等级保护系统定级培训讲解.pptxVIP

等级保护系统定级介绍 深信服科技有限公司 2013.7 目录 等级保护分为哪些等级 如何确定系统的等级 定级案例分享 如何完成定级备案 等级保护分为哪些等级 《中华人民共和国计算机信息系统安全保护条例》（1994年国务院147号令） 第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。 GB 17859-1999《计算机信息系统安全保护等级划分准则》 第一级:用户自主保护级； 第二级:系统审计保护级； 第三级:安全标记保护级； 第四级:结构化保护级； 第五级:访问验证保护级； 3 根据保护侧重点的不同，《信息安全技术 信息系统安全等级保护基本要求GBT 22239—2008》中将技术类安全要求进一步细分为： 保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求（简记为S）； 保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求（简记为A）； 通用安全保护类要求（简记为G）。 等级保护分为哪些等级 目录 等级保护分为哪些等级 如何确定系统的等级 定级案例分享 如何完成定级备案 如何确定系统的等级？ 如何确定系统的等级？ 业务信息安全(S) 是指确保信息系统内业务信息的保密性、完整性和可用性等 系统服务安全(A) 是指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标 如何确定系统的等级？ 业务信息安全被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别 严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 表2 如何确定系统的等级？ 系统服务安全被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别 严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 表3 如何确定定级对象？ 确定定级对象，三个基本条件： 一、具有唯一确定的安全责任单位 作为定级对象的信息系统应能够唯一地确定其安全责任单位，这个安全责任单位就是负责等级保护工作部署、实施的单位，也是完成等级保护备案和接受监督检查的直接责任单位。 二、满足信息系统的基本要素 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如单台的服务器、终端或网络设备等作为定级对象。 如何确定定级对象？ 确定定级对象，三个基本条件： 三、承载相对独立的业务应用 定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流程、部分业务功能独立，同时与其他信息系统的业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程，可以使完整的业务流程的一部分。 信息系统的划分没有绝对的对与错，只有合理与不合理，合理地划分信息系统有利于信息系统的保护及安全规划，反之可能给将来的应用和安全保护带来不便，又可能需要重新进行信息系统的划分。 如何确定定级对象？ 确定系统边界的几个注意点： 系统边界不应出现在服务器内部，服务器共用的系统一般归入同一个信息系统，因此不同信息系统的共用设备一般是网络/边界设备或终端设备。 两个信息系统边界存在共用设备时，共用设备的安全保护等级按两个信息系统安全保护等级较高者确定。 信息系统的管理终端是与相应被管理设备相对应的，服务器、网络设备及安全设备等属于哪个系统，终端就应归在哪个信息系统中。 如果无法做到不同等级的信息系统使用不同的终端设备，则应将终端设备划分为其他的信息系统，并在服务器与内部用户终端之间建立边界保护，对终端通过身份鉴别和访问控制等措施加以控制。 如何判断受侵害的客体？ 三种受侵害的客体: 国家安全 体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全等方面利益。 社会秩序和公共利益 包括政治、经济、生产、生活、科研、工作等各方面的正常秩序和社会公众生产、生活、教育、卫生等方面的利益。 公民、法人和其他组织合法权益 是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益， 如何判断受侵害的客体？ 关于国家安全 重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统 等；广播、电视、网络等重要新闻媒体的发布或播出系统，其受到非 法控制可能引发影响国家统一、民族团结和社会安定的重大事件；尖 端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信 息系统，以及电力、通信、能源、交通运输、金融等国家重要基础