等级保护实施技术环节说明

信息系统和重大刑事案件的侦查系统；尖端科
技领域的研发、生产系统等影响国家经济竞争
力和科技实力的信息系统，以及电力、通信、
能源、交通运输、金融等国家重要基础设施的
生产、控制、管理系统等。
2021/1/23
14
定级阶段-关于行业定级指导意见
公安部 信息安全 等级保护 评估中心
关于社会秩序
– 各级政府机构的社会管理和公共服务系统， 如财政、金融、工商、税务、公检法、海关、 社保等领域的信息系统，也包括教育、科研 机构的工作系统，以及所有为公众提供医疗 卫生、应急服务、供水、供电、邮政等必要 服务的生产系统或管理系统。
城城城城城城 城城城城城城 ...
城城城城
27
定级阶段-关于定级过程
公安部 信息安全 等级保护 评估中心
识别单位基本信息
– 了解单位基本信息有助于判断单位的职能特 点，单位所在行业及单位在行业所处的地位 和所用，由此判断单位主要信息系统的宏观 定位。
识别业务种类、流程和服务
– 应重点了解定级对象信息系统中不同业务系 统提供的服务在影响履行单位职能方面具体 方式和程度，影响的区域范围、用户人数、 业务量的具体数据以及对本单位以外机构或 个人的影响等方面。这些具体数据即可以为 主管部门制定定级指导意见提供参照，也可
处理涉密信息的终端必须划分到相应的信息系统 中，且不能与非涉密系统共用终端。
2021/1/23
25
定级阶段-定级对象举例
公安部 信息安全 等级保护 评估中心
2021/1/23
26
定级阶段-定级对象举例
公安部 信息安全 等级保护 评估中心
城城城城
城城城城 城城城
城城城 城城城1
城城城城城
城城城
城 城 城 城 城 1城
2021/1/23
15
定级阶段-关于行业定级指导意见
公安部 信息安全 等级保护 评估中心
关于公共利益
– 借助信息化手段为社会成员提供使用的公共 设施和通过信息系统对公共设施进行进行管 理控制都应当是要考虑的方面，例如：公共 通信设施、公共卫生设施、公共休闲娱乐设 施、公共管理设施、公共服务设施等。
– 公共利益与社会秩序密切相关，社会秩序的 破坏一般会造成对公共利益的损害。
2021/1/23
16
定级阶段-关于行业定级指导意见
公安部 信息安全 等级保护 评估中心
对客体的侵害不是威胁直接作用的结果， 而是通过对等级保护对象——信息系统的 破坏而导致的，因此确定对客体侵害的程 度时，必须考虑对等级保护对象所造成破 坏的不同客观表现形态以及不同程度的结 果，也就是侵害的客观方面。
– 导致业务能力下降，下降的表现形式可能包 括业务范围的减少、业务处理性能的下降、 可服务的用户数量的下降以及其他各种业务 指标的下降，每个行业务都有本行业关注的 业务指标。例如电力行业关注发电量和用电 量，税务行业关注税费收入，银行业关注存 款额、贷款额、交易量等，证券经纪行业关 注股民数和交易额。
例如: 信息系统定级
– 信息系统分析
• 系统识别和描绘 – 识别信息系统的基本信息 – 识别信息系统的管理框架
–… • 信息系统划分Leabharlann 2021/1/236
定级阶段
公安部 信息安全 等级保护 评估中心
定级阶段相关技术环节
– 行业定级指导意见 – 定级对象确定 – 定级过程
2021/1/23
7
定级阶段-关于行业定级指导意见
识别网络结构和边界
– 调查了解定级对象信息系统所在单位的整体网络状况、 安全防护和外部连接情况，目的是了解信息系统所处 的单位内部网络环境和外部环境特点，以及该信息系 统的网络安全保护与单位内部网络环境的安全保护的 关系。
2021/1/23
29
定级阶段-关于定级过程
公安部 信息安全 等级保护 评估中心
千兆 IDS
城城城 城城城2
城城城城城城
城城城城城
城城城城城2
城城城城城城
城城城城 城城城城城
城城城城 城城城城
2021/1/23
城城城城城
OA城 城
项项项 项项项
项项项 项项项 城城城城城
城城城城 城城城
城城城城 城城城
城城城城
城城城 城城城
城城城 城城城
城城城城城城 IDS
城城城 城城城城城
城城城
形成定级结果
– 取各类信息和服务的较高。
2021/1/23
30
系统建设和改建阶段
公安部 信息安全 等级保护 评估中心
系统建设和改建阶段相关技术环节
– 安全需求分析方法 – 系统的安全等级保护设计、实施方案设计 – 系统改建实施方案设计
定级工作的指导意见应包括：
– 对定级对象确定的指导
– 符合哪些条件的信息系统的等级保护客体是 国家安全、哪些是公共利益/社会秩序。。。
– 对不同类型的等级保护客体，本行业主要关 注哪些危害后果
– 对于每一类等级保护客体，符合哪些条件可 以判断为一般损害、哪些是严重损害、哪些 是非常严重损害
2021/1/23
公安部 信息安全 等级保护 评估中心
根据《管理办法》第十条：信息系统运营、使用 单位应当依据本办法和《信息系统安全等级保护 定级指南》确定信息系统的安全保护等级。有主 管部门的，应当经主管部门审核批准。跨省或者 全国统一联网运行的信息系统可以由主管部门统 一确定安全保护等级。
根据《关于开展全国重要信息系统安全等级保护 定级工作的通知》（以下简称《定级通知》）要 求：各行业主管部门要根据行业特点提出指导本 地区、本行业定级工作的指导意见。
11
定级阶段-关于行业定级指导意见
公安部 信息安全 等级保护 评估中心
对《定级指南》中有关概念的补充说明：
– 三种客体 – 对客体侵害程度
2021/1/23
12
定级阶段-关于行业定级指导意见
公安部 信息安全 等级保护 评估中心
三种受侵害的客体体现了三种不同层次、不同覆 盖范围的社会关系。
国家安全利益体现了国家层面、与全局相关的国 家政治安全、军事安全、经济安全、社会安全、 科技安全和资源环境安全等方面利益。
公安部 信息安全 等级保护 评估中心
2021/1/23
2
公安部 信息安全 等级保护 评估中心
2021/1/23
3
公安部 信息安全 等级保护 评估中心
2021/1/23
4
公安部 信息安全 等级保护 评估中心
2021/1/23
5
实施指南描述特点
公安部 信息安全 等级保护 评估中心
阶段
– 过程
• 活动 – 子活动
识别主要的软硬件设备
– 调查了解与定级对象信息系统相关的服务器、网络、 终端、存储设备以及安全设备等，设备所在网段，在 系统中的功能和作用。调查设备的位置和作用主要就 是发现不同信息系统在设备使用方面的共用程度。
识别用户类型和分布
– 调查了解各系统的管理用户和一般用户，内部用户和 外部用户，本地用户和远程用户等类型，了解用户或 用户群的数量分布，判断系统服务中断或系统信息被 破坏可能影响的范围和程度。
2021/1/23
19
定级阶段-关于行业定级指导意见
公安部 信息安全 等级保护 评估中心
关于危害后果
– 引起法律纠纷是比较严重的影响，在较轻的 程度时可能表现为投诉、索赔、媒体曝光等 形式。
– 导致财产损失，包括系统资产被破坏的直接 损失、业务量下降带来的损失、直接的资金 损失、为客户索赔所支付的资金等，以及由 于信誉下降、单位形象降低、客户关系损失 等导致的间接经济损失。
2021/1/23
17
定级阶段-关于行业定级指导意见
公安部 信息安全 等级保护 评估中心
客体 对客体的侵害
等级保护对象 对等级保护对象的危害
对客体侵害 的客观方面
2021/1/23
危害方式 + 危害后果
18
定级阶段-关于行业定级指导意见
公安部 信息安全 等级保护 评估中心
关于危害后果
– 影响行使工作职能，工作职能包括国家管理 职能、公共管理职能、公共服务职能等国家 或社会方面的职能。
2021/1/23
8
定级阶段-关于行业定级指导意见
公安部 信息安全 等级保护 评估中心
为什么需要行业对定级提出指导意见
– 行业的职能不同 – 信息系统在行业内所发挥的作用不同 – 信息系统被破坏后对国家和社会的危害后果
不同 – 行业主管部门比运营使用单位具有更高的站
位、更宏观的视野
2021/1/23
23
定级阶段-关于系统边界
公安部 信息安全 等级保护 评估中心
系统边界不应出现在服务器内部，服务器共用的 系统一般归入同一个信息系统，因此不同信息系 统的共用设备一般是网络/边界设备或终端设备。
两个信息系统边界存在共用设备时，共用设备的 安全保护等级按两个信息系统安全保护等级较高 者确定。例如，一个2级系统和一个3级系统之间 有一个防火墙或两个系统共用一个核心交换机， 此时防火墙和交换机可以作为两个系统的边界设 备，但应满足3级系统的要求。
公安部 信息安全 等级保护 评估中心
关于国家安全
– 重要的国家事务处理系统、国防工业生产系统
和国防设施的控制系统等属于影响国家政权稳
固和国防实力的信息系统；广播、电视、网络
等重要新闻媒体的发布或播出系统，其受到非
法控制可能引发影响国家统一、民族团结和社
会安定的重大事件；处理国家对外活动信息的
信息系统；处理国家重要安全保卫工作信息的
9
定级阶段-关于行业定级指导意见
公安部 信息安全 等级保护 评估中心
行业定级指导意见的意义：
– 贯彻四部委会签的《管理办法》 – 阐明本行业实施等级保护工作的政策和方针 – 制定本行业定级工作的阶段计划 – 统一本行业对定级要素赋值规范
2021/1/23
10
定级阶段-关于行业定级指导意见
公安部 信息安全 等级保护 评估中心
以作为主管部门审批定级结果的重要依据。
2021/1/23
28
定级阶段-关于定级过程
公安部 信息安全 等级保护 评估中心
识别信息
– 调查了解定级对象信息系统所处理的信息，了解单位 对信息的三个安全属性的需求，了解不同业务数据在 其保密性、完整性和可用性被破坏后在单位职能、单 位资金、单位信誉、人身安全等方面可能对国家、社 会、本单位造成的影响，对影响程度的描述应尽可能 量化。
– 直接造成人员伤亡，例如医疗服务系统，公 安行业的某些系统等。
– 造成社会不良影响，包括在社会风气、执政 信心等方面的影响。
2021/1/23
20
定级阶段-关于定级对象确定
公安部 信息安全 等级保护 评估中心
一、定级对象的三个条件
具有唯一确定的安全责任单位
– 作为定级对象的信息系统应能够唯一地确定其安全责 任单位，这个安全责任单位就是负责等级保护工作部 署、实施的单位，也是完成等级保护备案和接受监督 检查的直接责任单位。
社会秩序包括社会的政治、经济、生产、生活、 科研、工作等各方面的正常秩序。公共利益是指 不特定的社会成员所共同享有的，维持其生产、 生活、教育、卫生等方面的利益。
合法权益是法律确认的并受法律保护的公民、法 人和其他组织所享有的一定的社会权利和利益，
2021/1/23
13
定级阶段-关于行业定级指导意见
满足信息系统的基本要素
– 作为定级对象的信息系统应该是由相关的和配套的设 备、设施按照一定的应用目标和规则组合而成的有形 实体。应避免将某个单一的系统组件，如单台的服务 器、终端或网络设备等作为定级对象。
2021/1/23
21
定级阶段-关于定级对象确定
公安部 信息安全 等级保护 评估中心
一、定级对象的三个条件
2021/1/23
24
定级阶段-关于系统边界
公安部 信息安全 等级保护 评估中心
信息系统的管理终端是与相应被管理设备相对应 的，服务器、网络设备及安全设备等属于哪个系 统，终端就应归在哪个信息系统中。
如果无法做到不同等级的信息系统使用不同的终 端设备，则应将终端设备划分为其他的信息系统， 并在服务器与内部用户终端之间建立边界保护， 对终端通过身份鉴别和访问控制等措施加以控制。
承载相对独立的业务应用
–
2021/1/23
定级对象承载“相对独立”的业务应用是指 其中的一个或多个业务应用的主要业务流程、 部分业务功能独立，同时与其他信息系统的 业务应用有少量的数据交换，定级对象可能 会与其他业务应用共享一些设备，尤其是网 络传输设备。“相对独立”的业务应用并不 意味着整个业务流程，可以使完整的业务流 程的一部分。
22
定级阶段-关于定级对象确定
公安部 信息安全 等级保护 评估中心
二、定级对象的识别和划分 可能使定级要素赋值不同因素
– 可能涉及不同客体的系统。 – 可能对客体造成不同程度损害的系统。 – 处理不同类型业务的系统。
本身运行在不同的网络环境中的系统。 分不开的系统，按照高级别保护。
2021/1/23