等級(jí)保護(hù)知識(shí)培訓(xùn)

等級(jí)保護(hù)培訓(xùn).目錄等級(jí)保護(hù)概念介紹等級(jí)保護(hù)流程介紹等級(jí)保護(hù)定級(jí)等級(jí)保護(hù)基本要求等級(jí)保護(hù)實(shí)施等級(jí)保護(hù)測(cè)評(píng)我公司開展的等級(jí)保護(hù)服務(wù).等級(jí)保護(hù)標(biāo)準(zhǔn)制修訂背景2003年9月中辦國(guó)辦頒發(fā)《關(guān)于加強(qiáng)信息安全保障工作的意見》中辦發(fā)[2003]27號(hào)2005年9月國(guó)信辦文件《關(guān)于轉(zhuǎn)發(fā)《電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南》的通知》國(guó)信辦[2004]25號(hào)2006年1月四部委會(huì)簽《關(guān)于印發(fā)《信息安全等級(jí)保護(hù)管理辦法的通知》公通字[2006]7號(hào)2005年公安部標(biāo)準(zhǔn)《基本要求》《定級(jí)指南》《實(shí)施指南》《測(cè)評(píng)準(zhǔn)則》2004年11月四部委會(huì)簽《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》公通字[2004]66號(hào)云南云南省人民政府第130號(hào)令浙江浙江省人民政府令北京北京政府第9號(hào)令國(guó)家級(jí)政策文件國(guó)家級(jí)技術(shù)標(biāo)準(zhǔn)國(guó)家級(jí)政策文件地方政策文件.什么是等級(jí)保護(hù)？信息系統(tǒng)安全等級(jí)保護(hù)是指對(duì)信息和信息系統(tǒng)劃分為五個(gè)安全保護(hù)和監(jiān)管等級(jí)，實(shí)行分等級(jí)保護(hù)。.“一個(gè)提高，四個(gè)有利于”

有效地提高我國(guó)信息安全建設(shè)的整體水平

有利于在信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相協(xié)調(diào)；有利于加強(qiáng)對(duì)涉及國(guó)家安全、經(jīng)濟(jì)秩序、社會(huì)穩(wěn)定和公共利益的信息系統(tǒng)的安全保護(hù)和管理監(jiān)督；為什么實(shí)行等級(jí)保護(hù)？.

有利于明確國(guó)家、法人和其他組織、公民的安全責(zé)任，強(qiáng)化政府監(jiān)管職能，共同落實(shí)各項(xiàng)安全建設(shè)和安全管理措施；有利于提高安全保護(hù)的科學(xué)性、整體性、針對(duì)性，推動(dòng)信息安全產(chǎn)業(yè)水平，逐步探索一條適應(yīng)社會(huì)主義市場(chǎng)經(jīng)濟(jì)發(fā)展的信息安全發(fā)展模式。為什么實(shí)行等級(jí)保護(hù)？.

為什么實(shí)行等級(jí)保護(hù)？.2003-2007被篡改網(wǎng)站數(shù)量我國(guó).

為什么實(shí)行等級(jí)保護(hù)？真正的中國(guó)工商銀行網(wǎng)站假冒的中國(guó)工商銀行網(wǎng)站.等保的對(duì)象及頻度

系統(tǒng)新建發(fā)生過重大事件未進(jìn)行過測(cè)評(píng)網(wǎng)絡(luò)或信息系統(tǒng)重大變更安全事件爆發(fā) 監(jiān)管部門提出要求（重要時(shí)期前，例奧運(yùn)會(huì)，亞運(yùn)會(huì)）每年（三級(jí)）進(jìn)行一次每半年（四級(jí)）進(jìn)行一次.目錄等級(jí)保護(hù)概念介紹等級(jí)保護(hù)流程介紹等級(jí)保護(hù)定級(jí)等級(jí)保護(hù)基本要求等級(jí)保護(hù)實(shí)施等級(jí)保護(hù)測(cè)評(píng)我公司開展的等級(jí)保護(hù)服務(wù).等級(jí)保護(hù)測(cè)評(píng)流程

.等保測(cè)評(píng)參考標(biāo)準(zhǔn)GB/T22240信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南GB/T22239信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則（已基本廢棄）.目錄等級(jí)保護(hù)概念介紹等級(jí)保護(hù)流程介紹等級(jí)保護(hù)定級(jí)等級(jí)保護(hù)基本要求等級(jí)保護(hù)實(shí)施等級(jí)保護(hù)驗(yàn)收測(cè)評(píng)我公司開展的等級(jí)保護(hù)支持服務(wù).等級(jí)保護(hù)定級(jí)維度等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體對(duì)客體造成侵害的程度.定級(jí)階段-關(guān)于定級(jí)范圍（一）電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，經(jīng)營(yíng)性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。（二）鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險(xiǎn)、外交、科技、發(fā)展改革、國(guó)防科技、公安、人事勞動(dòng)和社會(huì)保障、財(cái)政、審計(jì)、商務(wù)、水利、國(guó)土資源、能源、交通、文化、教育、統(tǒng)計(jì)、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)。

（三）市（地）級(jí)以上黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)

.一、定級(jí)對(duì)象的三個(gè)條件具有唯一確定的安全責(zé)任單位作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)能夠唯一地確定其安全責(zé)任單位，這個(gè)安全責(zé)任單位就是負(fù)責(zé)等級(jí)保護(hù)工作部署、實(shí)施的單位，也是完成等級(jí)保護(hù)備案和接受監(jiān)督檢查的直接責(zé)任單位。滿足信息系統(tǒng)的基本要素作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體。應(yīng)避免將某個(gè)單一的系統(tǒng)組件，如單臺(tái)的服務(wù)器、終端或網(wǎng)絡(luò)設(shè)備等作為定級(jí)對(duì)象。定級(jí)階段-關(guān)于定級(jí)對(duì)象確定.一、定級(jí)對(duì)象的三個(gè)條件承載相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用定級(jí)對(duì)象承載“相對(duì)獨(dú)立”的業(yè)務(wù)應(yīng)用是指其中的一個(gè)或多個(gè)業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程、部分業(yè)務(wù)功能獨(dú)立，同時(shí)與其他信息系統(tǒng)的業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換，定級(jí)對(duì)象可能會(huì)與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備?！跋鄬?duì)獨(dú)立”的業(yè)務(wù)應(yīng)用并不意味著整個(gè)業(yè)務(wù)流程，可以是完整的業(yè)務(wù)流程的一部分。定級(jí)階段-關(guān)于定級(jí)對(duì)象確定.二、定級(jí)對(duì)象的識(shí)別和劃分可能使定級(jí)要素賦值不同因素可能涉及不同客體的系統(tǒng)。可能對(duì)客體造成不同程度損害的系統(tǒng)。處理不同類型業(yè)務(wù)的系統(tǒng)。本身運(yùn)行在不同的網(wǎng)絡(luò)環(huán)境中的系統(tǒng)。分不開的系統(tǒng)，按照高級(jí)別保護(hù)。定級(jí)階段-關(guān)于定級(jí)對(duì)象確定.識(shí)別單位基本信息了解單位基本信息有助于判斷單位的職能特點(diǎn)，單位所在行業(yè)及單位在行業(yè)所處的地位和所用，由此判斷單位主要信息系統(tǒng)的宏觀定位。識(shí)別業(yè)務(wù)種類、流程和服務(wù)應(yīng)重點(diǎn)了解定級(jí)對(duì)象信息系統(tǒng)中不同業(yè)務(wù)系統(tǒng)提供的服務(wù)在影響履行單位職能方面具體方式和程度，影響的區(qū)域范圍、用戶人數(shù)、業(yè)務(wù)量的具體數(shù)據(jù)以及對(duì)本單位以外機(jī)構(gòu)或個(gè)人的影響等方面。這些具體數(shù)據(jù)即可以為主管部門制定定級(jí)指導(dǎo)意見提供參照，也可以作為主管部門審批定級(jí)結(jié)果的重要依據(jù)。定級(jí)階段-關(guān)于定級(jí)過程.識(shí)別信息調(diào)查了解定級(jí)對(duì)象信息系統(tǒng)所處理的信息，了解單位對(duì)信息的三個(gè)安全屬性的需求，了解不同業(yè)務(wù)數(shù)據(jù)在其保密性、完整性和可用性被破壞后在單位職能、單位資金、單位信譽(yù)、人身安全等方面可能對(duì)國(guó)家、社會(huì)、本單位造成的影響，對(duì)影響程度的描述應(yīng)盡可能量化。識(shí)別網(wǎng)絡(luò)結(jié)構(gòu)和邊界調(diào)查了解定級(jí)對(duì)象信息系統(tǒng)所在單位的整體網(wǎng)絡(luò)狀況、安全防護(hù)和外部連接情況，目的是了解信息系統(tǒng)所處的單位內(nèi)部網(wǎng)絡(luò)環(huán)境和外部環(huán)境特點(diǎn)，以及該信息系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)與單位內(nèi)部網(wǎng)絡(luò)環(huán)境的安全保護(hù)的關(guān)系。定級(jí)階段-關(guān)于定級(jí)過程.識(shí)別主要的軟硬件設(shè)備調(diào)查了解與定級(jí)對(duì)象信息系統(tǒng)相關(guān)的服務(wù)器、網(wǎng)絡(luò)、終端、存儲(chǔ)設(shè)備以及安全設(shè)備等，設(shè)備所在網(wǎng)段，在系統(tǒng)中的功能和作用。調(diào)查設(shè)備的位置和作用主要就是發(fā)現(xiàn)不同信息系統(tǒng)在設(shè)備使用方面的共用程度。識(shí)別用戶類型和分布調(diào)查了解各系統(tǒng)的管理用戶和一般用戶，內(nèi)部用戶和外部用戶，本地用戶和遠(yuǎn)程用戶等類型，了解用戶或用戶群的數(shù)量分布，判斷系統(tǒng)服務(wù)中斷或系統(tǒng)信息被破壞可能影響的范圍和程度。形成定級(jí)結(jié)果取各類信息和服務(wù)的較高。定級(jí)階段-關(guān)于定級(jí)過程.定級(jí)階段-關(guān)于三種危害程度

不同危害后果的三種危害程度描述如下：一般損害：工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的財(cái)產(chǎn)損失，有限的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成較低損害。嚴(yán)重?fù)p害：工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行，出現(xiàn)較嚴(yán)重的法律問題，較高的財(cái)產(chǎn)損失，較大范圍的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成較嚴(yán)重?fù)p害。特別嚴(yán)重?fù)p害：工作職能受到特別嚴(yán)重影響或喪失行使能力，業(yè)務(wù)能力嚴(yán)重下降且或功能無法執(zhí)行，出現(xiàn)極其嚴(yán)重的法律問題，極高的財(cái)產(chǎn)損失，大范圍的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成非常嚴(yán)重?fù)p害。.等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體包括以下三個(gè)方面：公民、法人和其他組織的合法權(quán)益；社會(huì)秩序、公共利益；國(guó)家安全。定級(jí)階段-三種客體.定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系

.對(duì)《定級(jí)指南》中有關(guān)概念的補(bǔ)充說明：三種客體對(duì)客體侵害程度定級(jí)階段_關(guān)鍵概念的補(bǔ)充說明. 三種受侵害的客體體現(xiàn)了三種不同層次、不同覆蓋范圍的社會(huì)關(guān)系。國(guó)家安全利益體現(xiàn)了國(guó)家層面、與全局相關(guān)的國(guó)家政治安全、軍事安全、經(jīng)濟(jì)安全、社會(huì)安全、科技安全和資源環(huán)境安全等方面利益。社會(huì)秩序包括社會(huì)的政治、經(jīng)濟(jì)、生產(chǎn)、生活、科研、工作等各方面的正常秩序。公共利益是指不特定的社會(huì)成員所共同享有的，維持其生產(chǎn)、生活、教育、衛(wèi)生等方面的利益。合法權(quán)益是法律確認(rèn)的并受法律保護(hù)的公民、法人和其他組織所享有的一定的社會(huì)權(quán)利和利益，定級(jí)階段-三種客體說明.對(duì)客體的侵害不是威脅直接作用的結(jié)果，而是通過對(duì)等級(jí)保護(hù)對(duì)象——信息系統(tǒng)的破壞而導(dǎo)致的，因此確定對(duì)客體侵害的程度時(shí)，必須考慮對(duì)等級(jí)保護(hù)對(duì)象所造成破壞的不同客觀表現(xiàn)形態(tài)以及不同程度的結(jié)果，也就是侵害的客觀方面。定級(jí)階段.定級(jí)階段-關(guān)于損害的詳述安全保護(hù)級(jí)別信息和信息系統(tǒng)受到破壞后的影響1自主保護(hù)級(jí)不會(huì)損害國(guó)家安全、社會(huì)秩序和公共利益。2指導(dǎo)保護(hù)級(jí)會(huì)對(duì)社會(huì)秩序和公共利益造成輕微損害，但不損害國(guó)家安全。3監(jiān)督保護(hù)級(jí)會(huì)對(duì)國(guó)家安全、社會(huì)秩序和公共利益造成損害。4強(qiáng)制保護(hù)級(jí)會(huì)對(duì)國(guó)家安全、社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害。5?？乇Ｗo(hù)級(jí)會(huì)對(duì)國(guó)家安全、社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害。.定級(jí)階段-關(guān)于定級(jí)級(jí)別等級(jí)對(duì)象侵害客體侵害程度監(jiān)管強(qiáng)度第一級(jí)一般系統(tǒng)合法利益損害自主性保護(hù)第二級(jí)合法權(quán)益嚴(yán)重?fù)p害指導(dǎo)性保護(hù)社會(huì)秩序和公共利益損害第三級(jí)重要系統(tǒng)社會(huì)秩序和公共利益嚴(yán)重?fù)p害監(jiān)督性保護(hù)國(guó)家安全損害第四級(jí)社會(huì)秩序和公共利益特別嚴(yán)重?fù)p害強(qiáng)制性保護(hù)國(guó)家安全嚴(yán)重?fù)p害第五級(jí)極端重要系統(tǒng)國(guó)家安全特別嚴(yán)重?fù)p害專控性保護(hù).定級(jí)階段-關(guān)于定級(jí)方法定級(jí)的一般方法信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對(duì)客體的侵害程度可能不同，因此，信息系統(tǒng)定級(jí)也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)稱業(yè)務(wù)信息安全保護(hù)等級(jí)。從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)稱系統(tǒng)服務(wù)安全保護(hù)等級(jí)。.定級(jí)階段-關(guān)于定級(jí)方法.定級(jí)階段-關(guān)于定級(jí)方法與流程根據(jù)業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體以及對(duì)相應(yīng)客體的侵害程度，依據(jù)下表業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表，即可得到業(yè)務(wù)信息安全保護(hù)等級(jí)。

.四個(gè)主要因素決定等級(jí)系統(tǒng)所屬類型業(yè)務(wù)信息類別系統(tǒng)服務(wù)范圍業(yè)務(wù)依賴程度業(yè)務(wù)信息安全性業(yè)務(wù)服務(wù)保證性信息系統(tǒng)安全保護(hù)等級(jí)侵害的程度如何？（對(duì)客體造成侵害的程度）一般損害

嚴(yán)重?fù)p害

特別嚴(yán)重?fù)p害受到破壞時(shí)侵害了什么？（客體）公民、法人

社會(huì)秩序、公共利益

國(guó)家安全.定級(jí)階段-關(guān)于等級(jí)變更

在信息系統(tǒng)的運(yùn)行過程中，安全保護(hù)等級(jí)應(yīng)隨著信息系統(tǒng)所處理的信息和業(yè)務(wù)狀態(tài)的變化進(jìn)行適當(dāng)?shù)淖兏?，尤其是?dāng)狀態(tài)變化可能導(dǎo)致業(yè)務(wù)信息安全或系統(tǒng)服務(wù)受到破壞后的受侵害客體和對(duì)客體的侵害程度有較大的變化，可能影響到系統(tǒng)的安全保護(hù)等級(jí)時(shí)，應(yīng)根據(jù)定級(jí)標(biāo)準(zhǔn)給出的定級(jí)方法重新定級(jí).定級(jí)案例-三級(jí)系統(tǒng)定級(jí)

.定級(jí)案例-三級(jí)系統(tǒng)定級(jí)

.定級(jí)案例-三級(jí)系統(tǒng)定級(jí)

.定級(jí)案例-三級(jí)系統(tǒng)定級(jí)

.目錄等級(jí)保護(hù)概念介紹等級(jí)保護(hù)流程介紹等級(jí)保護(hù)定級(jí)等級(jí)保護(hù)基本要求等級(jí)保護(hù)實(shí)施等級(jí)保護(hù)測(cè)評(píng)我公司開展的等級(jí)保護(hù)服務(wù).基本要求的作用信息系統(tǒng)安全等級(jí)保護(hù)基本要求運(yùn)營(yíng)、使用單位（安全服務(wù)商）主管部門（等級(jí)測(cè)評(píng)機(jī)構(gòu)）安全保護(hù)測(cè)評(píng)檢查.基本要求的定位是系統(tǒng)安全保護(hù)、等級(jí)測(cè)評(píng)的一個(gè)基本“標(biāo)尺”，同樣級(jí)別的系統(tǒng)使用統(tǒng)一的“標(biāo)尺”來衡量，保證權(quán)威性，是一個(gè)達(dá)標(biāo)線；每個(gè)級(jí)別的信息系統(tǒng)按照基本要求進(jìn)行保護(hù)后，信息系統(tǒng)具有相應(yīng)等級(jí)的基本安全保護(hù)能力，達(dá)到一種基本的安全狀態(tài);是每個(gè)級(jí)別信息系統(tǒng)進(jìn)行安全保護(hù)工作的一個(gè)基本出發(fā)點(diǎn)，更加貼切的保護(hù)可以通過需求分析對(duì)基本要求進(jìn)行補(bǔ)充，參考其他有關(guān)等級(jí)保護(hù)或安全方面的標(biāo)準(zhǔn)來實(shí)現(xiàn);.基本要求的定位某級(jí)信息系統(tǒng)基本保護(hù)精確保護(hù)基本要求保護(hù)基本要求測(cè)評(píng)補(bǔ)充的安全措施GB17859-1999通用技術(shù)要求安全管理要求高級(jí)別的基本要求等級(jí)保護(hù)其他標(biāo)準(zhǔn)安全方面相關(guān)標(biāo)準(zhǔn)等等基本保護(hù)特殊需求補(bǔ)充措施.基本要求基本思路不同級(jí)別信息系統(tǒng)重要程度不同應(yīng)對(duì)不同威脅的能力(威脅\弱點(diǎn))具有不同的安全保護(hù)能力不同的基本要求.各個(gè)要素之間的關(guān)系安全保護(hù)能力基本安全要求每個(gè)等級(jí)的信息系統(tǒng)基本技術(shù)措施基本管理措施具備包含包含滿足滿足實(shí)現(xiàn).基本要求核心思路某級(jí)系統(tǒng)技術(shù)要求管理要求基本要求建立安全技術(shù)體系建立安全管理體系具有某級(jí)安全保護(hù)能力的系統(tǒng).各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀）安全保護(hù)模型PPDRR

Protection防護(hù)

PolicyDetection策略

檢測(cè)

Response響應(yīng)

Recovery恢復(fù).各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀）一級(jí)系統(tǒng)二級(jí)系統(tǒng)三級(jí)系統(tǒng)四級(jí)系統(tǒng)防護(hù)防護(hù)/監(jiān)測(cè)策略/防護(hù)/監(jiān)測(cè)/恢復(fù)策略/防護(hù)/監(jiān)測(cè)/恢復(fù)/響應(yīng).各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀）成功的完成業(yè)務(wù)信息保障深度防御戰(zhàn)略人技術(shù)操作防御網(wǎng)絡(luò)與基礎(chǔ)設(shè)施防御飛地邊界防御計(jì)算環(huán)境支撐性基礎(chǔ)設(shè)施安全保護(hù)模型IATF.各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀）一級(jí)系統(tǒng)二級(jí)系統(tǒng)三級(jí)系統(tǒng)四級(jí)系統(tǒng)通信/邊界（基本）通信/邊界/內(nèi)部（關(guān)鍵設(shè)備）通信/邊界/內(nèi)部（主要設(shè)備）通信/邊界/內(nèi)部/基礎(chǔ)設(shè)施（所有設(shè)備）.各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀）一級(jí)系統(tǒng)二級(jí)系統(tǒng)三級(jí)系統(tǒng)四級(jí)系統(tǒng)計(jì)劃和跟蹤（主要制度）計(jì)劃和跟蹤（主要制度）良好定義（管理活動(dòng)制度化）持續(xù)改進(jìn)（管理活動(dòng)制度化/及時(shí)改進(jìn)）.等級(jí)保護(hù)基本要求構(gòu)架某級(jí)系統(tǒng)物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理.等級(jí)保護(hù)基本要求效果.基本要求的主要內(nèi)容由9個(gè)章節(jié)2個(gè)附錄構(gòu)成1.適用范圍2.規(guī)范性引用文件3術(shù)語定義4.等級(jí)保護(hù)概述5.基本要求附錄A關(guān)于信息系統(tǒng)整體安全保護(hù)能力的要求附錄B基本安全要求的選擇和使用.基本要求的組織方式某級(jí)系統(tǒng)類技術(shù)要求管理要求基本要求類控制點(diǎn)具體要求控制點(diǎn)具體要求……………………………….基本要求-組織方式某級(jí)系統(tǒng)物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理.基本要求標(biāo)注方式基本要求技術(shù)要求管理要求要求標(biāo)注業(yè)務(wù)信息安全類要求（標(biāo)記為S類）系統(tǒng)服務(wù)保證類要求（標(biāo)記為A類）通用安全保護(hù)類要求（標(biāo)記為G類）

.三類要求之間的關(guān)系通用安全保護(hù)類要求（G）業(yè)務(wù)信息安全類（S）系統(tǒng)服務(wù)保證類（A安全要求.基本要求的選擇和使用一個(gè)3級(jí)系統(tǒng),定級(jí)結(jié)果為S3A2，保護(hù)類型應(yīng)該是S3A2G3第1步:選擇標(biāo)準(zhǔn)中3級(jí)基本要求的技術(shù)要求和管理要求;第2步:要求中標(biāo)注為S類和G類的不變;標(biāo)注為A類的要求可以選用2級(jí)基本要求中的A類作為基本要求;.安全保護(hù)和系統(tǒng)定級(jí)的關(guān)系安全等級(jí)信息系統(tǒng)保護(hù)要求的組合第一級(jí)S1A1G1第二級(jí)S1A2G2，S2A2G2，S2A1G2第三級(jí)S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級(jí)S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4定級(jí)指南要求按照“業(yè)務(wù)信息”和“系統(tǒng)服務(wù)”的需求確定整個(gè)系統(tǒng)的安全保護(hù)等級(jí)定級(jí)過程反映了信息系統(tǒng)的保護(hù)要求.不同級(jí)別系統(tǒng)控制點(diǎn)的差異安全要求類層面一級(jí)二級(jí)三級(jí)四級(jí)技術(shù)要求物理安全7101010網(wǎng)絡(luò)安全3677主機(jī)安全4679應(yīng)用安全47911數(shù)據(jù)安全及備份恢復(fù)2333管理要求安全管理制度2333安全管理機(jī)構(gòu)4555人員安全管理4555系統(tǒng)建設(shè)管理991111系統(tǒng)運(yùn)維管理9121313合計(jì)/48667377級(jí)差//1874.不同級(jí)別系統(tǒng)要求項(xiàng)的差異安全要求類層面一級(jí)二級(jí)三級(jí)四級(jí)技術(shù)要求物理安全9193233網(wǎng)絡(luò)安全9183332主機(jī)安全6193236應(yīng)用安全7193136數(shù)據(jù)安全及備份恢復(fù)24811管理要求安全管理制度371114安全管理機(jī)構(gòu)492020人員安全管理7111618系統(tǒng)建設(shè)管理20284548系統(tǒng)運(yùn)維管理18416270合計(jì)/85175290318級(jí)差//9011528.目錄等級(jí)保護(hù)概念介紹等級(jí)保護(hù)流程介紹等級(jí)保護(hù)定級(jí)等級(jí)保護(hù)基本要求等級(jí)保護(hù)實(shí)施等級(jí)保護(hù)測(cè)評(píng)我公司開展的等級(jí)保護(hù)服務(wù).等級(jí)保護(hù)角色和職責(zé)國(guó)家管理部門信息系統(tǒng)主管部門安全服務(wù)商安全產(chǎn)品提供商安全測(cè)評(píng)機(jī)構(gòu)部門系統(tǒng)定級(jí)安全保護(hù)檢測(cè)評(píng)估監(jiān)督檢查技術(shù)標(biāo)準(zhǔn)管理規(guī)范.等級(jí)保護(hù)實(shí)施原則自主保護(hù)原則信息系統(tǒng)運(yùn)營(yíng)、使用單位及其主管部門按照國(guó)家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定信息系統(tǒng)的安全保護(hù)等級(jí)，自行組織實(shí)施安全保護(hù)。重點(diǎn)保護(hù)原則根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，通過劃分不同安全保護(hù)等級(jí)的信息系統(tǒng)，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。同步建設(shè)原則信息系統(tǒng)在新建、改建、擴(kuò)建時(shí)應(yīng)當(dāng)同步規(guī)劃和設(shè)計(jì)安全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。動(dòng)態(tài)調(diào)整原則要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護(hù)措施。由于信息系統(tǒng)的應(yīng)用類型、范圍等條件的變化及其他原因，安全保護(hù)等級(jí)需要變更的，應(yīng)當(dāng)根據(jù)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重新確定信息系統(tǒng)的安全保護(hù)等級(jí)，根據(jù)信息系統(tǒng)安全保護(hù)等級(jí)的調(diào)整情況，重新實(shí)施安全保護(hù)。.等級(jí)保護(hù)實(shí)施流程.目錄等級(jí)保護(hù)概念介紹等級(jí)保護(hù)流程介紹等級(jí)保護(hù)定級(jí)等級(jí)保護(hù)基本要求等級(jí)保護(hù)實(shí)施等級(jí)保護(hù)測(cè)評(píng)我公司開展的等級(jí)保護(hù)支持服務(wù).等級(jí)保護(hù)測(cè)評(píng)中的角色關(guān)系系統(tǒng)承建單位主管\使用\運(yùn)行單位測(cè)評(píng)機(jī)構(gòu)專家組支持測(cè)評(píng)提供技術(shù)、工程和質(zhì)量文檔實(shí)施的配合公安網(wǎng)監(jiān)部門測(cè)評(píng)工作組織協(xié)調(diào)確保技術(shù)、工程和質(zhì)量文檔、提供運(yùn)營(yíng)相關(guān)文檔的提供評(píng)審實(shí)施方案等相關(guān)文檔配合等級(jí)測(cè)評(píng)實(shí)施測(cè)評(píng)過程中的風(fēng)險(xiǎn)管理和應(yīng)急管理制定測(cè)評(píng)計(jì)劃和方案等相關(guān)文檔在相關(guān)單位支持下實(shí)施等級(jí)測(cè)評(píng)提交測(cè)評(píng)報(bào)告監(jiān)督方案評(píng)審和系統(tǒng)測(cè)評(píng)監(jiān)督確保遵守公正的測(cè)評(píng)原則和方法對(duì)評(píng)估結(jié)論進(jìn)行評(píng)審測(cè)評(píng)工作組織與監(jiān)管.測(cè)評(píng)工具和接入點(diǎn)

根據(jù)3級(jí)信息系統(tǒng)的測(cè)評(píng)強(qiáng)度要求，在測(cè)試的廣度上，應(yīng)基本覆蓋不同類型的機(jī)制，在數(shù)量、范圍上可以抽樣；在測(cè)試的深度上，應(yīng)執(zhí)行功能測(cè)試和滲透測(cè)試，功能測(cè)試可能涉及機(jī)制的功能規(guī)范、高級(jí)設(shè)計(jì)和操作規(guī)程等文檔，滲透測(cè)試可能涉及機(jī)制的所有可用文檔，并試圖智取進(jìn)入信息系統(tǒng)等。因此，對(duì)其進(jìn)行測(cè)評(píng)，應(yīng)涉及到漏洞掃描工具、滲透測(cè)評(píng)工具集等多種測(cè)試工具。使用的測(cè)試工具主要有：網(wǎng)絡(luò)漏洞掃描器、數(shù)據(jù)庫(kù)安全掃描器、滲透測(cè)試工具集等。.測(cè)評(píng)內(nèi)容--物理安全

物理安全測(cè)評(píng)將通過訪談、文檔審查和實(shí)地察看的方式測(cè)評(píng)信息系統(tǒng)的的物理安全保障情況。主要涉及對(duì)象為屏蔽機(jī)房和主機(jī)房。.測(cè)評(píng)內(nèi)容—網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全測(cè)評(píng)將通過訪談、配置檢查和工具測(cè)試的方式測(cè)評(píng)信息系統(tǒng)的的網(wǎng)絡(luò)安全保障情況。主要涉及對(duì)象為網(wǎng)絡(luò)互聯(lián)設(shè)備、網(wǎng)絡(luò)安全設(shè)備和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等三大類對(duì)象。.測(cè)評(píng)內(nèi)容—主機(jī)安全

主機(jī)系統(tǒng)安全測(cè)評(píng)將通過訪談、配置檢查和工具測(cè)試的方式測(cè)評(píng)主機(jī)系統(tǒng)安全保障情況。本次重點(diǎn)測(cè)評(píng)的操作系統(tǒng)包括各網(wǎng)站服務(wù)器、應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器等的操作系統(tǒng)，數(shù)據(jù)庫(kù)管理系統(tǒng)為數(shù)據(jù)庫(kù)服務(wù)器Sybase。。.測(cè)評(píng)內(nèi)容—應(yīng)用安全和數(shù)據(jù)安全

應(yīng)用安全測(cè)評(píng)將通過訪談、配置檢查和工具測(cè)試的方式測(cè)評(píng)應(yīng)用安全保障情況，主要涉及對(duì)象為用電信息系統(tǒng)、對(duì)外服務(wù)網(wǎng)站系統(tǒng)和遠(yuǎn)程客戶服務(wù)系統(tǒng)。.測(cè)評(píng)內(nèi)容—安全管理部分安全管理部分為全局性問題，涉及安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面。主要是審查相關(guān)管理文檔和記錄文件。.等級(jí)保護(hù)測(cè)評(píng)實(shí)施—物理安全要求：對(duì)于溫濕度控制（G3），在GB/T22239-2008中的描述為“機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。”測(cè)評(píng)方法（1）應(yīng)檢查機(jī)房是否有溫濕度控制設(shè)計(jì)/驗(yàn)收文檔，查看機(jī)房溫、濕度是否滿足GB2887-89《計(jì)算站場(chǎng)地技術(shù)條件》的要求，是否能夠滿足系統(tǒng)運(yùn)行需要，是否與當(dāng)前實(shí)際情況相符合。（2）應(yīng)訪談物理安全負(fù)責(zé)人，詢問機(jī)房是否配備了溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，保證溫濕度能夠滿足計(jì)算機(jī)設(shè)備運(yùn)行的要求，是否在機(jī)房管理制度中規(guī)定了溫濕度控制的要求，是否有人負(fù)責(zé)此項(xiàng)工作（3）應(yīng)檢查溫、濕度自動(dòng)調(diào)節(jié)設(shè)施是否能夠正常運(yùn)行，查看溫濕度記錄、運(yùn)行記錄和維護(hù)記錄。（4）應(yīng)訪談機(jī)房維護(hù)人員，詢問是否定期檢查和維護(hù)機(jī)房的溫濕度自動(dòng)調(diào)節(jié)設(shè)施，詢問是否出現(xiàn)過溫濕度影響系統(tǒng)運(yùn)行的事件。.等級(jí)保護(hù)測(cè)評(píng)實(shí)施—網(wǎng)絡(luò)安全按照測(cè)評(píng)方案的要求，核心交換機(jī)SJ6509應(yīng)測(cè)評(píng)網(wǎng)絡(luò)訪問控制（G3）、網(wǎng)絡(luò)安全審計(jì)（G3）、網(wǎng)絡(luò)設(shè)備防護(hù)（G3）等部分的內(nèi)容。測(cè)評(píng)方法（1）檢查網(wǎng)絡(luò)設(shè)備測(cè)試報(bào)告，檢查是否符合國(guó)家關(guān)于交換機(jī)的安全要求；（2）應(yīng)檢查邊界和主要網(wǎng)絡(luò)設(shè)備上的安全設(shè)置，查看是否對(duì)邊界和主要網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；（3）應(yīng)測(cè)試邊界和主要網(wǎng)絡(luò)設(shè)備的安全設(shè)置，對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制（如使用任意地址登錄，觀察網(wǎng)絡(luò)設(shè)備的動(dòng)作等）等功能是否有效。.等級(jí)保護(hù)測(cè)評(píng)實(shí)施—主機(jī)安全要求：數(shù)據(jù)庫(kù)為Sybase應(yīng)測(cè)評(píng)身份鑒別（S3）、自主訪問控制（S3）、強(qiáng)制訪問控制（S3）、安全審計(jì)（G3）、資源控制（A2）、數(shù)據(jù)備份與恢復(fù)（A2）、數(shù)據(jù)完整性（S3）、數(shù)據(jù)保密性（S3）等部分的內(nèi)容。測(cè)評(píng)方法：應(yīng)檢查主要數(shù)據(jù)庫(kù)管理系統(tǒng)，查看對(duì)管理用戶的身份鑒別是否采用兩個(gè)及兩個(gè)以上鑒別技術(shù)的組合來進(jìn)行身份鑒別（如采用用戶名/口令、挑戰(zhàn)應(yīng)答、動(dòng)態(tài)口令、物理設(shè)備、生物識(shí)別技術(shù)和數(shù)字證書方式的身份鑒別技術(shù)中的任意兩個(gè)組合）。.等級(jí)保護(hù)測(cè)評(píng)實(shí)施—應(yīng)用和數(shù)據(jù)安全要求：業(yè)務(wù)應(yīng)用程序（用戶自主開發(fā)）應(yīng)測(cè)評(píng)身份鑒別（S3）、訪問控制（S3）、安全審計(jì)（G3）、剩余信息保護(hù)（G3）、通信完整性（S3）、通信保密性（S3）、抗抵賴（S3）、軟件容錯(cuò)（A3）、資源控制（A3）、數(shù)據(jù)備份與恢復(fù)（A3）、數(shù)據(jù)完整性（S3）、數(shù)據(jù)保密性（S3）等部分的內(nèi)容。應(yīng)訪談安全管理員，查看相關(guān)設(shè)計(jì)文檔，檢查業(yè)務(wù)系統(tǒng)數(shù)據(jù)在通信過程中是否采取保密措施，具體措施有哪些；應(yīng)測(cè)試主要應(yīng)用系統(tǒng)，通過查看通信雙方數(shù)據(jù)包的內(nèi)容，查看系統(tǒng)在通信過程中，對(duì)整個(gè)報(bào)文或會(huì)話過程進(jìn)行加密的功能是否有效。.等級(jí)保護(hù)測(cè)評(píng)實(shí)施—管理安全對(duì)于系統(tǒng)運(yùn)維管理中的密碼管理“應(yīng)建立密碼使用管理制度，使用符合國(guó)家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品”的要求。測(cè)評(píng)方法：應(yīng)訪談安全員，詢問密碼技術(shù)和產(chǎn)品的使用是否遵照國(guó)家密碼管理規(guī)定；應(yīng)檢查是否具有密碼使用管理制度。.目錄等級(jí)保護(hù)概念介紹等級(jí)保護(hù)流程介紹等級(jí)保護(hù)定級(jí)等級(jí)保護(hù)基本要求等級(jí)保護(hù)實(shí)施等級(jí)保護(hù)測(cè)評(píng)我公司