等保安全定级介绍.ppt
《等保安全定级介绍.ppt》由会员分享,可在线阅读,更多相关《等保安全定级介绍.ppt(44页珍藏版)》请在咨信网上搜索。
1、信息安全等级保护定级方法介绍天融信售前部天融信售前部 XXXXXXXX XXXXXXXX XXXXXXXX1.目录信息系信息系信息系信息系统统安全等安全等安全等安全等级级保保保保护护定定定定级级方法介方法介方法介方法介绍绍信息系信息系信息系信息系统统等等等等级级保保保保护护定定定定级实际过级实际过程程程程2.术语和定和定义 等级保护对象:(target of classified security)信息安全等级保护工作直接作用的具体的信息和信息系统。客体:(object)受法律保护的、等级保护对象受到破坏时所侵害的社会关系,如国 家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益。系
2、统服务:(system service)信息系统为支撑其所承载业务而提供的程序化过程。信息系统安全保护等级的定级要素:信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏 时所侵害的客体和对客体造成侵害的程度 3.定定级原理原理定定级要素与信息系要素与信息系统安全保安全保护等等级的关系的关系 受侵害的客体受侵害的客体受侵害的客体受侵害的客体对对客体的侵害程度客体的侵害程度客体的侵害程度客体的侵害程度一般一般一般一般损损害害害害严严重重重重损损害害害害特特特特别严别严重重重重损损害害害害公民、法人和其他公民、法人和其他公民、法人和其他公民、法人和其他组织组织的合法的合法的合法的合法权权
3、益益益益第一第一第一第一级级第二第二第二第二级级第二第二第二第二级级社会秩序、公共利益社会秩序、公共利益社会秩序、公共利益社会秩序、公共利益第二第二第二第二级级第三第三第三第三级级第四第四第四第四级级国家安全国家安全国家安全国家安全第三第三第三第三级级第四第四第四第四级级第五第五第五第五级级4.定定级原理原理 信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全信息安全保护等级。从系统服务安全角度反映的信息系统安全保护等级称系系统服服务
4、安全安全保护等级。5.确定等确定等级一般流程一般流程 1 1、确定定、确定定级对象象2 2、确定、确定业务信息安全受到破坏信息安全受到破坏时所侵害的客体所侵害的客体5 5、确定系、确定系统服服务安全受到破坏安全受到破坏时所侵害的客体所侵害的客体3 3、综合合评定定对客体的侵害程度客体的侵害程度6 6、综合合评定定对客体的侵害程度客体的侵害程度4 4、业务信息安全等信息安全等级7 7、系、系统服服务安全等安全等级8 8、定、定级对象的安全保象的安全保护等等级业务信息安全保信息安全保护等等级矩矩阵表表系系统服服务安全保安全保护等等级矩矩阵表表6.n定定级阶段关段关键技技术环节定定定定级对级对象确定
5、象确定象确定象确定业务业务信息和系信息和系信息和系信息和系统统服服服服务务确定确定确定确定受侵害客体和侵害程度的分析受侵害客体和侵害程度的分析受侵害客体和侵害程度的分析受侵害客体和侵害程度的分析定定级阶段段7.一、定一、定一、定一、定级对级对象的三个条件象的三个条件象的三个条件象的三个条件n n具有唯一确定的安全具有唯一确定的安全具有唯一确定的安全具有唯一确定的安全责责任任任任单单位位位位oo作作为为定定级对级对象的信息系象的信息系统应统应能能够够唯一地确定其安全唯一地确定其安全责责任任单单位,位,这这个安全个安全责责任任单单位就是位就是负责负责等等级级保保护护工作部署、工作部署、实实施施的的
6、单单位,也是完成等位,也是完成等级级保保护备护备案和接受案和接受监监督督检查检查的直接的直接责责任任单单位。位。n n满满足信息系足信息系足信息系足信息系统统的基本要素的基本要素的基本要素的基本要素oo作作为为定定级对级对象的信息系象的信息系统应该统应该是由相关的和配套的是由相关的和配套的设备设备、设设施按照一定的施按照一定的应应用目用目标标和和规则组规则组合而成的有形合而成的有形实实体。体。应应避免将某个避免将某个单单一的系一的系统组统组件,如件,如单单台的服台的服务务器、器、终终端或网端或网络设备络设备等作等作为为定定级对级对象。象。定定级阶段段-关于定关于定级对象确定象确定8.n n承承
7、承承载载相相相相对对独立的独立的独立的独立的业务应业务应用用用用oo定定级对级对象承象承载载“相相对对独立独立”的的业务应业务应用是指其用是指其中的一个或多个中的一个或多个业务应业务应用的主要用的主要业务业务流程、部流程、部分分业务业务功能独立,同功能独立,同时时与其他信息系与其他信息系统统的的业务业务应应用有少量的数据交用有少量的数据交换换,定,定级对级对象可能会与其象可能会与其他他业务应业务应用共享一些用共享一些设备设备,尤其是网,尤其是网络传输设络传输设备备。“相相对对独立独立”的的业务应业务应用并不意味着整个用并不意味着整个业务业务流程,可以使完整的流程,可以使完整的业务业务流程的一部
8、分。流程的一部分。定定级阶段段-关于定关于定级对象确定象确定9.定定级阶段段-定定级对象象举例例n某期某期某期某期货货交易所交易所交易所交易所oo办办公系公系公系公系统统oo生生生生产产系系系系统统交易系交易系交易系交易系统统清算系清算系清算系清算系统统网站系网站系网站系网站系统统10.定定级阶段段-定定级对象象举例例n n定定定定级对级对象象象象结结果果果果1 1 1 1oo办办公信息系公信息系公信息系公信息系统统oo生生生生产产信息系信息系信息系信息系统统n n定定定定级对级对象象象象结结果果果果2 2 2 2oo办办公信息系公信息系公信息系公信息系统统oo生生生生产产信息系信息系信息系信
9、息系统统n n交易信息系交易信息系交易信息系交易信息系统统n n清算信息系清算信息系清算信息系清算信息系统统n n网站信息系网站信息系网站信息系网站信息系统统11.n n业务业务信息信息信息信息oo业务业务系系系系统统处处理理理理的的的的不同不同不同不同类类型的型的型的型的数据数据数据数据n n系系系系统统服服服服务务oo业务业务系系系系统统的服的服的服的服务务范范范范围围oo业务业务系系系系统统的服的服的服的服务对务对象象象象oo业务业务系系系系统统的服的服的服的服务务人数人数人数人数oo业务业务系系系系统统的服的服的服的服务时间务时间要求要求要求要求定定级阶段段-关于关于业务信息和系信息和
10、系统服服务的确定的确定12.定定级阶段段-关于关于业务信息和系信息和系统服服务的确定的确定n n常常常常见见情况情况情况情况oo多多多多类类或多种或多种或多种或多种业务业务信息信息信息信息n n交易系交易系交易系交易系统统oo客客客客户户信息信息信息信息oo交易数据交易数据交易数据交易数据oo行情数据行情数据行情数据行情数据oo配置管理数据配置管理数据配置管理数据配置管理数据oo等等等等n n处处理方法理方法理方法理方法oo依此分析依此分析依此分析依此分析oo选择选择重要的分析重要的分析重要的分析重要的分析13.三种受侵害的客体三种受侵害的客体三种受侵害的客体三种受侵害的客体:n n国家安全国
11、家安全国家安全国家安全oo体体体体现现了国家了国家了国家了国家层层面、与全局相关的国家政治安全、面、与全局相关的国家政治安全、面、与全局相关的国家政治安全、面、与全局相关的国家政治安全、军军事安全、事安全、事安全、事安全、经济经济安全、社会安全、科技安全等方面利益。安全、社会安全、科技安全等方面利益。安全、社会安全、科技安全等方面利益。安全、社会安全、科技安全等方面利益。n n社会秩序和公共利益社会秩序和公共利益社会秩序和公共利益社会秩序和公共利益oo包括政治、包括政治、包括政治、包括政治、经济经济、生、生、生、生产产、生活、科研、工作等各方面的正、生活、科研、工作等各方面的正、生活、科研、工
12、作等各方面的正、生活、科研、工作等各方面的正常秩序和社会公众生常秩序和社会公众生常秩序和社会公众生常秩序和社会公众生产产、生活、教育、生活、教育、生活、教育、生活、教育、卫卫生等方面的利益。生等方面的利益。生等方面的利益。生等方面的利益。n n合法合法合法合法权权益益益益oo是法律确是法律确是法律确是法律确认认的并受法律保的并受法律保的并受法律保的并受法律保护护的公民、法人和其他的公民、法人和其他的公民、法人和其他的公民、法人和其他组织组织所享所享所享所享有的一定的社会有的一定的社会有的一定的社会有的一定的社会权权利和利益,利和利益,利和利益,利和利益,定定级阶段段-关于侵害客体和侵害程度关于
13、侵害客体和侵害程度14.n n关于国家安全关于国家安全关于国家安全关于国家安全oo重要的国家事重要的国家事重要的国家事重要的国家事务处务处理系理系理系理系统统、国防工、国防工、国防工、国防工业业生生生生产产系系系系统统和国防和国防和国防和国防设设施的控制系施的控制系施的控制系施的控制系统统等;广播、等;广播、等;广播、等;广播、电视电视、网、网、网、网络络等等等等重要新重要新重要新重要新闻闻媒体的媒体的媒体的媒体的发发布或播出系布或播出系布或播出系布或播出系统统,其受到非,其受到非,其受到非,其受到非法控制可能引法控制可能引法控制可能引法控制可能引发发影响国家影响国家影响国家影响国家统统一、民
14、族一、民族一、民族一、民族团结团结和社和社和社和社会安定的重大事件;尖端科技会安定的重大事件;尖端科技会安定的重大事件;尖端科技会安定的重大事件;尖端科技领领域的研域的研域的研域的研发发、生、生、生、生产产系系系系统统等等等等影响国家影响国家影响国家影响国家经济竞经济竞争力和科技争力和科技争力和科技争力和科技实实力的信力的信力的信力的信息系息系息系息系统统,以及,以及,以及,以及电电力、通信、能源、交通运力、通信、能源、交通运力、通信、能源、交通运力、通信、能源、交通运输输、金融等金融等金融等金融等国家重要基国家重要基国家重要基国家重要基础设础设施的生施的生施的生施的生产产、控制、管理、控制、
15、管理、控制、管理、控制、管理系系系系统统等。等。等。等。定定级阶段段-关于侵害客体和侵害程度关于侵害客体和侵害程度15.n n关于社会秩序关于社会秩序关于社会秩序关于社会秩序oo各各各各级级政府机构的社会管理和公共服政府机构的社会管理和公共服政府机构的社会管理和公共服政府机构的社会管理和公共服务务系系系系统统,如,如,如,如财财政、政、政、政、金融、工商、税金融、工商、税金融、工商、税金融、工商、税务务、公、公、公、公检检法、海关、社保等法、海关、社保等法、海关、社保等法、海关、社保等领领域的域的域的域的信息系信息系信息系信息系统统,也包括教育、科研机构的工作系,也包括教育、科研机构的工作系,
16、也包括教育、科研机构的工作系,也包括教育、科研机构的工作系统统,以,以,以,以及所有及所有及所有及所有为为公众提供医公众提供医公众提供医公众提供医疗卫疗卫生、生、生、生、应应急服急服急服急服务务、供水、供、供水、供、供水、供、供水、供电电、邮邮政等必要服政等必要服政等必要服政等必要服务务的生的生的生的生产产系系系系统统或管理系或管理系或管理系或管理系统统。定定级阶段段-关于侵害客体和侵害程度关于侵害客体和侵害程度16.n n关于公共利益关于公共利益关于公共利益关于公共利益oo借助信息化手段借助信息化手段借助信息化手段借助信息化手段为为社会成社会成社会成社会成员员提供使用的公共提供使用的公共提供
17、使用的公共提供使用的公共设设施和施和施和施和通通通通过过信息系信息系信息系信息系统对统对公共公共公共公共设设施施施施进进行行行行进进行管理控制都行管理控制都行管理控制都行管理控制都应应当当当当是要考是要考是要考是要考虑虑的方面,例如:公共通信的方面,例如:公共通信的方面,例如:公共通信的方面,例如:公共通信设设施、公共施、公共施、公共施、公共卫卫生生生生设设施、公共休施、公共休施、公共休施、公共休闲娱乐设闲娱乐设施、公共管理施、公共管理施、公共管理施、公共管理设设施、公共服施、公共服施、公共服施、公共服务设务设施等。施等。施等。施等。oo公共利益与社会秩序密切相关,社会秩序的破坏一公共利益与社
18、会秩序密切相关,社会秩序的破坏一公共利益与社会秩序密切相关,社会秩序的破坏一公共利益与社会秩序密切相关,社会秩序的破坏一般会造成般会造成般会造成般会造成对对公共利益的公共利益的公共利益的公共利益的损损害。害。害。害。定定级阶段段-关于侵害客体和侵害程度关于侵害客体和侵害程度17.n n直接的直接的直接的直接的结结果和果和果和果和间间接的影响接的影响接的影响接的影响:oo威威威威胁胁直接作用的直接作用的直接作用的直接作用的结结果信息系果信息系果信息系果信息系统统的破坏的破坏的破坏的破坏,但是确定但是确定但是确定但是确定对对客客客客体侵害的程度体侵害的程度体侵害的程度体侵害的程度时时,必,必,必,
19、必须须考考考考虑间虑间接的接的接的接的对对客体客体客体客体产产生的侵生的侵生的侵生的侵害和影响。害和影响。害和影响。害和影响。n n按照国家安全按照国家安全按照国家安全按照国家安全社会秩序和公共利益社会秩序和公共利益社会秩序和公共利益社会秩序和公共利益-公民、公民、公民、公民、法人和法人和法人和法人和组织组织的合法利益的的合法利益的的合法利益的的合法利益的顺顺序考序考序考序考虑虑定定级阶段段-关于侵害客体和侵害程度关于侵害客体和侵害程度18.系系统等等级划分划分1-1-确定确定业务信息安全保信息安全保护等等:业务信息安全保信息安全保护等等级矩矩阵表表 业务业务信息安全被破坏信息安全被破坏时时所
20、侵害的客体所侵害的客体对对相相应应客体的侵害程度客体的侵害程度一般一般损损害害严严重重损损害害特特别严别严重重损损害害公民、法人和其他公民、法人和其他组织组织的合法的合法权权益益第一第一级级第二第二级级第二第二级级社会秩序、公共利益社会秩序、公共利益第二第二级级第三第三级级第四第四级级国家安全国家安全第三第三级级第四第四级级第五第五级级19.系系统等等级划分(划分(续)3-3-确定系确定系统等等级 信息系信息系统的安全保的安全保护等等级由由业务信息安全保信息安全保护等等级和系和系统服服务安全保安全保护等等级的的较高者决定。高者决定。系系统统服服务务安全被破坏安全被破坏时时所侵害的客体所侵害的客
21、体对对相相应应客体的侵害程度客体的侵害程度一般一般损损害害严严重重损损害害特特别严别严重重损损害害公民、法人和其他公民、法人和其他组织组织的合法的合法权权益益第一第一级级第二第二级级第二第二级级社会秩序、公共利益社会秩序、公共利益第二第二级级第三第三级级第四第四级级国家安全国家安全第三第三级级第四第四级级第五第五级级2-2-确定系确定系统服服务安全保安全保护等等级:系系统服服务安全保安全保护等等级矩矩阵表表 20.信息系信息系信息系信息系统统等等等等级级的确定的确定的确定的确定安全等安全等级级信息系信息系统统保保护护要求的要求的组组合合第一第一级级S1A1S1A1第二第二级级S1A2S1A2,
22、S2A2S2A2,S2A1S2A1第三第三级级S1A3S1A3,S2A3S2A3,S3A3S3A3,S3A2S3A2,S3A1S3A1第四第四级级S1A4S1A4,S2A4S2A4,S3A4S3A4,S4A4S4A4,S4A3S4A3,S4A2S4A2,S4A1S4A1定定级级指南要求按照指南要求按照“业务业务信息信息”和和“系系统统服服务务”的需求的需求确定整确定整个系个系统统的安全保的安全保护护等等级级;定定级过级过程反映了信息系程反映了信息系统统的保的保护护要求要求21.系系统等等级划分划分1-1-确定确定业务信息安全保信息安全保护等等:业务信息安全保信息安全保护等等级矩矩阵表表 业务业
23、务信息安全被破坏信息安全被破坏时时所侵害的客体所侵害的客体对对相相应应客体的侵害程度客体的侵害程度一般一般损损害害严严重重损损害害特特别严别严重重损损害害公民、法人和其他公民、法人和其他组织组织的合法的合法权权益益第一第一级级第二第二级级第二第二级级社会秩序、公共利益社会秩序、公共利益第二第二级级第三第三级级第四第四级级国家安全国家安全第三第三级级第四第四级级第五第五级级22.定定定定级举级举例例例例1-1-商商商商业银业银行网上行网上行网上行网上银银行行行行1-1-确定确定业务信息安全保信息安全保护等等级 银行业为国计民生、经济建设等提供重要服务。而网上银行系统是商业银行的重要系统,它受到破
24、坏后有可能导致公民、法人和其他组织的大量资金损失并且间接的信息恢复费用较高。查业务信息安全保护等级矩阵表可以得出业务信息安全保护等级为第二级。业务信息安全保护等级矩阵表 业务业务信息安全被破坏信息安全被破坏信息安全被破坏信息安全被破坏时时所侵害的客体所侵害的客体所侵害的客体所侵害的客体对对相相相相应应客体的侵害程度客体的侵害程度客体的侵害程度客体的侵害程度一般一般一般一般损损害害害害严严重重重重损损害害害害特特特特别严别严重重重重损损害害害害公民、法人和其他公民、法人和其他公民、法人和其他公民、法人和其他组织组织的合法的合法的合法的合法权权益益益益第一第一第一第一级级第二第二第二第二级级第二第
25、二第二第二级级社会秩序、公共利益社会秩序、公共利益社会秩序、公共利益社会秩序、公共利益第二第二第二第二级级第三第三第三第三级级第四第四第四第四级级国家安全国家安全国家安全国家安全第三第三第三第三级级第四第四第四第四级级第五第五第五第五级级23.3-3-确定系确定系统等等级 信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。故商业银行网银系统信息安全等级为第三级 。系系系系统统服服服服务务安全被破坏安全被破坏安全被破坏安全被破坏时时所侵害的客体所侵害的客体所侵害的客体所侵害的客体对对相相相相应应客体的侵害程度客体的侵害程度客体的侵害程度客体的侵害程度一般一般一般一般
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 保安 定级 介绍
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。