信息安全等級保護

1、 1. 信息安全等級保護信息安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作，在中國、美國等很多國家都存在的一種信息安全領域的工作。在中國，信息安全等級保護廣義上為涉與到該工作的標準、產品、系統(tǒng)、信息等均依據(jù)等級保護思想的安全工作；狹義上稱為的一般指信息系統(tǒng)安全等級保護，是指對國家安全、法人和其他組織與公民的專有信息以與公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置的綜合性工作。國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)和技術標準，組織公民、法人和其他組織對信息系統(tǒng)分

2、等級實行安全保護，對等級保護工作的實施進行監(jiān)督、管理。公安機關負責信息安全等級保護工作的監(jiān)督、檢查、指導。國家工作部門負責等級保護工作中有關工作的監(jiān)督、檢查、指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監(jiān)督、檢查、指導。涉與其他職能部門管轄圍的事項，由有關職能部門依照國家法律法規(guī)的規(guī)定進行管理。國務院信息化工作辦公室與地方信息化領導小組辦事機構負責等級保護工作的部門間協(xié)調。2. 信息安全等級保護工作容信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。如圖1所示為具體流程。系統(tǒng)定級。信息系統(tǒng)運營使用單位按照信息系統(tǒng)信息安全等級保護定級指南，確定

3、信息系統(tǒng)安全等級。有主管部門的，報主管部門審核批準。在申報系統(tǒng)新建、改建、擴建立項時須同時向立項審批部門提交定級報告。系統(tǒng)備案。已運行的系統(tǒng)在安全保護等級確定后30日內，由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。新建的系統(tǒng)，在通過立項申請后30日內辦理。公安機關審核材料不齊 定級不準材料齊、定級準頒發(fā)證書。公安機關頒發(fā)系統(tǒng)等級保護備案證書。分析安全需求。對照等保有關規(guī)定和標準分析系統(tǒng)安全建設整改需求，可委托安全服務機構、等保技術支持單位分析。對于整改項目，還可委托測評機構通過等保測評、風險評估等方法分析整改需求。建設整改。根據(jù)需求制訂建設整改方案，按照國家相關規(guī)范和技術標準

4、，使用符合國家有關規(guī)定，滿足系統(tǒng)等級需求產品，開展信息系統(tǒng)安全建設整改。等保測評。選擇第三方測評機構進行測評。其中對于新建系統(tǒng)可在試運行階段進行測評。 不合格 合格提交報告。系統(tǒng)運營、使用單位向地級以上市公安機關報測評報告。項目驗收文檔中也須含有測評報告。等保測評。定期選擇第三方測評機構進行測評。三級系統(tǒng)每年至少一次，四級系統(tǒng)每半年至少一次。合格 不合格圖12.1 信息安全保護等級劃分國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級應當根據(jù)信息系統(tǒng)在國家安全、經濟建設、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以與公民、法人和其他組織的合法權

5、益的危害程度等因素確定。信息安全等級保護信息安全等級保護管理辦法規(guī)定：信息系統(tǒng)的安全保護等級分為以下五級：第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。計算機信息系統(tǒng)

6、安全保護等級劃分：第一級：用戶自主保護級第二級：系統(tǒng)審計保護級第三級：安全標記保護級第四級：結構化保護級第五級：訪問驗證保護級3. 信息安全等級保護測評基本概念信息系統(tǒng)安全等級測評是驗證信息系統(tǒng)是否滿足相應安全保護等級的評估過程。3.1 等級測評工作等級測評工作是指測評機構依據(jù)國家信息安全等級保護制度規(guī)定，按照有關管理規(guī)和技術標準，對非涉與國家秘密信息系統(tǒng)安全等級保護狀況進行檢測評估的活動。通過信息安全等級評測機構對已完成的等級保護建設的信息系統(tǒng)定期進行等級測評，確保信息系統(tǒng)的安全保護措施符合相應等級的安全要求。3.2 等級測評機構等級測評機構是指具備本規(guī)的基本條件，經能力評估和審核，由省級以

7、上信息安全等級保護工作協(xié)調小組辦公室（等保辦）推薦，從事等級測評工作的機構。ü 等級保護測評的執(zhí)行主體應當是具有相關資質的、獨立的測評服務機構。ü 只有獨立的第三方，才能保證測評工作的客觀性和公正性。ü 開展等級保護測評機構通常符合GB/T15481，通過計量認證和實驗室認可。ü 通過檢查機構認可。3.2 等級保護測評流程1）資料審查階段：對被測用戶提交的申請，進行文檔的形式化審查，確認符合測評要求。2）核查測試階段：用戶進行充分溝通，指定測評計劃和測試方案，并實施現(xiàn)場測評，形成測評記錄。3）綜合評估階段：整理測評數(shù)據(jù)，對用戶資料和測評結果進行綜合分析，

8、形成測評報告。召開專家委員會，對測評報告進行評審，最后由測評中心領導批準，出具等級保護測評報告。具體流程如圖2所示。圖23.2.1 測評準備活動測評準備活動的主要任務包括：項目啟動、信息收集和分析、工具和表單準備。這三項任務之間存在工作的先后次序，項目啟動任務完成之后才能開始信息收集和分析任務?？刹捎萌鐖D3所示的工作流程：圖33.2.2 方案編制活動方案編制活動的主要任務包括：測評對象確定、測評指標確定、測評容確定、工具測試方法確定、測評指導書開發(fā)與測評方案編制。其中，測評對象確定與測評指標確定兩項任務可以并行實施，其他四項任務之間存在工作的先后次序，測評容確定任務完成之后才能開始后續(xù)任務。這

9、六項任務可采用如圖4所示的工作流程：圖43.2.3 現(xiàn)場測評活動現(xiàn)場測評活動的主要任務包括：現(xiàn)場測評準備、現(xiàn)場測評和結果記錄、結果確認和資料歸還。這三項任務之間存在工作的先后次序，現(xiàn)場測評準備任務完成之后才能開始后續(xù)任務?？刹捎萌鐖D5所示的工作流程：圖53.2.4 報告編制活動報告編制活動的主要任務包括：單項測評結果判定、單元測評結果判定、整體測評、風險分析、等級測評結論形成與測評報告編制。這六項任務之間存在工作的先后次序，單項測評結果判定任務完成之后才能開始后續(xù)任務。3.3 等級保護測評方法3.3.1 測評方法測評采用訪談、檢查和測試三種方法，測評對象是測評實施過程中涉與到的信息系統(tǒng)的構成成

10、份，包括人員、文檔、機制、軟件、設備。測評的層面涉與物理安全、網絡安全、主機安全、應用系統(tǒng)安全、數(shù)據(jù)安全以與安全管理。3.3.2 測評要求ü 使用測評表進行具體檢查時，首先按詢問、查驗、檢測等工作方式將所有檢查項目分類。ü 所有以詢問方式檢查的項目，在與有關人員的談話或會議上進行。ü 所有以查驗方式檢查的項目，將需要的文檔清單在檢查現(xiàn)場提交給被檢查方，請被檢查方當前提供并進行查驗。ü 所有需要以檢測方式檢查的項目，按檢測部門或設備分類后，根據(jù)具體情況選擇檢測順序。3.3.3 方法要求ü “訪談”方法：目的是了解信息系統(tǒng)的全局性。圍一般不覆蓋所有

11、要求容。ü “檢查”方法：目的是確認信息系統(tǒng)當前具體安全機制和運行的配置是否符合要求。圍一般要覆蓋所有要求容。ü “測試”方法：目的是驗證信息系統(tǒng)安全機制有效性和安全強度。圍不覆蓋所有要求容。3.3.4 管理要求ü 對人員方面的要求，重點通過“訪談”的方式來測評，檢查為輔。ü 對過程方面的要求，通過“訪談”和“檢查”的方式來測評。ü 對規(guī)方面的要求，以“檢查”文檔為主，“訪談”為輔。3.4 等級保護測評中的角色和職責關系角色與職責關系如圖6所示。圖6ü 信息安全服務機構：協(xié)助信息系統(tǒng)運營、使用單位完成等級保護的相關工作，包括確定其信息

12、系統(tǒng)的安全保護等級、進行安全需求分析、安全總體規(guī)劃、實施安全建設和安全改造等。ü 信息安全產品供應商：開發(fā)符合等級保護相關要求的信息安全產品，接受安全測評，按照等級保護相關要求銷售信息安全產品并提供相關服務。ü 應用軟件開發(fā)機構：將安全控制要求與應用軟件結合，負責軟件開發(fā)。ü 信息安全等級測評機構：協(xié)助信息系統(tǒng)運營、使用單位或國家管理部門，按照國家信息安全等級保護的管理規(guī)和技術標準，對已經完成等級保護建設的信息系統(tǒng)進行測評；對信息安全產品供應商提供的信息安全產品進行安全測評。3.5 等級保護測評工作實施步驟3.5.1 首次會議ü 參加人員：主管領導、技術

13、人員、測評機構人員ü 被測評機構工作匯報3.5.2 測評實施被測評單位派人負責測評過程聯(lián)絡和協(xié)助。3.5.3 末次會議ü 參加人員：主管領導、技術人員、測評機構人員ü 測評機構進行測試情況匯報3.6 等級保護測評項目組的構成ü 組長職責：管理測評過程、主持編制測評計劃、主持設計測評方案、負責訪談、檢查、組織分析測評結果、主持編制測評總結報告；ü 訪談和查看組：負責訪談、執(zhí)行測試，記錄和分析測評結果；ü 測試組：執(zhí)行測試、記錄和分析測評結果。3.7 等級保護測評容3.7.1 安全技術測評ü 物理安全ü 網絡安全

14、52; 主機系統(tǒng)安全ü 應用安全ü 數(shù)據(jù)安全3.7.2 安全管理測評ü 安全管理制度ü 安全管理機構ü 人員安全管理ü 系統(tǒng)建設管理ü 系統(tǒng)運維管理3.7.3 系統(tǒng)整體測評ü 安全控制間安全測評ü 層面間安全測評ü 區(qū)域間安全測評ü 系統(tǒng)結構安全測評等級保護五級安全控制測評由相應部門或機構另行規(guī)。1. 若不給自己設限，則人生中就沒有限制你發(fā)揮的藩籬。2. 若不是心寬似海，哪有人生風平浪靜。在紛雜的塵世里，為自己留下一片純靜的心靈空間，不管是潮起潮落，也不管是陰晴圓缺，你都可以免去浮躁，義無反顧，勇往直前，輕松自如地走好人生路上的每一