信息安全等级保护培训教材
等级保护实施主要技术环节说明
公安部
2007年7月
目录
根据《信息安全等级保护管理办法》(以下简称《管理办法》),信息安全等级保护的实施工作包括信息系统定级与评审、信息系统安全建设或者改建、对信息系统定期的等级测评与安全自查、办理备案手续并提供相关材料、接受公安机关、国家指定的专门部门监督检查、选择使用符合条件的信息安全产品、选择符合条件的等级保护测评机构等,其中涉及信息系统运营使用单位/主管部门需要作较多技术工作的环节是系统定级和系统建设或改建。本教材主要对这两个阶段工作中可能涉及的特殊概念,可能采用的技术方法和步骤等方面给出说明。
根据《管理办法》第十条:信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
根据《关于开展全国重要信息系统安全等级保护定级工作的通知》(以下简称《定级通知》)要求:各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的指导意见。
与此相对应,在《定级指南》中提出“各行业可根据本行业业务特点,分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系,从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。”
每个行业在国家政治、经济、军事、外交等活动中的职能不同,信息系统在行业内所发挥的作用对行业职能影响不同,信息和信息系统被破坏后对等级保护客体的影响也有所不同。对本行业职能的认识,行业主管部门一般比信息系统的运营、使用单位具有更高的站位、更宏观的视野,从而可以做出更准确的判断,因此需要行业主管部门对本行业哪些业务系统的等级保护客体是国家安全、哪些是社会秩序、公共利益、哪些是公民、法人和其他组织的合法权益给出基本判断,从而指导本行信息系统的不同的运营使用单位作出一致的判断。
以下概念说明供行业主管部门参考:
1.关于国家安全
随着信息化的不断推进,我国国家安全和经济生活已经极大地依赖于信息技术和信息基础设施,尤其是国防、电力、银行、政府机构、电信系统以及运输系统等重要基础设施一旦受到破坏,会对国家安全构成严重威胁。因此在考虑信息系统的信息和服务安全被破坏后,可能对国家安全的影响时,也应从多方面加以考虑。
举例来说,涉及影响国家安全事项的信息系统可能包括:重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等属于影响国家政权稳固和国防实力的信息系统;广播、电视、网络等重要新闻媒体的发布或播出系统,其受到非法控制可能引发影响国家统一、民族团结和社会安定的重大事件;处理国家对外活动信息的信息系统;处理国家重要安全保卫工作信息的信息系统和重大刑事案件的侦查系统;尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信息系统,以及电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统等。
2.关于社会秩序
完善社会管理体系,维护良好的社会秩序是建设社会主义和谐社会的重要任务之一,借助信息化手段提高国家机关的社会管理和公共服务水平,提高经济活动效率,更方便地从事科研、生产、生活活动正是维护良好社会秩序的表现。
可能影响到社会秩序的信息系统非常多,包括各级政府机构的社会管理和公共服务系统,如财政、金融、工商、税务、公检法、海关、社保等领域的信息系统,也包括教育、科研机构的工作系统,以及所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统。
3.关于公共利益
公共利益所包括的范围是非常宽泛的,既可能是经济利益,也可能是包括教育、卫生、环境等各个方面的利益。
借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方面,例如:公共通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施、公共服务设施等。
公共利益与社会秩序密切相关,社会秩序的破坏一般会造成对公共利益的损害。
4.关于公民、法人和其他组织的合法权益
《定级指南》中的公民、法人和其他组织的合法权益则是指拥有信息系统的个体或确定组织所享有的社会权力和利益。它不同于公共利益,选择客体为公共利益是指受侵害的对象是“不特定的社会成员”,而选择公民、法人和其他组织的合法权益时,受侵害的对象是明确的,就是拥有信息系统的个体或某个单位。
为确定信息系统安全保护等级,除了要确定等级保护客体外,还必须确定信息系统受到破坏后对客体的侵害程度,因此在《定级指南》中还提出“由于各行业信息系统所处理的信息种类和系统服务特点各不相同,信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同,各行业可根据本行业信息特点和系统服务特点,制定危害程度的综合评定方法,并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义。”
行业主管部门需要根据本行业特点,确定对客体的侵害程度,对于《定级指南》给出了以下几种危害后果具体说明如下:
- 影响行使工作职能,工作职能包括国家管理职能、公共管理职能、公共服务职能等国家或社会方面的职能。
- 导致业务能力下降,下降的表现形式可能包括业务范围的减少、业务处理性能的下降、可服务的用户数量的下降以及其他各种业务指标的下降,每个行业务都有本行业关注的业务指标。例如电力行业关注发电量和用电量,税务行业关注税费收入,银行业关注存款额、贷款额、交易量等,证券经纪行业关注股民数和交易额。
- 引起法律纠纷是比较严重的影响,在较轻的程度时可能表现为投诉、索赔、媒体曝光等形式。
- 导致财产损失,包括系统资产被破坏的直接损失、业务量下降带来的损失、直接的资金损失、为客户索赔所支付的资金等,以及由于信誉下降、单位形象降低、客户关系损失等导致的间接经济损失。
- 直接造成人员伤亡,例如医疗服务系统,公安行业的某些系统等。
- 造成社会不良影响,包括在社会风气、执政信心等方面的影响。
上述几类影响不一定是独立的,有时也会是相关的,例如人员伤亡可能引发法律纠纷,进而可能造成资金的赔偿,业务能力下降既可能影响管理职能的履行,同时也可能造成单位收入的下降。
在上述危害后果中,各行业的某个类型的信息系统一般主要关注其中的一种后果,例如银行系统一般关注业务能力下降的影响,党政系统主要关注管理职能的履行等,而将其他后果作为参考。行业主管部门通过梳理本行业信息系统的现状,通过对这些不同类型、不同程度后果的定量、半定量描述,给出对等级保护客体的一般损害、严重损害和特别严重损害的指导性意见,以便本行业的信息系统运营使用单位可以参照执行,确定本单位系统的安全保护等级,只有这样,一个行业内确定的安全保护等级才具有较好的一致性
定级工作是信息系统等级保护工作的起点,定级结果直接决定了后续安全保障工作的开展。在定级之前,首先必须明确定级的对象,即,对哪个信息系统进行定级。《定级指南》中指出,作为定级对象的信息系统应当具备以下三个条件:
a) 具有唯一确定的安全责任单位
作为定级对象的信息系统应能够唯一地确定其安全责任单位,这个安全责任单位就是负责等级保护工作部署、实施的单位,也是完成等级保护备案和接受监督检查的直接责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,而其上级部门仅负有监督、指导责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。
b) 具有信息系统的基本要素
作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如单台的服务器、终端或网络设备等作为定级对象。
单台的设备或由单台设备构成的安全域本身无法实现所要求的信息系统保护,不能抵御来自内部或外部的攻击,这样的设备或区域必然依靠其所在环境所提供的网络安全和边界防护。因此作为定级对象的信息系统应当是包括信息系统的核心资产——保护目标,以及对保护目标提供保护的所有相关设备和人员——保护机制,只有涵盖了这两部分,才能使信息系统实现其应用目标。
c) 承载相对独立的业务应用
定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流程、部分业务功能独立,同时与其他信息系统的业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程,可以使完整的业务流程的一部分。
承载“相对独立”业务应用的信息系统在一个单位的整个信息系统中像一个子系统,其业务功能是相对独立的并明显区别于其他系统的,与其他系统有明确的业务边界和信息交换方式。
上述三个条件给出定级对象确定的原则,在这个原则的基础上,针对不同规模、不同复杂程度、不同隶属关系的信息系统,运营使用单位和服务机构人员可以寻找适合自身的划分方法,以下给出的定级对象的识别方法和定级过程的操作方法已经在某些信息系统中得到认可,作为例子,供运营使用单位和有关各方参考。
一般来讲单位信息系统可以划分为几个定级对象,如何划分系统是定级之前的主要问题。信息系统的划分没有绝对的对与错,只有合理与不合理,合理地划分信息系统有利于信息系统的保护及安全规划,反之可能给将来的应用和安全保护带来不便,又可能需要重新进行信息系统的划分。由于信息系统的多样性,不同的信息系统在划分过程中所侧重考虑的划分依据会有所不同。通常,在信息系统划分过程中,应当结合信息系统的现状,从信息系统的管理机构、业务特点或物理位置等几个方面考虑对信息系统进行划分,当然也可以根据信息系统的实际情况,选择其他的划分依据,只要最终划分结果合理就可以。
a) 安全责任单位
依据安全责任单位的不同,划分信息系统。如果信息系统由不同的单位负责运行维护和管理,或者说信息系统的安全责任分属不同机构,则可以根据安全责任单位的不同划分成不同的信息系统。一个运行在局域网的信息系统,其安全责任单位一般只有一个,但对一个跨不同地域运行的信息系统来说,就可能存在不同的安全责任单位,此时可以考虑根据不同地域的信息系统的安全责任单位的不同,划分出不同的信息系统。
在一个单位中,信息系统的业务管理和运行维护可能由不同部门负责,例如科技部门或信息中心负责信息系统所有设备和设施的运行、维护和管理,各业务部门负责其中的业务流程的制定和业务操作,信息系统的安全管理责任不仅指在信息系统的运行、维护和管理方面的责任,承担安全管理责任的不应是科技部门,而应当是该单位。
一个运行在局域网的信息系统,其管理边界比较明确,但对一个跨不同地域运行的信息系统,其管理边界可能有不同情况:如果不同地域运行的信息系统分属不同单位(如上级单位和下级单位)负责运行和管理,上下级单位的管理边界为本地的信息系统,则该信息系统可以划分为两个信息系统;如果不同地域运行的信息系统均由其上级单位直接负责运行和管理,运维人员由上级单位指派,安全责任由上级单位负责,则上级单位的管理边界应包括本地和远程的运行环境。
b) 业务类型和业务重要性
根据业务的类型、功能、阶段的不同,对信息系统进行划分,不同类型的业务之间会存在重要程度、环境、用户数量等方面的不同,这些不同会带来安全需求和受破坏后的影响程度的差异,例如,一个是以信息处理为主的系统,其重要性体现在信息的保密性,而另一个是以业务处理为主的系统,其重要性体现在其所提供服务的连续性,因此,可以按照业务类型的不同划分为不同的信息系统。又比如,在整个业务流程中,核心处理系统的功能重要性可能远大于终端处理系统,有需要时,可以将其划分为不同的信息系统。
归结起来,以下几种情况可能划分为不同等级的信息系统:
l 可能涉及不同客体的系统。例如对内服务与对外运营的业务系统,对内服务的办公系统,一般来说其中的信息和提供的服务是面向本单位的,涉及到的等级保护客体一般是本单位,而对外运营的业务系统往往关系到其他单位、个人或面向社会,因此这两类业务可能涉及不同的客体,可能具有不同的安全保护等级,可以考虑划分为不同的信息系统。又比如处理涉及国家秘密信息的信息系统与处理一般单位敏感信息的信息系统应分开。
l 可能对客体造成不同程度损害的系统。例如全国大集中系统数据中心的数据量和服务范围都远大于各省级节点和市级节点,其受到破坏后的损害程度和影响范围也有很大差别,可能具有不同的安全等级,可以考虑划分为不同的信息系统。
l 处理不同类型业务的系统。
c) 分析物理位置的差异
根据物理位置的不同,对信息系统进行划分。物理位置的不同,信息系统面临的安全威胁就不同,不同物理位置之间通信信道的不可信,使不同物理位置的信息系统也不能视为可以互相访问的一个安全域,即使等级相同可能也需要划分为不同的信息系统分别加以保护,因此,物理位置也可以作为信息系统划分的考虑因素之一。
在进行信息系统的划分过程中,进行分析,可以选择上述三个方面中的一个方面因素作为划分的依据,也可以综合几个方面因素作为划分的依据。同时,还要结合信息系统的现状,避免由于信息系统的划分而引起大量的网络改造和重复建设工作,影响原有系统的正常运行。一般单位的信息系统建设和网络布局,一般都会或多或少考虑系统的特点、业务重要性及不同系统之间的关系,进行信息系统的等级划分应尽可能以现有网络条件为基础进行划分,以免引起不必要的网络改造和建设工作,影响原有系统的业务运行。例如政府机构内部一般由三个网络区域组成,政务内网、政务外网和互联网接入网,三个网络相对独立,可以先以已有的网络边界将单位的整个系统划分为三个大的信息系统,然后再分析各信息系统内部的业务特点、业务重要性及不同系统之间的关系,如果内部还存在相对独立的网络结构,业务边界也比较清晰,也可以再进一步将该信息系统细分为更小规模的信息系统。
此外,有些信息系统中不同业务的重要程度虽然会有所差异,但是由于业务之间联系紧密,不容易拆分,可以作为一个信息系统按照同样级别保护。但是,如果其中某一个业务面临风险或威胁较大,比如与互联网相连,可能会影响到其它的业务,就应当将其从该信息系统中分离出来,单独作为一个信息系统而实施保护。
经过合理划分,一个单位或机构的信息系统最终可能会划分为不同等级的多个信息系统。同时,通过在信息系统划分阶段对各种系统服务业务信息、业务流程的深入分析,明确了各个信息系统之间的边界和逻辑关系以及他们各自的安全需求,有利于信息系统安全保护的实施。
定级对象确定后就需要确定定级对象信息系统的边界和边界设备。由于定级对象信息系统有可能是单位信息系统的一部分,如果该信息系统与其他系统在网络上是独立的,没有设备共用情况,边界则容易确定,但当不同信息系统之间存在共用设备时,应加以分析。
由于信息系统的边界保护一般在物理边界或网络边界上实现,系统边界不应出现在服务器内部,服务器共用的系统一般归入同一个信息系统,因此不同信息系统的共用设备一般是网络/边界设备或终端设备。
两个信息系统边界存在共用设备时,共用设备的安全保护等级按两个信息系统安全保护等级较高者确定。例如,一个2级系统和一个3级系统之间有一个防火墙或两个系统共用一个核心交换机,此时防火墙和交换机可以作为两个系统的边界设备,但应满足3级系统的要求。
终端设备一般包括系统管理终端(如服务器和网络设备的管理终端,业务管理终端,安全设备管理终端等),内部用户终端(如办公系统用户的终端,银行系统的业务终端、移动用户终端等)和外部用户终端(如网银用户终端,清算系统中的商业银行终端,证券交易系统的交易客户等)。对于外部用户终端,由于用户和设备一般都不在信息系统的管理边界内,这些终端设备不在信息系统的边界范围内。信息系统的管理终端是与相应被管理设备相对应的,服务器、网络设备及安全设备等属于哪个系统,终端就应归在哪个信息系统中。内部用户终端就比较复杂,内部用户终端往往与多个系统相连,当信息系统进行等级化保护后,应尽可能为不同的信息系统分配不共用的终端设备,以免在终端处形成不同等级信息系统的边界。但如果无法做到不同等级的信息系统使用不同的终端设备,则应将终端设备划分为其他的信息系统,并在服务器与内部用户终端之间建立边界保护,对终端通过身份鉴别和访问控制等措施加以控制。
处理涉密信息的终端必须划分到相应的信息系统中,且不能与非涉密系统共用终端。
信息系统定级既可以在新系统建设之初进行,也可在已建成系统中进行。对于新建系统,尽管信息系统尚未建成,但信息系统的运营使用者应首先分析该信息系统处理哪几种主要业务,预计处理的业务信息和服务安全被破坏所侵害的客体、以及根据可能的对信息系统的损害方式判断可能的客体侵害程度等基本信息,确定信息系统的安全保护等级。
对于已建系统,可以通过系统基本情况调查、调查结果分析、确定等级,形成定级报告等过程完成。
通过定级调查,可以了解单位信息系统的全貌,了解定级对象信息系统与单位其他信息系统的关系。根据用户需求或工作需要,定级调查活动既可以针对单位整个信息系统进行,也可在用户指定的范围内进行。
1. 识别单位基本信息
调查了解对目标系统负有安全责任的单位的单位性质、隶属关系、所属行业、业务范围、地理位置等基本情况,以及其上级主管机构(如果有)的信息。
了解单位基本信息有助于判断单位的职能特点,单位所在行业及单位在行业所处的地位和所用,由此判断单位主要信息系统的宏观定位。
2. 识别管理框架
调查了解定级对象信息系统所在单位的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责。了解信息系统的管理、使用、运维的责任部门,特别是当该单位的信息系统存在分布于不同的物理区域的情况时,应了解不同区域系统运行的安全管理责任。安全管理的责任单位就是等级保护备案工作的责任单位。
了解管理框架还有利于将来对整个单位制定等级保护管理框架及单个定级对象等级管理策略。
3. 识别业务种类、流程和服务
调查了解定级对象信息系统内部处理多少种业务,各项业务具体要完成的工作内容、服务目标和业务流程等。了解这些业务与单位职能的关联,单位对定级对象信息系统完成业务使命的期待和依赖程度,由此判断该信息系统在单位的作用和影响程度。
调查还应关注每个信息系统的业务流,以及不同信息系统之间的业务关系,因为不同信息系统之间的业务关系和数据关系表明其他信息系统对该信息系统的服务的关联和依赖。
应重点了解定级对象信息系统中不同业务系统提供的服务在影响履行单位职能方面具体方式和程度,影响的区域范围、用户人数、业务量的具体数据以及对本单位以外机构或个人的影响等方面。这些具体数据即可以为主管部门制定定级指导意见提供参照,也可以作为主管部门审批定级结果的重要依据。
调查了解定级对象信息系统所处理的信息,了解单位对信息的三个安全属性的需求,了解不同业务数据在其保密性、完整性和可用性被破坏后在单位职能、单位资金、单位信誉、人身安全等方面可能对国家、社会、本单位造成的影响,对影响程度的描述应尽可能量化。
根据系统不同业务数据可能是用户数据、业务处理数据、业务过程记录(流水)数据、系统控制数据或文件等。
了解数据信息还应关注信息系统的数据流,以及不同信息系统之间的数据交换或共享关系。
5. 识别网络结构和边界
调查了解定级对象信息系统所在单位的整体网络状况和安全防护情况,包括网络覆盖范围(全国、全省或本地区),网络的构成(广域网、城域网或局域网等),内部网段/VLAN划分,网段/VLAN划分与系统的关系,与上级单位、下级单位、外部用户、合作单位等的网络连接方式,与互联网的连接方式。目的是了解定级对象信息系统自身网络在单位整个网络中的位置,该信息系统所处的单位内部网络环境和外部环境特点,以及该信息系统的网络安全保护与单位内部网络环境的安全保护的关系。
6. 识别主要的软硬件设备
调查了解与定级对象信息系统相关的服务器、网络、终端、存储设备以及安全设备等,设备所在网段,在系统中的功能和作用。信息系统定级本应仅与信息系统有关,与具体设备没有多大关系,但由于在划分信息系统时,不可避免地会涉及到设备共用问题,调查设备的位置和作用主要就是发现不同信息系统在设备使用方面的共用程度。
7. 识别用户类型和分布
调查了解各系统的管理用户和一般用户,内部用户和外部用户,本地用户和远程用户等类型,了解用户或用户群的数量分布,各类用户可访问的数据信息类型和操作权限。
了解用户类型和数量,有助于判断系统服务中断或系统信息被破坏可能影响的范围和程度。
8. 形成定级结果
定级人员需要将定级对象信息系统中的不同类重要信息分别分析其安全性受到破坏后所侵害的客体及对客体的侵害程度,取其中最高结果作为业务信息安全保护等级。
再将定级对象信息系统中的不同类重要系统服务分别分析其受到破坏后所侵害的客体及对客体的侵害程度,取其中最高结果作为业务服务安全保护等级。
根据《管理办法》第十一条 信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。
如何根据等级保护的管理规范和技术标准对新系统的实施建设和对原有系统实施改建工作是每个单位面临的工作,本章在《信息系统安全等级保护实施指南》中的安全规划设计阶段主要内容的基础上,从安全需求分析方法、系统改建方案设计方法以及安全管理制度制定方法几个方面,说明如何根据《管理办法》中的要求开展这方面工作。
对一个正在运行的信息系统确定定级之后,运行使用单位最关心的是系统当前的保护状况是否满足等级保护的基本安全要求。产生该问题的原因是,等级保护作为政策性要求在系统建设之初并没有作为安全需求加以考虑,因此系统的安全保障体系或安全保护措施只能满足本部门、本单位的安全需求。信息系统定级之后就会发现,对于业务重要性相同的不同行业或地区的信息系统,由于建设年代不同、所在地域差异、设计人员和实施人员的水平差距等都会造成其信息系统的保护水平参差不齐。
通过等级保护工作的推进,使信息系统可以按照等级保护相应等级的要求进行设计、规划和实施,将来源于国家政策性要求、机构使命性要求、系统可能面临的环境和影响以及机构自身的需求相结合作为信息系统的安全需求,使具有相同安全保护等级的信息系统能够达到相应等级的基本的保护水平和保护能力。
本节重点说明如何为信息系统确定既满足等级保护要求,又满足系统自身需求的安全需求分析方法。
在根据《定级指南》除了可以确定信息系统的安全保护等级外,还同时确定了信息系统在业务信息安全和系统服务安全两个方面的安全保护等级,这两个等级反映了信息系统在数据安全保护和服务能力保护的需求方面可能是不均衡的,例如在政务系统中,单个数据信息(例如文件)本身的安全性要求比较高,而对于通过信息系统提供及时的数据服务的要求不高,而对于生产控制系统和调度系统,其重要性不体现在每条控制指令数据上,而体现在整个控制系统或调度系统不能停止运行或不正常运行。《定级指南》正是通过定级方法的设计区分了信息系统对这两类安全保障方面的需求。
由于有了业务信息安全和系统服务安全保护等级,即使信息系统的安全保护等级相同,其内在安全需求也会有所不同。为此我们可以用两维函数的形式表达系统的安全保护等级:
L (业务信息安全保护等级,系统服务安全保护等级)=Max(业务信息安全保护等级,系统服务安全保护等级)
例如:L(3,2)=3,同样L(3,1)= L(3,3)= L(1,3)= L(2,3)= 3。
下表将五个等级的系统的不同安全需求分类表示:
表1 安全保护等级与安全需求类的对应关系
安全保护等级 | 安全需求类 |
第一级 | L(1,1) |
第二级 | L(1,2),L(2,2),L(2,1) |
第三级 | L(1,3),L(2,3),L(3,3),L(3,2),L(3,1) |
第四级 | L(1,4),L(2,4),L(3,4),L(4,4),L(4,3),L(4,2),L(4,1) |
第五级 | L(1,5),L(2,5),L(3,5),L(4,5),L(5,5),L(5,4),L(5,3),L(5,2),L(5,1) |
形成了5个等级,25个安全需求类。
由于同样等级的信息系统,其安全需求有所不同,因此对其实施的保护也应该有不同的要求。《信息系统安全等级保护基本要求》(以下简称基本要求)就是根据这样的思路设计的。
《基本要求》对每个级别的系统提出了该等级系统应可以对抗威胁的能力和应相应等级的安全保护能力可以采取的技术措施和管理措施。为了区别不同安全技术要求和管理要求在保护信息系统的业务信息安全和系统服务安全所起的作用,将所有技术要求和管理要求进行了标识,标识分为三种S、A和G。
S类—业务信息安全保护类—关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改。
A类—系统服务安全保护类—关注的是保护系统连续正常的运行,避免因对系统的未授权修改、破坏而导致系统不可用。
G类—通用安全保护类—既关注保护业务信息的安全性,同时也关注保护系统的连续可用性。
为表示不同等级的某类安全保护要求,在保护类标识的后面添加保护级别,例如以S2表示2级的业务信息安全保护类要求,A3表示3级的系统服务安全保护类要求。
有了上述定义,在确定了系统的安全保护等级后,信息系统的运营使用单位人员可以参照以下步骤确定该信息系统的等级保护基本安全需求:
第一步 根据其等级从《基本要求》中选择相应等级的基本安全要求。如,某一信息系统,根据《定级指南》确定系统等级为3级,首先从《基本要求》中选择三级的安全要求。
第二步 根据定级过程中确定业务信息安全保护等级和系统服务安全保护等级,确定该信息系统的安全需求类,例如,L(3,2),将所选择的《基本要求》的三级要求中标识为A类的控制点要求,替换为二级要求中的相应控制点要求,低级别的基本要求中没有相应的控制点,则该控制点将不作为该系统的要求。
必须说明的是:G类要求是每个等级系统必备的要求,不能调整,G类要求体现了相应等级系统的综合保护能力。
由于《基本要求》对所有技术要求和管理要求在类别上分为S、A、G三类,对应了信息系统的安全保护等级中的业务信息安全保护等级和系统服务安全保护等级,相同的安全保护等级的系统可能具有不同的等级保护要求,下表给出5个等级保护要求的所有组合形式:
表2 安全保护等级与基本保护要求组合的对应关系
安全保护等级 | 信息系统基本保护要求的组合 |
第一级 | S1A1G1 |
第二级 | S1A2G2,S2A2G2,S2A1G2 |
第三级 | S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3 |
第四级 | S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4 |
第五级 | S1A5G5,S2A5G5,S3A5G5,S4A5G5,S5A5G5,S5A4G5,S5A3G5,S5A2G5,S5A1G5 |
同样也是5个等级,保护要求的25种组合。
因此,安全保护要求和系统等级之间存在一定的对应关系。即,S类安全技术要求,其级别由业务信息安全保护等级决定;A类安全技术要求,其级别由系统服务安全保护等级决定;而G类安全技术要求,其级别由业务信息安全保护等级和系统服务安全保护等级两者中的高级别决定,也就是与信息系统的安全保护等级相同。
总而言之,不能直接根据系统的安全保护等级使用《基本要求》相应等级的要求,还应当确定其信息和服务的保护等级。因此,在上面的例子,该系统的等级为3级,但由于系统需求类型为L(3,2),因此,其安全保护要求的组合应选择为S3A2G3。
第三步 根据系统所面临的威胁特点调整安全要求。
根据《基本要求》的整体设计思路,每级安全要求的实现是为了达到相应等级的威胁对抗能力和恢复能力,这种设计思路是面向所有信息系统的。当面临一个特定信息系统时,还需要具体分析其所面临的具体威胁。如果某个安全威胁对于该特定信息系统来讲是不会发生的,那么为对抗该威胁的相应安全要求对于该系统来讲,是不适用的。因此,需要进行相应的调整。这种情况在网络安全方面尤为明显,例如某个系统与互联网及本单位其他系统在网络上是物理隔离的,由于不会面临来自外部网络的安全威胁,该系统可以不选择相应的网络安全控制点或其中的要求项。
当然,可能还会存在其他需要调整要求的原因。系统应在满足系统达到相应等级安全保护目标的基础上,结合系统实际,对安全要求进行适当的调整,调整的原则是保证不降低整体安全保护能力。
《基本要求》是面向所有行业、所有类型信息系统所提出的要求,等级也只有5个,不可能满足所有信息系统的要求,因此每个信息系统必然还会有自身的特殊安全需求。这些自身的特殊安全需求可能有两种情况:
第一种情况 等级保护相应等级的基本要求中某些方面的安全措施所达到的安全保护不能满足本单位信息系统的保护需求,需要更强的保护。
第二种情况 由于信息系统的业务需求、应用模式具有特殊性,系统面临的威胁具有特殊性,基本要求没有提供所需要的保护措施,例如有关无线网络的接入和防护《基本要求》中没有提出专门的要求,需要作为特殊需求。
针对这两种特殊需求用户可以通过以下两种方式解决:
第一种 选择《基本要求》中更高级别的安全要求达到本级别基本要求不能实现的安全保护能力
第二种 参照《管理办法》第十二条和第十三条列出的等级保护的其它标准进行保护。
最后,调整后的信息系统等级保护基本安全要求与识别出的特殊安全需求共同确定了该系统的安全需求。
完成系统定级并确定安全需求后,新建和改建系统就进入了实施前的设计过程。设计过程通常分为总体设计和详细设计,安全设计也不例外,在《实施指南》中,总体安全设计在“总体安全规划阶段”完成,详细安全设计在“安全设计与实施阶段”完成。
总体安全设计一般是针对整个单位的,目的是根据确定的系统安全需求和等级保护安全基本要求,设计系统的整体安全框架,提出系统在总体方面的策略要求、各个子系统应该实现的安全技术措施、安全管理措施等,是《基本要求》在特定系统的具体落实,总体安全设计形成的文档用于指导系统具体安全建设。
详细安全设计可以是针对整个单位的,也可以是针对某个信息系统的,目的是依据本单位的总体安全设计,提出具体实施方案,将总体安全设计中要求实现的安全策略、安全技术体系架构、安全措施和要求落实到产品功能或物理形态上,提出指定的产品或组件及其具体规范,并将产品功能特征整理成文档,使得安全产品采购、安全控制开发、具体安全实施有依据。
以往的安全保障体系设计是没有等级概念的,主要是依据本单位业务特点,结合其他行业或单位实施安全保护的实践经验而提出的,当引入等级保护的概念后,系统安全防护设计思路会有所不同。
第一点不同 由于确定了单位内部代表不同业务类型的若干个信息系统的安全保护等级,在设计思路上应突出对等级较高的信息系统的重点保护。
第二点不同 安全设计应体现保证不同保护等级的信息系统应满足相应等级的保护要求。满足等级保护要求不意味着各信息系统独立实施保护,而应本着优化资源配置的原则,合理布局,构建纵深防御体系。
第三点不同 划分了不同等级的系统,就存在如何解决等级系统之间的互连问题,因此必须在总体安全设计中规定相应的安全策略。
第四点不同 不同等级的系统需要满足不同的安全管理要求,但所有的信息系统又都可能在同一个组织机构的管理控制下,如何实现等级保护的管理体系也是需要在总体安全设计中给与规定的。
总体安全设计并非安全等级保护实施过程中必须的执行过程,对于规模较小、构成内容简单的信息系统,在通过安全需求分析确定了信息系统的安全需求之后,可以直接进入安全详细设计。
对于略有规模的信息系统,比如信息系统本身是由多个不同级别的系统构成、信息系统分布在多个物理地区、信息系统的系统之间横向和纵向连接关系复杂等,对于这样的信息系统,应实施总体安全设计过程。行业信息系统通常具有这种规模和复杂程度。
总体安全设计的基本思路是根据自身信息系统的系统划分情况、系统定级情况、系统的连接情况、系统的业务承载情况、运作机制和管理方式等特点,结合《基本要求》,在较高层次上形成自己信息系统的安全要求,包括安全方针和安全策略、安全技术框架和安全管理体系等。
总体安全设计的基本方法是将复杂信息系统进行简化,提取共性形成模型,针对模型要素结合《基本要求》和安全需求提出安全策略和安全措施要求,指导信息系统中各个组织、各个层次和各个对象安全策略和安全措施的具体实现。
总体安全设计的基本步骤如下:
第一步 将单位信息系统进行模型化处理
1、局域网内部抽象处理
一个局域网可能是由多个不同等级系统构成,无论局域网内部等级系统有多少,可以将等级相同、安全需求类相同、安全策略一致的系统合并为一个安全域,并将其抽象为一个模型要素,我们称之为某级安全域。通过抽象处理后,局域网模型可能是由多个级别的安全域互联构成的模型。
2、局域网内部安全域之间互联的抽象处理
根据局域网内部的业务流程、数据交换要求、用户访问要求等确定不同级别安全域之间的网络连接要求,从而对安全域边界提出安全策略要求和安全措施要求,实现对安全域边界的安全保护。
如果任意两个不同级别的子系统之间都有业务流程、数据交换要求、用户访问要求等的需要,则认为两个模型要素之间有连接。通过分析和抽象处理后,局域网内部子系统之间互联模型可能如下图所示:
图2-1局域网内部安全域之间互联抽象
3、局域网之间安全域互联的抽象处理
根据局域网之间的业务流程、数据交换要求、用户访问要求等确定局域网之间通过骨干网/城域网的分隔的同级或不同级别安全域之间的网络连接要求。
例如:任意两个级别的安全域之间有业务流程、数据交换要求、用户访问要求等的需要,则认为两个局域网的安全域之间有连接。通过分析和抽象处理后,局域网之间安全域互联模型可能如下图所示:
图2-2局域网之间安全域互联的抽象
4、局域网安全域与外部单位互联的抽象处理
对于与国际互联网或外部机构/单位有连接或数据交换的信息系统,分析这种网络连接要求,并进行模型化处理。
例如:任意一个级别的安全域,如果这个安全域与外部机构/单位或国际互联网之间有业务访问、数据交换等的需要,则认为这个级别的安全域与外部机构/单位或国际互联网之间有连接,通过这种分析和抽象处理后,局域网安全域与外部机构/单位或国际互联网之间互联模型可能如下图所示:
图2-3局域网安全域与外部单位互联的抽象
5、安全域内部抽象处理
局域网中不同级别的安全域的规模和复杂程度可能不同,但是每个级别的安全域的构成要素基本一致,即是由服务器、工作站和连接它们构成网络的网络设备构成。为了便于分析和处理,将安全域内部抽象为服务器设备(包括存贮设备)、工作站设备和网络设备这些要素,通过对安全域内部的模型化处理后,对每个安全域内部的关注点将放在服务器设备、工作站设备和网络设备上,通过对不同级别的安全域中的服务器设备、工作站设备和网络设备提出安全策略要求和安全措施要求,实现安全域内部的安全保护。
通过抽象处理后,每个安全域模型可能如下图所示:
图2-4安全域内部抽象
6、形成信息系统抽象模型
通过对信息系统的分析和抽象处理,最终应形成被分析的信息系统的抽象模型。信息系统抽象模型的表达应包括以下内容:
l 单位的不同局域网络如何通过骨干网、城域网互联;
l 每个局域网内最多包含几个不同级别的安全域;
l 局域网内部不同级别的安全域之间如何连接;
l 不同局域网之间的安全域之间如何连接;
l 局域网内部安全域是否与外部机构/单位或国际互联网有互联;
l 等等。
7、制定总体安全策略
最重要的是制定安全域互连策略,通过限制多点外联,统一出口既可以达到保护重点、优化配置,也体现了纵深防御的策略思想。
例如:
规则1 通过骨干网/城域网只能建立统计安全域的连接,实现上、下级单位的同级安全域的互接;
规则2 4级安全域通过专网的VPN通道进行数据交换;3级安全域可以通过公网的VPN通道进行数据交换;
规则3 4级安全域不能与2级安全域、1级安全域直接连接;3级安全域不能与1级安全域直接连接;
规则4 1级安全域可以直接访问Internet。
等等。。。
针对信息系统等级化抽象模型,根据机构总体安全策略、等级保护基本要求和系统的特殊安全需求,提出不同级别安全域边界的安全保护策略和安全技术措施。
规定1 4级安全域与3级安全域之间必须采用接近物理隔离的专用设备进行隔离;
规定2 各级别安全域网络与外部网络的边界处必须使用防火墙进行有效的边界保护;
规定3 通过3级安全域与外部单位进行数据交换时,必须把要交换的数据推送到前置机,外部单位从外部接入网络的前置机或中间件将数据取走,反之亦然;
等等
安全域边界安全保护策略和安全技术措施提出时应考虑边界设备共享的情况,如果不同级别的安全域通过同一设备进行边界保护,这个边界设备的安全保护策略和安全技术措施应满足最高级别安全域的等级保护基本要求。
9、关于各安全域内部的安全控制要求
提出针对信息系统等级化抽象模型,根据机构总体安全策略、等级保护基本要求和系统的特殊安全需求,提出不同级别安全域内部网络平台、系统平台和业务应用的安全保护策略和安全技术措施。
10、关于等级安全域的管理策略
从全局角度出发提出单位的总体安全管理框架和总体安全管理策略,对每个等级安全域提出各自的安全管理策略,安全域管理策略继承单位的总体安全策略。
对安全需求分析、信息系统的分级保护模型以及为信息系统设计的技术防护策略和安全管理策略等文档进行整理,形成文件化的信息系统安全总体方案。
总体安全设计过程的结果描述文件包括:
l 总体安全设计方案
总体安全设计方案基本结构为:
1、信息系统概述; 2、单位信息系统安全保护等级状况; 3、各等级信息系统的安全需求; 4、信息系统的安全等级保护模型抽象 5、总体安全策略; 6、信息系统的边界安全防护策略; 7、信息系统的等级安全域防护策略 8、信息系统安全管理与安全保障策略。 |
总体设计方案的设计原则和安全策略需要具体落实到若干个具体的建设项目中,一个设计方案的实施可能可以分为若干个实施方案,分期、分批建设,实现统一设计、分步实施。
实施方案不同于设计方案,实施方案需要根据阶段性的建设目标和建设内容将信息系统安全总体设计方案中要求实现的安全策略、安全技术体系结构、安全措施和要求落实到产品功能或物理形态上,提出能够实现的产品或组件及其具体规范,并将产品功能特征整理成文档。使得在信息安全产品采购和安全控制开发阶段具有依据。
此外,还需要根据机构当前安全管理需要和安全技术保障需要提出与信息系统安全总体方案中管理部分相适应的本期安全实施内容,以保证安全技术建设的同时,安全管理的同步建设。
实施方案的设计过程包括:
a) 结构框架设计
依据本次实施项目的建设内容和信息系统的实际情况,给出与总体安全规划阶段的安全体系结构一致的安全实现技术框架,内容可能包括安全防护的层次、信息安全产品的选择和使用、等级系统安全域的划分、IP地址规划其他内容。
b) 功能要求设计
对安全实现技术框架中使用到的相关信息安全产品,如防火墙、VPN、网闸、认证网关、代理服务器、网络防病毒、PKI等提出功能指标要求。对需要开发的安全控制组件,提出功能指标要求。
c) 性能要求设计
对安全实现技术框架中对使用到的相关信息安全产品,如防火墙、VPN、网闸、认证网关、代理服务器、网络防病毒、PKI等提出性能指标要求。对需要开发的安全控制组件,提出性能指标要求。
d) 部署方案设计
结合目前信息系统网络拓扑,以图示的方式给出安全技术实现框架的实现方式,包括信息安全产品或安全组件的部署位置、连接方式、IP地址分配等。对于需对原有网络进行调整的,给出网络调整的图示方案等。
e) 制定安全策略实现计划
依据信息系统安全总体方案中提出的安全策略的要求,制定设计和设置信息安全产品或安全组件的安全策略实现计划。
结合系统实际安全管理需要和本次技术建设内容,确定本次安全管理建设的范围和内容,同时注意与信息系统安全总体方案的一致性。安全管理设计的内容主要考虑:安全管理机构和人员的配套、安全管理制度的配套、人员安全管理技能的配套等。
g) 形成系统建设的安全实施方案
系统建设的安全实施方案包含以下内容:
等级保护工作相关的大部分系统是已建成并投入运行的系统,信息系统的安全建设也已完成,因此信息系统的运营使用单位更关心如何找出现有安全防护与相应等级基本要求的差距,如何根据差距分析结果设计系统的改建方案,使其能够指导该系统后期具体的改建工作,逐步达到相应等级系统的保护能力。
系统改建方案设计的主要依据是安全需求分析的结果,和对信息系统目前保护措施与《基本要求》的差距的分析和评估,而系统改建方案的主要内容则是解决如何针对这些存在的差距,分析其存在的原因以及如何进行整改。
系统改建设实施方案与新建系统的安全保护设施设计实施方案都是备案工作中所需要提交的技术文件。
要确定系统改建的安全需求,可以参照以下步骤进行:
第一步 根据信息系统的安全保护等级,参照前述的安全需求分析方法,确定本系统的总的安全需求,其中包括经过调整的等级保护基本要求和本单位的特殊安全需求。
第二步 由信息系统的运营使用单位自己组织人员或由第三方评估机构采用等级测评方法对信息系统系统安全保护现状与等级保护基本要求进行符合性评估,得到与相应等级要求的差距项。
第三步 针对满足特殊安全需求(包括采用高等级的控制措施和采用其它标准的要求的)的安全措施进行符合性评估,得到与满足特殊安全需求的差距项。
差距项不一定都会作为改建的安全需求,因为存在差距的原因可能有以下几种情况:
情况一 整体设计方面的问题,即某些差距项的不满足是由于该系统在整体的安全策略(包括技术策略和管理策略)设计上存在问题。如,网络结构设计不合理,各网络设备在位置的部署上存在问题,导致某些网络安全要求没有正确实现。信息安全的管理策略方向性不明确,导致一些管理要求没有实现。
情况二 缺乏相应产品实现安全控制要求。由于安全保护要求都是要落在具体产品、组件的安全功能上,通过对产品的正确选择和部署满足相应要求。但在实际中,有些安全要求在系统中并没有落在具体的产品上。产生这种情况的原因是多方面,其中目前技术的制约可能是最主要的原因。例如,强制访问控制,目前在主流的操作系统和数据库系统上并没有得到很好的实现。
情况三 产品没有得到正确配置。不同于情况二,某些安全要求虽然能够在具体的产品组件上实现,但由于使用者由于技术能力、安全意识的原因,或出于对系统运行性能影响的考虑等原因,产品没有得到正确的配置,从而使其相关安全功能没有得到发挥。如,登陆口令复杂度检测没有启用、操作系统的审计功能没有启用等就是经常出现的情况。
以上情况的分析,只是系统在等级化安全保护上出现差距的主要原因,不同系统有其个性特点,产生差距的原因也不尽相同。总之,在进行系统整改前,要对系统出现差距的原因进行全面分析,只有这样,才能为之后改建方案的设计奠定基础。
针对差距出现的种种原因,分析如何采取措施来弥补差距。差距产生的原因不同,采用的整改措施也不同,首先可对改建措施进行分类考虑,主要可从以下几方面进行:
针对情况一 系统需重新考虑设计网络拓扑结构,包括安全产品或安全组件的部署位置、连线方式、IP地址分配等。根据网络调整的图示方案对原有网络进行调整。针对安全管理方面的整体策略问题,机构需重新定位安全管理策略、方针,明确机构的信息安全管理工作方向。
针对情况二 将未实现的安全技术要求转化为相关安全产品的功能/性能指标要求,在适当的物理/逻辑位置对安全产品进行部署。
针对情况三 正确配置产品的相关功能,使其发挥作用。
无论是哪种情况,改建措施的实现都需要将具体的安全要求落到实处。也就是说,应确定在哪些系统组件上实现相应等级安全要求的安全功能。
将安全要求落实到具体对象上,应遵循“整体性”原则。“整体性”原则是指,每一级安全要求并不是针对系统内所有的组件来要求的,而是从整体性、全局性的角度对系统(而不是组件)提出相关方面的安全要求。该系统只要在整体上能够保证达到某一方面安全要求所对应的安全保护能力即可,至于具体由系统的哪个组件来实现该安全要求,则没有绝对的对应关系。
某一控制点可能会落实到多个对象上,但某个要求项落实到不同对象上可能有所不同。具体来讲,主要应关注该安全要求“实现的关键点”,即,在哪些组件实现这些安全要求即可实现该安全要求的保护目标。“关键点”的寻找可依照系统的业务流程,通过对业务流程的分析,分析哪些对象是业务正常完成的“关键点”,从而对系统落实该保护要求;也可根据数据的访问路径寻找“关键点”,通过对系统网络拓扑图的分析,分析合法用户可以通过哪些途径访问系统,非法用户可能通过哪些途径访问系统,通过对哪些对象进行保护就能够起到“事半功倍”的效果。
针对不同的改建措施类别,进一步细化,形成具体的改建方案,包括各种产品的具体部署、配置等。
最终,整改设计方案基本结构为:
1、 系统存在的安全问题(差距项)描述;
2、 差距产生原因分析;
3、 系统整改措施分类处理原则和方法;
4、 整改措施详细设计;
5、 整改投资估算。
