信息系统安全等级保护定级备案讲义.pptVIP

* * * * * 在定级工作中最关键、最复杂、难度最大的是如何科学、合理地确定定级对象。定级是等级保护的基础，而确定定级对象又是定级工作的基础，因此这项工作十分重要。 * * 影响定级要素赋值产生不同的因素： 1系统所涉及的客体不同： 例如对内服务与对外运营的业务系统，对内服务的办公系统是面向本单位的，客体是本单位，而对外系统往往关系到其他单位、个人或面向社会，两类业务可能涉及不同的客体，可能具有不同的安全保护等级，可以考虑划分为不同的信息系统。涉及国家秘密的信息系统与处理一般单位敏感信息的信息系统应分开。 2损害程度不同： 例如全国层面的服务中心远大于各省级节点和市级节点，受到破坏后的损害程度和影响范围有很大差别，可能具有不同的安全等级，可以考虑划分为不同的信息系统。 不同的网络环境中的系统： 信息系统建设和网络布局，一般都会考虑系统的特点、业务重要性及不同系统之间的关系，进行信息系统的等级划分应尽可能以现有网络条件为基础进行划分，以免引起不必要的网络改造和建设工作，影响原有系统的业务运行。 分不开的系统： 有些信息系统中不同业务的重要程度虽然会有所差异，但是由于业务之间联系紧密，不容易拆分，可以作为一个信息系统按照同样级别保护。但是，如果其中某一个业务面临风险或威胁较大，比如与互联网相连，可能会影响到其它的业务，就应当将其从该信息系统中分离出来，单独作为一个信息系统而实施保护。 * 例如，一个2级系统和一个3级系统之间有一个防火墙或两个系统共用一个核心交换机，此时防火墙和交换机可以作为两个系统的边界设备，但应满足3级系统的要求。 终端设备一般包括系统管理终端（如服务器和网络设备的管理终端，业务管理终端，安全设备管理终端等），内部用户终端（如办公系统用户的终端，银行系统的业务终端、移动用户终端等）和外部用户终端（如网银用户终端，清算系统中的商业银行终端，证券交易系统的交易客户等）。 内部用户终端往往与多个系统相连，当信息系统进行等级化保护后，应尽可能为不同的信息系统分配不共用的终端设备，以免在终端处形成不同等级信息系统的边界。 * * 三种受侵害的客体体现了三种不同层次、不同覆盖范围的社会关系。 国家安全利益体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全和资源环境安全等方面利益。 社会秩序包括社会的政治、经济、生产、生活、科研、工作等各方面的正常秩序。公共利益是指不特定的社会成员所共同享有的，维持其生产、生活、教育、卫生等方面的利益。 合法权益是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益 * * * 三种受侵害的客体体现了三种不同层次、不同覆盖范围的社会关系。 公民、法人和其他组织的合法权益： 由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。 社会秩序： 包括社会的政治、经济、生产、生活、科研、工作等各方面的正常秩序。公共利益是指不特定的社会成员所共同享有的，维持其生产、生活、教育、卫生等方面的利益。 合法权益是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。 影响国家机关社会管理和公共服务的工作秩序； 影响各种类型的经济活动秩序； 影响各行业的科研、生产秩序； 影响公众在法律约束和道德规范下的正常生活秩序等； 其他影响社会秩序的事项。 举例：各级政府机构的社会管理和公共服务系统，如财政、金融、工商、税务、公检法、海关、社保等领域的信息系统，也包括教育、科研机构的工作系统，以及所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统。 公共利益： 公共利益本身是一个开放的、发展的概念，具有不可穷尽性。因此，公共利益所包括的范围非常宽泛，它既可能是经济利益，也可能是包括文化、教育、卫生、环境等各个方面的利益。公共利益还具有多层次性与多样性的特点，如国防利益、交易安全、消费者利益等等，但无论进行何种程度的列举，公共利益的内涵与外延都是无法列举穷尽的。 影响社会成员使用公共设施； 影响社会成员获取公开信息资源； 影响社会成员接受公共服务等方面； 其他影响公共利益的事项。 举例：借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方面，例如：公共通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施、公共服务设施等。 公共利益与社会秩序密切相关，社会秩序的破坏一般会造成对公共利益的损害。 国家安全： 中国的国家安全是指保卫中华人民共和国的领士完整及独立自主。国家安全的最高目标是保卫国家主权，而保卫国家主权的最高表现则是保卫国家的生存权和发展权。 国家安全的内涵简单但外延广泛且不断演化。以往我们对国家安全的认识，更多侧重于国