计算机信息安全等级保护工作指南_第1页
计算机信息安全等级保护工作指南_第2页
计算机信息安全等级保护工作指南_第3页
计算机信息安全等级保护工作指南_第4页
计算机信息安全等级保护工作指南_第5页
已阅读5页,还剩44页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、附件 2信息安全等级保护安全建设整改工作指南中华人民共和国公安部九年十月、八刖 言目录1 总则 , (1)I J Li、/ > -J JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ * /1.1 工作目标,(1)1.2 工作内容,(1)1.3 工作流程,(2)1.4 标准应用,(3)1.5 安全保护能力目标 , (5)2 安全管理制度建设 , (6)2.1 落实信息安全责任制 , (7)2.2 信息系统安全管理现状分析 , (7)2.3 确定安全管理策略,制定安全管理制度 , (8)2.4 落实安全管理措施 , (8)2.4.1 人员安全管理 ,(8)2.4.2 系统运维管

2、理 ,(8)2.4.2.1 环境和资产安全管理,(8)2.4.2.2 设备和介质安全管理,(9)2.4.2.3 日常运行维护 ,(9)2.4.2.4 集中安全管理 ,(9)2.4.2.5 事件处置与应急响应,(9)2.4.2.6 灾难备份 ,(9)2.4.2.7 安全监测 , (10)2.4.2.8 其他安全管理 , (10)2.5 系统建设管理 , (10)2.6 安全自查与调整 , (10)3 安全技术措施建设 , (10)3.1 信息系统安全保护技术现状分析 , (11)3.1.1 信息系统现状分析 , (11)3.1.2 信息系统安全保护技术现状分析 , (12)3.1.3 安全需求论

3、证和确定 , (12)3.2 信息系统安全技术建设整改方案设计 , (12)3.2.1 确定安全技术策略,设计总体技术方案 , (12)3.2.1.1 确定安全技术策略,(12)3.2.1.2 设计总体技术方案,(12)3.2.2 安全技术方案详细设计 , (13)3.2.2.1 物理安全设计 , (13)3.2.2.2 通信网络安全设计,(13)3.2.2.3 区域边界安全设计,(13)3.2.2.4 主机系统安全设计,(13)3.2.2.5 应用系统安全设计,(14)3.2.2.6 备份和恢复安全设计 , (14)3.2.3 建设经费预算和工程实施计划 , (14)3.2.3.1 建设经费

4、预算 ,(14)3.2.3.2 工程实施计划 ,(14)3.2.4 方案论证和备案 ,(15)3.3 安全建设整改工程实施和管理 ,(15)3.3.1 工程实施和管理 ,(15)3.3.2 工程监理和验收 ,(15)3.3.3 安全等级测评 ,(15)附录:信息安全等级保护主要标准简要说明 , (17)1 总则1.1 工作目标 信息系统运营使用单位在做好信息系统安全等级保护定级备案工作基础上, 按照国家有关规定和标准规范要求,开展信息安全等级保护安全建设整改工作。 通过落实安全责任制, 开展管理制度建设、 技术措施建设, 落实等级保护制度的 各项要求, 使信息系统安全管理水平明显提高, 安全保

5、护能力明显增强, 安全隐 患和安全事故明显减少, 有效保障信息化健康发展, 维护国家安全、 社会秩序和 公共利益。工作内容 信息系统运营使用单位在开展信息安全等级保护安全建设整改工作中, 应按 照国家有关规定和标准规范要求, 坚持管理和技术并重的原则, 将技术措施和管 理措施有机结合,建立信息系统综合防护体系, 提高信息系统整体安全保护能力。 要依据信息系统安全等级保护基本要求 (以下简称基本要求 ),落实信息 安全责任制, 建立并落实各类安全管理制度, 开展人员安全管理、 系统建设管理 和系统运维管理等工作,落实物理安全、网络安全、主机安全、应用安全和数据 安全等安全保护技术措施,具体内容如

6、图 1 所示。安全管理机构岗位设置 人员配备 授权和审批 沟通和合作 审核和检查人员安全管理人员录用人员离岗人员考核 教育和培训 人员访问管理安全管理制度管理制度 制定和发布 评审和修订系统建设管理定级备案 安全方案设计 产品采购使用 自行软件开发 外包软件开发 工程实施 测试验收 系统交付 安全服务选择 等级测评系统运维管理环境管理 资产管理 介质管理 设备管理 监控管理 安全管理中心 网络安全管理 系统安全管理 变更管理 备份恢复管理 事件处置 应急响应物理安全机房位置选择 防火防雷 防水防潮防静电物理访问控制 防盗窃防破坏 温湿度控制 电力供应 电磁防护主机安全身份鉴别 访问控制 安全审

7、计 入侵防范 病毒防护 资源控制 安全标记 剩余信息保护网络安全区域划分 边界防护 访问控制 安全审计 入侵防范 病毒防护 通信保护数据保密性数据完整性备份与恢复应用安全身份鉴别 访问控制 安全审计 通信完整性 通信保密性 软件容错 资源控制 安全标记 剩余信息保护 抗抵赖信息系统安全等级保护基本要求安全技术建设整改安全管理建设整改图1:信息系统安全建设整改主要内容需要说明的是:不同级别信息系统安全建设整改的具体内容应根据信息系统定级时的业务信息安全等级和系统服务安全等级,以及信息系统安全保护现状确 定。信息系统安全建设整改工作具体实施可以根据实际情况,将安全管理和安全 技术整改内容一并实施,

8、或分步实施。1.3工作流程信息系统安全建设整改工作分五步进行。第一步:制定信息系统安全建设整改工作规划,对信息系统安全建设整改工作进行总体部署; 第二步:开展信息系统安全保护现状分析,从管理和技术两个方面确定信息系统安全建设整改需求; 第三步:确定安全保护策略,制定信息系统安全建设整改方案;第四步:开展信 息系统安全建设整改工作,建立并落实安全管理制度,落实安全责任制,建设安 全设施,落实安全措施;第五步:开展安全自查和等级测评,及时发现信息系统 中存在安全隐患和威胁,进一步开展安全建设整改工作。该流程如图2所示。信息系统安全建设整改工作规划和工作部署信息系统安全保护现状分析>确定安全策

9、略,制定安全建设整改方案信息系统安全管理建设信息系统安全技术建设1.4标准应用信息系统安全建设整改工作应依据基本要求,并在不同阶段、针对不同 技术活动参照相应的标准规范进行。等级保护有关标准在信息系统安全建设整改 工作中的作用如图3所示。信息系统安全等级保护定级指南信息系统安全等级保护行业定级细则信息系统安全等级保护测评过程指南Az安全等级信息系统安全等级保护测评要求信息安全等级保护安全建设整改工作hr方法指导基线要求A信息系统安全等级保护实施指南信息系统等级保护安全设计技术要求信息系统安全等级保护基本要求的行业细则信息系统安全等级保护基本要求TT信息系统通用安全 技术要求111111信息系统

10、安全 管理要求4信息系统物理安全9111信息系统安全工程技术要求iI1管理要求1技术类:管理类网络基础安全技术:其他管理类标准I要求其他技术类标准产品类操作系统安全技术要求数据库管理系统安全技术要求网络和终端设备隔离部件技术要求其他产品类标准计算机信息系统安全保护等级划分准则(GB17859图3:等级保护相关标准间的关系需要说明的是,(一)计算机信息系统安全保护等级划分准则 及配套标准 是基本要求的基础。 计算机信息系统安全保护等级划分准则 ( GB17859, 以下简称划分准则)是等级保护的基础性标准,信息系统通用安全技术要求 等技术类标准、信息系统安全管理要求等管理类标准和操作系统安全技术

11、 要求等产品类标准是在划分准则基础上研究制定的。 基本要求以技术 类标准和管理类标准为基础, 根据现有技术发展水平, 从技术和管理两方面提出 并确定了不同安全保护等级信息系统的最低保护要求, 即基线要求。(二)基本 要求是信息系统安全建设整改的依据。 信息系统安全建设整改应以落实 基本 要求为主要目标。信息系统运营使用单位应根据信息系统安全保护等级选择 基 本要求中相应级别的安全保护要求作为信息系统的基本安全需求。 当信息系统 有更高安全需求时,可参考基本要求中较高级别保护要求或信息系统通用 安全技术要求、信息系统安全管理要求 等其他标准。 行业主管部门可以依据 基本要求,结合行业特点和信息系

12、统实际出台行业细则,行业细则的要求应 不低于基本要求。(三)定级指南为定级工作提供指导。 信息系统安全等 级保护定级指南 为信息系统定级工作提供了技术支持。 行业主管部门可以根据 定级指南,结合行业特点和信息系统实际情况,出台本行业的定级细则,保 证行业内信息系统在不同地区等级的一致性, 以指导本行业信息系统定级工作的 开展。(四)测评要求等标准规范等级测评活动。 等级测评是评价信息系统安 全保护状况的重要方法。 信息系统安全等级保护测评要求为等级测评机构开 展等级测评活动提供了测评方法和综合评价方法。 信息系统安全等级保护测评 过程指南对等级测评活动提出规范性要求, 以保证测评结论的准确性和

13、可靠性。 (五)实施指南 等标准指导等级保护建设。信息系统安全等级保护实施指南 是信息系统安全等级保护建设实施的过程控制标准, 用于指导信息系统运营使用 单位了解和掌握信息安全等级保护工作的方法、 主要工作内容以及不同的角色在 不同阶段的作用。信息系统等级保护安全设计技术要求对信息系统安全建设 的技术设计活动提供指导,是实现基本要求的方法之一。1.5 安全保护能力目标 各级信息系统应通过安全建设整改分别达到以下安全保护能力目标: 第一级信息系统:经过安全建设整改,信息系统具有抵御一般性攻击的能力, 防范常见计算机病毒和恶意代码危害的能力; 系统遭到损害后, 具有恢复系统主 要功能的能力。第二级

14、信息系统: 经过安全建设整改, 信息系统具有抵御小规模、 较弱强度 恶意攻击的能力, 抵抗一般的自然灾害的能力, 防范一般性计算机病毒和恶意代 码危害的能力; 具有检测常见的攻击行为, 并对安全事件进行记录的能力; 系统 遭到损害后,具有恢复系统正常运行状态的能力。第三级信息系统: 经过安全建设整改, 信息系统在统一的安全保护策略下具 有抵御大规模、 较强恶意攻击的能力, 抵抗较为严重的自然灾害的能力, 防范计 算机病毒和恶意代码危害的能力; 具有检测、发现、报警、记录入侵行为的能力; 具有对安全事件进行响应处置, 并能够追踪安全责任的能力; 在系统遭到损害后, 具有能够较快恢复正常运行状态的

15、能力; 对于服务保障性要求高的系统, 应能快 速恢复正常运行状态; 具有对系统资源、 用户、安全机制等进行集中控管的能力。第四级信息系统: 经过安全建设整改, 信息系统在统一的安全保护策略下具 有抵御敌对势力有组织的大规模攻击的能力, 抵抗严重的自然灾害的能力, 防范 计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能 力;具有对安全事件进行快速响应处置, 并能够追踪安全责任的能力; 在系统遭 到损害后, 具有能够较快恢复正常运行状态的能力; 对于服务保障性要求高的系 统,应能立即恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中 控管的能力。2 安全管理制度建设

16、按照国家有关规定,依据基本要求 ,参照信息系统安全管理要求等 标准规范要求, 开展信息系统等级保护安全管理制度建设工作。 工作流程见图 4。人员安全管理IIIIIII系统运维管理环境和资产管理设备和介质管理日常运行维护I集中安全管理安全自查和调整系统建设管理图4:信息系统安全管理建设整改工作流程2.1落实信息安全责任制明确领导机构和责任部门,设立或明确信息安全领导机构,明确主管领导,落实责任部门。建立岗位和人员管理制度,根据职责分工,分别设置安全管理机 构和岗位,明确每个岗位的职责与任务,落实安全管理责任制。建立安全教育和 培训制度,对信息系统运维人员、管理人员、使用人员等定期进行培训和考核,

17、 提高相关人员的安全意识和操作水平。 具体依据基本要求中的“安全管理机 构”内容,同时可以参照信息系统安全管理要求等。2.2信息系统安全管理现状分析在开展信息系统安全管理建设整改之前,通过开展信息系统安全管理现状分 析,查找信息系统安全管理建设整改需要解决的问题, 明确信息系统安全管理建 设整改的需求。可以依据基本要求等标准,采取对照检查、 风险评估、等级测评等方法, 分析判断目前所采取的安全管理措施与等级保护标准要求之间的差距, 分析系统 已发生的事件或事故, 分析安全管理方面存在的问题, 形成安全管理建设整改的 需求并论证。2.3 确定安全管理策略,制定安全管理制度根据安全管理需求, 确定

18、安全管理目标和安全策略, 针对信息系统的各类管 理活动,制定人员安全管理制度、系统建设管理制度、系统运维管理制度、定期 检查制度等,规范安全管理人员或操作人员的操作规程等,形成安全管理体系。 具体依据基本要求中的“安全管理制度”内容,同时可以参照信息系统安 全管理要求等。2.4 落实安全管理措施2.4.1 人员安全管理 人员安全管理主要包括人员录用、离岗、考核、教育培训等内容。规范人员 录用、离岗、过程,关键岗位签署保密协议,对各类人员进行安全意识教育、岗 位技能培训和相关安全技术培训, 对关键岗位的人员进行全面、 严格的安全审查 和技能考核。对外部人员允许访问的区域、系统、设备、信息等进行控

19、制。具体 依据基本要求中的“人员安全管理”内容,同时可以参照信息系统安全管 理要求等。2.4.2 系统运维管理2.4.2.1 环境和资产安全管理 明确环境(包括主机房、辅机房、办公环境等)安全管理的责任部门或责任 人,加强对人员出入、来访人员的控制,对有关物理访问、物品进出和环境安全 等方面作出规定。 对重要区域设置门禁控制手段, 或使用视频监控等措施。 明确 资产(包括介质、设备、设施、数据和信息等)安全管理的责任部门或责任人, 对资产进行分类、 标识,编制与信息系统相关的软件资产、 硬件资产等资产清单。 具体依据基本要求中的“系统运维管理”内容,同时可以参照信息系统安 全管理要求等。2.4

20、.2.2 设备和介质安全管理明确配套设施、 软硬件设备管理、 维护的责任部门或责任人, 对信息系统的 各种软硬件设备采购、 发放、领用、维护和维修等过程进行控制, 对介质的存放、 使用、维护和销毁等方面作出规定, 加强对涉外维修、 敏感数据销毁等过程的监 督控制。具体依据基本要求中的“系统运维管理”内容,同时可以参照信 息系统安全管理要求等。2.4.2.3 日常运行维护明确网络、系统日常运行维护的责任部门或责任人, 对运行管理中的日常操 作、账号管理、安全配置、日志管理、补丁升级、口令更新等过程进行控制和管 理,制订相应的管理制度和操作规程并落实执行。 具体依据基本要求中的“系 统运维管理”内

21、容,同时可以参照信息系统安全管理要求等。2.4.2.4 集中安全管理 第三级(含)以上信息系统应按照统一的安全策略、安全管理要求,统一管 理信息系统的安全运行, 进行安全机制的配置与管理, 对设备安全配置、 恶意代 码、补丁升级、安全审计等进行管理,对与安全有关的信息进行汇集与分析,对 安全机制进行集中管理。具体依据基本要求中的“系统运维管理”内容,同 时可以参照信息系统等级保护安全设计技术要求 和信息系统安全管理要求 等。2.4.2.5 事件处置与应急响应按照国家有关标准规定, 确定信息安全事件的等级。 结合信息系统安全保护 等级,制定信息安全事件分级应急处置预案, 明确应急处置策略, 落实

22、应急指挥 部门、执行部门和技术支撑部门,建立应急协调机制。落实安全事件报告制度, 第三级(含)以上信息系统发生较大、重大、特别重大安全事件时,运营使用单 位按照相应预案开展应急处置, 并及时向受理备案的公安机关报告。 组织应急技 术支撑力量和专家队伍, 按照应急预案定期组织开展应急演练。 具体依据 基本 要求中的“系统运维管理” 内容,同时可以参照 信息安全事件分类分级指南 和信息安全事件管理指南等。2.4.2.6 灾难备份 要对第三级(含)以上信息系统采取灾难备份措施,防止重大事故、事件发 生。识别需要定期备份的重要业务信息、 系统数据及软件系统等, 制定数据的备 份策略和恢复策略, 建立备

23、份与恢复管理相关的安全管理制度。 具体依据 基本 要求中的“系统运维管理”内容和信息系统灾难恢复规范 。2.4.2.7 安全监测开展信息系统实时安全监测, 实现对物理环境、 通信线路、主机、网络设备、 用户行为和业务应用等的监测和报警, 及时发现设备故障、 病毒入侵、黑客攻击、 误用和误操作等安全事件, 以便及时对安全事件进行响应与处置。 具体依据 基 本要求中的“系统运维管理” 。2.4.2.8 其他安全管理对系统运行维护过程中的其它活动, 如系统变更、 密码使用等进行控制和管 理。按国家密码管理部门的规定, 对信息系统中密码算法和密钥的使用进行分级 管理。2.5 系统建设管理制定系统建设相

24、关的管理制度, 明确系统定级备案、 方案设计、 产品采购使 用、软件开发、工程实施、验收交付、等级测评、安全服务等内容的管理责任部 门、具体管理内容和控制方法, 并按照管理制度落实各项管理措施。 具体依据基 本要求中的“系统建设管理”内容。2.6 安全自查与调整 制定安全检查制度,明确检查的内容、方式、要求等,检查各项制度、措施 的落实情况,并不断完善。 定期对信息系统安全状况进行自查, 第三级信息系统 每年自查一次, 第四级信息系统每半年自查一次。 经自查, 信息系统安全状况未 达到安全保护等级要求的, 应当进一步开展整改。 具体依据基本要求中的“安 全管理机构”内容,同时可以参照信息系统安

25、全管理要求等。信息系统安全 管理建设整改工作完成后, 安全管理方面的等级测评与安全技术方面的测评工作 一并进行。3 安全技术措施建设按照国家有关规定, 依据基本要求,参照信息系统通用安全技术要求 、 信息系统等级保护安全设计技术要求 等标准规范要求, 开展信息系统安全技 术建设整改工作。工作流程见图 5。信息系统安全保护技术现状分析O O OO3.1信息系统安全保护技术现状分析了解掌握信息系统现状,分析信息系统的安全保护状况,明确信息系统安全 技术建设整改需求,为安全建设整改技术方案设计提供依据。3.1.1信息系统现状分析了解掌握信息系统的数量和等级、所处的网络区域以及信息系统所承载的业 务应

26、用情况,分析信息系统的边界、构成和相互关联情况,分析网络结构、内部 区域、区域边界以及软、硬件资源等。具体可参照信息系统安全等级保护实施 指南中“信息系统分析”的内容。3.1.2 信息系统安全保护技术现状分析 在开展信息系统安全技术建设整改之前, 应通过开展信息系统安全保护技术 现状分析, 查找信息系统安全保护技术建设整改需要解决的问题, 明确信息系统 安全保护技术建设整改的需求。可采取对照检查、风险评估、等级测评等方法, 分析判断目前所采取的安全 技术措施与等级保护标准要求之间的差距, 分析系统已发生的事件或事故, 分析 安全技术方面存在的问题, 形成安全技术建设整改的基本安全需求。 在满足

27、信息 系统安全等级保护基本要求基础上, 可以结合行业特点和信息系统安全保护的特 殊要求,提出特殊安全需求。具体可参照基本要求 、信息系统安全等级保护 测评要求和信息系统安全等级保护测评过程指南等标准。3.1.3 安全需求论证和确定安全需求分析工作完成后, 将信息系统的安全管理需求与安全技术需求综合 形成安全需求报告。组织专家对安全需求进行评审论证。3.2 信息系统安全技术建设整改方案设计在安全需求分析的基础上, 开展信息系统安全建设整改方案设计, 包括总体 设计和详细设计, 制定工程预算和工程实施计划等, 为后续安全建设整改工程实 施提供依据。3.2.1 确定安全技术策略,设计总体技术方案3.

28、2.1.1 确定安全技术策略根据安全需求分析, 确定安全技术策略, 包括业务系统分级策略、 数据信息 分级策略、 区域互连策略和信息流控制策略等, 用以指导系统安全技术体系结构 设计。3.2.1.2 设计总体技术方案 在进行信息系统安全建设整改技术方案设计时, 应以基本要求 为基本目 标,可以针对安全现状分析发现的问题进行加固改造, 缺什么补什么; 也可以进 行总体的安全技术设计, 将不同区域、 不同层面的安全保护措施形成有机的安全 保护体系,落实物理安全、网络安全、主机安全、应用安全和数据安全等方面基 本要求,最大程度发挥安全措施的保护能力。 在进行安全技术设计时, 可参考信 息系统等级保护

29、安全设计技术要求 ,从安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面落实安全保护技术要求。322安全技术方案详细设计3.221 物理安全设计从安全技术设施和安全技术措施两方面对信息系统所涉及到的主机房、辅助机房和办公环境等进行物理安全设计,设计内容包括防震、防雷、防火、防水、 防盗窃、防破坏、温湿度控制、电力供应、电磁防护等方面。物理安全设计是对 采用的安全技术设施或安全技术措施的物理部署、物理尺寸、功能指标、性能指标等内容提出具体设计参数。具体依据基本要求中的“物理安全”内容,同 时可以参照信息系统物理安全技术要求等。3.2.2.2 通信网络安全设计对信息系统所涉及的通信网络,

30、包括骨干网络、城域网络和其他通信网络(租 用线路)等进行安全设计,设计内容包括通信过程数据完整性、数据保密性、保 证通信可靠性的设备和线路冗余、通信网络的网络管理等方面。通信网络安全设计涉及所需采用的安全技术机制或安全技术措施的设计,对技术实现机制、产品形态、具体部署形式、功能指标、性能指标和配置参数等提 出具体设计细节。具体依据基本要求中“网络安全”内容,同时可以参照网 络基础安全技术要求等。3.2.2.3 区域边界安全设计对信息系统所涉及的区域网络边界进行安全设计,内容包括对区域网络的边界保护、区域划分、身份认证、访问控制、安全审计、入侵防范、恶意代码防范 和网络设备自身保护等方面。区域边

31、界安全设计涉及所需采用的安全技术机制或安全技术措施的设计,对技术实现机制、产品形态、具体部署形式、功能指标、性能指标和配置策略和参 数等提出具体设计细节。具体依据基本要求中的“网络安全”内容,同时可 以参照信息系统等级保护安全设计技术要求、网络基础安全技术要求等。3.2.2.4 主机系统安全设计对信息系统涉及到的服务器和工作站进行主机系统安全设计, 内容包括操作 系统或数据库管理系统的选择、安装和安全配置,主机入侵防范、恶意代码防范、 资源使用情况监控等。其中,安全配置细分为身份鉴别、访问控制、安全审计等 方面的配置内容。具体依据基本要求中的“主机安全”内容,同时可以参照 信息系统等级保护安全

32、设计技术要求 、信息系统通用安全技术要求等。3.2.2.5 应用系统安全设计对信息系统涉及到的应用系统软件(含应用 / 中间件平台)进行安全设计, 设计内容包括身份鉴别、访问控制、安全标记、可信路径、安全审计、剩余信息 保护、通信完整性、通信保密性、 抗抵赖、软件容错和资源控制等。 具体依据基 本要求中的“应用安全”内容, 同时可以参照 信息系统等级保护安全设计技 术要求、信息系统通用安全技术要求等。3.2.2.6 备份和恢复安全设计 针对信息系统的业务数据安全和系统服务连续性进行安全设计, 设计内容包 括数据备份系统、 备用基础设施以及相关技术设施。 针对业务数据安全的数据备 份系统可考虑数

33、据备份的范围、 时间间隔、 实现技术与介质以及数据备份线路的 速率以及相关通信设备的规格和要求; 针对信息系统服务连续性的安全设计可考 虑连续性保证方式(设备冗余、系统级冗余直至远程集群支持)与实现细节,包 括相关的基础设施支持、 冗余/集群机制的选择、硬件设备的功能 /性能指标以及 软硬件的部署形式与参数配置等。 具体依据基本要求 中的“数据安全和备份 恢复”内容,同时可以参照信息系统灾难恢复规范等。3.2.3 建设经费预算和工程实施计划3.2.3.1 建设经费预算 根据信息系统的安全建设整改内容提出详细的经费预算, 包括产品名称、 型 号、配置、数量、单价、总价和合计等,同时应包括集成费用

34、、等级测评费用、 服务费用和管理费用等。 对于跨年度的安全建设整改或安全改建, 提供分年度的 经费预算。3.2.3.2 工程实施计划 根据信息系统的安全建设整改内容提出详细的工程实施计划,包括建设内 容、工程组织、阶段划分、项目分解、时间计划和进度安排等。对于跨年度的安 全建设整改或安全改建, 要对安全建设整改方案明确的主要安全建设整改内容进 行适当的项目分解, 比如分解成机房安全改造项目、 网络安全建设整改项目、 系 统平台和应用平台安全建设整改项目等, 分别制定中期和短期的实施计划, 短期 内主要解决目前急迫和关键的问题。3.2.4 方案论证和备案 将信息系统安全建设整改技术方案与安全管理

35、体系规划共同形成安全建设 整改方案。组织专家对安全建设整改方案进行评审论证, 形成评审意见。 第三级 (含)以上信息系统安全建设整改方案应报公安机关备案, 并组织实施安全建设 整改工程。3.3 安全建设整改工程实施和管理3.3.1 工程实施和管理 安全建设整改工程实施的组织管理工作包括落实安全建设整改的责任部门 和人员,保证建设资金足额到位, 选择符合要求的安全建设整改服务商, 采购符 合要求的信息安全产品,管理和控制安全功能开发、集成过程的质量等方面。按照信息系统安全工程管理要求 中有关资格保障和组织保障等要求组织 管理等级保护安全建设整改工程。 实施流程管理、 进度规划控制和工程质量控制

36、可参照信息系统安全工程管理要求中第 8、9、10 章提出的工程实施、项目 实施和安全工程流程控制要求,实现相应等级的工程目标和要求。3.3.2 工程监理和验收为保证建设工程的安全和质量, 第二级(含) 以上信息系统安全建设整改工 程可以实施监理。 监理内容包括对工程实施前期安全性、 采购外包安全性、 工程 实施过程安全性、系统环境安全性等方面的核查。工程验收的内容包括全面检验工程项目所实现的安全功能、 设备部署、 安全 配置等是否满足设计要求, 工程施工质量是否达到预期指标, 工程档案资料是否 齐全等方面。 在通过安全测评或测试的基础上, 组织相应信息安全专家进行工程 验收。具体参照信息系统安

37、全工程管理要求 。3.3.3 安全等级测评 信息系统安全建设整改完成后要进行等级测评, 在工程预算中应当包括等级 测评费用。对第三级(含)以上信息系统每年要进行等级测评,并对测评费用做 出预算。在公安部备案的信息系统, 备案单位应选择国家信息安全等级保护工作协调 小组办公室推荐的等级测评机构实施等级测评;在省(区、市) 、地市级公安机 关备案的信息系统,备案单位应选择本省(区、市)信息安全等级保护工作协调 小组办公室或国家信息安全等级保护工作协调小组办公室推荐的等级测评机构 实施等级测评。附录:信息安全等级保护主要标准简要说明为推动我国信息安全等级保护工作的开展, 十多年来,在公安部的领导和支

38、 持下,在国内有关专家、企业的共同努力下,全国信息安全标准化技术委员会和 公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要 的一系列标准,形成了比较完整的信息安全等级保护标准体系,为开展信息安全等级保护工作奠定了基础。为便于各有关单位全面、准确了解掌握信息安全等级保护有关标准,更好地 指导等级保护工作,在总结近年来等级保护工作实践基础上, 公安部组织专家和 标准起草单位编写了信息安全等级保护主要标准简要说明,第一部分梳理了与等级保护工作相关的标准,第二部分从标准的主要用途、主要内容和使用说明三方 面进行阐述,供有关单位和部门在工作中参考。1 信息安全等级保护相关标准体系 信

39、息安全等级保护相关标准大致可以分为四类: 基础类、应用类、 产品类和 其他类。1.1 基础类标准计算机信息系统安全保护等级划分准则 ( GB17859-1999)信息系统安全等级保护基本要求GB/T 22239-2008)。1.2 应用类标准1.2.1 信息系统定级信息系统安全保护等级定级指南 (GB/T 22240-2008)1.2.2 等级保护实施信安字 200710 号)信息系统安全等级保护实施指南1.2.3 信息系统安全建设信息系统通用安全技术要求 (GB/T 20271-2006 ) 信息系统等级保护安全设计技术要求 (信安秘字 2009059 号) 信息系统安全管理要求 (GB/T

40、 20269-2006 ) 信息系统安全工程管理要求 (GB/T 20282-2006 ) 信息系统物理安全技术要求 (GB/T 21052-2007 ) 网络基础安全技术要求 (GB/T 20270-2006 )信息系统安全等级保护体系框架 (GA/T 708-2007)信息系统安全等级保护基本模型GA/T 709-2007 )信息系统安全等级保护基本配置GA/T 710-2007 )1.2.4 等级测评信息系统安全等级保护测评要求 (报批稿) 信息系统安全等级保护测评过程指南 (报批稿) 信息系统安全管理测评 (GA/T 713-2007 )1.3 产品类标准1.3.1 操作系统操作系统安

41、全技术要求 (GB/T 20272-2006 )操作系统安全评估准则 (GB/T 20008-2005 )数据库数据库管理系统安全技术要求GB/T 20273-2006 )数据库管理系统安全评估准则GB/T 20009-2005 )1.3.2 网络网络端设备隔离部件技术要求GB/T 20279-2006 )网络端设备隔离部件测试评价方法 (GB/T 20277-2006 )网络脆弱性扫描产品技术要求 (GB/T 20278-2006 ) 网络脆弱性扫描产品测试评价方法 (GB/T 20280-2006 )网络交换机安全技术要求 (GA/T 684-2007)虚拟专用网安全技术要求 (GA/T

42、686-2007)1.3.3 PKI公钥基础设施安全技术要求 (GA/T 687-2007 )PKI 系统安全等级保护技术要求 (GB/T 21053-2007 )1.3.4 网关 网关安全技术要求 ( GA/T 681-2007)1.3.5 服务器 服务器安全技术要求 (GB/T 21028-2007)1.3.6 入侵检测入侵检测系统技术要求和检测方法 (GB/T 20275-2006 ) 计算机网络入侵分级要求 (GA/T 700-2007)1.3.7 防火墙防火墙安全技术要求 (GA/T 683-2007 ) 防火墙技术测评方法 (报批稿) 信息系统安全等级保护防火墙安全配置指南 (报批

43、稿) 防火墙技术要求和测评方法 (GB/T 20281-2006 ) 包过滤防火墙评估准则 (GB/T 20010-2005 )1.3.8 路由器路由器安全技术要求 (GB/T 18018-2007 ) 路由器安全评估准则 (GB/T 20011-2005 ) 路由器安全测评要求 (GA/T 682-2007 )1.3.9 交换机网络交换机安全技术要求 ( GB/T 21050-2007) 交换机安全测评要求 (GA/T 685-2007 )1.3.10 其他产品终端计算机系统安全等级技术要求 (GA/T 671-2006 ) 终端计算机系统测评方法 (GA/T 671-2006) 审计产品技

44、术要求和测评方法 (GB/T 20945-2006 ) 虹膜特征识别技术要求 (GB/T 20979-2007 ) 虚拟专网安全技术要求 (GA/T 686-2007 ) 应用软件系统安全等级保护通用技术指南 (GA/T 711-2007) 应用软件系统安全等级保护通用测试指南 (GA/T 712-2007) 网络和终端设备隔离部件测试评价方法 (GB/T 20277-2006) 网络脆弱性扫描产品测评方法 (GB/T 20280-2006 )1.4 其他类标准1.4.1 风险评估信息安全风险评估规范 (GB/T 20984-2007 )1.4.2 事件管理信息安全事件管理指南 (GB/Z 2

45、0985-2007 ) 信息安全事件分类分级指南 (GB/Z 20986-2007) 信息系统灾难恢复规范 (GB/T 20988-2007 ) 各类标准在等级保护各工作环节中的关系如图 1 所示:图 1:信息安全等级保护相关标准体系2 信息安全等级保护主要标准简要说明 现将信息安全等级保护标准体系中比较重要的 计算机信息系统安全保护等 级划分准则、信息系统安全等级保护基本要求 、信息系统安全等级保护实施 指南、信息系统安全等级保护定级指南 、信息系统安全管理要求 、信息系 统通用安全技术要求 、信息系统等级保护安全设计技术要求 、信息系统安全 工程管理要求、信息系统安全等级保护测评要求 、信

46、息系统安全等级保护测 评过程指南等十个标准作一简要说明。2.1 计算机信息系统安全保护等级划分准则 (GB17859-1999)2.1.1 主要用途 本标准对计算机信息系统的安全保护能力划分了五个等级, 并明确了各个保 护级别的技术保护措施要求。本标准是国家强制性技术规范,其主要用途包括: 一是用于规范和指导计算机信息系统安全保护有关标准的制定; 二是为安全产品 的研究开发提供技术支持; 三是为计算机信息系统安全法规的制定和执法部门的 监督检查提供依据。2.1.2 主要内容本标准界定了计算机信息系统的基本概念: 计算机信息系统是由计算机及其 相关的和配套的设备、设施(含网络)构成的、按照一定的

47、应用目标和规则对信 息进行采集、加工、存储、传输、检索等处理的人机系统。信息系统安全保护能力五级划分。 信息系统按照安全保护能力划分为五个等 级:第一级用户自主保护级,第二级系统审计保护级,第三级安全标记保护级, 第四级结构化保护级,第五级访问验证保护级。从自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据 完整性、隐蔽信道分析、可信路径、可信恢复等十个方面,采取逐级增强的方式 提出了计算机信息系统的安全保护技术要求。2.1.3 使用说明本标准是等级保护的基础性标准, 其提出的某些安全保护技术要求受限于当 前技术水平尚难以实现, 但其构造的安全保护体系应随着科学技术的发展逐步落

48、实。2.2 信息系统安全等级保护基本要求 (GB/T22239-2008)2.2.1 主要用途根据信息安全等级保护管理办法 的规定, 信息系统按照重要性和被破坏 后对国家安全、 社会秩序、 公共利益的危害性分为五个安全保护等级。 不同安全 保护等级的信息系统有着不同的安全需求, 为此,针对不同等级的信息系统提出 了相应的基本安全保护要求, 各个级别信息系统的安全保护要求构成了 信息系 统安全等级保护基本要求 (以下简称基本要求 )。基本要求以计算机信 息系统安全保护等级划分准则(GB17859-1999为基础研究制定,提出了各级 信息系统应当具备的安全保护能力,并从技术和管理两方面提出了相应的

49、措施, 为信息系统建设单位和运营使用单位在系统安全建设中提供参照。2.2.2 主要内容2.2.2.1 总体框架基本要求 分为基本技术要求和基本管理要求两大类, 其中技术要求又分 为物理安全、 网络安全、主机安全、应用安全、数据安全及其备份恢复五个方面, 管理要求又分为安全管理制度、 安全管理机构、 人员安全管理、 系统建设管理和 系统运行维护管理五个方面。技术要求主要包括身份鉴别、自主访问控制、强制访问控制、安全审计、完 整性和保密性保护、边界防护、恶意代码防范、密码技术应用等,以及物理环境 和设施安全保护要求。管理要求主要包括确定安全策略, 落实信息安全责任制, 建立安全组织机构, 加强人员

50、管理、 系统建设和运行维护的安全管理。 提出了机房安全管理、 网络安 全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息 安全管理、用户管理、安全监测、备份与恢复管理、应急处置管理、密码管理、 安全审计管理等基本安全管理制度要求, 提出了建立岗位和人员管理制度、 安全 教育培训制度、安全建设整改的监理制度、自行检查制度等要求。2.2.2.2 保护要求的分级方法由于信息系统分为五个安全保护等级, 其安全保护能力逐级增高, 相应的安 全保护要求和措施逐级增强, 体现在两个方面: 一是随着信息系统安全级别提高, 安全要求的项数增加; 二是随着信息系统安全级别的提高, 同一项安全要

51、求的强 度有所增加。 例如,三级信息系统基本要求是在二级基本要求的基础上, 在技术 方面增加了网络恶意代码防范、剩余信息保护、抗抵赖等三项要求。同时,对身 份鉴别、访问控制、 安全审计、数据完整性及保密性方面的要求在强度上有所增 加;在管理方面增加了监控管理和安全管理中心等两项要求, 同时对安全管理制 度评审、人员安全和系统建设过程管理提出了进一步要求。 安全要求的项数和强 度的不同,综合体现出不同等级信息系统安全要求的级差。2.2.2.3 保护措施分类 技术类安全要求与信息系统提供的技术安全机制有关, 主要通过在信息系统 中部署软硬件并正确配置其安全功能来实现。 根据保护侧重点的不同, 技术

52、类安 全要求进一步细分为信息安全类要求(简记为 S)、服务保证类要求(简记为 A) 和通用安全保护类要求(简记为 G)。信息安全类要求是指保护数据在存储、传 输、处理过程中不被泄漏、 破坏和免受未授权的修改; 服务保证类要求是指保护 系统连续正常的运行, 免受对系统的未授权修改、 破坏而导致系统不可用。 管理 类安全要求与信息系统中各种角色参与的活动有关, 主要通过控制各种角色的活 动,从政策、制度、规范、流程以及记录等方面做出规定来实现。2.2.3 使用说明基本要求 对第一级信息系统的基本要求仅供用户参考, 按照自主保护的 原则采取必要的安全技术和管理措施。用户在进行信息系统安全建设整改时,可以在基本要求基础上,根据行 业和系统实际,提出特殊安全要求,开展安全建设整改。基本要求 给出了各级信息系统每一保护方面需达到的要求, 不是具体的 安全建设整改方案或作业指导书, 所以,实现基本要求的措施或方式并不局限于 基本要求 给出的内容,要结合系统自身的特点综合考虑采取的措施来达到基 本要求提出的保护能力。基本要求 中不包含安全设计和工程实施等内容, 因此,在系统安全建设 整改中,可以参照 信息系统安全等级保护实施指南 、信息系统等级保护安全 设计技术要求和信息系统安全工程管理要求进行。 基本要求是信息系 统安全建设整改的目标, 信息系统等级保护安全设

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论