體；確定業(yè)務(wù)信息安全受到破壞時所侵害的客體； 綜合評定業(yè)務(wù)信息安全被破壞對客體的侵害程度；綜合評定業(yè)務(wù)信息安全被破壞對客體的侵害程度； 得到業(yè)務(wù)信息安全等級得到業(yè)務(wù)信息安全等級； 確定系統(tǒng)服務(wù)安全受

10、到破壞時所侵害的客體；確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客體； 綜合評定系統(tǒng)服務(wù)安全被破壞對客體的侵害程度；綜合評定系統(tǒng)服務(wù)安全被破壞對客體的侵害程度； 得到系統(tǒng)服務(wù)安全等級得到系統(tǒng)服務(wù)安全等級； 由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級的較高由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級的較高者者確定定級對象的安全保護等級確定定級對象的安全保護等級。 編輯ppt基本要求基本要求基本思路基本思路不同級別不同級別信息系統(tǒng)信息系統(tǒng)重要程度不同重要程度不同應(yīng)對不同威脅的能力應(yīng)對不同威脅的能力(威脅威脅弱點弱點)具有不同的安全保護能力具有不同的安全保護能力不同的基本要求不同的基本要求編輯ppt不同級別的安全保護能力

11、要求不同級別的安全保護能力要求 第一級安全保護能力第一級安全保護能力 應(yīng)能夠防護系統(tǒng)免受來自應(yīng)能夠防護系統(tǒng)免受來自個人個人的、擁有很少資源（如利用公開可的、擁有很少資源（如利用公開可獲取的工具等）的威脅源發(fā)起的惡意攻擊、獲取的工具等）的威脅源發(fā)起的惡意攻擊、一般的一般的自然災(zāi)難（災(zāi)自然災(zāi)難（災(zāi)難發(fā)生的強度弱、持續(xù)時間很短等）以及其他相當危害程度的威難發(fā)生的強度弱、持續(xù)時間很短等）以及其他相當危害程度的威脅（無意失誤、技術(shù)故障等）所造成的脅（無意失誤、技術(shù)故障等）所造成的關(guān)鍵資源關(guān)鍵資源損害，在系統(tǒng)遭損害，在系統(tǒng)遭到損害后，能夠到損害后，能夠恢復部分功能恢復部分功能。 第二級安全保護能力第二級安

12、全保護能力 應(yīng)能夠防護系統(tǒng)免受來自外部應(yīng)能夠防護系統(tǒng)免受來自外部小型組織小型組織的（如自發(fā)的三兩人組成的（如自發(fā)的三兩人組成的黑客組織）、擁有少量資源（如個別人員能力、公開可獲或特的黑客組織）、擁有少量資源（如個別人員能力、公開可獲或特定開發(fā)的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難定開發(fā)的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難（災(zāi)難發(fā)生的強度一般、持續(xù)時間短、覆蓋范圍小等）以及其他（災(zāi)難發(fā)生的強度一般、持續(xù)時間短、覆蓋范圍小等）以及其他相當危害程度的威脅（無意失誤、技術(shù)故障等）所造成的相當危害程度的威脅（無意失誤、技術(shù)故障等）所造成的重要資重要資源源損害，能夠發(fā)現(xiàn)重要的安全漏洞

13、和安全事件，在系統(tǒng)遭到損害損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠后，能夠在一段時間內(nèi)恢復部分功能在一段時間內(nèi)恢復部分功能。編輯ppt不同級別的安全保護能力要求不同級別的安全保護能力要求 第三級安全保護能力第三級安全保護能力 應(yīng)能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自外部應(yīng)能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自外部有組織的團體有組織的團體（如一個商業(yè)情報組織或犯罪組織等），擁有較為豐富資源（包（如一個商業(yè)情報組織或犯罪組織等），擁有較為豐富資源（包括人員能力、計算能力等）的威脅源發(fā)起的惡意攻擊、括人員能力、計算能力等）的威脅源發(fā)起的惡意攻擊、較為嚴重較為嚴重的的自然災(zāi)難（災(zāi)難發(fā)

14、生的強度較大、持續(xù)時間較長、覆蓋范圍較自然災(zāi)難（災(zāi)難發(fā)生的強度較大、持續(xù)時間較長、覆蓋范圍較廣等）以及其他相當危害程度的威脅（廣等）以及其他相當危害程度的威脅（內(nèi)部人員的惡意威脅內(nèi)部人員的惡意威脅、無、無意失誤、較嚴重的技術(shù)故障等）所造成的意失誤、較嚴重的技術(shù)故障等）所造成的主要資源主要資源損害，能夠發(fā)損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠較快恢復絕大較快恢復絕大部分部分功能。功能。 第四級安全保護能力第四級安全保護能力 應(yīng)能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自應(yīng)能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自國家級別的、敵對組國家級別的、敵對組

15、織的織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴重的嚴重的自然災(zāi)難自然災(zāi)難（災(zāi)難發(fā)生的強度大、持續(xù)時間長、覆蓋范圍廣等）以及其他相（災(zāi)難發(fā)生的強度大、持續(xù)時間長、覆蓋范圍廣等）以及其他相當危害程度的威脅（內(nèi)部人員的惡意威脅、無意失誤、嚴重的技當危害程度的威脅（內(nèi)部人員的惡意威脅、無意失誤、嚴重的技術(shù)故障等）所造成的術(shù)故障等）所造成的資源資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在系統(tǒng)遭到損害后，能夠迅速恢復所有功能迅速恢復所有功能。 編輯ppt19o PDRResponse響應(yīng)響應(yīng)核心核心編輯ppt20o

16、PPDRR Recovery恢復恢復編輯ppt21一級系統(tǒng)一級系統(tǒng)二級系統(tǒng)二級系統(tǒng)三級系統(tǒng)三級系統(tǒng)四級系統(tǒng)四級系統(tǒng)防護防護防護防護/檢測檢測策略策略/防護防護/檢測檢測/恢復恢復/響應(yīng)響應(yīng) 策略策略/防護防護/檢測檢測/恢復恢復編輯ppt22o IATF 成功的完成業(yè)務(wù)成功的完成業(yè)務(wù)信息保障信息保障人人技術(shù)技術(shù)操作操作防御網(wǎng)絡(luò)與基礎(chǔ)防御網(wǎng)絡(luò)與基礎(chǔ)設(shè)施設(shè)施防御飛地邊界防御飛地邊界防御計算環(huán)境防御計算環(huán)境 支撐性基礎(chǔ)設(shè)施支撐性基礎(chǔ)設(shè)施編輯ppt23一級系統(tǒng)一級系統(tǒng)二級系統(tǒng)二級系統(tǒng)三級系統(tǒng)三級系統(tǒng)四級系統(tǒng)四級系統(tǒng)通信通信/邊界（基本）邊界（基本）通信通信/邊界邊界/內(nèi)部（關(guān)鍵設(shè)備）內(nèi)部（關(guān)鍵設(shè)備）通

17、信通信/邊界邊界/內(nèi)部（主要設(shè)備）內(nèi)部（主要設(shè)備）通信通信/邊界邊界/內(nèi)部內(nèi)部/基礎(chǔ)設(shè)施（所有設(shè)備）基礎(chǔ)設(shè)施（所有設(shè)備）編輯ppt24一級系統(tǒng)一級系統(tǒng)二級系統(tǒng)二級系統(tǒng)三級系統(tǒng)三級系統(tǒng)四級系統(tǒng)四級系統(tǒng)計劃和跟蹤（主要制度）計劃和跟蹤（主要制度）計劃和跟蹤（主要制度）計劃和跟蹤（主要制度）良好定義（管理活動制度化）良好定義（管理活動制度化）持續(xù)改進（管理活動制度化持續(xù)改進（管理活動制度化/及時改進）及時改進）編輯ppt某級系統(tǒng)某級系統(tǒng)技術(shù)要求技術(shù)要求管理要求管理要求基本要求基本要求建立安全技術(shù)體系建立安全技術(shù)體系建立安全管理體系建立安全管理體系具有某級安全保護能力的系統(tǒng)具有某級安全保護能力的系統(tǒng)編

18、輯ppt某級系統(tǒng)某級系統(tǒng)物理安全物理安全技術(shù)要求技術(shù)要求管理要求管理要求基本要求基本要求網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全主機安全主機安全應(yīng)用安全應(yīng)用安全數(shù)據(jù)安全數(shù)據(jù)安全安全管理機構(gòu)安全管理機構(gòu)安全管理制度安全管理制度人員安全管理人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理系統(tǒng)運維管理編輯ppt27某級某級基本要求基本要求類類技術(shù)要求技術(shù)要求管理要求管理要求類類控制點控制點具體要求具體要求控制點控制點具體要求具體要求編輯ppt等級測評等級測評 信息系統(tǒng)建設(shè)完成后，運營、使用單位或者其主信息系統(tǒng)建設(shè)完成后，運營、使用單位或者其主管部門應(yīng)當選擇符合本辦法規(guī)定條件的測評單位，管部門應(yīng)當選擇符合本辦法規(guī)定條件的測評

19、單位，依據(jù)依據(jù)信息系統(tǒng)安全等級保護測評要求信息系統(tǒng)安全等級保護測評要求等技術(shù)等技術(shù)標準，標準，定期定期對信息系統(tǒng)安全等級狀況對信息系統(tǒng)安全等級狀況開展等級測開展等級測評評。 第三級第三級信息系統(tǒng)應(yīng)當信息系統(tǒng)應(yīng)當每年每年至少進行一次等級測評至少進行一次等級測評 第四級第四級信息系統(tǒng)應(yīng)當信息系統(tǒng)應(yīng)當每半年每半年至少進行一次等級測至少進行一次等級測評評 第五級信息系統(tǒng)應(yīng)當依據(jù)特殊安全需求進行等級第五級信息系統(tǒng)應(yīng)當依據(jù)特殊安全需求進行等級測評測評編輯ppt等級測評與其他測評的不同等級測評與其他測評的不同 目的不同：標準符合性測評目的不同：標準符合性測評 性質(zhì)不同：性質(zhì)不同：管理辦法管理辦法強制周期性執(zhí)

20、行強制周期性執(zhí)行 執(zhí)行主體不同：符合條件的測評機構(gòu)執(zhí)行主體不同：符合條件的測評機構(gòu) 執(zhí)行對象不同：已經(jīng)確定等級的信息系統(tǒng)執(zhí)行對象不同：已經(jīng)確定等級的信息系統(tǒng) 內(nèi)容不同：依據(jù)內(nèi)容不同：依據(jù)基本要求基本要求和和測評要測評要求求 結(jié)果不同：符合、基本符合、不符合。結(jié)果不同：符合、基本符合、不符合。編輯ppt等級測評面對的信息系統(tǒng)等級測評面對的信息系統(tǒng) 等級測評面對的信息系統(tǒng)是指等級測評面對的信息系統(tǒng)是指由一個由一個或多個不同安全保護等級的定級對象或多個不同安全保護等級的定級對象構(gòu)成的構(gòu)成的信息系統(tǒng)。信息系統(tǒng)。編輯ppt訪談訪談通過與信息系統(tǒng)用戶（個人通過與信息系統(tǒng)用戶（個人/ /群體）迚行交流、群體）迚行交流、認論等活勱，獲取相關(guān)證據(jù)證明信息系統(tǒng)安全保護措施認論等活勱，獲取相關(guān)證據(jù)證明信息系統(tǒng)安全保護措施是否落實的一種方法。是否落實的一種方法。檢查