信息安全等级保护标准体系概述.ppt

信息安全等级保护标准体系概述 目录 信息安全等级保护标准体系信息安全等级保护工作使用的主要标准管理办法实施指南定级指南基本要求测评要求 目录 信息安全等级保护标准体系信息安全等级保护工作使用的主要标准管理办法实施指南定级指南基本要求测评要求 等级保护标准体系 多年来 在有关部门支持下 在国内有关专家 企业的共同努力下 全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准 形成了比较完整的信息安全等级保护标准体系 汇集成 信息安全等级保护标准汇编 供有关单位 部门使用 在安全建设整改工作中的作用等级保护有关标准 等级保护标准体系 信息安全等级保护标准体系由等级保护工作过程中所需的所有标准组成 整个标准体系可以从多个角度分析从基本分类角度看基础类标准技术类标准管理类标准从对象角度看基础标准系统标准产品标准安全服务标准安全事件标准等 等级保护标准体系 从等级保护生命周期看通用 基础标准系统定级用标准安全建设用标准等级测评用标准运行维护用标准等 等级保护主要工作 一是 定级备案二是 建设整改三是 等级测评四是 监督检查 等级保护工作中用到的主要标准 一 基础1 计算机信息系统安全保护等级划分准则 GB17859 19992 信息系统安全等级保护实施指南 GB T25058 2010 二 系统定级环节3 信息系统安全保护等级定级指南 GB T22240 2008 三 建设整改环节4 信息系统安全等级保护基本要求 GB T22239 2008 四 等级测评环节5 信息系统安全等级保护测评要求 国标报批稿 6 信息系统安全等级保护测评过程指南 国标报批稿 小结 等级保护主要政策和标准 信息安全等级保护管理办法 公通字 2007 43号 以下简称 管理办法 计算机信息安全保护等级划分准则 GB17859 1999 简称 划分准则 信息系统安全等级保护实施指南 GB T25058 2010 简称 实施指南 信息系统安全保护等级定级指南 GB T22240 2008 简称 定级指南 信息系统安全等级保护基本要求 GB T22239 2008 简称 基本要求 信息系统安全等级保护测评要求 简称 测评要求 信息系统安全等级保护测评过程指南 简称 测评过程指南 目录 信息安全等级保护制度要干什么信息安全等级保护工作使用的主要标准管理办法实施指南定级指南基本要求测评要求 具体做法 等级确定与备案 自查与等级测评 等级保护运行与管理 基本要求 实施指南 安全产品标准 定级指南 实施指南 监督管理要求 基本要求 测评要求 基本要求 定级指南 实施指南 设计规范 测评要求 安全规划与设计 安全建设与实现 监督管理要求实施指南 标准定位和关系 管理办法 43文件 总要求 实施指南 GB T25058 2010 定级指南 GB T22240 2008 基本要求 GB T22239 2008 测评要求建设指南 目录 信息安全等级保护制度要干什么信息安全等级保护工作使用的主要标准管理办法实施指南定级指南基本要求测评要求 管理办法 管理办法 第八条 信息系统运营 使用单位依据本办法和相关技术标准对信息系统进行保护 国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理 管理办法 管理办法 第九条 信息系统运营 使用单位应当按照 信息系统安全等级保护实施指南 具体实施等级保护工作 管理办法 管理办法 第十条 信息系统运营 使用单位应当依据本办法和 信息系统安全等级保护定级指南 确定信息系统的安全保护等级 有主管部门的 应当经主管部门审核批准 管理办法 管理办法 第十二条 在信息系统建设过程中 运营 使用单位应当按照 计算机信息系统安全保护等级划分准则 GB17859 1999 信息系统安全等级保护基本要求 等技术标准 参照 等技术标准同步建设符合该等级要求的信息安全设施 管理办法 管理办法 第十三条 运营 使用单位应当参照 信息安全技术信息系统安全管理要求 GB T20269 2006 信息安全技术信息系统安全工程管理要求 GB T20282 2006 信息系统安全等级保护基本要求 等管理规范 制定并落实符合本系统安全保护等级要求的安全管理制度 管理办法 管理办法 第十四条 信息系统建设完成后 运营 使用单位或者其主管部门应当选择符合本办法规定条件的测评单位 依据 信息系统安全等级保护测评要求 等技术标准 定期对信息系统安全等级状况开展等级测评 第三级信息系统应当每年至少进行一次等级测评 第四级信息系统应当每半年至少进行一次等级测评 第五级信息系统应当依据特殊安全需求进行等级测评 目录 信息安全等级保护制度要干什么信息安全等级保护工作使用的主要标准管理办法实施指南定级指南基本要求测评要求 实施指南 介绍和描述了实施信息系统等级保护过程中涉及的阶段 过程和需要完成的活动 通过对过程和活动的介绍 使大家了解对信息系统实施等级保护的流程方法 以及不同的角色在不同阶段的作用等 实施指南 等级变更 局部调整 信息系统定级 总体安全规划 安全设计与实施 安全运行维护 信息系统终止 实施指南的主要思路 以信息系统安全等级保护建设为主要线索 定义信息系统等级保护实施的主要阶段和过程对每个阶段介绍和描述主要的过程和实施活动对每个活动说明实施主体 主要活动内容和输入输出等 实施指南标准的结构 正文由9个章节1个附录构成1 范围2 规范性引用文件3术语定义4 等级保护实施概述5 信息系统定级6 总体安全规划7 安全设计 实施8 安全运行维护9 信息系统终止附录A主要过程及其输出 实施指南中的主要概念 阶段过程主要活动子活动活动输入活动输出 实施指南特点 阶段过程活动子活动例如 信息系统定级信息系统分析系统识别和描绘识别信息系统的基本信息识别信息系统的管理框架 信息系统划分 系统定级阶段 实施流程 主要输入 主要输出 过程 系统立项文档系统建设文档系统管理文档 信息系统分析 系统总体描述文件系统详细描述文件 安全保护等级确定 系统总体描述文件系统详细描述文件 系统安全保护等级定级建议书 目录 信息安全等级保护制度要干什么信息安全等级保护工作使用的主要标准管理办法实施指南定级指南基本要求测评要求 定级指南 安全保护等级等级的确定是不依赖于安全保护措施的 具有一定的 客观性 即该系统在存在之初便由其自身所实现的使命决定了它的安全保护等级 而非由 后天 的安全保护措施决定 标准的结构 正文由6个章节构成1 范围2 规范性引用文件3 术语定义4 定级原理5 定级方法6 级别变更 定级原理 五个等级的定义第一级 信息系统受到破坏后 会对公民 法人和其他组织的合法权益造成损害 但不损害国家安全 社会秩序和公共利益 第二级 信息系统受到破坏后 会对公民 法人和其他组织的合法权益产生严重损害 或者对社会秩序和公共利益造成损害 但不损害国家安全 第三级 信息系统受到破坏后 会对社会秩序和公共利益造成严重损害 或者对国家安全造成损害 第四级 信息系统受到破坏后 会对社会秩序和公共利益造成特别严重损害 或者对国家安全造成严重损害 第五级 信息系统受到破坏后 会对国家安全造成特别严重损害 定级原理 定级方法 确定定级对象 确定业务信息安全受到破坏时所侵害的客体 综合评定业务信息安全被破坏对客体的侵害程度 得到业务信息安全等级 确定系统服务安全受到破坏时所侵害的客体 综合评定系统服务安全被破坏对客体的侵害程度 得到系统服务安全等级 由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级 可能的系统级别 第一级S1A1G1第二级S1A2G2 S2A2G2 S2A1G2第三级S1A3G3 S2A3G3 S3A3G3 S3A2G3 S3A1G3第四级S1A4G4 S2A4G4 S3A4G4 S4A4G4 S4A3G4 S4A2G4 S4A1G4 目录 信息安全等级保护制度要干什么信息安全等级保护工作使用的主要标准管理办法实施指南定级指南基本要求测评要求 37 标准背景 03年 27号文件进一步明确信息安全等级保护制度04年 66号文件要求 尽快制定 完善法律法规和标准体系 编制历程04年10月 接受公安部的标准编制任务05年6月 完成初稿 广泛征求安全领域专家和行业用户意见 05年10月 征求意见稿第一稿 国信办 安标委评审05年11月 征求意见稿第三稿06年6月 试点工作07年04月 征求意见稿第四稿 安标委专家评审07年05月 形成报批稿08年6月19日 正式发布 08年11月1日正式实施 38 标准定位 GB17859 1999的细化和发展吸收安全机制并扩展到不同层面增加安全管理方面的内容借鉴PDR CMM 17799关注可操作性最佳实践当前技术的发展机制 要求 目标 要求 信息系统安全等级保护基本要求 计算机信息系统安全保护等级划分准则 GB17859 信息系统通用安全技术要求 信息系统物理安全技术要求 技术类 其他技术类标准 信息系统安全管理要求 信息系统安全工程管理要求 其他管理类标准 信息系统安全等级保护定级指南 信息系统安全等级保护基本要求的行业细则 信息系统安全等级保护测评过程指南 信息系统安全等级保护测评要求 信息系统等级保护安全设计技术要求 管理类 产品类 数据库管理系统安全技术要求 其他产品类标准 信息系统安全等级保护行业定级细则 操作系统安全技术要求 信息系统安全等级保护建设整改 网络基础安全技术要求 网络和终端设备隔离部件技术要求 安全定级 基线要求 状态分析 方法指导 信息系统安全等级保护实施指南 等级保护有关标准在安全建设整改工作中的作用 39 40 与其他标准的关系 GB17859 1999是基础性标准 基本要求 17859基础上的进一步细化和扩展 定级指南 确定出系统等级以及业务信息安全性等级和业务服务保证性等级后 需要按照相应等级 根据 基本要求 选择相应等级的安全保护要求进行系统建设实施 测评要求 是依据 基本要求 检验系统的各项保护措施是否达到相应等级的基本要求所规定的保护能力 41 标准适用范围 用户范围信息系统的主管部门及运营使用单位测评机构安全服务机构 系统集成商 软件开发商 信息安全监管职能部门适用环节需求分析方案设计 系统建设与验收运行维护 等级测评 自查 标准的编制思路 门槛合理对每个级别的信息系统安全要求设置合理 按照基本要求建设后 确实达到期望的安全保护能力内容完整综合技术 管理各个方面的要求 安全要求内容考虑全面 完整 覆盖信息系统生命周期便于使用安全要求分类方式合理 便于安全保护 检测评估 监督检查实施各方的灵活使用 42 43 描述模型 44 基本安全保护能力 对抗能力和恢复能力共同构成了信息系统的安全保护能力 安全保护能力主要表现为信息系统应对威胁的能力 称为对抗能力 但当信息系统无法阻挡威胁对自身的破坏时 信息系统的恢复能力使系统在一定时间内恢复到原有状态 从而降低负面影响 45 能力目标 第一级安全保护能力应具有能够对抗来自个人的 拥有很少资源 如利用公开可获取的工具等 的威胁源发起的恶意攻击 一般的自然灾难 灾难发生的强度弱 持续时间很短 系统局部范围等 以及其他相当危害程度的威胁所造成的关键资源损害 并在威胁发生后 能够恢复部分功能 46 能力目标 第二级安全保护能力应具有能够对抗来自小型组织的 如自发的三两人组成的黑客组织 拥有少量资源 如个别人员能力 公开可获或特定开发的工具等 的威胁源发起的恶意攻击 一般的自然灾难 灾难发生的强度一般 持续时间短 覆盖范围小 局部性 等 以及其他相当危害程度 无意失误 设备故障等 的威胁所造成的重要资源损害 能够发现重要的安全漏洞和安全事件 在系统遭到损害后 能够在一段时间内恢复部分功能 47 能力目标 第三级安全保护能力应具有能够对抗来自大型的 有组织的团体 如一个商业情报组织或犯罪组织等 拥有较为丰富资源 包括人员能力 计算能力等 的威胁源发起的恶意攻击 较为严重的自然灾难 灾难发生的强度较大 持续时间较长 覆盖范围较广 地区性 等 以及其他相当危害程度 内部人员的恶意威胁 设备的较严重故障等 威胁的能力 并在威胁发生后 能够较快恢复绝大部分功能 48 能力目标 第四级安全保护能力应具有能够对抗来自国家级别的 敌对组织的 拥有丰富资源的威胁源发起的恶意攻击 严重的自然灾难 灾难发生的强度大 持续时间长 覆盖范围广 多地区性 等 以及其他相当危害程度 内部人员的恶意威胁 设备的严重故障等 威胁的能力 并在威胁发生后 能够迅速恢复所有功能 49 描述模型 一级系统 二级系统 三级系统 防护 防护 检测 策略 防护 检测 恢复 策略 防护 检测 恢复 响应 四级系统 技术要求特点 50 描述模型 一级系统 二级系统 三级系统 四级系统 管理要求特点 一般执行 部分活动建制度 计划实施 主要过程建制度 统一策略 管理制度体系化 持续改进 管理制度体系化 验证 改进 51 描述模型 一级系统 二级系统 三级系统 四级系统 覆盖范围特点 通信 边界 关键资源 通信 边界 内部 重要设备 通信 边界 内部 主要设备 通信 边界 内部 基础设施 所有设备 描述结构 52 安全类 53 物理安全 技术要求 管理要求 基本要求 网络安全 主机安全 应用安全 数据安全及备份恢复 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 类 示例 7第三级基本要求7 1技术要求7 1 1物理安全7 1 1 1物理位置的选择本项要求包括a 机房和办公场地应选择在具有防震 防风和防雨等能力的建筑内b 机房场地应避免设在建筑物的高层或地下室 以及用水设备的下层或隔壁 54 类 要求项 控制点 控制点标注 业务信息安全相关要求 标记为S 系统服务保证相关要求 标记为A 通用安全保护要求 标记为G 技术要求 3种标注 管理要求 统属G 55 描述模型 业务信息安全相关要求 S 电磁防护访问控制数据完整性数据保密性系统服务保证相关要求 A 电力供应软件容错备份与恢复资源控制通用安全保护要求 G 管理要求和大部分技术要求 56 逐级增强的特点 控制点增加要求项增加要求项增强范围增大要求细化要求粒度细化 逐级增强的特点 控制点增加 58 三级基本要求 在二级基本要求的基础上 技术方面 在控制点上增加了网络恶意代码防范 剩余信息保护 软件容错 抗抵赖等 管理方面 增加了系统备案 安全测评 监控管理和安全管理中心等控制点 四级基本要求 在三级基本要求的基础上 技术方面 在系统和应用层面控制点上增加了安全标记 可信路径 不同级别系统控制点的差异汇总 59 逐级增强的特点 要求项增加 60 要求项增多 如 对 身份鉴别 一级要求 进行身份标识和鉴别 二级增加要求 口令复杂度 登录失败保护等 而三级则要求 采用两种或两种以上组合的鉴别技术 项目增加 要求增强 不同级别系统要求项的差异汇总 61 逐级增强的特点 要求项增强 62 范围增大 如 对物理安全的 防静电 二级只要求 关键设备应采用必要的接地防静电措施 而三级则在对象的范围上发生了变化 为 主要设备应采用必要的接地防静电措施 范围的扩大 表明了该要求项强度的增强 逐级增强的特点 要求项增强 63 要求细化 如 人员安全管理中的 安全意识教育和培训 二级要求 应制定安全教育和培训计划 对信息安全基础知识 岗位操作规程等进行培训 而三级在对培训计划进行了进一步的细化 为 应针对不同岗位制定不同培训计划 培训计划有了针对性 更符合各个岗位人员的实际需要 逐级增强的特点 要求项增强 64 粒度细化 如 网络安全中的 访问控制 二级要求 控制粒度为网段级 而三级要求则将控制粒度细化 为 控制粒度为端口级 由 网段级 到 端口级 粒度上的细化 同样也增强了要求的强度 基本要求 文档结构 由9个章节2个附录构成1 适用范围2 规范性引用文件3 术语定义4 信息系统安全等级保护概述5 6 7 8 9五个等级的基本要求附录A关于信息系统整体安全保护能力的要求附录B基本安全要求的选择和使用 65 各级的要求 物理安全 66 物理位置选择 物理安全 物理访问控制 防盗窃和防破坏 防雷击 防火 防水和防潮 电力供应 电磁防护 防静电 温湿度控制 等级要求 物理安全 67 物理安全要求主要由机房 包括主 辅机房 介质存放间等 所部署的设备设施和采取的安全技术措施两方面提供的功能来满足 部分物理安全要求涉及到终端所在的办公场地 68 各级的要求 网络安全 69 网络安全 结构安全 网络访问控制 网络安全审计 边界完整性检查 网络入侵检测 恶意代码防护 网络设备防护 等级要求 网络安全 70 网络安全要求中对广域网络 城域网络等通信网络的要求由构成通信网络的网络设备 安全设备等的网络管理机制提供的功能来满足 对局域网安全的要求主要通过采用 防火墙 入侵检测系统 恶意代码防范系统 安全管理中心等设备提供的安全功能来满足 71 各级的要求 主机安全 72 主机安全 身份鉴别 访问控制 可信路径 安全审计 剩余信息保护 入侵防范 恶意代码防范 资源控制 安全标记 等级要求 主机安全 73 主机包括应用服务器 数据库服务器 安全软件所安装的服务器及管理终端 业务终端 办公终端等 主机安全要求通过操作系统 数据库管理系统及其他安全软件 包括防病毒 防入侵 木马检测等软件 实现的安全功能来满足 74 各级的要求 应用安全 75 应用安全 身份鉴别 访问控制 通信完整性 通信保密性 安全审计 剩余信息保护 抗抵赖 软件容错 资源控制 代码安全 等级要求 应用安全 76 应用安全要求通过应用系统 应用平台系统等实现的安全功能来满足 如果应用系统是多层结构的 一般不同层的应用都需要实现同样强度的身份鉴别 访问控制 安全审计 剩余信息保护及资源控制等 通信保密性 完整性一般在一个层面实现 各级的要求 数据安全及备份和恢复 77 数据安全 数据完整性 数据保密性 备份和恢复 78 各级的要求 安全管理 79 各级的要求 安全管理机构 80 岗位设置 安全管理机构 人员配备 授权和审批 沟通与合作 审核和检查 81 各级的要求 安全管理制度 82 管理制度 安全管理制度 制定和发布 评审和修订 83 各级的要求 人员安全管理 84 人员安全管理 人员录用 人员离岗 人员考核 安全意识教育和培训 外部人员访问管理 85 各级的要求 系统建设管理 86 系统建设管理 系统定级 安全方案设计 产品采购 自行软件开发 外包软件开发 工程实施 测试验收 系统交付 安全服务商选择 系统备案 等级测评 87 各级的要求 系统运维管理 88 89 目录 信息安全等级保护制度要干什么信息安全等级保护工作使用的主要标准管理办法实施指南定级指南基本要求测评要求 测评要求 在内容上 与 基本要求 一一对应 直接把 基本要求 的要求项作为 测评要求 的测评指标 在方法上 涵盖访谈 检查和测试三种基本方法 充分考虑方法实施的可行性 在强度上 与安全等级相适应 在结果上 单点测试 整体评价相结合 主要内容 主体由10个章节构成1 范围2 规范性引用文件3 术语 定义和符号4 安全测评概述5 第1级安全控制测评6 第2级安全控制测评7 第3级安全控制测评8 第4级安全控制测评9 第5级安全控制测评10 系统整体测评附录A测评强度附录B关于系统整体测评的进一步说明 测评要求的作用 指导系统运营使用单位进行自查指导测评机构进行等级测评监管职能部门参照进行监督检查规范测评内容和行为 测评要求 和 基本要求 的关系 基本要求 规定了信息系统安全等级保护的基本要求 包括基本技术要求和基本管理要求 适用于不同安全等级信息系统的安全保护 测评要求 规定了对信息系统安全控制进行等级测评的基本内容 使用到的测评方法 涉及到的测评对象 实施测评的过程要求 以及对测评结果进行判定的基本规则 内容和结构上 存在一一对应关系 测评方法 访谈 通过与信息系统用户 个人 群体 迚行交流 认论等活劢 获取相关证据证明信息系统安全保护措施是否落实的一种方法 检查 通过对测评对象 设备 文档 现场等 迚行观察 查验 分析等活劢 获取相关证据证明信息系统安全保护措施是否有效的一种方法 测试 利用预定的方法 工具使测评对象产生特定的行为活劢 查看输出结果与预期结果的差异 以获取证据证明信息系统安全保护措施是否有效的一种方法 谢谢