信息安全等级保护定级培训.ppt

信息安全等级保护培训 一 我国在信息安全保障工作中为什么要实行等级保护制度 当前 我国基础信息网络和重要信息系统安全面临的形势十分严峻 既有外部威胁 又有自身脆弱性和薄弱环节 一是针对基础信息网络和重要信息系统的违法犯罪持续上升 二是基础信息网络和重要信息系统安全隐患严重 三是我国的信息安全保障工作基础还很薄弱 二 实行信息安全等级保护制度能够解决哪些主要问题 信息安全等级保护是国家信息安全保障工作的基本制度 基本策略 基本方法 开展信息安全等级保护工作是保护信息化发展 维护国家信息安全的根本保障 是信息安全保障工作中国家意志的体现 有效解决我国信息安全面临的威胁和存在的主要问题 充分体现 适度安全 保护重点 的目的 将有限的财力 物力 人力投入到重要信息系统安全保护中 按标准建设安全保护措施 建立安全保护制度 落实安全责任 有效保护基础信息网络和关系国家安全 经济命脉 社会稳定的重要信息系统的安全 有效提高我国信息安全保障工作的整体水平 三 国家 有关部门和企业在等级保护工作中各自的责任和义务是什么 1 国家层面2 信息安全监管部门 包括公安机关 保密部门 国家密码工作部门 3 信息系统主管部门4 信息系统运营使用单位5 安全服务机构 等级保护工作的职责分工公安机关是等级保护工作的牵头部门 承担着信息安全等级保护工作的监督 检查 指导 国家保密工作部门 国家密码管理部门负责等级保护工作中有关保密工作和密码工作的监督 检查 指导 国信办及地方信息化领导小组办事机构负责等级保护工作部门间的协调 其中 涉及国家秘密信息系统的等级保护监督管理工作由国家保密工作部门负责 非涉及国家秘密信息系统的等级保护监督管理工作由公安机关负责 公安机关牵头开展等级保护工作的法律政策依据1994年 中华人民共和国计算机信息系统安全保护条例 规定 计算机信息系统实行安全等级保护 安全等级的划分标准和安全等级保护的具体办法 由公安部会同有关部门制定 1995年2月18日人大12次会议通过并实施的 中华人民共和国警察法 第二章第六条第十二款规定 公安机关人民警察依法履行 监督管理计算机信息系统的安全保护工作 2003年 国家信息化领导小组关于加强信息安全保障工作的意见 中办发 2003 27号 明确指出 实行信息安全等级保护 要重点保护基础信息网络和关系国家安全 经济命脉 社会稳定等方面的重要信息系统 抓紧建立信息安全等级保护制度 制定信息安全等级保护的管理办法和技术指南 四 近几年来开展了哪些具体工作一是制定了50多个国标和行标 初步形成了信息安全等级保护标准体系二是开展了等级保护基础调查工作三是开展了等级保护试点工作四是出台了公安部 国务院信息化工作办公室等四部门 关于信息安全等级保护工作的实施意见 66号文 信息安全等级保护管理办法 43号文 861号文等政策文件 五是召开 全国重要信息系统安全等级保护定级工作电视电话会议 六是成立 国家信息安全等级保护协调小组 五 等级保护工作的主要流程包括哪些 开展等级保护工作的基本要求是什么 主要流程包括六项内容 一是自主定级与审批 二是评审 三是备案 四是系统安全建设 五是等级测评 六是监督检查 六 开展等级保护工作的总体要求 各基础信息网络和重要信息系统 按照 准确定级 严格审批 及时备案 认真整改 科学测评 的要求完成等级保护的定级 备案 整改 测评等工作 公安机关和保密 密码工作部门要及时开展监督检查 严格审查信息系统所定级别 严格检查信息系统开展备案 整改 测评等工作 对故意将信息系统安全级别定低 逃避公安 保密 密码部门监管 造成信息系统出现重大安全事故的 要追究单位和人员的责任 七 定级工作的主要步骤是什么 定级是等级保护工作的首要环节 是开展信息系统建设 整改 测评 备案 监督检查等后续工作的重要基础 第一步 摸底调查 掌握信息系统底数第二步 确定定级对象第三步 初步确定信息系统等级第四步 信息系统等级评审 第五步 信息系统等级的最终确定与审批第六步 备案 第七步 备案审核 第八步 及时总结并提交总结报告 第一步 摸底调查 掌握信息系统底数 按照 定级工作通知 确定的定级范围 各单位 各部门可以组织开展对所属信息系统进行摸底调查 摸清信息系统底数 掌握信息系统 包括信息网络 的业务类型 应用或服务范围 系统结构等基本情况 为下一步明确要求 落实责任奠定基础 第二步 确定定级对象 一是应用系统应按照不同业务类别单独确定为定级对象 不以系统是否进行数据交换 是否独享设备为确定定级对象条件 起传输作用的基础网络要作为单独的定级对象 二是确认负责定级的单位是否对所定级系统具有安全管理责任 三是具有信息系统的基本要素 第三步 初步确定信息系统等级 信息系统的安全保护等级是信息系统的客观属性 不以已采取或将采取什么安全保护措施为依据 而是以信息系统的重要性和信息系统遭到破坏后对国家安全 社会稳定 人民群众合法权益的危害程度为依据 确定信息系统的安全保护等级 既要防止个别单位片面追求绝对安全而定级过高 也要防止为了逃避监管定级偏低 信息网络的安全等级可以参照在其上运行的信息系统的等级 网络的服务范围和自身的安全需求确定适当的保护等级 不以在其上运行的信息系统的最高等级或最低等级为标准 跨省或者全国统一联网运行的信息系统 可以由主管部门统一确定安全保护等级 由各行业统一规划 统一建设 统一安全保护策略的信息系统 应由各部委统一确定一个级别 由各部委统一规划 分级建设 运行的信息系统 应由部 省 地市分别确定系统等级 但各行业应对该类系统提出定级意见 避免出现同类系统定级出现较大偏差问题 安全保护等级的划分 五级监管 第四步 信息系统等级评审 在信息系统安全保护等级确定过程中 可以聘请专家进行咨询评审 并出具定级评审意见 对拟确定为第四级以上信息系统的 运营使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审 出具评审意见 当专家意见与运营使用单位或者主管部门不一致时 以运营使用单位或者主管部门意见为准 在信息系统安全保护等级确定过程中 可以聘请专家进行咨询评审 并出具定级评审意见 对拟确定为第四级以上信息系统的 运营使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审 出具评审意见 当专家意见与运营使用单位或者主管部门不一致时 以运营使用单位或者主管部门意见为准 第五步 信息系统等级的最终确定与审批 信息系统运营使用单位参考专家定级评审意见 最终确定信息系统等级 形成 定级报告 信息系统运营使用单位有上级主管部门的 应当经上级主管部门对安全保护等级进行审核批准 主管部门一般是指行业的上级主管部门或监管部门 如果是跨地域联网运营使用的信息系统 则必须由其上级主管部门审批 确保同类系统或分支系统在各地域分别定级的一致性 第六步 备案 第二级以上信息系统 在安全保护等级确定后30日内 由其运营 使用单位到所在地设区的市级以上公安机关办理备案手续 隶属于中央的在京单位 其跨省或者全国统一联网运行并由主管部门统一定级的信息系统 由主管部门向公安部办理备案手续 跨省或者全国统一联网运行的信息系统在各地运行 应用的分支系统 应当向当地设区的市级以上公安机关备案 定级工作的结果是以备案完成为标志 基础信息网络和重要信息系统的定级 备案工作9月底前完成 第七步 备案审核 受理备案的公安机关要公布备案受理地点 备案联系方式等 在受理备案时 应对提交的备案材料进行完整性审核和定级准确性审核 对符合等级保护要求的 应颁发信息系统安全等级保护备案证明 发现定级不准的 通知备案单位重新审核确定 第八步 及时总结并提交总结报告 各地区 各部门要结合本地区 本行业开展定级工作的实际 认真总结经验和不足 提出改进和完善定级方法的意见和建议 及时总结定级工作经验 形成定级工作总结报告 并于10月中旬报送公安部 八 定级工作完成后需要开展哪些工作 一是开展安全建设和整改 二是开展等级测评 三是开展自查 九 开展安全等级保护工作依据的主要标准有哪些 1 基础标准 划分准则 GB17859 2 基线标准 信息系统安全等级保护基本要求 3 辅助标准 定级指南 实施指南 测评准则4 目标标准 信息系统通用安全技术要求 GB T20271 网络基础安全技术要求 GB T20270 操作系统安全技术要求 GB T20272 数据库管理系统安全技术要求 GB T20273 终端计算机系统安全等级技术要求 GA T671 信息系统安全管理要求 GB T20269 信息系统安全工程管理要求 GB T20282 5 产品标准 防火墙 入侵检测 终端设备隔离部件等 十 公安机关组织开展等级保护中的职责任务是什么 1 监督 检查 指导信息系统运营使用单位和主管部门开展信息安全等级保护工作 2 监督 检查信息系统运营使用单位的安全保护管理制度和技术措施落实情况 定级和备案情况 安全整改 等级测评 产品使用 自查等情况 十一 公安机关如何对实施信息安全等级保护进行监督管理 一是指导定级 二是受理备案 三是定期检查 系统定级的具体实施 定级基本流程1 表2业务信息安全等级矩阵表根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度 依据表2系统服务安全等级矩阵表 即可得到系统服务安全等级 表3系统服务安全等级矩阵表作为定级对象的信息系统的安全保护等级由业务信息安全等级和系统服务安全等级的较高者决定 定级对象等级确定后 可参照附件中的 信息系统安全保护等级定级报告 模版起草定级报告 不同危害后果的三种危害程度描述如下 一般损害 工作职能受到局部影响 业务能力有所降低但不影响主要功能的执行 出现较轻的法律问题 较低的资产损失 有限的社会不良影响 对其他组织和个人造成较低损害 严重损害 工作职能受到严重影响 业务能力显著下降且严重影响主要功能执行 出现较严重的法律问题 较高的资产损失 较大范围的社会不良影响 对其他组织和个人造成较严重损害 特别严重损害 工作职能受到特别严重影响或丧失行使能力 业务能力严重下降且或功能无法执行 出现极其严重的法律问题 极高的资产损失 大范围的社会不良影响 对其他组织和个人造成非常严重损害 信息安全和系统服务安全被破坏后对客体的侵害程度 由对不同危害结果的危害程度进行综合评定得出 由于各行业信息系统所处理的信息种类和系统服务特点各不相同 信息安全和系统服务安全受到破坏后关注的危害结果 危害程度的计算方式均可能不同 各行业可根据本行业信息特点和系统服务特点 制定危害程度的综合评定方法 并给出侵害不同客体造成损害 严重损害 特别严重损害的具体定义 三种受侵害的客体 国家安全体现了国家层面 与全局相关的国家政治安全 军事安全 经济安全 社会安全 科技安全等方面利益 社会秩序和公共利益包括政治 经济 生产 生活 科研 工作等各方面的正常秩序和社会公众生产 生活 教育 卫生等方面的利益 合法权益是法律确认的并受法律保护的公民 法人和其他组织所享有的一定的社会权利和利益 关于侵害客体和侵害程度 关于国家安全重要的国家事务处理系统 国防工业生产系统和国防设施的控制系统等 广播 电视 网络等重要新闻媒体的发布或播出系统 其受到非法控制可能引发影响国家统一 民族团结和社会安定的重大事件 尖端科技领域的研发 生产系统等影响国家经济竞争力和科技实力的信息系统 以及电力 通信 能源 交通运输 金融等国家重要基础设施的生产 控制 管理系统等 关于社会秩序各级政府机构的社会管理和公共服务系统 如财政 金融 工商 税务 公检法 海关 社保等领域的信息系统 也包括教育 科研机构的工作系统 以及所有为公众提供医疗卫生 应急服务 供水 供电 邮政等必要服务的生产系统或管理系统 关于公共利益借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方面 例如 公共通信设施 公共卫生设施 公共休闲娱乐设施 公共管理设施 公共服务设施等 公共利益与社会秩序密切相关 社会秩序的破坏一般会造成对公共利益的损害 直接的结果和间接的影响 威胁直接作用的结果信息系统的破坏 但是确定对客体侵害的程度时 必须考虑间接的对客体产生的侵害和影响 按照国家安全 社会秩序和公共利益 公民 法人和组织的合法利益的顺序考虑 一 定级对象的三个条件具有唯一确定的安全责任单位作为定级对象的信息系统应能够唯一地确定其安全责任单位 这个安全责任单位就是负责等级保护工作部署 实施的单位 也是完成等级保护备案和接受监督检查的直接责任单位 满足信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设备 设施按照一定的应用目标和规则组合而成的有形实体 应避免将某个单一的系统组件 如单台的服务器 终端或网络设备等作为定级对象 定级阶段 关于定级对象确定 承载相对独立的业务应用定级对象承载 相对独立 的业务应用是指其中的一个或多个业务应用的主要业务流程 部分业务功能独立 同时与其他信息系统的业务应用有少量的数据交换 定级对象可能会与其他业务应用共享一些设备 尤其是网络传输设备 相对独立 的业务应用并不意味着整个业务流程 可以使完整的业务流程的一部分 定级阶段关键技术环节定级对象确定业务信息和系统服务确定受侵害客体和侵害程度的分析 定级阶段 定级对象举例 电力营销系统生产管理系统工程管理系统物资管理系统财务管理系统OA系统EAI EIP系统等 定级阶段 定级对象举例 定级对象结果1本部信息系统供电局信息系统定级对象结果2本部电力调度系统综合信息系统营业部电力调度系统综合信息系统 定级阶段 定级对象举例 定级对象结果3本部数据中心系统用户局域网系统骨干网系统供电局数据中心系统用户局域网系统城域网系统 定级阶段 定级对象举例 定级对象结果4电力营销系统生产管理系统工程管理系统物资管理系统财务管理系统OA系统EAI EIP系统 定级阶段 定级对象举例 处理不同类型业务的系统 本身运行在不同的网络环境中的系统 分不开的系统 按照高级别保护 系统边界不应出现在服务器内部 服务器共用的系统一般归入同一个信息系统 因此不同信息系统的共用设备一般是网络 边界设备或终端设备 两个信息系统边界存在共用设备时 共用设备的安全保护等级按两个信息系统安全保护等级较高者确定 例如 一个2级系统和一个3级系统之间有一个防火墙或两个系统共用一个核心交换机 此时防火墙和交换机可以作为两个系统的边界设备 但应满足3级系统的要求 信息系统的管理终端是与相应被管理设备相对应的 服务器 网络设备及安全设备等属于哪个系统 终端就应归在哪个信息系统中 如果无法做到不同等级的信息系统使用不同的终端设备 则应将终端设备划分为其他的信息系统 并在服务器与内部用户终端之间建立边界保护 对终端通过身份鉴别和访问控制等措施加以控制 处理涉密信息的终端必须划分到相应的信息系统中 且不能与非涉密系统共用终端 业务信息业务系统处理的不同类型的数据系统服务业务系统的服务范围业务系统的服务对象业务系统的服务人数业务系统的服务时间要求 定级阶段 关于业务信息和系统服务的确定 常见情况多类或多种业务信息交易系统客户信息交易数据行情数据配置管理数据等处理方法依此分析选择重要的分析 单位基本信息了解单位基本信息有助于判断单位的职能特点 单位所在行业及单位在行业所处的地位和所用 由此判断单位主要信息系统的宏观定位 业务种类 流程和服务应重点了解定级对象信息系统中不同业务系统提供的服务在影响履行单位职能方面具体方式和程度 影响的区域范围 用户人数 业务量的具体数据等 定级阶段 关于定级报告的关注点 处理的业务信息了解定级对象信息系统所处理的信息 了解单位对信息的三个安全属性的需求 网络结构和边界了解定级对象信息系统所在单位的整体网络状况 安全防护和外部连接情况 目的是了解信息系统所处的单位内部网络环境和外部环境特点 以及该信息系统的网络安全保护与单位内部网络环境的安全保护的关系 主要的软硬件设备了解与定级对象信息系统相关的服务器 网络 终端 存储设备以及安全设备等 设备所在网段 在系统中的功能和作用 调查设备的位置和作用主要就是发现不同信息系统在设备使用方面的共用程度 定级结果理由的说明了解不同业务数据和系统服务在被破坏后对国家 社会 本单位造成的影响的说明