信息安全等级保护制度的相关标准及其应用

信息安全等级保护制度

的相关标准及其应用目录等级保护的国家标准等级保护的定级过程等级保护的建设整改交流与沟通目录等级保护的国家标准等级保护的定级过程等级保护的建设整改交流与沟通什么是等级保护？信息系统安全等级保护是指对信息和信息系统划分为五个安全保护和监管等级，实行分等级保护。“一个提高，四个有利于”

有效地提高我国信息安全建设的整体水平

有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督；为什么实行等级保护？

有利于明确国家、法人和其他组织、公民的安全责任，强化政府监管职能，共同落实各项安全建设和安全管理措施；有利于提高安全保护的科学性、整体性、针对性，推动信息安全产业水平，逐步探索一条适应社会主义市场经济发展的信息安全发展模式。为什么实行等级保护？相关标准制定环境----安全环境

近年来，党中央、国务院高度重视，各有关方面协调配合、共同努力，我国信息安全保障工作取得了很大进展。但是从总体上看，我国的信息安全保障工作尚处于起步阶段，基础薄弱，水平不高，存在以下突出问题：—偏重产品，忽视体系和管理。—重视外部攻击与入侵，忽视内部的非法行为—缺乏信息安全风险意识，安全投入盲目—关键技术、产品受制于人—一劳永逸的错误观念，忽视信息安全是个动态的过程c相关标准制定单位----问题产生的原因信息安全防范意识和能力薄弱;信息安全法律法规不完善，标准体系尚待完善;信息系统安全建设和管理缺乏体系化思想；现有标准杂、乱，安全建设无所适从；监督管理缺乏依据和标准，监管体系尚待完善。相关标准制定单位----我们的对策

美国及西方发达国家为了抵御信息网络的脆弱性和安全威胁，制定了一系列强化信息网络安全建设的政策和标准，其中一个很重要思想就是将不同重要程度的信息系统划分不同的安全等级，以指导不同领域的信息安全工作。面对严峻的形势和严重的问题，如何解决我国信息安全问题，是摆在我国政府、企业、公民面前的重大关键问题。经过我国信息安全领域有关部门和专家学者的多年研究，在借鉴国外先进经验和结合我国国情的基础上，提出了分等级保护的策略来解决我国信息安全问题：

信息安全等级保护制度等级保护标准制修订背景

1994年，《中华人民共和国计算机信息系统安全保护条例》的发布

1999年，《计算机信息系统安全保护等级划分准则》GB17859-1999发布

2001年，国家发改委“计算机信息系统安全保护等级评估体系及互联网络电子身份管理与安全保护平台建设项目”（1110）工程实施

2003年，中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》，27号文第一项就是等级保护

2004年，四部委联合签发了《关于信息安全等级保护工作的实施意见》1994年国务院147号令

《中华人民共和国计算机信息系统安全保护条例》

第9条规定：计算机信息系统实行安全等级保护。

1999年国家标准GB17859 《计算机信息系统安全保护等级划分准则》主要内容来源于美国可信计算机系统评价准则TCSEC

第一级用户自主保护级 第二级系统审计保护级 第三级安全标记保护级 第四级结构化保护级 第五级访问验证保护级

等级保护标准制修订背景2001年国家标准GB/T18336《信息技术安全技术信息技术安全性评估准则》

参照CC即ISO/IEC154082003年中办发17号文件提出实行信息安全等级保护的任务2004年公通字66号文件公安部、国家保密局、国家密码管理委员会办公室、国务院信息办发布

《关于信息安全等级保护工作的实施意见》2006年公通字7号文件（已经废除）四部门发布《信息安全等级保护管理办法》等级保护标准制修订背景2006年国家标准发布《信息安全技术

信息系统通用安全技术要求》（GB/T20271-2006）《信息安全技术

网络基础安全技术要求》（GB/T20270-2006）《信息安全技术

操作系统安全技术要求》（GB/T20272-2006）《信息安全技术

数据库管理系统安全技术要求》（GB/T20273-2006）《信息安全技术

终端计算机系统安全等级技术要求》（GA/T671-2006）

2007年5月底的更新《信息系统安全等级保护实施指南》《信息系统安全等级保护定级指南》《信息系统安全等级保护基本要求》200７年公通字４３号文件（6月27号发出）

《信息安全等级保护管理办法》

公信安［２００７］８６１号《关于开展全国重要信息系统安全等级保护定级工作的通知》等级保护标准制修订背景等级保护标准制修订背景2003年9月中办国办颁发《关于加强信息安全保障工作的意见》中办发[2003]27号2005年9月国信办文件《关于转发《电子政务信息安全等级保护实施指南》的通知》国信办[2004]25号2006年1月四部委会签《关于印发《信息安全等级保护管理办法的通知》公通字[2006]7号2005年公安部标准《基本要求》《定级指南》《实施指南》《测评准则》2004年11月四部委会签《关于信息安全等级保护工作的实施意见》公通字[2004]66号云南云南省人民政府第130号令浙江浙江省人民政府令北京北京政府第9号令国家级政策文件国家级技术标准国家级政策文件地方政策文件安全控制定级指南过程方法确定系统等级启动采购/开发实施运行/维护废弃确定安全需求设计安全方案安全建设安全测评监督管理运行维护暂不考虑特殊需求等级需求基本要求产品使用选型监督管理测评准则流程方法监管流程应急预案应急响应等级保护标准制修订背景开展等级保护工作的环节一是：科学定级

二是：严格备案

三是：系统建设、整改

四是：等级测评

五是：信息安全监管部门监督检查等级保护工作中用到的主要标准（一）基础1、《计算机信息系统安全保护等级划分准则》GB17859-19992、《信息系统安全等级保护实施指南》(国标报批稿)（二）系统定级环节3、《信息系统安全保护等级定级指南》GB/T22240-2008（三）建设整改环节4、《信息系统安全等级保护基本要求》GB/T22239-2008（四）等级测评环节5、《信息系统安全等级保护测评要求》(国标报批稿)6、《信息系统安全等级保护测评过程指南》(国标报批稿)小结-等级保护主要政策和标准《信息安全等级保护管理办法》（公通字[2007]43号，以下简称《管理办法》）《计算机信息安全保护等级划分准则》（GB17859-1999，简称《划分准则》）《信息系统安全等级保护实施指南》（简称《实施指南》）《信息系统安全保护等级定级指南》（GB/T22240-2008，简称《定级指南》）《信息系统安全等级保护基本要求》（GB/T22239-2008，简称《基本要求》）《信息系统安全等级保护测评要求》（简称《测评要求》）《信息系统安全等级保护测评过程指南》（简称《测评过程指南》）目录等级保护的国家标准等级保护的定级过程等级保护的建设整改交流与沟通等级的概念首先出现在国家标准《划分准则》中从安全保护能力角度，根据安全功能的实现情况，将计算机信息系统安全保护能力划分为五个级别用户自主保护级系统审计保护级安全标记保护级结构化保护级访问验证保护级系统定级-等级的概念系统定级-等级的概念-信息系统安全保护能力的等级《管理办法》从信息系统重要程度及其社会属性考虑，再次给出了信息系统五个级别的定义第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。系统定级-等级的概念-信息系统重要程度的等级系统定级-<定级指南>最终，依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。本标准是信息安全等级保护相关系列标准之一。系统定级-<定级指南>-定级原理

系统定级-<定级指南>-定级流程

系统定级-<定级指南>-定级方法

确定定级对象；确定业务信息安全受到破坏时所侵害的客体；综合评定业务信息安全被破坏对客体的侵害程度；得到业务信息安全等级；确定系统服务安全受到破坏时所侵害的客体；综合评定系统服务安全被破坏对客体的侵害程度；得到系统服务安全等级；由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。系统定级--<定级指南>-确定定级对象一、定级对象的三个条件具有唯一确定的安全责任单位作为定级对象的信息系统应能够唯一地确定其安全责任单位，这个安全责任单位就是负责等级保护工作部署、实施的单位，也是完成等级保护备案和接受监督检查的直接责任单位。满足信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如单台的服务器、终端或网络设备等作为定级对象。系统定级-<定级指南>-确定定级对象一、定级对象的三个条件承载相对独立的业务应用定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流程、部分业务功能独立，同时与其他信息系统的业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程，可以是完整的业务流程的一部分。系统定级-<定级指南>-确定定级对象二、定级对象的识别和划分可能使定级要素赋值不同因素可能涉及不同客体的系统。可能对客体造成不同程度损害的系统。处理不同类型业务的系统。本身运行在不同的网络环境中的系统。分不开的系统，按照高级别保护。系统定级-<定级指南>-侵害程度

不同危害后果的三种危害程度描述如下：一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的财产损失，有限的社会不良影响，对其他组织和个人造成较低损害。严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的财产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的财产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。系统定级-<定级指南>-关于损害的详述安全保护级别信息和信息系统受到破坏后的影响1自主保护级不会损害国家安全、社会秩序和公共利益。2指导保护级会对社会秩序和公共利益造成轻微损害，但不损害国家安全。3监督保护级会对国家安全、社会秩序和公共利益造成损害。4强制保护级会对国家安全、社会秩序和公共利益造成严重损害。5专控保护级会对国家安全、社会秩序和公共利益造成特别严重损害。系统定级-关于定级级别等级对象侵害客体侵害程度监管强度第一级一般系统合法利益损害自主性保护第二级合法权益严重损害指导性保护社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督性保护国家安全损害第四级社会秩序和公共利益特别严重损害强制性保护国家安全严重损害第五级极端重要系统国家安全特别严重损害专控性保护系统所属类型业务信息类别系统服务范围业务依赖程度业务信息安全性业务服务保证性信息系统安全保护等级侵害的程度如何？（对客体造成侵害的程度）一般损害严重损害特别严重损害受到破坏时侵害了什么？（客体）公民、法人社会秩序、公共利益国家安全四个主要因素决定等级

系统定级-关于等级变更

在信息系统的运行过程中，安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更，尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化，可能影响到系统的安全保护等级时，应根据定级标准给出的定级方法重新定级目录等级保护的国家标准等级保护的定级过程等级保护的建设整改交流与沟通建设整改-管理办法要求《管理办法》第十二条:在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要求》等技术标准，参照……等技术标准同步建设符合该等级要求的信息安全设施。建设整改-《划分准则》和《基本要求》

《划分准则》以安全保护能力为基础提出了各级系统应该实现的安全功能，但是《划分准则》提出的主要是安全技术功能，信息系统安全保护能力实现需要通过安全技术措施和安全管理措施共同落实支撑。因此，在《划分准则》的基础上，制定了《基本要求》标准，从技术和管理两方面提出了相应的措施。建设整改-《基本要求》是核心

《基本要求》是信息系统安全保护基本“标尺”或达标线，信息系统安全建设整改应以落实《基本要求》为主要目标，满足《基本要求》意味着信息系统具有相应等级的基本安全保护能力，达到了一种基本的安全状态。建设整改-《基本要求》-主要组织方式建设整改-《基本要求》-主要组织方式7第三级基本要求7.1技术要求7.1.1物理安全（类）7.1.1.1物理位置的选择（控制点）本项要求包括（具体要求）a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；。。。。。。7.2管理要求7.2.1安全管理制度（类）7.2.1.1管理制度（控制点）本项要求包括：（具体要求）a)应制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架等；建设整改-《基本要求》-安全保护技术身份鉴别访问控制安全审计数据完整性数据保密性数据可用性

病毒防范入侵检测安全监控备份与恢复密码使用等等建设整改-《基本要求》-安全保护技术确定安全策略落实信息安全责任制建立安全组织机构加强人员管理加强系统建设的安全管理加强运行维护的安全管理等建设整改-《基本要求》-物理安全物理安全是指对信息系统所涉及到的主机房、辅助机房、办公环境等进行物理安全保护。具体关注内容包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面建设整改-《基本要求》-网络安全网络安全是指对信息系统所涉及的通信网络、网络边界、网络区域和网络设备等进行安全保护。具体关注内容包括通信过程数据完整性、通信过程数据保密性、保证通信可靠性的设备和线路冗余、区域网络的边界保护、区域划分、身份认证、访问控制、安全审计、入侵防范、恶意代码防范、网络设备自身保护和网络的网络管理等方面建设整改-《基本要求》-主机安全主机安全是指对信息系统涉及到的服务器和工作站进行主机系统安全保护。具体关注内容包括操作系统或数据库管理系统的选择、安装和安全配置、主机入侵防范、恶意代码防范、资源使用和运行情况监控等。其中，安全配置细分为身份鉴别、访问控制、安全审计等方面的配置内容建设整改-《基本要求》-应用安全应用安全是指对信息系统涉及到的应用系统进行安全保护。具体关注内容包括应用系统实现身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等功能方面建设整改-《基本要求》-数据安全数据安全是指对信息系统中业务数据的传输、存储和备份恢复进行安全保护。具体关注内容包括数据备份系统、