03郑州市2015网络安全员培训考试管理第三章解说.doc

一、信息安全等级保护概述 （一）我国信息网络安全面临的严峻形势 随着我国国民经济和社会发展信息化进程的全面加快，我国信息化的程度越来越高，关系国计民生的重要领域信息系统已经成为国家的关键基础设施。这些基础信息网络和重要信息系统安全，已经严重关系国家安全和社会稳定，关系广大人民群众切身利益。 当前，我国基础信息网络和重要信息系统安全面临的形势十分严峻，既有外部威胁，又有自身脆弱性和薄弱环节，维护国家信息安全的任务十分艰巨、繁重，所面临的严峻形势有： 1. 针对基础信息网络和重要信息系统的违法犯罪持续上升 不法分子利用一些安全漏洞，使用病毒、木马、网络钓鱼等技术进行网络盗窃、网络诈骗、网络赌博等违法犯罪活动，对我国经济秩序、社会管理秩序和公民的合法权益造成严重侵害。 2. 基础信息网络和重要信息系统安全隐患严重 由于各基础信息网络和重要信息系统的核心设备、技术和高端服务主要依赖国外进口，在操作系统、专用芯片和大型应用软件等方面不能自主可控，给我国的信息安全带来了深层的技术隐患。 3. 我国的信息安全保障工作基础还很薄弱 信息安全意识和安全防范能力薄弱，信息系统安全建设、监管缺乏依据和标准，安全保护措施和安全制度不落实，监管措施不到位。 实施信息安全等级保护，有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务，有效控制信息安全建设成本；有利于明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理； （二）我国实行信息安全等级保护的意义 （三）我国信息等级保护工作回顾 1994年，《中华人民共和国计算机信息系统安全保护条例 》（国务院147号令）规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。 2003年，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。 2004年9月，公安部、国家保密局、国家密码管理局和国务院信息办联合出台了《关于信息安全等级保护工作的实施意见》（公通字[2004]66号），2007年6月联合出台了《信息安全等级保护管理办法》，明确了信息安全等级保护制度的基本内容、流程及工作要求，明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务，为信息安全等级保护工作提供了规范保障。 2005年底，公安部和国务院信息化工作办公室联合印发了《关于开展信息系统安全等级保护基础调查工作的通知》（公信安[2005]1431号）。2006年上半年，公安部会同国信办在全国范围内开展了信息系统安全等级保护基础调查。 有利于优化信息安全资源的配置，对信息系统分 2006年6月，公安部、国家保密局、国家密码管理局和国务院信息办联合下发了《关于开展信息安全等级保护试点工作的通知》（公信安[2006]573号）。在13个省区市和3个部委联合开展了信息安全等级保护试点工作。 (四) 信息等级保护标准体系 信息等级保护标准体系由等级保护工作过程中所需的所有标准组成，整个体系可以从多个角度分析。从基本分类角度，分为以下类别标准： 1. 基础类 信息安全技术 信息系统安全等级保护定级指南 信息系统安全等级保护实施指南 信息安全等级保护基本模型 信息安全等级保护基本配置 信息系统安全等级保护测评要求 信息系统安全等级保护测评过程指南 2. 技术类 计算机信息系统 安全保护等级划分准则 信息安全技术 信息安全等级保护基本要求 网络基础安全技术要求 操作系统技术要求 数据库管理系统安全技术要求 防火墙技术要求和测试评价方法 3.管理类 信息安全技术 信息安全事件管理指南 信息安全事件分类分级指南 信息系统灾难恢复规范 信息系统安全管理要求 信息安全风险评估规范 检测评估机构服务资源等级划分准则 二、信息等级保护主要内容