信息安全讲座课件 ism03 信息安全等级保护与风险评估

第三章 信息安全等级保护与风险评估,主要内容 1.重点和难点 信息系统安全等级确定；信息系统安全风险评估 2.知识点 信息安全等级保护制度 信息系统安全等级保护实施 信息系统安全等级确定 信息系统安全等级保护要求 信息系统安全风险评估,1.信息安全等级保护定义信息安全等级保护，是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件按照等级进行响应和处置等。,3.1 信息安全等级保护制度,2.国家关于信息安全等级保护管理的举措1994年国务院发布的计算机信息系统安全保护条例第9条规定：“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。”1999年，公安部正式发布信息系统安全等级保护的国家标准GB 17859 1999，将计算机信息系统的安全级别明确划分为五级并且提出了具体要求。,3.1 信息安全等级保护制度,2003年中央办公厅、国务院办公厅转发的国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）中明确指出：“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。”2004年公安部等四部委关于信息安全等级保护工作的实施意见（公通字200466号）也指出，信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。,3.1 信息安全等级保护制度,2007年6 月公安部、国家保密局、国家密码管理局和国务院信息工作办公室联合制定并下发了信息安全等级保护管理办法 （公通字200743号），以期加快推进信息安全等级保护，规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设 。,3.1 信息安全等级保护制度,3.信息系统安全等级划分根据信息系统安全等级保护实施指南的规定，信息系统可以分为五个安全等级，国家对不同级别的信息和信息系统实行不同强度的监管政策。第一级：自主保护级其主要对象为一般的信息系统，该信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 本级系统依照国家管理规范和技术标准进行自主保护。,3.1 信息安全等级保护制度,第二级：指导保护级 其主要对象为一般的信息系统，该信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。本级系统依照国家管理规范和技术标准进行自主保护，必要时信息安全监管职能部门对其进行指导。 第三级：监督保护级其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，该信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查。,3.1 信息安全等级保护制度,第四级：强制保护级其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，该信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检查。第五级：专控保护级其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，该信息系统受到破坏后，会对国家安全造成特别严重损害。 本级系统依照国家管理规范和技术标准进行自主保护，国家指定专门部门、专门机构进行专门监督、检查。,3.1 信息安全等级保护制度,4.信息系统安全等级保护相关标准到目前为止，我国正式颁布的信息系统安全等级保护的强制性国家标准是GB 17859 1999计算机信息系统安全保护等级划分准则，该准则于1999年9月13日经国家质量技术监督局发布，2001年1月1日起实施。随后围绕GB 17859 1999编写和制定了一系列与信息系统安全等级保护有关的标准和指南，旨在规范和指导信息系统安全等级保护实施过程中的活动。目前，这一系列的标准和指南包括：,3.1 信息安全等级保护制度,GB 17859 - 1999计算机信息系统安全保护等级划分准则GA/T 390 - 2002计算机信息系统安全等级保护通用技术要求GA/T 388 -2002计算机信息系统安全等级保护操作系统技术要求GA/T 389 - 2002计算机信息系统安全等级保护数据库管理系统技术要求GA/T 387 - 2002计算机信息系统安全等级保护网络技术要求GA/T 391 - 2002计算机信息系统安全等级保护管理要求信息安全技术信息系统安全等级保护实施指南信息系统安全保护等级定级指南信息安全技术信息系统安全等级保护基本要求信息系统安全等级保护测评准则,3.1 信息安全等级保护制度,1.基本原则等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。等级保护在实施过程中应遵循的基本原则：自主保护原则由各主管部门和运营、使用单位按照国家相关法规和标准，自主确定信息系统的安全等级，自行组织实施安全保护同步建设原则信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应,3.2 信息系统安全等级保护实施,重点保护原则根据信息系统的重要程度、业务特点，通过划分不同的安全等级，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。适当调整原则要跟踪信息系统的变化情况，调整安全保护措施。因为信息系统的应用类型、范围等条件的变化及其他原因，安全等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全等级，根据信息系统安全等级的调整情况，重新实施安全保护。,3.2 信息系统安全等级保护实施,2.参与角色信息系统主管部门 信息系统运营、使用单位信息系统安全服务商信息安全监管机构安全测评机构安全产品供应商,3.2 信息系统安全等级保护实施,3.实施过程对信息系统实施等级保护的过程划分为五个阶段，具体如下图：,3.2 信息系统安全等级保护实施,4.安全等级保护与信息系统生命周期的关系信息系统生命周期包括五个阶段：启动准备阶段、设计/开发阶段、实施/实现阶段、运行维护阶段和系统终止阶段。安全等级保护工作将贯穿信息系统生命周期的各个阶段。,3.2 信息系统安全等级保护实施,1. 信息系统安全保护等级的定级因素信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度决定。从另一个角度看，信息系统重要程度越高，其遭到破坏后对国家安全、经济建设、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度也越高。信息系统安全保护等级的定级要素： 等级保护对象受到破坏时所侵害的客体 对客体造成侵害的程度,3.3 信息系统安全保护等级确定,(1) 受侵害的客体 公民、法人和其他组织的合法权益 社会秩序、公共利益 国家安全 (2)对客体的侵害程度 造成一般损害 造成严重损害 造成特别严重损害,3.3 信息系统安全保护等级确定,3.3 信息系统安全保护等级确定,表3-1 定级要素与安全保护等级的关系表,2.定级一般流程,3.3 信息系统安全保护等级确定,3.3 信息系统安全保护等级确定,3.确定定级对象 一个单位内运行的信息系统可能比较庞大，为了体现重要部分重点保护，有效控制信息安全建设成本，优化信息安全资源配置的等级保护原则，可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。作为定级对象的信息系统应具有如下基本特征： 具有唯一确定的安全责任单位 具有信息系统的基本要素 承载单一或相对独立的业务应用,4.确定受侵害的客体 (1)侵害国家安全的事项 影响国家政权稳固和国防实力 影响国家统一、民族团结和社会安定 影响国家对外活动中的政治、经济利益 影响国家重要的安全保卫工作 影响国家经济竞争力和科技实力 其他影响国家安全的事项。,3.3 信息系统安全保护等级确定,(2)侵害社会秩序的事项 影响国家机关社会管理和公共服务的工作秩序 影响各种类型的经济活动秩序 影响各行业的科研、生产秩序 影响公众在法律约束和道德规范下的正常生活秩序等 其他影响社会秩序的事项 (3)影响公共利益的事项 影响社会成员使用公共设施 影响社会成员获取公开信息资源 影响社会成员接受公共服务等方面 其他影响公共利益的事项,3.3 信息系统安全保护等级确定,(4)影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益 确定作为定级对象的信息系统受到破坏后所侵害的客体时，应首先判断是否侵害国家安全，然后判断是否侵害社会秩序或公众利益，最后判断是否侵害公民、法人和其他组织的合法权益。各行业可根据本行业业务特点，分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系，从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。,3.3 信息系统安全保护等级确定,5.确定对客体的侵害程度 (1)侵害的客观方面判断标准 影响行使工作职能 导致业务能力下降 引起法律纠纷 导致财产损失 造成社会不良影响 对其他组织和个人造成损失 其他影响,3.3 信息系统安全保护等级确定,(2)综合判定侵害程度 如果受侵害客体是公民、法人或其他组织的合法权益，则以本人或本单位的总体利益作为判断侵害程度的基准 如果受侵害客体是社会秩序、公共利益或国家安全，则应以整个行业或国家的总体利益作为判断侵害程度的基准,3.3 信息系统安全保护等级确定,一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的财产损失，有限的社会不良影响，对其他组织和个人造成较低损害。 严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的财产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。 特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的财产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。,3.3 信息系统安全保护等级确定,5.确定定级对象的安全保护等级 (1)业务信息安全保护等级,3.3 信息系统安全保护等级确定,表3-2 业务信息安全保护等级矩阵表,(2)系统服务安全保护等级,3.3 信息系统安全保护等级确定,表3-3 系统服务安全保护等级矩阵表,(3)信息系统安全保护等级=Max(业务信息安全保护等级,系统服务安全保护等级 ),6.等级变更 在信息系统的运行过程中，安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更，尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化，可能影响到系统的安全保护等级时，应根据本标准给出的定级方法重新定级。,3.3 信息系统安全保护等级确定,信息系统安全等级保护系列标准中的信息安全技术信息系统安全等级保护基本要求对已经确定了安全保护等级的信息系统，提出了保护的具体要求。属于特定安全保护等级的信息系统，必须在技术要求和管理要求两方面同时满足该标准的规定和要求，才能够确保实现该安全保护等级的安全目标。,3.4 信息系统安全等级保护要求,1.不同等级的保护能力 第一级安全保护能力：应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害，在系统遭到损害后，能够恢复部分功能。 第二级安全保护能力：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。,3.4 信息系统安全等级保护要求,第三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。 第四级安全保护能力：应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够迅速恢复所有功能。,3.4 信息系统安全等级保护要求,2.基本要求 (1)基本安全要求基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求，根据实现方式的不同，基本安全要求分为基本技术要求和基本管理要求两大类。技术类安全要求与信息系统提供的技术安全机制有关，主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现；管理类安全要求与信息系统中各种角色参与的活动有关，主要通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。,3.4 信息系统安全等级保护要求,(2)基本技术要求基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出 (3)基本管理要求基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出,3.4 信息系统安全等级保护要求,3.基本技术要求的三种类型 (1) 业务信息安全类（S类）安全要求关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改 (2)业务服务保证类（A类）安全要求关注的是保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用； (3)通用安全保护类（G类）安全要求没有明显的侧重，既关注保护业务信息的安全性，同时也关注保护系统的连续可用性。,3.4 信息系统安全等级保护要求,4.基本安全要求 (1)第一级基本要求 (2)第二级基本要求 (3)第三级基本要求 (4)第四级基本要求 (5)第五级基本要求,3.4 信息系统安全等级保护要求,信息系统安全等级保护基本要求 ,1.风险评估概念(1)风险评估定义风险评估（Risk Assessment）是组织确定信息安全需求的一条重要途径，属于组织信息安全管理体系策划的过程。 （2）风险评估的主要任务 识别组织面临的各种风险 评估风险概率和可能带来的负面影响 确定组织承受风险的能力 确定风险消减和控制的优先等级 推荐风险消减对策,3.5 信息系统安全风险评估,(3) 与信息系统风险评估有关的要素资产资产是企业、机构直接赋予了价值、因而需要保护的东西。它可能是以多种形式存在，有无形的、有形的，有硬件、软件，有文档、代码，也有服务、企业形象等。威胁安全威胁是一种对机构及其资产构成存在潜在破坏的可能性因素或者事件。无论对于多么安全的信息系统，安全威胁都是一个客观存在的事物，它是风险评估的重要因素之一。,3.5 信息系统安全风险评估,脆弱性脆弱性评估也称为弱点评估。风险风险是由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响这两项指标来衡量。可能性可能性用于衡量安全威胁转化为安全事件的可能性或者概率情况。,3.5 信息系统安全风险评估,影响影响是特定的安全事件或者事故，给信息系统所造成的直接和间接的破坏和不良后果以及损失情况。安全措施安全措施是各类用于安全保护目的的具体技术措施和管理措施的总称。安全措施可以对风险起到重要的缓解和降低作用。 残余风险安全风险不可能被彻底清除，各类安全措施虽然能缓解风险，但是必然有一部分风险是安全措施所无法消除的，这部分风险被称为残余风险。,3.5 信息系统安全风险评估,可接受风险可接受风险是信息系统的所有者所能够承担的风险水平。如果不能承担风险，必须采取适当的控制措施予以缓解，最终风险管理的目的在于将信息系统的残余风险控制在可接受风险的水平之下。,3.5 信息系统安全风险评估,2. 风险评估模型 (1)风险评估要素关系模型,3.5 信息系统安全风险评估,（2）安全风险计算模型,3.5 信息系统安全风险评估,风险计算的过程 对信息资产进行识别，并对资产赋值； 对威胁进行分析，并对威胁发生的可能性赋值； 识别信息资产的脆弱性，并对脆弱性的严重程度赋值； 根据威胁和脆弱性计算安全事件发生的可能性； 结合信息资产的重要性和该资产发生安全事件的可能性计算信息资产的风险值。,3.5 信息系统安全风险评估,3. 风险评估方法 （1）自评估与他评估根据评估实施者的不同，将风险评估形式分为自评估和他评估两大类。自评估是由被评估信息系统的拥有者依靠自身的力量，对其自身的信息系统进行的风险评估活动。他评估则通常是由被评估信息系统的拥有者的上级主管机关或业务主管机关发起的、旨在依据已经颁布的法规或标准进行的、具有强制意味的检查活动，是通过行政手段加强信息安全的重要措施。,3.5 信息系统安全风险评估,（2）基线评估与详细评估基线（Baseline）是预先建立好的一组最低安全控制措施的集合，可以满足基本的安全需求，使系统达到一定的安全防护水平。基线评估是对信息系统进行基线检查（比较现有控制措施与基线要求的控制措施之间的差异），并且采取基线中的标准控制措施来降低和控制风险水平。详细评估是采用规范化的流程，从资产评估开始，历经威胁评估、脆弱性评估、风险评估等步骤，并根据结果选择控制措施，以将风险缓解和控制在可接受范围之内。详细评估的准确性和针对性较高，然而需要较多的资源支持，适用于范围明确界定的小范围评估。,3.5 信息系统安全风险评估,（3）定量评估与定性评估定量评估是将安全风险的评估完全量化，产生明确的数值估计，定量评估关注以下元素： 资产价值AV：信息资产的估价； 暴露因子EF：造成资产损失的程度； 单一损失期望SLE：单次资产损失的总值； 年度发生率ARO：全年发生的频率； 年度损失期望ALE：全年资产损失的总值。 其中：SLE=AVEF，ALE=SLEARO,3.5 信息系统安全风险评估,定性评估：根据评估人员的主观经验和直觉以及评估标准和惯例，为安全风险要素（包括资产价值、安全威胁、脆弱性等）划分定性级别，如高/中/。定性评估易操作，具有较高的准确性，但较为依赖评估人员的主观经验。在实际中，定性评估被广泛采用。,3.5 信息系统安全风险评估,4.风险评估流程 （1）资产识别资产分类在一般的评估体中，资产大多属于不同的信息系统。这时，首先需要将信息系统及其中的信息资产进行恰当的分类，才能在此基础上进行下一步的风险评估工作。在实际项目中，具体的资产分类方法可以根据具体环境，由评估者来灵活把握。下面为一个资产分类示例：,3.5 信息系统安全风险评估,3.5 信息系统安全风险评估,资产赋值保密性赋值。根据资产保密性属性的不同，将它分为5个不同的等级，分别对应资产在保密性方面的价值或者在保密性方面受到损失时对整个评估的影响。,3.5 信息系统安全风险评估,完整性赋值。根据资产完整性属性的不同，将它分为5个不同的等级，分别对应资产在完整性方面的价值或者在完整性方面受到损失时对整个评估的影响。,3.5 信息系统安全风险评估,可用性赋值。根据资产可用性属性的不同，将它分为5个不同的等级，分别对应资产在可用性方面的价值或者在可用性方面受到损失时对整个评估的影响。,3.5 信息系统安全风险评估,最终资产价值可以通过违反资产的保密性、完整性和可用性三个方面的程度综合确定，资产的赋值采用定性的相对等级的方式。与以上安全属性的等级相对应，资产价值的等级可分为五级，从1到5由低到高分别代表五个级别的资产相对价值，等级越大，资产越重要。具体每一级别的资产价值定义参见下表。,3.5 信息系统安全风险评估,3.5 信息系统安全风险评估,（2）威胁识别产生安全威胁的主要因素可以分为人为因素和环境因素。 人为因素又可区分为有意和无意两种。环境因素包括自然界的不可抗力的因素和其他物理因素。在威胁评估过程中，首先就要对组织需要保护的每一项关键资产进行威胁识别。在威胁识别过程中，应根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断。 威胁分类分析存在哪些威胁种类，首先要考虑威胁的来源，信息系统的安全威胁来源可参考下表。,3.5 信息系统安全风险评估,3.5 信息系统安全风险评估,3.5 信息系统安全风险评估,威胁赋值,3.5 信息系统安全风险评估,（3）脆弱性识别脆弱性评估将针对每一项需要保护的信息资产，找出每一种威胁所能利用的脆弱性，并对脆弱性的严重程度进行评估，即对脆弱性被威胁利用的可能性进行评估，最终赋予其相对等级值。 脆弱性分类,3.5 信息系统安全风险评估,3.5 信息系统安全风险评估,脆弱性赋值最终脆弱性的赋值采用定性的相对等级的方式。脆弱性的等级建议划分为五级，从1到5分别代表五个级别的某种资产脆弱性程度。等级越大，脆弱性程度越高。具体每一级别的脆弱性严重程度定义参见下表。,3.5 信息系统安全风险评估,3.5 信息系统安全风险评估,（4）安全措施识别机构应对已采取的控制措施进行识别，并对控制措施的有效性进行确认，将有效的安全控制措施继续保持，以避免不必要的工作和费用，防止控制措施的重复实施。对于那些确认为不适当的控制措施应核查是否应被取消，或者用更合适的控制措施代替。安全控制措施可以分为预防性控制措施和保护性控制措施（如业务持续性计划、商业保险等）两种，