1、广东计安信息网络培训中心广东计安信息网络培训中心信息系统安全等级保护定级指南什么是等级保护?什么是等级保护?等级保护等级n根据我国信息安全标准GB/T 222402008 信息系统安全等级保护定级指南对我国非涉密信息系统划分为五个等级进行保护。等级保护对象电信运营商 电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。国计民生 铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、
2、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。党政机关 市(地)级以上党政机关的重要网站和办公信息系统为什么要为什么要实施等级保护实施等级保护?2010年重大安全事件百度被黑维基解密伊朗核电站中毒3Q大战荆州市商务局沧州电信泄密某银行网站篡改某知名企业敏感数据泄密钓鱼网站真正的中国工商银行网站 假冒的中国工商银行网站 我们身边的重大安全事件案例 深圳市10万孕妇信息泄露 1.2万元一张光盘贩卖 怀疑卫生局、计生委 广东电网某供电局无人值守终端向互联网扫描 导致GDCERT告警 广州市政府机关网络信息中心UPS电池火灾 瘫痪72小时 广州市某区教育局门户网站域名过期抢注变色情网站为什么
3、要首先进行定级?为什么要首先进行定级?等级保护实施流程定级建设测评结果分析系统备案定期检查定级系统备案整改测评结果分析结果确认定期检查新建信息系统等级保护实施流程已建信息系统等级保护实施流程不通过不通过等级保护定级思路不同信息系统重要程度不同应对不同威胁的能力具有不同的安全保护能力不同的等级保护等级等级保护定级怎么做等级保护定级怎么做等级保护重要标准 GB 17859-1999 计算机信息系统 安全保护等级划分准则 GB/T 222392008 信息系统安全等级保护基本要求 GB/T 222402008 信息系统安全等级保护定级指南 信息系统安全等级保护测评过程指南(国标报批稿)信息系统安全等
4、级保护测评要求(国标报批稿)GB/T 25058-2010信息系统安全等级保护实施指南 GB/T 25070-2010信息系统等级保护安全设计技术要求等级保护定级维度等级保护对象受到破坏时所侵害的客体对客体造成侵害的程度 侵害程度 以货币损失衡量 一般以银行、证券、保险、第三方支付等金融行业单位为主 以行政处罚衡量 一般以政府行业单位为主 以安全生产指标衡量 一般以电力、石油、交通、制造业等工业行业单位为主定级要素与安全保护等级的关系 等级对象侵害客体侵害程度监管强度第一级一般系统公民、法人合法利益一般损害自主性保护第二级公民、法人合法权益严重损害指导性保护社会秩序和公共利益一般损害第三级重要
5、系统社会秩序和公共利益严重损害监督性保护国家安全一般损害第四级社会秩序和公共利益特别严重损害强制性保护国家安全严重损害第五级极端重要系统国家安全特别严重损害专控性保护等级与侵害客体、侵害程度关系定级三条件 具有唯一确定的安全责任单位安全责任单位一般是使用或运营单位一般是使用或运营单位 满足信息系统的基本要素信息系统的基本要素单机和纯局域网不定级单机和纯局域网不定级 承载相对独立的业务相对独立的业务应用含多个业务应用的综合系统尽量划分定级对象识别与划分可能使定级要素赋值不同因素 可能涉及不同客体的系统。可能对客体造成不同程度损害的系统。处理不同类型业务的系统。本身运行在不同的网络环境中的系统。分
6、不开的系统,按照高级别保护。定级流程G=MAX(S,A)SA业务信息安全等级矩阵表业务信息安全等级矩阵表系统服务安全等级矩阵表系统服务安全等级矩阵表等级保护定级报告案例四个主要因素决定等级系统所属类型业务信息类别系统服务范围业务依赖程度业务信息安全性业务服务保证性信息系统安全保护等级侵害的程度如何?(对客体造成侵害的程度)一般损害 严重损害 特别严重损害受到破坏时侵害了什么?(客体)公民、法人和其他组织 社会秩序、公共利益 国家安全等级保护组合可能性安全等级安全等级信息系统保护要求的组合信息系统保护要求的组合第一级第一级S1A1G1S1A1G1第二级第二级S1A2G2S1A2G2,S2A2G2
7、S2A2G2,S2A1G2S2A1G2第三级第三级S1A3G3S1A3G3,S2A3G3S2A3G3,S3A3G3S3A3G3,S3A2G3S3A2G3,S3A1G3S3A1G3第四级第四级S1A4G4S1A4G4,S2A4G4S2A4G4,S3A4G4S3A4G4,S4A4G4S4A4G4,S4A3G4S4A3G4,S4A2G4S4A2G4,S4A1G4S4A1G4第五级第五级有几种可能性?有几种可能性?行业等级保护定级一级信息系统:适用于乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。二级信息系统:适用于地市级以上国家机关、企业、事业单
8、位内部一般的信息系统。例如小的局域网,非涉及秘密、敏感信息的办公系统等。行业等级保护定级三级信息系统:适用于地市级以上国家机关、企业、事业单位内部重要的信息系统;重要领域、重要部门跨省、跨市或全国(省)联网运行的信息系统;跨省或全国联网运行重要信息系统在省、地市的分支系统;各部委官方网站;跨省(市)联接的信息网络等。四级信息系统:适用于重要领域、重要部门信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统,银行、证券、保险、税务、海关等部门中的核心系统。行业等级保护定级 重要领域 核心系统第四级 强制保护 地市级以上重要系统 跨省或全国系统及分支系统第三级 监督保护 地市级以上单位 一
9、般系统第二级 指导保护 乡镇或县级单位 私营企业第一级 自主保护电力行业等级保护定级系统类别系统类别系统名称系统名称范围范围建议等级建议等级备注备注生产控制系统生产控制系统能量管理系统能量管理系统省级及以上省级及以上4 省级以下省级以下3 变电站自动化系统变电站自动化系统220千伏及以上千伏及以上3含开关站、换含开关站、换流站流站220千伏以下千伏以下2配网自动化系统配网自动化系统 3 电力负荷管理系统电力负荷管理系统 3 火电机组控制系统火电机组控制系统DCSDCS单机容量单机容量300300兆瓦及以兆瓦及以上上3含辅机控制系含辅机控制系统统单机容量单机容量300300兆瓦以下兆瓦以下2水电
10、厂监控系统水电厂监控系统总装机总装机10001000兆瓦及以兆瓦及以上上3 总装机总装机10001000兆瓦以下兆瓦以下2 梯级调度监测系统梯级调度监测系统总装机总装机20002000兆瓦及以兆瓦及以上上3若无控制功能若无控制功能则为生产管理则为生产管理系统系统总装机总装机20002000兆瓦以下兆瓦以下2电力行业等级保护定级某科研院所定级1.支撑网络:支撑网络:(1)科技网骨干网:主要对全国范围内的用户提供系统服务,受到破坏时科技网骨干网:主要对全国范围内的用户提供系统服务,受到破坏时将对社会秩序、公共利益造成严重损害,保护等级建议定为三级。将对社会秩序、公共利益造成严重损害,保护等级建议定
11、为三级。(2)院属单位城域网:主要对院属单位提供系统服务,受到破坏时将对法院属单位城域网:主要对院属单位提供系统服务,受到破坏时将对法人合法权益造成严重损害,保护等级建议定为二级。人合法权益造成严重损害,保护等级建议定为二级。2.科研应用系统:科研应用系统:(1)一般科研应用系统:承载普通科研信息和数据,主要服务于内部或外一般科研应用系统:承载普通科研信息和数据,主要服务于内部或外部用户,受损后仅对公民、法人和其它组织的合法权益造成一般损害,部用户,受损后仅对公民、法人和其它组织的合法权益造成一般损害,保护等级建议定为一级。保护等级建议定为一级。(2)较重要科研应用系统:承载较为重要的科研信息
12、和数据,内部或外部较重要科研应用系统:承载较为重要的科研信息和数据,内部或外部用户依赖性强(访问量大),一旦受损将对公共利益造成一般损害,或用户依赖性强(访问量大),一旦受损将对公共利益造成一般损害,或对公民、法人和其它组织的合法权益造成严重损害,保护等级建议定为对公民、法人和其它组织的合法权益造成严重损害,保护等级建议定为二级。二级。3)尖端科研应用系统:承载尖端科研信息和数据,主要服务于内部或外尖端科研应用系统:承载尖端科研信息和数据,主要服务于内部或外部特殊用户,受损后至国家安全(国家竞争力)构成威胁,应定为重要部特殊用户,受损后至国家安全(国家竞争力)构成威胁,应定为重要信息系统。信息
13、系统。某科研院所定级3.办公管理系统:办公管理系统:(1)ARP院级管理系统:承载重要科研数据,为全院科研活动提供管理平院级管理系统:承载重要科研数据,为全院科研活动提供管理平台,受损后将对公共利益造成严重损害,保护等级应定为三级。台,受损后将对公共利益造成严重损害,保护等级应定为三级。(2)ARP所级管理系统:保护等级建议定为二级。所级管理系统:保护等级建议定为二级。(3)其它办公管理系统,保护等级建议定为一级。其它办公管理系统,保护等级建议定为一级。4宣传性网站:主要承载宣传信息,根据受损后对不同客体造成不同宣传性网站:主要承载宣传信息,根据受损后对不同客体造成不同性质的影响进行划分,院网
14、站保护等级定为二级;院属单位网站可和其性质的影响进行划分,院网站保护等级定为二级;院属单位网站可和其它拟定为一级的信息系统合并。它拟定为一级的信息系统合并。5.涉密信息系统:依据涉密信息系统:依据管理办法管理办法及国家保密标准及国家保密标准BMB22-2007涉涉及国家秘密的计算机信息系统分级保护测试指南及国家秘密的计算机信息系统分级保护测试指南定级,秘密、机密、定级,秘密、机密、绝密三个等级的保护水平不低于信息安全等级保护第三级、第四级、第绝密三个等级的保护水平不低于信息安全等级保护第三级、第四级、第五级的标准。按照有关规定,涉密信息系统应与其它网络进行物理隔离五级的标准。按照有关规定,涉密信息系统应与其它网络进行物理隔离。6其它信息系统:应根据承载业务信息或系统服务受损后对不同客体其它信息系统:应根据承载业务信息或系统服务受损后对不同客体造成不同性质的影响进行划分,定级时要严格把握一般信息系统与重要造成不同性质的影响进行划分,定级时要严格把握一般信息系统与重要信息系统之间的界限。信息系统之间的界限。重点回顾 等级保护共有几个等级,名称分别是?P5 等级保护定级思路 P9 等级保护定级参照标准 P12 等级保护定级维度(三类客体、三级程度)P13 三个安全等级SAG P18