信息安全等级保护(精编文档).doc

1、【最新整理，下载后即可编辑】1 .信息安全等级保护信息安全等级保护是对信息和信息载体按照重要性等级分 级别进行保护的一种工作，在中国、美国等很多国家都存在的一 种信息安全领域的工作。在中国，信息安全等级保护广义上为涉 及到该工作的标准、产品、系统、信息等均依据等级保护思想的 安全工作；狭义上称为的一般指信息系统安全等级保护，是指对 国家安全、法人和其他组织及公民的专有信息以及公开信息和存 储、传输、处理这些信息的信息系统分等级实行安全保护，对信 息系统中使用的信息安全产品实行按等级管理，对信息系统中发 生的信息安全事件分等级响应、处置的综合性工作。国家通过制定统一的信息安全等级保护管理规范和技

2、术标 准，组织公民、法人和其他组织对信息系统分等级实行安全保护, 对等级保护工作的实施进行监督、管理。公安机关负责信息安全等级保护工作的监督、检查、指导。 国家保密工作部门负责等级保护工作中有关保密工作的监督、检 查、指导。国家密码管理部门负责等级保护工作中有关密码工作 的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有 关职能部门依照国家法律法规的规定进行管理。国务院信息化工 作办公室及地方信息化领导小组办事机构负责等级保护工作的【最新整理，下载后即可编辑】部门间协调。2 .信息安全等级保护工作内容信息安全等级保护工作包括定级、备案、安全建设和整改、 信息安全等级测评、信息安全检查五个

3、阶段。如图1所示为具体 流程。系统定级。信息系统运营使用单位按照信息系统信 息安全等级保护定级指南,确定信息系统安全等级。 有主管部门的，报主管部门审核批准在申报系统新 建、改建、扩建立项时须用时向立项审批部门提交定系统备案。己运行的系统在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上 公安机关办理备案手续。新建的系统，在通过立项申.不准分析安全需求.对照等保有关规定和标准分析系统安全建设整改需求，可委托安全服务机构、等保技术支持单位分析.对于整改项目,蹄改需求。j/： 口灰.M川：亚 hl Hi：亚 51!/卜：、12/1 4内，,7米/上二建设整改.根据需求制订建设整

4、改方案，按照国家相关规范和技术标准，使用符合国家有关规定，满足系【最新整理，卜不统等级需求产品，开展信息系统安全建设整改。提交报告。系统运鼠至X雨地级以上市公安机 关报测评报告。项目验收产档中也须含有测评报告。【最新整理，下载后即可编辑】国家信息安全等级保护坚持自主定级、自主保护的原则。信 息系统的安全保护等级应当根据信息系统在国家安全、经济建设、 社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会 秩序、公共利益以及公民、法人和其他组织的合法权益的危害程 度等因素确定。信息安全等级保护信息安全等级保护管理办法规定：信 息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公

5、民、法人和其他组织 的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织 的合法权益产生严重损害，或者对社会秩序和公共利益造成损害, 但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造 成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造 成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重 损害。计算机信息系统安全保护等级划分：第一级：用户自主保护级第二级：系统审计保护级第三级：安全标记保护级第四级：结构化保护级第五级：访问验证保护级3

6、.信息安全等级保护测评基本概念信息系统安全等级测评是验证信息系统是否满足相应安全 保护等级的评估过程。3.1 等级测评工作等级测评工作是指测评机构依据国家信息安全等级保护制 度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息 系统安全等级保护状况进行检测评估的活动。通过信息安全等级评测机构对已完成的等级保护建设的信 息系统定期进行等级测评，确保信息系统的安全保护措施符合相 应等级的安全要求。3.2 等级测评机构等级测评机构是指具备本规范的基本条件，经能力评估和审 核，由省级以上信息安全等级保护工作协调小组办公室（等保办） 推荐，从事等级测评工作的机构。/等级保护测评的执行主体应当是具有相

7、关资质的、独立的 测评服务机构。/只有独立的第三方，才能保证测评工作的客观性和公正性。/开展等级保护测评机构通常符合GB/T15481,通过计量认 证和实验室认可。/通过检查机构认可。3.3 等级保护测评流程1）资料审查阶段：对被测用户提交的申请，进行文档的形式化 审查，确认符合测评要求。2）核查测试阶段：用户进行充分沟通，指定测评计划和测试方 案，并实施现场测评，形成测评记录。3）综合评估阶段：整理测评数据，对用户资料和测评结果进行 综合分析，形成测评报告。召开专家委员会，对测评报告进行评 审，最后由测评中心领导批准，出具等级保护测评报告。具体流程如图2所示。等级测评项目启动信息收集与分析工

8、具和表单准备测评对象确定测评指标确定恻评内容确定工具测试方法确定测评指导书开发测评方案编制现活动现场测评准备现场测评和结果记录结果确认和资料归还单项测评结果判定 单元测评结果判定整体测评 风险分析等级测评结论形成测评报告编制测评准备活动的主要任务包括：项目启动、信息收集和分析、 工具和表单准备。这三项任务之间存在工作的先后次序，项目启 动任务完成之后才能开始信息收集和分析任务。可采用如图3所 示的工作流程：1.项目启动， 11建测评项目组。 编制.11页目计划I书 确定测评委托单位 应提供的贡料7查阅定级报告、系 统描述文件、系统 安全设计方案、自 查或上次等级测评 报告（如果做过资 产或等级

9、测评）等 资料赢据查阅到的系统 怙况调整调查表内 容 发放调查表洽测评 委托单位， 协助测评委托单位 填写调查表， 收回调查结果, 根据情况确定是否 安排现场调查分析调查结果。3.工具和表单漉备3 调试测评工具“模拟被测系统搭 建冽评环境。 模拟测评 准备和打印表单3.2.2方案编制活动方案编制活动的主要任务包括：测评对象确定、测评指标确 定、测评内容确定、工具测试方法确定、测评指导书开发及测评 方案编制。其中，测评对象确定与测评指标确定两项任务可以并 行实施，其他四项任务之间存在工作的先后次序，测评内容确定 任务完成之后才能开始后续任务。这六项任务可采用如图4所示 的工作流程： 识别减嵯统等

10、级 识别被剜系统的整体结 构 识别被测系统的边界 识别被测系统的网络区 域 ，别被则系统的重要节 点和11务应用 确定双牌对象1 训曲解i.识别被列系统业务信息 和系统服务安全保护等 级唐择对应等级的ASG三 类安全要求作为测评指 标就高原则调整多个定级 对象共用的某些物理安 全或管理安全则评指标2,则评内容识别每个 则评对象 对应的测 评指标识别每个 测评对象 又寸应的每 个测评指 标的测评 方法3.工具厮肪确定工具则 试的则评对 象选择测试路 径确定剜试工具的的人点4 .则明踞书 联从已有的则 评指导书中 选择与则评 对象对应的 手册针对没有现 成测评指导 书的测评对 象，开发新的 刎评指

11、导书5 .刎评方案扁 制 描述则评项 目基本情况 和工作依据 描述被刑系 统的整体结 构、边畀和 网络区域 描述被测系 统的重要节 点和业务面 用 描述刎评指 标 描述测评对 象 描述则评内 容和方法3.2.3现场测评活动现场测评活动的主要任务包括：现场测评准备、现场测评和 结果记录、结果确认和资料归还。这三项任务之间存在工作的先 后次序，现场测评准备任务完成之后才能开始后续任务。可采用 如图5所示的工作流程：【最新整理，下载后即可编辑】3.3.2测评要求1.现场例评准备J 现场测评授权书签 署白 召开现场测评启动 会, J方确认测评方案 双方确认配合人 员、环境等资源 确认信息系统已经 测评

12、方案、结果记 录表格等资料更新山2 .现场测评和结果记 录y 依据测评指导书.实 施测评3 记录测评获取的证 据、资料等信息 汇总测评记录,如 果需要，实施补充 测评。3.结果确认削资料&召开现场测评结 束会测评委托单位确 认测评过程中获 取的证据和资料 的正确性，并签字 认皿测评人员归还借 阅的各种资料“324报告编制活动报告编制活动的主要任务包括：单项测评结果判定、单元测 评结果判定、整体测评、风险分析、等级测评结论形成及测评报 告编制。这六项任务之间存在工作的先后次序，单项测评结果判 定任务完成之后才能开始后续任务。3.4 等级保护测评方法3.4.1 测评方法测评采用访谈、检查和测试三种

13、方法，测评对象是测评实施 过程中涉及到的信息系统的构成成份，包括人员、文档、机制、 软件、设备。测评的层面涉及物理安全、网络安全、主机安全、 应用系统安全、数据安全以及安全管理。/使用测评表进行具体检查时，首先按询问、查验、检测等工 作方式将所有检查项目分类。/所有以询问方式检查的项目，在与有关人员的谈话或会议上 进行。/所有以查验方式检查的项目，将需要的文档清单在检查现场 提交给被检查方，请被检查方当前提供并进行查验。/所有需要以检测方式检查的项目，按检测部门或设备分类后, 根据具体情况选择检测顺序。333方法要求/ “访谈”方法：目的是了解信息系统的全局性。范围一般不 覆盖所有要求内容。/

14、 “检查”方法：目的是确认信息系统当前具体安全机制和运 行的配置是否符合要求。范围一般要覆盖所有要求内容。/ “测试”方法：目的是验证信息系统安全机制有效性和安全 强度。范围不覆盖所有要求内容。3.4.4 管理要求/对人员方面的要求，重点通过“访谈”的方式来测评，检查 为辅。【最新整理，下载后即可编辑】/对过程方面的要求，通过“访谈”和“检查”的方式来测评。/对规范方面的要求，以“检查”文档为主，“访谈”为辅。3.5 等级保护测评中的角色和职责关系角色与职责关系如图6所示。图6/信息安全服务机构：协助信息系统运营、使用单位完成等级 保护的相关工作，包括确定其信息系统的安全保护等级、进 行安全需

15、求分析、安全总体规划、实施安全建设和安全改造 等。/信息安全产品供应商：开发符合等级保护相关要求的信息安 全产品，接受安全测评，按照等级保护相关要求销售信息安 全产品并提供相关服务。/应用软件开发机构：将安全控制要求与应用软件结合，负责 软件开发。/信息安全等级测评机构：协助信息系统运营、使用单位或国 家管理部门，按照国家信息安全等级保护的管理规范和技术 标准，对已经完成等级保护建设的信息系统进行测评；对信息安全产品供应商提供的信息安全产品进行安全测评。3.6 等级保护测评工作实施步骤3.6.1 首次会议/参加人员：主管领导、技术人员、测评机构人员/被测评机构工作汇报3.6.2 测评实施被测评单位派人负责测评过程联络和协助。3.6.3 末次会议/参加人员：主管领导、技术人员、测评机构人员/测评机构进行测试情况汇报3.7 等级保护测评项目组的构成/组长职责：管理测评过程、主持编制测评计划、主持设计测 评方案、负责访谈、检查、组织分析测评结果、主持编制测评总 结报