信息安全等级保护.doc

1. 信息安全等级保护信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上称为的一般指信息系统安全等级保护，是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。2. 信息安全等级保护工作内容信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。如图1所示为具体流程。系统定级。信息系统运营使用单位按照信息系统信息安全等级保护定级指南，确定信息系统安全等级。有主管部门的，报主管部门审核批准。在申报系统新建、改建、扩建立项时须同时向立项审批部门提交定级报告。系统备案。已运行的系统在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建的系统，在通过立项申请后30日内办理。公安机关审核材料不齐 定级不准材料齐、定级准颁发证书。公安机关颁发系统等级保护备案证书。分析安全需求。对照等保有关规定和标准分析系统安全建设整改需求，可委托安全服务机构、等保技术支持单位分析。对于整改项目，还可委托测评机构通过等保测评、风险评估等方法分析整改需求。 建设整改。根据需求制订建设整改方案，按照国家相关规范和技术标准，使用符合国家有关规定，满足系统等级需求产品，开展信息系统安全建设整改。等保测评。选择第三方测评机构进行测评。其中对于新建系统可在试运行阶段进行测评。 不合格 合格提交报告。系统运营、使用单位向地级以上市公安机关报测评报告。项目验收文档中也须含有测评报告。 等保测评。定期选择第三方测评机构进行测评。三级系统每年至少一次，四级系统每半年至少一次。 合格 不合格图12.1 信息安全保护等级划分国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息安全等级保护信息安全等级保护管理办法规定：信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。计算机信息系统安全保护等级划分：第一级：用户自主保护级第二级：系统审计保护级第三级：安全标记保护级第四级：结构化保护级第五级：访问验证保护级3. 信息安全等级保护测评基本概念信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。3.1 等级测评工作等级测评工作是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。通过信息安全等级评测机构对已完成的等级保护建设的信息系统定期进行等级测评，确保信息系统的安全保护措施符合相应等级的安全要求。3.2 等级测评机构等级测评机构是指具备本规范的基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调小组办公室（等保办）推荐，从事等级测评工作的机构。 等级保护测评的执行主体应当是具有相关资质的、独立的测评服务机构。 只有独立的第三方，才能保证测评工作的客观性和公正性。 开展等级保护测评机构通常符合GB/T15481，通过计量认证和实验室认可。 通过检查机构认可。3.2 等级保护测评流程1）资料审查阶段：对被测用户提交的申请，进行文档的形式化审查，确认符合测评要求。2）核查测试阶段：用户进行充分沟通，指定测评计划和测试方案，并实施现场测评，形成测评记录。3）综合评估阶段：整理测评数据，对用户资料和测评结果进行综合分析，形成测评报告。召开专家委员会，对测评报告进行评审，最后由测评中心领导批准，出具等级保护测评报告。具体流程如图2所示。图23.2.1 测评准备活动测评准备活动的主要任务包括：项目启动、信息收集和分析、工具和表单准备。这三项任务之间存在工作的先后次序，项目启动任务完成之后才能开始信息收集和分析任务。可采用如图3所示的工作流程：图33.2.2 方案编制活动方案编制活动的主要任务包括：测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发及测评方案编制。其中，测评对象确定与测评指标确定两项任务可以并行实施，其他四项任务之间存在工作的先后次序，测评内容确定任务完成之后才能开始后续任务。这六项任务可采用如图4所示的工作流程：图43.2.3 现场测评活动现场测评活动的主要任务包括：现场测评准备、现场测评和结果记录、结果确认和资料归还。这三项任务之间存在工作的先后次序，现场测评准备任务完成之后才能开始后续任务。可采用如图5所示的工作流程：图53.2.4 报告编制活动报告编制活动的主要任务包括：单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成及测评报告编制。这六项任务之间存在工作的先后次序，单项测评结果判定任务完成之后才能开始后续任务。3.3 等级保护测评方法3.3.1 测评方法测评采用访谈、检查和测试三种方法，测评对象是测评实施过程中涉及到的信息系统的构成成份，包括人员、文档、机制、软件、设备。测评的层面涉及物理安全、网络安全、主机安全、应用系统安全、数据安全以及安全管理。3.3.2 测评要求 使用测评表进行具体检查时，首先按询问、查验、检测等工作方式将所有检查项目分类。 所有以询问方式检查的项目，在与有关人员的谈话或会议上进行。 所有以查验方式检查的项目，将需要的文档清单在检查现场提交给被检查方，请被检查方当前提供并进行查验。 所有需要以检测方式检查的项目，按检测部门或设备分类后，根据具体情况选择检测顺序。3.3.3 方法要求 “访谈”方法：目的是了解信息系统的全局性。范围一般不覆盖所有要求内容。 “检查”方法：目的是确认信息系统当前具体安全机制和运行的配置是否符合要求。范围一般要覆盖所有要求内容。 “测试”方法：目的是验证信息系统安全机制有效性和安全强度。范围不覆盖所有要求内容。3.3.4 管理要求 对人员方面的要求，重点通过“访谈”的方式来测评，检查为辅。 对过程方面的要求，通过“访谈”和“检查”的方式来测评。 对规范方面的要求，以“检查”文档为主，“访谈”为辅。3.4 等级保护测评中的角色和职责关系角色与职责关系如图6所示。图6 信息安全服务机构：协助信息系统运营、使用单位完成等级保护的相关工作，包括确定其信息系统的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造等。 信息安全产品供应商：开发符合等级保护相关要求的信息安全产品，接受安全测评，按照等级保护相关要求销售信息安全产品并提供相关服务。 应用软件开发机构：将安全控制要求与应用软件结合，负责软件开发。 信息安全等级测评机构：协助信息系统运营、使用单位或国家管理部门，按照国家信息安全等级保护的管理规范和技术标准，对已经完成等级保护建设的信息系统进行测评；对信息安全产品供应商提供的信息安全产品进行安全测评。3.5 等级保护测评工作实施步骤3.5.1 首次会议 参加人员：主管领导、技术人员、测评机构人员 被测评机构工作汇报3.5.2 测评实施被测评单位派人负责测评过程联络和协助。3.5.3 末次会议 参加人员：主管领导、技术人员、测评机构人员 测评机构进行测试情况汇报3.6 等级保护测评项目组的构成 组长职责：管理测评过程、主持编制测评计划、主持设计测评方案、负责访谈、检查、组织分析测评结果、主持编制测评总结报告； 访谈和查看组：负责访谈、执行测试，记录和分析测