等级保护标准及建设工作介绍

等级保护标准及建设工作介绍张洋zhangy@nercis.ac.cn目录标准的起草背景及过程等级保护标准体系及主要标准等级保护工作过程及标准应用背景及过程《中国人民共和国计算机信息系统安全保护条例》（国务院令147号）第九条•“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。”根据信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；将信息系统划分为不同的安全保护等级并对其实施不同的保护和监管。背景及过程背景及过程体现国家管理意志构建国家信息安全保障体系保障信息化发展和维护国家安全信息安全等级保护工作是一项由信息系统主管部门、运营单位、使用单位、安全产品提供方、安全服务提供方、检测评估机构、信息安全监督管理部门等多方参与，涉及技术与管理两个领域的复杂系统工程背景及过程《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）“要加强信息安全标准化工作，抓紧制定急需的信息安全管理和技术标准，形成与国际标准相衔接的中国特色的信息安全标准体系。”背景及过程《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）“加快完善法律法规和标准体系。法律规范和技术标准是推广和实施信息安全等级保护工作的法律依据和技术保障。”“加快信息安全等级保护管理与技术标准的制定和完善，其他现行的相关标准规范中与等级保护管理规范和技术标准不相适应的，应当进行调整。”背景及过程信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准，确定其信息和信息系统的安全保护等级信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准对新建、改建、扩建的信息系统进行信息系统的安全规划设计、安全建设施工信息和信息系统的运营、使用单位及其主管部门按照与信息系统安全保护等级相对应的管理规范和技术标准的要求，定期进行安全状况检测评估国家指定信息安全监管职能部门按照等级保护的管理规范和技术标准的要求，对信息和信息系统的安全等级保护状况进行监督检查“66号文”对职责分工和工作的要求背景及过程主管部门信息安全监管职能部门安全保护检测评估运营使用单位安全服务商安全评估机构系统定级技术标准监督检查管理规范背景及过程管理规范和技术标准的作用GB17859-1999计算机信息系统安全保护等级划分准则GB/T20270-2006信息安全技术网络基础安全技术要求GB/T20271-2006信息安全技术信息系统通用安全技术要求GB/T20272-2006信息安全技术操作系统安全技术要求GB/T20273-2006信息安全技术数据库管理系统安全技术要求GB/T20269-2006信息安全技术信息系统安全管理要求GB/T20282-2006信息安全技术信息系统安全工程管理要求等等背景及过程1994年到2004年第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。背景及过程关于17859•《计算机信息系统安全保护等级划分准则》GB17859-1999•本标准将计算机信息系统的安全保护能力划分为五个等级：《划分准则》级别用户自主保护级系统审计保护级安全标记保护级结构化保护级访问验证保护级安全功能要求自主访问控制、身份鉴别、数据完整性保护自主访问控制、身份鉴别、客体重用、安全审计、数据完整性保护自主访问控制、强制访问控制、安全标记、身份鉴别、客体重用、安全审计、数据完整性保护自主访问控制、强制访问控制、安全标记、身份鉴别、客体重用、安全审计、数据完整性保护、隐蔽信道分析、可信路径自主访问控制、强制访问控制、安全标记、身份鉴别、客体重用、安全审计、数据完整性保护、隐蔽信道分析、可信路径、可信恢复背景及过程关于17859–这五个级别包含有不同要素和不同强度的安全要求《计算机信息系统安全保护等级划分准则》GB17859-1999主要内容来源于美国可信计算机系统评价准则TCSEC第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。背景过程关于17859国家时间标准名称功能级别保证级别美国1985TCSECD,C1,C2,B1,B2,B3,A1F1～F10F1～F10德国英国欧共体加拿大美国ISO198519891990199019911999绿皮书ITSECCTCPECFCCCQ1～Q8L1～L66E0～E7EAL1～EAL7评价准则的发展背景及过程关于17859鉴于等级保护工作的复杂性，迫切需要制定一个科学、合理和完整的等级保护标准体系，利用它来规范、指导和协调不同参与方在不同工作环节的安全活动。基于信息安全等级保护工作的基本工作内容，通过对目前国内外信息安全标准体系的研究和分析，需要制定、梳理和完善目前等级保护工作需要的标准体系，从而可以保障我国信息安全等级保护工作顺利推进背景及过程2004年之后全面性等级保护标准体系的编制应充分考虑等级保护工作中不同参与方在不同阶段、不同工作环节的不同要求，将工作过程中使用的各项标准分类纳入体系之中，构成一个完整全面的体系结构系统性构成等级保护标准体系的标准在内容、层次上要充分体现系统性和关联性，标准和标准之间应保持协调一致，相互衔接。背景及过程制定、梳理和完善的原则先进性在编制标准体系中的项目时，既要充分考虑目前的技术和管理的水平，也要对信息安全领域未来的发展有所预见，使等级保护标准体系具有一定的前瞻性。适用性等级保护标准体系框架并非一成不变，它将随着信息技术的发展和国际标准的不断完善而进行更新和充实，保证标准的适用性。应根据信息安全等级保护工作的轻重缓急开展标准的制定工作。背景及过程制定、梳理和完善的原则GB/T18336-2001/ISO/IEC15408-1999（CC）信息技术安全性评估准则两类要求,7个保证级别安全功能要求（组件）安全审计、通信、密码支持、用户数据保护、标识和鉴别、安全管理、隐秘、安全功能保护、安全功能数据传输、资源利用、可信路径等安全保证要求（组件）配置管理、分发和操作、开发、指导性文件、生命周期支持、测试、脆弱性评定等背景及过程前期的研究和分析与等级相关的其他标准通用技术要求（GB/T20271-2006）安全管理要求（GB/T20269-2006）工程管理要求（GB/T20282-2006）操作系统、数据库系统、入侵检测系统等产品安全技术要求等背景及过程前期的研究和分析GB/T19715-1.22005/ISO/IECTR13335:2000信息技术安全管理指南第四部分安全措施的选择二种分类,防护措施的全集第一种组织和物理的防护措施（偏重于管理）IT系统特有的防护措施（偏重于技术）第二种保密性防护措施完整性防护措施可用性防护措施背景及过程前期的研究和分析GB/T19716-2005/ISO/IEC17799:2000/信息安全管理实用规则三个层次,安全措施的全集安全控制类(10类)安全控制目标(36个)安全控制措施(127个)安全策略安全组织资产分类和控制人员安全物理和环境安全运行与操作管理访问控制系统开发和维护业务连续性管理符合性背景及过程前期的研究和分析DoD8500(美国国防部)-信息保障实现指引业务保障类,三级,保密级别,三级,信息系统可能有九种类型安全要求分为:业务保障类要求(标注”完整性”和”可用性”)I类,70个控制点,其中32个完整性,38个可用性II类,70个控制点,其中32个完整性,38个可用性III类,64个控制点,其中27个完整性,37个可用性保密类要求(标注”完整性”和”保密性”)机密类,45个控制点,其中7个完整性,38个保密性敏感类,34个控制点,其中3个完整性,31个保密性公开类,10个控制点,其中2个完整性,8个保密性级别越高,安全控制点越多,安全控制要求越细背景及过程前期的研究和分析FIPS199和NIST800-53(美国联邦政府)安全等级定级标准和安全措施推荐指南三个级别,保密性\完整性\可用性取高安全控制类(18个,管理\运行\技术)安全控制点安全控制要求级别越高,安全控制点越多,安全控制要求越细背景及过程前期的研究和分析《中华人民共和国计算机信息系统安全保护条例》“27号”和“66号”文件《计算机信息系统安全保护等级划分准则》GB17859-1999其他相关标准等背景及过程主要依据《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）GB/T19715-1.22005/ISO/IECTR13335:2000信息技术安全管理指南GB/T19716-2005/ISO/IEC17799:2000信息安全管理实用规则GB/T18336-2001/ISO/IEC15408-1999信息技术安全性评估准则DoD8500(美国国防部)信息保障实现指引FIPS199和NIST800-53(美国联邦政府)安全等级定级标准和安全措施推荐指南等背景及过程主要参考到目前为止，公安部牵头会同有关部门制定、梳理和完善了信息安全等级保护配套政策体系和标准体系，有效地支持了信息安全等级保护的系统定级、安全建设、等级测评等主要工作，后续的信息安全等级保护相关标准还在不断制定过程中。背景及过程小结目录标准的起草背景及过程等级保护标准体系及主要标准等级保护工作过程及标准应用等级保护标准体系多年来，在有关部门支持下，在国内有关专家、企业的共同努力下，全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的标准形成了比较完整的系列，信息安全等级保护标准体系。信息安全等级保护标准体系由等级保护工作过程中所需的所有标准组成，整个标准体系可以从多个角度分析从基本分类角度看基础类标准技术类标准管理类标准从对象角度看基础标准系统标准产品标准安全服务标准安全事件标准等等级保护标准体系从等级保护生命周期看通用/基础标准系统定级用标准安全建设用标准等级测评用标准运行维护用标准等等级保护标准体系一是：定级备案二是：建设整改三是：等级测评四是：监督检查等级保护主要工作43号文《管理办法》第九条:信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。管理办法《管理办法》第十条:信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。管理办法《管理办法》第十二条:在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要求》等技术标准，参照……等技术标准同步建设符合该等级要求的信息安全设施。管理办法《管理办法》第十四条:信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。管理办法计算机信息系统安全等级保护划分准则（GB17859）技术类信息系统通用安全技术要求信息系统物理安全技术要求网络基础安全技术要求其他技术标准管理类信息系统安全管理要求信息系统安全工程管理要求其他管理类标准产品类操作系统安全技术要求数据库管理系统安全技术要求网络