等級(jí)保護(hù)培訓(xùn),,目錄,等級(jí)保護(hù)概念介紹 等級(jí)保護(hù)流程介紹 等級(jí)保護(hù)定級(jí) 等級(jí)保護(hù)基本要求 等級(jí)保護(hù)實(shí)施 等級(jí)保護(hù)測(cè)評(píng) 我公司開展的等級(jí)保護(hù)服務(wù),等級(jí)保護(hù)標(biāo)準(zhǔn)制修訂背景,2003年9月 中辦國辦頒發(fā) 關(guān)于加強(qiáng)信息安全保障工作的意見 中辦發(fā)200327號(hào),2005年9月 國信辦文件 關(guān)于轉(zhuǎn)發(fā)電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南的通知 國信辦200425號(hào),2006年1月 四部委會(huì)簽 關(guān)于印發(fā)信息安全等級(jí)保護(hù)管理辦法的通知 公通字20067號(hào),2005年 公安部標(biāo)準(zhǔn) 基本要求 定級(jí)指南 實(shí)施指南 測(cè)評(píng)準(zhǔn)則,2004年11月 四部委會(huì)簽 關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見 公通字200466號(hào),云南 云南省人民政府第130號(hào)令,浙江 浙江省人民政府令,北京 北京政府第9號(hào)令,國家級(jí)政策文件,國家級(jí)技術(shù)標(biāo)準(zhǔn),國家級(jí)政策文件,地方政策文件,什么是等級(jí)保護(hù)？,信息系統(tǒng)安全等級(jí)保護(hù)是指對(duì)信息和信息系統(tǒng)劃分為五個(gè)安全保護(hù)和監(jiān)管等級(jí)，實(shí)行分等級(jí)保護(hù)。,“一個(gè)提高，四個(gè)有利于” 有效地提高我國信息安全建設(shè)的整體水平 有利于在信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相協(xié)調(diào)； 有利于加強(qiáng)對(duì)涉及國家安全、經(jīng)濟(jì)秩序、社會(huì)穩(wěn)定和公共利益的信息系統(tǒng)的安全保護(hù)和管理監(jiān)督；,為什么實(shí)行等級(jí)保護(hù)？,有利于明確國家、法人和其他組織、公民的安全責(zé)任，強(qiáng)化政府監(jiān)管職能，共同落實(shí)各項(xiàng)安全建設(shè)和安全管理措施； 有利于提高安全保護(hù)的科學(xué)性、整體性、針對(duì)性，推動(dòng)信息安全產(chǎn)業(yè)水平，逐步探索一條適應(yīng)社會(huì)主義市場經(jīng)濟(jì)發(fā)展的信息安全發(fā)展模式。,為什么實(shí)行等級(jí)保護(hù)？,為什么實(shí)行等級(jí)保護(hù)？,2003-2007被篡改網(wǎng)站數(shù)量我國,為什么實(shí)行等級(jí)保護(hù)？,真正的中國工商銀行網(wǎng)站,假冒的中國工商銀行網(wǎng)站,等保的對(duì)象及頻度,系統(tǒng)新建 發(fā)生過重大事件 未進(jìn)行過測(cè)評(píng) 網(wǎng)絡(luò)或信息系統(tǒng)重大變更 安全事件爆發(fā) 監(jiān)管部門提出要求（重要時(shí)期前，例奧運(yùn)會(huì)，亞運(yùn)會(huì)） 每年（三級(jí)）進(jìn)行一次 每半年（四級(jí)）進(jìn)行一次,目錄,等級(jí)保護(hù)概念介紹 等級(jí)保護(hù)流程介紹 等級(jí)保護(hù)定級(jí) 等級(jí)保護(hù)基本要求 等級(jí)保護(hù)實(shí)施 等級(jí)保護(hù)測(cè)評(píng) 我公司開展的等級(jí)保護(hù)服務(wù),等級(jí)保護(hù)測(cè)評(píng)流程,等保測(cè)評(píng)參考標(biāo)準(zhǔn),GB/T22240信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南 GB/T22239信息系統(tǒng)安全等級(jí)保護(hù)基本要求 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則（已基本廢棄）,目錄,等級(jí)保護(hù)概念介紹 等級(jí)保護(hù)流程介紹 等級(jí)保護(hù)定級(jí) 等級(jí)保護(hù)基本要求 等級(jí)保護(hù)實(shí)施 等級(jí)保護(hù)驗(yàn)收測(cè)評(píng) 我公司開展的等級(jí)保護(hù)支持服務(wù),等級(jí)保護(hù)定級(jí)維度,等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體 對(duì)客體造成侵害的程度,定級(jí)階段-關(guān)于定級(jí)范圍,（一）電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，經(jīng)營性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。 （二）鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險(xiǎn)、外交、科技、發(fā)展改革、國防科技、公安、人事勞動(dòng)和社會(huì)保障、財(cái)政、審計(jì)、商務(wù)、水利、國土資源、能源、交通、文化、教育、統(tǒng)計(jì)、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)。 （三）市（地）級(jí)以上黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng),一、定級(jí)對(duì)象的三個(gè)條件 具有唯一確定的安全責(zé)任單位 作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)能夠唯一地確定其安全責(zé)任單位，這個(gè)安全責(zé)任單位就是負(fù)責(zé)等級(jí)保護(hù)工作部署、實(shí)施的單位，也是完成等級(jí)保護(hù)備案和接受監(jiān)督檢查的直接責(zé)任單位。 滿足信息系統(tǒng)的基本要素 作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體。應(yīng)避免將某個(gè)單一的系統(tǒng)組件，如單臺(tái)的服務(wù)器、終端或網(wǎng)絡(luò)設(shè)備等作為定級(jí)對(duì)象。,定級(jí)階段-關(guān)于定級(jí)對(duì)象確定,一、定級(jí)對(duì)象的三個(gè)條件 承載相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用 定級(jí)對(duì)象承載“相對(duì)獨(dú)立”的業(yè)務(wù)應(yīng)用是指其中的一個(gè)或多個(gè)業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程、部分業(yè)務(wù)功能獨(dú)立，同時(shí)與其他信息系統(tǒng)的業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換，定級(jí)對(duì)象可能會(huì)與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備?！跋鄬?duì)獨(dú)立”的業(yè)務(wù)應(yīng)用并不意味著整個(gè)業(yè)務(wù)流程，可以是完整的業(yè)務(wù)流程的一部分。,定級(jí)階段-關(guān)于定級(jí)對(duì)象確定,二、定級(jí)對(duì)象的識(shí)別和劃分 可能使定級(jí)要素賦值不同因素 可能涉及不同客體的系統(tǒng)。 可能對(duì)客體造成不同程度損害的系統(tǒng)。 處理不同類型業(yè)務(wù)的系統(tǒng)。 本身運(yùn)行在不同的網(wǎng)絡(luò)環(huán)境中的系統(tǒng)。 分不開的系統(tǒng)，按照高級(jí)別保護(hù)。,定級(jí)階段-關(guān)于定級(jí)對(duì)象確定,識(shí)別單位基本信息 了解單位基本信息有助于判斷單位的職能特點(diǎn)，單位所在行業(yè)及單位在行業(yè)所處的地位和所用，由此判斷單位主要信息系統(tǒng)的宏觀定位。 識(shí)別業(yè)務(wù)種類、流程和服務(wù) 應(yīng)重點(diǎn)了解定級(jí)對(duì)象信息系統(tǒng)中不同業(yè)務(wù)系統(tǒng)提供的服務(wù)在影響履行單位職能方面具體方式和程度，影響的區(qū)域范圍、用戶人數(shù)、業(yè)務(wù)量的具體數(shù)據(jù)以及對(duì)本單位以外機(jī)構(gòu)或個(gè)人的影響等方面。這些具體數(shù)據(jù)即可以為主管部門制定定級(jí)指導(dǎo)意見提供參照，也可以作為主管部門審批定級(jí)結(jié)果的重要依據(jù)。,定級(jí)階段-關(guān)于定級(jí)過程,識(shí)別信息 調(diào)查了解定級(jí)對(duì)象信息系統(tǒng)所處理的信息，了解單位對(duì)信息的三個(gè)安全屬性的需求，了解不同業(yè)務(wù)數(shù)據(jù)在其保密性、完整性和可用性被破壞后在單位職能、單位資金、單位信譽(yù)、人身安全等方面可能對(duì)國家、社會(huì)、本單位造成的影響，對(duì)影響程度的描述應(yīng)盡可能量化。 識(shí)別網(wǎng)絡(luò)結(jié)構(gòu)和邊界 調(diào)查了解定級(jí)對(duì)象信息系統(tǒng)所在單位的整體網(wǎng)絡(luò)狀況、安全防護(hù)和外部連接情況，目的是了解信息系統(tǒng)所處的單位內(nèi)部網(wǎng)絡(luò)環(huán)境和外部環(huán)境特點(diǎn)，以及該信息系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)與單位內(nèi)部網(wǎng)絡(luò)環(huán)境的安全保護(hù)的關(guān)系。,定級(jí)階段-關(guān)于定級(jí)過程,識(shí)別主要的軟硬件設(shè)備 調(diào)查了解與定級(jí)對(duì)象信息系統(tǒng)相關(guān)的服務(wù)器、網(wǎng)絡(luò)、終端、存儲(chǔ)設(shè)備以及安全設(shè)備等，設(shè)備所在網(wǎng)段，在系統(tǒng)中的功能和作用。調(diào)查設(shè)備的位置和作用主要就是發(fā)現(xiàn)不同信息系統(tǒng)在設(shè)備使用方面的共用程度。 識(shí)別用戶類型和分布 調(diào)查了解各系統(tǒng)的管理用戶和一般用戶，內(nèi)部用戶和外部用戶，本地用戶和遠(yuǎn)程用戶等類型，了解用戶或用戶群的數(shù)量分布，判斷系統(tǒng)服務(wù)中斷或系統(tǒng)信息被破壞可能影響的范圍和程度。 形成定級(jí)結(jié)果 取各類信息和服務(wù)的較高。,定級(jí)階段-關(guān)于定級(jí)過程,定級(jí)階段-關(guān)于三種危害程度,不同危害后果的三種危害程度描述如下： 一般損害：工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的財(cái)產(chǎn)損失，有限的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成較低損害。 嚴(yán)重?fù)p害：工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行，出現(xiàn)較嚴(yán)重的法律問題，較高的財(cái)產(chǎn)損失，較大范圍的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成較嚴(yán)重?fù)p害。 特別嚴(yán)重?fù)p害：工作職能受到特別嚴(yán)重影響或喪失行使能力，業(yè)務(wù)能力嚴(yán)重下降且或功能無法執(zhí)行，出現(xiàn)極其嚴(yán)重的法律問題，極高的財(cái)產(chǎn)損失，大范圍的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成非常嚴(yán)重?fù)p害。,等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體包括以下三個(gè)方面： 公民、法人和其他組織的合法權(quán)益； 社會(huì)秩序、公共利益； 國家安全。,定級(jí)階段-三種客體,定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系,對(duì)定級(jí)指南中有關(guān)概念的補(bǔ)充說明： 三種客體 對(duì)客體侵害程度,定級(jí)階段_關(guān)鍵概念的補(bǔ)充說明,三種受侵害的客體體現(xiàn)了三種不同層次、不同覆蓋范圍的社會(huì)關(guān)系。 國家安全利益體現(xiàn)了國家層面、與全局相關(guān)的國家政治安全、軍事安全、經(jīng)濟(jì)安全、社會(huì)安全、科技安全和資源環(huán)境安全等方面利益。 社會(huì)秩序包括社會(huì)的政治、經(jīng)濟(jì)、生產(chǎn)、生活、科研、工作等各方面的正常秩序。公共利益是指不特定的社會(huì)成員所共同享有的，維持其生產(chǎn)、生活、教育、衛(wèi)生等方面的利益。 合法權(quán)益是法律確認(rèn)的并受法律保護(hù)的公民、法人和其他組織所享有的一定的社會(huì)權(quán)利和利益，,定級(jí)階段-三種客體說明,對(duì)客體的侵害不是威脅直接作用的結(jié)果，而是通過對(duì)等級(jí)保護(hù)對(duì)象信息系統(tǒng)的破壞而導(dǎo)致的，因此確定對(duì)客體侵害的程度時(shí)，必須考慮對(duì)等級(jí)保護(hù)對(duì)象所造成破壞的不同客觀表現(xiàn)形態(tài)以及不同程度的結(jié)果，也就是侵害的客觀方面。,定級(jí)階段,定級(jí)階段-關(guān)于損害的詳述,定級(jí)階段-關(guān)于定級(jí)級(jí)別,定級(jí)階段-關(guān)于定級(jí)方法,定級(jí)的一般方法 信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對(duì)客體的侵害程度可能不同，因此，信息系統(tǒng)定級(jí)也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。 從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)稱業(yè)務(wù)信息安全保護(hù)等級(jí)。 從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)稱系統(tǒng)服務(wù)安全保護(hù)等級(jí)。,定級(jí)階段-關(guān)于定級(jí)方法,定級(jí)階段-關(guān)于定級(jí)方法與流程,根據(jù)業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體以及對(duì)相應(yīng)客體的侵害程度，依據(jù)下表業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表，即可得到業(yè)務(wù)信息安全保護(hù)等級(jí)。,四個(gè)主要因素決定等級(jí),系統(tǒng)所屬類型,業(yè)務(wù)信息類別,系統(tǒng)服務(wù)范圍,業(yè)務(wù)依賴程度,業(yè)務(wù)信息安全性,業(yè)務(wù)服務(wù)保證性,信息系統(tǒng)安全保護(hù)等級(jí),侵害的程度如何？（對(duì)客體造成侵害的程度） 一般損害 嚴(yán)重?fù)p害 特別嚴(yán)重?fù)p害,受到破壞時(shí)侵害了什么？（客體） 公民、法人 社會(huì)秩序、公共利益 國家安全,定級(jí)階段-關(guān)于等級(jí)變更,在信息系統(tǒng)的運(yùn)行過程中，安全保護(hù)等級(jí)應(yīng)隨著信息系統(tǒng)所處理的信息和業(yè)務(wù)狀態(tài)的變化進(jìn)行適當(dāng)?shù)淖兏?，尤其是?dāng)狀態(tài)變化可能導(dǎo)致業(yè)務(wù)信息安全或系統(tǒng)服務(wù)受到破壞后的受侵害客體和對(duì)客體的侵害程度有較大的變化，可能影響到系統(tǒng)的安全保護(hù)等級(jí)時(shí)，應(yīng)根據(jù)定級(jí)標(biāo)準(zhǔn)給出的定級(jí)方法重新定級(jí),定級(jí)案例-三級(jí)系統(tǒng)定級(jí),定級(jí)案例-三級(jí)系統(tǒng)定級(jí),定級(jí)案例-三級(jí)系統(tǒng)定級(jí),定級(jí)案例-三級(jí)系統(tǒng)定級(jí),目錄,等級(jí)保護(hù)概念介紹 等級(jí)保護(hù)流程介紹 等級(jí)保護(hù)定級(jí) 等級(jí)保護(hù)基本要求 等級(jí)保護(hù)實(shí)施 等級(jí)保護(hù)測(cè)評(píng) 我公司開展的等級(jí)保護(hù)服務(wù),基本要求的作用,信息系統(tǒng)安全等級(jí)保護(hù)基本要求,運(yùn)營、使用單位 （安全服務(wù)商）,主管部門 （等級(jí)測(cè)評(píng)機(jī)構(gòu)）,安全保護(hù),測(cè)評(píng)檢查,基本要求的定位,是系統(tǒng)安全保護(hù)、等級(jí)測(cè)評(píng)的一個(gè)基本“標(biāo)尺”，同樣級(jí)別的系統(tǒng)使用統(tǒng)一的“標(biāo)尺”來衡量，保證權(quán)威性，是一個(gè)達(dá)標(biāo)線； 每個(gè)級(jí)別的信息系統(tǒng)按照基本要求進(jìn)行保護(hù)后，信息系統(tǒng)具有相應(yīng)等級(jí)的基本安全保護(hù)能力，達(dá)到一種基本的安全狀態(tài); 是每個(gè)級(jí)別信息系統(tǒng)進(jìn)行安全保護(hù)工作的一個(gè)基本出發(fā)點(diǎn)，更加貼切的保護(hù)可以通過需求分析對(duì)基本要求進(jìn)行補(bǔ)充，參考其他有關(guān)等級(jí)保護(hù)或安全方面的標(biāo)準(zhǔn)來實(shí)現(xiàn);,基本要求的定位,某級(jí)信息系統(tǒng),基本保護(hù),精確保護(hù),基本要求,保護(hù),基本要求,測(cè)評(píng),補(bǔ)充的安全措施 GB17859-1999 通用技術(shù)要求 安全管理要求 高級(jí)別的基本要求 等級(jí)保護(hù)其他標(biāo)準(zhǔn) 安全方面相關(guān)標(biāo)準(zhǔn) 等等,基本保護(hù),特殊需求 補(bǔ)充措施,基本要求基本思路,不同級(jí)別 信息系統(tǒng),重要程度不同,應(yīng)對(duì)不同威脅的能力 (威脅弱點(diǎn)),具有不同的安全保護(hù)能力,不同的基本要求,各個(gè)要素之間的關(guān)系,安全保護(hù)能力,基本安全要求,每個(gè)等級(jí)的信息系統(tǒng),基本技術(shù)措施,基本管理措施,具備,包含,包含,滿足,滿足,實(shí)現(xiàn),基本要求核心思路,某級(jí)系統(tǒng),技術(shù)要求,管理要求,基本要求,建立安全技術(shù)體系,建立安全管理體系,具有某級(jí)安全保護(hù)能力的系統(tǒng),各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀）,安全保護(hù)模型PPDRR,Protection防護(hù) Policy Detection 策略 檢測(cè) Response 響應(yīng),Recovery 恢復(fù),各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀）,一級(jí)系統(tǒng),二級(jí)系統(tǒng),三級(jí)系統(tǒng),四級(jí)系統(tǒng),防護(hù),防護(hù)/監(jiān)測(cè),策略/防護(hù)/監(jiān)測(cè)/恢復(fù),策略/防護(hù)/監(jiān)測(cè)/恢復(fù)/響應(yīng),各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀）,成功的完成業(yè)務(wù),信息保障,深度防御戰(zhàn)略,人,技術(shù),操作,防御網(wǎng)絡(luò)與基礎(chǔ)設(shè)施,防御飛地邊界,防御計(jì)算環(huán)境,支撐性基礎(chǔ)設(shè)施,安全保護(hù)模型IATF,各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀）,一級(jí)系統(tǒng),二級(jí)系統(tǒng),三級(jí)系統(tǒng),四級(jí)系統(tǒng),通信/邊界（基本）,通信/邊界/內(nèi)部（關(guān)鍵設(shè)備）,通信/邊界/內(nèi)部（主要設(shè)備）,通信/邊界/內(nèi)部/基礎(chǔ)設(shè)施（所有設(shè)備）,各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀）,一級(jí)系統(tǒng),二級(jí)系統(tǒng),三級(jí)系統(tǒng),四級(jí)系統(tǒng),計(jì)劃和跟蹤（主要制度）,計(jì)劃和跟蹤（主要制度）,良好定義（管理活動(dòng)制度化）,持續(xù)改進(jìn)（管理活動(dòng)制度化/及時(shí)改進(jìn)）,等級(jí)保護(hù)基本要求構(gòu)架,某級(jí)系統(tǒng),物理安全,技術(shù)要求,管理要求,基本要求,網(wǎng)絡(luò)安全,主機(jī)安全,應(yīng)用安全,數(shù)據(jù)安全,安全管理機(jī)構(gòu),安全管理制度,人員安全管理,系統(tǒng)建設(shè)管理,系統(tǒng)運(yùn)維管理,等級(jí)保護(hù)基本要求效果,基本要求的主要內(nèi)容,由9個(gè)章節(jié)2個(gè)附錄構(gòu)成 1.適用范圍 2.規(guī)范性引用文件 3術(shù)語定義 4.等級(jí)保護(hù)概述 5. 基本要求 附錄A 關(guān)于信息系統(tǒng)整體安全保護(hù)能力的要求 附錄B 基本安全要求的選擇和使用,基本要求的組織方式,某級(jí)系統(tǒng),類,技術(shù)要求,管理要求,基本要求,類,控制點(diǎn),具體要求,控制點(diǎn),具體要求,基本要求-組織方式,某級(jí)系統(tǒng),物理安全,技術(shù)要求,管理要求,基本要求,網(wǎng)絡(luò)安全,主機(jī)安全,應(yīng)用安全,數(shù)據(jù)安全,安全管理機(jī)構(gòu),安全管理制度,人員安全管理,系統(tǒng)建設(shè)管理,系統(tǒng)運(yùn)維管理,基本要求標(biāo)注方式,基本要求 技術(shù)要求 管理要求 要求標(biāo)注 業(yè)務(wù)信息安全類要求（標(biāo)記為S類） 系統(tǒng)服務(wù)保證類要求（標(biāo)記為A類） 通用安全保護(hù)類要求（標(biāo)記為G類）,三類要求之間的關(guān)系,通用安全保護(hù)類要求（G）,業(yè)務(wù)信息安全類（S）,系統(tǒng)服務(wù)保證類（A,安全要求,基本要求的選擇和使用,一個(gè)3級(jí)系統(tǒng),定級(jí)結(jié)果為S3A2，保護(hù)類型應(yīng)該是S3A2G3 第1步: 選擇標(biāo)準(zhǔn)中3級(jí)基本要求的技術(shù)要求和管理要求; 第2步: 要求中標(biāo)注為S類和G類的不變; 標(biāo)注為A類的要求可以選用2級(jí)基本要求中的A類作為基本要求;,安全保護(hù)和系統(tǒng)定級(jí)的關(guān)系,定級(jí)指南要求按照“業(yè)務(wù)信息”和“系統(tǒng)服務(wù)”的需求確定整個(gè)系統(tǒng)的安全保護(hù)等級(jí) 定級(jí)過程反映了信息系統(tǒng)的保護(hù)要求,不同級(jí)別系統(tǒng)控制點(diǎn)的差異,不同級(jí)別系統(tǒng)要求項(xiàng)的差異,目錄,等級(jí)保護(hù)概念介紹 等級(jí)保護(hù)流程介紹 等級(jí)保護(hù)定級(jí) 等級(jí)保護(hù)基本要求 等級(jí)保護(hù)實(shí)施 等級(jí)保護(hù)測(cè)評(píng) 我公司開展的等級(jí)保護(hù)服務(wù),等級(jí)保護(hù)角色和職責(zé),等級(jí)保護(hù)實(shí)施原則,自主保護(hù)原則 信息系統(tǒng)運(yùn)營、使用單位及其主管部門按照國家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定信息系統(tǒng)的安全保護(hù)等級(jí)，自行組織實(shí)施安全保護(hù)。 重點(diǎn)保護(hù)原則 根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，通過劃分不同安全保護(hù)等級(jí)的信息系統(tǒng)，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。 同步建設(shè)原則 信息系統(tǒng)在新建、改建、擴(kuò)建時(shí)應(yīng)當(dāng)同步規(guī)劃和設(shè)計(jì)安全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。 動(dòng)態(tài)調(diào)整原則 要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護(hù)措施。由于信息系統(tǒng)的應(yīng)用類型、范圍等條件的變化及其他原因，安全保護(hù)等級(jí)需要變更的，應(yīng)當(dāng)根據(jù)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重新確定信息系統(tǒng)的安全保護(hù)等級(jí)，根據(jù)信息系統(tǒng)安全保護(hù)等級(jí)的調(diào)整情況，重新實(shí)施安全保護(hù)。,等級(jí)保護(hù)實(shí)施流程,目錄,等級(jí)保護(hù)概念介紹 等級(jí)保護(hù)流程介紹 等級(jí)保護(hù)定級(jí) 等級(jí)保護(hù)基本要求 等級(jí)保護(hù)實(shí)施 等級(jí)保護(hù)測(cè)評(píng) 我公司開展的等級(jí)保護(hù)支持服務(wù),等級(jí)保護(hù)測(cè)評(píng)中的角色關(guān)系,系統(tǒng) 承建單位,主管使用 運(yùn)行單位,測(cè)評(píng)機(jī)構(gòu),專家組,支持測(cè)評(píng) 提供技術(shù)、工程和質(zhì)量文檔 實(shí)施的配合,公安 網(wǎng)監(jiān)部門,測(cè)評(píng)工作組織協(xié)調(diào) 確保技術(shù)、工程和質(zhì)量文檔、提供運(yùn)營相關(guān)文檔的提供 評(píng)審實(shí)施方案等相關(guān)文檔 配合等級(jí)測(cè)評(píng)實(shí)施 測(cè)評(píng)過程中的風(fēng)險(xiǎn)管理和應(yīng)急管理,制定測(cè)評(píng)計(jì)劃和方案等相關(guān)文檔 在相關(guān)單位支持下實(shí)施等級(jí)測(cè)評(píng) 提交測(cè)評(píng)報(bào)告,監(jiān)督方案評(píng)審和系統(tǒng)測(cè)評(píng) 監(jiān)督確保遵守公正的測(cè)評(píng)原則和方法 對(duì)評(píng)估結(jié)論進(jìn)行評(píng)審,測(cè)評(píng)工作 組織與監(jiān)管,測(cè)評(píng)工具和接入點(diǎn),根據(jù)3級(jí)信息系統(tǒng)的測(cè)評(píng)強(qiáng)度要求，在測(cè)試的廣度上，應(yīng)基本覆蓋不同類型的機(jī)制，在數(shù)量、范圍上可以抽樣；在測(cè)試的深度上，應(yīng)執(zhí)行功能測(cè)試和滲透測(cè)試，功能測(cè)試可能涉及機(jī)制的功能規(guī)范、高級(jí)設(shè)計(jì)和操作規(guī)程等文檔，滲透測(cè)試可能涉及機(jī)制的所有可用文檔，并試圖智取進(jìn)入信息系統(tǒng)等。因此，對(duì)其進(jìn)行測(cè)評(píng)，應(yīng)涉及到漏洞掃描工具、滲透測(cè)評(píng)工具集等多種測(cè)試工具。 使用的測(cè)試工具主要有：網(wǎng)絡(luò)漏洞掃描器、數(shù)據(jù)庫安全掃描器、滲透測(cè)試工具集等。,測(cè)評(píng)內(nèi)容-物理安全,物理安全測(cè)評(píng)將通過訪談、文檔審查和實(shí)地察看的方式測(cè)評(píng)信息系統(tǒng)的的物理安全保障情況。主要涉及對(duì)象為屏蔽機(jī)房和主機(jī)房。,測(cè)評(píng)內(nèi)容網(wǎng)絡(luò)安全,網(wǎng)絡(luò)安全測(cè)評(píng)將通過訪談、配置檢查和工具測(cè)試的方式測(cè)評(píng)信息系統(tǒng)的的網(wǎng)絡(luò)安全保障情況。主要涉及對(duì)象為網(wǎng)絡(luò)互聯(lián)設(shè)備、網(wǎng)絡(luò)安全設(shè)備和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等三大類對(duì)象。,測(cè)評(píng)內(nèi)容主機(jī)安全,主機(jī)系統(tǒng)安全測(cè)評(píng)將通過訪談、配置檢查和工具測(cè)試的方式測(cè)評(píng)主機(jī)系統(tǒng)安全保障情況。本次重點(diǎn)測(cè)評(píng)的操作系統(tǒng)包括各網(wǎng)站服務(wù)器、應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器等的操作系統(tǒng)，數(shù)據(jù)庫管理系統(tǒng)為數(shù)據(jù)庫服務(wù)器Sybase。 。,測(cè)評(píng)內(nèi)容應(yīng)用安全和數(shù)據(jù)安全,應(yīng)用安全測(cè)評(píng)將通過訪談、配置檢查和工具測(cè)試的方式測(cè)評(píng)應(yīng)用安全保障情況，主要涉及對(duì)象為用電信息系統(tǒng)、對(duì)外服務(wù)網(wǎng)站系統(tǒng)和遠(yuǎn)程客戶服務(wù)系統(tǒng)。,測(cè)評(píng)內(nèi)容安全管理部分,安全管理部分為全局性問題，涉及安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面。主要是審查相關(guān)管理文檔和記錄文件。,等級(jí)保護(hù)測(cè)評(píng)實(shí)施物理安全,要求：對(duì)于溫濕度控制（G3），在GB/T 22239-2008中的描述為“機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。” 測(cè)評(píng)方法 （1）應(yīng)檢查機(jī)房是否有溫濕度控制設(shè)計(jì)/驗(yàn)收文檔，查看機(jī)房溫、濕度是否滿足GB 2887-89計(jì)算站場地技術(shù)條件的要求，是否能夠滿足系統(tǒng)運(yùn)行需要，是否與當(dāng)前實(shí)際情況相符合。 （2）應(yīng)訪談物理安全負(fù)責(zé)人，詢問機(jī)房是否配備了溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，保證溫濕度能夠滿足計(jì)算機(jī)設(shè)備運(yùn)行的要求，是否在機(jī)房管理制度中規(guī)定了溫濕度控制的要求，是否有人負(fù)責(zé)此項(xiàng)工作 （3）應(yīng)檢查溫、濕度自動(dòng)調(diào)節(jié)設(shè)施是否能夠正常運(yùn)行，查看溫濕度記錄、運(yùn)行記錄和維護(hù)記錄。 （4）應(yīng)訪談機(jī)房維護(hù)人員，詢問是否定期檢查和維護(hù)機(jī)房的溫濕度自動(dòng)調(diào)節(jié)設(shè)施，詢問是否出現(xiàn)過溫濕度影響系統(tǒng)運(yùn)行的事件。,等級(jí)保護(hù)測(cè)評(píng)實(shí)施網(wǎng)絡(luò)安全,按照測(cè)評(píng)方案的要求，核心交換機(jī)SJ6509應(yīng)測(cè)評(píng)網(wǎng)絡(luò)訪問控制（G3）、網(wǎng)絡(luò)安全審計(jì)（G3）、網(wǎng)絡(luò)設(shè)備防護(hù)（G3）等部分的內(nèi)容。 測(cè)評(píng)方法 （1）檢查網(wǎng)絡(luò)設(shè)備測(cè)試報(bào)告，檢查是否符合國家關(guān)于交換機(jī)的安全要求； （2）應(yīng)檢查邊界和主要網(wǎng)絡(luò)設(shè)備上的安全設(shè)置，查看是否對(duì)邊界和主要網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制； （3）應(yīng)測(cè)試邊界和主要網(wǎng)絡(luò)設(shè)備的安全設(shè)置，對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制（如使用任意地址登錄，觀察網(wǎng)絡(luò)設(shè)備的動(dòng)作等）等功能是否有效。,等級(jí)保護(hù)測(cè)評(píng)實(shí)施主機(jī)安全,要求：數(shù)據(jù)庫為Sybase應(yīng)測(cè)評(píng)身份鑒別（S3）、自主訪問控制（S3）、強(qiáng)制訪問控制（S3）、安全審計(jì)（G3）、資源控制（A2）、數(shù)據(jù)備份與恢復(fù)（A2）、數(shù)據(jù)完整性（S3）、數(shù)據(jù)保密性（S3）等部分的內(nèi)容。 測(cè)評(píng)方法：應(yīng)檢查主要數(shù)據(jù)庫管理系統(tǒng)，查看對(duì)管理用戶的身份鑒別是否采用兩個(gè)及兩個(gè)以上鑒別技術(shù)的組合來進(jìn)行身份鑒別（如采用用戶名/口令、挑戰(zhàn)應(yīng)答、動(dòng)態(tài)口令、物理設(shè)備、生物識(shí)別技術(shù)和數(shù)字證書方式的身份鑒別技術(shù)中的任意兩個(gè)組合）。,等級(jí)保護(hù)測(cè)評(píng)實(shí)施應(yīng)用和數(shù)據(jù)安全,要求：業(yè)務(wù)應(yīng)用程序（用戶自主開發(fā)）應(yīng)測(cè)評(píng)身份鑒別（S3）、訪問控制（S3）、安全審計(jì)（G3）、剩余信息保護(hù)（G3）、通信完整性（S3）、通信保密性（S3）、抗抵賴（S3）、軟件容錯(cuò)（A3）、資源控制（A3）、數(shù)據(jù)備份與恢復(fù)（A3）、數(shù)據(jù)完整性（S3）、數(shù)據(jù)保密性（S3）等部分的內(nèi)容。 應(yīng)訪談安全管理員，查看相關(guān)設(shè)計(jì)文檔，檢查業(yè)務(wù)系統(tǒng)數(shù)據(jù)在通信過程中是否采取保密措施，具體措施有哪些； 應(yīng)測(cè)試主要應(yīng)用系統(tǒng)，通過查看通信雙方數(shù)據(jù)包的內(nèi)容，查看系統(tǒng)在通信過程中，對(duì)整個(gè)報(bào)文或會(huì)話過程進(jìn)行加密的功能是否有效。,等級(jí)保護(hù)測(cè)評(píng)實(shí)施管理安全,對(duì)于系統(tǒng)運(yùn)維管理中的密碼管理“應(yīng)建立密碼使用管理制度，使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品”的要求。 測(cè)評(píng)方法：應(yīng)訪談安全員，詢問密碼技術(shù)和產(chǎn)品的使用是否遵照國家密碼管理規(guī)定；應(yīng)檢查是否具有密碼使用管理制度。,目錄,等級(jí)保護(hù)概念介紹 等級(jí)保護(hù)流程介紹 等級(jí)保護(hù)定級(jí) 等級(jí)保護(hù)基本要求 等級(jí)保護(hù)實(shí)施 等級(jí)保護(hù)測(cè)評(píng) 我公司開展的等級(jí)保護(hù)服務(wù),公司行業(yè)資質(zhì),國家信息安全產(chǎn)品測(cè)評(píng)中心認(rèn)定的：“信息系統(tǒng)安全服務(wù)一級(jí)資質(zhì)” 廣東省公安廳首家認(rèn)定的：“信息安全服務(wù)一級(jí)資質(zhì)”(GA01001)； 廣東省公安廳首家認(rèn)定的：“等級(jí)保護(hù)測(cè)評(píng)一級(jí)資質(zhì)”(GA001)； 國家保密局