等级保护实施技术环节说明.ppt

等级保护实施技术环节 说明,任卫红 2007年7月,根据管理办法，信息安全等级保护的实施工作包括信息系统定级与评审、信息系统安全建设或者改建、对信息系统定期的等级测评与安全自查、办理备案手续并提供相关材料、接受公安机关、国家指定的专门部门监督检查、选择使用符合条件的信息安全产品、选择符合条件的等级保护测评机构等，其中涉及信息系统运营使用单位/主管部门需要作较多技术工作的环节是系统定级和系统建设或改建。 实施指南从系统的生命周期角度对等级保护实施过程提供了具体的操作指导。,前言,实施指南概述,实施指南介绍和描述了实施信息系统等级保护过程中涉及的阶段、过程和需要完成的活动，通过对过程和活动的介绍，使读者了解对信息系统实施等级保护的流程方法，以及不同的角色在不同阶段的作用等。,实施阶段,等级变更,局部调整,信息系统定级,总体安全规划,安全设计与实施,安全运行维护,信息系统终止,实施指南描述特点,为了便于用户使用，实施指南分章介绍5个实施阶段，以不同的节介绍和描述本阶段所要进行的主要安全过程，以及该过程所包含的活动，包括活动目标、参与角色，活动中包含的子活动，活动过程参照的等级保护对应标准，活动的输入和输出等内容。在每个实施阶段中，如果过程具有顺序性，将用流程图的形式表述过程的执行方式，如果没有顺序性，则用框图分别表述每一个阶段的过程 。,实施指南描述特点,阶段 过程 活动 子活动 例如: 信息系统定级 信息系统分析 系统识别和描绘 识别信息系统的基本信息 识别信息系统的管理框架 信息系统划分,定级阶段相关技术环节 行业定级指导意见 定级对象确定 定级过程,定级阶段,根据管理办法第十条：信息系统运营、使用单位应当依据本办法和信息系统安全等级保护定级指南确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。 根据关于开展全国重要信息系统安全等级保护定级工作的通知（以下简称定级通知）要求：各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的指导意见。,定级阶段-关于行业定级指导意见,为什么需要行业对定级提出指导意见 行业的职能不同 信息系统在行业内所发挥的作用不同 信息系统被破坏后对国家和社会的危害后果不同 行业主管部门比运营使用单位具有更高的站位、更宏观的视野,定级阶段-关于行业定级指导意见,行业定级指导意见的意义： 贯彻四部委会签的管理办法 阐明本行业实施等级保护工作的政策和方针 制定本行业定级工作的阶段计划 统一本行业对定级要素赋值规范,定级阶段-关于行业定级指导意见,定级工作的指导意见应包括： 对定级对象确定的指导 符合哪些条件的信息系统的等级保护客体是国家安全、哪些是公共利益/社会秩序。 对不同类型的等级保护客体，本行业主要关注哪些危害后果 对于每一类等级保护客体，符合哪些条件可以判断为一般损害、哪些是严重损害、哪些是非常严重损害,定级阶段-关于行业定级指导意见,对定级指南中有关概念的补充说明： 三种客体 对客体侵害程度,定级阶段-关于行业定级指导意见,三种受侵害的客体体现了三种不同层次、不同覆盖范围的社会关系。 国家安全利益体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全和资源环境安全等方面利益。 社会秩序包括社会的政治、经济、生产、生活、科研、工作等各方面的正常秩序。公共利益是指不特定的社会成员所共同享有的，维持其生产、生活、教育、卫生等方面的利益。 合法权益是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益，,定级阶段-关于行业定级指导意见,关于国家安全 重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等属于影响国家政权稳固和国防实力的信息系统；广播、电视、网络等重要新闻媒体的发布或播出系统，其受到非法控制可能引发影响国家统一、民族团结和社会安定的重大事件；处理国家对外活动信息的信息系统；处理国家重要安全保卫工作信息的信息系统和重大刑事案件的侦查系统；尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信息系统，以及电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统等。,定级阶段-关于行业定级指导意见,关于社会秩序 各级政府机构的社会管理和公共服务系统，如财政、金融、工商、税务、公检法、海关、社保等领域的信息系统，也包括教育、科研机构的工作系统，以及所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统。,定级阶段-关于行业定级指导意见,关于公共利益 借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方面，例如：公共通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施、公共服务设施等。 公共利益与社会秩序密切相关，社会秩序的破坏一般会造成对公共利益的损害。,定级阶段-关于行业定级指导意见,对客体的侵害不是威胁直接作用的结果，而是通过对等级保护对象信息系统的破坏而导致的，因此确定对客体侵害的程度时，必须考虑对等级保护对象所造成破坏的不同客观表现形态以及不同程度的结果，也就是侵害的客观方面。,定级阶段-关于行业定级指导意见,定级阶段-关于行业定级指导意见,客体,对客体的侵害,对等级保护对象的危害,等级保护对象,危害后果,对客体侵害 的客观方面,危害方式,+,关于危害后果 影响行使工作职能，工作职能包括国家管理职能、公共管理职能、公共服务职能等国家或社会方面的职能。 导致业务能力下降，下降的表现形式可能包括业务范围的减少、业务处理性能的下降、可服务的用户数量的下降以及其他各种业务指标的下降，每个行业务都有本行业关注的业务指标。例如电力行业关注发电量和用电量，税务行业关注税费收入，银行业关注存款额、贷款额、交易量等，证券经纪行业关注股民数和交易额。,定级阶段-关于行业定级指导意见,关于危害后果 引起法律纠纷是比较严重的影响，在较轻的程度时可能表现为投诉、索赔、媒体曝光等形式。 导致财产损失，包括系统资产被破坏的直接损失、业务量下降带来的损失、直接的资金损失、为客户索赔所支付的资金等，以及由于信誉下降、单位形象降低、客户关系损失等导致的间接经济损失。 直接造成人员伤亡，例如医疗服务系统，公安行业的某些系统等。 造成社会不良影响，包括在社会风气、执政信心等方面的影响。,定级阶段-关于行业定级指导意见,一、定级对象的三个条件 具有唯一确定的安全责任单位 作为定级对象的信息系统应能够唯一地确定其安全责任单位，这个安全责任单位就是负责等级保护工作部署、实施的单位，也是完成等级保护备案和接受监督检查的直接责任单位。 满足信息系统的基本要素 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如单台的服务器、终端或网络设备等作为定级对象。,定级阶段-关于定级对象确定,一、定级对象的三个条件 承载相对独立的业务应用 定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流程、部分业务功能独立，同时与其他信息系统的业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程，可以使完整的业务流程的一部分。,定级阶段-关于定级对象确定,二、定级对象的识别和划分 可能使定级要素赋值不同因素 可能涉及不同客体的系统。 可能对客体造成不同程度损害的系统。 处理不同类型业务的系统。 本身运行在不同的网络环境中的系统。 分不开的系统，按照高级别保护。,定级阶段-关于定级对象确定,系统边界不应出现在服务器内部，服务器共用的系统一般归入同一个信息系统，因此不同信息系统的共用设备一般是网络/边界设备或终端设备。 两个信息系统边界存在共用设备时，共用设备的安全保护等级按两个信息系统安全保护等级较高者确定。例如，一个2级系统和一个3级系统之间有一个防火墙或两个系统共用一个核心交换机，此时防火墙和交换机可以作为两个系统的边界设备，但应满足3级系统的要求。,定级阶段-关于系统边界,信息系统的管理终端是与相应被管理设备相对应的，服务器、网络设备及安全设备等属于哪个系统，终端就应归在哪个信息系统中。 如果无法做到不同等级的信息系统使用不同的终端设备，则应将终端设备划分为其他的信息系统，并在服务器与内部用户终端之间建立边界保护，对终端通过身份鉴别和访问控制等措施加以控制。 处理涉密信息的终端必须划分到相应的信息系统中，且不能与非涉密系统共用终端。,定级阶段-关于系统边界,定级阶段-定级对象举例,定级阶段-定级对象举例,识别单位基本信息 了解单位基本信息有助于判断单位的职能特点，单位所在行业及单位在行业所处的地位和所用，由此判断单位主要信息系统的宏观定位。 识别业务种类、流程和服务 应重点了解定级对象信息系统中不同业务系统提供的服务在影响履行单位职能方面具体方式和程度，影响的区域范围、用户人数、业务量的具体数据以及对本单位以外机构或个人的影响等方面。这些具体数据即可以为主管部门制定定级指导意见提供参照，也可以作为主管部门审批定级结果的重要依据。,定级阶段-关于定级过程,识别信息 调查了解定级对象信息系统所处理的信息，了解单位对信息的三个安全属性的需求，了解不同业务数据在其保密性、完整性和可用性被破坏后在单位职能、单位资金、单位信誉、人身安全等方面可能对国家、社会、本单位造成的影响，对影响程度的描述应尽可能量化。 识别网络结构和边界 调查了解定级对象信息系统所在单位的整体网络状况、安全防护和外部连接情况，目的是了解信息系统所处的单位内部网络环境和外部环境特点，以及该信息系统的网络安全保护与单位内部网络环境的安全保护的关系。,定级阶段-关于定级过程,识别主要的软硬件设备 调查了解与定级对象信息系统相关的服务器、网络、终端、存储设备以及安全设备等，设备所在网段，在系统中的功能和作用。调查设备的位置和作用主要就是发现不同信息系统在设备使用方面的共用程度。 识别用户类型和分布 调查了解各系统的管理用户和一般用户，内部用户和外部用户，本地用户和远程用户等类型，了解用户或用户群的数量分布，判断系统服务中断或系统信息被破坏可能影响的范围和程度。 形成定级结果 取各类信息和服务的较高。,定级阶段-关于定级过程,系统建设和改建阶段相关技术环节 安全需求分析方法 系统的安全等级保护设计、实施方案设计 系统改建实施方案设计,系统建设和改建阶段,安全需求分析的目的是使信息系统按照等级保护相应等级的要求进行设计、规划和实施，将来源于国家政策性要求、机构使命性要求、系统可能面临的环境和影响以及机构自身的需求相结合作为信息系统的安全需求，使具有相同安全保护等级的信息系统能够达到相应等级的基本的保护水平和保护能力。,系统建设阶段-需求分析方法,一、选择、调整基本安全要求 定级指南在确定信息系统的安全保护等级的同时确定了信息系统在业务信息安全和系统服务安全两个方面的安全保护等级 。 系统的安全保护等级与这两者的关系是： 系统的安全保护等级=L (信息等级，服务等级) =Max(信息等级，服务等级） 例如：L(3,1)=L(3,2)= L(3,3)= L(1,3)= L(2,3)= 3,系统建设阶段-需求分析方法,一、选择、调整基本安全要求 形成了5个等级，25个安全需求类。表明同样等级的信息系统，其安全需求有所不同，因此对其实施的保护也应该有不同的要求。 为了区别不同安全技术要求和管理要求在保护信息系统的业务信息安全和系统服务安全所起的作用，将所有技术要求和管理要求进行了标识，标识分为三种S、A和G。,系统建设阶段-需求分析方法,一、选择、调整基本安全要求 三类基本要求 S类业务信息安全保护类关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改。 A类系统服务安全保护类关注的是保护系统连续正常的运行，避免因对系统的未授权修改、破坏而导致系统不可用。 G类通用安全保护类既关注保护业务信息的安全性，同时也关注保护系统的连续可用性。 例如，以S2表示2级的业务信息安全保护类要求，A3表示3级的系统服务安全保护类要求。,系统建设阶段-需求分析方法,一、选择、调整基本安全要求 需求分析步骤： 第一步 根据其等级从基本要求中选择相应等级的基本安全要求。 第二步 根据定级过程中确定业务信息安全保护等级和系统服务安全保护等级，确定该信息系统的安全需求类。 第三步 根据系统所面临的威胁特点调整安全要求。,系统建设阶段-需求分析方法,二、明确系统特殊安全需求 特殊需求来自两个方面： 等级保护相应等级的基本要求中某些方面的安全措施所达到的安全保护不能满足本单位信息系统的保护需求，需要更强的保护。 由于信息系统的业务需求、应用模式具有特殊性，系统面临的威胁具有特殊性，基本要求没有提供所需要的保护措施，例如有关无线网络的接入和防护基本要求中没有提出专门的要求，需要作为特殊需求。,系统建设阶段-需求分析方法,二、明确系统特殊安全需求 两种解决方式： 第一种 选择基本要求中更高级别的安全要求达到本级别基本要求不能实现的安全保护能力 第二种 参照管理办法第十二条和第十三条列出的等级保护的其它标准进行保护。 等级保护基本安全要求和特殊安全需求共同构成系统的总的安全需求。,系统建设阶段-需求分析方法,根据等级保护要求进行信息系统安全的设计是系统建设前必须完成的工作。 设计分为总体安全设计和详细安全设计。总体设计指导全局，一般针对整个单位，详细设计指导具体项目的建设实施。,系统建设阶段-保护方案设计,引入等级保护概念，系统安全防护设计思路有所不同： 在设计思路上应突出对等级较高的信息系统的重点保护。 满足等级保护要求不意味着各信息系统独立实施保护，而应本着优化资源配置的原则，合理布局，构建纵深防御体系。 要解决等级系统之间的互连问题，因此必须在总体安全设计中规定相应的安全策略。 如何在同一个组织机构的管理控制下，根据不同等级的系统需要满足不同的安全管理要求。,系统建设阶段-保护方案设计,一、总体安全设计方法 总体安全设计方法主要针对略有规模的信息系统，比如信息系统本身是由多个不同级别的系统构成、信息系统分布在多个物理地区、信息系统之间横向和纵向连接关系复杂等。 总体安全设计的基本方法是将复杂信息系统进行简化，提取共性形成模型，针对模型要素结合相应等级的保护能力和安全需求提出安全策略和安全措施要求，指导信息系统中各个组织、各个安全层面和各个对象安全策略和安全措施的具体实现。,系统建设阶段-保护方案设计,总体安全设计可参照以下步骤完成： 1、局域网内部抽象处理，划分为多个具有等级安全域（边界访问控制策略相同）。 2、局域网内部安全域之间互联的抽象处理 3、局域网之间安全域互联的抽象处理 4、局域网安全域与外部单位互联的抽象处理 5、安全域内部抽象处理 6、信息系统抽象模型描述,系统建设阶段-保护方案设计,系统建设阶段-保护方案设计,四级安全域,三级安全域,二级安全域,一级安全域,局域网内部安全域之间互联的抽象处理,系统建设阶段-保护方案设计,四级安全域,三级安全域,二级安全域,一级安全域,三级安全域,二级安全域,一级安全域,四级安全域,双向访问,单向推送,局域网之间安全域互联的抽象处理,系统建设阶段-保护方案设计,四级安全域,三级安全域,二级安全域,一级安全域,外部机构/单位,国际互联网,双向推送,局域网安全域与外部单位互联的抽象处理,双向访问,7、 制定总体安全策略 规则1 通过骨干网/城域网只能建立同级安全域的连接，实现上、下级单位的同级安全域的互接； 规则2 4级安全域通过专网的VPN通道进行数据交换；3级安全域可以通过公网的VPN通道进行数据交换； 规则3 4级安全域不能与2级安全域、1级安全域直接连接；3级安全域不能与1级安全域直接连接； 规则4 只有1级安全域可以直接访问Internet。 等等。,系统建设阶段-保护方案设计,8、关于等级边界进行安全控制的规定 规定1 4级安全域与3级安全域之间必须采用接近物理隔离的专用设备进行隔离； 规定2 各级别安全域网络与外部网络的边界处必须使用防火墙进行有效的边界保护； 规定3 通过3级安全域与外部单位进行数据交换时，必须把要交换的数据推送到前置机，外部单位从外部接入网络的前置机或中间件将数据取走，反之亦然；,系统建设阶段-保护方案设计,9、关于各安全域内部的安全控制要求 提出针对信息系统等级化抽象模型，根据机构总体安全策略、等级保护基本要求和系统的特殊安全需求，提出不同级别安全域内部网络平台、系统平台和业务应用的安全保护策略和安全技术措施。 10、关于等级安全域的管理策略 从全局角度出发提出单位的总体安全管理框架和总体安全管理策略，对每个等级安全域提出各自的安全管理策略，安全域管理策略继承单位的总体安全策略。,系统建设阶段-保护方案设计,三、实施方案设计 总体设计方案的设计原则和安全策略需要具体落实到若干个具体的建设项目中，一个设计方案的实施可能可以分为若干个实施方案，分期、分批建设，实现统一设计、分步实施。 实施方案不同于设计方案，实施方案需要根据阶段性的建设目标和建设内容将信息系统安全总体设计方案中要求实现的安全策略、安全技术体系结构、安全措施和要求落实到产品功能或物理形态上，提出能够实现的产品或组件及其具体规范，并将产品功能特征整理成文档。使得在信息安全产品采购和安全控制开发阶段具有依据。,系统建设阶段-保护方案设计,实施方案的设计过程包括： 结构框架设计 功能要求设计 性能要求设计 部署方案设计 制定安全策略实现计划 管理措施实现内容设计 形成系统建设的安全实施方案,系统建设阶段-保护方案设计,系统建设的安全实施方案包含以下内容： 本期建设目标和建设内容； 技术实现框架； 信息安全产品或组件功能及性能； 信息安全产品或组件部署； 安全策略和配置； 配套的安全管理建设内容； 工程实施计划； 项目投资概算。,系统建设阶段-保护方案设计,本节的目的是针对已建成并投入运行的系统如何找出现有安全防护与相应等级基本要求的差距，如何根据差距分析结果设计系统的改建方案，使其能够指导该系统后期具体的改建工作，逐步达到相应等级系统的保护能力。 系统改建方案设计的主要依据是安全需求分析的结果，和对信息系统目前保护措施与基本要求的差距的分析和评估。系统改建方案的主要内容则是解决如何针对这些存在的差距，分析其存在的原因以及如何进行整改。 系统改建设实施方案与新建系统的安全保护设施设计实施方