3等级保护基本要求.ppt

等级保护基本要求 内容概要 基本概念 主要作用及特点 信息系统的五个安全等级 不同安全等级的安全保护能力 技术要求和管理要求 技术要求的三种类型 基本要求的选择 安全目标 安全目标与不同等级间的关系 安全威胁 威胁对抗能力和恢复能力 安全要求和不同等级的差别 背景介绍 2004年，66号文件中指出“信息安全等级保护工作是个庞大的系统工程，关系到国家信息化建议的方方面面，这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施，信息安全等级保护制度计划用三年左右的时间在全国范围内反三个阶段实施。”信息安全等级保护工作第一阶段为准备阶段，准备阶段中重要工作之一是“加快制定、完善管理规范和技术标准体系”。依据此要求，《基本要求》列入了首批需完成的6个之一。 基本要求的作用 《基本要求》对等级保护工作的安全控制选择、调整、实施等提出规范性要求，根据使用对象不同，其主要作用分为三种。 为信息系统建设单位和运营、使用单位提供技术指导 为评估机构提供评估依据 为职能监督部门提供监督检查依据 基本要求主要特点 《基本要求》是针对每个等级的信息系统提出相应安全保护要求，“基本”意味着这些要求是针对该等级的信息系统达到基本保护能力而提出的，也就是说，这写要求的实现能够保证系统达到相应等级的基本能力，但反过来说，系统达到响应等级保护的能力并不仅仅安全依靠这些安全保护要求。同时， 《基本要求》强调的是“要求”，而不是具体实方案或作业指导书， 《基本要求》给出了系统每一保护方面需达到的要求，至于这种要求采取何种方式实现，不在《基本要求》的描述范围内。 按照《基本要求》进行保护后，信息系统达到一种安全状态，具备了相应等级的保护能力 信息系统的五个安全等级 第一级为自主保护级 主要对象为一般的信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序和公共利益。 第二级为指导保护级 主要对象为一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全。 第三级为监督保护级 主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成损害。 第四级为强制保护级 主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害。 第五级为专控保护级 主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重损害。 不同安全等级的安全保护能力 第一级安全保护能力：应具有能够对抗来自个人的、拥有很少资源（如利用公开可获取的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度弱、持续时间很短、系统局部范围等）以及其他相当危害程度威胁的能力，并在威胁发生后，能够恢复部分功能。 第二级安全保护能力：应具有能够对抗来自小型组织的（如自发的三两人组成的黑客组织）、拥有少量资源（如个别人员能力、公开可获或特定开发的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度一般、持续时间短、覆盖范围小（局部性）等）以及其他相当危害程度（无意失误、设备故障等）威胁的能力，并在威胁发生后，能够在一段时间内恢复部分功能 不同安全等级的安全保护能力 第三级安全保护能力：应具有能够对抗来自大型的、有组织的团体（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严重的自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较广（地区性）等）以及其他相当危害程度（内部人员的恶意威胁、设备的较严重故障等）威胁的能力，并在威胁发生后，能够较快恢复绝大部分功能。 第四级安全保护能力：应具有能够对抗来自敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难（灾难发生的强度大、持续时间长、覆盖范围广（多地区性）等）以及其他相当危害程度（内部人员的恶意威胁、设备的严重故障等）威胁的能力，并在威胁发生后，能够迅速恢复所有功能 技术要求和管理要求 信息系统的安全等级保护是依据信息系统的安全等级情况保证它们具有相应等级的基本安全保护能力，不同安全等级的信息系统要求具有不同的安全保护能力。 技术要求与管理要求是确保信息系统安全不可分割的两个部分，两者之间既互相独立，又互相关联，在一些情况下，技术和管理能够发挥它们各自的作用；在另一些情况下，需要同时使用技术和管理