等级保护定级指南.ppt

等级保护定级指南 等级保护定级报告案例 业务信息安全等级 广东计安信息网络培训中心 信息系统安全等级保护定级指南 付欲华 本课程目的 课程要点 什么是等级保护 为什么要实施等级保护 为什么要首先进行定级 等级保护定级怎么做 什么是等级保护？ 等级保护等级 根据我国信息安全标准GB/T 22240—2008 《信息系统安全等级保护定级指南》对我国非涉密信息系统划分为五个等级进行保护。 等级保护对象 （一）电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。 （二）铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。 （三）市（地）级以上党政机关的重要网站和办公信息系统???? 为什么要实施等级保护？ 2010年重大安全事件 百度被黑 维基解密 伊朗核电站中毒 3Q大战 荆州市商务局 沧州电信泄密 网站篡改 敏感数据泄密 钓鱼网站 真正的中国工商银行网站 假冒的中国工商银行网站 扬州市城乡建设局网站() 我们身边的重大安全事件案例 深圳市10万孕妇信息泄露 1.2万元一张光盘贩卖 怀疑卫生局、计生委 广东电网珠海供电局无人值守终端向互联网扫描 导致GDCERT告警 广州市政府机关网络信息中心UPS电池火灾 瘫痪72小时 广州市越秀区教育局门户网站域名过期抢注变色情网站 广州市破获省人事厅网站被入侵案，带破福建省建设信息网等10多起黑客入侵案件。 为什么要首先进行定级？ 等级保护实施流程 等级保护定级思路 等级保护定级怎么做 等级保护重要标准 GB 17859-1999 计算机信息系统 安全保护等级划分准则 GB/T 22239—2008 信息系统安全等级保护基本要求 GB/T 22240—2008 信息系统安全等级保护定级指南 信息系统安全等级保护测评过程指南（国标报批稿） 信息系统安全等级保护测评要求（国标报批稿） GB/T 25058-2010信息系统安全等级保护实施指南 GB/T 25070-2010信息系统等级保护安全设计技术要求 等级保护定级维度 等级保护对象受到破坏时所侵害的客体 对客体造成侵害的程度 定级要素与安全保护等级的关系 等级 对象 侵害客体 侵害程度 监管强度 第一级 一般系统 公民、法人合法利益 损害 自主性保护 第二级 公民、法人合法权益 严重损害 指导性保护 社会秩序和公共利益 损害 第三级 重要系统 社会秩序和公共利益 严重损害 监督性保护 国家安全 损害 第四级 社会秩序和公共利益 特别严重损害 强制性保护 国家安全 严重损害 第五级 极端重要系统 国家安全 特别严重损害 专控性保护 等级与侵害客体、侵害程度关系 定级三条件 具有唯一确定的安全责任单位 满足信息系统的基本要素 承载相对独立的业务应用 定级对象识别与划分 可能使定级要素赋值不同因素 可能涉及不同客体的系统。 可能对客体造成不同程度损害的系统。 处理不同类型业务的系统。 本身运行在不同的网络环境中的系统。 分不开的系统，按照高级别保护。 定级流程 G=MAX(S,A) S A 业务信息安全等级矩阵表 系统服务安全等级矩阵表 广东计安信息网络培训中心 作为定级对象的信息系统应能够唯一地确定其安全责任单位，这个安全责任单位就是负责等级保护工作部署、实施的单位，也是完成等级保护备案和接受监督检查的直接责任单位。 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如单台的服务器、终端或网络设备等作为定级对象。 定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流程、部分业务功能独立，同时与其他信息系统的业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程，可以是完整的业务流程的一部分。 * 例如对内服务与对外运营的业务系统，对内服务的办公系统，一般来说其中的信息和提供的服务是面向本单位的，涉及到的等级保护客体一般是本单位，而对外运营的业务系统往往关系到其他单位、个人或面向社会，因此这两类业务可能涉及不同的客体，可能具有不同的安全保护等级，可以考虑划分为不同的信息系统。又比如处理涉及国家秘密信息的信息系统与处理一般单位敏感信息的信息系统应分开。 例如全国大集中系统数据中心的数据量和服务范围都远大于各省级节点和市级节点，其受到破坏后的损害程度和影响范围也有很大差别，可