《信息系统安全等级保护实施指南》培训教材.docx
《《信息系统安全等级保护实施指南》培训教材.docx》由会员分享,可在线阅读,更多相关《《信息系统安全等级保护实施指南》培训教材.docx(42页珍藏版)》请在冰豆网上搜索。
《信息系统安全等级保护实施指南》培训教材
《信息系统安全等级保护实施指南》
培训教材
本教材主要通过对《信息系统安全等级保护实施指南》(以下简称《实施指南》)的主要作用、内容等进行介绍,使培训人员能够清楚了解等级保护的整个实施过程,以便各项工作的开展。
1概述
1.1主要作用
信息安全等级保护工作的先行工作之一是“加快制定、完善管理规范和技术标准体系”,管理规范和技术标准体系是等级保护工作的基础,在《关于信息安全等级保护工作的实施意见》(公通字[2004]66号,以下简称“66号文件”)的职责分工和工作要求中指出:
●信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准,确定其信息和信息系统的安全保护等级;
●信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准对新建、改建、扩建的信息系统进行信息系统的安全规划设计、安全建设施工;
●信息和信息系统的运营、使用单位及其主管部门按照与信息系统安全保护等级相对应的管理规范和技术标准的要求,定期进行安全状况检测评估;
●国家指定信息安全监管职能部门按照等级保护的管理规范和技术标准的要求,对信息和信息系统的安全等级保护状况进行监督检查。
从上述“66号文件”描述的内容中可以看出,信息安全等级保护工作的主要内容包括“等级确定”、“安全建设”、“安全测评”和“监督检查”等,完成上述工作的主要依据是等级保护的管理规范和技术标准。
信息安全等级保护的实施过程中涉及到的各类组织、需完成的工作以及依据的基础如下图所示:
图1-1技术标准和管理规范的作用
除了“66号文件”中提到的“信息和信息系统的运营、使用单位”、“国家指定信息安全监管职能部门”外,信息安全等级保护的实施过程中涉及到各类组织和人员实际还包括信息安全服务商、安全测评机构等,它们配合“信息和信息系统的运营、使用单位”、“国家指定信息安全监管职能部门”共同进行信息安全等级保护工作。
为使信息安全等级保护的实施过程中涉及到的各类组织和人员能够顺利地完成信息安全等级保护工作,需要一个技术标准为实施的各方提供指导,这个标准就是《实施指南》。
《实施指南》的主要作用包括:
1)作为系统等级保护实施的指南性文件
指导对一个信息系统实施安全等级保护的参与各方,如何在等级保护实施过程的各个阶段开展相应的活动,给出阶段活动的内容、控制方法和输出结果。
2)作为等级保护标准体系的指引性文件
介绍实施信息系统等级保护过程中,在不同阶段和从事不同活动中,如何使用等级保护标准体系中的其他等级保护相关标准。
1.2主要思路
对信息系统实施等级保护的过程是一个工程过程,其工程活动将覆盖到信息系统生命周期的各个阶段,其核心内容是对信息系统实施安全保护,到目前为止,对信息系统实施安全保护的方法论有很多,主要流行的方法包括风险管理方法和安全工程方法。
1.风险管理的思路
介绍风险管理的材料有很多,其中ISO/IEC13335、NIST-SP800-30、“加拿大风险管理工作指南”等是典型的通过风险管理的手段对信息系统实施保护的参考材料。
各种资料介绍的风险管理方法在细节方面可能有所差别,但是总体思路基本一致。
采用风险管理方法对信息系统进行保护的基本步骤是:
1)风险分析和风险评估
可以采用各种方法(ISO/IEC13335等)对信息系统面临的风险进行分析,包括资产分析、弱点分析、威胁分析、现有保护措施分析、风险分析,得到现有系统的安全风险状况。
2)风险规避
针对在风险分析和风险评估步骤得到的系统安全风险信息,选择可能采用的可以消除、减低、转移风险的风险规避策略。
根据风险规避策略,进一步选择所要采取的安全措施,此时既要考虑安全风险的排序,也应考虑安全措施投入和安全保护效果之间平衡,最终形成安全改进的设计方案(PLAN)。
大多数风险管理方法的文件或指南将论述重点放在风险分析、风险评估和风险规避方面,作为完整的风险管理过程,除此之外还有安全措施的实施和实现、系统运行维护等工作过程。
尤其是当系统发生变化、环境发生变化或残余风险不能接受时,应进入另一个风险管理过程,以此循环形成闭环。
如果从工程的角度看待风险管理方法,可以将风险分析和风险评估过程看作是确定安全需求的过程,风险规避过程可以看作是安全需求定义和安全规划设计的过程。
2.安全工程的思路
SSE-CMM和ISSE是典型的介绍通过安全工程的手段对信息系统实施保护的参考材料。
SSE-CMM和ISSE是具有代表性的从工程角度考虑对信息系统进行保护的方法论,两者在描述风格上差异较大,但是总体思路实际上没有太大差别。
SSE-CMM认为对信息系统进行保护应该执行以下几个过程:
1)风险过程
风险过程包括四个主要活动:
威胁分析、弱点分析、影响分析和风险分析。
2)工程过程
工程过程包括五个主要活动:
确定安全需求、提供安全输入、管理安全措施、监控安全状态和安全活动的协调。
3)保证过程
保证过程包括两个主要活动:
验证和确认安全、提供安全保证证据。
ISSE认为对信息系统进行保护应该执行以下一些活动:
a)发现系统保护需求
b)定义系统安全需求
c)设计系统安全框架
d)开发详细安全设计
e)实施系统安全
f)评估系统保护有效性
SSE-CMM描述了安全工程的方法论,论述了对信息系统进行保护的主要活动和控制方法。
ISSE则描述了安全工程的主要活动。
仔细分析SSE-CMM和ISSE,实际上两者的内容基本一致,只是描述风格上差异较大。
SSE-CMM和ISSE从工程角度描述信息系统的保护过程,并且将工程活动与信息系统的生命周期进行对应,更容易被人们理解和接受。
3.《实施指南》的主要思路
在对信息系统实施等级保护的过程中,风险分析可以作为一种辅助手段。
等级保护的相关标准对不同级别的信息系统提出了基本保护要求,基本保护要求是系统安全建设的基础,但是不同的信息系统由于其本身的特性,除基本保护要求外,还有其特殊的安全需求,可以通过风险分析的方法选择需要补充的安全措施,从而在等级保护的基础上,体现各系统防护措施的特殊性。
对信息系统实施等级保护的过程也是一个工程过程,其主要思路可以借鉴安全工程的思路,但是由于对信息系统实施等级保护的过程是以信息系统的合理定级活动开始的,与安全工程相比,考虑问题的思路和方法都将有所不同,具体活动也会有所区别。
安全工程的方法论可以作为信息系统实施安全等级保护的一种借鉴,但须根据等级保护的特点补充和完善与等级保护相关的特定工程活动,比如信息系统的划分活动、信息系统的定级活动、信息系统等级保护安全策略规划活动等等。
与风险管理和安全工程不同,实施信息系统等级保护的第一个步骤是确定保护对象,即信息系统的安全等级,然后根据确定的安全等级对信息系统进行符合相应等级保护要求的安全建设和安全管理。
对信息系统实施等级保护涉及很多活动,包括系统定级、参照等级保护基本要求的安全措施选择、安全方案的设计、安全工程的实施、系统安全运行管理等等,上述活动均在《实施指南》中有所描述。
对信息系统实施等级保护过程中所涉及的活动分散在信息系统生命周期的不同阶段进行,有些活动之间具有一定的继承性,也就是说必须在一个活动完成后才能进行下一个活动,比如必须进行安全方案设计,完成后才能进行安全工程实施,有些活动没有明显的继承性,比如系统的安全状态监控和系统的变更管理控制。
为了保证《实施指南》对活动描述的全面性,《实施指南》应覆盖信息系统生命周期所有阶段的安全活动。
基于上述的分析,《实施指南》的编制基本思路为:
1)以信息系统等级保护建设为主要线索
如前所述,信息系统等级保护的实施过程中涉及到各类组织和人员,他们将会参与不同的或相同的活动,比如信息系统的主管单位和信息系统的运营单位将参与系统定级活动,如果委托安全服务商进行定级,则安全服务商也会参与定级活动;又如信息系统的运营单位可以自己完成风险分析活动,也可以委托安全服务商完成风险分析活动。
《实施指南》面临的使用对象将是信息系统的主管单位、运营使用单位、技术支持单位、监督管理机构等,为了保证《实施指南》的描述有一个清晰的思路,各类使用人员都能够理解和较好地使用,实施指南并不以某个特定单位的活动为主线进行描述,而是以信息系统等级保护建设所要从事的活动为主线进行描述,有些活动可能是这个单位执行的,另一些活动可能是另一个单位执行的。
《实施指南》的读者根据自己的角色和从事的活动选择相应的内容作为指导。
2)定义信息系统等级保护实施的基本流程
对信息系统实施等级保护涉及的活动有很多,根据安全的动态性和安全工程的循环理论,很多活动需要重复执行,从而保证安全保护的有效性,虽然安全保护是一个不断循环和不断提高的过程,但是实施信息系统等级保护的一次完整周期流程是可以区分清楚的,比如从系统定级到最终的系统安全运行维护,为了便于清晰划分信息系统等级保护的一次实施过程,有必要定义信息系统等级保护实施的一个基本流程。
《实施指南》根据信息系统等级保护实施的特点,结合风险管理和安全工程方法提出信息系统等级保护实施的基本流程,将等级保护实施过程划分为几个不同的阶段,然后分章节介绍和描述不同阶段的安全活动,,指导系统建设者和系统运营者在系统建设和运营期间更好地同步进行等级保护建设。
通过对信息系统等级保护实施基本流程的提出,更好地描述信息系统等级保护实施的不断循环过程;级别变更可能触发另一个等级保护实施流程的执行;风险评估和安全测评可能导致等级保护实施流程中局部活动的重复执行等。
3)介绍和描述每个阶段主要的实施过程和主要活动
为了便于用户使用《实施指南》,《实施指南》根据基本实施流程的阶段划分,分为不同的章节,每个阶段对应一章。
每一章介绍和描述本阶段所要进行的过程和主要安全活动,如果过程具有顺序性,将用流程图的形式表述过程的执行过程,如果没有顺序性,则用框图分别表述每一个过程活动。
《实施指南》将每个过程作为章下的节,每一节详细描述过程的内容,包括过程可能的实施主体,主要的活动内容和工作方法,过程的输入和输出内容。
1.3使用对象
《实施指南》以信息系统的生命周期为主线,描述信息系统安全等级保护实施的基本过程,而信息系统安全等级保护实施过程本身是一个多方参与的工作,将会涉及到各类组织,所以《实施指南》的使用对象包括信息系统安全等级保护实施过程中的参与各方。
具体包括:
国家管理部门、信息系统主管部门、信息系统运营使用单位、信息安全服务机构、信息安全等级测评机构、信息安全产品供应商等。
1)国家管理部门
公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
2)信息系统主管部门
负责依照国家信息安全等级保护的管理规范和技术标准,督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
3)信息系统运营、使用单位
负责依照国家信息安全等级保护的管理规范和技术标准,确定其信息系统的安全保护等级,有主管部门的,应当报其主管部门审核批准;根据已经确定的安全保护等级,到公安机关办理备案手续;按照国家信息等级保护管理规范和技术标准,进行信息系统安全保护的规划设计;使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品和信息安全产品,开展信息系统安全建设或者改建工作;制定、落实各项安全管理制度,定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查,选择符合国家相关规定的等级测评机构,定期进行等级测评;制定不同等级信息安全事件的响应、处置预案,对信息系统的信息安全事件分等级进行应急处置。
4)信息安全服务机构
负责依据信息系统运营、使用单位的委托,按照国家信息安全等级保护的管理规范和技术标准,协助信息系统运营、使用单位完成等级保护的相关工作,包括确定其信息系统的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造等。
5)信息安全等级测评机构
负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权,协助信息系统运营、使用单位或国家管理部门,按照国家信息安全等级保护的管理规范和技术标准,对已经完成等级保护建设的信息系统进行等级测评;对信息安全产品供应商提供的信息安全产品进行安全测评。
6)信息安全产品供应商
负责按照国家信息安全等级保护的管理规范和技术标准,开发符合等级保护相关要求的信息安全产品,接受安全测评;按照等级保护相关要求销售信息安全产品并提供相关服务。
1.4基本结构
《实施指南》包括9章,1个附录。
第1、2、3章为标准的固定格式要求,说明《实施指南》标准的使用范围、引用的其他标准、使用到的术语和定义。
第4章总体描述信息系统等级保护的实施过程,包括实施过程中涉及到的各种角色和职责、实施的基本原则、实施的基本流程。
第5、6、7、8、9章分别根据等级保护实施流程划分的阶段,说明每个阶段的主要实施过程。
每章以阶段名称作为一级标题,以主要过程作为二级标题,主要活动要素作为三级标题,说明信息系统安全等级保护的实施活动。
附录A为主要过程的输出列表。
2基本实施过程
2.1一些主要概念
1、信息系统安全保护等级
信息系统重要程度的表征。
重要程度以信息系统受到破坏后,对国家安全、社会秩序、经济建设和公共利益造成的损害程度来衡量。
2、信息系统安全等级保护
对信息系统分等级实施安全保护。
3、信息系统生命周期
信息系统从存在到消失的整个时间周期。
通常观点认为信息系统生命周期包括五个阶段,即启动准备阶段、设计/开发阶段、实施/实现阶段、运行维护阶段和系统终止阶段。
4、阶段和阶段目标
信息系统生命周期中,具有代表性的时段划分,称为阶段。
通常以经历一系列相关的过程,完成一系列相关的活动,产生一个标志性结果为划分依据。
在信息系统安全等级保护实施中,划分为信息系统定级、总体安全规划、安全设计与实施、安全运行与维护和信息系统废弃几个阶段。
每个阶段内期望达到的结果的描述,称为阶段目标。
5、主要活动和活动目标
《实施指南》中,按照阶段、过程、活动、子活动的分解方式进行描述,每个阶段的每个过程中,具有代表性的活动,称为主要活动。
通常以为达到阶段目标而必须完成的活动为表述依据。
例如在信息系统安全等级保护实施中,信息系统定级阶段的主要过程分为信息系统分析和安全等级确定,其中信息系统分析过程的主要活动划分为系统识别和描述、信息系统分解等几个主要活动。
每个主要活动期望达到的结果的描述,称为活动目标。
7、参与角色
每个活动或活动过程的参与人员,称为参与角色。
在《实施指南》中,参与角色的最小度量为“单位”,参与角色分为国家管理部门、信息系统主管部门、信息系统运营使用单位、信息安全服务机构、信息安全等级测评机构、信息安全产品供应商等。
8、子活动和工作内容
主要活动进一步分解后的活动,称为子活动。
子活动中需要完成的工作的描述称为工作内容。
在《实施指南》中,大部分的主要活动均分解为若干个子活动,并对子活动内容进行详细描述,子活动通常由主要活动的参与角色完成。
9、活动输入和活动输出
为完成主要活动或子活动,需要的文件资料称为活动输入;主要活动或子活动完成后,产生的文件资料称为活动输出。
在《实施指南》中,对各类主要活动描述了活动输入和活动输出的文档资料名称。
10、相互之间的关系
《实施指南》中,各个主要概念之间的关系如下图所示:
图1-2基本概念之间的关系
2.2基本实施流程
对一个信息系统实施等级保护的过程本质上是对信息系统进行安全保护的过程,应遵循对信息系统进行安全保护的方法论,但是作为国家等级保护制度实施的对信息系统的安全等级保护工作本身有其自己的特点,整个实施过程应体现出“信息系统分等级”、“按标准进行建设”、“实施监督和管理”等思想。
安全保护过程是一个不断循环和不断提高的过程,但是实施等级保护的一次完整过程是可以区分清楚的,比如从信息系统定级、系统运行维护,最终到信息系统终止,为了便于清晰划分等级保护的一次实施过程,有必要根据信息系统的一个生命周期确定等级保护实施的流程。
对一个信息系统实施等级保护的基本流程如下所示:
图1-3信息系统安全等级保护实施的基本流程
●局部调整
在安全运行与维护阶段,当系统局部调整时,如果不影响系统的安全等级,应从安全运行与维护阶段进入安全设计与实施阶段,重新调整和实施安全措施,确保满足等级保护的要求;
●级别变更
在安全运行与维护阶段,当系统发生重大变更导致影响系统的安全等级时,应从安全运行与维护阶段进入信息系统定级阶段,重新开始一次等级保护的实施流程。
2.3主要的实施阶段
根据信息系统实施等级保护的流程将其实施阶段分别划分为五个不同阶段,即信息系统定级阶段、总体安全规划阶段、安全设计与实施阶段、安全运行与维护阶段和信息系统终止阶段。
1、信息系统定级阶段
信息系统定级阶段通过对信息系统调查和分析,进行信息系统划分,确定相对独立的信息系统的个数,按照《信息系统安全等级保护定级指南》确定每个信息系统的安全等级。
2、总体安全规划阶段
总体安全规划阶段通过安全需求分析判断信息系统的安全保护现状与国家等级保护基本要求之间的差距,确定安全需求,然后根据信息系统的划分情况、信息系统定级情况、信息系统承载业务情况和安全需求等,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施规划等,以指导后续的信息系统安全建设工程实施。
3、安全设计与实施阶段
安全设计与实施阶段通过安全方案详细设计、安全产品的采购、安全控制的开发、安全控制集成、机构和人员的配置、安全管理制度的建设、人员的安全技能培训等环节,将规划阶段的安全方针和策略,具体落实到信息系统中去,其最终的成果是提交满足用户安全需求的信息系统以及配套的安全管理体系。
4、安全运行与维护阶段
安全运行与维护阶段将介绍运行管理和控制、变更管理和控制、安全状态监控以及安全事件处置和应急预案等过程;对安全状态进行监控,对发生的安全事件及时响应,确保信息系统正常运行;通过定期的监督检查督促信息系统运营、使用单位做好信息系统的日常安全维护工作,确保其满足相应等级的安全要求,达到相应等级的安全保护能力;通过安全检查和持续改进等活动过程实现对信息系统的动态保护。
5、信息系统终止阶段
信息系统终止阶段是对信息系统的过时或无用部分进行报废处理的过程,主要涉及对信息、设备、存储介质或整个信息系统的废弃处理。
信息系统终止阶段的主要活动可能包括对信息的转移、暂存或清除,对设备迁移或废弃,对存储介质的清除或销毁;信息系统终止阶段当要迁移或废弃系统组件时,核心关注点是防止敏感信息泄漏。
3主要实施阶段介绍
如前所述,信息系统实施等级保护划分为五个不同阶段,即信息系统定级阶段、总体安全规划阶段、安全设计与实施阶段、安全运行与维护阶段和信息系统终止阶段。
关于“信息系统定级“阶段的工作方法和工作内容,参见《定级指南》及相关教材。
本教材重点介绍“总体安全规划“阶段的工作内容和可用方法。
其他阶段的内容,参见《信息系统安全等级保护实施指南》标准相关章节。
3.1总体安全规划
3.1.1安全需求分析
系统定级完成后,首要的工作是确定系统的安全需求,也就是系统的保护需求。
对于新建的系统和已建的系统,安全需求的确定方法不同,新建过程中的系统由于在设计完成之前还没有系统实体,所以系统可以按照等级保护的要求进行定级、设计和实施,系统的安全需求主要来源于国家政策性要求、机构使命性要求和可能的系统环境影响;运行过程中的系统由于建设过程中并没有按照等级保护的要求进行定级和设计,虽然采取了一定的安全保护措施,但是可能与国家等级保护的要求存在差距,所以需要完成的工作是按照国家等级保护的要求进行安全改造。
新建系统可以在信息系统生命周期的启动/准备、设计/开发阶段同步实施系统定级和系统设计,根据信息系统承载的业务对信息系统合理分级之后,国家标准《信息系统安全等级保护基本要求》就是对各个级别系统的明确安全需求,系统的安全规划设计应以此为依据。
本章重点介绍已建系统,即运行过程中的系统如何在等级保护实施过程中的规划设计阶段确定安全需求,新建系统确定安全需求的方法也可以借鉴这里介绍的方法。
关于运行过程中的系统如何定级参见有关信息系统安全保护等级确定的教材,这里不再描述。
对于一个已建系统,在对系统进行划分,并确定了不同系统的安全保护等级之后,关注的重点是不同安全保护等级的系统目前采取的安全保护措施与国家等级保护要求之间的差距有多大,这种差距就是未来需要对系统进行安全改造的目标,也就是安全改造设计方案的安全需求输入。
根据《实施指南》,总体安全规划阶段的第一个重要活动是“安全需求分析”,对于一个已经确定了安全保护等级,并处于运行状态的信息系统,“安全需求分析”实际要完成安全现状评估和安全需求确认两项主要工作。
3.1.1.1安全现状评估
一、评估方法
当根据信息系统的业务重要性及其他相关因素对信息系统进行划分,确定了信息系统的安全保护等级后,需要了解不同级别的信息系统或子系统当前的安全保护与相应等级的安全保护基本要求之间存在的差距,这种差距是一种安全需求,是进行安全方案设计的基础。
传统的安全需求分析方法有很多,如流行的风险分析法,但是作为了解信息系统或子系统当前的安全保护状况与相应等级的安全保护基本要求之间存在的差距的简便方法,莫过于等级测评法。
关于等级测评有专门的教材进行详细描述,这里只说明如何采用等级测评法对安全现状进行评估,并确定与相应等级的安全保护基本要求之间存在的差距。
二、基本步骤
采用等级测评法进行安全现状评估的基本步骤如下:
1、确定评估范围
明确本次被评估系统的范围,包括整个信息系统的范围、各个等级信息系统的范围,各个等级信息系统的边界等。
这些信息来自信息系统的定级报告。
例如:
XXXX信息系统承载XX、XX、XX业务,具有XX个出口。
出口1通过XX设备与外部的XX系统相连,出口2通过XX设备与外部的XX系统相连,……,系统示意图如下。
XXXX信息系统被划分为XX个信息系统,信息系统1承载XX业务,信息系统2承载XX业务,……。
信息系统1有XX个边界,边界1通过XX设备与外部的XX系统相连,边界2通过XX设备与信息系统2相连,……。
……
本次安全评估的系统包括信息系统1、信息系统2、……。
2、获得被评估信息系统的信息
通过查阅资料(如果定级建议书有详细的资料)或现场调查的方式,了解被评估信息系统的构成,包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等,并将被评估信息系统的信息准确描述。
例如:
信息系统1的范围如下面网络拓扑图所示:
图略。
网络边界:
有XX个边界,边界1通过XX设备与外部的XX系统相连,边界2通过XX设备与信息系统2相连,……。
网络区域:
有XX个区域,每个区域的说明。
承载业务:
有XX个业务,每个业务的说明。
主要安全设备:
有XX个安全设备,每个设备的部署位置、主要作用。
……。
设备清单列表:
XXXX类设备
序号
所属区域
设备名称
用途
设备信息
说明
1
2
3
4
3、确定具体的评估对象
确定每个等级信息系统的被评估对象,包括整体对象,如机房、办公环境、网络等,也包括具体对象,如边界设备、网关设备、服务器设备、工作站、应用系统等。
4、确
升级会员 