等級保護培訓(xùn)課件

1、國家信息安全保障體系與信息安全等級保護制度實施 公安部信息安全等級保護評估中心內(nèi)容摘要信息安全等級保護制度是什么信息安全等級保護制度要干什么如何開展信息安全等級保護工作引言 在當(dāng)今社會中，信息已成為人類寶貴的資源，并且可以通過Internet為全球人類所使用與共享。 信息產(chǎn)業(yè)隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展在一個國家國民經(jīng)濟發(fā)展中所占的比重也越來越大。人類生活對Internet的依賴也越來越大。引言（續(xù)）信息技術(shù)發(fā)展引發(fā)的信息化革命 輔助作用 不完全依賴 支撐作用 完全依賴引言（續(xù)） 由互聯(lián)網(wǎng)的發(fā)展而帶來的信息安全問題正變得突出，網(wǎng)絡(luò)安全已成為關(guān)系國家安全的重大戰(zhàn)略問題。 保障網(wǎng)絡(luò)與信息系統(tǒng)安全，更好地維

2、護國家安全、經(jīng)濟命脈和社會穩(wěn)定，已經(jīng)成為信息化發(fā)展中迫切需要解決的重大問題。我國現(xiàn)狀 近年來，黨中央、國務(wù)院高度重視，各有關(guān)方面協(xié)調(diào)配合、共同努力，我國信息安全保障工作取得了很大進展。但是從總體上看，我國的信息安全保障工作尚處于起步階段，基礎(chǔ)薄弱，水平不高，存在以下突出問題： 存在的問題信息安全滯后于信息化發(fā)展；信息安全阻礙了信息化發(fā)展。存在的問題（續(xù)）大多數(shù)單位雖然采用防火墻作為內(nèi)外網(wǎng)的邊界防護設(shè)備。重視外部攻擊與入侵，忽視內(nèi)部的非法行為。偏重產(chǎn)品，忽視體系和管理。關(guān)鍵技術(shù)、產(chǎn)品受制于人。我們面對的威脅西方發(fā)達(dá)國家信息技術(shù)優(yōu)勢明顯，我國面臨信息強國的沖擊、挑戰(zhàn)和威脅，信息安全領(lǐng)域始終面臨信息

3、戰(zhàn)和網(wǎng)絡(luò)恐怖襲擊的威脅 ；敵對勢力的網(wǎng)上煽動、滲透和破壞活動愈加突出，針對信息系統(tǒng)進行的破壞活動日益嚴(yán)重，利用網(wǎng)絡(luò)實施的違法犯罪案件持續(xù)大幅上升。面對的威脅（續(xù)）受威脅的對象是操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和信息系統(tǒng)，攻擊的目的是使系統(tǒng)癱瘓、信息被竊取、篡改毀壞。早期是能直接接觸計算機系統(tǒng)的人（單機、多用戶終端、局域網(wǎng)），現(xiàn)在攻擊者和方式發(fā)生了變化，廣域網(wǎng)、因特網(wǎng)使任何信息系統(tǒng)參與人都可能成為攻擊者。在參與人中，有正常使用的人，也有非正常使用的人，后者稱之為“攻擊者或黑客”?！肮粽摺狈殖蓭最悾河兄煌康牡?。面對的威脅（續(xù)）一般黑客有組織犯罪高層次深度打擊安全防護的重點系統(tǒng)防入侵網(wǎng)絡(luò)防攻擊信息防泄露內(nèi)

4、容防篡改內(nèi)部防越權(quán)網(wǎng)絡(luò)信息戰(zhàn)通過利用、改變和癱瘓敵方的信息、信息系統(tǒng)和以計算機為基礎(chǔ)的網(wǎng)絡(luò)應(yīng)用，同時保護己方的信息、信息系統(tǒng)和以計算機為基礎(chǔ)的網(wǎng)絡(luò)應(yīng)用不被敵方利用、改變和癱瘓，以獲取信息優(yōu)勢，而采取的各種作戰(zhàn)行動。信息戰(zhàn)是現(xiàn)代戰(zhàn)爭的一種新作戰(zhàn)形式。信息戰(zhàn)分為兩大類：一是國家級信息戰(zhàn)，也稱為戰(zhàn)略信息戰(zhàn)；二是戰(zhàn)場信息戰(zhàn)，也稱為指揮控制戰(zhàn)。 戰(zhàn)略信息戰(zhàn)戰(zhàn)略信息戰(zhàn)是利用非殺傷性技術(shù)而秘密實施的，不需要公開宣戰(zhàn)。它利用了國家力量的所有手段在國家戰(zhàn)略級形成可競爭的優(yōu)勢，把“戰(zhàn)爭”的范圍擴大到經(jīng)濟、政治和社會的各個方面。這種信息戰(zhàn)無論在平時、危機時刻還是在戰(zhàn)爭狀態(tài)下都可能發(fā)生。這種信息戰(zhàn)必須有組織地進行，并

5、且要受最高政治機構(gòu)的嚴(yán)格控制。 新戰(zhàn)爭理論學(xué)說新的戰(zhàn)略戰(zhàn)術(shù)思想新的戰(zhàn)場戰(zhàn)線特點新的武器裝備形式新的國防動員體制新的平戰(zhàn)結(jié)合模式新的軍民魚水關(guān)系當(dāng)前信息安全形勢外部環(huán)境 各國在大力推進Internet與信息技術(shù)應(yīng)用的同時，抓緊實施國家信息安全保障體系與國防的信息安全防御體系。 各國抓緊研究信息安全策略、制訂體系標(biāo)準(zhǔn)、法律法規(guī)，實施安全計劃。外部環(huán)境（續(xù)）2008年5月1日，美國防高級研究計劃局（DARPA）發(fā)布關(guān)于展開“國家網(wǎng)絡(luò)靶場”項目研發(fā)工作公告。美國認(rèn)為，網(wǎng)絡(luò)空間是美國經(jīng)濟、關(guān)鍵設(shè)施和國家安全的重要基礎(chǔ)，對于國家力量的影響至關(guān)重要。為此，美國高度重視研發(fā)以網(wǎng)絡(luò)為中心的C4ISR系統(tǒng)和網(wǎng)絡(luò)攻

6、防對抗裝備，推進網(wǎng)絡(luò)中心戰(zhàn)能力建設(shè)。 外部環(huán)境（續(xù)）2009年1月8日，美國總統(tǒng)布什簽署第54號國家安全總統(tǒng)令和第23號國土安全總統(tǒng)令，要求美國政府所有與安全有關(guān)的部門（包括國土安全部、國家安全局等）都參與實施“國家網(wǎng)絡(luò)安全綜合計劃”。這是一項長期計劃，將由多個部門參加并分步驟實施，其最終目的是保護美國的網(wǎng)絡(luò)安全，防止美國遭受敵對的電子攻擊，并能對敵方展開在線攻擊。 外部環(huán)境（續(xù)）美國總統(tǒng)奧巴馬2009年5月29日公布了一份由安全部門完成的網(wǎng)絡(luò)安全評估報告，表明來自網(wǎng)絡(luò)空間的威脅已經(jīng)成為美國面臨的最嚴(yán)重的經(jīng)濟和軍事威脅之一。 奧巴馬還表示：網(wǎng)絡(luò)空間以及它帶來的威脅都是真實的，保護網(wǎng)絡(luò)基礎(chǔ)設(shè)施將

7、是維護美國國家安全的第一要務(wù)。 外部環(huán)境（續(xù)）6月25日英國出臺首個國家網(wǎng)絡(luò)安全戰(zhàn)略政府將成立兩個網(wǎng)絡(luò)安全新部門 網(wǎng)絡(luò)安全辦公室和網(wǎng)絡(luò)安全行動中心計劃征召包括黑客在內(nèi)的網(wǎng)絡(luò)精英護衛(wèi)網(wǎng)絡(luò)安全英國已經(jīng)具備主動發(fā)起網(wǎng)絡(luò)攻擊的能力外部環(huán)境（續(xù)）臺灣加緊開展信息戰(zhàn)的準(zhǔn)備 控制進入大陸的微機板卡、硬盤等。 專門搜集大陸民用網(wǎng)絡(luò)（電信、能源、交通、金融及政府等）的結(jié)構(gòu)、路由以及設(shè)備情報。 積極研究網(wǎng)絡(luò)滲透與病毒植入和激活技術(shù)。產(chǎn)生問題的原因整體信息安全防范意識和能力薄弱;信息系統(tǒng)安全建設(shè)和管理缺乏體系化思想;信息安全法律法規(guī)不完善，標(biāo)準(zhǔn)體系尚待完善； 自主技術(shù)產(chǎn)品缺乏，信息技術(shù)產(chǎn)業(yè)未完全形成。 當(dāng)前的要求與

8、原則總體要求:堅持積極防御、綜合防范的方針，全面提高信息安全防護能力，重點保護基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進信息化發(fā)展，保護公眾利益，維護國家安全。主要原則：立足國情，以我為主，堅持管理與技術(shù)并重；正確處理安全與發(fā)展的關(guān)系，以安全促發(fā)展，在發(fā)展中求安全；統(tǒng)籌規(guī)劃，突出重點，強化基礎(chǔ)性工作；明確國家、企業(yè)、個人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家信息安全保障體系。當(dāng)前的九項任務(wù)全面實行信息安全等級保護制度加強以密碼技術(shù)為基礎(chǔ)的信息保護和網(wǎng)絡(luò)信任體系建設(shè)建設(shè)和完善信息安全監(jiān)控體系重視信息安全應(yīng)急處理工作加強信息安全技術(shù)研究開發(fā)，推進信息安全產(chǎn)業(yè)發(fā)展加強

9、信息安全法制建設(shè)標(biāo)準(zhǔn)化建設(shè)加快信息安全人才培養(yǎng)，增強全民信息安全意識保證信息安全資金加強對信息安全保障工作的領(lǐng)導(dǎo)，建立健全信息安全管理責(zé)任制摘要等級保護制度是什么等級保護制度要干什么如何開展等級保護工作等級保護制度根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度；遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度；將信息系統(tǒng)劃分為不同的安全保護等級并對其實施不同的保護和監(jiān)管。 第一級信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生損害，但不損害國家安全、社會秩序和公共利益。信息系統(tǒng)運營、使用單位依照國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行保護。 第二級信

10、息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對社會秩序和公共利益造成損害，但不損害國家安全。信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導(dǎo)第三級信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害,或者對國家安全造成損害。信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查。第四級信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害 ,或者對國家安全造成嚴(yán)重?fù)p害。信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有

11、關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。第五級信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴(yán)重?fù)p害；信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進行保護。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、檢查。摘要等級保護制度是什么等級保護制度要干什么如何開展等級保護工作等級保護制度體現(xiàn)國家管理意志構(gòu)建國家信息安全保障體系保障信息化發(fā)展和維護國家安全解決什么信息安全等級保護是手段，是為了構(gòu)建國家信息安全保障體系。信息安全保障體系也是手段，是為了業(yè)務(wù)應(yīng)用發(fā)展。信息安全等級保護是帶有很

12、強技術(shù)性的國家風(fēng)險控制行為所謂風(fēng)險安全風(fēng)險管理的目的并不是保證沒有風(fēng)險，而是要將信息系統(tǒng)帶來的業(yè)務(wù)風(fēng)險控制在可接受的范圍內(nèi)。 信息安全等級保護的關(guān)鍵所在正是基于信息系統(tǒng)所承載應(yīng)用的重要性，以及該應(yīng)用損毀后帶來的影響程度來判斷風(fēng)險是否控制在可接受的范圍內(nèi)。安全防護的重點系統(tǒng)防入侵網(wǎng)絡(luò)防攻擊信息防泄露內(nèi)容防篡改內(nèi)部防越權(quán)奧運安保的啟示1、對奧運的信息系統(tǒng)，開展定級工作2、第一次按照基本要求測評差距比較大，奧運系統(tǒng)進行了相應(yīng)的整改。3、整改后、測評、再整改，能夠達(dá)到基本保護要求的大部分的要求4、對于奧運系統(tǒng)，達(dá)到一個基本安全狀態(tài)并不夠。因為基本要求是一個底線的要求。5、奧運是個特殊時期，奧運系統(tǒng)有許

13、多特殊需求6、針對特殊需求重點進行了外部滲透測試。奧運安保的啟示通過整改安全防護狀況有較大改進，絕大部分網(wǎng)站防SQL注入能力增強，能抵御一般黑客攻擊；網(wǎng)站放置在一個虛擬服務(wù)器的現(xiàn)象消失，數(shù)據(jù)庫與網(wǎng)站程序?qū)嵤┝朔蛛x；網(wǎng)站管理后臺采用了較多的安全設(shè)置。但仍有不少網(wǎng)站存在目錄列遍，敏感信息泄露、跨站被動攻擊和跨站請求偽造的漏洞；個別網(wǎng)站子站防護能力薄弱，無法抵御有組織犯罪攻擊，風(fēng)險等級仍舊高危。奧運安保的啟示通過外部安全測試，能夠迅速從外部發(fā)現(xiàn)對外暴露的安全隱患和脆弱性，測試結(jié)果直觀，能夠引起對安全威脅的警覺和安全保障工作的高度重視。外部安全測試作為一種方法，雖不能體系性地根本消除對外暴露的安全隱患

14、，但作為查漏補缺，急用先上，特別是在特定敏感時期發(fā)現(xiàn)主要問題起到了重要作用。奧運安保的啟示大量的政務(wù)系統(tǒng)由于建設(shè)的時期，背景的不同；主管運營模式的不同，在安全防護能力上差異很大。僅依靠外部安全測試，只能治標(biāo)，要體系化地根本解決安全問題，必須標(biāo)本兼顧，堅持常態(tài)化的、基礎(chǔ)性的信息安全等級保護是必由之路。政務(wù)系統(tǒng)由于其特殊的政治背景，安全防護標(biāo)準(zhǔn)不同于一般商業(yè)系統(tǒng)，要想保障其安全，應(yīng)該基于信息安全等級保護管理辦法和信息系統(tǒng)安全等級保護基本要求制定有針對性的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)。等級保護制度的作用提出信息安全工作的思路劃定信息系統(tǒng)保護的基線發(fā)現(xiàn)信息系統(tǒng)的問題和差距明確信息系統(tǒng)安全保護的方向提升信息系統(tǒng)的

15、安全保護能力涉及層面管理層面：國家制定統(tǒng)一信息安全等級保護管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護，對信息安全產(chǎn)品的使用分等級實行管理，對等級保護工作的實施進行監(jiān)督、指導(dǎo)。 用戶層面 ：公民、法人和其他組織應(yīng)當(dāng)按照國家有關(guān)等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)開展等級保護工作，服從國家對信息安全等級保護工作的監(jiān)督、指導(dǎo)，保障信息系統(tǒng)安全。 社會層面 ：信息安全產(chǎn)品的研制、生產(chǎn)單位，信息系統(tǒng)的集成、等級測評、風(fēng)險評估等安全服務(wù)機構(gòu)，依據(jù)國家有關(guān)管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，開展相應(yīng)工作，并接受國家信息安全職能部門的監(jiān)督管理。摘要等級保護制度是什么等級保護制度要干什么如何開展等級保護工

16、作原則誰擁有誰負(fù)責(zé)、誰運行誰負(fù)責(zé)自主定級、自主保護、監(jiān)督指導(dǎo)主要流程一是：定級。二是：備案。三是：建設(shè)、整改。四是：等級測評。五是：定期開展監(jiān)督檢查安全保護等級確定信息系統(tǒng)運營、使用單位依據(jù)管理辦法和定級指南確定信息系統(tǒng)的安全保護等級。由主管部門的，應(yīng)當(dāng)經(jīng)主管部門的審核批準(zhǔn)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的可以由主管部門統(tǒng)一確定安全保護等級。對擬定為四級以上的應(yīng)當(dāng)請國家信息安全保護等級專家評審委員會評審。等級保護的備案管理信息系統(tǒng)運營、使用單位應(yīng)當(dāng)在其系統(tǒng)安全保護等級確定后，向當(dāng)?shù)赝壒矙C關(guān)提請備案備案時應(yīng)當(dāng)?shù)絺浒笝C關(guān)填寫備案登記表并按要求提交相關(guān)資料。 備案登記表/系統(tǒng)體系/功能結(jié)構(gòu)圖/系統(tǒng)安全

17、保護方案或措施/系統(tǒng)安全管理制度等等級保護的備案管理 信息系統(tǒng)備案信息是國家有關(guān)信息安全職能部門了解和掌握重要信息系統(tǒng)的安全保護基本狀況、分析總體安全形勢的基礎(chǔ)資料來源，也是下一步接受備案機關(guān)開展各項監(jiān)督檢查工作所必需的基本依據(jù)。 新建系統(tǒng)： 已有系統(tǒng)：環(huán)節(jié)間的關(guān)系定級是等級保護的首要環(huán)節(jié)分等級保護是等級保護的核心，建設(shè)整改是等級保護工作落實的關(guān)鍵等級測評是評價安全保護狀況的方法監(jiān)督檢查是保護能力不斷提高的保障定級指南安全保護等級 等級的確定是不依賴于安全保護措施的，具有一定的“客觀性”，即該系統(tǒng)在存在之初便由其自身所實現(xiàn)的使命決定了它的安全保護等級，而非由“后天”的安全保護措施決定。等級保護

18、工作核心關(guān)注點 承擔(dān)社會責(zé)任，關(guān)系國家安全的信息系統(tǒng)的安危重點保障 業(yè)務(wù)信息安全(S) 系統(tǒng)服務(wù)連續(xù)(A)等級保護的推進思想落實信息安全等級保護基本要求，確保系統(tǒng)基本安全；結(jié)合系統(tǒng)自身安全需求，力求系統(tǒng)相對安全。第一級信息系統(tǒng)能夠抵御來自個人的、擁有很少資源的攻擊，防范一般的自然災(zāi)難、操作失誤、技術(shù)故障等對關(guān)鍵資源造成的損害，在系統(tǒng)遭到損害后，能夠恢復(fù)主要功能。第二級信息系統(tǒng)能夠抵御來自外部小型組織的、擁有一定資源的攻擊，防范一般的自然災(zāi)難、內(nèi)部人員惡意行為、操作失誤、技術(shù)故障等對重要資源造成的損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時間內(nèi)恢復(fù)主要功能。第三級信息系

19、統(tǒng)能夠在統(tǒng)一安全策略下，抵御來自外部有組織的團體、擁有較為豐富資源的攻擊，防范較為嚴(yán)重的自然災(zāi)難、內(nèi)部人員惡意行為、操作失誤、技術(shù)故障等對主要資源造成的損害，能夠及時監(jiān)測發(fā)現(xiàn)安全漏洞和安全事件；具有一定的備份恢復(fù)能力，在系統(tǒng)遭到損害后，能夠較快恢復(fù)絕大部分功能。第四級信息系統(tǒng)能夠在統(tǒng)一安全策略下，抵御來自敵對組織的、擁有豐富資源的攻擊，防范嚴(yán)重的自然災(zāi)難、內(nèi)部人員惡意行為、操作失誤、技術(shù)故障等對資源造成的損害，能夠及時監(jiān)測發(fā)現(xiàn)安全漏洞、跟蹤處置安全事件；具有較強的備份恢復(fù)能力，在系統(tǒng)遭到損害后，能夠迅速恢復(fù)所有功能。等級保護的基本要求基本要求是什么？1、安全保護能力的一個基本“標(biāo)尺”，是一個達(dá)

20、標(biāo)線；2、滿足基本要求意味著信息系統(tǒng)具有相應(yīng)等級的基本安全保護能力，達(dá)到了一種基本的安全狀態(tài)。3、基本要求是安全保護的出發(fā)點，不是終點。GB/T22239-2008信息系統(tǒng)安全等級保護基本要求貫徹落實黨中央、國務(wù)院關(guān)于節(jié)能減排工作部署，以實現(xiàn)重點污染物減排的目標(biāo)指標(biāo)為緊要任務(wù) ，為實現(xiàn)節(jié)能減排和環(huán)境保護工作目標(biāo)奠定基礎(chǔ)統(tǒng)計基礎(chǔ)能力數(shù)據(jù)傳輸能力數(shù)據(jù)共享能力數(shù)據(jù)應(yīng)用能力指標(biāo)體系監(jiān)測體系考核體系業(yè)務(wù)應(yīng)用支撐能力總體目標(biāo)項目目的分省建設(shè)目標(biāo)（1）在項目實施過程中貫徹落實工程標(biāo)準(zhǔn)規(guī)范；（2）建設(shè)省環(huán)境保護廳（局）到地市環(huán)境保護局，地市環(huán)境保護局到區(qū)縣環(huán)境保護局，以及省環(huán)境保護廳（局）到省直屬機構(gòu)、市環(huán)境

21、保護局到市直屬機構(gòu)的網(wǎng)絡(luò)系統(tǒng)，并通過國家電子政務(wù)外網(wǎng)實現(xiàn)與環(huán)境保護部的連通；（直轄市為市、區(qū)縣兩級網(wǎng)絡(luò)）；（3）組織落實本?。ㄖ陛犑小⒆灾螀^(qū)）范圍內(nèi)網(wǎng)絡(luò)安全體系的建設(shè)和省級CA系統(tǒng)的建設(shè)；（4）組織所轄各級機構(gòu)接收部里統(tǒng)一下發(fā)的環(huán)境統(tǒng)計專項設(shè)備，保證專項專用；（5）準(zhǔn)備機房環(huán)境，組織所轄各級機構(gòu)接收并配合部署部里統(tǒng)一采購的服務(wù)器、存儲、網(wǎng)絡(luò)、安全等設(shè)備和系統(tǒng)軟件；分省建設(shè)目標(biāo)（6）部署部里統(tǒng)一下發(fā)的省級綜合數(shù)據(jù)庫平臺和地理信息系統(tǒng)平臺；組織所轄市、區(qū)縣部署部里統(tǒng)一下發(fā)的數(shù)據(jù)傳輸與交換平臺，建立數(shù)據(jù)交換傳輸體系，實現(xiàn)國家、省、下轄市、區(qū)縣的數(shù)據(jù)交換與共享；（7）部署部里統(tǒng)一下發(fā)的省級減排應(yīng)用系統(tǒng)

22、支撐平臺；在省級集中部署環(huán)境統(tǒng)計業(yè)務(wù)系統(tǒng)、建設(shè)項目管理系統(tǒng)、減排數(shù)據(jù)管理與綜合分析系統(tǒng)，按照需要集成已有六個應(yīng)用系統(tǒng)；組織所轄市、區(qū)縣相關(guān)業(yè)務(wù)部門推廣應(yīng)用環(huán)境統(tǒng)計業(yè)務(wù)系統(tǒng)和建設(shè)項目管理系統(tǒng)。（8）組織建立省及所轄市、區(qū)縣運維組織機構(gòu)，健全運維制度，明確運維人員，部署部里統(tǒng)一下發(fā)的運行維護管理系統(tǒng)，建立省級運維管理平臺。省、自治區(qū)直轄市基本要求的定位基本要求中相應(yīng)等級的要求是根據(jù)各等級系統(tǒng)需要對抗的威脅和應(yīng)具備的能力而確定的。判斷基本要求是否達(dá)到應(yīng)按此原則分析?；疽蠼o出了各級信息系統(tǒng)每一保護方面需達(dá)到的要求，但不是具體的安全建設(shè)整改方案或作業(yè)指導(dǎo)書，實現(xiàn)基本要求的措施或方式并不局限于基本要求

23、給出的內(nèi)容，要結(jié)合系統(tǒng)自身的特點綜合考慮采取的措施來達(dá)到基本要求提出的保護能力基本要求定位舉例A點B點，500KM 5H飛機 OK火車 OK汽車 OK自行車 NO等級保護的基本要求內(nèi)容與作用為信息系統(tǒng)主管和運營、使用單位提供技術(shù)指導(dǎo)為測評機構(gòu)提供測評依據(jù)為監(jiān)管職能部門提供監(jiān)督檢查依據(jù)適用環(huán)節(jié)建設(shè)整改、驗收、測評、運維、檢查基本要求的描述模型控制點標(biāo)注業(yè)務(wù)信息安全相關(guān)要求（標(biāo)記為S）系統(tǒng)服務(wù)保證相關(guān)要求（標(biāo)記為A）通用安全保護要求（標(biāo)記為G） 技術(shù)要求（3種標(biāo)注）管理要求（統(tǒng)屬G）系統(tǒng)基本保護要求的組合第一級 S1A1G1第二級 S1A2G2，S2A2G2，S2A1G2第三級 S1A3G3，S2

24、A3G3，S3A3G3，S3A2G3，S3A1G3第四級 S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4如何實現(xiàn)落實信息安全等級保護基本要求，確保系統(tǒng)基本安全；結(jié)合系統(tǒng)自身安全需求，力求系統(tǒng)相對安全?；疽蟮奈臋n結(jié)構(gòu)物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機安全應(yīng)用安全數(shù)據(jù)安全及備份恢復(fù)安全管理制度安全管理機構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理類安全建設(shè)基本流程信息系統(tǒng)安全管理建設(shè)信息系統(tǒng)安全技術(shù)建設(shè)開展信息系統(tǒng)安全自查和等級測評信息系統(tǒng)安全需求分析/相應(yīng)級別的要求確定安全策略，制定安全建設(shè)方案物 理 安 全網(wǎng) 絡(luò) 安 全主 機 安 全應(yīng)

25、 用 安 全數(shù) 據(jù) 安 全安全管理機構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運行管理信息系統(tǒng)安全技術(shù)體系設(shè)計物理安全設(shè)計數(shù)據(jù)安全設(shè)計備份與恢復(fù)應(yīng)用系統(tǒng)應(yīng)用平臺其他安全設(shè)計機房辦公環(huán)境設(shè)備和介質(zhì)網(wǎng)絡(luò)安全設(shè)計通信網(wǎng)絡(luò)區(qū)網(wǎng)邊界主機安全設(shè)計應(yīng)用安全設(shè)計服務(wù)器工作站其他安全設(shè)計其他安全設(shè)計其他安全設(shè)計基本要求中的安全保護技術(shù)身份鑒別訪問控制安全審計數(shù)據(jù)完整性數(shù)據(jù)保密性數(shù)據(jù)可用性病毒防范入侵檢測安全監(jiān)控備份與恢復(fù)密碼使用等等基本要求中的安全保護技術(shù)確定安全策略落實信息安全責(zé)任制建立安全組織機構(gòu)加強人員管理加強系統(tǒng)建設(shè)的安全管理加強運行維護的安全管理安全技術(shù)要求-物理安全物理安全是指對信息系統(tǒng)所涉及到的主

26、機房、輔助機房、辦公環(huán)境等進行物理安全保護。具體關(guān)注內(nèi)容包括：物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護等方面安全技術(shù)要求-物理安全序號安全關(guān)注點一級二級三級四級1物理位置的選擇01222物理訪問控制1244+3防盜竊和防破壞256+64防雷擊12335防火11+3+36防水和防潮23447防靜電01238溫濕度控制11+119電力供應(yīng)124410電磁防護0133+合計9193233安全技術(shù)要求-網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是指對信息系統(tǒng)所涉及的通信網(wǎng)絡(luò)、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)區(qū)域和網(wǎng)絡(luò)設(shè)備等進行安全保護。具體關(guān)注內(nèi)容包括通信過程數(shù)據(jù)完整性、通信

27、過程數(shù)據(jù)保密性、保證通信可靠性的設(shè)備和線路冗余、區(qū)域網(wǎng)絡(luò)的邊界保護、區(qū)域劃分、身份認(rèn)證、訪問控制、安全審計、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備自身保護和網(wǎng)絡(luò)的網(wǎng)絡(luò)管理等方面安全技術(shù)要求-網(wǎng)絡(luò)安全序號安全關(guān)注點一級二級三級四級1網(wǎng)絡(luò)結(jié)構(gòu)安全34+772網(wǎng)絡(luò)訪問控制34+843網(wǎng)絡(luò)安全審計02464邊界完整性檢查01225網(wǎng)絡(luò)入侵防范0122+6惡意代碼防范00227網(wǎng)絡(luò)設(shè)備防護3689合計9183332安全技術(shù)要求-主機安全主機安全是指對信息系統(tǒng)涉及到的服務(wù)器和工作站進行主機系統(tǒng)安全保護。具體關(guān)注內(nèi)容包括操作系統(tǒng)或數(shù)據(jù)庫管理系統(tǒng)的選擇、安裝和安全配置、主機入侵防范、惡意代碼防范、資源使用和運行情況

28、監(jiān)控等。其中，安全配置細(xì)分為身份鑒別、訪問控制、安全審計等方面的配置內(nèi)容安全技術(shù)要求-主機安全序號安全關(guān)注點一級二級三級四級1身份鑒別15672安全標(biāo)記00013訪問控制34764可信路徑00025安全審計046+7+6剩余信息保護00227入侵防范11338惡意代碼防范12339資源控制0355合計6193236安全技術(shù)要求-應(yīng)用安全應(yīng)用安全是指對信息系統(tǒng)涉及到的應(yīng)用系統(tǒng)進行安全保護。具體關(guān)注內(nèi)容包括應(yīng)用系統(tǒng)實現(xiàn)身份鑒別、訪問控制、安全審計、剩余信息保護、通信完整性、通信保密性、抗抵賴、軟件容錯和資源控制等功能方面安全技術(shù)要求-應(yīng)用安全序號安全關(guān)注點一級二級三級四級1身份鑒別34552安全標(biāo)

29、記00013訪問控制24654可信路徑00025安全審計03456剩余信息保護00227通信完整性11+1+18通信保密性022+39抗抵賴002210軟件容錯122311資源控制0377合計7193136安全技術(shù)要求-數(shù)據(jù)安全數(shù)據(jù)安全是指對信息系統(tǒng)中業(yè)務(wù)數(shù)據(jù)的傳輸、存儲和備份恢復(fù)進行安全保護。具體關(guān)注內(nèi)容包括數(shù)據(jù)備份系統(tǒng)、冗余備用設(shè)備以及備份恢復(fù)相關(guān)技術(shù)設(shè)施等方面安全技術(shù)要求-數(shù)據(jù)安全序號安全關(guān)注點一級二級三級四級1數(shù)據(jù)完整性11232數(shù)據(jù)保密性01233數(shù)據(jù)備份與恢復(fù)1245合計24811安全管理要求-安全管理機構(gòu)安全管理結(jié)構(gòu)是指明確領(lǐng)導(dǎo)機構(gòu)和責(zé)任部門。設(shè)立或明確信息安全領(lǐng)導(dǎo)機構(gòu)，明確主管

30、領(lǐng)導(dǎo)，落實責(zé)任部門，建立崗位和人員管理制度，根據(jù)職責(zé)分工，分別設(shè)置安全管理機構(gòu)和崗位，明確每個崗位的職責(zé)與任務(wù)，落實安全管理責(zé)任制安全管理要求 -安全管理機構(gòu)序號安全關(guān)注點一級二級三級四級1崗位設(shè)置12442人員配備12333授權(quán)和審批12444溝通和合作12555審核和檢查0144合計492020安全管理要求-安全管理制度安全管理制度是指確定安全管理策略，制定安全管理制度。確定安全管理目標(biāo)和安全策略，針對信息系統(tǒng)的各類管理活動，制定人員安全管理制度、系統(tǒng)建設(shè)管理制度、系統(tǒng)運維管理制度、定期檢查制度等，規(guī)范安全管理人員或操作人員的操作規(guī)程等，形成安全管理體系安全管理要求 -安全管理制度序號安全關(guān)注點一級二級三級四級1管理制度13442制定和發(fā)布23563評審和修訂0124合計371114安全管理要求-人員安全管理人員安全管理是指加強人員的安全管理。規(guī)范人員錄用、離崗過程，關(guān)鍵崗位簽署保密協(xié)議，對各類人員進行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)，對關(guān)鍵