等级保护技术标准简介

等级保护技术标准简介

朱建平

公安部信息安全等级保护评估中心

2005年7月报告内容第一部分、总体情况介绍第二部分、有关标准编制内容介绍总体情况介绍机构背景等级保护标准制修订背景总体情况介绍----机构背景公安部第三研究所公安部计算机信息系统安全产品质量监督检验中心公安部信息安全产品检测中心公安部信息安全等级保护评估中心总体情况介绍----等级保护标准制修订背景

1994年，《中华人民共和国计算机信息系统安全保护条例》的发布

1999年，《计算机信息系统安全保护等级划分准则》GB17859-1999发布

2001年，国家发改委“计算机信息系统安全保护等级评估体系及互联网络电子身份管理与安全保护平台建设项目”（1110）工程实施

2003年，中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》

2004年，四部委联合签发了《关于信息安全等级保护工作的实施意见》总体情况介绍----等级保护标准制修订背景安全控制定级指南过程方法确定系统等级启动采购/开发实施运行/维护废弃确定安全需求设计安全方案安全建设安全测评监督管理运行维护暂不考虑特殊需求等级需求基本要求产品使用选型监督管理测评准则流程方法监管流程应急预案应急响应有关标准编制内容介绍定级指南基本要求实施指南定级指南标准编制

情况介绍定级指南标准编制情况介绍背景介绍等级确定的原则决定等级的主要因素分析等级确定方法等级划分流程背景介绍与系统等级相关的国外资料：FIPS199（美国联邦政府）根据信息系统所处理信息的机密性、完整性和可用性被破坏的影响确定。IATF（NSA）根据信息价值与威胁确定系统强健度等级。DITSCAP（DOD）根据互联模式、处理模式、业务依赖、三性、不可否认性等七个方面确定系统认证级。背景介绍绍上述定级级方法存存在问题题仅由信息息重要性性确定信信息系统统的等级级，对大大型企业业和重点点行业的的重要业业务系统统不合适适。在通过三性影影响分析，并并根据三者取取高的方法中中，无法为可可用性要求高高和保密性要要求高两类系系统提出统一一的技术要求求。确定系统等级级，与业务无无关，不满足足等级保护的的监管需要。。定级范围往往往只在局部范范围内。等级确定的原原则全局性原则信息系统安全全等级保护是是针对全国范范围内、涵盖盖各个行业信信息系统的管管理制度，信信息系统安全全保护等级的的划分也必须须从国家层面面考虑，体现现全局性。业务为核心原原则信息系统是为为业务应用服服务的，信息息系统的安全全保护等级应应当依据信息息系统承载业业务的重要性性、业务对信信息系统的依依赖度和系统统特殊的安全全需求确定。。等级确定的原原则满足监管要求求原则信息系统安全全保护等级既既不是信息系系统安全保障障等级，也不不是信息系统统所能达到的的技术能力等等级，而是从从安全监管需需要，从信息息系统对国家家安全、经济济建设、公共共利益等方面面的重要性，，以及信息或或信息系统被被破坏后造成成危害的严重重性角度确定定的信息系统统应达到的安安全等级。合理性原则不同于信息安安全产品，信信息系统千差差万别，各具具特色，只有有在划分安全全保护等级的的过程中，尽尽可能反映出出信息系统的的主要安全特特征，合理划划分等级，才才能做到突出出重点，适度度保护。决定等级的主主要因素分析析从目前的资料料上看，已在在不同分级方方法中出现的的作为划分信信息系统安全全等级的因素素主要包括：：单位业务在国国家事务中的的重要性（实施意见））；资产（包括有形资资产和无形资资产）（FIPS199，IATF，DITSCAP，NIST800-37）；威胁（IATF）；信息被破坏后后对国家、社社会公共利益益和单位或个个人的影响（FIPS199，通用要求，，实施指南））；单位业务对信信息系统的依依赖程度（DITSCAP）决定等级的主主要因素分析析经分析，除排排除威胁因素素外，划分等等级时应考虑虑以下因素：：信息系统所属属类型，即信信息系统的安安全利益主体体。信息系统主要要处理的业务务数据类别。。信息系统服务务范围，包括括服务对象和和服务网络覆覆盖范围。业务处理的自自动化程度，，或以手工作作业替代信息息系统处理业业务的程度。。决定等级的主主要因素分析析信息系统所属属类型业务数据类别别信息系统服务务范围业务处理的自自动化程度业务重要性业务数据安安全性业务处理连连续性业务依赖性性决定等级的的主要因素素分析业务数据安安全性业务处理连连续性信息系统安安全保护等等级等级确定方方法具体步骤：：通过对信息息系统类型型和业务数数据类型赋赋值，确定定信息系统统的业务数数据安全性性等级；通过对信息息系统服务务范围和业业务处理自自动化程度度赋值，确确定信息系系统的业务务处理连续续性等级；；通过业务数数据安全性性等级和业业务处理连连续性等级级确定信息息系统安全全保护等级级。等级调整信息系统类类型赋值信息系统所所属类型赋赋值表信息系统所属类型赋值信息系统的社会影响1信息系统受到破坏会对单位利益有直接影响2信息系统受到破坏会对公共利益有直接影响，或对国家安全利益有间接影响3信息系统受到破坏会对国家安全利益有直接影响信息系统类类型举例典型的信息息系统所属属类型信息系统所属类型赋值信息系统所属类型1属于一般企事业单位，处理其内部事务的信息系统2属于重要行业、重要领域和国家基础设施，为国计民生、经济建设等提供重要服务的信息系统3属于党政机关，处理国家事务的信息系统确定业务数数据安全性性业务数据安安全性等级级矩阵业务数据类型信息系统类型12311222233344确定信息系系统安全保保护等级信息系统的的安全保护护等级由业业务数据安安全性等级级和业务处处理连续性性等级较高高者决定。。组合形式信息系统安安全保护等等级对应的的业务数据据安全性要要求级别（（Sx）和业务处处理连续性性要求级别别(Cy)的组合。系统保护安全等级各种组合（Sx，Cy）第一级（S1，C1）第二级（S1，C2）,（S2，C2）,（S2，C1）第三级（S1，C3）,（S2，C3）,（S3，C3）,（S3，C2）,（S3，C1）第四级（S1，C4）,（S2，C4）,（S3，C4）,（S4，C4）,（S4，C3）,（S4，C2）,（S4，C1）等级划分流流程划分信息系系统/子系统分析承载的的业务重要要性和依赖赖度确定信息系系统/子系统安全全保护等级级调整信息系系统/子系统安全全保护等级级基本要求标标准编制情情况介绍绍基本要求标标准编制的的主要思路路根据6号文件描述述的5个监管等级级对象，确确定保护对对象；根据保护对对象所可能能面临的威威胁，确定定系统的整整体保护能能力；根据所应具具有的整体体保护能力力，确定系系统的安全全目标；提出满足安安全目标的的安全要求求。5个监管等级级对象第一级：信信息系统所所承载业务务涉及公民民、法人和和其他组织织的权益，，受到破坏坏后对公民民、法人和和其他组织织的权益造造成一定损损害；该业业务的开展展在一定程程度上依托托于信息系系统，系统统受到破坏坏后对业务务正常开展展产生一定定影响。第二级：信信息系统所所承载的业业务直接关关系到公民民、法人和和其他组织织的权益，，受到破坏坏后会对公公民、法人人和其他组组织的权益益造成严重重损害；该该业务的开开展主要依依托于信息息系统，系系统受到破破坏后影响响业务正常常开展。第三级级：信信息系系统所所承载载的业业务涉涉及国国家、、社会会和公公共利利益，，受到到破坏坏后会会对国国家、、社会会和公公共利利益造造成损损害的的；该该业务务的开开展主主要依依托于于信息息系统统，系系统受受到破破坏后后影响响业务务正常常开展展。5个监管管等级级对象象第四级级：信信息系系统所所承载载的业业务直直接关关系到到国家家、社社会和和公共共利益益，受受到破破坏后后会对对国家家、社社会和和公共共利益益造成成严重重损害害的；；该业业务的的开展展完全全依托托于信信息系系统，，系统统受到到破坏坏后业业务无无法开开展。。第五级级：信信息系系统所所承载载的业业务受受到破破坏后后，会会直接接对国国家安安全造造成严严重损损害。。整体保保护能能力各级系系统应应对威威胁的的能力力是不不同的的，即即能够够对抗抗系统统面临临的威威胁的的程度度以及及在遭遭到威威胁破破坏后后，系系统能能够恢恢复之之前的的各种种状态态的能能力是是不同同的。。系统的的整体体保护护能力力就是是由威威胁对对抗能能力和和恢复复能力力的组组合而而成。。整体保保护能能力--威胁分分类整体保保护能能力--威胁分分级描描述不同级级别对对抗的的威胁胁的种种类不不同对于同类类威胁，，不同级级别对抗抗的具体体威胁的的破坏能能力也不不同。安全目标标每一级的的安全目目标与威威胁之间间存在对对应关系系，每个个威胁至至少被一一个安全全目标所所覆盖；；反过来来，每个个安全目目标至少少覆盖一一个威胁胁。一级具有有15个技术目目标，16个管理目目标；二二级具有有29个技术目目标，25个管理目目标；三三级具有有36个技术目目标，27个管理目目标；四四级具有有41个技术目目标，28个管理目目标。安全要求求的选择择信息系统统的安全全要求包包括安全全技术要要求和安安全管理理要求两两类。根据信息息系统的的业务数数据安全全性等级级（S）和业务务处理连连续性等等级（C），分别别选择S类技术要要求、C类技术要要求和G类技术要要求。信息系统统的安全全等级与与技术要要求组合合是一对对多的关关系。安全要求求等级区区别安全要求求的增加加安全要求求的增强强安全技术术要求的的组成安全技术术要求-物理安全技术术要求-网络安全技术术要求-主机安全技术术要求-应用安全技术术要求-数据安全管理理要求管理部分分形成的的基本思思路系统规划管理机构和人员政策和制度系统设计管理系统实施管理系统运维管理系统废弃管理信息系统生命周期检查和监督管理指导限制执行监督管理部分分的覆盖盖范围信息系统统的生命命周期系统规划划(定级\规划等)系统设计计(设计\开发\采购等)系统实施施(安装\配置\测试等)系统运维维系统废弃弃管理人员员管理制度度组织的使使命\目标\战略\政策系统变更管理机构不同级别之间间的区别管理活动控制制点的增加每个控制点具具体管理要求求的增多管理活动的能能力逐步加强强借鉴能力成熟熟度模型（CMM）一级非非正式执行二级计计划和跟踪三级良良好定义四级持持续改进安全管理机构构岗位设置人员配备授权和审批沟通和合作审核和检查安全管理制度度管理制度制定和发布评审和修订安全管理人员员人员录用人员离岗人员考核安全意识教育育和培训第三方人员管管理系统建设管理理系统定级安全风险评估估安全方案设计计产品采购自行开发设计计外包开发设计计工程实施测试验收系统交付安全测评系统备案安全服务商选选择系统运维管理理环境管理资产管理介质管理设备使用管理理运行维护和监监控管理网络安全管理理系统安全管理理恶意代码防护护管理密码管理变更管理备份和恢复管管理安全事件处置置应急计划管理理实施指南标准准编制

情况况介绍实施指南标准准编制目标《实施指南》作为一个对信信息系统实施施等级保护的的指南性文件件，其目标是是介绍和描述述实施信息系系统等级保护护过程中应该该涉及的阶段和从事的的活动，包括：活动的内容和和控制方法；；活动的主要参参与者；活动中将要使使用的等级保保护相关标准准；活动的主要工工作产品等通过过程和活活动的介绍，，使读者了解解和知晓对信信息系统实施施等级保护的的方法，不同同的角色在不不同阶段的作作用等等。实施指南标准准编制的主要要思路以信息系统等等级保护建设设为主要线索索定义信息系统统等级保护实实施的生命周周期对每个阶段介介绍和描述主主要的实施活活动对每个活动说说明实施主体体、主要内容容和输入输出出实施指南内容容介绍---角色和职责信息系统等级级保护的实施施过程中涉及及到各类组织织和人员，他他们将会参与与不同的或相相同的活动，，比如信息系系统的主管单单位和信息系系统的运营单单位将参与系系统定级活动动，如果委托托安全服务商商进行定级，，则安全服务务商也会参与与定级活动；；又如信息系系统的运营单单位可以自己己完成风险分分析活动，也也可以委托安安全服务商完完成风险分析析活动。实施指南内容容介绍---角色和职责本指南将面临临的使用对象象将是：信息系统的主主管单位；运营单位；建设单位；安全服务商；；安全测评机构构；监督管理机构构等。为了保证实施施指南的描述述有一个清晰晰的思路，各各类使用人员员都能够理解解和较好地使使用，实施指指南并不以某某个特定单位位的活动为主主线进行描述述，而是以信信息系统等级级保护建设所所要从事的活活动为主线，，有些活动可可能是这个单单位执行的，，另一些活动动可能是另一一个单位执行行的。本指南南的读者根据据自己的角色色和从事的活活动选择相应应的内容作为为指导。实施指南内容容介绍---实施的生命周周期本指南将根据据信息系统等等级保护实施施的特点，结结合风险管理理和安全工程程方法提出信信息系统等级级保护实施的的生命周期，，将等级保护护实施过程划划分为4个不同的阶段段，然后分章章节介绍和描描述不同阶段段的安全活动动，同时也将将表述信息系系统等级保护护实施的生命命周期和信息息系统生命周周期的关系，，指导系统建建设者和系统统运营者在系系统建设和运运营期间更好好地同步进行行等级保护建建设。将通过信息系系统等级保护护实施生命周周期的提出，，更好地描述述信息系统等等级保护实施施的不断循环环过程；系统统变更可能导导致系统的等等级变化从而而触发另一个个等级保护实实施过程的执执行过程；风风险评估和安安全测评可能能导致的等级级保护实施过过程局部活动动的重复执行行过程等。实施指南内容容介绍---主要阶段和主主要过程系统定级阶段安全规划设计阶段产品采购和工程实施阶段运行管理和状态监控阶段系统调查和描述子系统划分子系统定级子系统边界设定等级化风险评估分级保护模型化处理安全策略规划安全建设规划安全建设详细方案设计安全产品采购安全控制开发安全控制集成测试与验收安全等级测评运行批准系统备案操作管理和控制配置管理和控制变更管理和控制安全状态监控安全事件处理和应急预案监督和检查持续改进定级结果文档化实施指南内容容介绍---系统定级过程程系统调查、标标识和描述子系统划分子系统定级子系统边界设设定输入输出过程信息系统描述述文件子系统列表系统安全保护护等级定级结结果边界设定结果果信息系统基本本信息、管理理框架、业务务特性信息系统描述述文件子系系统统列列表表，，信信息息系系统统/子系系统统业业务务特特性性安全全保保护护等等级级定定级级结结果果、、子子系系统统业业务务流流程程，，网网络络拓拓扑扑定级级结结果果文文档档化化信息息系系统统等等级级化化分分析析报报告告信息息系系统统描描述述文文件件、、子子系系统统列列表表、、