【正文】 023年初，信息辦領(lǐng)導(dǎo)開始在全國進(jìn)行等級化保護(hù)巡講（北京、上海、鄭州年初，信息辦領(lǐng)導(dǎo)開始在全國進(jìn)行等級化保護(hù)巡講（北京、上海、鄭州））2023年年 4月，等級化保護(hù)制度開始在部分行業(yè)和省份進(jìn)行試點(diǎn)月，等級化保護(hù)制度開始在部分行業(yè)和省份進(jìn)行試點(diǎn)2023年年 6月，頒布《等級化保護(hù)實(shí)施指南》等文件月，頒布《等級化保護(hù)實(shí)施指南》等文件2023年年 8月，北戴河會議，初步通過了部分標(biāo)準(zhǔn)月，北戴河會議，初步通過了部分標(biāo)準(zhǔn)2023年年 3月，頒布部分標(biāo)準(zhǔn)月，頒布部分標(biāo)準(zhǔn)2023年年 4月，試點(diǎn)工作啟動月，試點(diǎn)工作啟動2023年年 6月，公安部等四部委聯(lián)合下發(fā)《信息安全等級保護(hù)管理辦法》月，公安部等四部委聯(lián)合下發(fā)《信息安全等級保護(hù)管理辦法》信息安全等級保護(hù)發(fā)展歷程? 2023年 7月，四部委聯(lián)合會簽并下發(fā)了《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》（公信安 [2023]861號） ? 2023年 8月 ,山東省公安廳、山東省保密局、山東省密碼管理局和山東省信息辦聯(lián)合下發(fā)了《山東省重要信息系統(tǒng)安全等級保護(hù)定級工作方案》 ? 定級范圍：１　電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等 基礎(chǔ)信息網(wǎng)絡(luò) ，經(jīng)營性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。信息安全等級保護(hù)與解決方案山東省信息中心山東信息協(xié)會信息安全專業(yè)委員會二 00七年十二月信息安全等級保護(hù)與解決方案? 信息安全等級保護(hù) 信息安全現(xiàn)狀與問題 信息安全等級保護(hù)簡介? 信息安全解決方案 信息安全技術(shù) 信息安全管理 信息安全方案信息安全現(xiàn)狀? 日益增長的安全威脅– 攻擊技術(shù) 越來越復(fù)雜– 入侵條件 越來越簡單信息安全問題?安全事件– 每年都有上千家政府網(wǎng)站被攻擊?安全影響– 任何網(wǎng)絡(luò)都可能遭受入侵信息系統(tǒng)安全等級保護(hù)?信息系統(tǒng)安全等級保護(hù)簡介?信息系統(tǒng)安全保護(hù)等級劃分?信息系統(tǒng)安全保護(hù)定級指南等級保護(hù)出臺是信息安全發(fā)展的需要q 信息安全問題層出不窮信息安全問題層出不窮q 安全保護(hù)措施、安全管理建設(shè)不足，導(dǎo)致各種安全事故發(fā)生安全保護(hù)措施、安全管理建設(shè)不足，導(dǎo)致各種安全事故發(fā)生q 國內(nèi)缺乏相類似的安全標(biāo)準(zhǔn)國內(nèi)缺乏相類似的安全標(biāo)準(zhǔn)q 國家、服務(wù)商和用戶在安全建設(shè)過程中缺乏參考依據(jù)國家、服務(wù)商和用戶在安全建設(shè)過程中缺乏參考依據(jù)q 隨著信息安全技術(shù)的發(fā)展隨著信息安全技術(shù)的發(fā)展q 隨著安全意識的提高隨著安全意識的提高q 隨著安全服務(wù)范圍增大隨著安全服務(wù)范圍增大q 對對 信息安全管理需要實(shí)行等級化保護(hù)信息安全管理需要實(shí)行等級化保護(hù) (目標(biāo)目標(biāo) /要求要求 /能力能力 )? 1994年國務(wù)院頒布的《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定計(jì)算機(jī)信息系統(tǒng)實(shí)行 信息系統(tǒng)安全等級保護(hù) 。２　鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障、財(cái)政、審計(jì)、商務(wù)、水利、國土資源、能源、交通、文化、教育、統(tǒng)計(jì)、 工商行政管理 、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等 重要信息系統(tǒng) 。第二級為 指導(dǎo)保護(hù)級 ，主要對象為一定程度上涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一定損害。信息系統(tǒng)安全保護(hù)的目標(biāo) 實(shí)行等級保護(hù)的 總體目標(biāo) 是為了 統(tǒng)一信息安全保護(hù)工作，推進(jìn)規(guī)范化、法制化建設(shè)，保障安全，促進(jìn)發(fā)展，完善我國信息安全法規(guī)和標(biāo)準(zhǔn)體系，提高我國信息安全和信息系統(tǒng)安全建設(shè)的整體水平。決定信息系統(tǒng)重要性的要素? 信息系統(tǒng)所屬類型，即信息系統(tǒng)資產(chǎn)的安全利益主體 ? 信息系統(tǒng)主要處理的業(yè)務(wù)信息類別 決定信息系統(tǒng)內(nèi)信息資產(chǎn)的重要性 ? 信息系統(tǒng)服務(wù)范圍，包括服務(wù)對象和服務(wù)網(wǎng)絡(luò)覆蓋范圍 ? 業(yè)務(wù)對信息系統(tǒng)的依賴程度 決定信息系統(tǒng)所提供服務(wù)的重要性 信息系統(tǒng)所屬類型賦值表 信息系統(tǒng)所屬類型舉例 賦值信息系統(tǒng)的社會影響屬于一般企事業(yè)單位，處理其內(nèi)部事務(wù)的信息系統(tǒng)。屬于黨政機(jī)關(guān)，處理國家事務(wù)的信息系統(tǒng)。法人和其他組織及公民的專有信息，例如內(nèi)部敏感信息、關(guān)鍵技術(shù)數(shù)據(jù)、科技情報(bào)、商業(yè)秘密等。信息系統(tǒng)服務(wù)范圍賦值表 信息系統(tǒng)服務(wù)范圍舉例賦值服務(wù)范圍的影響地區(qū)范圍的服務(wù)網(wǎng)絡(luò)。全國范圍的服務(wù)網(wǎng)絡(luò)。業(yè)務(wù)處理流程的部分環(huán)節(jié)可以通過手工方式或其他方式替代完成，自動化程度中。信息系統(tǒng)所屬類型 業(yè)務(wù)信息類型 信息系統(tǒng)服務(wù)范圍 業(yè)務(wù)依賴程度業(yè)務(wù)信息安全性取值 業(yè)務(wù)服務(wù)保證性取值業(yè)務(wù)服務(wù)保證性等級1. 賦值選擇調(diào)節(jié)因子業(yè)務(wù)子系統(tǒng)安全保護(hù)等級2. 確定兩個指標(biāo)等級業(yè)務(wù)信息安全性等級3 確定業(yè)務(wù)子系統(tǒng)等級信息系統(tǒng)安全保護(hù)等級4. 確定信息系統(tǒng)等級其它業(yè)務(wù)子系統(tǒng) 。 ? k ? 0信息系統(tǒng)安全保護(hù)等級 ?業(yè)務(wù)子系統(tǒng)的安全保護(hù)等級由業(yè)務(wù)信息安全性等級和業(yè)務(wù)服務(wù)保證性等級較高者決定。網(wǎng)絡(luò)安全訪問控制網(wǎng)絡(luò)安全訪問控制? 網(wǎng)絡(luò)安全訪問控制實(shí)現(xiàn)的方法有多種，簡單網(wǎng)絡(luò)的安全訪問控制可以在路由器上實(shí)現(xiàn)，復(fù)雜的功能可以由主機(jī)甚至一個子網(wǎng)來實(shí)現(xiàn)。防火墻是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)制定的安全策略 (允許、拒絕及監(jiān)視等 )控制出入網(wǎng)絡(luò)的數(shù)據(jù)流，且本身具有較強(qiáng)的抗攻擊能力。尤其針對網(wǎng)絡(luò)中的 BT、電驢、迅雷等 p2p的文件傳輸行為能有效地進(jìn)行控制，以控制非業(yè)務(wù)網(wǎng)絡(luò)行為所占用的帶寬資源，從而保證正常業(yè)務(wù)順暢進(jìn)行。利用對流經(jīng)網(wǎng)關(guān)的 HTTP、 FTP、 SMTP協(xié)議的流量進(jìn)行掃描，可以在第一時間發(fā)現(xiàn)病毒、阻塞病毒，不讓病毒傳播到網(wǎng)絡(luò)中來。 終端（桌面）病毒防護(hù)? 根據(jù)網(wǎng)絡(luò)終端平臺實(shí)際情況，分別選用相應(yīng)的客戶端防病毒軟件。另外，防病毒軟件最好能夠?qū)崟r掃描來自互聯(lián)網(wǎng)的電子郵件和文件以便能夠及時阻止病毒的入侵。? 根據(jù)定義的安全策略，進(jìn)行檢測 /分析。? 根據(jù)定義的安全策略，進(jìn)行檢測 /分析。信息安全管理? 安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)崗位設(shè)置、人員配置、授權(quán)與審批、溝通與合作、審核與檢查崗位設(shè)置、人員配置、授權(quán)與審批、溝通與合作、審核與檢查? 安全管理制度安全管理制度管理制度、制定與發(fā)布、評審與修訂管理制度、制定與發(fā)布、評審與修訂? 人員安全管理人員安全管理人員錄用、人員離崗、人員考核、安全意識教育與培訓(xùn)、第三方人員錄用、人員離崗、人員考核、安全意識教育與培訓(xùn)、第三方人員管理人員管理? 系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理系統(tǒng)定級、系統(tǒng)備案、安全方案設(shè)計(jì)、產(chǎn)品采購、自行軟件研發(fā)、外系統(tǒng)定級、系統(tǒng)備案、安全方案設(shè)計(jì)、產(chǎn)品采購、自行軟件研發(fā)、外包軟件開發(fā)、工程實(shí)施、工程驗(yàn)收包軟件開發(fā)、工程實(shí)施、工程驗(yàn)收? 系統(tǒng)運(yùn)維管理系統(tǒng)運(yùn)維管理環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、網(wǎng)絡(luò)安全管環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件管理、應(yīng)急預(yù)案管理與恢復(fù)管理、安全事件管理、應(yīng)急預(yù)案管理安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)? 崗位設(shè)置崗位設(shè)置? 人員配置人員配置? 授權(quán)與審批授權(quán)與審批? 溝通與合作溝通與合作? 審核與檢查審核與檢查安全管理機(jī)構(gòu)安全管理機(jī)構(gòu) 崗位設(shè)置崗位設(shè)置? 設(shè)立信息安全管理工作的職能部門，設(shè)立安全主管人、安全管理各個方面的負(fù)責(zé)人，定義各負(fù)責(zé)人的職責(zé)；? 設(shè)立系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、安全管理人員崗位，定義各個工作崗位的職責(zé)；? 成立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)應(yīng)由單位主管領(lǐng)導(dǎo)委任或授權(quán)；? 制定文件，明確安全管理機(jī)構(gòu)各個部門和崗位的職責(zé)、分工和技能要求。安全管理機(jī)構(gòu)安全管理機(jī)構(gòu) 審核與檢查審核與檢查? 由安全管理人員定期進(jìn)行安全檢查，檢查內(nèi)容包括用戶賬號情況、系統(tǒng)漏洞情況、系統(tǒng)審計(jì)情況等；? 由安全管理部門組織相關(guān)人員定期進(jìn)行全面檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；? 由安全管理部門組織相關(guān)人員定期分析、評審異常行為的審計(jì)記錄，發(fā)現(xiàn)可疑行為 ,形成審計(jì)分析報(bào)告，并采取必要的應(yīng)對措施；? 制定安全檢查表格，實(shí)施安全檢查，匯總安全檢查數(shù)據(jù)，形成安全檢查報(bào)告，并對安全檢查結(jié)果進(jìn)行通報(bào)；? 制定安全審核和安全檢查制度，規(guī)范安全審核和安全檢查工作，定期按照程序進(jìn)行安全審核和安全檢查活動。人員安全管理人員安全管理? 人員錄用人員錄用? 人員離崗人員離崗? 人員考核人員考核? 安全意識教育與培訓(xùn)安全意識教育與培訓(xùn)? 第三方人員管理第三方人員管理人員安全管理人員安全管理 人員錄用人員錄用? 保證被錄用人具備基本的專業(yè)技術(shù)水平和安全管理知識；? 對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查；? 對被錄用人所具備的技術(shù)技能進(jìn)行考核；? 對被錄用人說明其角色和職責(zé)；? 簽署保密協(xié)議；? 對從事關(guān)鍵崗位的人員應(yīng)從內(nèi)部人員選拔，并定期進(jìn)行信用審查；? 對從事關(guān)鍵崗位的人員應(yīng)簽署崗位安全協(xié)議。人員安全管理人員安全管理第三方人員管理第三方人員管理? 第三方人員應(yīng)在訪問前與機(jī)構(gòu)簽署安全責(zé)任合同書或保密協(xié)議；? 對重要區(qū)域的訪問，須提出書面申請，批準(zhǔn)后由專人全程陪同或監(jiān)督，并記錄備案；? 對第三方人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)進(jìn)行書面的規(guī)定，并按照規(guī)定執(zhí)行。系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理 工程驗(yàn)收工程驗(yàn)收? 對系統(tǒng)進(jìn)行安全性測試驗(yàn)收；? 在測試驗(yàn)收前根據(jù)設(shè)計(jì)方案或合同要求等制訂測試驗(yàn)收方案，測試驗(yàn)收過程中詳細(xì)記錄測試驗(yàn)收結(jié)果，形成測試驗(yàn)收報(bào)告；? 委托公正的第三方測試單位對系統(tǒng)進(jìn)行測試，并出具測試報(bào)告；? 制定系統(tǒng)測試驗(yàn)收方面的管理制度，明確說明系統(tǒng)測試驗(yàn)收的控制方法和人員行為準(zhǔn)則；? 指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)測試驗(yàn)收的管理，并按照管理制度的要求完成系統(tǒng)測試驗(yàn)收工作；? 組織相關(guān)部門和相關(guān)人員，對系統(tǒng)測試驗(yàn)收報(bào)告進(jìn)行審定，沒有疑問后由雙方簽字。系統(tǒng)運(yùn)維管理系統(tǒng)運(yùn)維管理 介質(zhì)管理介質(zhì)管理? 建立介質(zhì)安全管理制度，對介質(zhì)的存放環(huán)境、使用、維護(hù)和銷毀等方面作出規(guī)定；? 有介質(zhì)的歸檔和查詢記錄，并對存檔介質(zhì)的目錄清單定期盤點(diǎn)；? 對于需要送出維修或銷毀的介質(zhì)，應(yīng)首先清除介質(zhì)中的敏感數(shù)據(jù)，防止信息的非法泄漏；? 根據(jù)數(shù)據(jù)備份的需要對某些介質(zhì)實(shí)行異地存儲，存儲地的環(huán)境要求和管理方法應(yīng)與本地相同；? 根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進(jìn)行分類和標(biāo)識管理，并實(shí)行存儲環(huán)境專人管理；? 對介質(zhì)的物理傳輸過程中人員選擇、打包、交付等情況進(jìn)行控制；? 對存儲介質(zhì)的使用過程、送出維修以及銷毀進(jìn)行嚴(yán)格的管理，保密性較高的信息存儲介質(zhì)未經(jīng)批準(zhǔn)不得自行銷毀；? 必要時應(yīng)對重要介質(zhì)數(shù)據(jù)和軟件采取加密存儲，對帶出工作環(huán)境的存儲介質(zhì)進(jìn)行內(nèi)容加密和監(jiān)控管理；? 對存放在介質(zhì)庫中的介質(zhì)定期進(jìn)行完整性和可用性檢查，確認(rèn)其數(shù)據(jù)或軟件沒有受到損壞或丟失。系統(tǒng)運(yùn)維管理系統(tǒng)運(yùn)維管理 系統(tǒng)安全管理系統(tǒng)安全管理? 指定專人對系統(tǒng)進(jìn)行管理，刪除或者禁用不使用的系統(tǒng)缺省賬戶；? 制定系統(tǒng)安全管理制度，對系統(tǒng)安全配置、系統(tǒng)帳戶以及審計(jì)日志等方面作出規(guī)定；? 對能夠使用系統(tǒng)工具的人員及數(shù)量進(jìn)行限制和控制；? 定期安裝系統(tǒng)的最新補(bǔ)丁程序，并根據(jù)廠家提供的可能危害計(jì)算機(jī)的漏洞進(jìn)行及時修補(bǔ)，并在安裝系統(tǒng)補(bǔ)丁前對現(xiàn)有的重要文件進(jìn)行備份；? 根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略，系統(tǒng)訪問控制策略用于控制分配信息系統(tǒng)、文件及服務(wù)的訪問權(quán)限；? 對系統(tǒng)賬戶進(jìn)行分類管理，權(quán)限設(shè)定應(yīng)當(dāng)遵循最小授權(quán)要求；? 對系統(tǒng)的安全策略、授權(quán)訪問、最小服務(wù)、升級與打補(bǔ)丁、維護(hù)記錄、日志以及配置文件的生成、備份、變更審批、符合性檢查等方面做出具體要求；? 規(guī)定系統(tǒng)審計(jì)日志的保存時間以便為可能的安全事件調(diào)查提供支持；? 進(jìn)行系統(tǒng)漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞進(jìn)行及時的修補(bǔ)；? 明確各類用戶的責(zé)任、義務(wù)和風(fēng)險，對系統(tǒng)賬戶的登記造冊、用戶名分配、初始口令分配、用戶權(quán)限及其審批程序、系統(tǒng)資源分配、注銷等作出規(guī)定；? 對于賬戶安全管理的執(zhí)行情況進(jìn)行檢查和監(jiān)督，定期審計(jì)和分析用戶賬戶的使用情況，對發(fā)現(xiàn)的問題和異常情況進(jìn)行相關(guān)處理。系統(tǒng)運(yùn)維管理系統(tǒng)運(yùn)維管理 變更管理變更管理? 確認(rèn)系統(tǒng)中將發(fā)生的變更，并制定變更方案；? 建立變更管理制度，重要系統(tǒng)變更前，應(yīng)向主管領(lǐng)導(dǎo)申請，變更方案經(jīng)過評審、審批后方可實(shí)施變更；? 系統(tǒng)變更情況應(yīng)向所有相關(guān)人員通告；? 應(yīng)建立變更控制的申報(bào)和審批文件化程序，變更影響分析應(yīng)文檔化，變更實(shí)施過程應(yīng)記錄，所有文檔記錄應(yīng)妥善保存；? 中止變更并從失敗變更中恢復(fù)程序應(yīng)文檔化，應(yīng)明確過程控制方法和人員職責(zé)，必要時恢復(fù)過程應(yīng)經(jīng)過演練。信息安全管理制度示例 ? 物理環(huán)境安全管理規(guī)范 ? 終端計(jì)算機(jī)安全使用規(guī)范 ? 防火墻系統(tǒng)管理規(guī)范 物理環(huán)境安全管理規(guī)范? 安全域 ? 門禁控制 ? 監(jiān)控與報(bào)警 ? 人員安全管理 ? 設(shè)備放置與保護(hù) ? 電源管理? 電纜管理 ? 環(huán)境管理與維護(hù) ? 設(shè)備常規(guī)管理 ? 設(shè)備變更管理 ? 設(shè)備故障處理? 管理制度和規(guī)定 物理環(huán)境安全管