信息安全等级保护和解决方案
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全等级保护与解决方案
山东省信息中心 山东信息协会信息安全专业委员会
二00七年十二月
ቤተ መጻሕፍቲ ባይዱ 信息安全等级保护与解决方案
• 信息安全等级保护
信息安全现状与问题 信息安全等级保护简介
• 信息安全解决方案
信息安全技术 信息安全管理 信息安全方案
信息安全现状
• 日益增长的安全威胁
– 攻击技术越来越复杂 – 入侵条件越来越简单
信息系统安全保护的目标
实行等级保护的总体目标是为了统一信 息安全保护工作,推进规范化、法制化 建设,保障安全,促进发展,完善我国 信息安全法规和标准体系,提高我国信 息安全和信息系统安全建设的整体水平。
信息安全等级保护的对象
• 信息 • 信息系统
等级保护工作的三个方面
• 对信息系统分等级实施安全保护; • 对信息系统中使用的信息安全产品实行
1999年9月13日《计算机信息系统安全等级划分准则》GB 17859-1999 2003年9月,27号文明确提出国家信息安全按照等级化保护的制度推行 2003年10月,公安部《关于信息安全等级保护政策建议》 2004年初,信息办领导开始在全国进行等级化保护巡讲(北京、上海、郑州) 2004年4月,等级化保护制度开始在部分行业和省份进行试点 2004年6月,颁布《等级化保护实施指南》等文件 2005年8月,北戴河会议,初步通过了部分标准 2006年3月,颁布部分标准 2006年4月,试点工作启动 2007年6月,公安部等四部委联合下发《信息安全等级保护管理办法》
• 2004年公安部等四部委《关于信息系统安全等级保护工作的实施意见》 (公通字[2004]66号)也指出:“信息系统安全等级保护制度是国家在 国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维 护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一 项基本制度”。
信息安全等级保护发展历程
信息系统所属类型赋值表
信息系统所属类型举例
属于一般企事业单位,处理其内部事 务的信息系统。
赋
信息系统的社会影响
值
1 信息系统资产受到破坏会对本单 位利益有直接影响。
属于重要行业、重要领域和国家基础 2 信息系统资产受到破坏会对公共
设施,为国计民生、经济建设等提供
利益有直接影响,或对国家安全
重要服务的信息系统,或本身虽属一
第二级为指导保护级,主要对象为一定程度上涉及国家安全、社会秩序、经济建设 和公共利益的一般信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设 和公共利益造成一定损害。
第三级为监督保护级,主要对象为涉及国家安全、社会秩序、经济建设和公共利益 的信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成 较大损害。
信息安全等级保护相关文件
• 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》 规定计算机信息系统实行信息系统安全等级保护。
• 2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加 强信息安全保障工作的意见》(中办发[2003]27号)中明确指出:“要 重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重 要信息系统,抓紧建立信息系统安全等级保护制度,制定信息系统安全等 级保护的管理办法和技术指南”。
第四级为强制保护级,主要对象为涉及国家安全、社会秩序、经济建设和公共利益 的重要信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益 造成严重损害。
第五级为专控保护级,主要对象为涉及国家安全、社会秩序、经济建设和公共利益 的重要信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建 设和公共利益造成特别严重损害。
信息安全等级保护指导性文件
《信息系统安全等级保护基本要求》 《信息系统安全等级保护定级指南》 《信息系统安全等级保护实施指南》 《信息系统安全等级保护测评准则》
信息系统安全保护等级划分
第一级为自主保护级,主要对象为一般的信息系统,其受到破坏后,会对公民、 法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设 和公共利益。
信息安全等级保护发展历程
• 2007年7月,四部委联合会签并下发了《关于开展全国重要信息系统安 全等级保护定级工作的通知》(公信安[2007]861号)
• 2007年8月,山东省公安厅、山东省保密局、山东省密码管理局和山东省 信息办联合下发了《山东省重要信息系统安全等级保护定级工作方案》
• 定级范围: 1 电信、广电行业的公用通信网、广播电视传输网等基础信息网络, 经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单 位的重要信息系统。 2 铁路、银行、海关、税务、民航、电力、证券、保险、科技、发展 改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水 利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政 等行业、部门的生产、调度、管理、办公等重要信息系统。 3 市(地)级以上党政机关的重要网站和办公信息系统。 4 涉及国家秘密的信息系统。
信息安全问题
• 安全事件
– 每年都有上千家政府网站被攻击
• 安全影响
– 任何网络都可能遭受入侵
信息系统安全等级保护
• 信息系统安全等级保护简介 • 信息系统安全保护等级划分 • 信息系统安全保护定级指南
等级保护出台是信息安全发展的需要
信息安全问题层出不穷 安全保护措施、安全管理建设不足,导致各种安全事故发生 国内缺乏相类似的安全标准 国家、服务商和用户在安全建设过程中缺乏参考依据 随着信息安全技术的发展 随着安全意识的提高 随着安全服务范围增大 对信息安全管理需要实行等级化保护(目标/要求/能力)
分等级管理; • 对信息系统中发生的信息安全事件分等
级响应、处置。
决定信息系统重要性的要素
• 信息系统所属类型,即信息系统资产的安全利 益主体
• 信息系统主要处理的业务信息类别
----决定信息系统内信息资产的重要性
• 信息系统服务范围,包括服务对象和服务网络 覆盖范围
• 业务对信息系统的依赖程度
----决定信息系统所提供服务的重要性
利益有间接影响。
般企事业单位,但为党政或重要信息
山东省信息中心 山东信息协会信息安全专业委员会
二00七年十二月
ቤተ መጻሕፍቲ ባይዱ 信息安全等级保护与解决方案
• 信息安全等级保护
信息安全现状与问题 信息安全等级保护简介
• 信息安全解决方案
信息安全技术 信息安全管理 信息安全方案
信息安全现状
• 日益增长的安全威胁
– 攻击技术越来越复杂 – 入侵条件越来越简单
信息系统安全保护的目标
实行等级保护的总体目标是为了统一信 息安全保护工作,推进规范化、法制化 建设,保障安全,促进发展,完善我国 信息安全法规和标准体系,提高我国信 息安全和信息系统安全建设的整体水平。
信息安全等级保护的对象
• 信息 • 信息系统
等级保护工作的三个方面
• 对信息系统分等级实施安全保护; • 对信息系统中使用的信息安全产品实行
1999年9月13日《计算机信息系统安全等级划分准则》GB 17859-1999 2003年9月,27号文明确提出国家信息安全按照等级化保护的制度推行 2003年10月,公安部《关于信息安全等级保护政策建议》 2004年初,信息办领导开始在全国进行等级化保护巡讲(北京、上海、郑州) 2004年4月,等级化保护制度开始在部分行业和省份进行试点 2004年6月,颁布《等级化保护实施指南》等文件 2005年8月,北戴河会议,初步通过了部分标准 2006年3月,颁布部分标准 2006年4月,试点工作启动 2007年6月,公安部等四部委联合下发《信息安全等级保护管理办法》
• 2004年公安部等四部委《关于信息系统安全等级保护工作的实施意见》 (公通字[2004]66号)也指出:“信息系统安全等级保护制度是国家在 国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维 护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一 项基本制度”。
信息安全等级保护发展历程
信息系统所属类型赋值表
信息系统所属类型举例
属于一般企事业单位,处理其内部事 务的信息系统。
赋
信息系统的社会影响
值
1 信息系统资产受到破坏会对本单 位利益有直接影响。
属于重要行业、重要领域和国家基础 2 信息系统资产受到破坏会对公共
设施,为国计民生、经济建设等提供
利益有直接影响,或对国家安全
重要服务的信息系统,或本身虽属一
第二级为指导保护级,主要对象为一定程度上涉及国家安全、社会秩序、经济建设 和公共利益的一般信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设 和公共利益造成一定损害。
第三级为监督保护级,主要对象为涉及国家安全、社会秩序、经济建设和公共利益 的信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成 较大损害。
信息安全等级保护相关文件
• 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》 规定计算机信息系统实行信息系统安全等级保护。
• 2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加 强信息安全保障工作的意见》(中办发[2003]27号)中明确指出:“要 重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重 要信息系统,抓紧建立信息系统安全等级保护制度,制定信息系统安全等 级保护的管理办法和技术指南”。
第四级为强制保护级,主要对象为涉及国家安全、社会秩序、经济建设和公共利益 的重要信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益 造成严重损害。
第五级为专控保护级,主要对象为涉及国家安全、社会秩序、经济建设和公共利益 的重要信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建 设和公共利益造成特别严重损害。
信息安全等级保护指导性文件
《信息系统安全等级保护基本要求》 《信息系统安全等级保护定级指南》 《信息系统安全等级保护实施指南》 《信息系统安全等级保护测评准则》
信息系统安全保护等级划分
第一级为自主保护级,主要对象为一般的信息系统,其受到破坏后,会对公民、 法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设 和公共利益。
信息安全等级保护发展历程
• 2007年7月,四部委联合会签并下发了《关于开展全国重要信息系统安 全等级保护定级工作的通知》(公信安[2007]861号)
• 2007年8月,山东省公安厅、山东省保密局、山东省密码管理局和山东省 信息办联合下发了《山东省重要信息系统安全等级保护定级工作方案》
• 定级范围: 1 电信、广电行业的公用通信网、广播电视传输网等基础信息网络, 经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单 位的重要信息系统。 2 铁路、银行、海关、税务、民航、电力、证券、保险、科技、发展 改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水 利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政 等行业、部门的生产、调度、管理、办公等重要信息系统。 3 市(地)级以上党政机关的重要网站和办公信息系统。 4 涉及国家秘密的信息系统。
信息安全问题
• 安全事件
– 每年都有上千家政府网站被攻击
• 安全影响
– 任何网络都可能遭受入侵
信息系统安全等级保护
• 信息系统安全等级保护简介 • 信息系统安全保护等级划分 • 信息系统安全保护定级指南
等级保护出台是信息安全发展的需要
信息安全问题层出不穷 安全保护措施、安全管理建设不足,导致各种安全事故发生 国内缺乏相类似的安全标准 国家、服务商和用户在安全建设过程中缺乏参考依据 随着信息安全技术的发展 随着安全意识的提高 随着安全服务范围增大 对信息安全管理需要实行等级化保护(目标/要求/能力)
分等级管理; • 对信息系统中发生的信息安全事件分等
级响应、处置。
决定信息系统重要性的要素
• 信息系统所属类型,即信息系统资产的安全利 益主体
• 信息系统主要处理的业务信息类别
----决定信息系统内信息资产的重要性
• 信息系统服务范围,包括服务对象和服务网络 覆盖范围
• 业务对信息系统的依赖程度
----决定信息系统所提供服务的重要性
利益有间接影响。
般企事业单位,但为党政或重要信息