【正文】 2023年 3月 21日星期二 下午 9時(shí) 30分 37秒 21:30: ? 1最具挑戰(zhàn)性的挑戰(zhàn)莫過于提升自我。 2023年 3月 21日星期二 9時(shí) 30分 37秒 21:30:3721 March 2023 ? 1空山新雨后，天氣晚來秋。 , March 21, 2023 ? 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒有。 :30:3721:30Mar2321Mar23 ? 1故人江海別，幾度隔山川。一級系統(tǒng)應(yīng)該選擇第一級的基本要求，二級系統(tǒng)應(yīng)該選擇第二級的基本要求，三級系統(tǒng)應(yīng)該選擇第三級的基本要求，四級系統(tǒng)應(yīng)該選擇第四級的基本要求。 二、基本要求 ?技術(shù)要求和管理要求 ?技術(shù)要求分類 ?基本要求的選擇 技術(shù)要求與管理要求 ?信息系統(tǒng)的安全等級保護(hù)是依據(jù)信息系統(tǒng)的安全等級情況保證它們具有相應(yīng)等級的基本安全保護(hù)能力，不同安全等級的信息系統(tǒng)要求具有不同的安全保護(hù)能力。政務(wù)服務(wù)工作主要通過網(wǎng)絡(luò)之外完成，網(wǎng)絡(luò)僅提供相關(guān)信息和表單下載，因此其業(yè)務(wù)自動化處理程度應(yīng)為 1； 查表知 ZFWZ系統(tǒng)的業(yè)務(wù)服務(wù)保證性等級為 2，如下表所示： 例 1系統(tǒng)定級 系統(tǒng)等級分析 業(yè)務(wù)服務(wù)保證性等級矩陣 信息系統(tǒng)服務(wù)范圍 業(yè)務(wù)依賴程度 1 2 3 1 1 2 3 2 2 3 4 3 3 4 4 例 1系統(tǒng)定級 系統(tǒng)等級分析 考慮到 ZFWZ系統(tǒng)中斷僅造成局部利益的損失，一般不會造成社會利益的重要損失，調(diào)節(jié)因子可選為 ，查表 12知，調(diào)節(jié)后ZFWZ系統(tǒng)的業(yè)務(wù)服務(wù)保證性等級為 1級； ZFWZ系統(tǒng)的安全保護(hù)等級為 2級。 調(diào)節(jié)因子賦值表 賦值描述 調(diào)節(jié)因子 k 信息系統(tǒng)所承載業(yè)務(wù)的中斷會造成國家安全利益損失 ? k ? 信息系統(tǒng)所承載業(yè)務(wù)的中斷會造成較大范圍的公共利益損失 ? k ? 信息系統(tǒng)所承載業(yè)務(wù)的中斷會造成局部利益損失 ? k ? 0 調(diào)節(jié)結(jié)果 調(diào)節(jié)后的業(yè)務(wù)服務(wù)保證性等級 業(yè)務(wù)服務(wù)保證性取值 調(diào)節(jié)因子 業(yè)務(wù)服務(wù)保證性等級 2 k ? 1 2 ? k ? 2 3 k ? 1 3 ? k ? 2 3 ? k ? 3 4 k ? 1 4 ? k ? 2 4 ? k ? 3 4 ? k ? 4 確定信息系統(tǒng)安全保護(hù)等級 業(yè)務(wù)子系統(tǒng)的安全保護(hù)等級由業(yè)務(wù)信息安全性等級和業(yè)務(wù)服務(wù)保證性等級較高者決定。 業(yè)務(wù)子系統(tǒng)是按照信息系統(tǒng)所承載的業(yè)務(wù)對信息系統(tǒng)進(jìn)行劃分所形成的子系統(tǒng)。 ? 信息系統(tǒng)主要處理的業(yè)務(wù)信息類別。 2 信息系統(tǒng)無法提供服務(wù)或無法提供有效服務(wù)對單位完成其業(yè)務(wù)使命影響較大。 省級范圍的服務(wù)網(wǎng)絡(luò)。 1 業(yè)務(wù)信息保密性、完整性或可用性被破壞會對公共利益或本單位經(jīng)濟(jì)利益造成一定損害。 信息系統(tǒng)所屬類型舉例 賦值 信息系統(tǒng)的社會影響 屬于一般企事業(yè)單位處理其內(nèi)部事務(wù)的信息系統(tǒng)。 ?如果信息系統(tǒng)只承載一項(xiàng)業(yè)務(wù)，可以直接為該信息系統(tǒng)確定安全等級，不必劃分業(yè)務(wù)子系統(tǒng)。 ?《 信息系統(tǒng)安全保護(hù)等級定級指南 》 中闡述了如何對信息系統(tǒng)的安全級別進(jìn)行定級，提出了量化流程和方法，各行業(yè)信息系統(tǒng)的主管部門可以根據(jù)該指南制定適合本行業(yè)或部門的具體定級方法和指導(dǎo)意見。 ?安全等級保護(hù)實(shí)施活動與信息系統(tǒng)生命周期中的其他活動有著不可分割的關(guān)系；同時(shí)，安全等級保護(hù)實(shí)施活動又有自己的特點(diǎn)，安全等級保護(hù)工作將貫穿信息系統(tǒng)生命周期的各個階段。 ?通常情況下，安全實(shí)施階段包括安全方案詳細(xì)設(shè)計(jì)、等級保護(hù)安全測評、等級保護(hù)技術(shù)實(shí)施和等級保護(hù)管理實(shí)施等幾個主要活動。 等級保護(hù)實(shí)施過程中各類角色的職責(zé) ?（四）信息安全監(jiān)管機(jī)構(gòu) ? 信息安全監(jiān)管機(jī)構(gòu)的主要責(zé)任是對不同重要程度的信息系統(tǒng)的等級保護(hù)工作給予相應(yīng)的指導(dǎo)，確保等級保護(hù)工作順利開展；按照等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重點(diǎn)對第三級、第四級信息系統(tǒng)的等級保護(hù)狀況進(jìn)行監(jiān)督檢查；發(fā)現(xiàn)存在安全隱患或未達(dá)到等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)要求的要限期整改，使信息系統(tǒng)的安全保護(hù)措施更加完善；對信息系統(tǒng)中使用的信息安全產(chǎn)品的等級進(jìn)行監(jiān)督檢查。 一、基本原則 ?（三）重點(diǎn)保護(hù)原則 ? 根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，通過劃分不同的安全等級，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。評價(jià)信息系統(tǒng)是否達(dá)到了相應(yīng)級別的安全保護(hù)要求的過程，是對信息系統(tǒng)等級保護(hù)進(jìn)行測評的活動。 （八） 《 信息系統(tǒng)安全保護(hù)等級定級指南 》 ?《 信息系統(tǒng)安全保護(hù)等級定級指南 》 為各單位開展、實(shí)施等級保護(hù)提供了一個通用標(biāo)準(zhǔn)奠定了堅(jiān)實(shí)的基礎(chǔ)。 ?該標(biāo)準(zhǔn)作為 GB 17859 — 1999《 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 》 的管理要求，是根據(jù) 《 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 》 的規(guī)定編寫的，是 GB 17859 — 1999的配套標(biāo)準(zhǔn)中的重要標(biāo)準(zhǔn)之一，與上述所介紹的技術(shù)要求共同組成計(jì)算機(jī)信息系統(tǒng)的安全等級保護(hù)體系。 ? （ 2）五個安全等級劃分要求技術(shù)方面細(xì)則。 ? （ 2）安全保證技術(shù)要求，包括 TCB自身安全保護(hù)、TCB設(shè)計(jì)和實(shí)現(xiàn)、 TCB安全管理。 二、安全保護(hù)等級的劃分 等級 對象 侵害客體 侵害程度 監(jiān)管強(qiáng)度 第一級 合法權(quán)益 損害 自主保護(hù) 合法權(quán)益 嚴(yán)重?fù)p害 第二級 一般系統(tǒng) 社會秩序和公共利益 損害 指導(dǎo) 社會秩序和公共利益 嚴(yán)重?fù)p害 第三級 國家安全 損害 監(jiān)督檢查 社會秩序和公共利益 特別嚴(yán)重?fù)p害 第四級 重要系統(tǒng) 國家安全 嚴(yán)重?fù)p害 強(qiáng)制監(jiān)督檢查 第五級 極端重要系統(tǒng) 國家安全 特別嚴(yán)重?fù)p害 專門監(jiān)督檢查 三、信息系統(tǒng)安全等級保護(hù)相關(guān)標(biāo)準(zhǔn) ?我國正式頒布的信息系統(tǒng)安全等級保護(hù)的強(qiáng)制性國家標(biāo)準(zhǔn)是 GB 17859 — 1999《 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 》 ，該準(zhǔn)則于 1999年 9月 13日經(jīng)國家質(zhì)量技術(shù)監(jiān)督局發(fā)布， 2023年 1月 1日起實(shí)施。 二、信息系統(tǒng)安全等級劃分 ?（二）第二級為指導(dǎo)保護(hù)級 ? 其主要對象為一般的信息系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會對社會秩序和公共利益造成一定損害，但不損害國家安全。 三是制定了等級保護(hù)系列技術(shù)標(biāo)準(zhǔn)。 ? 1999年，強(qiáng)制性國家標(biāo)準(zhǔn)－ 《 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 》 GB 17859）。 背景 ? 1994年， 《 中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 》 規(guī)定， “計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級保護(hù)，安全等級的劃分標(biāo)準(zhǔn)和安全等級保護(hù)的具體辦法，由公安部會同有關(guān)部門制定 ” 。 社會層面 ：信息安全產(chǎn)品的研制、生產(chǎn)單位，信息系統(tǒng)的集成、等級測評、風(fēng)險(xiǎn)評估等安全服務(wù)機(jī)構(gòu)，依據(jù)國家有關(guān)管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，開展相應(yīng)工作，并接受國家信息安全職能部門的監(jiān)督管理。 二、信息系統(tǒng)安全等級劃分 ?根據(jù) 《 信息系統(tǒng)安全等級保護(hù)實(shí)施指南 》 的規(guī)定，信息系統(tǒng)可以分為五個安全等級，國家對不同級別的信息和信息系統(tǒng)實(shí)行不同強(qiáng)度的監(jiān)管政策。 ? 本級系統(tǒng)依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，信息安全監(jiān)管職能部門對其進(jìn)行強(qiáng)制監(jiān)督、檢查。 （二） GA/T 390 — 2023《 計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)通用技術(shù)要求 》 ?公安部于 2023年 7月 15日發(fā)布并實(shí)施了 GA/T 390 — 2023《 計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)通用技術(shù)要求 》 。 ?該標(biāo)準(zhǔn)作為計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)要求系列標(biāo)準(zhǔn)的重要組成部分，用于指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)具有所需要的安全等級的數(shù)據(jù)庫管理系統(tǒng)，主要從對數(shù)據(jù)庫管理系統(tǒng)的安全等級進(jìn)行劃分來說明其技術(shù)要求，即主要說明為實(shí)現(xiàn) GB 17859 — 1999所提出的安全等級要求對數(shù)據(jù)庫管理系統(tǒng)應(yīng)采取的安全技術(shù)措施，以及各安全技術(shù)要求在不同安全級中具體實(shí)現(xiàn)的差異。 ? （ 3）詳細(xì)描述了網(wǎng)絡(luò)安全技術(shù)要求。 （七） 《 信息安全技術(shù) ——信息系統(tǒng)安全等級保護(hù)實(shí)施指南 》 ?該標(biāo)準(zhǔn)以信息系統(tǒng)安全等級保護(hù)建設(shè)為主要線索，介紹了信息系統(tǒng)的安全等級和保護(hù)要求等相關(guān)概念；說明了信息系統(tǒng)安全等級保護(hù)實(shí)施過程中涉及的角色；信息系統(tǒng)安全等級保護(hù)實(shí)施的基本原則；信息系統(tǒng)安全等級保護(hù)實(shí)施的基本過程；信息系統(tǒng)安全等級保護(hù)實(shí)施的主要階段和主要活動以及與信息系統(tǒng)生命周期之間的關(guān)系；提出了信息系統(tǒng)安全等級保護(hù)在信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)、實(shí)施流程、具體的活動內(nèi)容以及活動的輸入輸出等，并對其進(jìn)行了詳細(xì)的描述。其中，技術(shù)措施的要求分為物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全五個不同層次；管理手段的要求分為安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)行維護(hù)管理五個不同類別。 第二節(jié) 信息安全等級保護(hù)實(shí)施 ?一、基本原則 ?二、參與角色和職責(zé) ?三、實(shí)施過程 ?四、安全等級保護(hù)與信息系統(tǒng)生命周期的關(guān)系 一、基本原則 ?等級保護(hù)的核心是對信息系統(tǒng)分等級、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。 等級保護(hù)實(shí)施過程中各類角色的職責(zé) ?（一）信息系統(tǒng)主管部門 ? 主要責(zé)任： ? 做好下屬單位的等級保護(hù)監(jiān)督管理工作； ? 組織、協(xié)調(diào)和督促下屬單位按照等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)對信息系統(tǒng)進(jìn)行等級保護(hù)； ? 對下屬單位確定的信息系統(tǒng)安全等級進(jìn)行審批； ? 督促下屬單位定期進(jìn)行安全狀況檢測評估，及時(shí)消除安全隱患和漏洞等。 （二）安全規(guī)劃設(shè)計(jì)階段 ?安全規(guī)劃設(shè)計(jì)階段通過安全需求分析判斷信息系統(tǒng)的安全保護(hù)現(xiàn)狀與國家等級保護(hù)基本要求之間的差距，確定安全需求，然后根據(jù)信息系統(tǒng)的劃分情況、信息系統(tǒng)定級情況、信息系統(tǒng)承載業(yè)務(wù)情況和安全需求等，設(shè)計(jì)合理的、滿足等級保護(hù)要求的總體安全方案，并制定出安全實(shí)施規(guī)劃等，以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程的實(shí)施。系統(tǒng)終止階段的主要活動可能包括對信息的轉(zhuǎn)移、暫存或清除，對設(shè)備的遷移或廢棄，對存儲介質(zhì)的清除或銷毀。 ?由于是已經(jīng)存在的信息系統(tǒng)，工作的重點(diǎn)應(yīng)放在系統(tǒng)定級階段如何劃分信息系統(tǒng)并確定安全等級、在安全規(guī)劃設(shè)計(jì)階段如何規(guī)劃設(shè)計(jì)出符合國家等級保護(hù)要求的安全改造方案、在安全實(shí)施階段如何保證在不影響現(xiàn)有業(yè)務(wù)應(yīng)用的情況下使各類安全措施可以順利落實(shí)等方面。 ?業(yè)務(wù)子系統(tǒng)是按照信息系統(tǒng)所承載的業(yè)務(wù)對信息系統(tǒng)進(jìn)行劃分所形成的子系統(tǒng)。從另一個角度看，信息系統(tǒng)重要程度越高，其遭到破壞后對國家安全、經(jīng)濟(jì)建設(shè)、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度也越高。 3 信息系統(tǒng)資產(chǎn)受到