《税务系统信息安全等级保护基本要求》培训教材
2023-税务系统信息安全等级保护基本要求(试行)-1
税务系统信息安全等级保护基本要求(试行)随着信息化时代的到来,税务系统的信息化建设已经日益成熟,但同时也带来了信息安全的挑战。
税务系统信息的安全性是税收工作的重要保障,为了更好地保护税务信息的安全,国家税务总局发布了《税务系统信息安全等级保护基本要求(试行)》。
以下是该基本要求的主要内容及阐述:第一步:等级划分根据信息的重要性、使用范围、安全预备防范措施的完善程度等方面进行划分,分为四个等级:特级、一级、二级、三级。
第二步:安全保障措施针对不同等级的信息,设有相应的安全保障措施。
按照《基本要求》,特级信息的保障应达到国际先进水平;一级信息的保障应达到国内领先水平;在高可信网络环境下,二级、三级信息的保障应分别达到强和较强要求。
为此,税务部门应当制定相应的保障方案,加强安全技术研究、发展和应用。
第三步:管理制度税务部门需建立完善的安全管理制度,包括信息使用权限管理、安全意识培养、审计监督等。
此外,基本要求还规定了信息安全管理人员的权限和职责,明确了情况下的处理方法等。
第四步:监测检查监测检查是信息安全的重要保障措施。
《基本要求》规定,税务部门在不同等级的信息安全保障中需要进行实时的监测检查,定期对系统进行安全评估与漏洞扫描,及时发现并解决安全问题。
总的来说,《税务系统信息安全等级保护基本要求(试行)》是税务信息安全领域的重要文件,它从等级划分、保障措施、管理制度和监测检查等方面,提出了系统保障的具体要求。
税务部门要严格执行并落实该基本要求,加强信息安全意识培养、研究和应用,确保税务信息的安全。
同时,也需要广大员工的重视和支持,配合管理人员做好信息安全的维护工作。
只有这样,才能更好地保护税务信息的安全,促进行政服务的有效渗透和社会发展的持续进步。
等级保护和分级保护基础培训教材PPT课件(26张)
PART 01:
“等级保护测评”基础
指导保护级
第四级 强制保护级
第三级 监督保护级
第一级 自主保护级
等级保护的主要对象
等级保护主要对象
等级保护定级的主要标准
信息系统定级主要考虑两个方面,一是业务信息收到破坏客体是 谁,二是对客体侵害程度如何。两个方面结合起来,根据下表制 定信息系统应该定位第几级
2017年 《互联网安全保护技术措施规定》(公安部令第82号) (2017-08-30)
《中华人民共和国网络安全法 》(2017-08-30)
等级保护十大核心标准
基础类 《计算机信息系统安全保护等级测分准则》GB 17859-1999
《信息系统安全等级保护实施指南》GB/T
应用类
定级: 《信息系统安全保护等级定级指南》GB/T 22240-2008 建设: 《信息系统安全等级保护基本要求》GB/T 22239-2008
分级保护测评时效性
等级保护和分级保护基础培训教材(PP T26页)
等级保护和分级保护基础培训教材(PP T26页)
分级保护评测审核内容
等级保护和分级保护基础培训教材(PP T26页)
等级保护和分级保护基础培训教材(PP T26页)
FAQ
问:等级保护与分级保护各分为几个等级,对应关系是什么? 答:等级保护分5个级别:一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五 级(专控保护)。 分级保护分3个级别:秘密级、机密级(机密增强级)、绝密级。 分级保护与等级保护对应关系:秘密级对应三级、机密级对应四级、绝密级对应五级。 问:等级保护的重要信息系统有哪些? 答:电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网 接入服务单位、数据中心等单位的重要信息系统。铁路、银行、海关、税务、民航、电力、证券、保险、外交、 科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、 文、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。市(地)级以 上党政机关的重要网站和办公信息系统。 问:等级保护的主管部门是谁? 答:公安机关是等级保护工作的主管部门,负责信息安全等级保护工作的监督、检查、指导, 问:等级保护是否是强制性的,可以不做吗? 答:国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级根据信息系统在国家安全、 经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其 他组织的合法权益的危害程度等因素确定。备案后3级系统每年进行一次监督检查,4级每半年进行一次监督检查。 问:是否只是在政府行业实行?企业是否也在等级保护和分级保护范畴之内? 答:等级保护涉及所有行业,只要有信息系统的单位都在等级保护覆盖范围(涉密系统除外)
《税务系统信息安全基本要求(试行)》
5.1.4 税务应用软件系统安全技术基本要求 ...................................................................... 9
5.1.5 数据保护安全技术基本要求 ...................................................................................... 9
5.3.6 密码技术基本要求 .................................................................................................... 27
5.3.7 安全集中管控技术基本要求 .................................................................................... 27
6.1.1 安全管理机构设置 .................................................................................................... 38
6.1.2 安全管理机构人员配备及职责 ................................................................................ 39
5.2.2 网络安全技术基本要求 ............................................................................................. 11
信息安全等级保护技术基础培训教程
第四章信息系统保护的一般方法和过程4.2安全规划与设计安全规划设计的目的是通过安全需求分析判断信息系统的安全保护现状与等级保护基本要求之间的差距,确定安全需求,然后根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况和安全需求等,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划等,以指导后续的信息系统安全建设工程实施。
国家提出的等级保护基本要求,是国家为了等级保护的实施出台的一个关于技术与管理的标准,给出不同等级的信息系统应该达到一个基线要求,但是它并不能完全体现一个机构信息系统的安全需求,与总体设计相关的技术标准还有《计算机信息系统安全等级划分准则》(GB17859-1999)《信息安全技术信息系统安全管理要求》(GBT 20269-2006);《信息安全技术网络基础安全技术要求》(GB120270-2006);《信息安全技术信息系统通用安全技术要求》(GBT 20271-2006);《信息安全技术操作系统安全技术要求》(GBT 20272-2006);《信息安全技术数据虚管理系统安全技术要求》( GBT 20273-2006)。
这些标准是目标标准,但这些标准的制定并没有考虑信息资产环境的因素,使用这些标准进行信息系统安全设计时,应该考虑信息的资产环境因素。
按照我国信息安全专家吉增瑞先生的观点,对信息系统的定级是对信息资产与资产环境(主要是威胁)的评估,而所确定的等级是信息系统的需求等级。
本书认同他对信息系统的定级,所确定酌的等级是信息系统的需求等级,但是,定级主要是对信息资产的定级,是信息资产的价值需要做这相应等级保护需求的决定,而不必考虑资产的环境。
对于资产环境的考虑,则应该在考虑信息系统的安全保护措施时来考虑。
4.2.1 安全规划设计安全规划设计是要在安全需求分析的基础上进行安全总体的设计。
在安全总体设计的基础上进行安全建设规划。
1.安全需求分析安全需求分析首先应判断信息系统的安全保护现状与国家等级保护基本要求之间的差距,这种差距作为初步的安全需求;除上述安全需求外,还要通过风险分析的方法确定系统额外的安全需求,这种需求反映在对特殊环境和威胁的安全保护要求,或对系统重要对象的较高保护要求方面。
信息安全等级保护培训教材(第1册)
信息安全等级保护培训教材(第一册)目录一、信息安全等级保护政策体系(一)总体方面的政策文件(二)具体环节的政策文件1、定级环节2、备案环节3、安全建设整改环节4、等级测评环节5、安全检查环节二、信息安全等级保护标准体系(一)各类标准与等级保护工作的关系1、基础标准2、安全要求类标准3、定级类标准4、方法指导类标准5、现状分析类标准(二)在应用有关标准中需注意的几个问题三、信息安全等级保护安全管理制度建设和技术措施建设(一)信息安全等级保护安全管理制度建设1、开展安全管理制度建设的依据2、开展安全管理制度建设的内容3、开展安全管理制度建设的要求(二)开展信息安全等级保护安全技术措施建设1、开展安全技术措施建设的依据2、开展安全技术措施建设的内容3、开展安全技术措施建设的要求四、安全建设整改工作的原则和主要思路(一)工作目标(二)工作范围(三)工作方法五、安全建设整改工作基本流程六、信息安全产品的选择使用七、信息系统安全等级测评工作(一)测评机构的选择(二)等级测评工作的开展八、安全自查和监督检查(一)备案单位的定期自查(二)行业主管部门的督导检查(三)公安机关的监督检查九、工作要求(一)同步部署,同步实施(二)加强宣传,树立典型(三)认真总结,及时报送广西壮族自治区信息安全等级保护培训教材公安部、国家保密局、国家密码管理局和原国务院信息办2007年7月在全国范围内组织开展的信息系统定级备案工作已基本完成。
通过定级,基本摸清了国家基础网络和信息系统底数,掌握了关系国家安全、国计民生的重要信息系统基本情况,为深入开展信息安全等级保护工作打下了坚实基础。
近年来,公安部会同有关部门开展了信息系统等级保护安全建设整改工作的试点、示范,以及为期3个月的信息安全等级保护测评体系建设试点工作,组织制定了《信息系统等级保护安全设计技术要求》、《信息安全等级保护测评机构及测评人员管理细则》和《信息系统等级保护测评报告模版》相关标准规范,在此基础上出台了《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号,以下简称《指导意见》),为指导各单位、各部门开展信息安全等级保护安全建设整改工作(以下简称“安全建设整改工作”)奠定了基础。
信息系统安全等级保护基本要求和建设整改课件
应能够防护系统免受来自个人的、拥有很少资源(如利用公开可获取的工具等)的 威胁源发起的恶意攻击、一般的自然灾难(灾难发生的强度弱、持续时间很短等)以及 其他相当危害程度的威胁(无意失误、技术故障等)所造成的关键资源损害,在系统遭 到损害后,能够恢复部分功能。
➢第二级
应能够防护系统免受来自外部小型组织的(如自发的三两人组成的黑客组织)、拥 有少量资源(如个别人员能力、公开可获或特定开发的工具等)的威胁源发起的恶意攻 击、一般的自然灾难(灾难发生的强度一般、持续时间短、覆盖范围小等)以及其他相 当危害程度的威胁(无意失误、技术故障等)所造成的重要资源损害,能够发现重要的 安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。
信息系统安全等级保护基本要求和建 设整改
引言
依据如下相关文件,制定信息系统安全等级保护相关标准: -《中华人民共和国计算机信息系统安全保护条例》 国务院147号令 -《国家信息化领导小组关于加强信息安全保障工作的意见》 中办发[2003]27号 -《关于信息安全等级保护工作的实施意见》 公通字[2004]66号 -《信息安全等级保护管理办法》 公通字[2007]43号 本标准是信息安全等级保护相关系列标准之一;相关的系列标准包括: - 信息安全技术 信息系统安全等级保护定级指南; (GB/T22240-2008) - 信息安全技术 信息系统安全等级保护基本要求; (GB/T22239-2008) - 信息安全技术 信息系统安全等级保护测评准则; (送审稿) - 信息安全技术 信息系统安全等级保护实施指南; (GB/T 25058-2010 ) - 信息安全技术 信息系统等级保护级保护安全设计技术要求;(GB/T 25070-2010 )
在对信息系统实施信息安全等级保护的过程中,在不同的阶段,还应参照其他 有关信息安全等级保护的标准、要求开展工作。
税务系统网络信息安全培训PPT课件
明确了网络运营者的安全保护义务,加强对关键 信息基础设施的保护。
02 《税务系统网络安全管理办法》
规范了税务系统网络安全管理,明确了各级税务 机关的职责和要求。
03 其他相关政策法规
如《计算机信息网络国际联网安全保护管理办法 》、《信息安全技术个人信息安全规范》等,也 对税务系统网络信息安全提出了相关要求。
税务系统网络信息安全基础
02
知识
计算机网络安全基本概念
计算机网络安全定义
指通过采取各种技术和管理措施,确 保计算机网络系统的保密性、完整性 、可用性、可控性和可审查性。
网络安全威胁
网络安全防护措施
包括物理安全、网络安全、系统安全 、应用安全和数据安全等多个层面。
包括信息泄露、信息篡改、服务拒绝 、非法使用等。
01 保护纳税人信息安全
税务系统存储了大量纳税人的个人信息和财务数 据,网络信息安全对于保护纳税人隐私和权益至 关重要。
02 维护税收征管秩序
税务系统是国家税收征管的重要工具,网络信息 安全直接关系到税收征管的公正、公平和效率。
03 保障国家财政安全
税收是国家财政收入的主要来源,税务系统网络 信息安全对于保障国家财政安全具有重要意义。
鼓励人员参加安全认证考试
鼓励和支持税务系统人员参加网络安全和数据安全相关的认证考试 ,提升人员的专业能力和水平。
定期开展风险评估和应急演练活动
定期开展风险评估
定期对税务系统的网络和数据进行全面的风险评估,识别潜在的安全威胁和漏洞,制定相 应的防范措施。
组织应急演练活动
根据风险评估结果,组织针对性的应急演练活动,检验安全应急预案的有效性和可操作性 ,提高应对突发事件的能力。
《税务信息系统安全等级保护定级工作指南》
《税务信息系统安全等级保护定级工作指南》下载温馨提示:该文档是我店铺精心编制而成,希望大家下载以后,能够帮助大家解决实际的问题。
文档下载后可定制随意修改,请根据实际需要进行相应的调整和使用,谢谢!并且,本店铺为大家提供各种各样类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,如想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by theeditor.I hope that after you download them,they can help yousolve practical problems. The document can be customized andmodified after downloading,please adjust and use it according toactual needs, thank you!In addition, our shop provides you with various types ofpractical materials,such as educational essays, diaryappreciation,sentence excerpts,ancient poems,classic articles,topic composition,work summary,word parsing,copy excerpts,other materials and so on,want to know different data formats andwriting methods,please pay attention!税务信息系统安全等级保护定级工作指南一、引言税务信息系统作为国家重要基础设施的一部分,其安全性直接影响到国家的经济运行和社会稳定。
信息系统安全等级保护基本要求培训
基本要求-组织方式
安全管理制度(四级)
管理制度
制订和发布
评审和修订
基本要求-组织方式
人员安全管理(四级)
人
人
人
员
员
员
录
离
考
用
岗
核
安
第
全
三
意
方
识
人
教
员
育
访
和
问
培
管
训
理
基本要求-组织方式
系统建设管理(四级)
安安
自外
系全全产行 包工 测 系
统风方品软 软程 试 统
定险案采件 件实 验 交
级评设购开 开施 收 付
)
通用安全保护类要求(G)
A S
安全要求
基本要求的选择和使用
一个3级系统,定级结果为S3A2,保护类型应该 是S3A2G3
第1步: – 选择标准中3级基本要求的技术要求和管理 要求;
第2步: – 要求中标注为S类和G类的不变; – 标注为A类的要求可以选用2级基本要求中 的A类作为基本要求;
估计
发发
安 全 服 务 商 选 择
系 统 备 案
基本要求-组织方式
系统运维管理(四级)
环 境 管 理
资 产 管 理
设 备 管 理
介 质 管 理
运 行 维 护 和 监 控 管 理
网 络 安 全 管 理
系 统 安 全 管 理
恶 意 代 码 防 范 管 理
变 更 管 理
密 码 管 理
系 统 备 案
备 份 和 恢 复 管 理
《信息安全等级保护实施指南》
《信息安全等级保护定级指南》
《信息安全等级保护基本要求》
信息系统安全等级保护基本要求培训课件(2024)
制定并执行相关管理制度和操作规程
对管理制度和操作规程进行定期评审和修订,确保其 适应业务发展和安全需求的变化。
制定信息安全总体方针、安全策略、管理制度和操作 规程等文件。
2024/1/28
加强制度和规程的宣传和培训,确保相关人员熟知并 遵守各项规定。
29
加强人员培训,提高安全意识
对全体员工进行信息安全意识教育,提 高其信息安全意识和防范能力。
13
网络安全审计
应能对网络系统中的网络设备运行状 况、网络流量、用户行为等进行日志 记录。
对于每一个网络设备,应能够审计网 络设备的日志记录,包括网络设备运 行状况、网络流量等。
2024/1/28
审计记录应包括:事件的日期和时间 、用户、事件类型、事件是否成功及 其他与审计相关的信息。
对于每一个业务应用,应能够审计业 务应用的用户行为日志记录,包括用 户登录、操作记录等。
2024/1/28
物理访问控制
物理场所应有严格的访问 控制措施,如门禁系统、 监控摄像头等。
物理安全监测
应建立物理安全监测机制 ,对物理环境进行实时监 测和记录,以便及时发现 和处置安全问题。
8
物理访问控制
人员进出管理
建立严格的人员进出管理 制度,对进出人员进行身 份核实和登记。
2024/1/28
定期进行漏洞扫描,对发现的 网络安全漏洞及时进行修补。
12
网络访问控制
访问控制策略应明确允许或拒绝网络访问的规则和条件,包括用户、地址、端口、 协议等要素。
应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口 级。
2024/1/28
应按用户和系统之间的访问控制规则,决定允许或拒绝用户对受控系统资源的访问 ,控制粒度为单个用户。
税务系统网络信息安全培训PPT课件
道路运输安全管理制度(二)2024
道路运输安全管理制度(二)引言概述:
道路运输安全管理制度是为了提高道路运输安全性、保障人民生命财产安全而建立的一套制度。
本文将从五个方面阐述道路运输安全管理制度的具体内容,包括风险评估与预防、驾驶员培训与考核、车辆安全检查与维护、运输安全监管和事故应急处理等。
正文:
一、风险评估与预防
1.确定道路运输特殊风险
2.建立风险评估模型
3.制定风险预防措施
4.加强风险管理意识
5.实施风险防范措施
二、驾驶员培训与考核
1.制定统一的培训大纲
2.推行驾驶员定期培训制度
3.加强驾驶员技能考核
4.规范驾驶员培训机构
5.加强驾驶员安全意识的培养
三、车辆安全检查与维护
1.建立车辆安全检查制度。
《信息系统安全等级保护基本要求》培训教材070726
《信息系统安全等级保护基本要求》培训教材0707262022年7月《信息系统安全等级保护基本要求》目录1 概述 (3)1.1 1.2 1.3 1.4背景介绍...........................................................3 主要作用及特点.....................................................3 与其他标准的关系...................................................4 框架结构.. (4)2 描述模型 (5)2.1 2.2 2.3 2.4总体描述...........................................................5 保护对象...........................................................6 安全保护能力.......................................................6 安全要求.. (8)3 逐级增强的特点 (9)3.1 3.2 3.3 3.4 3.5增强原则...........................................................9 总体描述..........................................................10 控制点增加........................................................11 要求项增加........................................................11 控制强度增强 (12)4 各级安全要求 (13)4.1技术要求..........................................................13 4.1.1 4.1.2 4.1.3 4.1.4 4.1.5 4.2物理安全....................................................13 网络安全....................................................19 主机安全....................................................24 应用安全....................................................30 数据安全及备份恢复 (36)管理要求..........................................................38 4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 安全管理制度................................................38 安全管理机构................................................41 人员安全管理 (44)系统建设管理................................................47 系统运维管理 (52)本教材根据《信息系统安全等级保护管理办法》公通字[2022年]43号和《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2022年]861号文件,围绕信息安全等级工作,介绍信息系统安全建设和改造过程中使用的主要标准之一《信息系统安全等级保护基本要求》(以下简称《基本要求》),描述《基本要求》的技术要求分级思路、逐级增强特点以及具体各级安全要求。
税务系统网络与信息安全系统培训模版
05
04
案例分析
通过分析真实的网络攻击案例,使学 员更加深入地了解网络攻击的危害和 防御方法。
03
培训师资力量与设施
培训师资力量
01
02
03
拥有专业资质
培训机构应拥有具备相关 资质的教师,包括网络与 信息安全方面的专业证书 和经验。
行业经验丰富
教师应在网络与信息安全 领域拥有丰富的行业经验 ,能够深入浅出地讲解理 论知识。
建立网络与信息安全实验室和模拟 环境,使学员能够在真实环境中进 行实践操作,提高实际操作能力。
04
培训效果评估与改进
培训效果评估
01 02
评估方法
采用问卷调查、考试、面谈等方式,对参加培训的学员进行培训效果评 估,了解学员对培训内容的掌握情况、培训方式是否合适、培训时间是 否合理等方面的情况。
评估指标
根据评估方法的不同,可以设定相应的评估指标,如问卷调查的满意度 、考试成绩合格率、面谈时的表达能力和实际操作能力等。
03
数据分析
对收集到的数据进行整理和分析,找出培训中存在的问题和不足,为改
进培训提供依据。
培训效果改进
针对问题
根据评估结果,针对存在的问题和不足,制定相应的改进措施,如调整培训内容、改进教 学方式、合理安排培训时间等。
提升税务系统网络与信息安 全管理和技术水平
加强税务系统网络与信息安 全法规和标准建设
完善税务系统网络与信息安 全保障体系
推动税务系统网络与信息安 全技术创新和应用发展
加强国际税务系统网络
3. 建立健全网络与信息安全管理制度 ,完善安全防范体系,确保税务系统 的正常运转和纳税人信息安全。
2. 提升税务系统工作人员在网络与信 息安全方面的技能水平,掌握最新的 安全技术和工具,提高应对突发事件 的能力。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全等级保护培训教材《税务系统信息安全等级保护基本要求》税务总局等级保护项目组2011年9月目录1概述 (3)1.1 背景介绍 (3)1.2 主要作用及特点 (3)1.3 与其他标准的关系 (4)1.4 框架结构 (5)2描述模型 (6)2.1 总体描述 (6)2.2 保护对象 (7)2.3 安全保护能力 (7)2.4 安全要求 (9)3逐级增强的特点 (10)3.1 增强原则 (10)3.2 总体描述 (11)3.3 控制点增加 (12)3.4 要求项增加 (13)3.5 控制强度增强 (13)4各级安全要求 (14)4.1 技术要求 (14)4.1.1 物理安全 (14)4.1.2 网络安全 (21)4.1.3 主机安全 (26)4.1.4 应用安全 (31)4.1.5 数据安全及备份恢复 (37)4.2 管理要求 (40)4.2.1 安全管理制度 (40)4.2.2 安全管理机构 (42)4.2.3 人员安全管理 (45)4.2.4 系统建设管理 (49)4.2.5 系统运维管理 (54)《税务系统信息安全等级保护基本要求》根据公信安[2009]1429号(关于印送《关于开展信息安全等级保护安全建设整改工作的指导意见》的函)对于信息安全等级保护安全建设整改工作内容的要求,以信息安全等级保护关于信息系统五个安全保护等级划分为基础,以《税务信息系统安全保障体系框架》关于税务信息系统的安全保障要求为基本内容,按照《税务系统信息安全保护层次、区域和等级划分准则》和《税务系统信息安全保护层次、区域和等级划分指南》关于信息系统安全等级的划分,参照信息安全等级保护相关国家标准,结合税务信息系统信息安全等级保护的实际进行编制。
以下将《税务系统信息安全等级保护基本要求》简称为《税务基本要求》;将《信息系统安全等级保护基本要求GBT 22239-2008》简称为《基本要求》。
注:为了突出显示《税务基本要求》与《基本要求》相对应部分之间的不同点,《税务基本要求》中多出部分用斜体表示;1概述1.1背景介绍公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)文件要求,在信息安全等级保护定级工作基础上,在2012年底前完成已定级信息系统安全建设整改工作。
税务系统信息安全等级保护工作是个庞大的系统工程,关系到税务信息化建设的方方面面,这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施。
税务总局通过7个典型单位试点工作,不断的分析、总结、完善了具有税务系统特色的管理规范和技术标准体系,主要的包括《税务基本要求》、《税务系统信息安全等级保护测评准则》、《税务系统信息安全等级保护设计技术要求》、《税务系统信息安全等级保护实施指南》。
《税务基本要求》作为税务系统信息等级保护最重要的标准之一,是等级保护测评的根本依据。
1.2主要作用及特点1.主要作用《税务基本要求》对等级保护工作中的安全控制选择、调整、实施等提出规范性要求,根据使用对象不同,其主要作用分为三种:a)为信息系统建设单位和运营、使用单位提供技术指导在信息系统的安全保护等级确定后,《税务基本要求》为信息系统的建设单位和运营、使用单位如何对特定等级的信息系统进行保护提供技术指导。
b)为测评机构提供评估依据《税务基本要求》为信息系统主管部门,信息系统运营、使用单位或专门的等级测评机构对信息系统安全保护等级的检测评估提供依据。
c)为职能监管部门提供监督检查依据《税务基本要求》为监管部门的监督检查提供依据,用于判断一个特定等级的信息系统是否按照国家要求进行了基本的保护。
2.主要特点《税务基本要求》是针对每个等级的信息系统提出相应安全保护要求,“基本”意味着这些要求是针对该等级的信息系统达到基本保护能力而提出的,也就是说,这些要求的实现能够保证系统达到相应等级的基本保护能力,但反过来说,系统达到相应等级的保护能力并不仅仅完全依靠这些安全保护要求。
同时,《税务基本要求》强调的是“要求”,而不是具体实施方案或作业指导书,《税务基本要求》给出了系统每一保护方面需达到的要求,至于这种要求采取何种方式实现,不在《税务基本要求》的描述范围内。
按照《税务基本要求》进行保护后,信息系统达到一种安全状态,具备了相应等级的保护能力。
1.3与其他标准的关系从标准间的承接关系上讲:●《税务系统信息安全等级保护定级指南》确定出信息系统等级后,需要按照相应等级,根据《税务基本要求》选择相应等级的安全保护要求进行系统建设实施。
●《税务系统信息安全等级保护设计技术要求》是以《税务信息系统安全保障体系框架》和《税务系统信息安全等级保护基本要求》关于税务信息系统的安全保障要求为基本内容,参照公信安[2009]1429号文对于信息安全等级保护安全建设整改工作内容的要求,以及信息安全等级保护相关国家标准,结合税务信息系统信息安全等级保护的实际进行编制。
明确了税务信息系统安全保护总体设计、详细设计的要求,对税务总局、省级局、地级局、县级局税务信息系统安全设计技术要求分别进行了描述。
●《税务系统信息安全等级保护实施指南》是为落实和达到《税务基本要求》中相应等级的保护能力,对税务信息系统的信息安全等级保护实施,从新建信息系统和已运行信息系统两方面对信息安全等级保护实施过程进行规范。
●《税务系统信息安全等级保护测评准则》是针对《税务基本要求》的具体控制要求开发的测评要求,旨在强调系统按照《税务基本要求》进行建设完毕后,如何检验系统的各项保护要求是否符合相应等级的基本要求。
由上可见,《税务基本要求》在整个标准体系中起着承上启下的作用。
从技术角度上讲:《税务基本要求》的技术部分吸收和借鉴了《基本要求》标准,采纳其中的身份鉴别、数据安全、自主访问控制、安全标记、安全审计、剩余信息保护、可信路径、入侵防范、恶意代码防范等9个安全机制的部分或全部内容,并将这些机制扩展到网络层、主机系统层、应用层和数据层。
《税务基本要求》的技术部分充分借鉴了《基本要求》标准中安全技术部分,并结合税务实际,增加了密码技术基本要求、安全集中管控技术基本要求。
此外,《税务基本要求》的管理部分充分借鉴了《基本要求》等国内和国际上流行的信息安全管理方面的标准,尽量做到全方位的安全管理。
1.4 框架结构《税务基本要求》在整体框架结构上以三种分类为支撑点,自上而下分别为:类、控制点和项。
其中,类表示《税务基本要求》在整体上大的分类,其中技术部分分为:物理安全、主机安全、网络安全、税务应用软件系统安全、数据保护安全、密码技术和安全集中管控技术等7大类,管理部分分为:安全管理机构、安全管理制度、人员安全管理、税务信息系统安全等级保护管理、税务信息系统安全建设管理、税务信息系统安全运维管理、安全变更管理、密码管理基本要求、税务信息系统安全集中管控基本要求等9大类,一共分为16大类。
控制点表示每个大类下的关键控制点,如物理安全大类中的“物理访问控制”作为一个控制点。
而项则是控制点下的具体要求项,如“机房出入应安排专人负责,控制、鉴别和记录进入的人员。
”具体框架结构如图所示:图1-1 《税务基本要求》的框架结构 第三级基本 要求 物理安全 网络安全 主机安全 应用安全 第一级基本要求 第二级基本要求 第四级基本要求 第五级基本要求数据保护安全 技术要求 管理要求安全管理制度 安全管理机构 人员安全管理 安全建设管理 安全运维管理 密码技术 安全集中管控 安全集中管控 等级保护管理 安全变更管理 密码管理2描述模型2.1总体描述信息系统是颇受诱惑力的被攻击目标。
它们抵抗着来自各方面威胁实体的攻击。
对信息系统实行安全保护的目的就是要对抗系统面临的各种威胁,从而尽量降低由于威胁给系统带来的损失。
能够应对威胁的能力构成了系统的安全保护能力之一——对抗能力。
但在某些情况下,信息系统无法阻挡威胁对自身的破坏时,如果系统具有很好的恢复能力,那么即使遭到破坏,也能在很短的时间内恢复系统原有的状态。
能够在一定时间内恢复系统原有状态的能力构成了系统的另一种安全保护能力——恢复能力。
对抗能力和恢复能力共同形成了信息系统的安全保护能力。
不同级别的信息系统应具备相应等级的安全保护能力,即应该具备不同的对抗能力和恢复能力,以对抗不同的威胁和能够在不同的时间内恢复系统原有的状态。
针对各等级系统应当对抗的安全威胁和应具有的恢复能力,《税务基本要求》提出各等级的基本安全要求。
基本安全要求包括了基本技术要求和基本管理要求,基本技术要求主要用于对抗威胁和实现技术能力,基本管理要求主要为安全技术实现提供组织、人员、程序等方面的保障。
各等级的基本安全要求,由包括物理安全、网络安全、主机系统安全、应用安全、数据安全、密码技术和安全集中管控等七个层面的基本安全技术措施和包括安全管理机构、安全管理制度、人员安全管理、等级保护管理、安全建设管理、安全运维管理、安全变更管理、密码管理和税务信息系统安全集中管控等九个方面的基本安全管理措施来实现和保证。
下图表明了《税务基本要求》的描述模型。
图1-2《税务基本要求》的描述模型2.2保护对象作为保护对象,《信息安全等级保护管理办法》中将信息系统分为五级,分别为:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
2.3安全保护能力1.定义a)对抗能力能够应对威胁的能力构成了系统的安全保护能力之一—对抗能力。
不同等级系统所应对抗的威胁主要从威胁源(自然、环境、系统、人)、动机(不可抗外力、无意、有意)范围(局部、全局)、能力(工具、技术、资源等)四个要素来考虑。
在对威胁进行级别划分前,我们首先解释以上几个要素:威胁源——是指任何能够导致非预期的不利事件发生的因素,通常分为自然(如自然灾害)、环境(如电力故障)、IT系统(如系统故障)和人员(如心怀不满的员工)四类。
●动机——与威胁源和目标有着密切的联系,不同的威胁源对应不同的目标有着不同的动机,通常可分为不可抗外力(如自然灾害)无意的(如员工的疏忽大意)和故意的(如情报机构的信息收集活动)。
●范围——是指威胁潜在的危害范畴,分为局部和整体两种情况;如病毒威胁,有些计算机病毒的传染性较弱,危害范围是有限的;但是蠕虫类病毒则相反,它们可以在网络中以惊人的速度迅速扩散并导致整个网络瘫痪。