第5讲(信息系统等级保护)

技能目标
1.能构建信息泄密风险防护整体解决方案 2.能根据相应的法律法规，判断信息安全的合法性
如何进行等级保护
等级保护标准整体框架
信息安全
为什么要进行等级保护
等级保护定级
等级保护
什么是等级保护
等级保护基本要求
什么是等级保护？
信息系统安全等级保护是指对信息和信息系统划
分为五个安全保护和监管等级，实行分等级保护。
案例2分析
郭某是一个程序员，在一家大公司下的计算机子公司X工作。这家公司有很多 政府合同。陆某是郭某的上级，分配郭某去编写不同种类的仿真程序。 为了提高工作效率，郭某编写了一些工具程序，如交叉引用等工具。但这些都 不是分配给他的工作，而是郭某晚上在自己家里使用自己的计算机编写完成的。 他在工作中使用，没有将这些告诉任何人。 郭某决定出售自己的这些工具程序。当公司经理得知后，命陆某转告郭某，无 权出售这些工具，因为受聘时签订的合同，注明了他的所有发明都属于公司。 陆某不同意这个观点，因为他知道郭某是自行完成这些工具的。所有他很不 情愿地告诉郭某不要在市场上出售这些工具，并叫郭某复制了一份给他。 之后，陆某辞去了该公司的工作，并在另一计算机公司Y当上了管理人员。该
北京政府第 9号令
2003年9月 中办国办颁发 《关于加强信息安 全保障工作的意见》 中办发[2003]27号
2004年11月 四部委会签 《关于信息安全等 级保护工作的实施 意见》 公通字[2004]66号
2006年1月 四部委会签 《 关于印发《信 息安全等级保护管 理办法的通知 》 公通字[2006]7号
为什么实行等级保护？
我国2003-2007被篡改网站数量
为什么实行等级保护？
黑客入侵了美国某银行在某商店的 自动提款机网络，盗取客户识别码，继 而使用空白卡从自动提款机提取现金。
为什么实行等级保护？
假冒的中国工商银行网站
真正的中国工商银行网站
如何进行等级保护？
根据信息系统应用业务重要程度及其实际安全需 求，实行分级、分类、分阶段实施保护，保障信
度
定级阶段-关于定级范围
（一）电信、广电行业的公用通信网、广播电视传 输网等基础信息网络，经营性公众互联网信息服务 单位、互联网接入服务单位、数据中心等单位的重 要信息系统。 （二）铁路、银行、海关、税务、民航、电力、证 券、保险、外交、科技、发展改革、国防科技、公 安、人事劳动和社会保障、财政、审计、商务、水 利、国土资源、能源、交通、文化、教育、统计、 工商行政管理、邮政等行业、部门的生产、调度、 管理、办公等重要信息系统。 （三）市（地）级以上党政机关的重要网站和办公 信息系统
施按照一定的应用目标和规则组合而成的有形实体。应避免
将某个单一的系统组件，如单台的服务器、终端或网络设备 等作为定级对象。
定级阶段-关于定级对象确定
一、定级对象的三个条件 承载相对独立的业务应用

定级对象承载“相对独立”的业务应用是指其中的一个 或多个业务应用的主要业务流程、部分业务功能独立， 同时与其他信息系统的业务应用有少量的数据交换，
识别用户类型和分布

形成定级结果

定级阶段_相关技术环节
定级阶段相关技术环节

行业定级指导意见
关键概念 定级方法
定级阶段
根据《管理办法》第十条：信息系统运营、使用单位应当依据本办法 和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。 有主管部门的，应当经主管部门审核批准。跨省或者全国统一联网运 行的信息系统可以由主管部门统一确定安全保护等级。 根据《关于开展全国重要信息系统安全等级保护定级工作的通知 》 （以下简称《定级通知》）要求：各行业主管部门要根据行业特点提 出指导本地区、本行业定级工作的指导意见。
定级对象可能会与其他业务应用共享一些设备，尤其 是网络传输设备。“相对独立”的业务应用并不意味着 整个业务流程，可以是完整的业务流程的一部分。
定级阶段-关于定级对象确定
二、定级对象的识别和划分
可能使定级要素赋值不同因素

可能涉及不同客体的系统。
可能对客体造成不同程度损害的系统。
处理不同类型业务的系统。
定级阶段-关于行业定级指导意见
为什么需要行业对定级提出指导意见

行业的职能不同 信息系统在行业内所发挥的作用不同 信息系统被破坏后对国家和社会的危害后果不同 行业主管部门比运营使用单位具有更高的站位、更宏观的视野
定级阶段-关于行业定级指导意见
定级阶段-关于定级对象确定
一、定级对象的三个条件
具有唯一确定的安全责任单位

作为定级对象的信息系统应能够唯一地确定其安全责任单位， 这个安全责任单位就是负责等级保护工作部署、实施的单位， 也是完成等级保护备案和接受监督检查的直接责任单位。
满足信息系统的基本要素

作为定级对象的信息系统应该是由相关的和配套的设备、设
分 级 保 护 方 案 设 计 指 南
BMB20-2007
BMB22-2007
BMB17-2006
等级保护标准制修订背景
北京 2005年9月 国信办文件 《 关于转发《电 子政务信息安全等 级保护实施指南》 的通知 》 国信办[2004]25号 2005年 公安部标准 《基本要求》 《定级指南》 《实施指南》 《测评准则》
中办发[2003]27号《国家信息化领导小组关于加强信息安全保障工作的意见》
公通字[2004]66号《关于信息安全等级保护工作的实施意见》
中保委发[2004]7号 国保发[2005]16号
公通字[2006]43号《信息安全登记保护管理办法》 定 级 指 南 等 级 划 分 准 则 实 施 指 南 测 评 准 则 基 本 要 求 通 用 安 全 技 术 要 求 网 络 基 础 安 全 技 术 要 求 操 作 系 统 安 全 技 术 要 求 数 据 库 安 全 技 术 要 求 服 务 器 安 全 技 术 要 求 终 端 安 全 技 术 要 求
定级阶段-关于系统边界
信息系统的管理终端是与相应被管理设备相对应的，服务 器、网络设备及安全设备等属于哪个系统，终端就应归在 哪个信息系统中。 如果无法做到不同等级的信息系统使用不同的终端设备， 则应将终端设备划分为其他的信息系统，并在服务器与内 部用户终端之间建立边界保护，对终端通过身份鉴别和访 问控制等措施加以控制。
第5讲
信息安全防护措施与 等级保护
课前检查
案例1分析
李国华是一个计算机记录员，在一个数据收集记录部门工作，可 以访问有关财产税记录的相关文件。为了作一项科学研究，王爱民被 授权访问记录的数字部分，但无权访问相关人的姓名部分。 王爱民找到了想要使用的一些信息，但是需要对应的姓名和地址 信息。于是他向李国华索要相关人的姓名、地址，以便与这些研究对 象进行联系，从而获得更多信息，开展进一步研究。 李国华是否应该将姓名、地址信息告诉王爱民呢？
4、对员工自己开发的产品应该如何处理。X公司如何作？陆某如何作？Y 公司如何作？
第5讲 信息安全防护措施与 等级保护
1.信息安全防护措施 2.信息安全等级保护
等级保护基本概念介绍
等级保护定级
等级保护基本要求
等级保护实施 等级保护测评
学习目标
知识目标 1.了解信息安全等级保护的含义 2.知道信息安全等级保护制度体系的组成 3.熟悉信息安全等级保护制度 4.了解有哪些信息安全保护措施
识别网络结构和边界

调查了解定级对象信息系统所在单位的整体网络状况、安全 防护和外部连接情况，目的是了解信息系统所处的单位内部 网络环境和外部环境特点，以及该信息系统的网络安全保护 与单位内部网络环境的安全保护的关系。
定级阶段-关于定级过程
识别主要的软硬件设备

调查了解与定级对象信息系统相关的服务器、网络、终端、 存储设备以及安全设备等，设备所在网段，在系统中的功能 和作用。调查设备的位置和作用主要就是发现不同信息系统 在设备使用方面的共用程度。 调查了解各系统的管理用户和一般用户，内部用户和外部用 户，本地用户和远程用户等类型，了解用户或用户群的数量 分布，判断系统服务中断或系统信息被破坏可能影响的范围 和程度。 取各类信息和服务的较高。
识别业务种类、流程和服务

定级阶段-关于定级过程
识别信息

调查了解定级对象信息系统所处理的信息，了解单位对信息 的三个安全属性的需求，了解不同业务数据在其保密性、完 整性和可用性被破坏后在单位职能、单位资金、单位信誉、 人身安全等方面可能对国家、社会、本单位造成的影响，对 影响程度的描述应尽可能量化。
息安全和系统安全正常运行，维护国家利益、公
共利益和社会稳定。
如何进行等级保护？
等级保护的核心是对信息系统特别是对业务应用
系统安全分等级、按标准进行建设、管理和监督。
国家对信息安全等级保护工作运用法律和技术规
范逐级加强监管力度。突出重点，保障重要信息 资源和重要信息系统的安全。
等级保护标准总体框架
确定 安全 需求
设计 安全 方案
安全 建设
安全 测评
监督 管理
运行 维护
暂不 考虑
启动wk.baidu.com
采购/开发
实施
运行/维护
废弃
课堂检测
等级保护保护对象有哪些？哪些对象不属
于等级保护范围？
等级保护有几个等级？各级名称？
等级保护有哪些步骤？
等级保护标准有哪些？
等级保护定级维度
等级保护对象受到破
坏时所侵害的客体
对客体造成侵害的程
浙江
浙江省人民 政府令
云南
云南省人民 政府第130 号令
国家级政策文件
国家级技术标准
国家级政策文件
地方政策文件
等级保护标准制修订背景
定级 指南 基本 要求 产品 使用 测评 准则 监督 管理 应急 响应
过程 方法
等级 特殊 需求 需求 安全 控制
选 型 流程 方法 监管 流程 应急 预案
确定 系统 等级
1、工作权限与责任问题。
记录员没有权力决定数据信息是否可以给别人使用。应该请示上级。
2、隐私数据使用问题。
科学研究只能访问统计数据，而不能随便访问涉及个人隐私的信息数据
3、使用隐私数据动机问题。
声称作研究用，但也可能有其他目的。
4、工作权限的确定问题。
只允许访问统计数据，不允许访问个体姓名、地址，说明科学研究的范 围。只能在此范围内完成。 类似的还有医学研究，要访问医疗疾病数据。也有隐私问题
公司是X公司的竞争对手。他把郭某的工具复制版发给和他一起工作的员工们。使 他们大大提高了工作效率。因而陆某受到经理嘉奖，获得一大笔奖金。
郭某听说后就和陆某联系交涉，而陆某争辩说，因为这些工具属于X公司，且 它的运转靠的是政府资金，所以这些工具是公共产品，并不属于任何人。
1、权利问题。对于这些工具软件。郭某、陆某、X公司、Y公司各自的权 利是什么？ 2、权利的根据。谁给了他们的这些权利？这个案例牵涉到哪些有关公平 竞争、商业、财产权的原则。 3、在公司开发产品的考虑。郭某能作什么事？
处理涉密信息的终端必须划分到相应的信息系统中，且不 能与非涉密系统共用终端。
定级阶段-关于定级过程
识别单位基本信息

了解单位基本信息有助于判断单位的职能特点，单位所在行业 及单位在行业所处的地位和所用，由此判断单位主要信息系统 的宏观定位。 应重点了解定级对象信息系统中不同业务系统提供的服务在影 响履行单位职能方面具体方式和程度，影响的区域范围、用户 人数、业务量的具体数据以及对本单位以外机构或个人的影响 等方面。这些具体数据即可以为主管部门制定定级指导意见提 供参照，也可以作为主管部门审批定级结果的重要依据。
为什么实行等级保护？
•每月新增计算机病毒几千种，感染计算机1000多 万台。 •10多万个网络地址对应的主机被木马控制 •300多台被利用作为僵尸网络控制端服务器 •网页篡改事件达5000多次。
据英国一家报纸报道，最近该国国家医 疗服务系统和10多家政府网站被入侵并植入 病毒，登录这些网站的用户都可能感染病毒 并导致个人信息泄露。
本身运行在不同的网络环境中的系统。
分不开的系统，按照高级别保护。
定级阶段-关于系统边界
系统边界不应出现在服务器内部，服务器共用的系统一般归入同 一个信息系统，因此不同信息系统的共用设备一般是网络 / 边界 设备或终端设备。
两个信息系统边界存在共用设备时，共用设备的安全保护等级按 两个信息系统安全保护等级较高者确定。例如，一个2级系统和 一个3级系统之间有一个防火墙或两个系统共用一个核心交换机， 此时防火墙和交换机可以作为两个系统的边界设备，但应满足3 级系统的要求。