《《信息系统安全等级保护实施指南》.doc》由会员分享,可在线阅读,更多相关《《信息系统安全等级保护实施指南》.doc(47页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、1信息系统安全等级保护信息系统安全等级保护实施指南实施指南培训教材培训教材本教材主要通过对信息系统安全等级保护实施指南 (以下简称实施指南 )的主要作用、内容等进行介绍,使培训人员能够清楚了解等级保护的整个实施过程,以便各项工作的开展。1概述1.11.1 主要作用信息安全等级保护工作的先行工作之一是“加快制定、完善管理规范和技术标准体系” ,管理规范和技术标准体系是等级保护工作的基础,在关于信息安全等级保护工作的实施意见 (公通字200466 号,以下简称“66 号文件” )的职责分工和工作要求中指出:信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准,确定其信息和信息系统的安全保
2、护等级;信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准对新建、改建、扩建的信息系统进行信息系统的安全规划设计、安全建设施工;信息和信息系统的运营、使用单位及其主管部门按照与信息系统安全保护等级相对应的管理规范和技术标准的要求,定期进行安全状况检测评估;国家指定信息安全监管职能部门按照等级保护的管理规范和技术标准的要求,对信息和信息系统的安全等级保护状况进行监督检查。从上述“66 号文件”描述的内容中可以看出,信息安全等级保护工作的主要内容包括“等级确定” 、 “安全建设” 、 “安全测评”和“监督检查”等,完成上述工作的主要依据是等级保护的管理规范和技术标准。信息安全等级保护的
3、实施过程中涉及到的各类组织、需完成的工作以及依据的基础如下图所示:2图 1-1 技术标准和管理规范的作用除了“66 号文件”中提到的“信息和信息系统的运营、使用单位” 、 “国家指定信息安全监管职能部门”外,信息安全等级保护的实施过程中涉及到各类组织和人员实际还包括信息安全服务商、安全测评机构等,它们配合“信息和信息系统的运营、使用单位” 、 “国家指定信息安全监管职能部门”共同进行信息安全等级保护工作。为使信息安全等级保护的实施过程中涉及到的各类组织和人员能够顺利地完成信息安全等级保护工作,需要一个技术标准为实施的各方提供指导,这个标准就是实施指南 。实施指南的主要作用包括:1)作为系统等级
4、保护实施的指南性文件指导对一个信息系统实施安全等级保护的参与各方,如何在等级保护实施过程的各个阶段开展相应的活动,给出阶段活动的内容、控制方法和输出结果。2)作为等级保护标准体系的指引性文件介绍实施信息系统等级保护过程中,在不同阶段和从事不同活动中,如何使用等级保护标准体系中的其他等级保护相关标准。主管部门运营、使用单位 主管部门安全服务商监管部门系统定级安全保护检测评估监督检查技术标准管理规范31.21.2 主要思路对信息系统实施等级保护的过程是一个工程过程,其工程活动将覆盖到信息系统生命周期的各个阶段,其核心内容是对信息系统实施安全保护,到目前为止,对信息系统实施安全保护的方法论有很多,主
5、要流行的方法包括风险管理方法和安全工程方法。1.风险管理的思路介绍风险管理的材料有很多,其中 ISO/IEC 13335、NIST-SP800-30、 “加拿大风险管理工作指南”等是典型的通过风险管理的手段对信息系统实施保护的参考材料。各种资料介绍的风险管理方法在细节方面可能有所差别,但是总体思路基本一致。采用风险管理方法对信息系统进行保护的基本步骤是:1)风险分析和风险评估可以采用各种方法(ISO/IEC13335 等)对信息系统面临的风险进行分析,包括资产分析、弱点分析、威胁分析、现有保护措施分析、风险分析,得到现有系统的安全风险状况。2)风险规避针对在风险分析和风险评估步骤得到的系统安全
6、风险信息,选择可能采用的可以消除、减低、转移风险的风险规避策略。根据风险规避策略,进一步选择所要采取的安全措施,此时既要考虑安全风险的排序,也应考虑安全措施投入和安全保护效果之间平衡,最终形成安全改进的设计方案(PLAN) 。大多数风险管理方法的文件或指南将论述重点放在风险分析、风险评估和风险规避方面,作为完整的风险管理过程,除此之外还有安全措施的实施和实现、系统运行维护等工作过程。尤其是当系统发生变化、环境发生变化或残余风险不能接受时,应进入另一个风险管理过程,以此循环形成闭环。如果从工程的角度看待风险管理方法,可以将风险分析和风险评估过程看作是确定安全需求的过程,风险规避过程可以看作是安全
7、需求定义和安全规划设计的过程。2.安全工程的思路4SSE-CMM 和 ISSE 是典型的介绍通过安全工程的手段对信息系统实施保护的参考材料。SSE-CMM 和 ISSE 是具有代表性的从工程角度考虑对信息系统进行保护的方法论,两者在描述风格上差异较大,但是总体思路实际上没有太大差别。SSE-CMM 认为对信息系统进行保护应该执行以下几个过程:1)风险过程风险过程包括四个主要活动:威胁分析、弱点分析、影响分析和风险分析。2)工程过程工程过程包括五个主要活动:确定安全需求、提供安全输入、管理安全措施、监控安全状态和安全活动的协调。3)保证过程保证过程包括两个主要活动:验证和确认安全、提供安全保证证
8、据。ISSE 认为对信息系统进行保护应该执行以下一些活动:a)发现系统保护需求b)定义系统安全需求c)设计系统安全框架d)开发详细安全设计e)实施系统安全f)评估系统保护有效性SSE-CMM 描述了安全工程的方法论,论述了对信息系统进行保护的主要活动和控制方法。ISSE 则描述了安全工程的主要活动。仔细分析 SSE-CMM 和 ISSE,实际上两者的内容基本一致,只是描述风格上差异较大。SSE-CMM 和 ISSE 从工程角度描述信息系统的保护过程,并且将工程活动与信息系统的生命周期进行对应,更容易被人们理解和接受。3.实施指南的主要思路在对信息系统实施等级保护的过程中,风险分析可以作为一种辅
9、助手段。等级保护的相关标准对不同级别的信息系统提出了基本保护要求,基本保护要求是系统安全建设的基5础,但是不同的信息系统由于其本身的特性,除基本保护要求外,还有其特殊的安全需求,可以通过风险分析的方法选择需要补充的安全措施,从而在等级保护的基础上,体现各系统防护措施的特殊性。对信息系统实施等级保护的过程也是一个工程过程,其主要思路可以借鉴安全工程的思路,但是由于对信息系统实施等级保护的过程是以信息系统的合理定级活动开始的,与安全工程相比,考虑问题的思路和方法都将有所不同,具体活动也会有所区别。安全工程的方法论可以作为信息系统实施安全等级保护的一种借鉴,但须根据等级保护的特点补充和完善与等级保护
10、相关的特定工程活动,比如信息系统的划分活动、信息系统的定级活动、信息系统等级保护安全策略规划活动等等。与风险管理和安全工程不同,实施信息系统等级保护的第一个步骤是确定保护对象,即信息系统的安全等级,然后根据确定的安全等级对信息系统进行符合相应等级保护要求的安全建设和安全管理。对信息系统实施等级保护涉及很多活动,包括系统定级、参照等级保护基本要求的安全措施选择、安全方案的设计、安全工程的实施、系统安全运行管理等等,上述活动均在实施指南中有所描述。对信息系统实施等级保护过程中所涉及的活动分散在信息系统生命周期的不同阶段进行,有些活动之间具有一定的继承性,也就是说必须在一个活动完成后才能进行下一个活
11、动,比如必须进行安全方案设计,完成后才能进行安全工程实施,有些活动没有明显的继承性,比如系统的安全状态监控和系统的变更管理控制。为了保证实施指南对活动描述的全面性, 实施指南应覆盖信息系统生命周期所有阶段的安全活动。基于上述的分析, 实施指南的编制基本思路为:1)以信息系统等级保护建设为主要线索如前所述,信息系统等级保护的实施过程中涉及到各类组织和人员,他们将会参与不同的或相同的活动,比如信息系统的主管单位和信息系统的运营单位将参与系统定级活动,如果委托安全服务商进行定级,则安全服务商也会参与定级活动;又如信息系统的运营单位可以自己完成风险分析活动,也可以委托安全服务商完成风险分析活动。实施指
12、南面临的使用对象将是信息系统的主管单位、运营使用单位、技术支持单6位、监督管理机构等,为了保证实施指南的描述有一个清晰的思路,各类使用人员都能够理解和较好地使用,实施指南并不以某个特定单位的活动为主线进行描述,而是以信息系统等级保护建设所要从事的活动为主线进行描述,有些活动可能是这个单位执行的,另一些活动可能是另一个单位执行的。 实施指南的读者根据自己的角色和从事的活动选择相应的内容作为指导。2)定义信息系统等级保护实施的基本流程对信息系统实施等级保护涉及的活动有很多,根据安全的动态性和安全工程的循环理论,很多活动需要重复执行,从而保证安全保护的有效性,虽然安全保护是一个不断循环和不断提高的过
13、程,但是实施信息系统等级保护的一次完整周期流程是可以区分清楚的,比如从系统定级到最终的系统安全运行维护,为了便于清晰划分信息系统等级保护的一次实施过程,有必要定义信息系统等级保护实施的一个基本流程。实施指南根据信息系统等级保护实施的特点,结合风险管理和安全工程方法提出信息系统等级保护实施的基本流程,将等级保护实施过程划分为几个不同的阶段,然后分章节介绍和描述不同阶段的安全活动, ,指导系统建设者和系统运营者在系统建设和运营期间更好地同步进行等级保护建设。通过对信息系统等级保护实施基本流程的提出,更好地描述信息系统等级保护实施的不断循环过程;级别变更可能触发另一个等级保护实施流程的执行;风险评估
14、和安全测评可能导致等级保护实施流程中局部活动的重复执行等。3)介绍和描述每个阶段主要的实施过程和主要活动为了便于用户使用实施指南 , 实施指南根据基本实施流程的阶段划分,分为不同的章节,每个阶段对应一章。每一章介绍和描述本阶段所要进行的过程和主要安全活动,如果过程具有顺序性,将用流程图的形式表述过程的执行过程,如果没有顺序性,则用框图分别表述每一个过程活动。 实施指南将每个过程作为章下的节,每一节详细描述过程的内容,包括过程可能的实施主体,主要的活动内容和工作方法,过程的输入和输出内容。71.31.3 使用对象实施指南以信息系统的生命周期为主线,描述信息系统安全等级保护实施的基本过程,而信息系
15、统安全等级保护实施过程本身是一个多方参与的工作,将会涉及到各类组织,所以实施指南的使用对象包括信息系统安全等级保护实施过程中的参与各方。具体包括:国家管理部门、信息系统主管部门、信息系统运营使用单位、信息安全服务机构、信息安全等级测评机构、信息安全产品供应商等。1)国家管理部门公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保
16、护工作的部门间协调。2)信息系统主管部门负责依照国家信息安全等级保护的管理规范和技术标准,督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。3)信息系统运营、使用单位负责依照国家信息安全等级保护的管理规范和技术标准,确定其信息系统的安全保护等级,有主管部门的,应当报其主管部门审核批准;根据已经确定的安全保护等级,到公安机关办理备案手续;按照国家信息等级保护管理规范和技术标准,进行信息系统安全保护的规划设计;使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品和信息安全产品,开展信息系统安全建设或者改建工作;制定、落实各项安全管理制度,定期对信息系
17、统的安全状况、安全保护制度及措施的落实情况进行自查,选择符合国家相关规定的等级测评机构,定期进行等级测评;制定不同等级信息安全事件的响应、处置预案,对信息系统的信息安全事件分等级进行应急处置。4)信息安全服务机构8负责依据信息系统运营、使用单位的委托,按照国家信息安全等级保护的管理规范和技术标准,协助信息系统运营、使用单位完成等级保护的相关工作,包括确定其信息系统的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造等。5)信息安全等级测评机构负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权,协助信息系统运营、使用单位或国家管理部门,按照国家信息安全等级保护的管理规
18、范和技术标准,对已经完成等级保护建设的信息系统进行等级测评;对信息安全产品供应商提供的信息安全产品进行安全测评。6)信息安全产品供应商负责按照国家信息安全等级保护的管理规范和技术标准,开发符合等级保护相关要求的信息安全产品,接受安全测评;按照等级保护相关要求销售信息安全产品并提供相关服务。1.41.4 基本结构实施指南包括 9 章,1 个附录。第 1、2、3 章为标准的固定格式要求,说明实施指南标准的使用范围、引用的其他标准、使用到的术语和定义。第 4 章总体描述信息系统等级保护的实施过程,包括实施过程中涉及到的各种角色和职责、实施的基本原则、实施的基本流程。第 5、6、7、8、9 章分别根据
19、等级保护实施流程划分的阶段,说明每个阶段的主要实施过程。每章以阶段名称作为一级标题,以主要过程作为二级标题,主要活动要素作为三级标题,说明信息系统安全等级保护的实施活动。附录 A 为主要过程的输出列表。92基本实施过程2.12.1 一些主要概念1、信息系统安全保护等级 信息系统重要程度的表征。重要程度以信息系统受到破坏后,对国家安全、社会秩序、经济建设和公共利益造成的损害程度来衡量。2、信息系统安全等级保护 对信息系统分等级实施安全保护。3、信息系统生命周期信息系统从存在到消失的整个时间周期。通常观点认为信息系统生命周期包括五个阶段,即启动准备阶段、设计/开发阶段、实施/实现阶段、运行维护阶段
20、和系统终止阶段。4、阶段和阶段目标信息系统生命周期中,具有代表性的时段划分,称为阶段。通常以经历一系列相关的过程,完成一系列相关的活动,产生一个标志性结果为划分依据。在信息系统安全等级保护实施中,划分为信息系统定级、总体安全规划、安全设计与实施、安全运行与维护和信息系统废弃几个阶段。每个阶段内期望达到的结果的描述,称为阶段目标。5、主要活动和活动目标实施指南中,按照阶段、过程、活动、子活动的分解方式进行描述,每个阶段的每个过程中,具有代表性的活动,称为主要活动。通常以为达到阶段目标而必须完成的活动为表述依据。例如在信息系统安全等级保护实施中,信息系统定级阶段的主要过程分为信息系统分析和安全等级
21、确定,其中信息系统分析过程的主要活动划分为系统识别和描述、信息系统分解等几个主要活动。每个主要活动期望达到的结果的描述,称为活动目标。7、参与角色每个活动或活动过程的参与人员,称为参与角色。在实施指南中,参与角色的最10小度量为“单位” ,参与角色分为国家管理部门、信息系统主管部门、信息系统运营使用单位、信息安全服务机构、信息安全等级测评机构、信息安全产品供应商等。8、子活动和工作内容主要活动进一步分解后的活动,称为子活动。子活动中需要完成的工作的描述称为工作内容。在实施指南中,大部分的主要活动均分解为若干个子活动,并对子活动内容进行详细描述,子活动通常由主要活动的参与角色完成。9、活动输入和
22、活动输出为完成主要活动或子活动,需要的文件资料称为活动输入;主要活动或子活动完成后,产生的文件资料称为活动输出。在实施指南中,对各类主要活动描述了活动输入和活动输出的文档资料名称。10、相互之间的关系实施指南中,各个主要概念之间的关系如下图所示:图 1-2 基本概念之间的关系2.22.2 基本实施流程对一个信息系统实施等级保护的过程本质上是对信息系统进行安全保护的过程,应遵信息系统生命周期阶段阶段主要过程活动阶段目标过程目标子活动活动流程参与角色工作内容输入与输出11循对信息系统进行安全保护的方法论,但是作为国家等级保护制度实施的对信息系统的安全等级保护工作本身有其自己的特点,整个实施过程应体
23、现出“信息系统分等级” 、 “按标准进行建设” 、 “实施监督和管理”等思想。安全保护过程是一个不断循环和不断提高的过程,但是实施等级保护的一次完整过程是可以区分清楚的,比如从信息系统定级、系统运行维护,最终到信息系统终止,为了便于清晰划分等级保护的一次实施过程,有必要根据信息系统的一个生命周期确定等级保护实施的流程。对一个信息系统实施等级保护的基本流程如下所示:图 1-3 信息系统安全等级保护实施的基本流程局部调整在安全运行与维护阶段,当系统局部调整时,如果不影响系统的安全等级,应从安全运行与维护阶段进入安全设计与实施阶段,重新调整和实施安全措施,确保满足等级保护的要求;级别变更在安全运行与
24、维护阶段,当系统发生重大变更导致影响系统的安全等级时,应从安全运行与维护阶段进入信息系统定级阶段,重新开始一次等级保护的实施流程。信息系统定级总体安全规划安全设计与实施安全运行与维护级别变更局部调整信息系统终止122.32.3 主要的实施阶段根据信息系统实施等级保护的流程将其实施阶段分别划分为五个不同阶段,即信息系统定级阶段、总体安全规划阶段、安全设计与实施阶段、安全运行与维护阶段和信息系统终止阶段。1、 信息系统定级阶段信息系统定级阶段通过对信息系统调查和分析,进行信息系统划分,确定相对独立的信息系统的个数,按照信息系统安全等级保护定级指南确定每个信息系统的安全等级。2、 总体安全规划阶段总
25、体安全规划阶段通过安全需求分析判断信息系统的安全保护现状与国家等级保护基本要求之间的差距,确定安全需求,然后根据信息系统的划分情况、信息系统定级情况、信息系统承载业务情况和安全需求等,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施规划等,以指导后续的信息系统安全建设工程实施。3、 安全设计与实施阶段安全设计与实施阶段通过安全方案详细设计、安全产品的采购、安全控制的开发、安全控制集成、机构和人员的配置、安全管理制度的建设、人员的安全技能培训等环节,将规划阶段的安全方针和策略,具体落实到信息系统中去,其最终的成果是提交满足用户安全需求的信息系统以及配套的安全管理体系。4、 安全运行与
26、维护阶段安全运行与维护阶段将介绍运行管理和控制、变更管理和控制、安全状态监控以及安全事件处置和应急预案等过程;对安全状态进行监控,对发生的安全事件及时响应,确保信息系统正常运行;通过定期的监督检查督促信息系统运营、使用单位做好信息系统的日常安全维护工作,确保其满足相应等级的安全要求,达到相应等级的安全保护能力;通过安全检查和持续改进等活动过程实现对信息系统的动态保护。5、 信息系统终止阶段13信息系统终止阶段是对信息系统的过时或无用部分进行报废处理的过程,主要涉及对信息、设备、存储介质或整个信息系统的废弃处理。信息系统终止阶段的主要活动可能包括对信息的转移、暂存或清除,对设备迁移或废弃,对存储
27、介质的清除或销毁;信息系统终止阶段当要迁移或废弃系统组件时,核心关注点是防止敏感信息泄漏。3主要实施阶段介绍如前所述,信息系统实施等级保护划分为五个不同阶段,即信息系统定级阶段、总体安全规划阶段、安全设计与实施阶段、安全运行与维护阶段和信息系统终止阶段。关于“信息系统定级“阶段的工作方法和工作内容,参见定级指南及相关教材。本教材重点介绍“总体安全规划“阶段的工作内容和可用方法。其他阶段的内容,参见信息系统安全等级保护实施指南标准相关章节。3.13.1 总体安全规划3.1.13.1.1 安全需求分析系统定级完成后,首要的工作是确定系统的安全需求,也就是系统的保护需求。对于新建的系统和已建的系统,
28、安全需求的确定方法不同,新建过程中的系统由于在设计完成之前还没有系统实体,所以系统可以按照等级保护的要求进行定级、设计和实施,系统的安全需求主要来源于国家政策性要求、机构使命性要求和可能的系统环境影响;运行过程中的系统由于建设过程中并没有按照等级保护的要求进行定级和设计,虽然采取了一定的安全保护措施,但是可能与国家等级保护的要求存在差距,所以需要完成的工作是按照国家等级保护的要求进行安全改造。新建系统可以在信息系统生命周期的启动/准备、设计/开发阶段同步实施系统定级和系统设计,根据信息系统承载的业务对信息系统合理分级之后,国家标准信息系统安全等级保护基本要求就是对各个级别系统的明确安全需求,系
29、统的安全规划设计应以此为依据。本章重点介绍已建系统,即运行过程中的系统如何在等级保护实施过程中的规划设计阶段确定安全需求,新建系统确定安全需求的方法也可以借鉴这里介绍的方法。关于运行14过程中的系统如何定级参见有关信息系统安全保护等级确定的教材,这里不再描述。对于一个已建系统,在对系统进行划分,并确定了不同系统的安全保护等级之后,关注的重点是不同安全保护等级的系统目前采取的安全保护措施与国家等级保护要求之间的差距有多大,这种差距就是未来需要对系统进行安全改造的目标,也就是安全改造设计方案的安全需求输入。根据实施指南 ,总体安全规划阶段的第一个重要活动是“安全需求分析” ,对于一个已经确定了安全
30、保护等级,并处于运行状态的信息系统, “安全需求分析”实际要完成安全现状评估和安全需求确认两项主要工作。3.1.1.13.1.1.1安全现状评估安全现状评估一、评估方法当根据信息系统的业务重要性及其他相关因素对信息系统进行划分,确定了信息系统的安全保护等级后,需要了解不同级别的信息系统或子系统当前的安全保护与相应等级的安全保护基本要求之间存在的差距,这种差距是一种安全需求,是进行安全方案设计的基础。传统的安全需求分析方法有很多,如流行的风险分析法,但是作为了解信息系统或子系统当前的安全保护状况与相应等级的安全保护基本要求之间存在的差距的简便方法,莫过于等级测评法。关于等级测评有专门的教材进行详
31、细描述,这里只说明如何采用等级测评法对安全现状进行评估,并确定与相应等级的安全保护基本要求之间存在的差距。二、基本步骤采用等级测评法进行安全现状评估的基本步骤如下:1、确定评估范围明确本次被评估系统的范围,包括整个信息系统的范围、各个等级信息系统的范围,各个等级信息系统的边界等。这些信息来自信息系统的定级报告。例如:15XXXX 信息系统承载 XX、XX、XX 业务,具有 XX 个出口。出口 1 通过 XX 设备与外部的 XX 系统相连,出口 2 通过 XX 设备与外部的 XX 系统相连,系统示意图如下。XXXX 信息系统被划分为 XX 个信息系统,信息系统 1 承载 XX 业务,信息系统 2
32、 承载 XX 业务,。信息系统 1 有 XX 个边界,边界 1 通过 XX 设备与外部的 XX 系统相连,边界 2 通过XX 设备与信息系统 2 相连,。本次安全评估的系统包括信息系统 1、信息系统 2、。2、获得被评估信息系统的信息通过查阅资料(如果定级建议书有详细的资料)或现场调查的方式,了解被评估信息系统的构成,包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等,并将被评估信息系统的信息准确描述。例如:信息系统 1 的范围如下面网络拓扑图所示:图略。网络边界:有 XX 个边界,边界 1 通过 XX 设备与外部的 XX 系统相连,边界 2 通过XX 设备与信息系统 2 相连,。网络
33、区域:有 XX 个区域,每个区域的说明。承载业务:有 XX 个业务,每个业务的说明。主要安全设备:有 XX 个安全设备,每个设备的部署位置、主要作用。设备清单列表:XXXX 类设备序号所属区域设备名称用 途设备信息说明1612343、确定具体的评估对象确定每个等级信息系统的被评估对象,包括整体对象,如机房、办公环境、网络等,也包括具体对象,如边界设备、网关设备、服务器设备、工作站、应用系统等。4、确定评估工作的方法根据信息系统安全等级情况、系统规模大小等,明确本次评估的方法,如所有对象的评估还是抽样方式的评估;询问、检查、测试的组合方式等。例如:整体对象:XX 机房、XX 办公环境、整个网络。
34、具体对象:测评设备清单序号所属区域设备名称设备信息测评方式说明1检查2检查、扫描344、制定评估工作计划或项目工作计划制定评估工作计划或方案,说明评估范围、评估对象、工作方法、人员组成、角色职责、时间计划等。评估工作计划的文档结构见本节“过程输出”部分。5、形成评估指标17根据各个信息系统的安全等级从基本要求中选择相应等级的通用指标,然后根据系统信息资产安全性等级选择信息资产安全性指标,根据系统连续性等级选择业务连续性指标,之后进行三类指标的组合,形成评估指标。例如:根据“XXXX 定级建议书” ,信息系统 1 被定为 3 级,保护类型为 S3A3G3,选择的测评指标类如下:测评指标类类数量技
35、术/管理层面S 类(3 级)A 类(3 级)G 类(3 级)小计物理安全11810网络安全1078主机安全4149应用安全52310安全技术数据安全2103安全管理机构5安全管理制度3人员安全管理5系统建设管理9安全管理系统运维管理G 类(3 级)13合 计75(类)6、制定评估方案或测评方案根据评估指标,结合确定的评估对象制定可以操作的评估方案,评估方案包括评估范18围说明、目标系统描述、评估具体对象说明、评估指标说明、评估方法说明、评估工具说明等信息,作为评估方案的附件,还要编制每个评估对象的具体现场评估的作业指导书。评估方案或测评方案的文档结构见本节“过程输出”部分。例如:层面测评实施:
36、网络安全层面测评实施分解内容如下表:序号类别名称测评工作分解描述1网络结构安全与网段划分检查网络拓扑情况,分析网络架构与网段划分、隔离等情况的合理性和有效性,抽查核心交换机 XXXX、接入交换机 XXXX 和接入路由器 XXXX 等网络互联设备,测试系统访问路径和网络带宽分配情况等。2网络访问控制检查防火墙 XXXX、XXXX 网络访问控制设备,测评分析网络区域边界的网络隔离与访问控制能力,测试系统对外暴露安全漏洞情况等。3拨号访问控制检查拨号接入路由器 XXXX,测评分析信息系统远程拨号访问控制规则的合理性和安全性。4网络安全审计检查核心交换机 XXXX 和接入交换机 XXXX 等网络互联设
37、备的安全审计情况等,测评分析信息系统审计配置和审计记录保护情况。5边界完整性检查检查边界完整性检查设备,对接入边界完整性检查设备进行测试等,测评分析信息系统私自联到外部网络的行为。6网络入侵防范检查网络边界 XX、XX 处的入侵检查设备 XX 和 XX,测评分析信息系统对攻击行为的识别和处理情况。7恶意代码防范检查网络防恶意代码产品部署,测评分析信息系统网络边界和核心网段对病毒等恶意代码的防护情况。198网络设备防护检查 XXX 核心交换机、XXXX 接入交换机、XXXX 网接入路由器、XX 入侵检测设备、XXXX 防火墙等,查看它们的安全配置情况,包括身份鉴别、权限分离、登录失败处理、限制非
38、法登录和登录连接超时等,考察网络设备自身的安全防范情况。7、系统测评实施:根据如下的网络拓扑图,设置穿透性扫描点为 D1、D2、D3。D1 点:接入 XXXX 工具,透过 XXXX 防火墙,探测 XXXX 区各抽查主机和网络设备暴露的安全漏洞情况。D2 点:接入 XXXX 工具,透过 XXXX 交换机,探测 XXXX 区各抽查主机和网络设备暴露的安全漏洞情况。D3 点:接入 XXXX 工具,透过 XXXX 路由器和 XXXX 防火墙,探测 XXXX 区、XXXX区各抽查主机暴露的安全漏洞情况。根据扫描探测结果,使用渗透测试工具集,试图利用各主机的安全漏洞,侵入主机。8、判断安全管理方面与评估指
39、标的符合程度通过观察现场、询问人员、查询资料、检查记录等方式进行安全管理方面的评估,准确记录评估结果,判断安全管理的各个方面与评估指标的符合程度,给出判断结论。评估工作原始记录表应由相关人员确认签字。9、判断安全技术方面与评估指标的符合程度通过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、渗透攻击等方式进行安全技术方面的评估,准确记录评估结果,判断安全技术的各个方面与评估指标的符合程度,给出判断结论。评估工作原始记录表应由相关人员确认签字。10、形成和制定安全评估报告在现场测评完成的基础上,汇总整理现场测评数据,重点分析不符合项或部分符合项,提出可能采用的安全措施或安全建议。20
40、将所有活动过程的数据进行整理、提炼,形成安全评估报告。安全评估报告的文档结构见本节“过程输出”部分。例如:测评结果:XXXX 服务器:1)身份鉴别符合要求的方面:采用口令鉴别机制,对用户和终端的登录次数作了限制,禁用了不使用的系统默认帐户。远程管理采用 ssh 协议,增强了网络通信的安全性。主要存在的问题:没有对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;2)自主访问控制符合要求的方面:系统由专人进行管理,并定期对系统帐户的权限分配和使用情况进行审查,对于系统的重要文件能够很好地进行权限设置和保护。主要存在的问题:root 帐户的主目录“/”没有被修改,对系统文件/etc/ine
41、td.conf、/etc/services 的权限设置不够合理;综合分析:网络安全层面测评项目共计 8 大类 107 项,结果汇总如下表:序号检查类别项目总计符合部分符合不符合1结构安全与网段划分740 32网络访问控制21103拨号访问控制330021序号检查类别项目总计符合部分符合不符合4网络安全审计1515005边界完整性30036网络入侵防范44007恶意代码防范32108网络设备防护706604小计10795210部分符合和不符合项明细表如下:序号问题描述严重程度可能的改进措施12345678三、过程输出安全现状评估过程中重要的过程控制文件和结果描述文件包括:评估工作计划或项目工作计
42、划评估方案或测评方案各类数据记录表格安全评估报告221、评估工作计划或项目工作计划基本结构1、项目概述2、工作依据3、工作内容4、工作产品5、任务分工6、时间计划7、项目评审2、评估方案或测评方案基本结构1、项目概述2、测评对象3、测评指标4、测评方式和工具5、层面测评实施6、系统测评实施附件 A:安全管理测评记录表格附件 B:网络结构测评记录表格附件 C:网络设备测评记录表格附件 D:安全设备测评记录表格附件 E:主机设备测评记录表格附件 F:应用系统测评记录表格附件 G:物理安全测评记录表格3、记录表格基本结构序号类别基本要求测评方法结果记录符合情况234、安全评估报告基本结构1、项目概述
43、2、测评对象3、测评指标4、测评方式和工具5、测评结果6、综合分析7、测评结论附件 A:安全管理测评记录表格附件 B:网络结构测评记录表格附件 C:网络设备测评记录表格附件 D:安全设备测评记录表格附件 E:主机设备测评记录表格附件 F:应用系统测评记录表格附件 G:物理安全测评记录表格3.1.1.23.1.1.2安全需求确定安全需求确定一、分析方法通过等级测评方法对安全现状评估产生的结果,说明了系统安全保护方面与等级保护基本要求之间的差距,这种差距是进一步对系统进行安全改造的依据,由于信息系统安24全等级保护基本要求中提出的安全要求是针对大部分系统的通用要求,因此还应结合自身系统的特点判断不
44、符合要求的差距是否在今后的安全改造过程中需要补充,以及除信息系统安全等级保护基本要求中提出的安全要求外,是否还需要补充其他的措施。安全需求的最终确认,可以借鉴风险分析的做法,由于已经采用等级测评方法对系统进行了安全现状评估,所以借鉴风险分析法对安全需求进行最终确认时,可以简化分析方法,关注点放在系统的重要资产上,识别出系统的重要资产、重要资产保护方面存在的缺陷、重要资产可能面临的威胁以及可能的风险大小。通过针对重要资产的风险分析方法,判断等级测评中不符合项可能产生的风险,以及对重要资产的额外保护需求。等级测评中可能产生较大风险的不符合项,为了对抗特定环境下的威胁,重要资产需要补充的安全措施,两
45、者共同构成了系统的安全需求。二、基本步骤安全需求确认的基本步骤如下:1、重要资产的分析明确信息系统中的重要资产或称重要部件,如边界设备、网关设备、核心网络设备、重要服务器设备、重要应用系统、重要数据等。列表说明重要资产,并按重要程度排序。例如:序号资产名称重要程度资产说明12345678252、重要资产安全弱点评估检查或判断上述重要资产或重要部件可能存在的弱点,包括技术上和管理上的;分析安全弱点被利用的可能性。重要资产可能存在的弱点的分析和判断可以借用安全现状评估的结果数据,根据弱点的暴露程度或弱点的可利用程度,列表说明。例如:序号资产名称弱点弱点说明1233、重要资产面临威胁评估分析和判断上
46、述重要资产或重要部件可能面临的威胁,包括外部的威胁和内部的威胁,威胁发生的可能性或概率。威胁的分析和判断可以采用过滤法,即利用威胁的大列表对每项资产进行过滤,有发生可能性的威胁保留,然后根据威胁发生的可能性大小列表说明重要资产面临的威胁。例如:序号资产名称威胁威胁说明126序号资产名称威胁威胁说明234、综合风险分析以每个重要资产为主线,分析威胁利用弱点可能产生的安全事件,分析安全事件发生造成的损害或产生的影响大小。按照安全事件发生造成的损害或产生的影响大小排序说明每个资产可能的安全事件和安全事件的影响。例如:序号资产名称可能的安全事件安全事件的破坏和影响1235、安全需求分析针对可能的安全事
47、件以及安全事件发生造成的损害或产生的影响大小,分析和判断需要采用的安全措施,分析安全措施的实施成本和实现可能,分析安全措施之间的互补性。结合安全现状评估的结果,列表说明期望实现的各种安全措施。27例如:序号问题或事件描述问题或事件危害程度描述可能的安全措施123456786、完成安全需求分析报告根据安全评估报告和需求分析阶段的各类数据等形成安全需求分析报告。安全需求分析报告的文档结构见本节“过程输出”部分。三、过程输出安全需求确认过程中的结果描述文件包括:安全需求分析报告安全需求分析报告基本结构1、概述2、系统描述3、等级测评结果4、需求分析结果5、安全需求描述283.1.23.1.2 总体安
48、全规划设计完成系统定级并确定安全需求后,进入实施前的设计过程,设计过程通常分为总体设计和详细设计,安全设计也不例外,在实施指南的描述中,总体安全设计在“总体安全规划阶段”完成,详细安全设计在“安全设计与实施阶段”完成,这里介绍的方法是总体安全设计。总体安全设计的目的是根据等级保护安全基本要求和确定的系统安全需求,设计系统的整体安全框架,提出系统在总体方面的策略要求、各个子系统应该实现的安全技术措施、安全管理措施等,是基本要求在特定系统的具体落实,总体安全设计形成的文档用于指导系统具体安全建设。详细安全设计的目标是依据信息系统总体安全方案,提出本期实施项目的具体实施方案,将总体方案中要求实现的安
49、全策略、安全技术体系架构、安全措施和要求落实到产品功能或物理形态上,提出指定的产品或组件及其具体规范,并将产品功能特征整理成文档,使得安全产品采购、安全控制开发、具体安全实施有依据。3.1.2.13.1.2.1总体安全设计总体安全设计一、设计方法总体安全设计并非安全等级保护实施过程中必须的执行过程,对于规模较小、构成内容简单的信息系统,在通过安全需求分析确定了信息系统的安全需求之后,可以直接进入安全详细设计。对于略有规模的信息系统,比如信息系统本身是由多个不同级别的系统构成、信息系统分布在多个物理地区、信息系统的系统之间横向和纵向连接关系复杂等,对于这样的信息系统,应实施总体安全设计过程。行业信息系统通常具有这种规模和复杂程度。 总体安全设计的基本思路是根据自身信息系统的系统划分情况、系统定级情况、系统的连接情况、系统的业务承载情况、运作机制和管理方式等特点,结合基本要求 ,在较高层次上形成自己信息系统的安全要求,包括安全方针和安全策略、安全技术框架和安全管理体系等。29总体安全设计的基本方法是将复杂信息系统进行简化,提取共性形成模型,针对模型要素结合基