信息系统等级保护与风险管理

第17章信息系统等级保护与风险管理李剑北京邮电大学信息安全中心电话：130－01936882概况信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。风险管理是安全管理的重要组成部分。它包括：风险评估、风险控制以及根据风险评估结果对信息系统的运行中的相关事项做出决策。等级保护是基本制度，风险评估是过程，风险管理是目标。第17章信息系统等级保护与风险管理 17.1信息安全等级保护 17.1.1我国信息安全等级保护 17.1.2国外信息安全等级保护 17.2信息安全风险管理 17.3信息系统风险评估 17.3.1信息安全风险评估概述 17.3.2信息安全风险评估方法思考题 17.1信息安全等级保护信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。17.1.1我国信息安全等级保护1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》（以下简称《管理办法》），明确了信息安全等级保护的具体要求。17.1.1我国信息安全等级保护信息安全等级保护制度的实施，必将大大提高我国的信息安全水平，有力保护我国信息化建设成果。同时，我国相关的信息安全企业也将得到实惠。有关技术专家分析，国家对于信息系统以及相关安全产品进行等级划分，会使很多企事业单位的安全意识更加增强，有了这样的认识之后，信息安全厂商的相关产品才能够被广泛了解，安全厂商可以应针对等级划分要把自己的产品进行有针对性的调整，相关解决方案是否符合当前信息系统的安全需求也可以经过等级评估的检验。我国的信息系统的安全保护等级分为以下五级：17.1.1我国信息安全等级保护(1)第一级为自主保护级。由用户来决定如何对资源进行保护，以及采用何种方式进行保护。本级别适用于一般的信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。(2)第二级为指导保护级。本级的安全保护机制支持用户具有更强的自主保护能力。特别是具有访问审记能力，即它能创建、维护受保护对象的访问审计跟踪记录，记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息，所有和安全相关的操作都能够被记录下来，以便当系统发生安全问题时，可以根据审记记录，分析追查事故责任人。本级别适用于一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全。(3)第三级为监督保护级。具有第二级系统审计保护级的所有功能，并对访问者及其访问对象实施强制访问控制。通过对访问者和访问对象指定不同安全标记，限制访问者的权限。本级别适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成损害。17.1.1我国信息安全等级保护(4)第四级为强制保护级。将前三级的安全保护能力扩展到所有访问者和访问对象，支持形式化的安全保护策略。其本身构造也是结构化的，以使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。本级别适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害。(5)第五级为专控保护级。具备第四级的所有功能，还具有仲裁访问者能否访问某些对象的能力。为此，本级的安全保护机制不能被攻击、被篡改的，具有极强的抗渗透能力。本级别适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重损害。信息系统运营、使用单位及个人依据“信息安全等级保护管理办法”和相关技术标准对信息系统进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理17.1.1我国信息安全等级保护(1)第一级信息系统运营、使用单位或者个人可以依据国家管理规范和技术标准进行保护。(2)第二级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护。必要时，国家有关信息安全职能部门可以对其信息安全等级保护工作进行指导。(3)第三级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行监督、检查。(4)第四级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行强制监督、检查。(5)第五级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护，国家指定的专门部门或者专门机构对其信息安全等级保护工作进行专门监督、检查。信息安全等级保护的主要内容如图17.1所示，大的方面分为技术要求和管理要求。技术要求分为物理安全、网络安全、主机安全、应用安全和数据安全。管理要求又分为安全管理机构、安全管理制度、人员安全管事、系统建设管理和系统运维管理。17.1.1我国信息安全等级保护我国国信信息息安安全全等等级级保保护护信息息系系统统等等级级保保护护实实施施生生命命周周期期内内的的主主要要活活动动有有四四个个阶阶段段，，包包括括定级级阶阶段段、规划划设设计计阶阶段段、安全全实实施施/实现现阶阶段段、安全全运运行行管管理理阶段段，，如如图图所所示示。。我国国信信息息安安全全等等级级保保护护国外外信信息息安安全全等等级级保保护护第一一个个有有关关信信息息技技术术安安全全评评价价的的标标准准诞诞生生于于八八十十年年代代的的美美国国，，就就是是著著名名的的“可信信计计算算机机系系统统评评价价准准则则”（TCSEC,又称称桔桔皮皮书书））。。该该准准则则对对计计算算机机操操作作系系统统的的安安全全性性规规定定了了不不同同的的等等级级.从九九十十年年代代开开始始,一些些国国家家与与国国际际组组织织相相继继提提出出了了新新的的安安全全评评价价准准则则。。1991年，，欧欧共共体体发发布布了了“信息息技技术术安安全全评评价价准准则则”（ITSEC）。。1993年,加拿拿大大发发布布了了“加拿拿大大可可信信计计算算机机产产品品评评价价准准则则”（CTCPEC）,CTCPEC综合合了了TCSEC与ITSEC两个个准准则则的的优优点点。。同同年年，，美美国国在在对对TCSEC进行行修修改改补补充充并并吸吸收收ITSEC优点点的的基基础础上上，，发发布布了了“信息息技技术术安安全全评评价价联联邦邦准准则则”（FC）。。国外外信信息息安安全全等等级级保保护护美国国，，作作为为一一直直走走在在信信息息安安全全前前列列的的大大国国，，近近几几年年来来在在信信息息系系统统安安全全方方面面，，突突出出体体现现了了对对信信息息系系统统分分类类分分级级实实施施保保护护的的发发展展思思路路，，制制定定了了一一系系列列体体系系化化的的标标准准和和指指南南性性文文件件，，并并根根据据有有关关的的技技术术标标准准、、指指南南，，对对联联邦邦政政府府一一些些重重要要的的信信息息系系统统已已实实现现了了安安全全分分级级，，并并在在整整体体上上体体现现了了分分级级保保护护、、管管理理的的思思想想。。下下面面主主要要介介绍绍的的“可信信计计算算机机系系统统评评价价准准则则”，即即桔桔皮皮书书。。国外外信信息息安安全全等等级级保保护护桔皮皮书书是是美美国国国国家家安安全全局局（（NSA）的的国国家家电电脑脑安安全全中中心心（（NCSC）颁颁布布的的官官方方标标准准，，其其正正式式的的名名称称为为“受信信任任电电脑脑系系统统评评价价标标准准”（TCSEC：TrustedComputerSystemEvaluationCRITERIA）.目前前，，桔桔皮皮书书是是权权威威性性的的电电脑脑系系统统安安全全标标准准之之一一，，它它将将一一个个电电脑脑系系统统可可接接受受的的信信任任程程度度给给予予分分级级，，依依照照安安全全性性从从高高到到低低划划分分为为A，B，C，D四个个等等级级，，其其中中这这些些安安全全等等级级不不是是线线性性的的，，而而是是指指数数级级上上升升的的。。桔桔皮皮书书将将计计算算机机安安全全由由低低到到高高分分为为四四类类七七级级：：D1、C1、C2、B1、B2、B3、A1。其其中中D1级是是不不具具备备最最低低安安全全限限度度的的等等级级，，C1和C2级是是具具备备最最低低安安全全限限度度的的等等级级，，B1和B2级是是具具有有中中等等安安全全保保护护能能力力的的等等级级，，B3和A1属于于最最高高安安全全等等级级。。D1级：：计计算算机机安安全全的的最最低低一一级级，，不不要要求求用用户户进进行行用用户户登登录录和和密密码码保保护护，，任任何何人人都都可可以以使使用用，，整整个个系系统统是是不不可可信信任任的的，，硬硬件件软软件件都都易易被被侵侵袭袭。。国外外信信息息安安全全等等级级保保护护C1级：：自自主主安安全全保保护护级级，，要要求求硬硬件件有有一一定定的的安安全全级级（（如如计计算算机机带带锁锁）），，用用户户必必须须通通过过登登录录认认证证方方可可使使用用系系统统，，并并建建立立了了访访问问许许可可权权限限机机制制。。C2级：：受受控控存存取取保保护护级级，，比比C1级增增加加了了几几个个特特性性：：引引进进了了受受控控访访问问环环境境，，进进一一步步限限制制了了用用户户执执行行某某些些系系统统指指令令；；授授权权分分级级使使系系统统管管理理员员给给用用户户分分组组，，授授予予他他们们访访问问某某些些程程序序和和分分级级目目录录的的权权限限；；采采用用系系统统审审计计，，跟跟踪踪记记录录所所有有安安全全事事件件及及系系统统管管理理员员工工作作。。国外外信信息息安安全全等等级级保保护护B1级：：标标记记安安全全保保护护级级，，对对网网络络上上每每个个对对象象都都予予实实施施保保护护；；支支持持多多级级安安全全，，对对网网络络、、应应用用程程序序工工作作站站实实施施不不同同的的安安全全策策略略；；对对象象必必须须在在访访问问控控制制之之下下，，不不允允许许拥拥有有者者自自己己改改变变所所属属资资源源的的权权限限。。B2级：：结结构构化化保保护护级级，，对对网网络络和和计计算算机机系系统统中中所所有有对对象象都都加加以以定定义义，，给给一一个个标标签签；；为为工工作作站站、、终终端端等等设设备备分分配配不不同同的的安安全全级级别别；；按按最最小小特特权权原原则则取取消消权权力力无无限限大大的的特特权权用用户户。。B3级：安安全域域级，，要求求用户户工作作站或或终端端必须须通过过信任任的途途径连连接到到网络络系统统内部部的主主机上上；采采用硬硬件来来保护护系统统的数数据存存储区区；根根据最最小特特权原原则，，增加加了系系统安安全员员，将将系统统管理理员、、系统统操作作员和和系统统安全全员的的职责责分离离，将将人为为因素素对计计算机机安全全的威威胁减减至最最小。。国外信信息安安全等等级保保护A1级：验验证设设计级级，是是计算算机安安全级级中最最高一一级，，本级级包括括了以以上各各级别别的所所有措措施，，并附附加了了一个个安全全系统统的受受监视视设计计；合合格的的个体体必须须经过过分析析并通通过这这一设设计；；所有有构成成系统统的部部件的的来源源都必必须有有安全全保证证；还还规定定了将将安全全计算算机系系统运运送到到现场场安装装所必必须遵遵守的的程序序。17.2信息安全风风险管理信息安全风风险管理是是信息安全全管理的重重要组成部部分，它是是信息安全全等级保护护的基础。。1.风险(Risk)风险指在某某一特定环环境下，在在某一特定定时间段内内，特定的的威胁利用用资产的一一种或一组组薄弱点，，导致资产产的丢失或或损害的潜潜在可能性性，即特定定威胁事件件发生的可可能性与后后果的结合合。ISO27001要求组织通通过风险评评估来识别别组织的潜潜在风险及及其大小，，并按照风风险的大小小安排控制制措施的优优先等级。。例如，在在使用计算算机的时候候，如果安安装了360安全卫士等等安全工具具，则有时时会出现如如图17.3所示的安全全风险告警警。17.2信息安全风风险管理17.2信息安全风风险管理17.2信息安全风风险管理2.风险评估(RiskAssessment)风险评估有有时候也称称为风险分分析，是组组织使用适适当的风险险评估工具具，对信息息和信息处处理设施的的威胁(Threat)、影响(Impact)和薄弱点(Vulnerability)及其发生的的可能性的的评估，也也就是确认认安全风险险及其大小小的过程。。风险评估是是信息安全全管理的基基础，它为为安全管理理的后续工工作提供方方向和依据据，后续工工作的优先先等级和关关注程度都都是由信息息安全风险险决定的，，而且安全全控制的效效果也必须须通过对剩剩余风险的的评估来衡衡量。风险评估是是在一定范范围内识别别所存在信信息安全风风险，并确确定其大小小的过程。。风险评估估保证信息息安全管理理活动可以以有的放矢矢，将有限限的信息安安全预算应应用到最需需要的地方方，风险评评估是风险险管理的前前提。17.2信息安全风风险管理3.风险管理(RiskManagement)风险管理以以可接受的的费用识别别、控制、、降低或消消除可能影影响信息系系统的安全全风险的过过程。风险险管理通过过风险评估估来识别风风险大小，，通过制定定信息安全全方针，选选择适当的的控制目标标与控制方方式使风险险得到避免免、转移或或降至一个个可被接受受的水平。。在风险管管理方面应应考虑控制制费用与风风险之间的的平衡。17.3信息系统风风险评估信息安全风风险评估概概述风险评估的的意义在于于对风险的的认识，而而风险的处处理过程，，可以在考考虑了管理理成本后，，选择适合合企业自身身的控制方方法，对同同类的风险险因素采用用相同的基基线控制，，这样有助助于在保证证效果的前前提下降低低风险评估估的成本。。如图17.5所示为信息息安全风险险评估的要要素。信息安全风风险评估概概述信息安全风风险评估概概述针对风险评评估的工程程实现，SSE-CMM、OCTAVE等标准和方方法对评估估过程给予予了较好的的指导。常常规的风险险评估方法法包括以下下阶段：项项目准备阶阶段、项目目执行阶段段、项目维维护阶段。。为保障评估估的规范性性、一致性性，降低人人工成本，，目前国内内外普遍开开发了一系系列的评估估工具。其其中，网络络评估工具具主要有Nessus、Retina、天镜、ISS、N-Stalker等漏洞扫描描工具，依依托这些网网络扫描工工具，可以以对网络设设备、主机机进行漏洞洞扫描，给给出技术层层面存在的的安全漏洞洞、等级和和解决方案案建议。管理评估工工具主要有有以BS7799-1（ISO/IEC17799）为基础的的COBRA、天清等，，借助管理理评估工具具，结合问问卷式调查查访谈，可可以给出不不同安全管管理域在安安全管理方方面存在的的脆弱性和和各领域的的安全等级级，给出基基于标准的的策略建议议。信息安全风风险评估方方法主要的风险险评估方法法有以下6种：(1)定制个性化化的评估方方法虽然已经有有许多标准准评估方法法和流程，，但在实践践过程中，，不应只是是这些方法法的套用和和拷贝，而而是以他们们作为参考考，根据企企业的特点点及安全风风险评估的的能力，进进行“基因”重组，定制制个性化的的评估方法法，使得评评估服务具具有可裁剪剪性和灵活活性。评估估种类一般般有整体评评估、IT安全评估估、渗透透测试、、边界评评估、网网络结构构评估、、脆弱性性扫描、、策略评评估、应应用风险险评估等等。(2)安全整体体框架的的设计风险评估估的目的的，不仅仅在于明明确风险险，更重重要的是是为管理理风险提提供基础础和依据据。作为为评估直直接输出出，用于于进行风风险管理理的安全全整体框框架，至至少应该该明确。。但是由由于不同同企业环环境差异异、需求求差异，，加上在在操作层层面可参参考的模模板很少少，使得得整体框框架应用用较少。。但是，，企业至至少应该该完成近近期1～2年内框架架，这样样才能做做到有律律可依。。信息安全全风险评评估方法法(3)多用户决决策评估估不同层面面的用户户能看到到不同的的问题，，要全面面了解风风险，必必须进行行多用户户沟通评评估。将将评估过过程作为为多用户户“决策”过程，对对于了解解风险、、理解风风险、管管理风险险、落