【正文】 023年初，信息辦領(lǐng)導(dǎo)開始在全國進行等級化保護巡講（北京、上海、鄭州年初，信息辦領(lǐng)導(dǎo)開始在全國進行等級化保護巡講（北京、上海、鄭州））2023年年 4月，等級化保護制度開始在部分行業(yè)和省份進行試點月，等級化保護制度開始在部分行業(yè)和省份進行試點2023年年 6月，頒布《等級化保護實施指南》等文件月，頒布《等級化保護實施指南》等文件2023年年 8月，北戴河會議，初步通過了部分標(biāo)準(zhǔn)月，北戴河會議，初步通過了部分標(biāo)準(zhǔn)2023年年 3月，頒布部分標(biāo)準(zhǔn)月，頒布部分標(biāo)準(zhǔn)2023年年 4月，試點工作啟動月，試點工作啟動2023年年 6月，公安部等四部委聯(lián)合下發(fā)《信息安全等級保護管理辦法》月，公安部等四部委聯(lián)合下發(fā)《信息安全等級保護管理辦法》信息安全等級保護發(fā)展歷程? 2023年 7月，四部委聯(lián)合會簽并下發(fā)了《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安 [2023]861號） ? 2023年 8月 ,山東省公安廳、山東省保密局、山東省密碼管理局和山東省信息辦聯(lián)合下發(fā)了《山東省重要信息系統(tǒng)安全等級保護定級工作方案》 ? 定級范圍：１　電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等 基礎(chǔ)信息網(wǎng)絡(luò) ，經(jīng)營性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。信息安全等級保護與解決方案山東省信息中心山東信息協(xié)會信息安全專業(yè)委員會二 00七年十二月信息安全等級保護與解決方案? 信息安全等級保護 信息安全現(xiàn)狀與問題 信息安全等級保護簡介? 信息安全解決方案 信息安全技術(shù) 信息安全管理 信息安全方案信息安全現(xiàn)狀? 日益增長的安全威脅– 攻擊技術(shù) 越來越復(fù)雜– 入侵條件 越來越簡單信息安全問題?安全事件– 每年都有上千家政府網(wǎng)站被攻擊?安全影響– 任何網(wǎng)絡(luò)都可能遭受入侵信息系統(tǒng)安全等級保護?信息系統(tǒng)安全等級保護簡介?信息系統(tǒng)安全保護等級劃分?信息系統(tǒng)安全保護定級指南等級保護出臺是信息安全發(fā)展的需要q 信息安全問題層出不窮信息安全問題層出不窮q 安全保護措施、安全管理建設(shè)不足，導(dǎo)致各種安全事故發(fā)生安全保護措施、安全管理建設(shè)不足，導(dǎo)致各種安全事故發(fā)生q 國內(nèi)缺乏相類似的安全標(biāo)準(zhǔn)國內(nèi)缺乏相類似的安全標(biāo)準(zhǔn)q 國家、服務(wù)商和用戶在安全建設(shè)過程中缺乏參考依據(jù)國家、服務(wù)商和用戶在安全建設(shè)過程中缺乏參考依據(jù)q 隨著信息安全技術(shù)的發(fā)展隨著信息安全技術(shù)的發(fā)展q 隨著安全意識的提高隨著安全意識的提高q 隨著安全服務(wù)范圍增大隨著安全服務(wù)范圍增大q 對對 信息安全管理需要實行等級化保護信息安全管理需要實行等級化保護 (目標(biāo)目標(biāo) /要求要求 /能力能力 )? 1994年國務(wù)院頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》規(guī)定計算機信息系統(tǒng)實行 信息系統(tǒng)安全等級保護 。２　鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務(wù)、水利、國土資源、能源、交通、文化、教育、統(tǒng)計、 工商行政管理 、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等 重要信息系統(tǒng) 。第二級為 指導(dǎo)保護級 ，主要對象為一定程度上涉及國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的一般信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成一定損害。信息系統(tǒng)安全保護的目標(biāo) 實行等級保護的 總體目標(biāo) 是為了 統(tǒng)一信息安全保護工作，推進規(guī)范化、法制化建設(shè)，保障安全，促進發(fā)展，完善我國信息安全法規(guī)和標(biāo)準(zhǔn)體系，提高我國信息安全和信息系統(tǒng)安全建設(shè)的整體水平。決定信息系統(tǒng)重要性的要素? 信息系統(tǒng)所屬類型，即信息系統(tǒng)資產(chǎn)的安全利益主體 ? 信息系統(tǒng)主要處理的業(yè)務(wù)信息類別 決定信息系統(tǒng)內(nèi)信息資產(chǎn)的重要性 ? 信息系統(tǒng)服務(wù)范圍，包括服務(wù)對象和服務(wù)網(wǎng)絡(luò)覆蓋范圍 ? 業(yè)務(wù)對信息系統(tǒng)的依賴程度 決定信息系統(tǒng)所提供服務(wù)的重要性 信息系統(tǒng)所屬類型賦值表 信息系統(tǒng)所屬類型舉例 賦值信息系統(tǒng)的社會影響屬于一般企事業(yè)單位，處理其內(nèi)部事務(wù)的信息系統(tǒng)。屬于黨政機關(guān)，處理國家事務(wù)的信息系統(tǒng)。法人和其他組織及公民的專有信息，例如內(nèi)部敏感信息、關(guān)鍵技術(shù)數(shù)據(jù)、科技情報、商業(yè)秘密等。信息系統(tǒng)服務(wù)范圍賦值表 信息系統(tǒng)服務(wù)范圍舉例賦值服務(wù)范圍的影響地區(qū)范圍的服務(wù)網(wǎng)絡(luò)。全國范圍的服務(wù)網(wǎng)絡(luò)。業(yè)務(wù)處理流程的部分環(huán)節(jié)可以通過手工方式或其他方式替代完成，自動化程度中。信息系統(tǒng)所屬類型 業(yè)務(wù)信息類型 信息系統(tǒng)服務(wù)范圍 業(yè)務(wù)依賴程度業(yè)務(wù)信息安全性取值 業(yè)務(wù)服務(wù)保證性取值業(yè)務(wù)服務(wù)保證性等級1. 賦值選擇調(diào)節(jié)因子業(yè)務(wù)子系統(tǒng)安全保護等級2. 確定兩個指標(biāo)等級業(yè)務(wù)信息安全性等級3 確定業(yè)務(wù)子系統(tǒng)等級信息系統(tǒng)安全保護等級4. 確定信息系統(tǒng)等級其它業(yè)務(wù)子系統(tǒng) 。 ? k ? 0信息系統(tǒng)安全保護等級 ?業(yè)務(wù)子系統(tǒng)的安全保護等級由業(yè)務(wù)信息安全性等級和業(yè)務(wù)服務(wù)保證性等級較高者決定。網(wǎng)絡(luò)安全訪問控制網(wǎng)絡(luò)安全訪問控制? 網(wǎng)絡(luò)安全訪問控制實現(xiàn)的方法有多種，簡單網(wǎng)絡(luò)的安全訪問控制可以在路由器上實現(xiàn)，復(fù)雜的功能可以由主機甚至一個子網(wǎng)來實現(xiàn)。防火墻是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)制定的安全策略 (允許、拒絕及監(jiān)視等 )控制出入網(wǎng)絡(luò)的數(shù)據(jù)流，且本身具有較強的抗攻擊能力。尤其針對網(wǎng)絡(luò)中的 BT、電驢、迅雷等 p2p的文件傳輸行為能有效地進行控制，以控制非業(yè)務(wù)網(wǎng)絡(luò)行為所占用的帶寬資源，從而保證正常業(yè)務(wù)順暢進行。利用對流經(jīng)網(wǎng)關(guān)的 HTTP、 FTP、 SMTP協(xié)議的流量進行掃描，可以在第一時間發(fā)現(xiàn)病毒、阻塞病毒，不讓病毒傳播到網(wǎng)絡(luò)中來。 終端（桌面）病毒防護? 根據(jù)網(wǎng)絡(luò)終端平臺實際情況，分別選用相應(yīng)的客戶端防病毒軟件。另外，防病毒軟件最好能夠?qū)崟r掃描來自互聯(lián)網(wǎng)的電子郵件和文件以便能夠及時阻止病毒的入侵。? 根據(jù)定義的安全策略，進行檢測 /分析。? 根據(jù)定義的安全策略，進行檢測 /分析。信息安全管理? 安全管理機構(gòu)安全管理機構(gòu)崗位設(shè)置、人員配置、授權(quán)與審批、溝通與合作、審核與檢查崗位設(shè)置、人員配置、授權(quán)與審批、溝通與合作、審核與檢查? 安全管理制度安全管理制度管理制度、制定與發(fā)布、評審與修訂管理制度、制定與發(fā)布、評審與修訂? 人員安全管理人員安全管理人員錄用、人員離崗、人員考核、安全意識教育與培訓(xùn)、第三方人員錄用、人員離崗、人員考核、安全意識教育與培訓(xùn)、第三方人員管理人員管理? 系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理系統(tǒng)定級、系統(tǒng)備案、安全方案設(shè)計、產(chǎn)品采購、自行軟件研發(fā)、外系統(tǒng)定級、系統(tǒng)備案、安全方案設(shè)計、產(chǎn)品采購、自行軟件研發(fā)、外包軟件開發(fā)、工程實施、工程驗收包軟件開發(fā)、工程實施、工程驗收? 系統(tǒng)運維管理系統(tǒng)運維管理環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、網(wǎng)絡(luò)安全管環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件管理、應(yīng)急預(yù)案管理與恢復(fù)管理、安全事件管理、應(yīng)急預(yù)案管理安全管理機構(gòu)安全管理機構(gòu)? 崗位設(shè)置崗位設(shè)置? 人員配置人員配置? 授權(quán)與審批授權(quán)與審批? 溝通與合作溝通與合作? 審核與檢查審核與檢查安全管理機構(gòu)安全管理機構(gòu) 崗位設(shè)置崗位設(shè)置? 設(shè)立信息安全管理工作的職能部門，設(shè)立安全主管人、安全管理各個方面的負(fù)責(zé)人，定義各負(fù)責(zé)人的職責(zé)；? 設(shè)立系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、安全管理人員崗位，定義各個工作崗位的職責(zé)；? 成立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)應(yīng)由單位主管領(lǐng)導(dǎo)委任或授權(quán)；? 制定文件，明確安全管理機構(gòu)各個部門和崗位的職責(zé)、分工和技能要求。安全管理機構(gòu)安全管理機構(gòu) 審核與檢查審核與檢查? 由安全管理人員定期進行安全檢查，檢查內(nèi)容包括用戶賬號情況、系統(tǒng)漏洞情況、系統(tǒng)審計情況等；? 由安全管理部門組織相關(guān)人員定期進行全面檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；? 由安全管理部門組織相關(guān)人員定期分析、評審異常行為的審計記錄，發(fā)現(xiàn)可疑行為 ,形成審計分析報告，并采取必要的應(yīng)對措施；? 制定安全檢查表格，實施安全檢查，匯總安全檢查數(shù)據(jù)，形成安全檢查報告，并對安全檢查結(jié)果進行通報；? 制定安全審核和安全檢查制度，規(guī)范安全審核和安全檢查工作，定期按照程序進行安全審核和安全檢查活動。人員安全管理人員安全管理? 人員錄用人員錄用? 人員離崗人員離崗? 人員考核人員考核? 安全意識教育與培訓(xùn)安全意識教育與培訓(xùn)? 第三方人員管理第三方人員管理人員安全管理人員安全管理 人員錄用人員錄用? 保證被錄用人具備基本的專業(yè)技術(shù)水平和安全管理知識；? 對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進行審查；? 對被錄用人所具備的技術(shù)技能進行考核；? 對被錄用人說明其角色和職責(zé)；? 簽署保密協(xié)議；? 對從事關(guān)鍵崗位的人員應(yīng)從內(nèi)部人員選拔，并定期進行信用審查；? 對從事關(guān)鍵崗位的人員應(yīng)簽署崗位安全協(xié)議。人員安全管理人員安全管理第三方人員管理第三方人員管理? 第三方人員應(yīng)在訪問前與機構(gòu)簽署安全責(zé)任合同書或保密協(xié)議；? 對重要區(qū)域的訪問，須提出書面申請，批準(zhǔn)后由專人全程陪同或監(jiān)督，并記錄備案；? 對第三方人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)進行書面的規(guī)定，并按照規(guī)定執(zhí)行。系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理 工程驗收工程驗收? 對系統(tǒng)進行安全性測試驗收；? 在測試驗收前根據(jù)設(shè)計方案或合同要求等制訂測試驗收方案，測試驗收過程中詳細(xì)記錄測試驗收結(jié)果，形成測試驗收報告；? 委托公正的第三方測試單位對系統(tǒng)進行測試，并出具測試報告；? 制定系統(tǒng)測試驗收方面的管理制度，明確說明系統(tǒng)測試驗收的控制方法和人員行為準(zhǔn)則；? 指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)測試驗收的管理，并按照管理制度的要求完成系統(tǒng)測試驗收工作；? 組織相關(guān)部門和相關(guān)人員，對系統(tǒng)測試驗收報告進行審定，沒有疑問后由雙方簽字。系統(tǒng)運維管理系統(tǒng)運維管理 介質(zhì)管理介質(zhì)管理? 建立介質(zhì)安全管理制度，對介質(zhì)的存放環(huán)境、使用、維護和銷毀等方面作出規(guī)定；? 有介質(zhì)的歸檔和查詢記錄，并對存檔介質(zhì)的目錄清單定期盤點；? 對于需要送出維修或銷毀的介質(zhì)，應(yīng)首先清除介質(zhì)中的敏感數(shù)據(jù)，防止信息的非法泄漏；? 根據(jù)數(shù)據(jù)備份的需要對某些介質(zhì)實行異地存儲，存儲地的環(huán)境要求和管理方法應(yīng)與本地相同；? 根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進行分類和標(biāo)識管理，并實行存儲環(huán)境專人管理；? 對介質(zhì)的物理傳輸過程中人員選擇、打包、交付等情況進行控制；? 對存儲介質(zhì)的使用過程、送出維修以及銷毀進行嚴(yán)格的管理，保密性較高的信息存儲介質(zhì)未經(jīng)批準(zhǔn)不得自行銷毀；? 必要時應(yīng)對重要介質(zhì)數(shù)據(jù)和軟件采取加密存儲，對帶出工作環(huán)境的存儲介質(zhì)進行內(nèi)容加密和監(jiān)控管理；? 對存放在介質(zhì)庫中的介質(zhì)定期進行完整性和可用性檢查，確認(rèn)其數(shù)據(jù)或軟件沒有受到損壞或丟失。系統(tǒng)運維管理系統(tǒng)運維管理 系統(tǒng)安全管理系統(tǒng)安全管理? 指定專人對系統(tǒng)進行管理，刪除或者禁用不使用的系統(tǒng)缺省賬戶；? 制定系統(tǒng)安全管理制度，對系統(tǒng)安全配置、系統(tǒng)帳戶以及審計日志等方面作出規(guī)定；? 對能夠使用系統(tǒng)工具的人員及數(shù)量進行限制和控制；? 定期安裝系統(tǒng)的最新補丁程序，并根據(jù)廠家提供的可能危害計算機的漏洞進行及時修補，并在安裝系統(tǒng)補丁前對現(xiàn)有的重要文件進行備份；? 根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略，系統(tǒng)訪問控制策略用于控制分配信息系統(tǒng)、文件及服務(wù)的訪問權(quán)限；? 對系統(tǒng)賬戶進行分類管理，權(quán)限設(shè)定應(yīng)當(dāng)遵循最小授權(quán)要求；? 對系統(tǒng)的安全策略、授權(quán)訪問、最小服務(wù)、升級與打補丁、維護記錄、日志以及配置文件的生成、備份、變更審批、符合性檢查等方面做出具體要求；? 規(guī)定系統(tǒng)審計日志的保存時間以便為可能的安全事件調(diào)查提供支持；? 進行系統(tǒng)漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞進行及時的修補；? 明確各類用戶的責(zé)任、義務(wù)和風(fēng)險，對系統(tǒng)賬戶的登記造冊、用戶名分配、初始口令分配、用戶權(quán)限及其審批程序、系統(tǒng)資源分配、注銷等作出規(guī)定；? 對于賬戶安全管理的執(zhí)行情況進行檢查和監(jiān)督，定期審計和分析用戶賬戶的使用情況，對發(fā)現(xiàn)的問題和異常情況進行相關(guān)處理。系統(tǒng)運維管理系統(tǒng)運維管理 變更管理變更管理? 確認(rèn)系統(tǒng)中將發(fā)生的變更，并制定變更方案；? 建立變更管理制度，重要系統(tǒng)變更前，應(yīng)向主管領(lǐng)導(dǎo)申請，變更方案經(jīng)過評審、審批后方可實施變更；? 系統(tǒng)變更情況應(yīng)向所有相關(guān)人員通告；? 應(yīng)建立變更控制的申報和審批文件化程序，變更影響分析應(yīng)文檔化，變更實施過程應(yīng)記錄，所有文檔記錄應(yīng)妥善保存；? 中止變更并從失敗變更中恢復(fù)程序應(yīng)文檔化，應(yīng)明確過程控制方法和人員職責(zé)，必要時恢復(fù)過程應(yīng)經(jīng)過演練。信息安全管理制度示例 ? 物理環(huán)境安全管理規(guī)范 ? 終端計算機安全使用規(guī)范 ? 防火墻系統(tǒng)管理規(guī)范 物理環(huán)境安全管理規(guī)范? 安全域 ? 門禁控制 ? 監(jiān)控與報警 ? 人員安全管理 ? 設(shè)備放置與保護 ? 電源管理? 電纜管理 ? 環(huán)境管理與維護 ? 設(shè)備常規(guī)管理 ? 設(shè)備變更管理 ? 設(shè)備故障處理? 管理制度和規(guī)定 物理環(huán)境安全管