为什么要实施等级保护毒
3Q大战
荆州市商务局
沧州电信泄密
网站篡改
敏感数据泄密
钓鱼网站
假冒的中国工商银行网站
真正的中国工商银行网站
扬州市城乡建设局网站(/)
我们身边的重大安全事件案例
• 深圳市10万孕妇信息泄露 1.2万元一张光盘 贩卖 怀疑卫生局、计生委 • 广东电网珠海供电局无人值守终端向互联 网扫描 导致GDCERT告警 • 广州市政府机关网络信息中心UPS电池火 灾 瘫痪72小时 • 广州市越秀区教育局门户网站域名过期抢 注变色情网站 • 广州市破获省人事厅网站被入侵案，带破 福建省建设信息网等10多起黑客入侵案件 。
受到破坏时侵害了什 么？（客体） • 公民、法人 • 社会秩序、公共利益 • 国家安全
信息系统安全保 护等级
系统服务范围 业务服务保 证性 业务依赖程度
侵害的程度如何？ （对客体造成侵害 的程度） • 一般损害 • 严重损害 • 特别严重损害
等级保护组合可能性
安全等级
第一级 第二级 第三级 S1A1G1 S1A2G2，S2A2G2，S2A1G2 S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3
第二级
指导性保护
Байду номын сангаас第三级
监督性保护
国家安全
社会秩序和公共利益
损害
特别严重损害 强制性保护 专控性保护
国家安全 极端重要系 统
国家安全
严重损害
特别严重损害
定级三条件
• 具有唯一确定的安全责任单位 • 满足信息系统的基本要素 • 承载相对独立的业务应用
定级对象识别与划分
• 可能使定级要素赋值不同因素
– 可能涉及不同客体的系统。 – 可能对客体造成不同程度损害的系统。 – 处理不同类型业务的系统。 • • 本身运行在不同的网络环境中的系统。 分不开的系统，按照高级别保护。
信息系统保护要求的组合
第四级
S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4， S4A2G4，S4A1G4
行业等级保护定级
一级信息系统：适用于乡镇所属信息系统、 县级某些单位中不重要的信息系统。小型 个体、私营企业中的信息系统。中小学中 的信息系统。 二级信息系统：适用于地市级以上国家机关 、企业、事业单位内部一般的信息系统。 例如小的局域网，非涉及秘密、敏感信息 的办公系统等。
• （一）电信、广电行业的公用通信网、广播电视传输网等 基础信息网络，经营性公众互联网信息服务单位、互联网 接入服务单位、数据中心等单位的重要信息系统。 • （二）铁路、银行、海关、税务、民航、电力、证券、保 险、外交、科技、发展改革、国防科技、公安、人事劳动 和社会保障、财政、审计、商务、水利、国土资源、能源 、交通、文化、教育、统计、工商行政管理、邮政等行业 、部门的生产、调度、管理、办公等重要信息系统。 • （三）市（地）级以上党政机关的重要网站和办公信息系 统
水电厂监控系统 总装机1000兆瓦及以 上 总装机1000兆瓦以下 梯级调度监测系统 总装机2000兆瓦及以 上 总装机2000兆瓦以下
3 2
3 2 3 2
含辅机控制系 统
若无控制功能 则为生产管理 系统
电力行业等级保护定级
某科研院所定级
1.支撑网络： (1)科技网骨干网：主要对全国范围内的用户提供系统服务，受到破坏时 将对社会秩序、公共利益造成严重损害，保护等级建议定为三级。 (2)院属单位城域网：主要对院属单位提供系统服务，受到破坏时将对法 人合法权益造成严重损害，保护等级建议定为二级。 2.科研应用系统： (1)一般科研应用系统：承载普通科研信息和数据，主要服务于内部或外 部用户，受损后仅对公民、法人和其它组织的合法权益造成一般损害， 保护等级建议定为一级。 (2)较重要科研应用系统：承载较为重要的科研信息和数据，内部或外部 用户依赖性强（访问量大），一旦受损将对公共利益造成一般损害，或 对公民、法人和其它组织的合法权益造成严重损害，保护等级建议定为 二级。 3)尖端科研应用系统：承载尖端科研信息和数据，主要服务于内部或外 部特殊用户，受损后至国家安全（国家竞争力）构成威胁，应定为重要 信息系统。
为什么要首先进行定级？
等级保护实施流程
等级保护定级思路
不同信息系统
重要程度不同 应对不同威胁的能力
具有不同的安全保护能力 不同的等级保护等级
等级保护定级怎么做
等级保护重要标准
• GB 17859-1999 计算机信息系统 安全保护等级划分准 则 • GB/T 22239—2008 信息系统安全等级保护基本要求 • GB/T 22240—2008 信息系统安全等级保护定级指南 • 信息系统安全等级保护测评过程指南（国标报批稿） • 信息系统安全等级保护测评要求（国标报批稿） • GB/T 25058-2010信息系统安全等级保护实施指南 • GB/T 25070-2010信息系统等级保护安全设计技术要 求
等级保护定级维度
• 等级保护对象受到 破坏时所侵害的客 体 • 对客体造成侵害的 程度
定级要素与安全保护等级的关系
等级与侵害客体、侵害程度关系
等级 第一级 一般系统 对象 侵害客体 公民、法人合法利益 公民、法人合法权益 社会秩序和公共利益 社会秩序和公共利益 重要系统 第四级 第五级 侵害程度 损害 严重损害 损害 严重损害 监管强度 自主性保护
信息系统安全 等级保护定级指南
付欲华
广东计安信息网络培训中心
本课程目的
服务人 员 集成项 目经理 研发人 员
掌握等级保护 流程
实施等级保护 定级、测评和 整改
了解等级保护 标准
设计实施中依 照等级保护标 准开展工作
理解等级保护 基本概念
开发满足等级 保护要求的产 品
市场人 员
了解等级保护 流程
能够推销符合 等级保护标准 的产品
能够推销等级 保护服务
课程要点
• • • • 什么是等级保护 为什么要实施等级保护 为什么要首先进行定级 等级保护定级怎么做
什么是等级保护？
等级保护等级
根据我国信息安全标准GB/T 22240—2008 《 信息系统安全等级保护定级指南》对我国非涉密 信息系统划分为五个等级进行保护。
等级保护对象
行业等级保护定级
三级信息系统：适用于地市级以上国家机关、企业 、事业单位内部重要的信息系统；重要领域、重 要部门跨省、跨市或全国（省）联网运行的信息 系统；跨省或全国联网运行重要信息系统在省、 地市的分支系统；各部委官方网站；跨省（市） 联接的信息网络等。 四级信息系统：适用于重要领域、重要部门三级信 息系统中的部分重要系统。例如全国铁路、民航 、电力等调度系统，银行、证券、保险、税务、 海关等部门中的核心系统。
定级流程
S
A
G=MAX(S,A)
业务信息安全等级矩阵表
系统服务安全等级矩阵表
等级保护定级报告案例
业务信息安全等级
系统服务安全等级
安全等级确定
信息系统名称 广东省 XX 管理系 统
安全保护等级 业务信息安全等级
系统服务安全等级
三
三
二
四个主要因素决定等级
系统所属类型 业务信息安 全性 业务信息类别
电力行业等级保护定级
系统类别 系统名称 能量管理系统 范围 省级及以上 省级以下 220千伏及以上 220千伏以下 建议等级 4 3 3 2 3 3 含开关站、换 流站 备注
变电站自动化系统 配网自动化系统 电力负荷管理系统
生产控制系统
单机容量300兆瓦及以 上 火电机组控制系统DCS 单机容量300兆瓦以下
某科研院所定级
3.办公管理系统： (1)ARP院级管理系统：承载重要科研数据，为全院科研活动提供管理平 台，受损后将对公共利益造成严重损害，保护等级应定为三级。 (2)ARP所级管理系统：保护等级建议定为二级。 (3)其它办公管理系统，保护等级建议定为一级。 4．宣传性网站：主要承载宣传信息，根据受损后对不同客体造成不同 性质的影响进行划分，院网站保护等级定为二级；院属单位网站可和其 它拟定为一级的信息系统合并。 5.涉密信息系统：依据《管理办法》及国家保密标准BMB22-2007《涉 及国家秘密的计算机信息系统分级保护测试指南》定级，秘密、机密、 绝密三个等级的保护水平不低于信息安全等级保护第三级、第四级、第 五级的标准。按照有关规定，涉密信息系统应与其它网络进行物理隔离 。 6．其它信息系统：应根据承载业务信息或系统服务受损后对不同客体 造成不同性质的影响进行划分，定级时要严格把握一般信息系统与重要 信息系统之间的界限。
重点回顾
• • • • 等级保护共有几个等级，名称分别是？P5 等级保护定级思路 P9 等级保护定级参照标准 P12 等级保护定级维度（三类客体、三级程度 ）P13 • 三个安全等级SAG P18