1、信息安全等級保護制度 與國家環(huán)境信息與統(tǒng)計能力建設項目信息安全保障體系介紹 太極計算機股份有限公司,內容,一、信息安全等級保護制度 二、國家環(huán)境信息與統(tǒng)計能力建設項目信息 安全保障體系,一、信息安全等級保護制度,信息安全等級保護制度是什么 信息安全等級保護制度要干什么 如何開展信息安全等級保護工作,引言,在當今社會中，信息已成為人類寶貴的資源，并且可以通過Internet為全球人類所使用與共享。 信息產業(yè)隨著互聯(lián)網技術的發(fā)展在一個國家國民經濟發(fā)展中所占的比重也越來越大。人類生活對Internet的依賴也越來越大。,引言（續(xù)）,由互聯(lián)網的發(fā)展而帶來的信息安全問題正變得突出，網絡安全已成為關系國家

2、安全的重大戰(zhàn)略問題。 保障網絡與信息系統(tǒng)安全，更好地維護國家安全、經濟命脈和社會穩(wěn)定，已經成為信息化發(fā)展中迫切需要解決的重大問題。,我國現(xiàn)狀,近年來，黨中央、國務院高度重視，各有關方面協(xié)調配合、共同努力，我國信息安全保障工作取得了很大進展。但是從總體上看，我國的信息安全保障工作尚處于起步階段，基礎薄弱，水平不高，存在以下突出問題：,存在的問題,大多數(shù)單位雖然采用防火墻作為內外網的邊界防護設備。 重視外部攻擊與入侵，忽視內部的非法行為。 偏重產品，忽視體系和管理。 關鍵技術、產品受制于人。,我們面對的威脅,西方發(fā)達國家信息技術優(yōu)勢明顯，我國面臨信息強國的沖擊、挑戰(zhàn)和威脅，信息安全領域始終面臨信息

3、戰(zhàn)和網絡恐怖襲擊的威脅 ； 敵對勢力的網上煽動、滲透和破壞活動愈加突出，針對信息系統(tǒng)進行的破壞活動日益嚴重，利用網絡實施的違法犯罪案件持續(xù)大幅上升。,面對的威脅（續(xù)）,受威脅的對象是操作系統(tǒng)、數(shù)據庫系統(tǒng)和信息系統(tǒng)，攻擊的目的是使系統(tǒng)癱瘓、信息被竊取、篡改毀壞。早期是能直接接觸計算機系統(tǒng)的人（單機、多用戶終端、局域網），現(xiàn)在攻擊者和方式發(fā)生了變化，廣域網、因特網使任何信息系統(tǒng)參與人都可能成為攻擊者。在參與人中，有正常使用的人，也有非正常使用的人，后者稱之為“攻擊者或黑客”?！肮粽摺狈殖蓭最悾河兄煌康牡?。,面對的威脅（續(xù)）,一般黑客 有組織犯罪 高層次深度打擊,安全防護的重點,系統(tǒng)防入侵 網

4、絡防攻擊 信息防泄露 內容防篡改 內部防越權,網絡信息戰(zhàn),通過利用、改變和癱瘓敵方的信息、信息系統(tǒng)和以計算機為基礎的網絡應用，同時保護己方的信息、信息系統(tǒng)和以計算機為基礎的網絡應用不被敵方利用、改變和癱瘓，以獲取信息優(yōu)勢，而采取的各種作戰(zhàn)行動。 信息戰(zhàn)是現(xiàn)代戰(zhàn)爭的一種新作戰(zhàn)形式。信息戰(zhàn)分為兩大類：一是國家級信息戰(zhàn)，也稱為戰(zhàn)略信息戰(zhàn)；二是戰(zhàn)場信息戰(zhàn)，也稱為指揮控制戰(zhàn)。,戰(zhàn)略信息戰(zhàn),戰(zhàn)略信息戰(zhàn)是利用非殺傷性技術而秘密實施的，不需要公開宣戰(zhàn)。它利用了國家力量的所有手段在國家戰(zhàn)略級形成可競爭的優(yōu)勢，把“戰(zhàn)爭”的范圍擴大到經濟、政治和社會的各個方面。這種信息戰(zhàn)無論在平時、危機時刻還是在戰(zhàn)爭狀態(tài)下都可能發(fā)

5、生。這種信息戰(zhàn)必須有組織地進行，并且要受最高政治機構的嚴格控制。,當前信息安全形勢,外部環(huán)境 各國在大力推進Internet與信息技術應用的同時，抓緊實施國家信息安全保障體系與國防的信息安全防御體系。 各國抓緊研究信息安全策略、制訂體系標準、法律法規(guī)，實施安全計劃。,外部環(huán)境（續(xù)）,2008年5月1日，美國防高級研究計劃局（DARPA）發(fā)布關于展開“國家網絡靶場”項目研發(fā)工作公告。 美國認為，網絡空間是美國經濟、關鍵設施和國家安全的重要基礎，對于國家力量的影響至關重要。為此，美國高度重視研發(fā)以網絡為中心的C4ISR系統(tǒng)和網絡攻防對抗裝備，推進網絡中心戰(zhàn)能力建設。,外部環(huán)境（續(xù)）,2009年1月

6、8日，美國總統(tǒng)布什簽署第54號國家安全總統(tǒng)令和第23號國土安全總統(tǒng)令，要求美國政府所有與安全有關的部門（包括國土安全部、國家安全局等）都參與實施“國家網絡安全綜合計劃”。這是一項長期計劃，將由多個部門參加并分步驟實施，其最終目的是保護美國的網絡安全，防止美國遭受敵對的電子攻擊，并能對敵方展開在線攻擊。,外部環(huán)境（續(xù)）,美國總統(tǒng)奧巴馬2009年5月29日公布了一份由安全部門完成的網絡安全評估報告，表明來自網絡空間的威脅已經成為美國面臨的最嚴重的經濟和軍事威脅之一。 奧巴馬還表示：網絡空間以及它帶來的威脅都是真實的，保護網絡基礎設施將是維護美國國家安全的第一要務。,外部環(huán)境（續(xù)）,6月25日英國出

7、臺首個國家網絡安全戰(zhàn)略 政府將成立兩個網絡安全新部門 網絡安全辦公室和網絡安全行動中心 計劃征召包括黑客在內的網絡精英護衛(wèi)網絡安全 英國已經具備主動發(fā)起網絡攻擊的能力,外部環(huán)境（續(xù)）,臺灣加緊開展信息戰(zhàn)的準備 控制進入大陸的微機板卡、硬盤等。 專門搜集大陸民用網絡（電信、能源、交通、金融及政府等）的結構、路由以及設備情報。 積極研究網絡滲透與病毒植入和激活技術。,產生安全問題的原因,整體信息安全防范意識和能力薄弱; 信息系統(tǒng)安全建設和管理缺乏體系化思想; 信息安全法律法規(guī)不完善，標準體系尚待完善； 自主技術產品缺乏，信息技術產業(yè)未完全形成。,當前的要求與原則,總體要求:堅持積極防御、綜合防范的

8、方針，全面提高信息安全防護能力，重點保護基礎網絡和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網絡環(huán)境，保障和促進信息化發(fā)展，保護公眾利益，維護國家安全。 主要原則：立足國情，以我為主，堅持管理與技術并重；正確處理安全與發(fā)展的關系，以安全促發(fā)展，在發(fā)展中求安全；統(tǒng)籌規(guī)劃，突出重點，強化基礎性工作；明確國家、企業(yè)、個人的責任和義務，充分發(fā)揮各方面的積極性，共同構筑國家信息安全保障體系。,當前的九項任務,全面實行信息安全等級保護制度 加強以密碼技術為基礎的信息保護和網絡信任體系建設 建設和完善信息安全監(jiān)控體系 重視信息安全應急處理工作 加強信息安全技術研究開發(fā)，推進信息安全產業(yè)發(fā)展 加強信息安全法制建設標準化

9、建設 加快信息安全人才培養(yǎng)，增強全民信息安全意識 保證信息安全資金 加強對信息安全保障工作的領導，建立健全信息安全管理責任制,等級保護制度,等級保護制度是什么 等級保護制度要干什么 如何開展等級保護工作,等級保護制度,根據信息系統(tǒng)在國家安全、經濟建設、社會生活中的重要程度；遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度；將信息系統(tǒng)劃分為不同的安全保護等級并對其實施不同的保護和監(jiān)管。,第一級,信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產生損害，但不損害國家安全、社會秩序和公共利益。 信息系統(tǒng)運營、使用單位依照國家有關管理規(guī)范和技術標準進行保護。,

10、第二級,信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害，但不損害國家安全。 信息系統(tǒng)運營、使用單位應當依據國家有關管理規(guī)范和技術標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導,第三級,信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。 信息系統(tǒng)運營、使用單位應當依據國家有關管理規(guī)范和技術標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查。,第四級,信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害 ,或者對國家安全造成嚴重損害。 信息系統(tǒng)運營

11、、使用單位應當依據國家有關管理規(guī)范、技術標準和業(yè)務專門需求進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。,第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴重損害； 信息系統(tǒng)運營、使用單位應當依據國家管理規(guī)范、技術標準和業(yè)務特殊安全需求進行保護。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、檢查。,摘要,等級保護制度是什么 等級保護制度要干什么 如何開展等級保護工作,等級保護制度,體現(xiàn)國家管理意志 構建國家信息安全保障體系 保障信息化發(fā)展和維護國家安全,解決什么,信息安全等級保護是手段，是為了構建國家信息安全保障體系。 信息安全保障體系也

12、是手段，是為了業(yè)務應用發(fā)展。 信息安全等級保護是帶有很強技術性的國家風險控制行為,所謂風險,安全風險管理的目的并不是保證沒有風險，而是要將信息系統(tǒng)帶來的業(yè)務風險控制在可接受的范圍內。 信息安全等級保護的關鍵所在正是基于信息系統(tǒng)所承載應用的重要性，以及該應用損毀后帶來的影響程度來判斷風險是否控制在可接受的范圍內。,安全防護的重點,系統(tǒng)防入侵 網絡防攻擊 信息防泄露 內容防篡改 內部防越權,等級保護制度的作用,提出信息安全工作的思路 劃定信息系統(tǒng)保護的基線 發(fā)現(xiàn)信息系統(tǒng)的問題和差距 明確信息系統(tǒng)安全保護的方向 提升信息系統(tǒng)的安全保護能力,涉及層面,管理層面：國家制定統(tǒng)一信息安全等級保護管理規(guī)范和技

13、術標準，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護，對信息安全產品的使用分等級實行管理，對等級保護工作的實施進行監(jiān)督、指導。,用戶層面 ：公民、法人和其他組織應當按照國家有關等級保護的管理規(guī)范和技術標準開展等級保護工作，服從國家對信息安全等級保護工作的監(jiān)督、指導，保障信息系統(tǒng)安全。,社會層面 ：信息安全產品的研制、生產單位，信息系統(tǒng)的集成、等級測評、風險評估等安全服務機構，依據國家有關管理規(guī)定和技術標準，開展相應工作，并接受國家信息安全職能部門的監(jiān)督管理。,摘要,等級保護制度是什么 等級保護制度要干什么 如何開展等級保護工作,原則,誰擁有誰負責、誰運行誰負責 自主定級、自主保護、監(jiān)督

14、指導,主要流程,一是：定級。 二是：備案。 三是：建設、整改。 四是：等級測評。 五是：定期開展監(jiān)督檢查,安全保護等級確定,信息系統(tǒng)運營、使用單位依據管理辦法和定級指南確定信息系統(tǒng)的安全保護等級。由主管部門的，應當經主管部門的審核批準。 跨省或者全國統(tǒng)一聯(lián)網運行的可以由主管部門統(tǒng)一確定安全保護等級。 對擬定為四級以上的應當請國家信息安全保護等級專家評審委員會評審。,等級保護的備案管理,信息系統(tǒng)運營、使用單位應當在其系統(tǒng)安全保護等級確定后，向當?shù)赝壒矙C關提請備案 備案時應當?shù)絺浒笝C關填寫備案登記表并按要求提交相關資料。 備案登記表/系統(tǒng)體系/功能結構圖/系統(tǒng)安全保護方案或措施/系統(tǒng)安全管理制

15、度等,等級保護的備案管理,信息系統(tǒng)備案信息是國家有關信息安全職能部門了解和掌握重要信息系統(tǒng)的安全保護基本狀況、分析總體安全形勢的基礎資料來源，也是下一步接受備案機關開展各項監(jiān)督檢查工作所必需的基本依據。 新建系統(tǒng)： 已有系統(tǒng)：,環(huán)節(jié)間的關系,定級是等級保護的首要環(huán)節(jié) 分等級保護是等級保護的核心， 建設整改是等級保護工作落實的關鍵 等級測評是評價安全保護狀況的方法 監(jiān)督檢查是保護能力不斷提高的保障,定級指南,安全保護等級 等級的確定是不依賴于安全保護措施的，具有一定的“客觀性”，即該系統(tǒng)在存在之初便由其自身所實現(xiàn)的使命決定了它的安全保護等級，而非由“后天”的安全保護措施決定。,等級保護工作核心,

16、關注點 承擔社會責任，關系國家安全的信息系統(tǒng)的安危 重點保障 業(yè)務信息安全(S) 系統(tǒng)服務連續(xù)(A),等級保護的推進思想,落實信息安全等級保護基本要求，確保系統(tǒng)基本安全； 結合系統(tǒng)自身安全需求，力求系統(tǒng)相對安全。,第一級信息系統(tǒng),能夠抵御來自個人的、擁有很少資源的攻擊，防范一般的自然災難、操作失誤、技術故障等對關鍵資源造成的損害，在系統(tǒng)遭到損害后，能夠恢復主要功能。,第二級信息系統(tǒng),能夠抵御來自外部小型組織的、擁有一定資源的攻擊，防范一般的自然災難、內部人員惡意行為、操作失誤、技術故障等對重要資源造成的損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時間內恢復主要功能。,第

17、三級信息系統(tǒng),能夠在統(tǒng)一安全策略下，抵御來自外部有組織的團體、擁有較為豐富資源的攻擊，防范較為嚴重的自然災難、內部人員惡意行為、操作失誤、技術故障等對主要資源造成的損害，能夠及時監(jiān)測發(fā)現(xiàn)安全漏洞和安全事件；具有一定的備份恢復能力，在系統(tǒng)遭到損害后，能夠較快恢復絕大部分功能。,第四級信息系統(tǒng),能夠在統(tǒng)一安全策略下，抵御來自敵對組織的、擁有豐富資源的攻擊，防范嚴重的自然災難、內部人員惡意行為、操作失誤、技術故障等對資源造成的損害，能夠及時監(jiān)測發(fā)現(xiàn)安全漏洞、跟蹤處置安全事件；具有較強的備份恢復能力，在系統(tǒng)遭到損害后，能夠迅速恢復所有功能。,等級保護的基本要求,基本要求是什么？ 1、安全保護能力的一個

18、基本“標尺”，是一個達標線； 2、滿足基本要求意味著信息系統(tǒng)具有相應等級的基本安全保護能力，達到了一種基本的安全狀態(tài)。 3、基本要求是安全保護的出發(fā)點，不是終點。,GB/T22239-2008,信息系統(tǒng)安全等級保護基本要求,基本要求的定位,基本要求中相應等級的要求是根據各等級系統(tǒng)需要對抗的威脅和應具備的能力而確定的。判斷基本要求是否達到應按此原則分析。 基本要求給出了各級信息系統(tǒng)每一保護方面需達到的要求，但不是具體的安全建設整改方案或作業(yè)指導書，實現(xiàn)基本要求的措施或方式并不局限于基本要求給出的內容，要結合系統(tǒng)自身的特點綜合考慮采取的措施來達到基本要求提出的保護能力,基本要求定位舉例,A點B點，

19、500KM 5H 飛機 OK 火車 OK 汽車 OK 自行車 NO,等級保護的基本要求,內容與作用 為信息系統(tǒng)主管和運營、使用單位提供技術指導 為測評機構提供測評依據 為監(jiān)管職能部門提供監(jiān)督檢查依據 適用環(huán)節(jié) 建設整改、驗收、測評、運維、檢查,基本要求的描述模型,控制點標注 業(yè)務信息安全相關要求（標記為S） 系統(tǒng)服務保證相關要求（標記為A） 通用安全保護要求（標記為G） 技術要求（3種標注） 管理要求（統(tǒng)屬G）,系統(tǒng)基本保護要求的組合,第一級 S1A1G1 第二級 S1A2G2，S2A2G2，S2A1G2 第三級 S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3 第四級 S

20、1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4,如何實現(xiàn),落實信息安全等級保護基本要求，確保系統(tǒng)基本安全； 結合系統(tǒng)自身安全需求，力求系統(tǒng)相對安全。,基本要求的文檔結構,物理安全,技術要求,管理要求,基本要求,網絡安全,主機安全,應用安全,數(shù)據安全及備份恢復,安全管理制度,安全管理機構,人員安全管理,系統(tǒng)建設管理,系統(tǒng)運維管理,類,安全建設基本流程,信息系統(tǒng)安全管理建設,信息系統(tǒng)安全技術建設,開展信息系統(tǒng)安全自查和等級測評,信息系統(tǒng)安全需求分析/相應級別的要求,確定安全策略，制定安全建設方案,物 理 安 全,網 絡 安 全,主 機 安 全,應 用

21、 安 全,數(shù) 據 安 全,安全管理機構,安全管理制度,人員安全管理,系統(tǒng)建設管理,系統(tǒng)運行管理,信息系統(tǒng)安全技術體系設計,物理安全設計,數(shù)據安全設計 備份與恢復,應用系統(tǒng),應用平臺,其他安全設計,機房,辦公環(huán)境,設備和介質,網絡安全設計,通信網絡,區(qū)網邊界,主機安全設計,應用安全設計,服務器,工作站,其他安全設計,其他安全設計,其他安全設計,基本要求中的安全保護技術,身份鑒別 訪問控制 安全審計 數(shù)據完整性 數(shù)據保密性 數(shù)據可用性,病毒防范 入侵檢測 安全監(jiān)控 備份與恢復 密碼使用 等等,基本要求中的安全保護技術,確定安全策略 落實信息安全責任制 建立安全組織機構 加強人員管理 加強系統(tǒng)建設的

22、安全管理 加強運行維護的安全管理,安全技術要求-物理安全,物理安全是指對信息系統(tǒng)所涉及到的主機房、輔助機房、辦公環(huán)境等進行物理安全保護。具體關注內容包括：物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應和電磁防護等方面,安全技術要求-物理安全,安全技術要求-網絡安全,網絡安全是指對信息系統(tǒng)所涉及的通信網絡、網絡邊界、網絡區(qū)域和網絡設備等進行安全保護。具體關注內容包括通信過程數(shù)據完整性、通信過程數(shù)據保密性、保證通信可靠性的設備和線路冗余、區(qū)域網絡的邊界保護、區(qū)域劃分、身份認證、訪問控制、安全審計、入侵防范、惡意代碼防范、網絡設備自身保護和網絡的

23、網絡管理等方面,安全技術要求-網絡安全,安全技術要求-主機安全,主機安全是指對信息系統(tǒng)涉及到的服務器和工作站進行主機系統(tǒng)安全保護。具體關注內容包括操作系統(tǒng)或數(shù)據庫管理系統(tǒng)的選擇、安裝和安全配置、主機入侵防范、惡意代碼防范、資源使用和運行情況監(jiān)控等。其中，安全配置細分為身份鑒別、訪問控制、安全審計等方面的配置內容,安全技術要求-主機安全,安全技術要求-應用安全,應用安全是指對信息系統(tǒng)涉及到的應用系統(tǒng)進行安全保護。具體關注內容包括應用系統(tǒng)實現(xiàn)身份鑒別、訪問控制、安全審計、剩余信息保護、通信完整性、通信保密性、抗抵賴、軟件容錯和資源控制等功能方面,安全技術要求-應用安全,安全技術要求-數(shù)據安全,數(shù)據

24、安全是指對信息系統(tǒng)中業(yè)務數(shù)據的傳輸、存儲和備份恢復進行安全保護。具體關注內容包括數(shù)據備份系統(tǒng)、冗余備用設備以及備份恢復相關技術設施等方面,安全技術要求-數(shù)據安全,安全管理要求-安全管理機構,安全管理結構是指明確領導機構和責任部門。設立或明確信息安全領導機構，明確主管領導，落實責任部門，建立崗位和人員管理制度，根據職責分工，分別設置安全管理機構和崗位，明確每個崗位的職責與任務，落實安全管理責任制,安全管理要求 -安全管理機構,安全管理要求-安全管理制度,安全管理制度是指確定安全管理策略，制定安全管理制度。確定安全管理目標和安全策略，針對信息系統(tǒng)的各類管理活動，制定人員安全管理制度、系統(tǒng)建設管理制

25、度、系統(tǒng)運維管理制度、定期檢查制度等，規(guī)范安全管理人員或操作人員的操作規(guī)程等，形成安全管理體系,安全管理要求 -安全管理制度,安全管理要求-人員安全管理,人員安全管理是指加強人員的安全管理。規(guī)范人員錄用、離崗過程，關鍵崗位簽署保密協(xié)議，對各類人員進行安全意識教育、崗位技能培訓和相關安全技術培訓，對關鍵崗位的人員進行全面、嚴格的安全審查和技能考核。對外部人員允許訪問的區(qū)域、系統(tǒng)、設備、信息等進行控制,安全管理要求 -人員安全管理,安全管理要求-人員安全管理,人員安全管理是指加強人員的安全管理。規(guī)范人員錄用、離崗過程，關鍵崗位簽署保密協(xié)議，對各類人員進行安全意識教育、崗位技能培訓和相關安全技術培訓

26、，對關鍵崗位的人員進行全面、嚴格的安全審查和技能考核。對外部人員允許訪問的區(qū)域、系統(tǒng)、設備、信息等進行控制,安全管理要求 -人員安全管理,安全管理要求-系統(tǒng)建設安全管理,系統(tǒng)建設管理是指加強系統(tǒng)建設過程的管理。制定系統(tǒng)建設相關的管理制度，明確系統(tǒng)定級備案、方案設計、產品采購使用、軟件開發(fā)、工程實施、驗收交付、等級測評、安全服務等內容的管理責任部門、具體管理內容和控制方法，并按照管理制度落實各項管理措施,安全管理要求-系統(tǒng)建設安全管理,安全管理要求-系統(tǒng)運維安全管理,系統(tǒng)運維管理是指加強系統(tǒng)運維過程的管理。制定系統(tǒng)運維相關的管理制度，明確環(huán)境管理、資產管理、介質管理、設備管理、監(jiān)控管理、網絡安全

27、管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理等內容的管理責任部門、具體管理內容和控制方法，并按照管理制度落實各項管理措施,安全管理要求-系統(tǒng)運維安全管理,內容,一、信息安全等級保護制度 二、國家環(huán)境信息與統(tǒng)計能力建設項目信息 安全保障體系介紹,1.安全保障體系概述,建設目標,1.安全保障體系概述,建設原則,可實施性強、可擴展原則,D,D,2.等級評定及安全域劃分,監(jiān)督保護級,指導保護級,自主保護級,一級,二級,三級,強制保護級,四級,?？乇Ｗo級,五級,信息系統(tǒng)安全等級劃分,2.1安全保護等級劃分,2. 等級評定及安全域劃分,系統(tǒng)服務安全保

28、護等級矩陣表,業(yè)務信息安全保護等級矩陣表,由二者的較高者決定。,2.2定級依據,2.3新建應用系統(tǒng)部署結構,環(huán)境保護部,省環(huán)境保護廳,縣環(huán)境保護局,部直屬機構,省直屬機構,市直屬機構,城域網,城域網,城域網,國家、省、市、縣四層三級網絡,國家、省、市、縣四級數(shù)據傳輸交換體系,新建的三個應用系統(tǒng)部署情況,2.4環(huán)境統(tǒng)計業(yè)務系統(tǒng)應用場景,2.5建設項目管理系統(tǒng)應用場景,2.5減排數(shù)據管理與綜合分析系統(tǒng)應用場景,2.6新建信息系統(tǒng)安全保護等級表,環(huán)境統(tǒng)計系統(tǒng),第三級,第二級,業(yè)務系統(tǒng)名稱,受到破壞后對相應 客體的侵害程度,業(yè)務系統(tǒng)覆蓋范圍,安全等級 （最高）,對環(huán)境保護數(shù)據和業(yè)務造成嚴重損害，進而對公民、法人和其他組織的合法權益、社會秩序和公共利益造成嚴重損害，對國家安全造成一般損害 對環(huán)境保護數(shù)據和業(yè)務造成嚴重損害，進而對公民、法人和其他組織的合法權益、社會秩序和公共利益造成一般損害,部級、省級 （部署和使用）,地市、區(qū)縣 （部署和使用）,2.6新建信息系統(tǒng)安全保護等級表,建設項目管理系統(tǒng),第三級,業(yè)務系統(tǒng)名稱,受到破壞后對相應 客體的侵害程度,業(yè)務系統(tǒng)覆蓋范圍,安全等