第17章 信息系统等级保护与风险管理.ppt

1、版权所有，盗版必纠,第17章 信息系统等级保护与风险管理,李 剑 北京邮电大学信息安全中心 E-mail: 电话版权所有，盗版必纠,概况,信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。风险管理是安全管理的重要组成部分。它包括：风险评估、风险控制以及根据风险评估结果对信息系统的运行中的相关事项做出决策。等级保护是基本制度，风险评估是过程，风险管理是目标。,版权所有，盗版必纠,第17章 信息系统等级保护与风险管理 17.1 信息安全等级保护 17.1.1

2、我国信息安全等级保护 17.1.2 国外信息安全等级保护 17.2 信息安全风险管理 17.3 信息系统风险评估 17.3.1 信息安全风险评估概述 17.3.2 信息安全风险评估方法 思考题,版权所有，盗版必纠,17.1 信息安全等级保护,信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范

3、、科学合理，对促进我国信息安全的发展将起到重要推动作用。,版权所有，盗版必纠,17.1.1 我国信息安全等级保护,1994年国务院颁布的 中华人民共和国计算机信息系统安全保护条例规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。1999年9月13日国家发布计算机信息系统安全保护等级划分准则。2003年中央办公厅、国务院办公厅转发国家信息化领导小组关于加强信息安全保障工作的意见（中办发 200327 号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全

4、等级保护的管理办法和技术指南”。 2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了信息安全等级保护管理办法（以下简称管理办法），明确了信息安全等级保护的具体要求。,版权所有，盗版必纠,17.1.1 我国信息安全等级保护,信息安全等级保护制度的实施，必将大大提高我国的信息安全水平，有力保护我国信息化建设成果。同时，我国相关的信息安全企业也将得到实惠。有关技术专家分析，国家对于信息系统以及相关安全产品进行等级划分，会使很多企事业单位的安全意识更加增强，有了这样的认识之后，信息安全厂商的相关产品才能够被广泛了解，安全厂商可以应针对等级划分要把自己的产品进行有针对性的调

5、整，相关解决方案是否符合当前信息系统的安全需求也可以经过等级评估的检验。我国的信息系统的安全保护等级分为以下五级：,版权所有，盗版必纠,17.1.1 我国信息安全等级保护,(1) 第一级为自主保护级。由用户来决定如何对资源进行保护，以及采用何种方式进行保护。 本级别适用于一般的信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。 (2) 第二级为指导保护级。本级的安全保护机制支持用户具有更强的自主保护能力。特别是具有访问审记能力，即它能创建、维护受保护对象的访问审计跟踪记录，记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息，所有

6、和安全相关的操作都能够被记录下来，以便当系统发生安全问题时，可以根据审记记录，分析追查事故责任人。 本级别适用于一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全。 (3) 第三级为监督保护级。具有第二级系统审计保护级的所有功能，并对访问者及其访问对象实施强制访问控制。通过对访问者和访问对象指定不同安全标记，限制访问者的权限。 本级别适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成损害。,版权所有，盗版必纠,17.1.1 我国信息安全等级保护,(4) 第四级为强制保护级。将前三级的安全保护能力扩展到所有访问

7、者和访问对象，支持形式化的安全保护策略。其本身构造也是结构化的，以使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。 本级别适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害。 (5) 第五级为专控保护级。具备第四级的所有功能，还具有仲裁访问者能否访问某些对象的能力。为此，本级的安全保护机制不能被攻击、被篡改的，具有极强的抗渗透能力。 本级别适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重损害。 信息系统运营、使用单位及个人

8、依据“信息安全等级保护管理办法”和相关技术标准对信息系统进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理,版权所有，盗版必纠,17.1.1 我国信息安全等级保护,(1) 第一级信息系统运营、使用单位或者个人可以依据国家管理规范和技术标准进行保护。 (2) 第二级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护。必要时，国家有关信息安全职能部门可以对其信息安全等级保护工作进行指导。 (3) 第三级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行监督、检查。 (4) 第四级信息系统运营、使用单位应当

9、依据国家管理规范和技术标准进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行强制监督、检查。 (5) 第五级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护，国家指定的专门部门或者专门机构对其信息安全等级保护工作进行专门监督、检查。 信息安全等级保护的主要内容如图17.1所示，大的方面分为技术要求和管理要求。技术要求分为物理安全、网络安全、主机安全、应用安全和数据安全。管理要求又分为安全管理机构、安全管理制度、人员安全管事、系统建设管理和系统运维管理。,版权所有，盗版必纠,17.1.1 我国信息安全等级保护,版权所有，盗版必纠,17.1.1 我国信息安全等级保护,信息系

10、统等级保护实施生命周期内的主要活动有四个阶段，包括定级阶段、规划设计阶段、安全实施/实现阶段、安全运行管理阶段，如图所示。,版权所有，盗版必纠,17.1.1 我国信息安全等级保护,版权所有，盗版必纠,17.1.2 国外信息安全等级保护,第一个有关信息技术安全评价的标准诞生于八十年代的美国，就是著名的“可信计算机系统评价准则”（TCSEC,又称桔皮书）。该准则对计算机操作系统的安全性规定了不同的等级.从九十年代开始,一些国家与国际组织相继提出了新的安全评价准则。1991年，欧共体发布了“信息技术安全评价准则”（ITSEC）。1993年,加拿大发布了“加拿大可信计算机产品评价准则”（CTCPEC）

11、, CTCPEC综合了TCSEC与ITSEC两个准则的优点。同年，美国在对TCSEC进行修改补充并吸收ITSEC优点的基础上，发布了“信息技术安全评价联邦准则”（FC）。,版权所有，盗版必纠,17.1.2 国外信息安全等级保护,美国，作为一直走在信息安全前列的大国，近几年来在信息系统安全方面，突出体现了对信息系统分类分级实施保护的发展思路，制定了一系列体系化的标准和指南性文件，并根据有关的技术标准、指南，对联邦政府一些重要的信息系统已实现了安全分级，并在整体上体现了分级保护、管理的思想。下面主要介绍的“可信计算机系统评价准则”，即桔皮书。,版权所有，盗版必纠,17.1.2 国外信息安全等级保护

12、,桔皮书是美国国家安全局（NSA）的国家电脑安全中心（NCSC）颁布的官方标准，其正式的名称为“受信任电脑系统评价标准”（TCSEC：Trusted Computer System Evaluation CRITERIA）. 目前，桔皮书是权威性的电脑系统安全标准之一，它将一个电脑系统可接受的信任程度给予分级，依照安全性从高到低划分为 A，B，C，D四个等级，其中这些安全等级不是线性的，而是指数级上升的。 桔皮书将计算机安全由低到高分为四类七级：D1、C1、C2、B1、B2、B3、A1。其中D1级是不具备最低安全限度的等级，C1和C2级是具备最低安全限度的等级，B1和B2级是具有中等安全保护能

13、力的等级，B3和A1属于最高安全等级。 D1级：计算机安全的最低一级，不要求用户进行用户登录和密码保护，任何人都可以使用，整个系统是不可信任的，硬件软件都易被侵袭。,版权所有，盗版必纠,17.1.2 国外信息安全等级保护,C1级：自主安全保护级，要求硬件有一定的安全级（如计算机带锁），用户必须通过登录认证方可使用系统，并建立了访问许可权限机制。 C2级：受控存取保护级，比C1级增加了几个特性：引进了受控访问环境，进一步限制了用户执行某些系统指令；授权分级使系统管理员给用户分组，授予他们访问某些程序和分级目录的权限；采用系统审计，跟踪记录所有安全事件及系统管理员工作。,版权所有，盗版必纠,17.

14、1.2 国外信息安全等级保护,B1级：标记安全保护级，对网络上每个对象都予实施保护；支持多级安全，对网络、应用程序工作站实施不同的安全策略；对象必须在访问控制之下，不允许拥有者自己改变所属资源的权限。 B2级：结构化保护级，对网络和计算机系统中所有对象都加以定义，给一个标签；为工作站、终端等设备分配不同的安全级别；按最小特权原则取消权力无限大的特权用户。 B3级：安全域级，要求用户工作站或终端必须通过信任的途径连接到网络系统内部的主机上；采用硬件来保护系统的数据存储区；根据最小特权原则，增加了系统安全员，将系统管理员、系统操作员和系统安全员的职责分离，将人为因素对计算机安全的威胁减至最小。,版

15、权所有，盗版必纠,17.1.2 国外信息安全等级保护,A1级：验证设计级，是计算机安全级中最高一级，本级包括了以上各级别的所有措施，并附加了一个安全系统的受监视设计；合格的个体必须经过分析并通过这一设计；所有构成系统的部件的来源都必须有安全保证；还规定了将安全计算机系统运送到现场安装所必须遵守的程序。,版权所有，盗版必纠,17.2 信息安全风险管理,信息安全风险管理是信息安全管理的重要组成部分，它是信息安全等级保护的基础。 1. 风险(Risk) 风险指在某一特定环境下，在某一特定时间段内，特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果

16、的结合。ISO 27001要求组织通过风险评估来识别组织的潜在风险及其大小，并按照风险的大小安排控制措施的优先等级。例如，在使用计算机的时候，如果安装了360安全卫士等安全工具，则有时会出现如图17.3所示的安全风险告警。,版权所有，盗版必纠,17.2 信息安全风险管理,版权所有，盗版必纠,17.2 信息安全风险管理,版权所有，盗版必纠,17.2 信息安全风险管理,2. 风险评估 (Risk Assessment) 风险评估有时候也称为风险分析，是组织使用适当的风险评估工具，对信息和信息处理设施的威胁(Threat)、影响(Impact)和薄弱点(Vulnerability)及其发生的可能性的

17、评估，也就是确认安全风险及其大小的过程。 风险评估是信息安全管理的基础，它为安全管理的后续工作提供方向和依据，后续工作的优先等级和关注程度都是由信息安全风险决定的，而且安全控制的效果也必须通过对剩余风险的评估来衡量。 风险评估是在一定范围内识别所存在信息安全风险，并确定其大小的过程。风险评估保证信息安全管理活动可以有的放矢，将有限的信息安全预算应用到最需要的地方，风险评估是风险管理的前提。,版权所有，盗版必纠,17.2 信息安全风险管理,3. 风险管理 (Risk Management) 风险管理以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。风险管理通过风险评估来识别风

18、险大小，通过制定信息安全方针，选择适当的控制目标与控制方式使风险得到避免、转移或降至一个可被接受的水平。在风险管理方面应考虑控制费用与风险之间的平衡。,版权所有，盗版必纠,17.3 信息系统风险评估,17.3.1 信息安全风险评估概述 风险评估的意义在于对风险的认识，而风险的处理过程，可以在考虑了管理成本后，选择适合企业自身的控制方法，对同类的风险因素采用相同的基线控制，这样有助于在保证效果的前提下降低风险评估的成本。如图17.5所示为信息安全风险评估的要素。,版权所有，盗版必纠,17.3.1 信息安全风险评估概述,版权所有，盗版必纠,17.3.1 信息安全风险评估概述,针对风险评估的工程实现

19、，SSE-CMM、OCTAVE等标准和方法对评估过程给予了较好的指导。常规的风险评估方法包括以下阶段：项目准备阶段、项目执行阶段、项目维护阶段。 为保障评估的规范性、一致性，降低人工成本，目前国内外普遍开发了一系列的评估工具。其中，网络评估工具主要有Nessus、Retina、天镜、ISS、N-Stalker等漏洞扫描工具，依托这些网络扫描工具，可以对网络设备、主机进行漏洞扫描，给出技术层面存在的安全漏洞、等级和解决方案建议。 管理评估工具主要有以BS 7799-1（ISO/IEC 17799）为基础的COBRA、天清等，借助管理评估工具，结合问卷式调查访谈，可以给出不同安全管理域在安全管理方

20、面存在的脆弱性和各领域的安全等级，给出基于标准的策略建议。,版权所有，盗版必纠,17.3.2 信息安全风险评估方法,主要的风险评估方法有以下6种： (1) 定制个性化的评估方法 虽然已经有许多标准评估方法和流程，但在实践过程中，不应只是这些方法的套用和拷贝，而是以他们作为参考，根据企业的特点及安全风险评估的能力，进行“基因”重组，定制个性化的评估方法，使得评估服务具有可裁剪性和灵活性。评估种类一般有整体评估、IT安全评估、渗透测试、边界评估、网络结构评估、脆弱性扫描、策略评估、应用风险评估等。 (2) 安全整体框架的设计 风险评估的目的，不仅在于明确风险，更重要的是为管理风险提供基础和依据。作为评估直接输出，用于进行风险管理的安全整体框架，至少应该明确。但是由于不同企业环境差异、需求差异，加上在操作层面可参考的模板很少，使得整体框架应用较少。但是，企业至少应该完成近期12年内框架，这样才能做到有律可依。,版权所有，盗版必纠,17.3.2 信息安全风险评估方法,(3) 多用户决策评估 不同层面的用户能看到不同的问题，要全面了解风险，必须进行多用户沟通评估。将评估过程作为多用户“决策”过程，对于了解风险、理解风险、管理风险、落实行动，具有极大的意义。事