信息安全等级保护培训教材精.docx
《信息安全等级保护培训教材精.docx》由会员分享,可在线阅读,更多相关《信息安全等级保护培训教材精.docx(22页珍藏版)》请在冰点文库上搜索。
信息安全等级保护培训教材精
信息安全等级保护培训教材
等级保护实施主要技术环节说明
公安部
2007年7月
目录
1定级阶段3
1.1关于行业的定级指导意见3
1.2关于确定定级对象6
1.2.1定级对象的三个条件6
1.2.2定级对象识别7
1.2.3确定定级对象信息系统边界和边界设备9
1.3关于定级过程10
2系统建设和改建阶段12
2.1安全需求分析方法12
2.1.1选择、调整基本安全要求13
2.1.2明确系统特殊安全需求15
2.2新建系统的安全等级保护设计方案16
2.2.1总体安全设计方法17
2.2.2总体安全设计方案大纲21
2.2.3设计实施方案21
2.3系统改建实施方案设计23
2.3.1确定系统改建的安全需求23
2.3.2差距原因分析24
2.3.3分类处理的改建措施24
2.3.4改建措施详细设计25
根据《信息安全等级保护管理办法》(以下简称《管理办法》),信息安全等级保护的实施工作包括信息系统定级与评审、信息系统安全建设或者改建、对信息系统定期的等级测评与安全自查、办理备案手续并提供相关材料、接受公安机关、国家指定的专门部门监督检查、选择使用符合条件的信息安全产品、选择符合条件的等级保护测评机构等,其中涉及信息系统运营使用单位/主管部门需要作较多技术工作的环节是系统定级和系统建设或改建。
本教材主要对这两个阶段工作中可能涉及的特殊概念,可能采用的技术方法和步骤等方面给出说明。
1定级阶段
1.1关于行业的定级指导意见
根据《管理办法》第十条:
信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。
有主管部门的,应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
根据《关于开展全国重要信息系统安全等级保护定级工作的通知》(以下简称《定级通知》)要求:
各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的指导意见。
与此相对应,在《定级指南》中提出“各行业可根据本行业业务特点,分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系,从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。
”
每个行业在国家政治、经济、军事、外交等活动中的职能不同,信息系统在行业内所发挥的作用对行业职能影响不同,信息和信息系统被破坏后对等级保护客体的影响也有所不同。
对本行业职能的认识,行业主管部门一般比信息系统的运营、使用单位具有更高的站位、更宏观的视野,从而可以做出更准确的判断,因此需要行业主管部门对本行业哪些业务系统的等级保护客体是国家安全、哪些是社会秩序、公共利益、哪些是公民、法人和其他组织的合法权益给出基本判断,从而指导本行信息系统的不同的运营使用单位作出一致的判断。
以下概念说明供行业主管部门参考:
1.关于国家安全
随着信息化的不断推进,我国国家安全和经济生活已经极大地依赖于信息技术和信息基础设施,尤其是国防、电力、银行、政府机构、电信系统以及运输系统等重要基础设施一旦受到破坏,会对国家安全构成严重威胁。
因此在考虑信息系统的信息和服务安全被破坏后,可能对国家安全的影响时,也应从多方面加以考虑。
举例来说,涉及影响国家安全事项的信息系统可能包括:
重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等属于影响国家政权稳固和国防实力的信息系统;广播、电视、网络等重要新闻媒体的发布或播出系统,其受到非法控制可能引发影响国家统一、民族团结和社会安定的重大事件;处理国家对外活动信息的信息系统;处理国家重要安全保卫工作信息的信息系统和重大刑事案件的侦查系统;尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信息系统,以及电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统等。
2.关于社会秩序
完善社会管理体系,维护良好的社会秩序是建设社会主义和谐社会的重要任务之一,借助信息化手段提高国家机关的社会管理和公共服务水平,提高经济活动效率,更方便地从事科研、生产、生活活动正是维护良好社会秩序的表现。
可能影响到社会秩序的信息系统非常多,包括各级政府机构的社会管理和公共服务系统,如财政、金融、工商、税务、公检法、海关、社保等领域的信息系统,也包括教育、科研机构的工作系统,以及所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统。
3.关于公共利益
公共利益所包括的范围是非常宽泛的,既可能是经济利益,也可能是包括教育、卫生、环境等各个方面的利益。
借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方面,例如:
公共通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施、公共服务设施等。
公共利益与社会秩序密切相关,社会秩序的破坏一般会造成对公共利益的损害。
4.关于公民、法人和其他组织的合法权益
《定级指南》中的公民、法人和其他组织的合法权益则是指拥有信息系统的个体或确定组织所享有的社会权力和利益。
它不同于公共利益,选择客体为公共利益是指受侵害的对象是“不特定的社会成员”,而选择公民、法人和其他组织的合法权益时,受侵害的对象是明确的,就是拥有信息系统的个体或某个单位。
为确定信息系统安全保护等级,除了要确定等级保护客体外,还必须确定信息系统受到破坏后对客体的侵害程度,因此在《定级指南》中还提出“由于各行业信息系统所处理的信息种类和系统服务特点各不相同,信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同,各行业可根据本行业信息特点和系统服务特点,制定危害程度的综合评定方法,并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义。
”
行业主管部门需要根据本行业特点,确定对客体的侵害程度,对于《定级指南》给出了以下几种危害后果具体说明如下:
-影响行使工作职能,工作职能包括国家管理职能、公共管理职能、公共服务职能等国家或社会方面的职能。
-导致业务能力下降,下降的表现形式可能包括业务范围的减少、业务处理性能的下降、可服务的用户数量的下降以及其他各种业务指标的下降,每个行业务都有本行业关注的业务指标。
例如电力行业关注发电量和用电量,税务行业关注税费收入,银行业关注存款额、贷款额、交易量等,证券经纪行业关注股民数和交易额。
-引起法律纠纷是比较严重的影响,在较轻的程度时可能表现为投诉、索赔、媒体曝光等形式。
-导致财产损失,包括系统资产被破坏的直接损失、业务量下降带来的损失、直接的资金损失、为客户索赔所支付的资金等,以及由于信誉下降、单位形象降低、客户关系损失等导致的间接经济损失。
-直接造成人员伤亡,例如医疗服务系统,公安行业的某些系统等。
-造成社会不良影响,包括在社会风气、执政信心等方面的影响。
上述几类影响不一定是独立的,有时也会是相关的,例如人员伤亡可能引发法律纠纷,进而可能造成资金的赔偿,业务能力下降既可能影响管理职能的履行,同时也可能造成单位收入的下降。
在上述危害后果中,各行业的某个类型的信息系统一般主要关注其中的一种后果,例如银行系统一般关注业务能力下降的影响,党政系统主要关注管理职能的履行等,而将其他后果作为参考。
行业主管部门通过梳理本行业信息系统的现状,通过对这些不同类型、不同程度后果的定量、半定量描述,给出对等级保护客体的一般损害、严重损害和特别严重损害的指导性意见,以便本行业的信息系统运营使用单位可以参照执行,确定本单位系统的安全保护等级,只有这样,一个行业内确定的安全保护等级才具有较好的一致性
1.2关于确定定级对象
1.2.1定级对象的三个条件
定级工作是信息系统等级保护工作的起点,定级结果直接决定了后续安全保障工作的开展。
在定级之前,首先必须明确定级的对象,即,对哪个信息系统进行定级。
《定级指南》中指出,作为定级对象的信息系统应当具备以下三个条件:
a)具有唯一确定的安全责任单位
作为定级对象的信息系统应能够唯一地确定其安全责任单位,这个安全责任单位就是负责等级保护工作部署、实施的单位,也是完成等级保护备案和接受监督检查的直接责任单位。
如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,而其上级部门仅负有监督、指导责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。
b)具有信息系统的基本要素
作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。
应避免将某个单一的系统组件,如单台的服务器、终端或网络设备等作为定级对象。
单台的设备或由单台设备构成的安全域本身无法实现所要求的信息系统保护,不能抵御来自内部或外部的攻击,这样的设备或区域必然依靠其所在环境所提供的网络安全和边界防护。
因此作为定级对象的信息系统应当是包括信息系统的核心资产——保护目标,以及对保护目标提供保护的所有相关设备和人员——保护机制,只有涵盖了这两部分,才能使信息系统实现其应用目标。
c)承载相对独立的业务应用
定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流程、部分业务功能独立,同时与其他信息系统的业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。
“相对独立”的业务应用并不意味着整个业务流程,可以使完整的业务流程的一部分。
承载“相对独立”业务应用的信息系统在一个单位的整个信息系统中像一个子系统,其业务功能是相对独立的并明显区别于其他系统的,与其他系统有明确的业务边界和信息交换方式。
上述三个条件给出定级对象确定的原则,在这个原则的基础上,针对不同规模、不同复杂程度、不同隶属关系的信息系统,运营使用单位和服务机构人员可以寻找适合自身的划分方法,以下给出的定级对象的识别方法和定级过程的操作方法已经在某些信息系统中得到认可,作为例子,供运营使用单位和有关各方参考。
1.2.2定级对象识别
一般来讲单位信息系统可以划分为几个定级对象,如何划分系统是定级之前的主要问题。
信息系统的划分没有绝对的对与错,只有合理与不合理,合理地划分信息系统有利于信息系统的保护及安全规划,反之可能给将来的应用和安全保护带来不便,又可能需要重新进行信息系统的划分。
由于信息系统的多样性,不同的信息系统在划分过程中所侧重考虑的划分依据会有所不同。
通常,在信息系统划分过程中,应当结合信息系统的现状,从信息系统的管理机构、业务特点或物理位置等几个方面考虑对信息系统进行划分,当然也可以根据信息系统的实际情况,选择其他的划分依据,只要最终划分结果合理就可以。
a)安全责任单位
依据安全责任单位的不同,划分信息系统。
如果信息系统由不同的单位负责运行维护和管理,或者说信息系统的安全责任分属不同机构,则可以根据安全责任单位的不同划分成不同的信息系统。
一个运行在局域网的信息系统,其安全责任单位一般只有一个,但对一个跨不同地域运行的信息系统来说,就可能存在不同的安全责任单位,此时可以考虑根据不同地域的信息系统的安全责任单位的不同,划分出不同的信息系统。
在一个单位中,信息系统的业务管理和运行维护可能由不同部门负责,例如科技部门或信息中心负责信息系统所有设备和设施的运行、维护和管理,各业务部门负责其中的业务流程的制定和业务操作,信息系统的安全管理责任不仅指在信息系统的运行、维护和管理方面的责任,承担安全管理责任的不应是科技部门,而应当是该单位。
一个运行在局域网的信息系统,其管理边界比较明确,但对一个跨不同地域运行的信息系统,其管理边界可能有不同情况:
如果不同地域运行的信息系统分属不同单位(如上级单位和下级单位)负责运行和管理,上下级单位的管理边界为本地的信息系统,则该信息系统可以划分为两个信息系统;如果不同地域运行的信息系统均由其上级单位直接负责运行和管理,运维人员由上级单位指派,安全责任由上级单位负责,则上级单位的管理边界应包括本地和远程的运行环境。
b)业务类型和业务重要性
根据业务的类型、功能、阶段的不同,对信息系统进行划分,不同类型的业务之间会存在重要程度、环境、用户数量等方面的不同,这些不同会带来安全需求和受破坏后的影响程度的差异,例如,一个是以信息处理为主的系统,其重要性体现在信息的保密性,而另一个是以业务处理为主的系统,其重要性体现在其所提供服务的连续性,因此,可以按照业务类型的不同划分为不同的信息系统。
又比如,在整个业务流程中,核心处理系统的功能重要性可能远大于终端处理系统,有需要时,可以将其划分为不同的信息系统。
归结起来,以下几种情况可能划分为不同等级的信息系统:
●可能涉及不同客体的系统。
例如对内服务与对外运营的业务系统,对内服务的办公系统,一般来说其中的信息和提供的服务是面向本单位的,涉及到的等级保护客体一般是本单位,而对外运营的业务系统往往关系到其他单位、个人或面向社会,因此这两类业务可能涉及不同的客体,可能具有不同的安全保护等级,可以考虑划分为不同的信息系统。
又比如处理涉及国家秘密信息的信息系统与处理一般单位敏感信息的信息系统应分开。
●可能对客体造成不同程度损害的系统。
例如全国大集中系统数据中心的数据量和服务范围都远大于各省级节点和市级节点,其受到破坏后的损害程度和影响范围也有很大差别,可能具有不同的安全等级,可以考虑划分为不同的信息系统。
●处理不同类型业务的系统。
c)分析物理位置的差异
根据物理位置的不同,对信息系统进行划分。
物理位置的不同,信息系统面临的安全威胁就不同,不同物理位置之间通信信道的不可信,使不同物理位置的信息系统也不能视为可以互相访问的一个安全域,即使等级相同可能也需要划分为不同的信息系统分别加以保护,因此,物理位置也可以作为信息系统划分的考虑因素之一。
在进行信息系统的划分过程中,进行分析,可以选择上述三个方面中的一个方面因素作为划分的依据,也可以综合几个方面因素作为划分的依据。
同时,还要结合信息系统的现状,避免由于信息系统的划分而引起大量的网络改造和重复建设工作,影响原有系统的正常运行。
一般单位的信息系统建设和网络布局,一般都会或多或少考虑系统的特点、业务重要性及不同系统之间的关系,进行信息系统的等级划分应尽可能以现有网络条件为基础进行划分,以免引起不必要的网络改造和建设工作,影响原有系统的业务运行。
例如政府机构内部一般由三个网络区域组成,政务内网、政务外网和互联网接入网,三个网络相对独立,可以先以已有的网络边界将单位的整个系统划分为三个大的信息系统,然后再分析各信息系统内部的业务特点、业务重要性及不同系统之间的关系,如果内部还存在相对独立的网络结构,业务边界也比较清晰,也可以再进一步将该信息系统细分为更小规模的信息系统。
此外,有些信息系统中不同业务的重要程度虽然会有所差异,但是由于业务之间联系紧密,不容易拆分,可以作为一个信息系统按照同样级别保护。
但是,如果其中某一个业务面临风险或威胁较大,比如与互联网相连,可能会影响到其它的业务,就应当将其从该信息系统中分离出来,单独作为一个信息系统而实施保护。
经过合理划分,一个单位或机构的信息系统最终可能会划分为不同等级的多个信息系统。
同时,通过在信息系统划分阶段对各种系统服务业务信息、业务流程的深入分析,明确了各个信息系统之间的边界和逻辑关系以及他们各自的安全需求,有利于信息系统安全保护的实施。
1.2.3确定定级对象信息系统边界和边界设备
定级对象确定后就需要确定定级对象信息系统的边界和边界设备。
由于定级对象信息系统有可能是单位信息系统的一部分,如果该信息系统与其他系统在网络上是独立的,没有设备共用情况,边界则容易确定,但当不同信息系统之间存在共用设备时,应加以分析。
由于信息系统的边界保护一般在物理边界或网络边界上实现,系统边界不应出现在服务器内部,服务器共用的系统一般归入同一个信息系统,因此不同信息系统的共用设备一般是网络/边界设备或终端设备。
两个信息系统边界存在共用设备时,共用设备的安全保护等级按两个信息系统安全保护等级较高者确定。
例如,一个2级系统和一个3级系统之间有一个防火墙或两个系统共用一个核心交换机,此时防火墙和交换机可以作为两个系统的边界设备,但应满足3级系统的要求。
终端设备一般包括系统管理终端(如服务器和网络设备的管理终端,业务管理终端,安全设备管理终端等),内部用户终端(如办公系统用户的终端,银行系统的业务终端、移动用户终端等)和外部用户终端(如网银用户终端,清算系统中的商业银行终端,证券交易系统的交易客户等)。
对于外部用户终端,由于用户和设备一般都不在信息系统的管理边界内,这些终端设备不在信息系统的边界范围内。
信息系统的管理终端是与相应被管理设备相对应的,服务器、网络设备及安全设备等属于哪个系统,终端就应归在哪个信息系统中。
内部用户终端就比较复杂,内部用户终端往往与多个系统相连,当信息系统进行等级化保护后,应尽可能为不同的信息系统分配不共用的终端设备,以免在终端处形成不同等级信息系统的边界。
但如果无法做到不同等级的信息系统使用不同的终端设备,则应将终端设备划分为其他的信息系统,并在服务器与内部用户终端之间建立边界保护,对终端通过身份鉴别和访问控制等措施加以控制。
处理涉密信息的终端必须划分到相应的信息系统中,且不能与非涉密系统共用终端。
1.3关于定级过程
信息系统定级既可以在新系统建设之初进行,也可在已建成系统中进行。
对于新建系统,尽管信息系统尚未建成,但信息系统的运营使用者应首先分析该信息系统处理哪几种主要业务,预计处理的业务信息和服务安全被破坏所侵害的客体、以及根据可能的对信息系统的损害方式判断可能的客体侵害程度等基本信息,确定信息系统的安全保护等级。
对于已建系统,可以通过系统基本情况调查、调查结果分析、确定等级,形成定级报告等过程完成。
通过定级调查,可以了解单位信息系统的全貌,了解定级对象信息系统与单位其他信息系统的关系。
根据用户需求或工作需要,定级调查活动既可以针对单位整个信息系统进行,也可在用户指定的范围内进行。
1.识别单位基本信息
调查了解对目标系统负有安全责任的单位的单位性质、隶属关系、所属行业、业务范围、地理位置等基本情况,以及其上级主管机构(如果有)的信息。
了解单位基本信息有助于判断单位的职能特点,单位所在行业及单位在行业所处的地位和所用,由此判断单位主要信息系统的宏观定位。
2.识别管理框架
调查了解定级对象信息系统所在单位的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责。
了解信息系统的管理、使用、运维的责任部门,特别是当该单位的信息系统存在分布于不同的物理区域的情况时,应了解不同区域系统运行的安全管理责任。
安全管理的责任单位就是等级保护备案工作的责任单位。
了解管理框架还有利于将来对整个单位制定等级保护管理框架及单个定级对象等级管理策略。
3.识别业务种类、流程和服务
调查了解定级对象信息系统内部处理多少种业务,各项业务具体要完成的工作内容、服务目标和业务流程等。
了解这些业务与单位职能的关联,单位对定级对象信息系统完成业务使命的期待和依赖程度,由此判断该信息系统在单位的作用和影响程度。
调查还应关注每个信息系统的业务流,以及不同信息系统之间的业务关系,因为不同信息系统之间的业务关系和数据关系表明其他信息系统对该信息系统的服务的关联和依赖。
应重点了解定级对象信息系统中不同业务系统提供的服务在影响履行单位职能方面具体方式和程度,影响的区域范围、用户人数、业务量的具体数据以及对本单位以外机构或个人的影响等方面。
这些具体数据即可以为主管部门制定定级指导意见提供参照,也可以作为主管部门审批定级结果的重要依据。
4.识别信息
调查了解定级对象信息系统所处理的信息,了解单位对信息的三个安全属性的需求,了解不同业务数据在其保密性、完整性和可用性被破坏后在单位职能、单位资金、单位信誉、人身安全等方面可能对国家、社会、本单位造成的影响,对影响程度的描述应尽可能量化。
根据系统不同业务数据可能是用户数据、业务处理数据、业务过程记录(流水)数据、系统控制数据或文件等。
了解数据信息还应关注信息系统的数据流,以及不同信息系统之间的数据交换或共享关系。
5.识别网络结构和边界
调查了解定级对象信息系统所在单位的整体网络状况和安全防护情况,包括网络覆盖范围(全国、全省或本地区),网络的构成(广域网、城域网或局域网等),内部网段/VLAN划分,网段/VLAN划分与系统的关系,与上级单位、下级单位、外部用户、合作单位等的网络连接方式,与互联网的连接方式。
目的是了解定级对象信息系统自身网络在单位整个网络中的位置,该信息系统所处的单位内部网络环境和外部环境特点,以及该信息系统的网络安全保护与单位内部网络环境的安全保护的关系。
6.识别主要的软硬件设备
调查了解与定级对象信息系统相关的服务器、网络、终端、存储设备以及安全设备等,设备所在网段,在系统中的功能和作用。
信息系统定级本应仅与信息系统有关,与具体设备没有多大关系,但由于在划分信息系统时,不可避免地会涉及到设备共用问题,调查设备的位置和作用主要就是发现不同信息系统在设备使用方面的共用程度。
7.识别用户类型和分布
调查了解各系统的管理用户和一般用户,内部用户和外部用户,本地用户和远程用户等类型,了解用户或用户群的数量分布,各类用户可访问的数据信息类型和操作权限。
了解用户类型和数量,有助于判断系统服务中断或系统信息被破坏可能影响的范围和程度。
8.形成定级结果
定级人员需要将定级对象信息系统中的不同类重要信息分别分析其安全性受到破坏后所侵害的客体及对客体的侵害程度,取其中最高结果作为业务信息安全保护等级。
再将定级对象信息系统中的不同类重要系统服务分别分析其受到破坏后所侵害的客体及对客体的侵害程度,取其中最高结果作为业务服务安全保护等级。
2系统建设和改建阶段
根据《管理办法》第十一条信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。
如何根据等级保护的管理规范和技术标准对新系统的实施建设和对原有系统实施改建工作是每个单位面临的工作,本章在《信息系统安全等级保护实施指南》中的安全规划设计阶段主要内容的基础上,从安全需求分析方法、系统改建方案设计方法以及安全管理制度制定方法几个方面,说明如何根据《管理办法》中的要求开展这方面工作。
2.1安全需求分析方法
对一个正在运行的信息系统确定定级之后,运行使用单位最关心的是系统当前的保护状况是否满足等级保护的基本安全要求。
产生该问题的原因是,等级保护作为政策性要求在系统建设之初并没有作为安全需求加以考虑,因此系统的安全保障体系或安全保护措施只能满足本部门、本单位的安全需求。
信息系统定级之后就会发现,对于业务重要性相同的不同行业或地区的信息系统,由于建设年代不同、所在地域差异、设计人员和实施人员的水平差距等都会造成其信息系统的保护水平参差不齐。
通过等级保护工作的推进,使信息系统可以按照等级保护相应等级的要求进行设计、规划和实施,将来源于国家政策性要求、机构使命性要求、系统可能面临的环境和影响以及机构自身的需求相结合作为信息系统的安全需求,使具有相同安全保护等级的信息系统能够达到相应等级的基本的保护水平和保护能力。
本节重点说明如何为信息系统确定既满足等级保护要求,又满足系统自身需求的安全需求分析方法。
2.1.1选择、调整基本安全要求
在根
升级会员 