信息安全等级保护内容介绍.ppt

信息安全等级保护内容介绍 省公安厅网警总队王诗军 目录 一 为什么开展等级保护二 什么是等级保护三 如何实施等级保护 一 为何开展信息安全等级保护 1 背景2 存在的问题3 国外做法4 现实要求 我省信息化发展状况 目前 我省互联网用户1800多万 互联网站点29万个 均居全国首位 网络技术对社会进步的贡献有目共睹 主要体现在电子政务 电子商务 电子娱乐 远程医疗 远程教育等多个领域的应用 随着3G IPv6等新技术的逐渐成熟和投入使用 网络将给人们的生产 生活带来更大方便 提供更多就业机会 促进社会经济更快发展 据有关机构调查 在大城市已经有4 的消费者采用了网上购物方式 超过邮购方式 有7 的消费者在未来会采用网上购物方式 信息安全形势 现代化建设的许多方面已融入于网络 信息 社会之中 政府部门正在积极推进电子政务 金融 证券部门正在稳健地开展网络化的服务业务 网上银行支付和网上证券交易 商贸部门正在推动电子商务的发展 国防部门积极研究网络信息战 现代战争的形式 等 信息安全形势 信息是战略资源 是决策之本 是控制一个国家国民经济与军事的灵魂 由Internet的发展而带来的网络系统的安全问题正变得突出 网络安全已成为关系国家安全的重大战略问题 运筹帷幄 决胜千里 存在的问题 信息安全意识和安全防范能力薄弱 信息安全滞后于信息化发展 信息系统安全建设和管理的目标不明确 信息安全保障工作的重点不突出 信息安全监督管理缺乏依据和标准 监管措施有待到位 监管体系尚待完善 存在的问题 大多数单位的信息系统安全保护还处在采用防火墙 IDS和防病毒等部件方面 重视外部攻击与入侵 忽视内部的非法行为偏重产品 忽视体系和管理 国内产品质量和技术问题 用户信息安全的潜在的需求到现实需求仍有一个过程 存在的问题 西方发达国家信息技术优势明显 我国面临信息强国的冲击 挑战和威胁 信息安全领域始终面临信息战和网络恐怖袭击的威胁 敌对势力的网上煽动 渗透和破坏活动愈加突出 针对信息系统进行的破坏活动日益严重 利用网络实施的违法犯罪案件持续大幅上升 外部环境 美国政府发布了 保护网络空间的国家战略 2003 2 试图根本上提高防止信息系统入侵和破坏能力 美国国防部 国防信息系统安全计划DISSP DISSP DefenseInformationSystemSecurityProgramDISSP的目标 使美国国防系统的信息系统安全结构从 安全过渡策略 向统一的具有多级安全的 国防目标安全体系 转变 外部环境 2003年2月14日美国政府发布的 保护网络空间的国家战略 为了确保国家关键基础设施 基础信息网络和重要信息系统 的安全 对于网络空间 从国家关心的角度 美国将其分为五个优先级 第一级家庭用户和小型商业机构第二级大型机构 公司 政府机构和大学等 第三级国家信息基础设施部门包括联邦政府 私营部门 银行与金融 能源 运输 电信 信息技术 通用制造业 化学制造业 州和地方政府 高等教育机构 第四级国家机构和政策部门第五级全球 外部环境 美国联邦信息处理标准 FIPS 是国家标准与技术研究所 NIST 制定的一类安全出版物 多为强制性标准 FIPS199 联邦信息和信息系统安全分类标准 描述了如何确定一个信息系统的安全类别 确定系统级别的落脚点在于系统中所处理 传输 存储的所有信息类型的重要性 信息和信息系统的 安全类别 是FIPS199提出的一种新的系统级别概念 该定义是建立在某些事件的发生直接导致三类安全目标 保密性 完整性和可用性 的丧失 从而对机构运行 使命 功能 形象 声誉 机构资产或个人产生潜在影响的基础之上 即 衡量指标是三性的丧失而产生的 影响级 FIPS199定义了三种影响级 低 中 高 外部环境 FIPS199按照 确定信息类型 确定信息的安全类别 确定系统的安全类别 三个步骤进行系统最终的定级 首先 确定系统内的所有信息类型 FIPS199指出 一个信息系统内可能包含不止一种类型的信息 例如隐私信息 合同商敏感信息 专属信息 系统安全信息等 其次 根据三类安全目标 确定不同信息类型的潜在影响级别 低 中 高 最后 按照 取高 原则 即选择系统内所有信息类型的潜在影响级的较高级别作为系统的影响级 低 中 高 FIPS199确定系统级别的方法的重点是信息和信息系统的级别建立在某些事件的发生会对机构产生潜在影响的基础之上 根据安全目标 保密性 完整性和可用性 确定系统所处理 存储 传输的信息的级别 从而确定系统级别 外部环境 据有关资料可以看出 信息技术已经改变了美国企业和政府的运行方式 美国经济和国家安全对信息技术和信息基础设施依赖性越来越强 网络直接支撑着各个经济领域的运行 综合上述情况 不难看出 美国政府在信息安全领域采取的就是分级保护的策略 现实要求 各国在大力推进Internet与信息技术应用的同时 抓紧实施国家信息安全保障体系与国防的信息安全防御体系 各国抓紧研究信息安全策略 制订体系标准 法律法规 实施安全计划 我国在推进信息化进程中 信息安全问题得到重视 要求在党政部门 要害部门使用具有国内自主产权的安全产品 现实要求 胡锦涛总书记指出 信息安全是个大问题 必须把信息安全问题放到至关重要的位置 认真加以考虑和解决切实把互联网建设好 利用好 管理好 现实要求 温家宝总理强调 面对复杂多变的国际环境和互联网的广泛应用 我国信息安全问题日益突出 加入世界贸易组织 发展电子政务等 对信息安全保障提出了新的 更高的要求 必须从国家安全 经济发展 社会稳定 公共利益的高度 充分认识信息安全的极端重要性 现实要求 温家宝同志还指出 坚持积极防御 综合防范的方针 在全面提高信息安全防护能力的同时 重点保障基础网络和重要系统的安全 完善信息安全监控体系 建立信息安全的有效机制和应急处理机制 现实要求 美国及西方发达国家为了抵御信息网络的脆弱性和安全威胁 制定了一系列强化信息网络安全建设的政策和标准 其中一个很重要思想就是按照安全保护强度划分不同的安全等级 以指导不同领域的信息安全工作 面对严峻的形势和严重的问题 如何解决我国信息安全问题 是摆在我国政府 企业 公民面前的重大关键问题 二 什么是等级保护 1 等级保护的含义2 等级保护的发展3 基本原则和要求4 职责分工 信息安全等级保护定义 信息安全等级保护管理办法 试行 信息安全等级保护是指对国家秘密信息 法人和其他组织及公民的专有信息以及公开信息和存储 传输 处理这些信息的信息系统分等级实行安全保护 对信息系统中使用的信息安全产品实行按等级管理 对信息系统中发生的信息安全事件分等级响应 处置 信息安全等级保护管理办法 国家通过制定统一的信息安全等级保护管理规范和技术标准 组织公民 法人和其他组织对信息系统分等级实行安全保护 对等级保护工作的实施进行监督 管理 范畴 信息安全等级保护工作是一项由信息系统主管部门 运营使用单位 安全产品提供方 安全服务提供方 检测评估机构 信息安全监督管理部门等多方参与 涉及技术与管理两个领域的复杂系统工程 是一项制度 一个体系 非风险评估等措施 等级保护工作发展概况 1994年国务院颁布实施 中华人民共和国计算机信息系统安全保护条例 2003年中办 国办转发 国家信息化领导小组关于加强信息安全保障工作的意见 2004年公安部 国家保密局 国家密码管理局 国信办出台了 关于信息安全等级保护工作的实施意见 去年1月四部局办联合出台 信息安全等级保护管理办法 试行 今年6月22日四部局办联合出台 信息安全等级保护管理办法 信息安全等级保护制度 1994年国务院 计算机信息系统安全保护条例 147号令 规定 计算机信息系统实行安全等级保护 等级划分标准和等级管理办法由公安部会同有关部门制定 信息安全等级保护制度 续 1999年 公安部组织有关单位和专家起草了安全保护等级管理的重要基础性国家强制性标准 计算机信息系统安全保护等级划分准则 并于1999年9月13日经国家质量技术监督局审查通过并正式批准发布 该标准将计算机信息系统安全保护能力划分为五个等级 为开展我国计算机信息系统安全保护等级工作确定了划分原则 信息安全等级保护制度 续 2003年 中央办公厅 国务院办公厅转发的 国家信息化领导小组关于加强信息安全保障工作的意见 中办发 2003 27号 明确指出 要重点保护基础信息网络和关系国家安全 经济命脉 社会稳定等方面的重要信息系统 抓紧建立信息安全等级保护制度 制定信息安全等级保护的管理办法和技术指南 信息安全等级保护制度 续 2004年9月 公安部 国家保密局 国家密码管理委员会办公室 国务院信息化工作办公室联合下发了 关于信息安全等级保护工作的实施意见 公通字 2004 66号 文件中明确指出 信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中 提高信息安全保障能力和水平 维护国家安全 社会稳定和公共利益 保障和促进信息化建设健康发展的一项基本制度 信息安全等级保护实施计划 实施意见 中信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施 一 准备阶段 二 重点实行阶段 三 全面实行阶段 准备阶段 为了保障信息安全等级保护制度的顺利实施 在全面实施等级保护制度之前 用一年左右的时间做好下列准备工作 加强领导 落实责任加快完善法律法规和标准体系建设信息安全等级保护监督管理队伍和技术支撑体系进一步做好等级保护试点工作加强宣传 培训工作 重点实行阶段 在做好前期准备工作的基础上 用一年左右的时间 在国家重点保护的涉及国家安全 经济命脉 社会稳定的基础信息网络和重要信息系统中实行等级保护制度 经过一年的建设 使基础信息网络和重要信息系统的核心要害部位得到有效保护 涉及国家安全 经济命脉 社会稳定的基础信息网络和重要信息系统的保护状况得到较大改善 结束目前基本没有保护措施或保护措施不到位的状况 全面实行阶段 在试行工作的基础上 用一年左右的时间 在全国全面推行信息安全等级保护制度 已经实施等级保护制度的信息和信息系统的运营 使用单位及其主管部门 要进一步完善信息安全保护措施 没有实施等级保护制度的 要按照等级保护的管理规范和技术标准认真组织落实 信息安全等级保护制度的意义 实行等级保护制度 能够充分调动国家 法人和其他组织及公民的积极性 发挥各方面的作用 达到有效保护的目的 增强安全保护的整体性 针对性和实效性 使信息系统安全建设更加突出重点 统一规范 科学合理 对促进我国信息安全的发展将起到重要推动作用 信息安全等级保护制度的意义 续 实施信息安全等级保护 可以有效地提高我国信息安全建设的整体水平 有利于在信息化建设过程中同步建设信息安全设施 保障信息安全与信息化建设相协调 有利于加强对涉及国家安全 经济秩序 社会稳定和公共利益的信息系统的安全保护和管理监督 信息安全等级保护制度的意义 续 有利于明确国家 法人和其他组织 公民的安全责任 强化政府监管职能 共同落实各项安全建设和安全管理措施 有利于提高安全保护的科学性 整体性 针对性 推动信息安全产业水平 逐步探索一条适应社会主义市场经济发展的信息安全发展模式 信息安全等级保护的内涵 等级保护是以信息为核心的 根据信息和信息系统在国家安全 经济建设 社会生活中的重要程度 遭到破坏后对国家安全 社会秩序 公共利益以及公民 法人和其他组织的合法权益的危害程度 针对信息的保密性 完整性和可用性要求及信息系统必须达到的基本的安全保护水平等因素 对最核心的信息和信息系统划分为五个安全保护和监管等级 实行分级保护 信息安全等级保护的内涵 不是安全产品的堆积 防火墙 IDS 防病毒 扫描器不等于等级保护等级保护能有效阻止外部攻击的同时 更能有效防范内部的非法行为 等级保护的实质是 以信息为核心实现主体对客体的安全访问抗篡改和一致性保障抗抵赖的电子责任易于分析与测试的结构 客体与主体的信息保护需求 专用 专用 仅供部门B 保护的核心是信息 自主保护级 第一级为自主保护级 适用于一般的信息和信息系统 其受到破坏后 会对公民 法人和其他组织的合法权益造成一定损害 但不损害国家安全 社会秩序和公共利益 依照国家管理规范和技术标准进行保护 指导保护级 第二级为指导保护级 信息系统受到破坏后 会对公民 法人和其他组织的合法权益造成严重损害 或者对社会秩序和公共利益造成损害 但不损害国家安全 在信息安全监管职能部门指导下 依照国家管理规范和技术标准进行保护 监督保护级 第三级为监督保护级 信息系统受到破坏后 会对社会秩序和公共利益造成严重损害 或者对国家安全造成损害 依照国家管理规范和技术标准进行保护 信息安全监管职能部门对其进行监督 检查 强制保护级 第四级为强制保护级 信息系统受到破坏后 会对社会秩序和公共利益造成特别严重损害 或者对国家安全造成严重损害 依照国家管理规范 技术标准和业务专门需求进行保护 国家信息安全监管部门对其进行强制监督 检查 专控保护级 第五级为专控保护级 适用于涉及国家安全的重要信息和信息系统的核心子系统 其受到破坏后 会对国家安全造成特别严重损害 系统运营 使用单位依照国家管理规范 技术标准和业务特殊需求进行保护 国家指定专门部门进行专门监督 检查 信息安全产品使用 信息系统的安全保护等级确定后 运营 使用单位应当按照国家信息安全等级保护管理规范和技术标准 使用符合国家有关规定 满足信息系统安全保护等级需求的信息技术产品 开展信息系统安全建设或者改建工作 原规定国家对信息安全产品按照安全性和可控性要求进行分等级管理 三级以上信息系统中使用的信息安全产品必须得到公安机关的使用许可 信息安全等级保护制度的基本原则 信息安全等级保护的核心是对信息安全分等级 按标准进行建设 管理和监督 信息安全等级保护制度遵循以下基本原则 一是明确责任 共同保护二是依照标准 自行保护三是同步建设 动态调整四是指导监督 保护重点 信息安全等级保护工作的基本要求 信息安全等级保护应当做好以下六个方面工作 一 完善标准 分类指导 二 科学定级 严格备案 三 建设整改 落实措施 四 自查自纠 落实要求 五 建立制度 加强管理 六 监督检查 完善保护 信息安全等级保护工作职责分工 公安机关负责信息安全等级保护工作的监督 检查 指导 国家保密工作部门负责等级保护工作中有关保密工作的监督 检查 指导 国家密码管理部门负责等级保护工作中有关密码工作的监督 检查 指导 在信息安全等级保护工作中 涉及其他职能部门管辖范围的事项 由有关职能部门依照国家法律法规的规定进行管理 国务院信息化工作办公室及地方信息化领导小组办事机构负责信息安全等级保护工作中部门间的协调 信息安全等级保护工作职责分工 信息系统的主管部门应当依照相关规范和标准督促 检查 指导本行业 本部门或本地区信息系统运营 使用单位的信息安全等级保护工作 信息系统运营 使用单位应当按照等级保护的管理规范和相关标准规范履行信息安全等级保护的义务和责任 三 如何实施等级保护 1 信息安全标准体系2 实施流程 实施指南 3 系统定级 定级指南 4 系统测评 测评准则 5 工作要求 基本要求 一 主要的管理规范和技术标准 信息安全等级保护管理办法 系统定级 信息系统安全保护等级定级指南 安全保护 信息系统安全等级保护基本要求 信息系统安全等级保护实施指南 检测评估 信息系统安全等级保护基本要求 信息系统安全等级保护测评准则 监督检查 信息系统安全等级保护监督检查要求 主要的管理规范和技术标准 计算机信息系统安全保护登记划分准则 GB17859 1999 信息安全技术网络基础安全技术要求 信息安全技术信息系统通用安全技术要求 信息安全技术操作系统安全技术要求 信息安全技术数据库管理系统安全技术要求 信息安全技术服务器技术要求 信息安全技术终端计算机系统安全等级技术要求 管理规范和技术标准的作用 主管部门 监督检查 信息安全监管职能部门 系统定级 安全保护 检测评估 运营 使用单位 安全服务商安全评估机构 技术标准 管理规范 风险分析 基本要求 安全等级定级指南 其他标准要求 等级系统保护方案实施 运行维护管理安全事件管理安全风险管理 安全产品选择安全工程实施系统安全配置 安全状况监控 系统特定需求 等级化要求 事件等级划分 事件响应处置 产品等级划分 风险评估 系统测评准则 监督检查要求 等级系统保护策略与安全方案 实施指南 评估指南 二 实施流程 定义了等级保护工作的实施阶段和流程 重大变更 安全规划设计 安全实施 实现 安全运行管理 系统定级 局部调整 系统终止 系统定级阶段 主要输入 主要输出 阶段主要活动 子系统识别和描述 系统立项文档系统建设文档系统管理文档 系统详细描述文件 系统识别与划分 系统总体描述文件 系统总体描述文件 安全等级确定 系统总体描述文件系统详细描述文件 系统安全保护等级定级建议书 安全规划设计流程 安全评估和需求分析 安全总体设计 安全建设规划 主要输入 系统详细描述文件系统定级建议书等级保护基本要求 安全评估报告安全需求分析报告等级保护基本要求 总体安全策略 框架单位信息化的中长期规划 阶段主要活动 安全评估报告安全需求分析报告 安全总体方案书技术防护框架管理策略框架 信息系统安全建设方案 主要输出 安全评估和需求分析 确定评估范围 获得信息系统的信息 确定具体的评估对象 确定评估工作的方法 制定评估工作计划 系统详细描述文件系统定级建议书用户文档 输入 输出 过程的工作内容 评估工作方案 安全实施 实现阶段 主要输入 主要输出 阶段主要活动 安全详细方案设计 安全总体方案书系统安全建设方案安全产品技术白皮书 安全详细设计方案 安全技术实施 安全测评报告 等级化安全测评 安全详细设计方案 系统验收报告 安全管理实施 安全详细设计方案 角色与职责说明书管理制度 操作规范 系统定级建议书系统验收报告 安全运行管理 主要输入 主要输出 阶段主要活动 操作管理和控制 安全详细设计方案安全组织机构表 操作人员角色 职责表各类操作规程 变更管理和控制 变更需求 变更结果报告 安全状态监控 安全详细设计方案系统验收报告等 安全状态分析报告 安全事件处置和应急预案 安全详细设计方案安全组织机构表 安全事件报告程序各类应急预案安全事件处置报告 安全运行管理 续 主要输入 主要输出 阶段主要活动 安全评估和持续改进 安全评估报告安全改进方案 等级化安全测评 安全详细设计方案系统验收报告等 安全等级保护测评报告 监督检查 安全详细设计方案系统验收报告等 监督检查结果报告 变更需求 三 系统定级 信息系统的划分等级确定的原则决定等级的主要因素分析等级确定方法定级举例 信息系统划分方法 信息系统和业务子系统 信息系统是指基于计算机或计算机网络 按照一定的应用目标和规则对信息进行采集 加工 存储 传输 检索和服务的人机系统 业务子系统由信息系统的一部分组件构成 是信息系统中能够承载某项业务工作的子系统 信息系统划分方法 如果信息系统只承载一项业务 可以直接为该信息系统确定等级 如果信息系统承载多项业务 应根据各项业务的性质和特点 将信息系统分成若干业务子系统 分别为各业务子系统确定安全保护等级 信息系统的安全保护等级由各业务子系统的最高等级决定 信息系统是进行等级确定和等级保护管理的最终对象 信息系统划分方法 划分信息系统应体现重点保护重要信息系统安全 有效控制信息安全建设成本 优化信息安全资源配置的等级保护原则 在将业务子系统组成信息系统时应考虑以下几个方面 相同的管理机构相同的业务类型相同的物理位置或相似的运行环境各业务子系统之间的关联 如共用设备或数据交换 等级确定的原则 自主定级原则满足国家管理要求原则全局性原则业务为核心原则合理性原则 决定等级的主要因素 决定信息系统重要性等级时应考虑以下因素 1 系统所属类型 即信息系统的安全利益主体 2 信息系统主要处理的业务信息类别 3 系统服务范围 包括服务对象和服务网络覆盖范围 4 业务依赖程度程度 或以手工作业替代信息系统处理业务的程度其中第1 2个要素决定信息系统内信息资产的重要性 第3 4个要素决定信息系统所提供服务的重要性 而信息资产及信息系统服务的重要性决定了信息系统的重要性 四个主要因素决定两个定级指标 系统所属类型 业务信息类别 系统服务范围 业务依赖程度 业务信息安全性 业务服务保证性 两个等级指标决定等级 业务信息安全性 业务服务保证性 信息系统安全保护等级 等级确定步骤 信息系统所属类型 业务信息类型 信息系统服务范围 业务依赖程度 业务信息安全性取值 业务服务保证性取值 业务服务保证性等级 1 赋值 选择调节因子 业务子系统安全保护等级 2 确定两个指标等级 业务信息安全性等级 3确定业务子系统等级 信息系统安全保护等级 4 确定信息系统等级 其它业务子系统 等级的调整 提升级别的主要参考因素 上级主管部门在政策和管理方面的特殊要求 预测业务信息可能会随着时间的变化从量变转化为质变 业务依赖程度在将来会进一步提高 或随着信息系统所承载的业务不断完善和稳定 与信息系统并行的手工处理 或老的系统 的业务将有可能取消 信息系统服务范围随着业务的发展 将会有较大的变化 定级实例 系统简述 某省政府部门网站系统ZFWZ 用于发布政务公开信息 地方行政法规和管理措施 领导讲话 政府办事流程 新闻发布 政府公告 举报投诉 省内经济形势介绍 电子表单下载等信息 服务对象主要是省内企业和市民 如 广东网警网站 定级实例 系统等级分析1 政府网站为政务工作的延伸 其信息系统类型赋值为3 2 网站信息属公开信息 其业务信息类型赋值为1 3 查表知ZFWZ系统的业务信息安全性等级为2级 如下表所示 信息系统类型赋值 业务信息类型举例 定级实例 系统等级分析业务信息安全性等级矩阵 定级实例 系统等级分析4 ZFWZ系统为省内企业和市民服务 其系统服务范围赋值为2 5 ZFWZ系统对实时性要求不高 没有必须通过网络才能够执行的办事流程 政务服务工作主要通过网络之外完成 网络仅提供相关信息和表单下载 因此其业务依赖程度应为1 6 查表知ZFWZ系统的业务服务保证性等级为2 如下表所示 信息系统服务范围赋值 业务依赖程度赋值 定级实例 系统等级分析业务服务保证性取值矩阵 定级实例 系统等级分析7 考虑到ZFWZ系统中断仅造成局部利益的损失 一般不会造成社会利益的重要损失 调节因子可选为0 5 查表知 调节后ZFWZ系统的业务服务保证性等级为1级 8 ZFWZ系统的安全保护等级为2级 调节因子k的取值范围为大于0小于1的数值 调节因子赋值表 确定等级 业务子系统的安全保护等级由业务信息安全性等级和业务服务保证性等级较高者决定 信息系统的安全保护等级由各业务子系统的最高者决定 等级备案 已运营 运行 的第二级以上信息系统 应当在安全保护等级确定后30日内 由其运营 使用单位到所在地设区的市级以上公安机关办理备案手续 新建第二级以上信息系统 应当在投入运行后30日内 由其运营 使用单位到所在地设区的市级以上公安机关办理备案手续 受理备案的公安机关应当对第三 第四级信息系统的运营 使用单位的信息安全等级保护工作情况进行检查 等级备案 续 涉密信息系统建设使用单位在系统投入使用前 应当向设区的市级以上保密工作部门申请进行系统审批 涉密信息系统通过审批后方可投入使用 已投入使用的涉密信息系统 其建设使用单位在按照分级保护要求完成系统整改后 应当向保密工作部门备案 信息系统运营 使用单位应当充分运用密码技术对信息系统进行保护 其密码的配备使用情况应当向国家密码管理机构备案 信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担 基本概念 等级测评是指测评机构 信息系统的主管部门及运营使用单位针对信息系统的安全保护情况进行的信息安全等级保护相关标准要求的符合性测试评定工作 测评单元是指安全控制测评的最小工作单位 由测评项 测评方式 测评对象 测评实施和结果判定等组成 分别描述测评目的和内容 测评使用的方式方法 测试过程中涉及的测评对象 具体测试实施取证过程要求和测评证据的结果判定规则与方法 测评强度是指测评的广度和深度 体现测评工作的实际投入程度 四 系统测评 指导系统运营使用单位进行自查指导评估机构进行检测评估监管职能部门参照进行监督检查规范测评内容和行为 测评准则的作用 测评方法 对技术要求 访谈 方法 目的是了解信息系统的全局性 范围一般不覆盖所有要求内容 检查 方法 目的是确认信息系统当前具体安全机制和运行的配置是否符合要求 范围一般要覆盖所有要求内容 测试 方法 目的是验证信息系统安全机制有效性和安全强度 范围不覆盖所有要求内容 对管理要求对人员方面的要求 重点通过 访谈 的方式来测评 检查为辅 对过程方面的要求 通过 访谈 和 检查 的方式来测评 对规范方面的要求 以 检查 文档为主 访谈 为辅 测评方法 测评强度增强的方法 测评广度越大 范围越大 包含的测评对象就越多 测评实际投入程度越高 测评的深度越深 越需要在细节上展开 测评实际投入程度也越高 测评的广度和深度落实在具体的测评方法 访谈 检查和测试上 体现出访谈 检查和测试的投入程度不同 编制思路 信息系统测评 系统测评 对安全控制 层面 区域间关联关系以及系统整体结构 分层次综合分析 测评 安全控制测评 以测评单元组织的测评实施 安全控制测评思路 在内容上 与 基本要求 一一对应 针对 基本要求 的每一个控制项 开发具体的测评实施方法 在结构上 以 测评单元 为基本工作单位 分等级进行组织 系统测评思路 根据安全控制 层面和区域之间的关联作用 逐层测评分析安全控制间 层面间和区域间关联关系对整体安全功能的影响 具体应包括 安全控制间安全测评 层面间安全测评 区域间安全测评 进行系统整体结构安全测评从安全的角度 分析信息系统整体结构的安全性 从安全角度看系统 从系统的角度 分析信息系统安全防范 体系 的合理性 以系统的观点看安全防范 体系 五 工作要求 基本要求制定原则 继承和发展原有等级保护相关标准的内容门槛合理对每个级别的信息系统安全要求设置合理 按照基本要求建设后 确实达到期望的安全保护能力内容完整综合技术 管理各个方面的要求 安全要求内容考虑全面 完整 覆盖信息系统生命周期便于使用安全要求分类方式合理 便于安全保护 检测评估 监督检查实施各方的灵活使用 主要依据 中华人民共和国计算机信息系统安全保护条例 GB17859 1999 计算机信息系统安全保护等级划分准则 27号 和 66号 文件其他相关标准 信息系统安全通用技术要求 信息系统安全管理要求 信息系统安全工程管理要求 信息系统安全保护等级定级指南 主要参考 GB T19715 1 22005 ISO IECTR13335 2000信息技术安全管理指南GB T19716 2005 ISO IEC17799 2000信息安全管理实用规则GB T18336 2001 ISO IEC15408 1999信息技术安全性评估准则DoD8500 美国国防部 信息保障实现指引FIPS199和NIST800 53 美国联邦政府 安全等级定级标准和安全措施推荐指南等 基本要求产生的思路 不同级别的信息系统 重要程度不同保护需求不同 安全保护能力不同 应对威胁的能力不同 不同的安全目标 不同基本要求 基本要求提出的保护能力 1级安全保护能力 应具有能够对抗来自个人的 拥有很少资源 如利用公开可获取的工具等 的威胁源发起的恶意攻击 一般的自然灾难 灾难发生的强度弱 持续时间很短 系统局部范围等 以及其他相当危害程度威胁的能力 并在威胁发生后 能够恢复部分功能 2级安全保护能力 应具有能够对抗来自小型组织的 如自发的三两人组成的黑客组织 拥有少量资源 如个别人员能力 公开可获或特定开发的工具等 的威胁源发起的恶意攻击 一般的自然灾难 灾难发生的强度一般 持续时间短 覆盖范围小 局部性 等 以及其他相当危害程度 无意失误 设备故障等 威胁的能力 并在威胁发生后 能够在一段时间内恢复部分功能 基本要求提出的保护能力 3级安全保护能力 应具有能够对抗来自大型的 有组织的团体 如一个商业情报组织或犯罪组织等 拥有较为丰富资源 包括人员能力 计算能力等 的威胁源发起的恶意攻击 较为严重的自然灾难 灾难发生的强度较大 持续时间较长 覆盖范围较广 地区性 等 以及其他相当危害程度 内部人员的恶意威胁 设备的较严重故障等 威胁的能力 并在威胁发生后 能够较快恢复绝大部分功能 4级安全保护能力 应具有能够对抗来自敌对组织的 拥有丰富资源的威胁源发起的恶意攻击 严重的自然灾难 灾难发生的强度大 持续时间长 覆盖范围广 多地区性 等 以及其他相当危害程度 内部人员的恶意威胁 设备的严重故障等 威胁的能力 并在威胁发生后 能够迅速恢复所有功能 基本要求的安全目标 不同等级系统所具有的不同的对抗和恢复能力 可以从实现的安全目标不同来进行具体体现 使较高级别的系统能够应对更多的威胁和更强的威胁主体 即使面临同一个威胁也具备更高的保护强度和更为周密的应对措施 安全目标包括了技术目标和管理目标 技术目标主要用于对抗威胁和实现技术能力 管理目标主要为安全技术实现提供组织 人员 程序等方面的保障 基本要求 组织方式 某级系统 物理安全 基本技术要求 基本管理要求 基本要求 网络安全 主机安全 应用安全 数据安全 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 基本要求 组织方式 结构安全和网段划分 网络安全 四级 网络访问控制 拨号访问控制 网络安全审计 边界完整性检查 网络入侵检测 恶意代码防护 网络设备防护 基本要求 组织方式 环境管理 系统运维管理 四级 资产管理 设备管理 介质管理 运行维护和监控管理 网络安全管理 系统安全管理 恶意代码防范管理 变更管理 密码管理 系统备案 备份和恢复管理 安全事件处置 应急计划管理 基本要求的使用 补充和调整 根据安全等级选择基本要求 按照基本要求进行保护后 信息系统或子系统具有相应等级的安全保护能力 对信息系统或子系统有增加或特殊保护要求的 应在上述内容的基础上 分析需补充的安全保护需求 对安全保护基本要求进行补充 对基本要求有调整需求的 应对调整项逐项进行风险分析 以保证不降低整体安全保护强度 并形成书面的调整理由 基本要求的逐级增强方法 某级系统 类 技术要求 管理要求 基本要求 类 控制点 具体要求 控制点 具体要求 其他方面的问题 核心思想 级别越高 安全控制点越多 安全控制要求越细 对于涉密的信息系统 在确定安全保护等级后 除应按照相应安全等级的基本要求进行保护外 还应按照国家保密工作部门和国家密码管理部门的相关规定进行要求和保护 第五级信息系统是涉及国家安全 社会秩序 经济建设和公共利益的重要信息系统的核心子系统 国家将指定专门部门或者专门机构对其进行专门控管 对第五级信息系统的基本要求将由国家指定的专门部门或者专门机构参照第四级的基本要求另行制定 雄关漫道真如铁 而今迈步从头越 谢谢