等级保护定级指南(第十二期)讲解
等级保护基本要求培训(第十二期)
能力成熟度模型CMM
各级系统的保护要求差异(宏观)
一级系统
计划和跟踪(主要制度)
二级系统
计划和跟踪(主要制度)
三级系统
良好定义(管理活动制度化)
四级系统
持续改进(管理活动制度化/及时改进)
各级系统的保护要求差异(微观)
技术要求
某级系统 基本要求
管理要求
物网主应数 理络机用据 安安安安安 全全全全全
各级系统的保护要求差异(宏观)
安全保护模型IATF
成功的完成业务 信息保障
操作
人 技术
防御网络与 基础设施
防御 飞地 边界
防御 计算 环境
支撑 性基 础设 施
各级系统的保护要求差异(宏观)
一级系统 二级系统 三级系统 四级系统
通信/边界(基本) 通信/边界/内部(关键设备) 通信/边界/内部(主要设备) 通信/边界/内部/基础设施(所有设备)
不同级别的安全保护能力要求
第一级 第二级 第三级 第四级
人员威胁 个人 小型组织
外部组织 或内部人 员 国家级别
自然威胁 一般自然 灾害 一般自然 灾害
较为严重 灾害
严重灾害
损害对象 关键资源 重要资源
主要资源
所有资源
恢复能力 部分恢复
一段时间 内部分恢 复
较快恢复 绝大部分
迅速恢复 所有
发现能力
具有某级安全保护能力的系统
各级系统的保护要求差异(宏观)
• 安全保护模型PPDRR
Protection防护
Recovery
恢复
Policy 策略
Detection
检测
Response 响应
各级系统的保护要求差异(宏观)
等级保护基本要求培训(第十二期)
• GB/T 20273ቤተ መጻሕፍቲ ባይዱ2006 数据库管理系统安全技术要求
• GB/T 20275—2006 入侵检测系统技术要求和测试评价方法
• GB/T 20278—2006 网络脆弱性扫描产品技术要求
• GB/T 20279—2006 网络和终端设备隔离部件安全技术要求
• GB/T 20281—2006 防火墙技术要求和测试评价方法
等级保护基本要求培训(第十二期)
等级保护相关标准
• GA/T 708-2007 信息系统安全等级保护体系框架
• GA/T 709-2007 信息系统安全等级保护基本模型
• GA/T 710-2007 信息系统安全等级保护基本配置
• GA/T 711-2007 应用软件系统安全等级保护通用技术指南
• GA/T 712-2007 应用软件系统安全等级保护通用测试指南
等级保护基本要求培训(第十二期)
不同级别的安全保护能力要求
• 第三级安全保护能力
– 应能够在统一安全策略下防护系统免受来自外部有组织的团体 (如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包 括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重 的自然灾难(灾难发生的强度较大、持续时间较长、覆盖范围较 广等)以及其他相当危害程度的威胁(内部人员的恶意威胁、无 意失误、较严重的技术故障等)所造成的主要资源损害,能够发 现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大 部分功能。
安全保护和系统定级的关系
安全等级
信息系统保护要求的组合
第一级 S1A1G1
第二级 S1A2G2,S2A2G2,S2A1G2
第三级 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3
等级保护定级指南
为什么要实施等级保护毒
3Q大战
荆州市商务局
沧州电信泄密
网站篡改
敏感数据泄密
钓鱼网站
假冒的中国工商银行网站
真正的中国工商银行网站
扬州市城乡建设局网站(/)
我们身边的重大安全事件案例
• 深圳市10万孕妇信息泄露 1.2万元一张光盘 贩卖 怀疑卫生局、计生委 • 广东电网珠海供电局无人值守终端向互联 网扫描 导致GDCERT告警 • 广州市政府机关网络信息中心UPS电池火 灾 瘫痪72小时 • 广州市越秀区教育局门户网站域名过期抢 注变色情网站 • 广州市破获省人事厅网站被入侵案,带破 福建省建设信息网等10多起黑客入侵案件 。
受到破坏时侵害了什 么?(客体) • 公民、法人 • 社会秩序、公共利益 • 国家安全
信息系统安全保 护等级
系统服务范围 业务服务保 证性 业务依赖程度
侵害的程度如何? (对客体造成侵害 的程度) • 一般损害 • 严重损害 • 特别严重损害
等级保护组合可能性
安全等级
第一级 第二级 第三级 S1A1G1 S1A2G2,S2A2G2,S2A1G2 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3
第二级
指导性保护
Байду номын сангаас第三级
监督性保护
国家安全
社会秩序和公共利益
损害
特别严重损害 强制性保护 专控性保护
国家安全 极端重要系 统
国家安全
严重损害
特别严重损害
定级三条件
• 具有唯一确定的安全责任单位 • 满足信息系统的基本要素 • 承载相对独立的业务应用
定级对象识别与划分
• 可能使定级要素赋值不同因素
– 可能涉及不同客体的系统。 – 可能对客体造成不同程度损害的系统。 – 处理不同类型业务的系统。 • • 本身运行在不同的网络环境中的系统。 分不开的系统,按照高级别保护。
等级保护讲解
跨界融合与合作
等级保护将促进不同行业、领域 的跨界融合与合作,共同应对网 络安全威胁。
总结与思考
等级保护制度的意义
等级保护制度为重要信息系统提供了安全保障,确保其稳定运行和信息安全,维护了国家安全和社会秩序。
GB/T 25058-2019等标准,规定了网络安全等级保护的技术 要求和实施方法。
应用安全等级保护技术标准
GB/T 37983-2019等标准,针对应用系统的安全保护制定了 相应技术标准。
等级保护的管理规范
网络安全等级保护管理规范
规定了各级管理机构和责任人在网络安全等级保护工作中的职责和要求,以 及工作流程、文档记录等内容。
制定标准规范
为保证等级保护工作的有效实施,需要制定相关的标准规范,明 确等级保护的基本要求、实施流程和评估方法等。
加强培训宣传
加强培训和宣传工作,提高员工对等级保护工作的认识和重视程度 ,促进企业整体网络安全意识的提升。
05
未来展望与总结
未来发展趋势与展望
完善法律法规
随着网络安全形势的不断变化, 等级保护制度将不断完善,为网 络安全提供更有力的保障。
总结和推广网络安全领域的最佳实践,引导企业和个人加强网络 安全意识和能力。
加强培训与演练
组织开展网络安全培训和演练,提高应对网络安全事件的能力和 水平。
THANKS
感谢观看
等级保护的历史与发展
等级保护起源
等级保护起源于美国,最初用于国防领域,现已成为全球信息安全领域的重要制度。
等级保护在中国
自20世纪90年代起,中国开始推行等级保护制度,并不断完善相关法规和标准。
等级保护的重要性和意义
等级保护实施指南(第十二期)
• 参与角色:信息系统运营、使用单位,信 息安全服务机构。 • 活动输出:安全控制开发过程相关文档。
安全设计与实施-技术措施实现
• 安全控制集成
– 集成实施方案制定 – 集成准备 – 集成实施 – 培训 – 安全控制集成报告
• 参与角色:信息系统运营、使用单位,信 息安全服务机构。 • 活动输出: 安全控制集成报告。
实施指南编制的主要思路
实施指南目录结构
个章节1个附录构成 由9个章节 个附录构成 个章节 1.范围 范围 2.规范性引用文件 规范性引用文件 3术语和定义 术语和定义 4.等级保护实施概述 等级保护实施概述 5. 信息系统定级 6.总体安全规划 总体安全规划 7.安全设计与实施 安全设计与实施 8.安全运行与维护 安全运行与维护 9.信息系统终止 信息系统终止 附录A 附录 主要过程及其活动输出
等级保护实施基本原则
等级保护实施过程中的角色和职责
实施 督促 监督
协助 测评 提供
等级保护实施阶段
信息系统定级 总体安全规划 安全设计与实施 局部调整 安全运行维护 信息系统终止 等级变更
信息系统全生命周期
信息系统生命周期生期
设计/开发阶段段
• 参与角色:信息系统运营、使用单位,信 息安全服务机构,信息安全产品供应商。 • 活动输出:技术措施落实方案。
安全设计与实施-安全方案详细设计
• 管理措施实现内容设计
– 结合系统实际安全管理需要和本次技术建设内 容,确定本次安全管理建设的范围和内容,同 时注意与信息系统安全总体方案的一致性。安 全管理设计的内容主要考虑:安全管理机构和 人员的配套、安全管理制度的配套、人员安全 管理技能的配套等
• 参与角色: 信息系统运营、使用单位,信 息安全服务机构。 • 活动输出:信息系统安全总体方案。
网络安全等级保护定级指南解读
网络安全等级保护定级指南解读《信息安全技术网络安全等级保护定级指南》是《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)的修订版主要内容一.基本概念和定级要素二.定级方法三.工作流程•定级是开展网络安全等级保护工作的“基本出发点”•定级结果应当成为系统安全保护的总体安全需求之一•定级过程是找到系统最大风险的过程•《信息安全等级保护管理办法》(公通字[2007]43号“第七条信息系统的保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
”•解决了:信息系统根据什么定级?定什么级?•从信息系统对国家安全、经济建设、公共利益等方面的重要性,以及信息系统被破坏后造成危害的严重性角度对信息系统确定的等级-重要性定级•没有解决:定级的方法、流程•《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)•《信息安全技术网络安全等级保护定级指南》(GB/T 22240-20**)(前者的修订版)——主要关注等级保护定级工作开展的流程及定级的方法•概念解释•安全保护等级•等级保护对象•客体•安全保护等级等级的确定是不依赖于安全保护措施的,具有一定的“客观性”,即该系统在存在之初便由其自身所实现的使命的重要程度决定了它的安全保护等级,而非由“后天”的安全保护措施决定。
•等级保护对象•网络安全等级保护工作的作用对象,主要包括基础网络设施、信息系统(如工业控制系统、云计算平台、物联网、使用移动互联技术的系统、其他系统)以及数字资源等。
等级保护2.0讲解PPT课件
第五级 信息系统受到破坏后,会对国家安全造成特别严重损害
2021
等级保护工作主要的流程
一是定级 二是备案(二级以上的信息系统) 三是系统建设、整改 四是开展等级测评 五是信息安全监管部门定期开展监督检查
无
通信传输
b) 应采用密码技术保证通信过程中敏感信息字段或整
个报文的保密性。
a) 应能够对非授权设备私自联到内部网络的
a) 应保证跨越边界的访问和数据流通过边界防护设备 提供的受控接口进行通信;
行为进行检查,准确定出位置,并对其进行
有效阻断;
b) 应能够对非授权设备私自联到内部网络的行为进行
边界完整 性检查
(一)制定内部安全管理制度和操作规程,确定网络安全 负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害 网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技 术措施,并按照规定留存相关的网络日志不少于六个月; 2021
第三十四条 除本法第二十一条的规定外,关键信息基础设 施的运营者还应当履行下列安全保护义务:
c) 应强制用户首次登录时修改初始口令; (新增) d) 用户身份鉴别信息丢失或失效时,应采用技术措
施确保鉴别信息重置过程的安全; (新增)
a) 应仅采集和保存业务必需的用户个人信息; (新 增)
b) 应禁止未授权访问和非法使用用户个人信息。 (新增)
2021
解读
1. 应用是具体业务的直接实现,不具有网络和系统相对标 准化的特点。大部分应用本身的身份鉴别、访问控制和操 作审计等功能,都难以用第三方产品来替代实现;
等级保护政策、流程、内容、定级介绍 ppt课件
ppt课件
21
8 等级保护安全建设内容
安全建设
在信息系统安全保护等级确定以后,系统运营单位和使 用单位开展系统安全建设和改建工作,通常包括安全需 求分析、总体安全设计、详细安全设计、安全设施实现 和安全运行与维护等工作。
ppt课件
22
9 等级保护监督检查内容
监督检查
公安机关负责信息安全等级保护工作的督促、检查、指 导; 受理备案的公安机关对第三级信息系统的运营、使用单 位每年至少检查一次,对第四级每半年检查一次; 公安机关检查发现不符合有关管理规范和技术标准的, 发出整改通知并进行整改。
信息系统定级工作的主体是信息系统运营和使用单位, 坚持“自主定级、自主保护”原则,因此定级工作应当 由信息系统的运营和使用单位来完成。
ppt课件
13
6 等级保护定级工作流程
定级受理备案审核材料
管理办法规定第二级以上信息系统应当在安全保护等级 确定后30日内,由其运营、使用单位到所在地区的市级 以上公安机关办理系统备案手续。
ppt课件
8
3 等保测评作用
工作实施过程中涉及到的角色和职责: 在信息系统建设、整改时,信息系统运营使用单位通过
等级测评进行安全需求分析,确定系统的特殊安全需求 。信息系统等级保护基本安全要求与确定的特殊安全需 求共同确定了该系统的安全需求。 在系统运维过程中,定期委托测评机构开展等级测评, 对信息系统安全等级保护状况、安全保障性能进行安全 测试,对信息安全管控能力进行考察和评价,从而判定 是否具备《信息系统安全等级保护基本要求》中相应等 级安全保护能力。 等级测评报告是信息系统后期开展整改加固的重要指导 性文件,也是信息系统备案的重要附件材料。等级测评 结论是信息系统满足要求程度的证明文件。
2020「网络安全等级保护定级指南」最新解读,这些重点必须注意!
2020「网络安全等级保护定级指南」最新解读,这些重点必须注意!新版《GBT 22240-2020 信息安全技术网络安全等级保护定级指南》正式发布,新的国标将于2020年11月1日正式实施。
腾讯安全平台部天幕团队联合腾讯安全专家咨询中心、云鼎实验室、安全管理部标准团队,针对新版定级指南的一些变化划重点解读,供广大企业参考。
01定级原理及流程1、安全保护等级如何划分?本部分变化较小,依旧是五个等级,从一级到五级由低到高。
现在对于定级系统的称呼统一改为等级保护对象(旧标准中称为信息系统),这也与等保2.0其他系列标准保持一致。
2、等保定级要素都有哪些?要素可以说基本没有变化,依旧沿用之前的定义。
•等级保护对象要素的两个方面:1)受侵害的客体;2)对客体的侵害程度。
•等级保护对象受侵害客体的三个方面:1)公民、法人和其他组织的合法权益;2)社会秩序、公共利益;3)国家安全。
•等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:1)造成一般损害;2)造成严重损害;3)造成特别严重损害。
•定级要素与安全保护等级的关系之前行业内关于等保2.0基本要求的解读中,曾经提过对于公民、法人和其他组织和合法权益受到特别严重损害会定为第三级,但是从新版《指南》的官方结论,依旧按照旧版定为第二级,这里明确说明一下。
3、定级流程是怎样的?第二级及以上等级保护对象定级流程新增专家评审环节,不再自主定级,需要聘请专家认定等级保护对象的级别。
02确定定级对象1、哪些企业和机构需要定级备案?定级对象的范围相比旧标准变化较多,本次《指南》包含了云计算、物联网、工业控制系统、采用移动互联技术的系统、通信网络设施以及数据资源,我们来具体看下。
通用定级对象基本特征明确,共计三点:•具有确定的主要安全责任体;•承载相对独立的业务应用;•包含相互关联的多个资源。
从这几个特征来看,基本互联网上的系统差不多都要定级备案。
《指南》给出了有关安全责任主体的解释:包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织。
网络安全等级保护定级指南解读
一、基本概念和定级要素
• 社会秩序 • 国家机关的工作秩序; • 各类经济活动秩序; • 各行业科研、生产秩序; • 公众正常生活秩序等。
16
一、基本概念和定级要素
• 公共利益 • 不特定社会成员所共同享有的,维持其生产、生活、 教育、卫生等方面的利益,表现为: • 社会成员使用公共设施 • 社会成员获取公开信息资源 • 社会成员获取公共服务等
4
一、基本概念和定级要素-等级定义
• 《信息安全等级保护管理办法》(公通字[2007]43号“第七条 信息系统的保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他 组织的合法权益造成损害,但不损害国家安全、社会秩 序和公共利益;
5
一、基本概念和定级要素-等级定义
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生 严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
二、定级方法
• 系统识别 • 识别单位基本信息 • 识别管理框架 • 识别业务种类和业务流程 • 识别信息 • 识别网络结构 • 识别主要的软硬件设备 • 识别用户类型和分布
32
二、定级方法
• 系统划分 • 分析安全管理责任,确定管理边界 • 分析网络结构和已有内外部边界 • 分析业务流程和业务间关系
38
主要内容
一. 基本概念和定级要素 二. 定级方法 三. 定级流程
三、定级流程
1. 确定定级对象 2. 初步确定等级 3. 专家评审 4. 主管部门审核
5. 公安机关备案审查
三、定级流程
专家评审
定级对象的运营、 使用单位应组织信 息安全专家和业务 专家,对初步定级 结果的合理性进行 评审,出具专家评 审意见。
信息安全等级保护定级指南
信息安全等级保护定级指南The document was finally revised on 2021附件2信息系统安全保护等级定级指南(试用稿)公安部二〇〇五年十二月目次信息系统安全保护等级定级指南1范围本指南适用于为4级及4级以下的信息系统确定安全保护等级提供指导。
有关部门根据文件确定涉及最高国家利益的重要信息系统的核心子系统,该系统的安全保护等级定为5级,不再使用本指南的方法定级。
各行业信息系统的主管部门可以根据本指南制定适合本行业或部门的具体定级方法和指导意见。
2术语和定义下列术语和定义适用于本指南。
2.1 业务信息(Business Information)为完成业务工作而通过信息系统进行采集、加工、存储、传输、检索和使用的各种信息。
2.2 业务信息安全性(Security of Business Information)保证业务信息机密性、完整性和可用性程度的表征。
2.3 业务服务保证性(Assurance of Business Service)保证信息系统完成业务使命程度的表征。
业务使命可能因信息系统无法提供服务或无法提供有效服务而不能完成或不能按照要求的目标完成。
2.4 信息系统(Information System)基于计算机或计算机网络,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的人机系统。
2.5 业务子系统(Business Subsystem)由信息系统的一部分组件构成,是信息系统中能够承载某项业务工作的子系统。
3定级对象如果信息系统只承载一项业务,可以直接为该信息系统确定等级,不必划分业务子系统。
如果信息系统承载多项业务,应根据各项业务的性质和特点,将信息系统分成若干业务子系统,分别为各业务子系统确定安全保护等级,信息系统的安全保护等级由各业务子系统的最高等级决定。
信息系统是进行等级确定和等级保护管理的最终对象。
3.1 信息系统的划分一个组织机构内可能运行一个或多个信息系统,这些信息系统的安全保护等级可以是相同的,也可以是不同的。
等级保护政策理解与解读
等级保护政策理解与解读● 等级保护的五级划分根据对信息系统受到破坏的程度来划分,将信息系统的安全保护等级分为Ø 具有唯一确定的安全责任单位作为定级对象的信息系统应能够唯一地确定其安全责任单位。
如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。
Ø 具有信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。
应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。
Ø 承载单一或相对独立的业务应用定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他业务应用没有数据交换,且独享所有信息处理设备。
定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。
● 不同等级的安全保护能力●等级保护定级的要素和方法信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
等级保护对象受到破坏时所侵害的客体包括以下三个方面:Ø 公民、法人和其他组织的合法权益;Ø 社会秩序、公共利益;Ø 国家安全。
对客体的侵害程度由客观方面的不同外在表现综合决定。
由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种: Ø 造成一般损害;Ø 造成严重损害;Ø 造成特别严重损害。
两个定级要素与等级的关系如下表所示。
档案信息系统安全等级保护定级工作指南
档案信息系统安全等级保护定级工作指南国家档案局2013年7月目录1.工作背景 (2)2.适用范围 (2)3.编制依据 (2)4.档案信息系统类型的划分 (3)5.档案信息系统的定级 (4)5.1档案信息系统的定级原则 (4)5.2档案信息系统安全保护等级的划分 (5)5.2.1受侵害客体 (5)5.2.2对客体侵害程度的划分 (5)5.2.3档案信息系统安全等级的划分 (6)5.3档案信息系统安全保护等级确定的方法 (6)5.3.1确定定级对象 (7)5.3.2确定受侵害的客体 (7)5.3.3确定对客体的侵害程度 (7)5.3.4确定档案信息系统的安全保护等级 (8)5.3.5编制定级报告 (10)6.评审 (10)7.备案与报备 (11)8.等级变更 (11)附录1《信息系统安全等级保护定级报告》模版 (12)附录2《信息系统安全等级保护备案表》 (14)1.工作背景1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,计算机信息系统实行安全等级保护,公安部主管全国计算机信息系统安全保护工作。
近年来,公安部会同有关部门组织制订了一系列有关计算机信息系统安全等级保护的规章和标准,加强了对重点行业信息系统安全等级保护工作的监督、检查和指导,并于2011年建立了54个行业主管部门参加的等级保护联络员制度,档案行业为其中之一。
随着档案信息化进程的不断加快,档案部门通过档案信息系统管理的数字档案资源越来越多,提高档案信息系统的安全防护能力和水平,已经成为加强档案信息安全管理、促进档案事业健康发展的一项重要内容。
为做好档案信息系统安全等级保护工作,国家档案局编制《档案信息系统安全等级保护定级工作指南》(以下简称《指南》),以指导档案信息系统安全等级保护的定级工作。
2.适用范围本《指南》是档案信息系统安全等级保护定级工作的操作规范,适用于省级(含计划单列市、副省级市,下同)及以上档案行政管理部门及国家综合档案馆非涉密信息系统安全等级保护定级工作。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
新建信息系统等级保护实施流程
定级
建设
不通过
测评
结果分 析
系统备 案
定期检 查
已建信息系统等级保护实施流程
定级
系统备 案
不通过
整改
测评
结果分 析
结果确 认
定期检 查
等级保护定级思路
不同信息系统 重要程度不同 应对不同威胁的能力 具有不同的安全保护能力 不同的等级保护等级
等级保护定级怎么做
等级保护重要标准
行业等级保护定级
三级信息系统:适用于地市级以上国家机关、企业 、事业单位内部重要的信息系统;重要领域、重 要部门跨省、跨市或全国(省)联网运行的信息 系统;跨省或全国联网运行重要信息系统在省、 地市的分支系统;各部委官方网站;跨省(市) 联接的信息网络等。
四级信息系统:适用于重要领域、重要部门信息系 统中的部分重要系统。例如全国铁路、民航、电 力等调度系统,银行、证券、保险、税务、海关 等部门中的核心系统。
• 广东电网某供电局无人值守终端向互联网 扫描 导致GDCERT告警
• 广州市政府机关网络信息中心UPS电池火 灾 瘫痪72小时
• 广州市某区教育局门户网站域名过期抢注 变色情网站
• 广州市破获省人事厅网站被入侵案,带破 福建省建设信息网等10多起黑客入侵案件 。
为什么要首先进行定级?
等级保护实施流程
等级与侵害客体、侵害程度关系
等级 第一级
第二级
对象 一般系统
第三级 第四级
重要系统
极端重要系
第五级
统
侵害客体 公民、法人合法利益
侵害程度 一般损害
公民、法人合法权益 严重损害
社会秩序和公共利益 一般损害
社会秩序和公共利益 严重损害
国家安全
一般损害
社会秩序和公共利益 特别严重损害
国家Байду номын сангаас全
严重损害
国家安全
• 本身运行在不同的网络环境中的系统。 • 分不开的系统,按照高级别保护。
定级流程
S
A
G=MAX(S,A)
业务信息安全等级矩阵表
系统服务安全等级矩阵表
等级保护定级报告案例
四个主要因素决定等级
系统所属类型 业务信息类别 系统服务范围 业务依赖程度
业务信息安 全性
业务服务保 证性
受到破坏时侵害了什 么?(客体) • 公民、法人和其他组 织 • 社会秩序、公共利益 • 国家安全
• GB 17859-1999 计算机信息系统 安全保护等级划分准则 • GB/T 22239—2008 信息系统安全等级保护基本要求 • GB/T 22240—2008 信息系统安全等级保护定级指南 • 信息系统安全等级保护测评过程指南(国标报批稿) • 信息系统安全等级保护测评要求(国标报批稿) • GB/T 25058-2010信息系统安全等级保护实施指南 • GB/T 25070-2010信息系统等级保护安全设计技术要求
党政机关
为什么要实施等级保护毒
3Q大战
荆州市商务局
沧州电信泄密
某银行网站篡改
某知名企业敏感数据泄密
钓鱼网站
假冒的中国工商银行网站
真正的中国工商银行网站
我们身边的重大安全事件案例
• 深圳市10万孕妇信息泄露 1.2万元一张光盘 贩卖 怀疑卫生局、计生委
信息系统安全 等级保护定级指南
广东计安信息网络培训中心
什么是等级保护?
等级保护等级
根据我国信息安全标准GB/T 22240—2008 《信 息系统安全等级保护定级指南》对我国非涉密信 息系统划分为五个等级进行保护。
等级保护对象
• 电信、广电行业的公用通信网、广播电视传输网等基础信息网络, 经营性公众互联网信息服务单位、互联网接入服务单位、数据中心
某科研院所定级
3.办公管理系统: (1)ARP院级管理系统:承载重要科研数据,为全院科研活动提供管理平 台,受损后将对公共利益造成严重损害,保护等级应定为三级。 (2)ARP所级管理系统:保护等级建议定为二级。 (3)其它办公管理系统,保护等级建议定为一级。 4.宣传性网站:主要承载宣传信息,根据受损后对不同客体造成不同 性质的影响进行划分,院网站保护等级定为二级;院属单位网站可和其 它拟定为一级的信息系统合并。 5.涉密信息系统:依据《管理办法》及国家保密标准BMB22-2007《涉 及国家秘密的计算机信息系统分级保护测试指南》定级,秘密、机密、 绝密三个等级的保护水平不低于信息安全等级保护第三级、第四级、第 五级的标准。按照有关规定,涉密信息系统应与其它网络进行物理隔离 。 6.其它信息系统:应根据承载业务信息或系统服务受损后对不同客体 造成不同性质的影响进行划分,定级时要严格把握一般信息系统与重要 信息系统之间的界限。
行业等级保护定级
第四级 强制保护
• 重要领域 • 核心系统
第三级 监督保护
• 地市级以上重要系统 • 跨省或全国系统及分支系统
第二级 指导保护
• 地市级以上单位 • 一般系统
第一级 自主保护
• 乡镇或县级单位 • 私营企业
电力行业等级保护定级
系统类别 生产控制系统
系统名称
范围
能量管理系统
省级及以上 省级以下
变电站自动化系统
220千伏及以上 220千伏以下
配网自动化系统
电力负荷管理系统
单机容量300兆瓦及以
火电机组控制系统DCS
上
单机容量300兆瓦以下
水电厂监控系统
总装机1000兆瓦及以 上
总装机1000兆瓦以下
梯级调度监测系统
总装机2000兆瓦及以 上
总装机2000兆瓦以下
建议等级 4 3 3 2 3 3 3 2 3 2 3 2
等级保护定级维度
等级保护对象受到 破坏时所侵害的客 体 对客体造成侵害的 程度
侵害程度
• 以货币损失衡量
– 一般以银行、证券、保险、第三方支付等金融 行业单位为主
• 以行政处罚衡量
– 一般以政府行业单位为主
• 以安全生产指标衡量
– 一般以电力、石油、交通、制造业等工业行业 单位为主
定级要素与安全保护等级的关系
重点回顾
• 等级保护共有几个等级,名称分别是?P5 • 等级保护定级思路 P9 • 等级保护定级参照标准 P12 • 等级保护定级维度(三类客体、三级程度
)P13 • 三个安全等级SAG P18
第四级 S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4, S4A2G4,S4A1G4
第五级 有几种可能性?
行业等级保护定级
一级信息系统:适用于乡镇所属信息系统、 县级某些单位中不重要的信息系统。小型 个体、私营企业中的信息系统。中小学中 的信息系统。
二级信息系统:适用于地市级以上国家机关 、企业、事业单位内部一般的信息系统。 例如小的局域网,非涉及秘密、敏感信息 的办公系统等。
电信运营商 等单位的重要信息系统。
国计民生
• 铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、 发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、 商务、水利、国土资源、能源、交通、文化、教育、统计、工商行 政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息 系统。
• 市(地)级以上党政机关的重要网站和办公信息系统
备注
含开关站、换 流站
含辅机控制系 统
若无控制功能 则为生产管理
系统
电力行业等级保护定级
某科研院所定级
1.支撑网络: (1)科技网骨干网:主要对全国范围内的用户提供系统服务,受到破坏时 将对社会秩序、公共利益造成严重损害,保护等级建议定为三级。 (2)院属单位城域网:主要对院属单位提供系统服务,受到破坏时将对法 人合法权益造成严重损害,保护等级建议定为二级。 2.科研应用系统: (1)一般科研应用系统:承载普通科研信息和数据,主要服务于内部或外 部用户,受损后仅对公民、法人和其它组织的合法权益造成一般损害, 保护等级建议定为一级。 (2)较重要科研应用系统:承载较为重要的科研信息和数据,内部或外部 用户依赖性强(访问量大),一旦受损将对公共利益造成一般损害,或 对公民、法人和其它组织的合法权益造成严重损害,保护等级建议定为 二级。 3)尖端科研应用系统:承载尖端科研信息和数据,主要服务于内部或外 部特殊用户,受损后至国家安全(国家竞争力)构成威胁,应定为重要 信息系统。
信息系统安全保 护等级
侵害的程度如何? (对客体造成侵害 的程度) • 一般损害 • 严重损害 • 特别严重损害
等级保护组合可能性
安全等级
信息系统保护要求的组合
第一级 S1A1G1
第二级 S1A2G2,S2A2G2,S2A1G2
第三级 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3
特别严重损害
监管强度 自主性保护 指导性保护
监督性保护 强制性保护 专控性保护
定级三条件
• 具有唯一确定的安全责任单位
–一般是使用或运营单位
• 满足信息系统的基本要素
–单机和纯局域网不定级
• 承载相对独立的业务应用
–含多个业务应用的综合系统尽量划分
定级对象识别与划分
• 可能使定级要素赋值不同因素 – 可能涉及不同客体的系统。 – 可能对客体造成不同程度损害的系统。 – 处理不同类型业务的系统。