安全生产_信息系统安全等级保护基本要求概述

信息系统安全等级保护基本要求 湖北教育信息化发展中心2011年12月 信息系统安全等级保护基本要求 主要内容引言第一部分 标准术语与定义第二部分 基本要求概述第三部分 基本要求的应用范围第四部分 基本要求的主要内容第五部分 基本要求的分类与组合第六部分 基本要求的级差第七部分 基本要求的具体内容 基本要求 引言 依据如下相关文件 制定 实施指南 标准 中华人民共和国计算机信息系统安全保护条例 国务院147号令 国家信息化领导小组关于加强信息安全保障工作的意见 中办发 2003 27号 关于信息安全等级保护工作的实施意见 公通字 2004 66号 信息安全等级保护管理办法 公通字 2007 43号本标准是信息安全等级保护相关系列标准之一 相关的系列标准包括 信息安全技术信息系统安全等级保护定级指南 GB T22240 2008 信息安全技术信息系统安全等级保护基本要求 GB T22239 2008 信息安全技术信息系统安全等级保护测评准则 送审稿 在对信息系统实施信息安全等级保护的过程中 除使用本标准外 在不同的阶段 还应参照其他有关信息安全等级保护的标准开展工作 本课程将对信息系统安全等级保护基本要求的重点进行讲述 基本要求 第一部分标准术语与定义 1 计算机信息系统可信计算基trustedcomputingbaseofcomputerinformationsystem 计算机系统内保护装置的总体 包括硬件 固件 软件和负责执行安全策略的组合体 它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务 2 客体object 信息的载体 3 主体subject 引起信息在客体之间流动的人 进程或设备等 4 敏感标记sensitivitylabel 表示客体安全级别并描述客体数据敏感性的一组信息 可信计算基中把敏感标记作为强制访问控制决策的依据 5 安全策略securitypolicy 有关管理 保护和发布敏感信息的法律 规定和实施细则 6 信道channel 系统内的信息传输路径 7 隐蔽信道covertchannel 允许进程以危害系统安全策略的方式传输信息的通信信道 8 安全保护能力securityprotectionability 系统能够抵御威胁 发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度 基本要求 第一部分标准术语与定义 1自主访问控制计算机信息系统可信计算基定义并控制系统中命名用户对命名客体的访问 实施机制 例如 访问控制表 允许命名用户和 或 以用户组的身份规定并控制客体的共享 阻止非授权用户读取敏感信息 并控制访问权限扩散 自主访问控制机制根据用户指定方式或默认方式 阻止非授权用户访问客体 访问控制的粒度是单个用户 访问控制能够为每个命名客体指定命名用户和用户组 并规定他们对客体的访问模式 没有存取权的用户只允许由授权用户指定对客体的访问权 2强制访问控制计算机信息系统可信计算基对外部主体能够直接或间接访问的所有资源 例如 主体 存储客体和输入输出资源 实施强制访问控制 为这些主体及客体指定敏感标记 这些标记是等级分类和非等级类别的组合 它们是实施强制访问控制的依据 计算机信息系统可信计算基支持两种或两种以上成分组成的安全级 计算机信息系统可信计算基外部的所有主体对客体的直接或间接的访问应满足 仅当主体安全级中的等级分类高于或等于客体安全级中的等级分类 且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别 主体才能读客体 仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类 且主体安全级中的非等级类别包含于客体安全级中的非等级类别 主体才能写一个客体 计算机信息系统可信计算基使用身份和鉴别数据 鉴别用户的身份 保证用户创建的计算机信息系统可信计算基外部主体的安全级和授权受该用户的安全级和授权的控制 基本要求 第一部分标准术语与定义 3标记计算机信息系统可信计算基维护与可被外部主体直接或间接访问到计算机信息系统资源 例如 主体 存储客体 只读存储器 相关的敏感标记 这些标记是实施强制访问的基础 为了输入未加安全标记的数据 计算机信息系统可信计算基向授权用户要求并接受这些数据的安全级别 且可由计算机信息系统可信计算基审计 4身份鉴别计算机信息系统可信计算基初始执行时 首先要求用户标识自己的身份 而且 计算机信息系统可信计算基维护用户身份识别数据并确定用户访问权及授权数据 计算机信息系统可信计算基使用这些数据 鉴别用户身份 并使用保护机制 例如 口令 来鉴别用户的身份 阻止非授权用户访问用户身份鉴别数据 通过为用户提供唯一标识 计算机信息系统可信计算基能够使用户对自己的行为负责 计算机信息系统可信计算基还具备将身份标识与该用户所有可审计行为相关联的能力 5客体重用在计算机信息系统可信计算基的空闲存储客体空间中 对客体初始指定 分配或再分配一个主体之前 撤销客体所含信息的所有授权 当主体获得对一个已被释放的客体的访问权时 当前主体不能获得原主体活动所产生的任何信息 基本要求 第一部分标准术语与定义 6审计计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录 并能阻止非授权的用户对它访问或破坏 计算机信息系统可信计算基能记录下述事件 使用身份鉴别机制 将客体引入用户地址空间 例如 打开文件 程序初始化 删除客体 由操作员 系统管理员或 和 系统安全管理员实施的动作 以及其他与系统安全有关的事件 对于每一事件 其审计记录包括 事件的日期和时间 用户 事件类型 事件是否成功 对于身份鉴别事件 审计记录包含请求的来源 例如 终端标识符 对于客体引入用户地址空间的事件及客体删除事件 审计记录包含客体名及客体的安全级别 此外 计算机信息系统可信计算基具有审计更改可读输出记号的能力 对不能由计算机信息系统可信计算基独立分辨的审计事件 审计机制提供审计记录接口 可由授权主体调用 这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记录 计算机信息系统可信计算基能够审计利用隐蔽存储信道时可能被使用的事件 计算机信息系统可信计算基包含能够监控可审计安全事件发生与积累的机制 当超过阈值时 能够立即向安全管理员发出报警 并且 如果这些与安全相关的事件继续发生或积累 系统应以最小的代价中止它们 基本要求 第一部分标准术语与定义 7数据完整性计算机信息系统可信计算基通过自主和强制完整性策略 阻止非授权用户修改或破坏敏感信息 在网络环境中 使用完整性敏感标记来确信信息在传送中未受损 8隐蔽信道分析系统开发者应彻底搜索隐蔽信道 并根据实际测量或工程估算确定每一个被标识信道的最大带宽 9可信路径当连接用户时 如注册 更改主体安全级 计算机信息系统可信计算基提供它与用户之间的可信通信路径 可信路径上的通信只能由该用户或计算机信息系统可信计算基激活 且在逻辑上与其他路径上的通信相隔离 且能正确地加以区分 基本要求 第二部分概述 信息系统安全保护等级信息系统根据其在国家安全 经济建设 社会生活中的重要程度 遭到破坏后对国家安全 社会秩序 公共利益以及公民 法人和其他组织的合法权益的危害程度等 由低到高划分成五级 五级定义见GB T22240 2008 基本要求 第二部分概述 不同等级的安全保护能力第一级应能够防护系统免受来自个人的 拥有很少资源 如利用公开可获取的工具等 的威胁源发起的恶意攻击 一般的自然灾难 灾难发生的强度弱 持续时间很短等 以及其他相当危害程度的威胁 无意失误 技术故障等 所造成的关键资源损害 在系统遭到损害后 能够恢复部分功能 第二级应能够防护系统免受来自外部小型组织的 如自发的三两人组成的黑客组织 拥有少量资源 如个别人员能力 公开可获或特定开发的工具等 的威胁源发起的恶意攻击 一般的自然灾难 灾难发生的强度一般 持续时间短 覆盖范围小等 以及其他相当危害程度的威胁 无意失误 技术故障等 所造成的重要资源损害 能够发现重要的安全漏洞和安全事件 在系统遭到损害后 能够在一段时间内恢复部分功能 基本要求 第二部分概述 第三级应能够在统一安全策略下防护系统免受来自外部有组织的团体 如一个商业情报组织或犯罪组织等 拥有较为丰富资源 包括人员能力 计算能力等 的威胁源发起的恶意攻击 较为严重的自然灾难 灾难发生的强度较大 持续时间较长 覆盖范围较广等 以及其他相当危害程度的威胁 内部人员的恶意威胁 无意失误 较严重的技术故障等 所造成的主要资源损害 能够发现安全漏洞和安全事件 在系统遭到损害后 能够较快恢复绝大部分功能 第四级应能够在统一安全策略下防护系统免受来自国家级别的 敌对组织的 拥有丰富资源的威胁源发起的恶意攻击 严重的自然灾难 灾难发生的强度大 持续时间长 覆盖范围广等 以及其他相当危害程度的威胁 内部人员的恶意威胁 无意失误 严重的技术故障等 所造成的资源损害 能够发现安全漏洞和安全事件 在系统遭到损害后 能够迅速恢复所有功能 基本要求 第二部分概述 等级保护的基本思想 基本要求 第二部分概述 基本技术要求和基本管理要求基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求 根据实现方式的不同 基本安全要求分为基本技术要求和基本管理要求两大类 基本要求 第二部分概述 等级保护的核心要求 基本要求 第二部分概述 每一个等级的信息系统 基本安全要求 满足 具备 实现 基本要求的模型描述 基本要求 第三部分应用范围 基本要求 的作用 基本要求 第三部分应用范围 是系统安全保护 等级测评的一个基本 标尺 同样级别的系统使用统一的 标尺 来衡量 保证权威性 是一个达标线 每个级别的信息系统按照基本要求进行保护后 信息系统具有相应等级的基本安全保护能力 达到一种基本的安全状态 是每个级别信息系统进行安全保护工作的一个基本出发点 更加贴切的保护可以通过需求分析对基本要求进行补充 参考其他有关等级保护或安全方面的标准来实现 基本要求 的定位 基本要求 第三部分应用范围 某等级信息系统 基本保护 精确保护 基本要求 保护 测评 补充的安全措施GB17859 1999通用技术要求安全管理要求高级别的基本要求等级保护其他标准安全方面相关标准等等 基本保护 特殊需求补充措施 基本要求 的定位 基本要求 基本要求 第四部分主要内容 基本技术要求技术类安全要求与信息系统提供的技术安全机制有关 主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现 基本技术要求物理安全网络安全主机安全应用安全数据安全 基本技术要求的主要内容 基本要求 第四部分主要内容 基本要求 第四部分主要内容 基本技术要求的三种类型根据保护侧重点的不同 技术类安全要求进一步细分为 保护数据在存储 传输 处理过程中不被泄漏 破坏和免受未授权的修改的信息安全类要求 简记为S 保护系统连续正常的运行 免受对系统的未授权修改 破坏而导致系统不可用的服务保证类要求 简记为A 通用安全保护类要求 简记为G 基本要求 第四部分主要内容 基本管理要求管理类安全要求与信息系统中各种角色参与的活动有关 主要通过控制各种角色的活动 从政策 制度 规范 流程以及记录等方面做出规定来实现 基本管理要求安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理 基本要求 第四部分主要内容 基本管理要求的主要内容 基本要求 第四部分主要内容 基本要求的组织方式 基本要求 第五部分选择和使用 信息系统的差异和安全保护等级不同安全保护等级的信息系统 其对业务信息的安全性要求和系统服务的连续性要求是有差异的 相同安全保护等级的信息系统 其对业务信息的安全性要求和系统服务的连续性要求也是有差异的 信息系统的安全保护等级由业务信息安全性等级和系统服务保证性等级的较高者决定 基本要求 第五部分选择和使用 信息系统定级后 不同安全保护等级的信息系统可能形成的定级结果组合如下 1 明确信息系统应该具有的安全保护能力 根据信息系统的安全保护等级选择基本安全要求 包括技术要求和管理要求 简单的方法是根据本标准 一级系统选择第一级基本安全要求 二级系统选择第二级基本安全要求 三级系统选择第三级基本安全要求 四级系统选择第四级基本安全要求 以此作为出发点 2 根据信息系统的定级结果对基本安全要求进行调整 根据系统服务保证性等级选择相应等级的系统服务保证类 A类 基本安全要求 根据业务信息安全性等级选择相应等级的业务信息安全类 S类 基本安全要求 3 针对不同行业或不同系统特点 分析可能在某些方面的特殊安全保护能力要求 选择较高级别的基本安全要求或补充基本安全要求 对于本标准中提出的基本安全要求无法实现或有更加有效的安全措施可以替代的 可以对基本安全要求进行调整 调整的原则是保证不降低整体安全保护能力 选择和使用的步骤 基本要求 第五部分选择和使用 基本要求 第六部分级差 等级保护与GB17859 基本要求 第六部分级差 从PDRR的角度分析 防护 防护 监测 策略 防护 监测 恢复 策略 防护 监测 恢复 响应 等级保护的要求 PDR原则 基本要求 第六部分级差 从IATF的层面分析 通信 边界 基本 通信 边界 内部 关键设备 通信 边界 内部 主要