等級(jí)保護(hù)定級(jí)指南(第十二期)講解課件

1、信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南什么是等級(jí)保護(hù)？等級(jí)保護(hù)等級(jí)根據(jù)我國信息安全標(biāo)準(zhǔn)GB/T 222402008 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南對(duì)我國非涉密信息系統(tǒng)劃分為五個(gè)等級(jí)進(jìn)行保護(hù)。第五級(jí) ?？乇Ｗo(hù)第四級(jí) 強(qiáng)制保護(hù)第三級(jí) 監(jiān)督保護(hù)第二級(jí) 指導(dǎo)保護(hù)第一級(jí) 自主保護(hù)等級(jí)保護(hù)對(duì)象電信運(yùn)營商電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，經(jīng)營性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。國計(jì)民生鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險(xiǎn)、外交、科技、發(fā)展改革、國防科技、公安、人事勞動(dòng)和社會(huì)保障、財(cái)政、審計(jì)、商務(wù)、水利、國土資源、能源、交通、文化、教育、統(tǒng)計(jì)、工商

2、行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)。黨政機(jī)關(guān)市（地）級(jí)以上黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)為什么要實(shí)施等級(jí)保護(hù)？2010年重大安全事件百度被黑維基解密伊朗核電站中毒3Q大戰(zhàn)荊州市商務(wù)局滄州電信泄密某銀行網(wǎng)站篡改某知名企業(yè)敏感數(shù)據(jù)泄密釣魚網(wǎng)站真正的中國工商銀行網(wǎng)站 假冒的中國工商銀行網(wǎng)站w 我們身邊的重大安全事件案例深圳市10萬孕婦信息泄露 1.2萬元一張光盤販賣 懷疑衛(wèi)生局、計(jì)生委廣東電網(wǎng)某供電局無人值守終端向互聯(lián)網(wǎng)掃描 導(dǎo)致GDCERT告警廣州市政府機(jī)關(guān)網(wǎng)絡(luò)信息中心UPS電池火災(zāi) 癱瘓72小時(shí)廣州市某區(qū)教育局門戶網(wǎng)站域名過期搶注變色情網(wǎng)站廣州市破獲省人事廳網(wǎng)站被

3、入侵案，帶破福建省建設(shè)信息網(wǎng)等10多起黑客入侵案件。為什么要首先進(jìn)行定級(jí)？等級(jí)保護(hù)實(shí)施流程定級(jí)建設(shè)測評(píng)結(jié)果分析系統(tǒng)備案定期檢查定級(jí)系統(tǒng)備案整改測評(píng)結(jié)果分析結(jié)果確認(rèn)定期檢查新建信息系統(tǒng)等級(jí)保護(hù)實(shí)施流程已建信息系統(tǒng)等級(jí)保護(hù)實(shí)施流程不通過不通過等級(jí)保護(hù)定級(jí)思路不同信息系統(tǒng)重要程度不同應(yīng)對(duì)不同威脅的能力具有不同的安全保護(hù)能力不同的等級(jí)保護(hù)等級(jí)等級(jí)保護(hù)定級(jí)怎么做等級(jí)保護(hù)重要標(biāo)準(zhǔn)GB 17859-1999 計(jì)算機(jī)信息系統(tǒng) 安全保護(hù)等級(jí)劃分準(zhǔn)則GB/T 222392008 信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T 222402008 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)過程指南（國標(biāo)報(bào)批稿）信息

4、系統(tǒng)安全等級(jí)保護(hù)測評(píng)要求（國標(biāo)報(bào)批稿）GB/T 25058-2010信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南GB/T 25070-2010信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求等級(jí)保護(hù)定級(jí)維度等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體對(duì)客體造成侵害的程度 侵害程度以貨幣損失衡量一般以銀行、證券、保險(xiǎn)、第三方支付等金融行業(yè)單位為主以行政處罰衡量一般以政府行業(yè)單位為主以安全生產(chǎn)指標(biāo)衡量一般以電力、石油、交通、制造業(yè)等工業(yè)行業(yè)單位為主定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系 等級(jí)對(duì)象侵害客體侵害程度監(jiān)管強(qiáng)度第一級(jí)一般系統(tǒng)公民、法人合法利益一般損害自主性保護(hù)第二級(jí)公民、法人合法權(quán)益嚴(yán)重?fù)p害指導(dǎo)性保護(hù)社會(huì)秩序和公共利益一般損害第三級(jí)重要系統(tǒng)

5、社會(huì)秩序和公共利益嚴(yán)重?fù)p害監(jiān)督性保護(hù)國家安全一般損害第四級(jí)社會(huì)秩序和公共利益特別嚴(yán)重?fù)p害強(qiáng)制性保護(hù)國家安全嚴(yán)重?fù)p害第五級(jí)極端重要系統(tǒng)國家安全特別嚴(yán)重?fù)p害?？匦员Ｗo(hù)等級(jí)與侵害客體、侵害程度關(guān)系定級(jí)三條件具有唯一確定的安全責(zé)任單位一般是使用或運(yùn)營單位滿足信息系統(tǒng)的基本要素單機(jī)和純局域網(wǎng)不定級(jí)承載相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用含多個(gè)業(yè)務(wù)應(yīng)用的綜合系統(tǒng)盡量劃分定級(jí)對(duì)象識(shí)別與劃分可能使定級(jí)要素賦值不同因素可能涉及不同客體的系統(tǒng)?？赡軐?duì)客體造成不同程度損害的系統(tǒng)。處理不同類型業(yè)務(wù)的系統(tǒng)。本身運(yùn)行在不同的網(wǎng)絡(luò)環(huán)境中的系統(tǒng)。分不開的系統(tǒng)，按照高級(jí)別保護(hù)。定級(jí)流程G=MAX(S,A)SA業(yè)務(wù)信息安全等級(jí)矩陣表系統(tǒng)服務(wù)安全等

6、級(jí)矩陣表等級(jí)保護(hù)定級(jí)報(bào)告案例四個(gè)主要因素決定等級(jí)系統(tǒng)所屬類型業(yè)務(wù)信息類別系統(tǒng)服務(wù)范圍業(yè)務(wù)依賴程度業(yè)務(wù)信息安全性業(yè)務(wù)服務(wù)保證性信息系統(tǒng)安全保護(hù)等級(jí)侵害的程度如何？（對(duì)客體造成侵害的程度） 一般損害 嚴(yán)重?fù)p害 特別嚴(yán)重?fù)p害受到破壞時(shí)侵害了什么？（客體） 公民、法人和其他組織 社會(huì)秩序、公共利益 國家安全等級(jí)保護(hù)組合可能性安全等級(jí)信息系統(tǒng)保護(hù)要求的組合第一級(jí)S1A1G1第二級(jí)S1A2G2，S2A2G2，S2A1G2第三級(jí)S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級(jí)S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4第五級(jí)有幾種

7、可能性？行業(yè)等級(jí)保護(hù)定級(jí)一級(jí)信息系統(tǒng)：適用于鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級(jí)某些單位中不重要的信息系統(tǒng)。小型個(gè)體、私營企業(yè)中的信息系統(tǒng)。中小學(xué)中的信息系統(tǒng)。二級(jí)信息系統(tǒng)：適用于地市級(jí)以上國家機(jī)關(guān)、企業(yè)、事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如小的局域網(wǎng)，非涉及秘密、敏感信息的辦公系統(tǒng)等。行業(yè)等級(jí)保護(hù)定級(jí)三級(jí)信息系統(tǒng)：適用于地市級(jí)以上國家機(jī)關(guān)、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng)；重要領(lǐng)域、重要部門跨省、跨市或全國（?。┞?lián)網(wǎng)運(yùn)行的信息系統(tǒng)；跨省或全國聯(lián)網(wǎng)運(yùn)行重要信息系統(tǒng)在省、地市的分支系統(tǒng)；各部委官方網(wǎng)站；跨?。ㄊ校┞?lián)接的信息網(wǎng)絡(luò)等。四級(jí)信息系統(tǒng)：適用于重要領(lǐng)域、重要部門信息系統(tǒng)中的部分重要系統(tǒng)。例如全國鐵路、民航、

8、電力等調(diào)度系統(tǒng)，銀行、證券、保險(xiǎn)、稅務(wù)、海關(guān)等部門中的核心系統(tǒng)。行業(yè)等級(jí)保護(hù)定級(jí)第四級(jí) 強(qiáng)制保護(hù)重要領(lǐng)域核心系統(tǒng)第三級(jí) 監(jiān)督保護(hù)地市級(jí)以上重要系統(tǒng)跨省或全國系統(tǒng)及分支系統(tǒng)第二級(jí) 指導(dǎo)保護(hù)地市級(jí)以上單位一般系統(tǒng)第一級(jí) 自主保護(hù)鄉(xiāng)鎮(zhèn)或縣級(jí)單位私營企業(yè)電力行業(yè)等級(jí)保護(hù)定級(jí)系統(tǒng)類別系統(tǒng)名稱范圍建議等級(jí)備注生產(chǎn)控制系統(tǒng)能量管理系統(tǒng)省級(jí)及以上4省級(jí)以下3變電站自動(dòng)化系統(tǒng)220千伏及以上3含開關(guān)站、換流站220千伏以下2配網(wǎng)自動(dòng)化系統(tǒng)3電力負(fù)荷管理系統(tǒng)3火電機(jī)組控制系統(tǒng)DCS單機(jī)容量300兆瓦及以上3含輔機(jī)控制系統(tǒng)單機(jī)容量300兆瓦以下2水電廠監(jiān)控系統(tǒng)總裝機(jī)1000兆瓦及以上3總裝機(jī)1000兆瓦以下2梯級(jí)調(diào)

9、度監(jiān)測系統(tǒng)總裝機(jī)2000兆瓦及以上3若無控制功能則為生產(chǎn)管理系統(tǒng)總裝機(jī)2000兆瓦以下2電力行業(yè)等級(jí)保護(hù)定級(jí)某科研院所定級(jí)1.支撐網(wǎng)絡(luò)：(1)科技網(wǎng)骨干網(wǎng)：主要對(duì)全國范圍內(nèi)的用戶提供系統(tǒng)服務(wù)，受到破壞時(shí)將對(duì)社會(huì)秩序、公共利益造成嚴(yán)重?fù)p害，保護(hù)等級(jí)建議定為三級(jí)。(2)院屬單位城域網(wǎng)：主要對(duì)院屬單位提供系統(tǒng)服務(wù)，受到破壞時(shí)將對(duì)法人合法權(quán)益造成嚴(yán)重?fù)p害，保護(hù)等級(jí)建議定為二級(jí)。2.科研應(yīng)用系統(tǒng)：(1)一般科研應(yīng)用系統(tǒng)：承載普通科研信息和數(shù)據(jù)，主要服務(wù)于內(nèi)部或外部用戶，受損后僅對(duì)公民、法人和其它組織的合法權(quán)益造成一般損害，保護(hù)等級(jí)建議定為一級(jí)。(2)較重要科研應(yīng)用系統(tǒng)：承載較為重要的科研信息和數(shù)據(jù)，內(nèi)部

10、或外部用戶依賴性強(qiáng)（訪問量大），一旦受損將對(duì)公共利益造成一般損害，或?qū)?、法人和其它組織的合法權(quán)益造成嚴(yán)重?fù)p害，保護(hù)等級(jí)建議定為二級(jí)。3)尖端科研應(yīng)用系統(tǒng)：承載尖端科研信息和數(shù)據(jù)，主要服務(wù)于內(nèi)部或外部特殊用戶，受損后至國家安全（國家競爭力）構(gòu)成威脅，應(yīng)定為重要信息系統(tǒng)。某科研院所定級(jí)3.辦公管理系統(tǒng)：(1)ARP院級(jí)管理系統(tǒng)：承載重要科研數(shù)據(jù)，為全院科研活動(dòng)提供管理平臺(tái)，受損后將對(duì)公共利益造成嚴(yán)重?fù)p害，保護(hù)等級(jí)應(yīng)定為三級(jí)。(2)ARP所級(jí)管理系統(tǒng)：保護(hù)等級(jí)建議定為二級(jí)。(3)其它辦公管理系統(tǒng)，保護(hù)等級(jí)建議定為一級(jí)。4宣傳性網(wǎng)站：主要承載宣傳信息，根據(jù)受損后對(duì)不同客體造成不同性質(zhì)的影響進(jìn)行劃分，院網(wǎng)站保護(hù)等級(jí)定為二級(jí)；院屬單位網(wǎng)站可和其它擬定為一級(jí)的信息系統(tǒng)合并。5.涉密信息系統(tǒng)：依據(jù)管理辦法及國家保密標(biāo)準(zhǔn)BMB22-2007涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)測試指南定級(jí)，秘密、機(jī)密、絕密三個(gè)等級(jí)的保護(hù)水平不低于信息安全等級(jí)保護(hù)第三級(jí)、第四級(jí)、第五級(jí)的標(biāo)準(zhǔn)。按照有關(guān)規(guī)定，涉密信息系統(tǒng)應(yīng)與