【正文】 系 統(tǒng) 和 子 系 統(tǒng) 安 全 等 級國家電子政務信息安全試點培訓 濟源 安全域劃分原則 ? 功能應用相似性原則 ? 安全屬性相似性原則 –資產(chǎn)價值 –安全要求 –安全威脅 國家電子政務信息安全試點培訓 濟源 保護對象分類 國家電子政務信息安全試點培訓 濟源 建立系統(tǒng)分域保護框架的方法 ?充分覆蓋 ?互不重疊 ?無需細分 國家電子政務信息安全試點培訓 濟源 如何構(gòu)建系統(tǒng)分域保護框架 國家電子政務信息安全試點培訓 濟源 選擇和調(diào)整安全措施的過程 國家電子政務信息安全試點培訓 濟源 安全措施調(diào)整因素和調(diào)整方式 序號 調(diào)整因素 調(diào)整方式 1 三性等級中的 1－ 2項低于系統(tǒng)安全等級 降低對應控制項的等級 2 出現(xiàn)基本安全要求之外的特定安全要求 增加控制項 3 不存在基本安全要求所要控制的安全風險 刪減控制項 4 風險評估識別出的風險在基本安全要求中 沒有控制項 增加控制項 5 與相應基本安全要求提供的安全強度相 比，風險較低 降低控制項的強度等級 6 與對應基本安全要求提供的安全強度相 比，風險較高 提高控制項的強度等級 7 相應基本安全要求中某些措施成本太高， 無法承受 通過其他措施進行彌補 國家電子政務信息安全試點培訓 濟源 安全規(guī)劃與方案設(shè)計 ? 安全需求分析 – 安全現(xiàn)狀和等級要求之間的差距 ? 安全項目規(guī)劃 – 對安全項目的相關(guān)性、緊迫性、難易程度和預期效果等因素進行分析，確定實施的先后順序 ? 安全工作規(guī)劃 – 確定安全工作的宗旨、遠期安全工作目標和當年目標、關(guān)鍵和重點的工作，并分析潛在的風險和障礙、所需的資源和預算 ，進行實施策略選擇，確定當年的安全工作計劃和等級保護項目建設(shè)計劃 ? 安全方案設(shè)計 – 技術(shù)解決方案、管理解決方案 國家電子政務信息安全試點培訓 濟源 實施、等級評估與運行 ? 安全管理措施建設(shè) ? 安全技術(shù)措施建設(shè) ? 等級評估與驗收 ? 運行監(jiān)控與改進 國家電子政務信息安全試點培訓 濟源 交付成果 簡介 安全評估報告 通過調(diào)查資產(chǎn)、分析網(wǎng)絡、系統(tǒng)和業(yè)務等方式，全面了解安全組織、策略、運作和技術(shù)等安全現(xiàn)狀。 第 一 階 段 ： 定 級 階 段等 級 確 定系 統(tǒng) 識 別 與 描 述系 統(tǒng) 識 別系 統(tǒng) 的 服 務 與信 息 識 別系 統(tǒng) 總 體 定 級子 系 統(tǒng) 定 級自 下 向 上自 上 向 下子 系 統(tǒng) 定 級系 統(tǒng) 總 體 定 級最 終 的 總 體 定 級和 各 子 系 統(tǒng) 定 級子 系 統(tǒng) 劃 分子 系 統(tǒng) 服 務 與信 息 識 別國家電子政務信息安全試點培訓 濟源 定級原則 依據(jù)電子政務五個安全等級的基本要求，從信息安全的保密性、完整性、可用性三個基本屬性在遭到破壞時對政務機構(gòu)履行其政務職能、機構(gòu)財產(chǎn)、人員造成的影響來定義安全級別，并劃分為五個等級。 ? 涉密系統(tǒng)與其它系統(tǒng)的互聯(lián)互通，按照國家保密部門的有關(guān)規(guī)定執(zhí)行。 量化了安全要求 量化了安全措施 國家電子政務信息安全試點培訓 濟源 電子政務等級保護的基本要素 ? 電子政務系統(tǒng) ? 使命與目標 ? 信息安全等級 ? 安全保護要求 ? 安全風險 ? 安全保護措施 ? 安全保護成本 安全保護措施5 級4 級3 級2 級1 級電子政務系統(tǒng)5 級4 級3 級2 級1 級系 統(tǒng) 使 命與 目 標安全要求風險成本等 級等 級國家電子政務信息安全試點培訓 濟源 等級保護各要素之間的關(guān)系 ? 根本關(guān)系是不同 等級 的 電子政務系統(tǒng) 對應不同 等級 的 安全措施 ? 核心問題是 安全措施 的確定 – 安全措施需要滿足 系統(tǒng)保護要求 ，對抗系統(tǒng)所面臨的 風險 – 系統(tǒng)保護要求 的確定：不同電子政務系統(tǒng)的使命和業(yè)務 目標 的差異性，業(yè)務和 系統(tǒng) 本身的特性（所屬信息資產(chǎn)特性、實際運行情況和所處環(huán)境等）的差異性，決定了 系統(tǒng)保護要求 特性（安全保護要求的類型和強度）的差異性。 國家電子政務信息安全試點培訓 濟源 2級要求： 采用設(shè)備提供的多級用戶管理授權(quán)，對每 一個不同的用戶授予不同的設(shè)備管理權(quán)限。 根據(jù)安全需求，由主管部門和運營單位對電子政務系統(tǒng)進行專門控制和保護。 在主管部門的強制監(jiān)督和檢查下，按國家標準嚴格落實各項措施進行保護。 在主管部門的指導下，按照國家標準自主進行保護。 在主管部門的強制監(jiān)督和檢查下，按國家標準嚴格落實各項措施進行保護。 在主管部門的強制監(jiān)督和檢查下，按國家標準嚴格落實各項措施進行保護。 在主管部門的指導下，按照國家標準自主進行保護。 在主管部門的監(jiān)督下，按國家標準嚴格落實各項保護措施進行保護。 在主管部門的強制監(jiān)督和檢查下，按國家標準嚴格落實各項措施進行保護。 在主管部門的指導下，按照國家標準自主進行保護。 在主管部門的指導下，按照國家標準自主進行保護。 在主管部門的強制監(jiān)督和檢查下，按國家標準嚴格落實各項措施進行保