如何理解信息安全等级保护与分级保护(精选8篇)
第2期
如何理解信息安全等级保护
与分级保护
徐 苏
(电信科学技术第十研究所
陕西
西安
710061)
摘 要:信息安全保护分级、分区域、分类、分阶段是做好国家信息安全保护应遵循的准则。国家信息安全等级保护与涉密信息系统分级保护是两个既联系又有区别的概念。国家安全信息等级保护,重点保护的对象是非涉密的涉及国计民生的重要信息系统和通信基础信息系统;涉密信息系统分级保护是国家信息安全等级保护的重要组成部分,是等级保护在涉密领域的具体体现。
关键字:国家信息安全 公众信息 国家秘密信息 等级保护 分级保护 在日常工作中和为用户提供服务的过程中,什么是信息系统等级保护?什么是涉密信息系统分级保护?这两者之间有什么关系?那些系统需要进行等级保护?涉密信息系统如何分级?这是时常困扰我们的问题。
一、信息系统等级保护
1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。2003年,中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号),提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。2004年9月17日,公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了《关于信息安全等级保护工作的实施意见》,明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。2006年1月17日,四部门又下发了《信息安全等级保护管理办法(试行)》,进一步确定职责分工,明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码管理部门负责密码工作、国务院信息办负责的管理职责和要求。涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。
由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的,是社会构成、行政组织体系的反映,因而这种系统结构是分层次和级别的,而其中的各种信息系统具有重要的社会和经济价值,不同的系统具有不同的价值。系统基础资源和信息资源的价值大小、徐苏:如何理解信息安全等级保护与分级保护
用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。
信息系统安全等级保护将安全保护的监管级别划分为五个级别:
第一级:用户自主保护级
完全由用户自己来决定如何对资源进行保护,以及采用何种方式进行保护。
第二级:系统审计保护级
本级的安全保护机制受到信息系统等级保护的指导,支持用户具有更强的自主保护能力,特别是具有访问审计能力。即能创建、维护受保护对象的访问审计跟踪记录,记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息,所有和安全相关的操作都能够被记录下来,以便当系统发生安全问题时,可以根据审计记录,分析追查事故责任人,使所有的用户对自己行为的合法性负责。
第三级:安全标记保护级
除具有第二级系统审计保护级的所有功能外,还它要求对访问者和访问对象实施强制访问控制,并能够进行记录,以便事后的监督、审计。通过对访问者和访问对象指定不同安全标记,监督、限制访问者的权限,实现对访问对象的强制访问控制。
第四级:结构化保护级
将前三级的安全保护能力扩展到所有访问者和访问对象,支持形式化的安全保护策略。其本身构造也是结构化的,将安全保护机制划分为关键部分和非关键部分,对关键部分强制性地直接控制访问者对访问对象的存取,使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。
第五级:访问验证保护级
这一个级别除了具备前四级的所有功能外还特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动,仲裁访问者能否访问某些对象从而对访问对象实行专控,保护信息不能被非授权获取。因此,本级的安全保护机制不易被攻击、被篡改,具有极强的抗渗透的保护能力。
在等级保护的实际操作中,强调从五个部分进行保护,即:
物理部分:包括周边环境,门禁检查,防火、防水、防潮、防鼠、虫害和防雷,防电磁泄漏和干扰,电源备份和管理,设备的标识、使用、存放和管理等;
支撑系统:包括计算机系统、操作系统、数据库系统和通信系统;
网络部分:包括网络的拓扑结构、网络的布线和防护、网络设备的管理和报警,网络攻击的监察和处理;
应用系统:包括系统登录、权限划分与识别、数据备份与容灾处理,运行管理和访问控
徐苏:如何理解信息安全等级保护与分级保护
制,密码保护机制和信息存储管理;
管理制度:包括管理的组织机构和各级的职责、权限划分和责任追究制度,人员的管理和培训、教育制度,设备的管理和引进、退出制度,环境管理和监控,安防和巡查制度,应急响应制度和程序,规章制度的建立、更改和废止的控制程序。
由这五部分的安全控制机制构成系统整体安全控制机制。
二、涉密信息系统分级保护
1997年《中共中央关于加强新形势下保密工作的决定》明确了在新形势下保密工作的指导思想和基本任务,提出要建立与《保密法》相配套的保密法规体系和执法体系,建立现代化的保密技术防范体系。中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》明确提出要建立健全涉密信息系统分级保护制度。2005年12月28日,国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》,同时,《保密法》修订草案也增加了网络安全保密管理的条款。随着《保密法》的贯彻实施,国家已经基本形成了完善的保密法规体系。
涉密信息系统实行分级保护,先要根据涉密信息的涉密等级,涉密信息系统的重要性,遭到破坏后对国计民生造成的危害性,以及涉密信息系统必须达到的安全保护水平来确定信息安全的保护等级;涉密信息系统分级保护的核心是对信息系统安全进行合理分级、按标准进行建设、管理和监督。国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准,目前,正在执行的两个分级保护的国家保密标准是BMB17《涉及国家秘密的信息系统分级保护技术要求》和BMB20《涉及国家秘密的信息系统分级保护管理规范》。从物理安全、信息安全、运行安全和安全保密管理等方面,对不同级别的涉密信息系统有明确的分级保护措施,从技术要求和管理标准两个层面解决涉密信息系统的分级保护问题。
涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级,可以划分为秘密级、机密级和机密级(增强)、绝密级三个等级:
秘密级:信息系统中包含有最高为秘密级的国家秘密,其防护水平不低于国家信息安全等级保护三级的要求,并且还必须符合分级保护的保密技术要求。
机密级:信息系统中包含有最高为机密级的国家秘密,其防护水平不低于国家信息安全等级保护四级的要求,还必须符合分级保护的保密技术要求。属于下列情况之一的机密级信息系统应选择机密级(增强)的要求:
徐苏:如何理解信息安全等级保护与分级保护
(1)信息系统的使用单位为副省级以上的党政首脑机关,以及国防、外交、国家安全、军工等要害部门;
(2)信息系统中的机密级信息含量较高或数量较多;(3)信息系统使用单位对信息系统的依赖程度较高。
绝密级:信息系统中包含有最高为绝密级的国家秘密,其防护水平不低于国家信息安全等级保护五级的要求,还必须符合分级保护的保密技术要求,绝密级信息系统应限定在封闭的安全可控的独立建筑内,不能与城域网或广域网相联。
涉密信息系统分级保护的管理过程分为八个阶段,即系统定级阶段、安全规划方案设计阶段、安全工程实施阶段、信息系统测评阶段、系统审批阶段、安全运行及维护阶段、定期评测与检查阶段和系统隐退终止阶段等。在实际工作中,涉密信息系统的定级、安全规划方案设计的实施与调整、安全运行及维护三个阶段,尤其要引起重视。
系统定级决定了系统方案的设计实施、安全措施、运行维护等涉密信息系统建设的各个环节,因此如何准确地对涉密信息系统进行定级在涉密信息系统实施分级保护中尤为重要。涉密信息系统定级遵循“谁建设、谁定级"的原则,可以根据信息密级、系统重要性和安全策略划分为不同的安全域,针对不同的安全域确定不同的等级,并进行相应的保护。在涉密信息系统定级时,可以综合考虑涉密信息系统中资产、威胁、受到损害后的影响,以及使用单位对涉密信息系统的信赖性等因素对涉密信息系统进行整体定级;同时,在同一个系统里,还允许划分不同的安全域,在每个安全域可以分别定级,不同的级别采取不同的安全措施,更加科学地实施分级保护,在一定程度上可以解决保重点,保核心的问题,也可以有效地避免因过度保护而造成应用系统运行效能降低以及投资浪费等问题。涉密信息系统建设单位在定级的同时,必须报主管部门审批。
涉密信息系统要按照分级保护的标准,结合涉密信息系统应用的实际情况进行方案设计。设计时要逐项进行安全风险分析,并根据安全风险分析的结果,对部分保护要求进行适当的调整和改造,调整应以不降低涉密信息系统整体安全保护强度,确保国家秘密安全为原则。当保护要求不能满足实际安全需求时,应适当选择采用部分较高的保护要求,当保护要求明显高于实际安全需求时,可适当选择采用部分较低的保护要求。对于安全策略的调整以及改造方案进行论证,综合考虑修改项和其他保护要求之间的相关性,综合分析,改造方案的实施以及后续测评要按照国家的标准执行,并且要求文档化。在设计完成之后要进行方案论证,由建设使用单位组织有关的专家和部门进行方案设计论证,确定总体方案达到分级保护技术的要求后再开始实施;在工程建设实施过程中注意工程监理的要求;建设完成之后应
徐苏:如何理解信息安全等级保护与分级保护
该进行审批;审批前由国家保密局授权的涉密信息系统测评机构进行系统测评,确定在技术层面是否达到了涉密信息系统分级保护的要求。
运行及维护过程的不可控性以及随意性,往往是涉密信息系统安全运行的重大隐患。通过运行管理和控制、变更管理和控制,对安全状态进行监控,对发生的安全事件及时响应,在流程上对系统的运行维护进行规范,从而确保涉密信息系统正常运行。通过安全检查和持续改进,不断跟踪涉密信息系统的变化,并依据变化进行调整,确保涉密信息系统满足相应分级的安全要求,并处于良好安全状态。由于运行维护的规范化能够大幅度地提高系统运行及维护的安全级别,所以在运行维护中应尽可能地实现流程固化,操作自动化,减少人员参与带来的风险。还需要注意的是在安全运行及维护中保持系统安全策略的准确性以及与安全目标的一致性,使安全策略作为安全运行的驱动力以及重要的制约规则,从而保持整个涉密信息系统能够按照既定的安全策略运行。在安全运行及维护阶段,当局部调整等原因导致安全措施变化时,如果不影响系统的安全分级,应从安全运行及维护阶段进入安全工程实施阶段,重新调整和实施安全措施,确保满足分级保护的要求;当系统发生重大变更影响系统的安全分级时,应从安全运行及维护阶段进入系统定级阶段,重新开始一次分级保护实施过程。
随着我们国家民主与法制建设进程的不断推进,保密的范围和事项正在逐步减少,致使一些涉密人员保密意识和敌情观念淡化,对保密工作的必要性和重要性认识不足。虽然长期处于和平时期,但并不意味着无密可保。事实上,政府部门掌握着大量重要甚至核心的机密,已成为各种窃密活动的重点目标。我党政机关和军工单位也是国家秘密非常集中的领域,一直是窃密与反窃密,渗透与反渗透的主战场。据国家有关部门统计,在全国泄密事件中,军工系统占有很大比例。境内外敌对势力和情报机构以我党政军机关和军工单位为主要目标的窃密活动更加突出,渗透与反渗透、窃密与反窃密的斗争更加激烈。由于一些单位涉密信息系统安全保障能力不够、管理不力,导致涉密信息系统泄密案件的比例逐年上升,安全保密形势非常严峻。因此严格按照涉密信息系统分级保护的要求,加强涉密信息系统建设意义重大。
三、等级保护和分级保护之间的关系
国家信息安全等级保护与涉密信息系统分级保护是两个既有联系又有区别的概念。涉密信息系统分级保护是国家信息安全等级保护的重要组成部分,是等级保护在涉密领域的具体体现。
国家安全信息等级保护重点保护的对象是涉及国计民生的重要信息系统和通信基础信 5
徐苏:如何理解信息安全等级保护与分级保护
息系统,而不论它是否涉密。如:
(1)国家事务处理信息系统(党政机关办公系统);
(2)金融、税务、工商、海关、能源、交通运输、社会保障、教育等基础设施的信息系统;
(3)国防工业企业、科研等单位的信息系统;
(4)公用通信、广播电视传输等基础信息网络中的计算机信息系统;(5)互联网网络管理中心、关键节点、重要网站以及重要应用系统;(6)其他领域的重要信息系统。
国家实行信息安全等级保护制度,有利于建立长效机制,保证安全保护工作稳固、持久地进行下去;有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于突出重点,加强对涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统的安全保护和管理监督;有利于明确国家、企业、个人的安全责任,强化政府监管职能,共同落实各项安全建设和安全管理措施;有利于提高安全保护的科学性、针对性,推动网络安全服务机制的建立和完善;有利于采取系统、规范、经济有效、科学的管理和技术保障措施,提高整体安全保护水平,保障信息系统安全正常运行,保障信息安全,进而保障各行业、部门和单位的职能与业务安全、高速、高效地运转;有利于根据所保护的信息的重要程度,决定保护等级,防止“过保护”和“欠保护”的情况发生;有利于信息安全保护科学技术和产业化发展。
涉密信息系统分级保护保护的对象是所有涉及国家秘密的信息系统,重点是党政机关、军队和军工单位,由各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全,确保国家秘密不被泄漏。国家秘密信息是国家主权的重要内容,关系到国家的安全和利益,一旦泄露,必将直接危害国家的政治安全、经济安全、国防安全、科技安全和文化安全。没有国家秘密的信息安全,国家就会丧失信息主权和信息控制权,所以国家秘密的信息安全是国家信息安全保障体系中的重要组成部分。
因为不同类别、不同层次的国家秘密信息,对于维护国家安全和利益具有不同的价值,所以需要不同的保护强度种措施。对不同密级的信息,应当合理平衡安全风险与成本,采取不同强度的保护措施,这就是分级保护的核心思想。对涉密信息系统的保护,既要反对只重应用不讲安全,防护措施不到位造成各种泄密隐患和漏洞的“弱保护”现象;同时也要反对不从实际出发,防护措施“一刀切”,造成经费与资源浪费的“过保护”现象。对涉密信息系统实行分级保护,就是要使保护重点更加突出,保护方法更加科学,保护的投入产出比更加合理,徐苏:如何理解信息安全等级保护与分级保护
从而彻底解决长期困扰涉密单位在涉密信息系统建设使用中的网络互联与安全保密问题。
关键词:定级,备案,等级测评,安全整改
1引言
信息安全等级保护制度是我国信息安全保障的一项基本制度, 早在1994年, 国务院就颁布了《中华人民共和国计算机信息系统安全保护条例》 (国务院令第147号) , 明确规定计算机信息系统实行安全等级保护, 之后国家又陆续颁布了《关于信息安全等级保护工作的实施意见》 (公通字[2004]66号) 、《信息安全等级保护管理办法》 (公通字[2007]43号) 、《关于开展全国重要信息系统安全等级保护定级工作的通知》 (公信安[2007]861号) 、《关于开展信息安全等级保护安全建设整改工作的指导意见》 (公信安[2009]1429号) 等政策文件, 为开展信息系统安全等级保护工作提供了标准和规范。
2014年, 湖北省国土资源厅开展了信息系统安全等级保护工作, 对电子政务系统、矿业权交易系统和门户网站系统等三个主要信息系统完成了定级备案和测评整改工作, 三个信息系统均通过三级测评, 获得了公安部门颁发的备案证明。本文将以湖北省国土资源厅电子政务系统实施信息安全等级保护过程为例, 介绍信息系统安全等级保护工作的实施方法和工作流程。
2信息系统安全等级保护实施方法和工作流程
2.1系统定级
2.1.1系统定级方法
定级是信息系统实施信息安全等级保护工作的首要环节, 也是等级测评和安全整改等后续工作的基础。根据国家信息安全等级保护标准, 信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级较高者决定。业务信息安全是指系统内信息的完整性、保密性和可用性;系统服务安全是指系统能不能及时、有效地提供服务, 能不能完成预定的业务目标, 是否会出现系统瘫痪、拒绝服务等现象, 两者安全等级都是由定级对象受到破坏时所侵害客体以及对客体造成的侵害程度这两个要素决定。
定级对象受到破坏时所侵害客体包括国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益。从这个定义中, 我们可以看出侵害客体是有高低之分的, 在实际定级过程中, 我们可以按照从高到低的顺序依次进行判断, 首先判断是否侵害国家安全, 其次判断是否侵害社会秩序和公共利益, 最后判断是否侵害公民、法人和其他组织的合法权益。
在确定所侵害客体后, 就要对可能造成的危害后果进行分析, 确定系统定级的第二个要素侵害程度。一般来说, 系统受到破坏, 可能造成的危害后果主要包括影响行使工作职能、导致业务能力下降、引起法律纠纷、导致财产损失、造成社会不良影响、对其他组织和个人造成损失等。在GB/T22240 2008《信息安全技术信息系统安全等级保护定级指南》中根据这些危害后果的严重性, 将对客体的侵害程度分为一般损害、严重损害和特别严重损害三种类型, 并对每种类型的标准给出了具体描述。在实际定级过程中, 我们可以对实际的危害后果进行分析, 根据定级指南中所给出的标准, 确定侵害程度的类型。
在两个要素都确定后, 就可以根据表1安全保护等级矩阵表, 确定业务信息安全和系统服务安全的等级, 进而确定信息系统的安全等级。
2.1.2系统定级工作建议
系统的安全等级不同, 等级测评的内容也不相同, 因此定级是否准确直接关系到后期能否通过测评, 顺利拿到公安部门颁发的备案证明。结合湖北省国土资源厅的实践经验, 建议在实际定级工作中, 按照“自主定级、专家评审”的原则, 先根据上述系统定级方法, 自主确定系统的安全等级, 然后组织专家进行评审, 从而避免定级不准确, 给后续工作带来不良影响。
2.2系统备案
在系统安全保护等级确定后30日内, 就要到公安机关进行备案, 备案时需要提交《信息系统安全等级保护备案表》及其电子文档。对于二级以上信息系统, 备案时需提交《信息系统安全等级保护备案表》中的表一、二、三, 在系统测评整改工作完成后30日内提交表四及其有关资料。公安机关接收全部备案材料后, 会对其进行审核。对于定级准确、材料齐全的, 公安机关会出具《信息系统安全等级保护备案证明》。
2.3系统等级测评
信息系统等级测评是信息安全等级保护工作的重要环节之一, 它是通过信息安全等级测评机构, 定期对系统进行测评, 以确保信息系统的安全保护措施符合相应等级的安全要求。根据《信息安全等级保护管理办法》规定, 三级及以上信息系统应每年开展一次测评。
2.3.1等级测评内容
信息系统等级测评内容涉及安全技术和安全管理两大类别, 主要包括物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复、安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等10个测评单元。每个测评单元根据系统的安全等级不同, 包含不同的测评功能项。
2.3.2等级测评工作流程
等级测评过程分为测评准备、编制方案、现场测评和测评综合分析等四个阶段。
(1) 测评准备阶段。
本阶段是整个测评工作的基础, 其工作是否充分直接关系到后续工作能否顺利开展, 主要任务是掌握被测系统的详细情况, 准备测评工具, 为编制测评方案做好准备。
(2) 编制方案阶段
本阶段是测评工作的关键环节, 其主要任务是确定与被测系统相适应的测评对象、测评指标和测评内容等, 形成测评方案。
(3) 现场测评阶段
本阶段是测评工作的核心环节, 其主要任务是按照测评方案, 分步实施所有测评项目, 以了解系统的真实安全状况, 发现系统存在的安全隐患。测评方法主要有人员访谈、现场检查、工具测试等。
(4) 测评综合分析阶段
本阶段是测评工作最后一个环节, 其主要任务是根据现场测评结果, 找出系统的安全现状与相应等级保护要求之间的差距, 并分析这些差距可能导致被测系统面临的风险, 从而给出等级测评结论, 形成等级测评报告。测评结论分为不符合、基本符合、符合三种, 其中基本符合与符合表示通过测评。
2.3.3等级测评工作建议
等级测评是后续整改工作的基础, 结合湖北省国土资源厅的实践经验, 建议在实际测评过程中, 将测评工作分为初次测评和二次测评两个阶段, 初次测评, 也叫差距测评, 在整改工作之前完成, 其目的主要在于根据系统确定的安全等级, 查找系统现有安全措施与等级保护基本要求之间的差距, 明确后续安全整改的重点;二次测评在安全整改完成后进行, 其目的主要是检验整改工作的成效。如果经二次测评, 系统安全状况还没有达到等级保护基本要求, 就需要进一步整改, 并进行多次测评, 直至达到等级保护基本要求, 获得系统等级测评报告。
2.4安全整改
在等级测评工作完成后, 就进入安全整改阶段, 根据测评发现的问题逐项整改, 以达到等级保护基本要求。在整改时应该按照管理安全和技术安全两个层面分别进行整改。针对管理安全方面的问题, 应该通过编写和完善管理文档资料进行整改, 以满足基本要求。针对技术安全方面的问题, 应该仔细分析, 区分哪些是可以通过修改配置策略等技术手段进行修复的, 哪些是需要通过部署安全产品才能解决的, 然后有针对性地采取不同方法进行整改, 对于有多种方法可以解决的问题, 应该遵循低成本, 低风险的原则选择最佳解决途径。
信息系统等级测评后需要整改的问题往往会有很多, 对被测单位而言, 可能会面临时间紧、任务重、成本高的问题, 为此建议在实际整改过程中可以按照问题的重要程度, 以及先易后难的原则分步进行, 优先解决可能对系统带来高风险的问题, 以及短期内比较容易解决的问题, 然后再逐步解决其他问题。一般来说, 信息系统安全整改工作分为五个步骤进行。第一步, 根据测评情况, 制定安全整改工作计划, 对整个整改工作进行总体部署;第二步, 结合测评情况, 对信息系统安全保护现状进行分析, 从技术安全和管理安全两个层面确定整改需求;第三步, 制定安全整改方案;第四步, 根据整改方案进行整改;第五步, 开展系统二次测评, 找出系统中仍然存在的安全隐患和威胁, 进一步整改, 以达到安全保护等级的基本要求。
3湖北省国土资源厅电子政务系统信息安全等级保护实践案例
3.1系统概述
湖北省国土资源厅电子政务系统是湖北省国土资源厅的核心信息系统, 部署在国土资源主干网, 实现了与互联网严格物理隔离。该系统是全厅的主要办公平台, 目前全厅日常公文办理, 以及建设用地、矿业权、土地开发整理等主要业务审批均通过该系统完成。
3.2定级备案
湖北省国土资源厅电子政务系统承担了全厅主要业务审批功能, 其业务信息包括全省建设用地、矿业权和土地开发整理等重要业务数据, 显然一旦这些数据被泄露或者被篡改, 将会对全省建设用地、矿业权这些社会公共资源的分配造成严重影响, 进而严重损害社会公共的利益, 因此本案例所侵害客体应该是社会秩序和公共利益这一类, 而侵害程度显然是严重影响, 根据业务信息安全等级确定的原则, 应该确定为第三级。
另一方面, 由于该系统是全厅的主要办公平台, 面向全厅所有工作人员, 一旦系统服务受到破坏, 全厅日常工作必然无法开展。而湖北省国土资源厅作为国家机关, 工作职能就是承担社会管理和公共服务, 从这点上分析, 系统服务受到破坏就会影响国家机关社会管理和公共服务的工作秩序, 因此本案例所侵害客体是社会秩序和公共利益这一类, 侵害程度显然也应该属于严重影响, 根据系统服务安全等级确定的原则, 也应该确定为第三级。
根据信息系统的安全保护等级由业务信息安全保护等级和系统服务安全等级较高者决定的原则, 最终确定湖北省国土资源厅电子政务系统安全保护等级为第三级。
3.3等级测评
在确定系统安全等级后, 湖北省国土资源厅通过政府公开采购, 委托测评机构按照《GB/T 28448-2012信息安全技术信息系统安全等级保护测评要求》标准, 从安全技术和安全管理两大类10个层面, 共计73个测评功能项, 713个基本要求项, 对电子政务系统的安全状况进行了全面测评和综合评估。检查内容涵盖全部安全产品、操作系统、数据库, 对各类网络产品及主机服务器, 采用了抽查的方法, 并兼顾类别与数量, 各类管理文档约10余个, 访谈人员约10余次, 最终形成了《湖北省国土资源厅电子政务系统信息安全等级测评报告及整改建议》。根据测评报告, 湖北省国土资源厅电子政务系统现有安全状况不符合信息系统安全等级保护三级的基本要求, 需要整改。
3.4安全整改及二次测评
根据测评结构的测评报告及整改建议, 湖北省国土资源厅电子政务系统需要整改595项内容, 覆盖安全技术和安全管理共10个方面。鉴于整改任务重, 而经费又有限的实际情况, 湖北省国土资源厅根据专家的建议, 制定了分步整改的计划, 2014年优先整改管理安全方面的问题和技术安全方面可能对系统带来高风险的问题, 其余问题再逐步进行整改。根据这个思路, 湖北省国土资源厅2014年完成了安全管理方面的问题整改, 以及通过配置安全策略、修复系统漏洞、安装安全补丁等技术手段和部署防火墙、入侵防御系统、网络审计系统等安全防护设备, 对技术安全方面可能对系统带来高风险的问题进行了整改。在整改完成后, 湖北省国土资源厅又委托测评机构开展了二次测评, 经过测评, 全部713个基本要求项中260项符合, 222项不适用, 231项不符合, 符合率36%, 不符合率33%。经过分析, 测评项目组认为湖北省国土资源厅电子政务系统经过整改, 安全状况明显改善, 测评结果中尽管还存在一些部分不符合或者不符合项, 但是不会导致信息系统面临高等级的安全风险, 其安全保护能力基本符合等级保护三级的基本要求。
4结束语
信息安全等级保护已成为我国信息安全保障领域的一项基本国策, 实施信息安全等级保护, 能够有效提高信息系统的整体安全水平。本文对信息系统安全等级保护工作的整体过程进行了详细介绍, 并结合实际工作开展给出了具体的建议, 相信对于其他行业开展信息系统安全等级保护工作也具有重要的借鉴意义。
参考文献
[1]信息安全等级保护管理办法[S].公通字[2007]43号, 2007.
【关键词】 等级保护 电子政务 应用
近几年我国电子政务高速发展,同时安全防护问题日益凸显,黑客入侵、信息泄露等危害信息安全事件频发,这严重影响到国民经济和社会信息化的健康发展,应依据电子政务等级保护这一信息安全系统规范对这些安全问题进行认真分析和研究,探讨应对策略和实施等级保护的方式。综合平衡成本和风险,优化信息安全资源的配置,从而对高效、安全防护的方法进行应用和部署,最终实现提高电子政务信息安全保障能力和水平,维护国家安全、社会稳定和公共利益的目标。
一、电子政务等级保护
1、电子政务。电子政务实际上就是政务信息化,运用先进的信息技术打破原来政府各个部门之间的界限,将电子政务网络延伸到省、市、县以及乡镇之中,建设一个电子化的虚拟政府,这可以方便政府办公,提高政府公信力,让公众一起来监督政府的工作;还可以进行网络服务,建设服务型政府,利用电子政务改变行政的管理方式,达到优化政府业务处理流程的目的,从而提高政府的办事效率,保证民情、社会热点信息、经济运行信息以及城市运行管理信息能够及时的上传到信息系统中。
2、等级保护。等级保护是电子政务中至关重要的一种保障方式,在国家经济和社会信息化的发展道路上,提高了信息的安全保障能力和水平,能够在最大限度上维护国家的信息安全。等级保护的核心思路就是等级化,根据电子政务在国家安全、社会稳定、经济安全以及公共利益等方面的重要程度进行划分,同时,结合网络系统面临的安全问题、系统要求和成本开销等因素,划分成不一样的安全保护等级,从而采用相应的安全保护方法,来保证信息或信息系统的保密性和完整性。其主要分为管理层面和技术层面。前者的主要工作是制定电子政务信息安全等级保护的管理方法、基本安全要求以及对电子政务等级保护工作的管理等方面,还可分为安全管理机构、人员安全管理、系统建设管理和系统运维管理。后者的工作主要就是依照管理层的要求对电子政务系统进行网络安全、应用安全、主机安全以及数据安全的确认,然后,确定系统要采取的保障措施,接着就是进行系统的安全设计和建设,最后进行监控和改进。
二、等级保护的技术应用
等级保护的基本原理是按照电子政务系统的使命、目标和重要程度,对系统的保护程度进行划分,设计合理的安全保护措施。
1、基础设施安全。基础设施指为电子政务业务应用提供可靠安全系统服务的一组工程设施,其中有物理机房、设备设施和场地环境等等。可以分为两类:数据中心机房、机房环境;其中要保障数据中心机房的安全,首先要做到机房访问控制,也就是进入机房的人员一定要经过申请或审批,监督访问者,记录进出时间,并且仅允许他们访问已授权的目标;其次在机房重要的区域需要配置电子门禁系统,用来控制、鉴别和记录进入的人员。然后机房环境的安全问题要注意机房的门、墙壁和天花板,以及装修应当参照电子信息系统机房设计的相关标准进行实施;并且要安装防雷系统和防雷的保安器;安装精密空调;电源线路和通信线路隔离铺设,避免发生故障,最后一定要安装机房环境监护系统。
2、通信网络安全。首先要保证网络结构的安全,依照业务系统服务的重要次序来分配带宽的优先级,比如网络拥塞的时候要优先保障重要业务数据流。所以,应当根据各部门的工作职能、重要性和业务流程等重要的因素进行划分。若是重要的业务系统及数据,其网段就不能直接与外部进行连接,要单独划分区域,注意要与其他网段隔离开。其次,网络安全审计主要是用来监控和记录网络中的各类操作的,并检测网络中是否存在现有的或潜在的威胁。这时要安装网络入侵检测系统和网络审计系统,从而保障通信网络的安全。最后要想保证通信的完整性和保密性,一定要利用安全隧道,然后进行认证以及访问权限的控制,从而保障政务网络互联安全、移动办公安全、重点区域的边界防护安全。
3、计算机环境安全。第一,要统一身份管理和授予管理系统。第二,对主机入侵防范要布置漏洞扫描系统,进行系统安全的监测。第三,要防范主机的恶意代码。终端主机和服务器上都要部署防病毒系统,将系统扼杀在源头上。同时,不但要制定防病毒策略,还要及时的更新升级病毒库。第四,一定要保证数据的完整性和保密性。要想检验存储的信息是否具有完整性和保密性,可以采用校验码技术、密码检验函数、消息鉴别码等相关技术。
摘要:随着科技的进步,企业办公信息化、智能化程度显著提升,随之而来的信息安全问题日益突出。企业经营考虑信息化设备创造的利益时,需兼顾互联网开放性造成的风险。针对以上问题,国家严格规范信息系统等级保护工作流程,根据系统的重要性和影响范围划分定级,按照系统级别的不同实施区别化管理。此外,依照信息系统等级保护工作的“三同步”原则(同步规划、同步设计、同步投入运行),在信息系统应用建设的各环节进行标准化管理,规范了信息系统事件的定级、测评、备案、安全整改以及职责等工作标准,同时,明确了检查考核、管理与技术措施,促进供电企业信息专业能力不断提升,充分调动公司各专业的积极性和协调性,有效提高公司信息系统安全管理水平和保护能力。
关键词:信息安全;等级保护;信息系统管理背景简介
通常情况下,企业信息系统管理普遍存在以下问题:(1)信息系统规划阶段侧重于系统功能应用,未提出信息系统安全保护;(2)信息系统设计阶段缺少安全方案的同步设计;(3)信息系统上线运行阶段,未建立安全性测试机制,投运前缺少系统软件恶意代码检测、源代码后门审查、漏洞查找、渗透测试、运行环境测试和等级测评等安全性测评环节。针对以上问题,信息安全等级保护在企业信息系统管理工作中发挥至关重要的作用。信息安全等级保护工作包括定级、备案、安全建设与整改、信息安全等级测评以及信息安全检查五个阶段,覆盖信息系统规划—设计—开发—测试—实施—应用上线与上架—运维的整个生命周期[1]。信息安全等级保护工作的管理思路
根据目前信息系统管理的暴露的缺点,公司将信息系统安全建设作为安全等级保护工作的重点,围绕信息系统应用建设的各个阶段,结合等级保护要求,实现信息系统建设过程的安全管理,有效降低了信息系统上线后的安全隐患,保障了信息系统的安全稳定运行。
2.1 规划阶段
信息系统规划初期,通过建立合理的信息系统安全管理体系、工作要求和工作流程,结合公司实际情况,将系统测评费用纳入其中。
2.2 设计阶段
系统设计阶段,公司要求系统建设部门提交信息系统的安全防护总体方案。对于需要开展安全方案设计的信息系统,在系统定级后,系统建设项目负责部门应组织系统运维单位和系统开发实施单位,根据系统安全防护等级,遵照相关行业信息安全等级保护基本要求和公司信息安全防护总体方案等,制定系统安全防护方案。
2.3 开发阶段
各系统建设部门是信息系统的用户方,必须严格要求系统开发部门遵守相应原则,如使用正版的操作系统、配置强口令、信息系统测试合格正式书等,从而保证系统投运时的实用性和效率。
2.4 测试阶段
系统建设部门组织定级系统,通过具有国家资质的测评机构对系
统进行安全测评,并在当地公安机关网监部门进行定级和备案工作。
2.5 实施阶段和应用上线
各级信息通信职能管理部门,督促检查本单位及下属单位等级保护工作,同时,要求各系统建设部门在信息系统实施阶段,确保系统完成测评整改工作。
2.6 运维阶段
根据“谁主管谁负责,谁运行谁负责”的工作原则,各系统主管部门合理分配部门人员的管理和运维工作,制定所管辖区域的系统安全隐患整改、数据备份以及其他相关安全加固措施。信息系统管理的工作机制
通过信息系统等级保护方案,公司要在系统应用建设全过程中加入安全防护机制,规范信息系统事件的定级、测评、备案、安全整改以及职责等工作标准。此外,为进一步促进等级保护工作的有效执行,公司明确了相应的检查考核管理措施,完善信息系统安全工作的全面管理。
3.1 考评机制
建立相关考评机制。由信息化职能管理部门负责对公司信息专业工作进行标准化管理考评、考核工作,即检查各相关单位网络与信息安全工作的开展情况,并根据上级部门的实时反馈进行整改,从公司信息系统正常运行到信息内外网安全,实施监督和管控,纳入各单位年度绩效指标考核。
3.2 协同机制
成立信息化领导小组及办公室,开展协同控制工作。建立关于信息安全工作的协调机制,明确公司各部门网络与信息安全工作职责,具体负责组织开展信息系统安全等级保护工作,协调、督导信息系统建设部门进行定级、备案、等级测评和安全整改等工作。另外,针对信息系统测评和评估所发现的问题,责任单位制定完善的安全整改方案并认真落实。
3.3 例会机制
例会机制主要通过信息系统等级保护集中工作实现,定期召开信息专业网络安全会议,通过会议通报各单位存在的问题和下一步改进措施。结语
本文提出了一种基于等级保护的信息系统管理工作思路。一方面,从信息系统全生命周期着手,在系统应用建设的各环节加入安全管理工作;另一方面,完善信息系统管理工作机制,通过建立合理的考评机制、协同机制和例会机制,优化系统管理手段。根据以上管理思路,不仅在工作流程上对信息系统进行了安全防护加固,而且制定了相应的管理手段,促进企业信息系统管理工作水平的提升。
参考文献
一、项目名称、性质
(一)名称:信息系统安全等级保护备案
(二)性质:非行政许可
二、设定依据
二OO七年六月二十二日公安部、国家保密局、国家密码管理局、国务院信息化工作办公室公通字[2007]43号印发《信息安全等级保护管理办法》第十五条规定:
已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
三、实施权限和实施主体
根据《信息安全等级保护管理办法》第十五条规定,实施主体和权限为: 隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续;
跨省或者全国统一联网运行的信息系统在自治区一级运行、应用的分支系统及各区直单位运营、使用的信息系统,应当向自治区公安厅网络警察总队备案。
跨省或者全国统一联网运行的信息系统在各市运行、应用的分支系统及各市直单位运营、使用的信息系统,应当向市级公安机关网络警察支队备案。
四、行政审批条件
无。
五、实施对象和范围
根据《信息安全等级保护管理办法》第十五条的规定,实施对象和范围是:不涉及国家涉密信息系统的运营使用单位、信息系统主管部门。
六、申请材料
(一)、《信息系统安全等级保护备案表》;
(二)、《信息系统安全等级保护定级报告》;
(三)根据《信息安全等级保护管理办法》第十六条的规定,第三级以上信息系统应当同时提供以下材料:(1)系统拓扑结构及说明;
(2)系统安全组织机构和管理制度;(3)系统安全保护设施设计实施方案或者改建实施方案;(4)系统使用的信息安全产品清单及其认证、销售许可证明;
(5)测评后符合系统安全保护等级的技术检测评估报告;(6)信息系统安全保护等级专家评审意见;
(七)主管部门审核批准信息系统安全保护等级的意见。(提交复印件的应交验原件,复印件规格统一采用A4纸,以上提交材料均为一份)。
七、办结时限
(一)法定办结时限:10个工作日。
(二)承诺办结时限:10个工作日。
八、行政审批数量 无数量限制。
九、收费项目、标准及其依据
不收费。
十、办理时间
夏令时:早上8:30-12:00,下午15:00-18:00
冬令时:早上8:30-12:00,下午14:30-17:30
信息系统安全等级保护备案流程图.doc 附件1.行政审批流程图
2.申请书示范文本
(一)转载
朱建平:各位来宾大家下午好。由我来讲,我们评估中心专门是从事测评工作的,所以我想介绍政策法规。所以这个关于等级保护的政策方面,还是以后有机会让顾局有机会跟大家介绍。我今天跟大家讲讲和我们工作,等级评估工作相关的测评方面的一些工作。
今天想给大家讲三个方面的内容,一个是等级测评,在等级保护中的作用和地位。第二个是等级测评在奥运安保中间的作用。第三是等级测评一个简单的介绍。
信息安全等级保护的工作流程主要有五个规定:第一个就是定级,定级工作目前市部委下发了一个文件,基本上已经圆满结束了。接下来,第二个阶段的工作就是根据你这个信息系统定完是多少级,要进行相应这个级别的建设和整改工作。在整改和建设完成以后,就有一个对这个系统来进行一个测评。测评完了,应该向主管公安部门进行备案,根据备案材料,进行法规所赋予的监管权利和义务,对这个信息系统进行监管。
通过信息安全等级保护工作流程可以看出,定级是一个首要环节,是定级保护工作的一个开始的环节,但不是核心环节。定级只是一个手段,目的是为了保护国家对已经确定的安全保护等级的信息系统,根据信息技术发展,根据现在的黑客攻击能力,对一到五级的系统,在技术和管理方面,十个部分已经规定了最低的保护要求,如果满足了基本要求,系统就具备了相应等级的基本安全保护能力,达到了一个基本的安全状态,基本要求这个环节是信息安全等级保护的核心。已经确定安全保护的系统是否满足基本要求是需要信息安全等级测评来进行判断的。
系统安全等级测评,不同于一般的安全测和风险评估。等级测评活动的完全首先是依据系统安全保护等级和该级别系统的基本保护要求。同时还要求测评人员具有把握国家政策,理解和掌握相关的技术。最为重要的是等级测评的结果,将是国家信息安全监管部门依法行政管理的技术依据,因此,等级测评活动,是一项政策性很强的技术专业化的一个信息安全服务。
由此可见,信息安全等级测评,是开展信息安全等级保护工作的一个重要环节。是在国家管理下的技术支撑活动和纯粹的商业化的评估有明显的区别。信息安全等级测评,首先要满足国家管理的需求,但是可以采取市场化运行的一种模式。第二给大家介绍一下去年奥运工作中,我们等级测评的一些工作。这是整个等级测评在奥运安保中作用的一个图。对于某一个奥运的信息系统,首先我们开展了一个定级的工作,采用了我们评估中心制订的国家标准,定级指南,对这个奥运系统进行定级。定级指南是2240,基本要求是2239。根据这个定级的标准,把这个奥运信息系统定完级以后,其实它应该具有什么样的保护,有什么要求,基本上已经定了。
然后有一个第一次的测评,就看它比如说定的是三级和基本保护的要求,三级的要求,看看它符合性有多少,那第一次测评基本上都是差距比较大。所以,这个奥运的系统进行了相应的整改。按照基本要求,当时对四个奥运的系统进行测评,问题还是比较大。找出来的问题比较多,经过整改了以后,使得它达到了基本保护要求的很多项的要求都已经满足了,但是我们觉得奥运系统,达到一个基本的安全状态还是不够。为什么?因为这是在我们现在提出的那个基本要求是泛泛针对整个信息系统,它是一个底线的基本要求。
这证明了,如果你达到了这样一个基本要求,证明了你这个系统达到了一个基本的安全状态。如果在一个特定的时期,比如说你在奥运期间,有很多国外的这些反华的势力还有其他的机构,可能会对这些系统进行一些不利于我们国家的一些情况的动作,所以,在这样特殊的威胁之前,对我们的奥运系统又进行了一个特殊安全需求的挖掘,然后又进行了风险评估和渗透测试。
在这个风险评估和渗透测试这些特殊的安全系统加进去以后,发现也有很多问题,然后再进行整改。整改了以后,再进行第二次测评,测评完了以后,在奥运之前,基本上这样反反复复做了三次,使得我们奥运的四个信息系统,在整个的奥运期间,大事没有出,小事也基本上没有,达到了我们国家对奥运信息系统预期的一个安全上的要求。
从奥运的工作中间,我们可以看到,应该要用等级保护的思想,对这个信息系统进行保护。然后风险评估是寻找系统的脆弱性,渗透测试主要是验证这个脆弱性的机构。所以我们认为等级保护是这个信息系
统安全保护的一个基础。风险评估,它是一个有益的补充,然后渗透测试它是对这个系统安全性的一个验证。
第三,向大家介绍一下等级测评。这是等级测评的一个过程,针对某一个信息系统,跟奥运的一样,首先要用国家的标准对这个系统进行定级,定级的过程大家都比较清晰,主要是考虑它对国家重要性的程度,和它损害以后的危害和要素来进行定的级。定完级以后,用基本的要求,对它进行最基本的保护。但是由于现在很多的信息系统不是新建的,都是已经在运行使用的,所以它当时在运行使用设计的时候不是按照这个等级保护的要求来做,所以会有一些地方有一些差距。所以,一般在整个活动中间,定完级以后,后面的工作没有强制一定要进行测评,也可以根据标准,比如定了三级,可以根据级别要求,三级所要求的项和你自己的信息系统设计的那些安全状态进行比对,但是有很多的运行使用单位,它的信息中心,或者是信息安全的主管的那些部门,他人手比较少,信息系统比较大,这样一个比对工作无法单独自己完成,所以也就可以委托那些测评机构,对他的现状,目前的安全现状和他所定的级别之间的差距有多少,可以做第一次的测评。
我们评估中心目前现阶段做的大部分测评工作,主要是现状测评。测评完以后,可以提出一个系统整改的最基本的安全需求,就是和所定的级的差距项有多少项,这是整改的第一个需求。
根据这些需求,你也可以根据你自己行业的一些特殊的需求,比如说,你的上级主管部门要求你的,比如说银行,我们这个标准里面要求业务连续性没有那么高,但是银行的那个他要求你必须得要四个九的业务联系要求,也就是说一年只能够停半小时这样的要求,比我们的基本要求高,这些行业的特殊的安全需求,也可以加进来也是作为一个整改的内容。
然后进行整改以后,再进行法规上的要求的第三个规定动作,测评。第二次测评是一个符合性的测评,就是和国家要求你的级别所应该达到的保护能力的一个符合性测评,测评肯定存在两个结果,一个结果是做得不错,全部都按照基本要求,都测试合格了。我们认为你这个系统已经达到了一个基本的安全保护的状态,是可以备案运行使用。还有一种情况,肯定是存在某些项目没有达到,存在一些缺陷下,对于这个缺陷,我们目前处理的方法是,对这个缺陷下,要进行风险评估,并不是说,判你不合格,然后又让你打回去,再进行整改,再测评,这样可能会造成一些死循环。因为有些系统,由于本身的原因,业务上的一些原因,是不一定能够达到你这个级别所要求的那些技术。在缺陷存在的情况下,你就得要进行风险评估。看看有什么威胁,能对这个缺陷起作用,然后存在的风险有多大,如果你这个信息系统什么也没有,那可能你计算出来的风险就很大。那个时候,可能就得要回去加一些东西,如果说,你觉得强制保护工作做不到,那我做一些其他的,但是也是能够提升他的保护,然后降低这个风险的,比如说我做了一些防护控制和间谍,使得他的防止内部人员作案不容易了,然后再进行风险评估的时候,发现他的风险值就降低了。然后你通过增加一些其他的不是强制防护控制的机制,使得它的风险降低了,原来是5,现在变成了3,根据风险评估的界定,风险的大小可以决定这个信息系统是不是可以运行,所以我们把它作为是带病运行。并不是说是可以永远带病运行,如果是三级的系统,要一年做一次测评的。短期可以带病运行,但是不能保证长期的带病运行。如果长期的技术或者条件许可情况下,还得要按照要求来达到最上面的合格,达到一个基本安全保护的状态。
前面说的那么多必须要达到,那么要什么依据来让我做到。我现在向大家说一下,我们这个等级测评,最后判定的是系统的保护能力。什么是保护能力呢,就是该级别的系统,应该具备该级别的保护能力。信息系统由于种种原因造成被攻击目标。对信息系统,实行安全保护的目的,就是要对抗系统面临的各种威胁,从而降低由于威胁给系统带来的损失,但由于信息系统的保护成本很高,不可能全面抵抗各种各样的威胁,因此,系统因根据其重要的程度,具备不同程度的安全保护能力,以抑制受保护朋友,并在遭受攻击后得以的快速恢复。保护能力体现在两个方面,一个是抗威胁的能力,还有一个是系统的恢复能力,这两个方面,八宝壶成本合理得用在最需要的地方。
这里向大家介绍一下,第三级的保护能力。保护能力,应能够在统一安全测量下,防护系统免受来自外部有组织的团体,拥有较为丰富的资源,较为严重的自然灾害,持续时间较长,覆盖范围较广等,其他相当程度的威胁,内部人员的恶意威胁,较严重的技术故障等所造的损害,在系统遭受危害之后,能够较
快恢复绝大部分的功能。
下面是这个保护能力的一个最终实现和体现的,这是一个图。某级的信息系统,三级的,我们认为,你必须具备三级的保护能力,就刚才前面介绍的,有两个部分组成,一个是应该抵抗的威胁和遭受破坏以后,你的恢复能力。
朱建平:等级保护评测是信息安全首要环节(二)转载
这个级别的保护能力,等级保护就是说,这个能力必须要强制必须要做到,和其他的一些测评是有本质的区别。然后这个保护能力,你怎么实际去做到?我们中间有一个安全目标。这个安全目标是把保护能力进行了细化,有各种安全措施来进行实现。怎么来实现这些安全目标?我们的基本要求,列出了一大堆的安全措施和安全机制来对应这个安全目标。当你在选择安全目标的时候,可以基本要求里面对应的,比如三级可以从三级里面去寻找对应的安全措施,也可以选取更高级别的,如果这个级别对你来讲比较弱,还可以选择更高级别的要求里面去选那些安全措施来满足你这个安全目标。
还有一个我觉得就是某一个层面,我实现得很困难,但是我是不是可以从其他层面上来保护?这个也是一个没有办法的办法。因为这个信息系统安全大家知道,还有一个终生防御的概念,我在各个层面上都可以加不同的安全机制,当某一个层面被突破以后,另外一个层面上还有一些保护措施,使得它的攻击比较难,因为有一个终生防御的这样一个机制在里面。当你的资金各方面存在困难,然后这个安全目标必须要实现的时候,可能我们要求你在某一个层面,比如说要求你是在主机层面上实现比较困难,可能在其他的层面上去实现。但是所对应的安全目标,是目前要满足的。措施可以选择,有一些基本要求的条款,你觉得这些条款对你实现来讲,或者和你现在已经采取的措施来讲,有一些地方你做的东西和我的是差不多的,所对应的安全目标也是一致的,那其实也是可以通过这个其他层面的安全措施的一些互补关系来进行分析。然后最终选取达到安全目标采取的措施。
还有就是现在新发展的那些安全措施,安全技术,我们也不排斥,等级保护的措施也排斥,只要你这些安全措施提供的安全功能和机制是能够满足我这个安全目标的,那我也可以认为你选择对的安全措施。还有一个就是刚才前面讲了,实在做不到,是不是可以探索,也能够满足你的安全目标,或者基本满足你的安全目标,这也是可以进行尝试的。因为你这个有保护,我们认为,你有保护,总比没有保护好,我这个做不到,我什么也不做,那肯定是不合适的。因为这条做不到,但是想了办法了,也采用了一些其他的保护能力比较低的,但是通过它的组合,使得它的安全能力进一步提高,这是一个保护能力,如何来实现的一个图。
我们的基本要求,对于不同的级别,推荐了十个方面的一些措施和机制。主要分技术要求管理要求。技术要求是五个方面,主要分在物理安全、网络安全、主机安全、应用安全、数据安全。
对于信息系统,安全等级保护的状况进行测试评估,应该包括两个方面,刚才前面讲了,按照我这个要求,已经做完了,要测评,怎么测评呢?下面向大家介绍一下测评。测评工作主要分两个方面。一个是单元测评,就是前面讲的分了十个方面,但是每个方面它下面还下挂着很多的那些单元的要求,比如物理安全,有物理位置的选择、控制等等一些单元的测评项。单元测评主要是信息安全保护的一个基本控制的情况,主要测这个情况。还有一个是整体测评。整体测评,它主要是分析信息系统的一个整体的安全性问题。
测评的基本方法有三种,一种是访谈,另外一种是检查,还有一个是测试。访谈的对象主要是人员,典型的访谈包括访谈信息安全主管,信息安全管理员,信息系统的网络安全员,设备安全管理员和用户。工具主要是管理核查表。适用的情况是对技术要求使用访谈方法进行测评的,目的是为了了解信息系统的全局性,包括局部,但是不是细节方向。一般不涉及到具体的实现细节和具体的技术措施,对管理要求,访谈的内容应该较为详细和明确。我们对这个访谈的策略,后面会讲,就是我这个测评有一个测评强度,访谈获得的证据,一般不作为系统测评判定的是否达到要求的一个主要依据,作为是一个参考的依据。但是对低级别的一些系统,有一些访谈的结果是可以作为他测评的依据的。
检查主要有评审、核查、审查、观察、研究和分析等等。检查对象是稳当、机制、设备等,工具是技术核查表。对管理要求,检查的方法主要用于规范性的要求,检查文档。你把防火墙的策略打出来,我看
一看,是不是这个配制,和整体安全的要求,策略是不是一致,把这个都是检查,不是自己动手做。最后的测试是要自己动手,主要分在功能、性能测试还有渗透测试这两个方面。测评对象包括安全的机制,设备等等。测试一般需要借助于特定的工具,比如扫描检测工具,网络协议分析仪等等。适用情况,对技术要求来讲,测试的目的是验证信息系统当前的安全机制,或者运行的有效性和安全强度等等。对管理要求一般不采用测试技术的。
接下来向大家介绍一下测评强度。对信息系统的要求,安全等级越高,基本要求强度越强。体现为安全控制的多少,而且越细。比如说物理安全上面的环境选择,一级的可能AB就两项,二级的ABCD有四项要求,三级的可能ABCDEF,这是体现安全控制的点的多,还有要求更细,这是基本要求上面的一些要求。
对测评也提出了不同的要求。安全等级级别越高,测评的强度应该越强。测评强度,体现在这个测评工作的努力程度上,反映出测评的广度和深度,这个强度从一级到四级是逐步增强的,也就是说,我所获得的证据的那个准确性就更高,遗漏的情况可能就会更少。
咱们可以举一个简单例子,比如说在做网络控制列表测评的时候,你这些用户名和用户都是你开的吗,每个用户是谁你都知道吗?他说这些都是我开的,还有几个什么以前的临时帐户什么的,为什么还留着?因为有的时候调试还要进行调试,你只要回答得出这些问题,上面的那些防护控制列表上的用户,只要你的管理员都知道这些帐户是什么用处的,那么一级基本合格。到二级这样强度和深度是不够的。首先问他,这些方面的没用的,经常不用的,临时的是不是都已经删除掉了?你上面现在有的这些防护控制列表,是不是是随意的,你自己控制的,说我可以添加一个用户,让它授予权限,还是必须每个开用户授权都是有明确的授权书,是根据授权书执行授权操作还是可以操作,那对二级来讲是不行的。有管理部门对这个人员的使用要求要授权,测试的要求就高了,深度就深了,更细了。到了三级要求更高,我举一个例子,表明这个测试,同样测一项指标,可能不同的级别,所付出的努力和所提的要求是完全不一样的。
向大家介绍一下系统测评。系统测评主要包括安全控制间的安全测评,还有层面间的安全测评,还有区域间的一些安全测评。根据这个关联作用,逐层测评分析安全控制间、层面间和区域间的关联关系,对整体安全保护能力的影响。这个主要是考虑就是前面我们是把这个系统的要求打碎了,把它技术分在五个层面上,但是我在测评的时候,我还要把它列起来,看它回到基本要求最前面的保护上去。所以某一个测评项,可能不满足,不并不是判定你整个的系统就不满足了。我首先通过系统测评要考虑是不是在同一层面上是不是存在一些安全机制,和它是互补的,我做了这个,等于是达到了另外一个一样的安全目标这样的功能、作用。还要看如果这个层面上没做,那另外一个层面上是不是做了,举一个简单的例子,防止信息在网络上传输的时候被人家窃取,如果你做了密文那就更好了。明文走密道合不合格,也起来了作用,因为这个标准上的要求是要密文走明道的,这个是不同层面间存在的互补关系,而且所对应的基本要求里面的防止内部人员通过网络侦听来获取信息这样一个安全目标,能够达到我们认为你这个系统整体测评在这一项上也是合格的。
还有就是区与区之间的测评,这是一个整体测评的,还有从系统整体结构方面来进行考虑,这是一个系统整体的测评的问题。测评是一个很复杂的,我们认为测评其实是有两个部分,一个是测一个是评,测,前面讲的单元测评是解决一个测的问题,获取证据,后面的评主要是从系统角度来进行评估和评判。这么多获得的那些证据把它串起来,分析相互之间的关系,然后做出最终的一个判断,使得你这个系统是不是达到了这个系统的保护能力的要求。我们所关注的是保护能力不能缺失,而不是说某一个安全机制或者措施缺失了。
信息安全等级保护工作的核心内容就是通过制定统一的政策标准, 依照现行的相关规定, 由各单位开展信息安全等级保护工作, 同时由各相关管理部门对进行的信息安全等级保护工作进行检查监督, 进而实现国家对于重要信息系统的保护, 提升重要系统的安全性。
1 信息安全等级保护发展历程
近年来信息化建设不断发展, 我国的信息安全等级保护工作发展也在随着信息化的飞速发展发生着变化, 其发展主要经历了以下四个阶段。
1.1 政策阶段 (1994—2003年)
国务院于1994年颁布《中华人民共和国计算机信息系统安全保护条例》, 条例中首次提出计算机信息系统要实行安全等级保护。中央办公厅、国务院办公厅于2003年颁发《国家信息化领导小组关于加强信息安全保障工作的意见》, 再一次明确地指出要实行信息安全等级保护, 这两项政策的提出, 标志着等级保护政策性地位的一次提升。
1.2 基础阶段 (2004—2006年)
2004年到2006年期间, 公安部联合四部委持续开展了等级保护基础调查和等级保护试点工作, 其中涉及65117家单位, 共115319个信息系统。在本次等级保护基础调查和等级保护试点工作中, 初步研究出一套如何开展等级保护工作的方式方法, 为接下来在全国全面推行等级保护工作打下了良好的基础。
1.3 推行阶段 (2007—2010年)
四部委于2007年6月联合出台《信息安全等级保护管理办法》。同年7月, 四部委联合颁布《关于开展全国重要信息系统安全等级保护定级工作的通知》, 同月又继续召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议, 至此我国的信息安全等级保护制度, 在历经十多年的探索后, 已经逐步成熟, 正式进行推行启动。
1.4 全面阶段 (2010年至今)
公安部于2010年4月出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》, 《通知》中提出了等级保护工作的阶段性目标。公安部和国务院国有资产监督管理委员会联合于2010年12月出台《关于进一步推进中央企业信息安全等级保护工作的通知》, 该《通知》上要求中央企业要坚决贯彻执行等级保护工作。由此可见, 我国信息安全等级保护工作已经顺利展开, 并进入全面推进阶段。
2 信息安全等级保护内容
信息安全等级保护内容具体可分为系统定级、系统备案、建设整改、等级测评、监督检查五个方面。
2.1 系统定级
按照《信息安全等级保护管理办法》中的相关规定, 信息系统的安全保护等级可以分为以下五个等级。
第一级是信息系统受到破坏后, 会对公民、法人和其他组织的合法权益造成损害, 但不损害国家安全、社会秩序和公共利益。
第二级是信息系统受到破坏后, 会对公民、法人和其他组织的合法权益产生严重损害, 或者对社会秩序和公共利益造成损害, 但不损害国家安全。
第三级是信息系统受到破坏后, 会对社会秩序和公共利益造成严重损害, 或者对国家安全造成损害。
第四级是信息系统受到破坏后, 会对社会秩序和公共利益造成特别严重损害, 或者对国家安全造成严重损害。
第五级是信息系统受到破坏后, 会对国家安全造成特别严重损害。
2.2 系统备案
信息系统由各单位按照《信息安全等级保护管理办法》中的相关规定确定安全等级后, 信息系统定级在二级以上的, 信息系统使用单位按照《信息安全等级保护备案实施细则》的相关要求办理信息系统备案工作。对于不符合信息安全等级保护要求的, 公安机关会通知备案单位进行相关整改;而对于符合信息安全等级保护要求的, 经过审核合格的单位, 公安机关会对该信息系统予以备案, 并向使用部门发放由公安部统一监制的《信息系统安全等级保护备案证明》。
2.3 建设整改
为有效保障信息化的健康发展, 减少信息安全隐患和信息安全事故, 信息系统使用单位应采取分区分域的方法开展信息系统安全建设整改, 对信息系统进行全面加固改造升级, 按照信息系统保护等级, 对信息系统实施安全保护。
信息系统使用单位应对照《信息系统安全等级保护基本要求》中的内容, 开展信息系统的信息安全等级保护安全建设整改, 双路并行, 坚持管理与技术并重, 从物理安全、主机安全、应用安全、网络安全及数据备份与恢复五个安全技术相关方面进行建设整改。同时也要从安全管理人员、安全管理机构、安全管理制度、系统建设管理及系统运维管理五个安全管理相关方面开展进行。两手抓两手都要硬, 技术与管理要进行协调融合发展, 从而建立起一套完整的信息系统安全防护体系。
2.4 等级测评
测评机构按照规定程序对信息系统进行等级测评, 测评后会按照公安部制定的《信息系统安全等级测评报告模板》出具定级测评报告, 包括报告摘要、测评项目概述、被测信息系统情况、等级测评范围与方法、单元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结论、安全建设整改意见等内容。
信息安全等级保护测评工作结束后, 信息系统管理人员可以完整地了解信息系统的相关安全信息, 深层次发现信息系统的漏洞, 彻底排查信息系统中的安全隐患, 并且可以明确信息系统是否符合等级保护的相关要求, 是否具备相应的安全防护能力。
2.5 监督检查
备案单位按照相关要求, 需定期对信息安全等级保护工作的落实情况进行自查, 掌握信息系统安全管理和相关技术指标等, 及时发现信息系统存在的安全隐患, 并有针对性地采取正确的技术方法和管理措施。
公安机关依据有关规定, 以询问情况、查阅核对资料、调看记录资料、现场查验等方式对使用单位的等级保护工作进行检查, 对其等级保护建设的信息安全措施、相应信息安全管理制度的建立和落实、信息安全责任落实责任等方面进行督促检查。
3 信息安全等级保护意义
在信息环境日趋复杂的如今, 信息安全等级保护工作的开展对我国信息系统安全建设的整体水平有非常大的帮助, 信息安全设备的投入在信息化系统的建设过程中必不可少, 信息安全与信息化建设在信息安全等级保护工作中有机配合。信息安全等级保护为信息系统的安全建设和管理提供了系统性地指引, 进而控制了信息安全建设的成本。同时还对优化信息安全资源具有促进意义, 信息系统的分级保护, 可以重点保障基础信息网络和国家重要信息系统的安全, 有利于加强信息安全管理, 推动信息安全产业的发展, 进而逐步探索出适合我国国情发展的信息安全模式。
4 结语
信息技术高速发展在带来无限便利的同时, 也在信息安全方面带来日益严峻的挑战, 作为信息系统的重要支撑, 信息安全等级保护在未来的发展中举足轻重, 接下来应当继续不断地完善其相关的法律法规及技术标准, 在更大的范围内全面推行, 以满足新形势下的信息安全发展需求。
摘要:信息安全等级保护是国家信息安全保障领域的基本要求, 能够有效保障信息化工作的健康发展。笔者介绍了我国信息安全等级保护的发展历程及信息安全等级保护的具体内容, 并在此基础上, 分析了信息安全等级保护工作开展的重要意义。
关键词 云安全模型 信息系统 保护测评
中图分类号:TP3 文献标识码:A
文中以云安全服务模型为研究依据,从云计算信息系统的安全特性入手,提出建立云安全服务模型及管理中心,介绍了云安全等级保护模型的建立情况。
1简述云计算信息系统安全特性
以传统的互联网信息系统相比较,云计算信息系统把全部数据的处理与存储都放在服务端,终端用户根据网络可以及时获取需要的信息和服务,没有必须在本地配置的情况下进行数据的处理和存储。根据网络中所设置的网络安全防护设施,可以在服务端设置统一的身份兼备与安全审计系统,确保多数系统出现的安全问题得到有效解决,但此时新的设计服务模式又会带来新的安全问题,例如:滥用云计算、不安全的服务接口、数据泄露、安全管理等多个方面的问题。
2建立云安全服务模型及管理中心
现实中的不同云产品,在部署模型、资源位置、服务模型等各个方面都展现出不一样的形态和模式,进而形成各不相同的安全风险特征及安全控制范围。所以,必须从安全控制的角度创建云计算的模型,对各个属性组合的云服务架构进行描述,从而确保云服务架构到安全架构的合理映射,为设备的安全控制和风险识别提供有效依据。建立的云安全服务模型如图1所示。
3云安全模型的信息安全等级测评办法
云安全信息安全保护测评的办法就是根据云安全服务模型与云安全中心模型,考察用户在云安全方面的不同需求,安全模型处在安全等级保护体系下的不同位置。安全模型一端连接着等级保护技术,另一端连接着等级保护管理的要求。根据云安全信息中心的建模情况,对云安全模型下的核心基础、支撑安全展开分析,获取企业在云安全领域的信息安全等级测评模型,依照模型开展下一步的测评工作。
3.1分析等级测评云安全模型下的控制项
根据上述分析情况,可以把云安全模型嵌套在云安全等级保护模式中,从而展开与云安全有关的信息安全等级评价,并对安全模型下的有关控制项展开分析。首先察看云认证及授权情况,对是否存在登陆认证、程序授权、敏感文件授权等进行测评。依照不同的访问控制模型,选择访问控制的目标是强制性访问、自主性访问、角色型访问,进而采取与之相对应的方法。为了确保网络访问资源可以有效的控制和分配,需要创建统一、可靠的执行办法和解决策略。自由具备统一、可靠地方式才可以保障安全策略达到自动执行的目的。测试网络数据的加密情况,要对标准的加密功能及服务类型,做到静态和动态的安全保护。探测数据的备份与恢复情况,就必须查看云备份是否安全、数据销毁情况、磁带是否加密及密码钥匙的管理,检查的重点是供应商的数据备份情况。查看对管理用户的身份是否可以控制管理,是否可以管理用户角色的访问内容。查看用户的安全服务及审计日志,其中包括网络设备的监控管理、主机的维护、告警管理与维护等。
3.2分析等级测评云安全模型的风险性
依照等级保护的有关要求,运用风险分析的办法,对信息系统展开分析时必须重视下面的内容。
(1)云身份认证、授权及访问控制
云安全对于选择用户身份的认证、授权和访问控制尤为重要,但它所发挥的实际效果必须依赖具体的实施情况。
(2)设置云安全边界
云安全内部的网络设备运用防火墙这系列的措施展开安全防护。但外部的云用户只能运用虚拟技术,该技术自身携带安全风险,所以必须对其设置高效的安全隔离。
(3)云安全储存及数据信息备份
一般情况下,云供应商采用数据备份的方式是最为安全的保护模式,即使供应商进行数据备份更加安全,仍然会发生数据丢失的情况。所以,如果有条件的,公司应该采用云技术共享的所有数据进行备份,或在保留数据发生彻底丢失事件时提出诉讼,从而获取有效的赔偿。云计算中一直存在因数据的交互放大而导致数据丢失或泄露的情况。如果出现安全时间,导致用户数据丢失,系统应该快速把发生的安全时间通报给用户,防止出现大的损失。
4结束语
综上所述,随着云计算技术的发展,云计算信息系统会成为日后信息化建设的重要组成部分。文中从云安全等级保护测试为研究依据,简述了云计算信息系统安全特性,对云安全服务模型及管理中心的建立情况进行分析,提出云安全模型的信息安全等级测评办法。
参考文献
[1] 赵继军,陈伟.一种基于云安全模型的信息系统安全等级保护测评方法[J].信息网络安全,2013,(z1):43-45.
[2] 潘一飞.基于云安全模型的信息系统安全等级保护测评策略[J].中国新通信,2014,(3):7-7.
【如何理解信息安全等级保护与分级保护】推荐阅读:
如何理解信任与监督的07-09
如何理解发展经济与观念创新12-17
如何保护个人隐私信息11-07
对环境保护的理解演讲稿12-06
如何理解入党誓词09-30
如何理解选择比努力更重要,如何选择?06-28
如何正确处理经济发展与环境保护的关系12-03
您是如何理解教学品质的07-13
如何提高学生的听力理解能力09-18
如何理解中国特色社会主义理论体系06-21
