等保实施过程技术培训0729

信息安全等级保护培训教材等级保护实施主要技术环节说明公安部2007年7月2目录1定级阶段...................................................................................................................................31.1关于行业的定级指导意见...........................................................................................31.2关于确定定级对象.......................................................................................................61.2.1定级对象的三个条件.......................................................................................61.2.2定级对象识别...................................................................................................71.2.3确定定级对象信息系统边界和边界设备.......................................................91.3关于定级过程.............................................................................................................102系统建设和改建阶段.............................................................................................................122.1安全需求分析方法.....................................................................................................122.1.1选择、调整基本安全要求.............................................................................132.1.2明确系统特殊安全需求.................................................................................152.2新建系统的安全等级保护设计方案.........................................................................162.2.1总体安全设计方法.........................................................................................172.2.2总体安全设计方案大纲.................................................................................212.2.3设计实施方案.................................................................................................212.3系统改建实施方案设计.............................................................................................232.3.1确定系统改建的安全需求.............................................................................232.3.2差距原因分析.................................................................................................242.3.3分类处理的改建措施.....................................................................................242.3.4改建措施详细设计.........................................................................................253根据《信息安全等级保护管理办法》（以下简称《管理办法》），信息安全等级保护的实施工作包括信息系统定级与评审、信息系统安全建设或者改建、对信息系统定期的等级测评与安全自查、办理备案手续并提供相关材料、接受公安机关、国家指定的专门部门监督检查、选择使用符合条件的信息安全产品、选择符合条件的等级保护测评机构等，其中涉及信息系统运营使用单位/主管部门需要作较多技术工作的环节是系统定级和系统建设或改建。本教材主要对这两个阶段工作中可能涉及的特殊概念，可能采用的技术方法和步骤等方面给出说明。1定级阶段1.1关于行业的定级指导意见根据《管理办法》第十条：信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。根据《关于开展全国重要信息系统安全等级保护定级工作的通知》（以下简称《定级通知》）要求：各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的指导意见。与此相对应，在《定级指南》中提出“各行业可根据本行业业务特点，分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系，从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。”每个行业在国家政治、经济、军事、外交等活动中的职能不同，信息系统在行业内所发挥的作用对行业职能影响不同，信息和信息系统被破坏后对等级保护客体的影响也有所不同。对本行业职能的认识，行业主管部门一般比信息系统的运营、使用单位具有更高的站位、更宏观的视野，从而可以做出更准确的判断，因此需要行业主管部门对本行业哪些业务系统的等级保护客体是国家安全、哪些是社会秩序、公共利益、哪些是公民、法人和其他组织的合法权益给出基本判断，从而指导本行信息系统的不同的运营使用单位作出一致的判断。以下概念说明供行业主管部门参考：1．关于国家安全随着信息化的不断推进，我国国家安全和经济生活已经极大地依赖于信息技术和信息基础设施，尤其是国防、电力、银行、政府机构、电信系统以及运输系统等重要基础设施一旦受到破坏，会对国家安全构成严重威胁。因此在考虑信息系统的信息和服务安全被破坏后，4可能对国家安全的影响时，也应从多方面加以考虑。举例来说，涉及影响国家安全事项的信息系统可能包括：重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等属于影响国家政权稳固和国防实力的信息系统；广播、电视、网络等重要新闻媒体的发布或播出系统，其受到非法控制可能引发影响国家统一、民族团结和社会安定的重大事件；处理国家对外活动信息的信息系统；处理国家重要安全保卫工作信息的信息系统和重大刑事案件的侦查系统；尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信息系统，以及电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统等。2．关于社会秩序完善社会管理体系，维护良好的社会秩序是建设社会主义和谐社会的重要任务之一，借助信息化手段提高国家机关的社会管理和公共服务水平，提高经济活动效率，更方便地从事科研、生产、生活活动正是维护良好社会秩序的表现。可能影响到社会秩序的信息系统非常多，包括各级政府机构的社会管理和公共服务系统，如财政、金融、工商、税务、公检法、海关、社保等领域的信息系统，也包括教育、科研机构的工作系统，以及所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统。3．关于公共利益公共利益所包括的范围是非常宽泛的，既可能是经济利益，也可能是包括教育、卫生、环境等各个方面的利益。借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方面，例如：公共通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施、公共服务设施等。公共利益与社会秩序密切相关，社会秩序的破坏一般会造成对公共利益的损害。4．关于公民、法人和其他组织的合法权益《定级指南》中的公民、法人和其他组织的合法权益则是指拥有信息系统的个体或确定组织所享有的社会权力和利益。它不同于公共利益，选择客体为公共利益是指受侵害的对象是“不特定的社会成员”，而选择公民、法人和其他组织的合法权益时，受侵害的对象是明确的，就是拥有信息系统的个体或某个单位。为确定信息系统安全保护等级，除了要确定等级保护客体外，还必须确定信息系统受到破坏后对客体的侵害程度，因此在《定级指南》中还提出“由于各行业信息系统所处理的5信息种类和系统服务特点各不相同，信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同，各行业可根据本行业信息特点和系统服务特点，制定危害程度的综合评定方法，并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义。”行业主管部门需要根据本行业特点，确定对客体的侵害程度，对于《定级指南》给出了以下几种危害后果具体说明如下：-影响行使工作职能，工作职能包括国家管理职能、公共管理职能、公共服务职能等国家或社会方面的职能。-导致业务能力下降，下降的表现形式可能包括业务范围的减少、业务处理性能的下降、可服务的用户数量的下降以及其他各种业务指标的下降，每个行业务都有本行业关注的业务指标。例如电力行业关注发电量和用电量，税务行业关注税费收入，银行业关注存款额、贷款额、交易量等，证券经纪行业关注股民数和交易额。-引起法律纠纷是比较严重的影响，在较轻的程度时可能表现为投诉、索赔、媒体曝光等形式。-导致财产损失，包括系统资产被破坏的直接损失、业务量下降带来的损失、直接的资金损失、为客户索赔所支付的资金等，以及由于信誉下降、单位形象降低、客户关系损失等导致的间接经济损失。-直接造成人员伤亡，例如医疗服务系统，公安行业的某些系统等。-造成社会不良影响，包括在社会风气、执政信心等方面的影响。上述几类影响不一定是独立的，有时也会是相关的，例如人员伤亡可能引发法律纠纷，进而可能造成资金的赔偿，业务能力下降既可能影响管理职能的履行，同时也可能造成单位收入的下降。在上述危害后果中，各行业的某个类型的信息系统一般主要关注其中的一种后果，例如银行系统一般关注业务能力下降的影响，党政系统主要关注管理职能的履行等，而将其他后果作为参考。行业主管部门通过梳理本行业信息系统的现状，通过对这些不同类型、不同程度后果的定量、半定量描述，给出对等级保护客体的一般损害、严重损害和特别严重损害的指导性意见，以便本行业的信息系统运营使用单位可以参照执行，确定本单位系统的安全保护等级，只有这样，一个行业内确定的安全保护等级才具有较好的一致性61.2关于确定定级对象1.2.1定级对象的三个条件定级工作是信息系统等级保护工作的起点，定级结果直接决定了后续安全保障工作的开展。在定级之前，首先必须明确定级的对象，