等级保护实施技术环节说明

等级保护实施技术环节说明内容摘要：

保护，对终端通过身份鉴别和访问控制等措施加以控制。 处理涉密信息的终端必须划分到相应的信息系统中，且不能与非涉密系统共用终端。 定级阶段 关于系统边界 公安部 信息安全等级保护评估中心 2020/11/4 26 定级阶段 定级对象举例 公安部 信息安全等级保护评估中心 2020/11/4 27 定级阶段 定级对象举例 城 城 城城 城 城 城城 城 城城 城 城 城 城 城城 城 城 城 城城 城 城 城 城I D S城 城 城 城城 城 城城 城 城 1城 城 城城 城 城 2城 城 城城 城 城城 城 城 城 城千 兆I D S城 城 城 城 城 城城 城 城 城 城 1 城城 城 城 城 城 2城 城 城 城 城 城城 城 城 城 城城 城 城 城城 城 城 城城 城 城 城城 城 城 城 城O A 城 城城 城 城 城城 城 城城 城 城 城城 城 城城 城 城城 城 城 城城 城 城城 城 城城 城 城项 项 项项 项 项项 项 项项 项 项城 城 城 城 城. . .城 城 城 城 城 城城 城 城 城 城 城城 城 城 城公安部 信息安全等级保护评估中心 2020/11/4 28 识别单位基本信息 – 了解单位基本信息有助于判断单位的职能特点，单位所在行业及单位在行业所处的地位和所用，由此判断单位主要信息系统的宏观定位。 识别业务种类、流程和服务 – 应重点了解定级对象信息系统中不同业务系统提供的服务在影响履行单位职能方面具体方式和程度，影响的区域范围、用户人数、业务量的具体数据以及对本单位以外机构或个人的影响等方面。 这些具体数据即可以为主管部门制定定级指导意见提供参照，也可以作为主管部门审批定级结果的重要依据。 定级阶段 关于定级过程 公安部 信息安全等级保护评估中心 2020/11/4 29 识别信息 – 调查了解定级对象信息系统所处理的信息，了解单位对信息的三个安全属性的需求，了解不同业务数据在其保密性、完整性和可用性被破坏后在单位职能、单位资金、单位信誉、人身安全等方面可能对国家、社会、本单位造成的影响，对影响程度的描述应尽可能量化。 识别网络结构和边界 – 调查了解定级对象信息系统所在单位的整体网络状况、安全防护和外部连接情况，目的是了解信息系统所处的单位内部网络环境和外部环境特点，以及该信息系统的网络安全保护与单位内部网络环境的安全保护的关系。 定级阶段 关于定级过程 公安部 信息安全等级保护评估中心 2020/11/4 30 识别主要的软硬件设备 – 调查了解与定级对象信息系统相关的服务器、网络、终端、存储设备以及安全设备等，设备所在网段，在系统中的功能和作用。 调查设备的位置和作用主要就是发现不同信息系统在设备使用方面的共用程度。 识别用户类型和分布 – 调查了解各系统的管理用户和一般用户，内部用户和外部用户，本地用户和远程用户等类型，了解用户或用户群的数量分布，判断系统服务中断或系统信息被破坏可能影响的范围和程度。 形成定级结果 – 取各类信息和服务的较高。 定级阶段 关于定级过程 公安部 信息安全等级保护评估中心 2020/11/4 31 系统建设和改建阶段相关技术环节 – 安全需求分析方法 – 系统的安全等级保护设计、实施方案设计 – 系统改建实施方案设计 系统建设和改建阶段 公安部 信息安全等级保护评估中心 2020/11/4 32 安全需求分析的目的是使信息系统按照等级保护相应等级的要求进行设计、规划和实施，将来源于国家政策性要求、机构使命性要求、系统可能面临的环境和影响以及机构自身的需求相结合作为信息系统的安全需求，使具有相同安全保护等级的信息系统能够达到相应等级的基本的保护水平和保护能力。 系统建设阶段 需求分析方法 公安部 信息安全等级保护评估中心 2020/11/4 33 一、 选择、调整基本安全要求 《 定级指南 》 在确定信息系统的安全保护等级的同时确定了信息系统在业务信息安全和系统服务安全两个方面的安全保护等级。 系统的安全保护等级与这两者的关系是： 系统的安全保护等级 =L (信息等级，服务等级 ) =Max(信息等级，服务等级） 例如： L(3,1)=L(3,2)= L(3,3)= L(1,3)= L(2,3)= 3 系统建设阶段 需求分析方法 公安部 信息安全等级保护评估中心 2020/11/4 34 一、 选择、调整基本安全要求 形成了 5个等级， 25个安全需求类。 表明同样等级的信息系统，其安全需求有所不同，因此对其实施的保护也应该有不同的要求。 为了区别不同安全技术要求和管理要求在保护信息系统的业务信息安全和系统服务安全所起的作用，将所有技术要求和管理要求进行了标识，标识分为三种 S、 A和 G。 系统建设阶段 需求分析方法 公安部 信息安全等级保护评估中心 2020/11/4 35 一、 选择、调整基本安全要求 三类基本要求 – S类 — 业务信息安全保护类 — 关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改。 – A类 — 系统服务安全保护类 — 关注的是保护系统连续正常的运行，避免因对系统的未授权修改、破坏而导致系统不可用。 – G类 — 通用安全保护类 — 既关注保护业务信息的。