文章目录
等级保护相关标准及其应用
公安部信息安全等级保护评估中心:马力
1.概述
知识要点:
等级保护有哪些工作要做?
等级保护工作中主要使用那些标准?
等级保护具体工作环节和标准的对应关系?
2.标准的起草背景和过程
背景及过程
◆《中国人民共和国计算机信息系统安全保护条例》(国务院令147号)第九条。
◆计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
◆信息安全等级保护工作是一项由信息系统主管部门、运营单位、使用单位、安全产品提供方、安全服务提供方、检测评估机构、信息安全监督管理部门等多方参与,涉及技术与管理两个领域的复杂系统工程。
◆《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
◆要加强信息安全标准化工作,抓紧制定急需的信息安全管理和技术标准,形成与国际标准相衔接的中国特色的信息安全标准休系。
◆《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
◆“加快完善法律法规和标准体系。法律规范和技术标准是推广和实施信息安全等级保护工作的法律依据和技术保障。
◆加快信息安全等级保护管理与技术标准的制定和完善,其他现行的相关标准规范中与等级保护管理规范和技术标准不相适应的,应当进行调整。
“66号文"对职责分工和工作的要求(2004年)
◆信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准,确定其信息和信息系统的安全保护等级。
◆信息和信息系统的运营、使用单位按照等级保护的营理规范和技术标准对新建,改建、扩建的信息系统进行信息系统的安全规划设计,安全建设施工。
◆信息和信息系统的运营,使用单位及其主管部门按照与信息系统,安全保护等级相对应的管理规药和技术标准的要求,定期进行安全状况渣测评估。
◆国家指定信息安全监管职能部门按照告级保护的学理规范和技术标准的安求,对信总和信忘系统的安全等級保护状况进行监督检查。
管理规范和技术标准的作用
1994年到2004年
GB 17859-1999计算机信息系统安全保护等级划分准则
GB/T 20270-2006信息安全技术网络基础安全技术要求
GB/T 20271-2006信息安全技术信息系统通用安全技术要求
GB/T 20272 2006信息安全技术操作系统安全技术要求
GB/T 20273-2006信息安全技术数据库管理系统安全技术安求
GB/T 20269-2006信息安全技术信息系统安全管理要求
GB/T 20282-2006信息安全技术信息系统安全工程管理要求
等等
2004年之后
◆鉴于等级保护工作的复杂性,迫切需要制定一个科学、合理和完整的等级保护标准体系,利用它来规范、指导和协调不同参与方在不同工作环节的安全活动。
◆基于信息安全等级保护工作的基本工作内容,通过对目前国内外信息安全标准体系的研究和分析,需要制定、梳理和完善目前等级保护工作需要的标准体系,从而可以保造我国信息安全等级保护工作顺利推进。
制定、梳理和完善的原则
全面性:等级保护标准体系的编制应充分考虑等级保护工作中不同参与方在不同阶段、不同工作环节的不同要求,将工作过程中使用的各项标准分类纳入体系之中,构成一个完整全面的体系结构。
系统性:构成等级保护标准体系的标准在内客、层次上要充分体现系统性为关联性,标准和标准之间应保持协调一致,相互衔接。
先进性:在编制标准体系中的项目时,既要充分考虑目前的技术和管理的水平,也要对信息安全领域未来的发展有所预见,使等级保护标准体系具有一定的前瞻性。
适用性:等级保护标准体系框架并非一成不变,它将随着信息技术的发展和国际标准的不断完善进行更新和充实,保证标准的适用性。应根据信息安全等级保护工作的轻重缓急开展标准的制定工作。
关于17859(第一个重要的标准)
《计算机信息系统安全保护等级划分准则》GB17859-1999。主要内容来源于美国可信计算机系统评价准则TCSEC(有七级,见下图,但是第一和最后一个级别不适用,去掉后就是我国标准)。
本标准将计算机信息系统的安全保护能力划分为五个等级:
第一级:用户会主保护级;
第二级:系统审计保护级;
第三级:安全标记保护级;
第四级:结构化保护级;
第五级:访问验证保护级。
所含术语:
■可信计算基:计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算系统际要求的附加用户服务。
■敏感标记:表示客体安全级别并描述课题数据敏感性的一组信息,可信计算基中把敏感标记作为强制访问控制决策的依据。
■隐蔽信道:违反系统安全策略的信道。
■访问监控器:监控主体和客体之间授权访问关系的部件。
第一级:用户自主保护级
提供:
自主访问控制
身份鉴别
数据完整性保护
第二级:系统审计保护级
提供:
自主访问控制
身份鉴别
■客体重用
■审计
数据完登性保护
第三级:安全标记保护级
提供:
自主访问控制
■强制访问控制
■标记
身份鉴别
客体重用
审计
数据完整性保护
第四级:结构化保护级
提供:
自主访与控制
强制访可控剖
标记
身份鉴别
客体重用
审计
数据完整性保护
■隐蔽信道分析
■可信路径
第五级:访问验证保护级
提供:
自主访与控制
强制访可控剖
标记
身份鉴别
客体重用
审计
数据完整性保护
隐蔽信道分析
可信路径
■可信恢复
基本的安全要素
身份鉴别
访问控制
安全审计
数据完整性
数据保密性
数据可用性
安全监控
备份与恢复
等等
17859缺保密性。
前期的研究和分析
GB/T 18336-2001/ISO/IEC 15408-1999
信息技术安全性评估准则口两类要求,7个保证级别
◆安全功能要求(组件)
安全审计、通信、密码支持、用户数据保护、标识和鉴别、安全管理、隐秘、安全功能保护、安全功能数据传输,资源利用、可信路径等
◆安全保证要求(组件)
配置管理、分发和操作、开发、指导性文件、生命周期支持、测试、脆弱性评定等
与等级相关的其他标准
◆通用技术要求(GB/T20271-2006)
◆安全管理要求(GB/T20269-2006)
◆工程管理要求(GB/T20282-2006)
◆操作系统、数据库系统、入侵检测系统等产品安全技术要求等。
GB/T 19715-1.2 2005/ISO/IEC TR 13335:2000
信息技术安全管理指南中第四部分安全措施的选择列出了二种分类,防护措施的全集
第一种
■组织和物理约防护措施(偏重于管理)
■IT系统特有的防护措施(偏重于技术)
第二种
■保密性防护措施
■完整性防护搭旅
■可用性防护搭施
三个层次,安全精施的全集
安全控制类(10类)
安全控制目标(36个)
安全控制搭施(127个)
3.等级保护标准体系主要标准
等级保护标准体系分类
信息安全等级保护标准体系由等级保护工作过程中所雷的所有标准组成,整个标准体系可以从多个角度分析
从基本分类角度看
■基础类标准
■技术类标准
■管理类标准
从对象角度看
■基础标准
■系统标准
■产品标准
■安全服务标准
■安全事件标准等
本次课是从等级保护生命周期看
■通用/基础标准
■系统定级用标准
■安全建设用标准
■等级测评用标准
■运行维护用标准等
分别对应:
一是:定级。
二是:备案。
三是:系统建设、整改。
四是:开展等级测评。
五是:信息安全监管部门定期开展监督检查。
等级保护工作中用到的主要标准
(一)基础
1、《计算机信息系统安全保护等级划分准则》GB17859-1999
2、《信息系统安全等级保护实施指南》(国标报批稿)
(二)定级环节
3、《信息系统安全保护等级定级指南》GB/T22240-2008
(三)安全建设整改技术环节
4.《信息系统安全等级保护基本要求》GR/T22239-2008
5、《信息系统通用安全技术要求》GB/T202712006
6.《信息系统等级保护安全设计技术要求》
(四)安全建设整改管理环节
7、《信息系统安全管理要求》GB/T202692006
8、《信息系统安全工程管理要求》GB/T202822006
(五)等级测评环节
9、《信息系统安全等级保护测评要求》(国标报批稿)
10、《信息系统安全等级保护测评过程指南》(国标报批稿)
《信息系统安全等级保护实施指南》
介绍和描述了实施信息系统等级保护过程中涉及的阶段、过程和需要完成的活动,通过对过程和活动的介绍,使大家了解对信息系统实施等级保护的流程方法,以及不同的角色在不同阶段的作用等。
主要思路
◆以信息系统安全等级保护建设为主要线索。
◆定义信息系统等级保护实施的主要阶段和过程。
◆对每个阶段介绍和描述主要的过程和实施活动。
◆对每个活动说明实施主体、主要活动内容和输入输出等。
标准的结构
正文由9个章节1个附录构成
1.范围
2.规范性引用文件
3术语定义
4.等级保护实施概述
5.信息系统定级
6.总体安全规划
7.安全设计/实施
8.安全运行维护
9.信息系统终止
附录A:主要过程及其输出
其中第四章对应上面的框图。
主要概念
阶段
过程
主要活动
子活动
活动输入
活动输出
系统定级阶段一实施流程
4.等级保护工作过程及标准应用
五个环节去掉公安机关做的,备案和监督检查。剩下三个是和我们有关的:
定级、整改、测评。
系统定级
管理办法要求
《管理办法》第十条:
信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》
确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。
工作的部署
2007年《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字[2007]861号)
全国重要信息系统安全等级保护定级工作开展以来,各地区、各部门高度重视,按照定级工作的要求,认真组织落实,到2009年,基本完成了定级工作任务。
安全保护等级
等级的确定是不依赖于安全保护措施的,具有一定的“客观性”,即该系统在存在之初便由其自身所实现的使命决定了它的安全保护等级,而非由“后天”的安全保护措施决定。
信息系统的安全保护等级分为以下五级:
定级指南
五个等级的定义:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
可能的系统级别
以信息处理为主A
以提供服务为主(金融、证券等)S
第一级S1A1G1
第二级S112G2,S2A2G2,S2A1G2
第三级S1A3G3,S2A3G3,S3A363,S3A2G3,S3A1G3
第四级S1A404,S2A4G4,S3A4G4,S4A4G4,S4A304,S4A2G4,S4A1G4
建设整改
工作的部署
2009年,《关于印送<关于开展信息安全等级保护安全建设整改工作的指导意见>的函》(公信安[2009]1429号),标志着等级保护建设整改工作的启动。
全国已定级信息系统安全建设整改工作总体上用三年时问完成。
整改的目的
在已定级的信息系统中,大多数信息系统在建设之初还没有将等级保护要求作为安全需求加以考虑。
由于建设年代不同、所在地域差异、设计人员和实施人员的水平差距等都会造成其信息系统的保护水平参差不齐。
建设整改是关键
定级/备案是信息安全等级保护的首要环节
等级测评是评价安全保护现状的重要方法
建设整改是等级保护工作落实的关键
监督检查是使信息系统保护能力不断提高的保障
管理办法要求
《管理办法》第十二条:
在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》等技术标准,参照……等技太标准同步建设符合该等级要求的信息安全设施。
《基本要求》是信息系统安全保护基本“标尺”或达标线,信息系统安全建设整改应以落实《基本要求》为主要目标,满足《基本要求》意味着信息系统具有相应等级的基本安全保护能力,达到了一种基本的安全状态。
安全保护能力
安全保护能力主要表现为信息系统应对威胁的能力,称为对抗能力,但当信息系统无法阻挡威胁对自身的破坏时,信息系统的恢复能力使系统在一定时间内恢复到原有状态,从而降低负面影响。
对抗能力和恢复能力共同构成了信息系统的安全保护能力。
第一级信息系统安全保护能力
经过安全建设整改,信息系统具有抵御一般性攻击的能力,防范常见计算机病毒和恶意代码危害的能力;系统遭到损害后,具有恢复系统主要功能的能力。
第二级信息系统安全保护能力
经过安全建设整改,信息系统具有抵御小规模、较弱强度恶意攻击的能力,抵抗一般的自然灾害的能力,防范一般性计算机病毒和恶意代码危害的能力;具有检测常见的攻击行为,并对安全事件进行记录的能力;系统造到损害后,具有恢复系统正常运行状态的能力。
《基本要求》的文档结构
安全管理建设整改
按照国家有关规定,依据《信息系统安全等级保护基本要求》(GB/T22239-2008),参照《信息系统安全管理要求》(GBT20269-2006)等标准规范要求,开展信息系统安全管理建设整改工作。
要有专门的责任部门和人员。
一、落实信息安全责任制
1、建立信息安全领导机构和指定主管领导
2、指定一个工作机构负责具体工作的落实
3、配备具体人员(设立相关岗位)
二、信息系统安全管理现状分析
1、分析信息系统现有安全管理状况
2、分析信息系统安全管理差距
3、论证和确定安全管理需求
三、确定安全管理策略,建立安全管理制度体系
安全管理目标和安全策
各类安全管理制度
各类安全操作规程
各类操作过程记录表格
以上四个是四个层次,第四个是具体落实执行的表格。
四、落实安全管理措施
1、人员安全管理
人员管理主要而向关键岗位,主要是指涉及到重要业务或者重要安全管理活动的岗位。
所有聘用人员都应签署保密协议岗位安全协议。
人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务,并终止其访问权限。
人员的培训和考核管理,制定员工的培训和考核计划,每年对各个岗位的人员进行安全技能及安全认知的培训和考核。
2、系统运维管理
机房安全管理制度
设备/存储介质安全管理制度
数据备份和恢复管理制度
个人用计算机安全管理制度
系统变更管理制度
安全事件处置和应急管理预案
运行监控管理制度
3、系统建设管理
设备采购管理制度
外包开发管理制度
软件开发管理制度
工程实施及验收管理制度
安全技术建设整改
依据《信息系统安全等级保护基本要求》(GB/T22239-2008),参照《信息系统通用安全技术要求》、《信息系统等级保护安全设计技术要求》、《信息系统物理安全技术要求》、《信息系统安全工程管理要求》等标准规范要求,开展信息系统安全技术建设整改工作。
一、信息系统安全保护技术现状分析
1、信息系统现状分析
2、信息系统安全保护技术现状分析
3、安全需求论证和确定
二、信息系统安全技术建设整改方案设计
1、确定安全技术策略,设计总体技术方案
2、安全技术方案详细设计
3、技术方案的评审和论证
三、安全技术建设整改工程实施和管理
1、工程实施和管理
安全产品采购和部署、安全功能开发或改进、安全控制集成和测试
2、工程监理和验收
工程监理、工程验收
3、安全等级测评
总体安全设计-流行安全防护体系
PPDR:策略是核心
PPDRR
IATF
不同级别的要求差别PPDR
一级系统:防护
二级系统:防护/检测
三级系统:策略/防护/检测/恢复/响应
四级系统:策略/防护/检测/恢复/响应(强度变大)
不同级别的要求差别IATF
一级系统:通信/边界(基本)
二级系统:通信/边界/内部(关键设备)
三级系统:通信/边界/内部(主要设备)
四级系统:通信/边界/内部/基础设施(所有设备)
总体安全设计
在进行信息系统安全建设整收技术方案设计时,可以采取不同的技术思路,最终达到等级保护基本要求。具体操作时,既可以针对安全现状分析发现的问题过行加固改造,缺什么补什么;也可以进行总体的安全技术设计,将不同区或、不同层面的安全保护措施形成有机的安全保护体系,最大程度发挥安全措施的保护能力。
如果需要进行总体安全技术设计中,既可以参照《信息系统安全等级保护基本要求》,从物理安全、网络安全、主机安全、应用安全和数据安全等方面进行设计。也可以参考《信息系统等级保护安全设计技术要求》,从安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面进行安全技术设汁。
安全技术措施详细设计
物理安全设计
通信网络安全设计
区域边界安全设计
主机系统安全设计
应用系统安全设计
备份和恢复安全设计
其他安全技术设计
物理安全设计
从安全技术设施和安全技术措施两方面对信息系统所涉及到的主机房。辅助机房和办公环境等进行物理安全设计,设计内容包括防震、防雷、防火。防水、防盗窃,防破坏,温湿度控制,电力供应、电磁防护等方面。
对不同安全保护等级子系统共用机房或共用某些部分(区域)的情况,其共用部分按照最高原则进行设计,即按照最高级别的信息系统的要求和需求进行设计。
具体依据标准《信息系统安全等级保护基本要求》中的物理安全,同时可以参照《信息系统物理安全技术要求》等。
通信网络安全设计
设计内容包括通信过程数据完整性、数据保密性、保证通信可靠性的设备和线路冗余、通信网络的网络管理等方面。
对于不同安全保护等级子系统共用通信网络或共用部分通信网络的情况,其共用部分按照最高原则进行设计,即按照最高级别的系统的要求和需求进行设计。
具体依据标准《信息系统安全等级保护基本要求》中“网络安全”,司时可以参照《网络基础安全技术要求》等。
区域边界安全设计
设计内容包括对区域划分。区域边界保护、身份认证、访问控制、安全审计。入侵防范、恶意代码防范和网络设备自身保护等方面。
对于不同安全保护等级定级系统共存于一个区域边界的情况,应对区域边界的安全设计进行整体考虑,尽量将不同安全保护等级定级系统涉及到的设备,如服务器、工作站等独立划分在不同的网络安全区域内。
对局域网络可采用纵深防御的思想设计内层和外层,尽量将级别较高的定级系统划分在内层网络安全区域内,外网络安全区域是级别较低的定级系统。
具体依据标准《信息系统安全等级保护基本要求》中的”网络安全”,同时可以参照《信息系统等级保护安全设计技术要求》,《网络基础安全技术要求》等。
主机系统安全设计
主机系统安全设计,内容包括操作系统或数据库管理系统的安全配置,主机入侵防范、恶意代码防范、资源使用情况监控等。其中,安全配置细分为身份鉴别、访问控制、安全审计等方面的配置内容。
主机系统的恶意代码防范与入侵检测的安全设计应考虑与网络层面的对应机制协同,构成纵深和层次。
具体依据标准《信息系统安全等级保护基本要求》中的“主机安全”,同时可以泰照《信息系统等级保护安全设计技术要求》、《信息系统通用安全技术要求》等。
应用系统安全设计
对信息系统涉及到的应用系统软件(含应用/中间件平台)进行安全设计。
设计内容包括身份鉴别、访问控制、安全标记、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等。
应用系统安全设计需要关注应用系统的安全框架(含软件开发架构体系、访问控制模型、授权管理模型)
具体依据标准《信息系统安全等级保护基本要求》中的“应用安全”,同时可以参考《信息系统等级保护安全设计技术要求》、《信息系统通用安全技术要求》等
备份和恢复安全设计
针对信息系统的业务数据安全和系统服务连续性进行安全设计,设计内容包括数据备份系统、备用基础设施以及相关技术设施。
针对业务数据安全的数据备份系统需要考虑数据备份的范围、时间间隔、实现技术与介质以及数据备份线路的速率以及相关通信设备的规格和要求。
针对信息系统服务连续性的安全设计要考虑连续性保证方式(设备冗余、系统级冗余直至远程集群支持)与实现细节
具体依据标准《信息系统安全等级保护基本要求》中”数据安全和备分恢复”,同时可以参考《信息系统灾难恢复规范》等
《信息系统安全工程管理要求》
资质要求与等保要求不对应,三级等保不一定要三级资质来做。
标准状态:国标,已发布GB/T20282-2006
四类控制要求和五个等级
采用SSE-CMM的思想
资格保障要求:集成资质要求、人员资质要求、服务资质要求、安全产品要求、工程监理要求等
组织保障要求
工程实施要求
项目实施要求:质量保证、管理配置、管理项目风险,监粒技术活动、计划技术活动等
等级测评
管理办法要求
《管理办法》第十四条:
信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条的测评单位,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评,第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求运行等级测评。
等级测评的作用
可以确定信息系统的安全状况,尤其是与相应等级基本要求的差距,提出安全整改需求
等级测评报告是监管机构指定的备案材料,也是监督检查的依据
等级测评的现场活动可以与行业要求的第三方测评、风险评估等相结合
等级测评是国家发改委等一些单位项目验收的必要步骤
等级测评主要参照的标准
《信息系统安全等级保护基本要求》
《信息系统安全等级保护测评要求》
《信息系统安全等级保护测评过程指南》
等级测评的工作流程和工作内容
测评后续还有内容具体讲,这里不展开。
