信息安全等级保护院评估中心.pptVIP

* * * 如，网络结构设计不合理，各网络设备在位置的部署上存在问题，导致某些网络安全要求没有正确实现。信息安全的管理策略方向性不明确，导致一些管理要求没有实现。 产生这种情况的原因是多方面，其中目前技术的制约可能是最主要的原因。例如，强制访问控制，目前在主流的操作系统和数据库系统上并没有得到很好的实现。 如，登陆口令复杂度检测没有启用、操作系统的审计功能没有启用等就是经常出现的情况。 * 某一控制点可能会落实到多个对象上，但某个要求项落实到不同对象上可能有所不同。具体来讲，主要应关注该安全要求“实现的关键点”，即，在哪些组件实现这些安全要求即可实现该安全要求的保护目标。“关键点”的寻找可依照系统的业务流程，通过对业务流程的分析，分析哪些对象是业务正常完成的“关键点”，从而对系统落实该保护要求；也可根据数据的访问路径寻找“关键点”，通过对系统网络拓扑图的分析，分析合法用户可以通过哪些途径访问系统，非法用户可能通过哪些途径访问系统，通过对哪些对象进行保护就能够起到“事半功倍”的效果。 * * * * 定级指南的定位 * 起到行业主管部门在信息安全工作中的主导作用。 * 中国的国家安全是指保卫中华人民共和国的领士完整及独立自主。国家安全的最高目标是保卫国家主权，而保卫国家主权的最高表现则是保卫国家的生存权和发展权。 国家安全的内涵简单但外延广泛且不断演化。以往我们对国家安全的认识，更多侧重于国家的生存安全，当今中国国家安全，已不是生存意义而是发展意义上的概念。发展利益之所在，便是今日中国国家核心利益之所在，从这个意义上讲，对国家核心利益的威胁便是对国家安全的主要威胁。对新国家安全的关注，已从传统的维护国土安全，转变为维护中国政治和经济利益安全。由于信息化的发展，信息系统安全对国家安全的影响也日益显著，体现在政治、经济、国防、外交、科技、文化、环境等各方面。 ??? （一）危害国家政权的巩固和防御能力； ??? （二）影响国家统一、民族团结和社会安定； ??? （三）损害国家在对外活动中的政治、经济利益；??? （四）影响国家领导人、外国要员的安全；??? （五）妨害国家重要的安全保卫工作； ??? （六）使保护国家秘密的措施可靠性降低或者失效；??? （七）削弱国家的经济、科技实力；??? （八）使国家机关依法行使职权失去保障。?? * * 公共利益，是指不特定的社会成员所享有的利益，公共利益本身是一个开放的、发展的概念，具有不可穷尽性。因此，公共利益所包括的范围非常宽泛，它既可能是经济利益，也可能是包括文化、教育、卫生、环境等各个方面的利益。公共利益还具有多层次性与多样性的特点，如国防利益、交易安全、消费者利益等等，但无论进行何种程度的列举，公共利益的内涵与外延都是无法列举穷尽的。 公民、法人和其他组织的合法权益不同于公共利益，选择客体为公共利益是指受侵害的对象是“不特定的社会成员”，而选择公民、法人和其他组织的合法权益时，受侵害的对象是明确的，就是拥有信息系统的个体或某个单位。 * 在分析侵害的客观方面时，为区别针对信息系统的破坏程度和对客体的侵害程度，《定级指南》使用了“危害”一词，用于描述对信息系统的破坏，例如危害方式、危害后果、危害程度等。综合评定不同危害方式、不同危害后果所造成的不同危害程度，才可以确定对客体的侵害程度。 * 在分析侵害的客观方面时，为区别针对信息系统的破坏程度和对客体的侵害程度，《定级指南》使用了“危害”一词，用于描述对信息系统的破坏，例如危害方式、危害后果、危害程度等。综合评定不同危害方式、不同危害后果所造成的不同危害程度，才可以确定对客体的侵害程度。 * 在《定级指南》中还提出“由于各行业信息系统所处理的信息种类和系统服务特点各不相同，信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同，各行业可根据本行业信息特点和系统服务特点，制定危害程度的综合评定方法，并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义。” 可以借鉴安全事件定级，等级保护关注的是最严重的事件产生的影响。 既考虑产生的影响，同时也需考虑影响消除。 * 在上述危害后果中，各行业的某个类型的信息系统一般主要关注其中的一种后果，例如银行系统一般关注业务能力下降的影响，党政系统主要关注管理职能的履行等，而将其他后果作为参考。行业主管部门通过梳理本行业信息系统的现状，通过对这些不同类型、不同程度后果的定量、半定量描述，给出对等级保护客体的一般损害、严重损害和特别严重损害的指导性意见，以便本行业的信息系统运营使用单位可以参照执行，只有这样，一个行业内确定的安全保护等级才具有较好的一致性。 * * 例如对内服务与对外运营的业务系统，对内服务的办公系统，一般来说其中的信息和提供的服务