计算机信息系统安全等级保护白皮书讲解.docx
《计算机信息系统安全等级保护白皮书讲解.docx》由会员分享,可在线阅读,更多相关《计算机信息系统安全等级保护白皮书讲解.docx(38页珍藏版)》请在冰豆网上搜索。
计算机信息系统安全等级保护白皮书讲解
信息安全等级保护白皮书
内蒙古信元信息安全评测有限责任公司
一、背景
随着我国信息化建设程度越来越高,关系国计民生的重要领域信息系统已成为国家的关键基础设施,信息资源已成为重要的战略资源之一。
当前,我国基础信息网络和重要信息系统安全面临的形势十分严峻,既有外部威胁,又有自身脆弱性和薄弱环节。
信息安全滞后于信息化发展;信息系统安全建设和管理的目标不明确;信息安全保障工作的重点不突出;信息安全监督管理缺乏依据和标准;监管措施有待到位,监管体系尚待完善。
1994年经党中央和国务院批准,国家信息化领导小组决定加强信息安全保障工作,实行信息安全等级保护,重点保护基础信息网络和重要信息系统安全,要抓紧安全等级保护制度建设。
这一重大决定,明确落实了《中华人民共和国计算机信息系统安全保护条例》(国务院令147号)中关于实行信息安全等级保护制度的有关规定,提出了从整体上根本上解决国家信息安全问题的办法,进一步确定了信息安全的发展主线、中心任务,提出了总要求。
对信息系统实行等级保护是国家法定制度和基本国策,是开展信息安全保护工作的有效办法,是信息安全保护工作的发展方向。
实行信息安全等级保护的决定具有重大的现实和战略意义。
同时为了更好的维护重要领域信息系统的安全,使安全保护工作走上法制化、规范化、制度化管理轨道。
为进一步贯彻落实《中华人民共和国计算机信息系统安全保护条例》(国务院令147号),国家相关主管部门相继颁布了一系列等级保护制度。
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《信息安全等级保护管理办法》(公通字[2007]43号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)。
自2007年开始,为了提高我国基础信息网络和重要信息系统的信息安全保护能力和水平,从国家层面开始推动我国的政府、金融、电力、通信、交通灯基础行业在全国范围内组织开展重要信息系统安全等级保护工作。
二、计算机信息系统安全等级保护是什么
2.1计算机信息系统
计算机信息系统是指以计算机或计算机网络为主体,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统,即信息管理与信息系统。
信息的定义:
信息是对事物运动状态和特征的描述,而数据是载荷信息的物理符号。
信息管理过程就是信息的收集、传递、加工。
判断、决策的过程,管理活动中流动的是信息。
2.2信息安全等级保护
信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在很多国家都存在的一种信息安全领域的工作。
在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上称为的一般指信息系统安全等级保护,是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。
对涉及国计民生的基础信息网络和重要信息系统按其重要程度及实际安全需求,合理投入,分级进行保护,分类指导,分阶段实施,保障信息系统安全正常运行和信息安全,提高信息安全综合防护能力,保障国家安全,维护社会秩序和稳定,保障并促进信息化建设健康发展,拉动信息安全和基础信息科学技术发展与产业化,进而牵动经济发展,提高综合国力。
三、等级保护内容
3.1为什么要做等级保护
当前,我国信息安全面临的形势仍然十分严峻,维护国家信息安全的任务十分艰巨、繁重。
一是西方敌对势力对我网上渗透和颠覆活动不断升级,我们将长期面临敌对势力的信息优势、技术优势所带来的信息安全威胁。
二是境内外反动势力在西方敌对势力的支持下,对我重要网络和信息系统频繁进行攻击破坏。
2006年就发生几十起攻击我卫星广播电视和插播事件,今年以来又发生多起卫星受干扰事件和光缆遭人为破坏事件。
随着我国经济的持续发展和国际地位的不断提高,我国的基础信息网络和重要信息系统正成为敌对势力、敌对分子进行攻击、破坏和恐怖活动的重点目标。
三是计算机病毒传播和网络非法入侵十分严重。
据公安机关调查,今年1-6月,我国平均每月截获计算机病毒6.6万个,累计感染计算机达1.18亿台次。
今年初在我国发生的“熊猫烧香”病毒案,短时间内就出现病毒变种700余个,感染了445万台计算机,大批网民的网上帐号、口令被窃取。
四是网络违法犯罪持续大幅上升。
仅2006年,公安机关就查处网上违法犯罪案件4万多起,查获违法犯罪嫌疑人3万多名,同比大幅上升。
犯罪分子利用一些重要信息系统的安全漏洞,使用黑客病毒技术、网络钓鱼技术、木马间谍程序等新技术进行网络盗窃、网络诈骗、网络赌博等违法犯罪,给用户造成严重损失,引发诸多社会问题。
五是网上失、窃密情况严重。
一些国家和地区间谍情报机关利用我一些单位、人员和信息系统防范不严、警惕性不高、安全措施不力的状况在网上大肆对我进行窃密活动,目标直指我党政军要害部门和重要信息系统。
近年来,已发生多起危害严重的网上失、窃密案件。
六是网络安全管理不善,安全措施不到位,信息系统运行事故时有发生。
金融、民航等重要信息系统连续发生运行事故,不仅直接影响生产业务的正常运行,而且造成了严重社会影响。
面对复杂的信息安全形势,胡锦涛总书记等中央领导同志对信息安全工作始终高度重视,先后多次作出重要指示。
在中央政治局第38次学习会上,胡锦涛总书记明确指出,当前,国际上围绕信息获取、利用、控制的斗争日趋激烈,维护国家在网络空间的安全和利益成为信息时代的重大战略课题。
要求我们必须敏锐地把握当今世界信息化发展的趋势,积极推进国民经济和社会信息化,确保我国在日趋激烈的国际竞争中掌握主动权。
※测评工作对各单位的帮助
1)满足国家信息安全等级保护相关政策与标准要求
2)实现信息系统等级化保护和等级化管理。
3)帮助客户了解自身系统的安全性,了解信息安全现状和所面临的威胁,从而获得从业务面到技术面的整合需求。
4)帮助客户了解自身系统的安全要求底线,避免盲目的整改系统及采购设备,造成资金与资源的浪费。
5)建立有效的信息安全体系、完善信息安全架构,保障客户的业务数据安全与连续性。
6)通过完善管理制度增强客户的安全意识,减少和避免人为因素造成的安全事件的发生。
3.2等级保护内容
●对国家秘密信息、法人和其他组织及公民的专有信息、公开信息分类分级进行管理和保护;对信息系统按业务安全应用域和区实行分级保护。
●对系统中使用的信息安全产品实行按分级管理。
●对等级系统的安全服务资质分级管理。
●对信息系统中发生的信息安全事件分等级响应、处置
●五个规定动作:
信息系统定级、备案、安全建设整改、等级测评、监督检查。
3.3相关政策及法律依据
3.3.1相关政策
Ø1994年国务院发布了中华人民共和国国务院令(147号)《中华人民共和国计算机信息系统安全保护条例》。
自此,国家相关主管部门陆续发布了多项政策及标准,等级保护作为国家信息安全保障整改建设的标准,逐步进入落地阶段:
Ø2003年中办、国办联合发布的中办发[2003]27号文件,关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知;
Ø2004年公安部、保密局、国密办以及国信办联合发布的公通字[2004]66号文件《关于信息安全等级保护工作的实施意见》;
Ø2007年公安部、保密局、国密办和国信办联合发布的公通字[2007]43号文件《信息安全等级保护管理办法》。
Ø2007年公安部、保密局、国密办和国信办联合发布的公信安[2007]861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》。
Ø2007年公安部发布的公信安[2007]1360号文件《信息安全等级保护备案实施细则》。
Ø2008年公安部发布的公信安[2008]736号文件《公安机关信息安全等级保护检查工作规范》。
Ø2008年公安部、保密局、国家发改委发布的发改高技[2008]2071号文件《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》
Ø2009年公安部发布的公信安[2009]1429号文件《关于开展信息安全等级保护安全建设整改工作的指导意见》。
Ø2010年公安部发布的公信安[2010]303号文件《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》。
3.3.2国家相关政策在计算机信息系统安全等级保护工作中的作用:
3.3.3地区性政策及其他行业指导性文件
※内蒙古自治区相关文件
Ø2011年内蒙古自治区人民政府发布第183号政府令《内蒙古自治区计算机信息系统安全保护办法》,自2012年2月1日期施行,计算机系统信息安全等级保护工作在内蒙古自治区进入落地阶段
Ø2012年内蒙古自治区发改委、财政厅、公安厅、保密局、内网办联合发布内发改高技字(2012)2242号文件《转发国家发改委等五部门关于进一步加强国家电子政务网络建设和应用工作的通知》
Ø2013年内蒙古自治区人民政府办公厅发布内政办(2013)133号文件《内蒙古自治区人民政府办公厅关于开展政府网站信息安全等级保护工作的通知》
3.3.4其他行业指导性文件
Ø2007年国家电力监管委员会发布电监信息[2007]44号《电力行业信息系统等级保护定级工作指导建议》、电监信息[2007]50号《电力行业网络与信息安全监督管理暂行规定》
Ø2011年国家卫生部发布卫办发[2011]85号文件《卫生行业信息安全等级保护工作的指导建议》
Ø2012年央行发布银发[2012]163号文件《中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见》,[2012]171号文件中国人民银行关于发布《金融行业信息系统信息安全等级保护实施指引》等三项行业标准的通知。
3.4等级保护工作意义
信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法,开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障。
实施信息安全等级保护制度,信息系统运营使用单位和主管部门能按照标准进行安全建设、整改,信息系统安全与否也有了一个衡量尺度。
信息安全等级保护有效体现“适度安全、保护重点”的目的,将有限的财力、物力、人力投入到重要信息系统安全保护中,按标准建设安全保护措施,建立安全保护制度,落实安全责任,加强监督检查,有效保护重要信息系统安全,有效提高我国信息和信息系统安全建设的整体水平。
建立信息安全等级保护制度,开展信息安全等级保护工作,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务;有利于优化信息安全资源的配置,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式
3.5等级保护涉及行业及系统
根据等级保护相关政策要求,需要实施等级保护的信息系统包括:
◇党政:
(党委、政府等)
◇金融:
(银行、保险、证券等)及财税系统(财政、税务、工商等)
◇经贸:
(商业贸易、海关等)
◇通信:
(邮电、电信业、广播、电视等)
◇能源:
(电力、热力、燃气、煤炭、矿业、油料、水利及供水等)
◇交通运输:
(航天、航空、铁路、公路、水运、海运等)
◇社会应急服务:
(医疗、消费、紧急救援等)
◇教育科研:
(教育、科研、尖端科技等)
◇国防建设系统:
◇国有大中型企业:
◇互联单位、接入单位、重点网站及向公众提供上网服务场所的信息系统。
四、信息系统安全保护等级的划分与保护
4.1“自主定级、自主保护”与国家监管
《管理办法》第六条规定,信息安全等级保护工作坚持“自主定级、自主保护”原则。
信息系统运营使用单位和主管部门是信息安全等级保护的责任主体,根据所属信息系统的重要程度和遭到破坏后的危害程度,自主确定信息系统的安全保护等级。
同时,按照所定等级,依照相应等级的管理规范和技术标准,建设信息安全保护设施,建立安全制度,落实安全责任,自主对信息系统进行保护。
在等级保护工作,信息系统运营使用单位和主管部门按照“谁主管谁负责,谁运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。
运营使用单位和主管部门是信息系统安全的第一责任人,对所属信息系统安全负有直接责任;公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导,对重要信息系统安全负监管责任。
由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序,也会影响国家安全、社会稳定、公共利益,因此,国家必然要对重要信息系统的安全进行监管。
4.2信息系统安全保护等级
《管理办法》第六条、第七条规定,信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
4.3信息系统安全保护等级的定级要素
信息系统的安全保护等级由两个定级要素决定:
等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
1、受侵害的客体。
等级保护对象受到破坏时所侵害的客体包括以下三个方面:
一是公民、法人和其他组织的合法权益;二是社会秩序、公共利益;三是国家安全。
2、对客体的侵害程度。
对客体的侵害程度由客观方面的不同外在表现综合决定。
由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度为三种:
一是造成一般损害;二是造成严重损害;三是造成特别严重损害。
4.4五级保护和监管
《管理办法》第八条规定,信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。
国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。
国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
五、等级保护具体内容和要求
信息安全等级保护工作主要分为定级备案、安全建设整改、等级测评、监督检查等主要环节的内容。
5.1信息安全等级保护定级工作
信息系统定级原则:
“自主定级、专家评审、主管部门审批、公安机关审核”。
具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字[2007]861号)要求执行。
定级工作流程:
确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核。
Ø确定定级对象
a)起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)。
b)用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。
c)各单位网站。
d)也可以从以下几个方面进行考虑:
Ø从管理机构角度划分
划为同一定级安全域的系统应只有一个管理机构对其进行负责和管理,这样才能保证信息系统遵循统一的安全管理策略。
由不同管理机构控制下的信息系统,其安全责任主体不同,会导致以后等级建设和维护中的一些问题。
Ø从业务类型角度划分
具有相同的业务处理模式、处理类似的业务信息的业务系统,可划分为一个定级安全域,进行定级。
Ø从相同的物理位置或相似的运行环境划分
根据信息系统所处的物理位置或所处的运行环境,将面临相似安全威胁,有利于采取统一安全保护措施的业务系统,划分为的一个定级对象。
作为定级对象的信息系统应具有唯一确定的安全责任主体,也就是定级信息系统的主管机构应该唯一,主要是防止当信息系统出现安全问题时,职责不清、相互推诿的现象发生,这也是与等级保护工作“谁主管,谁负责”方针相对应的。
承载单一或相对独立的业务应用,如果系统承载的业务单一,这是比较理想的情况,但在实际情况中,一般都是一个系统承载了多项业务,而且业务边界也要比定级指南中所描述的复杂的多,这将是在定级阶段面临的比较多的问题。
Ø确定信息系统安全保护等级
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
Ø等级的确定将由两方面决定:
a)等级保护对象受到破坏时所侵害的客体
b)对客体造成侵害的程度
在这两方面需要考虑的因素如下表:
确定等级因素
包含的内容
客体
1、公民、法人和其他组织的合法权益
2、社会秩序、公共利益
3、国家安全
客体造成侵害的程度
1、造成损害
2、造成严重损害
3、造成特别严重损害
受到破坏时所侵害的客体
国家安全
●影响国家政权稳固和国防实力
●影响国家统一、民族团结和社会安定
●影响国家对外活动中的政治、经济利益;
●影响国家重要的安全保卫工作;
●影响国家经济竞争力和科技实力;
●其他影响国家安全的事项
社会秩序
●影响国家机关社会管理和公共服务的工作秩序;
●影响各种类型的经济活动秩序;
●影响各行业的科研、生产秩序;
●影响公众在法律约束和道德规范下的正常生活秩序等;
●其他影响社会秩序的事项
公众利益以及公民
●影响社会成员使用公共设施;
●影响社会成员获取公开信息资源;
●影响社会成员接受公共服务等方面;
●其他影响公共利益的事项
法人和其他组织
由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益
对客体的侵害程度
一般损害
工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的资产损失,有限的社会不良影响,对其他组织和个人造成较低损害
严重损害
工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的资产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。
特别严重损害
工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的资产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。
定级要素与安全保护等级的关系如下表:
受侵害的客体
对客体的侵害程度
损害
严重损害
特别严重损害
公民、法人和其他组织的合法权益
第一级
第二级
第二级
社会秩序、公共利益
第二级
第三级
第四级
国家安全
第三级
第四级
第五级
Ø定级方法
①确定定级对象;
②确定业务信息安全受到破坏时所侵害的客体;
③综合评定业务信息安全被破坏对客体的侵害程度;
④得到业务信息安全等级;
⑤确定系统服务安全受到破坏时所侵害的客体;
⑥综合评定系统服务安全被破坏对客体的侵害程度;
⑦得到系统服务安全等级;
⑧由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。
定级应考虑信息系统在信息安全和系统服务安全两方面。
业务信息安全等级是从业务系统承载的业务数据安全角度出发,信息系统安全保护等级是从系统承载业务提供的服务安全出发。
在这两方面分别确定等级后,由两个等级中安全等级较高者决定信息系统等级。
如下图:
Ø定级报告
定级报告是为详细了解和掌握定级过程情况由信息系统运营使用单位负责填写的文档。
定级报告作为《备案表》表三的附件,要在信息系统备案时一并提交,信息系统运营使用单位在起草定级报告时可以请技术支持单位协助。
定级报告的构成和起草
①信息系统描述
简述确定该信息系统为定级对象的理由,该信息系统所承载业务的主管单位和部门,该信息系统具有信息系统的基本要素(有主机、网络及相关配套设施构成的人机系统),该信息系统承载着独立或单一的业务应用,业务应用主要包括哪些,各包含哪些功能等。
②信息系统安全保护等级的确定
业务信息安全保护等级的确定
第一步:
简要描述信息系统所处理的主要业务信息,包括各项业务的主要数据项有哪些等
第二步:
确定业务信息受到破坏后所侵害的客体
第三步:
确定对客体的侵害程度
第四步:
查表确定业务信息安全等级
系统服务安全保护等级的确定
第一步:
简要描述系统的服务范围、服务对象、服务要求等等
第二步:
确定系统服务受到破坏后所侵害的客体
第三步:
确定对客体的侵害程度
第四步:
查表确定系统服务安全等级
③信息系统安全保护等级的确定
信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。
Ø定级工作需注意的问题
①同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。
②新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。
5.2信息安全等级保护备案工作
信息系统备案工作包括:
信息系统备案、受理、审核和备案信息管理。
具体按照《关于开展全国重要信息系统安全等级保护定级工作的通知》要求开展。
Ø备案
第二级以上信息系统,由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续,填写《信息系统安全等级保护备案表》。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部备案;其他信息系统向北京市公安局备案。
跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
各部委统一定级信息系统在各地的分支系统,即使是上级主管部门定级的,也要到当地公安网络安全保卫部门备案。
Ø备案表
备案表是信息系统运营使用单位实施信息安全等级保护工作的重要记录,也是公安机关
升级会员 