信息安全等级保护工作历程

合集下载

信息安全等级保护解决方案

合理划分网段
整体方案保证
f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；
防火墙策略
USG防火墙
g) 应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。
辅助防火墙设备部署QOS策略
USG防火墙、ASG
主机身份鉴别设定+堡垒机辅助
d) 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；
加密管理，对服务器的远程管理采用SSH、SSL等加密协议，可由堡垒机辅助实现
主机身份鉴别设定+堡垒机辅助
e) 应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。
g) 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；
第一层次基于IP的访问控制，基本防火墙能力
第二层次基于用户身份的访问控制，下一代防火墙支持，配合AAA系统使用
USG防火墙
h) 应限制具有拨号访问权限的用户数量。
拨号接入设备控制（可能包括PPTP等VPN方式）
要点：管理用户权限分离敏感标记的设置
要点：审计记录审计报表审计记录的保护
要点：空间释放信息清除
要点：记录、报警、阻断
要点：记录、报警、阻断与网络恶意代码库分离
要点：监控重要服务器最小化服务检测告警
在云计算环境中，除以上必要的保护措施外，还需考虑不同租户存储空间的隔离、对外提供API的访问控制、虚拟资源占用控制以及杀毒风暴的避免等措施
THE BUSENESS PLAN
信息安全等级保护解决方案
等级保护背景介绍发展历程

信息安全等级保护工作流程图

信息安全等级保护工作流程一、定级一、等级划分计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定，分为五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

二、定级程序信息系统运营、使用单位应当依据《信息系统安全等级保护定级指南》(下载专区附)确定信息系统的安全保护等级。

有主管部门的，应当经主管部门审核批准。

跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。

对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

三、定级注意事项第一级信息系统：适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。

第二级信息系统：适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。

例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统，地市级以上国家机关、企事业单位网站等第三级信息系统：一般适用于地市级以上国家机关、企事业单位内部重要的信息系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省门户网站和重要网站；跨省连接的网络系统等。

例如网上银行系统、证券集中交易系统、海关通关系统、民航离港控制系统等为三级信息系统。

中央和国家机关有关部门信息安全等级保护工作经验摘编

在铁道部新修订的《铁路技术管理规程》中规定铁路信息系统实行等级保护。在即将印发的《铁路电子支付管理暂行办法》《、铁
路信息系统技术审查管理规定》等规章中明确提出落实等级保护要求。三是深入研究铁路网络与信息系统技术方案，加强技术措
中央和国家机关有关￣．ｒ１ｑｌ
信息安全等级保护工作经验嘬
（公安部网络安全保卫局）
水利部高度重视信息安全等级保护］作，按照国家信息安全等级保护制度的有关要求，将落实信息安全等级保护各项工作＿
措施作为深入推进水利信息化的重要保障，结合水利信息化工作实际和特点，组织编制了《利网络与信息安全体系基本技术要水
施建设。铁道部将铁路网络与信息安全等级保护技术方案研究作为部里的重点科研项目，多次组织专家进行评审。同时，对新建、改建信息系统严格把关，确保等级保护与信息系统的建设同步实施，并要求新建重要信息系统上线前开展安全性测试，确定系
统安全稳定后再上线运行。四是开展行业检查，加强应急演练。道部每年在全路开展一次全面的网络与信息安全大检查，在铁铁路春运、暑运和重要节假日、重要活动前，组织对运输生产相关的信息系统开展专项安全检查。同时，铁道部每年组织有关专家

等级保护的时间历程及事项

等级保护的时间历程及事项等级保护是一种保护机密信息的措施，它将信息分为不同的等级，根据等级的不同采取不同的保护措施。

下面将以等级保护的时间历程及事项为标题，来介绍等级保护的相关内容。

一、等级保护的起源等级保护最早起源于军事领域，用于保护军事机密。

随着社会的发展，等级保护逐渐应用于政府、企事业单位等领域，成为一种重要的信息保护措施。

二、等级保护的等级划分等级保护根据信息的重要程度和保密性质，将信息分为不同的等级，通常分为绝密、机密、秘密、内部和公开等五个等级。

不同等级的信息需要采取不同的保护措施，以确保信息的安全。

三、等级保护的实施等级保护的实施需要遵循一定的程序和规定。

首先，需要对信息进行分类和等级划分，确定信息的保密等级。

其次，需要制定相应的保密制度和管理办法，明确保密责任和保密措施。

最后，需要对保密人员进行培训和考核，确保他们能够正确地执行保密制度和措施。

四、等级保护的管理等级保护的管理是保证信息安全的关键。

管理人员需要对保密制度和措施进行监督和检查，发现问题及时处理。

同时，需要对保密人员进行定期的安全教育和培训，提高他们的保密意识和技能。

此外，还需要建立健全的保密档案和安全审计制度，确保信息的安全。

五、等级保护的应用等级保护广泛应用于政府、军队、企事业单位等领域。

在政府领域，等级保护用于保护国家机密和重要信息；在军队领域，等级保护用于保护军事机密和作战计划；在企事业单位领域，等级保护用于保护商业机密和技术秘密。

等级保护是一种重要的信息保护措施，它能够有效地保护机密信息的安全。

在实施等级保护时，需要遵循一定的程序和规定，建立健全的保密制度和管理办法，加强保密人员的培训和管理，确保信息的安全。

我国信息系统安全等级保护工作环节

我国信息系统安全等级保护工作环节信息系统安全等级保护是指根据信息系统的重要性和风险等级，对其进行分类和分级管理，采取相应的安全措施，确保信息系统的安全性、可靠性和可用性。

我国信息系统安全等级保护工作按照一定的流程和环节进行，下面将从需求分析、安全评估、安全设计、安全建设、安全监控和安全评估验证六个环节对我国信息系统安全等级保护工作进行详细介绍。

一、需求分析需求分析是信息系统安全等级保护工作的第一环节，主要目的是明确信息系统的安全需求和等级划分。

在这一环节中，需要对信息系统的功能、数据、用户和业务流程进行全面分析和调研，确定信息系统的安全等级，并明确安全保护的目标和要求。

同时，还需要对相关法律法规和政策要求进行了解和分析，为后续的安全评估和安全设计提供依据。

二、安全评估安全评估是信息系统安全等级保护工作的核心环节，主要通过对信息系统的安全性进行全面评估和分析，确定其安全等级和存在的安全风险。

在这一环节中，需要对信息系统的各个方面进行评估，包括系统的安全功能、安全策略、安全控制和安全性能等。

同时，还需要对系统的物理环境、网络环境和人员管理等方面进行评估，确保系统在各个环节都能达到相应的安全标准。

三、安全设计安全设计是信息系统安全等级保护工作的重要环节，主要目的是根据安全评估的结果，设计出符合信息系统安全等级要求的安全机制和安全措施。

在这一环节中，需要对系统的安全功能和安全策略进行详细设计，并确定相应的安全控制措施和安全性能指标。

同时，还需要对系统的物理环境和网络环境进行设计，确保系统的安全性能和可用性。

四、安全建设安全建设是信息系统安全等级保护工作的实施环节，主要是根据安全设计的要求，对信息系统进行安全性能的建设和实施。

在这一环节中，需要对系统进行安全功能和安全策略的配置，部署相应的安全控制措施和安全设备，确保系统能够按照设计要求达到相应的安全等级。

同时，还需要对系统进行安全测试和漏洞修复，确保系统的安全性能和可用性。

国家信息安全等级保护工作的开展与实施

维普资讯
信息安全等级保护建设
国家信息安全等级保护工作的
开展与实施
公安部公共信息网络安全监察局郭启全
一
、
近几年来公安部牵头实施信息安全等级保护制度开展的具体工作
主定级与审批。信息系统运营使用单位按照等级
保护管理办法和定级指南，自主确定信息系统的安全保护等级。有上级主管部门的，当经上级主应管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。二
范标准，探索了开展等级保护工作领导、组织、协调的模式和办法，为全面开展等级保护工作奠定了坚实的基础。
是出台了等级保护规范标准。２０年９０４月联
合出台了《关于信息安全等级保护工作的实施意见》
（公通字［０４６号）０７年６２０１６，２０月联合出台了《信息安全等级保护管理办法》公通字［０７４号，（２０１３以下简称《管理办法》，明确了信息安全等级保护制）度的基本内容、流程及工作要求，明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务，为开展信息安全等级保护工作提供了规范保障。制定了包括《计算机信息系统安全保护等级划分准则》Ｇ１８９１９、（Ｂ７５ — ９９）《信息系统安全等级保护定级指南》《息系统安全、信等级保护基本要求》《、信息系统安全等级保护实施指南》《、信息系统安全等级保护测评要求》５多等０个国标和行标，初步形成了信息安全等级保护标准

安全等级保护制度的发展

随着信息技术的飞速发展，网络安全问题日益突出，数据泄露、网络攻击等安全事件频发，严重威胁着国家安全、经济安全和人民群众的切身利益。

为了有效应对网络安全威胁，我国逐步建立了安全等级保护制度，本文将从安全等级保护制度的起源、发展历程、现状及未来展望等方面进行阐述。

一、安全等级保护制度的起源安全等级保护制度起源于20世纪70年代的美国。

当时，美国国防部为了应对日益严重的计算机安全威胁，提出了“可信计算机系统评估准则”（Trusted Computer System Evaluation Criteria，TCSEC），即“橘皮书”。

该准则将计算机系统的安全等级分为A、B、C、D四个等级，为计算机系统的安全评估提供了理论依据。

二、安全等级保护制度的发展历程1. 我国安全等级保护制度的起步20世纪90年代，我国开始关注网络安全问题，并借鉴了美国的TCSEC。

1994年，我国发布了《计算机信息系统安全保护等级划分准则》（GB/T 17859-1999），将计算机系统的安全等级划分为A、B、C、D四个等级，为我国网络安全工作提供了基本准则。

2. 安全等级保护制度的完善进入21世纪，我国网络安全形势日益严峻，安全等级保护制度不断完善。

2003年，我国发布了《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008），明确了信息系统安全等级保护的基本要求。

2011年，我国发布了《信息安全技术信息系统安全等级保护管理办法》，对信息系统安全等级保护工作进行了规范。

3. 安全等级保护制度的深化近年来，我国网络安全战略地位不断提升，安全等级保护制度得到进一步深化。

2014年，我国发布了《国家安全法》，将网络安全纳入国家安全体系。

2016年，我国发布了《网络安全法》，明确了网络安全等级保护制度在国家法律体系中的地位。

三、安全等级保护制度的现状1. 安全等级保护制度已在我国全面实施目前，我国网络安全等级保护制度已在全国范围内全面实施。

公安机关圆满完成2011年信息安全等级保护检查工作

过服务加强了管理。在检查过程中，各级公安网安部门不仅限于了解情况，发现和指出问题，也利用检查机会向备案单位介绍好・的经验做法、先进管理模式和工作成效，让被检查单位看到差距，找到改进方向。北京、安徽、湖南等地还通过检查，建立信息平俞和ＱＱ群，加强与备案单位的日常联系，通报相关情况，做好信息安全服务Ｔ作。
２１年第Ｏ期０２３
公安机关圆满完成２年信息安全等级保护检查工作０１１
２１年１月到１月，按照公安部的统一部署，全国公安机关网安部门圆满完成信息安全等级保护检查工作。检查期间，各０１１２级公安机关共出动警力１．４万人次，检查单位４０６０余家，出具反馈意见和整改通知书４０８０余份。其中，公安部还会同北京市公安局对６９个部委和２９个企事业单位共９８个重点单位进行了检查，有效推动了全国信息安全等级保护工作的开展。
２１年第Ｏ期０２３
广电、税务、证券、银行等１２个重要行业出台４个行业等级保护标准，为全行业开展等级保护工作提供了重要保障。电力、银２行、证券、税务等重点行业部门积极主动开展业务培训、试点示范，制定行业整体规划，使等级保护工作真正落到了实处。国家电网公司、中石油、中石化等一批中央企业，认真在集团公司本部和全国各地认真组织开展等级保护各项工作，加大人员和经费投入，建立了三级的重要信息系统运维队伍和监测系统，使生产业务安全保障能力明显提高。
２各级公安网安部门通过检查，及时发现了重要行业部门的工作成效，及时掌握了重要信息系统安全保护状况
根据检查结果看，电力、海关、税务、铁路、广电、教育、银行、证券等３０个重点行业Ｔ作成效突出，占检查部委总数的４％。这些行业部门对等级保护Ｔ作认识到位、领导重视、措施得力、成效显著。卫生、检察、法院、气象、林业等ｌ３０余个部

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

信息安全等级保护工作历程
1994年，《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。

该条明确了三个内容：一是确立了等级保护是计算机信息系统安全保护的一项制度；二是出台配套的规章和技术标准；三是明确了公安部的牵头地位。

2003年，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出“实行信息安全等级保护”。

“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。

标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。

同时中央27号文明确了各级党委和政府在信息安全保障工作中的领导地位，以及“谁主管谁负责，谁运营谁负责”的信息安全保障责任制。

2004年9月，公安部会同国家保密局、国家密码管理局和国务院信息办四部门联合出台了《关于信息安全等级保护工作的实施意见》（公通字[2004]66号），计划“经过三年的努力，逐步将信息安全等级保护制度落实到信息安全规划、建设、评估、运行维护等各个环节，使我国信息安全保障状况得到基本改善”。

2006年上半年，公安部会同国信办在全国范围内开展了信息系统安全等级保护基础调查。

调查对象共计65117家单位，涉及115319个信息系统。

通过基础调查，基本摸清和掌握了全国信息系统特别是重要信息系统的基本情况，为制定信息安全等级保护政策奠定了坚实的基础。

2006年6月，四部门联合下发了《关于开展信息安全等级保护试点工作的通知》（公信安[2006]573号）。

在13个省区市和3个部委联合开展了信息安全等级保护试点工作。

通过试
点，完善了开展等级保护工作的模式和思路，检验和完善了开展等级保护工作的方法、思路、规范标准，探索了开展等级保护工作领导、组织、协调的模式和办法，为全面开展等级保护工作奠定了坚实的基础。

2007年6月，四部门联合出台了《信息安全等级保护管理办法》（公通字[2007]43号，以下简称《管理办法》），明确了信息安全等级保护制度的基本内容、流程及工作要求，明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务，为开展信息安全等级保护工作提供了规范保障。

2007年7月，四部门联合出台了《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号），并在北京联合召开了“全国重要信息系统安全等级保护定级工作电视电话会议”，部署在全国范围内开展重要信息系统安全等级保护定级工作。

评估中心制定的四个标准《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评要求》报批稿作为文件附件在试点工作中使用。

2009年10月，公安部出台了《关于开展信息安全等级保护建设整改工作的指导意见》（公信安[2009]1429号），并对中央和国家机关九十多个部委和直属机构等进行了等级保护建设整改工作培训，评估中心对建设整改工作的技术方法和流程进行了培训。

同年，公安部以（公信安[2009]1487号）文件的形式下发了由评估中心编写的《信息系统安全等级保护测评报告模板（试行）》。

2010年4月，公安部出台了《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号），要求2010年底前完成等级测评体系建设工作，2011年底前完成三级以上信息系统的等级测评工作，2012年底前完成三级以上信息系统的建设整改工作。

在《信息安全等级保护测评工作管理规范（试行）》文件中明确规定，公安部信息安全等级保护评估中心负责测评机构的能力评估和培训。

2010年12月，公安部和国务院国有资产监督管理委员会联合出台了《关于进一步推进中央企业信息安全等级保护工作的通知》（公通字[2010]70号），要求中央企业贯彻执行等级保护工作。