当前位置:文档之家 › 实施过程技术环节培训-中国网络安全等级保护网

实施过程技术环节培训-中国网络安全等级保护网

  • 格式:doc
  • 大小:190.00 KB
  • 文档页数:25

下载文档原格式

  / 25

合集下载

南京地铁AFC系统网络信息安全等级保护方案

南京地铁AFC系统网络信息安全等级保护方案

· 231 · 2023年2月10日第40卷第3期运营维护技术DOI:10.19399/j.cnki.tpt.2023.03.072南京地铁AFC 系统网络信息安全等级保护方案夏世晨(南京地铁运营有限责任公司,江苏 南京 210012)摘要:目前,经济全面复苏的需求日益迫切,受地缘政治的影响,我国面临的国际环境态势更加复杂多变,南京地铁售检票系统面临的网络、数据安全形势也日趋严峻。

从南京地铁自动售检票(Automatic Fare Collection,AFC)系统网络安全等级保护定级和备案、安全保护等级测评、测评问题整改、整改后复核测评以及日常安全运营和维护等方面进行全面且系统的阐述。

关键词:轨道交通;自动售检票(AFC)系统;信息网络安全;等级保护Analysis of Network Information Security Classification Protection Scheme of NanjingMetro AFC SystemXIA Shichen(Nanjing Metro Operation Co., Ltd., Nanjing 210012, China)Abstract: At present, the demand for comprehensive economic recovery is increasingly urgent. Affected by geopolitics, China is facing a more complex and volatile international environment, and the network and data security situation faced by Nanjing Metro fare collection system is becoming increasingly severe. This paper makes a comprehensive and systematic exposition from the aspects of classification and filing of network security level protection of Nanjing Metro Automatic Fare Collection (AFC) system, evaluation of security protection level, rectification of evaluation problems, review evaluation after rectification, daily safe operation and maintenance, etc.Keywords: rail transit; Automatic Fare Collection (AFC) system; information network security; grade protection1 社会背景受地缘政治的影响,我国面临的国际环境态势愈加复杂多变,外部和内部的网络信息安全压力越来越大。

网络信息安全管理培训

网络信息安全管理培训

网络信息安全管理培训一、引言随着互联网技术的飞速发展,网络信息安全问题日益凸显,已成为我国社会经济发展的重要挑战。

为了提高我国网络信息安全防护能力,加强网络信息安全意识教育,本文将就网络信息安全管理培训进行探讨,以期为相关从业人员提供参考。

二、网络信息安全培训的重要性1. 提高网络安全意识:网络信息安全培训有助于提高从业人员对网络安全风险的认识,加强网络安全意识,从而在日常工作中更加注重信息保护,降低安全事件发生的概率。

2. 增强安全防护能力:通过培训,从业人员可以掌握网络安全防护技能,提高应对网络安全事件的能力,确保网络信息系统的安全稳定运行。

3. 促进法律法规的贯彻落实:网络信息安全培训有助于从业人员了解和掌握国家有关网络安全的法律法规,提高法律意识,确保在日常工作中合法合规地开展网络信息安全工作。

4. 满足国家战略需求:网络信息安全是国家战略的重要组成部分,加强网络信息安全培训有助于提高我国网络安全整体水平,为维护国家网络安全提供有力支持。

三、网络信息安全培训内容1. 网络信息安全基础知识:包括信息安全概念、信息安全法律法规、信息安全管理体系、信息安全风险评估等,使从业人员对网络信息安全有一个全面的认识。

2. 网络安全技术:包括密码技术、防火墙技术、入侵检测技术、恶意代码防范技术等,使从业人员掌握网络安全防护的基本技能。

3. 网络安全事件应急处理:包括网络安全事件分类、应急响应流程、取证技术等,提高从业人员应对网络安全事件的能力。

4. 网络安全法律法规:包括网络安全法、信息安全等级保护制度、个人信息保护法等,使从业人员了解和掌握国家有关网络安全的法律法规。

5. 信息安全管理体系:包括ISO 27001、ISO 27002等国际标准,以及我国信息安全管理体系要求,提高从业人员在网络信息安全管理工作中的规范化水平。

6. 网络安全意识教育:通过案例分析、实战演练等方式,提高从业人员网络安全意识,使其在日常工作中更加注重信息保护。

信息安全保密培训课件pptx

信息安全保密培训课件pptx
和纠正安全隐患。
04
信息安全保密事件处理
事件发现与报告
总结词
及时发现、准确判断、立即报 告
及时发现
员工应保持高度警觉,关注系 统中出现的异常情况,如未经 授权的访问、数据泄露等。
准确判断
一旦发现异常,应迅速判断事 件的性质和影响范围,以便采 取适当的应对措施。
立即报告
发现信息安全保密事件后,应 立即向上级或相关部门报告,
来自敌对势力或竞争对 手的间谍可能窃取敏感
信息。
社交工程
利用人性弱点,如欺骗 、诱导等手段获取敏感
信息。
供应链风险
第三方供应商、合作伙 伴等可能成为信息泄露 的途径,如数据泄露、
网络钓鱼等。
03
信息安全保密措施
物理安全措施
01
02
03
物理访问控制
限制对敏感区域的访问, 如数据中心、服务器机房 等,只允许授权人员进入 。
权限滥用
员工可能滥用权限访问不应知 悉的信息。
设备丢失或被盗
内部设备如笔记本电脑、移动 存储介质等丢失或被盗,可能
导致敏感信息泄露。
内部网络威胁
内部网络可能遭受恶意软件、 病毒等攻击,导致信息泄露或
系统瘫痪。
外部风险
黑客攻击
黑客利用系统漏洞或薄 弱环节,非法入侵信息 系统,窃取或篡改敏感
信息。
间谍活动
信息安全保密的重要性
保护企业核心资产
信息安全保密是保护企业核心资 产的重要手段,如商业机密、客
户数据等。
维护企业声誉
信息安全保密有助于维护企业声誉 ,避免因信息泄露导致的声誉受损 。
遵守法律法规
遵守信息安全法律法规是企业应尽 的义务,违规可能导致法律责任。

14-等级保护测评项目实施过程讲解

14-等级保护测评项目实施过程讲解
33
人工访谈,配置检查,文档查看
现场测评-网络安全测评举例

例:ቤተ መጻሕፍቲ ባይዱ
“系统内有专门用于 审计的日志服务器” (人工访谈)
测评项内容:应对网络系统中 的网络设备运行状况、网络流 量、用户行为等进行日志记录 测评项内容:应对登录网络设 备的用户进行身份鉴别;
(配置检查) 测评项内容:具有层次网络结 构的单位可统一提供互联网出 口; 记录结论
15
测评须知-测评风险
验证测试可能影响系统正常运行!
工具测试可能影响系统正常运行! 敏感信息可能泄露!
等级保护测评项目
16
方案编制
等级保护测评工作流程
测评准备
测 评 对 象 的 确 定 工 具 和 表 单 准 备 测 评 指 标 确 定 测 评 工 具 接 入 点 确 定 测 评 内 容 确 定 测 评 指 导 书 开 发 测 评 方 案 编 制
38
目录
测评须知 测评准备
方案编制
现场测评
分析与编制报告
39
分析与编制报告

工作内容
对前期测评工作成果进行分析,评论,
以及建议。

目标
正式输出:《等级保护测评报告》
40
等级保护测评报告-文档结构


在测评准备阶段,输出项目计划书
在方案编制阶段,输出测评方案 在现场测评阶段,根据测评内容,确定测评
4.使用的技术装备、设施应当符合《信息安全等级保护管理办法》
(公通字[2007]43号)对信息安全产品的要求。 5.具备相应的安全管理制度。 6.对国家安全、社会秩序、公共利益不构成威胁。
14
测评须知-执行主体义务
1.遵守国家有关法律法规和技术标准,提供安全、客观、

网络安全等级保护工作须知

网络安全等级保护工作须知

网络安全等级保护工作须知一、为什么要落实网络安全等级保护工作1、法律有明确规定。

《中华人民共和国网络安全法》第二十一条规定,国家实行网络安全等级保护制度。

因此,不落实网络安全等级保护制度就是违法。

(<中华人民共和国网络安全法>节选见附件1)2、有效提高自身网络安全。

实践证明,对网络信息系统分等级保护能够有效提高安全防护水平,降低单位网站被篡改、系统瘫痪、数据泄露或被勒索的风险(相关案例见附件2)。

3、有效保障和控制网络安全建设成本。

在网络信息系统规划、建设和使用过程中同步建设安全设施,保证网络安全与网络信息系统建设相协调,可有效保障和控制网络安全建设成本,避免不必要的支出。

二、网络安全等级保护基本知识1、等级保护对象。

指网络安全等级保护工作中的对象,通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,等级保护对象覆盖全社会和所有网络信息系统,包括:非涉密的基础信息网络、信息系统、大数据应用/平台/资源、物联网、云平台/系统、工业控制系统和采用移动互联技术的系统等。

2、三同步原则。

各单位应遵循网络安全与网络信息系统“同步规划、同步建设、同步使用”的原则,确保网络安全落实到位。

3、级别。

根据网络信息系统在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,从第一级开始,从低到高分为五个安全保护等级。

4、工作流程。

包括定级备案、安全建设、等级测评、安全整改和监督检查。

三、如何落实网络安全等级保护工作1、自定级。

单位确定网络安全等级保护对象后,参照《GA/T 1389—2017信息安全技术网络安全等级保护定级指南》自行确定网络系统的等级,填写《网络安全等级保护自定级报告》(模板见附件3)。

如主管部门对定级对象有定级指导意见的,按指导意见确定等级(原则上大数据安全保护等级为第三级以上;国家关键信息基础设施的安全保护等级应不低于第三级)。

2024年度-信息系统安全等级保护培训课件

2024年度-信息系统安全等级保护培训课件
数据备份与恢复技术
定期备份重要数据,并制定详细的数据恢复计划 ,确保在数据丢失或损坏时能够及时恢复。
3
数据脱敏技术
对敏感数据进行脱敏处理,降低数据泄露风险。
14
应用安全技术
身份认证与授权技术
采用用户名/密码、数字证书等身份认证方式,确保用户身份的真 实性和合法性;同时根据用户角色分配相应的权限,防止越权访问 。
某中学在线教育平台
该平台为学生提供在线学习资源和交流互动功能,按照等级保护一级标准进行建 设,通过加强网络安全和内容过滤等措施,确保平台健康安全运行。
23
06
CATALOGUE
信息系统安全等级保护挑战与展望
24
当前面临的主要挑战
网络安全威胁日益严重
网络攻击手段不断翻新,高级持续性 威胁(APT)等网络攻击对信息系统 安全构成严重威胁。
通过实施等级保护,能够有效提高我 国信息安全工作的整体水平,提升我 国网络和信息安全的核心竞争力。
实施等级保护可以规范信息安全管理 ,提高信息系统的安全防护能力,从 而保障信息化的健康发展。
维护国家安全和社会稳定
等级保护制度是国家信息安全保障的 基本制度,对于维护国家安全和社会 稳定具有重要意义。
6
4
等级划分及标准
等级划分
根据信息系统受到破坏后,会对国家 安全、社会秩序、公共利益以及公民 、法人和其他组织的合法权益的危害 程度等因素,将其划分为五个等级。
标准
《信息系统安全等级保护基本要求》 等标准规范了不同等级信息系统的安 全保护要求。
5
重要意义和作用
落实国家信息安全战略
促进信息化健康发展
某ቤተ መጻሕፍቲ ባይዱ商公司交易平台
该平台涉及大量用户数据和交易信息,按照等级保护二级标 准进行建设,通过部署安全防护设备和加强安全管理,确保 平台数据安全和用户隐私。

信息安全技术—网络安全等级保护安全设计技术要求

信息安全技术—网络安全等级保护安全设计技术要求
主要起草人:蒋勇、李超、袁静、徐晓军、黄学臻、陈翠云、王昱镔、张森、林莉、徐进、龚炳铮、贡春燕、 魏亮、田慧蓉、沈锡镛、陈雪秀、朱红松、闫兆腾、章志华、李健俊、陈卫平、琚宏伟、陈雪鸿、高昆仑、李昊、 王宝会、王弢、王晓鹏、刘安正、刘利民、石宝臣、孙郁熙、郝鑫、梁猛、黄敏、张旭武、李秋香、赵勇、宫月、 吴薇、刘志宇、陈彦如、卢浩、吕由、傅一帆、丰大军、霍玉鲜、范文斌、李强、李艺、任卫红、孙利民、段伟 恒、孟雅辉、李威、顾军、陈冠直、胡红升、张錋、张敏、汤世平、雷晓锋、刘美丽、陈聪、龚亮华、方亮、巩 金亮、周峰、姜红勇、冯坚、石秦、孙洪涛。
2019年5月10日,国家标准《信息安全技术—网络安全等级保护安全设计技术要求》(GB/T 25070-2019) 由中华人民共和国国家市场监督管理总局、中国国家标准化管理委员会发布。
2019年12月1日,国家标准《信息安全技术—网络安全等级保护安全设计技术要求》(GB/T 25070-2019) 实施,全部代替国家标准《信息安全技术—信息系统等级保护安全设计技术要求》(GB/T 25070-2010)。
标准目次
参考资料:
内容范围
《信息安全技术—网络安全等级保护安全设计技术要求》(GB/T 25070-2019)规定了第一级到第四级等级 保护对象的安全设计技术要求,每个级别的安全设计技术要求均由安全通用设计技术要求和安全扩展设计技术要 求构成,安全扩展设计技术要求包括了云计算、移动互联、物联网、工业控制系统等方面。第一级到第三级的安 全设计技术要求均包含安全计算环境、安全区域边界、安全通信网络、安全管理中心等四个方面。在第四级的安 全设计技术要求增加了系统安全保护环境结构化设计技术要求方面。
国家标准《信息安全技术—网络安全等级保护安全设计技术要求》(GB/T 25070-2019)依据中国国家标准 《标准化工作导则第1部分:标准的结构和编写规则》(GB/T 1.1-20(GB/T 25070-2019)与《信息安全技术—信息系 统等级保护安全设计技术要求》(GB/T 25070-2010)相比较,主要变化如下:

信息安全等级保护过程指南培训

信息安全等级保护过程指南培训
版本所有:广州竞远系统网络技术有限公司 技术总监 胡欣
方案编制活动
方案编制活动的目标是整理 测评准备活动中获取的信息 系统相关资料,为现场测评 活动提供最基本的文档和指 导方案。
方案编制活动包括测评对象 确定、测评指标确定、测试 工具接入点确定、测评内容 确定、测评指导书测评指导 书开发及测评方案编制六项 主要任务。
版本所有:广州竞远系统网络技术有限公司 技术总监 胡欣
接入点选择

3 1
版本所有:广州竞远系统网络技术有限公司
技术总监 胡欣
工具和表单准备

测评工具清单
打印的各类表单
版本所有:广州竞远系统网络技术有限公司
技术总监 胡欣
测评准备活动中双方的职责
测评机构职责: a) 组建等级测评项目组。 b) 指出测评委托单位应提供的基本资料。 c) 准备被测系统基本情况调查表格,并提交给测评 委托单位。 d) 向测评委托单位介绍安全测评工作流程和方法。 e) 向测评委托单位说明测评工作可能带来的风险和 规避方法。 f) 了解测评委托单位的信息化建设状况与发展,以 及被测系统的基本情况。 g) 初步分析系统的安全情况。 h) 准备测评工具和文档。
人员访谈 方
文档审查 式
单项测评 结果分析
单元测评 结果判定
整体测评
风险分析
等级测评 结论形成
测评报告 编制
分析与报 告编制阶 段
版本所有:广州竞远系统网络技术有限公司
技术总监 胡欣
等级测评的主要活动


测评准备活动(3个任务) 方案编制活动(6个任务) 现场测评活动(3个任务) 报告编制活动(6个任务)


项目质量管理和控制
过程质量控制管理、变更控制管理、项目风险管理、保密控制管理

等级保护与网络安全技术基本要求课件

等级保护与网络安全技术基本要求课件

02
物联网安全:随着物联网设备的普及,物 联网安全技术将更加重要
03
隐私保护技术:随着数据泄露事件的增多, 隐私保护技术将更加受到重视
04
零信任架构:传统的网络安全架构将逐渐 被零信任架构所取代,提高网络安全性
谢谢
3
动态性原则:根据系统变化和威胁情 况,及时调整安全措施
4
协同性原则:各部门、单位和人员之 间要协同合作,共同维护网络安全
网络安全技术基本要求
网络安全技术体系
网络安全技术体系包括防火墙、入侵检测系 统、安全审计系统等。
防火墙用于保护内部网络不受外部网络的攻 击,实现网络隔离。
入侵检测系统用于实时检测网络中的异常行 为,及时发现并阻止网络攻击。
追踪和调查
06
漏洞扫描技术: 及时发现和修复 系统漏洞,降低
安全风险
网络安全技术在物联网中的应用
身份认证:确保设备身份的真实 性和完整性
访问控制:限制设备访问权限, 防止未经授权的访问
入侵检测:实时监测设备异常行 为,及时发现并应对安全威胁
隐私保护:保护用户隐私和数据 安全,防止数据泄露和滥用
安全隔离:将不同设备进行隔离, 降低安全风险
理安全事件
06
安全策略:用于 制定和实施网络 安全防护策略,
确保网络安全
网络安全风险评估
01
04
评估结果:确定网络安 全风险等级,制定相应 的应对策略
03
评估方法:定性评估、 定量评估、综合评估等
02
评估内容:网络安全政 策、技术措施、人员管 理等
评估目的:识别网络安 全风险,制定应对措施
网络安全技术应用
06
漏洞扫描技术:定期扫描网 络中的漏洞,及时修复,降 低安全风险

国家实行网络安全等级保护制度:等级保护新标准2.0介绍

国家实行网络安全等级保护制度:等级保护新标准2.0介绍

等级保护新标准(2.0)介绍1 2等级保护发展历程与展望等级保护2.0标准体系3等级保护2.0基本要求解析4等级保护2.0扩展要求解析等保1.0时代等保2.0工作展望1994-2003政策环境营造2004-2006工作开展准备2007-2010工作正式启动2010-2016工作规模推进•1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实行安全等级保护。

•2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。

•2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础调查和等级保护试点工作,为全面开展等级保护工作奠定基础。

•2007年6月,四部门联合出台《信息安全等级保护管理办法》。

•2007年7月,四部门联合颁布《关于开展全国重要信息系统安全等级保护定级工作的通知》。

•2007年7月20日,召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着信息安全等级保护制度正式开始实施。

•2010年4月,公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》,提出等级保护工作的阶段性目标。

•2010年12月,公安部和国务院国有资产监督管理委员会联合出台《关于进一步推进中央企业信息安全等级保护工作的通知》,要求中央企业贯彻执行等级保护工作。

等保1.0时代等保2.0工作展望•2016年10月10日,第五届全国信息安全等级保护技术大召开,公安部网络安全保卫局郭启全总工指出“国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代”。

•2016年11月7日,《中华人民共和国网络安全法》正式颁布,第二十一条明确“国家实行网络安全等级保护制度……”•以《GB17859计算机信息系统安全保护等级划分准则》、《GB/T22239-2008 信息安全技术信息系统安全等级保护基本要求》为代表的等级保护系列配套标准,习惯称为等保1.0标准。

gbt22239-2019信息安全技术网络安全等级保护基本要求

gbt22239-2019信息安全技术网络安全等级保护基本要求

gbt22239-2019信息安全技术网络安全等级保护基本要求GBT 22239-2019 信息安全技术网络安全等级保护基本要求**前言:**GBT 22239-2019《信息安全技术网络安全等级保护基本要求》是中国国家标准化管理委员会发布的一项关于信息安全技术和网络安全等级保护的基本标准。

该标准的制定旨在规范和提高网络系统安全性,有效防范网络威胁,确保信息的机密性、完整性和可用性。

本文将全面解读GBT 22239-2019标准,深入探讨其基本要求,以期为相关从业人员提供全面准确的指导。

**一、引言:**GBT 22239-2019标准的引言部分明确了该标准的制定目的、范围和适用性。

在信息时代,网络已经成为信息传递、存储和处理的主要平台,但同时也面临着各种网络安全威胁。

该标准旨在建立一套网络安全等级保护的基本要求,为不同领域和行业的网络系统提供统一的安全保障。

**二、术语和定义:**标准的第二部分详细列举了其中涉及的术语和定义,确保在标准的实施过程中各方能够准确理解标准所表达的含义。

例如,对于“网络安全等级”的定义,标准中强调了其包括等级评估、等级保护和等级管理三个方面,为后续内容的理解奠定了基础。

**三、网络安全等级保护要求:**GBT 22239-2019标准的核心部分在于网络安全等级保护的要求。

在这一部分,标准将网络安全等级分为基本要求、一级、二级、三级四个等级,并对每个等级的安全要求进行了明确规定。

这些要求涵盖了信息安全管理、网络设备与系统的安全防护、网络安全事件的处置等多个方面,以全面确保网络系统的安全性。

1. **信息安全管理要求:** 标准强调建立完善的信息安全管理制度,包括安全策略的制定、风险评估与管理、安全培训与教育等方面。

这有助于组织全员形成对信息安全的共识,提高整体的安全防护水平。

2. **网络设备与系统的安全防护要求:** 标准规定了网络设备和系统在不同等级下的具体安全要求。

信息系统安全等级保护基本要求培训课件-2024鲜版

信息系统安全等级保护基本要求培训课件-2024鲜版
5
重要意义和作用
2024/3/27
保障信息安全
通过实施信息系统安全等级保护制度,可以加强对重要信息系统的安全保护,提高信息系 统的安全防护能力和水平,有效防范和应对各种信息安全风险。
促进信息化发展
实施信息系统安全等级保护制度可以规范信息化建设和管理行为,提高信息化建设和管理 的科学性和规范性,推动信息化健康有序发展。
性和完整性。
采用符合国家密码管理规定的密 码算法和密钥管理方案。
25
备份和恢复策略制定及实施
2024/3/27
01 02 03 04
制定详细的备份策略,包括备份频率、备份内容、备份方式等,确保 数据能够及时、完整地进行备份。
定期测试备份数据的可恢复性,确保在发生数据损坏或丢失时能够及 时恢复。
建立完善的灾难恢复计划,明确灾难恢复流程、恢复时间目标、恢复 点目标等,确保在发生严重故障时能够迅速恢复正常运行。
13
网络安全审计
应能对网络系统中的网络设备运行状 况、网络流量、用户行为等进行日志 记录。
对于每一个网络设备,应能够审计网 络设备的日志记录,包括网络设备运 行状况、网络流量等。
2024/3/27
审计记录应包括:事件的日期和时间 、用户、事件类型、事件是否成功及 其他与审计相关的信息。
对于每一个业务应用,应能够审计业 务应用的用户行为日志记录,包括用 户登录、操作记录等。
定期对重要数据进行完整性校验 ,发现数据损坏或丢失及时进行
恢复。
建立数据完整性管理制度,明确 数据完整性管理责任和要求。
2024/3/27
24
数据加密存储和传
对重要数据和敏感信息进行加密 存储,确保即使数据被盗或丢失 ,攻击者也无法轻易解密和使用

网络安全等级保护测评机构管理办法解读PPT

网络安全等级保护测评机构管理办法解读PPT
对第三级以上网络提供等级测评服务的, 测评师人数不得少于4名,其中高级测评师、 中级测评师应各不少于1名。
第十五条解读
?各机构应按要求采用最新标准测评;按照 统一模板出具测评报告
?对第三级以上网络提供等级测评服务:
测评师人数不得少于4名,其中高级测评 师、中级测评师应各不少于1名;
没有要求每个项目必须有四人到现场,要求每 个项目有四人参与,高级测评师要镜像把关、技 术审核等工作。
(一)落实党中央最新要求,做好牵头工作
? 中办国办《贯彻落实<中共中央、国务院关于 加强网络安全和信息化工作的意见>重点任务 分工方案》[2017]-23号。
? 建立实施关键信息基础设施保护制度。
(中央网信办和公安部双牵头)
? 加强能源、金融、通信、交通等重要领域关 键信息基础设施安全保护。
(中央网信办和公安部双牵头)
? 第八条第九条解读:
申请单位填写相关内容并提供相关证
明材料印制成册提交等保办 (六项)
等保办受理, 10个工作日内组织初审
(等保办) 基本条件审查
主要审查7个基本条 件若符合,则委托 测评联盟进行能力 评估
能力评估
(委托测评联盟)
重点针对7个方面,出具《能力评估报
告》,并及时将情况反馈委托的等保 办,同事抄报国家等保办。
测评联盟组织专家,根据标准规范对申请 单位开展能力评估,出具测评能力评估报告, 并及时将能力评估情况反馈等保办。
能力评估不达标的,等保办应告知申请单 位初审未通过。
? 第八条第九条解读:
申请单位填写相关内容并提供相关证
明材料印制成册提交等保办 (六项)
等保办受理, 10个工作日内组织初审
初审通过,进入人员培训环节 (每年四月到五月)
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息安全等级保护培训教材等级保护实施主要技术环节说明公安部2007年7月目录1 定级阶段 (3)1.1关于行业的定级指导意见 (3)1.2关于确定定级对象 (6)1.2.1定级对象的三个条件 (6)1.2.2定级对象识别 (7)1.2.3确定定级对象信息系统边界和边界设备 (9)1.3关于定级过程 (10)2 系统建设和改建阶段 (12)2.1安全需求分析方法 (12)2.1.1选择、调整基本安全要求 (13)2.1.2明确系统特殊安全需求 (15)2.2新建系统的安全等级保护设计方案 (16)2.2.1总体安全设计方法 (17)2.2.2总体安全设计方案大纲 (21)2.2.3设计实施方案 (21)2.3系统改建实施方案设计 (23)2.3.1确定系统改建的安全需求 (23)2.3.2差距原因分析 (24)2.3.3分类处理的改建措施 (24)2.3.4改建措施详细设计 (25)根据《信息安全等级保护管理办法》(以下简称《管理办法》),信息安全等级保护的实施工作包括信息系统定级与评审、信息系统安全建设或者改建、对信息系统定期的等级测评与安全自查、办理备案手续并提供相关材料、接受公安机关、国家指定的专门部门监督检查、选择使用符合条件的信息安全产品、选择符合条件的等级保护测评机构等,其中涉及信息系统运营使用单位/主管部门需要作较多技术工作的环节是系统定级和系统建设或改建。

本教材主要对这两个阶段工作中可能涉及的特殊概念,可能采用的技术方法和步骤等方面给出说明。

1定级阶段1.1关于行业的定级指导意见根据《管理办法》第十条:信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。

有主管部门的,应当经主管部门审核批准。

跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。

根据《关于开展全国重要信息系统安全等级保护定级工作的通知》(以下简称《定级通知》)要求:各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的指导意见。

与此相对应,在《定级指南》中提出“各行业可根据本行业业务特点,分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系,从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。

”每个行业在国家政治、经济、军事、外交等活动中的职能不同,信息系统在行业内所发挥的作用对行业职能影响不同,信息和信息系统被破坏后对等级保护客体的影响也有所不同。

对本行业职能的认识,行业主管部门一般比信息系统的运营、使用单位具有更高的站位、更宏观的视野,从而可以做出更准确的判断,因此需要行业主管部门对本行业哪些业务系统的等级保护客体是国家安全、哪些是社会秩序、公共利益、哪些是公民、法人和其他组织的合法权益给出基本判断,从而指导本行信息系统的不同的运营使用单位作出一致的判断。

以下概念说明供行业主管部门参考:1.关于国家安全随着信息化的不断推进,我国国家安全和经济生活已经极大地依赖于信息技术和信息基础设施,尤其是国防、电力、银行、政府机构、电信系统以及运输系统等重要基础设施一旦受到破坏,会对国家安全构成严重威胁。

因此在考虑信息系统的信息和服务安全被破坏后,可能对国家安全的影响时,也应从多方面加以考虑。

举例来说,涉及影响国家安全事项的信息系统可能包括:重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等属于影响国家政权稳固和国防实力的信息系统;广播、电视、网络等重要新闻媒体的发布或播出系统,其受到非法控制可能引发影响国家统一、民族团结和社会安定的重大事件;处理国家对外活动信息的信息系统;处理国家重要安全保卫工作信息的信息系统和重大刑事案件的侦查系统;尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信息系统,以及电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统等。

2.关于社会秩序完善社会管理体系,维护良好的社会秩序是建设社会主义和谐社会的重要任务之一,借助信息化手段提高国家机关的社会管理和公共服务水平,提高经济活动效率,更方便地从事科研、生产、生活活动正是维护良好社会秩序的表现。

可能影响到社会秩序的信息系统非常多,包括各级政府机构的社会管理和公共服务系统,如财政、金融、工商、税务、公检法、海关、社保等领域的信息系统,也包括教育、科研机构的工作系统,以及所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统。

3.关于公共利益公共利益所包括的范围是非常宽泛的,既可能是经济利益,也可能是包括教育、卫生、环境等各个方面的利益。

借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方面,例如:公共通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施、公共服务设施等。

公共利益与社会秩序密切相关,社会秩序的破坏一般会造成对公共利益的损害。

4.关于公民、法人和其他组织的合法权益《定级指南》中的公民、法人和其他组织的合法权益则是指拥有信息系统的个体或确定组织所享有的社会权力和利益。

它不同于公共利益,选择客体为公共利益是指受侵害的对象是“不特定的社会成员”,而选择公民、法人和其他组织的合法权益时,受侵害的对象是明确的,就是拥有信息系统的个体或某个单位。

为确定信息系统安全保护等级,除了要确定等级保护客体外,还必须确定信息系统受到破坏后对客体的侵害程度,因此在《定级指南》中还提出“由于各行业信息系统所处理的信息种类和系统服务特点各不相同,信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同,各行业可根据本行业信息特点和系统服务特点,制定危害程度的综合评定方法,并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义。

”行业主管部门需要根据本行业特点,确定对客体的侵害程度,对于《定级指南》给出了以下几种危害后果具体说明如下:-影响行使工作职能,工作职能包括国家管理职能、公共管理职能、公共服务职能等国家或社会方面的职能。

-导致业务能力下降,下降的表现形式可能包括业务范围的减少、业务处理性能的下降、可服务的用户数量的下降以及其他各种业务指标的下降,每个行业务都有本行业关注的业务指标。

例如电力行业关注发电量和用电量,税务行业关注税费收入,银行业关注存款额、贷款额、交易量等,证券经纪行业关注股民数和交易额。

-引起法律纠纷是比较严重的影响,在较轻的程度时可能表现为投诉、索赔、媒体曝光等形式。

-导致财产损失,包括系统资产被破坏的直接损失、业务量下降带来的损失、直接的资金损失、为客户索赔所支付的资金等,以及由于信誉下降、单位形象降低、客户关系损失等导致的间接经济损失。

-直接造成人员伤亡,例如医疗服务系统,公安行业的某些系统等。

-造成社会不良影响,包括在社会风气、执政信心等方面的影响。

上述几类影响不一定是独立的,有时也会是相关的,例如人员伤亡可能引发法律纠纷,进而可能造成资金的赔偿,业务能力下降既可能影响管理职能的履行,同时也可能造成单位收入的下降。

在上述危害后果中,各行业的某个类型的信息系统一般主要关注其中的一种后果,例如银行系统一般关注业务能力下降的影响,党政系统主要关注管理职能的履行等,而将其他后果作为参考。

行业主管部门通过梳理本行业信息系统的现状,通过对这些不同类型、不同程度后果的定量、半定量描述,给出对等级保护客体的一般损害、严重损害和特别严重损害的指导性意见,以便本行业的信息系统运营使用单位可以参照执行,确定本单位系统的安全保护等级,只有这样,一个行业内确定的安全保护等级才具有较好的一致性1.2关于确定定级对象1.2.1定级对象的三个条件定级工作是信息系统等级保护工作的起点,定级结果直接决定了后续安全保障工作的开展。

在定级之前,首先必须明确定级的对象,即,对哪个信息系统进行定级。

《定级指南》中指出,作为定级对象的信息系统应当具备以下三个条件:a)具有唯一确定的安全责任单位作为定级对象的信息系统应能够唯一地确定其安全责任单位,这个安全责任单位就是负责等级保护工作部署、实施的单位,也是完成等级保护备案和接受监督检查的直接责任单位。

如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,而其上级部门仅负有监督、指导责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。

b)具有信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。

应避免将某个单一的系统组件,如单台的服务器、终端或网络设备等作为定级对象。

单台的设备或由单台设备构成的安全域本身无法实现所要求的信息系统保护,不能抵御来自内部或外部的攻击,这样的设备或区域必然依靠其所在环境所提供的网络安全和边界防护。

因此作为定级对象的信息系统应当是包括信息系统的核心资产——保护目标,以及对保护目标提供保护的所有相关设备和人员——保护机制,只有涵盖了这两部分,才能使信息系统实现其应用目标。

c)承载相对独立的业务应用定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流程、部分业务功能独立,同时与其他信息系统的业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。

“相对独立”的业务应用并不意味着整个业务流程,可以使完整的业务流程的一部分。

承载“相对独立”业务应用的信息系统在一个单位的整个信息系统中像一个子系统,其业务功能是相对独立的并明显区别于其他系统的,与其他系统有明确的业务边界和信息交换方式。

上述三个条件给出定级对象确定的原则,在这个原则的基础上,针对不同规模、不同复杂程度、不同隶属关系的信息系统,运营使用单位和服务机构人员可以寻找适合自身的划分方法,以下给出的定级对象的识别方法和定级过程的操作方法已经在某些信息系统中得到认可,作为例子,供运营使用单位和有关各方参考。

1.2.2定级对象识别一般来讲单位信息系统可以划分为几个定级对象,如何划分系统是定级之前的主要问题。

信息系统的划分没有绝对的对与错,只有合理与不合理,合理地划分信息系统有利于信息系统的保护及安全规划,反之可能给将来的应用和安全保护带来不便,又可能需要重新进行信息系统的划分。

由于信息系统的多样性,不同的信息系统在划分过程中所侧重考虑的划分依据会有所不同。

通常,在信息系统划分过程中,应当结合信息系统的现状,从信息系统的管理机构、业务特点或物理位置等几个方面考虑对信息系统进行划分,当然也可以根据信息系统的实际情况,选择其他的划分依据,只要最终划分结果合理就可以。