等级保护定级指南(第十二期)讲解

合集下载

等级保护基本要求培训(第十二期)

能力成熟度模型CMM
各级系统的保护要求差异（宏观）
一级系统
计划和跟踪（主要制度）
二级系统
计划和跟踪（主要制度）
三级系统
良好定义（管理活动制度化）
四级系统
持续改进（管理活动制度化/及时改进）
各级系统的保护要求差异（微观）
技术要求
某级系统基本要求
管理要求
物网主应数理络机用据安安安安安全全全全全
各级系统的保护要求差异（宏观）
安全保护模型IATF
成功的完成业务信息保障
操作
人技术
防御网络与基础设施
防御飞地边界
防御计算环境
支撑性基础设施
各级系统的保护要求差异（宏观）
一级系统二级系统三级系统四级系统
通信/边界（基本）通信/边界/内部（关键设备）通信/边界/内部（主要设备）通信/边界/内部/基础设施（所有设备）
不同级别的安全保护能力要求
第一级第二级第三级第四级
人员威胁个人小型组织
外部组织或内部人员国家级别
自然威胁一般自然灾害一般自然灾害
较为严重灾害
严重灾害
损害对象关键资源重要资源
主要资源
所有资源
恢复能力部分恢复
一段时间内部分恢复
较快恢复绝大部分
迅速恢复所有
发现能力
具有某级安全保护能力的系统
各级系统的保护要求差异（宏观）
• 安全保护模型PPDRR
Protection防护
Recovery
恢复
Policy 策略
Detection
检测
Response 响应
各级系统的保护要求差异（宏观）

等级保护基本要求培训(第十二期)

• GB/T 20273ቤተ መጻሕፍቲ ባይዱ2006 数据库管理系统安全技术要求
• GB/T 20275—2006 入侵检测系统技术要求和测试评价方法
• GB/T 20278—2006 网络脆弱性扫描产品技术要求
• GB/T 20279—2006 网络和终端设备隔离部件安全技术要求
• GB/T 20281—2006 防火墙技术要求和测试评价方法
等级保护基本要求培训(第十二期)
等级保护相关标准
• GA/T 708-2007 信息系统安全等级保护体系框架
• GA/T 709－2007 信息系统安全等级保护基本模型
• GA/T 710-2007 信息系统安全等级保护基本配置
• GA/T 711-2007 应用软件系统安全等级保护通用技术指南
• GA/T 712－2007 应用软件系统安全等级保护通用测试指南
等级保护基本要求培训(第十二期)
不同级别的安全保护能力要求
• 第三级安全保护能力
– 应能够在统一安全策略下防护系统免受来自外部有组织的团体（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严重的自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较广等）以及其他相当危害程度的威胁（内部人员的恶意威胁、无意失误、较严重的技术故障等）所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。
安全保护和系统定级的关系
安全等级
信息系统保护要求的组合
第一级 S1A1G1
第二级 S1A2G2，S2A2G2，S2A1G2
第三级 S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3

等级保护定级指南

为什么要实施等级保护毒
3Q大战
荆州市商务局
沧州电信泄密
网站篡改
敏感数据泄密
钓鱼网站
假冒的中国工商银行网站
真正的中国工商银行网站
扬州市城乡建设局网站(/)
我们身边的重大安全事件案例
• 深圳市10万孕妇信息泄露 1.2万元一张光盘贩卖怀疑卫生局、计生委 • 广东电网珠海供电局无人值守终端向互联网扫描导致GDCERT告警 • 广州市政府机关网络信息中心UPS电池火灾瘫痪72小时 • 广州市越秀区教育局门户网站域名过期抢注变色情网站 • 广州市破获省人事厅网站被入侵案，带破福建省建设信息网等10多起黑客入侵案件。
受到破坏时侵害了什么？（客体） • 公民、法人 • 社会秩序、公共利益 • 国家安全
信息系统安全保护等级
系统服务范围业务服务保证性业务依赖程度
侵害的程度如何？（对客体造成侵害的程度） • 一般损害 • 严重损害 • 特别严重损害
等级保护组合可能性
安全等级
第一级第二级第三级 S1A1G1 S1A2G2，S2A2G2，S2A1G2 S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3
第二级
指导性保护
Байду номын сангаас第三级
监督性保护
国家安全
社会秩序和公共利益
损害
特别严重损害强制性保护专控性保护
国家安全极端重要系统
国家安全
严重损害
特别严重损害
定级三条件
• 具有唯一确定的安全责任单位 • 满足信息系统的基本要素 • 承载相对独立的业务应用
定级对象识别与划分
• 可能使定级要素赋值不同因素
– 可能涉及不同客体的系统。 – 可能对客体造成不同程度损害的系统。 – 处理不同类型业务的系统。 • • 本身运行在不同的网络环境中的系统。分不开的系统，按照高级别保护。

等级保护讲解

将在网络安全领域发挥重要作用，为等级保护提供新的解决方案。
跨界融合与合作
等级保护将促进不同行业、领域的跨界融合与合作，共同应对网络安全威胁。
总结与思考
等级保护制度的意义
等级保护制度为重要信息系统提供了安全保障，确保其稳定运行和信息安全，维护了国家安全和社会秩序。
GB/T 25058-2019等标准，规定了网络安全等级保护的技术要求和实施方法。
应用安全等级保护技术标准
GB/T 37983-2019等标准，针对应用系统的安全保护制定了相应技术标准。
等级保护的管理规范
网络安全等级保护管理规范
规定了各级管理机构和责任人在网络安全等级保护工作中的职责和要求，以及工作流程、文档记录等内容。
制定标准规范
为保证等级保护工作的有效实施，需要制定相关的标准规范，明确等级保护的基本要求、实施流程和评估方法等。
加强培训宣传
加强培训和宣传工作，提高员工对等级保护工作的认识和重视程度，促进企业整体网络安全意识的提升。
05
未来展望与总结
未来发展趋势与展望
完善法律法规
随着网络安全形势的不断变化，等级保护制度将不断完善，为网络安全提供更有力的保障。
总结和推广网络安全领域的最佳实践，引导企业和个人加强网络安全意识和能力。
加强培训与演练
组织开展网络安全培训和演练，提高应对网络安全事件的能力和水平。
THANKS
感谢观看
等级保护的历史与发展
等级保护起源
等级保护起源于美国，最初用于国防领域，现已成为全球信息安全领域的重要制度。
等级保护在中国
自20世纪90年代起，中国开始推行等级保护制度，并不断完善相关法规和标准。
等级保护的重要性和意义

等级保护实施指南(第十二期)

• 参与角色：信息系统运营、使用单位，信息安全服务机构。 • 活动输出：安全控制开发过程相关文档。
安全设计与实施-技术措施实现
• 安全控制集成
– 集成实施方案制定 – 集成准备 – 集成实施 – 培训 – 安全控制集成报告
• 参与角色：信息系统运营、使用单位，信息安全服务机构。 • 活动输出：安全控制集成报告。
实施指南编制的主要思路
实施指南目录结构
个章节1个附录构成由9个章节个附录构成个章节 1.范围范围 2.规范性引用文件规范性引用文件 3术语和定义术语和定义 4.等级保护实施概述等级保护实施概述 5. 信息系统定级 6.总体安全规划总体安全规划 7.安全设计与实施安全设计与实施 8.安全运行与维护安全运行与维护 9.信息系统终止信息系统终止附录A 附录主要过程及其活动输出
等级保护实施基本原则
等级保护实施过程中的角色和职责
实施督促监督
协助测评提供
等级保护实施阶段
信息系统定级总体安全规划安全设计与实施局部调整安全运行维护信息系统终止等级变更
信息系统全生命周期
信息系统生命周期生期
设计/开发阶段段
• 参与角色：信息系统运营、使用单位，信息安全服务机构，信息安全产品供应商。 • 活动输出：技术措施落实方案。
安全设计与实施-安全方案详细设计
• 管理措施实现内容设计
– 结合系统实际安全管理需要和本次技术建设内容，确定本次安全管理建设的范围和内容，同时注意与信息系统安全总体方案的一致性。安全管理设计的内容主要考虑：安全管理机构和人员的配套、安全管理制度的配套、人员安全管理技能的配套等
• 参与角色：信息系统运营、使用单位，信息安全服务机构。 • 活动输出：信息系统安全总体方案。

网络安全等级保护定级指南解读

网络安全等级保护定级指南解读《信息安全技术网络安全等级保护定级指南》是《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240-2008）的修订版主要内容一．基本概念和定级要素二．定级方法三．工作流程•定级是开展网络安全等级保护工作的“基本出发点”•定级结果应当成为系统安全保护的总体安全需求之一•定级过程是找到系统最大风险的过程•《信息安全等级保护管理办法》（公通字[2007]43号“第七条信息系统的保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

”•解决了：信息系统根据什么定级？定什么级？•从信息系统对国家安全、经济建设、公共利益等方面的重要性，以及信息系统被破坏后造成危害的严重性角度对信息系统确定的等级-重要性定级•没有解决：定级的方法、流程•《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240-2008）•《信息安全技术网络安全等级保护定级指南》（GB/T 22240-20**）(前者的修订版)——主要关注等级保护定级工作开展的流程及定级的方法•概念解释•安全保护等级•等级保护对象•客体•安全保护等级等级的确定是不依赖于安全保护措施的，具有一定的“客观性”，即该系统在存在之初便由其自身所实现的使命的重要程度决定了它的安全保护等级，而非由“后天”的安全保护措施决定。

•等级保护对象•网络安全等级保护工作的作用对象，主要包括基础网络设施、信息系统（如工业控制系统、云计算平台、物联网、使用移动互联技术的系统、其他系统）以及数字资源等。

等级保护2.0讲解PPT课件

第四级信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害
第五级信息系统受到破坏后，会对国家安全造成特别严重损害
2021
等级保护工作主要的流程
一是定级二是备案（二级以上的信息系统）三是系统建设、整改四是开展等级测评五是信息安全监管部门定期开展监督检查
无
通信传输
b) 应采用密码技术保证通信过程中敏感信息字段或整
个报文的保密性。
a) 应能够对非授权设备私自联到内部网络的
a) 应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信；
行为进行检查，准确定出位置，并对其进行
有效阻断；
b) 应能够对非授权设备私自联到内部网络的行为进行
边界完整性检查
（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；
（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；
（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月； 2021
第三十四条除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：
c) 应强制用户首次登录时修改初始口令；（新增） d) 用户身份鉴别信息丢失或失效时，应采用技术措
施确保鉴别信息重置过程的安全；（新增）
a) 应仅采集和保存业务必需的用户个人信息；（新增）
b) 应禁止未授权访问和非法使用用户个人信息。（新增）
2021
解读
1. 应用是具体业务的直接实现，不具有网络和系统相对标准化的特点。大部分应用本身的身份鉴别、访问控制和操作审计等功能，都难以用第三方产品来替代实现；

等级保护政策、流程、内容、定级介绍 ppt课件

ppt课件
21
8 等级保护安全建设内容
安全建设
在信息系统安全保护等级确定以后，系统运营单位和使用单位开展系统安全建设和改建工作，通常包括安全需求分析、总体安全设计、详细安全设计、安全设施实现和安全运行与维护等工作。
ppt课件
22
9 等级保护监督检查内容
监督检查
公安机关负责信息安全等级保护工作的督促、检查、指导；受理备案的公安机关对第三级信息系统的运营、使用单位每年至少检查一次，对第四级每半年检查一次；公安机关检查发现不符合有关管理规范和技术标准的，发出整改通知并进行整改。
信息系统定级工作的主体是信息系统运营和使用单位，坚持“自主定级、自主保护”原则，因此定级工作应当由信息系统的运营和使用单位来完成。
ppt课件
13
6 等级保护定级工作流程
定级受理备案审核材料
管理办法规定第二级以上信息系统应当在安全保护等级确定后30日内，由其运营、使用单位到所在地区的市级以上公安机关办理系统备案手续。
ppt课件
8
3 等保测评作用
工作实施过程中涉及到的角色和职责：在信息系统建设、整改时，信息系统运营使用单位通过
等级测评进行安全需求分析，确定系统的特殊安全需求。信息系统等级保护基本安全要求与确定的特殊安全需求共同确定了该系统的安全需求。在系统运维过程中，定期委托测评机构开展等级测评，对信息系统安全等级保护状况、安全保障性能进行安全测试，对信息安全管控能力进行考察和评价，从而判定是否具备《信息系统安全等级保护基本要求》中相应等级安全保护能力。等级测评报告是信息系统后期开展整改加固的重要指导性文件，也是信息系统备案的重要附件材料。等级测评结论是信息系统满足要求程度的证明文件。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

新建信息系统等级保护实施流程
定级
建设
不通过
测评
结果分析
系统备案
定期检查
已建信息系统等级保护实施流程
定级
系统备案
不通过
整改
测评
结果分析
结果确认
定期检查
等级保护定级思路
不同信息系统重要程度不同应对不同威胁的能力具有不同的安全保护能力不同的等级保护等级
等级保护定级怎么做
等级保护重要标准
行业等级保护定级
三级信息系统：适用于地市级以上国家机关、企业、事业单位内部重要的信息系统；重要领域、重要部门跨省、跨市或全国（省）联网运行的信息系统；跨省或全国联网运行重要信息系统在省、地市的分支系统；各部委官方网站；跨省（市）联接的信息网络等。
四级信息系统：适用于重要领域、重要部门信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统，银行、证券、保险、税务、海关等部门中的核心系统。
• 广东电网某供电局无人值守终端向互联网扫描导致GDCERT告警
• 广州市政府机关网络信息中心UPS电池火灾瘫痪72小时
• 广州市某区教育局门户网站域名过期抢注变色情网站
• 广州市破获省人事厅网站被入侵案，带破福建省建设信息网等10多起黑客入侵案件。
为什么要首先进行定级？
等级保护实施流程
等级与侵害客体、侵害程度关系
等级第一级
第二级
对象一般系统
第三级第四级
重要系统
极端重要系
第五级
统
侵害客体公民、法人合法利益
侵害程度一般损害
公民、法人合法权益严重损害
社会秩序和公共利益一般损害
社会秩序和公共利益严重损害
国家安全
一般损害
社会秩序和公共利益特别严重损害
国家Байду номын сангаас全
严重损害
国家安全
• 本身运行在不同的网络环境中的系统。 • 分不开的系统，按照高级别保护。
定级流程
S
A
G=MAX(S,A)
业务信息安全等级矩阵表
系统服务安全等级矩阵表
等级保护定级报告案例
四个主要因素决定等级
系统所属类型业务信息类别系统服务范围业务依赖程度
业务信息安全性
业务服务保证性
受到破坏时侵害了什么？（客体） • 公民、法人和其他组织 • 社会秩序、公共利益 • 国家安全
• GB 17859-1999 计算机信息系统安全保护等级划分准则 • GB/T 22239—2008 信息系统安全等级保护基本要求 • GB/T 22240—2008 信息系统安全等级保护定级指南 • 信息系统安全等级保护测评过程指南（国标报批稿） • 信息系统安全等级保护测评要求（国标报批稿） • GB/T 25058-2010信息系统安全等级保护实施指南 • GB/T 25070-2010信息系统等级保护安全设计技术要求
党政机关
为什么要实施等级保护毒
3Q大战
荆州市商务局
沧州电信泄密
某银行网站篡改
某知名企业敏感数据泄密
钓鱼网站
假冒的中国工商银行网站
真正的中国工商银行网站
我们身边的重大安全事件案例
• 深圳市10万孕妇信息泄露 1.2万元一张光盘贩卖怀疑卫生局、计生委
信息系统安全等级保护定级指南
广东计安信息网络培训中心
什么是等级保护？
等级保护等级
根据我国信息安全标准GB/T 22240—2008 《信息系统安全等级保护定级指南》对我国非涉密信息系统划分为五个等级进行保护。
等级保护对象
• 电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心
某科研院所定级
3.办公管理系统： (1)ARP院级管理系统：承载重要科研数据，为全院科研活动提供管理平台，受损后将对公共利益造成严重损害，保护等级应定为三级。 (2)ARP所级管理系统：保护等级建议定为二级。 (3)其它办公管理系统，保护等级建议定为一级。 4．宣传性网站：主要承载宣传信息，根据受损后对不同客体造成不同性质的影响进行划分，院网站保护等级定为二级；院属单位网站可和其它拟定为一级的信息系统合并。 5.涉密信息系统：依据《管理办法》及国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测试指南》定级，秘密、机密、绝密三个等级的保护水平不低于信息安全等级保护第三级、第四级、第五级的标准。按照有关规定，涉密信息系统应与其它网络进行物理隔离。 6．其它信息系统：应根据承载业务信息或系统服务受损后对不同客体造成不同性质的影响进行划分，定级时要严格把握一般信息系统与重要信息系统之间的界限。
行业等级保护定级
第四级强制保护
• 重要领域 • 核心系统
第三级监督保护
• 地市级以上重要系统 • 跨省或全国系统及分支系统
第二级指导保护
• 地市级以上单位 • 一般系统
第一级自主保护
• 乡镇或县级单位 • 私营企业
电力行业等级保护定级
系统类别生产控制系统
系统名称
范围
能量管理系统
省级及以上省级以下
变电站自动化系统
220千伏及以上 220千伏以下
配网自动化系统
电力负荷管理系统
单机容量300兆瓦及以
火电机组控制系统DCS
上
单机容量300兆瓦以下
水电厂监控系统
总装机1000兆瓦及以上
总装机1000兆瓦以下
梯级调度监测系统
总装机2000兆瓦及以上
总装机2000兆瓦以下
建议等级 4 3 3 2 3 3 3 2 3 2 3 2
等级保护定级维度
等级保护对象受到破坏时所侵害的客体对客体造成侵害的程度
侵害程度
• 以货币损失衡量
– 一般以银行、证券、保险、第三方支付等金融行业单位为主
• 以行政处罚衡量
– 一般以政府行业单位为主
• 以安全生产指标衡量
– 一般以电力、石油、交通、制造业等工业行业单位为主
定级要素与安全保护等级的关系
重点回顾
• 等级保护共有几个等级，名称分别是？P5 • 等级保护定级思路 P9 • 等级保护定级参照标准 P12 • 等级保护定级维度（三类客体、三级程度
）P13 • 三个安全等级SAG P18
第四级 S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4， S4A2G4，S4A1G4
第五级有几种可能性？
行业等级保护定级
一级信息系统：适用于乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。
二级信息系统：适用于地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网，非涉及秘密、敏感信息的办公系统等。
电信运营商等单位的重要信息系统。
国计民生
• 铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
• 市（地）级以上党政机关的重要网站和办公信息系统
备注
含开关站、换流站
含辅机控制系统
若无控制功能则为生产管理
系统
电力行业等级保护定级
某科研院所定级
1.支撑网络： (1)科技网骨干网：主要对全国范围内的用户提供系统服务，受到破坏时将对社会秩序、公共利益造成严重损害，保护等级建议定为三级。 (2)院属单位城域网：主要对院属单位提供系统服务，受到破坏时将对法人合法权益造成严重损害，保护等级建议定为二级。 2.科研应用系统： (1)一般科研应用系统：承载普通科研信息和数据，主要服务于内部或外部用户，受损后仅对公民、法人和其它组织的合法权益造成一般损害，保护等级建议定为一级。 (2)较重要科研应用系统：承载较为重要的科研信息和数据，内部或外部用户依赖性强（访问量大），一旦受损将对公共利益造成一般损害，或对公民、法人和其它组织的合法权益造成严重损害，保护等级建议定为二级。 3)尖端科研应用系统：承载尖端科研信息和数据，主要服务于内部或外部特殊用户，受损后至国家安全（国家竞争力）构成威胁，应定为重要信息系统。
信息系统安全保护等级
侵害的程度如何？（对客体造成侵害的程度） • 一般损害 • 严重损害 • 特别严重损害
等级保护组合可能性
安全等级
信息系统保护要求的组合
第一级 S1A1G1
第二级 S1A2G2，S2A2G2，S2A1G2
第三级 S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3
特别严重损害
监管强度自主性保护指导性保护
监督性保护强制性保护专控性保护
定级三条件
• 具有唯一确定的安全责任单位
–一般是使用或运营单位
• 满足信息系统的基本要素
–单机和纯局域网不定级
• 承载相对独立的业务应用
–含多个业务应用的综合系统尽量划分
定级对象识别与划分
• 可能使定级要素赋值不同因素 – 可能涉及不同客体的系统。 – 可能对客体造成不同程度损害的系统。 – 处理不同类型业务的系统。