电力行业信息系统安全等级保护定级工作指导意见.docx
《电力行业信息系统安全等级保护定级工作指导意见.docx》由会员分享,可在线阅读,更多相关《电力行业信息系统安全等级保护定级工作指导意见.docx(24页珍藏版)》请在冰点文库上搜索。
电力行业信息系统安全等级保护定级工作指导意见
电力行业信息系统安全等级保护
定级工作指导意见
国家电力监管委员会
二〇〇七年十一月
目录
1引言1
2依据1
3术语和定义1
3.1信息系统1
3.2等级保护对象2
3.3客体2
3.4系统服务2
4工作组织2
5定级原理3
5.1信息系统安全保护等级3
5.2信息系统安全保护等级的定级要素4
5.2.1受侵害的客体4
5.2.2对客体的侵害程度4
5.3定级要素与等级的关系4
6定级方法5
6.1定级流程5
6.2确定定级对象6
6.2.1作为定级对象的基本特征7
6.2.2定级对象的识别方法7
6.2.3定级对象信息系统边检和边界设备的确定方法11
6.2.4电力行业信息系统安全等级保护定级对象分类13
6.3确定受侵害的客体13
6.4确定对客体的侵害程度14
6.4.1侵害的客观方面14
6.4.2综合判定侵害程度15
6.5可能侵害的客体及侵害程度的确定方法17
6.6确定定级对象的安全保护等级19
6.7关于定级过程的说明20
7关于审批流程的说明23
8等级变更24
9电力行业信息系统安全等级保护定级参考24
1引言
为贯彻落实公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于印发<信息安全等级保护管理办法>的通知》(公通字〔2007〕43号)、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)和国家电力监管委员会《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息〔2007〕34号)要求,指导电力行业信息系统安全保护定级工作,制定本意见。
2依据
《关于印发<信息安全等级保护管理办法>的通知》(公通字〔2007〕43号)
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)
《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息〔2007〕34号)
3术语和定义
3.1信息系统
基于计算机或计算机网络,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的系统。
3.2等级保护对象
信息系统安全等级保护工作直接作用的具体的信息和信息系统。
3.3客体
受法律保护的等级保护对象受到破坏时所侵害的社会关系,如国家安全,社会秩序、公共利益以及公民、法人或社会其他组织的合法权益。
3.4客观方面
对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。
3.5系统服务
信息系统为支撑其所承载业务而提供的程序化过程。
4工作组织
国家电力监管委员会:
组织领导并统一协调电力行业信息系统安全等级保护定级工作,对信息系统运营使用单位的定级工作进行督促、检查和指导。
电力行业信息系统安全等级保护定级工作专家组(以下简称专家组):
对电力行业信息系统安全定级工作进行专家指导、咨询,对定级结果进行评审。
各有关电力公司(电力行业网络与信息安全领导小组成员单位):
负责组织开展本单位(系统)信息系统安全等级保护定级工作。
信息系统运营使用单位(以下简称运营使用单位):
具体负责所运营、使用的信息系统的安全定级工作。
技术支持单位:
中国电力科学研究院信息安全研究所等单位为信息安全定级工作的技术支持单位,负责提供技术支持。
5定级原理
5.1信息系统安全保护等级
根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
5.2信息系统安全保护等级的定级要素
信息系统的安全保护等级由两个定级要素决定:
等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
5.2.1受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面:
(1)公民、法人和其他组织的合法权益;
(2)社会秩序、公共利益;
(3)国家安全。
5.2.2对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。
由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:
(1)造成一般损害;
(2)造成严重损害;
(3)造成特别严重损害。
5.3定级要素与等级的关系
定级要素与信息系统安全保护等级的关系如表1所示。
表1定级要素与安全保护等级的关系
受侵害的客体
对客体的侵害程度
一般损害
严重损害
特别严重损害
公民、法人和其他组织的合法权益
第一级
第二级
第二级
社会秩序、公共利益
第二级
第三级
第四级
国家安全
第三级
第四级
第五级
6定级方法
6.1定级流程
信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。
从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。
从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。
确定信息系统安全保护等级的一般流程如下:
(1)确定作为定级对象的信息系统;
(2)确定业务信息安全受到破坏时所侵害的客体;
(3)根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度;
(4)依据表3,得到业务信息安全保护等级;
(5)确定系统服务安全受到破坏时所侵害的客体;
(6)根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度;
(7)依据表4,得到系统服务安全保护等级;
(8)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
上述步骤如图1确定等级一般流程所示。
图1确定等级一般流程
6.2确定定级对象
一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。
6.2.1作为定级对象的基本特征
(1)具有唯一确定的安全责任单位
作为定级对象的信息系统应能够唯一地确定其安全责任单位。
如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。
(2)具有信息系统的基本要素
作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。
应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。
(3)承载单一或相对独立的业务应用
定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他业务应用没有数据交换,且独享所有信息处理设备。
定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。
6.2.2定级对象的识别方法
一般来讲单位信息系统可以划分为几个定级对象,如何划分系统是定级之前的主要问题。
信息系统的划分没有绝对的对与错,只有合理与不合理,合理地划分信息系统有利于信息系统的保护及安全规划,反之可能给将来的应用和安全保护带来不便,又可能需要重新进行信息系统的划分。
由于信息系统的多样性,不同的信息系统在划分过程中所侧重考虑的划分依据会有所不同。
通常,在信息系统划分过程中,应当结合信息系统的现状,从信息系统的管理机构、业务特点或物理位置等几个方面考虑对信息系统进行划分,当然也可以根据信息系统的实际情况,选择其他的划分依据,只要最终划分结果合理就可以。
(1)安全责任单位
依据安全责任单位的不同,划分信息系统。
如果信息系统由不同的单位负责运行维护和管理,或者说信息系统的安全责任分属不同机构,则可以根据安全责任单位的不同划分成不同的信息系统。
一个运行在局域网的信息系统,其安全责任单位一般只有一个,但对一个跨不同地域运行的信息系统来说,就可能存在不同的安全责任单位,此时可以考虑根据不同地域的信息系统的安全责任单位的不同,划分出不同的信息系统。
在一个单位中,信息系统的业务管理和运行维护可能由不同部门负责,例如科技部门或信息中心负责信息系统所有设备和设施的运行、维护和管理,各业务部门负责其中的业务流程的制定和业务操作,信息系统的安全管理责任不仅指在信息系统的运行、维护和管理方面的责任,承担安全责任的不应是科技部门,而应当是该单位本身。
一个运行在局域网的信息系统,其管理边界比较明确,但对一个跨不同地域运行的信息系统,其管理边界可能有不同情况:
如果不同地域运行的信息系统分属不同单位(如上级单位和下级单位)负责运行和管理,上下级单位的管理边界为本地的信息系统,则该信息系统可以划分为两个信息系统;如果不同地域运行的信息系统均由其上级单位直接负责运行和管理,运维人员由上级单位指派,安全责任由上级单位负责,则上级单位的管理边界应包括本地和远程的运行环境。
(2)业务类型和业务重要性
根据业务的类型、功能、阶段的不同,对信息系统进行划分,不同类型的业务之间会存在重要程度、环境、用户数量等方面的不同,这些不同会带来安全需求和受破坏后的影响程度的差异,例如,一个是以信息处理为主的系统,其重要性体现在信息的保密性,而另一个是以业务处理为主的系统,其重要性体现在其所提供服务的连续性,因此,可以按照业务类型的不同划分为不同的信息系统。
又比如,在整个业务流程中,核心处理系统的功能重要性可能远大于终端处理系统,有需要时,可以将其划分为不同的信息系统。
归结起来,以下几种情况可能划分为不同等级的信息系统:
①可能涉及不同客体的系统。
例如对内服务与对外运营的业务系统,对内服务的办公系统,一般来说其中的信息和提供的服务是面向本单位的,涉及到的等级保护客体一般是本单位,而对外运营的业务系统往往关系到其他单位、个人或面向社会,因此这两类业务可能涉及不同的客体,可能具有不同的安全保护等级,可以考虑划分为不同的信息系统。
又比如处理涉及国家秘密信息的信息系统与处理一般单位敏感信息的信息系统应分开。
②可能对客体造成不同程度损害的系统。
例如全国大集中系统数据中心的数据量和服务范围都远大于各省级节点和市级节点,其受到破坏后的损害程度和影响范围也有很大差别,可能具有不同的安全等级,可以考虑划分为不同的信息系统。
③处理不同类型业务的系统。
(3)分析物理位置的差异
根据物理位置的不同,对信息系统进行划分。
物理位置的不同,信息系统面临的安全威胁就可能不同,不同物理位置之间通信信道的不可信,使不同物理位置的信息系统也不能视为可以互相访问的一个安全域,即使等级相同可能也需要划分为不同的信息系统分别加以保护。
因此,物理位置也可以作为信息系统划分的考虑因素之一。
在进行信息系统的划分过程中,进行分析,可以选择上述三个方面中的一个方面因素作为划分的依据,也可以综合几个方面因素作为划分的依据。
同时,还要结合信息系统的现状,避免由于信息系统的划分而引起大量的网络改造和重复建设工作,影响原有系统的正常运行。
一般单位的信息系统建设和网络布局,一般都会或多或少考虑系统的特点、业务重要性及不同系统之间的关系,进行信息系统的等级划分应尽可能以现有网络条件为基础进行划分,以免引起不必要的网络改造和建设工作,影响原有系统的业务运行。
此外,有些信息系统中不同业务的重要程度虽然会有所差异,但是由于业务之间联系紧密,不容易拆分,可以作为一个信息系统按照同样级别保护。
但是,如果其中某一个业务对信息防护或服务保障性要求较高,比如与互联网相连,可能会影响到其它的业务,就应当将其从该信息系统中分离出来,单独定级而实施增强保护。
经过合理划分,一个单位或机构的信息系统最终可能会划分为不同等级的多个信息系统。
同时,通过在信息系统划分阶段对各种系统服务业务信息、业务流程的深入分析,明确了各个信息系统之间的边界和逻辑关系以及他们各自的安全需求,有利于信息系统安全保护的实施。
6.2.3定级对象信息系统边界和边界设备的确定方法
定级对象确定后就需要确定定级对象信息系统的边界和边界设备。
由于定级对象信息系统有可能是单位信息系统的一部分,如果该信息系统与其他系统在网络上是独立的,没有设备共用情况,边界则容易确定,但当不同信息系统之间存在共用设备时,应加以分析。
由于信息系统的边界保护一般在物理边界或网络边界上实现,系统边界一般不应出现在服务器内部。
两个信息系统边界存在共用设备时,共用设备的安全保护措施按两个信息系统安全保护等级较高者确定。
例如,一个2级系统和一个3级系统之间有一个防火墙或两个系统共用一个核心交换机,此时防火墙和交换机可以作为两个系统的边界设备,但其安全保护措施应满足3级系统的要求。
终端设备一般包括系统管理终端、内部用户终端和外部用户终端。
对于外部用户终端,由于用户和设备一般都不在信息系统的管理边界内,这些终端设备不在信息系统的边界范围内。
信息系统的管理终端是与被管理设备相对应的,服务器、网络设备及安全设备等属于哪个系统,终端就应归在哪个信息系统中。
内部用户终端就比较复杂,内部用户终端往往与多个系统相连,当信息系统进行等级化保护后,应尽可能为不同的信息系统分配不共用的终端设备,以免在终端处形成不同等级信息系统的边界。
但如果无法做到不同等级的信息系统使用不同的终端设备,则应将终端设备划分为其他的信息系统,并在服务器与内部用户终端之间建立边界保护,对终端通过身份鉴别和访问控制等措施加以控制。
处理涉密信息的终端必须划分到相应的信息系统中,且不能与非涉密系统共用终端。
6.2.4电力行业信息系统安全等级保护定级对象分类
根据电力行业实际,按照上述定级对象确定方式,综合考虑信息系统的责任单位、业务类型和业务重要性及物理位置差异等各种因素,可将电力行业信息系统分为生产控制系统、生产管理系统、网站系统、管理信息系统、信息网络五大类。
具体重要信息系统目录参见第9章。
6.3确定受侵害的客体
定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。
侵害国家安全的事项包括以下方面:
——影响国家政权稳固和国防实力;
——影响国家统一、民族团结和社会安定;
——影响国家对外活动中的政治、经济利益;
——影响国家重要的安全保卫工作;
——影响国家经济竞争力和科技实力;
——其他影响国家安全的事项。
侵害社会秩序的事项包括以下方面:
——影响国家机关社会管理和公共服务的工作秩序;
——影响各种类型的经济活动秩序;
——影响各行业的科研、生产秩序;
——影响公众在法律约束和道德规范下的正常生活秩序等;
——其他影响社会秩序的事项。
影响公共利益的事项包括以下方面:
——影响社会成员使用公共设施;
——影响社会成员获取公开信息资源;
——影响社会成员接受公共服务等方面;
——其他影响公共利益的事项。
影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。
确定作为定级对象的信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。
各单位可根据本单位业务特点,分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系,从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。
6.4确定对客体的侵害程度
6.4.1侵害的客观方面
在客观方面,对客体的侵害行为外在表现为对定级对象的破坏,其危害方式表现为对信息安全的破坏和对信息系统服务的破坏,其中信息安全是指确保信息系统内信息的保密性、完整性和可用性等,系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。
由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。
信息安全和系统服务安全受到破坏后,可能产生以下危害后果:
——影响行使工作职能;
——导致业务能力下降;
——引起法律纠纷;
——导致财产损失;
——造成社会不良影响;
——对其他组织和个人造成损失;
——其他影响。
6.4.2综合判定侵害程度
侵害程度是客观方面的不同外在表现程度,因此,应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。
对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同,例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定,业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。
在针对不同的受侵害客体进行侵害程度的判断时,应参照以下不同的判别基准:
——如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准;
——如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。
不同危害后果的三种危害程度描述如下:
一般损害:
工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。
严重损害:
工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。
特别严重损害:
工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。
信息安全和系统服务安全被破坏后对客体的侵害程度,由对不同危害结果的危害程度进行综合评定得出。
由于各单位信息系统所处理的信息种类和系统服务特点各不相同,信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同,各单位可根据本单位信息特点和系统服务特点,制定危害程度的综合评定方法,并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义。
6.5可能侵害的客体及侵害程度的确定方法
(1)电力信息系统受到破坏后可能侵害的客体
电力行业各类别信息系统受到破坏后可能侵害的客体参见表2。
表2电力行业各类别信息系统受到破坏后可能侵害的客体
信息系统类别
可能侵害的客体
生产控制系统
国家安全,社会秩序、公共利益,公民、法人和其他组织的合法权益
生产管理系统
国家安全、社会秩序、公共利益,公民、法人和其他组织的合法权益
管理信息系统
社会秩序、公共利益,公民、法人和其他组织的合法权益
网站系统
社会秩序、公共利益,公民、法人和其他组织的合法权益
信息网络
国家安全,社会秩序、公共利益,公民、法人和其他组织的合法权益
(2)确定对客体的侵害程度
电力行业信息系统受到破坏时,不同危害后果的三种危害程度描述如下:
①对公民、法人和其它组织的合法权益的危害程度
一般损害:
对信息系统所属单位造成一定的经济损失,或对个别公民、法人或其它组织的利益造成较低的损害。
严重损害:
对信息系统所属单位造成严重的经济损失,或对个别公民、法人或其它组织的利益造成一定的损害。
特别严重损害:
对信息系统所属单位造成重大的经济损失,或对个别公民、法人或其它组织的利益造成严重的损害。
②对社会秩序、公共利益的危害程度
一般损害:
使电力生产面临明显的中断威胁,影响波及一个地市的部分地区,对公众利益造成一定损害,可能扰乱社会秩序。
严重损害:
使电力生产面临严重的中断威胁,影响波及一个或多个地市的部分地区,对公众利益造成严重损害,对社会秩序造成一定的影响。
特别严重损害:
使电网瓦解,发电机组停运,影响波及一个或多个地市的大部分地区,严重扰乱社会秩序,对电力行业造成巨大经济损失,对公众利益造成重大损害。
③对国家安全的危害程度
一般损害:
使电网瓦解,发电机组停运,影响波及一个或多个地市的部分地区,明显影响社会安定。
严重损害:
使电网瓦解,发电机组停运,影响波及一个或多个地市的大部分地区,对社会安定造成了严重的影响,明显影响国家安全。
特别严重损害:
造成电网瓦解,发电机组停运,影响波及一个或多个省市的大部分地区,引起社会动荡,严重威胁国家安全。
6.6确定定级对象的安全保护等级
根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表3业务信息安全保护等级矩阵表,即可得到业务信息安全保护等级。
表3业务信息安全保护等级矩阵表
业务信息安全被破坏时所侵害的客体
对相应客体的侵害程度
一般损害
严重损害
特别严重损害
公民、法人和其他组织的合法权益
第一级
第二级
第二级
社会秩序、公共利益
第二级
第三级
第四级
国家安全
第三级
第四级
第五级
根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表4系统服务安全保护等级矩阵表,即可得到系统服务安全保护等级。
表4系统服务安全保护等级矩阵表
系统服务安全被破坏时所侵害的客体
对相应客体的侵害程度
一般损害
严重损害
特别严重损害
公民、法人和其他组织的合法权益
第一级
第二级
第二级
社会秩序、公共利益
第二级
第三级
第四级
国家安全
第三级
第四级
第五级
作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。
6.7关于定级过程的说明
信息系统定级既可以在新系统规划、设计时进行,也可在已建成系统中进行。
对于新建系统,尽管信息系统尚未建成,但信息系统的运营使用者应首先分析该信息系统处理哪几种主要业务,预计处理的业务信息和服务安全被破坏所侵害的客体、以及根据可能的对信息系统的损害方式判断可能的客体侵害程度等基本信息,确定信息系统的安全保护等级。
对于已建系统,可以通过系统基本情况调查、调查结果分析、确定等级,形成定级报告等过程完成。
通过定级调查,可以了解单位信息系统的全貌,了解定级对象信息系统与单位其他信息系统的关系。
根据用户需求或工作需要,定级调查活动既可以针对单位整个信息系统进行,也可在用户指定的范围内进行。
(1)识别单位基本信息
调查了解对目标系统负有安全责任的单位的性质、隶属关系、所属行业、业务范围、地理位置等基本情况,以及其上级主管机构(如果有)的信息。
了解单位基本信息有助于判断单位的职能特点,单位所在行业及单位在行业所处的地位和所用,由此判断单位主要信息系统的宏观定位。
(2)识别管理框架
调查
升级会员 