整理山东省等级保护工作实施.docx
《整理山东省等级保护工作实施.docx》由会员分享,可在线阅读,更多相关《整理山东省等级保护工作实施.docx(30页珍藏版)》请在冰点文库上搜索。
整理山东省等级保护工作实施
山东省等级保护工作实施
主要环节说明
2012年8月
一、等级保护基本知识
信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。
实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。
(一)等级保护概述
根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,信息和信息系统的安全保护等级共分五级:
v第一级为自主保护级
v第二级为指导保护级
v第三级为监督保护级
v第四级为强制保护级
v第五级为专控保保护
(二)等级保护的意义
近年来,在党中央、国务院高度重视和各有关方面协调配合、共同努力下,我国信息安全保障工作取得了很大进展。
但是从总体上看,我国的信息安全保障工作尚处于起步阶段,基础薄弱,水平不高,存在以下突出问题:
信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;信息系统安全建设和管理的目标不明确;信息安全保障工作的重点不突出;信息安全监督管理缺乏依据和标准,监管措施有待到位,监管体系尚待完善。
随着信息技术的高速发展和网络应用的迅速普及,我国国民经济和社会信息化进程全面加快,信息系统的基础性、全局性作用日益增强,信息资源已经成为国家经济建设和社会发展的重要战略资源之一。
保障信息安全,维护国家安全、公共利益和社会稳定,是当前信息化发展中迫切需要解决的重大问题。
2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”;2004年公安部等四部委《关于信息系统安全等级保护工作的实施意见》也指出“信息系统安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度”。
我单位作为国家的重要事业机关单位,关系到国家安全、经济命脉、社会的稳定,所以应当实行等级保护。
(三)等级保护工作的地位和作用
根据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)及《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)的规定,等级保护的地位及作用如下:
v等级保护制度是国家信息安全保障工作的基本制度,基本国策;
v等级保护是我国开展信息安全工作的基本方法;
v等级保护制度是促进信息化、维护国家信息安全的根本保障。
二、等级保护工作实施过程说明
第一阶段:
等级保护定级工作
信息系统定级原则:
“自主定级、专家评审、主管部门审批、公安机关审核”。
具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字[2007]861号)要求执行。
定级工作流程:
确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核。
1.确定定级对象
v起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)。
v用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。
v各单位网站。
2.确定信息系统安全保护等级
《管理办法》规定的五个等级:
v第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
v第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
v第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
v第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
3.实际操作中参考确定信息系统等级:
v第一级信息系统:
适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。
v第二级信息系统:
适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。
例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。
v第三级信息系统一般适用于地市级以:
上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省联接的网络系统等。
v第四级信息系统:
一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全,影响社会稳定的核心系统。
例如电力生产控制系统、银行核心业务系统、电信核心网络、铁路客票系统、列车指挥调度系统等。
4.定级工作需注意的问题
同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。
新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、同步设计同步实施安全保护技术措施和管理措施。
第二阶段:
信息系统备案工作
备案工作包括:
信息系统备案、受理、审核和备案信息管理。
具体按照《关于开展全国重要信息系统安全等级保护定级工作的通知》要求开展。
1.备案事项
第二级以上信息系统,由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续,填写《信息系统安全等级保护备案表》。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部备案;其他信息系统向北京市公安局备案。
跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
各部委统一定级信息系统在各地的分支系统,即使是上级主管部门定级的,也要到当地公安网络安全保卫部门备案。
2.受理备案与审核
公安机关受理备案,按照《信息安全等级保护备案实施细则》要求,对备案材料进行审核,定级准确、材料符合要求的颁发由公安部统一监制的备案证明。
第三阶段:
信息系统安全建设整改工作
1.安全建设整改要求
结合行业特点和安全需求,制定符合相应等级要求的信息系统安全建设整改方案,开展整改措施建设,主要涉及以下方面。
图一:
信息安全整改涉及范围
2.安全建设整改工作流程
第一步:
制定安全建设整改工作规划,对安全建设整改工作进行总体部署。
第二步:
开展信息系统安全现状分析,从管理和技术两方面确定安全建设整改需求。
第三步:
确定安全保护策略,制定信息系统安全建设整改方案。
第四步:
开展信息系统安全建设整改工作,建立并落实安全管理制度,落实安全责任制,建设安全设施,落实安全措施。
第五步:
开展安全自查和等级测评,及时发现问题并进一步整改。
3.整改后应达到的保护能力目标
第二级信息系统:
经过安全建设整改工作,信息系统具有抵御小规模较弱强度恶意攻击的能力,抵抗一般的自然灾害的能力,防范一般性计算机病毒和恶意代码危害的能力;具有检测常见的攻击行为,并对安全事件进行记录的能力;系统遭到损害后,具有恢复系统正常运行状态的能力。
第三级信息系统:
经过安全建设整改工作,信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现报警、记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能立即恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。
第四级信息系统:
经过安全建设整改工作,信息系统在统一的安全保护策略下具有抵御敌对势力有组织的大规模攻击的能力抵抗严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现报警、记录入侵行为的能力;具有对安全事件进行快速响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能迅速恢复正常运行状态具有对系统资源、用户、安全机制等进行集中控管的能力。
第四阶段:
信息安全等级保护测评工作
等级测评过程分为四个基本测评活动:
测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。
而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。
1.测评准备活动
1.1测评准备活动的工作流程
测评准备活动的目标是顺利启动测评项目,准备测评所需的相关资料,为顺利编制测评方案打下良好的基础。
测评准备活动包括项目启动、信息收集和分析、工具和表单准备三项主要任务。
这三项任务的基本工作流程见图1:
1.2测评准备活动的主要任务
1.2.1项目启动
在项目启动任务中,首先组建等级测评项目组,获取测评委托单位及被测系统的基本情况,从基本资料、人员、计划安排等方面为整个等级测评项目的实施做基本准备。
输入:
委托测评协议书。
任务描述:
a)根据测评双方签订的委托测评协议书和系统规模,测评机构组建测评项目组,从人员方面做好准备,并编制项目计划书。
项目计划书应包含项目概述、工作依据、技术思路、工作内容和项目组织等。
b)测评机构要求测评委托单位提供基本资料,包括:
被测系统总体描述文件,详细描述文件,安全保护等级定级报告,系统验收报告,安全需求分析报告,安全总体方案,自查或上次等级测评报告(如果有),测评委托单位的信息化建设状况与发展以及联络方式等。
输出/产品:
项目计划书,风险告知书。
1.2.2信息收集和分析
测评机构通过查阅被测系统已有资料或使用调查表格的方式,了解整个系统的构成和保护情况,为编写测评方案和开展现场测评工作奠定基础。
输入:
调查表格,被测系统总体描述文件,详细描述文件,安全保护等级定级报告,系统验收报告,安全需求分析报告,安全总体方案,自查或上次等级测评报告(如果有)。
任务描述:
a)测评机构收集等级测评需要的各种资料,包括测评委托单位的各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、详细描述文件、安全保护等级定级报告、安全需求分析报告、安全总体方案、安全现状评价报告、安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等。
b)测评机构将调查表格提交给测评委托单位,督促被测系统相关人员准确填写调查表格。
c)测评机构收回填写完成的调查表格,并分析调查结果,了解和熟悉被测系统的实际情况。
分析的内容包括被测系统的基本信息、物理位置、行业特征、管理框架、管理策略、网络及设备部署、软硬件重要性及部署情况、范围及边界、业务种类及重要性、业务流程、业务数据及重要性、业务安全保护等级、用户范围、用户类型、被测系统所处的运行环境及面临的威胁等。
这些信息可以重用自查或上次等级测评报告中的可信结果。
d)如果调查表格填写不准确或不完善或存在相互矛盾的地方较多,应安排现场调查,与被测系统相关人员进行面对面的沟通和了解。
输出/产品:
填好的调查表格。
1.2.3工具和表单准备
测评项目组成员在进行现场测评之前,应熟悉与被测系统相关的各种组件、调试测评工具、准备各种表单等。
输入:
各种与被测系统相关的技术资料。
任务描述:
a)测评人员调试本次测评过程中将用到的测评工具,包括漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。
b)测评人员模拟被测系统搭建测评环境。
c)准备和打印表单,主要包括:
现场测评授权书、文档交接单、会议记录表单、会议签到表单等。
输出/产品:
选用的测评工具清单,打印的各类表单。
1.3测评准备活动的输出文档
测评准备活动的输出文档及其内容如表1所示:
1.4测评准备活动中双方的职责
测评机构职责:
a)组建等级测评项目组。
b)指出测评委托单位应提供的基本资料。
c)准备被测系统基本情况调查表格,并提交给测评委托单位。
d)向测评委托单位介绍安全测评工作流程和方法。
e)向测评委托单位说明测评工作可能带来的风险和规避方法。
f)了解测评委托单位的信息化建设状况与发展,以及被测系统的基本情况。
g)初步分析系统的安全情况。
h)准备测评工具和文档。
测评委托单位职责:
a)向测评机构介绍本单位的信息化建设状况与发展情况。
b)准备测评机构需要的资料。
c)为测评人员的信息收集提供支持和协调。
d)准确填写调查表格。
e)根据被测系统的具体情况,如业务运行高峰期、网络布置情况等,为测评时间安排提供适宜的建议。
f)制定应急预案。
2.方案编制活动
2.1方案编制活动的工作流程
方案编制活动的目标是整理测评准备活动中获取的信息系统相关资料,为现场测评活动提供最基本的文档和指导方案。
方案编制活动包括测评对象确定、测评指标确定、测试工具接入点确定、测评内容确定、测评指导书开发及测评方案编制六项主要任务。
这六项任务的基本工作流程见图2:
图2方案编制活动的基本工作流程
2.2方案编制活动的主要任务
2.2.1测评对象确定
根据已经了解到的被测系统信息,分析整个被测系统及其涉及的业务应用系统,确定出本次测评的测评对象。
输入:
填好的调查表格。
任务描述:
a)识别并描述被测系统的整体结构
根据调查表格获得的被测系统基本情况,识别出被测系统的整体结构并加以描述。
描述内容应包括被测系统的标识(名称),物理环境,网络拓扑结构和外部边界连接情况等,并给出网络拓扑图。
b)识别并描述被测系统的边界
根据填好的调查表格,识别出被测系统边界并加以描述。
描述内容应包括被测系统与其他网络进行外部连接的边界连接方式,如采用光纤、无线和专线等;描述各边界主要设备,如防火墙、路由器或服务器等。
如果在被测系统边界连接处有共用设备,一般可以把该设备划到等级较高的那个信息系统中。
c)识别并描述被测系统的网络区域
一般信息系统都会根据业务类型及其重要程度将信息系统划分为不同的区域。
对于没有进行区域划分的系统,应首先根据被测系统实际情况进行大致划分并加以描述。
描述内容主要包括区域划分、每个区域内的主要业务应用、业务流程、区域的边界以及它们之间的连接情况等。
d)识别并描述被测系统的重要节点
描述系统节点时可以以区域为线索,具体描述各个区域内包括的计算机硬件设备(包括服务器设备、客户端设备、打印机及存储器等外围设备)、网络硬件设备(包括交换机、路由器、各种适配器等)等,并说明各个节点之间的主要连接情况和节点上安装的应用系统软件情况等。
e)描述被测系统
对上述描述内容进行整理,确定被测系统并加以描述。
描述被测系统时,一般以被测系统的网络拓扑结构为基础,采用总分式的描述方法,先说明整体结构,然后描述外部边界连接情况和边界主要设备,最后介绍被测系统的网络区域组成、主要业务功能及相关的设备节点等。
f)确定测评对象
分析各个作为定级对象的信息系统,包括信息系统的重要程度及其相关设备、组件,在此基础上,确定出各测评对象。
测评对象的确定,需要进行抽样选择。
g)描述测评对象
描述测评对象时,一般针对每个定级对象分门别类加以描述,包括机房、业务应用软件、主机操作系统、数据库管理系统、网络互联设备及其操作系统、安全设备及其操作系统、访谈人员及其安全管理文档等。
在对每类测评对象进行描述时则一般采用列表的方式,包括测评对象所属区域、设备名称、用途、设备信息等内容。
输出/产品:
测评方案的测评对象部分。
2.2.2测评指标确定
根据已经了解到的被测系统定级结果,确定出本次测评的测评指标。
输入:
填好的调查表格,GB/T22239-2008。
任务描述:
a)根据被测系统调查表格,得出被测系统的定级结果,包括业务信息安全保护等级和系统服务安全保护等级,从而得出被测系统应采取的安全保护措施ASG组合情况。
b)从GB/T22239-2008中选择相应等级的安全要求作为测评指标,包括对ASG三类安全要求的选择。
举例来说,假设某信息系统的定级结果为:
安全保护等级为3级,业务信息安全保护等级为2级,系统服务安全保护等级为3级;则该系统的测评指标将包括GB/T22239-2008“技术要求”中的3级通用安全保护类要求(G3),2级业务信息安全类要求(S2),3级系统服务保证类要求(A3),以及第3级“管理要求”中的所有要求。
c)被测评单位存在多个不同等级的信息系统时,应分别确定各个定级对象的测评指标。
如果多个定级对象共用物理环境或管理体系,而且测评指标不能分开,则不能分开的这些测评指标应采用就高原则。
d)分别针对每个定级对象加以描述,包括系统的定级结果、指标选择两部分。
其中,指标选择可以列表的形式给出。
例如,一个安全保护等级和系统服务安全保护等级均为三级、业务信息安全保护等级为2级的定级对象,测评指标可以列出下表:
2.2.3测评内容确定
本部分确定现场测评的具体实施内容,即单元测评内容。
输入:
填好的调查表格,测评方案的测评对象、测评指标。
任务描述:
a)确定单元测评内容
把各层面上的测评指标结合到具体测评对象上,并说明具体的测评方法,构成可以具体实施测评的单元。
参照《测评要求》,结合已选定的测评指标和测评对象,概要说明现场单元测评实施的工作内容。
在测评方案中,现场单元测评实施内容以表格的形式给出,表格包括测评指标、测评内容描述等内容。
现场测评实施内容是项目组每个成员开发测评指导书的基础。
2.2.4测评指导书开发
测评指导书是具体指导测评人员如何进行测评活动的文件,是现场测评的工具、方法和操作步骤等的详细描述,是保证测评活动可以重现的根本。
输入:
单元测评实施部分。
任务描述:
a)描述单个测评对象,包括测评对象的名称、IP地址、用途、管理人员等信息。
b)根据《测评要求》的单元测评实施确定测评活动,包括测评项、测评方法、操作步骤和预期结果等四部分。
测评项是指GB/T22239-2008中对该测评对象在该用例中的要求,在《测评要求》中对应每个测评单元中的“测评指标”的具体要求项。
测评方法是指访谈、检查和测试三种方法,具体到测评对象上可细化为文档审查、配置检查、工具测试和实地察看等多种方法,每个测评项可能对应多个测评方法。
操作步骤是指在现场测评活动中应执行的命令或步骤,是按照《测评要求》中的每个“测评实施”项目开发的操作步骤,涉及到工具测试时,应开发《工具测试作业指导书》;预期结果是指按照操作步骤在正常的情况下应得到的结果和获取的证据。
c)单元测评以表格形式设计和描述测评项、测评方法、操作步骤和预期结果等内容。
整体测评则以文字描述的方式表述,以测评用例的方式进行组织。
单元测评的测评指导书描述的基本格式为:
输出/产品:
测评指导书,测评结果记录表格。
2.2.5测试工具接入点确定
工具测试可能用到漏洞扫描器、渗透测试工具集、协议分析仪等测试工具。
输入:
填好的调查表格,《测评要求》。
任务描述:
a)确定需要进行工具测试的测评对象,填入《工具测试作业指导书》。
b)选择测试路径。
测试工具的接入采取从外到内,从其他网络到本地网段的逐步逐点接入,即:
测试工具从被测系统边界外接入、在被测系统内部与测评对象不同网段及同一网段内接入等几种方式。
c)根据测试路径,确定测试工具的接入点。
从被测系统边界外接入时,测试工具一般接在系统边界设备(通常为交换设备)上。
在该点接入漏洞扫描器,扫描探测被测系统的主机、网络设备对外暴露的安全漏洞情况。
在该接入点接入协议分析仪,捕获应用程序的网络数据包,查看其安全加密和完整性保护情况。
在该接入点使用渗透测试工具集,尝试利用被测试系统的主机或网络设备的安全漏洞,跨过系统边界,侵入被测系统主机或网络设备。
从系统内部与测评对象不同网段接入时,测试工具一般接在与被测对象不在同一网段的内部核心交换设备上。
在该点接入扫描器,扫描测试内部各主机和网络设备对被测评单位其它不同网段所暴露的安全漏洞情况。
在该接入点接入网络拓扑发现工具,探测信息系统的网络拓扑情况。
在系统内部与测评对象同一网段内接入时,测试工具一般接在与被测对象在同一网段的交换设备上。
在该点接入扫描器,在本地直接测试各被测主机、网络设备对本地网络暴露的安全漏洞情况。
如果该接入点所在网段有大量用户终端设备,则需用使用非法外联检测设备,测试各终端设备是否出现非法外联情况。
d)结合网络拓扑图,采用图示的方式描述测试工具的接入点、测试目的、测试途径和测试对象等相关内容。
输出/产品:
测评方案的测评内容中关于测评工具接入点部分,《工具测试作业指导书》。
2.2.6测评方案编制
测评方案是等级测评工作实施的基础,指导等级测评工作的现场实施活动。
测评方案应包括但不局限于以下内容:
项目概述、测评对象、测评指标、测评工具的接入点以及单元测评实施等。
输入:
委托测评协议书,填好的调研表格,GB/T22239-2008中相应等级的基本要求,测评方案的测评对象、测评指标、测试工具接入点、测评内容部分。
任务描述:
a)根据委托测评协议书和填好的调研表格,提取项目来源、测评委托单位整体信息化建设情况及被测系统与单位其他系统之间的连接情况等。
b)根据等级保护过程中的等级测评实施要求,罗列测评活动所依据的标准。
c)依据委托测评协议书和被测系统情况,估算现场测评工作量。
工作量可以根据配置检查的节点数量和工具测试的接入点及测试内容等情况进行估算。
d)根据测评项目组成员安排,编制工作安排情况。
e)根据以往测评经验以及被测系统规模,编制具体测评计划,包括现场工作人员的分工和时间安排。
在进行时间计划安排时,应尽量避开被测系统的业务高峰期,避免给被测系统带来影响。
同时,在测评计划中应将具体测评所需条件以及测评需要的配合人员也一并给出,便于测评实施之前双方沟通协调、合理安排。
f)汇总上述内容及方案编制活动的其他任务获取的内容形成测评方案初稿。
g)评审和提交测评方案。
测评方案初稿应通过测评项目组全体成员评审,修改完成后形成提交稿。
然后,测评机构将测评方案提交给测评委托单位签字认可。
输出/产品:
经过评审和确认的测评方案。
2.3方案编制活动的输出文档
方案编制活动的输出文档及其内容如表5所示:
表5方案编制活动的输出文档及其内容
任务
输出文档
文档内容
测评对象确定
测评方案的测评对象部分
被测系统的整体结构、边界、网络区域、重要节点、测评对象等
测评指标确定
测评方案的测评指标部分
被测系统定级结果、测评指标
测评内容确定
测评方案的单元测评实施部分
单元测评实施内容
测评指导书开发
测评指导书
各测评对象的测评内容及方法
测试工具接入点确定
测评方案的测试工具接入点部分
测试工具接入点及测试方法
测评方案编制
测评方案文本
升级会员 