二级
信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重 损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 • 信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害 ，但不损害国家安全、社会秩序和公共利益。
广电总局 等级保护
北京市
等级保护背景与必要性
教育部
2011年8月，《教育部办公厅关于进一步加强网络信息系统安全保 障工作的通知教办厅函》〔2011〕83号要求各地教育行政部门和学校要 将本单位的信息系统定级结果报主管部门审批，已定级的第三级及以上 信息系统要安全整改方案由教育部组织专家审定，在2012年底前完成首 次安全建设整改和等级测评工作。 2010年4月教育部教育管理信息中心成立“信息安全测评部”，负 责信息安全等级保护测评工作。 2009年11月，教育部办公厅印发《关于开展信息系统安全等级保护 工作的通知》（教办厅函[2009]80号），决定在教育系统全面开展信息 安全等级保护工作，并由教育部教育管理信息中心具体组织实施。 2013年，四川将推电子学籍，其发布信息的可靠性也将借助安全。 2013年，全国教育系统拟投入600亿，可直接做信息及信息安全建 设。
2011年6月，国家广电总局科技司印发了《关 于开展广播电视相关信息系统安全等级保护定 级工作的通知》出台《广播电视相关信息系统 安全等级保护定级指南》和《广播电视相关信 息系统安全等级保护基本要求》行业标准
2007年，发布《税务信息系统安全等级保护 定级工作指南》2010年8月25日，国家税总在 上海组织召开了税务系统信息安全等级保护 上海试点测评阶段总结会。 国家电网公司2011年完成10多个网省的等级 保护整改任务（二次防护）
二级系统：5万多个 三级系统：2万多个 四级系统：100多个 2011年三级系统增加100%
等级保护背景与必要性
国家政策、标准解读
信息系统定级：《定级指南》GB/T22240-2008 等级保护实施：《实施指南》信安字[2007]10号 操作系统 数据库 网络 PKI 信息系统安全建设：《基本要求》GB/T22239-2008 《通用安全技术要求》 GB/T20271-2006 《安全技术设计要求》GB/T24856-2009 等10个要求和规范 等级测评：《测评要求》报批稿/《测评过程要求》报批稿 / GA/T713-2007 风险评估：《信息安全 风险评估规范》 GB/T20984-2007 事件管理：《信息安全 事件管理指南》 GB/Z20985-2007 《信息安全事件分类分 级指南》 GB/Z209862007 《信息系统灾难恢复规 范》GB/T20988-2007
T2-9.
T2-10. T2-11.
等级保护背景与必要性
威胁需求
T2-11. T2-12. T2-13. T2-14. T2-15. T2-16. T2-17. T2-18. T2-19. T2-20. T2-21. T2-22.
信息安全面临的威胁
系统软件、应用软件过度使用内存、CPU等系统资源 应用软件、系统软件缺陷导致数据丢失或系统运行中断 设施、通信线路、设备或存储介质因使用、维护或保养不当等原 因导致故障 授权用户操作失误导致系统文件被覆盖、数据丢失或不能使用 授权用户对系统错误配置或更改 攻击者利用非法手段进入机房内部盗窃、破坏等 攻击者非法物理访问系统设备、网络设备或存储介质等 攻击者采用在通信线缆上搭接或切断等导致线路不可用 攻击者利用分布式拒绝服务攻击等拒绝服务攻击工具，恶意地消 耗网络、操作系统和应用系统资源，导致拒绝服务 攻击者利用网络协议、操作系统、应用系统漏洞，越权访问文件、 数据或其他资源 攻击者利用通过恶意代码或木马程序，对网络、操作系统或应用 系统进行攻击 攻击者利用网络结构设计缺陷旁路安全策略，未授权访问网络
等级保护背景与必要性
《中华人民共和国计算机信息 系统安全保护条例》（1994年 国务院147号令） 《国家信息化领导小组关于加 强信息安全保障工作的意见》 （中办发[2003]27号）
网监->网安 测评机构认证（100多家） 测评师培训认证
政策法规 1994-2005
等保标准体系 2005-2008
等级保护背景与必要性
等保发展状况
2007年，四部委联合发布的《关于开展全国重要信息系统安全等级保 护定级工作的通知》（公信安[2007]861号） 2008年，国家发展和改革委员会、中华人民共和国公安部、国家保密 局《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》 （发改高技[2008]2071号） 2009年，四部委联合发布《关于推动信息安全等级保护测评体系建设 和开展等级测评工作的通知》，要求2010年底前完成测评体系建设，完 成30%第三级（含）以上信息系统的测评工作，2012年底之前完成第三 级（含）以上信息系统的安全建设整改工作。
等级保护背景与必要性
威胁需求
T2-23. T2-24. T2-25. T2-26. T2-27.
信息安全面临的威胁
攻击者利用非法手段获得授权用户的鉴别信息或密码介质，访问网络、系统 攻击者利用伪造客户端进入业务系统，进行非法访问 攻击者截获、读取、破解介质的信息或剩余信息，进行敏感信息的窃取 攻击者截获、读取、破解通信线路中的信息 由于网络设备、主机系统和应用软件的故障或双机热备失效，造成业务应用的中断 数据在传输和存储过程中被错误修改或丢失 攻击者利用通用安全协议/算法/软件等缺陷，获取信息、解密密钥或破坏通信完整 性 攻击者在软硬件分发环节（生产、运输等）中恶意更改软硬件 攻击者和内部人员否认自己的操作行为 攻击者和内部人员利用网络扩散病毒 内部人员下载、拷贝软件或文件，打开可疑邮件时引入病毒 内部人员未授权接入外部网络（如Internet） 内部人员利用技术或管理漏洞，未授权修改系统数据或修改系统程序 内部人员未授权访问敏感信息，将信息带出或通过网络传出，导致信息泄露
目录
1
2 3 4 5
等级保护背景与必要性 等级保护安全等级划分 等级保护安全建设模型 等级保护整改方案设计 行业案例分析
等级保护背景与必要性
全球背景
全球网络安全形势严峻，信息安全问题不仅仅是组织自身的事情，也 涉及到国家和社会安全。计算机病毒、黑客攻击、信息泄露、软硬件故 障等信息安全问题给组织单位造成了极大的风险。 互联网空间正日益成为国际竞争的新焦点,在制定本国信息系统安全等 级管理标准之外，美国、英国、德国等欧美发达国家纷纷制定网络安全 国家战略，参与争夺全球网络空间主导权。 美国2009年6月，美军成立网络司令部；日本防卫省在2011年度建立 一支专门的“网络空间防卫队”；韩国在2009年宣布组建“网络司令 部”，2011年韩国国防部提升为独立部队。
等级保护背景与必要性
卫生部
2011年11月，卫生部印发了《卫生行业信息安全等级保护工作的 指导意见》通知，通知明确提出卫生行业信息安全等级保护工作的指导 意见，包括工作目标、工作原则、工作机制、工作任务、工作要求等， 有力促进卫生行业信息安全等级保护工作的开展。
等级保护背景与必要性
信息的损害等级
五级损害 四级损害
• 信息系统受到破坏后，会对国家安全 造成特别严重损害。
• 信息系统受到破坏后，会对社会秩序和公共利益造 成特别严重损害，或者对国家安全造成严重损害。
三级损害
信息系统受到破坏后，会对社会秩序和公共利益造成严 重损害，或者对国家安全造成损害。
二级损害
信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重 损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。
等级保护安全等级划分
等保的级差
《信息安全等级 保护管理办法》 规定的五级要求
五级 四级
• 信息系统受到破坏后，会对国家安全 造成特别严重损害。 • 信息系统受到破坏后，会对社会秩序和公共利益造 成特别严重损害，或者对国家安全造成严重损害。
三级
信息系统受到破坏后，会对社会秩序和公共利益造成严 重损害，或者对国家安全造成损害。
等级保护安全等级划分
等保的称谓
《信息安全等级 保护管理办法》 规定的五级要求
五级：专控保护 四级：强制保护
•第五级：访问验证保护级
•第四级：结构化保护级
三级：监督保护
•第三级：安全标记保护级
二级：指导保护
•第二级：系统审计保护级
一级：自主保护
•第一级：用户自主保护级
《信息安全等级保护划分准 则》GB17859-1999-规定了 计算机信息系统安全保护能 力的五个级别
技术要求 评估准则 测试方法 配置指南
应用类
网关 服务器 入侵检测
防火墙
路由器 交换机 其他产品
产品类
等保安全 建设整改
其他类
基础类 《计算机信息系统安全保护等级划分准则》
等级保护背景与必要性
省市/行业进展
《教育部办公厅关于开展信息系统安全等级保 护工作的通知》（教办厅函【2009】80号）
2010年6月，民政部启动《民政部信息系统等 级保护整体规划建设方案》
等级保护背景与必要性
国内背景
国际信息安全环境日趋复杂，西方加紧对我国的网络遏制，并加快利用网络 进行意识形态渗透;另一方面，重要信息系统、工业控制系统的安全风险日益 突出，信息安全网络监管的难度和复杂性持续加大。
网络安全成为关系经济平稳运行和安全的重要因素，国民经济对信息网络和
系统的依赖性增强，我国重要信息系统和工业控制系统多使用国外的技术和产 品，这些技术和产品的漏洞不可控，使网络和系统更易受到攻击，致使敏感信 息泄露、系统停运等重大安全事件多发，安全状况堪忧。 信息安全领域存在多头管理现象，相关职能部门涉及多个部委和管理机构， 部门之间职责界定不清晰，管理权限存在交叉，决策权分散，各个相关管理机 构之间缺乏充分的沟通和协调，部门间作用发挥不均。
T2-28. T2-29. T2-30. T2-31. T2-32. T2-33. T2-34. T2-35. T2-36.