1、国家信息安全保障体系与国家信息安全保障体系与信息安全等级保护制度实施信息安全等级保护制度实施 公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心o 信息安全等级保护制度是什么信息安全等级保护制度是什么o 信息安全等级保护制度要干什么信息安全等级保护制度要干什么o 如何开展信息安全等级保护工作如何开展信息安全等级保护工作 在当今社会中,信息已成为人类宝贵的资在当今社会中,信息已成为人类宝贵的资源,并且可以通过源,并且可以通过InternetInternet为全球人类所使为全球人类所使用与共享。用与共享。信息产业随着互联网技术的发展在一个国信息产业随着互联网技术的发展在一个国家国民经济发
2、展中所占的比重也越来越大。家国民经济发展中所占的比重也越来越大。人类生活对人类生活对InternetInternet的依赖也越来越大。的依赖也越来越大。信息技术发展引发的信息化革命信息技术发展引发的信息化革命o 辅助作用辅助作用 不完全依赖不完全依赖o 支撑作用支撑作用 完全依赖完全依赖 由互联网的发展而带来的信息安全问题由互联网的发展而带来的信息安全问题正变得突出,网络安全已成为关系国家安正变得突出,网络安全已成为关系国家安全的重大战略问题。全的重大战略问题。保障网络与信息系统安全,更好地维护保障网络与信息系统安全,更好地维护国家安全、经济命脉和社会稳定,已经成国家安全、经济命脉和社会稳定,
3、已经成为信息化发展中迫切需要解决的重大问题。为信息化发展中迫切需要解决的重大问题。近年来,党中央、国务院高度重视,各有近年来,党中央、国务院高度重视,各有关方面协调配合、共同努力,我国信息安全保关方面协调配合、共同努力,我国信息安全保障工作取得了很大进展。但是从总体上看,我障工作取得了很大进展。但是从总体上看,我国的信息安全保障工作尚处于起步阶段,基础国的信息安全保障工作尚处于起步阶段,基础薄弱,水平不高,存在以下突出问题:薄弱,水平不高,存在以下突出问题:信息安全滞后于信息化发展;信息安全滞后于信息化发展;信息安全阻碍了信息化发展信息安全阻碍了信息化发展。大多数单位虽然采用防火墙作为内外网的
4、边界大多数单位虽然采用防火墙作为内外网的边界防护设备。防护设备。重视外部攻击与入侵,忽视内部的非法行为。重视外部攻击与入侵,忽视内部的非法行为。偏重产品,忽视体系和管理。偏重产品,忽视体系和管理。关键技术、产品受制于人关键技术、产品受制于人。西方发达国家信息技术优势明显,我国面西方发达国家信息技术优势明显,我国面临信息强国的冲击、挑战和威胁,信息安临信息强国的冲击、挑战和威胁,信息安全领域始终面临信息战和网络恐怖袭击的全领域始终面临信息战和网络恐怖袭击的威胁威胁 ;敌对势力的网上煽动、渗透和破坏活动愈敌对势力的网上煽动、渗透和破坏活动愈加突出,针对信息系统进行的破坏活动日加突出,针对信息系统进
5、行的破坏活动日益严重,利用网络实施的违法犯罪案件持益严重,利用网络实施的违法犯罪案件持续大幅上升。续大幅上升。受威胁的对象是操作系统、数据库系统和信息系受威胁的对象是操作系统、数据库系统和信息系统,攻击的目的是使系统瘫痪、信息被窃取、篡改统,攻击的目的是使系统瘫痪、信息被窃取、篡改毁坏。早期是能直接接触计算机系统的人(单机、毁坏。早期是能直接接触计算机系统的人(单机、多用户终端、局域网),现在攻击者和方式发生了多用户终端、局域网),现在攻击者和方式发生了变化,广域网、因特网使任何信息系统参与人都可变化,广域网、因特网使任何信息系统参与人都可能成为攻击者。在参与人中,有正常使用的人,也能成为攻击
6、者。在参与人中,有正常使用的人,也有非正常使用的人,后者称之为有非正常使用的人,后者称之为“攻击者或黑客攻击者或黑客”。“攻击者攻击者”分成几类:有着不同目的的。分成几类:有着不同目的的。o一般黑客一般黑客o有组织犯罪有组织犯罪o高层次深度打击高层次深度打击o 系统防入侵系统防入侵o 网络防攻击网络防攻击o 信息防泄露信息防泄露o 内容防篡改内容防篡改o 内部防越权内部防越权 通过利用、改变和瘫痪敌方的信息、信息系统通过利用、改变和瘫痪敌方的信息、信息系统和以计算机为基础的网络应用,同时保护己方和以计算机为基础的网络应用,同时保护己方的信息、信息系统和以计算机为基础的网络应的信息、信息系统和以
7、计算机为基础的网络应用不被敌方利用、改变和瘫痪,以获取信息优用不被敌方利用、改变和瘫痪,以获取信息优势,而采取的各种作战行动。势,而采取的各种作战行动。信息战是现代战争的一种新作战形式。信息战信息战是现代战争的一种新作战形式。信息战分为两大类:分为两大类:一是国家级信息战,也称为战略一是国家级信息战,也称为战略信息战;二是战场信息战,也称为指挥控制战。信息战;二是战场信息战,也称为指挥控制战。战略信息战是利用非杀伤性技术而秘密实战略信息战是利用非杀伤性技术而秘密实施的,不需要公开宣战。它利用了国家力施的,不需要公开宣战。它利用了国家力量的所有手段在国家战略级形成可竞争的量的所有手段在国家战略级
8、形成可竞争的优势,优势,把把“战争战争”的范围扩大到经济、政的范围扩大到经济、政治和社会的各个方面治和社会的各个方面。这种信息战无论在。这种信息战无论在平时、危机时刻还是在战争状态下都可能平时、危机时刻还是在战争状态下都可能发生。这种信息战必须有组织地进行,并发生。这种信息战必须有组织地进行,并且要受最高政治机构的严格控制。且要受最高政治机构的严格控制。新的战略战术思想新的战略战术思想 新的战场战线特点新的战场战线特点 新的武器装备形式新的武器装备形式 新的国防动员体制新的国防动员体制 新的平战结合模式新的平战结合模式 新的军民鱼水关系新的军民鱼水关系o 外部环境外部环境 各国在大力推进各国在
9、大力推进InternetInternet与信息技术应与信息技术应用的同时,抓紧实施国家信息安全保障体用的同时,抓紧实施国家信息安全保障体系与国防的信息安全防御体系。系与国防的信息安全防御体系。各国抓紧研究信息安全策略、制订体各国抓紧研究信息安全策略、制订体系标准、法律法规,实施安全计划。系标准、法律法规,实施安全计划。o 20082008年年5 5月月1 1日,美国防高级研究计划局(日,美国防高级研究计划局(DARPADARPA)发布关于展开发布关于展开“国家网络靶场国家网络靶场”项目研发工作项目研发工作公告。公告。o 美国认为,网络空间是美国经济、关键设施和美国认为,网络空间是美国经济、关键
10、设施和国家安全的重要基础,对于国家力量的影响至国家安全的重要基础,对于国家力量的影响至关重要。为此,美国高度重视研发以网络为中关重要。为此,美国高度重视研发以网络为中心的心的C4ISRC4ISR系统和网络攻防对抗装备系统和网络攻防对抗装备,推进网络,推进网络中心战能力建设。中心战能力建设。o 20092009年年1 1月月8 8日,美国总统布什签署日,美国总统布什签署第第5454号国家号国家安全总统令和第安全总统令和第2323号国土安全总统令号国土安全总统令,要求美,要求美国政府所有与安全有关的部门(包括国土安全国政府所有与安全有关的部门(包括国土安全部、国家安全局等)都参与实施部、国家安全局
11、等)都参与实施“国家网络安国家网络安全综合计划全综合计划”。这是一项长期计划,将由多个。这是一项长期计划,将由多个部门参加并分步骤实施,其最终目的是保护美部门参加并分步骤实施,其最终目的是保护美国的网络安全,防止美国遭受敌对的电子攻击,国的网络安全,防止美国遭受敌对的电子攻击,并能对敌方展开在线攻击。并能对敌方展开在线攻击。o 美国总统奥巴马美国总统奥巴马20092009年年5 5月月2929日公布了一份由安日公布了一份由安全部门完成的网络安全评估报告,表明全部门完成的网络安全评估报告,表明来自网来自网络空间的威胁已经成为美国面临的最严重的经络空间的威胁已经成为美国面临的最严重的经济和军事威胁
12、之一。济和军事威胁之一。o 奥巴马还表示奥巴马还表示:网络空间以及它带来的威胁都:网络空间以及它带来的威胁都是真实的,保护网络基础设施将是维护美国国是真实的,保护网络基础设施将是维护美国国家安全的第一要务。家安全的第一要务。o 6 6月月2525日英国出台首个国家网络安全战略日英国出台首个国家网络安全战略o 政府将成立两个网络安全新部门政府将成立两个网络安全新部门 网络安全办公室和网络安全行动中心网络安全办公室和网络安全行动中心o 计划征召包括黑客在内的网络精英护卫网络安全计划征召包括黑客在内的网络精英护卫网络安全o 英国已经具备主动发起网络攻击的能力英国已经具备主动发起网络攻击的能力o 台湾
13、加紧开展信息战的准备台湾加紧开展信息战的准备 控制进入大陆的微机板卡、硬盘等。控制进入大陆的微机板卡、硬盘等。专门搜集大陆民用网络(电信、能源、交通、专门搜集大陆民用网络(电信、能源、交通、金融及政府等)的结构、路由以及设备情报。金融及政府等)的结构、路由以及设备情报。积极研究网络渗透与病毒植入和激活技术。积极研究网络渗透与病毒植入和激活技术。整体信息安全防范整体信息安全防范意识意识和和能力能力薄弱薄弱;信息系统安全建设和管理缺乏体系化思想信息系统安全建设和管理缺乏体系化思想;信息安全法律法规不完善,标准体系尚待完善;信息安全法律法规不完善,标准体系尚待完善;自主技术产品缺乏,信息技术产业未完
14、全形成。自主技术产品缺乏,信息技术产业未完全形成。总体要求总体要求:坚持坚持积极防御、综合防范积极防御、综合防范的方针,的方针,全面提高信息安全防护能力,重点保护基础全面提高信息安全防护能力,重点保护基础网络和重要信息系统安全,创建安全健康的网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公网络环境,保障和促进信息化发展,保护公众利益,维护国家安全。众利益,维护国家安全。主要原则:立足国情,以我为主,坚持管理主要原则:立足国情,以我为主,坚持管理与技术并重;正确处理安全与发展的关系,与技术并重;正确处理安全与发展的关系,以安全促发展,在发展中求安全以安全促发展,在发展
15、中求安全;统筹规划,统筹规划,突出重点,强化基础性工作;明确国家、企突出重点,强化基础性工作;明确国家、企业、个人的责任和义务,充分发挥各方面的业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系。积极性,共同构筑国家信息安全保障体系。全面实行信息安全等级保护制度全面实行信息安全等级保护制度加强以密码技术为基础的信息保护和网络信任体系建设加强以密码技术为基础的信息保护和网络信任体系建设建设和完善信息安全监控体系建设和完善信息安全监控体系重视信息安全应急处理工作重视信息安全应急处理工作加强信息安全技术研究开发,推进信息安全产业发展加强信息安全技术研究开发,推进信息安全产业发
16、展加强信息安全法制建设标准化建设加强信息安全法制建设标准化建设加快信息安全人才培养,增强全民信息安全意识加快信息安全人才培养,增强全民信息安全意识保证信息安全资金保证信息安全资金加强对信息安全保障工作的领导,建立健全信息安全管加强对信息安全保障工作的领导,建立健全信息安全管理责任制理责任制o 等级保护制度是什么等级保护制度是什么o 等级保护制度要干什么等级保护制度要干什么o 如何开展等级保护工作如何开展等级保护工作根据信息系统在国家安全、经济建设、社会根据信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及
17、公民、法人和其他组织的合法秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;将信息系统权益的危害程度;将信息系统划分为不同的安全保划分为不同的安全保护等级护等级并对其实施不同的并对其实施不同的保护保护和和监管监管。信息系统受到破坏后,会对公民、法人信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益。害国家安全、社会秩序和公共利益。信息系统运营、使用单位依照国家有关信息系统运营、使用单位依照国家有关管理规范和技术标准进行保护。管理规范和技术标准进行保护。信息系统受到破坏后,会对公民、法人和其他信息系统
18、受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害组织的合法权益产生严重损害,或者对社会秩序和或者对社会秩序和公共利益造成损害,但不损害国家安全。公共利益造成损害,但不损害国家安全。信息系统运营、使用单位应当依据国家有关管信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导门对该级信息系统信息安全等级保护工作进行指导 信息系统受到破坏后,会对社会秩序和公信息系统受到破坏后,会对社会秩序和公共利益造成严重损害共利益造成严重损害,或者对国家安全造成损或者对国家安全造成损害
19、。害。信息系统运营、使用单位应当依据国家有信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。工作进行监督、检查。信息系统受到破坏后,会对社会秩序和公信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害共利益造成特别严重损害 ,或者对国家安全或者对国家安全造成严重损害。造成严重损害。信息系统运营、使用单位应当依据国家有信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行关管理规范、技术标准和业务专门需求进
20、行保护。国家信息安全监管部门对该级信息系保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检统信息安全等级保护工作进行强制监督、检查查。信息系统受到破坏后信息系统受到破坏后,会对国家安全造成特会对国家安全造成特别严重损害;别严重损害;信息系统运营、使用单位应当依据国家管信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。息安全等级保护工作进行专门监督、检查。o 等级保护制度是什么等级保护制度是什么o
21、 等级保护制度要干什么等级保护制度要干什么o 如何开展等级保护工作如何开展等级保护工作o 体现国家管理意志体现国家管理意志o 构建国家信息安全保障体系构建国家信息安全保障体系o 保障信息化发展和维护国家安全保障信息化发展和维护国家安全o 信息安全等级保护是手段,是为了构建信息安全等级保护是手段,是为了构建国家信息安全保障体系。国家信息安全保障体系。o 信息安全保障体系也是手段,是为了业信息安全保障体系也是手段,是为了业务应用发展。务应用发展。o 信息安全等级保护是带有很强技术性的信息安全等级保护是带有很强技术性的国家风险控制行为国家风险控制行为o 安全风险管理的目的并不是保证没有风险,而安全风
22、险管理的目的并不是保证没有风险,而是要将信息系统带来的业务风险控制在可接受是要将信息系统带来的业务风险控制在可接受的范围内。的范围内。o 信息安全等级保护的关键所在正是基于信息系信息安全等级保护的关键所在正是基于信息系统所承载应用的重要性,以及该应用损毁后带统所承载应用的重要性,以及该应用损毁后带来的影响程度来判断风险是否控制在可接受的来的影响程度来判断风险是否控制在可接受的范围内。范围内。o 系统防入侵系统防入侵o 网络防攻击网络防攻击o 信息防泄露信息防泄露o 内容防篡改内容防篡改o 内部防越权内部防越权1 1、对奥运的信息系统,开展定级工作、对奥运的信息系统,开展定级工作2 2、第一次按
23、照基本要求测评差距比较大,奥运系、第一次按照基本要求测评差距比较大,奥运系统进行了相应的整改。统进行了相应的整改。3 3、整改后、测评、再整改,能够达到基本保护要、整改后、测评、再整改,能够达到基本保护要求的大部分的要求求的大部分的要求4 4、对于奥运系统,达到一个基本安全状态并不够、对于奥运系统,达到一个基本安全状态并不够。因为基本要求是一个底线的要求。因为基本要求是一个底线的要求。5 5、奥运是个特殊时期,奥运系统有许多特殊需求、奥运是个特殊时期,奥运系统有许多特殊需求6 6、针对特殊需求重点进行了外部渗透测试。、针对特殊需求重点进行了外部渗透测试。o 通过整改安全防护状况有较大改进,绝大
24、部分网站通过整改安全防护状况有较大改进,绝大部分网站防防SQLSQL注入能力增强,能抵御一般黑客攻击;网站注入能力增强,能抵御一般黑客攻击;网站放置在一个虚拟服务器的现象消失,数据库与网站放置在一个虚拟服务器的现象消失,数据库与网站程序实施了分离;网站管理后台采用了较多的安全程序实施了分离;网站管理后台采用了较多的安全设置。设置。o 但仍有不少网站存在目录列遍,敏感信息泄露、跨但仍有不少网站存在目录列遍,敏感信息泄露、跨站被动攻击和跨站请求伪造的漏洞;个别网站子站站被动攻击和跨站请求伪造的漏洞;个别网站子站防护能力薄弱,无法抵御有组织犯罪攻击,风险等防护能力薄弱,无法抵御有组织犯罪攻击,风险等
25、级仍旧高危。级仍旧高危。o 通过外部安全测试,能够迅速从外部发现对外暴通过外部安全测试,能够迅速从外部发现对外暴露的安全隐患和脆弱性,测试结果直观,能够引露的安全隐患和脆弱性,测试结果直观,能够引起对安全威胁的警觉和安全保障工作的高度重视起对安全威胁的警觉和安全保障工作的高度重视。o 外部安全测试作为一种方法,虽不能体系性地根外部安全测试作为一种方法,虽不能体系性地根本消除对外暴露的安全隐患,但作为查漏补缺,本消除对外暴露的安全隐患,但作为查漏补缺,急用先上,特别是在特定敏感时期发现主要问题急用先上,特别是在特定敏感时期发现主要问题起到了重要作用。起到了重要作用。o 大量的政务系统由于建设的时
26、期,背景的不同;大量的政务系统由于建设的时期,背景的不同;主管运营模式的不同,在安全防护能力上差异很主管运营模式的不同,在安全防护能力上差异很大。仅依靠外部安全测试,只能治标,要体系化大。仅依靠外部安全测试,只能治标,要体系化地根本解决安全问题,必须标本兼顾,坚持常态地根本解决安全问题,必须标本兼顾,坚持常态化的、基础性的信息安全等级保护是必由之路。化的、基础性的信息安全等级保护是必由之路。o 政务系统由于其特殊的政治背景,安全防护标准政务系统由于其特殊的政治背景,安全防护标准不同于一般商业系统,要想保障其安全,应该基不同于一般商业系统,要想保障其安全,应该基于于信息安全等级保护管理办法信息安
27、全等级保护管理办法和和信息系统信息系统安全等级保护基本要求安全等级保护基本要求制定有针对性的管理规制定有针对性的管理规范和技术标准。范和技术标准。o提出信息安全工作的提出信息安全工作的思路思路o划定信息系统保护的划定信息系统保护的基线基线o发现信息系统的发现信息系统的问题和差距问题和差距o明确信息系统安全保护的明确信息系统安全保护的方向方向o提升信息系统的安全保护提升信息系统的安全保护能力能力o 管理层面:国家制定统一信息安全等级保护管管理层面:国家制定统一信息安全等级保护管理规范和技术标准,组织公民、法人和其他组理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对信息安
28、织对信息系统分等级实行安全保护,对信息安全产品的使用分等级实行管理,对等级保护工全产品的使用分等级实行管理,对等级保护工作的实施进行监督、指导。作的实施进行监督、指导。o 用户层面用户层面 :公民、法人和其他组织应当按:公民、法人和其他组织应当按照国家有关等级保护的管理规范和技术标照国家有关等级保护的管理规范和技术标准开展等级保护工作,服从国家对信息安准开展等级保护工作,服从国家对信息安全等级保护工作的监督、指导,保障信息全等级保护工作的监督、指导,保障信息系统安全。系统安全。o 社会层面社会层面 :信息安全产品的研制、生产单:信息安全产品的研制、生产单位,信息系统的集成、等级测评、风险评位,
29、信息系统的集成、等级测评、风险评估等安全服务机构,依据国家有关管理规估等安全服务机构,依据国家有关管理规定和技术标准,开展相应工作,并接受国定和技术标准,开展相应工作,并接受国家信息安全职能部门的监督管理。家信息安全职能部门的监督管理。o 等级保护制度是什么等级保护制度是什么o 等级保护制度要干什么等级保护制度要干什么o 如何开展等级保护工作如何开展等级保护工作o 谁拥有谁负责、谁运行谁负责谁拥有谁负责、谁运行谁负责o 自主定级、自主保护、监督指导自主定级、自主保护、监督指导一是:定级。一是:定级。二是:备案。二是:备案。三是:建设、整改。三是:建设、整改。四是:等级测评。四是:等级测评。五是
30、:定期开展监督检查五是:定期开展监督检查o 信息系统运营、使用单位依据信息系统运营、使用单位依据管理办法管理办法和和定级指南定级指南确定信息系统的安全保护确定信息系统的安全保护等级。由主管部门的,应当经主管部门的等级。由主管部门的,应当经主管部门的审核批准。审核批准。o 跨省或者全国统一联网运行的可以由主管跨省或者全国统一联网运行的可以由主管部门统一确定安全保护等级。部门统一确定安全保护等级。o 对拟定为四级以上的应当请国家信息安全对拟定为四级以上的应当请国家信息安全保护等级专家评审委员会评审。保护等级专家评审委员会评审。o 信息系统运营、使用单位应当在其系统安信息系统运营、使用单位应当在其系
31、统安全保护等级确定后,向当地同级公安机关全保护等级确定后,向当地同级公安机关提请备案提请备案o 备案时应当到备案机关填写备案登记表并备案时应当到备案机关填写备案登记表并按要求提交相关资料。按要求提交相关资料。备案登记表备案登记表/系统体系系统体系/功能结构图功能结构图/系统系统安全保护方案或措施安全保护方案或措施/系统安全管理制度等系统安全管理制度等 信息系统备案信息是国家有关信息安全信息系统备案信息是国家有关信息安全职能部门了解和掌握重要信息系统的安全职能部门了解和掌握重要信息系统的安全保护基本状况、分析总体安全形势的基础保护基本状况、分析总体安全形势的基础资料来源,也是下一步接受备案机关开
32、展资料来源,也是下一步接受备案机关开展各项监督检查工作所必需的基本依据。各项监督检查工作所必需的基本依据。新建系统:新建系统:已有系统:已有系统:o定级是等级保护的定级是等级保护的首要环节首要环节o分等级保护是等级保护的分等级保护是等级保护的核心核心,o建设整改是等级保护工作落实的建设整改是等级保护工作落实的关键关键o等级测评是评价安全保护状况的等级测评是评价安全保护状况的方法方法o监督检查是保护能力不断提高的监督检查是保护能力不断提高的保障保障o 安全保护等级安全保护等级 等级的确定是不依赖于安全保护措施的,具有等级的确定是不依赖于安全保护措施的,具有一定的一定的“客观性客观性”,即该系统在
33、存在之初便由,即该系统在存在之初便由其自身所实现的使命决定了它的安全保护等级,其自身所实现的使命决定了它的安全保护等级,而非由而非由“后天后天”的安全保护措施决定。的安全保护措施决定。o关注点关注点 承担社会责任,关系国家安全的信息系统的安危承担社会责任,关系国家安全的信息系统的安危o重点保障重点保障 业务信息安全业务信息安全(S)(S)系统服务连续系统服务连续(A)(A)o落实信息安全等级保护基本要求,确落实信息安全等级保护基本要求,确保系统保系统基本安全基本安全;o结合系统自身安全需求,力求系统结合系统自身安全需求,力求系统相相对安全对安全。o 能够抵御来自个人的、拥有很少资源的能够抵御来
34、自个人的、拥有很少资源的攻击,防范一般的自然灾难、操作失误、攻击,防范一般的自然灾难、操作失误、技术故障等对技术故障等对关键资源关键资源造成的损害,在造成的损害,在系统遭到损害后,能够系统遭到损害后,能够恢复主要功能恢复主要功能。o 能够抵御来自外部小型组织的、拥有一定能够抵御来自外部小型组织的、拥有一定资源的攻击,防范一般的自然灾难、内部资源的攻击,防范一般的自然灾难、内部人员恶意行为、操作失误、技术故障等人员恶意行为、操作失误、技术故障等对对重要资源重要资源造成的损害,能够发现重要的安造成的损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,全漏洞和安全事件,在系统遭到损害后,能够能
35、够在一段时间内恢复主要功能在一段时间内恢复主要功能。o 能够在统一安全策略下,抵御来自外部有能够在统一安全策略下,抵御来自外部有组织的团体、拥有较为丰富资源的攻击,组织的团体、拥有较为丰富资源的攻击,防范较为严重的自然灾难、内部人员恶意防范较为严重的自然灾难、内部人员恶意行为、操作失误、技术故障等对行为、操作失误、技术故障等对主要资源主要资源造成的损害,能够及时监测发现安全漏洞造成的损害,能够及时监测发现安全漏洞和安全事件;具有一定的备份恢复能力,和安全事件;具有一定的备份恢复能力,在系统遭到损害后,能够在系统遭到损害后,能够较快恢复绝大部较快恢复绝大部分功能分功能。o 能够在统一安全策略下,
36、抵御来自敌对组织能够在统一安全策略下,抵御来自敌对组织的、拥有丰富资源的攻击,防范严重的自然的、拥有丰富资源的攻击,防范严重的自然灾难、内部人员恶意行为、操作失误、技术灾难、内部人员恶意行为、操作失误、技术故障等对故障等对资源资源造成的损害,能够及时监测发造成的损害,能够及时监测发现安全漏洞、跟踪处置安全事件;具有较强现安全漏洞、跟踪处置安全事件;具有较强的备份恢复能力,在系统遭到损害后,能够的备份恢复能力,在系统遭到损害后,能够迅速恢复所有功能迅速恢复所有功能。基本要求是什么?基本要求是什么?1 1、安全保护能力的一个基本、安全保护能力的一个基本“标尺标尺”,是一个达,是一个达标线;标线;2
37、 2、满足基本要求意味着信息系统具有相应等级的、满足基本要求意味着信息系统具有相应等级的基本安全保护能力,达到了一种基本的安全状基本安全保护能力,达到了一种基本的安全状态。态。3 3、基本要求是安全保护的出发点,不是终点。、基本要求是安全保护的出发点,不是终点。o信息系统安全等级保护基本要求信息系统安全等级保护基本要求贯彻落实党中央、国务院关于节能减贯彻落实党中央、国务院关于节能减排工作部署,以实现重点污染物减排排工作部署,以实现重点污染物减排的目标指标为紧要任务的目标指标为紧要任务 ,为实现节能,为实现节能减排和环境保护工作目标奠定基础减排和环境保护工作目标奠定基础统计统计基基础础能力能力数
38、数据据传输传输能能力力数数据共享能力据共享能力数数据据应应用能力用能力指指标标体系体系监测监测体系体系考核体系考核体系业务应业务应用支撑能力用支撑能力总总体目体目标标项项目目的目目的(1 1)在项目实施过程中贯彻落实工程标准规范;)在项目实施过程中贯彻落实工程标准规范;(2 2)建设省环境保护厅(局)到地市环境保护局,地市环境保护局到)建设省环境保护厅(局)到地市环境保护局,地市环境保护局到区县环境保护局,以及省环境保护厅(局)到省直属机构、市环境保区县环境保护局,以及省环境保护厅(局)到省直属机构、市环境保护局到市直属机构的网络系统,并通过国家电子政务外网实现与环境护局到市直属机构的网络系统
39、,并通过国家电子政务外网实现与环境保护部的连通;(直辖市为市、区县两级网络);保护部的连通;(直辖市为市、区县两级网络);(3 3)组织落实本省(直辖市、自治区)范围内网络安全体系的建设和)组织落实本省(直辖市、自治区)范围内网络安全体系的建设和省级省级CACA系统的建设;系统的建设;(4 4)组织所辖各级机构接收部里统一下发的环境统计专项设备,保证)组织所辖各级机构接收部里统一下发的环境统计专项设备,保证专项专用;专项专用;(5 5)准备机房环境,组织所辖各级机构接收并配合部署部里统一采购)准备机房环境,组织所辖各级机构接收并配合部署部里统一采购的服务器、存储、网络、安全等设备和系统软件;的
40、服务器、存储、网络、安全等设备和系统软件;(6 6)部署部里统一下发的省级综合数据库平台和地理信息系统平台;)部署部里统一下发的省级综合数据库平台和地理信息系统平台;组织所辖市、区县部署部里统一下发的数据传输与交换平台,建立数组织所辖市、区县部署部里统一下发的数据传输与交换平台,建立数据交换传输体系,实现国家、省、下辖市、区县的数据交换与共享;据交换传输体系,实现国家、省、下辖市、区县的数据交换与共享;(7 7)部署部里统一下发的省级减排应用系统支撑平台;在省级集中部)部署部里统一下发的省级减排应用系统支撑平台;在省级集中部署环境统计业务系统、建设项目管理系统、减排数据管理与综合分析署环境统计
41、业务系统、建设项目管理系统、减排数据管理与综合分析系统,按照需要集成已有六个应用系统;组织所辖市、区县相关业务系统,按照需要集成已有六个应用系统;组织所辖市、区县相关业务部门推广应用环境统计业务系统和建设项目管理系统。部门推广应用环境统计业务系统和建设项目管理系统。(8 8)组织建立省及所辖市、区县运维组织机构,健全运维制度,明确)组织建立省及所辖市、区县运维组织机构,健全运维制度,明确运维人员,部署部里统一下发的运行维护管理系统,建立省级运维管运维人员,部署部里统一下发的运行维护管理系统,建立省级运维管理平台。理平台。省、自治省、自治区区直直辖辖市市o基本要求基本要求中相应等级的要求是根据各
42、等级系统需中相应等级的要求是根据各等级系统需要对抗的威胁和应具备的能力而确定的。判断基本要要对抗的威胁和应具备的能力而确定的。判断基本要求是否达到应按此原则分析。求是否达到应按此原则分析。o基本要求基本要求给出了各级信息系统每一保护方面需达给出了各级信息系统每一保护方面需达到的要求,但不是具体的安全建设整改方案或作业指到的要求,但不是具体的安全建设整改方案或作业指导书,实现基本要求的措施或方式并不局限于导书,实现基本要求的措施或方式并不局限于基本基本要求要求给出的内容,要结合系统自身的特点综合考虑给出的内容,要结合系统自身的特点综合考虑采取的措施来达到基本要求提出的保护能力采取的措施来达到基本
43、要求提出的保护能力oA A点点B B点,点,500KM 5H500KM 5Ho 飞机飞机 OKOKo 火车火车 OKOKo 汽车汽车 OKOKo 自行车自行车 NONOo 内容与作用内容与作用n为信息系统主管和运营、使用单位提供为信息系统主管和运营、使用单位提供技术指导技术指导n为测评机构提供为测评机构提供测评依据测评依据n为监管职能部门提供为监管职能部门提供监督检查依据监督检查依据o 适用环节适用环节n建设整改、验收、测评、运维、检查建设整改、验收、测评、运维、检查o 控制点标注控制点标注n 业务信息安全相关要求(标记为业务信息安全相关要求(标记为S S)n 系统服务保证相关要求(标记为系统
44、服务保证相关要求(标记为A A)n 通用安全保护要求(标记为通用安全保护要求(标记为G G)n 技术要求(技术要求(3 3种标注)种标注)n 管理要求(统属管理要求(统属G G)o 第一级第一级 S1A1G1S1A1G1o 第二级第二级 S1A2G2S1A2G2,S2A2G2S2A2G2,S2A1G2S2A1G2o 第三级第三级 S1A3G3S1A3G3,S2A3G3S2A3G3,S3A3G3S3A3G3,S3A2G3S3A2G3,S3A1G3S3A1G3o 第四级第四级 S1A4G4S1A4G4,S2A4G4S2A4G4,S3A4G4S3A4G4,S4A4G4S4A4G4,S4A3G4S4A
45、3G4,S4A2G4S4A2G4,S4A1G4S4A1G4o落实信息安全等级保护基本要求,确落实信息安全等级保护基本要求,确保系统保系统基本安全基本安全;o结合系统自身安全需求,力求系统结合系统自身安全需求,力求系统相相对安全对安全。物理安全物理安全技术要求技术要求管理要求管理要求基本要求基本要求网络安全网络安全主机安全主机安全应用安全应用安全数据安全及备份恢复数据安全及备份恢复安全管理安全管理制度制度安全管理安全管理机构机构人员安全管理人员安全管理系统建设管理系统建设管理系统运维管理系统运维管理类类信息系统安全管理建设信息系统安全管理建设信息系统安全技术建设信息系统安全技术建设开展信息系统安
46、全自查和等级测评开展信息系统安全自查和等级测评信息系统安全需求分析信息系统安全需求分析/相应级别的要求相应级别的要求确定安全策略,制定安全建设方案确定安全策略,制定安全建设方案物物 理理 安安 全全网网 络络 安安 全全主主 机机 安安 全全应应 用用 安安 全全数数 据据 安安 全全安全管理机构安全管理机构安全管理制度安全管理制度人员安全管理人员安全管理系统建设管理系统建设管理系统运行管理系统运行管理信息系统安全技术体系设计信息系统安全技术体系设计物理安全设计物理安全设计数据安全设计数据安全设计备份与恢复备份与恢复应用系统应用系统应用平台应用平台其他安全设计其他安全设计机房机房办公环境办公环
47、境设备和介质设备和介质网络安全设计网络安全设计通信网络通信网络区网边界区网边界主机安全设计主机安全设计应用安全设计应用安全设计服务器服务器工作站工作站其他安全设计其他安全设计其他安全设计其他安全设计其他安全设计其他安全设计o 身份鉴别身份鉴别o 访问控制访问控制o 安全审计安全审计o 数据完整性数据完整性o 数据保密性数据保密性o 数据可用性数据可用性o 病毒防范病毒防范o 入侵检测入侵检测o 安全监控安全监控o 备份与恢复备份与恢复o 密码使用密码使用o 等等等等o 确定安全策略确定安全策略o 落实信息安全责任制落实信息安全责任制o 建立安全组织机构建立安全组织机构o 加强人员管理加强人员管
48、理o 加强加强系统建设系统建设的安全管理的安全管理o 加强加强运行维护的安全管理运行维护的安全管理o 物理安全是指对信息系统所涉及到的物理安全是指对信息系统所涉及到的主机房、主机房、辅助机房、办公环境辅助机房、办公环境等进行物理安全保护。具等进行物理安全保护。具体关注内容包括:物理位置的选择、物理访问体关注内容包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电和防潮、防静电、温湿度控制、电力供应和电磁防护等方面磁防护等方面序号安全关注点一级二级三级四级1物理位置的选择01222物理访问控制124
49、4+3防盗窃和防破坏256+64防雷击12335防火11+3+36防水和防潮23447防静电01238温湿度控制11+119电力供应124410电磁防护0133+合计9193233o 网络安全是指对信息系统所涉及的网络安全是指对信息系统所涉及的通信网络、网络通信网络、网络边界、网络区域和网络设备边界、网络区域和网络设备等进行安全保护。具体等进行安全保护。具体关注内容包括通信过程数据完整性、通信过程数据关注内容包括通信过程数据完整性、通信过程数据保密性、保证通信可靠性的设备和线路冗余、区域保密性、保证通信可靠性的设备和线路冗余、区域网络的边界保护、区域划分、身份认证、访问控制网络的边界保护、区域
50、划分、身份认证、访问控制、安全审计、入侵防范、恶意代码防范、网络设备、安全审计、入侵防范、恶意代码防范、网络设备自身保护和网络的网络管理等方面自身保护和网络的网络管理等方面序号安全关注点一级二级三级四级1网络结构安全34+772网络访问控制34+843网络安全审计02464边界完整性检查01225网络入侵防范0122+6恶意代码防范00227网络设备防护3689合计9183332o 主机安全是指对信息系统涉及到的主机安全是指对信息系统涉及到的服务器和工服务器和工作站作站进行主机系统安全保护。具体关注内容包进行主机系统安全保护。具体关注内容包括操作系统或数据库管理系统的选择、安装和括操作系统或数