1、國(guó)家信息安全保障體系與 信息安全等級(jí)保護(hù)制度實(shí)施 公安部信息安全等級(jí)保護(hù)評(píng)估中心,1,內(nèi)容摘要,信息安全等級(jí)保護(hù)制度是什么 信息安全等級(jí)保護(hù)制度要干什么 如何開展信息安全等級(jí)保護(hù)工作,2,引言,在當(dāng)今社會(huì)中，信息已成為人類寶貴的資源，并且可以通過Internet為全球人類所使用與共享。 信息產(chǎn)業(yè)隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展在一個(gè)國(guó)家國(guó)民經(jīng)濟(jì)發(fā)展中所占的比重也越來越大。人類生活對(duì)Internet的依賴也越來越大。,3,引言（續(xù)）,信息技術(shù)發(fā)展引發(fā)的信息化革命 輔助作用 不完全依賴 支撐作用 完全依賴,4,引言（續(xù)）,由互聯(lián)網(wǎng)的發(fā)展而帶來的信息安全問題正變得突出，網(wǎng)絡(luò)安全已成為關(guān)系國(guó)家安全的重大戰(zhàn)略問題。

2、 保障網(wǎng)絡(luò)與信息系統(tǒng)安全，更好地維護(hù)國(guó)家安全、經(jīng)濟(jì)命脈和社會(huì)穩(wěn)定，已經(jīng)成為信息化發(fā)展中迫切需要解決的重大問題。,5,我國(guó)現(xiàn)狀,近年來，黨中央、國(guó)務(wù)院高度重視，各有關(guān)方面協(xié)調(diào)配合、共同努力，我國(guó)信息安全保障工作取得了很大進(jìn)展。但是從總體上看，我國(guó)的信息安全保障工作尚處于起步階段，基礎(chǔ)薄弱，水平不高，存在以下突出問題：,6,存在的問題,信息安全滯后于信息化發(fā)展； 信息安全阻礙了信息化發(fā)展。,7,存在的問題（續(xù)）,大多數(shù)單位雖然采用防火墻作為內(nèi)外網(wǎng)的邊界防護(hù)設(shè)備。 重視外部攻擊與入侵，忽視內(nèi)部的非法行為。 偏重產(chǎn)品，忽視體系和管理。 關(guān)鍵技術(shù)、產(chǎn)品受制于人。,8,我們面對(duì)的威脅,西方發(fā)達(dá)國(guó)家信息技術(shù)

3、優(yōu)勢(shì)明顯，我國(guó)面臨信息強(qiáng)國(guó)的沖擊、挑戰(zhàn)和威脅，信息安全領(lǐng)域始終面臨信息戰(zhàn)和網(wǎng)絡(luò)恐怖襲擊的威脅 ； 敵對(duì)勢(shì)力的網(wǎng)上煽動(dòng)、滲透和破壞活動(dòng)愈加突出，針對(duì)信息系統(tǒng)進(jìn)行的破壞活動(dòng)日益嚴(yán)重，利用網(wǎng)絡(luò)實(shí)施的違法犯罪案件持續(xù)大幅上升。,9,面對(duì)的威脅（續(xù)）,受威脅的對(duì)象是操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和信息系統(tǒng)，攻擊的目的是使系統(tǒng)癱瘓、信息被竊取、篡改毀壞。早期是能直接接觸計(jì)算機(jī)系統(tǒng)的人（單機(jī)、多用戶終端、局域網(wǎng)），現(xiàn)在攻擊者和方式發(fā)生了變化，廣域網(wǎng)、因特網(wǎng)使任何信息系統(tǒng)參與人都可能成為攻擊者。在參與人中，有正常使用的人，也有非正常使用的人，后者稱之為“攻擊者或黑客”?！肮粽摺狈殖蓭最悾河兄煌康牡?。,10,面對(duì)的

4、威脅（續(xù)）,一般黑客 有組織犯罪 高層次深度打擊,11,安全防護(hù)的重點(diǎn),系統(tǒng)防入侵 網(wǎng)絡(luò)防攻擊 信息防泄露 內(nèi)容防篡改 內(nèi)部防越權(quán),12,網(wǎng)絡(luò)信息戰(zhàn),通過利用、改變和癱瘓敵方的信息、信息系統(tǒng)和以計(jì)算機(jī)為基礎(chǔ)的網(wǎng)絡(luò)應(yīng)用，同時(shí)保護(hù)己方的信息、信息系統(tǒng)和以計(jì)算機(jī)為基礎(chǔ)的網(wǎng)絡(luò)應(yīng)用不被敵方利用、改變和癱瘓，以獲取信息優(yōu)勢(shì)，而采取的各種作戰(zhàn)行動(dòng)。 信息戰(zhàn)是現(xiàn)代戰(zhàn)爭(zhēng)的一種新作戰(zhàn)形式。信息戰(zhàn)分為兩大類：一是國(guó)家級(jí)信息戰(zhàn)，也稱為戰(zhàn)略信息戰(zhàn)；二是戰(zhàn)場(chǎng)信息戰(zhàn)，也稱為指揮控制戰(zhàn)。,13,戰(zhàn)略信息戰(zhàn),戰(zhàn)略信息戰(zhàn)是利用非殺傷性技術(shù)而秘密實(shí)施的，不需要公開宣戰(zhàn)。它利用了國(guó)家力量的所有手段在國(guó)家戰(zhàn)略級(jí)形成可競(jìng)爭(zhēng)的優(yōu)勢(shì)，把“戰(zhàn)

5、爭(zhēng)”的范圍擴(kuò)大到經(jīng)濟(jì)、政治和社會(huì)的各個(gè)方面。這種信息戰(zhàn)無論在平時(shí)、危機(jī)時(shí)刻還是在戰(zhàn)爭(zhēng)狀態(tài)下都可能發(fā)生。這種信息戰(zhàn)必須有組織地進(jìn)行，并且要受最高政治機(jī)構(gòu)的嚴(yán)格控制。,14,新戰(zhàn)爭(zhēng)理論學(xué)說,新的戰(zhàn)略戰(zhàn)術(shù)思想 新的戰(zhàn)場(chǎng)戰(zhàn)線特點(diǎn) 新的武器裝備形式 新的國(guó)防動(dòng)員體制 新的平戰(zhàn)結(jié)合模式 新的軍民魚水關(guān)系,15,當(dāng)前信息安全形勢(shì),外部環(huán)境 各國(guó)在大力推進(jìn)Internet與信息技術(shù)應(yīng)用的同時(shí)，抓緊實(shí)施國(guó)家信息安全保障體系與國(guó)防的信息安全防御體系。 各國(guó)抓緊研究信息安全策略、制訂體系標(biāo)準(zhǔn)、法律法規(guī)，實(shí)施安全計(jì)劃。,16,外部環(huán)境（續(xù)）,2008年5月1日，美國(guó)防高級(jí)研究計(jì)劃局（DARPA）發(fā)布關(guān)于展開“國(guó)家網(wǎng)絡(luò)

6、靶場(chǎng)”項(xiàng)目研發(fā)工作公告。 美國(guó)認(rèn)為，網(wǎng)絡(luò)空間是美國(guó)經(jīng)濟(jì)、關(guān)鍵設(shè)施和國(guó)家安全的重要基礎(chǔ)，對(duì)于國(guó)家力量的影響至關(guān)重要。為此，美國(guó)高度重視研發(fā)以網(wǎng)絡(luò)為中心的C4ISR系統(tǒng)和網(wǎng)絡(luò)攻防對(duì)抗裝備，推進(jìn)網(wǎng)絡(luò)中心戰(zhàn)能力建設(shè)。,17,外部環(huán)境（續(xù)）,2009年1月8日，美國(guó)總統(tǒng)布什簽署第54號(hào)國(guó)家安全總統(tǒng)令和第23號(hào)國(guó)土安全總統(tǒng)令，要求美國(guó)政府所有與安全有關(guān)的部門（包括國(guó)土安全部、國(guó)家安全局等）都參與實(shí)施“國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃”。這是一項(xiàng)長(zhǎng)期計(jì)劃，將由多個(gè)部門參加并分步驟實(shí)施，其最終目的是保護(hù)美國(guó)的網(wǎng)絡(luò)安全，防止美國(guó)遭受敵對(duì)的電子攻擊，并能對(duì)敵方展開在線攻擊。,18,外部環(huán)境（續(xù)）,美國(guó)總統(tǒng)奧巴馬2009年5月

7、29日公布了一份由安全部門完成的網(wǎng)絡(luò)安全評(píng)估報(bào)告，表明來自網(wǎng)絡(luò)空間的威脅已經(jīng)成為美國(guó)面臨的最嚴(yán)重的經(jīng)濟(jì)和軍事威脅之一。 奧巴馬還表示：網(wǎng)絡(luò)空間以及它帶來的威脅都是真實(shí)的，保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施將是維護(hù)美國(guó)國(guó)家安全的第一要?jiǎng)?wù)。,19,外部環(huán)境（續(xù)）,6月25日英國(guó)出臺(tái)首個(gè)國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略 政府將成立兩個(gè)網(wǎng)絡(luò)安全新部門 網(wǎng)絡(luò)安全辦公室和網(wǎng)絡(luò)安全行動(dòng)中心 計(jì)劃征召包括黑客在內(nèi)的網(wǎng)絡(luò)精英護(hù)衛(wèi)網(wǎng)絡(luò)安全 英國(guó)已經(jīng)具備主動(dòng)發(fā)起網(wǎng)絡(luò)攻擊的能力,20,外部環(huán)境（續(xù)）,臺(tái)灣加緊開展信息戰(zhàn)的準(zhǔn)備 控制進(jìn)入大陸的微機(jī)板卡、硬盤等。 專門搜集大陸民用網(wǎng)絡(luò)（電信、能源、交通、金融及政府等）的結(jié)構(gòu)、路由以及設(shè)備情報(bào)。 積極研究網(wǎng)

8、絡(luò)滲透與病毒植入和激活技術(shù)。,21,產(chǎn)生問題的原因,整體信息安全防范意識(shí)和能力薄弱; 信息系統(tǒng)安全建設(shè)和管理缺乏體系化思想; 信息安全法律法規(guī)不完善，標(biāo)準(zhǔn)體系尚待完善； 自主技術(shù)產(chǎn)品缺乏，信息技術(shù)產(chǎn)業(yè)未完全形成。,22,當(dāng)前的要求與原則,總體要求:堅(jiān)持積極防御、綜合防范的方針，全面提高信息安全防護(hù)能力，重點(diǎn)保護(hù)基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進(jìn)信息化發(fā)展，保護(hù)公眾利益，維護(hù)國(guó)家安全。 主要原則：立足國(guó)情，以我為主，堅(jiān)持管理與技術(shù)并重；正確處理安全與發(fā)展的關(guān)系，以安全促發(fā)展，在發(fā)展中求安全；統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)性工作；明確國(guó)家、企業(yè)、個(gè)人的責(zé)任和義務(wù)，充分發(fā)揮

9、各方面的積極性，共同構(gòu)筑國(guó)家信息安全保障體系。,23,當(dāng)前的九項(xiàng)任務(wù),全面實(shí)行信息安全等級(jí)保護(hù)制度 加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系建設(shè) 建設(shè)和完善信息安全監(jiān)控體系 重視信息安全應(yīng)急處理工作 加強(qiáng)信息安全技術(shù)研究開發(fā)，推進(jìn)信息安全產(chǎn)業(yè)發(fā)展 加強(qiáng)信息安全法制建設(shè)標(biāo)準(zhǔn)化建設(shè) 加快信息安全人才培養(yǎng)，增強(qiáng)全民信息安全意識(shí) 保證信息安全資金 加強(qiáng)對(duì)信息安全保障工作的領(lǐng)導(dǎo)，建立健全信息安全管理責(zé)任制,24,摘要,等級(jí)保護(hù)制度是什么 等級(jí)保護(hù)制度要干什么 如何開展等級(jí)保護(hù)工作,25,等級(jí)保護(hù)制度,根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度；遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及

10、公民、法人和其他組織的合法權(quán)益的危害程度；將信息系統(tǒng)劃分為不同的安全保護(hù)等級(jí)并對(duì)其實(shí)施不同的保護(hù)和監(jiān)管。,26,第一級(jí),信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。 信息系統(tǒng)運(yùn)營(yíng)、使用單位依照國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。,27,第二級(jí),信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。 信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行指導(dǎo),28,第三級(jí),信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序

11、和公共利益造成嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成損害。 信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查。,29,第四級(jí),信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害 ,或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。 信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。,30,第五級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害； 信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)。國(guó)家

12、指定專門部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行專門監(jiān)督、檢查。,31,摘要,等級(jí)保護(hù)制度是什么 等級(jí)保護(hù)制度要干什么 如何開展等級(jí)保護(hù)工作,32,等級(jí)保護(hù)制度,體現(xiàn)國(guó)家管理意志 構(gòu)建國(guó)家信息安全保障體系 保障信息化發(fā)展和維護(hù)國(guó)家安全,33,解決什么,信息安全等級(jí)保護(hù)是手段，是為了構(gòu)建國(guó)家信息安全保障體系。 信息安全保障體系也是手段，是為了業(yè)務(wù)應(yīng)用發(fā)展。 信息安全等級(jí)保護(hù)是帶有很強(qiáng)技術(shù)性的國(guó)家風(fēng)險(xiǎn)控制行為,34,所謂風(fēng)險(xiǎn),安全風(fēng)險(xiǎn)管理的目的并不是保證沒有風(fēng)險(xiǎn)，而是要將信息系統(tǒng)帶來的業(yè)務(wù)風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)。 信息安全等級(jí)保護(hù)的關(guān)鍵所在正是基于信息系統(tǒng)所承載應(yīng)用的重要性，以及該應(yīng)用損毀后帶

13、來的影響程度來判斷風(fēng)險(xiǎn)是否控制在可接受的范圍內(nèi)。,35,安全防護(hù)的重點(diǎn),系統(tǒng)防入侵 網(wǎng)絡(luò)防攻擊 信息防泄露 內(nèi)容防篡改 內(nèi)部防越權(quán),36,奧運(yùn)安保的啟示,1、對(duì)奧運(yùn)的信息系統(tǒng)，開展定級(jí)工作 2、第一次按照基本要求測(cè)評(píng)差距比較大，奧運(yùn)系統(tǒng)進(jìn)行了相應(yīng)的整改。 3、整改后、測(cè)評(píng)、再整改，能夠達(dá)到基本保護(hù)要求的大部分的要求 4、對(duì)于奧運(yùn)系統(tǒng)，達(dá)到一個(gè)基本安全狀態(tài)并不夠。因?yàn)榛疽笫且粋€(gè)底線的要求。 5、奧運(yùn)是個(gè)特殊時(shí)期，奧運(yùn)系統(tǒng)有許多特殊需求 6、針對(duì)特殊需求重點(diǎn)進(jìn)行了外部滲透測(cè)試。,37,奧運(yùn)安保的啟示,通過整改安全防護(hù)狀況有較大改進(jìn)，絕大部分網(wǎng)站防SQL注入能力增強(qiáng)，能抵御一般黑客攻擊；網(wǎng)站放置

14、在一個(gè)虛擬服務(wù)器的現(xiàn)象消失，數(shù)據(jù)庫(kù)與網(wǎng)站程序?qū)嵤┝朔蛛x；網(wǎng)站管理后臺(tái)采用了較多的安全設(shè)置。 但仍有不少網(wǎng)站存在目錄列遍，敏感信息泄露、跨站被動(dòng)攻擊和跨站請(qǐng)求偽造的漏洞；個(gè)別網(wǎng)站子站防護(hù)能力薄弱，無法抵御有組織犯罪攻擊，風(fēng)險(xiǎn)等級(jí)仍舊高危。,38,奧運(yùn)安保的啟示,通過外部安全測(cè)試，能夠迅速?gòu)耐獠堪l(fā)現(xiàn)對(duì)外暴露的安全隱患和脆弱性，測(cè)試結(jié)果直觀，能夠引起對(duì)安全威脅的警覺和安全保障工作的高度重視。 外部安全測(cè)試作為一種方法，雖不能體系性地根本消除對(duì)外暴露的安全隱患，但作為查漏補(bǔ)缺，急用先上，特別是在特定敏感時(shí)期發(fā)現(xiàn)主要問題起到了重要作用。,39,奧運(yùn)安保的啟示,大量的政務(wù)系統(tǒng)由于建設(shè)的時(shí)期，背景的不同；主

15、管運(yùn)營(yíng)模式的不同，在安全防護(hù)能力上差異很大。僅依靠外部安全測(cè)試，只能治標(biāo)，要體系化地根本解決安全問題，必須標(biāo)本兼顧，堅(jiān)持常態(tài)化的、基礎(chǔ)性的信息安全等級(jí)保護(hù)是必由之路。 政務(wù)系統(tǒng)由于其特殊的政治背景，安全防護(hù)標(biāo)準(zhǔn)不同于一般商業(yè)系統(tǒng)，要想保障其安全，應(yīng)該基于信息安全等級(jí)保護(hù)管理辦法和信息系統(tǒng)安全等級(jí)保護(hù)基本要求制定有針對(duì)性的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)。,40,等級(jí)保護(hù)制度的作用,提出信息安全工作的思路 劃定信息系統(tǒng)保護(hù)的基線 發(fā)現(xiàn)信息系統(tǒng)的問題和差距 明確信息系統(tǒng)安全保護(hù)的方向 提升信息系統(tǒng)的安全保護(hù)能力,41,涉及層面,管理層面：國(guó)家制定統(tǒng)一信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對(duì)

16、信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息安全產(chǎn)品的使用分等級(jí)實(shí)行管理，對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、指導(dǎo)。,42,用戶層面 ：公民、法人和其他組織應(yīng)當(dāng)按照國(guó)家有關(guān)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)開展等級(jí)保護(hù)工作，服從國(guó)家對(duì)信息安全等級(jí)保護(hù)工作的監(jiān)督、指導(dǎo)，保障信息系統(tǒng)安全。,43,社會(huì)層面 ：信息安全產(chǎn)品的研制、生產(chǎn)單位，信息系統(tǒng)的集成、等級(jí)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估等安全服務(wù)機(jī)構(gòu)，依據(jù)國(guó)家有關(guān)管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，開展相應(yīng)工作，并接受國(guó)家信息安全職能部門的監(jiān)督管理。,44,摘要,等級(jí)保護(hù)制度是什么 等級(jí)保護(hù)制度要干什么 如何開展等級(jí)保護(hù)工作,45,原則,誰擁有誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé) 自主定級(jí)、自主保護(hù)、監(jiān)督指導(dǎo),46

17、,主要流程,一是：定級(jí)。 二是：備案。 三是：建設(shè)、整改。 四是：等級(jí)測(cè)評(píng)。 五是：定期開展監(jiān)督檢查,47,安全保護(hù)等級(jí)確定,信息系統(tǒng)運(yùn)營(yíng)、使用單位依據(jù)管理辦法和定級(jí)指南確定信息系統(tǒng)的安全保護(hù)等級(jí)。由主管部門的，應(yīng)當(dāng)經(jīng)主管部門的審核批準(zhǔn)。 跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的可以由主管部門統(tǒng)一確定安全保護(hù)等級(jí)。 對(duì)擬定為四級(jí)以上的應(yīng)當(dāng)請(qǐng)國(guó)家信息安全保護(hù)等級(jí)專家評(píng)審委員會(huì)評(píng)審。,48,等級(jí)保護(hù)的備案管理,信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)在其系統(tǒng)安全保護(hù)等級(jí)確定后，向當(dāng)?shù)赝?jí)公安機(jī)關(guān)提請(qǐng)備案 備案時(shí)應(yīng)當(dāng)?shù)絺浒笝C(jī)關(guān)填寫備案登記表并按要求提交相關(guān)資料。 備案登記表/系統(tǒng)體系/功能結(jié)構(gòu)圖/系統(tǒng)安全保護(hù)方案或措施/系統(tǒng)安

18、全管理制度等,49,等級(jí)保護(hù)的備案管理,信息系統(tǒng)備案信息是國(guó)家有關(guān)信息安全職能部門了解和掌握重要信息系統(tǒng)的安全保護(hù)基本狀況、分析總體安全形勢(shì)的基礎(chǔ)資料來源，也是下一步接受備案機(jī)關(guān)開展各項(xiàng)監(jiān)督檢查工作所必需的基本依據(jù)。 新建系統(tǒng)： 已有系統(tǒng)：,50,環(huán)節(jié)間的關(guān)系,定級(jí)是等級(jí)保護(hù)的首要環(huán)節(jié) 分等級(jí)保護(hù)是等級(jí)保護(hù)的核心， 建設(shè)整改是等級(jí)保護(hù)工作落實(shí)的關(guān)鍵 等級(jí)測(cè)評(píng)是評(píng)價(jià)安全保護(hù)狀況的方法 監(jiān)督檢查是保護(hù)能力不斷提高的保障,51,定級(jí)指南,安全保護(hù)等級(jí) 等級(jí)的確定是不依賴于安全保護(hù)措施的，具有一定的“客觀性”，即該系統(tǒng)在存在之初便由其自身所實(shí)現(xiàn)的使命決定了它的安全保護(hù)等級(jí)，而非由“后天”的安全保護(hù)措施

19、決定。,52,等級(jí)保護(hù)工作核心,關(guān)注點(diǎn) 承擔(dān)社會(huì)責(zé)任，關(guān)系國(guó)家安全的信息系統(tǒng)的安危 重點(diǎn)保障 業(yè)務(wù)信息安全(S) 系統(tǒng)服務(wù)連續(xù)(A),53,等級(jí)保護(hù)的推進(jìn)思想,落實(shí)信息安全等級(jí)保護(hù)基本要求，確保系統(tǒng)基本安全； 結(jié)合系統(tǒng)自身安全需求，力求系統(tǒng)相對(duì)安全。,54,第一級(jí)信息系統(tǒng),能夠抵御來自個(gè)人的、擁有很少資源的攻擊，防范一般的自然災(zāi)難、操作失誤、技術(shù)故障等對(duì)關(guān)鍵資源造成的損害，在系統(tǒng)遭到損害后，能夠恢復(fù)主要功能。,55,第二級(jí)信息系統(tǒng),能夠抵御來自外部小型組織的、擁有一定資源的攻擊，防范一般的自然災(zāi)難、內(nèi)部人員惡意行為、操作失誤、技術(shù)故障等對(duì)重要資源造成的損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在

20、系統(tǒng)遭到損害后，能夠在一段時(shí)間內(nèi)恢復(fù)主要功能。,56,第三級(jí)信息系統(tǒng),能夠在統(tǒng)一安全策略下，抵御來自外部有組織的團(tuán)體、擁有較為豐富資源的攻擊，防范較為嚴(yán)重的自然災(zāi)難、內(nèi)部人員惡意行為、操作失誤、技術(shù)故障等對(duì)主要資源造成的損害，能夠及時(shí)監(jiān)測(cè)發(fā)現(xiàn)安全漏洞和安全事件；具有一定的備份恢復(fù)能力，在系統(tǒng)遭到損害后，能夠較快恢復(fù)絕大部分功能。,57,第四級(jí)信息系統(tǒng),能夠在統(tǒng)一安全策略下，抵御來自敵對(duì)組織的、擁有豐富資源的攻擊，防范嚴(yán)重的自然災(zāi)難、內(nèi)部人員惡意行為、操作失誤、技術(shù)故障等對(duì)資源造成的損害，能夠及時(shí)監(jiān)測(cè)發(fā)現(xiàn)安全漏洞、跟蹤處置安全事件；具有較強(qiáng)的備份恢復(fù)能力，在系統(tǒng)遭到損害后，能夠迅速恢復(fù)所有功能。

21、,58,等級(jí)保護(hù)的基本要求,基本要求是什么？ 1、安全保護(hù)能力的一個(gè)基本“標(biāo)尺”，是一個(gè)達(dá)標(biāo)線； 2、滿足基本要求意味著信息系統(tǒng)具有相應(yīng)等級(jí)的基本安全保護(hù)能力，達(dá)到了一種基本的安全狀態(tài)。 3、基本要求是安全保護(hù)的出發(fā)點(diǎn)，不是終點(diǎn)。,59,GB/T22239-2008,信息系統(tǒng)安全等級(jí)保護(hù)基本要求,60,貫徹落實(shí)黨中央、國(guó)務(wù)院關(guān)于節(jié)能減排工作部署，以實(shí)現(xiàn)重點(diǎn)污染物減排的目標(biāo)指標(biāo)為緊要任務(wù) ，為實(shí)現(xiàn)節(jié)能減排和環(huán)境保護(hù)工作目標(biāo)奠定基礎(chǔ),總體目標(biāo),項(xiàng)目目的,61,62,分省建設(shè)目標(biāo),（1）在項(xiàng)目實(shí)施過程中貫徹落實(shí)工程標(biāo)準(zhǔn)規(guī)范； （2）建設(shè)省環(huán)境保護(hù)廳（局）到地市環(huán)境保護(hù)局，地市環(huán)境保護(hù)局到區(qū)縣環(huán)境保護(hù)

22、局，以及省環(huán)境保護(hù)廳（局）到省直屬機(jī)構(gòu)、市環(huán)境保護(hù)局到市直屬機(jī)構(gòu)的網(wǎng)絡(luò)系統(tǒng)，并通過國(guó)家電子政務(wù)外網(wǎng)實(shí)現(xiàn)與環(huán)境保護(hù)部的連通；（直轄市為市、區(qū)縣兩級(jí)網(wǎng)絡(luò)）； （3）組織落實(shí)本?。ㄖ陛犑小⒆灾螀^(qū)）范圍內(nèi)網(wǎng)絡(luò)安全體系的建設(shè)和省級(jí) CA系統(tǒng)的建設(shè)； （4）組織所轄各級(jí)機(jī)構(gòu)接收部里統(tǒng)一下發(fā)的環(huán)境統(tǒng)計(jì)專項(xiàng)設(shè)備，保證專項(xiàng)專用； （5）準(zhǔn)備機(jī)房環(huán)境，組織所轄各級(jí)機(jī)構(gòu)接收并配合部署部里統(tǒng)一采購(gòu)的服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)、安全等設(shè)備和系統(tǒng)軟件；,63,分省建設(shè)目標(biāo),（6）部署部里統(tǒng)一下發(fā)的省級(jí)綜合數(shù)據(jù)庫(kù)平臺(tái)和地理信息系統(tǒng)平臺(tái)；組織所轄市、區(qū)縣部署部里統(tǒng)一下發(fā)的數(shù)據(jù)傳輸與交換平臺(tái)，建立數(shù)據(jù)交換傳輸體系，實(shí)現(xiàn)國(guó)家、省、下轄市

23、、區(qū)縣的數(shù)據(jù)交換與共享； （7）部署部里統(tǒng)一下發(fā)的省級(jí)減排應(yīng)用系統(tǒng)支撐平臺(tái)；在省級(jí)集中部署環(huán)境統(tǒng)計(jì)業(yè)務(wù)系統(tǒng)、建設(shè)項(xiàng)目管理系統(tǒng)、減排數(shù)據(jù)管理與綜合分析系統(tǒng)，按照需要集成已有六個(gè)應(yīng)用系統(tǒng)；組織所轄市、區(qū)縣相關(guān)業(yè)務(wù)部門推廣應(yīng)用環(huán)境統(tǒng)計(jì)業(yè)務(wù)系統(tǒng)和建設(shè)項(xiàng)目管理系統(tǒng)。 （8）組織建立省及所轄市、區(qū)縣運(yùn)維組織機(jī)構(gòu)，健全運(yùn)維制度，明確運(yùn)維人員，部署部里統(tǒng)一下發(fā)的運(yùn)行維護(hù)管理系統(tǒng)，建立省級(jí)運(yùn)維管理平臺(tái)。,64,省、自治區(qū),直轄市,65,66,基本要求的定位,基本要求中相應(yīng)等級(jí)的要求是根據(jù)各等級(jí)系統(tǒng)需要對(duì)抗的威脅和應(yīng)具備的能力而確定的。判斷基本要求是否達(dá)到應(yīng)按此原則分析。 基本要求給出了各級(jí)信息系統(tǒng)每一保護(hù)方面需

24、達(dá)到的要求，但不是具體的安全建設(shè)整改方案或作業(yè)指導(dǎo)書，實(shí)現(xiàn)基本要求的措施或方式并不局限于基本要求給出的內(nèi)容，要結(jié)合系統(tǒng)自身的特點(diǎn)綜合考慮采取的措施來達(dá)到基本要求提出的保護(hù)能力,67,基本要求定位舉例,A點(diǎn)B點(diǎn)，500KM 5H 飛機(jī) OK 火車 OK 汽車 OK 自行車 NO,68,等級(jí)保護(hù)的基本要求,內(nèi)容與作用 為信息系統(tǒng)主管和運(yùn)營(yíng)、使用單位提供技術(shù)指導(dǎo) 為測(cè)評(píng)機(jī)構(gòu)提供測(cè)評(píng)依據(jù) 為監(jiān)管職能部門提供監(jiān)督檢查依據(jù) 適用環(huán)節(jié) 建設(shè)整改、驗(yàn)收、測(cè)評(píng)、運(yùn)維、檢查,69,基本要求的描述模型,控制點(diǎn)標(biāo)注 業(yè)務(wù)信息安全相關(guān)要求（標(biāo)記為S） 系統(tǒng)服務(wù)保證相關(guān)要求（標(biāo)記為A） 通用安全保護(hù)要求（標(biāo)記為G） 技術(shù)

25、要求（3種標(biāo)注） 管理要求（統(tǒng)屬G）,70,系統(tǒng)基本保護(hù)要求的組合,第一級(jí) S1A1G1 第二級(jí) S1A2G2，S2A2G2，S2A1G2 第三級(jí) S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3 第四級(jí) S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4,71,如何實(shí)現(xiàn),落實(shí)信息安全等級(jí)保護(hù)基本要求，確保系統(tǒng)基本安全； 結(jié)合系統(tǒng)自身安全需求，力求系統(tǒng)相對(duì)安全。,72,基本要求的文檔結(jié)構(gòu),物理安全,技術(shù)要求,管理要求,基本要求,網(wǎng)絡(luò)安全,主機(jī)安全,應(yīng)用安全,數(shù)據(jù)安全及備份恢復(fù),安全管理制度,安全管理機(jī)構(gòu),人員安全管理,系統(tǒng)建設(shè)管

26、理,系統(tǒng)運(yùn)維管理,類,73,安全建設(shè)基本流程,信息系統(tǒng)安全管理建設(shè),信息系統(tǒng)安全技術(shù)建設(shè),開展信息系統(tǒng)安全自查和等級(jí)測(cè)評(píng),信息系統(tǒng)安全需求分析/相應(yīng)級(jí)別的要求,確定安全策略，制定安全建設(shè)方案,物 理 安 全,網(wǎng) 絡(luò) 安 全,主 機(jī) 安 全,應(yīng) 用 安 全,數(shù) 據(jù) 安 全,安全管理機(jī)構(gòu),安全管理制度,人員安全管理,系統(tǒng)建設(shè)管理,系統(tǒng)運(yùn)行管理,74,信息系統(tǒng)安全技術(shù)體系設(shè)計(jì),物理安全設(shè)計(jì),數(shù)據(jù)安全設(shè)計(jì) 備份與恢復(fù),應(yīng)用系統(tǒng),應(yīng)用平臺(tái),其他安全設(shè)計(jì),機(jī)房,辦公環(huán)境,設(shè)備和介質(zhì),網(wǎng)絡(luò)安全設(shè)計(jì),通信網(wǎng)絡(luò),區(qū)網(wǎng)邊界,主機(jī)安全設(shè)計(jì),應(yīng)用安全設(shè)計(jì),服務(wù)器,工作站,其他安全設(shè)計(jì),其他安全設(shè)計(jì),其他安全設(shè)計(jì),75

27、,基本要求中的安全保護(hù)技術(shù),身份鑒別 訪問控制 安全審計(jì) 數(shù)據(jù)完整性 數(shù)據(jù)保密性 數(shù)據(jù)可用性,病毒防范 入侵檢測(cè) 安全監(jiān)控 備份與恢復(fù) 密碼使用 等等,76,基本要求中的安全保護(hù)技術(shù),確定安全策略 落實(shí)信息安全責(zé)任制 建立安全組織機(jī)構(gòu) 加強(qiáng)人員管理 加強(qiáng)系統(tǒng)建設(shè)的安全管理 加強(qiáng)運(yùn)行維護(hù)的安全管理,77,安全技術(shù)要求-物理安全,物理安全是指對(duì)信息系統(tǒng)所涉及到的主機(jī)房、輔助機(jī)房、辦公環(huán)境等進(jìn)行物理安全保護(hù)。具體關(guān)注內(nèi)容包括：物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等方面,78,安全技術(shù)要求-物理安全,79,安全技術(shù)要求-網(wǎng)絡(luò)安全

28、,網(wǎng)絡(luò)安全是指對(duì)信息系統(tǒng)所涉及的通信網(wǎng)絡(luò)、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)區(qū)域和網(wǎng)絡(luò)設(shè)備等進(jìn)行安全保護(hù)。具體關(guān)注內(nèi)容包括通信過程數(shù)據(jù)完整性、通信過程數(shù)據(jù)保密性、保證通信可靠性的設(shè)備和線路冗余、區(qū)域網(wǎng)絡(luò)的邊界保護(hù)、區(qū)域劃分、身份認(rèn)證、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備自身保護(hù)和網(wǎng)絡(luò)的網(wǎng)絡(luò)管理等方面,80,安全技術(shù)要求-網(wǎng)絡(luò)安全,81,安全技術(shù)要求-主機(jī)安全,主機(jī)安全是指對(duì)信息系統(tǒng)涉及到的服務(wù)器和工作站進(jìn)行主機(jī)系統(tǒng)安全保護(hù)。具體關(guān)注內(nèi)容包括操作系統(tǒng)或數(shù)據(jù)庫(kù)管理系統(tǒng)的選擇、安裝和安全配置、主機(jī)入侵防范、惡意代碼防范、資源使用和運(yùn)行情況監(jiān)控等。其中，安全配置細(xì)分為身份鑒別、訪問控制、安全審計(jì)等方面的配置內(nèi)容,82,安全技術(shù)要求-主機(jī)安全,83,安全技術(shù)要求-應(yīng)用安全,應(yīng)用安全是指對(duì)信息系統(tǒng)涉及到的應(yīng)用系統(tǒng)進(jìn)行安全保護(hù)。具體關(guān)注內(nèi)容包括應(yīng)用系統(tǒng)實(shí)現(xiàn)身份鑒別、訪問控制、安全審計(jì)、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯(cuò)和資源控制等功能方面,84,安全技術(shù)要求-應(yīng)用安全,85,安全技術(shù)要求-數(shù)據(jù)安全,數(shù)據(jù)安全是指對(duì)信息系統(tǒng)中業(yè)務(wù)數(shù)據(jù)的傳輸、存儲(chǔ)和備份恢復(fù)進(jìn)行安全保護(hù)。具體關(guān)注內(nèi)容包括數(shù)據(jù)備份系統(tǒng)、冗余備用設(shè)備以及備份恢復(fù)相關(guān)技術(shù)設(shè)施等方面,86,安全技術(shù)要求-數(shù)據(jù)安全,87,安全管理要求-