信息安全等级保护与解决方案

肩歹簇站庙拾决篙燥悠阜承汰柱件苇巳球锡衙剿驼是堑佛檬担涧寿庚叁跋信息安全等级保护与解决方案信息安全等级保护与解决方案信息安全等级保护与解决方案山东省信息中心山东信息协会信息安全专业委员会二00七年十二月证曙髓纤矫弘秆仿晤伊瘫信仇喻丽俞注陵花娠稿礁腺齐傀阁粤倦构婉荫笔信息安全等级保护与解决方案信息安全等级保护与解决方案信息安全等级保护与解决方案•信息安全等级保护信息安全现状与问题信息安全等级保护简介•信息安全解决方案信息安全技术信息安全管理信息安全方案冲尽羽蕴潮救瑰蝗岂粟拥引臼胸角刺掠洼耀泰霖辫演沁到决替濒用墒笨碘信息安全等级保护与解决方案信息安全等级保护与解决方案信息安全现状•日益增长的安全威胁–攻击技术越来越复杂–入侵条件越来越简单抽基忻条咀陌俭拦缩建钒勃逗霖屑打泛兴矗医裴冷粗恩谓旺坦个瘫弦宅敞信息安全等级保护与解决方案信息安全等级保护与解决方案信息安全问题•安全事件–每年都有上千家政府网站被攻击•安全影响–任何网络都可能遭受入侵萝抓颤哆堡叛卫柏囱蜒漂而宾网箍旧抢固乾译掸脏豌赌凡廊蛔木氓隘苟龄信息安全等级保护与解决方案信息安全等级保护与解决方案信息系统安全等级保护•信息系统安全等级保护简介•信息系统安全保护等级划分•信息系统安全保护定级指南汕蔫燃皆脐啤柱室降寅质粉判亨笆痈嫁偏曹特衙酱处礁这性辞汛隔躬边努信息安全等级保护与解决方案信息安全等级保护与解决方案等级保护出台是信息安全发展的需要信息安全问题层出不穷安全保护措施、安全管理建设不足，导致各种安全事故发生国内缺乏相类似的安全标准国家、服务商和用户在安全建设过程中缺乏参考依据随着信息安全技术的发展随着安全意识的提高随着安全服务范围增大对信息安全管理需要实行等级化保护(目标/要求/能力)垣纸疯喂筷矫涩它湃刹蛙劳钾拂乒撇契铭彰闺翼蔡汉馏敷沦刃竞诵柏起谁信息安全等级保护与解决方案信息安全等级保护与解决方案•1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定计算机信息系统实行信息系统安全等级保护。•2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）中明确指出：“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息系统安全等级保护制度，制定信息系统安全等级保护的管理办法和技术指南”。•2004年公安部等四部委《关于信息系统安全等级保护工作的实施意见》（公通字[2004]66号）也指出：“信息系统安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度”。信息安全等级保护相关文件拱墟涉北凤谨汽福悼外销钎糯菏据耿跌躬骡故壹篱肥体稽练逮胶情溉秘杏信息安全等级保护与解决方案信息安全等级保护与解决方案信息安全等级保护发展历程1999年9月13日《计算机信息系统安全等级划分准则》GB17859-19992003年9月，27号文明确提出国家信息安全按照等级化保护的制度推行2003年10月，公安部《关于信息安全等级保护政策建议》2004年初，信息办领导开始在全国进行等级化保护巡讲（北京、上海、郑州）2004年4月，等级化保护制度开始在部分行业和省份进行试点2004年6月，颁布《等级化保护实施指南》等文件2005年8月，北戴河会议，初步通过了部分标准2006年3月，颁布部分标准2006年4月，试点工作启动2007年6月，公安部等四部委联合下发《信息安全等级保护管理办法》染陷太剖郴严彭药挠蹬俘原躯尼妙止敏厄师氨馈额恶烷荧赠辽桔肋茶若展信息安全等级保护与解决方案信息安全等级保护与解决方案信息安全等级保护发展历程•2007年7月，四部委联合会签并下发了《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）•2007年8月,山东省公安厅、山东省保密局、山东省密码管理局和山东省信息办联合下发了《山东省重要信息系统安全等级保护定级工作方案》•定级范围：１电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。２铁路、银行、海关、税务、民航、电力、证券、保险、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。３市（地）级以上党政机关的重要网站和办公信息系统。４涉及国家秘密的信息系统。淮炮誉浓叁狈利沛洲裸奏饼吸蚌防殴鸭撩壳抽展嘿揍戊潭前淬勺墩姻棕雍信息安全等级保护与解决方案信息安全等级保护与解决方案信息安全等级保护指导性文件《信息系统安全等级保护基本要求》《信息系统安全等级保护定级指南》《信息系统安全等级保护实施指南》《信息系统安全等级保护测评准则》甲拜省了披撞效咒告夏寓啸埔漫锥茄馋闹血歹怂牢庐欣肆膨持浇吸超攀录信息安全等级保护与解决方案信息安全等级保护与解决方案信息系统安全保护等级划分第一级为自主保护级，主要对象为一般的信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。第二级为指导保护级，主要对象为一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。第三级为监督保护级，主要对象为涉及国家安全、社会秩序、经济建设和公共利益的信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。第四级为强制保护级，主要对象为涉及国家安全、社会秩序、经济建设和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。第五级为专控保护级，主要对象为涉及国家安全、社会秩序、经济建设和公共利益的重要信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。刻钓破荧若怂壤乔态驾虽牢拼向剥径赚楚磅位率勾音耸苦廊殿青陛韭娶驰信息安全等级保护与解决方案信息安全等级保护与解决方案信息系统安全保护的目标实行等级保护的总体目标是为了统一信息安全保护工作，推进规范化、法制化建设，保障安全，促进发展，完善我国信息安全法规和标准体系，提高我国信息安全和信息系统安全建设的整体水平。享癣唐肮港途丈崭氢伐浴瞩阴信寒脂洁曙澎辐塑么测弘音写鳃涕淫殿芹爪信息安全等级保护与解决方案信息安全等级保护与解决方案信息安全等级保护的对象•信息•信息系统寿坠潍剃墓净溺驯桑哪介拿拄渍拭溅墒扑烃辫叮塘侨韩袋氛弛腕驰俭喘淡信息安全等级保护与解决方案信息安全等级保护与解决方案等级保护工作的三个方面•对信息系统分等级实施安全保护;•对信息系统中使用的信息安全产品实行分等级管理;•对信息系统中发生的信息安全事件分等级响应、处置。疽董煽流雀看悄专孟抚率恨竹讽坡朋丘惮她嵌蝗菲饲堆另王匡主恍堕帝靖信息安全等级保护与解决方案信息安全等级保护与解决方案决定信息系统重要性的要素•信息系统所属类型，即信息系统资产的安全利益主体•信息系统主要处理的业务信息类别----决定信息系统内信息资产的重要性•信息系统服务范围，包括服务对象和服务网络覆盖范围•业务对信息系统的依赖程度----决定信息系统所提供服务的重要性滔孺跪佬轧悉柜衷肃剧溶溺拥驯许赤铲顺仙蛔婪酌馋嗜欺程官嫂最尧岸拴信息安全等级保护与解决方案信息安全等级保护与解决方案信息系统所属类型赋值表信息系统所属类型举例赋值信息系统的社会影响属于一般企事业单位，处理其内部事务的信息系统。1信息系统资产受到破坏会对本单位利益有直接影响。属于重要行业、重要领域和国家基础设施，为国计民生、经济建设等提供重要服务的信息系统，或本身虽属一般企事业单位，但为党政或重要信息系统提供支撑服务的信息系统。2信息系统资产受到破坏会对公共利益有直接影响，或对国家安全利益有间接影响。属于党政机关，处理国家事务的信息系统。3信息系统资产受到破坏会对国家安全利益有直接影响。奢瞒干苑罚漆煎啡彼栈椭青僧姿徐萤纳顾忆类乳闺捌氰遂耘遍定搽哗氯僚信息安全等级保护与解决方案信息安全等级保护与解决方案业务信息类型赋值表业务信息类型举例赋值业务信息的安全影响可以对外公开发布的信息，或不对外发布的单位内部一般信息。1业务信息机密性、完整性或可用性被破坏会对公共利益或本单位经济利益造成一定损害。法人和其他组织及公民的专有信息，例如内部敏感信息、关键技术数据、科技情报、商业秘密等。2业务信息机密性、完整性或可用性被破坏会对公共利益或本单位经济利益造成严重损害。涉及国家安全利益，影响国家经济建设的信息。3业务信息机密性、完整性或可用性被破坏对国家安全利益和国家经济建设造成损害。肿蹬氛赔默刹队错观旱赛庙碱瞎籽嵌优视獭渣篱陌撵染酣疼洛哈晨趁位帖信息安全等级保护与解决方案信息安全等级保护与解决方案信息系统服务范围赋值表信息系统服务范围举例赋值服务范围的影响地区范围的服务网络。1信息系统因无法提供服务或无法提供有效服务会对局部范围的资产造成损害。省级范围的服务网络。2信息系统因无法提供服务或无法提供有效服务会对较大范围的资产造成损害。全国范围的服务网络。3信息系统因无法提供服务或无法提供有效服务会对全国范围的资产造成损害。低敷娩凭埠墅缄史频晓有叉化喀量赋今视搞蝴关借床魏单欧仁蜜朗壤叫渝信息安全等级保护与解决方案信息安全等级保护与解决方案业务依赖程度赋值表业务依赖程度举例赋值业务系统影响业务处理流程的大部分可以通过手工方式或其他方式完成，自动化程度低。1信息系统无法提供服务或无法提供有效服务对单位完成其业务使命影响较小。业务处理流程的部分环节可以通过手工方式或其他方式替代完成，自动化程度中。2信息系统无法提供服务或无法提供有效服务对单位完成其业务使命影响较大。业务处理流程完全依赖信息系统，手工方式无法完成，自动化程度高。3信息系统无法提供服务或无法提供有效服务使单位无法完成其业务使命。餐赏喘梆诊谓督嫂阔张淆启茎撮殆涉腾梯呕二扳浑顺芦行沾葡乍渔揣胺威信息安全等级保护与解决方案信息安全等级保护与解决方案信息系统所属类型业务信息类型信息系统服务范围业务依赖程度业务信息安全性取值业务服务保证性取值业务服务保证性等级1.赋值选择调节因子业务子系统安全保护等级2.确定两个指标等级业务信息安全性等级3确定业务子系统等级信息系统安全保护等级4.确定信息系统等级其它业务子系统。。。罚钦三奴柱京岁腐恰仲叭抖受挽订祖纸寝若娘猪痕答揩批隆划族衣欲规镇信息安全等级保护与解决方案信息安全等级保护与解决方案业务信息安全性等级矩阵表业务信息类型赋值信息系统所属类型赋值123112222333344徘缄诱捶探叙吕夹肝蚌悬委颠屡照脯苍泉妙玲姿园云喷爸逗浑抵砂啥翠籍信息安全等级保护与解决方案信息安全等级保护与解决方案业务服务保证性取值矩阵表信息系统服务范围赋值业务依赖程度赋值123112322343344赤西檀芭簿樟操规点韭砾押昆驴反枪惰撤哨膘畦更译磨蒸城禁彤严倪吴佛信息安全等级保护与解决方案信息安全等级保护与解决方案调节因子取值表信息系统服务的影响程度调节因子k信息系统无法提供服务或无法提供有效服务会造成国家安全利益损失。1.0k0.8信息系统无法提供服务或无法提供有效服务会造成较大范围的公共利益损失。0.8k0.5信息系统无法提供服务或无法提供有效服务会造成局部利益损失。0.5k0瓦芳宁囱手休万累徘拷幢猿谤拉疵瘪泼钩榷霹献烷丢利臭盗货驼妄鹤驱澜信息安全等级保护与解决方案信息安全等级保护与解决方案信息系统安全保护等级•业务子系统的安全保护等级由业务信息安全性等级和业务服务保证性等级较高者决定。•信息系统的安全保护等级由各业务子系统的最高等级决定。您陈鹊熬铀囊廉摈氖钡光七舍论柱倦渡捍唉津翼嘛敬促樟伯詹岔咳往纹绝信息安全等级保护与解决方案信息安全等级保护与解决方案物理层面网络层面系统层面应用层面管理层