信息系统安全等级保 护 概念、原理、方法、要求、 实施华南理工大学信息网络工程研究中心 罗晓奔内容n安全等级保护概述n安全等级保护定级原理n安全等级保护定级方法n安全等级保护定级管理n安全等级保护技术和管理要求n高校安全等级保护实施探讨内容n安全等级保护概述n目的、意义、职责分工、政策法规n安全等级保护定级原理n安全等级保护定级方法n安全等级保护定级管理n安全等级保护技术和管理要求n高校安全等级保护实施探讨目的n规范信息安全等级保护管理，提高信息安全保 障能力和水平，维护国家安全、社会稳定和公 共利益，保障和促进信息化建设。n国家通过制定统一的信息安全等级保护管理规 范和技术标准，组织公民、法人和其他组织对 信息系统分等级实行安全保护，对等级保护工 作的实施进行监督、管理。意义n有利于在信息化建设过程中同步建设信息安全设施， 保障信息安全与信息化建设相协调； n有利于为信息系统安全建设和管理提供系统性、针对 性、可行性的指导和服务； n有利于优化信息安全资源的配置，重点保障基础信息 网络和重要信息系统的安全； n有利于明确国家、法人和其他组织、公民的信息安全 责任，加强信息安全管理； n有利于推动信息安全产业的发展，逐步探索出一条适 应社会主义市场经济发展的信息安全模式。定级范围n运营商和服务提供商n电信、广电行业的公用通信网、广播电视传输网等基础 信息网络，经营性公众互联网信息服务单位、互联网接 入服务单位、数据中心等单位的重要信息系统。 n重要行业n铁路、银行、海关、税务、民航、电力、证券、保险、 外交、科技、发展改革、国防科技、公安、人事劳动和 社会保障、财政、审计、商务、水利、国土资源、能源 、交通、文化、教育、统计、工商行政管理、邮政等行 业、部门的生产、调度、管理、办公等重要信息系统。 n重要机关n市（地）级以上党政机关的重要网站和办公信息系统。 n涉密系统n涉及国家秘密的信息系统。职责分工n公安机关n负责信息安全等级保护工作的监督、检查、指导。 n国家密码管理部门n负责等级保护工作中有关密码工作的监督、检查、指导。 n其他相关部门n涉及其他职能部门管辖范围的事项，由有关职能部门依照国 家法律法规的规定进行管理。 n信息化领导机构n国务院信息化工作办公室及地方信息化领导小组办事机构负 责等级保护工作的部门间协调。 n信息系统主管部门n依照本办法及相关标准规范，督促、检查、指导本行业、本 部门或者本地区信息系统运营、使用单位的等级保护工作。 n信息系统的运营、使用单位n应当依照本办法及其相关标准规范，履行信息安全等级保护 的义务和责任。政策法规n中华人民共和国计算机信息系统安全保护条例（国务院147号 令） n国家信息化领导小组关于加强信息安全保障工作的意见（中办 发200327号文件），中办、国办n关于信息安全等级保护工作的实施意见（公通字200466号文 件）公安部、保密局、国密办以及国信办 n信息系统安全等级保护基本要求（拟报标准GB/T?-? ） n信息系统安全等级保护定级指南（拟报标准GB/T?-? ） n信息系统安全等级保护实施指南（拟报标准GB/T?-? ） n信息系统安全等级保护测评准则（拟报标准GB/T?-? ） n信息安全等级保护管理办法（公通字200743号文件），公安 部、保密局、国密办以及国信办 n关于开展全国重要信息系统安全等级保护定级工作的通知（公 信安2007861号文件），公安部、保密局、国密办以及国信办国家标准n信息技术 词汇 第8部分：安全（GB/T 5271.8） n信息技术 计算机信息系统安全保护等级划分准则（GB17859 -1999） n信息技术 信息技术安全性评估准则（GB/T 18336-2000） n信息技术 信息安全管理实用规则（ GB/T 19716-2005） n信息技术 信息系统通用安全技术要求（GB/T20271-2006） n信息技术 网络基础安全技术要求（GB/T20270-2006） n信息技术 操作系统安全技术要求（GB/T20272-2006） n信息技术 数据库管理系统安全技术要求（GB/T20273-2006 ） n信息技术 服务器技术要求 （GB/T?-?） n信息技术 终端计算机系统安全等级技术要求（GA/T671- 2006） n信息技术 信息系统安全管理要求（GB/T20269-2006） n信息技术 信息系统安全工程管理要求（GB/T20282-2006）内容n安全等级保护概述 n安全等级保护定级原理n定级准则、等级划分、定级要素、定级 要素与等级的关系 n安全等级保护定级方法 n安全等级保护定级管理 n安全等级保护技术和管理要求 n高校安全等级保护实施探讨定级准则n坚持自主定级、自主保护的原则。n应当根据信息系统在国家安全、经济建设、社 会生活中的重要程度，信息系统遭到破坏后对 国家安全、社会秩序、公共利益以及公民、法 人和其他组织的合法权益（受侵害客体）的危 害程度等因素确定。 等级划分n第一级（自主保护级 ）n信息系统受到破坏后，会对公民、法人和其他组织的合法权 益造成损害，但不损害国家安全、社会秩序和公共利益。 n第二级（指导保护级 ）n信息系统受到破坏后，会对公民、法人和其他组织的合法权 益产生严重损害，或者对社会秩序和公共利益造成损害，但 不损害国家安全。 n第三级（监督保护级 ）n信息系统受到破坏后，会对社会秩序和公共利益造成严重损 害，或者对国家安全造成损害。 n第四级（强制保护级 ）n信息系统受到破坏后，会对社会秩序和公共利益造成特别严 重损害，或者对国家安全造成严重损害。 n第五级（专控保护级 ）n信息系统受到破坏后，会对国家安全造成特别严重损害。 第五级第四级第三级第二级定级监管部门第一级单位自主公安部门公安部门和国密部门国密部门？定级要素n受侵害的客体等级保护对象受到破坏时所侵害的 客体包括以下三个方面：n公民、法人和其他组织的合法权益；n社会秩序、公共利益；n国家安全。 n对客体的侵害程度对客体的侵害程度由客观方面 的不同外在表现综合决定，表现为对等级保护对象的 破坏，通过危害方式、危害后果和危害程度加以描述 。侵害程度归结为以下三种：n造成一般损害；n造成严重损害；n造成特别严重损害。定级要素与等级的关系受侵害的客体对客体的侵害程度一般损害严重损害特别严 重损害公民、法人和其他组 织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级等级、定级要素、监管关系等级受侵害客体侵害程度监管强度第一级公民、法人和其他组织的合法权益一般损害自主保护第二级公民、法人和其他组织的合法权益严重损害、特别严重损害指导保护社会秩序和公共利益严重损害第三级社会秩序和公共利益严重损害监督保护国家安全一般损害第四级社会秩序和公共利益特别严重损害强制保护国家安全严重损害第五级国家安全特别严重损害专控保护内容n安全等级保护概述 n安全等级保护定级原理 n安全等级保护定级方法n安全对象、定级流程、定级对象、受侵 害的客体、对客体的危害后果、对客体 的侵害程度、确定安全等级 n安全等级保护定级管理 n安全等级保护技术和管理要求 n高校安全等级保护实施探讨确定安全对象n业务信息安全保护等级n从业务信息安全角度反映的信息系统安全保护 等级称业务信息安全保护等级。n以业务为主题，如不同应用系统n系统服务安全保护等级n从系统服务安全角度反映的信息系统安全保护 等级称系统服务安全保护等级。n以服务为主题，如不同子网、数据中心定级流程 3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所 侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所 侵害的客体7、系统服务安全等级4、业务信息安全等级8、定级对象的安全保护等级依据表A依据表B1、确定定级对象确定定级对象（流程1）n具有唯一确定的安全责任单位（一个单位）n这种定级对象是能够唯一地确定其安全责任单位。如果一个 单位的某个下级单位负责信息系统安全建设、运行维护等过 程的全部安全责任，则这个下级单位可以成为信息系统的安 全责任单位；如果一个单位中的不同下级单位分别承担信息 系统不同方面的安全责任，则该信息系统的安全责任单位应 是这些下级单位共同所属的单位。 n具有信息系统的基本要素（一个系统）n这种定级对象是由相关的和配套的设备、设施按照一定的应 用目标和规则组合而成的有形实体。应避免将某个单一的系 统组件，如服务器、终端、网络设备等作为定级对象。 n承载相对独立的业务应用（一种应用）n这种定级对象是指其业务应用的主要业务流程独立，同时与 其他业务应用有一定的数据交换，定级对象可能会与其他业 务应用共享一些设备，尤其是网络传输设备。确定受侵害的客体（流程2、5 ）nA-侵害国家安全n影响国家政权稳固和国防实力；影响国家统一、民族团结和 社会安定；影响国家对外活动中的政治、经济利益；影响国 家重要的安全保卫工作；其他影响国家安全的事项。 nB1-侵害社会秩序n影响国家机关社会管理和公共服务的工作秩序；影响各种类 型的经济活动秩序；影响各行业的科研、生产活动秩序；影 响公众在法律约束和道德规范下的正常生活秩序等；其他影 响社会秩序的事项。 nB2-影响公共利益n影响社会成员使用公共设施；影响社会成员获取公开信息资 源；影响社会成员接受公共服务等方面；其他影响公共利益 的事项。 nC-影响公民、法人和其他组织的合法权益n指由法律确认的并受法律保护的公民、法人和其他组织所享 有的一定的社会权利和利益。确定对客体的侵害程度（流程3、 6）n一般损害n工作职能受到局部影响，业务能力有所降低但不影响主要功 能的执行，出现较轻的法律问题，较低的财产损失，有限的 社会不良影响，对其他组织和个人造成较低损害。 n严重损害n工作职能受到严重影响，业务能力显著下降且严重影响主要 功能执行，出现较严重的法律问题，较高的财产损失，较大 范围的社会不良影响，对其他组织和个人造成较严重损害。 n特别严重损害n工作职能受到特别严重影响或丧失行使能力，业务能力严重 下降且或功能无法执行，出现极其严重的法律问题，极高的 财产损失，大范围的社会不良影响，对其他组织和个人造成 非常严重损害。确定对客体的危害后果n影响行使工作职能； n导致业务能力下降； n引起法律纠纷； n导致财产损失； n造成社会不良影响； n对其他组织和个人造成损失； n其他影响。确定定级对象的安保等级（流程4、7 ）n业务信息安全保护等级矩阵表n系统服务安全保护等级矩阵表表A-业务信息安全保护等级矩阵 表 业务 信息安全被破坏 时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严 重损害公民、法人和其他组 织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级表B-系统服务安全保护等级矩阵 表 系统服务安全被破 坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严 重损害公民、法人和其他 组织 的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级内容n安全等级保护概述 n安全等级保护定级原理 n安全等级保护定级方法 n安全等级保护定级管理n定级监督管理、等级测评与自查、定级 申报材料 n安全等级保护技术和管理要求 n高校安全等级保护实施探讨定级监督管理n第一级n信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。n国家信息安全监管部门对该级信息系统信息安全等级保护工作进行备案。 n第二级n信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。n国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。 n第三级n信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。n国