信息安全基础第5讲（信息系统等级保护） .ppt

基本要求标注方式 基本要求 技术要求 管理要求 要求标注 业务信息安全类要求（标记为S类） 系统服务保证类要求（标记为A类） 通用安全保护类要求（标记为G类） 三类要求之间的关系 通用安全保护类要求（G） 业务信息安全类（S） 系统服务保证类（A 安全要求 对客体的侵害不是威胁直接作用的结果，而是通过对等级保护对象——信息系统的破坏而导致的，因此确定对客体侵害的程度时，必须考虑对等级保护对象所造成破坏的不同客观表现形态以及不同程度的结果，也就是侵害的客观方面。 定级阶段 关于损害后果 影响行使工作职能，工作职能包括国家管理职能、公共管理职能、公共服务职能等国家或社会方面的职能。 导致业务能力下降，下降的表现形式可能包括业务范围的减少、业务处理性能的下降、可服务的用户数量的下降以及其他各种业务指标的下降，每个行业务都有本行业关注的业务指标。例如电力行业关注发电量和用电量，税务行业关注税费收入，银行业关注存款额、贷款额、交易量等，证券经纪行业关注股民数和交易额。 定级阶段-关于损害的详述 关于损害后果 引起法律纠纷是比较严重的影响，在较轻的程度时可能表现为投诉、索赔、媒体曝光等形式。 导致财产损失，包括系统资产被破坏的直接损失、业务量下降带来的损失、直接的资金损失、为客户索赔所支付的资金等，以及由于信誉下降、单位形象降低、客户关系损失等导致的间接经济损失。 直接造成人员伤亡，例如医疗服务系统，公安行业的某些系统等。 造成社会不良影响，包括在社会风气、执政信心等方面的影响。 定级阶段-关于损害的详述 定级阶段-关于损害的详述 安全保护级别 信息和信息系统受到破坏后的影响 1 自主保护级 不会损害国家安全、社会秩序和公共利益。 2 指导保护级 会对社会秩序和公共利益造成轻微损害，但不损害国家安全。 3 监督保护级 会对国家安全、社会秩序和公共利益造成损害。 4 强制保护级 会对国家安全、社会秩序和公共利益造成严重损害。 5 专控保护级 会对国家安全、社会秩序和公共利益造成特别严重损害。 定级阶段-关于定级级别 等级 对象 侵害客体 侵害程度 监管强度 第一级 一般系统 合法利益 损害 自主性保护 第二级 合法权益 严重损害 指导性保护 社会秩序和公共利益 损害 第三级 重要系统 社会秩序和公共利益 严重损害 监督性保护 国家安全 损害 第四级 社会秩序和公共利益 特别严重损害 强制性保护 国家安全 严重损害 第五级 极端重要系统 国家安全 特别严重损害 专控性保护 定级阶段-关于定级方法 定级的一般方法 信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。 从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。 从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。 定级阶段-关于定级方法 定级阶段-关于定级方法与流程 根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据下表业务信息安全保护等级矩阵表，即可得到业务信息安全保护等级。 定级阶段-关于定级方法与流程 根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据下表系统服务安全保护等级矩阵表，即可得到系统服务安全保护等级。 四个主要因素决定等级 系统所属类型 业务信息类别 系统服务范围 业务依赖程度 业务信息安全性 业务服务保证性 信息系统安全保护等级 侵害的程度如何？（对客体造成侵害的程度） 一般损害 严重损害 特别严重损害 受到破坏时侵害了什么？（客体） 公民、法人 社会秩序、公共利益 国家安全 定级阶段-关于等级变更 在信息系统的运行过程中，安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更，尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化，可能影响到系统的安全保护等级时，应根据定级标准给出的定级方法重新定级 定级案例-三级系统定级 定级案例-三级系统定级 定级案例-三级系统定级 定级案例-三级系统定级 小测试 等级保护定级维度是那两个？ 等级保护定级客体有哪些？ 一个对国家安全会造成一般损害的信息系统应该定为等级保护几级？ 基本要求的作用 信息系统安全等级保护基本要求 运营、使用单位 （安全服务商） 主管部门 （等级测评机构） 安全保护 测评检查 基本要求的定位 是系统安全保护、等级测评的一个基本“标尺”，同样级别的系统使用统一的“标尺”来衡量，保证权威性，是一个达标线； 每个级别的信息系统按照基本要求进行保护后，信息系统具有相应等级的基