【正文】 2023年 3月 8日星期三 下午 11時(shí) 10分 51秒 23:10: ? 1最具挑戰(zhàn)性的挑戰(zhàn)莫過(guò)于提升自我。 2023年 3月 8日星期三 11時(shí) 10分 51秒 23:10:518 March 2023 ? 1空山新雨后，天氣晚來(lái)秋。 , March 8, 2023 ? 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒(méi)有。 :10:5123:10Mar238Mar23 ? 1故人江海別，幾度隔山川。一級(jí)系統(tǒng)應(yīng)該選擇第一級(jí)的基本要求，二級(jí)系統(tǒng)應(yīng)該選擇第二級(jí)的基本要求，三級(jí)系統(tǒng)應(yīng)該選擇第三級(jí)的基本要求，四級(jí)系統(tǒng)應(yīng)該選擇第四級(jí)的基本要求。 二、基本要求 ?技術(shù)要求和管理要求 ?技術(shù)要求分類(lèi) ?基本要求的選擇 技術(shù)要求與管理要求 ?信息系統(tǒng)的安全等級(jí)保護(hù)是依據(jù)信息系統(tǒng)的安全等級(jí)情況保證它們具有相應(yīng)等級(jí)的基本安全保護(hù)能力，不同安全等級(jí)的信息系統(tǒng)要求具有不同的安全保護(hù)能力。政務(wù)服務(wù)工作主要通過(guò)網(wǎng)絡(luò)之外完成，網(wǎng)絡(luò)僅提供相關(guān)信息和表單下載，因此其業(yè)務(wù)自動(dòng)化處理程度應(yīng)為 1； 查表知 ZFWZ系統(tǒng)的業(yè)務(wù)服務(wù)保證性等級(jí)為 2，如下表所示： 例 1系統(tǒng)定級(jí) 系統(tǒng)等級(jí)分析 業(yè)務(wù)服務(wù)保證性等級(jí)矩陣 信息系統(tǒng)服務(wù)范圍 業(yè)務(wù)依賴程度 1 2 3 1 1 2 3 2 2 3 4 3 3 4 4 例 1系統(tǒng)定級(jí) 系統(tǒng)等級(jí)分析 考慮到 ZFWZ系統(tǒng)中斷僅造成局部利益的損失，一般不會(huì)造成社會(huì)利益的重要損失，調(diào)節(jié)因子可選為 ，查表 12知，調(diào)節(jié)后ZFWZ系統(tǒng)的業(yè)務(wù)服務(wù)保證性等級(jí)為 1級(jí)； ZFWZ系統(tǒng)的安全保護(hù)等級(jí)為 2級(jí)。 調(diào)節(jié)因子賦值表 賦值描述 調(diào)節(jié)因子 k 信息系統(tǒng)所承載業(yè)務(wù)的中斷會(huì)造成國(guó)家安全利益損失 ? k ? 信息系統(tǒng)所承載業(yè)務(wù)的中斷會(huì)造成較大范圍的公共利益損失 ? k ? 信息系統(tǒng)所承載業(yè)務(wù)的中斷會(huì)造成局部利益損失 ? k ? 0 調(diào)節(jié)結(jié)果 調(diào)節(jié)后的業(yè)務(wù)服務(wù)保證性等級(jí) 業(yè)務(wù)服務(wù)保證性取值 調(diào)節(jié)因子 業(yè)務(wù)服務(wù)保證性等級(jí) 2 k ? 1 2 ? k ? 2 3 k ? 1 3 ? k ? 2 3 ? k ? 3 4 k ? 1 4 ? k ? 2 4 ? k ? 3 4 ? k ? 4 確定信息系統(tǒng)安全保護(hù)等級(jí) 業(yè)務(wù)子系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全性等級(jí)和業(yè)務(wù)服務(wù)保證性等級(jí)較高者決定。 業(yè)務(wù)子系統(tǒng)是按照信息系統(tǒng)所承載的業(yè)務(wù)對(duì)信息系統(tǒng)進(jìn)行劃分所形成的子系統(tǒng)。 ? 信息系統(tǒng)主要處理的業(yè)務(wù)信息類(lèi)別。 2 信息系統(tǒng)無(wú)法提供服務(wù)或無(wú)法提供有效服務(wù)對(duì)單位完成其業(yè)務(wù)使命影響較大。 省級(jí)范圍的服務(wù)網(wǎng)絡(luò)。 1 業(yè)務(wù)信息保密性、完整性或可用性被破壞會(huì)對(duì)公共利益或本單位經(jīng)濟(jì)利益造成一定損害。 信息系統(tǒng)所屬類(lèi)型舉例 賦值 信息系統(tǒng)的社會(huì)影響 屬于一般企事業(yè)單位處理其內(nèi)部事務(wù)的信息系統(tǒng)。 ?如果信息系統(tǒng)只承載一項(xiàng)業(yè)務(wù)，可以直接為該信息系統(tǒng)確定安全等級(jí)，不必劃分業(yè)務(wù)子系統(tǒng)。 ?《 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南 》 中闡述了如何對(duì)信息系統(tǒng)的安全級(jí)別進(jìn)行定級(jí)，提出了量化流程和方法，各行業(yè)信息系統(tǒng)的主管部門(mén)可以根據(jù)該指南制定適合本行業(yè)或部門(mén)的具體定級(jí)方法和指導(dǎo)意見(jiàn)。 ?安全等級(jí)保護(hù)實(shí)施活動(dòng)與信息系統(tǒng)生命周期中的其他活動(dòng)有著不可分割的關(guān)系；同時(shí)，安全等級(jí)保護(hù)實(shí)施活動(dòng)又有自己的特點(diǎn)，安全等級(jí)保護(hù)工作將貫穿信息系統(tǒng)生命周期的各個(gè)階段。 ?通常情況下，安全實(shí)施階段包括安全方案詳細(xì)設(shè)計(jì)、等級(jí)保護(hù)安全測(cè)評(píng)、等級(jí)保護(hù)技術(shù)實(shí)施和等級(jí)保護(hù)管理實(shí)施等幾個(gè)主要活動(dòng)。 等級(jí)保護(hù)實(shí)施過(guò)程中各類(lèi)角色的職責(zé) ?（四）信息安全監(jiān)管機(jī)構(gòu) ? 信息安全監(jiān)管機(jī)構(gòu)的主要責(zé)任是對(duì)不同重要程度的信息系統(tǒng)的等級(jí)保護(hù)工作給予相應(yīng)的指導(dǎo)，確保等級(jí)保護(hù)工作順利開(kāi)展；按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重點(diǎn)對(duì)第三級(jí)、第四級(jí)信息系統(tǒng)的等級(jí)保護(hù)狀況進(jìn)行監(jiān)督檢查；發(fā)現(xiàn)存在安全隱患或未達(dá)到等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)要求的要限期整改，使信息系統(tǒng)的安全保護(hù)措施更加完善；對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品的等級(jí)進(jìn)行監(jiān)督檢查。 一、基本原則 ?（三）重點(diǎn)保護(hù)原則 ? 根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，通過(guò)劃分不同的安全等級(jí)，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。評(píng)價(jià)信息系統(tǒng)是否達(dá)到了相應(yīng)級(jí)別的安全保護(hù)要求的過(guò)程，是對(duì)信息系統(tǒng)等級(jí)保護(hù)進(jìn)行測(cè)評(píng)的活動(dòng)。 （八） 《 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南 》 ?《 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南 》 為各單位開(kāi)展、實(shí)施等級(jí)保護(hù)提供了一個(gè)通用標(biāo)準(zhǔn)奠定了堅(jiān)實(shí)的基礎(chǔ)。 ?該標(biāo)準(zhǔn)作為 GB 17859 — 1999《 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 》 的管理要求，是根據(jù) 《 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 》 的規(guī)定編寫(xiě)的，是 GB 17859 — 1999的配套標(biāo)準(zhǔn)中的重要標(biāo)準(zhǔn)之一，與上述所介紹的技術(shù)要求共同組成計(jì)算機(jī)信息系統(tǒng)的安全等級(jí)保護(hù)體系。 ? （ 2）五個(gè)安全等級(jí)劃分要求技術(shù)方面細(xì)則。 ? （ 2）安全保證技術(shù)要求，包括 TCB自身安全保護(hù)、TCB設(shè)計(jì)和實(shí)現(xiàn)、 TCB安全管理。 二、安全保護(hù)等級(jí)的劃分 等級(jí) 對(duì)象 侵害客體 侵害程度 監(jiān)管強(qiáng)度 第一級(jí) 合法權(quán)益 損害 自主保護(hù) 合法權(quán)益 嚴(yán)重?fù)p害 第二級(jí) 一般系統(tǒng) 社會(huì)秩序和公共利益 損害 指導(dǎo) 社會(huì)秩序和公共利益 嚴(yán)重?fù)p害 第三級(jí) 國(guó)家安全 損害 監(jiān)督檢查 社會(huì)秩序和公共利益 特別嚴(yán)重?fù)p害 第四級(jí) 重要系統(tǒng) 國(guó)家安全 嚴(yán)重?fù)p害 強(qiáng)制監(jiān)督檢查 第五級(jí) 極端重要系統(tǒng) 國(guó)家安全 特別嚴(yán)重?fù)p害 專門(mén)監(jiān)督檢查 三、信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn) ?我國(guó)正式頒布的信息系統(tǒng)安全等級(jí)保護(hù)的強(qiáng)制性國(guó)家標(biāo)準(zhǔn)是 GB 17859 — 1999《 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 》 ，該準(zhǔn)則于 1999年 9月 13日經(jīng)國(guó)家質(zhì)量技術(shù)監(jiān)督局發(fā)布， 2023年 1月 1日起實(shí)施。 二、信息系統(tǒng)安全等級(jí)劃分 ?（二）第二級(jí)為指導(dǎo)保護(hù)級(jí) ? 其主要對(duì)象為一般的信息系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成一定損害，但不損害國(guó)家安全。 三是制定了等級(jí)保護(hù)系列技術(shù)標(biāo)準(zhǔn)。 ? 1999年，強(qiáng)制性國(guó)家標(biāo)準(zhǔn)－ 《 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 》 GB 17859）。 背景 ? 1994年， 《 中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 》 規(guī)定， “計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)，安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門(mén)制定 ” 。 社會(huì)層面 ：信息安全產(chǎn)品的研制、生產(chǎn)單位，信息系統(tǒng)的集成、等級(jí)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估等安全服務(wù)機(jī)構(gòu)，依據(jù)國(guó)家有關(guān)管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，開(kāi)展相應(yīng)工作，并接受?chē)?guó)家信息安全職能部門(mén)的監(jiān)督管理。 二、信息系統(tǒng)安全等級(jí)劃分 ?根據(jù) 《 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 》 的規(guī)定，信息系統(tǒng)可以分為五個(gè)安全等級(jí)，國(guó)家對(duì)不同級(jí)別的信息和信息系統(tǒng)實(shí)行不同強(qiáng)度的監(jiān)管政策。 ? 本級(jí)系統(tǒng)依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，信息安全監(jiān)管職能部門(mén)對(duì)其進(jìn)行強(qiáng)制監(jiān)督、檢查。 （二） GA/T 390 — 2023《 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求 》 ?公安部于 2023年 7月 15日發(fā)布并實(shí)施了 GA/T 390 — 2023《 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求 》 。 ?該標(biāo)準(zhǔn)作為計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)要求系列標(biāo)準(zhǔn)的重要組成部分，用于指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)具有所需要的安全等級(jí)的數(shù)據(jù)庫(kù)管理系統(tǒng)，主要從對(duì)數(shù)據(jù)庫(kù)管理系統(tǒng)的安全等級(jí)進(jìn)行劃分來(lái)說(shuō)明其技術(shù)要求，即主要說(shuō)明為實(shí)現(xiàn) GB 17859 — 1999所提出的安全等級(jí)要求對(duì)數(shù)據(jù)庫(kù)管理系統(tǒng)應(yīng)采取的安全技術(shù)措施，以及各安全技術(shù)要求在不同安全級(jí)中具體實(shí)現(xiàn)的差異。 ? （ 3）詳細(xì)描述了網(wǎng)絡(luò)安全技術(shù)要求。 （七） 《 信息安全技術(shù) ——信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 》 ?該標(biāo)準(zhǔn)以信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)為主要線索，介紹了信息系統(tǒng)的安全等級(jí)和保護(hù)要求等相關(guān)概念；說(shuō)明了信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施過(guò)程中涉及的角色；信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施的基本原則；信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施的基本過(guò)程；信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施的主要階段和主要活動(dòng)以及與信息系統(tǒng)生命周期之間的關(guān)系；提出了信息系統(tǒng)安全等級(jí)保護(hù)在信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)、實(shí)施流程、具體的活動(dòng)內(nèi)容以及活動(dòng)的輸入輸出等，并對(duì)其進(jìn)行了詳細(xì)的描述。其中，技術(shù)措施的要求分為物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全五個(gè)不同層次；管理手段的要求分為安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)行維護(hù)管理五個(gè)不同類(lèi)別。 第二節(jié) 信息安全等級(jí)保護(hù)實(shí)施 ?一、基本原則 ?二、參與角色和職責(zé) ?三、實(shí)施過(guò)程 ?四、安全等級(jí)保護(hù)與信息系統(tǒng)生命周期的關(guān)系 一、基本原則 ?等級(jí)保護(hù)的核心是對(duì)信息系統(tǒng)分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。 等級(jí)保護(hù)實(shí)施過(guò)程中各類(lèi)角色的職責(zé) ?（一）信息系統(tǒng)主管部門(mén) ? 主要責(zé)任： ? 做好下屬單位的等級(jí)保護(hù)監(jiān)督管理工作； ? 組織、協(xié)調(diào)和督促下屬單位按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行等級(jí)保護(hù)； ? 對(duì)下屬單位確定的信息系統(tǒng)安全等級(jí)進(jìn)行審批； ? 督促下屬單位定期進(jìn)行安全狀況檢測(cè)評(píng)估，及時(shí)消除安全隱患和漏洞等。 （二）安全規(guī)劃設(shè)計(jì)階段 ?安全規(guī)劃設(shè)計(jì)階段通過(guò)安全需求分析判斷信息系統(tǒng)的安全保護(hù)現(xiàn)狀與國(guó)家等級(jí)保護(hù)基本要求之間的差距，確定安全需求，然后根據(jù)信息系統(tǒng)的劃分情況、信息系統(tǒng)定級(jí)情況、信息系統(tǒng)承載業(yè)務(wù)情況和安全需求等，設(shè)計(jì)合理的、滿足等級(jí)保護(hù)要求的總體安全方案，并制定出安全實(shí)施規(guī)劃等，以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程的實(shí)施。系統(tǒng)終止階段的主要活動(dòng)可能包括對(duì)信息的轉(zhuǎn)移、暫存或清除，對(duì)設(shè)備的遷移或廢棄，對(duì)存儲(chǔ)介質(zhì)的清除或銷(xiāo)毀。 ?由于是已經(jīng)存在的信息系統(tǒng)，工作的重點(diǎn)應(yīng)放在系統(tǒng)定級(jí)階段如何劃分信息系統(tǒng)并確定安全等級(jí)、在安全規(guī)劃設(shè)計(jì)階段如何規(guī)劃設(shè)計(jì)出符合國(guó)家等級(jí)保護(hù)要求的安全改造方案、在安全實(shí)施階段如何保證在不影響現(xiàn)有業(yè)務(wù)應(yīng)用的情況下使各類(lèi)安全措施可以順利落實(shí)等方面。 ?業(yè)務(wù)子系統(tǒng)是按照信息系統(tǒng)所承載的業(yè)務(wù)對(duì)信息系統(tǒng)進(jìn)行劃分所形成的子系統(tǒng)。從另一個(gè)角度看，信息系統(tǒng)重要程度越高，其遭到破壞后對(duì)國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度也越高。 3 信息系統(tǒng)資產(chǎn)