信息安全等級(jí)保護(hù)策略

1、信息安全等級(jí)保護(hù)信息安全等級(jí)保護(hù)主講內(nèi)容主講內(nèi)容等級(jí)保護(hù)的政策定位等級(jí)保護(hù)的政策定位v 等級(jí)保護(hù)是國(guó)家信息安全保障的基本制度v 體現(xiàn)了信息安全是國(guó)家安全的重要組成部分v 具有強(qiáng)制實(shí)施的性質(zhì)等級(jí)保護(hù)政策推進(jìn)現(xiàn)狀等級(jí)保護(hù)政策推進(jìn)現(xiàn)狀v行業(yè)等級(jí)保護(hù)工作行業(yè)等級(jí)保護(hù)工作定級(jí)：各行業(yè)針對(duì)系統(tǒng)定級(jí)都發(fā)布了規(guī)范性文件定級(jí)：各行業(yè)針對(duì)系統(tǒng)定級(jí)都發(fā)布了規(guī)范性文件，統(tǒng)一確定系統(tǒng)的安全等級(jí)，統(tǒng)一確定系統(tǒng)的安全等級(jí) 電力：電力：電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)實(shí)施指南電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)實(shí)施指南doc 稅務(wù)：稅務(wù)：稅務(wù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南稅務(wù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南 銀行：銀行：銀行業(yè)

2、信息系統(tǒng)定級(jí)專家評(píng)審意見銀行業(yè)信息系統(tǒng)定級(jí)專家評(píng)審意見 保險(xiǎn)：保險(xiǎn)：保險(xiǎn)行業(yè)定級(jí)指導(dǎo)意見保險(xiǎn)行業(yè)定級(jí)指導(dǎo)意見 海關(guān)：海關(guān)：海關(guān)總署關(guān)于做好全國(guó)海關(guān)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的海關(guān)總署關(guān)于做好全國(guó)海關(guān)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知通知 證券：證券：關(guān)于開展證券期貨業(yè)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通關(guān)于開展證券期貨業(yè)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知知 0909年等級(jí)保護(hù)政策走勢(shì)分析年等級(jí)保護(hù)政策走勢(shì)分析v全國(guó)性政策持續(xù)發(fā)文和發(fā)布國(guó)家標(biāo)準(zhǔn) 可能正式發(fā)文的“有關(guān)等級(jí)保護(hù)檢查工作的推進(jìn)” 可能正式發(fā)布的等級(jí)保護(hù)國(guó)家標(biāo)準(zhǔn) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)規(guī)范 信息系統(tǒng)安全等級(jí)保護(hù)方案設(shè)計(jì)指南v行業(yè)

3、和區(qū)域性政策 各行業(yè)等級(jí)保護(hù)規(guī)范將會(huì)陸續(xù)推出 行業(yè)統(tǒng)一規(guī)劃建設(shè) 地方性法規(guī)將會(huì)陸續(xù)推出 行政執(zhí)法、強(qiáng)制實(shí)施國(guó)務(wù)院信息化工作辦公室制定的標(biāo)準(zhǔn)國(guó)務(wù)院信息化工作辦公室制定的標(biāo)準(zhǔn)應(yīng)用在電子政務(wù)應(yīng)用在電子政務(wù)系統(tǒng)系統(tǒng)n 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南公安部制定的公安部制定的標(biāo)準(zhǔn)標(biāo)準(zhǔn)應(yīng)用在非電子政務(wù)和涉密系統(tǒng)應(yīng)用在非電子政務(wù)和涉密系統(tǒng)n 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南n 信息系統(tǒng)安全等級(jí)保護(hù)基本要求n 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南等級(jí)保護(hù)主要標(biāo)準(zhǔn)計(jì)算機(jī)信息計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則v我國(guó)政府及各行各業(yè)在進(jìn)行大量的信息系統(tǒng)的建我國(guó)政府及各行各業(yè)在進(jìn)行大量的信息系統(tǒng)的建設(shè)，并且已經(jīng)

4、成為國(guó)家的重要基礎(chǔ)設(shè)施設(shè)，并且已經(jīng)成為國(guó)家的重要基礎(chǔ)設(shè)施 。v計(jì)算機(jī)犯罪、黑客攻擊、有害病毒等問題的出現(xiàn)計(jì)算機(jī)犯罪、黑客攻擊、有害病毒等問題的出現(xiàn)對(duì)社會(huì)穩(wěn)定、國(guó)家安全造成了極大的危害，信息對(duì)社會(huì)穩(wěn)定、國(guó)家安全造成了極大的危害，信息安全的重要性日益突出。安全的重要性日益突出。 v信息系統(tǒng)安全問題已經(jīng)被提到關(guān)系國(guó)家安全和國(guó)信息系統(tǒng)安全問題已經(jīng)被提到關(guān)系國(guó)家安全和國(guó)家主權(quán)的戰(zhàn)略性高度。家主權(quán)的戰(zhàn)略性高度。系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則v大多數(shù)信息系統(tǒng)缺少有效的安全技術(shù)防范措施，大多數(shù)信息系統(tǒng)缺少有效的安全技術(shù)防范措施，安全性非常脆弱安全性非常脆弱 。v我國(guó)的信息系統(tǒng)安全專用產(chǎn)品市場(chǎng)

5、一直被外國(guó)產(chǎn)我國(guó)的信息系統(tǒng)安全專用產(chǎn)品市場(chǎng)一直被外國(guó)產(chǎn)品占據(jù)，增加了新的安全隱患品占據(jù)，增加了新的安全隱患 。v因此，盡快建立能適應(yīng)和保障我國(guó)信息產(chǎn)業(yè)健康因此，盡快建立能適應(yīng)和保障我國(guó)信息產(chǎn)業(yè)健康發(fā)展的國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)制度已迫在眉發(fā)展的國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)制度已迫在眉睫睫 。系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則v為了從整體上形成多級(jí)信息系統(tǒng)安全保護(hù)體系。為了從整體上形成多級(jí)信息系統(tǒng)安全保護(hù)體系。v為了提高國(guó)家信息系統(tǒng)安全保護(hù)能力。為了提高國(guó)家信息系統(tǒng)安全保護(hù)能力。v為從根本上解決信息社會(huì)國(guó)家易受攻擊的脆弱性為從根本上解決信息社會(huì)國(guó)家易受攻擊的脆弱性和有效預(yù)防計(jì)算機(jī)犯罪等

6、問題。和有效預(yù)防計(jì)算機(jī)犯罪等問題。v中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例第九條明確規(guī)定，計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等第九條明確規(guī)定，計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。級(jí)保護(hù)。系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則v公安部組織制訂了公安部組織制訂了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則級(jí)劃分準(zhǔn)則國(guó)家標(biāo)準(zhǔn)國(guó)家標(biāo)準(zhǔn)v于于19991999年年9 9月月1313日由國(guó)家質(zhì)量技術(shù)監(jiān)督局審查通過日由國(guó)家質(zhì)量技術(shù)監(jiān)督局審查通過并正式批準(zhǔn)發(fā)布并正式批準(zhǔn)發(fā)布v于于 20012001年年1 1月月1 1日?qǐng)?zhí)行日?qǐng)?zhí)行 系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則系統(tǒng)安全

7、保護(hù)等級(jí)劃分準(zhǔn)則v該準(zhǔn)則的發(fā)布為計(jì)算機(jī)信息系統(tǒng)安全法規(guī)和配套該準(zhǔn)則的發(fā)布為計(jì)算機(jī)信息系統(tǒng)安全法規(guī)和配套標(biāo)準(zhǔn)的制定和執(zhí)法部門的監(jiān)督檢查提供了依據(jù)標(biāo)準(zhǔn)的制定和執(zhí)法部門的監(jiān)督檢查提供了依據(jù); ;v為安全產(chǎn)品的研制提供了技術(shù)支持為安全產(chǎn)品的研制提供了技術(shù)支持; ;v為安全系統(tǒng)的建設(shè)和管理提供了技術(shù)指導(dǎo)是我國(guó)為安全系統(tǒng)的建設(shè)和管理提供了技術(shù)指導(dǎo)是我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)工作的基礎(chǔ)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)工作的基礎(chǔ) 。系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則準(zhǔn)則準(zhǔn)則規(guī)定了計(jì)算機(jī)系統(tǒng)安全保護(hù)能力的規(guī)定了計(jì)算機(jī)系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí)，即：五個(gè)等級(jí)，即：第一級(jí)：用戶自主保護(hù)級(jí)第一級(jí)：用戶自主

8、保護(hù)級(jí)第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)第三級(jí)：安全標(biāo)記保護(hù)級(jí)第三級(jí)：安全標(biāo)記保護(hù)級(jí)第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)第五級(jí)：訪問驗(yàn)證保護(hù)級(jí)第五級(jí)：訪問驗(yàn)證保護(hù)級(jí) 系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 2007年人民銀行根據(jù)全國(guó)重要信息系統(tǒng)安全年人民銀行根據(jù)全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)滴定級(jí)工作電視電話會(huì)議精神和總行等級(jí)保護(hù)滴定級(jí)工作電視電話會(huì)議精神和總行、各分支行以及銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)實(shí)際、各分支行以及銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)實(shí)際情況制定了重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工情況制定了重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作。作。 系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則系統(tǒng)安全保護(hù)等級(jí)劃分

9、準(zhǔn)則 明確全國(guó)商業(yè)性銀行的核心業(yè)務(wù)信息系統(tǒng)或明確全國(guó)商業(yè)性銀行的核心業(yè)務(wù)信息系統(tǒng)或綜合業(yè)務(wù)信息系統(tǒng)應(yīng)當(dāng)定為四級(jí)，其網(wǎng)上綜合業(yè)務(wù)信息系統(tǒng)應(yīng)當(dāng)定為四級(jí)，其網(wǎng)上銀行系統(tǒng)、跨省骨干網(wǎng)絡(luò)、重要支撐設(shè)施銀行系統(tǒng)、跨省骨干網(wǎng)絡(luò)、重要支撐設(shè)施、在線服務(wù)的重要信息系統(tǒng)、重要管理信、在線服務(wù)的重要信息系統(tǒng)、重要管理信息系統(tǒng)等應(yīng)定為三級(jí)；政策性銀行中的和息系統(tǒng)等應(yīng)定為三級(jí)；政策性銀行中的和核心業(yè)務(wù)信息系統(tǒng)或綜合業(yè)務(wù)信息系統(tǒng)、核心業(yè)務(wù)信息系統(tǒng)或綜合業(yè)務(wù)信息系統(tǒng)、跨省骨干網(wǎng)絡(luò)、重要管理信息系統(tǒng)等應(yīng)定跨省骨干網(wǎng)絡(luò)、重要管理信息系統(tǒng)等應(yīng)定為三級(jí)；中國(guó)銀聯(lián)的銀行卡信息交換系統(tǒng)為三級(jí)；中國(guó)銀聯(lián)的銀行卡信息交換系統(tǒng)應(yīng)定為四級(jí)，跨

10、省骨干網(wǎng)絡(luò)應(yīng)定為三級(jí)。應(yīng)定為四級(jí)，跨省骨干網(wǎng)絡(luò)應(yīng)定為三級(jí)。其他信息系統(tǒng)可以定為二級(jí)。其他信息系統(tǒng)可以定為二級(jí)。 主講內(nèi)容主講內(nèi)容發(fā)展?fàn)顩r發(fā)展?fàn)顩r近期狀況近期狀況 目前，我信息系統(tǒng)安全保障工作還處于起步階段。信息系統(tǒng)安全保障工作還處于起步階段。雖然信息系統(tǒng)建設(shè)信息系統(tǒng)建設(shè)時(shí)期已經(jīng)考慮到了安全保障能力的建設(shè)，時(shí)期已經(jīng)考慮到了安全保障能力的建設(shè)，但是由信息化起步早，建設(shè)周期長(zhǎng)，在許多建設(shè)開始之際，國(guó)家的相關(guān)法律法規(guī)還不完善，缺乏與國(guó)法律法規(guī)還不完善，缺乏與國(guó)防信息化建設(shè)相適應(yīng)的安全保障措施和手段，防信息化建設(shè)相適應(yīng)的安全保障措施和手段，因此普遍存在安全保障能安全保障能力低，信息對(duì)抗能力不足等問力低，

11、信息對(duì)抗能力不足等問題，一方面造成應(yīng)用系統(tǒng)部署進(jìn)度推遲，另一方面造成信息系統(tǒng)不能最大限度地發(fā)揮作用，制約了國(guó)防信息化建設(shè)的發(fā)展。 近十年來，全國(guó)信息系統(tǒng)按照有關(guān)要求開展信息系統(tǒng)安全保障體系的實(shí)施和運(yùn)行工作，取得了一定的成績(jī)，但是在實(shí)施過程中也存在一些問但是在實(shí)施過程中也存在一些問題：早期安全措施要求過于單一，沒有劃分安全層次與級(jí)別，題：早期安全措施要求過于單一，沒有劃分安全層次與級(jí)別，實(shí)施成本比較高等。目前，隨著信息系統(tǒng)等級(jí)保護(hù)工作的全面推開，信息系統(tǒng)的安全保護(hù)工作邁上了一個(gè)新臺(tái)階。 等級(jí)保護(hù)現(xiàn)狀 在改造過程中要嚴(yán)格按照國(guó)家的相關(guān)標(biāo)準(zhǔn)，結(jié)合信息系統(tǒng)的實(shí)際情況，逐在改造過程中要嚴(yán)格按照國(guó)家的相關(guān)

12、標(biāo)準(zhǔn)，結(jié)合信息系統(tǒng)的實(shí)際情況，逐項(xiàng)進(jìn)行項(xiàng)進(jìn)行安全風(fēng)險(xiǎn)分析。安全風(fēng)險(xiǎn)分析。根據(jù)安全根據(jù)安全風(fēng)險(xiǎn)分析的結(jié)果風(fēng)險(xiǎn)分析的結(jié)果，對(duì)，對(duì)部分保護(hù)部分保護(hù) 要求進(jìn)行要求進(jìn)行適當(dāng)?shù)恼{(diào)整和改造。調(diào)整應(yīng)以不降低信息系統(tǒng)整體安全保護(hù)強(qiáng)度，適當(dāng)?shù)恼{(diào)整和改造。調(diào)整應(yīng)以不降低信息系統(tǒng)整體安全保護(hù)強(qiáng)度，確保國(guó)確保國(guó)家安全為原則。家安全為原則。 當(dāng)當(dāng)保護(hù)要求不能滿足實(shí)際安全需求時(shí)保護(hù)要求不能滿足實(shí)際安全需求時(shí)，應(yīng)適當(dāng)選擇采用部分較高的保護(hù)要求。，應(yīng)適當(dāng)選擇采用部分較高的保護(hù)要求。 當(dāng)當(dāng)保護(hù)要求明顯高于實(shí)際安全需求時(shí)，保護(hù)要求明顯高于實(shí)際安全需求時(shí)，可適當(dāng)選擇采用部分較低的保護(hù)要求?？蛇m當(dāng)選擇采用部分較低的保護(hù)要求。 信息系統(tǒng)定級(jí)遵