2010第六期.indd

Size: px

Start display at page:

Download "2010第六期.indd"

云水
7 years ago
Views:

1 信息安全等级保护政策和标准体系综述技术广角宋言伟马钦德张联通系统集成有限公司山东省分公司摘要健济南基础信息网络及信息系统是国家和社会发展的重要战略资源社会发展对信息化的依赖程度越来越高保障基础网络和重要信息系统安全维护国家安全保障社会稳定和经济命脉是信息化发展中必须要解决的重大问题本文系统论述了国家信息安全等级保护政策和标准体系为信息系统的安全运营提供参考关键词信息安全等级保护政策标准 2003年7月国家信息化领导小组审议通过了国家信引言息化领导小组关于加强信息安全保障工作的意见 (中信息安全分等级保护是当今发达国家保护关键信办发[2003]27号) 明确指出将等级保护制度作为我国信息基础设施保障信息安全的通行做法 1998年1月美息安全领域的一项基本制度同时提出了需要加强信息国国防部制定了国防信息保障纲要 1998年5月又保护和网络信任体系建设信息安全监控体系建设信制定了信息保障技术框架 2002年通过了联邦息安全应急处理信息安全技术研究开发产业发展信息安全管理法案规定必须对联邦政府信息系统法制和标准化建设人才培养等一系列工作要求进行安全评估并备案为美国政府机构信息系统改善信息安全问题设定了目标也被称为美国电子政务法案 1 基本概念以可信计算机系统评估准则为核心的彩虹系列标准信息安全等级保护是指对国家秘密信息法人和其的颁布推行代表着美国以分等级管理为手段来保护关他组织及公民的专有信息以及公开信息和存储传输键信息化基础设施思路的形成信息保障技术框架处理这些信息的信息系统分等级实行安全保护对信息 (IATF) 联邦信息处理标准(NIST) 等一系列标系统中使用的信息安全产品实行按等级管理对信息系准的颁布推行则标志着以分等级保护有重点保护为统中发生的信息安全事件分等级响应和处置[1-2] 核心的国家信息安全保障体系的确立为确保信息安全对信息系统的安全等级划分通常有两种描述形式管理体系的实施效果 2004年1月美国成立了全国即根据安全保护能力划分安全等级的描述和根据主体信息保障委员会全国信息保障同盟和关键基遭受破坏后对客体的破坏程度划分安全等级的描述这两础设施信息保障办公室等10多个全国性的信息安全机种形式信息系统根据安全保护能力被划分为五个等构来负责指导推进和监管信息系统安全相关政策标级第一级为用户自主保护级第二级为系统审计保准的落实 911事件后美国将信息安全监管的职责交护级第三级为安全标记保护级第四级为结构化保护给了新成立的国土安全部[1] 级第五级为访问验证保护级[3] 根据信息和信息系统我国党中央和国务院高度重视信息安全保障工作 58 信息通信技术在国家安全经济建设社会生活中的重要程度遭受

2 破坏后对国家安全社会秩序公共利益以及公民法人和其他组织的合法权益的危害程度, 针对信息的保密性完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素, 信息和信息系统的安全保护等统安全等级保护状况进行检测评估的活动等级测评过程可以分为四个活动 : 测评准备方案编制现场测评与分析报告编制等, 常用的测评方法是访谈检查和测试 [5-6] 级共分五级 : 第一级为自主保护级 ; 第二级为指导保护监督检查工作 : 公安机关信息安全等级保护检查工级 ; 第三级为监督保护级 ; 第四级为强制保护级 ; 第五作是指公安机关依据有关规定, 会同主管部门对非涉密级为专控保护级 [2] 重要信息系统运营使用单位等级保护工作开展和落实情按照两种等级划分描述的对应关系如表 1 所示况进行检查, 监督检查其建设安全设施落实安全措表 1 信息系统安全等级划分对应表等级第一级第二级第三级第四级第五级监管强度自主保护级指导保护级监督保护级强制保护级专控保护级保护能力用户自主保护级系统审计保护级安全标记保护级结构化保护级访问验证保护级侵害客体及侵害程度信息系统受到破坏后, 会对公民法人和其他组织的权益有一定影响, 但不危害国家安全社会秩序经济建设和公共权益信息系统受到破坏后, 会对公民法人和其他组织的合法权益产生严重损害, 或者对社会秩序和公共权益造成损害, 不影响国家安全信息系统受到破坏后, 会对社会秩序和公共利益造成严重损害, 或者对国家安全造成损害信息系统受到破坏后, 会对社会秩序和公共利益造成特别严重损害, 或者对国家安全造成严重损害信息系统受到破坏后, 会对国家安全造成特别严重损害 Broad Angle for Technology 信息系统等级保护工作主要分为五个环节, 定级备案建设整改等级测评和监督检查 [4] 定级工作 : 对信息系统进行定级是等级保护工作的基础, 定级工作的流程是确定定级对象确定信息系统安全等级保护等级组织专家评审主管部门审批公安机关审核备案工作 : 信息系统定级以后, 应到所在地区的市级以上公安机关办理备案手续, 备案工作的流程是信息系统备案受理审核和备案信息管理等建设整改工作 : 信息系统安全等级定级以后, 应根据相应等级的安全要求, 开展信息系统安全建设整改工作 : 对于新建系统, 在规划设计时应确定信息系统安全保护等级, 按照等级要求, 同步规划同步设计同步实施安全保护技术措施 ; 对于在用系统, 可以采取分区分域的方法, 按照整体保护原则进行整改方案设计, 对信息系统进行加固改造等级测评工作 : 信息系统安全等级保护测评工作是指测评机构依据国家信息安全等级保护制度规定, 按照有关管理规范和技术标准, 对未涉及国家秘密的信息系施建立并落实安全管理制度落实安全责任落实责任部门和人员 2 政策体系近几年以来, 为组织开展信息安全等级保护工作, 国家相关部委 ( 主要是公安部牵头组织, 会同国家保密局国家密码管理局原国务院信息办和发改委等部门 ) 相继出台了一系列文件, 对具体工作提供了指导意见和规范, 这些文件初步构成了信息安全等级保护政策体系, 如图 1 所示中华人民共和国计算机信息系统安全保护条例和国家信息化领导小组关于加强信息安全保障工作的意见分别为信息安全保护工作提供了法律依据和政策依据前者是国务院于 1994 年发布的第 147 号令, 明确规定了计算机信息系统实行安全等级保护, 安全等级的划分标准和安全等级保护的具体办法, 由公安部会同有关部门制定后者又称中办发 [2003]27 号文件, 明确指出 : 实行信息安全等级保护要重点保护基础信息网络和关系国家安全经济命脉社会稳定

3 等方面的重要信息系统抓紧建立信息安全等级保护制统运营使用单位信息系统备案工作的内容流程审核度制定信息安全等级保护的管理办法和技术指南等内容指导各级公安机关受理信息系统备案工作技术广角关于信息安全等级保护工作的实施意见和信关于开展信息系统等级保护安全建设整改工作的息安全等级保护管理办法是对等级保护工作的开展提指导意见和关于加强国家电子政务工程建设项目信供宏观指导的两个政策文件前者的主要内容是贯彻落息安全风险评估工作的通知是指导安全建设整改环节实信息安全等级保护制度的基本要求明确等级保护工工作的政策文件前者明确了非涉及国家秘密信息系统作的基本内容工作要求和实施计划以及各部门工作开展安全建设整改工作的目标内容流程和要求等职责分工等后者的主要内容是明确了信息安全等级保后者要求非涉密国家电子政务项目开展等级测评和信息护制度的基本内容流程及工作要求信息系统定级安全风险评估要按照信息安全等级保护管理办法进备案安全建设整改和等级测评的事实与管理信息安行明确了项目验收条件公安机关颁发的信息系统安全产品和测评机构选择等全等级保护备案证明等级测评报告和风险评估报告关于开展全国重要信息系统安全等级保护定级工关于推动信息安全等级保护测评体系建设和开展作的通知是指导定级环节工作的政策文件该通知部等级测评工作的通知和关于印发<信息系统安全等署在全国范围内开展重要信息系统安全等级保护定级工级测评报告模板(试行)>的通知是指导等级测评环节作标志着全国信息安全等级保护工作的全面开展工作的政策文件前者确定了开展信息安全等级保护测信息安全等级保护备案实施细则是指导备案环评体系建设和等级测评工作的目标内容和工作要求节工作的政策文件该文件规定了公安机关受理信息系规定了测评机构的条件业务范围和禁止行为规范了图1 60 信息通信技术信息安全等级保护法律政策体系[1]

4 测评机构申请受理测评工程师管理测评能力评估审核推荐的流程和要求后者明确了等级测评活表2 标准类型基础类动的内容方法和测评报告格式等公安机关信息安全等级保护检查工作规范(试信息系统安全等级保护相关标准列表子类型标准名称 // 计算机信息系统安全保护等级划分准则(GB ) 信息系统定级信息系统安全保护等级定级指南(GB/T ) 等级保护实施信息系统安全等级保护实施指南(信安字[2007]10) 信息系统安全建设信息系统安全等级保护基本要求(GB/T ) 行) 是指导监督检查环节工作的政策文件规定了公信息系统等级保护安全设计技术要求(GB/T ) 安机关开展信息安全等级保护检查工作的内容程序信息系统安全管理要求(GB/T ) 方式以及相关法律文书等以上政策文件构成了信息系统安全等级保护工作开 Broad Angle for Technology 信息系统通用安全技术要求(GB/T ) 信息系统安全工程管理要求(GB/T ) 信息系统物理安全技术要求(GB/T ) 应用类网络基础安全技术要求(GB/T ) 展的政策体系为了组织开展等级保护工作建设整改信息系统安全等级保护体系框架(GA/T ) 信息系统安全等级保护基本模型(GA/T ) 工作和等级测评工作明确了工作目标工作要求和工作信息系统安全等级保护基本配置(GA/T ) 等级测评流程信息系统安全等级保护测评要求(报批稿) 信息系统安全等级保护测评过程指南(报批稿) 3 信息系统安全管理测评(GA/T ) 标准体系操作系统为推动我国信息安全等级保护工作全国信息安全数据库操作系统安全技术要求(GB/T ) 操作系统安全评估准则(GB/T ) 数据库管理系统安全技术要求(GB/T ) 数据库管理系统安全评估准则(GB/T ) 标准化技术委员会和公安部信息系统安全标准化技术委网络员会组织制订了信息安全等级保护工作需要的一系列标网络端设备隔离部件技术要求(GB/T ) 网络端设备隔离部件测试评价方法(GB/T ) 网络脆弱性扫描产品技术要求(GB/T ) 准为开展等级保护工作提供了标准保障这些标准可网络脆弱性扫描产品测试评价方法(GB/T ) 以分为基础类应用类产品类和其他类已经发布和网络交换机安全技术要求(GA/T ) 虚拟专用网安全技术要求(GA/T ) 提交报批的标准分类统计如表2所示这些标准与等级 PKI 保护工作之间的关系如图2所示公钥基础设施安全技术要求(GA/T ) PKI系统安全等级保护技术要求(GB/T ) 产品类网关网关安全技术要求(GA/T ) 服务器服务器安全技术要求(GB/T ) 入侵检测入侵检测系统技术要求和检测方法(GB/T ) 计算机网络入侵分级要求(GA/T ) 防火墙防火墙安全技术要求(GA/T ) 防火墙技术测评方法(报批稿) 信息系统安全等级保护防火墙安全配置指南(报批稿) 防火墙技术要求和测评方法(GB/T ) 包过滤防火墙评估准则(GB/T ) 路由器路由器安全技术要求(GB/T ) 路由器安全评估准则(GB/T ) 路由器安全测评要求(GA/T ) 交换机网络交换机安全技术要求(GB/T ) 交换机安全测评要求(GA/T ) 其他产品终端计算机系统安全等级技术要求(GA/T ) 终端计算机系统测评方法(GA/T ) 审计产品技术要求和测评方法(GB/T ) 虹膜特征识别技术要求(GB/T ) 虚拟专网安全技术要求(GA/T ) 应用软件系统安全等级保护通用技术指南(GA/T ) 应用软件系统安全等级保护通用测试指南(GA/T ) 图2 等级保护相关标准与等级保护各工作环节的关系[1] 其他类风险评估信息安全风险评估规范(GB/T ) 事件管理信息安全事件管理指南(GB/Z ) 信息安全事件分类分级指南(GB/Z ) 信息系统灾难恢复规范(GB/T )

5 术广角等级保护测评要求技计算机信息系统安全保护等级划分准则是强制性国家标准, 是其他各标准制订的基础信息系统安全等级保护基本要求是在计算机信息系统安全保护等级划分准则以及各技术类标准管理类标准和产品类标准基础上制订的, 给出了各级信息系统应当具备的安全防护能力, 并从技术和管理两个方面提出了相应的措施, 是信息系统进行建设整改的安全需求信息系统安全等级保护定级指南规定了定级的依据对象流程和方法以及等级变更等内容, 同各行业发布的定级实施细则共同用于指导开展信息系统定级工作信息系统安全等级保护实施指南和信息系统等级保护安全设计技术要求构成了指导信息系统安全建设整改的方法指导类标准前者阐述了在系统建设运维和废止等各个生命周期阶段中如何按照信息安全等级保护政策标准要求实施等级保护工作 ; 后者提出了信息系统等级保护安全设计的技术要求, 包括安全计算环境安全区域边界安全通信网络安全管理中心等各方面的要求信息系统安全等级保护测评要求和信息系统安全等级保护测评过程指南构成了指导开展等级测评的标准规范前者阐述了等级测评的原则测评内容测评强度单元测评整体测评测评结论的产生方法等内容 ; 后者阐述了信息系统等级测评的过程, 包括测评准备方案编制现场测评分析与报告编制等各个活动的工作任务分析方法和工作结果等以上各标准构成了开展等级保护工作的管理技术等各个方面的标准体系 4 结束语信息系统安全等级保护制度是一项基本国策, 有完备的政策体系和丰富的标准体系支持, 这些政策和标准为推动等级保护工作开展等级保护五个环节的工作提供了强有力的支持在具体实施等级保护过程中, 无论是作为此项工作推动者的政府主管部门, 作为此项工作落实者的信息系统运营使用单位, 还是为此项工作提供咨询和测评服务的第三方机构, 都应该认真学习领会政策体系要求, 防止工作方向出现偏差工作重点把握不准工作流程出现混乱 ; 认真学习掌握标准体系要求, 按照标准细化各个环节工作中的技术要求和管理要求, 勿使信息系统安全等级保护工作出现不符合国家标准的情况出现落实不细致和不完备等情况参考文献 [1] 公安部信息安全等级保护评估中心. 信息安全等级保护政策培训教程 [M]. 北京 : 电子工业出版社,2010,6 [2] 公安部, 国家保密局, 国家密码管理局, 国务院信息化办公室文件. 关于信息安全等级保护工作的实施意见 ( 公通字 [2004]66 号 ),2004,9 [3] 中华人民共和国国家标准, 计算机信息系统安全保护等级划分准则 (GB ),1999 [4] 公安部, 国家保密局, 国家密码管理局, 国务院信息化办公室文件. 信息安全等级保护管理办法 ( 公通字 [2007]43 号 ),2007,6 [5] 中华人民共和国国家标准 ( 报批稿 ), 信息系统安全等级保护测评过程指南 [6] 中华人民共和国国家标准 ( 报批稿 ), 信息系统安全 62 信息通信技术

6 作者简历宋言伟 1997获得山东工业大学硕士学位现为联通系统集成有限公司山东省分公司系 Broad Angle for Technology 统网络部经理马钦德 1998年毕业于太原重型机械学院获得电气技术工学学士学位获得CISP认证现为联通系统集成有限公司山东省分公司系统网络部信息服务中心经理张健毕业于沈阳理工大学获得CCIE路由交换认证现为联通系统集成有限公司山东省分公司系统网络部项目经理 Information Security level Protection Policies and Standard System Song Yanwei Ma Qinde Zhang Jian UniCom System Integration Co.Ltd ShanDong Branch, Jinan ,China Abstract The basic information network and system are important strategic resources for national and social development. It is more and more higher that the degree of the social development relying on informationlization. An important problem must be resolved that is maintaining national security,safeguarding social stability and economic lifeline in social development. The national information security level protection policies and standard system are described detailedly to provide reference for safety operation of the information system. Keywords Information Security; Level Protection; Policy; Standard

关于信息安全等级保护工作的实施意见

关于信息安全等级保护工作的实施意见公安部国家保密局国家密码管理局国务院信息化工作办公室文件公通字 [2004]66 号关于印发关于信息安全等级保护工作的实施意见的通知各省自治区直辖市公安厅 ( 局 ) 保密局国家密码管理委员会办公室信息化领导小组办公室, 新疆生产建设兵团公安局保密局国家密码管理委员会办公室信息化领导小组办公室, 中央和国家机关各部委保密委员会办公室, 各人民团体保密委员会办公室