信息安全等级保护概述

《信息安全等级保护概述》由会员分享，可在线阅读，更多相关《信息安全等级保护概述（122页珍藏版）》请在装配图网上搜索。

1、信息安全等级保护信息安全等级保护何晓霞本章内容安排信息安全等级保护制度信息系统安全等级保护实施信息系统安全等级确定信息系统安全等级保护要求信息系统安全风险评估 第一节 信息安全等级保护制度一、信息安全等级保护管理二、信息系统安全等级划分三、信息系统安全等级保护相关标准一、信息安全等级保护管理 信息安全等级保护是国家信息安全等级保护是国家信息安全保障的基本制度、基信息安全保障的基本制度、基本策略、基本方法。开展信息本策略、基本方法。开展信息安全等级保护工作是保护信息安全等级保护工作是保护信息化发展、维护国家信息安全的化发展、维护国家信息安全的根本保障，是信息安全保障工根本保障，是信息安全保障工作

2、中国家意志的体现。作中国家意志的体现。背景l1994年，年，中华人民共和国计算机信息系统中华人民共和国计算机信息系统安全保护条例安全保护条例 规定，规定，“计算机信息系统实行计算机信息系统实行安全等级保护，安全等级的划分标准和安全等安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制级保护的具体办法，由公安部会同有关部门制定定”。l1995年年2月月18日人大日人大12次会议通过并实施的次会议通过并实施的中华人民共和国警察法中华人民共和国警察法第二章第六条第十第二章第六条第十二款规定，公安机关人民警察依法履行二款规定，公安机关人民警察依法履行“监督监督管理计算机信息

3、系统的安全保护工作管理计算机信息系统的安全保护工作”。法律依据。法律依据。l1999年，强制性国家标准年，强制性国家标准计算机信息系计算机信息系统安全保护等级划分准则统安全保护等级划分准则GB 17859）。）。2003年，中办、国办转发的年，中办、国办转发的国家信息国家信息化领导小组化领导小组关于加强信息安全保障工作的意见加强信息安全保障工作的意见（中办发（中办发200327号）明确指出号）明确指出“实行信息安实行信息安全等级保护全等级保护”。“要重点保护基础信息网络和要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建

4、立信息安全等级保护制重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术度，制定信息安全等级保护的管理办法和技术指南指南”。2004年，公安部、国家保密局、国家密年，公安部、国家保密局、国家密码管理局、国信办联合印发了码管理局、国信办联合印发了关于信息安全关于信息安全等级保护工作的实施意见等级保护工作的实施意见（66号文件）号文件）2006年年1月，公安部、国家保密局、国家月，公安部、国家保密局、国家密码管理局、国信办联合制定了密码管理局、国信办联合制定了信息安全等信息安全等级保护管理办法级保护管理办法（公通字（公通字20067号）号）1、政府层面：国家制定统一信息

5、安全等级保护管理规政府层面：国家制定统一信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对信息安全产品的使用分等统分等级实行安全保护，对信息安全产品的使用分等级实行管理，对等级保护工作的实施进行监督、指导。级实行管理，对等级保护工作的实施进行监督、指导。2、用户层面、用户层面：公民、法人和其他组织应当按照国家有：公民、法人和其他组织应当按照国家有关等级保护的管理规范和技术标准开展等级保护工作，关等级保护的管理规范和技术标准开展等级保护工作，服从国家对信息安全等级保护工作的监督、指导，保服从国家对信息安全等级

6、保护工作的监督、指导，保障信息系统安全。障信息系统安全。3、社会层面、社会层面：信息安全产品的研制、生产单位，信息：信息安全产品的研制、生产单位，信息系统的集成、等级测评、风险评估等安全服务机构，系统的集成、等级测评、风险评估等安全服务机构，依据国家有关管理规定和技术标准，开展相应工作，依据国家有关管理规定和技术标准，开展相应工作，并接受国家信息安全职能部门的监督管理。并接受国家信息安全职能部门的监督管理。等级保护制度的基本思想信息安全等级保护的工作进展 一是一是2006年年1月制定出台了月制定出台了信息安全等级保护管信息安全等级保护管理办法（试行）理办法（试行）。二是二是2006年年5月月1

7、8日组织召开了国家信息安全等日组织召开了国家信息安全等级保护工作协调小组第一次会议。级保护工作协调小组第一次会议。三是制定了等级保护系列技术标准。三是制定了等级保护系列技术标准。四是开展了等级保护基础调查工作。四是开展了等级保护基础调查工作。五是部署开展信息安全等级保护试点工作。五是部署开展信息安全等级保护试点工作。六是出台新的六是出台新的信息安全等级保护管理办法信息安全等级保护管理办法。七是筹备召开全国信息系统定级工作。七是筹备召开全国信息系统定级工作。二、信息系统安全等级划分 根据信息系统安全等级保护实施指南的规定，信息系统可以分为五个安全等级，国家对不同级别的信息和信息系统实行不同强度的

8、监管政策。（一）第一级为自主保护级其主要对象为一般的信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不危害国家安全、社会秩序和公共利益。本级系统依照国家管理规范和技术标准进行自主保护。二、信息系统安全等级划分（二）第二级为指导保护级其主要对象为一般的信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对社会秩序和公共利益造成一定损害，但不损害国家安全。本级系统依照国家管理规范和技术标准进行自主保护，必要时信息安全监管职能部门对其进行指导。二、信息系统安全等级划分（三）第三级为监督保护级其主要对象为涉及国家安全、社会秩序和公共利益的重要信息

9、系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成较大损害。本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查。二、信息系统安全等级划分（四）第四级为强制保护级其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害。本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检查。二、信息系统安全等级划分（五）第五级为专控保护级其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其业务

10、信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重损害。本级系统依照国家管理规范和技术标准进行自主保护，国家指定专门部门、专门机构进行专门监督、检查。二、安全保护等级的划分 等级 对象 侵害客体 侵害程度 监管强度 第一级 合法权益 损害 自主保护 合法权益 严重损害 第二级 一般系统 社会秩序和公共利益 损害 指导 社会秩序和公共利益 严重损害 第三级 国家安全 损害 监督检查 社会秩序和公共利益 特别严重损害 第四级 重要系统 国家安全 严重损害 强制监督检查 第五级 极端重要系统 国家安全 特别严重损害 专门监督检查 三、信息系统安全等级保护相关标准我国正

11、式颁布的信息系统安全等级保护的强制性国家标准是GB 17859 1999计算机信息系统安全保护等级划分准则，该准则于1999年9月13日经国家质量技术监督局发布，2001年1月1日起实施。随后围绕GB 17859 1999编写和制定了一系列与信息系统安全等级保护有关的标准和指南，旨在规范和指导信息系统安全等级保护实施过程中的活动。（一）GB 17859 1999计算机信息系统安全保护等级划分准则GB 17859 1999是建立计算机信息系统安全等级保护制度，实施安全等级管理的重要基础性标准。它将计算机信息系统安全保护等级划分为五个等级，通过规范、科学和公正的评定和监督管理，一是为计算机信息系统

12、安全等级保护管理法规的制定和执法部门的监督、检查提供依据；二是为计算机信息系统安全产品的研制提供技术支持；三是为安全系统的建设和管理提供技术指导。（一）GB 17859 1999计算机信息系统安全保护等级划分准则GB 17859 1999规定了计算机信息系统安全保护能力的五个等级；定义了计算机信息系统、计算机信息系统可信计算机、客体、主体、敏感标记、安全策略、信道、隐蔽信道、访问监控器；描述了五个等级的细则。（二）GA/T 390 2002计算机信息系统安全等级保护通用技术要求公安部于2002年7月15日发布并实施了GA/T 390 2002计算机信息系统安全等级保护通用技术要求。GA/T 3

13、90 2002计算机信息系统安全等级保护通用技术要求作为计算机信息系统安全等级保护要求系列的基础标准，详细说明了计算机信息系统为实现GB 17859 1999所提出的安全等级要求应采取的通用的安全技术，以及为确保这些安全技术所实现的安全功能达到其应具有的安全性而采取的保证措施，并将对计算机信息系统五个安全保护等级每一级的要求，从技术要求方面进行详细描述。（二）GA/T 390 2002计算机信息系统安全等级保护通用技术要求GA/T 390 2002主要内容为：（1）安全功能技术要求，包括物理安全、运行安全、信息安全。（2）安全保证技术要求，包括TCB自身安全保护、TCB设计和实现、TCB安全管

14、理。（3）五个安全等级划分要求技术方面细则。（三）GA/T 388 2002计算机信息系统安全等级保护操作系统技术要求公安部于2002年7月15日发布并实施该标准作为计算机信息系统安全等级保护要求系列标准的重要组成部分，用于指导设计者如何设计和实现具有所需要的安全等级的操作系统，主要从对操作系统的安全等级进行划分来说明其技术要求，即主要说明为实现GB 17859 1999所提出的安全等级要求对操作系统应采取的安全技术措施，以及各安全技术要求在不同安全级中具体实现的差异。对计算机信息系统五个安全保护等级每一级的安全功能技术要求和安全保证技术要求进行详细描述。（四）GA/T 389 2002计算机

15、信息系统安全等级保护数据库管理系统技术要求公安部于2002年7月15日发布并实施。该标准作为计算机信息系统安全等级保护要求系列标准的重要组成部分，用于指导设计者如何设计和实现具有所需要的安全等级的数据库管理系统，主要从对数据库管理系统的安全等级进行划分来说明其技术要求，即主要说明为实现GB 17859 1999所提出的安全等级要求对数据库管理系统应采取的安全技术措施，以及各安全技术要求在不同安全级中具体实现的差异。对计算机信息系统五个安全保护等级每一级的安全功能技术要求和安全保证技术要求进行详细描述。（四）GA/T 389 2002计算机信息系统安全等级保护数据库管理系统技术要求GA/T 38

16、9 2002主要内容为：（1）数据库管理系统安全技术要求，包括身份鉴别、标记与访问控制、数据完整性、数据库安全审计、客体重用、数据库可信恢复、隐蔽信道分析、可信路径、推理控制。（2）五个安全等级划分要求技术方面细则。（五）GA/T 387 2002计算机信息系统安全等级保护网络技术要求公安部于2002年7月15日发布并实施该标准作为计算机信息系统安全等级保护要求系列标准的重要组成部分，用于指导设计者如何设计和实现具有所需要的安全等级的网络系统，主要从对网络系统的安全等级进行划分来说明其技术要求，即主要说明为实现GB 17859 1999所提出的安全等级要求对网络系统应采取的安全技术措施，以及各

17、安全技术要求在不同安全级中具体实现的差异。对计算机信息系统五个安全保护等级每一级的安全功能技术要求和安全保证技术要求进行详细描述。（五）GA/T 387 2002计算机信息系统安全等级保护网络技术要求GA/T 387 2002主要内容为：（1）简单描述了关于安全等级划分、主体、客体、TCB、密码技术、建立网络安全的一般要求，以及网络安全组成与相互关系。（2）详细描述了网络基本安全技术，包括自主访问控制、强制访问控制、标记、用户身份鉴别、剩余信息保护、安全审计、数据完整性、隐蔽信道分析、可信路径、可信恢复、抗抵赖、密码支持等。（3）详细描述了网络安全技术要求。（4）五个安全等级划分要求技术方面细

18、则。（六）GA/T 391 2002计算机信息系统安全等级保护管理要求公安部于2002年7月18日发布并实施。该标准作为GB 17859 1999计算机信息系统安全保护等级划分准则的管理要求，是根据计算机信息系统安全保护条例的规定编写的，是GB 17859 1999的配套标准中的重要标准之一，与上述所介绍的技术要求共同组成计算机信息系统的安全等级保护体系。计算机信息系统的安全等级保护体系从计算机信息系统的管理层面、物理层面、系统层面、网络层面、应用层面、运行层面对计算机信息系统资源实施保护，作为计算机信息系统安全保护的支撑服务。管理层面贯穿其他五个层面，是其他五个层面实施安全等级保护的保证。（

19、六）GA/T 391 2002计算机信息系统安全等级保护管理要求GA/T 391 2002主要内容为：（1）简单描述了信息系统安全管理的内涵、主要安全要素、信息系统安全管理的基本原则、安全管理的过程、安全管理组织、人员安全管理、安全管理制度等。（2）五个安全等级划分要求管理方面细则。（七）信息安全技术信息系统安全等级保护实施指南该标准以信息系统安全等级保护建设为主要线索，介绍了信息系统的安全等级和保护要求等相关概念；说明了信息系统安全等级保护实施过程中涉及的角色；信息系统安全等级保护实施的基本原则；信息系统安全等级保护实施的基本过程；信息系统安全等级保护实施的主要阶段和主要活动以及与信息系统生

20、命周期之间的关系；提出了信息系统安全等级保护在信息系统生命周期不同阶段的实施要点、实施流程、具体的活动内容以及活动的输入输出等，并对其进行了详细的描述。（八）信息系统安全保护等级定级指南根据信息安全技术信息系统安全等级保护实施指南中等级保护实施的生命周期，要对信息系统进行安全等级保护，首先就要科学地确定信息系统的安全等级，信息系统安全保护等级定级指南给出了如何对信息系统的安全等级进行确定的规范化规定和描述。（八）信息系统安全保护等级定级指南为确定信息系统的安全保护等级，首先要确定信息系统内各业务子系统在四个定级要素方面的赋值（分别为系统所属类型、业务信息类型、服务范围、依赖程度），然后分别由四

21、个定级要素确定业务信息安全性和业务服务保证性两个定级指标的等级，再根据业务信息安全性等级和业务服务保证性等级确定业务子系统安全保护等级，最后由信息系统内各业务子系统的最高等级确定信息系统的安全保护等级。（八）信息系统安全保护等级定级指南信息系统安全保护等级定级指南为各单位开展、实施等级保护提供了一个通用标准奠定了坚实的基础。各单位首先根据信息系统安全保护等级定级指南中的标准方法，明确确定本单位信息系统的安全等级，一旦等级确定完成，后续的建设和运行维护工作，再参考信息安全技术信息系统安全等级保护基本要求实施。（九）信息安全技术信息系统安全等级保护基本要求 信息安全技术信息系统安全等级保护基本要求

22、规定了信息系统安全等级保护的基本要求，包括基本技术要求和基本管理要求，适用于不同安全等级的信息系统的安全保护。（九）信息安全技术信息系统安全等级保护基本要求信息安全技术信息系统安全等级保护基本要求为安全等级保护的每一个级别（共五个级别）都规定了要实现的安全目标，以及为了实现安全目标所必须采用的技术措施和管理手段。每一级别的技术措施和管理手段具体要求都被明确提出并分类组织。其中，技术措施的要求分为物理安全、网络安全、主机系统安全、应用安全和数据安全五个不同层次；管理手段的要求分为安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运行维护管理五个不同类别。（九）信息安全技术信息系统安全等

23、级保护基本要求信息安全技术信息系统安全等级保护基本要求为安全等级保护的每一级别所规定的技术措施和管理手段的要求，各单位应当根据本单位信息系统安全级别的具体情况严格遵循。（十）信息系统安全等级保护测评准则各单位对信息系统安全等级保护的实施力度和遵循情况，不仅需要各单位自身进行检查和评估，而且需要信息安全监管职能部门依法进行监督、检查。评价信息系统是否达到了相应级别的安全保护要求的过程，是对信息系统等级保护进行测评的活动。为了规范安全等级保护的测评活动，信息系统安全等级保护测评准则对每一特定安全级别的信息系统从技术措施和管理措施两方面提出了测评要求。（十）信息系统安全等级保护测评准则信息系统安全等

24、级保护测评准则将测评分为安全控制测评和系统整体测评两方面。安全控制测评，主要是测评信息系统安全等级保护要求的基本安全控制在信息系统中的实施和配置情况；系统整体测评，主要对信息系统的整体安全性进行测评。安全控制测评是信息系统整体安全性测评的基础。第二节 信息安全等级保护实施 一、基本原则二、参与角色和职责三、实施过程四、安全等级保护与信息系统生命周期的关系一、基本原则等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。等级保护在实施过程中应遵循以下基本原则：（一）自主保护原则由各主管部门和运营、使用单位按照国家相关法规和标准，自主确定信息系统的安全等级，自行组织实施安全保护。（二）同步

25、建设原则信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。一、基本原则（三）重点保护原则根据信息系统的重要程度、业务特点，通过划分不同的安全等级，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。（四）适当调整原则要跟踪信息系统的变化情况，调整安全保护措施。因为信息系统的应用类型、范围等条件的变化及其他原因，安全等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全等级，根据信息系统安全等级的调整情况，重新实施安全保护。二、参与角色和职责信息系统安全等级保护系列标准

26、中的信息安全技术信息系统安全等级保护实施指南，将参与等级保护过程的各类组织和人员划分为：主要角色：是指信息系统主管部门和信息系统运营、使用单位；主要角色将参与等级保护实施过程的所有活动次要角色：是指信息系统安全服务商、信息安全监管机构、安全测评机构和安全产品供应商。次要角色将参与等级保护实施过程的某一个或多个活动。等级保护实施过程中各类角色的职责（一）信息系统主管部门主要责任：做好下属单位的等级保护监督管理工作；组织、协调和督促下属单位按照等级保护的管理规范和技术标准对信息系统进行等级保护；对下属单位确定的信息系统安全等级进行审批；督促下属单位定期进行安全状况检测评估，及时消除安全隐患和漏洞等

27、。等级保护实施过程中各类角色的职责（二）信息系统运营、使用单位信息系统运营、使用单位的主要责任是按照等级保护的管理规范和技术标准，确定其信息系统的安全等级，并报其主管部门审批同意；对安全等级在三级以上的信息系统，报送本地区地市级公安机关备案；根据已经确定的安全等级，按照等级保护的管理规范和技术标准，进行信息系统的规划设计、建设施工；采购和使用相应等级的信息安全产品，建设安全设施，落实安全技术措施；对已经完成等级保护建设的信息系统进行检查评估，发现问题及时整改；加强和完善自身等级保护制度的建设，加强自我保护；定期进行安全状况检测评估，及时消除安全隐患和漏洞，建立安全制度，制定不同等级信息安全事件

28、的响应、处置预案，加强信息系统的安全管理。等级保护实施过程中各类角色的职责（三）信息系统安全服务商信息系统安全服务商的主要责任是根据信息系统运营、使用单位的委托，按照等级保护的管理规范和技术标准，协助信息系统运营、使用单位完成等级保护的相关工作，可能包括确定其信息系统的安全等级、进行安全需求分析、进行信息系统的规划设计、建设施工等。等级保护实施过程中各类角色的职责（四）信息安全监管机构信息安全监管机构的主要责任是对不同重要程度的信息系统的等级保护工作给予相应的指导，确保等级保护工作顺利开展；按照等级保护的管理规范和技术标准的要求，重点对第三级、第四级信息系统的等级保护状况进行监督检查；发现存在

29、安全隐患或未达到等级保护的管理规范和技术标准要求的要限期整改，使信息系统的安全保护措施更加完善；对信息系统中使用的信息安全产品的等级进行监督检查。等级保护实施过程中各类角色的职责（五）安全测评机构安全测评机构的主要责任是根据信息系统运营、使用单位的委托或根据信息安全监管机构的委托，协助信息系统运营、使用单位或信息安全监管机构按照等级保护的管理规范和技术标准，对已经完成等级保护建设的信息系统进行检查评估，对安全产品供应商提供的信息安全产品进行检查评估。等级保护实施过程中各类角色的职责（六）安全产品供应商安全产品供应商的主要责任是按照等级保护的管理规范和技术标准的要求，开发符合等级保护要求的信息安

30、全产品；提交信息安全产品进行安全等级测评并按照等级保护要求销售信息安全产品。三、实施过程对信息系统实施等级保护的过程划分为五个阶段（一）系统定级阶段系统定级阶段通过对信息系统的调查和分析进行信息系统划分，确定包括相对独立的信息系统的个数，选择合适的信息系统安全等级定级方法，科学、准确地确定每个信息系统的安全等级。通常情况下，系统定级阶段包括系统识别和描述、信息系统划分和安全等级确定等几个主要活动。（二）安全规划设计阶段安全规划设计阶段通过安全需求分析判断信息系统的安全保护现状与国家等级保护基本要求之间的差距，确定安全需求，然后根据信息系统的划分情况、信息系统定级情况、信息系统承载业务情况和安全

31、需求等，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施规划等，以指导后续的信息系统安全建设工程的实施。通常情况下，安全规划设计阶段包括安全需求分析、安全总体设计、安全建设规划等几个主要活动。（三）安全实施阶段安全实施阶段通过安全方案详细设计、安全产品的采购、安全控制的开发、安全控制集成、机构和人员的配置、安全管理制度的建设、人员的安全技能培训等环节，将安全规划设计阶段的安全方针和策略，具体落实到信息系统中去，其最终的成果是提交满足用户安全需求的信息系统以及配套的安全管理体系。通常情况下，安全实施阶段包括安全方案详细设计、等级保护安全测评、等级保护技术实施和等级保护管理实施等几个主

32、要活动。安全管理体系的建设应该贯穿信息系统的整个生命周期，涉及等级保护实施过程的各个阶段。（四）安全运行维护阶段安全运行维护阶段将介绍运行管理和控制、变更管理和控制、安全状态监控以及安全事件处置和应急预案等过程；通过运行管理和控制、变更管理和控制、对安全状态进行监控、对发生的安全事件及时响应，确保信息系统正常运行；通过安全检查和持续改进不断跟踪信息系统的变化，并依据变化进行调整，确保信息系统满足相应等级的安全要求，处于良好安全状态。安全运行维护阶段需要进行的安全控制活动很多，如运行管理和控制、变更管理和控制、安全状态监控以及安全事件处置和应急预案等。（五）系统终止阶段系统终止阶段是对信息系统的

33、过时或无用部分进行报废处理的过程，主要涉及对信息、设备、存储介质或整个信息系统的废弃处理。系统终止阶段的主要活动可能包括对信息的转移、暂存或清除，对设备的迁移或废弃，对存储介质的清除或销毁。系统终止阶段迁移或废弃系统组件时，核心关注点是防止敏感信息泄漏。四、安全等级保护与信息系统生命周期的关系信息系统生命周期包括五个阶段，即启动准备阶段、设计/开发阶段、实施/实现阶段、运行维护阶段和系统终止阶段。安全等级保护实施活动与信息系统生命周期中的其他活动有着不可分割的关系；同时，安全等级保护实施活动又有自己的特点，安全等级保护工作将贯穿信息系统生命周期的各个阶段。安全等级保护实施的过程与信息系统生命周

34、期的关系 安全等级保护实施的过程与信息系统生命周期的关系安全等级保护的实施分为：新建信息系统安全等级保护的实施已建信息系统安全等级保护的实施两者在信息系统生命周期中的切入点是不同的。新建信息系统安全等级保护的实施 新建信息系统在生命周期中的各个阶段应同步考虑安全等级保护实施的主要活动。在启动准备阶段，应该仔细分析和合理划分各个信息系统，确定各个信息系统的安全等级，定级过程也可能在设计/开发阶段实施；在设计/开发阶段，应该根据各个信息系统的安全等级，进行安全需求分析，合理规划设计网络结构、应用系统、安全保护措施等，确保各个信息系统按照国家等级保护的要求进行规划设计；在实施/实现阶段，应在系统建设

35、的同时，同步进行安全措施的落实和实现；在运行维护阶段，应按照国家等级保护的要求进行安全维护和安全管理；在系统终止阶段，应对系统的废弃过程进行有效安全管理。已建信息系统安全等级保护的实施 已建信息系统通常处于系统运行维护阶段，但由于在启动准备阶段、设计/开发阶段和实施/实现阶段可能没有同步考虑国家等级保护的要求，因此，应在信息系统运行维护阶段开始启动等级保护工作，等级保护实施过程中的系统定级阶段、安全规划设计阶段、安全实施阶段的主要活动都将在信息系统生命周期的系统运行维护阶段完成。由于是已经存在的信息系统，工作的重点应放在系统定级阶段如何划分信息系统并确定安全等级、在安全规划设计阶段如何规划设计

36、出符合国家等级保护要求的安全改造方案、在安全实施阶段如何保证在不影响现有业务应用的情况下使各类安全措施可以顺利落实等方面。第三节 信息系统安全等级确定一、信息系统和业务子系统二、决定信息系统安全保护等级的因素三、确定信息系统安全保护等级的步骤四、信息系统安全保护等级的确定方法五、定级案例分析第三节 信息系统安全等级确定系统定级是实施等级保护的前提和基础。信息系统安全等级的确定是否准确直接关系到是否对信息系统采取了足够的安全保护措施，是否能够将信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度降到最低。信息系统安全保护等级定级指南中阐述了如何对信息系统的

37、安全级别进行定级，提出了量化流程和方法，各行业信息系统的主管部门可以根据该指南制定适合本行业或部门的具体定级方法和指导意见。一、信息系统和业务子系统信息系统是基于计算机或计算机网络，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的人机系统。业务子系统由信息系统的一部分组件构成，是信息系统中能够承载某项业务工作的子系统。按照信息系统的定义，典型的信息系统应由计算机硬件设备（包括服务器设备、客户端设备、打印机及存储器等外围设备）、计算机网络硬件设备（包括交换机、路由器、各种适配器以及通信线路等）、安装于这些硬件设备上的软件、所提供的服务以及相关的人员构成。信息系统内的各业务子

38、系统一般有较为紧密的关联，可能存在共用设备或较为频繁的数据交换。业务子系统是按照信息系统所承载的业务对信息系统进行划分所形成的子系统。业务子系统是信息系统中可以为定级要素赋值的最小单元。业务子系统应具有信息系统的全部特点，是由计算机硬件、计算机网络硬件以及安装于这些硬件上的软件、提供的服务以及相关人员构成的一个有形实体，并且承载确定的业务。如果信息系统只承载一项业务，可以直接为该信息系统确定安全等级，不必划分业务子系统。如果信息系统承载多项业务，应根据各项业务的性质和特点，将信息系统分成若干业务子系统，分别为各业务子系统确定安全保护等级。信息系统的安全保护等级由各业务子系统的最高等级决定。信息

39、系统是进行等级确定和等级保护管理的最终对象。二、决定信息系统安全保护等级的因素 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度决定。从另一个角度看，信息系统重要程度越高，其遭到破坏后对国家安全、经济建设、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度也越高。决定信息系统重要性的要素（一）信息系统所属类型，即信息系统资产的安全利益主体信息系统所属类型在较大程度上决定了信息系统受到破坏后对其社会价值的影响程度。根据社会影响高低，典型的信息系统所属类型、赋值及其社会影响如下表所示。信息系统所属类型举例赋值信息系统的社会影响属于一般企事业单位处理其内部

40、事务的信息系统。1信息系统资产受到破坏会对本单位利益有直接影响。属于重要行业、重要领域和国家基础设施为国计民生、经济建设等提供重要服务的信息系统，或本身虽属于一般企事业单位，但为党政或重要信息系统提供支撑服务的信息系统。2信息系统资产受到破坏会对公共利益有直接影响，或对国家安全利益有间接影响。属于党政机关处理国家事务的信息系统。3信息系统资产受到破坏会对国家安全利益有直接影响。决定信息系统重要性的要素（二）信息系统主要处理的业务信息类型根据信息系统中业务信息保密性、完整性或可用性被破坏后，对国家安全利益、经济建设、公共利益或单位利益的影响程度，典型的业务信息类型、赋值及其安全影响如下表所示。业

41、务信息类型举例赋值业务信息的安全影响可以对外公开发布的信息，或不对外发布的单位内部一般信息。1业务信息保密性、完整性或可用性被破坏会对公共利益或本单位经济利益造成一定损害。法人和其他组织及公民的专有信息，如内部敏感信息、关键技术数据、科技情报、商业秘密等。2业务信息保密性、完整性或可用性被破坏会对公共利益或本单位经济利益造成严重损害。涉及国家安全利益，影响国家经济建设的信息。3业务信息保密性、完整性或可用性被破坏会对国家安全利益和国家经济建设造成损害。决定信息系统重要性的要素（三）信息系统服务范围，包括服务对象和服务网络覆盖范围根据信息系统因完整性和可用性受到破坏，无法提供服务或无法提供有效服

42、务造成的社会影响范围大小，典型的信息系统服务范围、赋值和相关影响如下表所示。信息系统服务范围举例赋值服务范围的影响地区范围的服务网络。1信息系统因无法提供服务或无法提供有效服务会对局部范围的资产造成损害。省级范围的服务网络。2信息系统因无法提供服务或无法提供有效服务会对较大范围的资产造成损害。全国范围的服务网络。3信息系统因无法提供服务或无法提供有效服务会对全国范围的资产造成损害。决定信息系统重要性的要素（四）业务对信息系统的依赖程度根据信息系统因完整性和可用性受到破坏，无法提供服务或无法提供有效服务对单位完成其业务使命的最大影响程度，典型的业务依赖程度、赋值及相关影响如下表所示。业务依赖程度

43、举例赋值业务系统影响业务处理流程的大部分可以通过手工方式或其他方式替代完成，自动化程度低。1信息系统无法提供服务或无法提供有效服务对单位完成其业务使命影响较小。业务处理流程的部分环节可以通过手工方式或其他方式替代完成，自动化程度中。2信息系统无法提供服务或无法提供有效服务对单位完成其业务使命影响较大。业务处理流程完全依赖信息系统，手工方式无法完成，自动化程度高。3信息系统无法提供服务或无法提供有效服务使单位无法完成其业务使命。等级确定的原则满足国家管理要求原则满足国家管理要求原则信息系统安全保护等级既不是信息系统安全保信息系统安全保护等级既不是信息系统安全保障等级，也不是信息系统所能达到的技术

44、能障等级，也不是信息系统所能达到的技术能力等级，而是从国家管理的需要出发，从信力等级，而是从国家管理的需要出发，从信息系统对国家安全、经济建设、公共利益等息系统对国家安全、经济建设、公共利益等方面的重要性，以及信息或信息系统被破坏方面的重要性，以及信息或信息系统被破坏后造成危害的严重性角度确定的信息系统应后造成危害的严重性角度确定的信息系统应达到的安全等级。达到的安全等级。全局性原则全局性原则信息系统安全等级保护是针对全国范围内、涵信息系统安全等级保护是针对全国范围内、涵盖各个行业信息系统的管理制度，信息系统盖各个行业信息系统的管理制度，信息系统安全保护等级的划分也必须从国家层面考虑，安全保护

45、等级的划分也必须从国家层面考虑，体现全局性。体现全局性。等级确定的原则业务为核心原则业务为核心原则信息系统是为业务应用服务的，信息系统的安信息系统是为业务应用服务的，信息系统的安全保护等级应当依据信息系统承载业务的全保护等级应当依据信息系统承载业务的重要性、业务对信息系统的依赖度和系统重要性、业务对信息系统的依赖度和系统特殊的安全需求确定。特殊的安全需求确定。合理性原则合理性原则不同于信息安全产品，信息系统千差万别，各不同于信息安全产品，信息系统千差万别，各具特色，只有在划分安全保护等级的过程具特色，只有在划分安全保护等级的过程中，尽可能反映出信息系统的主要安全特中，尽可能反映出信息系统的主要

46、安全特征，合理划分等级，才能做到突出重点，征，合理划分等级，才能做到突出重点，适度保护。适度保护。决定等级的主要因素分析已在不同分级方法中出现的作为划分信息系统安已在不同分级方法中出现的作为划分信息系统安全等级的因素主要包括：全等级的因素主要包括：业务系统在国家事务中的重要性业务系统在国家事务中的重要性（实施意见）；（实施意见）；资产资产（包括有形资产和无形资产）（包括有形资产和无形资产）（FIPS199，IATF，DITSCAP，NIST800-37）；）；威胁威胁（IATF）；）；信息被破坏后对国家、社会公共利益和单位或个人的信息被破坏后对国家、社会公共利益和单位或个人的影响影响（FIPS

47、199，通用要求，实施指南）；，通用要求，实施指南）；业务对信息系统的依赖程度业务对信息系统的依赖程度（DITSCAP）决定等级的主要因素分析划分等级时应考虑以下因素：划分等级时应考虑以下因素：系统所属类型，即信息系统的安全利益主体。系统所属类型，即信息系统的安全利益主体。信息系统主要处理的业务信息类别。信息系统主要处理的业务信息类别。系统服务范围，包括服务对象和服务网络覆盖范围。系统服务范围，包括服务对象和服务网络覆盖范围。业务依赖程度程度，或以手工作业替代信息系统处理业务业务依赖程度程度，或以手工作业替代信息系统处理业务的程度的程度其中第其中第1、2个要素决定信息系统内信息资产的重要性，个

48、要素决定信息系统内信息资产的重要性，第第3、4个要素决定信息系统所提供服务的重要性，而个要素决定信息系统所提供服务的重要性，而信息资产及信息系统服务的重要性决定了信息系统的信息资产及信息系统服务的重要性决定了信息系统的重要性。重要性。决定等级的主要因素分析系统所属类型系统所属类型业务信息类别业务信息类别系统服务范围系统服务范围业务依赖程度程度业务依赖程度程度业务信息安全性业务信息安全性业务服务保证性业务服务保证性决定等级的主要因素分析业务信息安全性业务信息安全性业务服务保证性业务服务保证性信息系统安全保护等级信息系统安全保护等级等级确定方法信息系统划分等级确定方法等级确定步骤等级调整信息系统划

49、分一个组织机构内可能运行一个或多个信息系一个组织机构内可能运行一个或多个信息系统，这些信息系统的安全保护等级可以是相同的，统，这些信息系统的安全保护等级可以是相同的，也可以是不同的。为体现重点保护重要信息系统安也可以是不同的。为体现重点保护重要信息系统安全，有效控制信息安全建设成本，优化信息安全资全，有效控制信息安全建设成本，优化信息安全资源配置的等级保护原则，在进行信息系统的划分时源配置的等级保护原则，在进行信息系统的划分时应考虑以下几个方面：应考虑以下几个方面：1、相同的管理机构、相同的管理机构 2、相同的业务类型、相同的业务类型3、相同的物理位置或相似的运行环境、相同的物理位置或相似的运

50、行环境 信息系统划分定级对象：定级对象：如果信息系统只承载一项业务，可以直接为如果信息系统只承载一项业务，可以直接为该信息系统确定等级。该信息系统确定等级。如果信息系统承载多项业务，应根据各项业如果信息系统承载多项业务，应根据各项业务的性质和特点，将信息系统分成若干业务子系统，务的性质和特点，将信息系统分成若干业务子系统，分别为各业务子系统确定安全保护等级，信息系统分别为各业务子系统确定安全保护等级，信息系统的安全保护等级由各业务子系统的最高等级决定。的安全保护等级由各业务子系统的最高等级决定。信息系统是进行等级确定和等级保护管理的最终对信息系统是进行等级确定和等级保护管理的最终对象。象。信息

51、系统划分信息系统内的各业务子系统一般有较为紧密信息系统内的各业务子系统一般有较为紧密的关联，可能存在共用设备或较为频繁的数据交换。的关联，可能存在共用设备或较为频繁的数据交换。业务子系统是按照信息系统所承载的业务对业务子系统是按照信息系统所承载的业务对信息系统进行划分所形成的子系统。业务子系统是信息系统进行划分所形成的子系统。业务子系统是信息系统中可以为定级要素赋值的最小单元，业务信息系统中可以为定级要素赋值的最小单元，业务子系统应具有信息系统的全部特点子系统应具有信息系统的全部特点。等级确定方法具体步骤：具体步骤：通过对信息系统类型和业务信息类型赋值，确定信通过对信息系统类型和业务信息类型赋

52、值，确定信息系统的业务信息安全性等级；息系统的业务信息安全性等级；通过对信息系统服务范围和业务依赖程度赋值，确通过对信息系统服务范围和业务依赖程度赋值，确定信息系统的业务服务保证性等级；定信息系统的业务服务保证性等级；通过业务信息安全性等级和业务服务保证性等级确通过业务信息安全性等级和业务服务保证性等级确定信息系统安全保护等级。定信息系统安全保护等级。等级调整等级调整 确定信息系统安全保护等级的步骤为确定信息系统的安全保护等级，首先要确定信息系统内各业务子系统在上述四个定级要素方面的赋值，然后分别由四个定级要素确定业务信息安全性和业务服务保证性两个定级指标的等级，再根据业务信息安全性等级和业务

53、服务保证性等级确定业务子系统安全保护等级，最后由信息系统内各业务子系统的最高等级确定信息系统的安全保护等级。信息系统类型赋值表表1：信息系统所属类型赋值表：信息系统所属类型赋值表信息系统所属信息系统所属类型赋值类型赋值信息系统的社会影响信息系统的社会影响1信息系统受到破坏会对单位利益有直信息系统受到破坏会对单位利益有直接影响接影响2信息系统受到破坏会对公共利益有直信息系统受到破坏会对公共利益有直接影响，或对国家安全利益有间接影接影响，或对国家安全利益有间接影响响3信息系统受到破坏会对国家安全利益信息系统受到破坏会对国家安全利益有直接影响有直接影响信息系统类型举例典型的信息系统所属类型典型的信息

54、系统所属类型 信息系统所属信息系统所属类型赋值类型赋值信息系统所属类型信息系统所属类型1属于一般企事业单位，处理其内部事属于一般企事业单位，处理其内部事务的信息系统务的信息系统2属于重要行业、重要领域和国家基础属于重要行业、重要领域和国家基础设施，为国计民生、经济建设等提供设施，为国计民生、经济建设等提供重要服务的信息系统，或本身虽属一重要服务的信息系统，或本身虽属一般企事业单位，但为党政或重要信息般企事业单位，但为党政或重要信息系统提供支撑服务的信息系统。系统提供支撑服务的信息系统。3属于党政机关，处理国家事务的信息属于党政机关，处理国家事务的信息系统系统业务信息类型赋值表表2：业务信息类型

55、赋值表：业务信息类型赋值表业务信息类型业务信息类型赋值赋值业务信息的影响业务信息的影响1业务信息被破坏或泄漏会对公共利益业务信息被破坏或泄漏会对公共利益或单位经济利益造成一定损害或单位经济利益造成一定损害2业务信息被破坏或泄漏会对公共利益业务信息被破坏或泄漏会对公共利益或单位经济利益造成严重损害或单位经济利益造成严重损害3业务信息被破坏或泄漏会对国家安全业务信息被破坏或泄漏会对国家安全利益和国家经济建设造成损害利益和国家经济建设造成损害业务信息类型举例典型的业务信息类型典型的业务信息类型 业务信息类型业务信息类型赋值赋值业务信息类型业务信息类型1可以对外公开发布的数据信息，或可以对外公开发布的

56、数据信息，或单位内不对外发布的一般信息单位内不对外发布的一般信息2法人和其他组织及公民的专有信息法人和其他组织及公民的专有信息3涉及国家安全利益，影响国家经济涉及国家安全利益，影响国家经济建设的信息建设的信息 确定业务信息安全性业务信息安全性等级矩阵业务信息安全性等级矩阵 业务信息类型业务信息类型信息系统类型信息系统类型12311222233344信息系统服务范围赋值表表3：信息系统服务范围赋值表：信息系统服务范围赋值表信息系统服务信息系统服务范围赋值范围赋值服务范围的影响服务范围的影响1信息系统因无法提供服务或无法提供信息系统因无法提供服务或无法提供有效服务会对局部范围的资产有效服务会对局部

57、范围的资产有影响有影响2信息系统因无法提供服务或无法提供信息系统因无法提供服务或无法提供有效服务会对局部范围的资产有效服务会对局部范围的资产造成损造成损害害3信息系统因无法提供服务或无法提供信息系统因无法提供服务或无法提供有效服务会对有效服务会对全国范围的造成损害全国范围的造成损害信息系统服务范围举例典型的信息系统服务范围典型的信息系统服务范围 信息系统信息系统服务范围赋值服务范围赋值信息系统服务范围类型信息系统服务范围类型1地区范围的服务网络地区范围的服务网络2省级范围的服务网络省级范围的服务网络3全国范围的服务网络全国范围的服务网络业务依赖程度赋值表表4：业务依赖程度赋值表：业务依赖程度赋

58、值表业务依赖业务依赖程度赋值程度赋值业务影响业务影响1信息系统无法提供服务或无法提供有效信息系统无法提供服务或无法提供有效服务对单位完成其业务使命影响较小服务对单位完成其业务使命影响较小 2信息系统无法提供服务或无法提供有效信息系统无法提供服务或无法提供有效服务对单位完成其业务使命影响较大服务对单位完成其业务使命影响较大 3信息系统无法提供服务或无法提供有效信息系统无法提供服务或无法提供有效服务使单位无法完成其业务使命。服务使单位无法完成其业务使命。业务依赖程度举例典型的依赖程度典型的依赖程度 业务依赖程业务依赖程度赋值度赋值业务依赖程度类型业务依赖程度类型1整个业务处理流程可以通过手工整个业

59、务处理流程可以通过手工方式或其他方式完成方式或其他方式完成2业务处理流程的部分环节可以通业务处理流程的部分环节可以通过手工方式或其他方式替代完成过手工方式或其他方式替代完成3业务处理流程完全依赖信息系统，业务处理流程完全依赖信息系统，手工方式无法完成。手工方式无法完成。确定业务服务保证性业务服务保证性等级矩阵业务服务保证性等级矩阵 信息系统服务信息系统服务范围范围业务依赖程度业务依赖程度123112322343344业务服务保证性的调节调节因子调节因子k 的取值范围为大于的取值范围为大于0小于小于1的数值。的数值。调节因子赋值表调节因子赋值表 赋值描述赋值描述调节因子调节因子k信息系统所承载业

60、务的中断会信息系统所承载业务的中断会造成国家安全利益损失造成国家安全利益损失1.0 k 0.8信息系统所承载业务的中断会信息系统所承载业务的中断会造成较大范围的公共利益损失造成较大范围的公共利益损失0.8 k 0.5 信息系统所承载业务的中断会信息系统所承载业务的中断会造成局部利益损失造成局部利益损失0.5 k 0 调节结果调节后的业务服务保证性等级调节后的业务服务保证性等级 业务服务保证性取值业务服务保证性取值调节因子调节因子业务服务保证性等级业务服务保证性等级2k 1.6122.0 k 1.423k 1.6132.6 k 1.4233.0 k 2.434k 1.6142.6 k 1.424

61、3.6 k 2.4344.0 k 3.44确定信息系统安全保护等级 业务子系统的安全保护等级由业务信息安全性等级和业务服务保证性等级较高者决定。信息系统的安全保护等级由各业务子系统的最高等级决定。等级的调整提升级别的主要参考因素：上级主管部门在政策和管理方面的特殊要求。预测业务信息可能会随着时间的变化从量变转化为质变。业务依赖程度在将来会进一步提高，或随着信息系统所承载的业务不断完善和稳定，与信息系统并行的手工处理（或老的系统）的业务将有可能取消。信息系统服务范围随着业务的发展，将会有较大的变化。例1-系统定级系统简述：系统简述：某省政府网站系统ZFWZ，用于发布政务公开信息、地方行政法规和管

62、理措施、领导讲话、政府办事流程、新闻发布、政府公告、举报投诉、省内经济形势介绍、电子表单下载等信息，服务对象主要是省内企业和市民。例1-系统定级系统等级分析系统等级分析1、网站信息属公开信息，其业务信息类型赋值为1；2、省政府为党政机关，其信息系统类型赋值为3；3、查表知ZFWZ系统的业务信息安全性等级为2级，如下表所示：例1-系统定级系统等级分析系统等级分析业务信息安全性等级矩阵业务信息安全性等级矩阵 业务信息类型业务信息类型信息系统类型信息系统类型1 12 23 31 11 12 22 22 22 23 33 33 34 44 4例1-系统定级系统等级分析4、ZFWZ系统为省内企业和市民服

63、务，其系统服务范围赋值为2；5、ZFWZ系统对实时性要求不高，没有必须通过网络才能够执行的办事流程。政务服务工作主要通过网络之外完成，网络仅提供相关信息和表单下载，因此其业务自动化处理程度应为1；6、查表知ZFWZ系统的业务服务保证性等级为2，如下表所示：例1-系统定级系统等级分析系统等级分析业务服务保证性等级矩阵业务服务保证性等级矩阵 信息系统服务范围业务依赖程度123112322343344例1-系统定级系统等级分析系统等级分析7、考虑到ZFWZ系统中断仅造成局部利益的损失，一般不会造成社会利益的重要损失，调节因子可选为0.5，查表12知，调节后ZFWZ系统的业务服务保证性等级为1级；8、

64、ZFWZ系统的安全保护等级为2级。例2-系统定级系统简述：系统简述：系统简述：某省电力集团公司的省级电力实时监控系统，主要用于调度自动化控制系统和能量管理系统（SCADA/EMS）DDZDH，负责省级超高压输电变电站的调度控制和数据采集。系统实时性要求极高，达到秒级。例2-系统定级系统等级分析系统等级分析1、DDZDH系统信息属企业专有信息，这些信息被破坏会对公众利益造成严重影响，其业务信息类型赋值为2；2、电力行业为国家重要基础领域，DDZDH系统为其中的重要信息系统，其信息系统类型赋值应为2；3、查表知DDZDH系统的业务信息安全性等级为3级，如下表所示：例2-系统定级系统等级分析系统等级

65、分析业务信息安全性等级矩阵业务信息安全性等级矩阵 业务信息类型业务信息类型信息系统类型信息系统类型1 12 23 31 11 12 22 22 22 23 33 33 34 4例2-系统定级系统等级分析系统等级分析4、DDZDH系统为省内企业和市民提供电力支持，其系统服务范围赋值为2；5、DDZDH系统对实时性要求高，且无法采用手工作业替代，其业务自动化处理程度应为3；6、查表知DDZDH系统的业务服务保证性等级为4，如下表所示：例2-系统定级系统等级分析系统等级分析业务服务保证性等级矩阵业务服务保证性等级矩阵 信息系统服务范围业务依赖程度112112322343344例2-系统定级系统等级分

66、析系统等级分析7、考虑到电力系统关系国防和国民经济命脉，是国家重要基础设施，DDZDH系统调节因子可选为1，查表12知，调节后DDZDH系统的业务服务保证性等级为4级；8、DDZDH系统的安全保护等级为4级。第四节 信息系统安全等级保护要求一、安全保护能力等级划分二、基本要求安全保护能力等级划分基本原理：1级安全保护能力：应具有能够对抗来自个人的、拥有很少资源（如利用公开可获取的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度弱、持续时间很短、系统局部范围等）以及其他相当危害程度威胁的能力，并在威胁发生后，能够恢复部分功能。安全保护能力等级划分2级安全保护能力：应具有能够对抗来自小型组织的（如自发的三两人组成的黑客组织）、拥有少量资源（如个别人员能力、公开可获或特定开发的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度一般、持续时间短、覆盖范围小（局部性）等）以及其他相当危害程度（无意失误、设备故障等）威胁的能力，并在威胁发生后，能够在一段时间内恢复部分功能。安全保护能力等级划分3级安全保护能力：应具有能够对抗来自大型的、有组织的团体（如一个商业情报组织或犯