1、信息安全等級保護(hù)信息安全等級保護(hù)主講內(nèi)容主講內(nèi)容等級保護(hù)的政策定位等級保護(hù)的政策定位v 等級保護(hù)是國家信息安全保障的基本制度v 體現(xiàn)了信息安全是國家安全的重要組成部分v 具有強(qiáng)制實施的性質(zhì)等級保護(hù)政策推進(jìn)現(xiàn)狀等級保護(hù)政策推進(jìn)現(xiàn)狀v行業(yè)等級保護(hù)工作行業(yè)等級保護(hù)工作定級：各行業(yè)針對系統(tǒng)定級都發(fā)布了規(guī)范性文件定級：各行業(yè)針對系統(tǒng)定級都發(fā)布了規(guī)范性文件，統(tǒng)一確定系統(tǒng)的安全等級，統(tǒng)一確定系統(tǒng)的安全等級 電力：電力：電力行業(yè)信息系統(tǒng)安全等級保護(hù)定級實施指南電力行業(yè)信息系統(tǒng)安全等級保護(hù)定級實施指南doc 稅務(wù)：稅務(wù)：稅務(wù)信息系統(tǒng)安全等級保護(hù)定級工作指南稅務(wù)信息系統(tǒng)安全等級保護(hù)定級工作指南 銀行：銀行：銀行業(yè)

2、信息系統(tǒng)定級專家評審意見銀行業(yè)信息系統(tǒng)定級專家評審意見 保險：保險：保險行業(yè)定級指導(dǎo)意見保險行業(yè)定級指導(dǎo)意見 海關(guān)：海關(guān)：海關(guān)總署關(guān)于做好全國海關(guān)信息系統(tǒng)安全等級保護(hù)定級工作的海關(guān)總署關(guān)于做好全國海關(guān)信息系統(tǒng)安全等級保護(hù)定級工作的通知通知 證券：證券：關(guān)于開展證券期貨業(yè)重要信息系統(tǒng)安全等級保護(hù)定級工作的通關(guān)于開展證券期貨業(yè)重要信息系統(tǒng)安全等級保護(hù)定級工作的通知知 0909年等級保護(hù)政策走勢分析年等級保護(hù)政策走勢分析v全國性政策持續(xù)發(fā)文和發(fā)布國家標(biāo)準(zhǔn) 可能正式發(fā)文的“有關(guān)等級保護(hù)檢查工作的推進(jìn)” 可能正式發(fā)布的等級保護(hù)國家標(biāo)準(zhǔn) 信息系統(tǒng)安全等級保護(hù)測評規(guī)范 信息系統(tǒng)安全等級保護(hù)方案設(shè)計指南v行業(yè)

3、和區(qū)域性政策 各行業(yè)等級保護(hù)規(guī)范將會陸續(xù)推出 行業(yè)統(tǒng)一規(guī)劃建設(shè) 地方性法規(guī)將會陸續(xù)推出 行政執(zhí)法、強(qiáng)制實施國務(wù)院信息化工作辦公室制定的標(biāo)準(zhǔn)國務(wù)院信息化工作辦公室制定的標(biāo)準(zhǔn)應(yīng)用在電子政務(wù)應(yīng)用在電子政務(wù)系統(tǒng)系統(tǒng)n 信息系統(tǒng)安全等級保護(hù)實施指南公安部制定的公安部制定的標(biāo)準(zhǔn)標(biāo)準(zhǔn)應(yīng)用在非電子政務(wù)和涉密系統(tǒng)應(yīng)用在非電子政務(wù)和涉密系統(tǒng)n 信息系統(tǒng)安全等級保護(hù)實施指南n 信息系統(tǒng)安全等級保護(hù)基本要求n 信息系統(tǒng)安全等級保護(hù)定級指南等級保護(hù)主要標(biāo)準(zhǔn)計算機(jī)信息計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則v我國政府及各行各業(yè)在進(jìn)行大量的信息系統(tǒng)的建我國政府及各行各業(yè)在進(jìn)行大量的信息系統(tǒng)的建設(shè)，并且已經(jīng)

4、成為國家的重要基礎(chǔ)設(shè)施設(shè)，并且已經(jīng)成為國家的重要基礎(chǔ)設(shè)施 。v計算機(jī)犯罪、黑客攻擊、有害病毒等問題的出現(xiàn)計算機(jī)犯罪、黑客攻擊、有害病毒等問題的出現(xiàn)對社會穩(wěn)定、國家安全造成了極大的危害，信息對社會穩(wěn)定、國家安全造成了極大的危害，信息安全的重要性日益突出。安全的重要性日益突出。 v信息系統(tǒng)安全問題已經(jīng)被提到關(guān)系國家安全和國信息系統(tǒng)安全問題已經(jīng)被提到關(guān)系國家安全和國家主權(quán)的戰(zhàn)略性高度。家主權(quán)的戰(zhàn)略性高度。系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則v大多數(shù)信息系統(tǒng)缺少有效的安全技術(shù)防范措施，大多數(shù)信息系統(tǒng)缺少有效的安全技術(shù)防范措施，安全性非常脆弱安全性非常脆弱 。v我國的信息系統(tǒng)安全專用產(chǎn)品市場

5、一直被外國產(chǎn)我國的信息系統(tǒng)安全專用產(chǎn)品市場一直被外國產(chǎn)品占據(jù)，增加了新的安全隱患品占據(jù)，增加了新的安全隱患 。v因此，盡快建立能適應(yīng)和保障我國信息產(chǎn)業(yè)健康因此，盡快建立能適應(yīng)和保障我國信息產(chǎn)業(yè)健康發(fā)展的國家信息系統(tǒng)安全等級保護(hù)制度已迫在眉發(fā)展的國家信息系統(tǒng)安全等級保護(hù)制度已迫在眉睫睫 。系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則v為了從整體上形成多級信息系統(tǒng)安全保護(hù)體系。為了從整體上形成多級信息系統(tǒng)安全保護(hù)體系。v為了提高國家信息系統(tǒng)安全保護(hù)能力。為了提高國家信息系統(tǒng)安全保護(hù)能力。v為從根本上解決信息社會國家易受攻擊的脆弱性為從根本上解決信息社會國家易受攻擊的脆弱性和有效預(yù)防計算機(jī)犯罪等

6、問題。和有效預(yù)防計算機(jī)犯罪等問題。v中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例第九條明確規(guī)定，計算機(jī)信息系統(tǒng)實行安全等第九條明確規(guī)定，計算機(jī)信息系統(tǒng)實行安全等級保護(hù)。級保護(hù)。系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則v公安部組織制訂了公安部組織制訂了計算機(jī)信息系統(tǒng)安全保護(hù)等計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則級劃分準(zhǔn)則國家標(biāo)準(zhǔn)國家標(biāo)準(zhǔn)v于于19991999年年9 9月月1313日由國家質(zhì)量技術(shù)監(jiān)督局審查通過日由國家質(zhì)量技術(shù)監(jiān)督局審查通過并正式批準(zhǔn)發(fā)布并正式批準(zhǔn)發(fā)布v于于 20012001年年1 1月月1 1日執(zhí)行日執(zhí)行 系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則系統(tǒng)安全

7、保護(hù)等級劃分準(zhǔn)則v該準(zhǔn)則的發(fā)布為計算機(jī)信息系統(tǒng)安全法規(guī)和配套該準(zhǔn)則的發(fā)布為計算機(jī)信息系統(tǒng)安全法規(guī)和配套標(biāo)準(zhǔn)的制定和執(zhí)法部門的監(jiān)督檢查提供了依據(jù)標(biāo)準(zhǔn)的制定和執(zhí)法部門的監(jiān)督檢查提供了依據(jù); ;v為安全產(chǎn)品的研制提供了技術(shù)支持為安全產(chǎn)品的研制提供了技術(shù)支持; ;v為安全系統(tǒng)的建設(shè)和管理提供了技術(shù)指導(dǎo)是我國為安全系統(tǒng)的建設(shè)和管理提供了技術(shù)指導(dǎo)是我國計算機(jī)信息系統(tǒng)安全保護(hù)等級工作的基礎(chǔ)計算機(jī)信息系統(tǒng)安全保護(hù)等級工作的基礎(chǔ) 。系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則準(zhǔn)則準(zhǔn)則規(guī)定了計算機(jī)系統(tǒng)安全保護(hù)能力的規(guī)定了計算機(jī)系統(tǒng)安全保護(hù)能力的五個等級，即：五個等級，即：第一級：用戶自主保護(hù)級第一級：用戶自主

8、保護(hù)級第二級：系統(tǒng)審計保護(hù)級第二級：系統(tǒng)審計保護(hù)級第三級：安全標(biāo)記保護(hù)級第三級：安全標(biāo)記保護(hù)級第四級：結(jié)構(gòu)化保護(hù)級第四級：結(jié)構(gòu)化保護(hù)級第五級：訪問驗證保護(hù)級第五級：訪問驗證保護(hù)級 系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 2007年人民銀行根據(jù)全國重要信息系統(tǒng)安全年人民銀行根據(jù)全國重要信息系統(tǒng)安全等級保護(hù)滴定級工作電視電話會議精神和總行等級保護(hù)滴定級工作電視電話會議精神和總行、各分支行以及銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)實際、各分支行以及銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)實際情況制定了重要信息系統(tǒng)安全等級保護(hù)定級工情況制定了重要信息系統(tǒng)安全等級保護(hù)定級工作。作。 系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則系統(tǒng)安全保護(hù)等級劃分

9、準(zhǔn)則 明確全國商業(yè)性銀行的核心業(yè)務(wù)信息系統(tǒng)或明確全國商業(yè)性銀行的核心業(yè)務(wù)信息系統(tǒng)或綜合業(yè)務(wù)信息系統(tǒng)應(yīng)當(dāng)定為四級，其網(wǎng)上綜合業(yè)務(wù)信息系統(tǒng)應(yīng)當(dāng)定為四級，其網(wǎng)上銀行系統(tǒng)、跨省骨干網(wǎng)絡(luò)、重要支撐設(shè)施銀行系統(tǒng)、跨省骨干網(wǎng)絡(luò)、重要支撐設(shè)施、在線服務(wù)的重要信息系統(tǒng)、重要管理信、在線服務(wù)的重要信息系統(tǒng)、重要管理信息系統(tǒng)等應(yīng)定為三級；政策性銀行中的和息系統(tǒng)等應(yīng)定為三級；政策性銀行中的和核心業(yè)務(wù)信息系統(tǒng)或綜合業(yè)務(wù)信息系統(tǒng)、核心業(yè)務(wù)信息系統(tǒng)或綜合業(yè)務(wù)信息系統(tǒng)、跨省骨干網(wǎng)絡(luò)、重要管理信息系統(tǒng)等應(yīng)定跨省骨干網(wǎng)絡(luò)、重要管理信息系統(tǒng)等應(yīng)定為三級；中國銀聯(lián)的銀行卡信息交換系統(tǒng)為三級；中國銀聯(lián)的銀行卡信息交換系統(tǒng)應(yīng)定為四級，跨

10、省骨干網(wǎng)絡(luò)應(yīng)定為三級。應(yīng)定為四級，跨省骨干網(wǎng)絡(luò)應(yīng)定為三級。其他信息系統(tǒng)可以定為二級。其他信息系統(tǒng)可以定為二級。 主講內(nèi)容主講內(nèi)容發(fā)展?fàn)顩r發(fā)展?fàn)顩r近期狀況近期狀況 目前，我信息系統(tǒng)安全保障工作還處于起步階段。信息系統(tǒng)安全保障工作還處于起步階段。雖然信息系統(tǒng)建設(shè)信息系統(tǒng)建設(shè)時期已經(jīng)考慮到了安全保障能力的建設(shè)，時期已經(jīng)考慮到了安全保障能力的建設(shè)，但是由信息化起步早，建設(shè)周期長，在許多建設(shè)開始之際，國家的相關(guān)法律法規(guī)還不完善，缺乏與國法律法規(guī)還不完善，缺乏與國防信息化建設(shè)相適應(yīng)的安全保障措施和手段，防信息化建設(shè)相適應(yīng)的安全保障措施和手段，因此普遍存在安全保障能安全保障能力低，信息對抗能力不足等問力低，

11、信息對抗能力不足等問題，一方面造成應(yīng)用系統(tǒng)部署進(jìn)度推遲，另一方面造成信息系統(tǒng)不能最大限度地發(fā)揮作用，制約了國防信息化建設(shè)的發(fā)展。 近十年來，全國信息系統(tǒng)按照有關(guān)要求開展信息系統(tǒng)安全保障體系的實施和運(yùn)行工作，取得了一定的成績，但是在實施過程中也存在一些問但是在實施過程中也存在一些問題：早期安全措施要求過于單一，沒有劃分安全層次與級別，題：早期安全措施要求過于單一，沒有劃分安全層次與級別，實施成本比較高等。目前，隨著信息系統(tǒng)等級保護(hù)工作的全面推開，信息系統(tǒng)的安全保護(hù)工作邁上了一個新臺階。 等級保護(hù)現(xiàn)狀 在改造過程中要嚴(yán)格按照國家的相關(guān)標(biāo)準(zhǔn)，結(jié)合信息系統(tǒng)的實際情況，逐在改造過程中要嚴(yán)格按照國家的相關(guān)

12、標(biāo)準(zhǔn)，結(jié)合信息系統(tǒng)的實際情況，逐項進(jìn)行項進(jìn)行安全風(fēng)險分析。安全風(fēng)險分析。根據(jù)安全根據(jù)安全風(fēng)險分析的結(jié)果風(fēng)險分析的結(jié)果，對，對部分保護(hù)部分保護(hù) 要求進(jìn)行要求進(jìn)行適當(dāng)?shù)恼{(diào)整和改造。調(diào)整應(yīng)以不降低信息系統(tǒng)整體安全保護(hù)強(qiáng)度，適當(dāng)?shù)恼{(diào)整和改造。調(diào)整應(yīng)以不降低信息系統(tǒng)整體安全保護(hù)強(qiáng)度，確保國確保國家安全為原則。家安全為原則。 當(dāng)當(dāng)保護(hù)要求不能滿足實際安全需求時保護(hù)要求不能滿足實際安全需求時，應(yīng)適當(dāng)選擇采用部分較高的保護(hù)要求。，應(yīng)適當(dāng)選擇采用部分較高的保護(hù)要求。 當(dāng)當(dāng)保護(hù)要求明顯高于實際安全需求時，保護(hù)要求明顯高于實際安全需求時，可適當(dāng)選擇采用部分較低的保護(hù)要求。可適當(dāng)選擇采用部分較低的保護(hù)要求。 信息系統(tǒng)定級遵