2022年网络与信息安全管理条例 .pdf

信息安全要从法律、管理和技术三个方面着手第一章 信息安全概述第一节信息技术一、信息技术的概念信息技术 （Information Technology，缩写 IT） ，是主要用于管理和处理信息所采用的各种技术的总称。 它主要是应用计算机科学和通信技术来设计、开发、安装和实施信息系统及应用软件。它也常被称为信息和通信技术（Information and Communications Technology, ICT） 。主要包括传感技术、计算机技术和通信技术。有人将计算机与网络技术的特征 数字化、网络化、多媒体化、智能化、虚拟化，当作信息技术的特征。我们认为，信息技术的特征应从如下两方面来理解：1. 信息技术具有技术的一般特征 技术性。具体表现为：方法的科学性，工具设备的先进性，技能的熟练性，经验的丰富性，作用过程的快捷性，功能的高效性等。2. 信息技术具有区别于其它技术的特征 信息性。具体表现为：信息技术的服务主体是信息，核心功能是提高信息处理与利用的效率、效益。由信息的秉性决定信息技术还具有普遍性、客观性、相对性、动态性、共享性、可变换性等特性。二、信息技术的发展信息技术推广应用的显著成效，促使世界各国致力于信息化，而信息化的巨大需求又驱使信息技术高速发展。当前信息技术发展的总趋势是以互联网技术的发展和应用为中心，从典型的技术驱动发展模式向技术驱动与应用驱动相结合的模式转变。微电子技术和软件技术是信息技术的核心。三网融合和宽带化是网络技术发展的大方向。互联网的应用开发也是一个持续的热点。三、信息技术的应用信息技术的应用包括计算机硬件和软件，网络和通讯技术，应用软件开发工具等。计算机和互联网普及以来，人们日益普遍地使用计算机来生产、处理、交换和传播各种形式的信息（如书籍、商业文件、报刊、唱片、电影、电视节目、语音、图形、影像等）。第二节 信息安全一、信息安全的概念保护信息系统的硬件软件及其相关数据，使之不因偶然或是恶意侵犯而遭受破坏，更改及泄露，保证信息系统能够连续正常可靠的运行。信息安全的任务：（1）可获得性（2）授权与密钥管理（3）身份识别与完整性信息不安全因素物理不安全、网络不安全、系统不安全、管理不安全信息安全的对策与措施对策：系统边界、网络系统、主机措施： （1） 发展和使用信息加密技术：文件加密技术、 存储介质加密技术、数据库加密方法；（2）采取技术防护措施：审计技术、安全协议、访问控制技术；（3）行政管理措施：加强对计算机的管理、加强对人员的管理二、信息安全基本特性名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 11 页 - - - - - - - - - (5 个基本属性见P1)三、信息系统面临的主要威胁系统系统 是一种采集、处理、存储或传输信息的系统，它可以使一个嵌入式系统、一台计算机，也可以是通过网格连接的计算机组或服务器群。TCB ：计算机信息系统可信计算基是计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。信息系统的安全性主要体现在以下几个方面：信息的保密性； 信息的完整性； 信息源的真实性；对未授权访问的控制能力；对攻击的防护能力；信息系统的健壮性；信息的内容安全；信息系统安全的定义所谓的信息系统安全就是依靠法律法规道德纪律、管理细则和保护措施、 物理实体安全环境、硬件系统安全措施、 通信网络安全措施、 软件系统安全措施等实现信息系统的数据信息安全。信息系统安全的内容信息系统的安全包括物理安全、网络安全、操作系统安全、应用软件安全、数据安全和管理安全，以下将分别给予详细的说明。第一，物理安全，主要包括环境安全、设备安全、媒体安全等；第二，网络安全，主要包括内外网隔离及访问控制系统防火墙、物理隔离或逻辑隔离；内部网不同网络安全域的隔离及访问控制；网络安全测试与审计；网络防病毒和网络备份；第三，网络反病毒技术，主要包括预防病毒、检测病毒和消毒；第四，其他方面的安全，如操作系统安全、应用软件安全以及数据库的安全等。信息系统安全威胁因素剖析信息系统软硬件的内在缺陷这些缺陷不仅直接造成系统停摆，还会为一些人为的恶意攻击提供机会。最典型的例子就是微软的操作系统。相当比例的恶意攻击就是利用微软的操作系统缺陷设计和展开的，一些病毒、 木马也是盯住其破绽兴风作浪。由此造成的损失实难估量。应用软件的缺陷也可能造成计算机信息系统的故障，降低系统安全性能。恶意攻击（被动攻击、主动攻击、物理临近攻击、内部人员攻击、分发攻击）攻击的种类有多种，有的是对硬件设施的干扰或破坏，有的是对数据的攻击，有的是对应用的攻击。 前者， 有可能导致计算机信息系统的硬件一过性或永久性故障或损坏。对数据的攻击可破坏数据的有效性和完整性，也可能导致敏感数据的泄漏、滥用。对应用的攻击会导致系统运行效率的下降，严重者会会导致应用异常甚至中断。系统使用不当如误操作，关键数据采集质量存在缺陷，系统管理员安全配置不当，用户安全意识不强，用户口令选择不慎甚至多个角色共用一个用户口令，等等。因为使用不当导致系统安全性能下降甚至系统异常、停车的事件也有报道。自然灾害对计算机信息系统安全构成严重威胁的灾害主要有雷电、鼠害、火灾、水灾、地震等各种自然灾害。此外，停电、盗窃、违章施工也对计算机信息系统安全构成现实威胁。信息系统所面临的威胁以及遭受威胁的主要方式在现有的信息系统中，随着相关技术的不断发展，威胁的种类是层出不穷。当前信息系统所面临的威胁主要有物理威胁、漏洞威胁、病毒威胁、入侵威胁和复合性威胁。a 物理威胁名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 11 页 - - - - - - - - - 物理威胁最为简单，也最容易防范， 更容易被忽略， 许多信息机构服务被中止仅仅因停电、断网和硬件损毁。b 漏洞威胁仅次于物理威胁的是漏洞威胁，几乎所有的安全事件都源于漏洞。漏洞主要分系统漏洞和软件漏洞，网络结构漏洞。c 病毒威胁操作系统的正确使用和配置很重要，操作系统安全是企业信息系统安全的基础，对企业信息系统杀伤力比较大的是病毒威胁。能够引起计算机的故障，破坏计算机数据的程序统称为计算机病毒，间谍软件、木马、流氓软件、广告软件、行为记录软件、恶意共享软件等等,这些新型病毒可以导致重要机密泄露，甚至现有的安全机制全部崩溃。d 入侵威胁大部分病毒攻击已经被编写者确定，只是机械性的执行,但入侵则是人为攻击策略灵活多变。e 复合性威胁复合性威胁并非出现在规范的广义里的，但现实应用中，任何威胁都以复合形式出现。试想，一次完美的入侵，并非一个单一的条件就可发生的，需要其他条件的配合。因此，多数的威胁属于复合性威胁第三节 信息安全防护体系一、 PDRR 安全模型PDRR 安全模型定义：最常用的网络安全模型为PDRR(Protection,Detection,Reaction,Recovery，既防护、检测、响应、恢复)模型，可以描述网络安全的整个环节。二、信息安全防护体系信息安全防护体系定义：第二章 信息安全法律法规与技术标准第二节信息安全技术标准体系一. 什么是信息安全技术标准体系？为了规范信息系统建设、资源保护、管理、服务等信息安全各方面的建设，使信息安全在各个方面都有据可依，信息安全标准的制定显得十分重要，国际国内都形成了具有一定规模的信息安全标准体系。信息安全标准体系是由信息安全领域内具有内在联系的标准组成的科学有机整体，是编制信息安全标准编制、修订计划的重要依据，是促进信息安全领域内的标准组成趋向科学合理化的手段。信息安全技术领域有国际标准体系、国家标准体系、行业标准体系和地方标准体系等，而且通常高层次的标准体系对下有约束力。事实上，在这些特定领域标准的执行还要看各个国家的管理法规和制度。国名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 11 页 - - - - - - - - - 际信息安全标准体系主要由信息系统安全的一般要求、开发安全技术和机制、开发安全指南和安全管理支撑性文件和标准等几部分组成。二. 国内外信息安全标准化组织有哪些？国际上与信息安全标准化有关的组织主要有以下四个。1.ISO/IEC JTC1 （信息技术标准化委员会）所属SC27 （安全技术分委员会）的前身是SC20 （数据加密技术分委员会） ，主要从事信息技术安全的一般方法和技术的标准化工作。ISO/TC68 负责银行业务应用范围内有关信息安全标准的制定，主要制定行业应用标准，与SC27有着密切的联系。ISO/IEC JTC1 负责制定的标准主要是开放系统互连、密钥管理、数字签名、安全评估等方面。2. lEC在信息安全标准化方面除了与ISO联合成立了JTC1下的分委员会外，还在电信、信息技术和电磁兼容等方面成立了技术委员会，如TC56可靠性、 TC74 IT设备安全和功效、TC77电磁兼容、 TC108音频 /视频、信息技术和通信技术电子设备的安全等，并且制定相关国际标准。3.ITU SG17组负责研究网络安全标准，包括通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务等。4.IETF （Internet 工程任务组）制定标准的具体工作由各个工作组承担。IETF分成八个工作组，分别负责 Internet 路由、传输、应用等八个领域，其著名的IKE和 IPSec都在 RFC系列之中，还有电子邮件、网络认证和密码及其他安全协议标准。国内的安全标准化组织主要有全国信息安全标准化技术委员会以及中国通信标准化协会（CCSA ）下辖的网络与信息安全技术工作委员会（TC8 ） 。全国信息安全标准化技术委员会（TC260）于 2002 年 4 月成立，是在信息安全的专业领域内，从事信息安全标准化工作的技术工作组织，任务是向国家标准化管理委员会提出本专业标准化工作的方针、政策和技术措施的建议。主要以工作组形式开展工作，现下设六个工作组：信息安全标准体系与协调工作组（WG1） 、涉密信息系统标准工作组（WG2） 、密码工作组（WG3） 、鉴别与授权工作组（WG4） 、信息安全评估工作组（ WG5） 、信息安全管理工作组（WG7） 。网络与信息安全技术工作委员会该委员会成立于2003 年 12 月，主要负责研究涉及有关通信安全技术和管理标准。其研究领域包括面向公众服务的互联网的网络与信息安全标准、电信网与互联网结合中的网络与信息安全标准、特殊通信领域中的网络与信息安全标准。目前，设置有有线网络安全工作组（WG1） 、无线网络安全工作组（WG2） 、安全管理工作组（WG3）和安全基础设施工作组（WG4）四个工作组。三. 我国的信息安全技术标准体系是怎样的？我国信息安全标准化工作是从学习国际标准化工作开始的，目前，我国的信息安全标准化工作也已经取得了比较大的进展。近些年，先后发布了几十项信息安全标准，也进行了信息安全标准体系的专门研究，提出了基础标准、技术与机制标准、管理标准、测评标准、密码技术标准和保密技术标准等六大类信息安全技术标准的体系结构，可按照标准所涉及的主要内容进行细分，为现阶段信息安全标准编制、修订提供依据，为信息安全保障体系建设提供有效的支撑。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 11 页 - - - - - - - - - 四. 我国信息安全主要技术标准有哪些？我国信息安全技术标准体系涉及网络与信息安全各个方面，包括已经发布、报批和在研的技术标准有很多，主要的有：1.计算机信息系统安全保护等级划分准则（GB 17859-1999）2.信息安全技术信息安全风险评估规范（GB/T 20984-2007）3.信息安全技术信息系统安全等级保护基本要求（GB/T 22239-2008）4.信息安全技术信息系统通用安全技术要求（GB/T 20271-2010）5.信息安全技术信息系统安全管理要求（GB/T 20269-2006）6.信息安全技术信息安全事件管理指南（GB/Z 20985-2007）7.信息安全技术信息安全事件分类分级指南（GB/Z 20986-2007）8.信息安全技术信息系统灾难恢复规范（GB/T 20988-2007）9.信息安全技术信息系统安全等级保护实施指南（GB/T 25058-2010）10.信息安全技术信息系统安全等级保护定级指南（GB/T 22240-2008）11.信息安全技术信息系统等级保护安全设计技术要求（GB/T 25070-2010）12.信息安全技术信息系统物理安全技术要求（GB/T 21052-2007）第三节信息安全认证认可体系一 . 什么是信息安全认证认可？2003 年 9 月，国务院发布认证认可条例，这一条例 对认证和认可是这样定义的：认证是指由认证机构证明产品、服务、 管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动；认可则是指由认可机构对认证机构、检查机构、 文验室以及从事评审、审核等认证活动人员的能力和执业资格，予以承认的合格评定活动。认证的对象分为三类：产品、服务和管理体系。在信息安全领域，目前针对这三类对象的认证活动在我国都已开展，即信息安全产品认证、信息安全服务认证和信息安全管理体系认证。国家信息化领导小组关于加强信息安全保障丁作的意见（中办发 200327 号）文件及其后发布的关于建立国家信息安全产品认证认可体系的通知（国认证联 200457 号）文件对信息安全产品认证工作做出了规定，这也是我国信息安全保障体系建设中的一项基础性工作。 除此之外， 信息安全服务认证和信息安全管理体系认证也是我国信息安全认证认可事业的重要组成部分，我国认证认可主管部门为推动这些工作也作了大量努力。二. 我国对信息安全认证认可的主要内容有哪些？1信息安全产品认证国家认监委会同有关部门推进了统一的信息安全产品认证认可体系的建设，成立了国家信息安全产品认证管理委员会及其执委会，成立了专门的认证机构（中国信息安全认证中心） ，公布了信息安全产品强制性认证、指定认证机构和第一批指定实验室，公布了信息安全产品强制性认证目录，制定了检测收费标准，公布了认证实施规则，明确了强制性认证所依据的技术标准、规范以及相关技术指标。2信息安全服务资质认证，其中包括：信息安全应急处理服务资质认证、信息安全风险评估服务资质认证和信息系统安全集成服务资质认证。随着我国信息化和信息安全保障工作的不断深入推进，以应急处理、 风险评估、 安全集成、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。信息安全服务资质管理和相关认证评价工作已成为信息安全保障工作的重要组成部分。3信息安全管理体系（ISMS）认证， 信息安全管理体系简称ISMS （Information Security Management System ） 。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 11 页 - - - - - - - - - 为了推动ISO/IEC 27000标准族的应用和转化， 原国务院信息办于2006 年 3 月至 2007年 1 月组织开展了“信息安全管理标准应用（ISMS）试点”工作。在试点的基础上，完成了 ISO/IEC 27001：2005 和 ISO/IEC27002：2005 的转化工作，上述标准已经等同采用为国家标 准 GB/T 22080-2008信息技术安全技术信息安全管理体系要求和国家标准GB/T22081-2008信息技术安全技术信息安全管理实用规则，并于 2008 年 11 月 1 日起实施。4信息技术服务管理（ITSM）体系认证Information technology Service management ITSM 认证是对组织能否有效交付IT 服务的能力进行评价的过程。随着IT 的迅猛发展，有效地提供IT 服务管理以满足业务和顾客的要求，已经成为了各类组织建立、实施、运行IT 服务管理体系的内在需求和动力。通过建立IT 服务管理体系并寻求第三方认证已逐渐成为各类组织提高和检验自身IT服务管理水平的优先选择。三. 我国对信息安全人员资格的认证有哪些？目前，我国对信息安全人员资质的最高认可是“注册信息安全专业人员”，英文为Certified Information Security Professional （简称 CISP ） 。注册信息安全专业人员是有关信息安全企业，信息安全咨询服务机构、信息安全测评认证机构（包含授权测评机构）、社会各组织、团体、企事业有关信息系统（网络） 建设、运行和应用管理的技术部门（含标准化部门）必备的专业岗位人员，其基本职能是对信息系统的安全提供技术保障，其所具备的专业资质和能力，由中国信息安全产品测评认证中心（CNITSEC ）实施认证。根据实际岗位工作需要，CISP分为三类，分别是“注册信息安全工程师”,英文为 Certified Information Security Engineer （简称 CISE ） ，CISE主要从事信息安全技术开发服务工程建设等工作； “注册信息安全管理人员”， 英文为 Certified Information Security Officer （简称 CISO ） ，CISO从事信息安全管理等相关工作；“注册信息安全审核员”，英文为Certified Information Security Auditor （简称 CISA ） ，CISA从事信息系统的安全性审核或评估等工作。在国家信息安全测评认证机构（包含授权测评机构）、信息安全咨询服务机构、社会各组织、 团体、企事业单位从事信息安全服务或高级安全管理工作的人员，具备一定的信息安全基础知识，了解并掌握GB/T 18336、ISO 15408、ISO 17799等有关信息安全标准，具有进行信息安全服务的能力，可以参加中国信息安全产品评测认证中心组织的培训和考试，申报CISP资格。此外，中国信息安全认证中心（ISCCC ） 面向广大信息安全保障工作者和在校大学生、研究生推出的人员认证服务，ISCCC 将通过认证考试、素质与资质评价，证明获证人员具备从事信息安全保障工作所需要的个人素质、信息安全相关技术知识以及知识的应用能力，以供用人单位聘用信息安全保障人员时参考。第三章 信息安全管理主要工作制度信息安全管理定义：是实现与保证信息安全的关键活动第一节等级保护与风险评估一、等级保护等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。信息系统的安全保护等级分为五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 11 页 - - - - - - - - - 或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级， 信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级， 信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。等级保护工作主要内容信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段， 作为公安部授权的第三方测评机构，为企事业单位提供专业的信息安全等级测评咨询服务。信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力，一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现；另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制，通过连接、 交互、依赖、协调、协同等相互关联关系，共同作用于信息系统的安全功能，使信息系统的整体安全功能与信息系统的结构以及安全控制间、 层面间和区域间的相互关联关系密切相关。因此， 信息系统安全等级测评在安全控制测评的基础上，还要包括系统整体测评在等级保护的实际操作中，强调从五个部分进行保护，即：物理部分：包括周边环境，门禁检查，防火、防水、防潮、防鼠、虫害和防雷，防电磁泄漏和干扰，电源备份和管理，设备的标识、使用、存放和管理等；支撑系统：包括计算机系统、操作系统、数据库系统和通信系统；网络部分： 包括网络的拓扑结构、网络的布线和防护、网络设备的管理和报警，网络攻击的监察和处理；应用系统： 包括系统登录、权限划分与识别、数据备份与容灾处理，运行管理和访问控制，密码保护机制和信息存储管理；管理制度： 包括管理的组织机构和各级的职责、权限划分和责任追究制度，人员的管理和培训、教育制度，设备的管理和引进、退出制度，环境管理和监控，安防和巡查制度，应急响应制度和程序，规章制度的建立、更改和废止的控制程序。由这五部分的安全控制机制构成系统整体安全控制机制。实施原则自主保护原则：信息系统运营、使用单位及其主管部门按照国家相关法规和标准，自主确定信息系统的安全保护等级，自行组织实施安全保护。重点保护原则：根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统， 实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。同步建设原则：信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。动态调整原则：要跟踪信息系统的变化情况，调整安全保护措施。由于信息系统的应用类型、 范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级，根据信息系统安全保护等级的调整情况，重新实施安全保护。政策法规名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 11 页 - - - - - - - - - 计算机信息系统安全保护等级划分准则第一级 ：用户自主保护级：本级的计算机信息系统可信计算机通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏。第二级 ：系统审计保护级：与用户自主保护级相比，本级的计算机信息系统可信计算机实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。第三级 ： 安全标记保护级： 本级的计算机信息系统可信计算机具有系统审计保护级所有功能。此外，还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述；具有准确地标记输出信息的能力；消除通过测试发现的任何错误。第四级 ：结构化保护级： 本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上， 它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素。 计算机信息系统可信计算基的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制； 支持系统管理员和操作员的职能；提供可信设施管理；增强了配置管理控制。系统具有相当的抗渗透能力。第五级 ：访问验证保护级：本级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的；必须足够小， 能够分析和测试。 为了满足访问监控器需求，计算机信息系统可信计算基在其构造时，排除那些对实施安全策略来说并非必要的代码；在设计和实现时， 从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能；扩充审计机制，当发生与安全相关的事件时发出信号；提供系统恢复机制。系统具有很高的抗渗透能力。二、风险评估见论文三、分级保护涉密信息系统是有一定的安全保密要求的，按照国家有关标准，涉密信息系统的建设是需要达到较高的安全等级的计算机系统。涉密信息系统实行分级保护，先要根据涉密信息的涉密等级，涉密信息系统的重要性，遭到破坏后对国计民生造成的危害性，以及涉密信息系统必须达到的安全保护水平来确定信息安全的保护等级；涉密信息系统分级保护的核心是对信息系统安全进行合理分级、按标准进行建设、管理和监督。涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级，可以划分为秘密级、机密级和机密级（增强）、绝密级三个等级：秘密级 ：信息系统中包含有最高为秘密级的国家秘密，其防护水平不低于国家信息安全等级保护三级的要求，并且还必须符合分级保护的保密技术要求。机密级 ：信息系统中包含有最高为机密级的国家秘密，其防护水平不低于国家信息安全等级保护四级的要求，还必须符合分级保护的保密技术要求。属于下列情况之一的机密级信息系统应选择机密级（增强）的要求：（1） 信息系统的使用单位为副省级以上的党政首脑机关，以及国防、 外交、国家安全、军工等要害部门；（2）信息系统中的机密级信息含量较高或数量较多；（3）信息系统使用单位对信息系统的依赖程度较高。绝密级 ：信息系统中包含有最高为绝密级的国家秘密，其防护水平不低于国家信息安全等级保护五级的要求，还必须符合分级保护的保密技术要求，绝密级信息系统应限定在封闭名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 11 页 - - - - - - - - - 的安全可控的独立建筑内，不能与城域网或广域网相联。涉密信息系统分级保护的管理过程分为八个阶段，即系统定级阶段、安全规划方案设计阶段、安全工程实施阶段、信息系统测评阶段、系统审批阶段、安全运行及维护阶段、定期评测与检查阶段和系统隐退终止阶段等。在实际工作中， 涉密信息系统的定级、安全规划方案设计的实施与调整、安全运行及维护三个阶段，尤其要引起重视。运行及维护过程的不可控性以及随意性，往往是涉密信息系统安全运行的重大隐患。通过运行管理和控制、变更管理和控制，对安全状态进行监控，对发生的安全事件及时响应，在流程上对系统的运行维护进行规范，从而确保涉密信息系统正常运行。通过安全检查和持续改进， 不断跟踪涉密信息系统的变化，并依据变化进行调整，确保涉密信息系统满足相应分级的安全要求， 并处于良好安全状态。由于运行维护的规范化能够大幅度地提高系统运行及维护的安全级别，所以在运行维护中应尽可能地实现流程固化，操作自动化， 减少人员参与带来的风险。 还需要注意的是在安全运行及维护中保持系统安全策略的准确性以及与安全目标的一致性， 使安全策略作为安全运行的驱动力以及重要的制约规则，从而保持整个涉密信息系统能够按照既定的安全策略运行。在安全运行及维护阶段，当局部调整等原因导致安全措施变化时，如果不影响系统的安全分级， 应从安全运行及维护阶段进入安全工程实施阶段，重新调整和实施安全措施，确保满足分级保护的要求；当系统发生重大变更影响系统的安全分级时，应从安全运行及维护阶段进入系统定级阶段，重新开始一次分级保护实施过程。四、等级保护、风险评估和分级保护的异同点等级保护和分级保护在职能分工、管理过程、对厂商和产品的资质管理上的异同同：涉密信息系统分级保护是国家信息安全等级保护的重要组成部分，是等级保护在涉密领域的具体体现。异：国家安全信息等级保护重点保护的对象是涉及国计民生的重要信息系统和通信基础信息系统， 而不论它是否涉密。涉密信息系统分级保护保护的对象是所有涉及国家秘密的信息系统， 重点是党政机关、 军队和军工单位，由各级保密工作部门根据涉密信息系统的保护等级实施监督管理，确保系统和信息安全，确保国家秘密不被泄漏。由于国家秘密信息与公开信息在内容和特性上有着明显的区别，所以涉密信息系统和公众信息系统在保障安全的原则、系统和方法等方面也有不同的要求。既不能用维护国家秘密信息安全的办法去维护国家公众信息安全，以至于影响信息的合理利用，阻碍信息化的发展；也不能用维护公众信息安全的办法来维护国家的秘密信息安全，以至于窃密、 泄密事件的发生，危害国家的安全和利益，同样影响信息化的健康发展。等级保护与风险评估异同同：等级保护对应的是风险管理。风险管理包括确定范畴、风险评估、风险处置、风险接受、风险沟通以及风险监视和评审几部分。也是信息系统安全保护的一个流程。风险评估是其中的一部分。 风险评估目的是发现风险，然后由风险处置设定安全措施来控制风险保护系统。异：等级保护中的系统分类分级的思想和风险评估中对信息资产的重要性分级基本一致，不同的是：等级保护的级别是从系统的业务需求或CIA 特性出发，定义系统应具备的安全保障业务等级， 而风险评估中最终风险的等级则是综合考虑了信息的重要性、系统现有安全控制措施的有效性及运行现状后的综合评估结果，也就是说， 在风险评估中， CIA 价值高的信名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 11 页 - - - - - - - - - 息资产不一定风险等级就高。可以简单的理解为等保是标准或体系，评估一种是手段。等保其实就是帮助用户分析、评定信息系统的等级，以便在后期的工作中根据不同的等级进行不同级别的安全防护，而风险评估是帮助用户发现目前的安全现状，以便在后期进行整体的安全规划与建设。我们可以用风险评估这种手段检查等保的落实和执行情况。而风险评估的结果可作为实施等级保护等级安全建设的出发点和参考。第二节信息安全保密管理一、信息安全保密相关法律法规二、信息保密规范与失泄密典型案例第三节政府信息系统安全检查一、开展政府信息系统安全检查的重要意义二、江苏省政府信息系统安全检查实施办法第四章 政府信息系统安全管理第一节政府信息系统安全管理机制一、信息安全组织管理二、信息安全人员管理三、信息安全管理制度第二节政府信息系统安全运维管理一、硬件管理二、系统管理三、运行管理第三节政府信息系统生命周期安全管理规划阶段、设计阶段、实施阶段、运行维护阶段、废弃阶段第五章 政府信息系统安全事件与应急处置第一节政府信息系统安全事件分级分类一、信息安全事件分级二、信息安全事件分类三、政府信息系统常见安全事件第二节应急响应工作流程一、预防预警二、事件报告与先期处置三、应急处置四、应急响应结束五、后期处置六、保障措施第三节应急处置措施与预防策略一、信息安全应急处置概述二、有害程序事件应急处置与预防三、网络攻击事件应急处置与预防四、信息破坏事件应急处置与预防五、信息内容安全事件应急处置与预防六、设备设施故障应急处置与预防名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 11 页 - - - - - - - - - 七、灾害性事件应急处置措施八、其他信息安全事件应急处置措施第六章 信息安全产品选择与使用第二节防火墙技术与产品第三节防病毒技术与产品第四节入侵检测技术与产品第五节漏洞扫描技术与产品第六节安全集成网关产品第七章 个人信息安全防护第一节终端计算机安全防护一、终端计算机面临的主要威胁二、终端计算机安全防护方法第二节互联网应用安全防护一、一般性防护措施二、社交网络安全防护三、电子邮箱安全防护四、网上交易安全防护第三节无线手持设备安全防护一、无线手持设备面临的主要威胁二、恶意程序防护与流量监控三、无线手持设备的数据保护名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 11 页 - - - - - - - - -