等级保护定级指南(第十二期)讲解

行业等级保护定级
第四级 强制保护
• 重要领域 • 核心系统
第三级 监督保护
• 地市级以上重要系统 • 跨省或全国系统及分支系统
第二级 指导保护
• 地市级以上单位 • 一般系统
第一级 自主保护
• 乡镇或县级单位 • 私营企业
电力行业等级保护定级
系统类别 生产控制系统
系统名称
范围
能量管理系统
省级及以上 省级以下
重点回顾
• 等级保护共有几个等级，名称分别是？P5 • 等级保护定级思路 P9 • 等级保护定级参照标准 P12 • 等级保护定级维度（三类客体、三级程度
）P13 • 三个安全等级SAG P18
新建信息系统等级保护实施流程
定级
建设
不通过
测评
结果分 析
系统备 案
定期检 查
已建信息系统等级保护实施流程
定级
系统备 案
不通过
整改
测评
结果分 析
结果确 认
定期检 查
等级保护定级思路
不同信息系统 重要程度不同 应对不同威胁的能力 具有不同的安全保护能力 不同的等级保护等级
等级保护定级怎么做
等级保护重要标准
• 本身运行在不同的网络环境中的系统。 • 分不开的系统，按照高级别保护。
定级流程
S
A
G=MAX(S,A)
业务信息安全等级矩阵表
系统服务安全等级矩阵表
等级保护定级报告案例
四个主要因素决定等级
系统所属类型 业务信息类别 系统服务范围 业务依赖程度
业务信息安 全性
业务服务保 证性
受到破坏时侵害了什 么？（客体） • 公民、法人和其他组 织 • 社会秩序、公共利益 • 国家安全
特别严重损害
监管强度 自主性保护 指导性保护
监督性保护 强制性保护 专控性保护
定级三条件
• 具有唯一确定的安全责任单位
–一般是使用或运营单位
• 满足信息系统的基本要素
–单机和纯局域网不定级
• 承载相对独立的业务应用
–含多个业务应用的综合系统尽量划分
定级对象识别与划分
• 可能使定级要素赋值不同因素 – 可能涉及不同客体的系统。 – 可能对客体造成不同程度损害的系统。 – 处理不同类型业务的系统。
变电站自动化系统
220千伏及以上 220千伏以下
配网自动化系统
电力负荷管理系统
单机容量300兆瓦及以
火电机组控制系统DCS
上
单机容量300兆瓦以下
水电厂监控系统
总装机1000兆瓦及以 上
总装机1000兆瓦以下
梯级调度监测系统
总装机2000兆瓦及以 上
总装机2000兆瓦以下
建议等级 4 3 3 2 3 3 3 2 3 2 3 2
等级与侵害客体、侵害程度关系
等级 第一级
第二级
对象 一般系统
第三级 第四级
重要系统
极端重要系
第五级
统
侵害客体 公民、法人合法利益
侵害程度 一般损害
公民、法人合法权益 严重损害
社会秩序和公共利益 一般损害
社会秩序和公共利益 严重损害
国家安全
一般损害
社会秩序和公共利益 特别严重损害
国家安全
严重损害
国家安全
备注
含开关站、换 流站
含辅机控制系 统
若无控制功能 则为生产管理
系统
电力行业等级保护定级
某科研院所定级
1.支撑网络： (1)科技网骨干网：主要对全国范围内的用户提供系统服务，受到破坏时 将对社会秩序、公共利益造成严重损害，保护等级建议定为三级。 (2)院属单位城域网：主要对院属单位提供系统服务，受到破坏时将对法 人合法权益造成严重损害，保护等级建议定为二级。 2.科研应用系统： (1)一般科研应用系统：承载普通科研信息和数据，主要服务于内部或外 部用户，受损后仅对公民、法人和其它组织的合法权益造成一般损害， 保护等级建议定为一级。 (2)较重要科研应用系统：承载较为重要的科研信息和数据，内部或外部 用户依赖性强（访问量大），一旦受损将对公共利益造成一般损害，或 对公民、法人和其它组织的合法权益造成严重损害，保护等级建议定为 二级。 3)尖端科研应用系统：承载尖端科研信息和数据，主要服务于内部或外 部特殊用户，受损后至国家安全（国家竞争力）构成威胁，应定为重要 信息系统。
等级保护定级维度
等级保护对象受到 破坏时所侵害的客 体 对客体造成侵害的 程度
侵害程度
• 以货币损失衡量
– 一般以银行、证券、保险、第三方支付等金融 行业单位为主
• 以行政处罚衡量
– 一般以政府行业单位为主
• 以安全生产指标衡量
– 一般以电力、石油、交通、制造业等工业行业 单位为主
定级要素与安全Байду номын сангаас护等级的关系
第四级 S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4， S4A2G4，S4A1G4
第五级 有几种可能性？
行业等级保护定级
一级信息系统：适用于乡镇所属信息系统、 县级某些单位中不重要的信息系统。小型 个体、私营企业中的信息系统。中小学中 的信息系统。
二级信息系统：适用于地市级以上国家机关 、企业、事业单位内部一般的信息系统。 例如小的局域网，非涉及秘密、敏感信息 的办公系统等。
某科研院所定级
3.办公管理系统： (1)ARP院级管理系统：承载重要科研数据，为全院科研活动提供管理平 台，受损后将对公共利益造成严重损害，保护等级应定为三级。 (2)ARP所级管理系统：保护等级建议定为二级。 (3)其它办公管理系统，保护等级建议定为一级。 4．宣传性网站：主要承载宣传信息，根据受损后对不同客体造成不同 性质的影响进行划分，院网站保护等级定为二级；院属单位网站可和其 它拟定为一级的信息系统合并。 5.涉密信息系统：依据《管理办法》及国家保密标准BMB22-2007《涉 及国家秘密的计算机信息系统分级保护测试指南》定级，秘密、机密、 绝密三个等级的保护水平不低于信息安全等级保护第三级、第四级、第 五级的标准。按照有关规定，涉密信息系统应与其它网络进行物理隔离 。 6．其它信息系统：应根据承载业务信息或系统服务受损后对不同客体 造成不同性质的影响进行划分，定级时要严格把握一般信息系统与重要 信息系统之间的界限。
• 广东电网某供电局无人值守终端向互联网 扫描 导致GDCERT告警
• 广州市政府机关网络信息中心UPS电池火 灾 瘫痪72小时
• 广州市某区教育局门户网站域名过期抢注 变色情网站
• 广州市破获省人事厅网站被入侵案，带破 福建省建设信息网等10多起黑客入侵案件 。
为什么要首先进行定级？
等级保护实施流程
信息系统安全保 护等级
侵害的程度如何？ （对客体造成侵害 的程度） • 一般损害 • 严重损害 • 特别严重损害
等级保护组合可能性
安全等级
信息系统保护要求的组合
第一级 S1A1G1
第二级 S1A2G2，S2A2G2，S2A1G2
第三级 S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3
信息系统安全 等级保护定级指南
广东计安信息网络培训中心
什么是等级保护？
等级保护等级
根据我国信息安全标准GB/T 22240—2008 《信 息系统安全等级保护定级指南》对我国非涉密信 息系统划分为五个等级进行保护。
等级保护对象
• 电信、广电行业的公用通信网、广播电视传输网等基础信息网络， 经营性公众互联网信息服务单位、互联网接入服务单位、数据中心
• GB 17859-1999 计算机信息系统 安全保护等级划分准则 • GB/T 22239—2008 信息系统安全等级保护基本要求 • GB/T 22240—2008 信息系统安全等级保护定级指南 • 信息系统安全等级保护测评过程指南（国标报批稿） • 信息系统安全等级保护测评要求（国标报批稿） • GB/T 25058-2010信息系统安全等级保护实施指南 • GB/T 25070-2010信息系统等级保护安全设计技术要求
电信运营商 等单位的重要信息系统。
国计民生
• 铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、 发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、 商务、水利、国土资源、能源、交通、文化、教育、统计、工商行 政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息 系统。
• 市（地）级以上党政机关的重要网站和办公信息系统
党政机关
为什么要实施等级保护？
2010年重大安全事件
百度被黑
维基解密
伊朗核电站中毒
3Q大战
荆州市商务局
沧州电信泄密
某银行网站篡改
某知名企业敏感数据泄密
钓鱼网站
假冒的中国工商银行网站 www.1cbc.com
真正的中国工商银行网站 www.icbc.com
我们身边的重大安全事件案例
• 深圳市10万孕妇信息泄露 1.2万元一张光盘 贩卖 怀疑卫生局、计生委
行业等级保护定级
三级信息系统：适用于地市级以上国家机关、企业 、事业单位内部重要的信息系统；重要领域、重 要部门跨省、跨市或全国（省）联网运行的信息 系统；跨省或全国联网运行重要信息系统在省、 地市的分支系统；各部委官方网站；跨省（市） 联接的信息网络等。
四级信息系统：适用于重要领域、重要部门信息系 统中的部分重要系统。例如全国铁路、民航、电 力等调度系统，银行、证券、保险、税务、海关 等部门中的核心系统。