发布时间 : 星期日 文章电力行业信息系统安全等级保护定级工作指导意见更新完毕开始阅读
务是面向本单位的,涉及到的等级保护客体一般是本单位,而对外运营的业务系统往往关系到其他单位、个人或面向社会,因此这两类业务可能涉及不同的客体,可能具有不同的安全保护等级,可以考虑划分为不同的信息系统。又比如处理涉及国家秘密信息的信息系统与处理一般单位敏感信息的信息系统应分开。
②可能对客体造成不同程度损害的系统。例如全国大集中系统数据中心的数据量和服务范围都远大于各省级节点和市级节点,其受到破坏后的损害程度和影响范围也有很大差别,可能具有不同的安全等级,可以考虑划分为不同的信息系统。
③处理不同类型业务的系统。 (3)分析物理位置的差异
根据物理位置的不同,对信息系统进行划分。物理位置的不同,信息系统面临的安全威胁就可能不同,不同物理位置之间通信信道的不可信,使不同物理位置的信息系统也不能视为可以互相访问的一个安全域,即使等级相同可能也需要划分为不同的信息系统分别加以保护。因此,物理位置也可以作为信息系统划分的考虑因素之一。
在进行信息系统的划分过程中,进行分析,可以选择上述三个方面中的一个方面因素作为划分的依据,也可以综合几个方面因素作为划分的依据。同时,还要结合信息系统的现状,避免由于信息系统的划分而引起大量的网络改造和重复建设工作,影响原有系统的正常运行。一般单位的信息系统建设和网络布局,一
10
般都会或多或少考虑系统的特点、业务重要性及不同系统之间的关系,进行信息系统的等级划分应尽可能以现有网络条件为基础进行划分,以免引起不必要的网络改造和建设工作,影响原有系统的业务运行。
此外,有些信息系统中不同业务的重要程度虽然会有所差异,但是由于业务之间联系紧密,不容易拆分,可以作为一个信息系统按照同样级别保护。但是,如果其中某一个业务对信息防护或服务保障性要求较高,比如与互联网相连,可能会影响到其它的业务,就应当将其从该信息系统中分离出来,单独定级而实施增强保护。
经过合理划分,一个单位或机构的信息系统最终可能会划分为不同等级的多个信息系统。同时,通过在信息系统划分阶段对各种系统服务业务信息、业务流程的深入分析,明确了各个信息系统之间的边界和逻辑关系以及他们各自的安全需求,有利于信息系统安全保护的实施。
6.2.3 定级对象信息系统边界和边界设备的确定方法
定级对象确定后就需要确定定级对象信息系统的边界和边界设备。由于定级对象信息系统有可能是单位信息系统的一部分,如果该信息系统与其他系统在网络上是独立的,没有设备共用情况,边界则容易确定,但当不同信息系统之间存在共用设备时,应加以分析。
11
由于信息系统的边界保护一般在物理边界或网络边界上实现,系统边界一般不应出现在服务器内部。
两个信息系统边界存在共用设备时,共用设备的安全保护措施按两个信息系统安全保护等级较高者确定。例如,一个2级系统和一个3级系统之间有一个防火墙或两个系统共用一个核心交换机,此时防火墙和交换机可以作为两个系统的边界设备,但其安全保护措施应满足3级系统的要求。
终端设备一般包括系统管理终端、内部用户终端和外部用户终端。对于外部用户终端,由于用户和设备一般都不在信息系统的管理边界内,这些终端设备不在信息系统的边界范围内。信息系统的管理终端是与被管理设备相对应的,服务器、网络设备及安全设备等属于哪个系统,终端就应归在哪个信息系统中。内部用户终端就比较复杂,内部用户终端往往与多个系统相连,当信息系统进行等级化保护后,应尽可能为不同的信息系统分配不共用的终端设备,以免在终端处形成不同等级信息系统的边界。但如果无法做到不同等级的信息系统使用不同的终端设备,则应将终端设备划分为其他的信息系统,并在服务器与内部用户终端之间建立边界保护,对终端通过身份鉴别和访问控制等措施加以控制。
处理涉密信息的终端必须划分到相应的信息系统中,且不能与非涉密系统共用终端。
12
6.2.4 电力行业信息系统安全等级保护定级对象分类
根据电力行业实际,按照上述定级对象确定方式,综合考虑信息系统的责任单位、业务类型和业务重要性及物理位置差异等各种因素,可将电力行业信息系统分为生产控制系统、生产管理系统、网站系统、管理信息系统、信息网络五大类。
具体重要信息系统目录参见第9章。 6.3 确定受侵害的客体
定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。
侵害国家安全的事项包括以下方面: ——影响国家政权稳固和国防实力; ——影响国家统一、民族团结和社会安定; ——影响国家对外活动中的政治、经济利益; ——影响国家重要的安全保卫工作; ——影响国家经济竞争力和科技实力; ——其他影响国家安全的事项。 侵害社会秩序的事项包括以下方面:
——影响国家机关社会管理和公共服务的工作秩序; ——影响各种类型的经济活动秩序; ——影响各行业的科研、生产秩序;
——影响公众在法律约束和道德规范下的正常生活秩序等;
13