等级保护定级指南.
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电力行业等级保护定级
系统类别 系统名称 能量管理系统 范围 省级及以上 省级以下 220千伏及以上 220千伏以下 建议等级 4 3 3 2 3 3 含开关站、换 流站 备注
变电站自动化系统 配网自动化系统 电力负荷管理系统
生产控制系统
单机容量300兆瓦及以 上 火电机组控制系统DCS 单机容量300兆瓦以下
• (一)电信、广电行业的公用通信网、广播电视传输网等 基础信息网络,经营性公众互联网信息服务单位、互联网 接入服务单位、数据中心等单位的重要信息系统。 • (二)铁路、银行、海关、税务、民航、电力、证券、保 险、外交、科技、发展改革、国防科技、公安、人事劳动 和社会保障、财政、审计、商务、水利、国土资源、能源 、交通、文化、教育、统计、工商行政管理、邮政等行业 、部门的生产、调度、管理、办公等重要信息系统。 • (三)市(地)级以上党政机关的重要网站和办公信息系 统
行业等级保护定级
三级信息系统:适用于地市级以上国家机关、企业 、事业单位内部重要的信息系统;重要领域、重 要部门跨省、跨市或全国(省)联网运行的信息 系统;跨省或全国联网运行重要信息系统在省、 地市的分支系统;各部委官方网站;跨省(市) 联接的信息网络等。 四级信息系统:适用于重要领域、重要部门三级信 息系统中的部分重要系统。例如全国铁路、民航 、电力等调度系统,银行、证券、保险、税务、 海关等部门中的核心系统。
为什么要实施等级保护?
2010年重大安全事件
百度被黑
维基解密
伊朗核电站中毒
3Q大战
荆州市商务局
沧州电信泄密
网站篡改
敏感数据泄密
钓鱼网站
假冒的中国工商银行网站
真正的中国工商银行网站
扬州市城乡建设局网站(www.yzjsj.gov.cn/)
我们身边的重大安全事件案例
• 深圳市10万孕妇信息泄露 1.2万元一张光盘 贩卖 怀疑卫生局、计生委 • 广东电网珠海供电局无人值守终端向互联 网扫描 导致GDCERT告警 • 广州市政府机关网络信息中心UPS电池火 灾 瘫痪72小时 • 广州市越秀区教育局门户网站域名过期抢 注变色情网站 • 广州市破获省人事厅网站被入侵案,带破 福建省建设信息网等10多起黑客入侵案件 。
信息系统安全 等级保护定级指南
付欲华
广东计安信息网络培训中心
本课程目的
服务人 员 集成项 目经理 研发人 员
掌握等级保护 流程
实施等级保护 定级、测评和 整改
了解等级保护 标准
设计实施中依 照等级保护标 准开展工作
理解等级保护 基本概念
开发满足等级 保护要求的产 品
市场人 员
了解等级保护 流程
能够推销符合 等级保护标准 的产品
第二级
指导性保护
第三级
监督性保护
国家安全
社会秩序和公共利益
损害
特别严重损害 强制性保护 专控性保护
国家安全 极端重要系 统
国家安全
严重损害
特别严重损害
定级三条件
• 具有唯一确定的安全责任单位 • 满足信息系统的基本要素 • 承载相对独立的业务应用
定级对象识别与划分
• 可能使定级要素赋值不同因素
– 可能涉及不同客体的系统。 – 可能对客体造成不同程度损害的系统。 – 处理不同类型业务的系统。 • • 本身运行在不同的网络环境中的系统。 分不开的系统,按照高级别保护。
信息系统保护要求的组合
第四级
S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4, S4A2G4,S4A1G4
行业等级保护定级
一级信息系统:适用于乡镇所属信息系统、 县级某些单位中不重要的信息系统。小型 个体、私营企业中的信息系统。中小学中 的信息系统。 二级信息系统:适用于地市级以上国家机关 、企业、事业单位内部一般的信息系统。 例如小的局域网,非涉及秘密、敏感信息 的办公系统等。
能够推销等级 保护服务
课程要点
• • • • 什么是等级保护 为什么要实施等级保护 为什么要首先进行定级 等级保护定级怎么做
什么是等级保护?
等级保护等级
根据我国信息安全标准GB/T 22240—2008 《 信息系统安全等级保护定级指南》对我国非涉密 信息系统划分为五个等级进行保护。
等级保护对象
定级流程
S
A
G=MAX(S,A)
业务信息安全等级矩阵表
系统服务安全等级矩阵表
等级保护定级报告案例
业务信息安全等级
系统服务安全等级
安全等级确定
信息系统名称 广东省 XX 管理系 统
安全保护等级 业务信息安全等级
系统服务安全等级
三
三
二
四个主要因素决定等级
系统所属类型 业务信息安 全性 业务信息类别
等级保护定级维度
• 等级保护对象受到 破坏时所侵害的客 体 • 对客体造成侵害的 程度
定级要素与安全保护等级的关系
等级与侵害客体、侵害程度关系
等级 第一级 一般系统 对象 侵害客体 公民、法人合法利益 公民、法人合法权益 社会秩序和公共利益 社会秩序和公共利益 重要系统 第四级 第五级 侵害程度 损害 严重损害 损害 严重损害 监管强度 自主性保护
受到破坏时侵害了什 么?(客体) • 公民、法人 • 社会秩序、公共利益 • 国家安全
信息系统安全保 护等级
系统服务范围 业务服务保 证性 业务依赖程度
侵害的程度如何? (对客体造成侵害 的程度) • 一般损害 • 严重损害 • 特别严重损害
等级保护组合可能性
安全等级
第一级 第二级 第三级 S1A1G1 S1A2G2,S2A2G2,S2A1G2 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3
为什么要首先进行定级?
等级保护实施流程
等级保护定级思路
wk.baidu.com不同信息系统
重要程度不同 应对不同威胁的能力
具有不同的安全保护能力 不同的等级保护等级
等级保护定级怎么做
等级保护重要标准
• GB 17859-1999 计算机信息系统 安全保护等级划分准 则 • GB/T 22239—2008 信息系统安全等级保护基本要求 • GB/T 22240—2008 信息系统安全等级保护定级指南 • 信息系统安全等级保护测评过程指南(国标报批稿) • 信息系统安全等级保护测评要求(国标报批稿) • GB/T 25058-2010信息系统安全等级保护实施指南 • GB/T 25070-2010信息系统等级保护安全设计技术要 求