1、 信息安全等级保护信息安全等级保护基本要求和建设整改基本要求和建设整改北京电子科技学院北京电子科技学院二一一年十一月二一一年十一月第1页,共54页。1 1、基本要求概述、基本要求概述4 4、管理级差分析、管理级差分析3 3、技术级差分析、技术级差分析2 2、基本要求内容、基本要求内容主要内容主要内容第2页,共54页。1 1、基本要求概述、基本要求概述4 4、管理级差分析、管理级差分析3 3、技术级差分析、技术级差分析2 2、基本要求内容、基本要求内容主要内容主要内容第3页,共54页。基本要求的概述基本要求的概述信息系统根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会
2、秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高划分成五级。五级定义见GB/T 22240-2008GB/T 22240-2008。第4页,共54页。不同等级的安全保护能力不同等级的安全保护能力第一级第一级应能够防护系统免受来自个人的、拥有很少资源(如利用公开可获取的工具等)的威胁源发起的恶意攻击、一般的自然灾难(灾难发生的强度弱、持续时间很短等)以及其他相当危害程度的威胁(无意失误、技术故障等)所造成的关键资源损害,在系统遭到损害后,能够恢在系统遭到损害后,能够恢复部分功能复部分功能。第二级第二级应能够防护系统免受来自外部小型组织的(如自发的三两人组成的黑客组织)、拥有
3、少量资源(如个别人员能力、公开可获或特定开发的工具等)的威胁源发起的恶意攻击、一般的自然灾难(灾难发生的强度一般、持续时间短、覆盖范围小等)以及其他相当危害程度的威胁(无意失误、技术故障等)所造成的重要资源损害,能够发现重要的,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。分功能。第5页,共54页。第三级第三级应能够在统一安全策略下防护系统免受来自外部有组织的团体(如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾难(灾难发生的强度
4、较大、持续时间较长、覆盖范围较广等)以及其他相当危害程度的威胁(内部人员的恶意威胁、无意失误、较严重的技术故障等)所造成的主要资源损害,能够发现安全漏洞和安全事件,在系,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。统遭到损害后,能够较快恢复绝大部分功能。第四级第四级应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难(灾难发生的强度大、持续时间长、覆盖范围广等)以及其他相当危害程度的威胁(内部人员的恶意威胁、无意失误、严重的技术故障等)所造成的资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能能够发
5、现安全漏洞和安全事件,在系统遭到损害后,能够迅速恢复所有功能。够迅速恢复所有功能。不同等级的安全保护能力不同等级的安全保护能力第6页,共54页。等级等级&保护能力一览表保护能力一览表第7页,共54页。等级保护的基本思想等级保护的基本思想第8页,共54页。等级保护的核心要求等级保护的核心要求第9页,共54页。每一个等级的信息系统基本安全要求满足具备实现基本要求的模型描述基本要求的模型描述第10页,共54页。基本要求基本要求的作用的作用第11页,共54页。某等级信息系统基本保护精确保护基本要求保护补充的安全措施GB17859-1999通用技术要求安全管理要求高级别的基本要求等级保护其他标准安全方面
6、相关标准等等特殊需求补充措施基本要求基本要求的定位的定位基本要求测评基本保护基本保护第12页,共54页。1、不同安全保护等级的信息系统,其对业务信息的安全性要求和系统服务的连续性要求是有差异的。2、相同安全保护等级的信息系统,其对业务信息的安全性要求和系统服务的连续性要求也是有差异的。3、信息系统的安全保护等级由业务信息安全性等级和系统服务保证性等级的较高者决定。基本安全要求的选择和使用基本安全要求的选择和使用第13页,共54页。定级组合定级组合信息系统定级后,不同安全保护等级的信息系统可能形成的定级结果组合如下第一级第二级第三级第四级第14页,共54页。1、明确信息系统应该具有的安全保护能力
7、,根据信息系统的安全保护等级选择基本安全要求,包括技术要求和管理要求。简单的方法是根据本标准,一级系统选择第一级基本安全要求,二级,一级系统选择第一级基本安全要求,二级系统选择第二级基本安全要求,三级系统选择第三级基本安全要求,系统选择第二级基本安全要求,三级系统选择第三级基本安全要求,四级系统选择第四级基本安全要求四级系统选择第四级基本安全要求,以此作为出发点。2、根据信息系统的定级结果对基本安全要求进行调整。根据系统服务保证性等级选择相应等级的系统服务保证类(A类)基本安全要求;根据业务信息安全性等级选择相应等级的业务信息安全类(S类)基本安全要求。选择和使用的步骤选择和使用的步骤第15页
8、,共54页。3、针对不同行业或不同系统的特点,分析可能在某些方面的特殊安全保护能力要求,选择较高级别的基本安全要求或补充基本安全要求。对于本标准中提出的基本安全要求无法实现或有更加有效的安全措施可以替代的,可以对基本安全要求进行调整,调整的原则是保证不降低整体安全保护能力。选择和使用的步骤选择和使用的步骤第16页,共54页。1 1、基本要求概述、基本要求概述4 4、管理级差分析、管理级差分析3 3、技术级差分析、技术级差分析2 2、基本要求内容、基本要求内容主要内容主要内容第17页,共54页。基本要求分类基本要求分类基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全
9、要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类。第18页,共54页。基本要求的组织方式基本要求的组织方式第19页,共54页。基本技术要求基本技术要求技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现。基本技术要求物理安全网络安全主机安全应用安全数据安全第20页,共54页。基本技术要求的主要内容基本技术要求的主要内容第21页,共54页。基本技术要求的三种类型基本技术要求的三种类型根据保护侧重点的不同,技术类安全要求进一步根据保护侧重点的不同,技术类安全要求进一步细分为细分为:1、保护数据在存储、传输、处理过程中不
10、被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);2、保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);3、通用安全保护类要求(简记为G)。第22页,共54页。基本管理要求基本管理要求管理类安全要求与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。基本管理要求安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理第23页,共54页。基本管理要求的主要内容基本管理要求的主要内容第24页,共54页。1 1、基本要求概述、基本要求概述4 4、管理级差分析、管理级差分析3
11、 3、技术级差分析、技术级差分析2 2、基本要求内容、基本要求内容主要内容主要内容第25页,共54页。等级一级二级三级四级五级等级保护自主保护指导监督检查强制监督检查专门监督检查保护级别(GB17859)自主访问审计(自主访问)标记(强制访问)结构化保证实时监控实施与管理主管部门审批自定主管部门审批公安部门备案主管部门审批每年一次测评检查专家委评审半年一次测评检查专家委评审专门检查等级保护、等级保护、GB/T17859GB/T17859关系关系第26页,共54页。从从PDRR PDRR 的角度分析:的角度分析:防护防护/监测策略/防护/监测/恢复策略/防护/监测/恢复/响应一级系统二级系统三级
12、系统四级系统等级保护的要求:等级保护的要求:PDRPDR原则原则第27页,共54页。从从IATFIATF的层面分析的层面分析通信/边界(基本)通信/边界/内部(关键设备)通信/边界/内部(主要设备)通信/边界/内部/基础设施(所有设备)一级系统二级系统三级系统四级系统分级保护的要求:纵深防护分级保护的要求:纵深防护第28页,共54页。分级保护的要求:成熟度模型分级保护的要求:成熟度模型第29页,共54页。安全要求类层面一级二级三级四级技术要求物理安全7101010网络安全3677主机安全4679应用安全47911数据安全及备份恢复2333管理要求安全管理制度2333安全管理机构4555人员安全
13、管理4555系统建设管理991111系统运维管理9121313合计/48667377级差/1874控制点的分布控制点的分布第30页,共54页。安全要求类层面一级二级三级四级技术要求物理安全9193233网络安全9183332主机安全6193236应用安全7193136数据安全及备份恢复 24811管理要求安全管理制度371114安全管理机构492020人员安全管理7111618系统建设管理20284548系统运维管理18416270合计/85175290318级差/9011528控制项的分布控制项的分布第31页,共54页。1 1、基本要求概述、基本要求概述4 4、管理级差分析、管理级差分析3
14、3、技术级差分析、技术级差分析2 2、基本要求内容、基本要求内容主要内容主要内容第32页,共54页。物理安全类物理安全类第33页,共54页。技术要求第一级第二级第三级第四级物理环境基本防护进一步防护增强控制扩大防护范围人员控制对基本出入行为进行控制对进入后的活动也要进行控制对出入加强了控制,做到人、电子设备共同监控要求多道电子设备监控物理防护进行基本防护要求更加细致,加强了各方面的防护进一步采取各种控制措施来进行防护要求采用一定的防护设备进行防护物理安全类物理安全类第34页,共54页。网络安全类网络安全类第35页,共54页。技术要求第一级第二级第三级第四级网络处理能力提供基本保障满足业务极限时
15、的要求保证重要主机的优先级同第三级访问控制粒度对用户组的数据包头进行基本过滤对单个用户的会话信息进行过滤应用层过滤,设备的接入做一定的限制限制通用协议,根据敏感标记进行过滤,禁止远程拨号访问边界防护能力进行基本防护非法外联;入侵检测;非法外联的定位、阻断;入侵检测并报警;恶意代码防范;入侵检测、报警并阻断;与内网异构的恶意代码防范;审计能力无要求设备运行网络流量对形成的记录进行分析、形成报表;对审计系统进行保护设计审计系统的跟踪极限阀值;集中审计身份鉴别基本的登录鉴别措施鉴别标示唯一,鉴别信息复杂两种以上鉴别技术;特权用户分离至少一种鉴别信息为不可伪造的网络安全类网络安全类第36页,共54页。
16、主机安全类主机安全类第37页,共54页。技术要求第一级第二级第三级第四级资源控制无要求单个用户的会话数量和终端登录监视服务器;对系统最小服务进行监测和报警同第三级访问控制粗粒度的控制策略不同系统用户的权限分离最小授权原则强制访问控制,控制力度为用户、进程、文件、数据库表、记录和字段安全防护进行基本防护非法外联;入侵检测;非法外联的定位、阻断;入侵检测并报警;恶意代码防范;入侵检测、报警并阻断;与内网异构的恶意代码防范;审计能力无要求审计服务器中的用户行为和系统异常对形成的记录进行分析、形成报表;对审计系统进行保护;审计范围扩展到客户端集中审计身份鉴别简答的身份鉴别措施鉴别标示唯一,鉴别信息复杂
17、两种以上鉴别技术至少一种鉴别信息为不可伪造的;设置鉴别警示信息主机安全类主机安全类第38页,共54页。应用安全类应用安全类第39页,共54页。技术要求第一级第二级第三级第四级资源控制无要求单个用户的会话数量和终端登录时间段内的会话数量;根据优先级分配资源;对系统最小服务进行监测和报警同第三级访问控制粗粒度的控制策略细化控制力度;最小授权原则对重要信息设置敏感标记,并控制对其操作以标记的方式软件安全进行基本防护操作系统及时更新剩余信息保护;抗抵赖安全标记和可信路径通信安全确定的会话方式单项校验码;初始化验证;敏感信息加密;利用密码技术来判断数据的完整性;整个报文或会话过程加密来保证通信的保密性加
18、解密运算要求设备化审计能力无要求用户行为安全事件对形成的记录进行分析、形成报表;对审计系统进行保护;集中审计接口身份鉴别简答的身份鉴别措施鉴别标示唯一;鉴别信息复杂两种以上鉴别技术至少一种鉴别信息为不可伪造的;应用安全类应用安全类第40页,共54页。数据安全及备份恢复类数据安全及备份恢复类第41页,共54页。技术要求第一级第二级第三级第四级数据完整性数据传输过程进行完整性检测鉴别信息和重要业务数据在传输过程中都要保证其完整性系统管理数据的传输完整性,不仅能够检测出数据受到破坏,并能进行恢复采用安全、专用的通信协议数据保密性无要求能够实现鉴别信息的存储保密性实现系统管理数据、鉴别信息和重要业务数
19、据的传输和存储的保密性采用安全、专用的通信协议备份和恢复对重要数据进行备份提供一定的硬件冗余本地完全数据备份;异地备份和冗余网络拓扑建立异地适时灾难备份中心,在灾难发生后系统能够自动切换和恢复数据安全及备份恢复类数据安全及备份恢复类第42页,共54页。1 1、基本要求概述、基本要求概述4 4、管理级差分析、管理级差分析3 3、技术级差分析、技术级差分析2 2、基本要求内容、基本要求内容主要内容主要内容第43页,共54页。基本管理要求安全管理制度类第44页,共54页。技术要求第一级第二级第三级第四级管理制度制定日常常用的管理制度管理制度要求更高,并总体方针和安全策略,重要操作规程的要求建立信息安
20、全管理制度体系同第三级制定和发布有人员负责安全管理制度的制定,相关人员能够了解管理制度有专门部门或人员负责安全管理制定的制定,并且发布前要组织论证制度的制定格式、发布范围、发式等进行了控制侧重对有密级的安全制度的管理评审和修订无要求对安全管理制度评审和修订安全领导小组负责组织定期和不定期的评审和修订侧重对有密级的安全制度的修订和制度的日常维护安全管理制度类安全管理制度类第45页,共54页。安全管理机构类安全管理机构类第46页,共54页。技术要求第一级第二级第三级第四级岗位设置设置基本的工作岗位安全主管,安全管理各个方面的负责人等岗位要求设置信息安全的职能部门和上层领导小组同第三级人员配备配备一
21、定数量的基本岗位工作人员安全管理员不可兼任其它岗位设专职安全员,并且加强对关键事务的管理同第三级授权和审批明确授权和审批职责对关键活动进行审批对审批形式增强要求增强审批制度、程序、审查、记录等方面的要求同第三级沟通和合作加强对外的沟通和合作与机构内部及与其他部门的沟通和合作扩大与外界组织沟通的范围同第三级审核和检查无要求定期进行安全检查和检查的基本内容增强对检查内容、检查制度、负责人、检查流程、检查结果处理等的要求同第三级安全管理机构类安全管理机构类第47页,共54页。人员安全管理类人员安全管理类第48页,共54页。技术要求第一级第二级第三级第四级人员录用负责部门或人员对录用人员身份、专业等进
22、行基本的审查对录用人员技能的考核,并与关键岗位人员签署保密协议的形式约束其职责从事关键岗位人员更加严格的录用,并与全部员工签署保密协议同第三级人员离岗对离岗人员进行设备归还和权限中止规范离岗过程关键岗位人员离岗制度化规范人员考核无要求对人员定期进行技能考核。考核结果处理和对关键岗位的考核保密制度和保密检查安全意识教育和培训对人员进行基本的安全意识和责任教育。对安全教育培训的正规化管理侧重于不同岗位的安全教育培训和制度化要求同第三级外部人员访问管理对外部人员访问要得到授权和审批。对外部人员的访问的监督、备案等过程管理访问书面申请,访问制度等,更加严格外部人员访问管理要求外部人员禁止访问关键区域人
23、员安全管理类人员安全管理类第49页,共54页。系统建设管理类系统建设管理类第50页,共54页。技术要求第一级第二级第三级第四级定级与方案确定系统边界和等级,并得到相关部门的批准;形成书面的安全方案和详细设计方案对设计方案的论证和批准;增加对密码产品采购和使用的要求对定级结果的论证;系统建设的总体规划,安全保障体系,并加强体系的论证和修订;采购产品要进行选型测试对重要产品的采购和使用要进行专项测试软件开发要求自主软件的开发环境;要求外包软件质量和设计文档增加对自主软件开发制度化的要求;对外包软件开发后进行审查加强自主软件开发的制度化和过程的管理进一步加强自主软件开发人员的要求;对外包软件进行隐蔽
24、信道的检测工程实施对工程实施、系统交付过程、文档、培训等进行基本的管理;要求测试验收前、测试过程中以及验收后具有基本的文档;制定实施方案进行实施;对验收报告的审定。工程实施、验收和系统交付的管理制度化;工程验收要委托第三方测试要求工程监理备案与测评专门的人员或部门负责备案;定级相关材料上报主管部门,并送公安机关备案同第一级系统投入运行30日内到相应受理机构办理备案手续;测试时机、测评方资质、测评后结果处理等同第三级选择服务商应选择那些已获得国家的相关规定,并签订相关的安全协议,必要时签订服务合同同第一级同第一级同第一级系统建设管理类系统建设管理类第51页,共54页。系统运维管理类系统运维管理类
25、第52页,共54页。技术要求第一级第二级第三级第四级基本管理基本管理制度;有资产清单;设备使用过程规范化机房出入管理,办公环境保密;资产管理制度化;介质分类标示和销毁处理;带离设备控制办公环境部门负责制;资产标示和信息分类管理;介质管理制度化;配套设备和设备维护的制度化办公环境与机房管理策略一致;增强介质销毁处理密码与变更无要求密码使用符合国家相关规定;制定变更方案,并进行过程控制密码使用制度化;变更制度化,变革控制的整体流程化对变更控制进行检查网络和系统网络日常维护和漏洞扫描;系统访问控制策略、漏洞扫描和补丁管理;对恶意代码防范的基本意识教育网络、系统安全管理制度化;提高对操作和维护的要求;
26、对恶意代码防范制度化管理设备配置、网络连接和定期违规检查;管理系统账户;恶意代码库定期升级,病毒检测与分析等网络用户的授权管理;禁止部分设备接入;系统资源冗余安全事件管理用户进行基本的安全事件处置教育,并以制度进行要求安全事件的分类分级和记录等处理;制定应急预案明确安全事件处置程序,且不同事件对应不同处理流程;增加应急预案的资源保障、演练和定期审查对涉密事件的安全处置;应急预案的定期修订备份与恢复对重要信息、数据的备份管理明确备份和恢复策略备份和恢复程序、备份介质有效性检查灾难恢复计划和对保密数据备份监控和安全中心无要求无要求建立安全管理中心,对各种安全事项集中监控管理,及对监测结果的处理同第三级系统运维管理类系统运维管理类第53页,共54页。第54页,共54页。
