等級保護系統定級培訓

等級保護系統定級介紹深信服科技2013.7目錄等級保護分為哪些等級如何確定系統的等級定級案例分享如何完成定級備案等級保護分為哪些等級《中華人民共和國計算機信息系統平安保護條例》〔1994年國務院147號令〕第九條計算機信息系統實行平安等級保護。平安等級的劃分標準和平安等級保護的具體方法，由公安部會同有關部門制定。GB17859-1999《計算機信息系統平安保護等級劃分準那么》第一級:用戶自主保護級；第二級:系統審計保護級；第三級:平安標記保護級；第四級:結構化保護級；第五級:訪問驗證保護級；3根據保護側重點的不同，《信息平安技術信息系統平安等級保護根本要求GBT22239—2008》中將技術類平安要求進一步細分為：保護數據在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權的修改的信息平安類要求〔簡記為S〕；保護系統連續(xù)正常的運行，免受對系統的未授權修改、破壞而導致系統不可用的效勞保證類要求〔簡記為A〕；通用平安保護類要求〔簡記為G〕。等級保護分為哪些等級目錄等級保護分為哪些等級如何確定系統的等級定級案例分享如何完成定級備案如何確定系統的等級？綜合評定對客體的侵害程度確定業(yè)務信息安全（S）受到破壞時所侵害的客體綜合評定對客體的侵害程度確定系統服務安全（A）受到破壞時所侵害的客體系統服務安全保護等級業(yè)務信息安全保護等級定級對象的安全保護等級依據表2依據表3確定定級對象如何確定系統的等級？業(yè)務信息平安(S)是指確保信息系統內業(yè)務信息的保密性、完整性和可用性等系統效勞平安(A)是指確保信息系統可以及時、有效地提供效勞，以完成預定的業(yè)務目標如何確定系統的等級？業(yè)務信息安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級表2如何確定系統的等級？系統服務安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級表3如何確定定級對象？確定定級對象，三個根本條件：一、具有唯一確定的平安責任單位作為定級對象的信息系統應能夠唯一地確定其平安責任單位，這個平安責任單位就是負責等級保護工作部署、實施的單位，也是完成等級保護備案和接受監(jiān)督檢查的直接責任單位。二、滿足信息系統的根本要素作為定級對象的信息系統應該是由相關的和配套的設備、設施按照一定的應用目標和規(guī)那么組合而成的有形實體。應防止將某個單一的系統組件，如單臺的效勞器、終端或網絡設備等作為定級對象。如何確定定級對象？確定定級對象，三個根本條件：三、承載相對獨立的業(yè)務應用定級對象承載“相對獨立〞的業(yè)務應用是指其中的一個或多個業(yè)務應用的主要業(yè)務流程、局部業(yè)務功能獨立，同時與其他信息系統的業(yè)務應用有少量的數據交換，定級對象可能會與其他業(yè)務應用共享一些設備，尤其是網絡傳輸設備?！跋鄬Κ毩ⅷ暤臉I(yè)務應用并不意味著整個業(yè)務流程，可以使完整的業(yè)務流程的一局部。信息系統的劃分沒有絕對的對與錯，只有合理與不合理，合理地劃分信息系統有利于信息系統的保護及平安規(guī)劃，反之可能給將來的應用和平安保護帶來不便，又可能需要重新進行信息系統的劃分。如何確定定級對象？確定系統邊界的幾個注意點：系統邊界不應出現在效勞器內部，效勞器共用的系統一般歸入同一個信息系統，因此不同信息系統的共用設備一般是網絡/邊界設備或終端設備。兩個信息系統邊界存在共用設備時，共用設備的平安保護等級按兩個信息系統平安保護等級較高者確定。信息系統的管理終端是與相應被管理設備相對應的，效勞器、網絡設備及平安設備等屬于哪個系統，終端就應歸在哪個信息系統中。如果無法做到不同等級的信息系統使用不同的終端設備，那么應將終端設備劃分為其他的信息系統，并在效勞器與內部用戶終端之間建立邊界保護，對終端通過身份鑒別和訪問控制等措施加以控制。如何判斷受侵害的客體？ 三種受侵害的客體:國家平安表達了國家層面、與全局相關的國家政治平安、軍事平安、經濟平安、社會平安、科技平安等方面利益。社會秩序和公共利益包括政治、經濟、生產、生活、科研、工作等各方面的正常秩序和社會公眾生產、生活、教育、衛(wèi)生等方面的利益。公民、法人和其他組織合法權益是法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權利和利益，如何判斷受侵害的客體？關于國家平安重要的國家事務處理系統、國防工業(yè)生產系統和國防設施的控制系統等；播送、電視、網絡等重要新聞媒體的發(fā)布或播出系統，其受到非法控制可能引發(fā)影響國家統一、民族團結和社會安定的重大事件；尖端科技領域的研發(fā)、生產系統等影響國家經濟競爭力和科技實力的信息系統，以及電力、通信、能源、交通運輸、金融等國家重要根底設施的生產、控制、管理系統等。影響國家平安的判斷：影響國家政權穩(wěn)固和國防實力；影響國家統一、民族團結和社會安定；影響國家對外活動中的政治、經濟利益；影響國家重要的平安保衛(wèi)工作；影響國家經濟競爭力和科技實力；其他影響國家平安的事項。如何判斷受侵害的客體？關于社會秩序各級政府機構的社會管理和公共效勞系統，如財政、金融、工商、稅務、公檢法、海關、社保等領域的信息系統，也包括教育、科研機構的工作系統，以及所有為公眾提供醫(yī)療衛(wèi)生、應急效勞、供水、供電、郵政等必要效勞的生產系統或管理系統。影響社會秩序的判斷：影響國家機關社會管理和公共效勞的工作秩序；影響各種類型的經濟活動秩序；影響各行業(yè)的科研、生產秩序；影響公眾在法律約束和道德標準下的正常生活秩序等；其他影響社會秩序的事項。如何判斷受侵害的客體？關于公共利益借助信息化手段為社會成員提供使用的公共設施和通過信息系統對公共設施進行進行管理控制都應當是要考慮的方面，例如：公共通信設施、公共衛(wèi)生設施、公共休閑娛樂設施、公共管理設施、公共效勞設施等。公共利益與社會秩序密切相關，社會秩序的破壞一般會造成對公共利益的損害。影響公共利益的判斷：影響社會成員使用公共設施；影響社會成員獲取公開信息資源；影響社會成員接受公共效勞等方面；其他影響公共利益的事項。如何判斷受侵害程度？侵害程度的判斷：一般損害：工作職能受到局部影響，業(yè)務能力有所降低但不影響主要功能的執(zhí)行，出現較輕的法律問題，較低的資產損失，有限的社會不良影響，對其他組織和個人造成較低損害。嚴重損害：工作職能受到嚴重影響，業(yè)務能力顯著下降且嚴重影響主要功能執(zhí)行，出現較嚴重的法律問題，較高的資產損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴重損害。特別嚴重損害：工作職能受到特別嚴重影響或喪失行使能力，業(yè)務能力嚴重下降且或功能無法執(zhí)行，出現極其嚴重的法律問題，極高的資產損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴重損害。目錄等級保護分為哪些等級如何確定系統的等級定級案例分享如何完成定級備案定級案例分享某單位辦公信息系統業(yè)務信息主要包括公文、事務處理信息、人事管理信息、通知以及公告等信息侵害客體國家平安社會秩序/公共利益組織侵害程度一般嚴重特別嚴重定級案例分享業(yè)務信息安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級表2定級案例分享某單位辦公信息系統系統效勞各部門及內部員工提供效勞,業(yè)務處理流程大局部可以通過手工或其他方式替代完成侵害客體國家平安社會秩序/公共利益組織侵害程度一般嚴重特別嚴重定級案例分享系統服務安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級表3定級案例分享某單位辦公信息系統信息平安〔S〕：二級業(yè)務效勞〔A〕：二級最終等級確定：二級，S2A2G2定級案例分享某單位交易信息系統業(yè)務信息包含交易權限認證、報單、報價、撮合、交易監(jiān)控、交易行情等侵害客體國家平安社會秩序/公共利益組織侵害程度一般嚴重特別嚴重定級案例分享業(yè)務信息安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級表2定級案例分享某單位交易信息系統系統效勞為全國的會員單位提供效勞，200多家，業(yè)務處理完全依賴信息系統，信息系統效勞中斷使業(yè)務無法正常進行侵害客體國家平安社會秩序/公共利益組織侵害程度一般嚴重特別嚴重系統服務安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級定級案例分享表3定級案例分享某單位交易信息系統信息平安〔S〕：三級業(yè)務效勞〔A〕：三級最終等級確定：三級，S3A3G3定級案例分享清算信息系統業(yè)務信息會員信息、結算數據、合約數據、場內用戶信息、資金管理信息和結算管理信息等侵害客體國家平安社會秩序/公共利益組織侵害程度一般嚴重特別嚴重業(yè)務信息安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級定級案例分享表2定級案例分享清算信息系統系統效勞其中會員效勞和交易結算為全國的會員單位提供效勞；交易結算、風險監(jiān)控和數據管理為內部員工提供效勞，提供效勞的時間為交易結束后的二個小時侵害客體國家平安社會秩序/公共利益組織侵害程度一般嚴重特別嚴重業(yè)務信息安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級定級案例分享表2定級案例分享某單位清算系統業(yè)務信息平安等級3級系統效勞平安等級2級清算系統平安等級確定：3級，S3A2G3定級案例分享網站信息系統業(yè)務信息包含交易商品信息、開盤價、漲跌、收盤價、成交量、持倉量及其持倉變化、會員成交量和持倉量排名等其他需要公布的信息侵害客體國家平安社會秩序/公共利益組織侵害程度一般嚴重特別嚴重業(yè)務信息安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級定級案例分享表2定級案例分享網站信息系統系統效勞除對外發(fā)布一些公開信息外，還作為會員單位登錄會員效勞系統的入口，因此，其效勞中斷會在全國范圍的內造成影響侵害客體國家平安社會秩序/公共利益組織侵害程度一般嚴重特別嚴重業(yè)務信息安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的