第六章 信息安全工程與等級(jí)保護(hù),1,本章學(xué)習(xí)目標(biāo),了解信息安全等級(jí)的劃分與特征； 了解等級(jí)保護(hù)在信息安全工程的實(shí)施； 熟悉信息安全系統(tǒng)等級(jí)確定方法；,2,6.1等級(jí)保護(hù)概述,1994年國(guó)務(wù)院頒發(fā)中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例規(guī)定“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)，安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門(mén)制定”,3,6.1等級(jí)保護(hù)概述,2007年，公安部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)辦公室、國(guó)務(wù)院信息化工作辦公室聯(lián)合發(fā)布“關(guān)于印發(fā)信息安全等級(jí)保護(hù)管理辦法的通知” （公通字200743號(hào)）， 信息安全等級(jí)保護(hù)管理辦法開(kāi)始正式實(shí)施。,4,相關(guān)標(biāo)準(zhǔn),信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求 GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則,5,信息安全等級(jí)保護(hù)制度的原則,在關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn) 公通字200466號(hào) 文件中明確了信息安全等級(jí)保護(hù)制度的原則， （一）明確責(zé)任，共同保護(hù)。 通過(guò)等級(jí)保護(hù)，組織和動(dòng)員國(guó)家、法人和其他組織、公民共同參與信息安全保護(hù)工作；各方主體按照規(guī)范和標(biāo)準(zhǔn)分別承擔(dān)相應(yīng)的、明確具體的信息安全保護(hù)責(zé)任。,6,信息安全等級(jí)保護(hù)制度的原則,（二）依照標(biāo)準(zhǔn)，自行保護(hù)。 國(guó)家運(yùn)用強(qiáng)制性的規(guī)范及標(biāo)準(zhǔn)，要求信息和信息系統(tǒng)按照相應(yīng)的建設(shè)和管理要求，自行定級(jí)、自行保護(hù)。 （三）同步建設(shè)，動(dòng)態(tài)調(diào)整。 信息系統(tǒng)在新建、改建、擴(kuò)建時(shí)應(yīng)當(dāng)同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。因信息和信息系統(tǒng)的應(yīng)用類(lèi)型、范圍等條件的變化及其他原因，安全保護(hù)等級(jí)需要變更的，應(yīng)當(dāng)根據(jù)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重新確定信息系統(tǒng)的安全保護(hù)等級(jí)。等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)應(yīng)按照等級(jí)保護(hù)工作開(kāi)展的實(shí)際情況適時(shí)修訂。,7,信息安全等級(jí)保護(hù)制度的原則,（四）指導(dǎo)監(jiān)督，重點(diǎn)保護(hù)。 國(guó)家指定信息安全監(jiān)管職能部門(mén)通過(guò)備案、指導(dǎo)、檢查、督促整改等方式，對(duì)重要信息和信息系統(tǒng)的信息安全保護(hù)工作進(jìn)行指導(dǎo)監(jiān)督。國(guó)家重點(diǎn)保護(hù)涉及國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)，主要包括：國(guó)家事務(wù)處理信息系統(tǒng)（黨政機(jī)關(guān)辦公系統(tǒng)）；財(cái)政、金融、稅務(wù)、海關(guān)、審計(jì)、工商、社會(huì)保障、能源、交通運(yùn)輸、國(guó)防工業(yè)等關(guān)系到國(guó)計(jì)民生的信息系統(tǒng)；教育、國(guó)家科研等單位的信息系統(tǒng)；公用通信、廣播電視傳輸?shù)然A(chǔ)信息網(wǎng)絡(luò)中的信息系統(tǒng)；網(wǎng)絡(luò)管理中心、重要網(wǎng)站中的重要信息系統(tǒng)和其他領(lǐng)域的重要信息系統(tǒng)。,8,信息系統(tǒng)的安全保護(hù)等級(jí)劃分,信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。 信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí),9,第一級(jí)為自主保護(hù)級(jí) ，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。 第一級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。,10,第二級(jí)為指導(dǎo)保護(hù)級(jí) ，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。 第二級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門(mén)對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行指導(dǎo)。,11,第三級(jí)為監(jiān)督保護(hù)級(jí) ，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。 第三級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門(mén)對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查。,12,第四級(jí)為強(qiáng)制保護(hù)級(jí) ，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。 第四級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專(zhuān)門(mén)需求進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門(mén)對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。,13,第五級(jí)為專(zhuān)控保護(hù)級(jí) ，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。 第五級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)。國(guó)家指定專(zhuān)門(mén)部門(mén)對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行專(zhuān)門(mén)監(jiān)督、檢查。,14,注意等保分級(jí)與GB17859計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分的區(qū)分,兩者劃分準(zhǔn)則不一樣 等保分級(jí)，是根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素劃分五個(gè)等級(jí)。 GB17859計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分，是規(guī)定計(jì)算機(jī)系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí) 兩者沒(méi)有直接的對(duì)應(yīng)關(guān)系,15,GB 17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則,16,GB 17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則,17,GB 17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則,18,GB 17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則,19,GB 17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則,20,GB 17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則,21,6.2信息系統(tǒng)等級(jí)保護(hù)定級(jí),GB/T 22240-2008信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南,對(duì)客體的侵害程度,受侵害的客體,22,23,定級(jí)的一般流程,24,25,26,27,28,確定定級(jí)對(duì)象,29,30,31,32,構(gòu)造定級(jí)工作表,33,構(gòu)造定級(jí)工作表,34,構(gòu)造定級(jí)工作表,35,構(gòu)造定級(jí)工作表,36,構(gòu)造定級(jí)工作表,37,構(gòu)造定級(jí)工作表,以系統(tǒng)破壞后損害的后果作為表格的行，以侵害客體的事項(xiàng)為列，構(gòu)造定級(jí)工作表，對(duì)系統(tǒng)破壞后的客體的損害程度進(jìn)行量化分析 0分表示對(duì)該表中描述的客體沒(méi)有造成損害 1分表示對(duì)該表中描述的客體造成一般損害 2分表示對(duì)該表中描述的客體造成嚴(yán)重?fù)p害 3分表示對(duì)該表中描述的客體造成特別嚴(yán)重?fù)p害,38,對(duì)表中的分值進(jìn)行綜合分析,如定級(jí)評(píng)分表中的分?jǐn)?shù)均為0，則該客體的損害程度為0； 如定級(jí)評(píng)分表中的分?jǐn)?shù)不全為0，且最高分的數(shù)量不超過(guò)30%（經(jīng)驗(yàn)值，可根據(jù)實(shí)際需求調(diào)整），則以最高分為該題可的損害程度 如定級(jí)評(píng)分表中的分?jǐn)?shù)不全為0，且最高分的數(shù)量超過(guò)30%，則以該最高分加1為該客體的損害程度，但加1后的定級(jí)分?jǐn)?shù)最高不得超過(guò)3分,39,6.3等級(jí)保護(hù)在信息安全工程中的實(shí)施,40,定級(jí)工作中的系統(tǒng)識(shí)別與劃分,一 系統(tǒng)識(shí)別和描述 1識(shí)別信息系統(tǒng)的基本信息：行業(yè)特征、主管機(jī)構(gòu)、業(yè)務(wù)范圍、地理位置、背景信息、聯(lián)絡(luò)方式 2識(shí)別信息系統(tǒng)的管理框架：組織管理機(jī)構(gòu)、管理策略、部門(mén)設(shè)置、部門(mén)職責(zé)、責(zé)任主體 3識(shí)別信息系統(tǒng)的網(wǎng)絡(luò)及設(shè)備部署：物理環(huán)境、拓?fù)浣Y(jié)構(gòu)、硬件部署、邊界劃分 4識(shí)別信息系統(tǒng)的業(yè)務(wù)種類(lèi)和特性：業(yè)務(wù)種類(lèi)和數(shù)量、業(yè)務(wù)內(nèi)容和流程、社會(huì)屬性 5識(shí)別業(yè)務(wù)系統(tǒng)處理的信息資產(chǎn)：資產(chǎn)類(lèi)型、保密性、完整性、可用性要求 6識(shí)別用戶(hù)范圍和用戶(hù)類(lèi)型,41,定級(jí)工作中的系統(tǒng)識(shí)別與劃分,信息系統(tǒng)描述,42,定級(jí)工作中的系統(tǒng)識(shí)別與劃分,二信息系統(tǒng)劃分 將一個(gè)組織內(nèi)的大型信息系統(tǒng)進(jìn)行劃分，劃分出相對(duì)獨(dú)立的信息系統(tǒng)并作為定級(jí)對(duì)象，應(yīng)保證每個(gè)相對(duì)獨(dú)立的信息系統(tǒng)具備定級(jí)對(duì)象的基本特征。在信息系統(tǒng)劃分的過(guò)程中，應(yīng)該首先考慮組織管理的要素，然后考慮業(yè)務(wù)類(lèi)型、物理區(qū)域等要素。,43,總體安全規(guī)劃,一 安全需求分析 根據(jù)信息系統(tǒng)的安全保護(hù)等級(jí)，判斷信息系統(tǒng)現(xiàn)有的安全保護(hù)水平與國(guó)家等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)之間的差距，提出信息系統(tǒng)的基本安全保護(hù)需求。 1確定系統(tǒng)范圍和分析對(duì)象 2形成評(píng)價(jià)指標(biāo)和評(píng)估方案 3現(xiàn)狀與評(píng)價(jià)指標(biāo)對(duì)比 4額外/特殊安全需求的確定,44,45,總體安全規(guī)劃,二 總體安全設(shè)計(jì) 1總體安全策略設(shè)計(jì) 確定安全方針（使命、意愿、目標(biāo)、職責(zé)、運(yùn)行模式等），制定安全策略 2安全技術(shù)體系結(jié)構(gòu)設(shè)計(jì) 規(guī)定骨干網(wǎng)/城域網(wǎng)的安全保護(hù)技術(shù)措施 規(guī)定子系統(tǒng)之間互聯(lián)的安全技術(shù)措施 規(guī)定不同級(jí)別子系統(tǒng)的邊界保護(hù)技術(shù)措施 規(guī)定不同級(jí)別子系統(tǒng)內(nèi)部系統(tǒng)平臺(tái)和業(yè)務(wù)應(yīng)用的安全保護(hù)技術(shù)措施 規(guī)定不同級(jí)別信息系統(tǒng)機(jī)房的安全保護(hù)技術(shù)措施,46,總體安全規(guī)劃,二 總體安全設(shè)計(jì) 3整體安全管理體系結(jié)構(gòu)設(shè)計(jì) 規(guī)定信息安全的組織管理體系和對(duì)各信息系統(tǒng)的安全管理職責(zé) 規(guī)定各等級(jí)信息系統(tǒng)的人員安全管理策略 規(guī)定各等級(jí)信息系統(tǒng)機(jī)房及辦公區(qū)等物理環(huán)境的安全管理策略 規(guī)定各等級(jí)信息系統(tǒng)介質(zhì)、設(shè)備等的安全管理策略 規(guī)定各等級(jí)信息系統(tǒng)運(yùn)行安全管理策略 規(guī)定各等級(jí)信息系統(tǒng)安全事件處置和應(yīng)急管理策略,47,總體安全規(guī)劃,三安全建設(shè)項(xiàng)目規(guī)劃 1信息化建設(shè)中長(zhǎng)期發(fā)展規(guī)劃和安全需求調(diào)查 2提出信息系統(tǒng)安全建設(shè)分階段目標(biāo) 3確定主要安全建設(shè)內(nèi)容（基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全、人才培養(yǎng)、管理體系等） 4 確定主要安全建設(shè)項(xiàng)目,48,安全設(shè)計(jì)與實(shí)施,一安全方案詳細(xì)設(shè)計(jì) 1 結(jié)構(gòu)框架設(shè)計(jì)：防護(hù)層次、產(chǎn)品使用、網(wǎng)絡(luò)子系統(tǒng)劃分、IP地址規(guī)劃等 2 功能要求設(shè)計(jì)：防火墻、VPN、網(wǎng)閘、認(rèn)證網(wǎng)關(guān)、代理服務(wù)器、網(wǎng)絡(luò)防病毒、PKI等，以及需要開(kāi)發(fā)的安全控制組件等的功能指標(biāo)要求 3 性能要求設(shè)計(jì) 4 部署方案設(shè)計(jì)：部署位置、連接方式、地址分配等 5 管理措施實(shí)現(xiàn)內(nèi)容設(shè)計(jì)：機(jī)構(gòu)、人員、制度、技能等,49,安全設(shè)計(jì)與實(shí)施,二 管理和技術(shù)措施實(shí)現(xiàn) 1管理機(jī)構(gòu)和人員的設(shè)置 2管理制度的建設(shè)和修訂 3人員安全技能的培訓(xùn) 4安全實(shí)施的過(guò)程管理 5信息安全產(chǎn)品采購(gòu) 6安全控制開(kāi)發(fā) 7安全控制集成 8系統(tǒng)驗(yàn)收,50,安全運(yùn)行與維護(hù),1 運(yùn)行管理和控制 2 變更管理和控制 3 安全狀態(tài)監(jiān)控 4 安全事件處置和應(yīng)急預(yù)案 5 安全檢查和持續(xù)改進(jìn) 6 等級(jí)測(cè)評(píng) 7 系統(tǒng)備案 8 監(jiān)督檢查,51,信息系統(tǒng)終止,1信息轉(zhuǎn)移、暫存和清除 2設(shè)備遷移和廢棄 3存儲(chǔ)介質(zhì)的清除或銷(xiāo)毀,52,習(xí)題和思考題,作業(yè) 1 等保標(biāo)準(zhǔn)將信息系統(tǒng)劃分為幾級(jí)？劃分依據(jù)是什么？ 2 等保定級(jí)對(duì)象應(yīng)該滿(mǎn)足什么特征？如何劃分信息系統(tǒng)定級(jí)對(duì)象？,53,