信息安全等級保護體系解讀

1、信息安全等級保護體系解讀內(nèi)容概要信息安全等級保護的定義1信息安全等級保護的工作內(nèi)容2信息安全等級保護的定義信息安全等級保護制度是我國信息安全工作保障工作的基本制度和基本國策，是開展信息安全工作的基本方法，是促進信息化、維護國家信息安全的基本保障。信息系統(tǒng)信息安全產(chǎn)品信息安全事件第一級安全保護第二級安全保護第三級安全保護第四級安全保護第五級安全保護EAL1EAL2EAL3EAL4EAL5特別重大事件（I級）重大事件（II級）較大事件（III級）一般事件（IV級）信息系統(tǒng)安全保護等級的劃分等級對象侵害客體侵害程度監(jiān)管程度第一級一般系統(tǒng)合法權(quán)益損害自主保護第二級合法權(quán)益嚴重損害指導社會秩序和公共利益

2、損害第三級重要系統(tǒng)社會秩序和公共利益嚴重損害監(jiān)督檢查國家安全損害第四級社會秩序和公共利益特別嚴重損害強制監(jiān)督檢查國家安全嚴重損害第五級極端重要系統(tǒng)國家安全特別嚴重損害專門監(jiān)督檢查信息安全等級保護的發(fā)展歷史1995年1999年1994年中華人民共和國計算機信息系統(tǒng)安全保護條例（國務院147號令）規(guī)定，“計算機信息系統(tǒng)實行安全等級保護，安全等級的劃分標準和安全保護的具體辦法，由公安部會同有關(guān)部門制定”。中華人民共和國警察法（法律依據(jù)）第二章第六條第十二款規(guī)定，“公安機關(guān)人民警察依法履行監(jiān)察管理計算機信息系統(tǒng)的安全保護工作”。計算機信息系統(tǒng)安全保護等級劃分準則 （GB17859）第一級：用戶自主保護

3、級第二級：系統(tǒng)審計保護級第三級：安全標記保護級第四級：結(jié)構(gòu)化保護級第五級：訪問驗證保護級信息安全等級保護的發(fā)展歷史2003年國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見（中辦發(fā)200327號）明確指出“實行信息安全等級保護”；“要重點保護基礎(chǔ)信息網(wǎng)絡和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術(shù)指南?！?004年關(guān)于信息安全等級保護工作的實施意見（公通字200466號）明確了開展信息安全等級保護工作的意義、具體的工作內(nèi)容、各部門的職責分工及實施計劃。2007年信息安全等級保護管理辦法（公通字200743號）明確了信

4、息安全等級保護具體的等級劃分、定級、備案、整改、測評、檢查等環(huán)節(jié)的具體工作要求和實施細則。2008年國家標準化管理委員會相斷出臺了信息安全等級保護的各項國家標準規(guī)范：信息安全等級保護定級指南（GB/T 22240）信息安全等級保護基本要求（GB/T 22239）等32項國家標準。信息安全等級保護的政策和法律體系中華人民共和國計算機信息系統(tǒng)安全保護條例(國務院147號令)國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見（中辦發(fā)200327號）關(guān)于信息安全等級保護工作的實施意見（公通字200466號）信息安全等級保護管理辦法（公通字200743號)關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知

5、（公信安2007861號）信息安全等級保護備案實施細則（公信安20071360號）關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導意見(公信安20091429號)關(guān)于加強國家電子政務工程建設(shè)項目信息安全風險評估工作的通知（發(fā)改高技20082071號）關(guān)于推動信息安全等級保護測評體系建設(shè)和開展等級測評工作的通知（公信安303號文）關(guān)于印發(fā)信息系統(tǒng)安全等級測評報告模版（試行）的通知（公信安20091487號）公安機關(guān)信息安全等級保護檢查工作規(guī)范（公信安2008736號）信息安全等級保護工作定級備案整改測評檢查信息安全等級保護技術(shù)和管理標準體系計算機信息系統(tǒng)安全保護等級劃分準則（GB17859）信息系

6、統(tǒng)安全等級保護定級指南信息系統(tǒng)安全等級保護基本要求技術(shù)類信息系統(tǒng)通用安全技術(shù)要求信息系統(tǒng)物理安全技術(shù)要求網(wǎng)絡基礎(chǔ)安全技術(shù)要求其它技術(shù)類標準管理類信息系統(tǒng)安全管理要求信息系統(tǒng)安全工程管理要求其它管理類標準產(chǎn)品類操作系統(tǒng)安全技術(shù)要求數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求網(wǎng)絡和終端設(shè)備隔離部件安技術(shù)要求其它產(chǎn)品類標準信息系統(tǒng)安全等級保護基本要求的行業(yè)細則信息系統(tǒng)安全等級保護基本要求的定級細則信息系統(tǒng)安全等級保護測評過程指南信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求信息系統(tǒng)安全等級保護實施指南信息系統(tǒng)安全等級保護測評要求信息安全等級保護安全建設(shè)整改工作安全等級安全要求現(xiàn)狀分析方法指導信息安全等級保護所涉及的標準通用類1.計

7、算機信息系統(tǒng)安全等級保護劃分準則(GB17859)2.信息系統(tǒng)安全等級保護實施指南(GB/T25058)3.信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求(GB/T22239)4.信息安全技術(shù)信息系統(tǒng)安全保護等級定級指南(GB/T22240)5.信息安全技術(shù)信息系統(tǒng)安全等級保護測評要求6.信息安全技術(shù)信息系統(tǒng)安全等級保護測評過程指南。安全技術(shù)類1.信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求2.信息安全技術(shù)網(wǎng)絡基礎(chǔ)安全技術(shù)要求(GB/T20270)3.信息安全技術(shù)信息系統(tǒng)安全通用技術(shù)要求(GB/T20271)4.信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求(GB/T21052)5.信息安全技術(shù)服務器安全技術(shù)要求(GB/

8、T21028)6.信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求(GB/T20272)7.信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求(GBT20273)。安全管理類1.信息安全技術(shù)信息系統(tǒng)安全管理要求(GB/T20269)2.信息安全技術(shù)信息系統(tǒng)安全工程管理要求(GB/T20282)3.信息技術(shù)安全技術(shù)信息安全事件管理指南(GB/Z20985)4.信息安全技術(shù)信息安全事件分類分級指南(GB/Z20986)。信息安全等級保護工作的職責和角色行業(yè)主管部門：負責依照國家信息安全等級保護的管理規(guī)范和技術(shù)標準，督促、檢查和指導本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運營、使用單位的信息安全等級保護工作。公安機關(guān)：非涉密信息系統(tǒng)等

9、級保護具體工作的監(jiān)督、檢查、指導。保密部門：涉密信息系統(tǒng)等保工作的監(jiān)督、檢查、指導。密碼管理部門：密碼工作的監(jiān)督、檢查、指導。國務院信息化工作辦公室及地方信息化領(lǐng)導小組辦事機構(gòu)：各部門間的工作協(xié)調(diào)。測評機構(gòu)：對信息系統(tǒng)和信息安全產(chǎn)品進行等級保護測評，出具測評結(jié)論。信息安全服務機構(gòu)：協(xié)助信息系統(tǒng)運營、使用單位完成安全保護等級、安全需求分析、安全總體規(guī)劃、實施安全建設(shè)和安全改造等。信息系統(tǒng)運營、使用單位：確定安全保護等級，安全保護的規(guī)劃設(shè)計，定級進行等保測評，建立信息安全事件應急響應體系。信息安全產(chǎn)品供應商：開發(fā)符合等級保護相關(guān)要求的信息安全產(chǎn)品，按照等級保護相關(guān)要求銷售信息安全產(chǎn)品并提供相關(guān)服務

10、。信息安全等級保護信息安全等級保護工作概述定級備案整改測評檢查信息安全等級保護工作流程1.確定信息系統(tǒng)的安全防護等級，形成定級報告。2.持定級報告到當?shù)毓矙C關(guān)網(wǎng)監(jiān)部門進行備案。3.參照信息系統(tǒng)當前等級要求和標準，對信息系統(tǒng)進行整改加固。4.委托具備測評資質(zhì)的測評機構(gòu)對信息系統(tǒng)進行等級測評，形成正式的測評報告。5.向當?shù)毓矙C關(guān)網(wǎng)監(jiān)部門提交測評報告，配合完成對信息安全等級保護實施情況的檢查。信息安全等級保護基本要求系統(tǒng)運維管理系統(tǒng)建設(shè)管理數(shù)據(jù)安全信息安全等級保護基本要求物理安全網(wǎng)絡安全主機安全安全管理機構(gòu)安全管理制度應用安全人員安全管理技術(shù)要求管理要求信息安全等級保護定級定義由信息系統(tǒng)運營單位

11、確定信息系統(tǒng)的安全保護等級。1由運營單位業(yè)務部門確定實施信息安全等級保護的信息系統(tǒng)。2參照定級標準和流程獲得信息等級的安全保護等級信息。3最終形成信息系統(tǒng)安全保護等級確認報告。定級流程1.確定定級對象2.確定業(yè)務信息安全受到破壞時所侵害的客體3.綜合評定對客體的侵害程度4.業(yè)務信息安全等級（S）5.確定系統(tǒng)服務安全受到破壞時所侵害的客體6.綜合評定對客體的侵害程度7.系統(tǒng)服務安全等級（A）8.定級對象的安全保護等級（SxAxGx）定級參考信息業(yè)務信息安全保護等級矩陣表業(yè)務信息安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公司、法人和其他組織的合法利益第一級第二級第二級

12、社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第四級系統(tǒng)服務安全保護等級矩陣表系統(tǒng)服務安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公司、法人和其他組織的合法利益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第四級定級結(jié)論安全保護等級信息系統(tǒng)定級結(jié)果組合第二級S1A2G2,S2A2G2,S2A1G2第三級S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3第四級S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4信息安全等級保護備案定義由信息系統(tǒng)運營單位持定級報告到當?shù)毓?/p>

13、安機關(guān)網(wǎng)監(jiān)部門進行信息系統(tǒng)安全保護等級信息備案。1按照運營單位所在地確定受理備案的機構(gòu)（省公安廳/市公安局）。2由運營單位填寫信息系統(tǒng)安全等級保護備案表格。3提交備案表格，獲得備案回執(zhí)信息（通過審核/限期整改）。備案信息信息安全等級保護整改定義按照信息系統(tǒng)已備案的等級信息，參照信息安全等級保護基本要求，組織開展差距分析及整改加固的相關(guān)工作。由信息系統(tǒng)運營單位開展自查及整改工作，不斷完善信息安全等級保護的各項要求。委托具備測評資質(zhì)的測評機構(gòu)開展信息系統(tǒng)安全等級保護差距分析，配合運營單位完成整改及安全加固工作。信息安全等級保護測評機構(gòu)業(yè)務范圍1.信息安全等級保護測評。2.信息系統(tǒng)安全等級保護定級，

14、等級保護安全建設(shè)整改，信息安全等級保護宣傳教育等工作的技術(shù)支持。3.信息安全風險評估。4.信息安全培訓。5.信息安全咨詢。6.信息安全工程監(jiān)理。不得從事的活動1.影響被測評信息系統(tǒng)正常運行，危害被測評信息系統(tǒng)安全。2.泄露知悉的被測評單位及被測評信息系統(tǒng)的國家秘密和工作秘密。3.故意隱瞞測評過程中發(fā)現(xiàn)的安全問題，或者在測評過程中弄虛作假，未如實出具等級測評報告。4.未按規(guī)定格式出具等級測評報告； 5.非授權(quán)占有、使用等級測評相關(guān)資料及數(shù)據(jù)文件； 6.分包或轉(zhuǎn)包等級測評項目； 7.信息安全產(chǎn)品開發(fā)、銷售和信息系統(tǒng)安全集成； 8.限定被測評單位購買、使用其指定的信息安全產(chǎn)品； 9.其他可能影響測評

15、客觀、公正和安全的活動。整改依據(jù)不同級別控制點差異安全要求類層面一級二級三級四級技術(shù)要求物理安全7101010網(wǎng)絡安全3677主機安全4679應用安全47911數(shù)據(jù)安全及備份恢復2333管理要求安全管理制度2333安全管理機構(gòu)4555人員安全管理4555系統(tǒng)建設(shè)管理991111系統(tǒng)運維管理9121313合計/48667377級差/1874不同級別要求項差異安全要求類層面一級二級三級四級技術(shù)要求物理安全9193233網(wǎng)絡安全9183332主機安全6193236應用安全7193136數(shù)據(jù)安全及備份恢復24811管理要求安全管理制度371114安全管理機構(gòu)492020人員安全管理7111618系統(tǒng)建

16、設(shè)管理20284548系統(tǒng)運維管理18416270合計/85175290318級差/9011528信息安全等級保護測評定義委托具備測評資質(zhì)的第三方測評機構(gòu)，對已定級的信息系統(tǒng)進行信息安全等級保護測評，并出具正式的測評報告和測評結(jié)論。1明確被測評系統(tǒng)的安全保護等級，制定測評方案和實施計劃。2由運營單位配合完成測評過程中的人員訪談、配置檢查、安全測試等工作。3出具最終的測評報告和測評結(jié)論（符合/基本符合/不符合）。測評實施流程等級測評項目啟動信息收集與分析工具和表單準備測評準備活動測評對象確定測評指標確定測評內(nèi)容確定工具測評方法確定測評指導書開發(fā)測評方案編制方案編制活動現(xiàn)場測評準備現(xiàn)場測評和結(jié)果記

17、錄結(jié)果確認和資料歸還現(xiàn)場測評活動單項測評結(jié)果判定單元測評結(jié)果判定整體測評風險分析等保測評結(jié)論形成測評報告編制報告編制活動溝通與洽談1.測評準備活動測評項目啟動測評機構(gòu)與信息系統(tǒng)運營單位簽訂測評委托合同，明確被測評的信息系統(tǒng)名稱和安全保護等級，確認測評實施范圍。信息收集與分析信息系統(tǒng)運營單位整理被測評系統(tǒng)的相關(guān)信息，填寫測評機構(gòu)提供的測評系統(tǒng)信息表格。工具和表單準備根據(jù)運營單位提供的被測評系統(tǒng)的相關(guān)信息，由測評機構(gòu)準備相應的安全測試工具和測試申請表格。1.測評準備活動測評實施項需要收集的信息配合人員需要收集的信息配合人員信息收集與分析機構(gòu)基本情況業(yè)務部門主管終端設(shè)備情況主機管理員系統(tǒng)管理人員名單

18、系統(tǒng)管理員系統(tǒng)軟件情況系統(tǒng)管理員物理環(huán)境情況機房管理員應用系統(tǒng)軟件情況系統(tǒng)管理員信息系統(tǒng)基本情況系統(tǒng)管理員業(yè)務數(shù)據(jù)情況數(shù)據(jù)管理員承載的業(yè)務情況系統(tǒng)管理員數(shù)據(jù)備份情況數(shù)據(jù)管理員網(wǎng)絡結(jié)構(gòu)情況網(wǎng)絡管理員應用系統(tǒng)軟件處理流程系統(tǒng)管理員服務器設(shè)備情況主機管理員業(yè)務數(shù)據(jù)流程業(yè)務管理員網(wǎng)絡設(shè)備情況網(wǎng)絡管理員管理文檔情況文檔管理員安全設(shè)備情況安全管理員安全威脅情況安全管理員外聯(lián)線路及設(shè)備端口情況網(wǎng)絡管理員系統(tǒng)備案信息業(yè)務部門主管2.方案編制活動測評對象確定根據(jù)已經(jīng)了解到的被測系統(tǒng)信息，分析整個被測系統(tǒng)及其涉及的業(yè)務應用系統(tǒng)，確定出本次測評的測評對象。測評指標確定根據(jù)已經(jīng)了解到的被測系統(tǒng)定級結(jié)果，確定出本次測評

19、的測評指標。測評內(nèi)容確定確定現(xiàn)場測評的具體實施內(nèi)容。2.方案編制活動測評指導書開發(fā)測評指導書是具體指導測評人員如何進行測評活動的文件，是現(xiàn)場測評的工具、方法和操作步驟等的詳細描述，編制與實際測評相關(guān)的測評指導書。測評方案編制測評方案是等級測評工作實施的基礎(chǔ)，指導等級測評工作的現(xiàn)場實施活動。主要包括：項目概述、測評對象、測評指標、測評工具的接入點以及單元測評實施等。2.方案編制活動測評指導書2.方案編制活動測評方案3.現(xiàn)場測評活動現(xiàn)場測評準備測評機構(gòu)與被測評單位雙方在現(xiàn)場測評前就配合人員、所需資源、測評方案及實施計劃的詳細溝通與確認?，F(xiàn)場測評和結(jié)果記錄現(xiàn)場測評主要包括人員訪談、文檔審查、策略配置

20、檢查、工具測試和實地察看等五個方面，詳細記錄結(jié)果。結(jié)果確認和資料返還將各單項測評項的結(jié)果與被測評單位的相關(guān)管理人員進行信息確認，在現(xiàn)場測評結(jié)束前返還測評過程中所需的各項管理文檔和資料。3.現(xiàn)場測評活動雙方職責測評機構(gòu)職責利用訪談、文檔審查、配置檢查、工具測試和實地察看的方法測評被測系統(tǒng)的保護措施情況，并獲取相關(guān)證據(jù)。測評委托單位職責1.測評前備份系統(tǒng)和數(shù)據(jù)，并確認被測設(shè)備狀態(tài)完好。 2.協(xié)調(diào)被測系統(tǒng)內(nèi)部相關(guān)人員的關(guān)系，配合測評工作的開展。 3.簽署現(xiàn)場測評授權(quán)書。 4.相關(guān)人員回答測評人員的問詢，對某些需要驗證的內(nèi)容上機進行操作。 5.相關(guān)人員確認測試前協(xié)助測評人員實施工具測試并提供有效建議，

21、降低安全測評對系統(tǒng)運行的影響。 6.相關(guān)人員協(xié)助測評人員完成業(yè)務相關(guān)內(nèi)容的問詢、驗證和測試。 7.相關(guān)人員對測評結(jié)果進行確認。 8.相關(guān)人員確認測試后被測設(shè)備狀態(tài)完好。3.現(xiàn)場測評活動雙方職責測評實施項工作內(nèi)容實施人員（測評機構(gòu)）配合人員（被測評單位）現(xiàn)場測評和結(jié)果記錄結(jié)果確認和資料返還物理安全測評物理安全測評師機房管理員網(wǎng)絡安全測評網(wǎng)絡安全測評師網(wǎng)絡管理員安全管理員主機安全測評主機安全測評師主機管理員應用安全測評應用安全測評師應用系統(tǒng)管理員數(shù)據(jù)安全測評數(shù)據(jù)安全測評師數(shù)據(jù)管理員安全管理機構(gòu)測評安全管理測評師業(yè)務、科技部門主管安全管理制度測評業(yè)務、科技部門主管人員安全管理測評業(yè)務、科技部門主管系

22、統(tǒng)運維管理測評系統(tǒng)運維部門主管系統(tǒng)建設(shè)管理測評系統(tǒng)開發(fā)、建設(shè)部門主管3.現(xiàn)場測評活動測評實施方法訪談文檔審查配置檢查工具測試測評人員與被測系統(tǒng)有關(guān)人員（個人/群體）進行交流、討論等活動，獲取相關(guān)證據(jù)，了解有關(guān)信息。1.檢查基本要求中規(guī)定的必須具有的制度、策略、操作規(guī)程等文檔是否齊備。2.檢查是否有完整的制度執(zhí)行情況記錄，如機房出入登記記錄、電子記錄、高等級系統(tǒng)的關(guān)鍵設(shè)備的使用登記記錄等。3.對上述文檔進行審核與分析，檢查他們的完整性和這些文件之間的內(nèi)部一致性。根據(jù)測評結(jié)果記錄表格內(nèi)容，利用上機驗證的方式檢查應用系統(tǒng)、主機系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及網(wǎng)絡設(shè)備的配置是否正確，是否與文檔、相關(guān)設(shè)備和部件保持一致，對文檔審核的內(nèi)容進行核實。根據(jù)測評指導書，利用技術(shù)工具對系統(tǒng)進行測試，包括基于網(wǎng)絡探測和基于主機審計的漏洞掃描、滲透性測試、性能測試、入侵檢測和協(xié)議分析等。實地察看根據(jù)被測系統(tǒng)的實際情況，測評人員到系統(tǒng)運行現(xiàn)場通過實地的觀察人員行為、技術(shù)設(shè)施和物理環(huán)境狀況判斷人員的安全意識、業(yè)務操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況，測評其是否達到了相應等級