《信息系统安全等级保护基本要求》培训教材.docx
《《信息系统安全等级保护基本要求》培训教材.docx》由会员分享,可在线阅读,更多相关《《信息系统安全等级保护基本要求》培训教材.docx(86页珍藏版)》请在冰点文库上搜索。
《信息系统安全等级保护基本要求》培训教材
信息安全等级保护培训教材
《信息系统安全等级保护基本要求》
公安部
2007年7月
本教材根据《信息系统安全等级保护管理办法》公通字[2007]43号和《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号文件,围绕信息安全等级工作,介绍信息系统安全建设和改造过程中使用的主要标准之一《信息系统安全等级保护基本要求》(以下简称《基本要求》),描述《基本要求》的技术要求分级思路、逐级增强特点以及具体各级安全要求。
通过培训,使得用户能够了解《基本要求》在信息系统安全等级保护中的作用、基本思路和主要内容,以便正确选择合适的安全要求进行信息系统保护。
1概述
1.1背景介绍
2004年,66号文件中指出“信息安全等级保护工作是个庞大的系统工程,关系到国家信息化建设的方方面面,这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施,信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。
”信息安全等级保护工作第一阶段为准备阶段,准备阶段中重要工作之一是“加快制定、完善管理规范和技术标准体系”。
依据此要求,《基本要求》列入了首批需完成的6个标准之一。
1.2主要作用及特点
1.主要作用
《基本要求》对等级保护工作中的安全控制选择、调整、实施等提出规范性要求,根据使用对象不同,其主要作用分为三种:
a)为信息系统建设单位和运营、使用单位提供技术指导
在信息系统的安全保护等级确定后,《基本要求》为信息系统的建设单位和运营、使用单位如何对特定等级的信息系统进行保护提供技术指导。
b)为测评机构提供评估依据
《基本要求》为信息系统主管部门,信息系统运营、使用单位或专门的等级测评机构对信息系统安全保护等级的检测评估提供依据。
c)为职能监管部门提供监督检查依据
《基本要求》为监管部门的监督检查提供依据,用于判断一个特定等级的信息系统是否按照国家要求进行了基本的保护。
2.主要特点
《基本要求》是针对每个等级的信息系统提出相应安全保护要求,“基本”意味着这些要求是针对该等级的信息系统达到基本保护能力而提出的,也就是说,这些要求的实现能够保证系统达到相应等级的基本保护能力,但反过来说,系统达到相应等级的保护能力并不仅仅完全依靠这些安全保护要求。
同时,《基本要求》强调的是“要求”,而不是具体实施方案或作业指导书,《基本要求》给出了系统每一保护方面需达到的要求,至于这种要求采取何种方式实现,不在《基本要求》的描述范围内。
按照《基本要求》进行保护后,信息系统达到一种安全状态,具备了相应等级的保护能力。
1.3与其他标准的关系
从标准间的承接关系上讲:
●《信息系统安全等级保护定级指南》确定出系统等级以及业务信息安全性等级和系统服务安全等级后,需要按照相应等级,根据《基本要求》选择相应等级的安全保护要求进行系统建设实施。
●《信息系统安全等级保护测评准则》是针对《基本要求》的具体控制要求开发的测评要求,旨在强调系统按照《基本要求》进行建设完毕后,检验系统的各项保护要求是否符合相应等级的基本要求。
由上可见,《基本要求》在整个标准体系中起着承上启下的作用。
从技术角度上讲:
《基本要求》的技术部分吸收和借鉴了GB17859:
1999标准,采纳其中的身份鉴别、数据完整性、自主访问控制、强制访问控制、审计、客体重用(改为剩余信息保护)、标记、可信路径等8个安全机制的部分或全部内容,并将这些机制扩展到网络层、主机系统层、应用层和数据层。
(与17859相比没有引入隐蔽信道分析和可信恢复—秦注)
《基本要求》的技术部分弱化了在信息系统中实现安全机制结构化设计及安全机制可信性方面的要求,例如没有提出信息系统的可信恢复,但在4级系统提出了灾难备份与恢复的要求,保证业务连续运行。
《基本要求》没有对隐蔽通道分析的安全机制提出要求。
此外,《基本要求》的管理部分充分借鉴了ISO/IEC17799:
2005等国际上流行的信息安全管理方面的标准,尽量做到全方位的安全管理。
1.4框架结构
《基本要求》在整体框架结构上以三种分类为支撑点,自上而下分别为:
类、控制点和项。
其中,类表示《基本要求》在整体上大的分类,其中技术部分分为:
物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大类,管理部分分为:
安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5大类,一共分为10大类。
控制点表示每个大类下的关键控制点,如物理安全大类中的“物理访问控制”作为一个控制点。
而项则是控制点下的具体要求项,如“机房出入应安排专人负责,控制、鉴别和记录进入的人员。
”
具体框架结构如图所示:
图1-1《基本要求》的框架结构
2描述模型
2.1总体描述
信息系统是颇受诱惑力的被攻击目标。
它们抵抗着来自各方面威胁实体的攻击。
对信息系统实行安全保护的目的就是要对抗系统面临的各种威胁,从而尽量降低由于威胁给系统带来的损失。
能够应对威胁的能力构成了系统的安全保护能力之一——对抗能力。
但在某些情况下,信息系统无法阻挡威胁对自身的破坏时,如果系统具有很好的恢复能力,那么即使遭到破坏,也能在很短的时间内恢复系统原有的状态。
能够在一定时间内恢复系统原有状态的能力构成了系统的另一种安全保护能力——恢复能力。
对抗能力和恢复能力共同形成了信息系统的安全保护能力。
不同级别的信息系统应具备相应等级的安全保护能力,即应该具备不同的对抗能力和恢复能力,以对抗不同的威胁和能够在不同的时间内恢复系统原有的状态。
针对各等级系统应当对抗的安全威胁和应具有的恢复能力,《基本要求》提出各等级的基本安全要求。
基本安全要求包括了基本技术要求和基本管理要求,基本技术要求主要用于对抗威胁和实现技术能力,基本管理要求主要为安全技术实现提供组织、人员、程序等方面的保障。
各等级的基本安全要求,由包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面的基本安全技术措施和包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的基本安全管理措施来实现和保证。
下图表明了《基本要求》的描述模型。
图1-2《基本要求》的描述模型
2.2保护对象
作为保护对象,《管理办法》中将信息系统分为五级,分别为:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
2.3安全保护能力
1.定义
a)对抗能力
能够应对威胁的能力构成了系统的安全保护能力之一—对抗能力。
不同等级系统所应对抗的威胁主要从威胁源(自然、环境、系统、人为)动机(不可抗外力、无意、有意)范围(局部、全局)能力(工具、技术、资源等)四个要素来考虑。
在对威胁进行级别划分前,我们首先解释以上几个要素:
●威胁源——是指任何能够导致非预期的不利事件发生的因素,通常分为自然(如自然灾害)环境(如电力故障)IT系统(如系统故障)和人员(如心怀不满的员工)四类。
●动机——与威胁源和目标有着密切的联系,不同的威胁源对应不同的目标有着不同的动机,通常可分为不可抗外力(如自然灾害)无意的(如员工的疏忽大意)和故意的(如情报机构的信息收集活动)。
●范围——是指威胁潜在的危害范畴,分为局部和整体两种情况;如病毒威胁,有些计算机病毒的传染性较弱,危害范围是有限的;但是蠕虫类病毒则相反,它们可以在网络中以惊人的速度迅速扩散并导致整个网络瘫痪。
●能力——主要是针对威胁源为人的情况,它是衡量攻击成功可能性的主要因素。
能力主要体现在威胁源占有的计算资源的多少、工具的先进程度、人力资源(包括经验)等方面。
通过对威胁主要因素的分析,我们可以组合得到不同等级的威胁:
第一级:
本等级的威胁是1)危害范围为局部的环境或者设备故障、2)无意的员工失误以及3)低能力的渗透攻击等威胁情景。
典型情况如灰尘超标(环境)单个非重要工作站(设备)崩溃等。
第二级:
本等级的威胁主要是1)危害局部的较严重的自然事件、2)具备中等能力、有预设目标的威胁情景。
典型情况如有组织的情报搜集等。
第三级:
本等级的威胁主要是1)危害整体的自然事件、2)具备较高能力、大范围的、有预设目标的渗透攻击。
典型情况如较严重的自然灾害、大型情报组织的情报搜集等。
第四级:
本等级的威胁主要是1)危害整体的严重的自然事件、2)国家级渗透攻击。
典型情况如国家经营,组织精良,有很好的财政资助,从其他具有经济、军事或政治优势的国家收集机密信息等。
b)恢复能力
但在某些情况下,信息系统无法阻挡威胁对自身的破坏时,如果系统具有很好的恢复能力,那么即使遭到破坏,也能在很短的时间内恢复系统原有的状态。
能够在一定时间内恢复系统原有状态的能力构成了另一种安全保护能力——恢复能力。
恢复能力主要从恢复时间和恢复程度上来衡量其不同级别。
恢复时间越短、恢复程度越接近系统正常运行状态,表明恢复能力越高。
第一级:
系统具有基本的数据备份功能,在遭到破坏后能够不限时的恢复部分系统功能。
第二级:
系统具有一定的数据备份功能,在遭到破坏后能够在一段时间内恢复部分功能。
第三级:
系统具有较高的数据备份和系统备份功能,在遭到破坏后能够较快的恢复绝大部分功能。
第四级:
系统具有极高的数据备份和系统备份功能,在遭到破坏后能够迅速恢复所有系统功能。
2.不同等级的安全保护能力
信息系统的安全保护能力包括对抗能力和恢复能力。
不同级别的信息系统应具备相应等级的安全保护能力,即应该具备不同的对抗能力和恢复能力。
将“能力”分级,是基于系统的保护对象不同,其重要程度也不相同,重要程度决定了系统所具有的能力也就有所不同。
一般来说,信息系统越重要,应具有的保护能力就越高。
因为系统越重要,其所伴随的遭到破坏的可能性越大,遭到破坏后的后果越严重,因此需要提高相应的安全保护能力。
不同等级信息系统所具有的保护能力如下:
一级安全保护能力:
应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害,在系统遭到损害后,能够恢复部分功能。
二级安全保护能力:
应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。
三级安全保护能力:
应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。
四级安全保护能力:
应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够迅速恢复所有功能。
2.4安全要求
首先介绍《基本要求》的安全要求的分类。
安全要求从整体上分为技术和管理两大类,其中,技术类安全要求按其保护的侧重点不同,将其下的控制点分为三类:
信息安全类(S类)——关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改。
如,自主访问控制,该控制点主要关注的是防止未授权的访问系统,进而造成数据的修改或泄漏。
至于对保证业务的正常连续运行并没有直接的影响。
服务保证类(A类)——关注的是保护系统连续正常的运行,避免因对系统的未授权修改、破坏而导致系统不可用。
如,数据的备份和恢复,该控制点很好的体现了对业务正常运行的保护。
通过对数据进行备份,在发生安全事件后能够及时的进行恢复,从而保证了业务的正常运行。
通用安全保护类(G类)——既关注保护业务信息的安全性,同时也关注保护系统的连续可用性。
大多数技术类安全要求都属于此类,保护的重点既是为了保证业务能够正常运行,同时数据要安全。
如,物理访问控制,该控制点主要是防止非授权人员物理访问系统主要工作环境,由于进入工作环境可能导致的后果既可能包括系统无法正常运行(如,损坏某台重要服务器),也可能窃取某些重要数据。
因此,它保护的重点二者兼而有之。
技术安全要求按其保护的侧重点不同分为S、A、G三类,如果从另外一个角度考虑,根据信息系统安全的整体结构来看,信息系统安全可从五个层面:
物理、网络、主机系统、应用系统和数据对系统进行保护,因此,技术类安全要求也相应的分为五个层面上的安全要求:
——物理层面安全要求:
主要是从外界环境、基础设施、运行硬件、介质等方面为信息系统的安全运行提供基本的后台支持和保证;
——网络层面安全要求:
为信息系统能够在安全的网络环境中运行提供支持,确保网络系统安全运行,提供有效的网络服务;
——主机层面安全要求:
在物理、网络层面安全的情况下,提供安全的操作系统和安全的数据库管理系统,以实现操作系统和数据库管理系统的安全运行;
——应用层面安全要求:
在物理、网络、系统等层面安全的支持下,实现用户安全需求所确定的安全目标;
——数据及备份恢复层面安全要求:
全面关注信息系统中存储、传输、处理等过程的数据的安全性。
管理类安全要求主要是围绕信息系统整个生命周期全过程而提出的,均为G类要求。
信息系统的生命周期主要分为五个阶段:
初始阶段、采购/开发阶段、实施阶段、运行维护阶段和废弃阶段。
管理类安全要求正是针对这五个阶段的不同安全活动提出的,分为:
安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五个方面。
3逐级增强的特点
3.1增强原则
不同级别的信息系统,其应该具备的安全保护能力不同,也就是对抗能力和恢复能力不同;安全保护能力不同意味着能够应对的威胁不同,较高级别的系统应该能够应对更多的威胁;应对威胁将通过技术措施和管理措施来实现,应对同一个威胁可以有不同强度和数量的措施,较高级别的系统应考虑更为周密的应对措施。
不同级别的信息系统基本安全要求的考虑思路和增强原则如下图所示:
图1-3《基本要求》逐级的考虑思路和增强原则
3.2总体描述
不同等级的信息系统安全保护能力不同,故其安全要求也不同,从宏观来看,各个级别的安全要求逐级增强,表现为:
二级基本要求:
在一级基本要求的基础上,技术方面,二级要求在控制点上增加了安全审计、边界完整性检查、入侵防范、资源控制以及通信保密性等控制点。
身份鉴别则要求在系统的整个生命周期,每一个用户具有唯一标识,使用户对对自己的行为负责,具有可查性。
同时,要求访问控制具有更细的访问控制粒度等。
管理方面,增加了审核和检查、管理制度的评审和修订、人员考核、密码管理、变更管理和应急预案管理等控制点。
要求制定信息安全工作的总体方针和安全策略,设立安全主管、安全管理各个方面的负责人岗位,健全各项安全管理的规章制度,对各类人员进行不同层次要求的安全培训等,从而确保系统所设置的各种安全功能发挥其应有的作用。
三级基本要求:
在二级基本要求的基础上,技术方面,在控制点上增加了网络恶意代码防范、剩余信息保护、抗抵赖等。
同时,对身份鉴别、访问控制、安全审计、数据完整性、数据保密性等均有更进一步的要求,如访问控制增加了对重要信息资源设置敏感标记等。
管理方面,增加了系统备案、等级测评、监控管理和安全管理中心等控制点,同时要求设置必要的安全管理职能部门,加强了安全管理制度的评审以及人员安全的管理,对系统建设过程加强了质量管理。
四级基本要求:
在三级基本要求的基础上,技术方面,在控制点上增加了安全标记、可信路径,同时,对身份鉴别、访问控制、安全审计、数据完整性、数据保密性等均有更进一步的要求,如要求访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表、记录和字段级,建立异地灾难备份中心等,对部分功能进行了限制(如禁止拨号访问控制)。
管理方面,没有增加控制点,在安全管理制度制订和发布、评审和修订等某些管理要求上要求项增加,强度增强。
具体从微观来看,安全要求逐级增强主要表现在三个方面:
控制点增加、同一控制点的要求项增加、同一要求项强度增强。
3.3控制点增加
控制点增加,表明对系统的关注点增加,因而安全要求的级别差异就体现出来。
比较突出的控制点增加,如,二级控制点增加了安全审计,三级控制点增加了剩余信息保护。
每级系统在每一层面上控制点的分布见下表:
表1《基本要求》控制点的分布
安全要求类
层面
一级
二级
三级
四级
技术要求
物理安全
7
10
10
10
网络安全
3
6
7
7
主机安全
4
6
7
9
应用安全
4
7
9
11
数据安全及备份恢复
2
3
3
3
管理要求
安全管理制度
2
3
3
3
安全管理机构
4
5
5
5
人员安全管理
4
5
5
5
系统建设管理
9
9
11
11
系统运维管理
9
12
13
13
合计
/
48
66
73
77
级差
/
/
18
7
4
二级在控制点上的增加较为显著。
3.4要求项增加
由于控制点是有限的,特别在高级别上,如三、四级安全要求(两者之间控制点的变化只有一处),单靠控制点增加来体现安全要求逐级增强的特点是很难的。
必须将控制点之下的安全要求项目考虑其中。
要求项目的增加,就可以很好的体现了逐级增强的特点。
同一控制点,具体的安全项目数量增加,表明对该控制点的要求更细化,更严格,从而表现为该控制点的强度增强。
如,对于控制点身份鉴别,在二级只要求标识唯一性、鉴别信息复杂性以及登录失败处理等要求;而在三级,对该控制点增加了组合鉴别方式等。
该控制点的强度得到增强。
每级系统在每一层面上要求项的分布见下表:
表2《基本要求》要求项在各层面的分布
安全要求类
层面
一级
二级
三级
四级
技术要求
物理安全
9
19
32
33
网络安全
9
18
33
32
主机安全
6
19
32
36
应用安全
7
19
31
36
数据安全及备份恢复
2
4
8
11
管理要求
安全管理制度
3
7
11
14
安全管理机构
4
9
20
20
人员安全管理
7
11
16
18
系统建设管理
20
28
45
48
系统运维管理
18
41
62
70
合计
/
85
175
290
318
级差
/
/
90
115
28
可见,在二级与一级之间,三级与二级之间要求项的增加比较显著,尤其是三、二级之间,尽管控制点的增加不多,但在具体的控制点上增加了要求项,故整体的级差增强较显著。
3.5控制强度增强
同控制点类似,安全要求项目也不能无限制的增加,对于同一安全要求项(这里的“同一”,指的是要求的方面是相同的,而不是具体的要求内容),如果在要求的力度上加强,同样也能够反映出级别的差异。
安全项目强度的增强表现为:
●范围增大:
如,对主机系统安全的“安全审计”,二级只要求“审计范围应覆盖到服务器上的每个操作系统用户和数据库用户”;而三级则在对象的范围上发生了变化,为“审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;“。
覆盖范围不再仅指服务器,而是扩大到服务器和重要客户终端了,表明了该要求项强度的增强。
●要求细化:
如,人员安全管理中的“安全意识教育和培训”,二级要求“应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训;”,而三级在对培训计划进行了进一步的细化并要求应有书面文件,为“应对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训”,培训计划有了针对性,更符合各个岗位人员的实际需要。
●粒度细化:
如,网络安全中的“拨号访问控制”,一级要求“控制粒度为用户组”,而二级要求则将控制粒度细化,为“控制粒度为单个用户”。
由“用户组”到“单个用户”,粒度上的细化,同样也增强了要求的强度。
可见,安全要求的逐级增强并不是无规律可循,而是按照“层层剥开”的模式,由控制点的增加到要求项的增加,进而是要求项的强度增强。
三者综合体现了不同等级的安全要求的级差。
4各级安全要求
4.1技术要求
4.1.1物理安全
物理安全保护的目的主要是使存放计算机、网络设备的机房以及信息系统的设备和存储数据的介质等免受物理环境、自然灾难以及人为操作失误和恶意操作等各种威胁所产生的攻击。
物理安全是防护信息系统安全的最底层,缺乏物理安全,其他任何安全措施都是毫无意义的。
物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。
具体包括:
物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等十个控制点。
不同等级的基本要求在物理安全方面所体现的不同如第3.1节和3.2节所描述的一样,在三个方面都有所体现。
一级物理安全要求:
主要要求对物理环境进行基本的防护,对出入进行基本控制,环境安全能够对自然威胁进行基本的防护,电力则要求提供供电电压的正常。
二级物理安全要求:
对物理安全进行了进一步的防护,不仅对出入进行基本的控制,对进入后的活动也要进行控制;物理环境方面,则加强了各方面的防护,采取更细的要求来多方面进行防护。
三级物理安全要求:
对出入加强了控制,做到人、电子设备共同监控;物理环境方面,进一步采取各种控制措施来进行防护。
如,防火要求,不仅要求自动消防系统,而且要求区域隔离防火,建筑材料防火等方面,将防火的范围增大,从而使火灾发生的几率和损失降低。
四级物理安全要求:
对机房出入的要求进一步增强,要求多道电子设备监控;物理环境方面,要求采用一定的防护设备进行防护,如静电消除装置等。
下表表明了物理安全在控制点上逐级变化的特点:
表3物理安全层面控制点的逐级变化
控制点
一级
二级
三级
四级
物理位置的选择
*
*
*
物理访问控制
*
*
*
*
防盗窃和防破坏
*
*
*
*
防雷击
*
*
*
*
防火
*
*
*
*
防水和防潮
*
*
*
*
防静电
*
*
*
温湿度控制
*
*
*
*
电力供应
*
*
*
*
电磁防护
*
*
*
合计
7
10
10
10
注:
*代表此类控制点在该级物理安全中有要求,空格则表示无此类要求。
(以下同)
另外两个特点(要求项增加和要求项强度增强)将在以下控制点描述时具体展开。
1、物理位置的选择
物理位置的选择,主要是在初步选择系统物理运行环境时进行考虑。
物理位置的正确选择是保证系统能够在安全的物理环境中运行的前提,它在一定程度上决定了面临的自然灾难以及可能的环境威胁。
譬如,在我国南方地区,夏季多雨水,雷击和洪灾的发生可能性都很大,地理位置决定了该地区的系统必会遭受这类的威胁。
如果没有正确的选择物理位置,必然会造成后期为保护物理环境而投入大量资金、设备,甚至无法弥补。
因
升级会员 