信息安全等级保护专业知识
的特点,应从全球信息化角度考虑和布局; ❖ 信息安全不是一个孤立的问题,应在系统建设过程中充
分考虑。
信息安全等级保护专业知识
3
信息安全管理分类
密保(分保)—— 分三级(绝密、机密、秘密) 涉密环境(网络、终端、应用系统及数据)的信
息安全 等保 —— 分五级
非涉密环境(网络、终端、应用系统及数据)的 信息安全
国务院
第一次提出信息系统要实行 等级保护,并确定了等级保 护的职责单位。
2003年 9月7日
《国家信息化领导 小组关于加强信息 安全保障工作的意 见》
中办国办发 中共中央办公厅 [2003]27号 国务院办公厅
等级保护工作的开展必须分 步骤、分阶段、有计划的实 施。明确了信息安全等级保 护制度的基本内容。
2004年 9月15日
2007年 6月22日
《关于信息安全等 级保护工作的实施 意见》
《信息安全等级保 护管理办法》
公通字
公安部
[2004]66号 国家保密局
公通字 [2007]43号
国家密码管理委 员会办公室
(国家密码管理 局)
国务院信息化工 作办公室
将等级保护从计算机信息系 统安全保护的一项制度提升 到国家信息安全保障的一项 基本制度。
信息安全等级保护专业知识
信息安全等级保护专业知识
1
主题2
1 信息安全的属性特征和管理分类
2 什么是等级保护
3 等级保护的国家政策与标准规范
4 等级保护的工作内容
5 等级保护的建设流程
6 等级保护各参与部门的角色定位
7 涉及国家秘密信息系统的分级保护
信息安全等级保护专业知识
2
信息安全的属性特征
❖ 信息安全是整体的、发展的、非传统的安全; ❖ 信息安全是一个系统工程,需要全社会共同努力; ❖ 信息安全不是绝对的,是动态的、相对的; ❖ 信息安全不是一个国家能完全控制的问题,具有全球化
访问:读、写、执行
主动 用户、进程
强制访问控制
被动 文件、存储设备
安全策信略息安全等级保护专业安知识全审计
10Байду номын сангаас
等级保护的等级划分准则
第一级 用户自主保护级 第二级 系统审计保护 第三级 安全标记保护 第四级 结构化保护 第五级 访问验证保护
用户自主控制资源访问 访问行为需要被审计
通过标记实现强制访问控制 可信计算基结构化
明确了信息安全等级保护制 度的基本内容、流程及工作 要求,明确了信息系统运营 使用单位和主管部门、监管 部门在信息安全等级保护工 作中的职责、任务。
2 什么是等级保护
3 等级保护的国家政策与标准规范
4 等级保护的工作内容
5 等级保护的建设流程
6 等级保护各参与部门的角色定位
7 涉及国家秘密信息系统的分级保护
信息安全等级保护专业知识
14
等级保护的国家政策
颁布时间
文件名称
文号
颁布机构
内容及意义
1994年 2月18日
《中华人民共和国 国务院147 计算机信息系统安 号令 全保护条例》
信息安全等级保护专业知识
4
主题2
1 信息安全的属性特征和管理分类
2 什么是等级保护
3 等级保护的国家政策与标准规范
4 等级保护的工作内容
5 等级保护的建设流程
6 等级保护各参与部门的角色定位
7 涉及国家秘密信息系统的分级保护
信息安全等级保护专业知识
5
什么是等级保护
信息系统等级保护的定义
是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开 信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对 信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的 信息安全事件分等级响应、处置。
所有的过程都需要验证
信息安全等级保护专业知识
11
等级保护的等级划分准则
第一级 自主安全保护
自主访问控制 身份鉴别 完整性保护
第二级 审计安全保护
自主访问控制 身份鉴别 完整性保护
系统审计 客体重用
第三级 强制安全保护
自主访问控制 身份鉴别 完整性保护
系统审计 客体重用
强制访问控制 标记
第四级 结构化保护
信息安全等级保护专业知识
7
等级保护的等级划分准则
等级 对象
第一级 一般系
第二级 统
第三级 重要系 统
第四级
侵害客体 合法权益 合法权益 社会秩序和公共利益 社会秩序和公共利益 国家安全 社会秩序和公共利益 国家安全
第五级
极端重 要系统
国家安全
侵害程度
监管强度
损害
自主保护
严重损害 指导
损害
严重损害 损害
第四级:一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。 例如电力、电信、广电、铁路、民航、银行、税务等重要部门的生产、调度、 指挥等涉及国家安全、国计民生的核心系统。
第五级:一般适用于国家重要领域、重要部门中的极端重要系统
信息安全等级保护专业知识
13
主题3
1 信息安全的属性特征和管理分类
自主访问控制 身份鉴别 完整性保护
系统审计 客体重用
强制访问控制 标记
隐蔽通道分析 可信路径
第五级 访问验证保护级
自主访问控制 身份鉴别
系统审计 客体重用
强制访问控制 标记
完整性保护
隐蔽通道分析 可信路径
信息安全等级保护专业知识
可信恢复
12
信息系统的五个安全保护等级
第一级:一般适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级 单位中一般的信息系统。
监督检查
特别严重损害 强制监督检查
严重损害
特别严重损害 专门监督检查
信息安全等级保护专业知识
8
公安部关于等级保护文件规定
❖ 第一级为自主保护级 ❖ 第二级为指导保护级 ❖ 第一级为监督保护级 ❖ 第一级为强制保护级 ❖ 第一级为专控保护级
信息安全等级保护专业知识
9
等级保护涉及的几个概念
主体
权限
客体
第二级:一般适用于县级某些单位中的重要信息系统;地市级以上国家机关、 企事业单位内部一般的信息系统,如涉及工作秘密、商业秘密、敏感信息的办 公系统和管理系统等。
第三级:一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系 统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或 全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息 系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网 站和重要网站;跨省连接的网络系统等。
等级保护工作分为五个环节:定级、备案、建设整改、等级测评、监督 检查。
信息安全等级保护是基本制度、基本国策
信息安全等级保护专业知识
6
等级保护的等级划分准则
根据信息和信息系统遭到破坏或泄露后,对国家安全、社会秩序、公共 利益及公民、法人和其他组织的合法权益的危害程度来进行定级。 1、受侵害客体; 2、受侵害程度。
