【正文】 系 統(tǒng) 和 子 系 統(tǒng) 安 全 等 級(jí)國家電子政務(wù)信息安全試點(diǎn)培訓(xùn) 濟(jì)源 安全域劃分原則 ? 功能應(yīng)用相似性原則 ? 安全屬性相似性原則 –資產(chǎn)價(jià)值 –安全要求 –安全威脅 國家電子政務(wù)信息安全試點(diǎn)培訓(xùn) 濟(jì)源 保護(hù)對(duì)象分類 國家電子政務(wù)信息安全試點(diǎn)培訓(xùn) 濟(jì)源 建立系統(tǒng)分域保護(hù)框架的方法 ?充分覆蓋 ?互不重疊 ?無需細(xì)分 國家電子政務(wù)信息安全試點(diǎn)培訓(xùn) 濟(jì)源 如何構(gòu)建系統(tǒng)分域保護(hù)框架 國家電子政務(wù)信息安全試點(diǎn)培訓(xùn) 濟(jì)源 選擇和調(diào)整安全措施的過程 國家電子政務(wù)信息安全試點(diǎn)培訓(xùn) 濟(jì)源 安全措施調(diào)整因素和調(diào)整方式 序號(hào) 調(diào)整因素 調(diào)整方式 1 三性等級(jí)中的 1－ 2項(xiàng)低于系統(tǒng)安全等級(jí) 降低對(duì)應(yīng)控制項(xiàng)的等級(jí) 2 出現(xiàn)基本安全要求之外的特定安全要求 增加控制項(xiàng) 3 不存在基本安全要求所要控制的安全風(fēng)險(xiǎn) 刪減控制項(xiàng) 4 風(fēng)險(xiǎn)評(píng)估識(shí)別出的風(fēng)險(xiǎn)在基本安全要求中 沒有控制項(xiàng) 增加控制項(xiàng) 5 與相應(yīng)基本安全要求提供的安全強(qiáng)度相 比，風(fēng)險(xiǎn)較低 降低控制項(xiàng)的強(qiáng)度等級(jí) 6 與對(duì)應(yīng)基本安全要求提供的安全強(qiáng)度相 比，風(fēng)險(xiǎn)較高 提高控制項(xiàng)的強(qiáng)度等級(jí) 7 相應(yīng)基本安全要求中某些措施成本太高， 無法承受 通過其他措施進(jìn)行彌補(bǔ) 國家電子政務(wù)信息安全試點(diǎn)培訓(xùn) 濟(jì)源 安全規(guī)劃與方案設(shè)計(jì) ? 安全需求分析 – 安全現(xiàn)狀和等級(jí)要求之間的差距 ? 安全項(xiàng)目規(guī)劃 – 對(duì)安全項(xiàng)目的相關(guān)性、緊迫性、難易程度和預(yù)期效果等因素進(jìn)行分析，確定實(shí)施的先后順序 ? 安全工作規(guī)劃 – 確定安全工作的宗旨、遠(yuǎn)期安全工作目標(biāo)和當(dāng)年目標(biāo)、關(guān)鍵和重點(diǎn)的工作，并分析潛在的風(fēng)險(xiǎn)和障礙、所需的資源和預(yù)算 ，進(jìn)行實(shí)施策略選擇，確定當(dāng)年的安全工作計(jì)劃和等級(jí)保護(hù)項(xiàng)目建設(shè)計(jì)劃 ? 安全方案設(shè)計(jì) – 技術(shù)解決方案、管理解決方案 國家電子政務(wù)信息安全試點(diǎn)培訓(xùn) 濟(jì)源 實(shí)施、等級(jí)評(píng)估與運(yùn)行 ? 安全管理措施建設(shè) ? 安全技術(shù)措施建設(shè) ? 等級(jí)評(píng)估與驗(yàn)收 ? 運(yùn)行監(jiān)控與改進(jìn) 國家電子政務(wù)信息安全試點(diǎn)培訓(xùn) 濟(jì)源 交付成果 簡介 安全評(píng)估報(bào)告 通過調(diào)查資產(chǎn)、分析網(wǎng)絡(luò)、系統(tǒng)和業(yè)務(wù)等方式，全面了解安全組織、策略、運(yùn)作和技術(shù)等安全現(xiàn)狀。 第 一 階 段 ： 定 級(jí) 階 段等 級(jí) 確 定系 統(tǒng) 識(shí) 別 與 描 述系 統(tǒng) 識(shí) 別系 統(tǒng) 的 服 務(wù) 與信 息 識(shí) 別系 統(tǒng) 總 體 定 級(jí)子 系 統(tǒng) 定 級(jí)自 下 向 上自 上 向 下子 系 統(tǒng) 定 級(jí)系 統(tǒng) 總 體 定 級(jí)最 終 的 總 體 定 級(jí)和 各 子 系 統(tǒng) 定 級(jí)子 系 統(tǒng) 劃 分子 系 統(tǒng) 服 務(wù) 與信 息 識(shí) 別國家電子政務(wù)信息安全試點(diǎn)培訓(xùn) 濟(jì)源 定級(jí)原則 依據(jù)電子政務(wù)五個(gè)安全等級(jí)的基本要求，從信息安全的保密性、完整性、可用性三個(gè)基本屬性在遭到破壞時(shí)對(duì)政務(wù)機(jī)構(gòu)履行其政務(wù)職能、機(jī)構(gòu)財(cái)產(chǎn)、人員造成的影響來定義安全級(jí)別，并劃分為五個(gè)等級(jí)。 ? 涉密系統(tǒng)與其它系統(tǒng)的互聯(lián)互通，按照國家保密部門的有關(guān)規(guī)定執(zhí)行。 量化了安全要求 量化了安全措施 國家電子政務(wù)信息安全試點(diǎn)培訓(xùn) 濟(jì)源 電子政務(wù)等級(jí)保護(hù)的基本要素 ? 電子政務(wù)系統(tǒng) ? 使命與目標(biāo) ? 信息安全等級(jí) ? 安全保護(hù)要求 ? 安全風(fēng)險(xiǎn) ? 安全保護(hù)措施 ? 安全保護(hù)成本 安全保護(hù)措施5 級(jí)4 級(jí)3 級(jí)2 級(jí)1 級(jí)電子政務(wù)系統(tǒng)5 級(jí)4 級(jí)3 級(jí)2 級(jí)1 級(jí)系 統(tǒng) 使 命與 目 標(biāo)安全要求風(fēng)險(xiǎn)成本等 級(jí)等 級(jí)國家電子政務(wù)信息安全試點(diǎn)培訓(xùn) 濟(jì)源 等級(jí)保護(hù)各要素之間的關(guān)系 ? 根本關(guān)系是不同 等級(jí) 的 電子政務(wù)系統(tǒng) 對(duì)應(yīng)不同 等級(jí) 的 安全措施 ? 核心問題是 安全措施 的確定 – 安全措施需要滿足 系統(tǒng)保護(hù)要求 ，對(duì)抗系統(tǒng)所面臨的 風(fēng)險(xiǎn) – 系統(tǒng)保護(hù)要求 的確定：不同電子政務(wù)系統(tǒng)的使命和業(yè)務(wù) 目標(biāo) 的差異性，業(yè)務(wù)和 系統(tǒng) 本身的特性（所屬信息資產(chǎn)特性、實(shí)際運(yùn)行情況和所處環(huán)境等）的差異性，決定了 系統(tǒng)保護(hù)要求 特性（安全保護(hù)要求的類型和強(qiáng)度）的差異性。 國家電子政務(wù)信息安全試點(diǎn)培訓(xùn) 濟(jì)源 2級(jí)要求： 采用設(shè)備提供的多級(jí)用戶管理授權(quán)，對(duì)每 一個(gè)不同的用戶授予不同的設(shè)備管理權(quán)限。 根據(jù)安全需求，由主管部門和運(yùn)營單位對(duì)電子政務(wù)系統(tǒng)進(jìn)行專門控制和保護(hù)。 在主管部門的強(qiáng)制監(jiān)督和檢查下，按國家標(biāo)準(zhǔn)嚴(yán)格落實(shí)各項(xiàng)措施進(jìn)行保護(hù)。 在主管部門的指導(dǎo)下，按照國家標(biāo)準(zhǔn)自主進(jìn)行保護(hù)。 在主管部門的強(qiáng)制監(jiān)督和檢查下，按國家標(biāo)準(zhǔn)嚴(yán)格落實(shí)各項(xiàng)措施進(jìn)行保護(hù)。 在主管部門的強(qiáng)制監(jiān)督和檢查下，按國家標(biāo)準(zhǔn)嚴(yán)格落實(shí)各項(xiàng)措施進(jìn)行保護(hù)。 在主管部門的指導(dǎo)下，按照國家標(biāo)準(zhǔn)自主進(jìn)行保護(hù)。 在主管部門的監(jiān)督下，按國家標(biāo)準(zhǔn)嚴(yán)格落實(shí)各項(xiàng)保護(hù)措施進(jìn)行保護(hù)。 在主管部門的強(qiáng)制監(jiān)督和檢查下，按國家標(biāo)準(zhǔn)嚴(yán)格落實(shí)各項(xiàng)措施進(jìn)行保護(hù)。 在主管部門的指導(dǎo)下，按照國家標(biāo)準(zhǔn)自主進(jìn)行保護(hù)。 在主管部門的指導(dǎo)下，按照國家標(biāo)準(zhǔn)自主進(jìn)行保護(hù)。 在主管部門的強(qiáng)制監(jiān)督和檢查下，按國家標(biāo)準(zhǔn)嚴(yán)格落實(shí)各項(xiàng)措施進(jìn)行保