【正文】 :10:5123:10Mar238Mar23 ? 1越是無能的人，越喜歡挑剔別人的錯兒。 。 技術(shù)要求分類 ?根據(jù)安全機制的保護側(cè)重點，技術(shù)類安全要求又進一步細分為三類 : ? 業(yè)務(wù)信息安全類（簡記為 S類） ? 關(guān)注的是保護數(shù)據(jù)在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權(quán)的修改； ? 業(yè)務(wù)服務(wù)保證類（簡記為 A類） ? 關(guān)注的是保護系統(tǒng)連續(xù)正常的運行，免受對系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用； ? 通用安全保護類（簡記為 G類） ? 沒有明顯的側(cè)重，既關(guān)注保護業(yè)務(wù)信息的安全性，同時也關(guān)注保護系統(tǒng)的連續(xù)可用性。 – 業(yè)務(wù)依賴程度在將來會進一步提高，或隨著信息系統(tǒng)所承載的業(yè)務(wù)不斷完善和穩(wěn)定，與信息系統(tǒng)并行的手工處理（或老的系統(tǒng)）的業(yè)務(wù)將有可能取消。為體現(xiàn)重點保護重要信息系統(tǒng)安全，有效控制信息安全建設(shè)成本，優(yōu)化信息安全資源配置的等級保護原則，在進行信息系統(tǒng)的劃分時應(yīng)考慮以下幾個方面： 相同的管理機構(gòu) 相同的業(yè)務(wù)類型 相同的物理位置或相似的運行環(huán)境 信息系統(tǒng)劃分 定級對象： 如果信息系統(tǒng)只承載一項業(yè)務(wù)，可以直接為該信息系統(tǒng)確定等級。 決定信息系統(tǒng)重要性的要素 ? （四）業(yè)務(wù)對信息系統(tǒng)的依賴程度 ? 根據(jù)信息系統(tǒng)因完整性和可用性受到破壞，無法提供服務(wù)或無法提供有效服務(wù)對單位完成其業(yè)務(wù)使命的最大影響程度，典型的業(yè)務(wù)依賴程度、賦值及相關(guān)影響如下表所示。 屬于黨政機關(guān)處理國家事務(wù)的信息系統(tǒng)。信息系統(tǒng)內(nèi)的各業(yè)務(wù)子系統(tǒng)一般有較為緊密的關(guān)聯(lián)，可能存在共用設(shè)備或較為頻繁的數(shù)據(jù)交換。 （五）系統(tǒng)終止階段 ?系統(tǒng)終止階段是對信息系統(tǒng)的過時或無用部分進行報廢處理的過程，主要涉及對信息、設(shè)備、存儲介質(zhì)或整個信息系統(tǒng)的廢棄處理。次要角色將參與等級保護實施過程的某一個或多個活動。每一級別的技術(shù)措施和管理手段具體要求都被明確提出并分類組織。 ? （ 2）詳細描述了網(wǎng)絡(luò)基本安全技術(shù)，包括自主訪問控制、強制訪問控制、標記、用戶身份鑒別、剩余信息保護、安全審計、數(shù)據(jù)完整性、隱蔽信道分析、可信路徑、可信恢復(fù)、抗抵賴、密碼支持等。 （一） GB 17859 — 1999《 計算機信息系統(tǒng)安全保護等級劃分準則 》 ? GB 17859 — 1999規(guī)定了計算機信息系統(tǒng)安全保護能力的五個等級； ?定義了計算機信息系統(tǒng)、計算機信息系統(tǒng)可信計算機、客體、主體、敏感標記、安全策略、信道、隱蔽信道、訪問監(jiān)控器； ?描述了五個等級的細則。 七是籌備召開全國信息系統(tǒng)定級工作。開展信息安全等級保護工作是保護信息化發(fā)展、維護國家信息安全的根本保障，是信息安全保障工作中國家意志的體現(xiàn)。 四是開展了等級保護基礎(chǔ)調(diào)查工作。隨后圍繞 GB 17859 — 1999編寫和制定了一系列與信息系統(tǒng)安全等級保護有關(guān)的標準和指南，旨在規(guī)范和指導(dǎo)信息系統(tǒng)安全等級保護實施過程中的活動。 （五） GA/T 387 — 2023《 計算機信息系統(tǒng)安全等級保護網(wǎng)絡(luò)技術(shù)要求 》 ?公安部于 2023年 7月 15日發(fā)布并實施 ?該標準作為計算機信息系統(tǒng)安全等級保護要求系列標準的重要組成部分，用于指導(dǎo)設(shè)計者如何設(shè)計和實現(xiàn)具有所需要的安全等級的網(wǎng)絡(luò)系統(tǒng)，主要從對網(wǎng)絡(luò)系統(tǒng)的安全等級進行劃分來說明其技術(shù)要求，即主要說明為實現(xiàn) GB 17859 — 1999所提出的安全等級要求對網(wǎng)絡(luò)系統(tǒng)應(yīng)采取的安全技術(shù)措施，以及各安全技術(shù)要求在不同安全級中具體實現(xiàn)的差異。 ?各單位首先根據(jù) 《 信息系統(tǒng)安全保護等級定級指南》 中的標準方法，明確確定本單位信息系統(tǒng)的安全等級，一旦等級確定完成，后續(xù)的建設(shè)和運行維護工作，再參考 《 信息安全技術(shù) ——信息系統(tǒng)安全等級保護基本要求 》 實施。 ?（四）適當調(diào)整原則 ? 要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護措施。安全管理體系的建設(shè)應(yīng)該貫穿信息系統(tǒng)的整個生命周期，涉及等級保護實施過程的各個階段。 一、信息系統(tǒng)和業(yè)務(wù)子系統(tǒng) ?信息系統(tǒng)是基于計算機或計算機網(wǎng)絡(luò)，按照一定的應(yīng)用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索和服務(wù)的人機系統(tǒng)。 1 信息系統(tǒng)資產(chǎn)受到破壞會對本單位利益有直接影響。 2 信息系統(tǒng)因無法提供服務(wù)或無法提供有效服務(wù)會對較大范圍的資產(chǎn)造成損害。 ? 系統(tǒng)服務(wù)范圍，包括服務(wù)對象和服務(wù)網(wǎng)絡(luò)覆蓋范圍。 信息系統(tǒng)的安全保護等級由各業(yè)務(wù)子系統(tǒng)的最高等級決定。 ?信息系統(tǒng)等級保護的安全基本要求分為技術(shù)要求和管理要求兩大類。 23:10:5123:10:5123:10Wednesday, March 8, 2023 ? 1乍見翻疑夢，相悲各問年。 下午 11時 10分 51秒 下午 11時 10分 23:10: ? 楊柳散和風(fēng)，青山澹吾慮。 :10:5123:10:51March 8, 2023 ? 1意志堅強的人能把世界放在手中像泥塊一樣任意揉捏。 下午 11時 10分 51秒 下午 11時 10分 23:10: ? 沒有失敗，只有暫時停止成功！。 不同安全等級的信息系統(tǒng)可以選擇的保護要求組合 安全等級 信息系統(tǒng)保護要求的組合 第一級 S1A1G1 第二級 S1A2G2， S2A2G2， S2A1G2 第三級 S1A3G3， S2A3G3， S3A3G3， S3A2G3， S3A1G3 第四級 S1A4G4， S2A4G4， S3A4G4， S4A4G4， S4A3G4， S4A2G4，S4A1G4 基本要求進行選擇的過程 ? 首先，基本要求的選擇由信息系統(tǒng)的安全等級確定，基本要求包括技術(shù)要求和管理要求。 例 1系統(tǒng)定級 系統(tǒng)等級分析 網(wǎng)站信息屬公開信息，其業(yè)務(wù)信息類型賦值為 1； 省政府為黨政機關(guān)，其信息系統(tǒng)類型賦值為 3； 查表知 ZFWZ系統(tǒng)的業(yè)務(wù)信息安全性等級為 2級，如下表所示： 例 1系統(tǒng)定級 系統(tǒng)等級分析 業(yè)務(wù)信息安全性等級矩陣 業(yè)務(wù)信息類型 信息系統(tǒng)類型 1 2 3 1 1 2 2 2 2 3 3 3 4 4 例 1系統(tǒng)定級 系統(tǒng)等級分析 ZFWZ系統(tǒng)為省內(nèi)企業(yè)和市民服務(wù)，其系統(tǒng)服務(wù)范圍賦值為 2； ZFWZ系統(tǒng)對實時性要求不高，沒有必須通過網(wǎng)絡(luò)才能夠執(zhí)行的辦事流程。 信息系統(tǒng)劃分 信息系統(tǒng)內(nèi)的各業(yè)務(wù)子系統(tǒng)一般有較為緊密的關(guān)聯(lián)，可能存在共用設(shè)備或較為頻繁的數(shù)據(jù)交換。 業(yè)務(wù)處理流程的部分環(huán)節(jié)可以通過手工方式或其他方式替代完成，自動化程度中。 業(yè)務(wù)信息類型舉例 賦值 業(yè)務(wù)信息的安全影響 可以對外公開發(fā)布的信息，或不對外發(fā)布的單位內(nèi)部一般信息。業(yè)務(wù)子系統(tǒng)應(yīng)具有信息系統(tǒng)的全部特點，是由計算機硬件、計算機網(wǎng)絡(luò)硬件以及安裝于這些硬件上的軟件、提供的服務(wù)以及相關(guān)人員構(gòu)成的一個有形實體，并且承載確定的業(yè)務(wù)。 四、安全等級保護與信息系統(tǒng)生命周期的關(guān)系 ?信息系統(tǒng)生命周期包括五個階段，即啟動準備階段、設(shè)計 /開發(fā)階段、實施 /實現(xiàn)階段、運行維護階段和系統(tǒng)終止階段。 等級保護實施過程中各類角色的職責 ?（三）信息系統(tǒng)安全服務(wù)商 ? 信息系統(tǒng)安全服務(wù)商的主要責任是根據(jù)信息系統(tǒng)運營、使用單位的委托，按照等級保護的管理規(guī)范和技術(shù)標準，協(xié)助信息系統(tǒng)運營、使用單位完成等級保護的相關(guān)工作，可能包括確定其信息系統(tǒng)的安全等級、進行安全需求分析、進行信息系統(tǒng)的規(guī)劃設(shè)計、建設(shè)施工等。 （十） 《 信息系統(tǒng)安全等級保護測評準則 》 ?各單位對信息系統(tǒng)安全等級保護的實施力度和遵循情況，不僅需要各單位自身進行檢查和評估，而且需要信息安全監(jiān)管職能部門依法進行監(jiān)督、檢查。 （六） GA/T 391 — 2023《 計算機信息系統(tǒng)安全等級保護管理要求 》 ?公安部于 2023年 7月 18日發(fā)布并實施。 （二） GA/T 390 — 2023《 計算機信息系統(tǒng)安全等級保護通用技術(shù)要求 》 ?GA/T 390 — 2023主要內(nèi)容為： ? （ 1）安全功能技術(shù)要求，包括物理安全、運行安全、信息安全。 ? 本級系統(tǒng)依照國家管理規(guī)范和技術(shù)標準進行自主保護。 ——法律依據(jù)。 等級保護制度的基本思想 信息安全等級保護的工作進展 一是 2023年 1月制定出臺了 《 信息安全等級保護管理辦法（試行） 》 。 二、信息系統(tǒng)安全等級劃分 ?（五）第五級為?？乇Ｗo級 ? 其主要對象為涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)的核心子系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會對國家安全、社會秩序和公共利益造成特別嚴重損害。 ?對計算機信息系統(tǒng)五個安全保護等級每一級的安全功能技術(shù)要求和安全保證技術(shù)要求進行詳細描述。 （八） 《 信息系統(tǒng)安全保護等級定級指南 》 ?根據(jù) 《 信息安全技術(shù) ——信息系統(tǒng)安全等級保護實施指南 》 中等級保護實施的生命周期，要對信息系統(tǒng)進行安全等級保護，首先就要科學(xué)地確定信息系統(tǒng)的安全等級， 《 信息系統(tǒng)安全保護等級定級指南》 給出了如何對信息系統(tǒng)的安全等級進行確定的規(guī)范化規(guī)定和描述。 ?等級保護在實施過程中應(yīng)遵循以下基本原則： ?（一）自主保護原則 ? 由各主管部門和運營、使用單位按照國家相關(guān)法規(guī)和標準，自主確定信息系統(tǒng)的安全等級，自行組織實施安全保護。 ?通常情況下，安全規(guī)劃設(shè)計階段包括安全需求分析、安全總體設(shè)計、安全建設(shè)規(guī)劃等幾個主要活動。 第三節(jié) 信息系統(tǒng)安全等級確定 ?一、信息系統(tǒng)和業(yè)務(wù)子系統(tǒng) ?二、決定信息系統(tǒng)安全保護等級的因素 ?三、確定信息系統(tǒng)安全保護等級的步驟 ?四、信息系統(tǒng)安全保護等級的確定方法 ?五、定級案例分析 第三節(jié) 信息系統(tǒng)安全等級確定 ?系統(tǒng)定級是實施等級保護的前提和基礎(chǔ)。 決定信息系統(tǒng)重要性的要素 ? （一）信息系統(tǒng)所屬類型，即信息系統(tǒng)資產(chǎn)的安全利益主體 ? 信息系統(tǒng)所屬類型在較大程度上決定了信息系統(tǒng)受到破壞后對其社會價值的影響程度。 信息系統(tǒng)服務(wù)范圍舉例 賦值 服務(wù)范圍的影響 地區(qū)范圍的服務(wù)網(wǎng)絡(luò)。 ? 合理性原則 ? 不同于信息安全產(chǎn)品，信息系統(tǒng)千差萬別，各具特色，只有在劃分安全保護等級的過程中，盡可能反映出信息系統(tǒng)的主要安全特征，合理劃分等級，才能做到突出重點，適度保護。 業(yè)務(wù)依賴程度舉例 典型的依賴程度 業(yè)務(wù)依賴程度賦值 業(yè)務(wù)依賴程度類型 1 整個業(yè)務(wù)處理流程可以通過手工方式或其他方式完成 2 業(yè)務(wù)處理流程的部分環(huán)節(jié)可以通過手工方式或其他方式替代完成 3 業(yè)務(wù)處理流程完全依賴信息系統(tǒng)，手工方式無法完成。 安全保護能力等級劃分 ?3級安全保護能力：應(yīng)具有能夠?qū)箒碜源笮偷?、有組織的團