【正文】 :30:3721:30Mar2321Mar23 ? 1越是無能的人，越喜歡挑剔別人的錯(cuò)兒。 。 技術(shù)要求分類 ?根據(jù)安全機(jī)制的保護(hù)側(cè)重點(diǎn)，技術(shù)類安全要求又進(jìn)一步細(xì)分為三類 : ? 業(yè)務(wù)信息安全類（簡記為 S類） ? 關(guān)注的是保護(hù)數(shù)據(jù)在存儲(chǔ)、傳輸、處理過程中不被泄漏、破壞和免受未授權(quán)的修改； ? 業(yè)務(wù)服務(wù)保證類（簡記為 A類） ? 關(guān)注的是保護(hù)系統(tǒng)連續(xù)正常的運(yùn)行，免受對系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用； ? 通用安全保護(hù)類（簡記為 G類） ? 沒有明顯的側(cè)重，既關(guān)注保護(hù)業(yè)務(wù)信息的安全性，同時(shí)也關(guān)注保護(hù)系統(tǒng)的連續(xù)可用性。 – 業(yè)務(wù)依賴程度在將來會(huì)進(jìn)一步提高，或隨著信息系統(tǒng)所承載的業(yè)務(wù)不斷完善和穩(wěn)定，與信息系統(tǒng)并行的手工處理（或老的系統(tǒng)）的業(yè)務(wù)將有可能取消。為體現(xiàn)重點(diǎn)保護(hù)重要信息系統(tǒng)安全，有效控制信息安全建設(shè)成本，優(yōu)化信息安全資源配置的等級(jí)保護(hù)原則，在進(jìn)行信息系統(tǒng)的劃分時(shí)應(yīng)考慮以下幾個(gè)方面： 相同的管理機(jī)構(gòu) 相同的業(yè)務(wù)類型 相同的物理位置或相似的運(yùn)行環(huán)境 信息系統(tǒng)劃分 定級(jí)對象： 如果信息系統(tǒng)只承載一項(xiàng)業(yè)務(wù)，可以直接為該信息系統(tǒng)確定等級(jí)。 決定信息系統(tǒng)重要性的要素 ? （四）業(yè)務(wù)對信息系統(tǒng)的依賴程度 ? 根據(jù)信息系統(tǒng)因完整性和可用性受到破壞，無法提供服務(wù)或無法提供有效服務(wù)對單位完成其業(yè)務(wù)使命的最大影響程度，典型的業(yè)務(wù)依賴程度、賦值及相關(guān)影響如下表所示。 屬于黨政機(jī)關(guān)處理國家事務(wù)的信息系統(tǒng)。信息系統(tǒng)內(nèi)的各業(yè)務(wù)子系統(tǒng)一般有較為緊密的關(guān)聯(lián)，可能存在共用設(shè)備或較為頻繁的數(shù)據(jù)交換。 （五）系統(tǒng)終止階段 ?系統(tǒng)終止階段是對信息系統(tǒng)的過時(shí)或無用部分進(jìn)行報(bào)廢處理的過程，主要涉及對信息、設(shè)備、存儲(chǔ)介質(zhì)或整個(gè)信息系統(tǒng)的廢棄處理。次要角色將參與等級(jí)保護(hù)實(shí)施過程的某一個(gè)或多個(gè)活動(dòng)。每一級(jí)別的技術(shù)措施和管理手段具體要求都被明確提出并分類組織。 ? （ 2）詳細(xì)描述了網(wǎng)絡(luò)基本安全技術(shù)，包括自主訪問控制、強(qiáng)制訪問控制、標(biāo)記、用戶身份鑒別、剩余信息保護(hù)、安全審計(jì)、數(shù)據(jù)完整性、隱蔽信道分析、可信路徑、可信恢復(fù)、抗抵賴、密碼支持等。 （一） GB 17859 — 1999《 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 》 ? GB 17859 — 1999規(guī)定了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí)； ?定義了計(jì)算機(jī)信息系統(tǒng)、計(jì)算機(jī)信息系統(tǒng)可信計(jì)算機(jī)、客體、主體、敏感標(biāo)記、安全策略、信道、隱蔽信道、訪問監(jiān)控器； ?描述了五個(gè)等級(jí)的細(xì)則。 七是籌備召開全國信息系統(tǒng)定級(jí)工作。開展信息安全等級(jí)保護(hù)工作是保護(hù)信息化發(fā)展、維護(hù)國家信息安全的根本保障，是信息安全保障工作中國家意志的體現(xiàn)。 四是開展了等級(jí)保護(hù)基礎(chǔ)調(diào)查工作。隨后圍繞 GB 17859 — 1999編寫和制定了一系列與信息系統(tǒng)安全等級(jí)保護(hù)有關(guān)的標(biāo)準(zhǔn)和指南，旨在規(guī)范和指導(dǎo)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施過程中的活動(dòng)。 （五） GA/T 387 — 2023《 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求 》 ?公安部于 2023年 7月 15日發(fā)布并實(shí)施 ?該標(biāo)準(zhǔn)作為計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)要求系列標(biāo)準(zhǔn)的重要組成部分，用于指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)具有所需要的安全等級(jí)的網(wǎng)絡(luò)系統(tǒng)，主要從對網(wǎng)絡(luò)系統(tǒng)的安全等級(jí)進(jìn)行劃分來說明其技術(shù)要求，即主要說明為實(shí)現(xiàn) GB 17859 — 1999所提出的安全等級(jí)要求對網(wǎng)絡(luò)系統(tǒng)應(yīng)采取的安全技術(shù)措施，以及各安全技術(shù)要求在不同安全級(jí)中具體實(shí)現(xiàn)的差異。 ?各單位首先根據(jù) 《 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》 中的標(biāo)準(zhǔn)方法，明確確定本單位信息系統(tǒng)的安全等級(jí)，一旦等級(jí)確定完成，后續(xù)的建設(shè)和運(yùn)行維護(hù)工作，再參考 《 信息安全技術(shù) ——信息系統(tǒng)安全等級(jí)保護(hù)基本要求 》 實(shí)施。 ?（四）適當(dāng)調(diào)整原則 ? 要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護(hù)措施。安全管理體系的建設(shè)應(yīng)該貫穿信息系統(tǒng)的整個(gè)生命周期，涉及等級(jí)保護(hù)實(shí)施過程的各個(gè)階段。 一、信息系統(tǒng)和業(yè)務(wù)子系統(tǒng) ?信息系統(tǒng)是基于計(jì)算機(jī)或計(jì)算機(jī)網(wǎng)絡(luò)，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索和服務(wù)的人機(jī)系統(tǒng)。 1 信息系統(tǒng)資產(chǎn)受到破壞會(huì)對本單位利益有直接影響。 2 信息系統(tǒng)因無法提供服務(wù)或無法提供有效服務(wù)會(huì)對較大范圍的資產(chǎn)造成損害。 ? 系統(tǒng)服務(wù)范圍，包括服務(wù)對象和服務(wù)網(wǎng)絡(luò)覆蓋范圍。 信息系統(tǒng)的安全保護(hù)等級(jí)由各業(yè)務(wù)子系統(tǒng)的最高等級(jí)決定。 ?信息系統(tǒng)等級(jí)保護(hù)的安全基本要求分為技術(shù)要求和管理要求兩大類。 21:30:3721:30:3721:30Tuesday, March 21, 2023 ? 1乍見翻疑夢，相悲各問年。 下午 9時(shí) 30分 37秒 下午 9時(shí) 30分 21:30: ? 楊柳散和風(fēng)，青山澹吾慮。 :30:3721:30:37March 21, 2023 ? 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 下午 9時(shí) 30分 37秒 下午 9時(shí) 30分 21:30: ? 沒有失敗，只有暫時(shí)停止成功！。 不同安全等級(jí)的信息系統(tǒng)可以選擇的保護(hù)要求組合 安全等級(jí) 信息系統(tǒng)保護(hù)要求的組合 第一級(jí) S1A1G1 第二級(jí) S1A2G2， S2A2G2， S2A1G2 第三級(jí) S1A3G3， S2A3G3， S3A3G3， S3A2G3， S3A1G3 第四級(jí) S1A4G4， S2A4G4， S3A4G4， S4A4G4， S4A3G4， S4A2G4，S4A1G4 基本要求進(jìn)行選擇的過程 ? 首先，基本要求的選擇由信息系統(tǒng)的安全等級(jí)確定，基本要求包括技術(shù)要求和管理要求。 例 1系統(tǒng)定級(jí) 系統(tǒng)等級(jí)分析 網(wǎng)站信息屬公開信息，其業(yè)務(wù)信息類型賦值為 1； 省政府為黨政機(jī)關(guān)，其信息系統(tǒng)類型賦值為 3； 查表知 ZFWZ系統(tǒng)的業(yè)務(wù)信息安全性等級(jí)為 2級(jí)，如下表所示： 例 1系統(tǒng)定級(jí) 系統(tǒng)等級(jí)分析 業(yè)務(wù)信息安全性等級(jí)矩陣 業(yè)務(wù)信息類型 信息系統(tǒng)類型 1 2 3 1 1 2 2 2 2 3 3 3 4 4 例 1系統(tǒng)定級(jí) 系統(tǒng)等級(jí)分析 ZFWZ系統(tǒng)為省內(nèi)企業(yè)和市民服務(wù)，其系統(tǒng)服務(wù)范圍賦值為 2； ZFWZ系統(tǒng)對實(shí)時(shí)性要求不高，沒有必須通過網(wǎng)絡(luò)才能夠執(zhí)行的辦事流程。 信息系統(tǒng)劃分 信息系統(tǒng)內(nèi)的各業(yè)務(wù)子系統(tǒng)一般有較為緊密的關(guān)聯(lián)，可能存在共用設(shè)備或較為頻繁的數(shù)據(jù)交換。 業(yè)務(wù)處理流程的部分環(huán)節(jié)可以通過手工方式或其他方式替代完成，自動(dòng)化程度中。 業(yè)務(wù)信息類型舉例 賦值 業(yè)務(wù)信息的安全影響 可以對外公開發(fā)布的信息，或不對外發(fā)布的單位內(nèi)部一般信息。業(yè)務(wù)子系統(tǒng)應(yīng)具有信息系統(tǒng)的全部特點(diǎn)，是由計(jì)算機(jī)硬件、計(jì)算機(jī)網(wǎng)絡(luò)硬件以及安裝于這些硬件上的軟件、提供的服務(wù)以及相關(guān)人員構(gòu)成的一個(gè)有形實(shí)體，并且承載確定的業(yè)務(wù)。 四、安全等級(jí)保護(hù)與信息系統(tǒng)生命周期的關(guān)系 ?信息系統(tǒng)生命周期包括五個(gè)階段，即啟動(dòng)準(zhǔn)備階段、設(shè)計(jì) /開發(fā)階段、實(shí)施 /實(shí)現(xiàn)階段、運(yùn)行維護(hù)階段和系統(tǒng)終止階段。 等級(jí)保護(hù)實(shí)施過程中各類角色的職責(zé) ?（三）信息系統(tǒng)安全服務(wù)商 ? 信息系統(tǒng)安全服務(wù)商的主要責(zé)任是根據(jù)信息系統(tǒng)運(yùn)營、使用單位的委托，按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，協(xié)助信息系統(tǒng)運(yùn)營、使用單位完成等級(jí)保護(hù)的相關(guān)工作，可能包括確定其信息系統(tǒng)的安全等級(jí)、進(jìn)行安全需求分析、進(jìn)行信息系統(tǒng)的規(guī)劃設(shè)計(jì)、建設(shè)施工等。 （十） 《 信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)準(zhǔn)則 》 ?各單位對信息系統(tǒng)安全等級(jí)保護(hù)的實(shí)施力度和遵循情況，不僅需要各單位自身進(jìn)行檢查和評(píng)估，而且需要信息安全監(jiān)管職能部門依法進(jìn)行監(jiān)督、檢查。 （六） GA/T 391 — 2023《 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求 》 ?公安部于 2023年 7月 18日發(fā)布并實(shí)施。 （二） GA/T 390 — 2023《 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求 》 ?GA/T 390 — 2023主要內(nèi)容為： ? （ 1）安全功能技術(shù)要求，包括物理安全、運(yùn)行安全、信息安全。 ? 本級(jí)系統(tǒng)依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)。 ——法律依據(jù)。 等級(jí)保護(hù)制度的基本思想 信息安全等級(jí)保護(hù)的工作進(jìn)展 一是 2023年 1月制定出臺(tái)了 《 信息安全等級(jí)保護(hù)管理辦法（試行） 》 。 二、信息系統(tǒng)安全等級(jí)劃分 ?（五）第五級(jí)為?？乇Ｗo(hù)級(jí) ? 其主要對象為涉及國家安全、社會(huì)秩序和公共利益的重要信息系統(tǒng)的核心子系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會(huì)對國家安全、社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害。 ?對計(jì)算機(jī)信息系統(tǒng)五個(gè)安全保護(hù)等級(jí)每一級(jí)的安全功能技術(shù)要求和安全保證技術(shù)要求進(jìn)行詳細(xì)描述。 （八） 《 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南 》 ?根據(jù) 《 信息安全技術(shù) ——信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 》 中等級(jí)保護(hù)實(shí)施的生命周期，要對信息系統(tǒng)進(jìn)行安全等級(jí)保護(hù)，首先就要科學(xué)地確定信息系統(tǒng)的安全等級(jí)， 《 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》 給出了如何對信息系統(tǒng)的安全等級(jí)進(jìn)行確定的規(guī)范化規(guī)定和描述。 ?等級(jí)保護(hù)在實(shí)施過程中應(yīng)遵循以下基本原則： ?（一）自主保護(hù)原則 ? 由各主管部門和運(yùn)營、使用單位按照國家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定信息系統(tǒng)的安全等級(jí)，自行組織實(shí)施安全保護(hù)。 ?通常情況下，安全規(guī)劃設(shè)計(jì)階段包括安全需求分析、安全總體設(shè)計(jì)、安全建設(shè)規(guī)劃等幾個(gè)主要活動(dòng)。 第三節(jié) 信息系統(tǒng)安全等級(jí)確定 ?一、信息系統(tǒng)和業(yè)務(wù)子系統(tǒng) ?二、決定信息系統(tǒng)安全保護(hù)等級(jí)的因素 ?三、確定信息系統(tǒng)安全保護(hù)等級(jí)的步驟 ?四、信息系統(tǒng)安全保護(hù)等級(jí)的確定方法 ?五、定級(jí)案例分析 第三節(jié) 信息系統(tǒng)安全等級(jí)確定 ?系統(tǒng)定級(jí)是實(shí)施等級(jí)保護(hù)的前提和基礎(chǔ)。 決定信息系統(tǒng)重要性的要素 ? （一）信息系統(tǒng)所屬類型，即信息系統(tǒng)資產(chǎn)的安全利益主體 ? 信息系統(tǒng)所屬類型在較大程度上決定了信息系統(tǒng)受到破壞后對其社會(huì)價(jià)值的影響程度。 信息系統(tǒng)服務(wù)范圍舉例 賦值 服務(wù)范圍的影響 地區(qū)范圍的服務(wù)網(wǎng)絡(luò)。 ? 合理性原則 ? 不同于信息安全產(chǎn)品，信息系統(tǒng)千差萬別，各具特色，只有在劃分安全保護(hù)等級(jí)的過程中，盡可能反映出信息系統(tǒng)的主要安全特征，合理劃分等級(jí)，才能做到突出重點(diǎn)，適度保護(hù)。 業(yè)務(wù)依賴程度舉例 典型的依賴程度 業(yè)務(wù)依賴程度賦值 業(yè)務(wù)依賴程度類型 1 整個(gè)業(yè)務(wù)處理流程可以通過手工方式或其他方式完成 2 業(yè)務(wù)處理流程的部分環(huán)節(jié)可以通過手工方式或其他方式替代完成 3 業(yè)務(wù)處理流程完全依賴信息系統(tǒng)，手工方式無法完成。 安全保護(hù)能力等級(jí)劃分 ?3級(jí)安全保護(hù)能力：應(yīng)具有能夠?qū)箒碜源笮偷?、有組織的團(tuán)體（如一個(gè)商業(yè)情