– 可能涉及不同客体的系统。 – 可能对客体造成不同程度损害的系统。 – 处理不同类型业务的系统。 • • 本身运行在不同的网络环境中的系统。 分不开的系统，按照高级别保护。
定级流程
S
A
G=MAX(S,A)
ห้องสมุดไป่ตู้
业务信息安全等级矩阵表
系统服务安全等级矩阵表
等级保护定级报告案例
四个主要因素决定等级
第五级
行业等级保护定级
一级信息系统：适用于乡镇所属信息系统、 县级某些单位中不重要的信息系统。小型 个体、私营企业中的信息系统。中小学中 的信息系统。 二级信息系统：适用于地市级以上国家机关 、企业、事业单位内部一般的信息系统。 例如小的局域网，非涉及秘密、敏感信息 的办公系统等。
行业等级保护定级
国计民生
• 铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、 发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、 商务、水利、国土资源、能源、交通、文化、教育、统计、工商行 政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息 系统。
• 市（地）级以上党政机关的重要网站和办公信息系统
等级与侵害客体、侵害程度关系
等级 第一级 一般系统 对象 侵害客体 公民、法人合法利益 公民、法人合法权益 社会秩序和公共利益 社会秩序和公共利益 重要系统 第四级 第五级 侵害程度 一般损害 严重损害 一般损害 严重损害 监管强度 自主性保护
第二级
指导性保护
第三级
监督性保护
国家安全
社会秩序和公共利益
若无控制功能 则为生产管理 系统
电力行业等级保护定级
某科研院所定级
1.支撑网络： (1)科技网骨干网：主要对全国范围内的用户提供系统服务，受到破坏时 将对社会秩序、公共利益造成严重损害，保护等级建议定为三级。 (2)院属单位城域网：主要对院属单位提供系统服务，受到破坏时将对法 人合法权益造成严重损害，保护等级建议定为二级。 2.科研应用系统： (1)一般科研应用系统：承载普通科研信息和数据，主要服务于内部或外 部用户，受损后仅对公民、法人和其它组织的合法权益造成一般损害， 保护等级建议定为一级。 (2)较重要科研应用系统：承载较为重要的科研信息和数据，内部或外部 用户依赖性强（访问量大），一旦受损将对公共利益造成一般损害，或 对公民、法人和其它组织的合法权益造成严重损害，保护等级建议定为 二级。 3)尖端科研应用系统：承载尖端科研信息和数据，主要服务于内部或外 部特殊用户，受损后至国家安全（国家竞争力）构成威胁，应定为重要 信息系统。
系统所属类型 业务信息安 全性 业务信息类别
受到破坏时侵害了什 么？（客体） • 公民、法人和其他组 织 • 社会秩序、公共利益 • 国家安全
信息系统安全保 护等级
系统服务范围 业务服务保 证性 业务依赖程度
侵害的程度如何？ （对客体造成侵害 的程度） • 一般损害 • 严重损害 • 特别严重损害
等级保护组合可能性
党政机关
为什么要实施等级保护毒
3Q大战
荆州市商务局
沧州电信泄密
某银行网站篡改
某知名企业敏感数据泄密
钓鱼网站
假冒的中国工商银行网站
真正的中国工商银行网站


我们身边的重大安全事件案例
• 深圳市10万孕妇信息泄露 1.2万元一张光盘 贩卖 怀疑卫生局、计生委 • 广东电网某供电局无人值守终端向互联网 扫描 导致GDCERT告警 • 广州市政府机关网络信息中心UPS电池火 灾 瘫痪72小时 • 广州市某区教育局门户网站域名过期抢注 变色情网站 • 广州市破获省人事厅网站被入侵案，带破 福建省建设信息网等10多起黑客入侵案件 。
重点回顾
• • • • 等级保护共有几个等级，名称分别是？P5 等级保护定级思路 P9 等级保护定级参照标准 P12 等级保护定级维度（三类客体、三级程度 ）P13 • 三个安全等级SAG P18
信息系统安全 等级保护定级指南
广东计安信息网络培训中心
什么是等级保护？
等级保护等级
根据我国信息安全标准GB/T 22240—2008 《 信息系统安全等级保护定级指南》对我国非涉密 信息系统划分为五个等级进行保护。
等级保护对象
• 电信、广电行业的公用通信网、广播电视传输网等基础信息网络， 经营性公众互联网信息服务单位、互联网接入服务单位、数据中心 电信运营商 等单位的重要信息系统。
某科研院所定级
3.办公管理系统： (1)ARP院级管理系统：承载重要科研数据，为全院科研活动提供管理平 台，受损后将对公共利益造成严重损害，保护等级应定为三级。 (2)ARP所级管理系统：保护等级建议定为二级。 (3)其它办公管理系统，保护等级建议定为一级。 4．宣传性网站：主要承载宣传信息，根据受损后对不同客体造成不同 性质的影响进行划分，院网站保护等级定为二级；院属单位网站可和其 它拟定为一级的信息系统合并。 5.涉密信息系统：依据《管理办法》及国家保密标准BMB22-2007《涉 及国家秘密的计算机信息系统分级保护测试指南》定级，秘密、机密、 绝密三个等级的保护水平不低于信息安全等级保护第三级、第四级、第 五级的标准。按照有关规定，涉密信息系统应与其它网络进行物理隔离 。 6．其它信息系统：应根据承载业务信息或系统服务受损后对不同客体 造成不同性质的影响进行划分，定级时要严格把握一般信息系统与重要 信息系统之间的界限。
变电站自动化系统 配网自动化系统 电力负荷管理系统
生产控制系统
单机容量300兆瓦及以 上 火电机组控制系统DCS 单机容量300兆瓦以下
水电厂监控系统 总装机1000兆瓦及以 上 总装机1000兆瓦以下 梯级调度监测系统 总装机2000兆瓦及以 上 总装机2000兆瓦以下
3 2
3 2 3 2
含辅机控制系 统
一般损害
特别严重损害 强制性保护 专控性保护
国家安全 极端重要系 统
国家安全
严重损害
特别严重损害
定级三条件
• 具有唯一确定的安全责任单位
–一般是使用或运营单位
• 满足信息系统的基本要素
–单机和纯局域网不定级
• 承载相对独立的业务应用
–含多个业务应用的综合系统尽量划分
定级对象识别与划分
• 可能使定级要素赋值不同因素
等级保护定级怎么做
等级保护重要标准
• GB 17859-1999 计算机信息系统 安全保护等级划分准 则 • GB/T 22239—2008 信息系统安全等级保护基本要求 • GB/T 22240—2008 信息系统安全等级保护定级指南 • 信息系统安全等级保护测评过程指南（国标报批稿） • 信息系统安全等级保护测评要求（国标报批稿） • GB/T 25058-2010信息系统安全等级保护实施指南 • GB/T 25070-2010信息系统等级保护安全设计技术要 求
等级保护定级维度
等级保护对象受到 破坏时所侵害的客 体 对客体造成侵害的 程度
侵害程度
• 以货币损失衡量
– 一般以银行、证券、保险、第三方支付等金融 行业单位为主
• 以行政处罚衡量
– 一般以政府行业单位为主
• 以安全生产指标衡量
– 一般以电力、石油、交通、制造业等工业行业 单位为主
定级要素与安全保护等级的关系
为什么要首先进行定级？
等级保护实施流程
新建信息系统等级保护实施流程
不通过
定级
建设
测评
结果分 析
系统备 案
定期检 查
已建信息系统等级保护实施流程
不通过
定级
系统备 案
整改
测评
结果分 析
结果确 认
定期检 查
等级保护定级思路
不同信息系统
重要程度不同 应对不同威胁的能力
具有不同的安全保护能力 不同的等级保护等级
行业等级保护定级
第四级 强制保护 第三级 监督保护 第二级 指导保护 第一级 自主保护
• 重要领域 • 核心系统 • 地市级以上重要系统 • 跨省或全国系统及分支系统 • 地市级以上单位 • 一般系统 • 乡镇或县级单位 • 私营企业
电力行业等级保护定级
系统类别 系统名称 能量管理系统 范围 省级及以上 省级以下 220千伏及以上 220千伏以下 建议等级 4 3 3 2 3 3 含开关站、换 流站 备注
三级信息系统：适用于地市级以上国家机关、企业 、事业单位内部重要的信息系统；重要领域、重 要部门跨省、跨市或全国（省）联网运行的信息 系统；跨省或全国联网运行重要信息系统在省、 地市的分支系统；各部委官方网站；跨省（市） 联接的信息网络等。 四级信息系统：适用于重要领域、重要部门信息系 统中的部分重要系统。例如全国铁路、民航、电 力等调度系统，银行、证券、保险、税务、海关 等部门中的核心系统。
安全等级
第一级 第二级 第三级 第四级 S1A1G1 S1A2G2，S2A2G2，S2A1G2 S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3 S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4， S4A2G4，S4A1G4 有几种可能性？
信息系统保护要求的组合