深圳市重要信息系统等级保护培训
深圳市公安局网监分局
2008年6月
培训内容
一、信息安全等级保护工作概述
二、如何实施等级保护工作
培训内容
一、信息安全等级保护工作概述
二、如何实施等级保护工作
一、信息安全等级保护工作概述
(一)什么是信息安全等级保护工作?
(二)为什么开展信息安全等级保护工作?
(一) 什么是信息安全等级保护工作?
概 念:
信息安全等级保护是指对国家秘密信息、法
人和其他组织及公民的专有信息以及公开信息和
存储、传输、处理这些信息的信息系统分等级
实行安全保护,对信息系统中使用的信息安
全产品实行按等级管理,对信息系统中发生的
信息安全事件分等级响应、处置。
(一) 什么是信息安全等级保护工作?
信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其
他组织的合法权益造成损害,但不损害国家安全、社会秩
序和公共利益;
第二级,信息系统受到破坏后,会对公民、法人和其
他组织的合法权益产生严重损害,或者对社会秩序和公共
利益造成损害,但不损害国家安全;
第三级,信息系统受到破坏后,会对社会秩序和公共
利益造成严重损害,或者对国家安全造成损害;
第四级,信息系统受到破坏后,会对社会秩序和公共
利益造成特别严重损害,或者对国家安全造成严重损害;
第五级,信息系统受到破坏后,会对国家安全造成特
别严重损害。
一、信息安全等级保护工作概述
(一)什么是信息安全等级保护工作?
(二)为什么开展信息安全等级保护工作?
(二) 为什么开展信息安全等级保护工作?
1、卫生系统信息化发展状况
信息化建设是医院现代化建设和发展的历史潮
流,也是现代医院管理发展的必然要求。1995年5
月,卫生部正式启动“金卫工程”,该工程是跨世
纪的国家医疗信息网络工程,通过信息化建设加强
医院现代化管理,走“优质、高效、低耗”的发展
道路。
(二) 为什么开展信息安全等级保护工作?
2、信息安全形势
在医院信息化建设的过程中,部分医院领导缺乏科学
合理的管理手段和技术,医院信息系统的安全建设成为了
信息化建设中被忽视的问题。由于医院信息系统的体系结
构是一个相对开放的环境,加上网络数据资源易传送、修
改、复制、下载等特点,而医院的数据资源既涉及密级文
件资料,又涉及病人的隐私,一旦发生系统被攻击或数据
被窃等破坏行为,后果将不堪设想。因此,开展卫生系统
等级保护工作刻不容缓,卫生系统信息安全等级保护定级
工作开展的好坏,将直接影响到我市整体的信息安全保障
能力和水平。
(二) 为什么开展信息安全等级保护工作?
3、存在的问题
• 信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;
• 信息系统安全建设和管理的目标不明确;
• 信息安全保障工作的重点不突出;
• 信息安全监督管理缺乏依据和标准,监管措施有待到位,监管体系尚
待完善;
• 大多数单位的信息系统安全保护还处在采用防火墙、IDS和防病毒等部
件方面;
• 重视外部攻击与入侵,忽视内部的非法行为;
• 偏重产品,忽视体系和管理;
• 国内产品质量和技术问题;
• 用户信息安全的潜在的需求到现实需求仍有一个过程;
• 西方发达国家信息技术优势明显,我国面临信息强国的冲击、挑战和
威胁,信息安全领域始终面临信息战和网络恐怖袭击的威胁 ;
• 敌对势力的网上煽动、渗透和破坏活动愈加突出,针对信息系统进行
的破坏活动日益严重,利用网络实施的违法犯罪案件持续大幅上升 。
(二) 为什么开展信息安全等级保护工作?
4、相关政策及法律依据:
1、1994年,《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)
规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保
护的具体办法,由公安部会同有关部门制定”;
2、2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发
[2003]27号)明确指出“实行信息安全等级保护”,“抓紧建立信息安全等级保
护制度,制定信息安全等级保护的管理办法和技术指南”;
3、2004年9月公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了
《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),明确了信息
安全等级保护制度的原则和基本内容,以及信息安全等级保护工作的职责分工、
工作实施的要求等;
4、2007年公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了
《信息安全等级保护管理办法》,并召开了“全国重要信息系统安全等级保护定
级工作电视电话会议”,部署在全国范围内开展重要信息系统安全等级保护定级
备案工作。
(二) 为什么开展信息安全等级保护工作?
信息安全等级保护是我国信息安
全保障的基本制度、基本策略、基
本方法。开展信息安全等级保护工作,
就是要解决我国信息安全面临的威胁
和存在的主要问题。
(二) 为什么开展信息安全等级保护工作?
5、开展等级保护工作的意义:
建立信息安全等级保护制度,开展信息安全等级保护
工作,有利于在信息化建设过程中同步建设信息安全设施,
保障信息安全与信息化建设协调;有利于为信息系统安全
建设和管理提供系统性、针对性、可行性的指导和服务;
有利于优化信息安全资源的配置,重点保障基础信息网络
和关系国家安全、经济命脉、社会稳定等方面的重要信息
系统的安全;有利于明确国家、法人和其他组织、公民的
信息安全责任,加强信息安全管理;有利于推动信息安全
产业的发展,逐步探索出一条适应社会主义市场经济发展
的信息安全模式。
(二) 为什么开展信息安全等级保护工作?
胡锦涛总书记指出:
信息安全是个大问题,必须把信息安全问题放到至关
重要的位置,认真加以考虑和解决;切实把互联网建设好、
利用好、管理好
温家宝总理强调:
面对复杂多变的国际环境和互联网的广泛应用,我国
信息安全问题日益突出。加入世界贸易组织、发展电子政
务等,对信息安全保障提出了新的、更高的要求。必须从
国家安全、经济发展、社会稳定、公共利益的高度,充分
认识信息安全的极端重要性。
培训内容
一、信息安全等级保护工作概述
二、如何实施等级保护工作
二、如何实施等级保护工作
(一)实施流程
(二)工作要求
(一)实施流程
(一)实施流程
(二)工作要求
(一)实施流程
重大变更
2、安全规划设计
3、安全实施/实现
4、安全运行管理
1、系统定级
局部调整
5、系统终止
(一)实施流程
1、系统定级(首要环节)
2、安全规划设计
安全建设
3、安全实施/实现
4、安全运行管理
5、系统终止
1、系统定级
第一步 开展信息系统基本情况的摸底调查
第二步 初步确定信息系统安全保护等级
第三步 专家评审与审批
第一步 开展信息系统基本情况的摸底调查
正确划分定级对象:
信息系统运营使用单位或主管部门按如下原则
确定定级对象:
一是承载相对独立或单一业务的信息系统;
二是信息系统的信息安全由本单位主管;
三是具有信息系统的基本要素。
起支撑作用的网络可以作为定级对象;应用类
的信息系统以应用种类划分定级对象。
第一步 开展信息系统基本情况的摸底调查
一是承载相对独立或单一业务的信息系统:
定级对象承载“相对独立”的业务应用是指其中的
一个或多个业务应用的主要业务流程、部分业务功
能独立,同时与其他信息系统的业务应用有少量的
数据交换,定级对象可能会与其他业务应用共享一
些设备,尤其是网络传输设备。“相对独立”的业
务应用并不意味着整个业务流程,可以使完整的业
务流程的一部分。
第一步 开展信息系统基本情况的摸底调查
二是信息系统的信息安全由本单位主管:
作为定级对象的信息系统应能够唯一地确定其安全
责任单位,这个安全责任单位就是负责等级保护工
作部署、实施的单位,也是完成等级保护备案和接
受监督检查的直接责任单位。
第一步 开展信息系统基本情况的摸底调查
三是具有信息系统的基本要素:
作为定级对象的信息系统应该是由相关的和配套的
设备、设施按照一定的应用目标和规则组合而成的
有形实体。应避免将某个单一的系统组件,如单台
的服务器、终端或网络设备等作为定级对象。
1、系统定级
第一步 开展信息系统基本情况的摸底调查
第二步 初步确定信息系统安全保护等级
第三步 专家评审与审批
第二步 初步确定信息系统安全保护等级
信息系统的安全保护等级是信息系统的客
观属性,不以已采取或采取什么安全保护措施
为依据,而是以信息系统的重要性和信息系统
遭到破坏后对国家安全、社会稳定、人民群众
合法权益等损害客体的危害程度为依据,确定
信息系统的安全等级。
第二步 初步确定信息系统安全保护等级
(一)信息系统的安全保护等级由两个定级
要素决定:
1、等级保护对象受到破坏时所侵害的客体
2、受到破坏时对客体造成侵害的程度
第二步 初步确定信息系统安全保护等级
1、等级保护对象受到破坏时所侵害的客体:
A、国家安全
B、社会秩序、公共利益
C、公民、法人和其他组织的合法权益
第二步 初步确定信息系统安全保护等级
A、 国家安全利益——体现了国家层面、与全局相关的
国家政治安全、军事安全、经济安全、社会安全、科技安全
和资源环境安全等方面利益。
重要的国家事务处理系统、国防工业生产系统和国防设
施的控制系统等属于影响国家政权稳固和国防实力的信息系
统;广播、电视、网络等重要新闻媒体的发布或播出系统,
其受到非法控制可能引发影响国家统一、民族团结和社会安
定的重大事件;处理国家对外活动信息的信息系统;处理国
家重要安全保卫工作信息的信息系统和重大刑事案件的侦查
系统;尖端科技领域的研发、生产系统等影响国家经济竞争
力和科技实力的信息系统,以及电力、通信、能源、交通运
输、金融等国家重要基础设施的生产、控制、管理系统等。
第二步 初步确定信息系统安全保护等级
B、社会秩序——包括社会的政治、经济、生产、生活、
科研、工作等各方面的正常秩序。公共利益是指不特定的
社会成员所共同享有的,维持其生产、生活、教育、卫生
等方面的利益。
各级政府机构的社会管理和公共服务系统,如财政、金
融、工商、税务、公检法、海关、社保等领域的信息系统,
也包括教育、科研机构的工作系统,以及所有为公众提供
医疗卫生、应急服务、供水、供电、邮政等必要服务的生
产系统或管理系统。
第二步 初步确定信息系统安全保护等级
C、合法权益——是法律确认的并受法律保护的公民、
法人和其他组织所享有的一定的社会权利和利益。
借助信息化手段为社会成员提供使用的公共设施和通
过信息系统对公共设施进行进行管理控制都应当是要考虑
的方面,例如:公共通信设施、公共卫生设施、公共休闲
娱乐设施、公共管理设施、公共服务设施等。
公共利益与社会秩序密切相关,社会秩序的破坏一般
会造成对公共利益的损害。
第二步 初步确定信息系统安全保护等级
2、对客体造成侵害的程度
A、造成一般损害
B、造成严重损害
C、造成特别严重损害
第二步 初步确定信息系统安全保护等级
不同危害后果的三种危害程度描述如下:
一般损害:工作职能受到局部影响,业务能力
有所降低但不影响主要功能的执行,出现较轻的法
律问题,较低的资产损失,有限的社会不良影响,
对其他组织和个人造成较低损害。
第二步 初步确定信息系统安全保护等级
严重损害:工作职能受到严重影响,业务能力
显著下降且严重影响主要功能执行,出现较严重的
法律问题,较高的资产损失,较大范围的社会不良
影响,对其他组织和个人造成较严重损害。
第二步 初步确定信息系统安全保护等级
特别严重损害:工作职能受到特别严重影响
或丧失行使能力,业务能力严重下降且或功能无
法执行,出现极其严重的法律问题,极高的资产
损失,大范围的社会不良影响,对其他组织和个
人造成非常严重损害。
第二步 初步确定信息系统安全保护等级
1、影响行使工作职能——工作职能包括国家管理职能、公共管理职能、
公共服务职能等国家或社会方面的职能。
2、导致业务能力下降——下降的表现形式可能包括业务范围的减少、
业务处理性能的下降、可服务的用户数量的下降以及其他各种业务指
标的下降,每个行业务都有本行业关注的业务指标。例如电力行业关
注发电量和用电量,税务行业关注税费收入,银行业关注存款额、贷
款额、交易量等,证券经纪行业关注股民数和交易额。
3、引起法律纠纷——是比较严重的影响,在较轻的程度时可能表现为
投诉、索赔、媒体曝光等形式。
4、导致财产损失——包括系统资产被破坏的直接损失、业务量下降带
来的损失、直接的资金损失、为客户索赔所支付的资金等,以及由于
信誉下降、单位形象降低、客户关系损失等导致的间接经济损失。直
接造成人员伤亡,例如医疗服务系统,公安行业的某些系统等。
5、造成社会不良影响——包括在社会风气、执政信心等方面的影响。
第二步 初步确定信息系统安全保护等级
(二)定级的一般流程:
信息系统的安全包括业务信息安全和系统
服务安全,保护等级由业务信息安全等级和系
统服务安全等级的较高者决定。
第二步 初步确定信息系统安全保护等级
3、综合评定对客体的侵
害程度
2、确定业务信息安全受
到破坏时所侵害的客体
6、综合评定对客体的侵
害程度
5、确定系统服务安全受
到破坏时所侵害的客体
7、系统服务安全等级4、业务信息安全等级
8、定级对象的安全保护
等级
依据表1 依据表2
1、确定定级对象
第二步 初步确定信息系统安全保护等级
表1:业务信息安全等级矩阵表:
业务信息安全被破坏时所
侵害的客体
对相应客体的侵害程度
一般损害 严重损害 特别严重损害
公民、法人和其他组织
的合法权益
第一级 第二级 第二级
社会秩序、公共利益 第二级 第三级 第四级
国家安全 第三级 第四级 第五级
第二步 初步确定信息系统安全保护等级
表2:系统服务安全等级矩阵表:
系统服务安全被破坏时
所侵害的客体
对相应客体的侵害程度
一般损害 严重损害 特别严重损害
公民、法人和其他组
织的合法权益
第一级 第二级 第二级
社会秩序、公共利益 第二级 第三级 第四级
国家安全 第三级 第四级 第五级
第二步 初步确定信息系统安全保护等级
综合判定侵害程度:
业务信息安全被破坏导致的财物损失可以从直接
的资金损失大小、间接的信息恢复费用等方面进行
确定。
系统服务安全被破坏导致业务能力下降的程度
可以从信息系统服务覆盖的区域范围、用户人数或
业务量等不同方面确定。
1、系统定级
第一步 开展信息系统基本情况的摸底调查
第二步 初步确定信息系统安全保护等级
第三步 专家评审与审批
第三步 专家评审与审批
信息系统等级评审:
在信息系统安全保护等级确定过程中,可以聘请专
家进行咨询评审,并出具定级评审意见。
对拟确定为第四级以上信息系统的,运营、使用单
位或者主管部门应当邀请国家信息安全保护等级专家
评审委员会评审,出具评审意见。
第三步 专家评审与审批
信息系统等级的最终确定与审批:
信息系统运营使用单位参考专家定级评审意见,
最终确定信息系统等级,形成《信息系统安全等级保
护定级报告》。
如果专家评审意见与运营使用单位意见不一致时,
由运营使用单位自主决定系统等级。
信息系统运营使用单位有上级主管部门的,应当经
上级主管部门对安全保护等级进行审核批准。
(一)实施流程
1、系统定级(首要环节)
2、安全规划设计
安全建设
3、安全实施/实现
4、安全运行管理
5、系统终止
2、安全建设
●《信息安全等级保护管理办法》第十一条规定,信息系
统的安全保护等级确定后,运营、使用单位应当按照
国家信息安全等级保护管理规范和技术标准,使用符
合国家有关规定,满足信息系统安全保护等级需求的
信息技术产品,开展信息系统安全建设和改建工作。
2、安全建设
●第十二条规定,在信息系统建设过程中,运营、使用单
位应当按照《计算机信息系统安全保护等级划分准则
》、《信息系统安全等级保护基本要求》等技术标准,
参照《信息安全技术 信息系统通用安全技术要求》、
《信息安全技术 操作系统安全技术要求》、《信息安
全技术 数据库管理系统安全技术要求》、《信息安全
技术 服务器技术要求》、《信息安全技术 终端计算
机系统安全等级技术要求》等技术标准同步建设符合
该等级要求的信息安全设施。
2、安全建设
●第十三条规定,运营、使用单位应当参照《信息安全技
术 信息系统安全管理要求 》、《信息安全技术 信息
系统安全工程管理要求》、《信息系统安全等级保护
基本要求》等管理规范,制定并落实符合本系统安全
保护等级要求的安全管理制度。
2、安全建设
信息系统安全建设通过由包括物理安
全、网络安全、主机安全、应用安全和
数据安全及备份恢复等五个层面的基本
安全技术措施和安全管理制度、安全管
理机构、人员安全管理、系统建设管理
和系统运维管理等五个方面的基本安全
管理措施来实现和保证。
(1)基本安全技术措施
基本安全技术措施主要包括以下几方面:
●物理安全——主要是使存在计算机、网络设备的机房以及信息系统
的设备和存储数据的介质免受物理环境、自然灾害以及人为操作
失误和恶意操作等各种威胁所产生的攻击。具体包括:物理位置
的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水
和防潮、防静电、温湿度控制、电力供应和电磁防火等十个控制
点。
●网络安全——一方面,确定网络设备的安全运行,提供有效的网络
服务,另一方面,确保在网上传输数据的保密性、完整性和可用
性等。具体包括:结构安全、访问控制、安全审计、边界完整性
检查、入侵防范、恶意代码防范、网络设备防护等七个控制点。
●主机安全——是包括服务器、终端/工作站等在内的计算机设备在
操作系统及数据库系统层面的安全。具体包括:身份鉴别、安全
标记、访问控制、可信途径、安全审计、剩余信息保护、入侵防
范、恶意代码防范和资源控制等九个控制点。
(1)基本安全技术措施
●应用安全——对应用系统的安全保护最终就是如何保护系统的各种
业务应用程序安全运行。具体包括:身份鉴别、安全标记、访问
控制、可信路径、安全审计、剩余信息保护、通信完整性、通信
保密性、抗抵赖、软件容错、资源控制等十一个控制点。
●数据安全及备份恢复——保证数据安全和备份恢复主要从:数据完
整性、数据保密性、备份和恢复等三个控制点考虑。
(2)基本安全管理措施
基本安全管理措施主要包括以下几方面:
●安全管理制度——包括信息安全工作的总体方针、策略、规范各种安全
管理活动的管理制度以及管理人员或操作人员日常操作的操作规程。
主要包括:管理制度、制定和发布、评审和修订三个控制点。
●安全管理机构——其主要工作内容包括对机构内重要的信息安全工作进
行授权和审批、内部相关业务部门和安全管理部门之间的沟通协调以
及与机构外部各类单位的合作、定期对系统的安全措施落实情况进行
检查,以发现问题进行改进。主要包括:岗位设置、人员配备、授权
和审批、沟通和合作以及审核和检查等五个控制点。
●人员安全管理——对人员安全的管理,主要涉及两个方面:对内部人员
的安全管理和对外部人员的安全管理。具体包括:人员录用、人员离
岗、人员考核、安全意识教育和培训和外部人员访问管理等五个控制
点。
●系统建设管理——分别从工程实施建设前、建设过程以及建设完毕交付
等三方面考虑,具体包括:系统定级、安全方案设计、产品采购和使
用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、
系统备案、等级测评和安全服务商等十一个控制点。
(2)基本安全管理措施
●系统运维管理——主要包括:环境管理、资产管理、介质管理、设备管
理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意
代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处
置、应急预案管理等十三个控制点。
2、安全建设
例子:
某某医院的办公(OA)系统为第二级、 HIS系统等级为第三级。
该医院进行等级保护安全建设时,就要对OA系统和HIS系统提出不同
的安全要求,区分建设。
如在物理安全的“物理位置的选择”控制点建设方面,上述系统
就有不同的要求:OA系统要求选择物理位置时主要考虑建筑物具有
基本防护条件的能力即可,而HIS系统除了基本防护条件外,对建筑
物的楼层以及周围环境也提出了要求;
又如“物理访问控制”,OA系统要求对进出机房时进行基本的
出入控制,对人员进入机房后的活动也应进行控制,HIS系统则在OA
系统的“物理访问控制”基础上,加强了对进出机房时的控制手段,
做到人员和电子设备共同控制,并对机房分区域管理。
谢谢大家!
