信息安全等级保护概述

1.1 等级保护的定义 定义

• 信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。
• 信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作。
• 在狭义上称为的一般指信息系统安全等级保护，是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。

介绍

• 信息安全等级保护工作是一项由信息系统主管部门、运营单位、使用单位、安全产品提供方、安全服务提供方、检测评估机构、信息安全监督管理部门等多方参与。
• 涉及技术与管理两个领域的复杂系统工程。
• 对于不同的信息系统划分不同的安全等级，提出逐级增强的安全指标基本要求。

说明

• 从本质上看，信息安全等级保护建设的主要内容，就是要从“机密性、完整性以及可用性”的角度，客观评价保护对象（信息系统）的重要性;
• 选择具有相同强度的保护措施，对保护对象进行充分保护，使信息系统更好地为业务提供保障。

1.2等级保护的意义 形势

信息安全形势严峻

• 敌对势力的入侵攻击破坏
• 违法犯罪持续上升
• 基础信息网络和重要信息系统安全隐患严重

维护国家安全的需要

• 基础信息网络与重要信息系统已成为国家关键基础设施。
• 信息安全是国家安全的重要组成部分
• 信息安全是非传统安全，信息安全本质是信息对抗、技术对抗

是国家信息安全保障工作的基本制度、基本国策

是开展信息安全保障工作的基本方法

是维护国家信息安全的根本保障

目标

• 能够掌握信息系统安全状况
• 排查系统安全隐患和薄弱环节
• 明确信息系统安全建设整改需求
• 能够衡量出信息系统安全保护措施是否符合等级保护基本要求
• 是否具备了相应等级的安全保护能力

意义

• 信息系统安全管理水平明显提高
• 信息系统安全防范能力明显增强
• 信息系统安全隐患和安全事故明显减少
• 有效保障信息化健康发展
• 有效维护国家安全、社会秩序和公共利益

好处

• 实行等级保护，有利于平衡安全与成本，既不能保护不足，导致信息系统的使用、运行存在安全隐患;
• 也不能过度保护，导致信息系统的建设、运维成本过高，等级保护的建设就是要在安全与成本之间寻找平衡点;
• 实行等级保护，有助于突出重点，加强安全建设和管理，等级保护强调，在安全建设中必须做到“技管并重”，并提

出了具体的指标要求，按照等级保护的标准进行建设，将大大提升安全保障体系的广度和深度。

1.3 等级保护工作内容 工作内容

一：定级

二:备案

三:系统建设、整改。

四:开展等级测评。

五:信息安全监管部门定期开展监督检查

1.4 信息系统等级划分 等级划分

• 信息系统的安全保护等级是信息系统的客观属性,不以已采取或将采取什么安全保护措施为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全保护等级。
• 信息网络的安全等级可以参照在其上运行的信息系统的等级、网络的服务范围和自身的安全需求确定适当的保护等级,不以在其上运行的信息系统的最高等级或最低等级为标准。

1.5等级保护政策依据 政策依据

• 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定计算机信息系统实行信息系统安全等级保护
• 2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发200327号)中明确指岀:“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息系统安全等级保护制度,制定信息系统安全等级保护的管理办法和技术指南
• 2004年公安部等四部委《关于信息系统安全等级保护工作的实施意见》(公通字200466号)也指出:“信息系统安全等级保护制度是国家在囯民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度

标准政策

• 1999年9月13日《计算机信息系统安全等级划分准则》GB17859-1999
• 2003年9月,27号文明确提岀国家信息安全按照等级化保护的制度推行
• 2003年10月,公安部《关于信息安全等级保护政策建议》
• 2004年初,信息办领导开始在全国进行等级化保护巡讲(北京、上海、郑州
• 2004年4月,等级化保护制度开始在部分行业和省份进行试点
• 2004年6月,颁布《等级化保护实施指南》等文件
• 2005年8月,北戴河会议,初步通过了部分标准
• 2006年3月,颁布部分标准
• 2006年4月,试点工作启动
• 2007年6月,公安部等四部委联合下发《信息安全等级保护管理办法》

1.6 等级保护相关标准 标准

• 国家已出台70多个国标、行标以及报批标准,从基础、设计、实施、管理、制度等各个方面对等保系统提出了要求和建议。

GB/T20009-2005信息安全技术操作系统安全评估准则
GB17859-1999计算机信息系统安全保护等级划分准则
GB/T20269-2006信息系统安全管理要求
GB/T20282-2006信息安全技术信息系统安全工程管理要求
GB/T20270-2006信息安全技术网络基础安全技术要求
GB/T20271-2006信息安全技术信息系统通用安全技术要求
GB/T20272-2006信息安全技术操作系统安全技术要求
GB/T20273-2006信息安全技术数据库管理系统通用安全技术要求
GB/T22239-2008信息安全技术信息系统安全等级保护基本要求
信息系统安全等级保护实施指南
信息系统安全等级保护定级指南

• 基础类

GB17859-1999
GB/ T CCCC-CCCC报批稿-信安字[2007]10号

• 应用类

定级:GB/T22240-2008
建设:GB/T22239-2008
     GB/T20271-2006
测评:GB/ T DDDD-DDDD报批稿
《信息系统安全等级保护测评过程指南》
管理:《信息系统安全管理要求》GB/T20269-2006
《信息系统安全工程管理要求》

• 管理类

GB/T20269-2006信息安全技术信息系统安全管理要求
GB/T20282-2006信息安全技术信息系统安全工程管理要求

• 技术类

GB/T 20270-2006信息安全技术网络基础安全技术要求
GB/T 20271-2006信息安全技术信息系统通用安全技术要求
GB/T 20272-2006信息安全技术操作系统安全技术要求
GB/T 20273-2006信息安全技术数据库管理系统安全技术要求

摘抄

你今天受的苦，吃的亏，担的责，

扛的罪，忍的痛，到最后都会变成光，

照亮你的路。

– 泰戈尔