等级保护技术标准简介.ppt

等级保护技术标准简介,报告内容,第一部分、总体情况介绍第二部分、有关标准编制内容介绍,总体情况介绍,机构背景等级保护标准制修订背景,总体情况介绍-机构背景,公安部第三研究所,公安部计算机信息系统安全产品质量监督检验中心,公安部信息安全产品检测中心,公安部信息安全等级保护评估中心,总体情况介绍-等级保护标准制修订背景,1994年，中华人民共和国计算机信息系统安全保护条例的发布 1999年，计算机信息系统安全保护等级划分准则 GB17859-1999发布 2001年，国家发改委“计算机信息系统安全保护等级评估体系及互联网络电子身份管理与安全保护平台建设项目”（1110）工程实施 2003年，中央办公厅、国务院办公厅转发国家信息化领导小组关于加强信息安全保障工作的意见 2004年，四部委联合签发了关于信息安全等级保护工作的实施意见,总体情况介绍-等级保护标准制修订背景,有关标准编制内容介绍,定级指南基本要求实施指南,定级指南标准编制情况介绍,定级指南标准编制情况介绍,背景介绍等级确定的原则决定等级的主要因素分析等级确定方法等级划分流程,背景介绍,与系统等级相关的国外资料：FIPS 199（美国联邦政府）根据信息系统所处理信息的机密性、完整性和可用性被破坏的影响确定。IATF（NSA）根据信息价值与威胁确定系统强健度等级。DITSCAP（DOD）根据互联模式、处理模式、业务依赖、三性、不可否认性等七个方面确定系统认证级。,背景介绍,上述定级方法存在问题仅由信息重要性确定信息系统的等级，对大型企业和重点行业的重要业务系统不合适。在通过三性影响分析，并根据三者取高的方法中，无法为可用性要求高和保密性要求高两类系统提出统一的技术要求。确定系统等级，与业务无关，不满足等级保护的监管需要。定级范围往往只在局部范围内。,等级确定的原则,全局性原则信息系统安全等级保护是针对全国范围内、涵盖各个行业信息系统的管理制度，信息系统安全保护等级的划分也必须从国家层面考虑，体现全局性。业务为核心原则信息系统是为业务应用服务的，信息系统的安全保护等级应当依据信息系统承载业务的重要性、业务对信息系统的依赖度和系统特殊的安全需求确定。,等级确定的原则,满足监管要求原则信息系统安全保护等级既不是信息系统安全保障等级，也不是信息系统所能达到的技术能力等级，而是从安全监管需要，从信息系统对国家安全、经济建设、公共利益等方面的重要性，以及信息或信息系统被破坏后造成危害的严重性角度确定的信息系统应达到的安全等级。合理性原则不同于信息安全产品，信息系统千差万别，各具特色，只有在划分安全保护等级的过程中，尽可能反映出信息系统的主要安全特征，合理划分等级，才能做到突出重点，适度保护。,决定等级的主要因素分析,从目前的资料上看，已在不同分级方法中出现的作为划分信息系统安全等级的因素主要包括：单位业务在国家事务中的重要性（实施意见）；资产（包括有形资产和无形资产）（FIPS199，IATF，DITSCAP，NIST800-37）；威胁（IATF）；信息被破坏后对国家、社会公共利益和单位或个人的影响（FIPS199，通用要求，实施指南）；单位业务对信息系统的依赖程度（DITSCAP）,决定等级的主要因素分析,经分析，除排除威胁因素外，划分等级时应考虑以下因素：信息系统所属类型，即信息系统的安全利益主体。信息系统主要处理的业务数据类别。信息系统服务范围，包括服务对象和服务网络覆盖范围。业务处理的自动化程度，或以手工作业替代信息系统处理业务的程度。,决定等级的主要因素分析,信息系统所属类型,业务数据类别,信息系统服务范围,业务处理的自动化程度,业务重要性,业务数据安全性,业务处理连续性,业务依赖性,决定等级的主要因素分析,业务数据安全性,业务处理连续性,信息系统安全保护等级,等级确定方法,具体步骤：通过对信息系统类型和业务数据类型赋值，确定信息系统的业务数据安全性等级；通过对信息系统服务范围和业务处理自动化程度赋值，确定信息系统的业务处理连续性等级；通过业务数据安全性等级和业务处理连续性等级确定信息系统安全保护等级。等级调整,信息系统类型赋值,信息系统所属类型赋值表,信息系统类型举例,典型的信息系统所属类型,确定业务数据安全性,业务数据安全性等级矩阵,确定信息系统安全保护等级,信息系统的安全保护等级由业务数据安全性等级和业务处理连续性等级较高者决定。,组合形式,信息系统安全保护等级对应的业务数据安全性要求级别（Sx）和业务处理连续性要求级别(Cy)的组合。,等级划分流程,划分信息系统/子系统,分析承载的业务重要性和依赖度,确定信息系统/子系统安全保护等级,调整信息系统/子系统安全保护等级,基本要求标准编制情况介绍,基本要求标准编制的主要思路,根据6号文件描述的5个监管等级对象，确定保护对象；根据保护对象所可能面临的威胁，确定系统的整体保护能力；根据所应具有的整体保护能力，确定系统的安全目标；提出满足安全目标的安全要求。,5个监管等级对象,第一级：信息系统所承载业务涉及公民、法人和其他组织的权益，受到破坏后对公民、法人和其他组织的权益造成一定损害；该业务的开展在一定程度上依托于信息系统，系统受到破坏后对业务正常开展产生一定影响。第二级：信息系统所承载的业务直接关系到公民、法人和其他组织的权益，受到破坏后会对公民、法人和其他组织的权益造成严重损害；该业务的开展主要依托于信息系统，系统受到破坏后影响业务正常开展。第三级：信息系统所承载的业务涉及国家、社会和公共利益，受到破坏后会对国家、社会和公共利益造成损害的；该业务的开展主要依托于信息系统，系统受到破坏后影响业务正常开展。,5个监管等级对象,第四级：信息系统所承载的业务直接关系到国家、社会和公共利益，受到破坏后会对国家、社会和公共利益造成严重损害的；该业务的开展完全依托于信息系统，系统受到破坏后业务无法开展。第五级：信息系统所承载的业务受到破坏后，会直接对国家安全造成严重损害。,整体保护能力,各级系统应对威胁的能力是不同的，即能够对抗系统面临的威胁的程度以及在遭到威胁破坏后，系统能够恢复之前的各种状态的能力是不同的。系统的整体保护能力就是由威胁对抗能力和恢复能力的组合而成。,整体保护能力-威胁分类,整体保护能力-威胁分级描述,不同级别对抗的威胁的种类不同对于同类威胁，不同级别对抗的具体威胁的破坏能力也不同。,安全目标,每一级的安全目标与威胁之间存在对应关系，每个威胁至少被一个安全目标所覆盖；反过来，每个安全目标至少覆盖一个威胁。一级具有15个技术目标，16个管理目标；二级具有29个技术目标，25个管理目标；三级具有36个技术目标，27个管理目标；四级具有41个技术目标，28个管理目标。,安全要求的选择,信息系统的安全要求包括安全技术要求和安全管理要求两类。根据信息系统的业务数据安全性等级（S）和业务处理连续性等级（C），分别选择S类技术要求、C类技术要求和G类技术要求。信息系统的安全等级与技术要求组合是一对多的关系。,安全要求等级区别,安全要求的增加安全要求的增强,安全技术要求的组成,安全技术要求-物理,安全技术要求-网络,安全技术要求-主机,安全技术要求-应用,安全技术要求-数据,安全管理要求,管理部分形成的基本思路,管理部分的覆盖范围,信息系统的生命周期,系统规划(定级规划等),系统设计(设计开发采购等),系统实施(安装配置测试等),系统运维,系统废弃,管理人员,管理制度,组织的使命目标战略政策,系统变更,管理机构,不同级别之间的区别,管理活动控制点的增加每个控制点具体管理要求的增多管理活动的能力逐步加强借鉴能力成熟度模型（CMM）一级 非正式执行二级 计划和跟踪三级 良好定义四级 持续改进,安全管理机构,岗位设置人员配备授权和审批沟通和合作审核和检查,安全管理制度,管理制度制定和发布评审和修订,安全管理人员,人员录用人员离岗人员考核安全意识教育和培训第三方人员管理,系统建设管理,系统定级安全风险评估安全方案设计产品采购自行开发设计外包开发设计,工程实施测试验收系统交付安全测评系统备案安全服务商选择,系统运维管理,环境管理资产管理介质管理设备使用管理运行维护和监控管理网络安全管理,系统安全管理恶意代码防护管理密码管理变更管理备份和恢复管理安全事件处置应急计划管理,实施指南标准编制情况介绍,实施指南标准编制目标,实施指南作为一个对信息系统实施等级保护的指南性文件，其目标是介绍和描述实施信息系统等级保护过程中应该涉及的阶段和从事的活动，包括：活动的内容和控制方法；活动的主要参与者；活动中将要使用的等级保护相关标准；活动的主要工作产品等通过过程和活动的介绍，使读者了解和知晓对信息系统实施等级保护的方法，不同的角色在不同阶段的作用等等。,实施指南标准编制的主要思路,以信息系统等级保护建设为主要线索 定义信息系统等级保护实施的生命周期 对每个阶段介绍和描述主要的实施活动 对每个活动说明实施主体、主要内容和输入输出,实施指南内容介绍-角色和职责,信息系统等级保护的实施过程中涉及到各类组织和人员，他们将会参与不同的或相同的活动，比如信息系统的主管单位和信息系统的运营单位将参与系统定级活动，如果委托安全服务商进行定级，则安全服务商也会参与定级活动；又如信息系统的运营单位可以自己完成风险分析活动，也可以委托安全服务商完成风险分析活动。,实施指南内容介绍-角色和职责,本指南将面临的使用对象将是：信息系统的主管单位；运营单位；建设单位；安全服务商；安全测评机构；监督管理机构等。为了保证实施指南的描述有一个清晰的思路，各类使用人员都能够理解和较好地使用，实施指南并不以某个特定单位的活动为主线进行描述，而是以信息系统等级保护建设所要从事的活动为主线，有些活动可能是这个单位执行的，另一些活动可能是另一个单位执行的。本指南的读者根据自己的角色和从事的活动选择相应的内容作为指导。,实施指南内容介绍-实施的生命周期,本指南将根据信息系统等级保护实施的特点，结合风险管理和安全工程方法提出信息系统等级保护实施的生命周期，将等级保护实施过程划分为4个不同的阶段，然后分章节介绍和描述不同阶段的安全活动，同时也将表述信息系统等级保护实施的生命周期和信息系统生命周期的关系，指导系统建设者和系统运营者在系统建设和运营期间更好地同步进行等级保护建设。将通过信息系统等级保护实施生命周期的提出，更好地描述信息系统等级保护实施的不断循环过程；系统变更可能导致系统的等级变化从而触发另一个等级保护实施过程的执行过程；风险评估和安全测评可能导致的等级保护实施过程局部活动的重复执行过程等。,实施指南内容介绍-主要阶段和主要过程,实施指南内容介绍-系统定级过程,系统调查、标识和描述,子系统划分,子系统定级,子系统边界设定,输入,输出,过程,信息系统描述文件,子系统列表,系统安全保护等级定级结果,边界设定结果,信息系统基本信息、管理框架、业务特性,信息系统描述文件,子系统列表，信息系统/子系统业务特性,安全保护等级定级结果、子系统业务流程，网络拓扑,定级结果文档化,信息系统等级化分析报告,信息系统描述文件、子系统列表、定级及边界设定结果,实施指南内容介绍-系统调查和描述过程,为了能够进行信息系统子系统划分、确定安全等级以及后续的安全规划设计等工作，要了解和知道信息系统的各种特性，应通过查询相关文档、填写调查表、有关人员询问、现场实地观察等等方式收集信息系统相关信息，对收集到的信息系统相关信息进行分析和整理，并根据分析和整理的内容准确描述信息系统，形成信息系统的描述性文档。参与角色：系统运营部门、安全服务机构。过程输入：信息系统基本信息、管理框架、业务特性过程描述：略过程输出：信息系统描述文件,谢谢！,请关注我们的网站:公安部第三研究所公安部计算机信息系统安全产品质量监督检验中心公安部信息安全等级保护评估中心,