1、信息系统安全等级保护标准体系信息安全等级保护标准体系信息安全等级保护标准体系1信息安全等级保护工作使用的主要标准信息安全等级保护工作使用的主要标准2管理方法管理方法 4内容内容实施指南实施指南 定级指南定级指南 基本要求基本要求 测评要求测评要求 等级保护标准体系等级保护标准体系等级保护标准体系等级保护标准体系信息安全等级保护标准体系由等级保护工作过程中所需的所有标准组成,信息安全等级保护标准体系由等级保护工作过程中所需的所有标准组成,整个标准体系可以从多个角度分析整个标准体系可以从多个角度分析从基本分类角度看基础类标准技术类标准管理类标准从对象角度看基础标准系统标准产品标准安全服务标准安全事
2、件标准等等级保护标准体系等级保护标准体系从等级保护生命周期看通用/基础标准系统定级用标准安全建设用标准等级测评用标准运行维护用标准等等级保护标准体系等级保护标准体系一是:定级备案一是:定级备案二是:建设整改二是:建设整改三是:等级测评三是:等级测评四是:监督检查四是:监督检查等级保护标准体系等级保护标准体系-主要工作主要工作(一)基础(一)基础1 1、计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则GB17859-1999GB17859-19992 2、信息系统安全等级保护实施指南信息系统安全等级保护实施指南GB/T 25058-2010GB/T 25058-2010(二)
3、系统定级环节(二)系统定级环节3 3、信息系统安全保护等级定级指南信息系统安全保护等级定级指南GB/T22240-2008GB/T22240-2008(三)建设整改环节(三)建设整改环节4 4、信息系统安全等级保护基本要求信息系统安全等级保护基本要求GB/T22239-2008GB/T22239-2008(四)等级测评环节(四)等级测评环节5 5、信息系统安全等级保护测评要求信息系统安全等级保护测评要求(国标报批稿国标报批稿)6 6、信息系统安全等级保护测评过程指南信息系统安全等级保护测评过程指南(国标报批稿国标报批稿)等级保护标准体系等级保护标准体系-主要标准主要标准信息安全等级保护管理办法
4、(公通字200743号,以下简称管理办法)计算机信息安全保护等级划分准则(GB 17859-1999,简称划分准则)信息系统安全等级保护实施指南 GB/T 25058-2010(简称实施指南)信息系统安全保护等级定级指南(GB/T 22240-2008,简称定级指南)信息系统安全等级保护基本要求(GB/T 22239-2008,简称基本要求)信息系统安全等级保护测评要求(简称测评要求)信息系统安全等级保护测评过程指南(简称测评过程指南)等级保护标准体系等级保护标准体系-主要标准和政策主要标准和政策信息安全等级保护标准体系信息安全等级保护标准体系1信息安全等级保护工作使用的主要标准信息安全等级保
5、护工作使用的主要标准2管理方法管理方法 4内容内容实施指南实施指南 定级指南定级指南 基本要求基本要求 测评要求测评要求 等级确定与备案 自查与等级测评等级保护运行与管理基本要求,实施指南、安全产品标准 定级指南、实施指南 监督管理要求、基本要求、测评要求 基本要求,定级指南、实施指南,设计规范、测评要求安全规划与设计 安全建设与实现 监督管理要求实施指南管理办法管理办法(43(43文件文件)(总要求)(总要求)实施指南(实施指南(GB/T25058-2010GB/T25058-2010)定级指南(定级指南(GB/T22240-2008GB/T22240-2008)基本要求(基本要求(GB/T
6、22239-2008GB/T22239-2008)测评要求测评要求建设指南建设指南信息安全等级保护标准体系信息安全等级保护标准体系1信息安全等级保护工作使用的主要标准信息安全等级保护工作使用的主要标准2管理方法管理方法 4内容内容实施指南实施指南 定级指南定级指南 基本要求基本要求 测评要求测评要求 管理办法第八条:信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理。管理办法第九条:信息系统运营、使用单位应当按照信息系统安全等级保护实施指南具体实施等级保护工作。管理办法第十条:信息系统运营、使用单位应当依据本办法和信息
7、系统安全等级保护定级指南确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。管理办法第十二条:在信息系统建设过程中,运营、使用单位应当按照计算机信息系统安全保护等级划分准则(GB17859-1999)、信息系统安全等级保护基本要求等技术标准,参照等技术标准同步建设符合该等级要求的信息安全设施。管理办法第十三条:运营、使用单位应当参照信息安全技术信息系统安全管理要求(GB/T20269-2006)、信息安全技术信息系统安全工程管理要求(GB/T20282-2006)、信息系统安全等级保护基本要求等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。管理办法第十四条:信息系
8、统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位,依据信息系统安全等级保护测评要求等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。信息安全等级保护标准体系信息安全等级保护标准体系1信息安全等级保护工作使用的主要标准信息安全等级保护工作使用的主要标准2管理方法管理方法 4内容内容实施指南实施指南 定级指南定级指南 基本要求基本要求 测评要求测评要求 介绍和描述了实施信息系统等级保护过程中介绍和描述了实施信息系统等级保护过程中涉
9、及的阶段、过程和需要完成的活动,通过对过涉及的阶段、过程和需要完成的活动,通过对过程和活动的介绍,使大家了解对信息系统实施等程和活动的介绍,使大家了解对信息系统实施等级保护的流程方法,以及不同的角色在不同阶段级保护的流程方法,以及不同的角色在不同阶段的作用等。的作用等。等级变更等级变更局部调整局部调整信息系统定级信息系统定级总体安全规划总体安全规划安全设计与实施安全设计与实施安全运行维护安全运行维护信息系统终止信息系统终止u 以信息系统安全等级保护建设为主要线索,u 定义信息系统等级保护实施的主要阶段和过程u 对每个阶段介绍和描述主要的过程和实施活动 u 对每个活动说明实施主体、主要活动内容和
10、输入输出等正文由9个章节1个附录构成1.范围2.规范性引用文件3术语定义4.等级保护实施概述5.信息系统定级6.总体安全规划7.安全设计/实施8.安全运行维护9.信息系统终止附录A 主要过程及其输出阶段过程主要活动子活动活动输入活动输出阶段阶段过程过程活动活动 子活动子活动例如例如:信息系统定级信息系统定级 信息系统分析信息系统分析系统识别和描绘系统识别和描绘识别信息系统的基本信息识别信息系统的基本信息识别信息系统的管理框架识别信息系统的管理框架 信息系统划分信息系统划分主要输入主要输入主要输出主要输出过程过程系统立项文档系统立项文档系统建设文档系统建设文档系统管理文档系统管理文档信息系统分析
11、信息系统分析系统总体描述文件系统总体描述文件系统详细描述文件系统详细描述文件安全保护等级确定安全保护等级确定系统总体描述文件系统总体描述文件系统详细描述文件系统详细描述文件系统安全保护等级系统安全保护等级定级建议书定级建议书信息安全等级保护标准体系信息安全等级保护标准体系1信息安全等级保护工作使用的主要标准信息安全等级保护工作使用的主要标准2管理方法管理方法 4内容内容实施指南实施指南 定级指南定级指南 基本要求基本要求 测评要求测评要求 安全保护等级安全保护等级 等级的确定是不依赖于安全保护措施的,具有一等级的确定是不依赖于安全保护措施的,具有一定的定的“客观性客观性”,即该系统在存在之初便
12、由其自,即该系统在存在之初便由其自身所实现的使命决定了它的安全保护等级,而非身所实现的使命决定了它的安全保护等级,而非由由“后天后天”的安全保护措施决定。的安全保护措施决定。正文由6个章节构成1.范围2.规范性引用文件3.术语定义4.定级原理5.定级方法6.级别变更五个等级的定义第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成
13、损害。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级确定定级对象;确定业务信息安全受到破坏时所侵害的客体;综合评定业务信息安全被破坏对客体的侵害程度;得到业务信息安全等级;确定系统服务安全受到破坏时所侵害的客体;综合评定系统服务安全被破坏对客体的侵害程度;得到系统服务安全等级;由业务信息安全等级和系统服务安全等级的较高者确定
14、定级对象的安全保护等级。第一级第一级 S1A1G1S1A1G1第二级第二级 S1A2G2S1A2G2,S2A2G2S2A2G2,S2A1G2S2A1G2第三级第三级 S1A3G3S1A3G3,S2A3G3S2A3G3,S3A3G3S3A3G3,S3A2G3S3A2G3,S3A1G3S3A1G3第四级第四级 S1A4G4S1A4G4,S2A4G4S2A4G4,S3A4G4S3A4G4,S4A4G4S4A4G4,S4A3G4S4A3G4,S4A2G4S4A2G4,S4A1G4S4A1G4信息安全等级保护标准体系信息安全等级保护标准体系1信息安全等级保护工作使用的主要标准信息安全等级保护工作使用的主
15、要标准2管理方法管理方法 4内容内容实施指南实施指南 定级指南定级指南 基本要求基本要求 测评要求测评要求 3603年,27号文件进一步明确信息安全等级保护制度04年,66号文件要求“尽快制定、完善法律法规和标准体系”编制历程04年10月,接受公安部的标准编制任务05年 6月,完成初稿,广泛征求安全领域专家和行业用户意见;05年10月,征求意见稿第一稿,国信办、安标委评审05年11月,征求意见稿第三稿06年 6月,试点工作07年04月,征求意见稿第四稿,安标委专家评审07年05月,形成报批稿08年6月19日,正式发布,08年11月1日正式实施。37GB 17859-1999的细化和发展吸收安全
16、机制并扩展到不同层面增加安全管理方面的内容借鉴PDR、CMM、17799关注可操作性最佳实践当前技术的发展机制要求(目标/要求)信息系统安全等级保护基本要求计算机信息系统安全保护等级划分准则(GB17859)信息系统通用安全技术要求信息系统物理安全技术要求技术类其他技术类标准信息系统安全管理要求信息系统安全工程管理要求其他管理类标准信息系统安全等级保护定级指南信息系统安全等级保护基本要求的行业细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求管理类产品类数据库管理系统安全技术要求其他产品类标准信息系统安全等级保护行业定级细则操作系统安全技术要求信息
17、系统安全等级保护建设整改网络基础安全技术要求网络和终端设备隔离部件技术要求安全定级基线要求状态分析方法指导信息系统安全等级保护实施指南等级保护有关标准在安全建设整改工作中的作用 3839GB17859-1999是基础性标准,基本要求17859基础上的进一步细化和扩展。定级指南确定出系统等级以及业务信息安全性等级和业务服务保证性等级后,需要按照相应等级,根据基本要求选择相应等级的安全保护要求进行系统建设实施。测评要求是依据基本要求检验系统的各项保护措施是否达到相应等级的基本要求所规定的保护能力。40用户范围信息系统的主管部门及运营使用单位测评机构安全服务机构(系统集成商,软件开发商)信息安全监管
18、职能部门适用环节需求分析方案设计、系统建设与验收运行维护、等级测评、自查 门槛合理对每个级别的信息系统安全要求设置合理,按照基本要求建设后,确实达到期望的安全保护能力 内容完整综合技术、管理各个方面的要求,安全要求内容考虑全面、完整,覆盖信息系统生命周期 便于使用安全要求分类方式合理,便于安全保护、检测评估、监督检查实施各方的灵活使用414243o 对抗能力和恢复能力共同构成了信息系统的安全保护能力。o 安全保护能力主要表现为信息系统应对威胁的能力,称为对抗能力,但当信息系统无法阻挡威胁对自身的破坏时,信息系统的恢复能力使系统在一定时间内恢复到原有状态,从而降低负面影响。44o 第一级安全保护
19、能力 应具有能够对抗来自个人的、拥有很少资源(如利用公开可获取的工具等)的威胁源发起的恶意攻击、一般的自然灾难(灾难发生的强度弱、持续时间很短、系统局部范围等)、以及其他相当危害程度的威胁所造成的关键资源损害,并在威胁发生后,能够恢复部分功能。45o 第二级安全保护能力 应具有能够对抗来自小型组织的(如自发的三两人组成的黑客组织)、拥有少量资源(如个别人员能力、公开可获或特定开发的工具等)的威胁源发起的恶意攻击、一般的自然灾难(灾难发生的强度一般、持续时间短、覆盖范围小(局部性)等)、以及其他相当危害程度(无意失误、设备故障等)的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系
20、统遭到损害后,能够在一段时间内恢复部分功能。46 第三级安全保护能力应具有能够对抗来自大型的、有组织的团体(如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾难(灾难发生的强度较大、持续时间较长、覆盖范围较广(地区性)等)以及其他相当危害程度(内部人员的恶意威胁、设备的较严重故障等)威胁的能力,并在威胁发生后,能够较快恢复绝大部分功能。47 第四级安全保护能力应具有能够对抗来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难(灾难发生的强度大、持续时间长、覆盖范围广(多地区性)等)以及其他相当危害程度
21、(内部人员的恶意威胁、设备的严重故障等)威胁的能力,并在威胁发生后,能够迅速恢复所有功能。48一级系统二级系统三级系统防护防护/检测策略/防护/检测/恢复策略/防护/检测/恢复/响应四级系统技术要求特点49一级系统二级系统三级系统四级系统管理要求特点一般执行(部分活动建制度)计划实施(主要过程建制度)统一策略(管理制度体系化)持续改进(管理制度体系化/验证/改进)50一级系统二级系统三级系统四级系统覆盖范围特点通信/边界(关键资源)通信/边界/内部(重要设备)通信/边界/内部(主要设备)通信/边界/内部/基础设施(所有设备)51某级系统类技术要求管理要求基本要求类控制点要求项控制点要求项52物
22、理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全及备份恢复安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理类537 第三级基本要求7.1 技术要求7.1.1 物理安全7.1.1.1 物理位置的选择 本项要求包括 a)机房和办公场地应选择在具有防震、防 风和防雨等能力的建筑内 b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。类要求项控制点54 业务信息安全相关要求(标记为S)系统服务保证相关要求(标记为A)通用安全保护要求(标记为G)技术要求(3种标注)管理要求(统属G)55业务信息安全相关要求(S)电磁防护访问控制数据完整性数据保密性系统服务保证
23、相关要求(A)电力供应软件容错备份与恢复资源控制通用安全保护要求(G)管理要求和大部分技术要求o控制点增加o要求项增加o要求项增强范围增大 要求细化要求粒度细化57o三级基本要求:在二级基本要求的基础上,技术方面,在控制点上增加了网络恶意代码防范、剩余信息保护、软件容错、抗抵赖等。管理方面,增加了系统备案、安全测评、监控管理和安全管理中心等控制点。o四级基本要求:在三级基本要求的基础上,技术方面,在系统和应用层面控制点上增加了安全标记、可信路径,58安全要求类安全要求类类类/层面层面一级一级二级二级三级三级四级四级技术要求技术要求物理安全物理安全7101010网络安全网络安全3677主机安全主
24、机安全4679应用安全应用安全47911数据安全及备份恢复数据安全及备份恢复2333管理要求管理要求安全管理制度安全管理制度2333安全管理机构安全管理机构4555人员安全管理人员安全管理4555系统建设管理系统建设管理991111系统运维管理系统运维管理9121313合计合计/48667377级差级差/187459o 要求项增多,如,对“身份鉴别”,一级要求“进行身份标识和鉴别”,二级增加要求“口令复杂度、登录失败保护等”;而三级则要求“采用两种或两种以上组合的鉴别技术”。o 项目增加,要求增强。60安全要求安全要求类类/层面层面一级一级二级二级三级三级四级四级技术要求技术要求物理安全物理安
25、全9193233网络安全网络安全9183332主机安全主机安全6193236应用安全应用安全7193136数据安全及备份恢复数据安全及备份恢复24811管理要求管理要求安全管理制度安全管理制度371114安全管理机构安全管理机构492020人员安全管理人员安全管理7111618系统建设管理系统建设管理20284548系统运维管理系统运维管理18416270合计合计/85175290318级差级差/901152861o 范围增大,如,对物理安全的“防静电”,二级只要求“关键设备应采用必要的接地防静电措施”;而三级则在对象的范围上发生了变化,为“主要设备应采用必要的接地防静电措施”。范围的扩大,表
26、明了该要求项强度的增强。62o 要求细化:如,人员安全管理中的“安全意识教育和培训”,二级要求“应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训”,而三级在对培训计划进行了进一步的细化,为“应针对不同岗位制定不同培训计划”,培训计划有了针对性,更符合各个岗位人员的实际需要。63o 粒度细化:如,网络安全中的“访问控制”,二级要求“控制粒度为网段级”,而三级要求则将控制粒度细化,为“控制粒度为端口级”。由“网段级”到“端口级”,粒度上的细化,同样也增强了要求的强度。64由9个章节2个附录构成1.适用范围2.规范性引用文件3.术语定义4.信息系统安全等级保护概述5.6.7.8.
27、9五个等级的基本要求附录A 关于信息系统整体安全保护能力的要求附录B 基本安全要求的选择和使用65物理位置选择物理安全物理访问控制防盗窃和防破坏防雷击防火防水和防潮电力供应电磁防护防静电温湿度控制66物理安全要求主要由机房(包括主、辅机房、介质存放间等)所部署的设备设施和采取的安全技术措施两方面提供的功能来满足。部分物理安全要求涉及到终端所在的办公场地。控制点控制点一级一级二级二级三级三级四级四级物理位置的选择物理位置的选择*物理访问控制物理访问控制*防盗窃和防破坏防盗窃和防破坏*防雷击防雷击*防火防火*防水和防潮防水和防潮*防静电防静电*温湿度控制温湿度控制*电力供应电力供应*电磁防护电磁防
28、护*合计合计71010106768网络安全结构安全网络访问控制网络安全审计边界完整性检查网络入侵检测恶意代码防护网络设备防护69网络安全要求中对广域网络、城域网络等通信网络的要求由构成通信网络的网络设备、安全设备等的网络管理机制提供的功能来满足。对局域网安全的要求主要通过采用、防火墙、入侵检测系统、恶意代码防范系统、安全管理中心等设备提供的安全功能来满足。控制点控制点一级一级二级二级三级三级四级四级结构安全(结构安全(G)*访问控制(访问控制(G)*安全审计(安全审计(G)*边界完整性检查(边界完整性检查(S)*入侵防范(入侵防范(G)*恶意代码防范(恶意代码防范(G)*网络设备防护(网络设备
29、防护(G)*合计合计36777071主机安全身份鉴别访问控制可信路径安全审计剩余信息保护入侵防范恶意代码防范资源控制安全标记72主机包括应用服务器、数据库服务器、安全软件所安装的服务器及管理终端、业务终端、办公终端等。主机安全要求通过操作系统、数据库管理系统及其他安全软件(包括防病毒、防入侵、木马检测等软件)实现的安全功能来满足。控制点控制点一级一级二级二级三级三级四级四级身份鉴别(身份鉴别(S)*安全标记(安全标记(S)*访问控制(访问控制(S)*可信路径(可信路径(S)*安全审计(安全审计(G)*剩余信息保护(剩余信息保护(S)*入侵防范(入侵防范(G)*恶意代码防范(恶意代码防范(G)*
30、资源控制(资源控制(A)*合计合计46797374应用安全身份鉴别访问控制通信完整性通信保密性安全审计剩余信息保护抗抵赖软件容错资源控制代码安全75应用安全要求通过应用系统、应用平台系统等实现的安全功能来满足。如果应用系统是多层结构的,一般不同层的应用都需要实现同样强度的身份鉴别、访问控制、安全审计、剩余信息保护及资源控制等。通信保密性、完整性一般在一个层面实现。76数据安全数据完整性数据保密性备份和恢复控制点控制点一级一级二级二级三级三级四级四级数据完整性数据完整性*数据保密性数据保密性*备份和恢复备份和恢复*合计合计23337778管理要求安全管理机构安全管理制度人员安全管理系统建设管理系
31、统运维管理79岗位设置安全管理机构人员配备授权和审批沟通与合作审核和检查控制点控制点一级一级二级二级三级三级四级四级岗位设置*人员配备*授权和审批*沟通和合作*审核和检查*合计45558081管理制度安全管理制度制定和发布评审和修订控制点控制点一级一级二级二级三级三级四级四级管理制度管理制度*制定和发布制定和发布*评审和修订评审和修订*合计合计23338283人员安全管理人员录用人员离岗人员考核安全意识教育和培训外部人员访问管理84控制点控制点一级一级二级二级三级三级四级四级人员录用*人员离岗*人员考核*安全意识教育和培训*外部人员访问管理*合计455585系统建设管理系统定级安全方案设计产品
32、采购自行软件开发外包软件开发工程实施测试验收系统交付安全服务商选择系统备案等级测评控制点控制点一级一级二级二级三级三级四级四级系统定级系统定级*安全方案设计安全方案设计*产品采购和使用产品采购和使用*自行软件开发自行软件开发*外包软件开发外包软件开发*工程实施工程实施*测试验收测试验收*系统交付系统交付*系统备案系统备案*等级测评等级测评*安全服务商选择安全服务商选择*合计合计9911118687系统运维管理环境管理资产管理设备管理介质管理监控管理和管理中网络安全管理系统安全管理恶意代码防范管理变更管理密码管理备份和恢复管理安全事件处置应急预案管理控制点控制点一级一级二级二级三级三级四级四级环
33、境管理*资产管理*介质管理*设备管理*监控管理和安全管理中心*网络安全管理*系统安全管理*恶意代码防范管理*密码管理*变更管理*备份与恢复管理*安全事件处置*应急预案管理*合计1012131388信息安全等级保护标准体系信息安全等级保护标准体系1信息安全等级保护工作使用的主要标准信息安全等级保护工作使用的主要标准2管理方法管理方法 4内容内容实施指南实施指南 定级指南定级指南 基本要求基本要求 测评要求测评要求 在内容上,与在内容上,与基本要求基本要求一一对应,直接把一一对应,直接把基本要求基本要求的要求项作为的要求项作为测评要求测评要求的测评的测评指标。指标。在方法上,涵盖访谈、检查和测试三
34、种基本方法,在方法上,涵盖访谈、检查和测试三种基本方法,充分考虑方法实施的可行性。充分考虑方法实施的可行性。在强度上,与安全等级相适应。在强度上,与安全等级相适应。在结果上,单点测试,整体评价相结合在结果上,单点测试,整体评价相结合主体由10个章节构成1.范围2.规范性引用文件 3.术语、定义和符号 4.安全测评概述 5.第1级安全控制测评 6.第2级安全控制测评 7.第3级安全控制测评 8.第4级安全控制测评9.第5级安全控制测评10.系统整体测评附录A 测评强度附录B 关于系统整体测评的进一步说明 指导系统运营使用单位进行自查指导测评机构进行等级测评监管职能部门参照进行监督检查规范测评内容
35、和行为基本要求规定了信息系统安全等级保护的基本要求,包括基本技术要求和基本管理要求,适用于不同安全等级信息系统的安全保护。测评要求规定了对信息系统安全控制进行等级测评的基本内容,使用到的测评方法,涉及到的测评对象,实施测评的过程要求,以及对测评结果进行判定的基本规则。内容和结构上,存在一一对应关系。访谈访谈通过与信息系统用户(个人通过与信息系统用户(个人/群体)迚行交流、群体)迚行交流、认论等活劢,获取相关证据证明信息系统安全保护措施认论等活劢,获取相关证据证明信息系统安全保护措施是否落实的一种方法。是否落实的一种方法。检查检查通过对测评对象(设备、文档、现场等)迚行观通过对测评对象(设备、文
36、档、现场等)迚行观察、查验、分析等活劢,获取相关证据证明信息系统安察、查验、分析等活劢,获取相关证据证明信息系统安全保护措施是否有效的一种方法。全保护措施是否有效的一种方法。测试测试利用预定的方法利用预定的方法/工具使测评对象产生特定的行工具使测评对象产生特定的行为活劢,查看输出结果与预期结果的差异,以获取证据为活劢,查看输出结果与预期结果的差异,以获取证据证明信息系统安全保护措施是否有效的一种方法。证明信息系统安全保护措施是否有效的一种方法。Telematics的产业链(以车厂为主)feefeefeefeeContentsContentsCRM DataMonthly Subscriptio
37、nMobility ServicesWireless ConnectionsConnection FeeTelematics Services内容采集商内容采集商内容整合商内容整合商终端厂商终端厂商通信运营商通信运营商Telematics 服务提供商服务提供商汽车厂商汽车厂商客户客户TelematicsTelematics发展发展总体情况介绍总体情况介绍-等级保护标准制修订背景总体情况介绍总体情况介绍-等级保护标准制修订背景安全控制定级指南过程方法确定系统等级启动采购/开发实施运行/维护废弃确定安全需求设计安全方案安全建设安全测评监督管理运行维护暂不考虑特殊需求等级需求基本要求产品使用选型监督
38、管理测评准则流程方法监管流程应急预案应急响应定级指南标准编制情况介绍定级指南标准编制情况介绍定级指南标准编制情况介绍 背景介绍 等级确定的原则 决定等级的主要因素分析 等级确定方法 等级划分流程背景介绍背景介绍与系统等级相关的国外资料:与系统等级相关的国外资料:FIPS 199FIPS 199(美国联邦政府)(美国联邦政府)根据信息系统所处理信息的机密性、完整性和可用性被根据信息系统所处理信息的机密性、完整性和可用性被破坏的影响确定。破坏的影响确定。IATFIATF(NSANSA)根据信息价值与威胁确定系统强健度等级。根据信息价值与威胁确定系统强健度等级。DITSCAP DITSCAP(DOD
39、DOD)根据互联模式、处理模式、业务依赖、三性、不可否认根据互联模式、处理模式、业务依赖、三性、不可否认性等七个方面确定系统认证级。性等七个方面确定系统认证级。背景介绍背景介绍上述定级方法存在问题上述定级方法存在问题仅由信息重要性确定信息系统的等级,对大型企业和重点行仅由信息重要性确定信息系统的等级,对大型企业和重点行业的重要业务系统不合适。业的重要业务系统不合适。在通过三性影响分析,并根据三者取高的方法中,无法为可在通过三性影响分析,并根据三者取高的方法中,无法为可用性要求高和保密性要求高两类系统提出统一的技术要求。用性要求高和保密性要求高两类系统提出统一的技术要求。确定系统等级,与业务无关
40、,不满足等级保护的监管需要。确定系统等级,与业务无关,不满足等级保护的监管需要。定级范围往往只在局部范围内。定级范围往往只在局部范围内。等级确定的原则等级确定的原则全局性原则全局性原则信息系统安全等级保护是针对全国范围内、涵盖各信息系统安全等级保护是针对全国范围内、涵盖各个行业信息系统的管理制度,信息系统安全保护等个行业信息系统的管理制度,信息系统安全保护等级的划分也必须从国家层面考虑,体现全局性。级的划分也必须从国家层面考虑,体现全局性。业务为核心原则业务为核心原则信息系统是为业务应用服务的,信息系统的安全保信息系统是为业务应用服务的,信息系统的安全保护等级应当依据信息系统承载业务的重要性、
41、业务护等级应当依据信息系统承载业务的重要性、业务对信息系统的依赖度和系统特殊的安全需求确定。对信息系统的依赖度和系统特殊的安全需求确定。等级确定的原则等级确定的原则满足监管要求原则满足监管要求原则信息系统安全保护等级既不是信息系统安全保障等级,也不是信息信息系统安全保护等级既不是信息系统安全保障等级,也不是信息系统所能达到的技术能力等级,而是从安全监管需要,从信息系统系统所能达到的技术能力等级,而是从安全监管需要,从信息系统对国家安全、经济建设、公共利益等方面的重要性,以及信息或信对国家安全、经济建设、公共利益等方面的重要性,以及信息或信息系统被破坏后造成危害的严重性角度确定的信息系统应达到的
42、安息系统被破坏后造成危害的严重性角度确定的信息系统应达到的安全等级。全等级。合理性原则合理性原则不同于信息安全产品,信息系统千差万别,各具特色,只有在划分不同于信息安全产品,信息系统千差万别,各具特色,只有在划分安全保护等级的过程中,尽可能反映出信息系统的主要安全特征,安全保护等级的过程中,尽可能反映出信息系统的主要安全特征,合理划分等级,才能做到突出重点,适度保护。合理划分等级,才能做到突出重点,适度保护。决定等级的主要因素分析决定等级的主要因素分析从目前的资料上看,已在不同分级方法中出现的作为划分信从目前的资料上看,已在不同分级方法中出现的作为划分信息系统安全等级的因素主要包括:息系统安全
43、等级的因素主要包括:单位业务在国家事务中的重要性单位业务在国家事务中的重要性(实施意见);(实施意见);资产资产(包括有形资产和无形资产)(包括有形资产和无形资产)(FIPS199,IATF,DITSCAP,NIST800-37););威胁威胁(IATF););信息被破坏后对国家、社会公共利益和单位或个人的信息被破坏后对国家、社会公共利益和单位或个人的影响影响(FIPS199,通用要求,实施指南);,通用要求,实施指南);单位业务对信息系统的依赖程度单位业务对信息系统的依赖程度(DITSCAP)决定等级的主要因素分析决定等级的主要因素分析经分析,除排除威胁因素外,划分等级时应考虑以下因素:经分
44、析,除排除威胁因素外,划分等级时应考虑以下因素:信息系统所属类型,即信息系统的安全利益主体。信息系统所属类型,即信息系统的安全利益主体。信息系统主要处理的业务数据类别。信息系统主要处理的业务数据类别。信息系统服务范围,包括服务对象和服务网络覆盖范围。信息系统服务范围,包括服务对象和服务网络覆盖范围。业务处理的自动化程度,或以手工作业替代信息系统处理业务业务处理的自动化程度,或以手工作业替代信息系统处理业务的程度。的程度。决定等级的主要因素分析决定等级的主要因素分析信息系统所属类型信息系统所属类型业务数据类别业务数据类别信息系统服务范围信息系统服务范围业务处理的自动化程度业务处理的自动化程度业务
45、重要性业务重要性业务数据安全性业务数据安全性业务处理连续性业务处理连续性业务依赖性业务依赖性决定等级的主要因素分析决定等级的主要因素分析业务数据安全性业务数据安全性业务处理连续性业务处理连续性信息系统安全保护等级信息系统安全保护等级等级确定方法等级确定方法具体步骤:具体步骤:通过对信息系统类型和业务数据类型赋值,确定信息系统通过对信息系统类型和业务数据类型赋值,确定信息系统的业务数据安全性等级;的业务数据安全性等级;通过对信息系统服务范围和业务处理自动化程度赋值,确通过对信息系统服务范围和业务处理自动化程度赋值,确定信息系统的业务处理连续性等级;定信息系统的业务处理连续性等级;通过业务数据安全
46、性等级和业务处理连续性等级确定信息通过业务数据安全性等级和业务处理连续性等级确定信息系统安全保护等级。系统安全保护等级。等级调整等级调整 信息系统类型赋值信息系统类型赋值信息系统所属类型赋值表信息系统所属类型赋值表信息系统所属类型赋信息系统所属类型赋值值信息系统的社会影响信息系统的社会影响1信息系统受到破坏会对单位利益有信息系统受到破坏会对单位利益有直接影响直接影响2信息系统受到破坏会对公共利益有信息系统受到破坏会对公共利益有直接影响,或对国家安全利益有间直接影响,或对国家安全利益有间接影响接影响3信息系统受到破坏会对国家安全利信息系统受到破坏会对国家安全利益有直接影响益有直接影响信息系统类型
47、举例信息系统类型举例典型的信息系统所属类型典型的信息系统所属类型 信息系统所属类型信息系统所属类型赋值赋值信息系统所属类型信息系统所属类型1属于一般企事业单位,处理其内部事务的信息系统属于一般企事业单位,处理其内部事务的信息系统2属于重要行业、重要领域和国家基础设施,为国计属于重要行业、重要领域和国家基础设施,为国计民生、经济建设等提供重要服务的信息系统民生、经济建设等提供重要服务的信息系统3属于党政机关,处理国家事务的信息系统属于党政机关,处理国家事务的信息系统确定业务数据安全性确定业务数据安全性业务数据安全性等级矩阵业务数据安全性等级矩阵 业务数据类型业务数据类型信息系统类型信息系统类型1
48、2311222233344确定信息系统安全保护等级确定信息系统安全保护等级 信息系统的安全保护等级由业务数据安信息系统的安全保护等级由业务数据安全性等级和业务处理连续性等级较高者决定。全性等级和业务处理连续性等级较高者决定。组合形式组合形式信息系统安全保护等级对应的业务数据安全性要求信息系统安全保护等级对应的业务数据安全性要求级别(级别(Sx)和业务处理连续性要求级别)和业务处理连续性要求级别(Cy)的组合。的组合。系统保护安全等系统保护安全等级级各种组合(各种组合(Sx,Cy)第一级第一级(S1,C1)第二级第二级(S1,C2),(S2,C2),(S2,C1)第三级第三级(S1,C3),(S
49、2,C3),(S3,C3),(S3,C2),(S3,C1)第四级第四级(S1,C4),(S2,C4),(S3,C4),(S4,C4),(S4,C3),(S4,C2),(S4,C1)等级划分流程等级划分流程划分信息系统划分信息系统/子系统子系统分析承载的业务重要性和依赖度分析承载的业务重要性和依赖度确定信息系统确定信息系统/子系统安全保护等级子系统安全保护等级调整信息系统调整信息系统/子系统安全保护等级子系统安全保护等级基本要求标准编制情况介绍基本要求标准编制的主要思路基本要求标准编制的主要思路 根据根据6号文件描述的号文件描述的5个监管等级对象,确定保个监管等级对象,确定保护对象;护对象;根据
50、保护对象所可能面临的威胁,确定系统的根据保护对象所可能面临的威胁,确定系统的整体保护能力;整体保护能力;根据所应具有的整体保护能力,确定系统的安根据所应具有的整体保护能力,确定系统的安全目标;全目标;提出满足安全目标的安全要求。提出满足安全目标的安全要求。5个监管等级对象个监管等级对象第一级:信息系统所承载业务涉及公民、法人和其他组织的权益,第一级:信息系统所承载业务涉及公民、法人和其他组织的权益,受到破坏后对公民、法人和其他组织的权益造成一定损害;该业受到破坏后对公民、法人和其他组织的权益造成一定损害;该业务的开展在一定程度上依托于信息系统,系统受到破坏后对业务务的开展在一定程度上依托于信息
