信息安全等级保护定级讲训.ppt

* * * 1．是信息安全保障工作中国家意志的体现－－国家制定统一的政策，依法开展等级保护；有关职能部门对信息安全等级保护工作实施监督管理；除了技术、方法等，最主要的包含了对人的管理。 2．是解决信息安全问题的有效方法－－信息安全等级保护既是国家在信息安全领域的一项基本制度，也是解决信息安全问题的具体方法：提出了一整套安全要求；贯穿系统启动、开发、实现、运维、废弃等IT系统工程的整个生命周期；引入了测评技术和风险评估技术； 3．是承载信息安全保障政策和制度的基础和基本制度－－网络信任体系；网络安全监控体系；应急处理；风险评估；灾难备份；技术开发和产业发展等。 * * * 中国的国家安全是指保卫中华人民共和国的领士完整及独立自主。国家安全的最高目标是保卫国家主权，而保卫国家主权的最高表现则是保卫国家的生存权和发展权。 国家安全的内涵简单但外延广泛且不断演化。以往我们对国家安全的认识，更多侧重于国家的生存安全，当今中国国家安全，已不是生存意义而是发展意义上的概念。发展利益之所在，便是今日中国国家核心利益之所在，从这个意义上讲，对国家核心利益的威胁便是对国家安全的主要威胁。对新国家安全的关注，已从传统的维护国土安全，转变为维护中国政治和经济利益安全。由于信息化的发展，信息系统安全对国家安全的影响也日益显著，体现在政治、经济、国防、外交、科技、文化、环境等各方面。 ??? （一）危害国家政权的巩固和防御能力； ??? （二）影响国家统一、民族团结和社会安定； ??? （三）损害国家在对外活动中的政治、经济利益；??? （四）影响国家领导人、外国要员的安全；??? （五）妨害国家重要的安全保卫工作； ??? （六）使保护国家秘密的措施可靠性降低或者失效；??? （七）削弱国家的经济、科技实力；??? （八）使国家机关依法行使职权失去保障。?? * * 公共利益，是指不特定的社会成员所享有的利益，公共利益本身是一个开放的、发展的概念，具有不可穷尽性。因此，公共利益所包括的范围非常宽泛，它既可能是经济利益，也可能是包括文化、教育、卫生、环境等各个方面的利益。公共利益还具有多层次性与多样性的特点，如国防利益、交易安全、消费者利益等等，但无论进行何种程度的列举，公共利益的内涵与外延都是无法列举穷尽的。 公民、法人和其他组织的合法权益不同于公共利益，选择客体为公共利益是指受侵害的对象是“不特定的社会成员”，而选择公民、法人和其他组织的合法权益时，受侵害的对象是明确的，就是拥有信息系统的个体或某个单位。 * 在分析侵害的客观方面时，为区别针对信息系统的破坏程度和对客体的侵害程度，《定级指南》使用了“危害”一词，用于描述对信息系统的破坏，例如危害方式、危害后果、危害程度等。综合评定不同危害方式、不同危害后果所造成的不同危害程度，才可以确定对客体的侵害程度。 * * * * * * * * * 例如对内服务与对外运营的业务系统，对内服务的办公系统，一般来说其中的信息和提供的服务是面向本单位的，涉及到的等级保护客体一般是本单位，而对外运营的业务系统往往关系到其他单位、个人或面向社会，因此这两类业务可能涉及不同的客体，可能具有不同的安全保护等级，可以考虑划分为不同的信息系统。又比如处理涉及国家秘密信息的信息系统与处理一般单位敏感信息的信息系统应分开。 例如全国大集中系统数据中心的数据量和服务范围都远大于各省级节点和市级节点，其受到破坏后的损害程度和影响范围也有很大差别，可能具有不同的安全等级，可以考虑划分为不同的信息系统。 一般单位的信息系统建设和网络布局，一般都会或多或少考虑系统的特点、业务重要性及不同系统之间的关系，进行信息系统的等级划分应尽可能以现有网络条件为基础进行划分，以免引起不必要的网络改造和建设工作，影响原有系统的业务运行。 有些信息系统中不同业务的重要程度虽然会有所差异，但是由于业务之间联系紧密，不容易拆分，可以作为一个信息系统按照同样级别保护。但是，如果其中某一个业务面临风险或威胁较大，比如与互联网相连，可能会影响到其它的业务，就应当将其从该信息系统中分离出来，单独作为一个信息系统而实施保护。 * * 终端设备一般包括系统管理终端（如服务器和网络设备的管理终端，业务管理终端，安全设备管理终端等），内部用户终端（如办公系统用户的终端，银行系统的业务终端、移动用户终端等）和外部用户终端（如网银用户终端，清算系统中的商业银行终端，证券交易系统的交易客户等）。 内部用户终端往往与多个系统相连，当信息系统进行等级化保护后，应尽可能为不同的信息系统分配不共用的终端设备，以免在终端处形成不同等级信息系统的边界。 * 例如对内服务与对外运营的业务系统，对内服务的办公系统，一般来说其中的信息和提供的服务是面向本单位的，涉及到的等级保护