信息系统安全等级保护基础调查.pptxVIP

信息系统安全等级保护基础调查 ;通过基础调查，使各级公安机关掌握本辖区内信息系统的数量、重要程度、主管部门、运营使用单位等基本情况 分析调查数据，使管理机构全面了解掌握近年来信息化建设的具体成果数据，基础信息网络和重要信息系统的数量、区域分布、行业分布等情况，为制定信息安全等级保护工作规划提供科学依据，为制定国家信息安全政策提供决策参考。;信息系统的划分 定级指南介绍 基础调查步骤和有关事项 调查辅助工具使用说明;信息系统和业务子系统： 信息系统是指基于计算机或计算机网络，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的人机系统； 业务子系统由信息系统的一部分组件构成，是信息系统中能够承载某项业务工作的子系统。 一个或多个业务子系统构成信息系统。信息系统的重要性由其业务子系统重要性决定。;一个组织机构内可能运行一个或多个信息系统，这些信息系统的安全保护等级可以是相同的，也可以是不同的。为体现重点保护重要信息系统安全，有效控制信息安全建设成本，优化信息安全资源配置的等级保护原则，在将业务子系统组成信息系统时应考虑以下几个方面： 相同的管理机构 相同的业务类型 相同的物理位置或相似的运行环境 各业务子系统之间的关联，如共用设备或数据交换。;在一个大而复杂的系统中将某个或某几个业务子系统组成的信息系统划分出来，最困难，也是最主要的是确定信息系统边界，尤其是如何在信息系统内部划定与其它信息系统的边界，因为此时往往存在服务器或网络设备共用的情况。 划分原则：由于信息系统的边界保护一般在物理边界或网络边界上实现，信息系统边界不应划分在服务器内，而应划分在网络设备或边界防护设备上，以便采取相应的边界保护。;信息系统划分方法;服务器共用情况下的信息系统边界划分 当两个信息系统具有不同的用户群，业务流程通过不同的网络途径完成，但两个信息系统共用一个服务器进行业务处理。 假设信息系统1的安全保护等级为3，信息系统2的安全保护等级为2。 ;;边界划分： 系统1和系统2的交叠部分是服务器1，为避免使服务器1成为两个系统的边界，应将网络/边界设备2作为3级系统与2级系统的边界设备。这样两个信息系统就相当于有两个共用设备，服务器1和网络/边界设备2，两个子系统的边界划分如上图所示。 共用设备的保护措施等级： 服务器1应当按照3级进行保护，但服务器中的与信息系统2有关的应用系统，可以采用二级保护。网络/边界设备2应采取3级的保护措施。;安全区域： 在这种情况下，信息系统2具有两个不同等级的安全区域，尽管信息系统2也有3级保护区域，但信息系统2的安全保护等级仍然为2级，这是由其本身业务特性决定的。这种情况在实际系统中非常普遍，有些系统通过分析后，可能跨越3个等级的安全区域，且每个不同等级的安全区域间都有相应的网络边界防护。 ;网络/边界设备共用情况下的信息系统边界划分： ;定级指南介绍;等级确定的原则;业务为核心原则 信息系统是为业务应用服务的，信息系统的安全保护等级应当依据信息系统承载业务的重要性、业务对信息系统的依赖度和系统特殊的安全需求确定。 合理性原则 不同于信息安全产品，信息系统千差万别，各具特色，只有在划分安全保护等级的过程中，尽可能反映出信息系统的主要安全特征，合理划分等级，才能做到突出重点，适度保护。;第一级 自主保护级适用于一般的信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。 第二级 指导保护级适用于一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全 第三级 监督保护级适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成损害。 ;第四级 强制保护级适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害。 第五级 专控保护级适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重损害。 ;决定等级的主要因素;四个主要因素决定两个定级指标;两个等级指标决定等级;定级对象;等级确定步骤;信息系统类型赋值;信息系统类型举例;业务信息类型赋值;业务信息类型举例;确定业务信息安全性;信息系统服务范围赋值;信息系统服务范围举例;业务依赖程度赋值;业务依赖程度举例;确定业务服务保证性;业务服务保证性的调节;调节结果;确定信息系统安全保护等级 ;等级的调整;定级实例1;系统等级分析 1、政府网站为政务工作的延伸，其信息系统类型赋值为3； 2、网站信息属公开信息，其业务信息类型赋值为1； 3、查表知ZFWZ系统的业务信息安全性等级为