金盾工程安全保障体系总体设计方案

深圳市重要信息系统等级保护培训深圳市公安局网监分局2008年6月培训内容一、信息安全等级保护工作概述二、如何实施等级保护工作培训内容一、信息安全等级保护工作概述二、如何实施等级保护工作一、信息安全等级保护工作概述（一）什么是信息安全等级保护工作？（二）为什么开展信息安全等级保护工作？（一）什么是信息安全等级保护工作？概念：信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。（一）什么是信息安全等级保护工作？信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。一、信息安全等级保护工作概述（一）什么是信息安全等级保护工作？（二）为什么开展信息安全等级保护工作？（二）为什么开展信息安全等级保护工作？1、卫生系统信息化发展状况信息化建设是医院现代化建设和发展的历史潮流，也是现代医院管理发展的必然要求。1995年5月，卫生部正式启动“金卫工程”，该工程是跨世纪的国家医疗信息网络工程，通过信息化建设加强医院现代化管理，走“优质、高效、低耗”的发展道路。（二）为什么开展信息安全等级保护工作？2、信息安全形势在医院信息化建设的过程中，部分医院领导缺乏科学合理的管理手段和技术，医院信息系统的安全建设成为了信息化建设中被忽视的问题。由于医院信息系统的体系结构是一个相对开放的环境，加上网络数据资源易传送、修改、复制、下载等特点，而医院的数据资源既涉及密级文件资料，又涉及病人的隐私，一旦发生系统被攻击或数据被窃等破坏行为，后果将不堪设想。因此，开展卫生系统等级保护工作刻不容缓，卫生系统信息安全等级保护定级工作开展的好坏，将直接影响到我市整体的信息安全保障能力和水平。（二）为什么开展信息安全等级保护工作？3、存在的问题•信息安全意识和安全防范能力薄弱，信息安全滞后于信息化发展；•信息系统安全建设和管理的目标不明确；•信息安全保障工作的重点不突出；•信息安全监督管理缺乏依据和标准，监管措施有待到位，监管体系尚待完善；•大多数单位的信息系统安全保护还处在采用防火墙、IDS和防病毒等部件方面；•重视外部攻击与入侵，忽视内部的非法行为；•偏重产品，忽视体系和管理；•国内产品质量和技术问题；•用户信息安全的潜在的需求到现实需求仍有一个过程；•西方发达国家信息技术优势明显，我国面临信息强国的冲击、挑战和威胁，信息安全领域始终面临信息战和网络恐怖袭击的威胁；•敌对势力的网上煽动、渗透和破坏活动愈加突出，针对信息系统进行的破坏活动日益严重，利用网络实施的违法犯罪案件持续大幅上升。（二）为什么开展信息安全等级保护工作？4、相关政策及法律依据：1、1994年，《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”；2、2003年，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出“实行信息安全等级保护”，“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”；3、2004年9月公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了《关于信息安全等级保护工作的实施意见》（公通字[2004]66号），明确了信息安全等级保护制度的原则和基本内容，以及信息安全等级保护工作的职责分工、工作实施的要求等；4、2007年公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了《信息安全等级保护管理办法》，并召开了“全国重要信息系统安全等级保护定级工作电视电话会议”，部署在全国范围内开展重要信息系统安全等级保护定级备案工作。（二）为什么开展信息安全等级保护工作？信息安全等级保护是我国信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作，就是要解决我国信息安全面临的威胁和存在的主要问题。（二）为什么开展信息安全等级保护工作？5、开展等级保护工作的意义：建立信息安全等级保护制度，开展信息安全等级保护工作，有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设协调；有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务；有利于优化信息安全资源的配置，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全；有利于明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理；有利于推动信息安全产业的发展，逐步探索出一条适应社会主义市场经济发展的信息安全模式。（二）为什么开展信息安全等级保护工作？胡锦涛总书记指出：信息安全是个大问题，必须把信息安全问题放到至关重要的位置，认真加以考虑和解决；切实把互联网建设好、利用好、管理好温家宝总理强调：面对复杂多变的国际环境和互联网的广泛应用，我国信息安全问题日益突出。加入世界贸易组织、发展电子政务等，对信息安全保障提出了新的、更高的要求。必须从国家安全、经济发展、社会稳定、公共利益的高度，充分认识信息安全的极端重要性。培训内容一、信息安全等级保护工作概述二、如何实施等级保护工作二、如何实施等级保护工作（一）实施流程（二）工作要求（一）实施流程（一）实施流程（二）工作要求（一）实施流程重大变更2、安全规划设计3、安全实施/实现4、安全运行管理1、系统定级局部调整5、系统终止（一）实施流程1、系统定级（首要环节）2、安全规划设计安全建设3、安全实施/实现4、安全运行管理5、系统终止1、系统定级第一步开展信息系统基本情况的摸底调查第二步初步确定信息系统安全保护等级第三步专家评审与审批第一步开展信息系统基本情况的摸底调查正确划分定级对象：信息系统运营使用单位或主管部门按如下原则确定定级对象：一是承载相对独立或单一业务的信息系统；二是信息系统的信息安全由本单位主管；三是具有信息系统的基本要素。起支撑作用的网络可以作为定级对象；应用类的信息系统以应用种类划分定级对象。第一步开展信息系统基本情况的摸底调查一是承载相对独立或单一业务的信息系统：定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流程、部分业务功能独立，同时与其他信息系统的业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程，可以使完整的业务流程的一部分。第一步开展信息系统基本情况的摸底调查二是信息系统的信息安全由本单位主管：作为定级对象的信息系统应能够唯一地确定其安全责任单位，这个安全责任单位就是负责等级保护工作部署、实施的单位，也是完成等级保护备案和接受监督检查的直接责任单位。第一步开展信息系统基本情况的摸底调查三是具有信息系统的基本要素：作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如单台的服务器、终端或网络设备等作为定级对象。1、系统定级第一步开展信息系统基本情况的摸底调查第二步初步确定信息系统安全保护等级第三步专家评审与审批第二步初步确定信息系统安全保护等级信息系统的安全保护等级是信息系统的客观属性，不以已采取或采取什么安全保护措施为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益等损害客体的危害程度为依据，确定信息系统的安全等级。第二步初步确定信息系统安全保护等级（一）信息系统的安全保护等级由两个定级要素决定：1、等级保护对象受到破坏时所侵害的客体2、受到破坏时对客体造成侵害的程度第二步初步确定信息系统安全保护等级1、等级保护对象受到破坏时所侵害的客体：A、国家安全B、社会秩序、公共利益C、公民、法人和其他组织的合法权益第二步初步确定信息系统安全保护等级A、国家安全利益——体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全和资源环境安全等方面利益。重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等属于影响国家政权稳固和国防实力的信息系统；广播、电视、网络等重要新闻媒体的发布或播出系统，其受到非法控制可能引发影响国家统一、民族团结和社会安定的重大事件；处理国家对外活动信息的信息系统；处理国家重要安全保卫工作信息的信息系统和重大刑事案件的侦查系统；尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信息系统，以及电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统等。第二步初步确定信息系统安全保护等级B、社会秩序——包括社会的政治、经济、生产、生活、科研、工作等各方面的正常秩序。公共利益是指不特定的社会成员所共同享有的，维持其生产、生活、教育、卫生等方面的利益。各级政府机构的社会管理和公共服务系统，如财政、金融、工商、税务、公检法、海关、社保等领域的信息系统，也包括教育、科研机构的工作系统，以及所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统。第二步初步确定信息系统安全保护等级C、合法权益——是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方面，例如：公共通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施、公共服务设施等。公共利益与社会秩序密切相关，社会秩序的破坏一般会造成对公共利益的损害。第二步初步确定信息系统安全保护等级2、对客体造成侵害的程度A、造成一般损害B、造成严重损害C、造成特别严重损害第二步初步确定信息系统安全保护等级不同危害后果的三种危害程度描述如下：一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的资产损失，有限的社会不良影响，对其他组织和个人造成较低损害。第二步初步确定信息系统安全保护等级严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的资产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。第二步初步确定信息系统安全保护等级特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的资产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。第二步初步确定信息系统安全保护等级1、影响行使工作职能——工作职能包括国家管理职能、公共管理职能、公共服务职能等国家或社会方面的职能。2、导致业务能力下降——下降的表现形式可能包括业务范围的减少、业务处理性能的下降、可服务的用户数量的下降以及其他各种业务指标的下降，每个行业务都有本行业关注的业务指标。例如电力行业关注发电量和用电量，税务行业关注税费收入，银行业关注存款额、贷款额、交易量等，证券经纪行业关注股民数和交易额。3、引起法律纠纷——是比较严重的影响，在较轻的程度时可能表现为投诉、索赔、媒体曝光等形式。4、导致财产损失——包括系统资产被破坏的直接损失、业务量下降带来的损失、直接的资金损失、为客户索赔所支付的资金等，以及由于信誉下降、单位形象降低、客户关系损失等导致的间接经济损失。直接造成人员伤亡，例如医疗服务系统，公安行业的某些系统等。5、造成社会不良影响——包括在社会风气、执政信心等方面的影响。第二步初步确定信息系统安全保护