等级保护实施主要技术环节说明

信息安全等级保护培训教材等级保护实施主要技术环节说明

公安部

2007年7月

目录

1 定级阶段 (3)

1.1关于行业的定级指导意见 (3)

1.2关于确定定级对象 (6)

1.2.1定级对象的三个条件 (6)

1.2.2定级对象识别 (7)

1.2.3确定定级对象信息系统边界和边界设备 (9)

1.3关于定级过程 (10)

2 系统建设和改建阶段 (12)

2.1安全需求分析方法 (12)

2.1.1选择、调整基本安全要求 (13)

2.1.2明确系统特殊安全需求 (15)

2.2新建系统的安全等级保护设计方案 (16)

2.2.1总体安全设计方法 (17)

2.2.2总体安全设计方案大纲 (21)

2.2.3设计实施方案 (21)

2.3系统改建实施方案设计 (23)

2.3.1确定系统改建的安全需求 (23)

2.3.2差距原因分析 (24)

2.3.3分类处理的改建措施 (24)

2.3.4改建措施详细设计 (25)

根据《信息安全等级保护管理办法》（以下简称《管理办法》），信息安全等级保护的实施工作包括信息系统定级与评审、信息系统安全建设或者改建、对信息系统定期的等级测评与安全自查、办理备案手续并提供相关材料、接受公安机关、国家指定的专门部门监督检查、选择使用符合条件的信息安全产品、选择符合条件的等级保护测评机构等，其中涉及信息系统运营使用单位/主管部门需要作较多技术工作的环节是系统定级和系统建设或改建。本教材主要对这两个阶段工作中可能涉及的特殊概念，可能采用的技术方法和步骤等方面给出说明。

1定级阶段

1.1关于行业的定级指导意见

根据《管理办法》第十条：信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。

根据《关于开展全国重要信息系统安全等级保护定级工作的通知》（以下简称《定级通知》）要求：各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的指导意见。

与此相对应，在《定级指南》中提出“各行业可根据本行业业务特点，分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系，从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。”

每个行业在国家政治、经济、军事、外交等活动中的职能不同，信息系统在行业内所发挥的作用对行业职能影响不同，信息和信息系统被破坏后对等级保护客体的影响也有所不同。对本行业职能的认识，行业主管部门一般比信息系统的运营、使用单位具有更高的站位、更宏观的视野，从而可以做出更准确的判断，因此需要行业主管部门对本行业哪些业务系统的等级保护客体是国家安全、哪些是社会秩序、公共利益、哪些是公民、法人和其他组织的合法权益给出基本判断，从而指导本行信息系统的不同的运营使用单位作出一致的判断。

以下概念说明供行业主管部门参考：

1．关于国家安全

随着信息化的不断推进，我国国家安全和经济生活已经极大地依赖于信息技术和信息基础设施，尤其是国防、电力、银行、政府机构、电信系统以及运输系统等重要基础设施一旦受到破坏，会对国家安全构成严重威胁。因此在考虑信息系统的信息和服务安全被破坏后，

可能对国家安全的影响时，也应从多方面加以考虑。

举例来说，涉及影响国家安全事项的信息系统可能包括：重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等属于影响国家政权稳固和国防实力的信息系统；广播、电视、网络等重要新闻媒体的发布或播出系统，其受到非法控制可能引发影响国家统一、民族团结和社会安定的重大事件；处理国家对外活动信息的信息系统；处理国家重要安全保卫工作信息的信息系统和重大刑事案件的侦查系统；尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信息系统，以及电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统等。

2．关于社会秩序

完善社会管理体系，维护良好的社会秩序是建设社会主义和谐社会的重要任务之一，借助信息化手段提高国家机关的社会管理和公共服务水平，提高经济活动效率，更方便地从事科研、生产、生活活动正是维护良好社会秩序的表现。

可能影响到社会秩序的信息系统非常多，包括各级政府机构的社会管理和公共服务系统，如财政、金融、工商、税务、公检法、海关、社保等领域的信息系统，也包括教育、科研机构的工作系统，以及所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统。

3．关于公共利益

公共利益所包括的范围是非常宽泛的，既可能是经济利益，也可能是包括教育、卫生、环境等各个方面的利益。

借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方面，例如：公共通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施、公共服务设施等。

公共利益与社会秩序密切相关，社会秩序的破坏一般会造成对公共利益的损害。

4．关于公民、法人和其他组织的合法权益

《定级指南》中的公民、法人和其他组织的合法权益则是指拥有信息系统的个体或确定组织所享有的社会权力和利益。它不同于公共利益，选择客体为公共利益是指受侵害的对象是“不特定的社会成员”，而选择公民、法人和其他组织的合法权益时，受侵害的对象是明确的，就是拥有信息系统的个体或某个单位。

为确定信息系统安全保护等级，除了要确定等级保护客体外，还必须确定信息系统受到破坏后对客体的侵害程度，因此在《定级指南》中还提出“由于各行业信息系统所处理的