信息系统安全等级保护实施流程李德全航天恒星科技有限公司副总工北京市天地一体化信息安全工程中心副主任22个W---What&Why何为等级保护?为什么要进行等级保护?32003年9月中办国办颁发《关于加强信息安全保障工作的意见》(中办发[2003]27号)2004年11月四部委会签《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)2005年9月国信办文件《关于转发《电子政务信息系统信息安全等级保护实施指南》的通知》2005年公安部标准《等级保护安全要求》《等级保护定级指南》《等级保护实施指南》《等级保护测评准则》总结成一种安全工作的方法和原则最先作为“适度安全”的工作思路提出确认为国家信息安全的基本制度,安全工作的根本方法形成等级保护的基本理论框架,制定了方法,过程和标准1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》2006年四部委会签公通字[2006]7号文件(关于印发《信息安全等级保护管理办法(试行)》的通知)明确做等级保护,等级保护工作的重点是基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统定义了五个保护级别、监管方式、职责分工和时间计划定义了电子政务等级保护的实施过程和方法定义了等级保护的管理办法,后被43号文件取代。首次提出计算机信息系统必须实行安全等级保护。提出了等级保护的定级方法、实施办法,并对不同等级需要达到的安全能力要求进行了详细的定义,同时对系统保护能力等级评测指出了具体的指标。等级保护政策文件的演进42007年7月16日四部门会签公信安[2007]861号文件:四部门下发《关于开展全国重要信息系统安全等级保护定级工作的通知》提出了等级保护的推进和管理办法为等级保护工作开展提供了参考开始了等级保护的实质性工作的第一阶段2007年四部委会签公通字[2007]43号文件《信息安全等级保护管理办法》替代公通字[2006]7号文件,明确了等级保护的具体操作办法和各部委的职责,以及推进等级保护的具体事宜2006年公安部、国信办下发了《关于开展信息系统安全等级保护基础调查工作的通知》从2006年1月10日到4月10日,分三个阶段对国家重要的基础信息系统进行摸底,包括党政机关、财政、海关、能源、金融、社会保障等行业(2+2X)2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作,其中包括公用通信网、广播电视传输网等基础信息网络以及铁路、银行、海关、税务、民航、电力、证券、保险、外交、人事劳动和社会保障、财政、等行业(2+2X)等级保护政策文件的演进5《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字[2007]861号)《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)信息安全等级保护工作《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)《信息安全等级保护备案实施细则》(公信安[2007]1360号)《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号)关于印发《信息系统安全等级测评报告模版(试行)》的通知(公信安[2009]1487号)《公安机关信息安全等级保护检查工作规范(试行)》(公信安[2008]736号)《信息安全等级保护管理办法》(公通字[2007]43号)定级备案安全建设整改等级测评检查信息安全等级保护落实要求6等级保护工作的主要环节一是定级:包括评审与审批二是备案(二级及以上信息系统)三是系统安全建设/安全整改四是开展等级测评五是信息安全监管部门定期开展监督检查。7等保工作要求准确定级严格审批及时备案认真整改科学测评目录一、定级二、评审与备案三、建设与整改四、等保测评五、讨论89定级的要素等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。等级保护对象受到破坏时所侵害的客体包括:公民、法人和其他组织的合法权益;社会秩序、公共利益;国家安全。等级保护对象受到破坏后对客体造成侵害的程度归结为:造成一般损害;造成严重损害;造成特别严重损害。10定级要素与安全保护等级的关系受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级11定级一般流程由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。步骤如图3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体7、系统服务安全等级4、业务信息安全等级8、定级对象的安全保护等级依据表依据表1、确定定级对象12信息系统调查与分析信息系统调查工作通过全面客观的信息资产调查表以核查和访谈的方式完成信息资产调查工作,即通过信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况。13信息系统分析管理模式识别业务识别信息类型识别用户类型和分布识别网络结构和边界主要软硬件设备14定级对象确定定级对象分析根据信息系统调查结果和访谈结果,分析信息系统管理组织机构、业务应用、物理位置和运行环境等因素,基于科学的系统拆分原则明确定级对象。15定级对象确定一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。作为定级对象的信息系统应具有如下基本特征:具有唯一确定的安全责任单位具有信息系统的基本要素承载单一或相对独立的业务应用16定级对象确定具有信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象17定级对象确定承载单一或相对独立的业务应用定级对象承载“单一”的业务应用是指该业务应用的业务流程独立与其他业务应用没有数据交换独享所有信息处理设备。18定级要素分析定级要素:信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。分析方法:定级要素分析时需分别对业务信息安全等级和系统服务安全等级进行分析,分析内容包括确定受侵害的客体、确定对客体的侵害程度,从而确定相应的业务信息安全等级和系统服务安全等级。最后,综合业务信息安全等级和系统服务安全等级得到信息系统安全等级保护系统等级。19业务信息从业务系统出发分析处理的不同类型的数据系统服务业务系统的服务范围业务系统的服务对象业务系统的服务人数业务系统的服务时间要求业务信息和系统服务20确定受侵害的客体定级对象受到破坏时所侵害的客体包括:——国家安全——社会秩序、公众利益——公民、法人和其他组织的合法权益。21重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等;广播、电视、网络等重要新闻媒体的发布或播出系统,其受到非法控制可能引发影响国家统一、民族团结和社会安定的重大事件;尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信息系统,电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统等。哪些可能影响国家安全22哪些可能影响社会秩序各级政府机构的社会管理和公共服务系统,如财政、金融、工商、税务、公检法、海关、社保等领域的信息系统,也包括教育、科研机构的工作系统,以及所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统。23借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方面,例如:公共通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施、公共服务设施等。公共利益与社会秩序密切相关,社会秩序的破坏一般会造成对公共利益的损害。哪些可能影响公共利益24确定受侵害的客体-公民、法人、组织利益影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。25确定受侵害的客体确定作为定级对象的信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。各行业可根据本行业业务特点,分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系,从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。26确定对客体的侵害程度信息安全和系统服务安全受到破坏后,可能产生以下危害后果:影响行使工作职能;导致业务能力下降;引起法律纠纷;导致财务损失;造成社会不良影响;对其他组织和个人造成损失;其他影响。27综合判定侵害程度信息安全和系统服务安全受到破坏后,可能产生以下危害后果:侵害程度是客观方面的不同外在表现的综合体现,因此,应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同,例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定,业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。28保护等级确定单个系统的安全等级取其业务信息安全等级和系统服务安全等级之多个系统的保护等级取各单个(子)系统安全等级之最--高--者最--高--者就高不就低!29定级误区定级偏高:过保护,浪费,易用性受到影响,检查或测评。定级偏低:欠保护,不安全,过度责任。定级不准:好钢没用在刀刃上30准确定级—How?培训咨询评审目录一、定级二、评审与备案三、建设与整改四、等保测评五、讨论3132定级评审聘请专家进行咨询评审,并出具定级评审意见。拟定四级及以上的,应请国家信息安全保护等级专家评审委员会评审。当专家意见与运营使用单位或者主管部门不一致时,以运营使用单位或者主管部门意见为准。自主定级!33定级备案二级及以上的信息系统需到备案(30日内)。(公通字[2007]43号)(个人建议:对于大型的企事业单位,需对下级单位的定级情况有所掌握,特别是CSO必须清楚)公安机关34互动—定级举例门户网站办公自动化系统电子邮件系统应该定几级?35等级变更发现定级不准时信息系统发生变更信息变化业务范围变化用户群体变化业务模式的变化应用环境变化重新定级和重新备案36信息变化如因业务需要,系统中增加了原来没有的数据,或者把原有的数据分离出去了37业务范围变化服务对象群体的变化服务内容的增减…38用户群体变化如用户群体的扩大、缩小。39业务模式的变化即使系统及其功能没有任何的变化,外部相关业务模式的变化也可能影响到系统的安全等级。如,某网上查询系统,当还有电话查询或其他查询方式并行时,其安全等级与其作为唯一查询手段时的安全等级可能是不一样的。40运行环境的变化运行环境的变化可能导致其可能受损的程度的变化,从而导致危害对象和危害程度的变化。也可能涉及系统边界的变化。目录一、定级二、评审与备案三、建设与整改四、等保测评五、讨论4142建设整改是关键定级/备案是信息安全等级保护的首要环节等级测评是评价安全保护现状的重要方法建设整改是等级保护工作落实的关键监督检查是使信息系统保护能力不断提高的保障43安全建设与整改过程等保差距分析风险分析与评估安全需求分析安全建设/整改方案经费、设备等的准备方案实施44安全建设整改-《基本要求》是核心《基本要求》是信息系统安