ch6信息安全工程与等级保护

第六章信息安全工程与等级保护,本章学习目标,了解信息安全等级的划分与特征；了解等级保护在信息安全工程的实施；熟悉信息安全系统等级确定方法；,6.1等级保护概述,1994年国务院颁发中华人民共和国计算机信息系统安全保护条例规定“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”,6.1等级保护概述,2007年，公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合发布“关于印发信息安全等级保护管理办法的通知”（公通字200743号），信息安全等级保护管理办法开始正式实施。,相关标准,信息系统安全等级保护定级指南信息系统安全等级保护实施指南信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统安全等级保护基本要求信息系统等级保护安全设计技术要求GB17859-1999计算机信息系统安全保护等级划分准则,信息安全等级保护制度的原则,在关于信息安全等级保护工作的实施意见公通字200466号文件中明确了信息安全等级保护制度的原则，（一）明确责任，共同保护。通过等级保护，组织和动员国家、法人和其他组织、公民共同参与信息安全保护工作；各方主体按照规范和标准分别承担相应的、明确具体的信息安全保护责任。,信息安全等级保护制度的原则,（二）依照标准，自行保护。国家运用强制性的规范及标准，要求信息和信息系统按照相应的建设和管理要求，自行定级、自行保护。（三）同步建设，动态调整。信息系统在新建、改建、扩建时应当同步建设信息安全设施，保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。,信息安全等级保护制度的原则,（四）指导监督，重点保护。国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式，对重要信息和信息系统的信息安全保护工作进行指导监督。国家重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统，主要包括：国家事务处理信息系统（党政机关办公系统）；财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统；教育、国家科研等单位的信息系统；公用通信、广播电视传输等基础信息网络中的信息系统；网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。,信息系统的安全保护等级划分,信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为五级,第一级为自主保护级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。,第二级为指导保护级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。,第三级为监督保护级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。,第四级为强制保护级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。,第五级为专控保护级，信息系统受到破坏后，会对国家安全造成特别严重损害。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。,注意等保分级与GB17859计算机信息系统安全保护等级划分的区分,两者划分准则不一样等保分级，是根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素划分五个等级。GB17859计算机信息系统安全保护等级划分，是规定计算机系统安全保护能力的五个等级两者没有直接的对应关系,GB17859-1999计算机信息系统安全保护等级划分准则,GB17859-1999计算机信息系统安全保护等级划分准则,GB17859-1999计算机信息系统安全保护等级划分准则,GB17859-1999计算机信息系统安全保护等级划分准则,GB17859-1999计算机信息系统安全保护等级划分准则,GB17859-1999计算机信息系统安全保护等级划分准则,6.2信息系统等级保护定级,GB/T22240-2008信息系统安全等级保护定级指南,对客体的侵害程度,受侵害的客体,定级的一般流程,确定定级对象,构造定级工作表,构造定级工作表,构造定级工作表,构造定级工作表,构造定级工作表,构造定级工作表,以系统破坏后损害的后果作为表格的行，以侵害客体的事项为列，构造定级工作表，对系统破坏后的客体的损害程度进行量化分析0分表示对该表中描述的客体没有造成损害1分表示对该表中描述的客体造成一般损害2分表示对该表中描述的客体造成严重损害3分表示对该表中描述的客体造成特别严重损害,对表中的分值进行综合分析,如定级评分表中的分数均为0，则该客体的损害程度为0；如定级评分表中的分数不全为0，且最高分的数量不超过30%（经验值，可根据实际需求调整），则以最高分为该题可的损害程度如定级评分表中的分数不全为0，且最高分的数量超过30%，则以该最高分加1为该客体的损害程度，但加1后的定级分数最高不得超过3分,6.3等级保护在信息安全工程中的实施,定级工作中的系统识别与划分,一系统识别和描述1识别信息系统的基本信息：行业特征、主管机构、业务范围、地理位置、背景信息、联络方式2识别信息系统的管理框架：组织管理机构、管理策略、部门设置、部门职责、责任主体3识别信息系统的网络及设备部署：物理环境、拓扑结构、硬件部署、边界划分4识别信息系统的业务种类和特性：业务种类和数量、业务内容和流程、社会属性5识别业务系统处理的信息资产：资产类型、保密性、完整性、可用性要求6识别用户范围和用户类型,定级工作中的系统识别与划分,信息系统描述,定级工作中的系统识别与划分,二信息系统划分将一个组织内的大型信息系统进行划分，划分出相对独立的信息系统并作为定级对象，应保证每个相对独立的信息系统具备定级对象的基本特征。在信息系统划分的过程中，应该首先考虑组织管理的要素，然后考虑业务类型、物理区域等要素。,总体安全规划,一安全需求分析根据信息系统的安全保护等级，判断信息系统现有的安全保护水平与国家等级保护管理规范和技术标准之间的差距，提出信息系统的基本安全保护需求。1确定系统范围和分析对象2形成评价指标和评估方案3现状与评价指标对比4额外/特殊安全需求的确定,总体安全规划,二总体安全设计1总体安全策略设计确定安全方针（使命、意愿、目标、职责、运行模式等），制定安全策略2安全技术体系结构设计规定骨干网/城域网的安全保护技术措施规定子系统之间互联的安全技术措施规定不同级别子系统的边界保护技术措施规定不同级别子系统内部系统平台和业务应用的安全保护技术措施规定不同级别信息系统机房的安全保护技术措施,总体安全规划,二总体安全设计3整体安全管理体系结构设计规定信息安全的组织管理体系和对各信息系统的安全管理职责规定各等级信息系统的人员安全管理策略规定各等级信息系统机房及办公区等物理环境的安全管理策略规定各等级信息系统介质、设备等的安全管理策略规定各等级信息系统运行安全管理策略规定各等级信息系统安全事件处置和应急管理策略,总体安全规划,三安全建设项目规划1信息化建设中长期发展规划和安全需求调查2提出信息系统安全建设分阶段目标3确定主要安全建设内容（基础设施、网络安全、系统安全、应用安全、数据安全、人才培养、管理体系等）4确定主要安全建设项目,安全设计与实施,一安全方案详细设计1结构框架设计：防护层次、产品使用、网络子系统划分、IP地址规划等2功能要求设计：防火墙、VPN、网闸、认证网关、代理服务器、网络防病毒、PKI等，以及需要开发的安全控制组件等的功能指标要求3性能要求设计4部署方案设计：部署位置、连接方式、地址分配等5管理措施实现内容设计：机构、人员、制度、技能等,安全设计与实施,二管理和技术措施实现1管理机构和人员的设置2管理制度的建设和修订3人员安全技能的培训4安全实施的过程管理5