第三章 信息安全等级保护与风险评估

信息安全管理2020/5/211第三章等级保护与风险评估信息安全管理南昌大学软件学院2本章内容等级保护安全风险评估信息安全管理2020/5/213第一节信息安全等级保护制度信息安全管理南昌大学软件学院4目录一、为什么开展等级保护二、什么是等级保护信息安全管理南昌大学软件学院5一、为何开展信息安全等级保护1、背景2、存在的问题3、国外做法4、现实要求信息安全管理南昌大学软件学院6信息安全形势现代化建设的许多方面已融入于网络（信息）社会之中，政府部门正在积极推进电子政务；金融、证券部门正在稳健地开展网络化的服务业务（网上银行支付和网上证券交易）；商贸部门正在推动电子商务的发展；国防部门积极研究网络信息战（现代战争的形式）等。信息安全管理南昌大学软件学院7信息安全形势信息是战略资源，是决策之本，是控制一个国家国民经济与军事的灵魂。由Internet的发展而带来的网络系统的安全问题正变得突出，网络安全已成为关系国家安全的重大战略问题。运筹帷幄，决胜千里。信息安全管理南昌大学软件学院8存在的问题信息安全意识和安全防范能力薄弱，信息安全滞后于信息化发展；信息系统安全建设和管理的目标不明确；信息安全保障工作的重点不突出；信息安全监督管理缺乏依据和标准，监管措施有待到位，监管体系尚待完善。信息安全管理南昌大学软件学院9存在的问题大多数单位的信息系统安全保护还处在采用防火墙、IDS和防病毒等部件方面。重视外部攻击与入侵，忽视内部的非法行为偏重产品，忽视体系和管理。国内产品质量和技术问题。用户信息安全的潜在的需求到现实需求仍有一个过程信息安全管理南昌大学软件学院10存在的问题西方发达国家信息技术优势明显，我国面临信息强国的冲击、挑战和威胁，信息安全领域始终面临信息战和网络恐怖袭击的威胁；敌对势力的网上煽动、渗透和破坏活动愈加突出，针对信息系统进行的破坏活动日益严重，利用网络实施的违法犯罪案件持续大幅上升。信息安全管理南昌大学软件学院11外部环境2003年2月14日美国政府发布的《保护网络空间的国家战略》，为了确保国家关键基础设施（基础信息网络和重要信息系统）的安全，对于网络空间，从国家关心的角度，美国将其分为五个优先级：第一级家庭用户和小型商业机构第二级大型机构（公司、政府机构和大学等）第三级国家信息基础设施部门包括联邦政府、私营部门（银行与金融、能源、运输、电信、信息技术、通用制造业、化学制造业）、州和地方政府、高等教育机构。第四级国家机构和政策部门第五级全球信息安全管理南昌大学软件学院12外部环境美国联邦信息处理标准（FIPS）是国家标准与技术研究所（NIST）制定的一类安全出版物，多为强制性标准。FIPS199《联邦信息和信息系统安全分类标准》描述了如何确定一个信息系统的安全类别。确定系统级别的落脚点在于系统中所处理、传输、存储的所有信息类型的重要性。信息和信息系统的“安全类别”是FIPS199提出的一种新的系统级别概念。该定义是建立在某些事件的发生直接导致三类安全目标（保密性、完整性和可用性）的丧失，从而对机构运行（使命，功能，形象，声誉）、机构资产或个人产生潜在影响的基础之上。即，衡量指标是三性的丧失而产生的“影响级”，FIPS199定义了三种影响级：低、中、高。信息安全管理南昌大学软件学院13外部环境FIPS199按照“确定信息类型--确定信息的安全类别--确定系统的安全类别”三个步骤进行系统最终的定级。首先，确定系统内的所有信息类型。FIPS199指出，一个信息系统内可能包含不止一种类型的信息（例如隐私信息、合同商敏感信息、专属信息、系统安全信息等）。其次，根据三类安全目标，确定不同信息类型的潜在影响级别（低、中、高）。最后，按照“取高”原则，即选择系统内所有信息类型的潜在影响级的较高级别作为系统的影响级（低、中、高）。FIPS199确定系统级别的方法的重点是信息和信息系统的级别建立在某些事件的发生会对机构产生潜在影响的基础之上，根据安全目标（保密性、完整性和可用性）确定系统所处理、存储、传输的信息的级别，从而确定系统级别。信息安全管理南昌大学软件学院14外部环境据有关资料可以看出，信息技术已经改变了美国企业和政府的运行方式，美国经济和国家安全对信息技术和信息基础设施依赖性越来越强，网络直接支撑着各个经济领域的运行。综合上述情况，不难看出，美国政府在信息安全领域采取的就是分级保护的策略。信息安全管理南昌大学软件学院15现实要求美国及西方发达国家为了抵御信息网络的脆弱性和安全威胁，制定了一系列强化信息网络安全建设的政策和标准，其中一个很重要思想就是按照安全保护强度划分不同的安全等级，以指导不同领域的信息安全工作。面对严峻的形势和严重的问题，如何解决我国信息安全问题，是摆在我国政府、企业、公民面前的重大关键问题。信息安全管理南昌大学软件学院16现实要求—各国在大力推进Internet与信息技术应用的同时，抓紧实施国家信息安全保障体系与国防的信息安全防御体系。—各国抓紧研究信息安全策略、制订体系标准、法律法规，实施安全计划。我国在推进信息化进程中，信息安全问题得到重视。要求在党政部门、要害部门使用具有国内自主产权的安全产品。信息安全管理南昌大学软件学院17二、什么是等级保护1、等级保护的含义2、等级保护的发展3、基本原则和要求4、职责分工信息安全管理南昌大学软件学院18信息安全等级保护定义《信息安全等级保护管理办法（试行）》：信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。《信息安全等级保护管理办法》国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。信息安全管理南昌大学软件学院19等级保护工作发展概况1994年国务院颁布实施《中华人民共和国计算机信息系统安全保护条例》2003年中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》2004年公安部、国家保密局、国家密码管理局、国信办出台了《关于信息安全等级保护工作的实施意见》2006年1月四部局办联合出台《信息安全等级保护管理办法（试行）》2007年6月22日四部局办联合出台《信息安全等级保护管理办法》信息安全管理南昌大学软件学院20信息安全等级保护制度1994年国务院《计算机信息系统安全保护条例》（147号令）规定“计算机信息系统实行安全等级保护。等级划分标准和等级管理办法由公安部会同有关部门制定”。信息安全管理南昌大学软件学院21信息安全等级保护制度(续）1999年，公安部组织有关单位和专家起草了安全保护等级管理的重要基础性国家强制性标准――《计算机信息系统安全保护等级划分准则》，并于1999年9月13日经国家质量技术监督局审查通过并正式批准发布。该标准将计算机信息系统安全保护能力划分为五个等级，为开展我国计算机信息系统安全保护等级工作确定了划分原则。信息安全管理南昌大学软件学院22信息安全等级保护制度(续）2003年，中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出：要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度。制定信息安全等级保护的管理办法和技术指南。信息安全管理南昌大学软件学院23信息安全等级保护制度(续）2004年9月，公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发了《关于信息安全等级保护工作的实施意见》（公通字[2004]66号），文件中明确指出：信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。信息安全管理南昌大学软件学院24信息安全等级保护实施计划《实施意见》中信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施：（一）准备阶段（二）重点实行阶段（三）全面实行阶段信息安全管理南昌大学软件学院25准备阶段为了保障信息安全等级保护制度的顺利实施，在全面实施等级保护制度之前，用一年左右的时间做好下列准备工作：1.加强领导，落实责任2.加快完善法律法规和标准体系3.建设信息安全等级保护监督管理队伍和技术支撑体系4.进一步做好等级保护试点工作5.加强宣传、培训工作信息安全管理南昌大学软件学院26重点实行阶段在做好前期准备工作的基础上，用一年左右的时间，在国家重点保护的涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统中实行等级保护制度。经过一年的建设，使基础信息网络和重要信息系统的核心要害部位得到有效保护，涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统的保护状况得到较大改善，结束目前基本没有保护措施或保护措施不到位的状况。信息安全管理南昌大学软件学院27全面实行阶段在试行工作的基础上，用一年左右的时间，在全国全面推行信息安全等级保护制度。已经实施等级保护制度的信息和信息系统的运营、使用单位及其主管部门，要进一步完善信息安全保护措施。没有实施等级保护制度的，要按照等级保护的管理规范和技术标准认真组织落实。信息安全管理南昌大学软件学院28信息安全等级保护制度的意义1、能够充分调动国家、法人和其他组织及公民的积极性2、发挥各方面的作用，达到有效保护的目的3、增强安全保护的整体性、针对性和实效性4、使信息系统安全建设更加突出重点、统一规范、科学合理5、对促进我国信息安全的发展将起到重要推动作用。信息安全管理南昌大学软件学院29信息安全等级保护制度的意义（续）实施信息安全等级保护，可以有效地提高我国信息安全建设的整体水平，有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督；信息安全管理南昌大学软件学院30信息安全等级保护制度的意义（续）有利于明确国家、法人和其他组织、公民的安全责任，强化政府监管职能，共同落实各项安全建设和安全管理措施；有利于提高安全保护的科学性、整体性、针对性，推动信息安全产业水平，逐步探索一条适应社会主义市场经济发展的信息安全发展模式。信息安全管理南昌大学软件学院31二、信息安全等级划分《信息系统安全等级保护实施指南》，分五个级别。信息安全管理南昌大学软件学院32一、自主保护级第一级为自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益造成一定损害，但不损害国家安全、社会秩序和公共利益。依照国家管理规范和技术标准进行保护。信息安全管理南昌大学软件学院33二、指导保护级第二级为指导保护级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。在信息安全监管职能部门指导下，依照国家管理规范和技术标准进行保护。信息安全管理南昌大学软件学院34三、监督保护级第三级为监督保护级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。依照国家管理规范和技术标准进行保护，信息安全监管职能部门对其进行监督、检查。信息安全管理南昌大学软件学院35四、强制保护级第四级为强制保护级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。依照国家管理规范、技术标准和业务专门需求进行保护，国家信息安全监管部门对其进行强制监督、检查。信息安全管理南昌大学软件学院36五、专控保护级第五级为专控保护级，适用于涉及国家安全的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全造成特别严重损害。系统运营、使用单位依照国家管理规范、