1、LOGO信息安全等级保护信息安全等级保护何晓霞何晓霞本章内容安排v信息安全等级保护制度v信息系统安全等级保护实施v信息系统安全等级确定v信息系统安全等级保护要求v信息系统安全风险评估 第一节 信息安全等级保护制度v一、信息安全等级保护管理v二、信息系统安全等级划分v三、信息系统安全等级保护相关标准一、信息安全等级保护管理 信息安全等级保护是国家信息安全信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保息化发展、维护国家信息安全的根本保障,是信息安
2、全保障工作中国家意志的障,是信息安全保障工作中国家意志的体现。体现。背景l 1994年,年,中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例 规定,规定,“计算机信息系统实行安全等级保护,安全等级的计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关划分标准和安全等级保护的具体办法,由公安部会同有关部门制定部门制定”。l 1995年年2月月18日人大日人大12次会议通过并实施的次会议通过并实施的中华人民共中华人民共和国警察法和国警察法第二章第六条第十二款规定,公安机关人民第二章第六条第十二款规定,公安机关人民警察依法履行警
3、察依法履行“监督管理计算机信息系统的安全保护工作监督管理计算机信息系统的安全保护工作”。法律依据。法律依据。l 1999年,强制性国家标准年,强制性国家标准计算机信息系统安全保护等计算机信息系统安全保护等级划分准则级划分准则GB 17859)。)。2003年,中办、国办转发的年,中办、国办转发的国家信息化领导小组国家信息化领导小组关于加强信息安全保障工作的意见加强信息安全保障工作的意见(中办发(中办发200327号)号)明确指出明确指出“实行信息安全等级保护实行信息安全等级保护”。“要重点保护基础信息要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要网络和关系国家安全、经济命
4、脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南全等级保护的管理办法和技术指南”。2004年,公安部、国家保密局、国家密码管理局、国年,公安部、国家保密局、国家密码管理局、国信办联合印发了信办联合印发了关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的实施意见(66号文件)号文件)2006年年1月,公安部、国家保密局、国家密码管理局、月,公安部、国家保密局、国家密码管理局、国信办联合制定了国信办联合制定了信息安全等级保护管理办法信息安全等级保护管理办法(公通(公通字字20067号
5、)号)1、政府层面:国家制定统一信息安全等级保护管理规政府层面:国家制定统一信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对信息安全产品的使用分等统分等级实行安全保护,对信息安全产品的使用分等级实行管理,对等级保护工作的实施进行监督、指导级实行管理,对等级保护工作的实施进行监督、指导。2、用户层面、用户层面:公民、法人和其他组织应当按照国家有:公民、法人和其他组织应当按照国家有关等级保护的管理规范和技术标准开展等级保护工作关等级保护的管理规范和技术标准开展等级保护工作,服从国家对信息安全等级保护工作的监督
6、、指导,服从国家对信息安全等级保护工作的监督、指导,保障信息系统安全。保障信息系统安全。3、社会层面、社会层面:信息安全产品的研制、生产单位,信息:信息安全产品的研制、生产单位,信息系统的集成、等级测评、风险评估等安全服务机构,系统的集成、等级测评、风险评估等安全服务机构,依据国家有关管理规定和技术标准,开展相应工作,依据国家有关管理规定和技术标准,开展相应工作,并接受国家信息安全职能部门的监督管理。并接受国家信息安全职能部门的监督管理。等级保护制度的基本思想等级保护制度的基本思想信息安全等级保护的工作进展 一是一是2006年年1月制定出台了月制定出台了信息安全等级保护信息安全等级保护管理办法
7、(试行)管理办法(试行)。二是二是2006年年5月月18日组织召开了国家信息安全等日组织召开了国家信息安全等级保护工作协调小组第一次会议。级保护工作协调小组第一次会议。三是制定了等级保护系列技术标准。三是制定了等级保护系列技术标准。四是开展了等级保护基础调查工作。四是开展了等级保护基础调查工作。五是部署开展信息安全等级保护试点工作。五是部署开展信息安全等级保护试点工作。六是出台新的六是出台新的信息安全等级保护管理办法信息安全等级保护管理办法。七是筹备召开全国信息系统定级工作。七是筹备召开全国信息系统定级工作。二、信息系统安全等级划分 v根据信息系统安全等级保护实施指南的规定,信息系统可以分为五
8、个安全等级,国家对不同级别的信息和信息系统实行不同强度的监管政策。v(一)第一级为自主保护级 其主要对象为一般的信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不危害国家安全、社会秩序和公共利益。本级系统依照国家管理规范和技术标准进行自主保护。二、信息系统安全等级划分 v(二)第二级为指导保护级 其主要对象为一般的信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对社会秩序和公共利益造成一定损害,但不损害国家安全。本级系统依照国家管理规范和技术标准进行自主保护,必要时信息安全监管职能部门对其进行指导。二、信息系统安全等级划分 v(三)第
9、三级为监督保护级 其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成较大损害。本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查。二、信息系统安全等级划分 v(四)第四级为强制保护级 其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害。本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行强制监督、检查。二、信息系统安全等级划分 v(五)第五级为专控保
10、护级 其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害。本级系统依照国家管理规范和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督、检查。二、安全保护等级的划分 等级 对象 侵害客体 侵害程度 监管强度 第一级 合法权益 损害 自主保护 合法权益 严重损害 第二级 一般系统 社会秩序和公共利益 损害 指导 社会秩序和公共利益 严重损害 第三级 国家安全 损害 监督检查 社会秩序和公共利益 特别严重损害 第四级 重要系统 国家安全 严重损害 强制监督检查 第五级 极端重
11、要系统 国家安全 特别严重损害 专门监督检查 三、信息系统安全等级保护相关标准v我国正式颁布的信息系统安全等级保护的强制性国家标准是GB 17859 1999计算机信息系统安全保护等级划分准则,该准则于1999年9月13日经国家质量技术监督局发布,2001年1月1日起实施。随后围绕GB 17859 1999编写和制定了一系列与信息系统安全等级保护有关的标准和指南,旨在规范和指导信息系统安全等级保护实施过程中的活动。(一)GB 17859 1999计算机信息系统安全保护等级划分准则vGB 17859 1999是建立计算机信息系统安全等级保护制度,实施安全等级管理的重要基础性标准。v它将计算机信息
12、系统安全保护等级划分为五个等级,通过规范、科学和公正的评定和监督管理,一是为计算机信息系统安全等级保护管理法规的制定和执法部门的监督、检查提供依据;二是为计算机信息系统安全产品的研制提供技术支持;三是为安全系统的建设和管理提供技术指导。(一)GB 17859 1999计算机信息系统安全保护等级划分准则v GB 17859 1999规定了计算机信息系统安全保护能力的五个等级;v 定义了计算机信息系统、计算机信息系统可信计算机、客体、主体、敏感标记、安全策略、信道、隐蔽信道、访问监控器;v 描述了五个等级的细则。(二)GA/T 390 2002计算机信息系统安全等级保护通用技术要求v 公安部于20
13、02年7月15日发布并实施了GA/T 390 2002计算机信息系统安全等级保护通用技术要求。v GA/T 390 2002计算机信息系统安全等级保护通用技术要求作为计算机信息系统安全等级保护要求系列的基础标准,详细说明了计算机信息系统为实现GB 17859 1999所提出的安全等级要求应采取的通用的安全技术,以及为确保这些安全技术所实现的安全功能达到其应具有的安全性而采取的保证措施,并将对计算机信息系统五个安全保护等级每一级的要求,从技术要求方面进行详细描述。(二)GA/T 390 2002计算机信息系统安全等级保护通用技术要求vGA/T 390 2002主要内容为:(1)安全功能技术要求,
14、包括物理安全、运行安全、信息安全。(2)安全保证技术要求,包括TCB自身安全保护、TCB设计和实现、TCB安全管理。(3)五个安全等级划分要求技术方面细则。(三)GA/T 388 2002计算机信息系统安全等级保护操作系统技术要求v 公安部于2002年7月15日发布并实施v 该标准作为计算机信息系统安全等级保护要求系列标准的重要组成部分,用于指导设计者如何设计和实现具有所需要的安全等级的操作系统,主要从对操作系统的安全等级进行划分来说明其技术要求,即主要说明为实现GB 17859 1999所提出的安全等级要求对操作系统应采取的安全技术措施,以及各安全技术要求在不同安全级中具体实现的差异。对计算
15、机信息系统五个安全保护等级每一级的安全功能技术要求和安全保证技术要求进行详细描述。(四)GA/T 389 2002计算机信息系统安全等级保护数据库管理系统技术要求v 公安部于2002年7月15日发布并实施。v 该标准作为计算机信息系统安全等级保护要求系列标准的重要组成部分,用于指导设计者如何设计和实现具有所需要的安全等级的数据库管理系统,主要从对数据库管理系统的安全等级进行划分来说明其技术要求,即主要说明为实现GB 17859 1999所提出的安全等级要求对数据库管理系统应采取的安全技术措施,以及各安全技术要求在不同安全级中具体实现的差异。v 对计算机信息系统五个安全保护等级每一级的安全功能技
16、术要求和安全保证技术要求进行详细描述。(四)GA/T 389 2002计算机信息系统安全等级保护数据库管理系统技术要求vGA/T 389 2002主要内容为:(1)数据库管理系统安全技术要求,包括身份鉴别、标记与访问控制、数据完整性、数据库安全审计、客体重用、数据库可信恢复、隐蔽信道分析、可信路径、推理控制。(2)五个安全等级划分要求技术方面细则。(五)GA/T 387 2002计算机信息系统安全等级保护网络技术要求v 公安部于2002年7月15日发布并实施v 该标准作为计算机信息系统安全等级保护要求系列标准的重要组成部分,用于指导设计者如何设计和实现具有所需要的安全等级的网络系统,主要从对网
17、络系统的安全等级进行划分来说明其技术要求,即主要说明为实现GB 17859 1999所提出的安全等级要求对网络系统应采取的安全技术措施,以及各安全技术要求在不同安全级中具体实现的差异。v 对计算机信息系统五个安全保护等级每一级的安全功能技术要求和安全保证技术要求进行详细描述。(五)GA/T 387 2002计算机信息系统安全等级保护网络技术要求v GA/T 387 2002主要内容为:(1)简单描述了关于安全等级划分、主体、客体、TCB、密码技术、建立网络安全的一般要求,以及网络安全组成与相互关系。(2)详细描述了网络基本安全技术,包括自主访问控制、强制访问控制、标记、用户身份鉴别、剩余信息保
18、护、安全审计、数据完整性、隐蔽信道分析、可信路径、可信恢复、抗抵赖、密码支持等。(3)详细描述了网络安全技术要求。(4)五个安全等级划分要求技术方面细则。(六)GA/T 391 2002计算机信息系统安全等级保护管理要求v 公安部于2002年7月18日发布并实施。v 该标准作为GB 17859 1999计算机信息系统安全保护等级划分准则的管理要求,是根据计算机信息系统安全保护条例的规定编写的,是GB 17859 1999的配套标准中的重要标准之一,与上述所介绍的技术要求共同组成计算机信息系统的安全等级保护体系。计算机信息系统的安全等级保护体系从计算机信息系统的管理层面、物理层面、系统层面、网络
19、层面、应用层面、运行层面对计算机信息系统资源实施保护,作为计算机信息系统安全保护的支撑服务。管理层面贯穿其他五个层面,是其他五个层面实施安全等级保护的保证。(六)GA/T 391 2002计算机信息系统安全等级保护管理要求vGA/T 391 2002主要内容为:(1)简单描述了信息系统安全管理的内涵、主要安全要素、信息系统安全管理的基本原则、安全管理的过程、安全管理组织、人员安全管理、安全管理制度等。(2)五个安全等级划分要求管理方面细则。(七)信息安全技术信息系统安全等级保护实施指南v 该标准以信息系统安全等级保护建设为主要线索,介绍了信息系统的安全等级和保护要求等相关概念;说明了信息系统安
20、全等级保护实施过程中涉及的角色;信息系统安全等级保护实施的基本原则;信息系统安全等级保护实施的基本过程;信息系统安全等级保护实施的主要阶段和主要活动以及与信息系统生命周期之间的关系;提出了信息系统安全等级保护在信息系统生命周期不同阶段的实施要点、实施流程、具体的活动内容以及活动的输入输出等,并对其进行了详细的描述。(八)信息系统安全保护等级定级指南v根据信息安全技术信息系统安全等级保护实施指南中等级保护实施的生命周期,要对信息系统进行安全等级保护,首先就要科学地确定信息系统的安全等级,信息系统安全保护等级定级指南给出了如何对信息系统的安全等级进行确定的规范化规定和描述。(八)信息系统安全保护等
21、级定级指南v为确定信息系统的安全保护等级,首先要确定信息系统内各业务子系统在四个定级要素方面的赋值(分别为系统所属类型、业务信息类型、服务范围、依赖程度),然后分别由四个定级要素确定业务信息安全性和业务服务保证性两个定级指标的等级,再根据业务信息安全性等级和业务服务保证性等级确定业务子系统安全保护等级,最后由信息系统内各业务子系统的最高等级确定信息系统的安全保护等级。(八)信息系统安全保护等级定级指南v信息系统安全保护等级定级指南为各单位开展、实施等级保护提供了一个通用标准奠定了坚实的基础。v各单位首先根据信息系统安全保护等级定级指南中的标准方法,明确确定本单位信息系统的安全等级,一旦等级确定
22、完成,后续的建设和运行维护工作,再参考信息安全技术信息系统安全等级保护基本要求实施。(九)信息安全技术信息系统安全等级保护基本要求 v信息安全技术信息系统安全等级保护基本要求规定了信息系统安全等级保护的基本要求,包括基本技术要求和基本管理要求,适用于不同安全等级的信息系统的安全保护。(九)信息安全技术信息系统安全等级保护基本要求v 信息安全技术信息系统安全等级保护基本要求为安全等级保护的每一个级别(共五个级别)都规定了要实现的安全目标,以及为了实现安全目标所必须采用的技术措施和管理手段。每一级别的技术措施和管理手段具体要求都被明确提出并分类组织。其中,技术措施的要求分为物理安全、网络安全、主机
23、系统安全、应用安全和数据安全五个不同层次;管理手段的要求分为安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运行维护管理五个不同类别。(九)信息安全技术信息系统安全等级保护基本要求v信息安全技术信息系统安全等级保护基本要求为安全等级保护的每一级别所规定的技术措施和管理手段的要求,各单位应当根据本单位信息系统安全级别的具体情况严格遵循。(十)信息系统安全等级保护测评准则v各单位对信息系统安全等级保护的实施力度和遵循情况,不仅需要各单位自身进行检查和评估,而且需要信息安全监管职能部门依法进行监督、检查。评价信息系统是否达到了相应级别的安全保护要求的过程,是对信息系统等级保护进行测评的活
24、动。为了规范安全等级保护的测评活动,信息系统安全等级保护测评准则对每一特定安全级别的信息系统从技术措施和管理措施两方面提出了测评要求。(十)信息系统安全等级保护测评准则v信息系统安全等级保护测评准则将测评分为安全控制测评和系统整体测评两方面。安全控制测评,主要是测评信息系统安全等级保护要求的基本安全控制在信息系统中的实施和配置情况;系统整体测评,主要对信息系统的整体安全性进行测评。安全控制测评是信息系统整体安全性测评的基础。第二节 信息安全等级保护实施 v一、基本原则v二、参与角色和职责v三、实施过程v四、安全等级保护与信息系统生命周期的关系一、基本原则v等级保护的核心是对信息系统分等级、按标
25、准进行建设、管理和监督。v等级保护在实施过程中应遵循以下基本原则:v(一)自主保护原则 由各主管部门和运营、使用单位按照国家相关法规和标准,自主确定信息系统的安全等级,自行组织实施安全保护。v(二)同步建设原则 信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。一、基本原则v(三)重点保护原则 根据信息系统的重要程度、业务特点,通过划分不同的安全等级,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。v(四)适当调整原则 要跟踪信息系统的变化情况,调整安全保护措施。因为信息系统的应用类型、范围
26、等条件的变化及其他原因,安全等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全等级,根据信息系统安全等级的调整情况,重新实施安全保护。二、参与角色和职责v信息系统安全等级保护系列标准中的信息安全技术信息系统安全等级保护实施指南,将参与等级保护过程的各类组织和人员划分为:主要角色:是指信息系统主管部门和信息系统运营、使用单位;主要角色将参与等级保护实施过程的所有活动 次要角色:是指信息系统安全服务商、信息安全监管机构、安全测评机构和安全产品供应商。次要角色将参与等级保护实施过程的某一个或多个活动。等级保护实施过程中各类角色的职责 v(一)信息系统主管部门 主要责任
27、:做好下属单位的等级保护监督管理工作;组织、协调和督促下属单位按照等级保护的管理规范和技术标准对信息系统进行等级保护;对下属单位确定的信息系统安全等级进行审批;督促下属单位定期进行安全状况检测评估,及时消除安全隐患和漏洞等。等级保护实施过程中各类角色的职责v(二)信息系统运营、使用单位 信息系统运营、使用单位的主要责任是按照等级保护的管理规范和技术标准,确定其信息系统的安全等级,并报其主管部门审批同意;对安全等级在三级以上的信息系统,报送本地区地市级公安机关备案;根据已经确定的安全等级,按照等级保护的管理规范和技术标准,进行信息系统的规划设计、建设施工;采购和使用相应等级的信息安全产品,建设安
28、全设施,落实安全技术措施;对已经完成等级保护建设的信息系统进行检查评估,发现问题及时整改;加强和完善自身等级保护制度的建设,加强自我保护;定期进行安全状况检测评估,及时消除安全隐患和漏洞,建立安全制度,制定不同等级信息安全事件的响应、处置预案,加强信息系统的安全管理。等级保护实施过程中各类角色的职责v(三)信息系统安全服务商 信息系统安全服务商的主要责任是根据信息系统运营、使用单位的委托,按照等级保护的管理规范和技术标准,协助信息系统运营、使用单位完成等级保护的相关工作,可能包括确定其信息系统的安全等级、进行安全需求分析、进行信息系统的规划设计、建设施工等。等级保护实施过程中各类角色的职责v(
29、四)信息安全监管机构 信息安全监管机构的主要责任是对不同重要程度的信息系统的等级保护工作给予相应的指导,确保等级保护工作顺利开展;按照等级保护的管理规范和技术标准的要求,重点对第三级、第四级信息系统的等级保护状况进行监督检查;发现存在安全隐患或未达到等级保护的管理规范和技术标准要求的要限期整改,使信息系统的安全保护措施更加完善;对信息系统中使用的信息安全产品的等级进行监督检查。等级保护实施过程中各类角色的职责v(五)安全测评机构 安全测评机构的主要责任是根据信息系统运营、使用单位的委托或根据信息安全监管机构的委托,协助信息系统运营、使用单位或信息安全监管机构按照等级保护的管理规范和技术标准,对
30、已经完成等级保护建设的信息系统进行检查评估,对安全产品供应商提供的信息安全产品进行检查评估。等级保护实施过程中各类角色的职责v(六)安全产品供应商 安全产品供应商的主要责任是按照等级保护的管理规范和技术标准的要求,开发符合等级保护要求的信息安全产品;提交信息安全产品进行安全等级测评并按照等级保护要求销售信息安全产品。三、实施过程v对信息系统实施等级保护的过程划分为五个阶段(一)系统定级阶段v系统定级阶段通过对信息系统的调查和分析进行信息系统划分,确定包括相对独立的信息系统的个数,选择合适的信息系统安全等级定级方法,科学、准确地确定每个信息系统的安全等级。v通常情况下,系统定级阶段包括系统识别和
31、描述、信息系统划分和安全等级确定等几个主要活动。(二)安全规划设计阶段v安全规划设计阶段通过安全需求分析判断信息系统的安全保护现状与国家等级保护基本要求之间的差距,确定安全需求,然后根据信息系统的划分情况、信息系统定级情况、信息系统承载业务情况和安全需求等,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施规划等,以指导后续的信息系统安全建设工程的实施。v通常情况下,安全规划设计阶段包括安全需求分析、安全总体设计、安全建设规划等几个主要活动。(三)安全实施阶段v 安全实施阶段通过安全方案详细设计、安全产品的采购、安全控制的开发、安全控制集成、机构和人员的配置、安全管理制度的建设、人员
32、的安全技能培训等环节,将安全规划设计阶段的安全方针和策略,具体落实到信息系统中去,其最终的成果是提交满足用户安全需求的信息系统以及配套的安全管理体系。v 通常情况下,安全实施阶段包括安全方案详细设计、等级保护安全测评、等级保护技术实施和等级保护管理实施等几个主要活动。安全管理体系的建设应该贯穿信息系统的整个生命周期,涉及等级保护实施过程的各个阶段。(四)安全运行维护阶段v 安全运行维护阶段将介绍运行管理和控制、变更管理和控制、安全状态监控以及安全事件处置和应急预案等过程;通过运行管理和控制、变更管理和控制、对安全状态进行监控、对发生的安全事件及时响应,确保信息系统正常运行;通过安全检查和持续改
33、进不断跟踪信息系统的变化,并依据变化进行调整,确保信息系统满足相应等级的安全要求,处于良好安全状态。安全运行维护阶段需要进行的安全控制活动很多,如运行管理和控制、变更管理和控制、安全状态监控以及安全事件处置和应急预案等。(五)系统终止阶段v系统终止阶段是对信息系统的过时或无用部分进行报废处理的过程,主要涉及对信息、设备、存储介质或整个信息系统的废弃处理。系统终止阶段的主要活动可能包括对信息的转移、暂存或清除,对设备的迁移或废弃,对存储介质的清除或销毁。系统终止阶段迁移或废弃系统组件时,核心关注点是防止敏感信息泄漏。四、安全等级保护与信息系统生命周期的关系v信息系统生命周期包括五个阶段,即启动准
34、备阶段、设计/开发阶段、实施/实现阶段、运行维护阶段和系统终止阶段。v安全等级保护实施活动与信息系统生命周期中的其他活动有着不可分割的关系;同时,安全等级保护实施活动又有自己的特点,安全等级保护工作将贯穿信息系统生命周期的各个阶段。安全等级保护实施的过程与信息系统生命周期的关系 安全等级保护实施的过程与信息系统生命周期的关系v安全等级保护的实施分为:新建信息系统安全等级保护的实施 已建信息系统安全等级保护的实施v两者在信息系统生命周期中的切入点是不同的。新建信息系统安全等级保护的实施 v 新建信息系统在生命周期中的各个阶段应同步考虑安全等级保护实施的主要活动。v 在启动准备阶段,应该仔细分析和
35、合理划分各个信息系统,确定各个信息系统的安全等级,定级过程也可能在设计/开发阶段实施;v 在设计/开发阶段,应该根据各个信息系统的安全等级,进行安全需求分析,合理规划设计网络结构、应用系统、安全保护措施等,确保各个信息系统按照国家等级保护的要求进行规划设计;v 在实施/实现阶段,应在系统建设的同时,同步进行安全措施的落实和实现;v 在运行维护阶段,应按照国家等级保护的要求进行安全维护和安全管理;v 在系统终止阶段,应对系统的废弃过程进行有效安全管理。已建信息系统安全等级保护的实施 v 已建信息系统通常处于系统运行维护阶段,但由于在启动准备阶段、设计/开发阶段和实施/实现阶段可能没有同步考虑国家
36、等级保护的要求,因此,应在信息系统运行维护阶段开始启动等级保护工作,等级保护实施过程中的系统定级阶段、安全规划设计阶段、安全实施阶段的主要活动都将在信息系统生命周期的系统运行维护阶段完成。v 由于是已经存在的信息系统,工作的重点应放在系统定级阶段如何划分信息系统并确定安全等级、在安全规划设计阶段如何规划设计出符合国家等级保护要求的安全改造方案、在安全实施阶段如何保证在不影响现有业务应用的情况下使各类安全措施可以顺利落实等方面。第三节 信息系统安全等级确定v一、信息系统和业务子系统v二、决定信息系统安全保护等级的因素v三、确定信息系统安全保护等级的步骤v四、信息系统安全保护等级的确定方法v五、定
37、级案例分析第三节 信息系统安全等级确定v系统定级是实施等级保护的前提和基础。信息系统安全等级的确定是否准确直接关系到是否对信息系统采取了足够的安全保护措施,是否能够将信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度降到最低。v信息系统安全保护等级定级指南中阐述了如何对信息系统的安全级别进行定级,提出了量化流程和方法,各行业信息系统的主管部门可以根据该指南制定适合本行业或部门的具体定级方法和指导意见。一、信息系统和业务子系统v信息系统是基于计算机或计算机网络,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的人机系统。v业务子系统由
38、信息系统的一部分组件构成,是信息系统中能够承载某项业务工作的子系统。v按照信息系统的定义,典型的信息系统应由计算机硬件设备(包括服务器设备、客户端设备、打印机及存储器等外围设备)、计算机网络硬件设备(包括交换机、路由器、各种适配器以及通信线路等)、安装于这些硬件设备上的软件、所提供的服务以及相关的人员构成。信息系统内的各业务子系统一般有较为紧密的关联,可能存在共用设备或较为频繁的数据交换。v业务子系统是按照信息系统所承载的业务对信息系统进行划分所形成的子系统。业务子系统是信息系统中可以为定级要素赋值的最小单元。业务子系统应具有信息系统的全部特点,是由计算机硬件、计算机网络硬件以及安装于这些硬件
39、上的软件、提供的服务以及相关人员构成的一个有形实体,并且承载确定的业务。v如果信息系统只承载一项业务,可以直接为该信息系统确定安全等级,不必划分业务子系统。如果信息系统承载多项业务,应根据各项业务的性质和特点,将信息系统分成若干业务子系统,分别为各业务子系统确定安全保护等级。信息系统的安全保护等级由各业务子系统的最高等级决定。信息系统是进行等级确定和等级保护管理的最终对象。二、决定信息系统安全保护等级的因素 v信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度决定。从另一个角度看,信息系统重要程度越高,其遭到破坏后对国家安全、经济建设、社会秩序、公共利益以及公民、
40、法人和其他组织的合法权益的危害程度也越高。决定信息系统重要性的要素v(一)信息系统所属类型,即信息系统资产的安全利益主体 信息系统所属类型在较大程度上决定了信息系统受到破坏后对其社会价值的影响程度。根据社会影响高低,典型的信息系统所属类型、赋值及其社会影响如下表所示。信息系统所属类型举例赋值信息系统的社会影响属于一般企事业单位处理其内部事务的信息系统。1信息系统资产受到破坏会对本单位利益有直接影响。属于重要行业、重要领域和国家基础设施为国计民生、经济建设等提供重要服务的信息系统,或本身虽属于一般企事业单位,但为党政或重要信息系统提供支撑服务的信息系统。2信息系统资产受到破坏会对公共利益有直接影
41、响,或对国家安全利益有间接影响。属于党政机关处理国家事务的信息系统。3信息系统资产受到破坏会对国家安全利益有直接影响。决定信息系统重要性的要素v(二)信息系统主要处理的业务信息类型v 根据信息系统中业务信息保密性、完整性或可用性被破坏后,对国家安全利益、经济建设、公共利益或单位利益的影响程度,典型的业务信息类型、赋值及其安全影响如下表所示。业务信息类型举例赋值业务信息的安全影响可以对外公开发布的信息,或不对外发布的单位内部一般信息。1业务信息保密性、完整性或可用性被破坏会对公共利益或本单位经济利益造成一定损害。法人和其他组织及公民的专有信息,如内部敏感信息、关键技术数据、科技情报、商业秘密等。
42、2业务信息保密性、完整性或可用性被破坏会对公共利益或本单位经济利益造成严重损害。涉及国家安全利益,影响国家经济建设的信息。3业务信息保密性、完整性或可用性被破坏会对国家安全利益和国家经济建设造成损害。决定信息系统重要性的要素v(三)信息系统服务范围,包括服务对象和服务网络覆盖范围v 根据信息系统因完整性和可用性受到破坏,无法提供服务或无法提供有效服务造成的社会影响范围大小,典型的信息系统服务范围、赋值和相关影响如下表所示。信息系统服务范围举例赋值服务范围的影响地区范围的服务网络。1信息系统因无法提供服务或无法提供有效服务会对局部范围的资产造成损害。省级范围的服务网络。2信息系统因无法提供服务或
43、无法提供有效服务会对较大范围的资产造成损害。全国范围的服务网络。3信息系统因无法提供服务或无法提供有效服务会对全国范围的资产造成损害。决定信息系统重要性的要素v(四)业务对信息系统的依赖程度v根据信息系统因完整性和可用性受到破坏,无法提供服务或无法提供有效服务对单位完成其业务使命的最大影响程度,典型的业务依赖程度、赋值及相关影响如下表所示。业务依赖程度举例赋值业务系统影响业务处理流程的大部分可以通过手工方式或其他方式替代完成,自动化程度低。1信息系统无法提供服务或无法提供有效服务对单位完成其业务使命影响较小。业务处理流程的部分环节可以通过手工方式或其他方式替代完成,自动化程度中。2信息系统无法
44、提供服务或无法提供有效服务对单位完成其业务使命影响较大。业务处理流程完全依赖信息系统,手工方式无法完成,自动化程度高。3信息系统无法提供服务或无法提供有效服务使单位无法完成其业务使命。等级确定的原则v 满足国家管理要求原则满足国家管理要求原则信息系统安全保护等级既不是信息系统安全信息系统安全保护等级既不是信息系统安全保障等级,也不是信息系统所能达到的技术保障等级,也不是信息系统所能达到的技术能力等级,而是从国家管理的需要出发,从能力等级,而是从国家管理的需要出发,从信息系统对国家安全、经济建设、公共利益信息系统对国家安全、经济建设、公共利益等方面的重要性,以及信息或信息系统被破等方面的重要性,
45、以及信息或信息系统被破坏后造成危害的严重性角度确定的信息系统坏后造成危害的严重性角度确定的信息系统应达到的安全等级。应达到的安全等级。v 全局性原则全局性原则信息系统安全等级保护是针对全国范围内、信息系统安全等级保护是针对全国范围内、涵盖各个行业信息系统的管理制度,信息系涵盖各个行业信息系统的管理制度,信息系统安全保护等级的划分也必须从国家层面考统安全保护等级的划分也必须从国家层面考虑,体现全局性。虑,体现全局性。等级确定的原则v业务为核心原则业务为核心原则信息系统是为业务应用服务的,信息系统信息系统是为业务应用服务的,信息系统的安全保护等级应当依据信息系统承载业的安全保护等级应当依据信息系统
46、承载业务的重要性、业务对信息系统的依赖度和务的重要性、业务对信息系统的依赖度和系统特殊的安全需求确定。系统特殊的安全需求确定。v合理性原则合理性原则不同于信息安全产品,信息系统千差万别不同于信息安全产品,信息系统千差万别,各具特色,只有在划分安全保护等级的,各具特色,只有在划分安全保护等级的过程中,尽可能反映出信息系统的主要安过程中,尽可能反映出信息系统的主要安全特征,合理划分等级,才能做到突出重全特征,合理划分等级,才能做到突出重点,适度保护。点,适度保护。决定等级的主要因素分析已在不同分级方法中出现的作为划分信息系统安已在不同分级方法中出现的作为划分信息系统安全等级的因素主要包括:全等级的
47、因素主要包括:v 业务系统在国家事务中的重要性业务系统在国家事务中的重要性(实施意见);(实施意见);v 资产资产(包括有形资产和无形资产)(包括有形资产和无形资产)(FIPS199,IATF,DITSCAP,NIST800-37););v 威胁威胁(IATF););v 信息被破坏后对国家、社会公共利益和单位或个信息被破坏后对国家、社会公共利益和单位或个人的人的影响影响(FIPS199,通用要求,实施指南);,通用要求,实施指南);v 业务对信息系统的依赖程度业务对信息系统的依赖程度(DITSCAP)决定等级的主要因素分析划分等级时应考虑以下因素:划分等级时应考虑以下因素:v 系统所属类型,即
48、信息系统的安全利益主体。系统所属类型,即信息系统的安全利益主体。v 信息系统主要处理的业务信息类别。信息系统主要处理的业务信息类别。v 系统服务范围,包括服务对象和服务网络覆盖范围。系统服务范围,包括服务对象和服务网络覆盖范围。v 业务依赖程度程度,或以手工作业替代信息系统处理业务依赖程度程度,或以手工作业替代信息系统处理业务的程度业务的程度其中第其中第1、2个要素决定信息系统内信息资产的重要性个要素决定信息系统内信息资产的重要性,第,第3、4个要素决定信息系统所提供服务的重要性,个要素决定信息系统所提供服务的重要性,而信息资产及信息系统服务的重要性决定了信息系统而信息资产及信息系统服务的重要
49、性决定了信息系统的重要性。的重要性。决定等级的主要因素分析系统所属类型系统所属类型业务信息类别业务信息类别系统服务范围系统服务范围业务依赖程度程度业务依赖程度程度业务信息安全性业务信息安全性业务服务保证性业务服务保证性决定等级的主要因素分析业务信息安全性业务信息安全性业务服务保证性业务服务保证性信息系统安全保护等级信息系统安全保护等级等级确定方法信息系统划分信息系统划分等级确定方法等级确定方法等级确定步骤等级确定步骤等级调整等级调整信息系统划分一个组织机构内可能运行一个或多个信息系一个组织机构内可能运行一个或多个信息系统,这些信息系统的安全保护等级可以是相同的,统,这些信息系统的安全保护等级可
50、以是相同的,也可以是不同的。为体现重点保护重要信息系统安也可以是不同的。为体现重点保护重要信息系统安全,有效控制信息安全建设成本,优化信息安全资全,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,在进行信息系统的划分时源配置的等级保护原则,在进行信息系统的划分时应考虑以下几个方面:应考虑以下几个方面:1、相同的管理机构、相同的管理机构 2、相同的业务类型、相同的业务类型3、相同的物理位置或相似的运行环境、相同的物理位置或相似的运行环境 信息系统划分定级对象:定级对象:如果信息系统只承载一项业务,可以直接为如果信息系统只承载一项业务,可以直接为该信息系统确定等级。该信息系统确定等级