《信息系统安全等级保护实施指南》
培训教材
本教材主要通过对《信息系统安全等级保护实施指南》(以下简称《实施指南》)的主要作用、内容等进行介绍,使培训人员能够清楚了解等级保护的整个实施过程,以便各项工作的开展。
1 概述
1.1 主要作用
信息安全等级保护工作的先行工作之一是“加快制定、完善管理规范和技术标准体系”,管理规范和技术标准体系是等级保护工作的基础,在《关于信息安全等级保护工作的实施意见》(公通字[2004]66号,以下简称“66号文件”)的职责分工和工作要求中指出:
? 信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准,确定其信
息和信息系统的安全保护等级;
? 信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准对新建、改
建、扩建的信息系统进行信息系统的安全规划设计、安全建设施工;
? 信息和信息系统的运营、使用单位及其主管部门按照与信息系统安全保护等级相对
应的管理规范和技术标准的要求,定期进行安全状况检测评估;
? 国家指定信息安全监管职能部门按照等级保护的管理规范和技术标准的要求,对信
息和信息系统的安全等级保护状况进行监督检查。
从上述“66号文件”描述的内容中可以看出,信息安全等级保护工作的主要内容包括“等级确定”、“安全建设”、“安全测评”和“监督检查”等,完成上述工作的主要依据是等级保护的管理规范和技术标准。
信息安全等级保护的实施过程中涉及到的各类组织、需完成的工作以及依据的基础如下图所示:
1
主管部门 运营、使用单位安全服务商 监管部门 系统定级 安全保护 检测评估 监督检查 技术标准 管理规范
图1-1 技术标准和管理规范的作用
除了“66号文件”中提到的“信息和信息系统的运营、使用单位”、“国家指定信息安全监管职能部门”外,信息安全等级保护的实施过程中涉及到各类组织和人员实际还包括信息安全服务商、安全测评机构等,它们配合“信息和信息系统的运营、使用单位”、“国家指定信息安全监管职能部门”共同进行信息安全等级保护工作。
为使信息安全等级保护的实施过程中涉及到的各类组织和人员能够顺利地完成信息安全等级保护工作,需要一个技术标准为实施的各方提供指导,这个标准就是《实施指南》。
《实施指南》的主要作用包括:
1) 作为系统等级保护实施的指南性文件
指导对一个信息系统实施安全等级保护的参与各方,如何在等级保护实施过程的各个阶段开展相应的活动,给出阶段活动的内容、控制方法和输出结果。
2) 作为等级保护标准体系的指引性文件
介绍实施信息系统等级保护过程中,在不同阶段和从事不同活动中,如何使用等级保护标准体系中的其他等级保护相关标准。
2
1.2 主要思路
对信息系统实施等级保护的过程是一个工程过程,其工程活动将覆盖到信息系统生命周期的各个阶段,其核心内容是对信息系统实施安全保护,到目前为止,对信息系统实施安全保护的方法论有很多,主要流行的方法包括风险管理方法和安全工程方法。
1. 风险管理的思路
介绍风险管理的材料有很多,其中ISO/IEC 13335、NIST-SP800-30、“加拿大风险管理工作指南”等是典型的通过风险管理的手段对信息系统实施保护的参考材料。各种资料介绍的风险管理方法在细节方面可能有所差别,但是总体思路基本一致。
采用风险管理方法对信息系统进行保护的基本步骤是:
1)风险分析和风险评估
可以采用各种方法(ISO/IEC13335等)对信息系统面临的风险进行分析,包括资产分析、弱点分析、威胁分析、现有保护措施分析、风险分析,得到现有系统的安全风险状况。
2)风险规避
针对在风险分析和风险评估步骤得到的系统安全风险信息,选择可能采用的可以消除、减低、转移风险的风险规避策略。根据风险规避策略,进一步选择所要采取的安全措施,此时既要考虑安全风险的排序,也应考虑安全措施投入和安全保护效果之间平衡,最终形成安全改进的设计方案(PLAN)。
大多数风险管理方法的文件或指南将论述重点放在风险分析、风险评估和风险规避方面,作为完整的风险管理过程,除此之外还有安全措施的实施和实现、系统运行维护等工作过程。尤其是当系统发生变化、环境发生变化或残余风险不能接受时,应进入另一个风险管理过程,以此循环形成闭环。
如果从工程的角度看待风险管理方法,可以将风险分析和风险评估过程看作是确定安全需求的过程,风险规避过程可以看作是安全需求定义和安全规划设计的过程。
2. 安全工程的思路
SSE-CMM和ISSE是典型的介绍通过安全工程的手段对信息系统实施保护的参考材
3
料。SSE-CMM和ISSE是具有代表性的从工程角度考虑对信息系统进行保护的方法论,两者在描述风格上差异较大,但是总体思路实际上没有太大差别。
SSE-CMM认为对信息系统进行保护应该执行以下几个过程:
1)风险过程
风险过程包括四个主要活动:威胁分析、弱点分析、影响分析和风险分析。
2)工程过程
工程过程包括五个主要活动:确定安全需求、提供安全输入、管理安全措施、监控安全状态和安全活动的协调。
3)保证过程
保证过程包括两个主要活动:验证和确认安全、提供安全保证证据。 ISSE认为对信息系统进行保护应该执行以下一些活动: a) 发现系统保护需求 b) 定义系统安全需求 c) 设计系统安全框架 d) 开发详细安全设计 e) 实施系统安全 f)
评估系统保护有效性
SSE-CMM描述了安全工程的方法论,论述了对信息系统进行保护的主要活动和控制方法。ISSE则描述了安全工程的主要活动。仔细分析SSE-CMM和ISSE,实际上两者的内容基本一致,只是描述风格上差异较大。
SSE-CMM和ISSE从工程角度描述信息系统的保护过程,并且将工程活动与信息系统的生命周期进行对应,更容易被人们理解和接受。
3. 《实施指南》的主要思路
在对信息系统实施等级保护的过程中,风险分析可以作为一种辅助手段。等级保护的相关标准对不同级别的信息系统提出了基本保护要求,基本保护要求是系统安全建设的基础,但是不同的信息系统由于其本身的特性,除基本保护要求外,还有其特殊的安全需求,可以
4
通过风险分析的方法选择需要补充的安全措施,从而在等级保护的基础上,体现各系统防护措施的特殊性。
对信息系统实施等级保护的过程也是一个工程过程,其主要思路可以借鉴安全工程的思路,但是由于对信息系统实施等级保护的过程是以信息系统的合理定级活动开始的,与安全工程相比,考虑问题的思路和方法都将有所不同,具体活动也会有所区别。安全工程的方法论可以作为信息系统实施安全等级保护的一种借鉴,但须根据等级保护的特点补充和完善与等级保护相关的特定工程活动,比如信息系统的划分活动、信息系统的定级活动、信息系统等级保护安全策略规划活动等等。
与风险管理和安全工程不同,实施信息系统等级保护的第一个步骤是确定保护对象,即信息系统的安全等级,然后根据确定的安全等级对信息系统进行符合相应等级保护要求的安全建设和安全管理。对信息系统实施等级保护涉及很多活动,包括系统定级、参照等级保护基本要求的安全措施选择、安全方案的设计、安全工程的实施、系统安全运行管理等等,上述活动均在《实施指南》中有所描述。
对信息系统实施等级保护过程中所涉及的活动分散在信息系统生命周期的不同阶段进行,有些活动之间具有一定的继承性,也就是说必须在一个活动完成后才能进行下一个活动,比如必须进行安全方案设计,完成后才能进行安全工程实施,有些活动没有明显的继承性,比如系统的安全状态监控和系统的变更管理控制。为了保证《实施指南》对活动描述的全面性,《实施指南》应覆盖信息系统生命周期所有阶段的安全活动。
基于上述的分析,《实施指南》的编制基本思路为: 1) 以信息系统等级保护建设为主要线索
如前所述,信息系统等级保护的实施过程中涉及到各类组织和人员,他们将会参与不同的或相同的活动,比如信息系统的主管单位和信息系统的运营单位将参与系统定级活动,如果委托安全服务商进行定级,则安全服务商也会参与定级活动;又如信息系统的运营单位可以自己完成风险分析活动,也可以委托安全服务商完成风险分析活动。
《实施指南》面临的使用对象将是信息系统的主管单位、运营使用单位、技术支持单位、监督管理机构等,为了保证《实施指南》的描述有一个清晰的思路,各类使用人员都能够理
5