信息系统安全等级保护主讲：唐彬彬 2012.9.4中华人民共和国计算机信息系统安全保护条例第二章 安全保护制度部分规定：“计算机信息系统实行安全等级 保护。安全等级的划分标准和安全等级保护的具体办法， 由公安部会同有关部门制定。”计算机信息系统安全保护等级划分准则GB17859- 1999（技术法规）规定:国家对信息系统实行五级保护。国家信息化领导小组关于加强信息安全保障工作的意见 重点强调:实行信息安全等级保护制度，重点保护基础 信息网络和重要信息系统。国家法律和政策依据信息系统安全等级保护是指对信息安全实行等级化 保护和等级化管理。根据信息系统应用业务重要程度及其实际安全需求 ，实行分级、分类、分阶段实施保护，保障信息安 全和系统安全正常运行，维护国家利益、公共利益 和社会稳定。等级保护的核心是对信息系统特别是对业务应用系 统安全分等级、按标准进行建设、管理和监督。国 家对信息安全等级保护工作运用法律和技术规范逐 级加强监管力度。突出重点，保障重要信息资源和 重要信息系统的安全。等级保护基本概念信息安全等级保护是指：对国家秘密信息、法人和 其他组织及公民的专有信息、公开信息分类分级进 行管理和保护。对信息系统按业务安全应用域和区实行分级保护。对系统中使用的信息安全产品实行按分级许可管 理。 对等级系统的安全服务资质分级许可管理。对信息系统中发生的信息安全事件分等级响应、处 置。信息安全等级保护制度的主要内容保护业务安全应用。对信息安全分级保护是客观需 求：信息系统的建立是为社会发展、社会生活的需 要而设计、建立的，是社会构成、行政组织体系及 其业务体系的反映，这种体系是分层次和级别的。 因此，信息安全保护必须符合客观存在。等级化保护是信息安全发展规律：按组织业务应用 区域、分层、分类、分级进行保护和管理，分阶段 推进等级保护制度建设，这是做好国家信息安全保 护必须遵循的客观规律。为什么要搞等级保护第一级：用户自主保护级。第二级：系统审计保护级。第三级：安全标记保护级。第四级：结构化保护级 （系统整体安全设计）。第五级：访问验证保护级。以计算机信息系统安全保护等级划分准则 GB17859-1999为指导，建立包括系统安全功能、 系统之间、网络之间、设备之间、用户之间的可信 鉴别保障平台，安全保护能力从第一级到第五级逐 级增强。系统安全功能分级保护制度一般适用于乡镇所属信息系统、县级某些单位中一 般的信息系统、小型私营、个体企业、中小学的信 息系统。能够防护系统免受来自个人的、拥有很少资源的威 胁源发起的恶意攻击、一般的自然灾难、以及其他 相当危害程度的威胁所造成的关键资源损害，在系 统遭到损害后，能够恢复部分功能。第一级等级保护一般适用于县级某些单位中的重要信息系统，地市 级以上国家机关、企业、事业单位内部一般的信息 系统。能够防护系统免受来自外部小型组织的、拥有少量 资源的威胁源发起的恶意攻击、一般的自然灾难、 以及其他相当危害程度的威胁所造成的重要资源损 害，能够发现重要的安全漏洞和安全事件，在系统 遭到损害后，能够在一段时间内恢复部分功能。第二季等级保护一般适用于地市级以上国家机关、重要企事业单位 内部重要的信息系统。能够在统一安全策略下防护系统免受来自外部有组 织的团体、拥有较为丰富资源的威胁源发起的恶意 攻击、较为严重的自然灾难、以及其他相当危害程 度的威胁所造成的主要资源损害，能够发现安全漏 洞和安全事件，在系统遭到损害后，能够较快恢复 绝大部分功能。第三级等级保护一般适用于国家重要领域、重要部门中的特别重要 系统以及核心系统。能够在统一安全策略下防护系统免受来自国家级别 的、敌对组织的、拥有丰富资源的威胁源发起的恶 意攻击、严重的自然灾难、以及其他相当危害程度 的威胁所造成的资源损害，能够发现安全漏洞和安 全事件，在系统遭到损害后，能够迅速恢复所有功 能。第四级等级保护一般适用于国家重要领域、重要部门中的极端重要 系统。第五级等级保护 明确责任，共同保护 依照标准，自行保护 同步建设，动态调整 监督指导，重点保护 确保重点、兼顾一般 按需保护、效费合理 信息安全等级保护原则第一准备阶段：制定、完善法律规范和技术规范， 宣传培训，试点，推广信息安全等级保护试点经验 和方法，落实安全管理制度和责任，由各单位确定 保护等级，加固改造现有系统安全。等级保护的实施第二试行阶段:选择具有代表性的信息系统，开展等 级保护试行工作，总结经验，完善标准，为全面开 展等级保护创造条件。等级保护的实施第三全面发展阶段:完成现有系统加固改造，基本实 现规范化、等级化、制度化、法制化。保障基础信 息网络安全和重要信息系统安全。逐步更新网络系统的安全设备，使我国信息安全扎 根于国家信息安全科学技术和产业的基础之用上， 基本实现信息安全技术产业化，牵动国家经济和现 代化发展。等级保护的实施国家等级保护基本安全要求信息安全等级保护制度是国家信息安全保障工作的 基本制度、基本策略和基本方法，是促进信息化健 康发展，维护国家安全、社会秩序和公共利益的根 本保障。因此开展信息安全等级保护工作不仅是保 障重要信息系统安全的重大措施，也是一项事关国 家安全、社会稳定、国家利益的重要任务。小结谢谢