信息安全等级保护制度的相关标准及其应用.ppt

信息安全等级保护制度的相关标准及其应用 目录 等级保护的国家标准等级保护的定级过程等级保护的建设整改交流与沟通 目录 等级保护的国家标准等级保护的定级过程等级保护的建设整改交流与沟通 什么是等级保护 信息系统安全等级保护是指对信息和信息系统划分为五个安全保护和监管等级 实行分等级保护 一个提高 四个有利于 有效地提高我国信息安全建设的整体水平有利于在信息化建设过程中同步建设信息安全设施 保障信息安全与信息化建设相协调 有利于加强对涉及国家安全 经济秩序 社会稳定和公共利益的信息系统的安全保护和管理监督 为什么实行等级保护 有利于明确国家 法人和其他组织 公民的安全责任 强化政府监管职能 共同落实各项安全建设和安全管理措施 有利于提高安全保护的科学性 整体性 针对性 推动信息安全产业水平 逐步探索一条适应社会主义市场经济发展的信息安全发展模式 为什么实行等级保护 相关标准制定环境 安全环境 近年来 党中央 国务院高度重视 各有关方面协调配合 共同努力 我国信息安全保障工作取得了很大进展 但是从总体上看 我国的信息安全保障工作尚处于起步阶段 基础薄弱 水平不高 存在以下突出问题 偏重产品 忽视体系和管理 重视外部攻击与入侵 忽视内部的非法行为 缺乏信息安全风险意识 安全投入盲目 关键技术 产品受制于人 一劳永逸的错误观念 忽视信息安全是个动态的过程c 相关标准制定单位 问题产生的原因 信息安全防范意识和能力薄弱 信息安全法律法规不完善 标准体系尚待完善 信息系统安全建设和管理缺乏体系化思想 现有标准杂 乱 安全建设无所适从 监督管理缺乏依据和标准 监管体系尚待完善 相关标准制定单位 我们的对策 美国及西方发达国家为了抵御信息网络的脆弱性和安全威胁 制定了一系列强化信息网络安全建设的政策和标准 其中一个很重要思想就是将不同重要程度的信息系统划分不同的安全等级 以指导不同领域的信息安全工作 面对严峻的形势和严重的问题 如何解决我国信息安全问题 是摆在我国政府 企业 公民面前的重大关键问题 经过我国信息安全领域有关部门和专家学者的多年研究 在借鉴国外先进经验和结合我国国情的基础上 提出了分等级保护的策略来解决我国信息安全问题 信息安全等级保护制度 等级保护标准制修订背景 1994年 中华人民共和国计算机信息系统安全保护条例 的发布1999年 计算机信息系统安全保护等级划分准则 GB17859 1999发布2001年 国家发改委 计算机信息系统安全保护等级评估体系及互联网络电子身份管理与安全保护平台建设项目 1110 工程实施2003年 中央办公厅 国务院办公厅转发 国家信息化领导小组关于加强信息安全保障工作的意见 27号文第一项就是等级保护2004年 四部委联合签发了 关于信息安全等级保护工作的实施意见 1994年国务院147号令 中华人民共和国计算机信息系统安全保护条例 第9条规定 计算机信息系统实行安全等级保护 1999年国家标准GB17859 计算机信息系统安全保护等级划分准则 主要内容来源于美国可信计算机系统评价准则TCSEC第一级用户自主保护级第二级系统审计保护级第三级安全标记保护级第四级结构化保护级第五级访问验证保护级 等级保护标准制修订背景 2001年国家标准GB T18336 信息技术安全技术信息技术安全性评估准则 参照CC即ISO IEC154082003年中办发17号文件提出实行信息安全等级保护的任务2004年公通字66号文件公安部 国家保密局 国家密码管理委员会办公室 国务院信息办发布 关于信息安全等级保护工作的实施意见 2006年公通字7号文件 已经废除 四部门发布 信息安全等级保护管理办法 等级保护标准制修订背景 2006年国家标准发布 信息安全技术信息系统通用安全技术要求 GB T20271 2006 信息安全技术网络基础安全技术要求 GB T20270 2006 信息安全技术操作系统安全技术要求 GB T20272 2006 信息安全技术数据库管理系统安全技术要求 GB T20273 2006 信息安全技术终端计算机系统安全等级技术要求 GA T671 2006 2007年5月底的更新 信息系统安全等级保护实施指南 信息系统安全等级保护定级指南 信息系统安全等级保护基本要求 200 年公通字 号文件 6月27号发出 信息安全等级保护管理办法 公信安 号 关于开展全国重要信息系统安全等级保护定级工作的通知 等级保护标准制修订背景 等级保护标准制修订背景 2003年9月中办国办颁发 关于加强信息安全保障工作的意见 中办发 2003 27号 2005年9月国信办文件 关于转发 电子政务信息安全等级保护实施指南 的通知 国信办 2004 25号 2006年1月四部委会签 关于印发 信息安全等级保护管理办法的通知 公通字 2006 7号 2005年公安部标准 基本要求 定级指南 实施指南 测评准则 2004年11月四部委会签 关于信息安全等级保护工作的实施意见 公通字 2004 66号 云南云南省人民政府第130号令 浙江浙江省人民政府令 北京北京政府第9号令 国家级政策文件 国家级技术标准 国家级政策文件 地方政策文件 等级保护标准制修订背景 开展等级保护工作的环节 一是 科学定级二是 严格备案三是 系统建设 整改四是 等级测评五是 信息安全监管部门监督检查 等级保护工作中用到的主要标准 一 基础1 计算机信息系统安全保护等级划分准则 GB17859 19992 信息系统安全等级保护实施指南 国标报批稿 二 系统定级环节3 信息系统安全保护等级定级指南 GB T22240 2008 三 建设整改环节4 信息系统安全等级保护基本要求 GB T22239 2008 四 等级测评环节5 信息系统安全等级保护测评要求 国标报批稿 6 信息系统安全等级保护测评过程指南 国标报批稿 小结 等级保护主要政策和标准 信息安全等级保护管理办法 公通字 2007 43号 以下简称 管理办法 计算机信息安全保护等级划分准则 GB17859 1999 简称 划分准则 信息系统安全等级保护实施指南 简称 实施指南 信息系统安全保护等级定级指南 GB T22240 2008 简称 定级指南 信息系统安全等级保护基本要求 GB T22239 2008 简称 基本要求 信息系统安全等级保护测评要求 简称 测评要求 信息系统安全等级保护测评过程指南 简称 测评过程指南 目录 等级保护的国家标准等级保护的定级过程等级保护的建设整改交流与沟通 等级的概念首先出现在国家标准 划分准则 中 从安全保护能力角度 根据安全功能的实现情况 将计算机信息系统安全保护能力划分为五个级别 用户自主保护级 系统审计保护级 安全标记保护级 结构化保护级 访问验证保护级 系统定级 等级的概念 系统定级 等级的概念 信息系统安全保护能力的等级 管理办法 从信息系统重要程度及其社会属性考虑 再次给出了信息系统五个级别的定义 第一级 信息系统受到破坏后 会对公民 法人和其他组织的合法权益造成损害 但不损害国家安全 社会秩序和公共利益 第二级 信息系统受到破坏后 会对公民 法人和其他组织的合法权益产生严重损害 或者对社会秩序和公共利益造成损害 但不损害国家安全 第三级 信息系统受到破坏后 会对社会秩序和公共利益造成严重损害 或者对国家安全造成损害 第四级 信息系统受到破坏后 会对社会秩序和公共利益造成特别严重损害 或者对国家安全造成严重损害 第五级 信息系统受到破坏后 会对国家安全造成特别严重损害 系统定级 等级的概念 信息系统重要程度的等级 系统定级 最终 依据 中华人民共和国计算机信息系统安全保护条例 国务院147号令 国家信息化领导小组关于加强信息安全保障工作的意见 中办发 2003 27号 关于信息安全等级保护工作的实施意见 公通字 2004 66号 和 信息安全等级保护管理办法 公通字 2007 43号 制定本标准 本标准是信息安全等级保护相关系列标准之一 系统定级 定级原理 系统定级 定级流程 系统定级 定级方法 确定定级对象 确定业务信息安全受到破坏时所侵害的客体 综合评定业务信息安全被破坏对客体的侵害程度 得到业务信息安全等级 确定系统服务安全受到破坏时所侵害的客体 综合评定系统服务安全被破坏对客体的侵害程度 得到系统服务安全等级 由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级 系统定级 确定定级对象 一 定级对象的三个条件具有唯一确定的安全责任单位作为定级对象的信息系统应能够唯一地确定其安全责任单位 这个安全责任单位就是负责等级保护工作部署 实施的单位 也是完成等级保护备案和接受监督检查的直接责任单位 满足信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设备 设施按照一定的应用目标和规则组合而成的有形实体 应避免将某个单一的系统组件 如单台的服务器 终端或网络设备等作为定级对象 系统定级 确定定级对象 一 定级对象的三个条件承载相对独立的业务应用定级对象承载 相对独立 的业务应用是指其中的一个或多个业务应用的主要业务流程 部分业务功能独立 同时与其他信息系统的业务应用有少量的数据交换 定级对象可能会与其他业务应用共享一些设备 尤其是网络传输设备 相对独立 的业务应用并不意味着整个业务流程 可以是完整的业务流程的一部分 系统定级 确定定级对象 二 定级对象的识别和划分可能使定级要素赋值不同因素可能涉及不同客体的系统 可能对客体造成不同程度损害的系统 处理不同类型业务的系统 本身运行在不同的网络环境中的系统 分不开的系统 按照高级别保护 系统定级 侵害程度 不同危害后果的三种危害程度描述如下 一般损害 工作职能受到局部影响 业务能力有所降低但不影响主要功能的执行 出现较轻的法律问题 较低的财产损失 有限的社会不良影响 对其他组织和个人造成较低损害 严重损害 工作职能受到严重影响 业务能力显著下降且严重影响主要功能执行 出现较严重的法律问题 较高的财产损失 较大范围的社会不良影响 对其他组织和个人造成较严重损害 特别严重损害 工作职能受到特别严重影响或丧失行使能力 业务能力严重下降且或功能无法执行 出现极其严重的法律问题 极高的财产损失 大范围的社会不良影响 对其他组织和个人造成非常严重损害 系统定级 关于损害的详述 系统定级 关于定级级别 系统所属类型 业务信息类别 系统服务范围 业务依赖程度 业务信息安全性 业务服务保证性 信息系统安全保护等级 侵害的程度如何 对客体造成侵害的程度 一般损害严重损害特别严重损害 受到破坏时侵害了什么 客体 公民 法人社会秩序 公共利益国家安全 四个主要因素决定等级 系统定级 关于等级变更 在信息系统的运行过程中 安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更 尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化 可能影响到系统的安全保护等级时 应根据定级标准给出的定级方法重新定级 目录 等级保护的国家标准等级保护的定级过程等级保护的建设整改交流与沟通 建设整改 管理办法要求 管理办法 第十二条 在信息系统建设过程中 运营 使用单位应当按照 计算机信息系统安全保护等级划分准则 GB17859 1999 信息系统安全等级保护基本要求 等技术标准 参照 等技术标准同步建设符合该等级要求的信息安全设施 建设整改 划分准则 和 基本要求 划分准则 以安全保护能力为基础提出了各级系统应该实现的安全功能 但是 划分准则 提出的主要是安全技术功能 信息系统安全保护能力实现需要通过安全技术措施和安全管理措施共同落实支撑 因此 在 划分准则 的基础上 制定了 基本要求 标准 从技术和管理两方面提出了相应的措施 建设整改 基本要求 是核心 基本要求 是信息系统安全保护基本 标尺 或达标线 信息系统安全建设整改应以落实 基本要求 为主要目标 满足 基本要求 意味着信息系统具有相应等级的基本安全保护能力 达到了一种基本的安全状态 建设整改 基本要求 主要组织方式 建设整改 基本要求 主要组织方式 7第三级基本要求 7 1技术要求 7 1 1物理安全 类 7 1 1 1物理位置的选择 控制点 本项要求包括 具体要求 a 机房和办公场地应选择在具有防震 防风和防雨等能力的建筑内 7 2管理要求 7 2 1安全管理制度 类 7 2 1 1管理制度 控制点 本项要求包括 具体要求 a 应制定信息安全工作的总体方针和安全策略 说明机构安全工作的总体目标 范围 原则和安全框架等 建设整改 基本要求 安全保护技术 身份鉴别 访问控制 安全审计 数据完整性 数据保密性 数据可用性 病毒防范 入侵检测 安全监控 备份与恢复 密码使用 等等 建设整改 基本要求 安全保护技术 确定安全策略 落实信息安全责任制 建立安全组织机构 加强人员管理 加强系统建设的安全管理 加强运行维护的安全管理 等 建设整改 基本要求 物理安全 物理安全是指对信息系统所涉及到的主机房 辅助机房 办公环境等进行物理安全保护 具体关注内容包括 物理位置的选择 物理访问控制 防盗窃和防破坏 防雷击 防火 防水和防潮 防静电 温湿度控制 电力供应和电磁防护等方面 建设整改 基本要求 网络安全 网络安全是指对信息系统所涉及的通信网络 网络边界 网络区域和网络设备等进行安全保护 具体关注内容包括通信过程数据完整性 通信过程数据保密性 保证通信可靠性的设备和线路冗余 区域网络的边界保护 区域划分 身份认证 访问控制 安全审计 入侵防范 恶意代码防范 网络设备自身保护和网络的网络管理等方面 建设整改 基本要求 主机安全 主机安全是指对信息系统涉及到的服务器和工作站进行主机系统安全保护 具体关注内容包括操作系统或数据库管理系统的选择 安装和安全配置 主机入侵防范 恶意代码防范 资源使用和运行情况监控等 其中 安全配置细分为身份鉴别 访问控制 安全审计等方面的配置内容 建设整改 基本要求 应用安全 应用安全是指对信息系统涉及到的应用系统进行安全保护 具体关注内容包括应用系统实现身份鉴别 访问控制 安全审计 剩余信息保护 通信完整性 通信保密性 抗抵赖 软件容错和资源控制等功能方面 建设整改 基本要求 数据安全 数据安全是指对信息系统中业务数据的传输 存储和备份恢复进行安全保护 具体关注内容包括数据备份系统 冗余备用设备以及备份恢复相关技术设施等方面 建设整改 基本要求 安全管理机构 安全管理机构是指明确领导机构和责任部门 设立或明确信息安全领导机构 明确主管领导 落实责任部门 建立岗位和人员管理制度 根据职责分工 分别设置安全管理机构和岗位 明确每个岗位的职责与任务 落实安全管理