公安部信息安全等级保护评估中心等级保护实施技术环节说明任卫红2007年7月公安部信息安全等级保护评估中心2020/2/72根据《管理办法》,信息安全等级保护的实施工作包括信息系统定级与评审、信息系统安全建设或者改建、对信息系统定期的等级测评与安全自查、办理备案手续并提供相关材料、接受公安机关、国家指定的专门部门监督检查、选择使用符合条件的信息安全产品、选择符合条件的等级保护测评机构等,其中涉及信息系统运营使用单位/主管部门需要作较多技术工作的环节是系统定级和系统建设或改建。《实施指南》从系统的生命周期角度对等级保护实施过程提供了具体的操作指导。前言公安部信息安全等级保护评估中心2020/2/73实施指南概述实施指南介绍和描述了实施信息系统等级保护过程中涉及的阶段、过程和需要完成的活动,通过对过程和活动的介绍,使读者了解对信息系统实施等级保护的流程方法,以及不同的角色在不同阶段的作用等。公安部信息安全等级保护评估中心2020/2/74实施阶段等级变更局部调整信息系统定级总体安全规划安全设计与实施安全运行维护信息系统终止公安部信息安全等级保护评估中心2020/2/75实施指南描述特点为了便于用户使用,《实施指南》分章介绍5个实施阶段,以不同的节介绍和描述本阶段所要进行的主要安全过程,以及该过程所包含的活动,包括活动目标、参与角色,活动中包含的子活动,活动过程参照的等级保护对应标准,活动的输入和输出等内容。在每个实施阶段中,如果过程具有顺序性,将用流程图的形式表述过程的执行方式,如果没有顺序性,则用框图分别表述每一个阶段的过程。公安部信息安全等级保护评估中心2020/2/76实施指南描述特点阶段–过程•活动–子活动例如:信息系统定级–信息系统分析•系统识别和描绘–识别信息系统的基本信息–识别信息系统的管理框架–…•信息系统划分公安部信息安全等级保护评估中心2020/2/77定级阶段相关技术环节–行业定级指导意见–定级对象确定–定级过程定级阶段公安部信息安全等级保护评估中心2020/2/78根据《管理办法》第十条:信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。根据《关于开展全国重要信息系统安全等级保护定级工作的通知》(以下简称《定级通知》)要求:各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的指导意见。定级阶段-关于行业定级指导意见公安部信息安全等级保护评估中心2020/2/79为什么需要行业对定级提出指导意见–行业的职能不同–信息系统在行业内所发挥的作用不同–信息系统被破坏后对国家和社会的危害后果不同–行业主管部门比运营使用单位具有更高的站位、更宏观的视野定级阶段-关于行业定级指导意见公安部信息安全等级保护评估中心2020/2/710行业定级指导意见的意义:–贯彻四部委会签的《管理办法》–阐明本行业实施等级保护工作的政策和方针–制定本行业定级工作的阶段计划–统一本行业对定级要素赋值规范定级阶段-关于行业定级指导意见公安部信息安全等级保护评估中心2020/2/711定级工作的指导意见应包括:–对定级对象确定的指导–符合哪些条件的信息系统的等级保护客体是国家安全、哪些是公共利益/社会秩序。。。–对不同类型的等级保护客体,本行业主要关注哪些危害后果–对于每一类等级保护客体,符合哪些条件可以判断为一般损害、哪些是严重损害、哪些是非常严重损害定级阶段-关于行业定级指导意见公安部信息安全等级保护评估中心2020/2/712对《定级指南》中有关概念的补充说明:–三种客体–对客体侵害程度定级阶段-关于行业定级指导意见公安部信息安全等级保护评估中心2020/2/713三种受侵害的客体体现了三种不同层次、不同覆盖范围的社会关系。国家安全利益体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全和资源环境安全等方面利益。社会秩序包括社会的政治、经济、生产、生活、科研、工作等各方面的正常秩序。公共利益是指不特定的社会成员所共同享有的,维持其生产、生活、教育、卫生等方面的利益。合法权益是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益,定级阶段-关于行业定级指导意见公安部信息安全等级保护评估中心2020/2/714关于国家安全–重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等属于影响国家政权稳固和国防实力的信息系统;广播、电视、网络等重要新闻媒体的发布或播出系统,其受到非法控制可能引发影响国家统一、民族团结和社会安定的重大事件;处理国家对外活动信息的信息系统;处理国家重要安全保卫工作信息的信息系统和重大刑事案件的侦查系统;尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信息系统,以及电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统等。定级阶段-关于行业定级指导意见公安部信息安全等级保护评估中心2020/2/715关于社会秩序–各级政府机构的社会管理和公共服务系统,如财政、金融、工商、税务、公检法、海关、社保等领域的信息系统,也包括教育、科研机构的工作系统,以及所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统。定级阶段-关于行业定级指导意见公安部信息安全等级保护评估中心2020/2/716关于公共利益–借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方面,例如:公共通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施、公共服务设施等。–公共利益与社会秩序密切相关,社会秩序的破坏一般会造成对公共利益的损害。定级阶段-关于行业定级指导意见公安部信息安全等级保护评估中心2020/2/717对客体的侵害不是威胁直接作用的结果,而是通过对等级保护对象——信息系统的破坏而导致的,因此确定对客体侵害的程度时,必须考虑对等级保护对象所造成破坏的不同客观表现形态以及不同程度的结果,也就是侵害的客观方面。定级阶段-关于行业定级指导意见公安部信息安全等级保护评估中心2020/2/718定级阶段-关于行业定级指导意见客体对客体的侵害对等级保护对象的危害等级保护对象危害后果对客体侵害的客观方面危害方式+公安部信息安全等级保护评估中心2020/2/719关于危害后果–影响行使工作职能,工作职能包括国家管理职能、公共管理职能、公共服务职能等国家或社会方面的职能。–导致业务能力下降,下降的表现形式可能包括业务范围的减少、业务处理性能的下降、可服务的用户数量的下降以及其他各种业务指标的下降,每个行业务都有本行业关注的业务指标。例如电力行业关注发电量和用电量,税务行业关注税费收入,银行业关注存款额、贷款额、交易量等,证券经纪行业关注股民数和交易额。定级阶段-关于行业定级指导意见公安部信息安全等级保护评估中心2020/2/720关于危害后果–引起法律纠纷是比较严重的影响,在较轻的程度时可能表现为投诉、索赔、媒体曝光等形式。–导致财产损失,包括系统资产被破坏的直接损失、业务量下降带来的损失、直接的资金损失、为客户索赔所支付的资金等,以及由于信誉下降、单位形象降低、客户关系损失等导致的间接经济损失。–直接造成人员伤亡,例如医疗服务系统,公安行业的某些系统等。–造成社会不良影响,包括在社会风气、执政信心等方面的影响。定级阶段-关于行业定级指导意见公安部信息安全等级保护评估中心2020/2/721一、定级对象的三个条件具有唯一确定的安全责任单位–作为定级对象的信息系统应能够唯一地确定其安全责任单位,这个安全责任单位就是负责等级保护工作部署、实施的单位,也是完成等级保护备案和接受监督检查的直接责任单位。满足信息系统的基本要素–作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如单台的服务器、终端或网络设备等作为定级对象。定级阶段-关于定级对象确定公安部信息安全等级保护评估中心2020/2/722一、定级对象的三个条件承载相对独立的业务应用–定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流程、部分业务功能独立,同时与其他信息系统的业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程,可以使完整的业务流程的一部分。定级阶段-关于定级对象确定公安部信息安全等级保护评估中心2020/2/723二、定级对象的识别和划分可能使定级要素赋值不同因素–可能涉及不同客体的系统。–可能对客体造成不同程度损害的系统。–处理不同类型业务的系统。本身运行在不同的网络环境中的系统。分不开的系统,按照高级别保护。定级阶段-关于定级对象确定公安部信息安全等级保护评估中心2020/2/724系统边界不应出现在服务器内部,服务器共用的系统一般归入同一个信息系统,因此不同信息系统的共用设备一般是网络/边界设备或终端设备。两个信息系统边界存在共用设备时,共用设备的安全保护等级按两个信息系统安全保护等级较高者确定。例如,一个2级系统和一个3级系统之间有一个防火墙或两个系统共用一个核心交换机,此时防火墙和交换机可以作为两个系统的边界设备,但应满足3级系统的要求。定级阶段-关于系统边界公安部信息安全等级保护评估中心2020/2/725信息系统的管理终端是与相应被管理设备相对应的,服务器、网络设备及安全设备等属于哪个系统,终端就应归在哪个信息系统中。如果无法做到不同等级的信息系统使用不同的终端设备,则应将终端设备划分为其他的信息系统,并在服务器与内部用户终端之间建立边界保护,对终端通过身份鉴别和访问控制等措施加以控制。处理涉密信息的终端必须划分到相应的信息系统中,且不能与非涉密系统共用终端。定级阶段-关于系统边界公安部信息安全等级保护评估中心2020/2/726定级阶段-定级对象举例公安部信息安全等级保护评估中心2020/2/727定级阶段-定级对象举例城城城城城城城城城城城城城城城城城城城城城城城城城城IDS城城城城城城城城城城1城城城城城城2城城城城城城城城城城城千兆IDS城城城城城城城城城城城1城城城城城城2城城城城城城城城城城城城城城城城城城城城城城城城城城城城OA城城城城城城城城城城城城城城城城城城城城城城城城城城城城城城城城项项项项项项项项项项项项城城城城城...城城城城城城城城城城城城城城城城公安部信息安全等级保护评估中心2020/2/728识别单位基本信息–了解单位基本信息有助于判断单位的职能特点,单位所在行业及单位在行业所处的地位和所用,由此判断单位主要信息系统的宏观定位。识别业务种类、流程和服务–应重点了解定级对象信息系统中不同业务系统提供的服务在影响履行单位职能方面具体方式和程度,影响的区域范围、用户人数、业务量的具体数据以及对本单位以外机构或个人的影响等方面。这些具体数据即可以为主管部门制定定级指导意见提供参照,也可以作为主管部门审批定级结果的重要依据。定级阶段-关于定级过程公安部信息安全等级保护评估中心2020/2/729识别信息–调查了解定级对象信息系统所处理的信息,了解单位对信息的三个安全属性的需求,了解不同业务数据在其保密性、完整性和可用性被破坏后在单位职能、单位资金、单位信誉、人身安全等方面可能对国家、社会、本单位造成的影响,对影响程度的描述应尽可能量化。识别网络结构和边界–调查了解定级对象信息系统所在单位的整体网络状况、安全防护和外部连接情况,目的是了解信息系统所处的单位内部网络环境和外部环境特点,以及该信息系统的网络安全保护与单位内部网络环境的安全保护的关系。定级阶段-关于定级过程公安部信息安全等级保护评估中心2020/2/730识别主要的软硬件设备–调查了解与定级对象信息系统相关的服务器、网络、终端、存储设备以及安全设备等,设备所在网段,在系统中的功能和作用。调查设备的