国家等级保护政策介绍.pptx

国家等级保护国家等级保护政策政策介绍介绍南京分行科技处南京分行科技处介绍内容介绍内容q 背景概述背景概述q 什么是等级保护什么是等级保护q 等级保护主要标准等级保护主要标准Copyright 2011 PBC23q 国家等级保护要求国家等级保护要求 信息系统信息安全等级保护制度（简称等级保护）信息系统信息安全等级保护制度（简称等级保护）是我国信息安全领域的一项基本国策。是我国信息安全领域的一项基本国策。p法律法律：l中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例 （国务院（国务院147147号令）号令）p中央、国务院文件：中央、国务院文件：l国家信息化领导小组关于加强信息安全保障工作的意见国家信息化领导小组关于加强信息安全保障工作的意见Copyright 2011 PBC4p信息安全等级保信息安全等级保护管理办法护管理办法l20072007年年6 6月月2222日，四日，四部委联合发布部委联合发布l规定了规定了“定级、备案、定级、备案、安全建设整改、等级安全建设整改、等级测评、检查测评、检查”等五个等五个规定动作。规定动作。Copyright 2011 PBCq 部委文件：部委文件：5p等级保护工作安排等级保护工作安排l20102010年底，完成年底，完成3030三三级系统测评工作级系统测评工作l20112011年底年底，完成三级系，完成三级系统测评工作统测评工作l20122012年底，完成三级系年底，完成三级系统安全建设整改工作统安全建设整改工作Copyright 2011 PBCq 公安部文件：公安部文件：q国家信息化领导小组关于加国家信息化领导小组关于加强信息安全保障工作的意见强信息安全保障工作的意见 （中办发（中办发 200327 号）号）q关于开展信息安全等级保护关于开展信息安全等级保护安全建设整改工作的指导意见安全建设整改工作的指导意见（公信安（公信安20091429号）号）行业主管部门：行业主管部门：1、督促、检查、指导督促、检查、指导本行业、本部门开展本行业、本部门开展等级保护工作。等级保护工作。2、制定行业标准规范，制定行业标准规范，指导本行业信息系指导本行业信息系统安全建设整改工作。统安全建设整改工作。Copyright 2011 PBC6介绍内容介绍内容q 背景概述背景概述q 什么是等级保护什么是等级保护q 等级保护主要标准等级保护主要标准Copyright 2011 PBC7Copyright 2011 PBC8q 什么是等级保护什么是等级保护p将全国的信息系统（包括网络）按照重要性将全国的信息系统（包括网络）按照重要性和受破坏后的危害性分成五个安全保护等级，和受破坏后的危害性分成五个安全保护等级，定级后第二级以上系统到公安机关备案，公定级后第二级以上系统到公安机关备案，公安机关审核合格后颁发备案证明；各单位各安机关审核合格后颁发备案证明；各单位各部门根据系统等级按照国家标准进行安全建部门根据系统等级按照国家标准进行安全建设整改；聘请测评机构进行等级测评；公安设整改；聘请测评机构进行等级测评；公安机关定期开展监督、检查、指导。机关定期开展监督、检查、指导。“定级、备案、安全建设整改、等级测评、定级、备案、安全建设整改、等级测评、检查检查”五个规定动作。五个规定动作。Copyright 2011 PBC9q 信息系统的安全保护等级共分五级信息系统的安全保护等级共分五级p计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则GB17859-1999p本标准将计算机信息系统的安全保护能力划分本标准将计算机信息系统的安全保护能力划分为五个等级：为五个等级：第一级：用户自主保护级；第一级：用户自主保护级；第二级：系统审计保护级；第二级：系统审计保护级；第三级：安全标记保护级；第三级：安全标记保护级；第四级：结构化保护级；第四级：结构化保护级；第五级：访问验证保护级。第五级：访问验证保护级。Copyright 2011 PBC10q 信息系统的安全保护等级共分五级信息系统的安全保护等级共分五级p 第一级：自主保护级，适用于一般的信息和信第一级：自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。社会秩序、经济建设和公共利益。p 第二级：指导保护级，适用于一定程度上涉及第二级：指导保护级，适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成家安全、社会秩序、经济建设和公共利益造成一定损害。一定损害。Copyright 2011 PBC11q 信息系统的安全保护等级共分五级信息系统的安全保护等级共分五级p 第三级：监督保护级，适用于涉及国家安全、第三级：监督保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。序、经济建设和公共利益造成较大损害。p 第四级：强制保护级，适用于涉及国家安全、第四级：强制保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和社会秩序、经济建设和公共利益的重要信息和信息系统，其受到破坏后，会对国家安全、社信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。会秩序、经济建设和公共利益造成严重损害。Copyright 2011 PBC12q 信息系统的安全保护等级共分五级信息系统的安全保护等级共分五级p 第五级：专控保护级，适用于涉及国家安第五级：专控保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。公共利益造成特别严重损害。Copyright 2011 PBC13q 第一级：用户自主保护级第一级：用户自主保护级p提供：提供：自主访问控制自主访问控制 身份鉴别身份鉴别 数据完整性保护数据完整性保护Copyright 2011 PBC14q 第二级：系统审计保护级第二级：系统审计保护级p提供：提供：自主访问控制自主访问控制 身份鉴别身份鉴别 边界的完整性边界的完整性 审计审计 数据完整性保护数据完整性保护Copyright 2011 PBC15q 第三级：安全标记保护级第三级：安全标记保护级p提供：提供：自主访问控制自主访问控制 强制访问控制强制访问控制 标记标记 身份鉴别身份鉴别 边界的完整性边界的完整性 审计审计 数据完整性保护数据完整性保护Copyright 2011 PBC16q 第四级：结构化保护级第四级：结构化保护级p提供：提供：自主访问控制自主访问控制 边界的完整性边界的完整性 强制访问控制强制访问控制 审计审计 标记标记 数据完整性保护数据完整性保护 身份鉴别身份鉴别 可信路径可信路径Copyright 2011 PBC17q 第五级：访问验证保护级第五级：访问验证保护级p提供：提供：自主访问控制自主访问控制 边界的完整性边界的完整性 强制访问控制强制访问控制 审计审计 标记标记 数据完整性保护数据完整性保护 身份鉴别身份鉴别 可信路径可信路径 可信恢复可信恢复Copyright 2011 PBC18q 信息系统等级划分原则信息系统等级划分原则受侵害的客体受侵害的客体对客体的侵害程度对客体的侵害程度一般损害一般损害严重损害严重损害特别严重特别严重损害损害公民、法人和其他组织公民、法人和其他组织的合法权益的合法权益第一级第一级第二级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级Copyright 2011 PBC19q 信息系统等级划分原则信息系统等级划分原则p第一级信息系统：适用于小型私营、个第一级信息系统：适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。单位中一般的信息系统。p第二级信息系统：一般适用于县级某些第二级信息系统：一般适用于县级某些单位中的重要信息系统；地市级以上国家机单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。公系统和管理系统等。Copyright 2011 PBC20q 信息系统等级划分原则信息系统等级划分原则p第三级信息系统：一般适用于地市级以第三级信息系统：一般适用于地市级以上国家机关、企业、事业单位内部重要的信上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省、跨市感信息的办公系统和管理系统；跨省、跨市或全国（省）联网运行的用于生产、调度、或全国（省）联网运行的用于生产、调度、管理、作业、指挥等方面的信息系统；跨省管理、作业、指挥等方面的信息系统；跨省或全国联网的重要信息系统在省、地市的分或全国联网的重要信息系统在省、地市的分支系统；中央各部委、省（区、市）门户网支系统；中央各部委、省（区、市）门户网站和重要网站；跨省联接的网络等。站和重要网站；跨省联接的网络等。Copyright 2011 PBC21q 信息系统等级划分原则信息系统等级划分原则p第四级信息系统：一般适用于国家重要第四级信息系统：一般适用于国家重要领域、重要部门中的特别重要系统。例如全领域、重要部门中的特别重要系统。例如全国银行、铁路、电力、电信等重要行业、部国银行、铁路、电力、电信等重要行业、部门中涉及国计民生的核心系统。门中涉及国计民生的核心系统。p第五级信息系统：一般适用于国家重要第五级信息系统：一般适用于国家重要领域、重要部门中的极端重要系统。领域、重要部门中的极端重要系统。Copyright 2011 PBC22q 金融业信息系统等级划分原则金融业信息系统等级划分原则 人民银行于人民银行于2007年年10月分别组织了人民月分别组织了人民银行分支行、人民银行总行和银行业的定级银行分支行、人民银行总行和银行业的定级评审会。评审会。评审会后，人民银行科技司对专家评审评审会后，人民银行科技司对专家评审意见进行了及时的反馈，并下发了定级指导意见进行了及时的反馈，并下发了定级指导性意见。性意见。Copyright 2011 PBC23q 金融业信息系统等级划分原则金融业信息系统等级划分原则p全国商业性银行的核心业务信息系统或综合业全国商业性银行的核心业务信息系统或综合业务信息系统应当定为四级；务信息系统应当定为四级；p网上银行系统、跨省骨干网络、重要支撑设施、网上银行系统、跨省骨干网络、重要支撑设施、在线服务的重要信息系统、重要管理信息系统在线服务的重要信息系统、重要管理信息系统等应定为三级；等应定为三级；p政策性银行中的和核心业务信息系统或综合业政策性银行中的和核心业务信息系统或综合业务信息系统、跨省骨干网络、重要管理信息系务信息系统、跨省骨干网络、重要管理信息系统等应定为三级；统等应定为三级；p中国银联的银行卡信息交换系统应定为四级，中国银联的银行卡信息交换系统应定为四级，跨省骨干网络应定为三级；跨省骨干网络应定为三级；p其他信息系统可以定为二级。其他信息系统可以定为二级。Copyright 2011 PBC24q 开展等级保护工作意义开展等级保护工作意义p人民银行的网络和信息系统担负着维护国家金融人民银行的网络和信息系统担负着维护国家金融稳定、金融运转的重要职责，因此需要具备更高稳定、金融运转的重要职责，因此需要具备更高的信息安全保障水平。的信息安全保障水平。l目前人民银行的信息系统已经具有一定的防护能力，但随目前人民银行的信息系统已经具有一定的防护能力，但随着数据大集中、多应用整合，业务和技术结合日趋紧密、系着数据大集中、多应用整合，业务和技术结合日趋紧密、系统日趋复杂庞大，更需要体系化加强信息安全保障能力。统日趋复杂庞大，更需要体系化加强信息安全保障能力。l综上所述，依据国家等级保护相关标准，结合人行需求，综上所述，依据国家等级保护相关标准，结合人行需求，从体系化和可操作性强两个方面编制的人民银行等保系列标从体系化和可操作性强两个方面编制的人民银行等保系列标准，对促进和提高人行信息安全保障水平、推动等级保护工准，对促进和提高人行信息安全保障水平、推动等级保护工作，具有深远的意义。作，具有深远的意义。Copyright 2011 PBC25q 建设整改是关键建设整改是关键p定级定级/备案是信息安全等级保护的备案是信息安全等级保护的首要环节首要环节p等级测评是评价安全保护现状的等级测评是评价安全保护现状的重要方法重要方法p建设整改是等级保护工作落实的建设整改是等级保护工作落实的关键关键p监督检查是使信息系统保护能力不断提高的监督检查是使信息系统保护能力不断提高的保障保障q开开展展等等级级保保护护工工作作流流程程Copyright 2011 PBC26Copyright 2011 PBC27q 信息系统安全建设整改基本流程信息系统安全建设整改基本流程p一是制定安全建设整改工作规划，对工作进行总一是制定安全建设整改工作规划，对工作进行总体部署；体部署；p二是开展信息系统安全需求分析或差距分析，确二是开展信息系统安全需求分析或差距分析，确定安全建设整改需求；定安全建设整改需求；p三是规划系统安全建设整改的管理体系，制定系三是规划系统安全建设整改的管理体系，制定系统安全建设整改技术方案；统安全建设整改技术方案；Copyright 2011 PBC28q 信息系统安全建设整改基本流程信息系统安全建设整改基本流程p四是按照安全建设整改管理体系规划，开展信息四是按照安全建设整改管理体系规划，开展信息系统安全管理建设整改工作；系统安全管理建设整改工作；p五是按照系统安全建设整改技术方案，开展信息五是按照系统安全建设整改技术方案，开展信息系统安全技术建设整改；系统安全技术建设整改；p六是开展安全自查和等级测评，及时发现信息系六是开展安全自查和等级测评，及时发现信息系统中存在安全隐患和威胁，进一步开展安全建设统中存在安全隐患和威胁，进一步开展安全建设整改工作。整改工作。Copyright 2011 PBC29介绍内容介绍内容q 背景概述背景概述q 什么是等级保护什么是等级保护q 等级保护主要标准等级保护主要标准Copyright 2011 PBC30Copyright 2011 PBC31q 国家发布的等级保护主要标准国家发布的等级保护主要标准1.计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则2.信息系统安全等级保护实施指南信息系统安全等级保护实施指南3.信息系统安全等级保护定级指南信息系统安全等级保护定级指南4.信息系统安全等级保护基本要求信息系统安全等级保护基本要求5.信息系统等级保护安全设计技术要求信息系统等级保护安全设计技术要求6.信息系统安全管理要求信息系统安全管理要求7.信息系统安全工程管理要求信息系统安全工程管理要求8.信息系统安全等级保护测评要求信息系统安全等级保护测评要求9.信息系统安全等级保护测评过程指南信息系统安全等级保护测评过程指南32l建设指导类建设指导类l测评指导类测评指导类l要求类要求类技术要求类技术要求类管理要求类管理要求类产品要求类产品要求类p人民银行信息安全等级保人民银行信息安全等级保护体系文件的建立将包含护体系文件的建立将包含多个国标，并对人民银行多个国标，并对人民银行的信息安全防护措施建设的信息安全防护措施建设提出更高更全面要求。提出更高更全面要求。q国家发布的等级保护主要标准国家发布的等级保护主要标准Copyright 2011 PBC33l建设指导类建设指导类l测评指导类测评指导类l要求类要求类技术要求类技术要求类管理要求类管理要求类产品要求类产品要求类p人民银行信息安全等级保人民银行信息安全等级保护体系文件的建立将包含护体系文件的建立将包含多个国标，并对人民银行多个国标，并对人民银行的信息安全防护措施建设的信息安全防护措施建设提出更高更全面要求。提出更高更全面要求。q国家发布的等级保护主要标准国家发布的等级保护主要标准Copyright 2011 PBC34l建设指导类建设指导类l测评指导类测评指导类l要求类要求类技术要求类技术要求类管理要求类管理要求类产品要求类产品要求类p人民银行信息安全等级保人民银行信息安全等级保护体系文件的建立将包含护体系文件的建立将包含多个国标，并对人民银行多个国标，并对人民银行的信息安全防护措施建设的信息安全防护措施建设提出更高更全面要求。提出更高更全面要求。q国家发布的等级保护主要标准国家发布的等级保护主要标准Copyright 2011 PBC35l建设指导类建设指导类l测评指导类测评指导类l要求类要求类技术要求类技术要求类管理要求类管理要求类产品要求类产品要求类p人民银行信息安全等级保人民银行信息安全等级保护体系文件的建立将包含护体系文件的建立将包含多个国标，并对人民银行多个国标，并对人民银行的信息安全防护措施建设的信息安全防护措施建设提出更高更全面要求。提出更高更全面要求。q国家发布的等级保护主要标准国家发布的等级保护主要标准Copyright 2011 PBC36l建设指导类建设指导类l测评指导类测评指导类l要求类要求类技术要求类技术要求类管理要求类管理要求类产品要求类产品要求类p人民银行信息安全等级保人民银行信息安全等级保护体系文件的建立将包含护体系文件的建立将包含多个国标，并对人民银行多个国标，并对人民银行的信息安全防护措施建设的信息安全防护措施建设提出更高更全面要求。提出更高更全面要求。q国家发布的等级保护主要标准国家发布的等级保护主要标准Copyright 2011 PBC37l建设指导类建设指导类l测评指导类测评指导类l要求类要求类技术要求类技术要求类管理要求类管理要求类产品要求类产品要求类p人民银行信息安全等级保人民银行信息安全等级保护体系文件的建立将包含护体系文件的建立将包含多个国标，并对人民银行多个国标，并对人民银行的信息安全防护措施建设的信息安全防护措施建设提出更高更全面要求。提出更高更全面要求。q国家发布的等级保护主要标准国家发布的等级保护主要标准Copyright 2011 PBCCopyright 2011 PBC38q国家发布的等级保护主要标准国家发布的等级保护主要标准Copyright 2011 PBC39q 安全建设整改安全建设整改-基本要求是核心基本要求是核心p基本要求基本要求是信息系统安全保护基本是信息系统安全保护基本“标尺标尺”或或达标线达标线，信息系统安全建设整改应以落实，信息系统安全建设整改应以落实基基本要求本要求为主要目标，满足为主要目标，满足基本要求基本要求意味着意味着信息系统具有相应等级的信息系统具有相应等级的基本安全保护能力基本安全保护能力，达，达到了一种到了一种基本的安全状态基本的安全状态。04:15Copyright 2009 CFCC40Q&A谢谢 谢！谢！