等级保护定级指南.
定级流程
S
A
G=MAX(S,A)
业务信息安全等级矩阵表
系统服务安全等级矩阵表
等级保护定级报告案例
业务信息安全等级
系统服务安全等级
安全等级确定
信息系统名称 广东省 XX 管理系 统
安全保护等级 业务信息安全等级
系统服务安全等级
三
三
二
四个主要因素决定等级
系统所属类型 业务信息安 全性 业务信息类别
• (一)电信、广电行业的公用通信网、广播电视传输网等 基础信息网络,经营性公众互联网信息服务单位、互联网 接入服务单位、数据中心等单位的重要信息系统。 • (二)铁路、银行、海关、税务、民航、电力、证券、保 险、外交、科技、发展改革、国防科技、公安、人事劳动 和社会保障、财政、审计、商务、水利、国土资源、能源 、交通、文化、教育、统计、工商行政管理、邮政等行业 、部门的生产、调度、管理、办公等重要信息系统。 • (三)市(地)级以上党政机关的重要网站和办公信息系 统
信息系统安全 等级保护定级指南
付欲华
广东计安信息网络培训中心
本课程目的
服务人 员 集成项 目经理 研发人 员
掌握等级保护 流程
实施等级保护 定级、测评和 整改
了解等级保护 标准
设计实施中依 照等级保护标 准开展工作
理解等级保护 基本概念
开发满足等级 保护要求的产 品
市场人 员
了解等级保护 流程
能够推销符合 等级保护标准 的产品
第二级
指导性保护
第三级
监督性保护
国家安全
社会秩序和公共利益
损害
特别严重损害 强制性保护 专控性保护
国家安全 极端重要系 统
国家安全
严重损害
特定的安全责任单位 • 满足信息系统的基本要素 • 承载相对独立的业务应用
定级对象识别与划分
• 可能使定级要素赋值不同因素
– 可能涉及不同客体的系统。 – 可能对客体造成不同程度损害的系统。 – 处理不同类型业务的系统。 • • 本身运行在不同的网络环境中的系统。 分不开的系统,按照高级别保护。
电力行业等级保护定级
系统类别 系统名称 能量管理系统 范围 省级及以上 省级以下 220千伏及以上 220千伏以下 建议等级 4 3 3 2 3 3 含开关站、换 流站 备注
变电站自动化系统 配网自动化系统 电力负荷管理系统
生产控制系统
单机容量300兆瓦及以 上 火电机组控制系统DCS 单机容量300兆瓦以下
信息系统保护要求的组合
第四级
S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4, S4A2G4,S4A1G4
行业等级保护定级
一级信息系统:适用于乡镇所属信息系统、 县级某些单位中不重要的信息系统。小型 个体、私营企业中的信息系统。中小学中 的信息系统。 二级信息系统:适用于地市级以上国家机关 、企业、事业单位内部一般的信息系统。 例如小的局域网,非涉及秘密、敏感信息 的办公系统等。
为什么要首先进行定级?
等级保护实施流程
等级保护定级思路
不同信息系统
重要程度不同 应对不同威胁的能力
具有不同的安全保护能力 不同的等级保护等级
等级保护定级怎么做
等级保护重要标准
• GB 17859-1999 计算机信息系统 安全保护等级划分准 则 • GB/T 22239—2008 信息系统安全等级保护基本要求 • GB/T 22240—2008 信息系统安全等级保护定级指南 • 信息系统安全等级保护测评过程指南(国标报批稿) • 信息系统安全等级保护测评要求(国标报批稿) • GB/T 25058-2010信息系统安全等级保护实施指南 • GB/T 25070-2010信息系统等级保护安全设计技术要 求
等级保护定级维度
• 等级保护对象受到 破坏时所侵害的客 体 • 对客体造成侵害的 程度
定级要素与安全保护等级的关系
等级与侵害客体、侵害程度关系
等级 第一级 一般系统 对象 侵害客体 公民、法人合法利益 公民、法人合法权益 社会秩序和公共利益 社会秩序和公共利益 重要系统 第四级 第五级 侵害程度 损害 严重损害 损害 严重损害 监管强度 自主性保护
为什么要实施等级保护毒
3Q大战
荆州市商务局
沧州电信泄密
网站篡改
敏感数据泄密
钓鱼网站
假冒的中国工商银行网站
真正的中国工商银行网站
扬州市城乡建设局网站(/)
我们身边的重大安全事件案例
• 深圳市10万孕妇信息泄露 1.2万元一张光盘 贩卖 怀疑卫生局、计生委 • 广东电网珠海供电局无人值守终端向互联 网扫描 导致GDCERT告警 • 广州市政府机关网络信息中心UPS电池火 灾 瘫痪72小时 • 广州市越秀区教育局门户网站域名过期抢 注变色情网站 • 广州市破获省人事厅网站被入侵案,带破 福建省建设信息网等10多起黑客入侵案件 。
受到破坏时侵害了什 么?(客体) • 公民、法人 • 社会秩序、公共利益 • 国家安全
信息系统安全保 护等级
系统服务范围 业务服务保 证性 业务依赖程度
侵害的程度如何? (对客体造成侵害 的程度) • 一般损害 • 严重损害 • 特别严重损害
等级保护组合可能性
安全等级
第一级 第二级 第三级 S1A1G1 S1A2G2,S2A2G2,S2A1G2 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3
能够推销等级 保护服务
课程要点
• • • • 什么是等级保护 为什么要实施等级保护 为什么要首先进行定级 等级保护定级怎么做
什么是等级保护?
等级保护等级
根据我国信息安全标准GB/T 22240—2008 《 信息系统安全等级保护定级指南》对我国非涉密 信息系统划分为五个等级进行保护。
等级保护对象
行业等级保护定级
三级信息系统:适用于地市级以上国家机关、企业 、事业单位内部重要的信息系统;重要领域、重 要部门跨省、跨市或全国(省)联网运行的信息 系统;跨省或全国联网运行重要信息系统在省、 地市的分支系统;各部委官方网站;跨省(市) 联接的信息网络等。 四级信息系统:适用于重要领域、重要部门三级信 息系统中的部分重要系统。例如全国铁路、民航 、电力等调度系统,银行、证券、保险、税务、 海关等部门中的核心系统。
