信息安全技术信息系统安全等级保护实施指引
信息安全技术信息系统安全等级保护实施指南
前言
本标准的附录A是规范性附录。
本标准由公安部和全国信息安全标准化技术委员会提出。
本标准由全国信息安全标准化技术委员会归口。
本标准起草单位:公安部信息安全等级保护评估中心。
本标准主要起草人:毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、刘静、罗峥。
引言
依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:
——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南;
——GB/T BBBB-BBBB 信息安全技术信息系统安全等级保护基本要求。
在对信息系统实施信息安全等级保护的过程中,除使用本标准外,在不同的阶段,还应参照其他有关信息安全等级保护的标准开展工作。
在信息系统定级阶段,应按照GB/T AAAA-AAAA介绍的方法,确定信息系统安全保护等级。
在信息系统总体安全规划,安全设计与实施,安全运行与维护和信息系统终止等阶段,应按照GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运行维护管理工作。
GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准是信息系统安全等级保护的系列相关配套标准,其中GB17859-1999是基础性标准,GB/T20269-2006、GB/T20270-2006 和GB/T20271-2006等是对GB17859-1999的进一步细化和扩展,GB/T BBBB-BBBB是以GB17859-1999为基础,根据现有技术发展水平提出的对不同安全保护等级信息系统的最基本安全要求,是其他标准的一个底线子集。
对信息系统的安全等级保护应从GB/T BBBB-BBBB出发,在保证信息系统满足基本安全要求的基础上,逐步提高对信息系统的保护水平,最终满足GB17859-1999、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等标准的要求。
除本标准和上述提到的标准外,在信息系统安全等级保护实施过程中,还可参照和使用GB/T20272-2006和
GB/T20273-2006等其它等级保护相关技术标准。
信息系统安全等级保护实施指南.
1 范围
本标准规定了信息系统安全等级保护实施的过程,适用于指导信息系统安全等级保护的实施。
2 规范性引用文件
下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包
括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8 信息技术词汇第8部分:安全
GB17859-1999 计算机信息系统安全保护等级划分准则
GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南
3 术语和定义
GB/T 5271.8和GB 17859-1999确立的以及下列术语和定义适用于本标准。
3.1
等级测评classified security testing and evaluation
确定信息系统安全保护能力是否达到相应等级基本要求的过程。
4 等级保护实施概述
4.1 基本原则
信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。信息系统安全等级保护实施过程中应遵循以下基本原则:
a) 自主保护原则
信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护。
b) 重点保护原则
根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。
c) 同步建设原则
信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。
d) 动态调整原则
要跟踪信息系统的变化情况,调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。
4.2 角色和职责
信息系统安全等级保护实施过程中涉及的各类角色和职责如下:
a) 国家管理部门
公安机关负责信息安全等级保护工作的监督、检查、指导;国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导;国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导;涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理;国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
b) 信息系统主管部门
负责依照国家信息安全等级保护的管理规范和技术标准,督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。.
c) 信息系统运营、使用单位
负责依照国家信息安全等级保护的管理规范和技术标准,确定其信息系统的安全保护等级,有主管部门的,应当报其主管部门审核批准;根据已经确定的安全保护等级,到公安机关办理备案手续;按照国家信息安全等级保护管理规范和技术标准,进行信息系统安全保护的规划设计;使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品和信息安全产品,开展信息系统安全建设或者改建工作;制定、落实各项安全管理制度,定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查,选择符合国家相关规定的等级测评机构,定期进行等级测评;制定不同等级信息安全事件的响应、处置预案,对信息系统的信息安全事件分等级进行应急处置。
d) 信息安全服务机构
负责根据信息系统运营、使用单位的委托,依照国家信息安全等级保护的管理规范和技术标准,协助信息系统运营、使用单位完成等级保护的相关工作,包括确定其信息系统的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造等。
e) 信息安全等级测评机构
负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权,协助信息系统运营、使用单位或国家管理部门,按照国家信息安全等级保护的管理规范和技术标准,对已经完成等级保护建设的信息系统进行等级测评;对信息安全产品供应商提供的信息安全产品进行安全测评。
f) 信息安全产品供应商
负责按照国家信息安全等级保护的管理规范和技术标准,开发符合等级保护相关要求的信息安全产品,接受安全测评;按照等级保护相关要求销售信息安全产品并提供相关服务。
4.3 实施的基本流程
在安全运行与维护阶段,信息系统因需求变化等原因导致局部调整,而系统的安全保护等级并未改变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、调整和实施安全措施,确保满足等级保护的要求;但信息系统发生重大变更导致系统安全保护等级变化时,应从安全运行与维护阶段进入信息系统定级阶段,重新开始一轮信息安全等级保护的实施过程。
5 信息系统定级
5.1 信息系定级阶段的工作流程
信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规范和GB/T AAAA-AAAA,确定信息系统的安全保护等级,信息系统运营、使用单位有主管部门的,应当经主管部门审核批准。
5.2 信息系统分析
5.2.1系统识别和描述
活动目标:
本活动的目标是通过从信息系统运营、使用单位相关人员处收集有关信息系统的信息,并对信息进行综合分析和整理,依据分析和整理的内容形成组织机构内信息系统的总体描述性文档。
参与角色:信息系统运营、使用单位,信息安全服务机构。
活动输入:信息系统的立项、建设和管理文档。
活动描述:
本活动主要包括以下子活动内容:
a) 识别信息系统的基本信息
调查了解信息系统的行业特征、主管机构、业务范围、地理位置以及信息系统基本情况,获得信息系统的背景信息和联络方式。
b) 识别信息系统的管理框架
了解信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责,获得支持信息系统业务运营的管理特征和管理框架方面的信息,从而明确信息系统的安全责任主体。
c) 识别信息系统的网络及设备部署
了解信息系统的物理环境、网络拓扑结构和硬件设备的部署情况,在此基础上明确信息系统的边界,即确定定级对象及其范围。
d) 识别信息系统的业务种类和特性
了解机构内主要依靠信息系统处理的业务种类和数量,这些业务各自的社会属性、业务内容和业务流程等,从中明确支
持机构业务运营的信息系统的业务特性,将承载比较单一的业务应用或者承载相对独立的业务应用的信息系统作为单独的定级对象。
e) 识别业务系统处理的信息资产
了解业务系统处理的信息资产的类型,这些信息资产在保密性、完整性和可用性等方面的重要性程度。
f) 识别用户范围和用户类型
根据用户或用户群的分布范围了解业务系统的服务范围、作用以及业务连续性方面的要求等。
g) 信息系统描述
对收集的信息进行整理、分析,形成对信息系统的总体描述文件。一个典型的信息系统的总体描述文件应包含以下内容:
1) 系统概述;
2) 系统边界描述;
3) 网络拓扑;
4) 设备部署;
5) 支撑的业务应用的种类和特性;
6) 处理的信息资产;
7) 用户的范围和用户类型;
8) 信息系统的管理框架。
活动输出:信息系统总体描述文件。
5.2.2信息系统划分
活动目标:
本活动的目标是依据信息系统的总体描述文件,在综合分析的基础上将组织机构内运行的信息系统进行合理分解,确定所包含可以作为定级对象的信息系统的个数。
参与角色:信息系统运营、使用单位,信息安全服务机构。
活动输入:信息系统总体描述文件。
活动描述:
本活动主要包括以下子活动内容:
a) 划分方法的选择
一个组织机构可能运行一个大型信息系统,为了突出重点保护的等级保护原则,应对大型信息系统进行划分,进行信息系统划分的方法可以有多种,可以考虑管理机构、业务类型、物理位置等因素,信息系统的运营、使用单位应该根据本单位的具体情况确定一个系统的分解原则。
信息系统划分b)
依据选择的系统划分原则,将一个组织机构内拥有的大型信息系统进行划分,划分出相对独立的信息系统并作为定级对象,应保证每个相对独立的信息系统具备定级对象的基本特征。在信息系统划分的过程中,应该首先考虑组织管理的要素,然后考虑业务类型、物理区域等要素。
c) 信息系统详细描述
在对信息系统进行划分并确定定级对象后,应在信息系统总体描述文件的基础上,进一步增加信息系统划分信息的描述,准确描述一个大型信息系统中包括的定级对象的个数。
进一步的信息系统详细描述文件应包含以下内容:
1) 相对独立信息系统列表;
2)每个定级对象的概述;
3) 每个定级对象的边界;
4) 每个定级对象的设备部署;
5) 每个定级对象支撑的业务应用及其处理的信息资产类型;
6) 每个定级对象的服务范围和用户类型;
7) 其他内容。
活动输出:信息系统详细描述文件。
5.3 安全保护等级确定
5.3.1定级、审核和批准
活动目标:
本活动的目标是按照国家有关管理规范和GB/T AAAA-AAAA,确定信息系统的安全保护等级,并对定级结果进行审核和批准,保证定级结果的准确性。
参与角色:信息系统主管部门,信息系统运营、使用单位,信息安全服务机构。
活动输入:信息系统总体描述文件,信息系统详细描述文件。
活动描述:
本活动主要包括以下子活动内容:
a) 信息系统安全保护等级初步确定
根据国家有关管理规范和GB/T AAAA-AAAA确定的定级方法,信息系统运营、使用单位对每个定级对象确定初步的安全保护等级。
b) 定级结果审核和批准
信息系统运营、使用单位初步确定了安全保护等级后,有主管部门的,应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的,运营使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审。
活动输出:信息系统定级评审意见。
5.3.2形成定级报告
活动目标:
本活动的目标是对定级过程中产生的文档进行整理,形成信息系统定级结果报告。
参与角色:信息系统主管部门,信息系统运营、使用单位。
活动输入:信息系统总体描述文件,信息系统详细描述文件,信息系统定级结果。
活动描述:
对信息系统的总体描述文档、信息系统的详细描述文件、信息系统安全保护等级确定结果等内容进行整理,形成文件化的信息系统定级结果报告。
信息系统定级结果报告可以包含以下内容:
单位信息化现状概述;a)
b) 管理模式;
c) 信息系统列表;
d) 每个信息系统的概述;
e) 每个信息系统的边界;
f) 每个信息系统的设备部署;
g) 每个信息系统支撑的业务应用;
h) 信息系统列表、安全保护等级以及保护要求组合;
i) 其他内容。
活动输出:信息系统安全保护等级定级报告。
6 总体安全规划
6.1 总体安全规划阶段的工作流程
总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况,通过分析明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指导后续的信息系统安全建设工程实施。对于已运营(运行)的信息系统,需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距。
6.2 安全需求分析
6.2.1基本安全需求的确定
活动目标:
本活动的目标是根据信息系统的安全保护等级,判断信息系统现有的安全保护水平与国家等级保护管理规范和技术标准之间的差距,提出信息系统的基本安全保护需求。
参与角色:信息系统运营、使用单位,信息安全服务机构,信息安全等级测评机构。
活动输入:信息系统详细描述文件,信息系统安全保护等级定级报告,信息系统相关的其它文档,信息系统安全等级保护基本要求。
活动描述:
本活动主要包括以下子活动内容:
a) 确定系统范围和分析对象
明确不同等级信息系统的范围和边界,通过调查或查阅资料的方式,了解信息系统的构成,包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。初步确定每个等级信息系统的分析对象,包括整体对象,如机房、办公环境、网络等,也包括具体对象,如边界设备、网关设备、服务器设备、工作站、应用系统等。
b) 形成评价指标和评估方案
根据各个信息系统的安全保护等级从信息系统安全等级保护基本要求中选择相应等级的指标,形成评价指标。根据评价指标,结合确定的具体对象制定可以操作的评估方案,评估方案可以包含以下内容:
1) 管理状况评估表格;
2) 网络状况评估表格;
3) 网络设备(含安全设备)评估表格;
主机设备评估表格;4)
5) 主要设备安全测试方案;
6) 重要操作的作业指导书。
c) 现状与评价指标对比
通过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、渗透攻击等方式进行安全技术和安全管理方面的评估,判断安全技术和安全管理的各个方面与评价指标的符合程度,给出判断结论。整理和分析不符合的评价指标,确定信息系统安全保护的基本需求。
活动输出:基本安全需求。
6.2.2额外特殊安全需求的确定
活动目标:
本活动的目标是通过对信息系统重要资产特殊保护要求的分析,确定超出相应等级保护基本要求的部分或具有特殊安全保护要求的部分,采用需求分析/风险分析的方法,确定可能的安全风险,判断对超出等级保护基本要求部分实施特殊安全措施的必要性,提出信息系统的特殊安全保护需求。
参与角色:信息系统运营、使用单位,信息安全服务机构。
活动输入:信息系统详细描述文件,信息系统安全保护等级定级报告,信息系统相关的其它文档。
活动描述:
确定特殊安全需求可以采用目前成熟或流行的需求分析/风险分析方法,或者采用下面介绍的活动:
a) 重要资产的分析
明确信息系统中的重要部件,如边界设备、网关设备、核心网络设备、重要服务器设备、重要应用系统等。
b) 重要资产安全弱点评估
检查或判断上述重要部件可能存在的弱点,包括技术上和管理上的;分析安全弱点被利用的可能性。
c) 重要资产面临威胁评估
分析和判断上述重要部件可能面临的威胁,包括外部的威胁和内部的威胁,威胁发生的可能性或概率。
d) 综合风险分析
分析威胁利用弱点可能产生的结果,结果产生的可能性或概率,结果造成的损害或影响的大小,以及避免上述结果产生的可能性、必要性和经济性。按照重要资产的排序和风险的排序确定安全保护的要求。
活动输出:重要资产的特殊保护要求。
6.2.3形成安全需求分析报告
活动目标:
本活动的目标是总结基本安全需求和特殊安全需求,形成安全需求分析报告。
参与角色:信息系统运营,使用单位,信息安全服务机构。
活动输入:信息系统详细描述文件,信息系统安全保护等级定级报告,基本安全需求,重要资产的特殊保护要求。
活动描述:
本活动主要包括以下子活动内容:
a) 完成安全需求分析报告
根据基本安全需求和特殊的安全保护需求等形成安全需求分析报告。
安全需求分析报告可以包含以下内容:
1) 信息系统描述;
2) 安全管理状况;
3) 安全技术状况;
存在的不足和可能的风险;4)
5) 安全需求描述。
活动输出:安全需求分析报告。
6.3 总体安全设计
6.3.1总体安全策略设计
活动目标:
本活动的目标是形成机构纲领性的安全策略文件,包括确定安全方针,制定安全策略,以便结合等级保护基本要求和安全保护特殊要求,构建机构信息系统的安全技术体系结构和安全管理体系结构。
参与角色:信息系统运营、使用单位,信息安全服务机构。
活动输入:信息系统详细描述文件,信息系统安全保护等级定级报告,安全需求分析报告。
活动描述:
本活动主要包括以下子活动内容:
a) 确定安全方针
形成机构最高层次的安全方针文件,阐明安全工作的使命和意愿,定义信息安全的总体目标,规定信息安全责任机构和职责,建立安全工作运行模式等。
b) 制定安全策略
形成机构高层次的安全策略文件,说明安全工作的主要策略,包括安全组织机构划分策略、业务系统分级策略、数据信息分级策略、子系统互连策略、信息流控制策略等。
活动输出:总体安全策略文件。
6.3.2安全技术体系结构设计
活动目标:
本活动的目标是根据信息系统安全等级保护基本要求、安全需求分析报告、机构总体安全策略文件等,提出系统需要实现的安全技术措施,形成机构特定的系统安全技术体系结构,用以指导信息系统分等级保护的具体实现。
参与角色:信息系统运营、使用单位,信息安全服务机构。
活动输入:信息系统详细描述文件,信息系统安全保护等级定级报告,安全需求分析报告,信息系统安全等级保护基本要求。
活动描述:
本活动主要包括以下子活动内容:
a) 规定骨干网/城域网的安全保护技术措施
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出骨干网/城域网的安全保护策略和安全技术措施。骨干网/城域网的安全保护策略和安全技术措施提出时应考虑网络线路和网络设备共享的情况,如果不同级别的子系统通过骨干网/城域网的同一线路和设备传输数据,线路和设备的安全保护策略和安全技术措施应满足最高级别子系统的等级保护基本要求。
b) 规定子系统之间互联的安全技术措施
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出跨局域网互联的子系统之间的信息传输保护策略要求和具体的安全技术措施,包括同级互联的策略、不同级别互联的策略等;提出局域网内部互联的子系统之间的信息传输保护策略要求和具体的安全技术措施,包括同级互联的策略、不同级别互联的策略等。
c) 规定不同级别子系统的边界保护技术措施
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出不同级别子系统边界的安全保护策略和安全技术措施。子系统边界安全保护策略和安全技术措施提出时应考虑边界设备共享的情况,如果不
同级别的子系统通过同一设备进行边界保护,这个边界设备的安全保护策略和安全技术措施应满足最高级别子系统的等级保护基本要求。
d) 规定不同级别子系统内部系统平台和业务应用的安全保护技术措施
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出不同级别子系统内部网络平台、系统平台和业务应用的安全保护策略和安全技术措施。
e) 规定不同级别信息系统机房的安全保护技术措施
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出不同级别信息系统机房的安全保护策略和安全技术措施。信息系统机房安全保护策略和安全技术措施提出时应考虑不同级别的信息系统共享机房的情况,如果不同级别的信息系统共享同一机房,机房的安全保护策略和安全技术措施应满足最高级别信息系统的等级保护基本要求。
f) 形成信息系统安全技术体系结构
将骨干网/城域网、通过骨干网/城域网的子系统互联、局域网内部的子系统互联、子系统的边界、子系统内部各类平台、机房以及其他方面的安全保护策略和安全技术措施进行整理、汇总,形成信息系统的安全技术体系结构。
活动输出:信息系统安全技术体系结构。
6.3.3整体安全管理体系结构设计
活动目标:
本活动的目标是根据等级保护基本要求、安全需求分析报告、机构总体安全策略文件等,调整原有管理模式和管理策略,既从全局高度考虑为每个等级信息系统制定统一的安全管理策略,又从每个信息系统的实际需求出发,选择和调整具体的安全管理措施,最后形成统一的整体安全管理体系结构。
参与角色:信息系统运营、使用单位,信息安全服务机构。
活动输入:信息系统详细描述文件,信息系统安全保护等级定级报告,安全需求分析报告,信息系统安全等级保护基本要求。
活动描述:
本活动主要包括以下子活动内容:
a) 规定信息安全的组织管理体系和对各信息系统的安全管理职责
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出机构的安全组织管理机构框架,分配各个级别信息系统的安全管理职责,规定各个级别信息系统的安全管理策略等。
b) 规定各等级信息系统的人员安全管理策略
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出各个不同级别信息系统的管理人员框架,分配各个级
别信息系统的管理人员职责,规定各个级别信息系统的人员安全管理策略等。
c) 规定各等级信息系统机房及办公区等物理环境的安全管理策略
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出各个不同级别信息系统的机房和办公环境的安全策略。
d) 规定各等级信息系统介质、设备等的安全管理策略
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出各个不同级别信息系统的介质、设备等的安全策略。
e) 规定各等级信息系统运行安全管理策略
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出各个不同级别信息系统的安全运行与维护框架和运维安全策略等。
规定各等级信息系统安全事件处置和应急管理策略f)
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出各个不同级别信息系统的安全事件处置和应急管理策略等。
g) 形成信息系统安全管理策略框架
将上述各个方面的安全管理策略进行整理、汇总,形成信息系统的整体安全管理体系结构。
活动输出:信息系统安全管理体系结构。
6.3.4设计结果文档化
活动目标:
本活动的目标是将总体安全设计工作的结果文档化,最后形成一套指导机构信息安全工作的指导性文件。
参与角色:信息系统运营、使用单位,信息安全服务机构。
活动输入:安全需求分析报告,信息系统安全技术体系结构,信息系统安全管理体系结构。
活动描述:
对安全需求分析报告、信息系统安全技术体系结构和安全管理体系结构等文档进行整理,形成信息系统总体安全方案。信息系统总体安全方案包含以下内容:
a) 信息系统概述;
b) 总体安全策略;
c) 信息系统安全技术体系结构;
d) 信息系统安全管理体系结构。
活动输出:信息系统安全总体方案。
6.4 安全建设项目规划
6.4.1安全建设目标确定
活动目标:
本活动的目标是依据信息系统安全总体方案(一个或多个文件构成)、机构或单位信息化建设的中长期发展规划和机构的安全建设资金状况确定各个时期的安全建设目标。
参与角色:信息系统运营、使用单位,信息安全服务机构。
活动输入:信息系统安全总体方案、机构或单位信息化建设的中长期发展规划。
活动描述:
本活动主要包括以下子活动内容:
a) 信息化建设中长期发展规划和安全需求调查
了解和调查单位信息化建设的现况、中长期信息化建设的目标、主管部门对信息化的投入,对比信息化建设过程中阶段状态与安全策略规划之间的差距,分析急迫和关键的安全问题,考虑可以同步进行的安全建设内容等。
b) 提出信息系统安全建设分阶段目标
制定系统在规划期内(一般安全规划期为3年)所要实现的总体安全目标;制定系统短期(1年以内)要实现的安全目标,主要解决目前急迫和关键的问题,争取在短期内安全状况有大幅度提高。
活动输出:信息系统分阶段安全建设目标。
6.4.2安全建设内容规划
活动目标:
本活动的目标是根据安全建设目标和信息系统安全总体方案的要求,设计分期分批的主要建设内容,并将建设内容组合成不同的项目,阐明项目之间的依赖或促进关系等。
信息系统运营、使用单位,信息安全服务机构。参与角色:
活动输入:信息系统安全总体方案,信息系统分阶段安全建设目标。
活动描述:
本活动主要包括以下子活动内容:
a)确定主要安全建设内容
根据信息系统安全总体方案明确主要的安全建设内容,并将其适当的分解。主要建设内容可能分解但不限于以下内容:
1) 安全基础设施建设;
2) 网络安全建设;
3) 系统平台和应用平台安全建设;
4) 数据系统安全建设;
5) 安全标准体系建设;
6) 人才培养体系建设;
7) 安全管理体系建设。
b)确定主要安全建设项目
组合安全建设内容为不同的安全建设项目,描述项目所解决的主要安全问题及所要达到的安全目标,对项目进行支持或依赖等相关性分析,对项目进行紧迫性分析,对项目进行实施难易程度分析,对项目进行预期效果分析,描述项目的具体工作内容、建设方案,形成安全建设项目列表。
活动输出:安全建设项目列表(含安全建设内容)。
6.4.3形成安全建设项目计划
活动目标:
本活动的目标是根据建设目标和建设内容,在时间和经费上对安全建设项目列表进行总体考虑,分到不同的时期和阶段,设计建设顺序,进行投资估算,形成安全建设项目计划。
参与角色:信息系统运营、使用单位,信息安全服务机构。
活动输入:信息系统安全总体方案,信息系统分阶段安全建设目标,安全建设内容等。
活动描述:
对信息系统分阶段安全建设目标、安全总体方案和安全建设内容等文档进行整理,形成信息系统安全建设项目计划。
安全建设项目计划可包含以下内容:
a) 规划建设的依据和原则;
b) 规划建设的目标和范围;
c) 信息系统安全现状;
d) 信息化的中长期发展规划;
e) 信息系统安全建设的总体框架;
f) 安全技术体系建设规划;
g) 安全管理与安全保障体系建设规划;
h) 安全建设投资估算;
i) 信息系统安全建设的实施保障等内容。
活动输出:信息系统安全建设项目计划。
安全设计与实施7
7.1 安全设计与实施阶段的工作流程
安全设计与实施阶段的目标是按照信息系统安全总体方案的要求,结合信息系统安全建设项目计划,分期分步落实安全措施。
7.2 安全方案详细设计
7.2.1技术措施实现内容设计
活动目标:
本活动的目标是根据建设目标和建设内容将信息系统安全总体方案中要求实现的安全策略、安全技术体系结构、安全措施和要求落实到产品功能或物理形态上,提出能够实现的产品或组件及其具体规范,并将产品功能特征整理成文档。使得在信息安全产品采购和安全控制开发阶段具有依据。
参与角色:信息系统运营、使用单位,信息安全服务机构,信息安全产品供应商。
活动输入:信息系统安全总体方案,信息系统安全建设项目计划,各类信息技术产品和信息安全产品技术白皮书。
活动描述:
本活动主要包括以下子活动内容:
a) 结构框架设计
依据本次实施项目的建设内容和信息系统的实际情况,给出与总体安全规划阶段的安全体系结构一致的安全实现技术框架,内容可能包括安全防护的层次、信息安全产品的使用、网络子系统划分、IP地址规划其他内容。
b) 功能要求设计
对安全实现技术框架中使用到的相关信息安全产品,如防火墙、VPN、网闸、认证网关、代理服务器、网络防病毒、PKI 等提出功能指标要求。对需要开发的安全控制组件,提出功能指标要求。
c) 性能要求设计
对安全实现技术框架中使用到的相关信息安全产品,如防火墙、VPN、网闸、认证网关、代理服务器、网络防病毒、PKI 等提出性能指标要求。对需要开发的安全控制组件,提出性能指标要求。
d) 部署方案设计
结合目前信息系统网络拓扑,以图示的方式给出安全技术实现框架的实现方式,包括信息安全产品或安全组件的部署位置、连线方式、IP地址分配等。对于需对原有网络进行调整的,给出网络调整的图示方案等。
e) 制定安全策略实现计划
依据信息系统安全总体方案中提出的安全策略的要求,制定设计和设置信息安全产品或安全组件的安全策略实现计划。活动输出:技术措施落实方案。
7.2.2管理措施实现内容设计
活动目标:
本活动的目标是根据机构当前安全管理需要和安全技术保障需要提出与信息系统安全总体方案中管理部分相适应的本
期安全实施内容,以保证安全技术建设的同时,安全管理的同步建设。
参与角色:信息系统运营、使用单位,信息安全服务机构。
活动输入:信息系统安全总体方案,信息系统安全建设项目计划。.
活动描述:
结合系统实际安全管理需要和本次技术建设内容,确定本次安全管理建设的范围和内容,同时注意与信息系统安全总体方案的一致性。安全管理设计的内容主要考虑:安全管理机构和人员的配套、安全管理制度的配套、人员安全管理技能的配套等。
活动输出:管理措施落实方案。
7.2.3设计结果文档化
活动目标:
本活动的目标是将技术措施落实方案、管理措施落实方案汇总,同时考虑工时和费用,最后形成指导安全实施的指导性文件。
参与角色:信息系统运营、使用单位,信息安全服务机构。
活动输入:技术措施落实方案,管理措施落实方案。
活动描述:
对技术措施落实方案中技术实施内容和管理措施落实方案中管理实施内容等文档进行整理,形成信息系统安全建设详细设计方案。
安全详细设计方案包含以下内容:
a) 本期建设目标和建设内容;
b) 技术实现框架;
c) 信息安全产品或组件功能及性能;
d) 信息安全产品或组件部署;
e) 安全策略和配置;
f) 配套的安全管理建设内容;
g) 工程实施计划;
h) 项目投资概算。
活动输出:安全详细设计方案。
7.3 管理措施实现
7.3.1管理机构和人员的设置
活动目标:
本活动的目标是建立配套的安全管理职能部门,通过管理机构的岗位设置、人员的分工以及各种资源的配备,为信息系统的安全管理提供组织上的保障。
参与角色:信息系统运营、使用单位,信息安全服务机构。
活动输入:机构现有相关管理制度和政策,安全详细设计方案。
活动描述:
本活动主要包括以下子活动内容:
a) 安全组织确定
识别与信息安全管理有关的组织成员及其角色,例如:操作人员、文档管理员、系统管理员、安全管理员等,形成安全组织结构表。
b) 角色说明
以书面的形式详细描述每个角色与职责,确保有人对所有的风险负责。
活动输出:机构、角色与职责说明书。
7.3.2管理制度的建设和修订
活动目标:
本活动的目标是建设或修订与信息系统安全管理相配套的、包括所有信息系统的建设、开发、运维、升级和改造等各个阶段和环节所应当遵循的行为规范和操作规程。
参与角色:信息系统主管部门,信息系统运营、使用单位,信息安全服务机构。
活动输入:安全组织结构表,安全成员及角色说明书,安全详细设计方案。
活动描述:
本活动主要包括以下子活动内容:
a) 应用范围明确
管理制度建立首先要明确制度的应用范围,如机房管理、帐户管理、远程访问管理、特殊权限管理、设备管理、变更管理等方面的内容。
b) 人员职责定义
管理制度的建立要明确相关岗位人员的责任和权利范围,并要征求相关人员的意见,要保证责任明确。
c) 行为规范规定
管理制度是通过制度化、规范化的流程和行为,来保证各项管理工作的一致性。
d) 评估与完善
制度在发布、执行过程中,要定期对其进行评估,根据实际环境和情况的变化,对制度进行修改和完善,必要时考虑管理制度的重新制定。
活动输出:各项管理制度和操作规范。
7.3.3人员安全技能培训
活动目标:
本活动的目标是对人员的职责、素质、技能等方面进行培训,保证人员具有与其岗位职责相适应的技术能力和管理能力,以减少人为因素给系统带来的安全风险。
参与角色:信息系统主管部门,信息系统运营、使用单位,信息安全服务机构。
活动输入:系统/产品使用说明书,各项管理制度和操作规范。
活动描述:
针对普通员工、管理员、开发人员、主管人员以及安全人员的特定技能培训和安全意识培训,培训后进行考核,合格者发给上岗资格证书等。
活动输出:培训记录及上岗资格证书等。
7.3.4安全实施过程管理
活动目标:
本活动的目标是在系统定级、规划设计、实施过程中,对工程的质量、进度、文档和变更等方面的工作进行监督控制和科学管理。
参与角色:信息系统运营、使用单位,信息安全服务机构,信息安全产品供应商。
活动输入:安全设计与实施阶段参与各方相关进度控制和质量监督要求文档。
活动描述:
本活动主要包括以下子活动内容:
a) 质量管理
质量管理首先要控制系统建设的质量,保证系统建设始终处于等级保护制度所要求的框架内进行。同时,还要保证用于创建系统的过程的质量。在系统建设的过程中,要建立一个不断测试和改进质量的过程。在整个系统的生命周期中,通过测量、分析和修正活动,保证所完成目标和过程的质量。
b) 风险管理
为了识别、评估和减低风险,以保证系统工程活动和全部技术工作项目都成功实施。在整个系统建设过程中,风险管理要贯穿始终。.
c) 变更管理
在系统建设的过程中,由于各种条件的变化,会导致变更的出现,变更发生在工程的范围、进度、质量、费用、人力资源、沟通、合同等多方面。每一次的变更处理,必须遵循同样的程序,即相同的文字报告、相同的管理办法、相同的监控过程。必须确定每一次变更对系统成本、进度、风险和技术要求的影响。一旦批准变更,必须设定一个程序来执行变更。
d) 进度管理
系统建设的实施必须要有一组明确的可交付成果,同时也要求有结束的日期。因此在建设系统的过程中,必须制订项目进度计划,绘制网络图,将系统分解为不同的子任务,并进行时间控制确保项目的如期完成。
e) 文档管理
文档是记录项目整个过程的书面资料,在系统建设的过程中,针对每个环节都有大量的文档输出,文档管理涉及系统建设的各个环节,主要包括:系统定级、规划设计、方案设计、安全实施、系统验收、人员培训等方面。
活动输出:各阶段管理过程文档。
7.4 技术措施实现
7.4.1信息安全产品采购
活动目标:
本活动的目标是按照安全详细设计方案中对于产品的具体指标要求进行产品采购,根据产品或产品组合实现的功能满足安全设计要求的情况来选购所需的信息安全产品。
参与角色:信息安全产品供应商,信息系统运营、使用单位。
活动输入:安全详细设计方案,相关产品信息。
活动描述:
本活动主要包括以下子活动内容:
a) 制定产品采购说明书
信息安全产品选型过程首先依据安全详细设计方案的设计要求,制定产品采购说明书,对产品的采购原则、采购范围、指标要求、采购方式、采购流程等方面进行说明,然后依据产品采购说明书对现有产品进行比对和筛选。对于产品的功能和性能指标,可以依据国家认可的测试机构所出具的产品测试报告,也可以依据用户自行组织的信息安全产品功能和性能选型测试所出具的报告。
b) 产品选择
在依据产品采购说明书对现有产品进行选择时,不仅要考虑产品的使用环境、安全功能、成本(包括采购和维护成本)、易用性、可扩展性、与其他产品的互动和兼容性等因素,还要考虑产品质量和可信性。产品可信性是保证系统安全的基础,用户在选择信息安全产品时应确保符合国家关于信息安全产品使用的有关规定。对于密码产品的使用,应当按照国家密码管理的相关规定进行选择和使用。
活动输出:需采购信息安全产品清单。
7.4.2安全控制开发
活动目标:
本活动的目标是对于一些不能通过采购现有信息安全产品来实现的安全措施和安全功能,通过专门进行的设计、开发来实现。安全控制的开发应当与系统的应用开发同步设计、同步实施,而应用系统一旦开发完成后,再增加安全措施会造成很大的成本投入。因此,在应用系统开发的同时,要依据安全详细设计方案进行安全控制的开发设计,保证系统应用与安全控制同步建设。
参与角色:信息系统运营、使用单位,信息安全服务机构。
活动输入:安全详细设计方案。.
活动描述:
本活动主要包括以下子活动内容:
a) 安全措施需求分析
以规范的形式准确表达安全方案设计中的指标要求,确定软件设计的约束和软件同其他系统相关的接口细节。
b) 概要设计
概要设计要考虑安全方案中关于身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖等方面的指标要求,设计安全措施模块的体系结构,定义开发安全措施的模块组成,定义每个模块的主要功能和模块之间的接口。
c) 详细设计
依据概要设计说明书,将安全控制开发进一步细化,对每个安全功能模块的接口,函数要求,各接口之间的关系,各部分的内在实现机理都要进行详细的分析和细化设计。
按照功能的需求和模块划分进行各个部分的详细设计,包含接口设计和管理方式设计等。详细设计是设计人员根据概要设计书进行模块设计,将总体设计所获得的模块按照单元、程序、过程的顺序逐步细化,详细定义各个单元的数据结构、程序的实现算法以及程序、单元、模块之间的接口等,作为以后编码工作的依据。
d) 编码实现
按照设计进行硬件调试和软件的编码,在编码和开发过程中,要关注硬件组合的安全性和编码的安全性,并通过论证和测试。
e) 测试
开发基本完成后要进行测试,保证功能的实现和安全性的实现。测试分为单元测试、集成测试、系统测试和以用户试用为主的用户测试四个步骤。
f) 安全控制开发过程文档化
安全控制开发过程需要将概要设计说明书、详细设计说明书、开发测试报告以及开发说明书等整理归档。
活动输出:安全控制开发过程相关文档。
7.4.3安全控制集成
活动目标:
本活动的目标是将不同的软硬件产品集成起来,依据安全详细设计方案,将信息安全产品、系统软件平台和开发的安全控制模块与各种应用系统综合、整合成为一个系统。安全控制集成的过程需要把安全实施、风险控制、质量控制等有机结合起来,遵循运营使用单位与信息安全服务机构共同参与相互配合的实施的原则。
参与角色:信息系统运营、使用单位,信息安全服务机构。
活动输入:安全详细设计方案。
活动描述:
本活动主要包括以下子活动内容:
a) 集成实施方案制定
主要工作内容是制定集成实施方案,集成实施方案的目标是具体指导工程的建设内容、方法和规范等,实施方案有别于安全设计方案的一个显著特征之处就是它的可操作性很强,要具体落实到产品的安装、部署和配置中,实施方案是工程建设的具体指导文件。
集成准备b)
主要工作内容是对实施环境进行准备,包括硬件设备准备、软件系统准备、环境准备。为了保证系统实施的质量,信息安全服务机构应该依据系统设计方案,制定一套可行的系统质量控制方案,以便有效地指导系统实施过程。该质量控制方案应该确定系统实施各个阶段的质量控制目标、控制措施、工程质量问题的处理流程、系统实施人员的职责要求等,并提供详细的安全控制集成进度表。
c) 集成实施
主要工作内容是将配置好策略的信息安全产品和开发控制模块部署到实际的应用环境中,并调整相关策略。集成实施应严格按照集成进度安排进行,出现问题各方应及时沟通。系统实施的各个环节应该遵照质量控制方案的要求,分别进行系统测试,逐步实现质量控制目标。例如:综合布线系统施工过程中,应该及时利用网络测试仪测定线路质量,及早发现并解决质量问题。
d) 培训
信息系统建设完成后,安全服务提供商应当向运营和使用单位提供信息系统使用说明书及建设过程文档,同时需要对系统维护人员进行必要培训,培训效果的好坏将直接影响到今后系统能否安全运行。
e) 形成安全控制集成报告
应将安全控制集成过程相关内容文档化,并形成安全控制集成报告,其包含集成实施方案、质量控制方案、集成实施报告以及培训考核记录等内容。
活动输出:安全控制集成报告。
7.4.4系统验收
活动目标:
本活动的目标是检验系统是否严格按照安全详细设计方案进行建设,是否实现了设计的功能和性能。在安全控制集成工作完成后,系统测试及验收是从总体出发,对整个系统进行集成性安全测试,包括对系统运行效率和可靠性的测试,也包括对管理措施落实内容的验收。
参与角色:信息系统主管部门,信息系统运营、使用单位,信息安全服务机构。
活动输入:安全详细设计方案,安全控制集成报告。
活动描述:
本活动主要包括以下子活动内容:
a) 系统验收准备
安全控制开发、集成完成后,要根据安全设计方案中需要达到的安全目标,准备系统验收方案。系统验收方案应当立足于合同条款、需求说明书和安全设计方案,充分体现用户的安全需求。
成立系统验收工作组对验收方案进行审核,组织制定验收计划、定义验收的方法和严格程度。
b) 组织系统验收
由系统验收工作组按照验收计划负责组织实施,组织测试人员根据已通过评审的系统验收方案对系统进行测试。
c) 验收报告
在测试完成后形成验收报告,验收报告需要用户与建设方进行确认。验收报告将明确给出验收的结论,安全服务提供商应当根据验收意见尽快修正有关问题,重新进行验收或者转入合同争议处理程序。
d) 系统交付
在系统验收通过以后,要进行系统的交付,需要安全服务提供商提交系统建设过程中的文档、指导用户进行系统运行维护的文档、服务承诺书等。
活动输出:系统验收报告。
8 安全运行与维护
安全运行与维护阶段的工作流程8.1
安全运行与维护是等级保护实施过程中确保信息系统正常运行的必要环节,涉及的内容较多,包括安全运行与维护机构和安全运行与维护机制的建立,环境、资产、设备、介质的管理,网络、系统的管理,密码、密钥的管理,运行、变更的管理,安全状态监控和安全事件处置,安全审计和安全检查等内容。本标准并不对上述所有的管理过程进行描述,希望全面了解和控制安全运行与维护阶段各类过程的本标准使用者可以参见其它标准或指南。
本标准关注安全运行与维护阶段的运行管理和控制、变更管理和控制、安全状态监控、安全事件处置和应急预案、安全检查和持续改进以及监督检查等过程。
8.2 运行管理和控制
8.2.1运行管理职责确定
活动目标:
本活动的目标是通过对运行管理活动或任务的角色划分,并授予相应的管理权限,来确定安全运行管理的具体人员和职责。
参与角色:信息系统运营、使用单位。
活动输入:安全详细设计方案,安全组织机构表。
活动描述:
本活动主要包括以下子活动内容:
a) 划分运行管理角色
根据管理制度和实际运行管理需求,划分运行管理需要的角色。越高安全保护等级的运行管理角色划分越细。
b) 授予管理权限
根据管理制度和实际运行管理需要,授予每一个运行管理角色不同的管理权限。安全保护等级越高的系统管理权限的划分也越细。
c) 定义人员职责
根据不同的安全保护等级要求的控制粒度,分析所需要运行管理控制的内容,并以此定义不同运行管理角色的职责。活动输出:运行管理人员角色和职责表。
8.2.2运行管理过程控制
活动目标:
本活动的主要目标是通过制定运行管理操作规程,确定运行管理人员的操作目的、操作内容、操作时间和地点、操作方
法和流程等,并进行操作过程记录,确保对操作过程进行控制。
参与角色:信息系统运营、使用单位。
活动输入:运行管理需求,运行管理人员角色和职责表。
活动描述:
本活动主要包括以下子活动内容:
a) 建立操作规程
将操作过程或流程规范化,并形成指导运行管理人员工作的操作规程,操作规程作为正式文件处理。
操作过程记录b)
对运行管理人员按照操作规程执行的操作过程形成相关的记录文件,可能是日志文件,记录操作的时间和人员、正常或异常等信息。
活动输出:各类运行管理操作规程。
8.3 变更管理和控制
8.3.1变更需求和影响分析
活动目标:
本活动的主要目标是通过对变更需求和变更影响的分析,来确定变更的类别,计划后续的活动内容。
参与角色:信息系统运营、使用单位。
活动输入:变更需求。
活动描述:
本活动主要包括以下子活动内容:
a) 变更需求分析
对变更需求进行分析,确定变更的内容、变更资源需求和变更范围等,判断变更的必要性和可行性。
b) 变更影响分析
对变更可能引起的后果进行判断和分析,确定可能产生的影响大小,进行变更的先决条件和后续活动等。
c) 明确变更的类别
确定信息系统是局部调整还是重大变更。如果是由信息系统类型发生变化、承载的信息资产类型发生变化、信息系统服务范围发生变化和业务处理自动化程度发生变化等原因引起信息系统安全保护等级发生变化的重大变更,则需要重新确定信息系统安全保护等级,返回到等级保护实施过程的信息系统定级阶段。如果是局部调整,则需要确定配套进行的其它工作内容。
d) 制定变更方案
根据a)、b)、c)的结果制定变更方案。
活动输出:变更方案。
8.3.2变更过程控制
活动目标:
本活动的目标是确保变更实施过程受到控制,各项变化内容进行记录,保证变更对业务的影响最小。
参与角色:信息系统运营、使用单位。
活动输入:变更方案。
活动描述:
本活动主要包括以下子活动内容:
a) 变更内容审核和审批
对变更目的、内容、影响、时间和地点以及人员权限进行审核,以确保变更合理、科学的实施。按照机构建立的审批流程对变更方案进行审批。
b) 建立变更过程日志
按照批准的变更方案实施变更,对变更过程各类系统状态、各种操作活动等建立操作记录或日志。
c) 形成变更结果报告
收集变更过程的各类相关文档,整理、分析和总结各类数据,形成变更结果报告,并归档保存。
活动输出:变更结果报告。
8.4 安全状态监控
8.4.1监控对象确定
活动目标:
本活动的目标是确定可能会对信息系统安全造成影响的因素,即确定安全状态监控的对象。
参与角色:信息系统运营、使用单位。
活动输入:安全详细设计方案、系统验收报告等。
活动描述:
本活动主要包括以下子活动内容:
a) 安全关键点分析
对影响系统、业务安全性的关键要素进行分析,确定安全状态监控的对象,这些对象可能包括防火墙、入侵检测、防病毒、核心路由器、核心交换机、主要通信线路、关键服务器或客户端等系统范围内的对象;也可能包括安全标准和法律法规等外部对象。
b) 形成监控对象列表
根据确定的监控对象,分析监控的必要性和可行性、监控的开销和成本等因素,形成监控对象列表。
活动输出:监控对象列表。
8.4.2监控对象状态信息收集
活动目标:
本活动的目标是选择状态监控工具,收集安全状态监控的信息,识别和记录入侵行为,对信息系统的安全状态进行监控。参与角色:信息系统运营、使用单位。
活动输入:监控对象列表。
活动描述:
本活动主要包括以下子活动内容:
a) 选择监控工具
根据监控对象的特点、监控管理的具体要求、监控工具的功能和性能特点等,选择合适的监控工具。监控工具也可能不是自动化的工具,而只是由各类人员构成的,遵循一定规则进行操作的组织,或者是两者的综合。
b) 状态信息收集
收集来自监控对象的各类状态信息,可能包括网络流量、日志信息、安全报警和性能状况等;或者是来自外部环境的安全标准和法律法规的变更信息。
活动输出:安全状态信息。
8.4.3监控状态分析和报告
活动目标:
本活动的目标通过是对安全状态信息进行分析,及时发现安全事件或安全变更需求,并对其影响程度和范围进行分析,形成安全状态结果分析报告。
参与角色:信息系统运营、使用单位。
活动输入:安全状态信息。
活动描述:
本活动主要包括以下子活动内容:
a) 状态分析
对安全状态信息进行分析,及时发现险情、隐患或安全事件,并记录这些安全事件,分析其发展趋势。
b) 影响分析
根据对安全状况变化的分析,分析这些变化对安全的影响,通过判断他们的影响决定是否有必要作出响应。
形成安全状态分析报告c)
根据安全状态分析和影响分析的结果,形成安全状态分析报告,上报安全事件或提出变更需求。
活动输出:安全状态分析报告。
8.5 安全事件处置和应急预案
8.5.1安全事件分级
活动目标:
本活动的目标是结合信息系统的实际情况,分析事件对信息系统的破坏程度,所造成后果严重程度,将安全事件依次进行分级。
参与角色:信息系统运营、使用单位。
活动输入:各类安全事件列表。
活动描述:
本活动主要包括以下子活动内容:
a) 安全事件调查和分析
针对各类安全事件列表,调查本系统内安全事件的类型、安全事件对业务的影响范围和程度以及安全事件的敏感程度等信息,分析对安全事件进行响应恢复所需要的时间。
b) 安全事件等级划分
根据以上调查和分析结果,根据信息安全事件造成的损失程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素,确定事件等级,制定安全事件的报告程序。
活动输出:安全事件报告程序。
8.5.2应急预案制定
活动目标:
本活动的目标是通过对安全事件的等级分析,在统一的应急预案框架下制定不同安全事件的应急预案。
参与角色:信息系统运营、使用单位。
活动输入:安全事件报告程序。
活动描述:
本活动主要包括以下子活动内容:
a) 确定应急预案对象
针对安全事件等级,考虑其可能性和对系统和业务产生的影响,确定需制定应急预案的安全事件对象。
b) 确定和认可各项职责
在统一的应急预案框架下,明确和认可应急预案中各部门的职责,并协调各部门间的合作和分工。
c) 制定应急预案程序及其执行条件
针对不同等级、不同优先级的安全事件制定相应的应急预案程序,确定不同等级事件的响应和处置范围、程度以及适用的管理制度,说明应急预案启动的条件,发生安全事件后要采取的流程和措施,并按照预案定期开展演练。
活动输出:各类应急预案。
8.5.3安全事件处置
活动目标:
本活动的目标是对监控到的安全事件采取适当的方法进行处置,对安全事件的影响程度和等级进行分析,确定是否启动应急响应。
参与角色:信息系统运营、使用单位。
活动输入:安全状态分析报告,安全事件报告程序,各类应急预案。
活动描述:
本活动主要包括以下子活动内容:
a) 安全事件上报
根据安全状态分析报告分析可能的安全事件,对接报的安全事件进行分析,明确安全事件等级、影响程度以及优先级等,按照安全事件报告程序上报安全事件,确定是否应对安全事件启动应急预案。
b) 安全事件处置
对于应该启动应急预案的安全事件按照应急预案响应机制进行安全事件处置。对未知安全事件的处置,应根据安全事件的等级,制定安全事件处置方案,包括安全事件处置方法以及应采取的措施等;并按照安全事件处置流程和方案对安全事件进行处置。
c) 安全事件总结和报告
一旦安全事件得到解决,对于未知的安全事件进行事件记录,分析记录信息并补充所需信息,使安全事件成为已知事件,并文档化;对安全事件处置过程进行总结,制定安全事件处置报告,并保存。
活动输出:安全事件处置报告。
8.6 安全检查和持续改进
8.6.1安全状态检查
活动目标:
本活动的主要目标是通过对信息系统的安全状态进行检查,为信息系统的持续改进过程提供依据和建议,确保信息系统的安全保护能力满足相应等级安全要求。
关于等级测评见8.7节,关于监督检查见8.9节,本节描述自我检查过程。
参与角色:信息系统主管部门,信息系统运营、使用单位。
活动输入:信息系统详细描述文件,变更结果报告,安全状态分析报告。
活动描述:
本活动主要包括以下子活动内容:
a) 确定检查对象和检查方法
确定检查的目标和意义,确定本次安全检查活动是自己组织的检查还是其他方组织的安全检查,如果是其他方组织的安全检查,则需要与其他方实施检查的单位进行沟通、洽谈和配合。
b) 制定检查计划和检查方案
确定检查工作的角色和职责,确定检查工作的方法,成立安全检查工作组。制定安全检查工作计划和安全检查方案,说明安全检查的范围、对象、工作方法等,准备安全检查需要的各类表单和工具。
c) 安全检查实施
根据安全检查计划,通过询问、检查和测试等多种手段,进行安全状况检查,记录各种检查活动的结果数据,分析安全措施的有效性、安全事件产生的可能性和信息系统的实际改进需求等。
d) 安全检查结果和报告
总结安全检查的结果,提出改进的的建议,并产生安全检查报告。将安全检查过程的各类文档、资料归档保存。
活动输出:安全检查报告。
8.6.2改进方案制定
活动目标:
本活动的主要目标是依据安全检查的结果,调整信息系统的安全状态,保证信息系统安全防护的有效性。
参与角色:信息系统运营、使用单位。
活动输入:安全检查报告。
活动描述:
本活动主要包括以下子活动内容:
a) 安全改进的立项
根据安全检查结果确定安全改进的策略,如果涉及安全保护等级的变化,则应进入安全保护等级保护实施的一个新的循环过程;如果安全保护等级不变,但是调整内容较多、涉及范围较大,则应对安全改进项目进行立项,重新开始安全实施/实现过程,参见第7章;如果调整内容较小,则可以直接进行安全改进实施。
b) 制定安全改进方案
确定安全改进的工作方法、工作内容、人员分工、时间计划等,制定安全改进方案。安全改进方案只适用于小范围内的安全改进,如安全加固、配置加强、系统补丁等。
信息系统安全等级保护定级报告模版
附件1:《信息系统安全等级保护定级报告》模版 《信息系统安全等级保护定级报告》 一、XXX信息系统描述 简述确定该系统为定级对象的理由。从三方面进行说明: 一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。 二、XXX信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 1、业务信息描述 描述信息系统处理的主要业务信息等。 2、业务信息受到破坏时所侵害客体的确定 说明信息受到破坏时侵害的客体是什么,即对三个客体 (国家安全;社会秩序和公众利益;公民、法人和其他组织 —9 —
的合法权益)中的哪些客体造成侵害。 3、信息受到破坏后对侵害客体的侵害程度的确定 说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。 4、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。 (二)系统服务安全保护等级的确定 1、系统服务描述 描述信息系统的服务范围、服务对象等。 2、系统服务受到破坏时所侵害客体的确定 说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。 3、系统服务受到破坏后对侵害客体的侵害程度的确定 说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。 4、系统服务安全等级的确定 依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。 (三)安全保护等级的确定 —10 —
信息系统安全保护等级定级指南
附件2 信息系统安全保护等级定级指南 (试用稿) 公安部 二〇〇五年十二月 —9 —
目次 1范围 (11) 2术语和定义 (11) 2.1 业务信息(Business Information) (11) 2.2 业务信息安全性(Security of Business Information) (11) 2.3 业务服务保证性(Assurance of Business Service) (11) 2.4 信息系统(Information System) (11) 2.5 业务子系统(Business Subsystem) (11) 3定级对象 (11) 3.1 信息系统的划分 (12) 3.2 信息系统和业务子系统 (12) 4决定信息系统安全保护等级的要素 (12) 4.1 决定信息系统重要性的要素 (13) 4.2 定级要素赋值 (13) 5确定信息系统安全保护等级的步骤 (15) 6信息系统安全保护等级的确定方法 (16) 6.1 确定业务信息安全性等级 (16) 6.2 确定业务服务保证性等级 (16) 6.3 确定信息系统安全保护等级 (18) 7信息系统安全保护等级的调整 (18) 8附录 (20) 8.1 实例1 (20) 8.2 实例2 (21) —10 —
信息系统安全保护等级定级指南 1范围 本指南适用于为4级及4级以下的信息系统确定安全保护等级提供指导。 有关部门根据文件确定涉及最高国家利益的重要信息系统的核心子系统,该系统的安全保护等级定为5级,不再使用本指南的方法定级。 各行业信息系统的主管部门可以根据本指南制定适合本行业或部门的具体定级方法和指导意见。 2术语和定义 下列术语和定义适用于本指南。 2.1 业务信息(Business Information) 为完成业务工作而通过信息系统进行采集、加工、存储、传输、检索和使用的各种信息。2.2 业务信息安全性(Security of Business Information) 保证业务信息机密性、完整性和可用性程度的表征。 2.3 业务服务保证性(Assurance of Business Service) 保证信息系统完成业务使命程度的表征。业务使命可能因信息系统无法提供服务或无法提供有效服务而不能完成或不能按照要求的目标完成。 2.4 信息系统(Information System) 基于计算机或计算机网络,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的人机系统。 2.5 业务子系统(Business Subsystem) 由信息系统的一部分组件构成,是信息系统中能够承载某项业务工作的子系统。 3定级对象 如果信息系统只承载一项业务,可以直接为该信息系统确定等级,不必划分业务子系统。 如果信息系统承载多项业务,应根据各项业务的性质和特点,将信息系统分成若干业务子系统,分别为各业务子系统确定安全保护等级,信息系统的安全保护等级由各业务子系统的最高等级决定。信息系统是进行等级确定和等级保护管理的最终对象。 —11 —
信息系统安全等级保护测评准则.
目录 1 范围 (1) 2 规范性引用文件 (1) 3 术语和定义 (1) 4 总则 (2) 4.1 测评原则 (2) 4.2 测评内容 (2) 4.2.1基本内容 (2) 4.2.2工作单元 (3) 4.2.3测评强度 (4) 4.3 结果重用 (4) 4.4 使用方法 (4) 5 第一级安全控制测评 (5) 5.1安全技术测评 (5) 5.1.1物理安全 (5) 5.1.2网络安全 (7) 5.1.3 主机系统安全 (9) 5.1.4 应用安全 (11) 5.1.5 数据安全 (13) 5.2 安全管理测评 (15) 5.2.1 安全管理机构 (15) 5.2.2 安全管理制度 (17) 5.2.3 人员安全管理 (17) 5.2.4 系统建设管理 (19) 5.2.5 系统运维管理 (23) 6 第二级安全控制测评 (27) 6.1 安全技术测评 (27) 6.1.1 物理安全 (27) 6.1.2 网络安全 (33) 6.1.3 主机系统安全 (37) 6.1.4 应用安全 (42) 6.1.5 数据安全 (47) 6.2 安全管理测评 (50) 6.2.1 安全管理机构 (50) 6.2.2 安全管理制度 (52) 6.2.3 人员安全管理 (54) 6.2.4 系统建设管理 (56) 6.2.5 系统运维管理 (61) 7 第三级安全控制测评 (69) 7.1 安全技术测评 (69) 7.1.1 物理安全 (69) 7.1.2 网络安全 (76)
7.1.3 主机系统安全 (82) 7.1.4 应用安全 (90) 7.1.5 数据安全 (97) 7.2 安全管理测评 (99) 7.2.1 安全管理机构 (99) 7.2.2 安全管理制度 (104) 7.2.3 人员安全管理 (106) 7.2.4 系统建设管理 (109) 7.2.5 系统运维管理 (115) 8 第四级安全控制测评 (126) 8.1 安全技术测评 (126) 8.1.1 物理安全 (126) 8.1.2 网络安全 (134) 8.1.3 主机系统安全 (140) 8.1.4 应用安全 (149) 8.1.5 数据安全 (157) 8.2 安全管理测评 (160) 8.2.1 安全管理机构 (160) 8.2.2 安全管理制度 (164) 8.2.3 人员安全管理 (166) 8.2.4 系统建设管理 (169) 8.2.5 系统运维管理 (176) 9 第五级安全控制测评 (188) 10 系统整体测评 (188) 10.1 安全控制间安全测评 (188) 10.2 层面间安全测评 (189) 10.3 区域间安全测评 (189) 10.4 系统结构安全测评 (190) 附录A(资料性附录)测评强度 (191) A.1测评方式的测评强度描述 (191) A.2信息系统测评强度 (191) 附录B(资料性附录)关于系统整体测评的进一步说明 (197) B.1区域和层面 (197) B.1.1区域 (197) B.1.2层面 (198) B.2信息系统测评的组成说明 (200) B.3系统整体测评举例说明 (201) B.3.1被测系统和环境概述 (201) B.3.1安全控制间安全测评举例 (202) B.3.2层面间安全测评举例 (202) B.3.3区域间安全测评举例 (203) B.3.4系统结构安全测评举例 (203)
信息安全等级保护介绍
国家信息安全等级保护制度的主要内容和要求 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》(以下简称《管理办法》),明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 (一)工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 (二)组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组,负责信息安全等级保护工作的组织部署,由省公安厅主管网监工作的领导任组长,省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队,负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组,组织本系统和行业的信息安全等级保护工作。各地级以上市参照成立相应工作机制。重要信息系统运营使用单位成立信息安全等级保护工作组,负责组织本单位的信息系统安全等级保护工作。
信息安全等级保护制度
第一条 为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。 第二条 国家通过制定统一的信息安全等级保护管理规范和技术 标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。 第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条
信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条 信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
信息系统安全等级保护定级报告示例
信息系统安全等级保护定级报告 一、XX平台系统描述 (一)2014年8月,XX正式上线,XX隶属于北京XX科技有限公司,该公司是从事网络借贷信息中介业务活动的金融信息服务企业。主要是通过线上XX平台,将出借人和借款人衔接,为二者提供中介服务进而实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务解决借款人和出借人的投融资难的问题。目前该XX平台系统由公司运维部负责维护。我公司是该平台系统业务的主要负责机构,也是为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对该系统金融业务数据信息进行存储、传输、检索等处理的人机机制。 该系统相关的用户数据中心网络,资金管理等边界部分都是等级保护定级的范围和对象。在此次定级过程中,将该系统的网络设备和数据中心连同业务数据作为一个定级对象加以考虑,统一进行定级、备案。该系统的网络设备和数据中心还要作为整个系统的分系统分别进行定级、备案。 (三)该系统业务主要包含:用户身份安全信息、业务平台数据、购买服务等业务,并新增加了法务审核,风险控制等等业
务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中:通过网络与第三方支付平台的连接,均采用约定好的报文格式进行通讯,业务处理流程实时完成。 业务处理系统以内部财务结算模式,负责各类买入转让还款的业务处理,包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。系统结构拓扑图如下: 二、XX平台系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 1、业务信息描述 北京XX科技有限公司是从事网络借贷信息中介业务活动的金融信息服务企业,XX为旗下借贷平台主要是通过线上平台,将出借人和借款人衔接,为二者提供中介服务实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务,解决借款人和出借人的投融资难的问题。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益。 侵害的客观方面表现为:一旦信息系统的业务信息遭到入侵、
信息系统安全等级保护定级指南
1信息系统安全等级保护定级指南 为宣贯《信息系统安全等级保护定级指南》(以下简称《定级指南》)国家标准,由标准起草人介绍标准制、修订过程,讲解标准的主要内容,解答标准执行中可能遇到的问题。1.1定级指南标准制修订过程 1.1.1制定背景 本标准是公安部落实66号文件,满足开展等级保护工作所需要的重要规范性文件之一,是其他标准规范文件的基础。本标准依据66号文件和“信息安全等级保护管理办法”的精神和原则,从信息系统对国家安全、经济建设、社会生活重要作用,信息系统承载业务的重要性、业务对信息系统的依赖程度和信息系统的安全需求等方面的因素,确定信息系统的安全保护等级,提出了分级的原则和方法。 本任务来自全国信息系统安全标准化技术委员会,由全国信息安全标准化技术委员会WG5工作组负责管理。 1.1.2国外相关资料分析 本标准编制前,编制人员收集与信息系统确定等级相关的国外资料,其中主要是来自美国的标准或文献资料,例如: ●FIPS 199 Standards for Security Categorization of Federal Information and Information Systems(美国国家标准和技术研究所) ●DoD INSTRUCTION 8510.1-M DoD Information Technology Security Certification and Accreditation Process Application Manual(美国国防部) ●DoD INSTRUCTION 8500.2 Information Assurance (IA) Implementation(美国国防 部) ●Information Assurance Technology Framework3.1(美国国家安全局) 这些资料表明,美国政府及军方也在积极进行信息系统分等级保护的尝试,从一个侧面反映了分等级对重要信息系统实施重点保护的思想不仅适用于像我国这样的信息技术水平不高的发展中国家,也适用于信息化发达国家。但仔细分析起来,这些文献资料中所描述的等级在其适用对象、定级方法、划定的等级和定级要素选择方面各有不同。 FIPS 199作为美国联邦政府标准,依据2002年通过的联邦信息安全管理法,适用于所有联邦政府内的信息(除其它规定外的)和除已定义为国家安全系统之外的联邦信息系统。根据FIPS 199,信息和信息系统根据信息系统中信息的保密性、完整性和可用性被破坏的
信息系统等级保护建设方案详细
边界接入平台终端安全保护系统 建设方案 2009年6月5日
文件修改记录
目录 1项目建设的必要性 (5) 1.1政策必要性 (5) 1.2整体安全需要 (5) 1.3合规性需要 (6) 2法规、政策和技术依据 (7) 2.1信息安全等级保护有关法规、政策、文件 (7) 2.1.1《中华人民共和国计算机信息系统安全保护条例》(国务院147号令) (7) 2.1.2《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号). 7 2.1.3《关于信息安全等级保护工作的实施意见》(公通字[2004]66号) (8) 2.1.4《信息安全等级保护管理办法》(公通字[2007]43号) (9) 2.1.5信息安全等级保护技术标准体系及其关系 (9) 3终端安全防护系统功能介绍 (14) 3.1终端安全防护系统(前置服务器版)功能介绍 (14) 3.1.1强身份认证功能 (14) 3.1.2多用户强制访问控制 (14) 图3.1.3 用户权限控制示意图 (15) 3.1.3应用系统安全封装 (17) 3.1.4自主访问控制 (17) 图3.1.4 文件保密柜示意图 (17) 3.1.5数据保密性保护 (17) 3.1.6系统完整性保护 (18) 3.1.7行为审计监控 (18) 3.1.8边界保护控制 (18) 3.2终端安全防护系统(PC版)功能介绍 (19) 3.2.1强身份认证功能 (19) 3.2.2强制访问控制 (20) 图3.2.2 用户权限控制示意图 (21) 3.2.3自主访问控制 (22) 图3.2.3 文件保密柜示意图 (22) 3.2.4数据保密性保护 (23) 3.2.5系统完整性保护 (23) 3.2.6行为审计监控 (23) 3.2.7边界保护控制 (24)
档案信息系统安全等级保护
档案信息系统安全等级保护定级工作指南 国家档案局 2013年7月
目录 1.工作背景 (2) 2.适用范围 (2) 3.编制依据 (2) 4.档案信息系统类型的划分 (3) 5.档案信息系统的定级 (4) 5.1档案信息系统的定级原则 (4) 5.2档案信息系统安全保护等级的划分 (5) 5.2.1受侵害客体 (5) 5.2.2对客体侵害程度的划分 (5) 5.2.3档案信息系统安全等级的划分 (6) 5.3档案信息系统安全保护等级确定的方法 (6) 5.3.1确定定级对象 (7) 5.3.2确定受侵害的客体 (7) 5.3.3确定对客体的侵害程度 (7) 5.3.4确定档案信息系统的安全保护等级 (8) 5.3.5编制定级报告 (10) 6.评审 (10) 7.备案与报备 (11) 8.等级变更 (11) 附录1《信息系统安全等级保护定级报告》模版 (12) 附录2《信息系统安全等级保护备案表》 (14)
1.工作背景 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,计算机信息系统实行安全等级保护,公安部主管全国计算机信息系统安全保护工作。近年来,公安部会同有关部门组织制订了一系列有关计算机信息系统安全等级保护的规章和标准,加强了对重点行业信息系统安全等级保护工作的监督、检查和指导,并于2011年建立了54个行业主管部门参加的等级保护联络员制度,档案行业为其中之一。 随着档案信息化进程的不断加快,档案部门通过档案信息系统管理的数字档案资源越来越多,提高档案信息系统的安全防护能力和水平,已经成为加强档案信息安全管理、促进档案事业健康发展的一项重要内容。为做好档案信息系统安全等级保护工作,国家档案局编制《档案信息系统安全等级保护定级工作指南》(以下简称《指南》),以指导档案信息系统安全等级保护的定级工作。 2.适用范围 本《指南》是档案信息系统安全等级保护定级工作的操作规范,适用于省级(含计划单列市、副省级市,下同)及以上档案行政管理部门及国家综合档案馆非涉密信息系统安全等级保护定级工作。地市级档案局馆和其他档案馆可参照执行。 3.编制依据 本《指南》的编制主要依据以下标准、规范: ●《中华人民共和国计算机信息系统安全保护条例》(国务院147号令) ●《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号) ●《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)
《信息系统安全等级保护定级报告》
《信息系统安全等级保护定级报告》 一、马尔康县人民检察院门户网站信息系统描述 (一)该信息系统于2014年4月上线。目前该系统由马尔康县人民检察院办信息股负责运行维护。九龙县县政府办是该信息系统业务的主管部门,信息股为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对门户网站信息进行采集、加工、存储、传输、检索等处理的人机系统。 服务器托管在九龙县电信公司机房 (三)该信息系统业务主要包含:等业务。 二、马尔康县人民检察院门户网站信息系统安全保护等级确定 (一)业务信息安全保护等级的确定 1、业务信息描述 该信息系统业务主要包含:九龙新闻、信息公开、在线下载、旅游在线、县长信箱等业务。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是社会秩序和公众利 —9 —
益。 侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对社会秩序和公众利益造成影响和损害,可以表现为:发布虚假信息,影响公共利益,造成不良影响,引起法律纠纷等。 3、信息受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为严重损害,即工作职能受到严重影响,造成较大范围的不良影响等。 4、业务信息安全等级的确定 业务信息安全保护等级为第二级。 (二)系统服务安全保护等级的确定 1、系统服务描述 该系统属于为民生、经济、建设等提供信息服务的信息系统,其服务范围为全国范围内的普通公民、法人等。 2、系统服务受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公共利益。客观方面表现得侵害结果为:一可以对公民、法人和其他组织的合法权益造成侵害(影响正常工作的开展,造成不良影响,引起法律纠纷等);—10 —
信息系统安全等级
附件乐3:乐山《信息系统安全等级保护定级报告》模 金阳县人民医院 《信息系统安全等级保护定级报告》 一、金阳县人民医院信息系统描述 金阳县人民医院信息系统主要有医院信息管理系统(HIS)、LIS、PACS、卫生统计直报系统、传染性疾病报告系统、医院门户网站等系统组成。本系统对医院及其所属各部门的人流、物流、财流进行综合管理,对医院从事医疗、办公等活动在各阶段中产生的数据进行采集、存储、分析、处理、汇总,为医院的整体运行提供信息支撑。该信息系统的平台运行维护主要有网络中心承担,医院始终将信息安全建设作为安全重中之重建设和管理,将其确定为定级对象进行监督,网络中心为信息安全保护主体。此系统主要由提供网络连接、网络服务的硬件和数据控制的软件程序两大要素构成,提供网络连接和服务的硬件设备如路由器、交换机和服务器构成了该信息系统的基础,其主要为保障数据的传输和程序文件的运行;数据控制文件系统、程序源码成为信息表现的载体,二者共同完成院内医疗、办公等信息的综合管理。 二、金阳县人民医院信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 1、业务信息描述 本信息系统主要处理的业务有医院日常业务运行、医院最新动态、院务公开、等。旨在保障医院业务正常运行、提高工作效率、增强院务透明度、扩大医院社会影响力。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是患者、法人和医院职工的合法权益。侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对患者、医院和医院职工的合法权益造成严重影响和损害。本信息系统由于具有一定的脆弱性,需要不定时进行对该系统进行程序升级和漏洞防范,所以很容易受到“黑客”攻击和破坏,可能会影响医疗、办公正常秩序和正常行使工作职能,导致业务能力下降,从某种角度可侵害患者、医院和医院职工的合法权益,造成一定范围的不良影响等。 3、信息受到破坏后对侵害客体的侵害程度的确定 当此信息受到破坏后,会对患者、医院和医院职工造成一些严重损害。 4、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级为二级。 (二)系统服务安全保护等级的确定 1、系统服务描述 本信息系统主要为医院业务的正常运行、日常办公活动正常开展和提供医疗咨询等服务。2、系统服务受到破坏时所侵害客体的确定 该系统服务遭到破坏后,所侵害的客体是公民、医院和其他组织的合法权益,同时也侵害社会秩序和公共利益但不损害国家安全。客观方面表现得侵害结果为:可以对患者、法人和医院职工的合法权益造成侵害(影响正常工作的开展,导致业务能力下降,造成不良影响,引起医患法律纠纷等)。 3、系统服务受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为:患者、医院和医院职工的合法权益造成一般损害,即会出现一定范围的社会不良影响和一定程度的公共利益的损害等。
(整理)信息系统等级保护安全.
1建设方案 根据信息安全等级保护工作要求,并考虑信息系统实际情况,从计算环境、区域边界和通信网络出发,按照“分级分域、深层防护”的安全策略,提出信息安全等级保护深度防御方案。建设中,拟采用具有我国自主知识产权的信息安全产品,实现对信息系统的等级化防护,结合技术措施,实现具有等级保护深度防御体系。 1.1 建设方法原则 以自主知识产权和国产化信息装置为基础,建成“分级分域、深层保护”的信息安全等级保护深度防御体系。在建设过程中,遵循统筹规划、深度防御,统一标准、统一规范,自主产权、国产为主,强化管理、注重技术的原则。 统筹规划深度防御:信息安全等级保护深度防御工程是庞大的系统工程,必须达到国家等级保护对信息系统的各种安全要求。制定落实等级保护政策的安全总体防护方案,做好统筹规划是前提,完成自主研发的应用和数据库防护设备、移动存储安全管理系统进行网络隔离,建设符合需要的三级安全管理中心是防护基础,对信息系统的等级化深度防御是核心。以“分级分域、深层保护”策略为核心的信息安全等级保护深度防御工程总体将达到国内先进水平。 统一标准、统一规范:统一标准是建设信息安全等级保护深度防御工程的最基本要求,是各单位横向集成、纵向贯通,信息共享的前提。同时,在全面推广信息安全等级保护深度防御工程时,按照统一信息系统安全管理的规范进行规划和设计,确保信息安全防护水平的
一致。 自主产权,国产为主:确保信息安全,核心安全防护设备要立足于国产产品,选用满足等级保护要求的安全技术方案和管理措施,以有效抵御互联网风险。 1.2 系统安全建设方案 1.2.1 等级保护三级系统技术要求 按照《信息系统等级保护安全设计技术要求》,三级系统的安全建设要在安全管理中心支撑下,按照计算环境安全、区域边界安全、通信网络安全构筑三重防护体系。 其具体描述包括: 1)计算环境安全设计 用户标识和用户鉴别。在每一个用户注册到系统时,应采用用户名和用户标识符的方式进行用户标识,并确保在系统整个生存周期用户标识的唯一性;在每次用户登录系统时,采用强化管理的口令、基于生物特征、基于数字证书以及其他具有相应安全强度的两种或两种以上机制的组合进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护。 强制访问控制。对在对安全管理员进行严格的身份鉴别和权限控制基础上,由安全管理员通过特定操作界面对主、客体进行安全标记;应按安全标记和强制访问控制规则,对确定主体访问客体的操作进行控制;强制访问控制主体的粒度应为用户级,客体的粒度应为文件或数据库表级;应确保安全计算环境内所有主、客体具有一致的标记信息,并实施相同的强制访问控制规则。
信息安全技术-信息系统安全等级保护实施指南
信息安全技术信息系统安全等级保护实施指南 前言 本标准的附录 A 是规范性附录。 本标准由公安部和全国信息安全标准化技术委员会提出。 本标准由全国信息安全标准化技术委员会归口。 本标准起草单位:公安部信息安全等级保护评估中心。 本标准主要起草人:毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、 刘静、罗峥。 引言 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147 号令)、《国家信息化领导小 组关于加强信息安全保障工作的意见》(中办发 [2003]27 号)、《关于信息安全等级保护工作的实施意见》(公通字 [2004]66 号)和《信息安全等级保护管理办法》(公通字[2007]43 号),制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南;— — GB/T BBBB-BBBB 信息安全技术信息系统安全等级保护基本要求。 在对信息系统实施信息安全等级保护的过程中,除使用本标准外,在不同的阶段,还应参照其他有关 信息安全等级保护的标准开展工作。 在信息系统定级阶段,应按照GB/T AAAA-AAAA介绍的方法,确定信息系统安全保护等级。 在信息系统总体安全规划,安全设计与实施,安全运行与维护和信息系统终止等阶段,应按照 GB17859-1999 、 GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运行维护管理工作。 GB17859-1999、 GB/T BBBB-BBBB、 GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准是信息系统安全等级保护的系列相关配套标准,其中GB17859-1999是基础性标准, GB/T20269-2006、 GB/T20270-2006和 GB/T20271-2006等是对GB17859-1999的进一步细化和扩展,GB/T BBBB-BBBB是以GB17859-1999为基础,根据现有技术发展水平提出的对不同安全保护等级信息 系统的最基本安全要求,是其他标准的一个底线子集。 对信息系统的安全等级保护应从GB/T BBBB-BBBB出发,在保证信息系统满足基本安全要求的基础 上,逐步提高对信息系统的保护水平,最终满足GB17859-1999、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006 等标准的要求。 除本标准和上述提到的标准外,在信息系统安全等级保护实施过程中,还可参照和使用 GB/T20272-2006和GB/T20273-2006等其它等级保护相关技术标准。 信息系统安全等级保护实施指南 1范围 本标准规定了信息系统安全等级保护实施的过程,适用于指导信息系统安全等级保护的实施。
信息系统安全等级保护测评及服务要求
成都农业科技职业学院 信息系统安全等级保护测评及服务要求 一、投标人资质要求 1.在中华人民共和国境内注册成立(港澳台地区除外),具有独立承担民事责任的能力;由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外)。(提供营业执照副本、组织机构代码证副本、税务登记证副本复印件); 2.测评机构应为成都市本地机构或在成都有常驻服务机构; 3. 参选人必须具有四川省公安厅颁发的《信息安全等级保护测评机构推荐证书》; 4. 参选人必须具有近3年内1例以上,市级以上企事业单位信息安全等级保护测评项目的实施业绩(以合同或协议为准); 5. 参选人须具有良好的商业信誉和健全的财务会计制度;具有履行合同所必需的设备和专业技术能力;具有依法缴纳税收和社会保障资金的良好记录;有良好的财务状况和商业信誉。没有处于被责令停产、财产被接管、冻结或破产状态,有足够的流动资金来履行本项目合同。 6. 参与项目实施人员中应至少具备3名以上通过公安部信息安全等级保护测评师资格证书的测评工程师。 7.本包不接受联合体参加。 二、信息系统安全等级保护测评目标 本项目将按照《信息系统安全等级保护基本要求》、《信息系统安全
等级保护测评准则》和有关规定及要求,对我单位的重要业务信息系统开展信息安全等级保护测评工作,通过开展测评,了解与《信息系统安全等级保护基本要求》的差距,出具相应的测评报告、整改建议,根据测评结果,协助招标方完成信息安全等级保护后期整改工作,落实等级保护的各项要求,提高信息安全水平和安全防范能力,并配合完成公安系统等级保护备案。 等级保护测评主要是基于《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)和《信息系统安全等级保护测评准则》中的相关内容和要求进行测评。测评主要包括安全技术和安全管理两个方面的内容,其中安全技术方面主要涉及物理安全、网络安全、主机安全、应用安全与数据安全等方面的内容;安全管理方面主要涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面的内容,配合相应等级的安全技术措施,提供相应的安全管理措施和安全保障。 三、测评内容及要求 1.完成上述信息系统的等级保护定级工作,协助学院编写相应的《信息系统安全等级保护定级报告》; 2.完成上述信息系统安全等级测评工作,测评后经用户方确认,出具符合信息系统等级测评要求的测评报告; 3.协助完成上述信息系统安全等级保护备案工作; 4.对上述信息系统不符合信息安全等级保护有关管理规范和技术
信息系统安全等级保护基本要求
信息系统安全等级保护基本要求 1 范围 本标准规定了不同安全保护等级信息系统的基本保护要求,包括基本技术要求和基本管理要求,适用于指导分等级的信息系统的安全建设和监督管理。 2 规范性引用文件 下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分:安全 GB17859-1999 计算机信息系统安全保护等级划分准则 GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南 3 术语和定义 GB/T 5271.8和GB 17859-1999确立的以及下列术语和定义适用于本标准。 安全保护能力 security protection ability 系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。 4 信息系统安全等级保护概述 信息系统安全保护等级 信息系统根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高划分为五级,五级定义见GB/T AAAA-AAAA。 不同等级的安全保护能力 不同等级的信息系统应具备的基本安全保护能力如下: 第一级安全保护能力:应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害,在系统遭到损害后,能够恢复部分功能。 第二级安全保护能力:应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。 第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰
信息系统安全等级保护基本要求
蓝色部分是操作系统安全等级划分,红色部分是四级操作系统关于网络部分的要求:) 《信息系统安全等级保护基本要求》 中华人民共和国国家标准GB/T 22239-2008 引言 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于 加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字 [2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南; ——GB/T CCCC-CCCC 信息安全技术信息系统安全等级保护实施指南。 本标准与GB17859-1999、GB/T 20269-2006 、GB/T 20270-2006 、GB/T 20271-2006 等标准共同构成了 信息系统安全等级保护的相关配套标准。其中GB17859-1999是基础性标准,本标准、GB/T20269-2006、 GB/T20270-2006、GB/T20271-2006等是在GB17859-1999基础上的进一步细化和扩展。 本标准在GB17859-1999、GB/T20269-2006、GB/T20270-2006、GB/T20271-2006等技术类标准的基础 上,根据现有技术的发展水平,提出和规定了不同安全保护等级信息系统的最低保护要求,即基本安全要求,基 本安全要求包括基本技术要求和基本管理要求,本标准适用于指导不同安全保护等级信息系统的安全建设和监督 管理。 在本标准文本中,黑体字表示较低等级中没有出现或增强的要求。 信息系统安全等级保护基本要求 1范围 本标准规定了不同安全保护等级信息系统的基本保护要求,包括基本技术要求和基本管理要求,适用于指导 分等级的信息系统的安全建设和监督管理。 2规范性引用文件 下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单 (不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文 件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分:安全 GB17859-1999 计算机信息系统安全保护等级划分准则 GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南 3术语和定义 GB/T 5271.8和GB 17859-1999确立的以及下列术语和定义适用于本标准。 3.1 安全保护能力 security protection ability 系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。 4信息系统安全等级保护概述 4.1信息系统安全保护等级 信息系统根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共 利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高划分为五级,五级定义见GB/T AAAA- AAAA。 4.2不同等级的安全保护能力
信息系统安全等级保护定级报告
附件2: 《信息系统安全等级保护定级报告》 一、易财经描述 (一)该系统于 2018年投入运营,开发服务商为广州致仪计算机软件科技有限公司。目前该信息系统由广州致仪计算机软件科技有限公司技术部负责运行维护。广州致仪计算机软件科技有限公司技术部是该系统业务的主管部门,广州致仪计算机软件科技有限公司总经办为该信息系统定级的责任单位。 (二)该信息系统部署在阿里云云服务器ECS。由主机服务器、网络设备、防火墙设备、存储系统及其相关的配套的设备、设施构成的,是按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 易财经服务器mysql数据库由2台阿里云云服务器ECS E5互为备份,同时接入校园网络中心机房。实现校内、校外全天侯工作的功能。该系统的外部网部络和内部网络部分都是等级保护定级的范围和对象。 (三)该信息系统目前承载的主要业务包括:系统管理、组织管理、课程管理、排课管理、知识库管理、排课管理、考练测评、论文管理、实训中心、资讯管理、法规库管理、资源库、订单管理、积分优惠卷系统等等。系统针对业务的
差异分别提供联机处理和批量处理两种方式。 二、易财经系统安全保护等级确定 (一)业务信息安全保护等级的确定 1、业务信息描述 该信息系统业务主要包括:系统管理、组织管理、课程管理、排课管理、知识库管理、排课管理、考练测评、论文管理、实训中心、资讯管理、法规库管理、资源库、订单管理、积分优惠卷系统等等。 2、业务信息受到破坏时所侵害客体的确定(根据实际描述) 该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益。 侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对公民、法人和其他组织的合法权益造成影响和损害,可以表现为:影响正常工作的开展,导致业务能力下降,造成不良影响,引起法律纠纷等。 3、信息受到破坏后对侵害客体的侵害程度的确定(根据实际描述) 上述结果的程度表现为严重损害,即工作职能受到严重