信息安全等级保护安全建设整改技术工作主要内容及相

信息安全等级保护安全建设整改工作培训材料之一信息安全等级保护安全建设整改技术工作主要内容及相关标准应用公安部信息安全等级保护评估中心二〇〇九年十一月目录1概述.............................................（1）1.1信息系统安全建设整改的目的.....................（1）1.2安全建设整改在落实等级保护工作中的作用.........（1）2安全建设整改依据的标准............................（2）2.1相关标准在等级保护各阶段工作中的作用...........（2）2.2安全建设整改工作依据的标准.....................（5）2.2.1《基本要求》作用............................（5）2.2.2《基本要求》框架结构........................（5）2.2.3安全保护能力................................（6）2.2.4《基本要求》的选择和使用说明................（8）3安全管理建设整改工作的内容和方法.................（10）3.1落实信息安全责任制............................（11）3.2信息系统安全管理现状分析......................（12）3.3确定安全管理策略，制定安全管理制度............（12）3.4落实安全管理措施..............................（13）3.4.1人员安全管理...............................（13）3.4.2系统运维管理...............................（14）3.4.3系统建设管理...............................（16）3.5安全自查与调整................................（17）4安全技术建设整改工作的内容和方法.................（17）4.1信息系统安全保护技术现状分析..................（18）4.2信息系统安全技术建设整改方案设计..............（19）4.2.1确定安全技术策略，设计总体技术方案.........（19）4.2.2安全技术方案详细设计.......................（21）4.2.3建设经费预算和工程实施计划.................（25）4.2.4方案论证和备案.............................（25）4.3安全建设整改工程实施和管理....................（26）4.3.1工程实施和管理.............................（26）4.3.2工程监理和验收.............................（26）5安全等级测评.....................................（27）5.1等级测评依据的标准............................（27）5.1.1测评要求...................................（27）5.1.2测评过程指南...............................（28）5.2等级测评的工作流程和工作内容..................（29）5.3等级测评工作中的风险控制......................（31）5.3.1存在的风险.................................（31）5.3.2风险的规避.................................（31）5.4等级测评报告的主要内容........................（33）6信息系统安全建设整改方案要素.....................（34）6.1项目背景......................................（34）6.2开展信息系统安全建设整改的法规政策和技术依据...（34）6.3信息系统安全建设整改安全需求分析..............（34）6.4信息系统安全等级保护建设整改技术方案设计.......（35）6.5信息系统安全等级保护建设整改管理体系设计.......（35）6.6信息系统安全产品选型及技术指标................（35）6.7安全建设整改后信息系统残余风险分析............（35）6.8信息系统安全等级保护整改项目实施计划..........（35）6.9信息系统安全等级保护项目预算..................（35）1概述1.1信息系统安全建设整改的目的在已定级的信息系统中，大多数信息系统在建设之初还没有将等级保护要求作为安全需求加以考虑，因此所构建的信息系统安全保障体系或采取的安全保护措施是以满足本部门、本单位的安全需求为出发点的。随着等级保护工作的逐步展开，尤其是在信息系统确定了安全保护定级之后，重新审视现有信息系统的安全保护状况，由于建设年代不同、所在地域差异、设计人员和实施人员的水平差距等都会造成其信息系统的保护水平参差不齐。通过开展等级保护工作，使信息系统可以按照等级保护相应等级的要求进行设计、规划和实施，将国家的政策标准要求、机构的使命性要求、系统可能面临的环境和影响以及机构自身的需求相结合作为信息系统的安全需求，使具有相同安全保护等级的信息系统能够达到相应等级的基本保护水平和保护能力。1.2安全建设整改在落实等级保护工作中的作用根据等级保护管理办法，等级保护工作主要分为五个环节，定级、备案、建设整改、等级测评和监督检查。其中定级/备案是信息安全等级保护的首要环节，可以梳理各行业、各部门、各单位的信息系统类型、重要程度和数量等，确定信息安全保护的重点。而安全建设整改是信息安全等级保护工作落实的关键，通过建设整改使具有不同等级的信息系统达到相应等级的基本保护能力，从而提高我国基础网络和重要信息系统整体防护能力。等级测评工作的主体是第三方测评机构，工作目的是检验和评价信息系统的安全建设整改工作的成效，判断安全保护能力是否达到相关要求，监督检查工作的主体是信息安全职能管理部门，通过定期的监督、检查和指导，保障重要信息系统安全保护能力不断提高。-5-2安全建设整改依据的标准2.1相关标准在等级保护各阶段工作中的作用GB17859-1999《计算机信息系统安全保护等级划分准则》是基础性标准，GB/T20271-2006《信息系统通用安全技术要求》、GB/T20270-2006《网络基础安全技术要求》、GB/T21052-2007《信息系统物理安全技术要求》等技术要求类标准和GB/T20269-2006《信息系统安全管理要求》、GB/T20282-2006《信息系统安全工程管理要求》等管理要求类标准是在GB17859-1999基础上的进一步细化和扩展。GB/T22239-2008《信息系统安全等级保护基本要求》（以下简称《基本要求》）技术部分吸收和借鉴了GB17859-1999及相关标准，采纳其中的身份鉴别、数据完整性、自主访问控制、强制访问控制、审计、客体重用（改为剩余信息保护）标记、可信路径等8个安全机制，并将这些机制根据各级的安全目标，扩展到网络层、主机系统层、应用层和数据层，《基本要求》管理部分充分借鉴了ISO/IEC17799:2005等国际上流行的信息安全管理方面的标准。根据现有技术的发展水平，《基本要求》提出和规定了不同安全保护等级信息系统的最低保护要求。行业主管部门可以依据《基本要求》，结合行业特点和信息系统实际出台行业细则，行业细则的要求应不低于《基本要求》。GB/T22240-2008《信息系统安全等级保护定级指南》（以下简称《定级指南》）为信息系统运营使用单位确定信息系统安全保护等级的工作提供指导，行业主管部门可以依据《定级指南》，结合行业特点和信息系统实际出台行业定级细则，保证行业内信息系统在不同地区等级的一致性，以指导本行业信息系统定级工作的开展。等级测评是评价信息系统安全保护状况的重要方法，也是等级保护工作的重要环节之一，测评结果可作为向监管机构提交的等级测评报告。《信息系统安全等级保护测评要求》为等级测评机构开展等级测评活动提供了测评方法和综合评价方法。《信息系统安全等级保护测评过程指南》对等级测评活动提出规范性要求，以保证测评结论的准确性和可靠性。《信息系统安全等级保护实施指南》是信息系统安全等级保护建设实施的过程控制标准，用于指导信息系统运营使用单位了解和掌握信息安全等级保护工作的方法、主要工作内容以及不同的角色在不同阶段的作用。《信息系统等级保护安全设计技术要求》对信息系统安全建设的技术设计活动提供指导，是实现《基本要求》中技术要求的方法之一。各标准间相互关系如下图简要说明。-7-图1等级保护标准间相互关系信息系统安全等级保护基本要求计算机信息系统安全保护等级划分准则（GB17859）信息系统通用安全技术要求信息系统物理安全技术要求技术类其他技术类标准信息系统安全管理要求信息系统安全工程管理要求其他管理类标准信息系统安全等级保护定级指南信息系统安全等级保护基本要求的行业细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求管理类产品类数据库管理系统安全技术要求其他产品类标准信息系统安全等级保护行业定级细则操作系统安全技术要求信息系统安全等级保护建设整改网络基础安全技术要求网络和终端设备隔离部件技术要求安全定级基线要求状态分析方法指导信息系统安全等级保护实施指南2.2安全建设整改工作依据的标准2.2.1《基本要求》作用《基本要求》是针对每个等级的信息系统提出相应安全保护要求，“基本”意味着这些要求是针对该等级的信息系统达到基本保护能力而提出的，也就是说，这些要求的实现能够保证系统达到相应等级的基本保护能力。信息系统安全建设整改应以落实《基本要求》为主要目标。信息系统运营使用单位应根据信息系统安全保护等级选择《基本要求》中相应级别的安全保护要求作为信息系统的基本安全需求。当信息系统有更高安全需求时，可参考《基本要求》中较高级别保护要求或《信息系统通用安全技术要求》、《信息系统安全管理要求》等其他标准。行业主管部门可以结合行业特点和信息系统实际出台行业细则，行业细则的要求应不低于《基本要求》。但《基本要求》提出的是“要求”，而不是具体实施方案或作业指导书，《基本要求》给出了系统每一保护方面需达到的要求，至于这种要求采取何种方式实现，不在《基本要求》的描述范围内。《基本要求》为以下工作提供依据：a)为信息系统建设单位和运营、使用单位的信息系统建设和整改工作提供依据；b)为测评机构提供信息系统的等级测评依据；c)为职能监管部门提供监督检查依据。2.2.2《基本要求》框架结构《基本要求》在整体框架结构上以三种分类为支撑点，自上而下分别为：类、控制点和项。其中，类表示《基本要求》在整体上大的分类，其中技术部分分为：物理安全、网络安全、主机系统安全、应用安全和数据安全等5大类，管理部分分为：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等5大类，一共分为10大类。控制点表示每个大类下的关键控制点，如物理安全大-9-类中的“物理访问控制”作为一个控制点。而项则是控制点下的具体要求项，如“机房出入应有专人负责，进入的人员登记在案。”具体框架结构如图所示：图2《基本要求》的框架结构2.2.3安全保护能力对信息系统采取安全措施是为了使信息系统具备一定的安全保护能力，这种安全保护能力主要表现为能够应对威胁的能力，称为对抗能力。但在某些情况下，信息系统无法阻挡威胁对自身的破坏时，如果信息系统具有很好的恢复能力，那么