第5講信息安全防護措施與等級保護課前檢查李國華是一個計算機記錄員，在一個數據收集記錄部門工作，可以訪問有關財產稅記錄的相關文件。為了作一項科學研究，王愛民被授權訪問記錄的數字部分，但無權訪問相關人的姓名部分。王愛民找到了想要使用的一些信息，但是需要對應的姓名和地址信息。于是他向李國華索要相關人的姓名、地址，以便與這些研究對象進行聯系，從而獲得更多信息，開展進一步研究。李國華是否應該將姓名、地址信息告訴王愛民呢？案例1分析1、工作權限與責任問題。記錄員沒有權力決定數據信息是否可以給別人使用。應該請示上級。2、隱私數據使用問題?？茖W研究只能訪問統計數據，而不能隨便訪問涉及個人隱私的信息數據3、使用隱私數據動機問題。聲稱作研究用，但也可能有其他目的。4、工作權限的確定問題。只允許訪問統計數據，不允許訪問個體姓名、地址，說明科學研究的范圍。只能在此范圍內完成。類似的還有醫學研究，要訪問醫療疾病數據。也有隱私問題郭某是一個程序員，在一家大公司下的計算機子公司X工作。這家公司有很多政府合同。陸某是郭某的上級，分配郭某去編寫不同種類的仿真程序。為了提高工作效率，郭某編寫了一些工具程序，如交叉引用等工具。但這些都不是分配給他的工作，而是郭某晚上在自己家里使用自己的計算機編寫完成的。他在工作中使用，沒有將這些告訴任何人。郭某決定出售自己的這些工具程序。當公司經理得知后，命陸某轉告郭某，無權出售這些工具，因為受聘時簽訂的合同，注明了他的所有發明都屬于公司。案例2分析陸某不同意這個觀點，因為他知道郭某是自行完成這些工具的。所有他很不情愿地告訴郭某不要在市場上出售這些工具，并叫郭某復制了一份給他。之后，陸某辭去了該公司的工作，并在另一計算機公司Y當上了管理人員。該公司是X公司的競爭對手。他把郭某的工具復制版發給和他一起工作的員工們。使他們大大提高了工作效率。因而陸某受到經理嘉獎，獲得一大筆獎金。郭某聽說后就和陸某聯系交涉，而陸某爭辯說，因為這些工具屬于X公司，且它的運轉靠的是政府資金，所以這些工具是公共產品，并不屬于任何人。1、權利問題。對于這些工具軟件。郭某、陸某、X公司、Y公司各自的權利是什么？2、權利的根據。誰給了他們的這些權利？這個案例牽涉到哪些有關公平競爭、商業、財產權的原則。3、在公司開發產品的考慮。郭某能作什么事？4、對員工自己開發的產品應該如何處理。X公司如何作？陸某如何作？Y公司如何作？1.信息安全防護措施2.信息安全等級保護等級保護基本概念介紹等級保護定級等級保護基本要求等級保護實施等級保護測評第5講

信息安全防護措施與

等級保護學習目標技能目標1.能構建信息泄密風險防護整體解決方案2.能根據相應的法律法規，判斷信息安全的合法性知識目標1.了解信息安全等級保護的含義2.知道信息安全等級保護制度體系的組成

3.熟悉信息安全等級保護制度4.了解有哪些信息安全保護措施信息安全等級保護為什么要進行等級保護如何進行等級保護什么是等級保護等級保護標準整體框架等級保護定級等級保護基本要求什么是等級保護？信息系統安全等級保護是指對信息和信息系統劃分為五個安全保護和監管等級，實行分等級保護。

每月新增計算機病毒幾千種，感染計算機1000多萬臺。10多萬個網絡地址對應的主機被木馬控制300多臺被利用作為僵尸網絡控制端服務器網頁篡改事件達5000多次。為什么實行等級保護？

據英國一家報紙報道，最近該國國家醫療服務系統和10多家政府網站被入侵并植入病毒，登錄這些網站的用戶都可能感染病毒并導致個人信息泄露。

為什么實行等級保護？我國2003-2007被篡改網站數量

黑客入侵了美國某銀行在某商店的自動提款機網絡，盜取客戶識別碼，繼而使用空白卡從自動提款機提取現金。

為什么實行等級保護？

為什么實行等級保護？真正的中國工商銀行網站

假冒的中國工商銀行網站

如何進行等級保護？根據信息系統應用業務重要程度及其實際安全需求，實行分級、分類、分階段實施保護，保障信息安全和系統安全正常運行，維護國家利益、公共利益和社會穩定。如何進行等級保護？等級保護的核心是對信息系統特別是對業務應用系統安全分等級、按標準進行建設、管理和監督。國家對信息安全等級保護工作運用法律和技術規范逐級加強監管力度。突出重點，保障重要信息資源和重要信息系統的安全。等級保護標準總體框架中辦發[2003]27號《國家信息化領導小組關于加強信息安全保障工作的意見》公通字[2004]66號《關于信息安全等級保護工作的實施意見》公通字[2006]43號《信息安全登記保護管理辦法》實施指南等級劃分準則定級指南測評準則基本要求通用安全技術要求網絡基礎安全技術要求操作系統安全技術要求數據庫安全技術要求服務器安全技術要求終端安全技術要求中保委發[2004]7號國保發[2005]16號BMB17-2006BMB20-2007BMB22-2007分級保護方案設計指南等級保護標準制修訂背景2003年9月中辦國辦頒發《關于加強信息安全保障工作的意見》中辦發[2003]27號2005年9月國信辦文件《關于轉發《電子政務信息安全等級保護實施指南》的通知》國信辦[2004]25號2006年1月四部委會簽《關于印發《信息安全等級保護管理辦法的通知》公通字[2006]7號2005年

公安部標準《基本要求》《定級指南》《實施指南》《測評準則》2004年11月四部委會簽《關于信息安全等級保護工作的實施意見》公通字[2004]66號云南云南省人民政府第130號令

浙江浙江省人民政府令

北京北京政府第9號令

國家級政策文件國家級技術標準國家級政策文件地方政策文件安全控制定級指南過程方法確定系統等級啟動采購/開發實施運行/維護廢棄確定安全需求設計安全方案安全建設安全測評監督管理運行維護暫不考慮特殊需求等級需求基本要求產品使用選型監督管理測評準則流程方法監管流程應急預案應急響應等級保護標準制修訂背景課堂檢測等級保護保護對象有哪些？哪些對象不屬于等級保護范圍？等級保護有幾個等級？各級名稱？等級保護有哪些步驟？等級保護標準有哪些？等級保護定級維度等級保護對象受到破壞時所侵害的客體對客體造成侵害的程度

定級階段-關于定級范圍（一）電信、廣電行業的公用通信網、廣播電視傳輸網等基礎信息網絡，經營性公眾互聯網信息服務單位、互聯網接入服務單位、數據中心等單位的重要信息系統。（二）鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、統計、工商行政管理、郵政等行業、部門的生產、調度、管理、辦公等重要信息系統。

（三）市（地）級以上黨政機關的重要網站和辦公信息系統

一、定級對象的三個條件具有唯一確定的安全責任單位作為定級對象的信息系統應能夠唯一地確定其安全責任單位，這個安全責任單位就是負責等級保護工作部署、實施的單位，也是完成等級保護備案和接受監督檢查的直接責任單位。滿足信息系統的基本要素作為定級對象的信息系統應該是由相關的和配套的設備、設施按照一定的應用目標和規則組合而成的有形實體。應避免將某個單一的系統組件，如單臺的服務器、終端或網絡設備等作為定級對象。定級階段-關于定級對象確定一、定級對象的三個條件承載相對獨立的業務應用定級對象承載“相對獨立”的業務應用是指其中的一個或多個業務應用的主要業務流程、部分業務功能獨立，同時與其他信息系統的業務應用有少量的數據交換，定級對象可能會與其他業務應用共享一些設備，尤其是網絡傳輸設備?！跋鄬Κ毩ⅰ钡臉I務應用并不意味著整個業務流程，可以是完整的業務流程的一部分。定級階段-關于定級對象確定二、定級對象的識別和劃分可能使定級要素賦值不同因素可能涉及不同客體的系統?？赡軐腕w造成不同程度損害的系統。處理不同類型業務的系統。本身運行在不同的網絡環境中的系統。分不開的系統，按照高級別保護。定級階段-關于定級對象確定系統邊界不應出現在服務器內部，服務器共用的系統一般歸入同一個信息系統，因此不同信息系統的共用設備一般是網絡/邊界設備或終端設備。兩個信息系統邊界存在共用設備時，共用設備的安全保護等級按兩個信息系統安全保護等級較高者確定。例如，一個2級系統和一個3級系統之間有一個防火墻或兩個系統共用一個核心交換機，此時防火墻和交換機可以作為兩個系統的邊界設備，但應滿足3級系統的要求。定級階段-關于系統邊界信息系統的管理終端是與相應被管理設備相對應的，服務器、網絡設備及安全設備等屬于哪個系統，終端就應歸在哪個信息系統中。如果無法做到不同等級的信息系統使用不同的終端設備，則應將終端設備劃分為其他的信息系統，并在服務器與內部用戶終端之間建立邊界保護，對終端通過身份鑒別和訪問控制等措施加以控制。處理涉密信息的終端必須劃分到相應的信息系統中，且不能與非涉密系統共用終端。定級階段-關于系統邊界識別單位基本信息

了解單位基本信息有助于判斷單位的職能特點，單位所在行業及單位在行業所處的地位和所用，由此判斷單位主要信息系統的宏觀定位。識別業務種類、流程和服務應重點了解定級對象信息系統中不同業務系統提供的服務在影響履行單位職能方面具體方式和程度，影響的區域范圍、用戶人數、業務量的具體數據以及對本單位以外機構或個人的影響等方面。這些具體數據即可以為主管部門制定定級指導意見提供參照，也可以作為主管部門審批定級結果的重要依據。定級階段-關于定級過程識別信息調查了解定級對象信息系統所處理的信息，了解單位對信息的三個安全屬性的需求，了解不同業務數據在其保密性、完整性和可用性被破壞后在單位職能、單位資金、單位信譽、人身安全等方面可能對國家、社會、本單位造成的影響，對影響程度的描述應盡可能量化。識別網絡結構和邊界調查了解定級對象信息系統所在單位的整體網絡狀況、安全防護和外部連接情況，目的是了解信息系統所處的單位內部網絡環境和外部環境特點，以及該信息系統的網絡安全保護與單位內部網絡環境的安全保護的關系。定級階段-關于定級過程識別主要的軟硬件設備調查了解與定級對象信息系統相關的服務器、網絡、終端、存儲設備以及安全設備等，設備所在網段，在系統中的功能和作用。調查設備的位置和作用主要就是發現不同信息系統在設備使用方面的共用程度。識別用戶類型和分布調查了解各系統的管理用戶和一般用戶，內部用戶和外部用戶，本地用戶和遠程用戶等類型，了解用戶或用戶群的數量分布，判斷系統服務中斷或系統信息被破壞可能影響的范圍和程度。形成定級結果取各類信息和服務的較高。定級階段-關于定級過程定級階段相關技術環節行業定級指導意見關鍵概念定級方法定級階段_相關技術環節根據《管理辦法》第十條：信息系統運營、使用單位應當依據本辦法和《信息系統安全等級保護定級指南》確定信息系統的安全保護等級。有主管部門的，應當經主管部門審核批準?？缡』蛘呷珖y一聯網運行的信息系統可以由主管部門統一確定安全保護等級。根據《關于開展全國重要信息系統安全等級保護定級工作的通知》（以下簡稱《定級通知》）要求：各行業主管部門要根據行業特點提出指導本地區、本行業定級工作的指導意見。定級階段為什么需要行業對定級提出指導意見行業的職能不同信息系統在行業內所發揮的作用不同信息系統被破壞后對國家和社會的危害后果不同行業主管部門比運營使用單位具有更高的站位、更宏觀的視野定級階段-關于行業定級指導意見行業定級指導意見的意義：貫徹四部委會簽的《管理辦法》闡明本行業實施等級保護工作的政策和方針制定本行業定級工作的階段計劃統一本行業對定級要素賦值規范定級階段-關于行業定級指導意見定級工作的指導意見應包括：對定級對象確定的指導符合哪些條件的信息系統的等級保護客體是國家安全、哪些是公共利益/社會秩序。。。對不同類型的等級保護客體，本行業主要關注哪些危害后果對于每一類等級保護客體，符合哪些條件可以判斷為一般損害、哪些是嚴重損害、哪些是非常嚴重損害定級階段-關于行業定級指導意見定級階段_關于三種危害程度

不同危害后果的三種危害程度描述如下：一般損害：工作職能受到局部影響，業務能力有所降低但不影響主要功能的執行，出現較輕的法律問題，較低的財產損失，有限的社會不良影響，對其他組織和個人造成較低損害。嚴重損害：工作職能受到嚴重影響，業務能力顯著下降且嚴重影響主要功能執行，出現較嚴重的法律問題，較高的財產損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴重損害。特別嚴重損害：工作職能受到特別嚴重影響或喪失行使能力，業務能力嚴重下降且或功能無法執行，出現極其嚴重的法律問題，極高的財產損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴重損害。等級保護對象受到破壞時所侵害的客體包括以下三個方面：公民、法人和其他組織的合法權益；社會秩序、公共利益；國家安全。

定級階段-三種客體定級要素與安全保護等級的關系

對《定級指南》中有關概念的補充說明：三種客體對客體侵害程度定級階段_關鍵概念的補充說明

三種受侵害的客體體現了三種不同層次、不同覆蓋范圍的社會關系。國家安全利益體現了國家層面、與全局相關的國家政治安全、軍事安全、經濟安全、社會安全、科技安全和資源環境安全等方面利益。社會秩序包括社會的政治、經濟、生產、生活、科研、工作等各方面的正常秩序。公共利益是指不特定的社會成員所共同享有的，維持其生產、生活、教育、衛生等方面的利益。合法權益是法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權利和利益，

定級階段-三種客體說明對客體的侵害不是威脅直接作用的結果，而是通過對等級保護對象——信息系統的破壞而導致的，因此確定對客體侵害的程度時，必須考慮對等級保護對象所造成破壞的不同客觀表現形態以及不同程度的結果，也就是侵害的客觀方面。定級階段關于損害后果影響行使工作職能，工作職能包括國家管理職能、公共管理職能、公共服務職能等國家或社會方面的職能。導致業務能力下降，下降的表現形式可能包括業務范圍的減少、業務處理性能的下降、可服務的用戶數量的下降以及其他各種業務指標的下降，每個行業務都有本行業關注的業務指標。例如電力行業關注發電量和用電量，稅務行業關注稅費收入，銀行業關注存款額、貸款額、交易量等，證券經紀行業關注股民數和交易額。定級階段-關于損害的詳述關于損害后果引起法律糾紛是比較嚴重的影響，在較輕的程度時可能表現為投訴、索賠、媒體曝光等形式。導致財產損失，包括系統資產被破壞的直接損失、業務量下降帶來的損失、直接的資金損失、為客戶索賠所支付的資金等，以及由于信譽下降、單位形象降低、客戶關系損失等導致的間接經濟損失。直接造成人員傷亡，例如醫療服務系統，公安行業的某些系統等。造成社會不良影響，包括在社會風氣、執政信心等方面的影響。定級階段-關于損害的詳述定級階段-關于損害的詳述安全保護級別信息和信息系統受到破壞后的影響1自主保護級不會損害國家安全、社會秩序和公共利益。2指導保護級會對社會秩序和公共利益造成輕微損害，但不損害國家安全。3監督保護級會對國家安全、社會秩序和公共利益造成損害。4強制保護級

會對國家安全、社會秩序和公共利益造成嚴重損害。5?？乇Ｗo級

會對國家安全、社會秩序和公共利益造成特別嚴重損害。定級階段-關于定級級別等級對象侵害客體侵害程度監管強度第一級一般系統合法利益損害自主性保護第二級合法權益嚴重損害指導性保護社會秩序和公共利益損害第三級重要系統社會秩序和公共利益嚴重損害監督性保護國家安全損害第四級社會秩序和公共利益特別嚴重損害強制性保護國家安全嚴重損害第五級極端重要系統國家安全特別嚴重損害?？匦员Ｗo定級階段-關于定級方法定級的一般方法

信息系統安全包括業務信息安全和系統服務安全，與之相關的受侵害客體和對客體的侵害程度可能不同，因此，信息系統定級也應由業務信息安全和系統服務安全兩方面確定。

從業務信息安全角度反映的信息系統安全保護等級稱業務信息安全保護等級。

從系統服務安全角度反映的信息系統安全保護等級稱系統服務安全保護等級。定級階段-關于定級方法定級階段-關于定級方法與流程

根據業務信息安全被破壞時所侵害的客體以及對相應客體的侵害程度，依據下表業務信息安全保護等級矩陣表，即可得到業務信息安全保護等級。

定級階段-關于定級方法與流程

根據系統服務安全被破壞時所侵害的客體以及對相應客體的侵害程度，依據下表系統服務安全保護等級矩陣表，即可得到系統服務安全保護等級。

四個主要因素決定等級系統所屬類型業務信息類別系統服務范圍業務依賴程度業務信息安全性業務服務保證性信息系統安全保護等級侵害的程度如何？（對客體造成侵害的程度）

一般損害

嚴重損害

特別嚴重損害受到破壞時侵害了什么？（客體）

公民、法人

社會秩序、公共利益

國家安全定級階段-關于等級變更

在信息系統的運行過程中，安全保護等級應隨著信息系統所處理的信息和業務狀態的變化進行適當的變更，尤其是當狀態變化可能導致業務信息安全或系統服務受到破壞后的受侵害客體和對客體的侵害程度有較大的變化，可能影響到系統的安全保護等級時，應根據定級標準給出的定級方法重新定級定級案例-三級系統定級

定級案例-三級系統定級

定級案例-三級系統定級

定級案例-三級系統定級

小測試等級保護定級維度是那兩個？等級保護定級客體有哪些？一個對國家安全會造成一般損害的信息系統應該定為等級保護幾級？基本要求的作用信息系統安全等級保護基本要求運營、使用單位（安全服務商）主管部門（等級測評機構）安全保護測評檢查基本要求的定位是系統安全保護、等級測評的一個基本“標尺”，同樣級別的系統使用統一的“標尺”來衡量，保證權威性，是一個達標線；每個級別的信息系統按照基本要求進行保護后，信息系統具有相應等級的基本安全保護能力，達到一種基本的安全狀態;是每個級別信息系統進行安全保護工作的一個基本出發點，更加貼切的保護可以通過需求分析對基本要求進行補充，參考其他有關等級保護或安全方面的標準來實現;基本要求的定位某級信息系統基本保護精確保護基本要求保護基本要求測評補充的安全措施GB17859-1999通用技術要求安全管理要求高級別的基本要求等級保護其他標準安全方面相關標準等等基本保護特殊需求補充措施基本要求基本思路不同級別信息系統重要程度不同應對不同威脅的能力(威脅\弱點)具有不同的安全保護能力不同的基本要求各個要素之間的關系安全保護能力基本安全要求每個等級的信息系統基本技術措施基本管理措施具備包含包含滿足滿足實現基本要求核心思路某級系統技術要求管理要求基本要求建立安全技術體系建立安全管理體系具有某級安全保護能力的系統各級系統的保護要求差異（宏觀）安全保護模型PPDRR

Protection防護

PolicyDetection

策略

檢測

Response

響應

Recovery恢復各級系統的保護要求差異（宏觀）一級系統二級系統三級系統四級系統防護防護/監測策略/防護/監測/恢復策略/防護/監測/恢復/響應各級系統的保護要求差異（宏觀）成功的完成業務信息保障深度防御戰略人技術操作防御網絡與基礎設施防御飛地邊界防御計算環境支撐性基礎設施安全保護模型IATF各級系統的保護要求差異（宏觀）一級系統二級系統三級系統四級系統通信/邊界（基本）通信/邊界/內部（關鍵設備）通信/邊界/內部（主要設備）通信/邊界/內部/基礎設施（所有設備）各級系統的保護要求差異（宏觀）一級系統二級系統三級系統四級系統計劃和跟蹤（主要制度）計劃和跟蹤（主要制度）良好定義（管理活動制度化）持續改進（管理活動制度化/及時改進）等級保護基本要求構架某級系統物理安全技術要求管理要求基本要求網絡安全主機安全應用安全數據安全安全管理機構安全管理制度人員安全管理系統建設管理系統運維管理等級保護基本要求效果基本要求的主要內容由9個章節2個附錄構成1.適用范圍2.規范性引用文件3術語定義4.等級保護概述5.6.7.8.9基本要求附錄A關于信息系統整體安全保護能力的要求附錄B基本安全要求的選擇和使用基本要求的組織方式某級系統類技術要求管理要求基本要求類控制點具體要求控制點具體要求………………………………基本要求-組織方式某級系統物理安全技術要求管理要求基本要求網絡安全主機安全應用安全數據安全安全管理機構安全管理制度人員安全管理系統建設管理系統運維管理基本要求標注方式基本要求技術要求管理要求要求標注業務信息安全類要求（標記為S類）系統服務保證類要求（標記為A類）通用安全保護類要求（標記為G類）

三類要求之間的關系通用安全保護類要求（G）業務信息安全類（S）系統服務保證類（A安全要求基本要求的選擇和使用一個3級系統,定級結果為S3A2，保護類型應該是S3A2G3第1步:選擇標準中3級基本要求的技術要求和管理要求;第2步:要求中標注為S類和G類的不變;標注為A類的要求可以選用2級基本要求中的A類作為基本要求;安全保護和系統定級的關系安全等級信息系統保護要求的組合第一級S1A1G1第二級S1A2G2，S2A2G2，S2A1G2第三級S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4定級指南要求按照“業務信息”和“系統服務”的需求確定整個系統的安全保護等級定級過程反映了信息系統的保護要求不同級別系統控制點的差異安全要求類層面一級二級三級四級技術要求物理安全7101010網絡安全3677主機安全4679應用安全47911數據安全及備份恢復2333管理要求安全管理制度2333安全管理機構4555人員安全管理4555系統建設管理991111系統運維管理9121313合計/48667377級差//1874不同級別系統要求項的差異安全要求類層面一級二級三級四級技術要求物理安全9193233網絡安全9183332主機安全6193236應用安全7193136數據安全及備份恢復24811管理要求安全管理制度371114安全管理機構492020人員安全管理7111618系統建設管理20284548系統運維管理18416270合計/85175290318級差//9011528小測試等級保護基本要求共有幾個控制層面？一個定為三級的信息系統可能有幾種不同的等級保護要求組合？等級保護基本要求對我公司的意義？目錄等級保護基本概念介紹等級保護定級等級保護基本要求等級保護實施等級保護測評我公司開展的等級保護支持服務等級保護角色和職責國家管理部門信息系統主管部門安全服務商安全產品提供商安全測評機構部門系統定級安全保護檢測評估監督檢查技術標準管理規范等級保護實施原則自主保護原則信息系統運營、使用單位及其主管部門按照國家相關法規和標準，自主確定信息系統的安全保護等級，自行組織實施安全保護。重點保護原則根據信息系統的重要程度、業務特點，通過劃分不同安全保護等級的信息系統，實現不同強度的安全保護，集中資源優先保護涉及核心業務或關鍵信息資產的信息系統。同步建設原則信息系統在新建、改建、擴建時應當同步規劃和設計安全方案，投入一定比例的資金建設信息安全設施，保障信息安全與信息化建設相適應。動態調整原則要跟蹤信息系統的變化情況，調整安全保護措施。由于信息系統的應用類型、范圍等條件的變化及其他原因，安全保護等級需要變更的，應當根據等級保護的管理規范和技術標準的要求，重新確定信息系統的安全保護等級，根據信息系統安全保護等級的調整情況，重新實施安全保護。等級保護實施流程信息系統全生命周期系統定級規劃設計安全實施安全運維（變更管理/定期安全測評/監督檢查）系統終止啟動階段設計/開發階段實施階段運行維護階段廢棄階段系統定級安全實施安全運維（變更管理/定期安全測評/監督檢查）系統終止已建信息系統等級保護實施過程新建信息系統等級保護實施過程實程信息系統生命周期生期規劃設計等級保護測評流程等級保護測評中的角色關系系統承建單位主管\使用\運行單位測評機構專家組支持測評提供技術、工程和質量文檔實施的配合公安網監部門測評工作組織協調確保技術、工程和質量文檔、提供運營相關文檔的提供評審實施方案等相關文檔配合等級測評實施測評過程中的風險管理和應急管理制定測評計劃和方案等相關文檔在相關單位支持下實施等級測評提交測評報告監督方案評審和系統測評監督確保遵守公正的測評原則和方法對評估結論進行評審測評工作

組織與監管等級保護測評案例(1)某公司（簡稱“AAA”）用電信息系統承載著該公司的電力營銷業務，由數據存儲、業務處理、接入、對外服務和外聯等五個功能區域組成，是一個安全等級為三級的信息系統。(2)現場測評時間為X年X月X日至X年X月X日，現場測評小組分為管理組（2人）和技術組（4人）兩組，分別完成安全管理和安全技術方面的測評。

等級保護被測評案例(3)被測系統為承載著AAA公司電力營銷業務，是AAA公司的重要信息系統，其安全等級定為三級（S3A2G3）。

(4)被測系統由數據存儲、業務處理、接入、對外服務和外聯等五個功能區域組成.對外有可以為大客戶單位、internet網、撥號用戶等提供電費數據查詢、交納、業務擴充、投訴等服務的功能模塊。數據存儲功能區位于屏蔽機房，其它功能區域位于中心機房。

測評對象根據用電信息系統的實際情況，分別確定物理安全、網絡安全、主機系統安全、應用安全等各層面的測評對象。物理方面主要是測評屏蔽機房和主機房。網絡方面主要測評的設備有：路由器、交換機、防火墻、IDS、外聯檢測、防病毒等

。測評對象（2）主機方面主要測評的主機服務器（包括數據庫服務器）

。測評對象（3）應用方面主要測評的應用系統

。測評對象（4）安全管理，主要測評對象為與信息安全管理有關的策略、制度、操作規程、運行記錄、管理人員、技術人員和相關設備設施等。測評指標選取

被測系統的定級結果為：安全保護等級為3級，業務信息安全等級為S3，系統服務安全等級為A2；則該系統的測評指標應包括GB/T22239-2008“技術要求”中的3級通用指標類（G3），3級業務信息安全指標類（S3），2級系統服務安全指標類（A2），以及第3級“管理要求”中的所有指標類。

測評工具和接入點

根據3級信息系統的測評強度要求，在測試的廣度上，應基本覆蓋不同類型的機制，在數量、范圍上可以抽樣；在測試的深度上，應執行功能測試和滲透測試，功能測試可能涉及機制的功能規范、高級設計和操作規程等文檔，滲透測試可能涉及機制的所有可用文檔，并試圖智取進入信息系統等。因此，對其進行測評，應涉及到漏洞掃描工具、滲透測評工具集等多種測試工具。使用的測試工具主要有：網絡漏洞掃描器、數據庫安全掃描器、滲透測試工具集等。

測評內容--物理安全

物理安全測評將通過訪談、文檔審查和實地察看的方式測評信息系統的的物理安全保障情況。主要涉及對象為屏蔽機房和主機房。

測評內容—網絡安全

網絡安全測評將通過訪談、配置檢查和工具測試的方式測評信息系統的的網絡安全保障情況。主要涉及對象為網絡互聯設備、網絡安全設備和網絡拓撲結構等三大類對象。

測評內容—主機安全

主機系統安全測評將通過訪談、配置檢查和工具測試的方式測評主機系統安全保障情況。本次重點測評的操作系統包括各網站服務器、應用服務器和數據庫服務器等的操作系統，數據庫管理系統為數據庫服務器Sybase。

。

測評內容—應用安全和數據安全

應用安全測評將通過訪談、配置檢查和工具測試的方式測評應用安全保障情況，主要涉及對象為用電信息系統、對外服務網站系統和遠程客戶服務系統。

測評內容—安全管理部分安全管理部分為全局性問題，涉及安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理等五個方面。主要是審查相關管理文檔和記錄文件。

等級保護測評實施—物理安全要求：對于溫濕度控制（G3），在GB/T22239-2008中的描述為“機房應設置溫、濕度自動調節設施，使