信息安全等级保护安全建设整工作指南doc.docx
《信息安全等级保护安全建设整工作指南doc.docx》由会员分享,可在线阅读,更多相关《信息安全等级保护安全建设整工作指南doc.docx(15页珍藏版)》请在冰豆网上搜索。
信息安全等级保护安全建设整工作指南doc
信息安全等级保护安全建设整工作指南
附件2信息安全等级保护安全建设整改工作指南中华人民共和国公安部二〇〇九年十月前言为便于信息安全等级保护安全建设整改工作相关单位全面了解和掌握安全建设整改工作所依据的技术标准规范,以及安全建设整改工作的目标、内容和方法,公安部编写了信息安全等级保护安全建设整改工作指南,供参考。
本指南包括总则、安全管理制度建设、安全技术措施建设三个部分,附录是信息安全等级保护主要标准简要说明。
由于时间仓促,经验不足,不妥之处,敬请批评指正。
目录1总则11.1工作目标11.2工作内容11.3工作流程21.4标准应用31.5安全保护能力目标52安全管理制度建设62.1落实信息安全责任制72.2信息系统安全管理现状分析72.3确定安全管理策略,制定安全管理制度82.4落实安全管理措施82.4.1人员安全管理82.4.2系统运维管理82.4.2.1环境和资产安全管理82.4.2.2设备和介质安全管理92.4.2.3日常运行维护92.4.2.4集中安全管理92.4.2.5事件处置与应急响应92.4.2.6灾难备份92.4.2.7安全监测102.4.2.8其他安全管理102.5系统建设管理102.6安全自查与调整103安全技术措施建设103.1信息系统安全保护技术现状分析113.1.1信息系统现状分析113.1.2信息系统安全保护技术现状分析123.1.3安全需求论证和确定123.2信息系统安全技术建设整改方案设计123.2.1确定安全技术策略,设计总体技术方案123.2.1.1确定安全技术策略123.2.1.2设计总体技术方案12图3安全技术体系设计实例数据安全设计3.2.2安全技术方案详细设计133.2.2.1物理安全设计133.2.2.2通信网络安全设计133.2.2.3区域边界安全设计133.2.2.4主机系统安全设计133.2.2.5应用系统安全设计143.2.2.6备份和恢复安全设计143.2.3建设经费预算和工程实施计划143.2.3.1建设经费预算143.2.3.2工程实施计划143.2.4方案论证和备案153.3安全建设整改工程实施和管理153.3.1工程实施和管理153.3.2工程监理和验收153.3.3安全等级测评15附录信息安全等级保护主要标准简要说明171总则1.1工作目标信息系统运营使用单位在做好信息系统安全等级保护定级备案工作基础上,按照国家有关规定和标准规范要求,开展信息安全等级保护安全建设整改工作。
通过落实安全责任制,开展管理制度建设、技术措施建设,落实等级保护制度的各项要求,使信息系统安全管理水平明显提高,安全保护能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益。
1.2工作内容信息系统运营使用单位在开展信息安全等级保护安全建设整改工作中,应按照国家有关规定和标准规范要求,坚持管理和技术并重的原则,将技术措施和管理措施有机结合,建立信息系统综合防护体系,提高信息系统整体安全保护能力。
要依据信息系统安全等级保护基本要求(以下简称基本要求),落实信息安全责任制,建立并落实各类安全管理制度,开展人员安全管理、系统建设管理和系统运维管理等工作,落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施,具体内容如图1所示。
信息系统安全等级保护基本要求安全管理机构l岗位设置l人员配备l授权和审批l沟通和合作l审核和检查安全管理制度l管理制度l制定和发布l评审和修订人员安全管理l人员录用l人员离岗l人员考核l教育和培训l人员访问管理系统建设管理l定级备案l安全方案设计l产品采购使用l自行软件开发l外包软件开发l工程实施l测试验收l系统交付l安全服务选择l等级测评系统运维管理l环境管理l资产管理l介质管理l设备管理l监控管理l安全管理中心l网络安全管理l系统安全管理l变更管理l备份恢复管理l事件处置l应急响应安全管理建设整改物理安全l机房位置选择l防火防雷l防水防潮l防静电l物理访问控制l防盗窃防破坏l温湿度控制l电力供应l电磁防护网络安全l区域划分l边界防护l访问控制l安全审计l入侵防范l病毒防护l通信保护数据安全与备份恢复l数据保密性l数据完整性l备份与恢复主机安全l身份鉴别l访问控制l安全审计l入侵防范l病毒防护l资源控制l安全标记l剩余信息保护应用安全l身份鉴别l访问控制l安全审计l通信完整性l通信保密性l软件容错l资源控制l安全标记l剩余信息保护l抗抵赖安全技术建设整改图1信息系统安全建设整改主要内容需要说明的是不同级别信息系统安全建设整改的具体内容应根据信息系统定级时的业务信息安全等级和系统服务安全等级,以及信息系统安全保护现状确定。
信息系统安全建设整改工作具体实施可以根据实际情况,将安全管理和安全技术整改内容一并实施,或分步实施。
1.3工作流程信息系统安全建设整改工作分五步进行。
第一步制定信息系统安全建设整改工作规划,对信息系统安全建设整改工作进行总体部署;第二步开展信息系统安全保护现状分析,从管理和技术两个方面确定信息系统安全建设整改需求;第三步确定安全保护策略,制定信息系统安全建设整改方案;第四步开展信息系统安全建设整改工作,建立并落实安全管理制度,落实安全责任制,建设安全设施,落实安全措施;第五步开展安全自查和等级测评,及时发现信息系统中存在安全隐患和威胁,进一步开展安全建设整改工作。
该流程如图2所示。
信息系统安全管理建设信息系统安全技术建设开展信息系统安全自查和等级测评信息系统安全保护现状分析信息系统安全建设整改工作规划和工作部署确定安全策略,制定安全建设整改方案物理安全网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理图2信息系统安全建设整改工作基本流程1.4标准应用信息系统安全建设整改工作应依据基本要求,并在不同阶段、针对不同技术活动参照相应的标准规范进行。
等级保护有关标准在信息系统安全建设整改工作中的作用如图3所示。
信息系统安全等级保护基本要求计算机信息系统安全保护等级划分准则(GB17859)信息系统通用安全技术要求信息系统物理安全技术要求技术类其他技术类标准信息系统安全管理要求信息系统安全工程管理要求其他管理类标准信息系统安全等级保护定级指南信息系统安全等级保护基本要求的行业细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求管理类产品类数据库管理系统安全技术要求其他产品类标准信息系统安全等级保护行业定级细则操作系统安全技术要求信息安全等级保护安全建设整改工作网络基础安全技术要求网络和终端设备隔离部件技术要求安全等级基线要求状况分析方法指导信息系统安全等级保护实施指南图3等级保护相关标准间的关系需要说明的是,
(一)计算机信息系统安全保护等级划分准则及配套标准是基本要求的基础。
计算机信息系统安全保护等级划分准则(GB17859,以下简称划分准则)是等级保护的基础性标准,信息系统通用安全技术要求等技术类标准、信息系统安全管理要求等管理类标准和操作系统安全技术要求等产品类标准是在划分准则基础上研究制定的。
基本要求以技术类标准和管理类标准为基础,根据现有技术发展水平,从技术和管理两方面提出并确定了不同安全保护等级信息系统的最低保护要求,即基线要求。
(二)基本要求是信息系统安全建设整改的依据。
信息系统安全建设整改应以落实基本要求为主要目标。
信息系统运营使用单位应根据信息系统安全保护等级选择基本要求中相应级别的安全保护要求作为信息系统的基本安全需求。
当信息系统有更高安全需求时,可参考基本要求中较高级别保护要求或信息系统通用安全技术要求、信息系统安全管理要求等其他标准。
行业主管部门可以依据基本要求,结合行业特点和信息系统实际出台行业细则,行业细则的要求应不低于基本要求。
(三)定级指南为定级工作提供指导。
信息系统安全等级保护定级指南为信息系统定级工作提供了技术支持。
行业主管部门可以根据定级指南,结合行业特点和信息系统实际情况,出台本行业的定级细则,保证行业内信息系统在不同地区等级的一致性,以指导本行业信息系统定级工作的开展。
(四)测评要求等标准规范等级测评活动。
等级测评是评价信息系统安全保护状况的重要方法。
信息系统安全等级保护测评要求为等级测评机构开展等级测评活动提供了测评方法和综合评价方法。
信息系统安全等级保护测评过程指南对等级测评活动提出规范性要求,以保证测评结论的准确性和可靠性。
(五)实施指南等标准指导等级保护建设。
信息系统安全等级保护实施指南是信息系统安全等级保护建设实施的过程控制标准,用于指导信息系统运营使用单位了解和掌握信息安全等级保护工作的方法、主要工作内容以及不同的角色在不同阶段的作用。
信息系统等级保护安全设计技术要求对信息系统安全建设的技术设计活动提供指导,是实现基本要求的方法之一。
1.5安全保护能力目标各级信息系统应通过安全建设整改分别达到以下安全保护能力目标第一级信息系统经过安全建设整改,信息系统具有抵御一般性攻击的能力,防范常见计算机病毒和恶意代码危害的能力;系统遭到损害后,具有恢复系统主要功能的能力。
第二级信息系统经过安全建设整改,信息系统具有抵御小规模、较弱强度恶意攻击的能力,抵抗一般的自然灾害的能力,防范一般性计算机病毒和恶意代码危害的能力;具有检测常见的攻击行为,并对安全事件进行记录的能力;系统遭到损害后,具有恢复系统正常运行状态的能力。
第三级信息系统经过安全建设整改,信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能快速恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。
第四级信息系统经过安全建设整改,信息系统在统一的安全保护策略下具有抵御敌对势力有组织的大规模攻击的能力,抵抗严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行快速响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能立即恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。
2安全管理制度建设按照国家有关规定,依据基本要求,参照信息系统安全管理要求等标准规范要求,开展信息系统等级保护安全管理制度建设工作。
工作流程见图4。
明确主管领导、落实责任部门落实安全岗位和人员信息系统安全管理现状分析挂项目实施方案详细设计确定安全管理策略、制定安全管理制度安全自查和调整系统建设管理落实安全管理措施人员安全管理环境和资产管理设备和介质管理日常运行维护集中安全管理事件处置和应急响应灾难备份安全监测系统运维管理图4信息系统安全管理建设整改工作流程2.1落实信息安全责任制明确领导机构和责任部门,设立或明确信息安全领导机构,明确主管领导,落实责任部门。
建立岗位和人员管理制度,根据职责分工,分别设置安全管理机构和岗位,明确每个岗位的职责与任务,落实安全管理责任制。
建立安全教育和培训制度,对信息系统运维人员、管理人员、使用人员等定期进行培训和考核,提高相关人员的安全意识和操作水平。
具体依据基本要求中的“安全管理机构”内容,同时可以参照信息系统安全管理要求等。
2.2信息系统安全管理现状分析在开展信息系统安全管理建设整改之前,通过开展信息系统安全管理现状分析,查找信息系统安全管理建设整改需要解决的问题,明确信息系统安全管理建设整改的需求。
可以依据基本要求等标准,采取对照检查、风险评估、等级测评等方法,分析判断目前所采取的安全管理措施与等级保护标准要求之间的差距,分析系统已发生的事件或事故,分析安全管理方面存在的问题,形成安全管理建设整改的需求并论证。
2.3确定安全管理策略,制定安全管理制度根据安全管理需求,确定安全管理目标和安全策略,针对信息系统的各类管理活动,制定人员安全管理制度、系统建设管理制度、系统运维管理制度、定期检查制度等,规范安全管理人员或操作人员的操作规程等,形成安全管理体系。
具体依据基本要求中的“安全管理制度”内容,同时可以参照信息系统安全管理要求等。
2.4落实安全管理措施2.4.1人员安全管理人员安全管理主要包括人员录用、离岗、考核、教育培训等内容。
规范人员录用、离岗、过程,关键岗位签署保密协议,对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训,对关键岗位的人员进行全面、严格的安全审查和技能考核。
对外部人员允许访问的区域、系统、设备、信息等进行控制。
具体依据基本要求中的“人员安全管理”内容,同时可以参照信息系统安全管理要求等。
2.4.2系统运维管理2.4.2.1环境和资产安全管理明确环境(包括主机房、辅机房、办公环境等)安全管理的责任部门或责任人,加强对人员出入、来访人员的控制,对有关物理访问、物品进出和环境安全等方面作出规定。
对重要区域设置门禁控制手段,或使用视频监控等措施。
明确资产(包括介质、设备、设施、数据和信息等)安全管理的责任部门或责任人,对资产进行分类、标识,编制与信息系统相关的软件资产、硬件资产等资产清单。
具体依据基本要求中的“系统运维管理”内容,同时可以参照信息系统安全管理要求等。
2.4.2.2设备和介质安全管理明确配套设施、软硬件设备管理、维护的责任部门或责任人,对信息系统的各种软硬件设备采购、发放、领用、维护和维修等过程进行控制,对介质的存放、使用、维护和销毁等方面作出规定,加强对涉外维修、敏感数据销毁等过程的监督控制。
具体依据基本要求中的“系统运维管理”内容,同时可以参照信息系统安全管理要求等。
2.4.2.3日常运行维护明确网络、系统日常运行维护的责任部门或责任人,对运行管理中的日常操作、账号管理、安全配置、日志管理、补丁升级、口令更新等过程进行控制和管理,制订相应的管理制度和操作规程并落实执行。
具体依据基本要求中的“系统运维管理”内容,同时可以参照信息系统安全管理要求等。
2.4.2.4集中安全管理第三级(含)以上信息系统应按照统一的安全策略、安全管理要求,统一管理信息系统的安全运行,进行安全机制的配置与管理,对设备安全配置、恶意代码、补丁升级、安全审计等进行管理,对与安全有关的信息进行汇集与分析,对安全机制进行集中管理。
具体依据基本要求中的“系统运维管理”内容,同时可以参照信息系统等级保护安全设计技术要求和信息系统安全管理要求等。
2.4.2.5事件处置与应急响应按照国家有关标准规定,确定信息安全事件的等级。
结合信息系统安全保护等级,制定信息安全事件分级应急处置预案,明确应急处置策略,落实应急指挥部门、执行部门和技术支撑部门,建立应急协调机制。
落实安全事件报告制度,第三级(含)以上信息系统发生较大、重大、特别重大安全事件时,运营使用单位按照相应预案开展应急处置,并及时向受理备案的公安机关报告。
组织应急技术支撑力量和专家队伍,按照应急预案定期组织开展应急演练。
具体依据基本要求中的“系统运维管理”内容,同时可以参照信息安全事件分类分级指南和信息安全事件管理指南等。
2.4.2.6灾难备份要对第三级(含)以上信息系统采取灾难备份措施,防止重大事故、事件发生。
识别需要定期备份的重要业务信息、系统数据及软件系统等,制定数据的备份策略和恢复策略,建立备份与恢复管理相关的安全管理制度。
具体依据基本要求中的“系统运维管理”内容和信息系统灾难恢复规范。
2.4.2.7安全监测开展信息系统实时安全监测,实现对物理环境、通信线路、主机、网络设备、用户行为和业务应用等的监测和报警,及时发现设备故障、病毒入侵、黑客攻击、误用和误操作等安全事件,以便及时对安全事件进行响应与处置。
具体依据基本要求中的“系统运维管理”。
2.4.2.8其他安全管理对系统运行维护过程中的其它活动,如系统变更、密码使用等进行控制和管理。
按国家密码管理部门的规定,对信息系统中密码算法和密钥的使用进行分级管理。
2.5系统建设管理制定系统建设相关的管理制度,明确系统定级备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等内容的管理责任部门、具体管理内容和控制方法,并按照管理制度落实各项管理措施。
具体依据基本要求中的“系统建设管理”内容。
2.6安全自查与调整制定安全检查制度,明确检查的内容、方式、要求等,检查各项制度、措施的落实情况,并不断完善。
定期对信息系统安全状况进行自查,第三级信息系统每年自查一次,第四级信息系统每半年自查一次。
经自查,信息系统安全状况未达到安全保护等级要求的,应当进一步开展整改。
具体依据基本要求中的“安全管理机构”内容,同时可以参照信息系统安全管理要求等。
信息系统安全管理建设整改工作完成后,安全管理方面的等级测评与安全技术方面的测评工作一并进行。
3安全技术措施建设按照国家有关规定,依据基本要求,参照信息系统通用安全技术要求、信息系统等级保护安全设计技术要求等标准规范要求,开展信息系统安全技术建设整改工作。
工作流程见图5。
信息系统安全保护技术现状分析开展建设整改技术方案详细设计工程实施及验收项目实施方案详细设计等级测评不符合标准要求开展建设整改技术方案论证和评审确定安全策略,开展建设整改技术方案总体设计通信网络安全物理安全。
。
。
。
项目实施方案详细设计应用系统安全区域边界安全主机系统安全备份和恢复建设并落实安全技术措施图5信息系统安全技术建设整改工作流程3.1信息系统安全保护技术现状分析了解掌握信息系统现状,分析信息系统的安全保护状况,明确信息系统安全技术建设整改需求,为安全建设整改技术方案设计提供依据。
3.1.1信息系统现状分析了解掌握信息系统的数量和等级、所处的网络区域以及信息系统所承载的业务应用情况,分析信息系统的边界、构成和相互关联情况,分析网络结构、内部区域、区域边界以及软、硬件资源等。
具体可参照信息系统安全等级保护实施指南中“信息系统分析”的内容。
3.1.2信息系统安全保护技术现状分析在开展信息系统安全技术建设整改之前,应通过开展信息系统安全保护技术现状分析,查找信息系统安全保护技术建设整改需要解决的问题,明确信息系统安全保护技术建设整改的需求。
可采取对照检查、风险评估、等级测评等方法,分析判断目前所采取的安全技术措施与等级保护标准要求之间的差距,分析系统已发生的事件或事故,分析安全技术方面存在的问题,形成安全技术建设整改的基本安全需求。
在满足信息系统安全等级保护基本要求基础上,可以结合行业特点和信息系统安全保护的特殊要求,提出特殊安全需求。
具体可参照基本要求、信息系统安全等级保护测评要求和信息系统安全等级保护测评过程指南等标准。
3.1.3安全需求论证和确定安全需求分析工作完成后,将信息系统的安全管理需求与安全技术需求综合形成安全需求报告。
组织专家对安全需求进行评审论证。
3.2信息系统安全技术建设整改方案设计在安全需求分析的基础上,开展信息系统安全建设整改方案设计,包括总体设计和详细设计,制定工程预算和工程实施计划等,为后续安全建设整改工程实施提供依据。
3.2.1确定安全技术策略,设计总体技术方案3.2.1.1确定安全技术策略根据安全需求分析,确定安全技术策略,包括业务系统分级策略、数据信息分级策略、区域互连策略和信息流控制策略等,用以指导系统安全技术体系结构设计。
3.2.1.2设计总体技术方案在进行信息系统安全建设整改技术方案设计时,应以基本要求为基本目标,可以针对安全现状分析发现的问题进行加固改造,缺什么补什么;也可以进行总体的安全技术设计,将不同区域、不同层面的安全保护措施形成有机的安全保护体系,落实物理安全、网络安全、主机安全、应用安全和数据安全等方面基本要求,最大程度发挥安全措施的保护能力。
在进行安全技术设计时,可参考信息系统等级保护安全设计技术要求,从安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面落实安全保护技术要求。
图3安全技术体系设计实例数据安全设计3.2.2安全技术方案详细设计3.2.2.1物理安全设计从安全技术设施和安全技术措施两方面对信息系统所涉及到的主机房、辅助机房和办公环境等进行物理安全设计,设计内容包括防震、防雷、防火、防水、防盗窃、防破坏、温湿度控制、电力供应、电磁防护等方面。
物理安全设计是对采用的安全技术设施或安全技术措施的物理部署、物理尺寸、功能指标、性能指标等内容提出具体设计参数。
具体依据基本要求中的“物理安全”内容,同时可以参照信息系统物理安全技术要求等。
3.2.2.2通信网络安全设计对信息系统所涉及的通信网络,包括骨干网络、城域网络和其他通信网络(租用线路)等进行安全设计,设计内容包括通信过程数据完整性、数据保密性、保证通信可靠性的设备和线路冗余、通信网络的网络管理等方面。
通信网络安全设计涉及所需采用的安全技术机制或安全技术措施的设计,对技术实现机制、产品形态、具体部署形式、功能指标、性能指标和配置参数等提出具体设计细节。
具体依据基本要求中“网络安全”内容,同时可以参照网络基础安全技术要求等。
3.2.2.3区域边界安全设计对信息系统所涉及的区域网络边界进行安全设计,内容包括对区域网络的边界保护、区域划分、身份认证、访问控制、安全审计、入侵防范、恶意代码防范和网络设备自身保护等方面。
区域边界安全设计涉及所需采用的安全技术机制或安全技术措施的设计,对技术实现机制、产品形态、具体部署形式、功能指标、性能指标和配置策略和参数等提出具体设计细节。
具体依据基本要求中的“网络安全”内容,同时可以参照信息系统等级保护安全设计技术要求、网络基础安全技术要求等。
3.2.2.4主机系统安全设计对信息系统涉及到的服务器和工作站进行主机系统安全设计,内容包括操作系统或数据库管理系统的选择、安装和安全配置,主机入侵防范、恶意代码防范、资源使用情况监控等。
其中,安全配置细分为身份鉴别、访问控制、安全审计等方面的配置内容。
具体依据基本要求中的“主机安全”内容,同时可以参照信息系统等级保护安全设计技术要求、信息系统通用安全技术要求等。
3.2.2.
升级会员 