信息安全等级保护服务工程指南.docx
《信息安全等级保护服务工程指南.docx》由会员分享,可在线阅读,更多相关《信息安全等级保护服务工程指南.docx(15页珍藏版)》请在冰豆网上搜索。
信息安全等级保护服务工程指南
一.等级保护工作概述
一.1等级保护发展概况
早在1994年国务院147号令中就明确提出国家计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定;随后发布了以《计算机信息系统安全保护等级划分准则》(GB17859-1999)为核心的一系列标准,并围绕这些标准进行了一系列研究活动。
随着信息以及信息安全技术的发展,2003年7月提出了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)文件,明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”;2004年9月发布的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号,这个文件对信息等级保护工作做了更加具体的明确。
这里明确指出,等级保护制度是国家信息安全的基本制度,首先要根据信息系统的重要性以及遭到破坏以后对国计民生造成的危害性,以及信息系统必须达到的安全保护水平的程度来确定信息安全的保护等级。
明确规定分成五个等级,同时进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。
27号文件和66号文件不但为各行业开展信息安全等级保护工作指明了方向,同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。
作为过渡文件,2006年1月份还发布了《信息安全等级保护管理办法(试行)》(公通字[2006]7号)文件。
2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合下发了《信息安全等级保护管理办法》(公通字[2007]43号)。
将去年年初发布的《信息安全等级保护管理办法(试行)》(公通字[2006]7号)由试行文件转为正式文件,与2006年7号文相比,43号文无论从内容上还是结构上都作了比较大的调整。
43号文是今年等级保护工作发布的一项重要文件,它很可能是最近几年等级保护工作主要依据文件,从文件内容看,虽然作为一个管理办法,它还没有真正解决等级保护工作中所一个管理办法应该解决的问题,也没有从根本上解决等级保护所面临的主要矛盾。
但它从等级划分、等级保护的实施与管理、涉及国家秘密信息系统的分级保护管理、信息安全等级保护的密码管理、法律责任等方面对等级保护工作中所涉及的各项工作如等级定义、定级、等级建设所依据的文件、等级测评、四个部门的职责做了描述和规定,内容涵盖了等级保护工作的方方面面。
为贯彻落实43号文件精神,四部门又联合下发了《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号),要求在2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作。
一.2安全保护等级的划分及监管
43号文中对信息系统的安全保护等级以及建设监管作了明确规定,下表是原有等级与43号文中等级定义的对比以及各等级建设、监管强度表:
级别划分
43号文件等级定义
原来等级定义
建设、监督管理
第一级
信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益
自主保护级,适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益。
信息系统运营、使用单位或者个人可以依据国家管理规范和技术标准进行保护。
第二级
信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全
指导保护级,适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全。
信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护。
必要时,国家有关信息安全职能部门可以对其信息安全等级保护工作进行指导。
第三级
信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害
监督保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成损害。
信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行监督、检查。
第四级
信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害
强制保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害。
信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行强制监督、检查。
第五级
信息系统受到破坏后,会对国家安全造成特别严重损害
专控保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害。
信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家指定的专门部门或者专门机构对其信息安全等级保护工作进行专门监督、检查。
二.等级保护服务参照的文件与标准
目前在等级保护咨询服务工作过程中需要参照的文件和标准如下:
二.1参照文件
1994年2月
《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)
2003年7月
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号文件)
2004年9月
发布《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
2005年9月
电子政务信息安全等级保护实施指南(试行)国信办25号文
2006年1月
公安部、保密局、国密局、国信办联合印发《信息安全等级保护管理办法(试行)》7号文
2007年6月
公安部、保密局、国密局、国信办联合印发《信息安全等级保护管理办法》(公通字[2007]43号)
2007年7月
《关于开展信息系统安全等级保护基础调查工作的通知》(公信安〔2005〕1431号)
二.2参照标准
☞《计算机信息系统安全保护等级划分准则》(GB17859-1999)
☞《信息系统安全保护等级定级指南》(国标征求意见稿)
☞《信息安全等级保护实施指南》(报批稿)
☞《信息系统安全等级保护基本要求》(报批稿)
☞《信息系统安全等级保护测评准则》(送审稿)
☞《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)
☞《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)
☞《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)
☞《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006)
☞《信息安全技术 服务器技术要求》
☞《信息安全技术 终端计算机系统安全等级技术要求》(GA/T671-2006)
☞《信息安全技术 信息系统安全管理要求》(GB/T20269-2006)
☞《信息安全技术 信息系统安全工程管理要求》(GB/T20282-2006)
三.绿盟科技等级保护服务实施原则
●业务主导
信息系统等级保护是围绕系统所承载业务的保护。
对信息系统进行等级保护的根本目的不是保护系统的主机和终端,而是信息系统所承载的业务、数据以及提供的服务,这种以业务为核心的思想将贯穿整个等级保护的各个阶段。
因此明确系统业务、分析业务环境、划分业务边界、导出业务安全需求是信息系统等级保护的首要任务,也是决定等级保护定级正确与否以及等级建设工作质量的最关键阶段。
●业务影响最小化
对于在线系统的等级保护服务,绿盟科技承诺将通过一切措施将对业务的影响降至最低,并为现场安全测试、检查、建设实施提供应急服务。
●标准与实际相结合
绿盟科技的等级保护服务将在深入研究国家所颁布的文件和技术标准基础上进行,但绝不僵化硬搬标准的条例,将结合信息系统承载业务安全需求的具体实际情况,制定符合系统业务安全要求和单位特点的等级保护实施方案。
●充分沟通
绿盟科技实施的等级保护服务并不是一个简单的只重点考虑技术问题的保护,而是既要解决信息系统的技术问题,同时更重要的是要解决业务中所面临的信息安全问题。
因此它不但需要信息系统所属信息部门的支持,还需要业务部门的支持。
信息系统等级保护人员包括信息安全专家、业务专家、主管领导,需要了解现有系统的设计和与技术相关的弱点造成的影响,而工作在单位的业务流程线上的全体人员最了解业务系统和操作的破坏或滥用对业务造成的影响,也最了解潜在的威胁对业务的影响,因此等级保护定级、建设实施过程中需要与这些人员进行广泛的沟通。
●注重质量
为确保等级保护项目的实施质量,绿盟科技在整个等级保护工作实施过程中的不同阶段,采用如流程现场记录确认、协调会、评审会议等不同方式对项目的进度、质量进行控制,在项目完成后,由公司相关主管和部门对该项目进行评估、归档。
●保守秘密
由于等级保护中的服务对象中很大一部分是对国家、对行业、对企业比较敏感的信息系统,因此绿盟科技对保密工作高度重视,建立了严格的保密制度。
在项目开始之前要与用户签署保密协议,并在商务阶段以合同的形式从法律角度上对用户信息系统的信息保密作出庄严承诺。
●保护重点
绿盟科技所做的风险评估不是事无巨细,对整个单位的所有区域进行面面俱到的保护,而是重点考虑关键业务、关键业务流程、关键信息资产、关键区域,保证等级保护工作重点突出、有的放矢、目标明确。
●灵活实施
由于信息系统等级保护是与具体环境极其相关的,不可能设计一种通用的等级保护实现方法,也不存在对所有单位都适用的单一解决方案。
我们的等级保护过程和方法易于修改,实施灵活,可以满足各类单位的需要。
它的每个单独过程都可以进行剪裁,以满足单位独特的业务环境。
四.等级保护咨询服务实施流程
绿盟科技作为专业的安全服务提供商,基于对信息安全的深刻理解,以为客户信息系统构建“等级化的安全体系”为等级保护工作的服务理念,旨在根据不同用户在等级保护不同等级、不同阶段的业务特性、安全需求及安全应用重点,为用户在等级保护的框架下构建一个安全、可靠、灵活、可持续改进的信息安全体系。
等级保护的各个阶段有着不同的工作重点,绿盟科技将凭借着深厚的技术实力和丰富的安全服务项目经验,针对等级保护各个阶段的工作重点为客户提供全方位的支持和服务。
以下是等级保护咨询服务实施的简单流程,详细内容请咨询绿盟科技相关部门。
图5.1等级保护咨询服务流程
五.等级保护咨询服务的规划与实施
绿盟科技作为专业的安全服务提供商,基于对信息安全的深刻理解,以为客户信息系统构建“等级化的安全体系”为等级保护工作的服务理念,旨在根据不同用户在等级保护不同等级、不同阶段的业务特性、安全需求及安全应用重点,为用户在等级保护的框架下构建一个安全、可靠、灵活、可持续改进的信息安全体系。
等级保护的各个阶段有着不同的工作重点,绿盟科技将凭借着深厚的技术实力和丰富的安全服务项目经验,针对等级保护各个阶段的工作重点为客户提供全方位的支持和服务。
五.1系统定级阶段
信息系统安全定级是实施信息系统安全等级保护的基础和前提。
等级确定的正确与否,直接关系到信息系统的定位、后续的安全规划、安全建设、安全实施和等级保护工作相关各方的资源投入,因此在定级阶段如何通过对信息系统的调查和分析,科学、合理地划分信息系统的子系统,并依据各种因素确定信息系统的安全保护等级,对整个等级保护工作能否顺利进行至关重要。
绿盟科技在定级阶段将协助用户完成以下工作:
五.1.1等级保护导入培训
绿盟科技作为主要编写单位,参加了多项国家和北京地区的等级保护、风险评估标准制定工作,对标准有着深入的理解。
为使客户更深入的了解等级保护标准思想内涵、定级方法和工作思路,绿盟科技将为客户进行等级保护导入培训,普及等级保护的基础知识。
五.1.2系统业务安全域划分
通过对信息系统所承载业务及业务流程的分析,对信息系统按业务子系统或进行合理划分,区分需要定级的业务系统,明确系统边界和保护范围,分析信息系统内信息资产和信息系统所提供服务的重要性,协助用户判断信息系统中业务信息和所提供的服务机密性、完整性或可用性等安全属性遭到破坏后,对国家安全利益、经济建设、公共利益或单位利益所造成的影响程度。
为子系统划分和信息系统定级打下扎实基础。
五.1.3信息系统业务安全需求
通过对信息系统所承载业务及业务流程的安全性分析,参考《定级指南》,分析信息系统内信息资产和信息系统所提供服务的重要性,协助用户判断信息系统中业务信息和所提供的服务机密性、完整性或可用性等安全属性遭到破坏后,对国家安全利益、经济建设、公共利益或单位利益所造成的影响程度,导出业务安全需求,为信息系统定级打下扎实基础。
五.1.4系统辅助定级
依据《信息系统安全保护等级定级指南》所提出的4个定级要素,灵活运用指南中所提出的确定信息系统安全保护等级的步骤和方法,在信息系统业务安全性分析的基础上,提出等级建议,协助用户进行系统定级。
五.1.5完成定级备案
协助用户完成系统安全等级备案工作:
编制定级报告,填写备案表,三级以上系统协助用户完成备案资料的收集和整理,编制定级总结报告。
五.2安全规划设计阶段
安全规划设计是等级保护实施过程中的另一个重要阶段,安全规划设计阶段的目标是通过等级化风险评估判断信息系统的安全保护现状与国家等级保护基本要求之间的差距,确定安全需求,根据信息系统的子系统划分情况、子系统的定级情况、子系统互联情况、子系统承载业务情况和安全需求等,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划等,以指导后续的信息系统安全建设工程实施。
绿盟科技在安全规划设计阶段将协助用户完成以下工作:
五.2.1信息资产调研
信息资产调研这项工作和风险评估中的信息资产调研相同,主要通过调研和资产调查表详细了解测试对象组成,比如主机、终端、服务器、网络设备等,以及所安装的系统软件、数据库、在业务系统的作用等,目的是建立比较详细的信息资产列表,确认关键的信息资产,明确评估中的技术测试对象,对它们遭受损坏或攻击对承载业务所造成的影响进行分析;同时在这个过程也要确认系统拓扑图,通过拓扑图的确认也是确定评估范围的一种常用方法,目前主要还是通过用户信息系统拓扑图的确立来确定评估中的技术测试对象。
五.2.2系统IT安全需求导出
这个阶段主要是完成系统的业务安全需求向IT安全需求的转变。
从本质上说,信息系统承载业务的安全需求是推动等级保护工作向前发展的动力和起因,系统的安全需求应能满足系统承载业务长期、健康、稳定的生存发展,是增强竞争能力和抗风险能力的需要。
没有对客户、行业、业务、具体系统的安全需求的详细和准确的分析,不可能获得切合实际的等级保护解决方案。
不同信息系统的安全需求是不同的,我们的等级保护服务不是僵化套用标准的等级保护服务,而是灵活的,以业务的安全分析为基础,针对不同系统的业务特点、行业特点,从多侧面、多角度入手,全方位的导出信息系统的等级安全需求。
导出的安全需求不仅将满足目前承载业务的安全要求,而且会充分考虑单位未来可能出现的新需求。
五.2.3等级差距评估
等级差距评估首先根据系统的安全等级选择和确定系统基本安全要求指标,然后按照安全指标评估系统安全现状,找出系统现状与安全指标之间的差距,并通过风险评估方法根据承载业务的安全特点找出系统的特定需求。
在等级保护工作中,对信息系统的等级评估如果只是简单地套用标准,按标准中描述的相应等级基线的安全技术要求和安全管理要求进行僵化的符合性评估,而不考虑具体信息系统面临的特定的安全威胁和风险,将很难准确评估信息系统的安全状况和与相应等级的差距。
等级差距评估是结合风险评估的方法和理论,围绕着系统所承载的具体业务,通过风险评估的方法评估系统的风险状况,判断系统风险水平是否低于系统可接受的风险水平要求,以及系统的安全措施是否符合相应等级的安全要求两方面条件来判断系统与所定等级的差距。
五.2.4系统等级安全规划
安全总体设计的目的是根据等级保护基本安全要求和系统的安全需求,设计系统的整体安全框架,提出系统在总体方面的策略要求、各个子系统应该实现的安全技术措施、安全管理措施等,形成用于指导系统具体安全建设的安全总体方案。
安全总体设计是将等级保护基本安全要求和系统的安全需求在信息系统上的落实过程。
绿盟科技的安全总体设计首先根据前期系统安全需求导出和等级化风险评估结果制定系统总体的安全策略,然后依据总体安全策略和等级保护相关要求,设计系统的安全技术框架和安全管理框架,形成系统符合安全等级保护要求,同时满足系统特定安全保护需求的安全总体方案,是在较高层次上形成的信息系统安全要求,包括安全方针和安全策略、安全技术框架和安全管理体系等。
五.2.5安全建设规划
安全建设规划的目的是将信息系统安全总体设计规定的内容落实到安全建设项目中。
安全建设规划通过对安全项目的相关性、紧迫性、难易程度和预期效果等因素进行分析,确定实施的先后顺序。
根据系统的安全总体方案,绿盟科技将根据信息系统目前的安全状况和安全投入情况,规划信息系统优先需要考虑的安全措施以及近期、中期和长期的安全建设内容,为在一段时间内指导系统安全建设工作提供完备的安全建设规划方案。
五.3安全实施/实现阶段
五.3.1等级安全解决方案设计
绿盟科技依靠多年的方案设计经验,将在深入分析系统业务安全需求的基础上,为用户提供并建立一套符合相应等级保护要求的全方位的整体系统安全解决实施方案,方案中不仅包括安全技术体系的实施而且包括安全组织体系的设计和安全管理体系的建立。
五.3.2安全管理体系等级改造
信息安全管理是改进当前信息系统安全状况的主要保障,不健全的安全管理机制是信息安全最大的薄弱点,也是等级保护的工作重点,相对于安全技术来说,等级保护在安全管理方面所需工作更是任重道远。
但安全管理体系绝不是各类安全管理制度的简单叠加,绿盟科技将以系统用户的角度,以保障系统业务正常运行为出发点,将系统的信息安全管理状况与等级保护管理要求进行深入的差距分析,深入分析现有的系统管理体系和信息安全管理制度,从各个方面协助客户建立与信息系统安全技术和安全运行相适应的完善的符合系统业务特点的信息安全管理体系。
五.3.3安全技术体系等级改造
安全技术实施的活动内容包括安全产品的采购、安全控制的开发以及验收与测试等环节,绿盟科技将针对系统具体的安全需求,在等级保护前期工作基础上,提供专业的安全技术解决方案,提供包括安全产品选型、产品部署、产品调试配置、安全加固等服务,而且绿盟科技将站在更高的角度,以一个系统建设者的角度,把信息系统安全建设与信息系统建设过程平滑有机地结合起来。
五.3.4协助通过等级测评
在信息系统等级保护基线建设完成后,应向测评机构提出测评申请,准备测评所需要的资料,配合测评队伍完成现场测评。
五.3.5整改方案制定及实施
根据等级测评后测评机构提出的整改意见,为用户制定整改方案,并对系统进行我们职责和能力范围内的等级改造,将整改实施过程形成报告,配合测评机构完成整改检查。
五.3.6安全岗位培训
企业整体的信息安全是要靠组织中的每位员工一起参与的,而目前的实际情况中,普通工作人员往往没有形成与之相适应的安全意识,为提高广大一线员工的安全意识,同时减少企业推广安全策略的过程中不必要的摩擦,绿盟科技为您提供安全普及培训。
该项培训主要目的是普及信息安全的基本知识,提高安全意识。
对常见的安全问题进行描述和解决。
五.3.7整改方案制定及实施
绿盟将根据等级测评后所暴露的问题,为用户制定整改方案,并对系统进行等级改造。
五.4安全运行管理阶段
在安全运行管理阶段,当局部调整等原因导致安全措施的变化时,如果不影响系统的安全保护等级,应从安全运行管理阶段进入安全实施/实现阶段,重新调整和实施安全措施,确保满足安全等级保护的要求;
在安全运行维和状态监控阶段,当系统发生重大变更导致影响系统的安全保护等级时,应从安全运行管理阶段进入系统定级阶段,重新开始一次信息系统等级保护的实施过程。
绿盟科技在等级保护的安全运行管理阶段将向用户提供更为丰富的服务内容,以绿盟科技公认的技术实力为单位信息系统安全运行保驾护航。
在该阶段主要提供的服务有:
五.4.1阶段性风险评估
信息系统存在的风险不是一成不变的,系统承载业务的变化、面临威胁的变化、系统脆弱性的变化都会使信息系统的风险水平发生改变。
为了及时地针对风险的改变调整系统的安全控制措施,使系统的风险始终维持在一个可以接受的水平,满足系统所定等级的安全要求,绿盟科技向客户提供阶段性的风险评估服务。
五.4.2安全状态监控
安全状态监控服务指通过信息共享、安全监控、值守等技术设施,对单位的信息系统运行状态进行监控,及时发现各类信息安全事件并向相关人员发布预警信息,在信息安全事件发生或造成较大危害前及时采取应对措施;安全状态监控服务分为安全状态监控和监控外包两种形式。
安全状态监控服务主要通过在客户网络中安装入侵监测系统和通过我们的主动监控系统,对被服务网络的运行情况和遭受攻击的情况进行分析记录和报警。
当有危害的攻击行为或网络系统运行异常时,绿盟科技工程师将根据多种方式通知客户,双方配合解决相应的问题。
安全监控外包与状态监控服务内容不同之处在于,客户将需要监控管理的设备,主机的运行管理权限交付给绿盟科技管理。
系统在任何异常行为发生时,绿盟科技将直接进行处理。
这种方式对那些关注核心业务的客户来说,将降低运营成本,并提高异常事件的反应速度。
五.4.3安全事件处置和应急响应
信息安全的发展日新月异,绝对的安全是不可能实现的,等级保护的目标不是一劳永逸的安全,对安全事件要求有适当的安全预警、应急响应和事件处置的能力。
作为一个规范的网络安全服务商,绿盟科技有一整套完备的紧急响应机制,同时也具备强大处理各种紧急事件的技术力量。
当紧急安全问题发生,一般技术人员又无法迅速解决的时候,我们将提供响应服务,进行现场技术支持,根据事件的具体情况,迅速组织应急分队,进行信息安全事件分析、事件紧急处置,采取有效措施,遏制事件蔓延。
同时我们还可以为客户提供包括安全咨询、安全通告、安全加固等维护系统安全运行所必须的安全服务。
五.4.4配合用户完成系统自查
在43号文中规定:
“第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。
”,我们可以配合用户完成自身发起的对自身以及分支机构的自查,形成相应的自查报告和自查总结。
解决自查过程中发现的安全问题。
五.4.5配合主管单位、用户完成安全检查
在43号文中规定:
“第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。
对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。
对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。
对第五级信息系统,应当由国家指定的专门部门进行检查。
”
我们将以各种形式配合用户通过各类检查。
升级会员 