培训材料之3信息安全等级保护安全建设整改技术工作主要内容及相关标准应用.docx
《培训材料之3信息安全等级保护安全建设整改技术工作主要内容及相关标准应用.docx》由会员分享,可在线阅读,更多相关《培训材料之3信息安全等级保护安全建设整改技术工作主要内容及相关标准应用.docx(33页珍藏版)》请在冰豆网上搜索。
培训材料之3信息安全等级保护安全建设整改技术工作主要内容及相关标准应用
信息安全等级保护安全建设整改工作培训材料之一
信息安全等级保护安全建设整改技术工作
主要内容及相关标准应用
公安部信息安全等级保护评估中心
二〇〇九年十一月
1概述
1.1信息系统安全建设整改的目的
在已定级的信息系统中,大多数信息系统在建设之初还没有将等级保护要求作为安全需求加以考虑,因此所构建的信息系统安全保障体系或采取的安全保护措施是以满足本部门、本单位的安全需求为出发点的。
随着等级保护工作的逐步展开,尤其是在信息系统确定了安全保护定级之后,重新审视现有信息系统的安全保护状况,由于建设年代不同、所在地域差异、设计人员和实施人员的水平差距等都会造成其信息系统的保护水平参差不齐。
通过开展等级保护工作,使信息系统可以按照等级保护相应等级的要求进行设计、规划和实施,将国家的政策标准要求、机构的使命性要求、系统可能面临的环境和影响以及机构自身的需求相结合作为信息系统的安全需求,使具有相同安全保护等级的信息系统能够达到相应等级的基本保护水平和保护能力。
1.2安全建设整改在落实等级保护工作中的作用
根据等级保护管理办法,等级保护工作主要分为五个环节,定级、备案、建设整改、等级测评和监督检查。
其中定级/备案是信息安全等级保护的首要环节,可以梳理各行业、各部门、各单位的信息系统类型、重要程度和数量等,确定信息安全保护的重点。
而安全建设整改是信息安全等级保护工作落实的关键,通过建设整改使具有不同等级的信息系统达到相应等级的基本保护能力,从而提高我国基础网络和重要信息系统整体防护能力。
等级测评工作的主体是第三方测评机构,工作目的是检验和评价信息系统的安全建设整改工作的成效,判断安全保护能力是否达到相关要求,监督检查工作的主体是信息安全职能管理部门,通过定期的监督、检查和指导,保障重要信息系统安全保护能力不断提高。
2安全建设整改依据的标准
2.1相关标准在等级保护各阶段工作中的作用
GB17859-1999《计算机信息系统安全保护等级划分准则》是基础性标准,GB/T20271-2006《信息系统通用安全技术要求》、GB/T20270-2006《网络基础安全技术要求》、GB/T21052-2007《信息系统物理安全技术要求》等技术要求类标准和GB/T20269-2006《信息系统安全管理要求》、GB/T20282-2006《信息系统安全工程管理要求》等管理要求类标准是在GB17859-1999基础上的进一步细化和扩展。
GB/T22239-2008《信息系统安全等级保护基本要求》(以下简称《基本要求》)技术部分吸收和借鉴了GB17859-1999及相关标准,采纳其中的身份鉴别、数据完整性、自主访问控制、强制访问控制、审计、客体重用(改为剩余信息保护)标记、可信路径等8个安全机制,并将这些机制根据各级的安全目标,扩展到网络层、主机系统层、应用层和数据层,《基本要求》管理部分充分借鉴了ISO/IEC17799:
2005等国际上流行的信息安全管理方面的标准。
根据现有技术的发展水平,《基本要求》提出和规定了不同安全保护等级信息系统的最低保护要求。
行业主管部门可以依据《基本要求》,结合行业特点和信息系统实际出台行业细则,行业细则的要求应不低于《基本要求》。
GB/T22240-2008《信息系统安全等级保护定级指南》(以下简称《定级指南》)为信息系统运营使用单位确定信息系统安全保护等级的工作提供指导,行业主管部门可以依据《定级指南》,结合行业特点和信息系统实际出台行业定级细则,保证行业内信息系统在不同地区等级的一致性,以指导本行业信息系统定级工作的开展。
等级测评是评价信息系统安全保护状况的重要方法,也是等级保护工作的重要环节之一,测评结果可作为向监管机构提交的等级测评报告。
《信息系统安全等级保护测评要求》为等级测评机构开展等级测评活动提供了测评方法和综合评价方法。
《信息系统安全等级保护测评过程指南》对等级测评活动提出规范性要求,以保证测评结论的准确性和可靠性。
《信息系统安全等级保护实施指南》是信息系统安全等级保护建设实施的过程控制标准,用于指导信息系统运营使用单位了解和掌握信息安全等级保护工作的方法、主要工作内容以及不同的角色在不同阶段的作用。
《信息系统等级保护安全设计技术要求》对信息系统安全建设的技术设计活动提供指导,是实现《基本要求》中技术要求的方法之一。
各标准间相互关系如下图简要说明。
信息系统安全等级保护基本要求
计算机信息系统安全保护等级划分准则(GB17859)
信息系统通用安全
技术要求
信息系统物理安全
技术要求
技术类
其他技术类标准
信息系统安全
管理要求
信息系统安全工程
管理要求
其他管理类标准
信息系统安全等级保护定级指南
信息系统安全等级保护基本要求的行业细则
信息系统安全等级保护测评过程指南
信息系统安全等级保护测评要求
信息系统等级保护安全设计技术要求
管理类
产品类
数据库管理系统安全技术要求
其他产品类标准
信息系统安全等级保护行业定级细则
操作系统安全技术
要求
信息系统安全等级保护建设整改
网络基础安全技术
要求
网络和终端设备隔离部件技术要求
安全定级
基线要求
状态分析
方法指导
信息系统安全等级保护实施指南
图1等级保护标准间相互关系
2.2安全建设整改工作依据的标准
2.2.1《基本要求》作用
《基本要求》是针对每个等级的信息系统提出相应安全保护要求,“基本”意味着这些要求是针对该等级的信息系统达到基本保护能力而提出的,也就是说,这些要求的实现能够保证系统达到相应等级的基本保护能力。
信息系统安全建设整改应以落实《基本要求》为主要目标。
信息系统运营使用单位应根据信息系统安全保护等级选择《基本要求》中相应级别的安全保护要求作为信息系统的基本安全需求。
当信息系统有更高安全需求时,可参考《基本要求》中较高级别保护要求或《信息系统通用安全技术要求》、《信息系统安全管理要求》等其他标准。
行业主管部门可以结合行业特点和信息系统实际出台行业细则,行业细则的要求应不低于《基本要求》。
但《基本要求》提出的是“要求”,而不是具体实施方案或作业指导书,《基本要求》给出了系统每一保护方面需达到的要求,至于这种要求采取何种方式实现,不在《基本要求》的描述范围内。
《基本要求》为以下工作提供依据:
a)为信息系统建设单位和运营、使用单位的信息系统建设和整改工作提供依据;
b)为测评机构提供信息系统的等级测评依据;
c)为职能监管部门提供监督检查依据。
2.2.2《基本要求》框架结构
《基本要求》在整体框架结构上以三种分类为支撑点,自上而下分别为:
类、控制点和项。
其中,类表示《基本要求》在整体上大的分类,其中技术部分分为:
物理安全、网络安全、主机系统安全、应用安全和数据安全等5大类,管理部分分为:
安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等5大类,一共分为10大类。
控制点表示每个大类下的关键控制点,如物理安全大类中的“物理访问控制”作为一个控制点。
而项则是控制点下的具体要求项,如“机房出入应有专人负责,进入的人员登记在案。
”
具体框架结构如图所示:
第三级基本要求
物理安全
网络安全
主机系统安全
应用安全
第一级基本要求
第二级基本要求
第四级基本要求
第五级基本要求
数据安全及备份恢复
技术要求
管理要求
安全管理机构
安全管理制度
人员安全管理
系统建设管理
系统运维管理
图2《基本要求》的框架结构
2.2.3安全保护能力
对信息系统采取安全措施是为了使信息系统具备一定的安全保护能力,这种安全保护能力主要表现为能够应对威胁的能力,称为对抗能力。
但在某些情况下,信息系统无法阻挡威胁对自身的破坏时,如果信息系统具有很好的恢复能力,那么即使遭到破坏,也能在很短的时间内恢复系统原有的状态。
能够在一定时间内恢复系统原有状态的能力构成了信息系统的另一种安全保护能力——恢复能力。
对抗能力和恢复能力共同构成了信息系统的安全保护能力。
将“能力”分级,是基于系统的保护对象不同,其重要程度也不相同,重要程度决定了系统所具有的能力也就有所不同。
一般来说,信息系统越重要,应具有的保护能力就越高。
因为系统越重要,其所伴随的遭到破坏的可能性越大,遭到破坏后的后果越严重,因此需要提高相应的安全保护能力。
根据不同级别信息系统的重要程度,提出不同强度的对抗能力和恢复能力,将这些能力细化成安全目标,而基本要求就是为满足这些安全目标而提出的安全保护要求。
下图给出了不同等级信息系统的安全保护能力、安全目标与安全要求之间映射关系。
一级信息系统
对抗能力1
恢复能力1
第1级
安全目标
第1级
基本要求
二级信息系统
对抗能力2
恢复能力2
第2级
安全目标
第2级
基本要求
三级信息系统
对抗能力3
恢复能力3
第3级
安全目标
第3级
基本要求
四级信息系统
对抗能力4
恢复能力4
第4级
安全目标
第4级
基本要求
图3《基本要求》的描述模型
不同等级信息系统所具有的保护能力如下:
第一级信息系统:
经过安全建设整改,信息系统具有抵御一般性攻击的能力,防范常见计算机病毒和恶意代码危害的能力;系统遭到损害后,具有恢复系统主要功能的能力。
第二级信息系统:
经过安全建设整改,信息系统具有抵御小规模、较弱强度恶意攻击的能力,抵抗一般的自然灾害的能力,防范一般性计算机病毒和恶意代码危害的能力;具有检测常见的攻击行为,并对安全事件进行记录的能力;系统遭到损害后,具有恢复系统正常运行状态的能力。
第三级信息系统:
经过安全建设整改,信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能快速恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。
第四级信息系统:
经过安全建设整改,信息系统在统一的安全保护策略下具有抵御敌对势力有组织的大规模攻击的能力,抵抗严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行快速响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能立即恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。
2.2.4《基本要求》的选择和使用说明
安全要求从整体上分为技术和管理两大类,其中,技术类安全要求按其保护的侧重点不同,将其下的控制点分为三类:
业务信息安全类(S类)——关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改。
如,访问控制,该控制点主要关注的是防止未授权的访问系统,进而造成数据的修改或泄漏。
至于对保证业务的正常连续运行并没有直接的影响。
系统服务安全类(A类)——关注的是保护系统连续正常的运行,避免因对系统的未授权修改、破坏而导致系统不可用。
如,资源控制,该控制点很好的体现了对业务正常运行的保护。
通过对资源的使用限制、监视和预警等控制,保证了重要业务的正常运行。
通用安全保护类(G类)——既关注保护业务信息的安全性,同时也关注保护系统的连续可用性。
大多数技术类安全要求都属于此类,保护的重点既是为了保证业务能够正常运行,同时数据要安全。
如,物理访问控制,该控制点主要是防止非授权人员物理访问系统主要工作环境,由于进入工作环境可能导致的后果既可能包括系统无法正常运行(如,损坏某台重要服务器),也可能窃取某些重要数据。
因此,它保护的重点二者兼而有之。
因此,在使用《基本要求》时,应该从信息系统的安全关注点出发,而信息系统的安全关注点可以从信息系统的定级结果中得到。
有了定级结果,就可以选择和使用基本安全要求。
举例来说,某信息系统定级结果为三级S1A3G3,在选择和使用基本安全要求时应选择三级管理要求和S1A3G3的技术要求,可以分为以下过程:
1、选择《基本要求》中的第7章第三级基本要求,包括管理要求和技术要求;
2、根据定级结果S1A3G3进行调整。
信息系统的业务信息安全保护等级为1级,系统服务安全保护等级为3级,因此,将第三级技术要求中的S类要求调整为第一级基本要求中的S类要求,第1步骤中已选择的A类和G类基本要求保持不变;
3、根据行业要求或系统自身特点,分析需要增强的安全保护能力,需要增强业务信息安全保护能力的从2、3、4级的S类基本要求中选择,需要增强系统服务安全保护能力的从4级的A类基本要求中选择,整体需要增强的,则从4级G类基本要求中选择。
在现有技术条件下,基本要求中的某些要求可能无法实现,如“对信息资源设置敏感标记”,信息系统运营、使用单位可以对基本要求进行调整,但是不能降低整体安全保护能力。
此外,在为信息系统选择和使用基本要求时,出发点是保证信息系统具有相应等级的基本安全保护能力。
但用户在进行信息系统安全建设整改时,可以在《基本要求》中的各级要求基础上,参考其他标准、行业要求和系统实际,提出特殊安全要求,开展安全建设整改。
《基本要求》给出了各级信息系统每一保护方面需达到的要求,但不是具体的安全建设整改方案或作业指导书,实现基本要求的措施或方式并不局限于《基本要求》给出的内容,要结合系统自身特点综合考虑采取的措施来达到基本要求提出的保护能力。
《基本要求》中不包含安全设计和工程实施等内容,因此,在系统安全建设整改中,可以参照《信息系统安全等级保护实施指南》、《信息系统等级保护安全设计技术要求》和《信息系统安全工程管理要求》进行。
《基本要求》综合了《信息系统物理安全技术要求》、《信息系统通用安全技术要求》和《信息系统安全管理要求》的有关内容,在进行系统安全建设整改方案设计时可进一步参考后三个标准。
信息系统运营使用单位在根据《基本要求》进行安全建设整改方案设计时,要按照整体安全的原则,综合考虑安全保护措施,建立并完善系统安全保障体系,提高系统的整体安全防护能力。
3安全管理建设整改工作的内容和方法
按照国家有关规定,依据《信息系统安全等级保护基本要求》,参照《信息系统安全管理要求》等标准规范要求,开展信息系统安全管理建设整改工作(工作流程见图4)。
明确主管领导、落实责任部门
落实安全岗位和人员
信息系统安全管理现状分析
挂项目实施方案详细设计
确定安全管理策略、制定安全管理制度
安全自查和调整
系统建设管理
落实安全管理措施
人员安全管理
环境和资产管理
设备和介质管理
日常运行维护
集中安全管理
事件处置和应急响应
灾难备份
安全监测
。
。
。
。
系统运维管理
图4:
信息系统安全管理建设整改工作流程
图4中的安全管理措施是按照一般工作顺序排列的,因此与《基本要求》安全管理要求部分的分类层次有所不同,但内容是一致的。
3.1落实信息安全责任制
信息系统的运营使用单位可以建立统一的信息安全领导机构对本单位信息系统进行决策和管理,明确信息安全的主管领导,落实安全管理责任部门。
如果单位内不同信息系统由不同的部门负责运行和维护,各信息系统应分别设立运行维护岗位并建立相关的人员管理制度,明确每个岗位和人员的职责与任务。
落实安全责任制的具体措施还应参照执行相关管理规定,例如在党政机关信息系统应执行《关于加强党政机关计算机信息系统安全和保密管理的若干规定》,其中要求“各级应当明确一名主要领导负责计算机信息系统安全和保密工作,指定一个工作机构具体负责计算机信息系统安全和保密综合管理。
各部门内设机构应当指定一名信息安全保密员”。
3.2信息系统安全管理现状分析
在开展信息系统安全管理建设整改之前,通过开展信息系统安全管理现状分析,查找信息系统安全管理建设整改需要解决的问题,明确信息系统安全管理建设整改的需求。
可参考以下步骤进行:
(一)分析信息系统现有安全管理体系
了解信息系统的安全组织管理架构、管理策略,安全管理部门设置情况,安全岗位和人员情况,安全管理制度的制定和落实情况等,掌握信息系统现有安全管理体系现状。
(二)分析信息系统安全管理差距
在开展信息系统安全管理建设整改之前,采取对照检查、风险评估、等级测评等方法,分析判断目前所采取的安全管理措施与等级保护标准要求之间的差距,分析系统已发生的事件或事故,分析安全管理方面存在的问题,形成安全管理建设整改的需求。
开展信息系统安全管理差距分析工作,主要依据《基本要求》、《信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》。
(三)论证和确定安全管理需求
对安全管理建设整改需求进行评审论证,该项工作可与安全技术需求论证工作一并进行。
3.3确定安全管理策略,制定安全管理制度
根据安全管理需求,确定安全管理目标和安全策略,针对信息系统的各类管理活动,制定人员安全管理制度,明确人员录用、离岗、考核、教育培训等管理内容;制定系统建设管理制度,明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容;制定系统运维管理制度,明确机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理内容;制定定期检查制度,明确检查的内容、方式、要求等,检查各项制度、措施的落实情况,并不断完善。
规范安全管理人员或操作人员的操作规程等,形成安全管理体系(如图5所示)。
图5安全管理体系
安全管理体系规划的核心思想是调整原有管理模式和管理策略,既从全局高度考虑为整个信息系统制定安全管理目标和统一的安全管理策略,又要从每个定级系统的实际等级、实际需求出发,选择和调整具体的安全管理措施,最后形成统一的系统整体安全管理体系。
3.4落实安全管理措施
3.4.1人员安全管理
人员安全管理主要包括人员录用、离岗、考核、教育培训等内容。
一般单位都有统一的人事管理部门负责人员管理,这里的人员安全管理主要指对关键岗位人员进行的以安全为核心的管理,例如对关键岗位的人员采取在录用或上岗前进行全面、严格的安全审查和技能考核,与关键岗位人员签署保密协议,对离岗人员撤销系统帐户和相关权限等措施。
只有注重对安全管理人员的培养,提高其安全防范意识,才能做到安全有效的防范,因此需要对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。
培训的内容包括单位的信息安全方针、信息安全方面的基础知识、安全技术、安全标准、岗位操作规程、最新的工作流程、相关的安全责任要求、法律责任和惩戒措施等。
具体依据标准《基本要求》中人员安全管理,同时可以参照《信息系统安全管理要求》等。
3.4.2系统运维管理
1、环境和资产安全管理
环境包括计算机、网络机房环境以及设置有网络终端的办公环境,明确环境安全管理的责任部门或责任人,加强对人员出入、来访人员的控制,对有关物理访问、物品进出和环境安全等方面作出规定。
对重要区域设置门禁控制手段,或使用视频监控等措施。
资产包括介质、设备、设施、数据、软件、文档等,资产管理不等同于设备物资管理,而是从安全和信息系统角度对资产进行管理,将资产作为信息系统的组成部分,按其在信息系统中的作用进行管理。
应明确资产安全管理的责任部门或责任人,对资产进行分类、标识,编制与信息系统相关的软件资产、硬件资产等资产清单。
具体依据标准《基本要求》中系统运维管理,同时可以参照《信息系统安全管理要求》等。
2、设备和介质安全管理
明确配套设施、软硬件设备管理、维护的责任部门或责任人,对信息系统的各种软硬件设备采购、发放、领用、维护和维修等过程进行控制,对介质的存放、使用、维护和销毁等方面作出规定,加强对涉外维修、敏感数据销毁等过程的监督控制。
具体依据标准《基本要求》中系统运维管理,同时可以参照《信息系统安全管理要求》等。
3、日常运行维护
明确网络、系统日常运行维护的责任部门或责任人,对运行管理中的日常操作、账号管理、安全配置、日志管理、补丁升级、口令更新等过程进行控制和管理;制订设备操作管理、业务应用操作管理、变更控制和重用管理、信息交换管理相应的管理制度;制定与信息系统安全管理相配套的规范和操作规程并落实执行;正确实施为信息系统可靠运行而采取的各种检测、监控、审计、分析、备份及容错等方法和措施,对运行安全进行监督检查。
具体依据标准《基本要求》中系统运维管理,同时可以参照《信息系统安全管理要求》等。
4、集中安全管理
第三级以上信息系统应按照统一的安全策略、安全管理要求,统一管理信息系统的安全运行,进行安全机制的配置与管理,对设备安全配置、恶意代码、补丁升级、安全审计等进行管理,对与安全有关的信息进行汇集与分析,对安全机制进行集中管理。
具体依据标准《基本要求》中系统运维管理,同时可以参照《信息系统等级保护安全设计技术要求》和《信息系统安全管理要求》等。
5、事件处置与应急响应
按照国家有关标准规定,确定信息安全事件的等级。
结合信息系统安全保护等级,制定信息安全事件分级应急处置预案,明确应急处置策略,落实应急指挥部门、执行部门和技术支撑部门,建立应急协调机制。
落实安全事件报告制度,第三级以上信息系统发生较大、重大、特别重大安全事件时,运营使用单位按照相应预案开展应急处置,并及时向受理备案的公安机关报告。
组织应急技术支撑力量和专家队伍,按照应急预案定期组织开展应急演练。
具体依据标准《基本要求》中系统运维管理,同时可以参照《信息安全事件分类分级指南》和《信息安全事件管理指南》等。
6、灾难备份
要对第三级以上信息系统采取灾难备份措施,防止重大事故、事件发生。
识别需要定期备份的重要业务信息、系统数据及软件系统等,制定数据的备份策略和恢复策略,建立备份与恢复管理相关的安全管理制度。
具体依据标准《基本要求》中系统运维管理和《信息系统灾难恢复规范》。
7、安全监测
开展信息系统实时安全监测,实现对物理环境、通信线路、主机、网络设备、用户行为和业务应用等的监测和报警,及时发现设备故障、病毒入侵、黑客攻击、误用和误操作等安全事件,以便及时对安全事件进行响应与处置。
具体依据标准《基本要求》中系统运维管理。
8、其他
对系统运行维护过程中的其它活动,如系统变更、密码使用等进行控制和管理。
按国家密码管理部门的规定,对信息系统中密码算法和密钥的使用进行分级管理。
3.4.3系统建设管理
系统建设管理的重点是与系统建设活动相关的过程管理,由于主要的建设活动是由服务方,如集成方、开发方、测评方、安全服务方等完成,运营使用单位人员的主要工作是对之进行管理,应制定系统建设相关的管理制度,明确系统定级备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等活动的管理责任部门、具体的管理内容和控制方法,并按照管理制度落实各项管理措施,完整保存相关的管理记录和过程文档。
具体依据标准《基本要求》中系统建设管理。
3.5安全自查与调整
制定安全检查制度,明确检查的内容、方式、要求等,检查各项制度、措施的落实情况,并不断完善。
定期对信息系统安全状况进行自查,第三级信息系统每年自查一次,第四级信息系统每半年自查一次。
经自查,信息系统安全状况未达到安全保护等级要求的,应当进一步开展整改。
具体依据标准《基本要求》中安全管理机构,同时可以参照《信息系统安全管理要求》等。
4安全技术建设整改工作的内容和方法
按照国家有关规定,依据《基本要求
升级会员 