信息安全等级保护操作流程
1信息系统定级
1.1定级工作实施范围
“关于开展全国重要信息系统安全等级保护定级工作的通知”对
于重要信息系统的范围规定如下:
(一)电信、广电行业的公用通信网、广播电视传输网等基础信
息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数
据中心等单位的重要信息系统。
(二)铁路、银行、海关、税务、民航、电力、证券、保险、外
交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、
审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工
商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信
息系统。
(三)市(地)级以上党政机关的重要网站和办公信息系统。
(四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
注:跨省或者全国统一联网运行的信息系统可以由主管部门统一
确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关
规定和标准执行。
1.2定级依据标准
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办
发【2003】27号文件)
《关于信息安全等级保护工作的实施意见》(公通字【2004】66
号文件)
《电子政务信息系统安全等级保护实施指南(试行)》(国信办
【2005】25号文件)
《信息安全等级保护管理办法》(公通字【2007】43号文件)
《计算机信息系统安全保护等级划分准则》
《电子政务信息安全等级保护实施指南》
《信息系统安全等级保护定级指南》
《信息系统安全等级保护基本要求》
《信息系统安全等级保护实施指南》
《信息系统安全等级保护测评指南》
1.3定级工作流程
·
·
·
·
·
·
·
·
·
·
·
·
·
·
·
网络拓扑调查
资产信息调查
服务信息调查
系统边界调查
……
管理机构分析
业务类型分析
物理位置分析
运行环境分析
……
业务信息分析
系统服务分析
综合分析
确定等级
……
信息系统调查
确定定级对象
定级要素分析
编写定级报告
·
·
编写定级报告
……
协助定级备案
·
·
·
协助评审审批
形成最终报告
协助定级备案
图1-1信息系统定级工作流程
1.3.1信息系统调查
信息系统调查是通过一系列的信息系统情况调查表对信息系统基
本情况进行摸底调查,全面掌握信息系统的数量、分布、业务类型、
应用、服务范围、系统结构、管理组织和管理方式等基本情况。同时,
通过信息系统调查还可以明确信息系统存在的资产价值、威胁等级、
风险等级以及可能造成的影响客体、影响范围等基本情况。
信息系统调查结果将作为信息系统安全等级保护定级工作的主要
依据,保证定级结果的客观、合理和准确。
1.3.1.1调查工具表
通常,信息系统调查工具表包括系统资产调查表、系统应用调查
表、和管理信息调查表等。
系统资产调查表
用于调查信息系统的基本情况,主要包括主机、网络设备、人员、
人员、服务等信息。在调查过程中,可以得到系统资产的基本信息、
主要用途、重要程度、服务对象等相关信息。
系统应用调查表
用于明确系统应用的基本状况。明确各个系统应用的拓扑信息、
边界信息、应用架构、数据流等基本情况,为确定和分析定级对象提
供详细信息。
管理信息调查表
用于明确信息系统的组织结构、隶属关系等管理信息。
1.3.1.2调查方法
信息系统调查的实施包括信息收集、访谈和核查三个步骤。
信息收集
协助信息系统使用管理单位完成系统资产调查表填写工作,同时
收集信息系统所涉及的一系列
访谈
核查
对调查表中的信息进行验证的过程,验证包括检查和测试等方式。
1.3.2确定定级对象
一个单位可能运行了比较庞大的信息系统,为了重点保护重要部
分,有效控制信息安全建设和管理成本,优化信息安全资源配置等保
护原则,可将较大的信息系统划分为若干个较小的、相对独立的、具
有不同安全保护等级的定级对象。这样,可以保证信息系统安全建设
能够突出重点、兼顾一般。
1.3.2.1基本原则
如果信息系统只承载一项业务,可以直接为该信息系统确定等级,
不必划分业务子系统。
如果信息系统承载多项业务,应根据各项业务的性质和特点,将
信息系统分成若干业务子系统,分别为各业务子系统确定安全保护等
级,信息系统的安全保护等级由各业务子系统的最高等级决定。信息
系统是进行等级确定和等级保护管理的最终对象。主要划分原则有:
一、具有唯一确定的安全责任单位
作为定级对象的信息系统应能够唯一地确定其安全责任单位。如
果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程
的全部安全责任,则这个下级单位可以成为信息系统的安全责任单
位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安
全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的
单位。
二、具有信息系统的基本要素
作为定级对象的信息系统应该是由相关的和配套的设备、设施按
照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的
系统组件,如服务器、终端、网络设备等作为定级对象。
三、承载单一或相对独立的业务应用
定级对象承载“单一”的业务应用是指该业务应用的业务流程独
立,且与其他业务应用没有数据交换,且独享所有信息处理设备。定
级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程
独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其
他业务应用共享一些设备,尤其是网络传输设备。
1.3.2.2信息系统的划分方法
一个组织机构内可能运行一个或多个信息系统,这些信息系统的
安全保护等级可以是相同的,也可以是不同的。为体现重点保护重要
信息系统安全,有效控制信息安全建设成本,优化信息安全资源配置
的等级保护原则,在进行信息系统的划分时应考虑以下几个方面:
一、相同的管理机构
信息系统内的各业务子系统在同一个管理机构的管理控制之下,
可以保证遵循相同的安全管理策略。
二、相同的业务类型
信息系统内的各业务子系统具有相同的业务类型,安全需求相近,
可以保证遵循相同的安全策略。
三、相同的物理位置或相似的运行环境
信息系统内的各业务子系统具有相同的物理位置或相似的运行环
境意味着系统所面临的威胁相似,有利于采取统一的安全保护。
1.3.3定级要素分析
通过针对定级对象分别进行业务信息安全分析和系统服务安全分
析,最终确定信息系统安全等级保护系统等级。
在进行业务信息安全分析和系统服务安全分析时,充分考虑行业
特点、业务应用特点等因素,细化受侵害客体组成及损害程度判定要
素,从而确保信息系统定级的合理准确。
1.3.3.1定级流程
根据定级流程,在定级要素分析时需对业务信息安全等级和系统
服务安全等级进行分析,分析内容包括确定受侵害的客体、确定对客
体的侵害程度,从而确定相应的业务信息安全等级和系统服务安全等
级。最后,综合业务信息安全等级和系统服务安全等级得到信息系统
安全等级保护系统等级。
1.3.3.2确定受侵害客体
定级对象收到破坏时所侵害的客体包括国家安全、社会秩序、公
众利益及公民、法人和其他组织的合法权益。
国家安全
影响国家政权稳固和国防实力;
影响国家统一、民族团结和社会;
影响国家对外活动中的政治、经济利益;
影响国家重要的安全保卫工作;
影响国家经济竞争力和科技实力;
其他影响国家安全的事项。
社会秩序
影响国家机关社会管理和公共服务的工作秩序;
影响各种类型的经济活动秩序;
影响各行业的科研、生产秩序;
影响公众在法律约束和道德规范下的正常生活秩序等;
其他影响社会秩序的事项。
公共利益
影响社会成员使用公共设施;
影响社会成员获取公开信息资源;
影响社会成员接受公共服务等方面;
其他影响公共利益的事项。
公民、法人和其他组织
由法律确认的并受法律保护的公民、法人和其他组织所享
有的一定的社会权利和利益。
确定作为定级对象的信息系统受到破坏后所侵害的客体时,应首
先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,
最后判断是否侵害公民、法人和其他组织的合法权益的关系,从而确
定信息和信息系统受到破坏时所侵害的客体。
1.3.3.3确定对客体的损害程度
在针对不同的受侵害客体进行侵害程度的判断时,应参照以下的
判别基准。
如果受侵害客体是公民、法人或其他组织的合法权益,则以本
人或本单位的总体利益作为判断侵害程度的基准。
如果受侵害客体是社会秩序、公共利益或国家安全,则应以整
个行业或国家的总体利益作为判断侵害程度的基准。
不同危害后果的三种危害程度危害程度描述如下:
一般损害
工作职能受到局部影响,业务能力有所降低但不影响主要功
能的执行,出现较轻的法律问题,较低的财产损失,有限的社会
不良影响,对其他组织和个人造成较低损害。
严重损害
工作职能受到严重影响,业务能力显著下降且严重影响主要
功能执行,出现较严重的法律问题,较高的财产损失,较大范围
的社会不良影响,对其他组织和个人造成较严重损害。
特别严重损害
工作职能受到特别严重影响或丧失行使能力,业务能力严重
下降且或功能无法执行,出现极其严重的法律问题,极高的财产
损失,大范围的社会不良影响,对其他组织和个人造成非常严重
损害。
1.3.3.4确定定级对象的安全保护等级
在确定完成受侵害客体以及对客体的侵害程度后,依据表1分别
确定业务信息安全等级和系统服务安全等级。作为定级对象的信息系
统的安全保护等级由业务信息安全等级和系统服务安全等级的较高
者决定。
表1定级要素与安全保护等级的关系
对客体的侵害程度
受侵害的客体
一般损害
公民、法人和其他
第一级
组织的合法权益
社会秩序、公共利
第二级
益
国家安全第三级第四级第五级
第三级第四级
第二级第二级
严重损害特别严重损害
1.3.4编写定级报告
根据定级过程和定级结果,编写初步信息系统定级报告。
1.3.5协助定级备案
在完成初步定级报告后,协助信息系统管理使用单位进行评审与
审批,并最终确定定级报告,完成信息系统备案工作。
2等级测试
2.1工作内容
等级测评是信息安全等级保护实施中的一个重要环节。等级测评
是指具有相关资质的、独立的第三方评测服务机构,对信息系统的等
级保护落实情况与信息安全等级保护相关标准要求之间的符合程度
的测试判定。
2.2依据标准
《计算机信息系统安全保护等级划分准则》
《信息系统安全等级保护基本要求》
《信息系统安全等级保护定级指南》
《电子政务信息安全等级保护实施指南》
《信息系统安全等级保护实施指南》
《信息系统安全等级保护测评指南》
《信息安全技术信息系统通用安全技术要求》
《信息安全技术网络基础安全技术要求》
《信息安全技术操作系统安全技术要求》
《信息安全技术数据库管理系统安全技术要求》
《信息安全技术服务器技术要求》
《信息安全技术终端计算机系统安全等级技术要求》
2.3等级评测内容
2.3.1基本内容
对信息系统安全等级保护状况进行测试评估,应包括两个方面的
内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安
全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评
分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安
全测评的基础。
对安全控制测评的描述,使用工作单元方式组织。工作单元分为
安全技术测评和安全管理测评两大类。安全技术测评包括:物理安全、
网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全
控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员
安全管理、系统建设管理和系统运维管理等五个方面的安全控制测
评。
系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到
信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实
际情况紧密相关,内容复杂且充满系统个性。因此,全面地给出系统
整体测评要求的完整内容、具体实施方法和明确的结果判定方法是很
困难的。测评人员应根据特定信息系统的具体情况,结合标准要求,
确定系统整体测评的具体内容,在安全控制测评的基础上,重点考虑
安全控制间、层面间以及区域间的相互关联关系,测评安全控制间、
层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信
息系统整体结构安全性、不同信息系统之间整体安全性等,等级测评
基本内容如图1所示。
信息系统等级测评
安全控制测评
安全技术测评
物
理
安
全
网
络
安
全
安全管理测评
安全
管理
机构
安全
管理
制度
系统整体测评
安全控制间层面间区域间
整体结构安全不同信息系统之间整体安全性
应
用
安
全
数
据
安
全
主
机
系
统
安
全
整体拓扑/局部结构
人员安全管理
系统
建设
管理
系统
运维
管理
图1等级测评基本内容
2.3.2等级测评工作单元
工作单元是安全测评的基本工作单位,对应一组相对独立和完整
的测评内容。工作单元由测评项、测评对象、测评方式、测评实施和
结果判定组成,如图2示。
图2工作单元构成
测评项描述测评目的和测评内容,与信息安全等级保护要求的基
本安全控制要求相一致。
测评方式是指测评人员依据测评目的和测评内容应选取的、实施
特定测评操作的方式方法,包括三种基本测评方式:访谈、检查和测
试。
测评对象是测评实施过程中涉及到的信息系统的构成成分,是客
观存在的人员、文档、机制或者设备等。测评对象是根据该工作单元
中的测评项要求提出的,与测评项的要求相适应。一般来说,实施测
评时,面临的具体测评对象可以是单个人员、文档、机制或者设备等,
也可能是由多个人员、文档、机制或者设备等构成的集合,它们分别
需要使用到某个特定安全控制的功能。
测评实施是工作单元的主要组成部分,它是依据测评目的,针对
具体测评内容开发出来的具体测评执行实施过程要求。测评实施描述
测评过程中涉及到的具体测评方式、内容以及需要实现的和/或应该
取得的测评结果。
结果判定描述测评人员执行完测评实施过程,产生各种测评证据
后,如何依据这些测评证据来判定被测系统是否满足测评项要求的方
法和原则。在给出整个工作单元的测评结论前,需要先给出单项测评
实施过程的结论。一般来说,单项测评实施过程的结论判定不是直接
的,常常需要测评人员的主观判断,通常认为取得正确的、关键性证
据,该单项测评实施过程就得到满足。某些安全控制可能在多个具体
测评对象上实现(如主机系统的身份鉴别),在测评时发现只有部分
测评对象上的安全控制满足要求,它们的结果判定应根据实际情况给
出。
2.4测评方法
主要采用访谈、检查、测试等方法进行等级保护测评。
一、访谈(interview)
测评人员通过与信息系统相关人员(个人/体)进行交流、讨论
等活动,获取证据以证明信息系统安全等级保护措施是否有效的一种
方法。使用各类调查问卷和访谈大纲实施访谈。
二、检查(examine)
不同于行政执法意义上的监督检查,而是指测评人员通过对测评
对象进行观察、查验、分析等活动,获取证据以证明信息系统安全等
级保护措施是否有效的一种方法。可以使用各种检查表和相应的安全
调查工具实施检查。
三、测试(test)
测评人员通过对测评对象按照预定的方法/工具使其产生特定的
行为等活动,查看、分析输出结果,获取证据以证明信息系统安全等
级保护措施是否有效的一种方法。包括功能测试和渗透性测试、系统
漏洞扫描等。
渗透性测试:等级测评的一个重要内容是对测试目标进行脆弱性
分析,探知产品或系统安全脆弱性的存在,其主要目的是确定测试目
标能够抵抗具有不同等级攻击潜能的攻击者发起的渗透性攻击。因
此,渗透性测试就是在测试目标预期使用环境下进行的测试,以确定
测试目标中潜在的脆弱性的可利用程度。
系统漏洞扫描:要是利用扫描工具对系统进行自动检查,根据漏
洞库的描述对系统进行模拟攻击测试,如果系统被成功入侵,说明存
在漏洞。主要分为网络漏洞扫描和主机漏洞扫描等方式。
2.5等级测评工作流程
一、测评准备阶段
本阶段是开展现场测评工作的前提和基础,是整个等级测评过程
有效性的保证。测评准备工作是否充分直接关系到现场测评工作能否
顺利开展。本阶段的主要工作是掌握被测方系统的详细情况和为实施
现场测评做好方案、文档及测试工具等方面的准备。
二、现场实施阶段
本阶段是开展等级测评工作的关键阶段。本阶段的主要工作是按
照测评方案的总体要求,严格执行作业指导书,分步实施所有测评项
目,包括单项测评和系统整体测评两个方面,以了解系统的真实保护
情况,获取足够证据,发现系统存在的安全问题。
三、分析与报告编制阶段
该阶段是等级测评工作的最后环节,是对被测方系统整体安全保
护能力的综合评价过程。主要工作是根据现场测评结果和《测评准则》
的有关要求,通过单项测评结论判定和系统整体测评分析等方法,分
析整个系统的安全保护现状与相应等级的保护要求之间的差距,编制
测评报告。
等级测评基本流程如图3示。
等级测评项目启动
测
评
准
备
阶
段
信息收集和分析
编制测评方案
工具和文档准备
沟
通
与
洽
谈
现
场
实
施
阶
段
方案确认和资源协调
现场测评和记录结果
结果确认和资料归还
分
析
与
报
告
编
制
阶
段
分析测评结果
形成等级评测结论
编制测评报告
说明:图中虚线框中的活动不是一个独立的活动或称,它贯穿等级
测评的各个阶段中,需要双方配合共同完成等级测评工作。
图3等级测评基本流程
2.6系统整体测评
系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到
信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实
际情况紧密相关,内容复杂且充满系统个性。因此,全面地给出系统
整体测评要求的完整内容、具体实施方法和明确的结果判定方法是很
困难的。
首先测评人员应根据特定信息系统的具体情况,结合标准要求,
确定系统整体测评的具体内容。其次在安全控制测评的基础上,重点
考虑安全控制间、层面间以及区域间的相互关联关系,测评安全控制
间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用,
最后才能得出测评结论。
2.6.1安全控制间安全测评
安全控制间的安全测评主要考虑同一区域内、同一层面上的不同
安全控制间存在的功能增强、补充或削弱等关联作用。安全功能上的
增强和补充可以使两个不同强度、不同等级的安全控制发挥更强的综
合效能,可以使单个低等级安全控制在特定环境中达到高等级信息系
统的安全要求。安全功能上的削弱会使一个安全控制的引入影响另一
个安全控制的功能发挥或者给其带来新的脆弱性。例如,某金融机构
的核心系统,它的访问路径未采用SSL加密设置,容易导致数据被嗅
探和非法篡改,但核心系统采用SSL加速器对网络上数据传输进行加
密,可以有效保护网络数据传输的安全。所以,在进行测评综合判定
时,该测评项就可以判为通过。
2.6.2层面间安全测评
层面间的安全测评主要考虑同一区域内的不同层面之间存在的功
能增强、补充和削弱等关联作用。安全功能上的增强和补充可以使两
个不同层面上的安全控制发挥更强的综合效能,可以使单个低等级安
全控制在特定环境中达到高等级信息系统的安全要求。安全功能上的
削弱会使一个层面上的安全控制影响另一个层面安全控制的功能发
挥或者给其带来新的脆弱性。例如,某金融机构,它的网络核心设备
对内部的访问控制存在不足,安全风险主要来自内部人员的误用、滥
用和恶用,但是它的教育、管理和考核制度都比较完善,对内部员工
要求也比较严格,所以在一定程度上降低了这种来自内部的风险,对
网络访问控制进行了相应的补充和增强。
2.6.3区域间安全测评
区域间的安全测评主要考虑互连互通(包括物理上和逻辑上的互
连互通等)的不同区域之间存在的安全功能增强、补充和削弱等关联
作用,特别是有数据交换的两个不同区域。安全功能上的增强和补充
可以使两个不同区域上的安全控制发挥更强的综合效能,可以使单个
低等级安全控制在特定环境中达到高等级信息系统的安全要求。安全
功能上的削弱会使一个区域上的安全功能影响另一个区域安全功能
的发挥或者给其带来新的脆弱性。例如,某金融机构的核心数据机房
位于中心机房内部,它只有一个出入口,该出入口在中心机房内。因
此,在中心机房的出入口上安排24小时专人值守等措施,可以解决
核心数据机房区域上的物理访问控制等相应措施的安全功能,使其达
到该区域物理安全所要求的安全保护强度。
3全面认识和正确实施信息安全等级保护
3.1全面认识信息安全等级保护
信息安全等级保护信息安全等级保护的各项工作是围绕对信息系
统的安全等级保护开展的。全面认识信息安全等级保护,需要确立以
下基本观点:
1)整体看,信息安全等级保护是制度;分开看,信息安全是目的,
等级保护是方法;
2)对信息安全划分等级是管理的需要;
3)信息安全是围绕信息系统安全开展的一系列工作的总称;
4)风险等级、需求等级、安全保护等级、安全技术等级和安全管
理等级是信息系统安全等级保护对等级划分的全面反映;
5)安全系统等级与安全技术等级和安全管理等级既相互关联又
各有其不同的含义;
6)安全管理是信息安全的生命线。
整体看,“信息安全等级保护”是制度;分开看,“信息安全是目
的,等级保护是方法”,这一基本认识明确定位了信息安全等级保护
的重要位置以及信息安全与等级保护之间的关系。用分等级保护的方
法实现国家信息安全的总体目标,既是一项制度,也是一种方法。其
基本思想是:重点保护和适度保护。进一步理解可以包括以下含义:
方法是可选的,不是唯一的;但制度一经确定就是不可改变的;等级
的划分可以是多种多样的,但作为要具体执行的制度,就应有确定的
等级划分;对已经确定的等级划分,如果没有发现其不可执行的缺陷,
就不要轻易改变。
“对信息安全划分等级是管理的需要”,这一基本认识表明:分等
级保护是从便于管理的角度对实现信息安全的考虑。其实,等级化管
理是人类社会普遍采用的管理方法。纵观人类社会活动的各个环节,
无不存在着按等级管理的情况。就信息安全而言,等级化管理在国际
和国内也是普遍采用的方法。经典的安全标准--TCSEC和最新国际信
息安全技术标准--CC等无不以分等级的方法对信息安全技术的不同
要求进行描述,尽管他们各自在描述方法上有所不同(CC没有对安
全功能要求进行等级划分,很大程度上是因为各个国家没有取得共
识)。从我国当前的实际情况出发,采用分等级保护的方法实现信息
安全,无疑是适用于我国当前实际的一种有效的信息安全管理方法。
“信息安全是围绕信息系统安全开展的一系列工作的总称”。这一
基本认识表明:信息安全是指信息系统和信息系统中存储、传输和处
理的数据信息的安全。一方面“信息安全”是一个具有较广泛概念的
称谓,是包括从中央到地方、从法律到法规、从管理到技术、从系统
到产品等,涉及国家有关机构和部门围绕对信息的安全保护所进行的
所有活动;另一方面“,信息安全”的所有活动则完全是围绕对信息
系统和信息系统中所存储、传输和处理的数据信息进行安全保护应采
取的安全技术和安全管理措施这一目标开展的,并且具体落实到各个
单位和部门的所有信息系统的建设和运行控制的全过程。
“风险等级、需求等级、安全保护等级、安全技术和安全管理等
级是信息系统安全等级保护对等级划分的全面反映”这一基本认识表
明:围绕信息系统的安全等级保护,需要对信息系统的安全风险、安
全需求、安全保护、安全技术和安全管理等各个阶段和层面进行等级
划分。信息系统的安全风险等级是根据对目标信息系统进行风险分析
所确定的风险度的表示,66号文件所规定的5个安全等级,就是建
立在对国家各行各业的信息系统的安全保护要求进行总体风险分析
的基础上确定的信息系统的安全风险框架,是各有关单位确定其所属
信息系统的安全风险等级的基本依据;信息系统安全需求等级是根据
目标信息系统的安全风险等级确定的;信息系统的安全保护等级是对
信息系统安全保护的总体要求,是确定目标信息系统应选取何种等级
的安全保护措施(包括安全技术措施和安全管理措施)的基本依据,
这些安全措施共同确保信息系统安全达到其安全性目标;安全技术等
级和安全管理等级分别从技术和管理的角度对安全保护措施的安全
性进行区分,为不同安全等级的信息系统进行技术和管理措施的选择
提供支持。
“安全系统等级与安全技术等级和安全管理等级既相互关联又各
有其不同的含义”。这一基本认识表明:安全技术等级和安全管理等
级与系统安全等级有着十分密切的关系但两者并不是等同的关系。为
了贯彻重点保护和适度保护的原则,信息系统需要划分等级,信息安
全技术和信息安全管理同样需要划分等级。然而,信息系统的安全等
级与安全技术的安全等级和安全管理的安全等级(以下简称“技术和
管理的安全等级”)是两个既有联系又不完全相同的概念。信息系统
的安全等级是根据信息系统的风险程度(或者说风险等级)确定的,
是与信息系统的重要性(或资产价值)及其所处的环境和条件(或安
全威胁)有关的。而技术和管理的安全等级则是按安全技术和安全管
理要素的安全性强度划分并与环境和条件无关的。由于信息系统所处
环境和条件的各不相同,信息系统的安全等级划分难以制定出明确的
标准,而技术和管理的安全等级完全可以根据其所实现的安全功能和
所采取的安全保证措施制定出明确的划分标准。到目前为止,所制定
的一系列与信息安全等级保护相关的标准,其等级的划分都是以安全
要素为单位进行划分的。不同安全要素所实现的安全功能的安全性强
度(也就是安全等级),根据其所采用的安全机制的不同和安全保证
措施的不同而定。至于划分为几个等级和每个安全等级之间的差异,
完全是人为确定的。当然,这里所说的人为确定并是由哪一个随意确
定的,而是由有关主管部门组织业内有关专家,根据信息安全等级保
护的需要,参考国际和国外的相关标准,结合我国安全技术发展和信
息系统安全等级划分的具体情况,认真研究确定的。这就是我们当前
所制定的一系列安全技术和安全管理标准等级划分的基础和依据。对
一个具体的信息系统,在选择采用何种等级的安全技术和安全管理措
施时,需要考虑目标信息系统所处的环境和条件对安全性要求的影
响,而并非简单的按对应等级进行选择。
“安全管理是信息安全的生命线”。这一基本认识表明:安全管理
在信息安全等级保护制度实施过程中重要作用。人们通常用“三分技
术,七分管理”来形容管理对技术的重要性。其实,用“安全管理是
信息安全的生命线”来描述安全管理对信息安全的重要性可能更为贴
切。对信息安全等级保护的管理分为“宏观管理”和“微观管理”。
宏观管理是指从国家的政策法规到设置各种管理机构等全局性的管
理措施微观管理是指围绕信息系统的安全等级保护所实施的一系具
体管理。从宏观管理看,没有政策法规的明确要求,信息安全等级保
护就是依据空话。从微观管理看,安全管理贯穿从确定信息系统安全
需求到控制信息系统安全运行的信息系统整个生命周期的全过程,是
信息安全的每一个环节实现的前提和保证。没有严格的组织管理,无
法进行信息安全的需求分析,从而无法确定信息安全的等级需求;无
法确定信息系统的安全方案;无法确保信息系统安全工程按确定的安
全目标实现;无法确保设计、实现的信息安全系统的运行达到所要求
的安全目标;无法应对安全系统运行中出现的新情况和新问题。总之,
在信息安全系统生周期的每一个环节,没有严格的符合要求的管理,
安全技术的作用就会打折扣,甚至成为攻击的弱点和漏洞。技术是手
段,管理是前提和保证目标只有一个,那就是信息安全。根据我国的
国情,管理的重要性还体现在领导的重要性。实践证明,在我国信息
系统建设阶段,单位领导的重视与支持对单位的信息系统建设和发展
的重要性已经成为不争的事实。同样,单位领导,特别是主要领导的
重视与支持,对单位信息安全系统建设和运行具有十分重要的作用。
3.2正确实施信息安全等级保护
正确实施信息安全等级保护需要采用以下基本方法:
1)风险管理与信息安全等级保护相结合是贯穿信息系统整个生
命周期的有效措施;
2)构建等级化的信息安全保障体系是实施信息安全等级保护的
正确途径;
3)按区域分类、分层、分等级保护是对信息系统实施安全等级保
护的有效方法;
4)安全的一致性原理是等级化信息系统安全设计的重要思想。
在进行等级化的信息系统安全设计时,首先采用风险分析的方法
确定安全风险程度(等级)和安全需求,然后将这些安全需求转化为
相应的安全要求,再根据这些安全要求,确定对应的安全技术和安全
管理措施。根据这些安全技术和安全管理措施在相关的安全技术标准
和安全管理标准中的安全级,从而最终确定信息系统的安全等级。由
于安全技术和安全管理标准的等级划分已经充分考虑到信息系统安
全等级的划分,所以从整体上两者的等级应该是基本一致的。但这里
并不要求完全对应。因为从本质上讲,技术和管理的安全等级的划分
是比较单一的,而信息系统安全等级的划分是比较复杂的,而且与信
息系统所在的环境和条件有关的。可以帮助我们理解这一观点的一个
例子是,美国的IST系列文档将信息系统的安全等级划分为基本级、
增强级、强健级三个等级,并通过选取CC中的相应安全组件来构建
所需要的信息安全系统。
通过风险分析确定安全风险等级,威胁针对脆弱性和资产所产生
的后果是,在脆弱性和资产确定的情况下,安全风险随威胁的增加而
增加;在威胁确定的情况下,安全风险随资产和/或脆弱性的增加而
增加;安全需求等级由安全风险等级产生,安全目标等级由安全需求
等级确定,安全目标等级通过选择相应安全等级的安全措施(安全技
术措施和安全管理措施)来实现;安全措施通过对抗威胁、保护资产
和降低脆弱性来减少安全风险,使剩余风险降低到可接受的范围,从
而达到对信息系统进行安全保护的目标。
“构建等级化的信息安全保障体系是实施信息安全等级保护的正
确途径”,这一基本方法表明:对信息系统实施安全等级保护,需要
根据其承载的各个业务应用的不同安全需求确定不同的安全保护等
级,从而构成等级化的信息系统安全保障体系。一个大型复杂的信息
系统,其所承载的业务应用会有各种类型,不同类型的业务应用会有
不同的安全保护需求,即使是同一种类型的业务应用,也会有不同的
安全保护需求。这些安全需求的不同主要体现在对数据信息安全保护
的不同要求。这些不同的安全需求是构建等级化信息安全保障体系的
基本依据。等级化主要体现在对具有不同安全保护要求的数据信息的
不同安全保护方面。各类数据信息的流动范围就是该类数据信息实施
安全保护的范围。
“按数据分类分区域、分层、分等级保护是对信息系统实施安全
等级保护的有效方法”,这一基本方法表明:对一个大型复杂的信息
系统,需要根据其不同保护要求,划分不同的安全保护域,并对每一
个安全域实施不同等级的安全保护,从而在整体上实现多级安全保
护。按数据分类分区域、分层、分等级保护是对等级化信息安全保障
体系的具体实现。所谓按数据分类保护是指,将需要进行相同保护的
数据信息作为相同的分类,将同一类数据的流动范围划分为一个区
域,实施相同的安全保护,域的划分可以是物理的也可以是逻辑的,
甚至可能是交叉的,当然具体划分应越简单越好;所谓分层保护是指,
在同一安全域中,组成该安全域的各个层次的软硬件系统应具有相同
的安全保护能力,以确保当数据信息在其控制范围内时能得到应有的
安全保护;所谓分等级保护是指,对在同一区域和/或不同区域需要
进行相同保护的数据信息进行相同等级的安全保护。在一个具体的信
息系统中,一个服务器可以构成一个安全域,多个服务器及其互联的
网络可以构成一个安全域;服务器、客户端计算机系统及其互联的网
络可以构成一个安全域。这一切都需要根据数据信息的安全保护要求
及其流动的范围确定。看来,数据信息成为安全域划分的关键因素。
于是,根据数据信息需要保护的程度,合理分布和控制数据信息的流
动便成为等级化信息系统安全保障体系设计的重要环节。
“安全的一致性原理是等级化信息系统安全设计的重要思想”,这
一基本方法表明:设计一个安全的信息系统,需要采用具有相对一致
安全性的安全措施,包括:各个安全技术要素之间的相对一致性,安
全功能与安全保证的一致性,以及安全管理与安全技术的一致性等。
GB17859-1999及其相关的一系列信息安全等级保护标准就是按照这
种一致性要求制定的。其中的安全等级划分已经充分考虑到这些一致
性要求。例如,通用安全技术要求中,同一安全等级的各个安全要素
的安全要求的一致性体现在:基于“口令”的鉴别与基本的自主访问
控制相一致;基于增强管理的“口令”的鉴别与更细粒度的自主访问
控制相一致;基于“数字证书”/“生物特征”的身份鉴别与更细粒
度的自主访问控制和强制访问控制相一致等等。又如,安全功能与安
全保证的一致性体现在:基于“口令”的身份鉴别有较低(第一级)
的安全保证要求,而基于“数字证书”的身份鉴别则有较高(第三级)
的安全保证要求。安全管理与安全技术的一致性在安全技术的等级划
分和安全管理的等级划分中得到了充分的体现。
本文发布于:2022-08-16 23:18:08,感谢您对本站的认可!
本文链接:http://www.wtabcd.cn/falv/fa/78/77013.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
| 留言与评论(共有 0 条评论) |
