第一篇:《等级保护、风险评估、安全测评三者的内在联系及实施建议》
等级保护、风险评估、安全测评三者的内在联系及实施建议
赵瑞颖
前言
自《国家信息化领导小组关于加强信息安全保障工作的意见》出台后,等级保护、风险评估、系统安全测评(或称系统安全评估,简称安全测评)都是当前国家信息安全保障体系建设中的热点话题。本文从这三者的基本概念和工作背景出发,分析了三者相互之间的内在联系和区别并作了基本判断。本文还结合信息系统的开发生命周期模型(简称SDLC),本着“谁主管谁负责、谁运行谁负责”的原则,从发起实施主体的角度给出了三者在SDLC过程中的实施建议。
一、三者的基本概念和工作背景
A、等级保护
基本概念:信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件等等级响应、处置。这里所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
工作背景:1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》(GB 17859-1999),规定了计算机信息系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。GB17859中的分级是一种技术的分级,即对系统客观上具备的安全保护技术能力等级的划分。2002年7月18日,公安部在GB17859的基础上,又发布实施五个GA新标准,分别是:GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002《计算机信息系统安全等级保护管理要求》。这些标准是我国计算机信息系统安全保护等级系列标准的一部分。《关于信息安全等级保护工作的实施意见的通知》(简称66号文)将信息和信息系统的安全保护等级划分为五级,即:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。特别强调的是:66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的,是系统从应用需求出发必须纳入的安全业务等级,而不是GB17859中定义的系统已具备的安全技术等级。
B、风险评估
基本概念:信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。
工作背景:风险评估不是一个新概念,金融、电子商务等许多领域都有风险及风险评估需求的存在。当风险评估应用于IT领域时,就是对信息安全的风险评估。国内这几年对信 1 321
息安全风险评估的研究进展较快,具体的评估方法也在不断改进。风险评估也从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用BS7799、OCTAVE、NIST SP800-
26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法,充分体现以资产为出发点、以威胁为触发、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。国务院信息化工作办公室2004年组织完成了《信息安全风险评估指南》及《信息安全风险管理指南》标准草案的制定,并在其中规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则,对规范我国信息安全风险评估的做法具有很好的指导意义。目前,国信办正组织在全国北京、上海、黑龙江、云南等省市及税务、银行、电力等行业领域作风险评估试点工作,探讨对上述两个风险评估/风险管理标准草案的理解修订及相关管理问题的研究,预计2005年9月份前完成试点工作,并在试点工作的基础上形成有关开展信息安全风险评估工作的指导意见。
C、系统安全测评
基本概念:由具备检验技术能力和政府授权资格的权威机构,依据国家标准、行业标准、地方标准或相关技术规范,按照严格程序对信息系统的安全保障能力进行的科学公正的综合测试评估活动,以帮助系统运行单位分析系统当前的安全运行状况、查找存在的安全问题,并提供安全改进建议,从而最大程度地降低系统的安全风险。
工作背景:在我国,中国信息安全产品测评认证中心(简称CNITSEC)是较早并较有影响的开展有关系统安全测评认证的机构。这里强调一下测评和认证的区别:测评如前述定义,认证则是对测评活动是否符合标准化要求和质量管理要求所作的确认,认证以标准和测评的结果作为依据。在美国,系统认证的结果通常作为主管部门对新建系统投入运行前的安全审批或已建系统安全动态监管(即系统认可)的依据。根据美国FISMA及NIST SP800-37的规定,系统认证是“对信息系统的技术类、管理类和运行类安全控制所进行的综合评估”,认可则是“由管理层作出的决策,用来授权一个信息系统投入运行”。我国的系统认证虽然起步较早,但由于认证周期、建设差异等多方面的原因,目前的系统认证数量还非常少。特别是国家认监委成立后,强调了信息安全要“一个统一认证出口”的要求。国家认监委等8部委联合下发的《关于建立国家信息安全产品认证认可体系的通知》(简称57号文)中已明确规定了对信息安全产品进行“统一标准、技术规范与合格评定程序;统一认证目录;统一认证标志;统一收费标准”的“四统一”的认证要求。在国家认监委对信息系统的安全认证相关具体意见尚未出台前,多数情况下,系统安全测评的结果可直接作为主管部门对系统安全认可的依据。典型例子如上海市信息安全测评认证中心,在相关职能部门授权下,已完成了对上海市100余家重要信息系统、涉密信息系统、区县以上综合医院的信息系统的安全测评工作,并为市信息委、市国家保密局、市卫生局等信息化主管部门或行业主管部门提供了重要的技术决策依据。
二、三者的相互内在联系和区别
A、三者关系的基本判断
基本判断:等级保护是指导我国信息安全保障体系建设的一项基础管理制度,风险评估、系统测评都是在等级保护制度下,对信息及信息系统安全性评价方面两种特定的、有所区分但又有所联系的的不同研究、分析方法。
等级保护是指导我国信息安全保障体系总体建设的基础管理原则,是围绕信息安全保障全过程的一项基础性管理制度,其核心内容是对信息安全分等级、按标准进行建设、管理和监督。风险评估、系统测评则只是针对信息安全评价方面两种有所区分但又有所联系的的不46
同研究、分析方法。从这个意义上讲,等级保护要高于风险评估和系统测评。当系统定级原则确定并根据该原则将系统分类分级后,那风险评估、系统测评都可以理解为在等级保护制度下的风险评估和等级保护制度下的系统测评,操作时只需在原有风险评估、系统测评方法、操作程序的基础上,加入特定等级的特殊要求就是了。打个比方:如果说等级保护是指导信息安全建设的宪法,则风险评估、安全测评则是针对系统安全性评估或合格判定方面的专项法律。至于66号文中提及的等级保护制度中的其他建设内容,如等级化安全保障体系设计、等级化安全产品选用、等级化安全事件处理响应,由于和安全评估没有特别直接的关系,本文不再展开讨论。
B、等级保护与风险评估的关系
基本判断:风险评估是等级保护(不同等级不同安全需求)的出发点。风险评估中的风险等级和等级保护中的系统定级均充分考虑到信息资产CIA特性的高低,但风险评估中的风险等级加入了对现有安全控制措施的确认因素,也就是说,等级保护中高级别的信息系统不一定就有高级别的安全风险。
风险评估是安全建设的出发点,它的重要意义就在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案制定,以成本-效益平衡的原则,通过对用户关心的重要资产(如信息、硬件、软件、文档、代码、服务、设备、企业形象等)的分级、安全威胁(如人为威胁、自然威胁等)发生的可能性及严重性分析、对系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理、运行措施等方面的安全脆弱性(或称薄弱环节)分析,并通过对已有安全控制措施的确认,借助定量、定性分析的方法,推断出用户关心的重要资产当前的安全风险,并根据风险的严重级别制定风险处理计划,确定下一步的安全需求方向。
等级保护的前提是对系统定级,根据FIPS199,系统定级根据系统信息的机密性、完整性、可用性(简称CIA特性)等三性损失的最大值来确定,即“明确各种信息类型――确定每种信息类型的安全类别――确定系统的安全类别”三个步骤进行系统最终的定级。将信息系统安全类别(简称SC)表示为一个与CIA特性的潜在影响相关的三重函数,一般模式是:SC= {(保密性,影响),(完整性,影响),(可用性,影响)}。
等级保护中的系统分类分级的思想和风险评估中对信息资产的重要性分级基本一致,不同的是:等级保护的级别是从系统的业务需求或CIA特性出发,定义系统应具备的安全保障业务等级,而风险评估中最终风险的等级则是综合考虑了信息的重要性、系统现有安全控制措施的有效性及运行现状后的综合评估结果,也就是说,在风险评估中,CIA价值高的信息资产不一定风险等级就高。在确定系统安全等级级别后,风险评估的结果可作为实施等级保护、等级安全建设的出发点和参考。
C、等级保护与系统测评的关系
基本判断:系统安全测评及行政认可是安全等级保护的落脚点。
根据NIST SP800-37,认证过程偏重于对系统安全性的评估,认可过程则属于管理机关的行为,是指根据评估的结果来判断信息系统的安全控制措施是否有效、残余风险是否可接受。根据前述,在我国,目前主管部门安全认可的依据多数是系统安全测评的结果。主管部门根据系统测评结果判断,如果残余风险可以接受,则允许系统投入运行或继续运行,否则信息系统便没有达到特定安全等级的安全要求。没有最终的主管认可过程,等级保护无法落到实处。从这个意义上讲,进行等级保护建设、实施风险管理过程后的系统安全测评及行政认可是等级保护的落脚点。
D、风险评估与系统测评的关系
基本判断:风险评估与系统测评分别是针对系统生命周期建设不同阶段存在的安全风险的相近判断方法。对同一个生命周期的系统,风险评估是安全建设的起点,系统测评是安全建设的终点。或者可以理解为,系统安全测评是实施风险管理措施后的风险再评估。
二者均是对信息及信息系统系统安全性的一种评价判断方法,因此,二者并没有本质的区别,或者说,二者的安全工作目标基本一致,二者的工作核心都是对信息及系统安全风险的评价,因此,二者在实施内容上有许多共同之处。具体讲二者在操作方面的差异性,则风险评估是系统明确安全需求,确定成本-效益适合的安全控制措施的出发点,风险评估通过对被评估用户广泛的、战略性的分析来判断机构内各类重要资产的风险级别;系统安全测评则是对已采取的安全控制措施(如管理措施、运行措施、技术措施等)有效性的验证,安全测评更关注于对系统现有安全控制措施的技术验证,从而给出系统现存安全脆弱性的准确判断。行业主管部门或信息化主管部门在系统测评结果的基础上,判断系统安全风险是否可接受或已得到了有效的管理,从而给出是否批准系统投入运行或继续运行的最终结论。
三、对三者在SDLC过程中的实施建议
通常情况下,我们将信息系统建设生命周期(SDLC)划分为五个阶段:规划需求阶段、设计开发阶段、实施阶段、运行维护阶段、废弃阶段。也就是说,系统是不断变化的,安全建设也应随之发生变化。因此,从理论上分析,无论是等级保护、风险评估或是系统测评,均适用于SDLC的各个阶段。为避免三者之间相近的工作内容在SDLC的同一个阶段重复进行,按照“谁主管,谁负责;谁运行,谁负责”的原则,从系统建设单位(多数情况下建设单位即运行单位)、行业主管部门或信息化主管部门(简称主管部门)等两类不同发起主体或组织主体的角度考虑,建议按下述内容实施:
1、规划需求阶段
建设单位自觉按照国家有关安全等级划分及系统定级的原则进行定级,并报主管部门备案。
建设单位按照既定等级的风险评估管理要求和国家有关风险评估的技术标准自觉进行风险评估,明确系统在机密性、完整性、可用性等方面的安全需求目标。
2、设计开发阶段及实施阶段
建设单位(或委托承建单位)根据既定的安全需求目标,按照国家有关等级保护的管理规范和技术标准,进行系统安全体系结构及详细实施方案的设计,采购和使用相应等级的信息安全产品,建设安全设施,落实安全技术措施。
主管部门委托或指定第三方机构对建设单位的系统安全设计方案进行评审,并将第三方机构出具的安全方案评审报告作为是否允许安全实施的依据。
注:建设单位在进行风险评估时,应根据自身的客观条件选择自评估方式或委托第三方机构评估的方式进行;主管部门发起的安全测评一般应委托具有授权资质和技术能力的第三方机构进行。客观上讲,任何一个第三方机构的评估接入都有可能对系统本身带来新的安全威胁和风险,为此,加强对第三方评估机构的管理至关重要,特别是对参与基础信息网络或三级以上重要信息系统安全评估的机构可实行强制许可制度,具体的许可制度和许可要求可以由相关信息安全主管部门或信息系统行业主管部门制定。此外,还应加强对第三方评估机构的安全保密教育,要求所有第三方评估机构应自觉遵守国家有关保密法规和其他相关规定,对评估工作中涉及的保密事项,应签定保密协议,承担保密责任并采取相应保密措施。
3、运行维护阶段
主管部门在系统安全建设基本完成后,委托或指定第三方机构对基本建成的系统进行安全测评,以评价系统当前运行环境下的安全控制措施是否和既定等级的安全需求一致、关键
资产的安全风险是否控制在可接受范围之内,并将第三方机构的安全测评报告作为是否批准系统投入运行(即系统认可)的依据。此外,考虑到信息技术、安全技术、安全攻防技术及相关标准、理论、方法的不断发展,即使系统在认可有效期内没有任何关于技术、业务及管理内容的变更,主管部门也应该发起周期性的安全测评和安全认可,以保持系统的安全状态维持在标准许可及公众接受的范围之内。
在《关于进一步加强上海市信息安全保障工作的实施意见》中,对上海行政区域内公用通信网、广播电视传输网等基础信息网络,银行/税务/证券/海关/铁道/电力/民航/水务/燃气/轨道交通/医疗卫生和大型国有企业等涉及国计民生的信息系统,以及使用财政性资金建设的信息系统(统称“重要信息系统”,)作出了强制实行等级保护和安全测评的要求。对新建、改建、扩建的重要信息系统,在立项后由安全测评机构评审其安全设计方案,评审报告报有关主管部门确认,未通过评审的不得实施;正式投入运行前,应进行系统安全测评,测评结果报有关主管部门确认,未达到要求的不得投入运行、不予验收;对已通过安全测评的重要信息系统,投入运行后要继续加强安全保护,由安全测评机构定期进行安全测评。
4、废弃阶段
建设单位重点对废弃处理不当对资产(如硬件、软件、设备、文档等)的影响、对信息/硬件/软件的废弃处置方面威胁、对访问控制方面的弱点进行综合风险评估,以确保硬件和软件等资产及残留信息得到了适当的废弃处置,并且要确保系统的更新换代能以一个安全和系统化的方式完成。
需要说明的是:上述实施建议主要针对同一个完整的SDLC,但事实上,在SDLC的某一个具体阶段,也有可能由于业务类型变化(并可能导致安全等级变化)、新的安全威胁的出现或安全形势的突变,要立即进行安全需求及安全设计、安全实施方案的调整。这时,应参照上述SDLC过程中的“安全定级-风险评估-确定安全需求-安全体系设计及方案-方案评审-等级保护实施-安全测评-主管认可”的步骤进行。当然,这个过程中涉及的风险评估、方案评审、安全测评等活动要充分考虑利用已有的评估/测评成果,减少再评估/再测评造成的重复投入。
四、结束语
目前国家关于等级保护、风险评估、系统测评等方面的具体工作要求、技术标准、管理办法等尚未最终完全形成。本文基于作者对国家有关等级保护、风险评估、系统安全测评等要求及内容的粗浅理解,结合作者的一些工作实践,形成了对三者相互之间关系的一些基本判断,并从实施行为发起者的角度,提出了三者在系统建设生命周期SDLC中的操作建议。其实,不管何种安全保护方法或安全评估方法,只要实施有序、监管有力,都能大大改善、促进信息系统的安全建设、安全运行和安全管理,从而推动整个国家信息安全保障体系的发展,并为全面推进我国的国民经济和社会信息化进程提供重要保障。
参考文件:
1、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27号)
2、《中华人民共和国计算机信息系统安全保护条例》(中华人民共和国国务院令147号)
3、关于印发《关于信息安全等级保护工作的实施意见的通知》(公通字【2004】66号)
4、《关于建立国家信息安全产品认证认可体系的通知》(国认证联【2004】57号)
5、《关于进一步加强上海市信息安全保障工作的实施意见》(沪委办【2004】24号)
6、Federal Information Security Management Act of 2002(Public Law 107-347),December 2002 5
第二篇:信息安全等级保护测评
TopSec可信等级体系 天融信等级保护方案
Hacker.cn 更新时间:08-03-27 09:37 来源:硅谷动力 作者:中安网
1.等级保护概述
1.1为什么要实行等级保护?
信息系统与社会组织体系是具有对应关系的,而这些组织体系是分层次和级别的,因此各种信息系统是具有不同等级的重要性和社会、经济价值的。对信息系统的基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统的重要程度进行区别对待就是级别的客观要求。信息安全必须符合这些客观要求,这就需要对信息系统进行分级、分区域、分阶段进行保护,这是做好国家信息安全的必要条件。
1.2等级保护的政策文件
信息安全等级保护工作非常重要,为此从2003年开始国家发布了一系列政策文件,具体如下:
2003年9月,中办国办颁发《关于加强信息安全保障工作的意见》(中办发[2003]27号),这是我国第一个信息安全保障工作的纲领性文件,战略目标为经过五年努力,基本形成国家信息安全保障体系,实行等级保护制度。
2004年11月,四部委会签《关于信息安全等级保护工作的实施意见》(公通字[2004]66号):等级保护是今后国家信息安全的基本制度也是根本方法、等级保护制度的重要意义、原则、基本内容、工作职责分工、工作要求和实施计划。2005年9月,国信办文件,《关于转发《电子政务信息安全等级保护实施指南》的通知》(国信办[2004]25号):基本原理、定级方法、安全规划与设计、实施与运营、大型复杂电子政务系统等级保护过程。
2005年,公安部标准:《等级保护安全要求》、《等级保护定级指南》、《等级保护实施指南》、《等级保护测评准则》。
2006年1月,四部委会签《关于印发《信息安全等级保护管理办法的通知》(公通字[2006]7号)。
1.3 等级保护的管理结构-北京为例
等级保护的实施和落实离不开各级管理机构的指导和监督,这在等级保护的相关文件中已经得到了规定,下面以北京市为例来说明管理机构的组成和职责,具体如下图所示:
1.4等级保护理论的技术演进
在等级保护理论被提出以后,经过相关部门的努力工作,逐渐提出了一系列原则、技术和框架,已经具备实施等级保护工作的基础条件了,其具体演进过程如下图所示:
1.5等级保护的基本需求
一个机构要实施等级保护,需要基本需求。由于等级保护是国家推动的旨在规范安全工作的基本工作制度,因此各级组织在这方面就存在如下需求:
(1)政策要求-符合等级保护的要求。系统符合《基本要求》中相应级别的指标,符合《测评准则》中的要求。
(2)实际需求-适应客户实际情况。适应业务特性与安全要求的差异性,可工程化实施。
1.6基本安全要求的结构
对系统进行定级后,需要通过努力达到相应等级的基本安全要求,在总体上分为技术要求和管理要求,技术上又分为物理安全、网络安全、主机安全、应用安全、数据安全,在管理要求中又分为安全管理机构、安全管理制度等5项,具体如下图所示:
2.等级保护实施中的困难与出路
由于等级保护制度还处于探讨阶段,目前来看,尚存在如下困难:
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统,否则:
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
4.大型客户最关注的关键要求指标超出《基本要求》规定
针对上述问题,在下面几小节分别给出了坚决办法。
2.1安全体系设计方法
需求分析-1
问题1:标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
需求:从组织整体出发,综合考核所有系统
方法:引入体系设计方法
2.2保护对象框架设计方法
需求分析-2
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
需求:准确地进行大系统的分解和描述,反映实际特性和差异性安全要求
方法:引入保护对象框架设计方法
保护对象框架-政府行业
保护对象框架-电信行业
保护对象框架-银行业
2.3安全平台的设计与建设方法
需求分析-3
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
需求:统一规划,集中建设,避免重复和分散,降低成本,提高建设水平
方法:引入安全平台的设计与建设方法
平台定义:为系统提供互操作性及其服务的环境
2.4建立安全运行体系
需求分析-4
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
需求:建立长效机制,建立可持续运行、发展和完善的体系
方法:建立安全运行体系
2.5安全运维工作过程
需求分析-5
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
需求:需要高水平、自动化的安全管理工具
方法:TSM安全管理平台
2.6 TNA可信网络架构模型
需求分析-6
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
4.大型客户最关注的关键指标超出《基本要求》规定
需求:在《基本要求》基础上提出更强的措施,满足客户最关注的指标
方法:引入可信计算的理念,提供可信网络架构
3.总体解决方案-TopSec可信等级体系
按照上面解决等级保护目前困难的方法,总体解决方案就是建立TopSec可信等级体系:
遵照国家等级保护制度、满足客户实际需求,采用等级化、体系化和可信保障相结合的方法,为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。
实施后状态:一套持续运行、涵盖所有安全内容的安全保障体系,是企业或组织安全工作所追求的最终目标
特质:
等级化:突出重点,节省成本,满足不同行业、不同发展阶段、不同层次的要求
整体性:结构化,内容全面,可持续发展和完善,持续运行
针对性:针对实际情况,符合业务特性和发展战略
3.1可信等级体系设计方法
3.2信息安全保障体系总体框架
3.3体系设计的成果
安全组织体系
安全策略体系
安全技术体系
安全运行体系
3.4安全体系的实现
4.成功案例
某国有大型企业已经采用了我们的可信等级体系,取得了良好的效果。
第三篇:信息安全等级保护与风险评估
信息安全等级保护与风险评估
一、什么是信息安全?
目前常说的所谓信息主要是指在信息系统中存储、传输、处理的数字化信息。信息安全通常是指保证信息数据不受偶然的或者恶意的原因遭到破坏、更改、泄露,保证信息系统能够连续可靠正常地运行,信息服务不中断。信息安全涉及到信息的保密性、完整性、可用性、可控性。保密性是保证信息不泄漏给未经授权的人;完整性是防止信息被未经授权的篡改;可用性是保证信息及信息系统确实为授权使用者所用;可控性就是对信息及信息系统实施安全监控。
信息安全面临的主要威胁来源有环境因素和人为因素,而威胁最大的并不是恶意的外部人员,恰恰是缺乏责任心或专业技能不足的内部人员,由于没有遵循规章制度和操作流程或不具备岗位技能而导致信息系统故障或被攻击。
信息安全涉及到物理环境、网络、主机、应用等不同的信息领域,每个领域都有其相关的风险、威胁及解决方法。信息安全是一个动态发展的过程,仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。
二、什么是等级保护?
信息安全等级保护是指对存储、传输、处理信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。
等级保护是指导我国信息安全保障体系总体建设的基础管理原则,是围绕信息安全保障全过程的一项基础性管理制度,其核心内容是对信息安全分等级、按标准进行建设、管理和监督。
按照《计算机信息系统安全保护等级划分准则》规定的规定,我国实行五级信息安全等级保护。第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级;
由公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合发出的66号文《关于信息安全等级保护工作的实施意见的通知》将信息和信息系统的安全保护等级划分为五级,即:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。
66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的,是系统从应用需求出发必须纳入的安全业务等级,而不是GB17859中定义的安全技术等级。
三、什么是风险评估?
风险评估就是量化评判安全事件带来的影响或损失的可能程度。
从信息安全的角度来讲,风险评估是对信息资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。
风险评估的主要任务包括:1)识别组织面临的各种风险;2)评估风险概率和可能带来的负面影响;3)确定组织承受风险的能力;4)确定风险消减和控制的优先等级;5)推荐风险消减对策。
在风险评估过程中需要考虑几个关键问题:
第一,要确定保护的对象(资产)是什么?它的直接和间接价值如何?
第二,资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大?
第三,资产中存在哪里弱点可能会被威胁所利用?利用的容易程度又如何?
第四,一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响?
第五,组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度?
解决以上这些问题的过程,就是风险评估的过程。
四、中科网威的风险评估案例
2010年,某市税务局通过招标,对市属税务单位进行了一次风险评估。
在招标中,要求风险评估单位具有安全服务资质、风险评估资质、参与过国家信息安全评估产品标准的制订,有具有自主知识产权的风险评估产品、有6名以上CISP等。北京中科网威信息技术有限公司因技术实力突出而一举中标。
根据先期确定的风险评估实施方案,风险评估工作的对象为市局及其五个下属的区县级税务分局的信息系统。评估范围是市局的数据管理中心及五个下属区县局,涵盖物理环境、网络、应用、管理和终端等方面的评估;从20个分局中抽取了三个征管局和两个县区局,针对征管系统、OA系统、国地税数据交换系统进行检查评估。
经过2个月的评估,北京中科网威信息技术有限公司出具了风险评估报告,指明该市局税务系统的信息安全风险突出表现在以下五个方面:
1)安全管理体系不够健全
2)管理执行力度较差,缺乏监管与奖惩机制
3)各类人员不同程度的缺乏安全意识
4)现有安全措施不足,总体安全策略没有在技术上落实
5)安全风险过于集中,对于突发事件缺乏应急准备
针对发现的风险,北京中科网威信息技术有限公司协助市税务局制订了完整的整改方案,采取了一系列措施进行安全建设整改。经过4个月的安全建设和整改,完善了安全体系,有效防范了大部分安全风险,取得了令人满意的阶段性成果,并通过了国税总局进行的信息安全等级测评。
在总结会上,市局信息中心孙主任表示,在实行等级保护过程中,风险评估的作用至关重要,这次之所以顺利通过等级测评,就是前期的风险评估工作扎实到位,使得信息安全建设有的放矢。
原文出自【比特网】,转载请保留原文链接:http://sec.chinabyte.com/136/12125636.shtml
第四篇:临沂中医医院信息安全等级保护测评项目
临沂市中医医院信息安全等级保护测评项目
集中竞价采购须知
为了公开、公平、公正地集中竞价采购,本着合理、竞争、经济的原则,我院拟对本次采购活动参照招标形式进行集中竞价,相关事项如下:
第一部分
项目要求
一、项目背景
为了提高信息系统的安全保护水平,按照国家法律法规和有关部门相关要求,聘请第三方专业机构,在全面了解临沂市中医院现有信息化现况的基础上,开展信息系统安全等级保护测评工作。通过本次工作,发现信息系统中存在的安全风险,分析信息系统安全现状与相关政策文件、技术标准内容要求的符合性情况,完善工作制度,提出安全建设加固建议。切实加强信息安全防范水平,提高系统抵御风险的能力。
二、项目目标、内容
按照国家等级保护相关标准和要求,对其HIS、电子病历系统(三级)、PACS和网站(二级)安全等级保护测评工作,找出系统现状与相关标准要求之间的差距,遵循适度原则,提出切实可行的整改建议,完成等级保护测评报告,并提供后续检测服务。
三、项目实施参照法律法规及标准 《网络安全法》
公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号); 公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》(公通字 [2007]43号)。
《信息安全技术 信息系统安全等级保护基本要求》(GB/T22239-2008)
《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008) 《信息安全技术
信息系统安全等级保护实施指南》 《信息安全技术
信息系统安全等级保护测评要求》 《信息安全技术
信息系统安全等级保护测评过程指南》 《计算机信息系统安全保护等级划分准则》(GB 17859-1999) 《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006) 《信息安全技术 网络基础安全技术要求》(GB/T 20270-2006)
《信息安全技术 操作系统安全技术要求》(GB/T 20272-2006) 《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006) 《信息安全技术 服务器技术要求》(GB/T 21028-2007)
《信息安全技术 终端计算机系统安全等级技术要求》(GA/T 671-2006) 《信息安全技术 信息系统安全管理要求》(GB/T20269-2006) 《信息安全技术 信息系统安全工程管理要求》(GB/T20282-2006) GB/T 18336-2001 信息技术 安全技术 信息技术 安全性评估准则
四、项目内容
1.等级测评
通过详细的系统调研,开展对其HIS、LIS系统(三级)、PACS和网站(二级)的等级保护测评工作,找出安全现状与标准要求之间的差距,并遵循适度安全的原则,协助制定安全整改建设方案,指导整改工作。最终完成等级保护测评报告。
测评的内容包括但不限于以下内容:
安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评;
安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
(1)、物理安全
根据临沂市中医院信息系统机房和现场安全测评记录,针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行,判断出与其相对应的各测评项的测评结果。中标人出具加盖CNAS章的机房检测报告。(2)、网络安全
根据临沂市中医院信息系统网络安全测评记录,针对网络方面在“结构安全”、“访问控制”、“安全审计”、“边界完整性检查”、“入侵防范”、“恶意代码防范”、“网络设备防护”等网络安全方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。
(3)、主机安全
主机安全现场测评包括对临沂市中医院信息系统服务器的测评,测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“剩余信息保护”、“入侵防护”、“恶意代码防护”、“资源控制”。(4)、应用安全
应用安全现场测评包括对临沂市中医院信息系统的测评,测评内容包括“身份鉴
别”、“访问控制”、“安全审计”、“剩余信息保护”、“通信完整性”、“通信保密性”、“抗抵赖”、“软件容错”、“资源控制”方面。(5)、数据安全及备份恢复
临沂市中医院信息系统数据安全及备份恢复现场测评包括“数据完整性”、“数据保密性”、“备份和恢复”几个方面的测评。(6)、安全管理制度
根据现场安全测评记录,针对临沂市中医院信息系统在安全管理制度方面的“管理制度”、“制定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。(7)、安全管理机构
根据现场安全测评记录,针对临沂市中医院信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。(8)、人员安全管理
根据现场安全测评记录,针对临沂市中医院信息系统在人员安全管理方面的“人员录用”、“人员离岗”、“人员考核”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。(9)、系统建设管理
根据现场安全测评记录,针对临沂市中医院信息系统在系统建设管理方面的“系统定级”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“系统备案”、“等级测评”以及“安全服务商选择”等测评指标,判断出与其相对应的各测评项的测评结果。(10)、系统运维管理
根据现场安全测评记录,针对临沂市中医院信息系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备管理”、“网络安全管理”、“系统安全管理”、“恶意代码防范管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”以及“应急预案管理”等测评指标,判断出与其相对应的各测评项的测评结果。
通过现场测评,逐项找出系统现状与国家相关标准要求之间的差距,进行逐项待整改完毕后,进行结果确认,完成信息安全等级保护测评,出具测评报告,2.安全管理体系咨询
协助建立符合等级保护要求的信息安全管理体系,包含信息安全方针、信息安全策略、运行管理制度和运维管理制度。并参照国际标准体系ISO 27001和ISO 分析、整体分析,给出差距分析报告,并给出整改建议方案。并将测评报告报当地公安机关备案。
20000制定相应流程,促进临沂市中医院信息安全管理工作。
3.安全监测
提供门户网站7*24小时网站安全监测,对网站页面挂马、篡改等事件实时监测,发现问题及时通报相关人员,并安排人员及时处理。
4.应急支援
服务期内提供不限次数的应急支援服务,针对发生的事件协助分析事件原因,查找问题,并提供安全加固建议。
5.安全培训
组织技术培训,对临沂市中医院的技术人员进行等级保护、安全技术和项目部署要求等内容培训。技术培训应从实际应用出发,涵盖网络安全的如下方面: 基础设施运行安全培训、网络安全纵深防御体系培训、操作系统安全加固技术培训、应用系统渗透测试检测与加固培训、数据库安全管理培训、27001安全管理体系培训等。
6.信息安全风险评估
按照GB-T20984-2007信息安全风险评估规范标准和要求,对信息系统进行风险评估,明确信息系统安全风险,提出合理的、满足等级保护要求的总体建设和管理规划,并制定安全实施计划,以指导后续的信息系统安全建设工程实施。
五、成果交付
该项目提交的文档至少包括如下文件:
1、《临沂市中医院XX信息系统安全等级保护测评方案》
2、《临沂市中医院XX系统信息安全等级保护测评报告》
3、《临沂市中医院XX信息安全管理制度汇编》
4、《信息安全风险评估报告》
5、《信息安全整改方案》
第二部分
投标方资质要求
1、《企业法人营业执照》副本复印件(盖章)。
2、法定代表人身份证明书或法人授权委托书、身份证复印件。
3、投标公司具有信息系统安全等级保护测评的国家相关资质,有专业技术检测项目组,其中有高级测评师及中级测评师,参与技术检测的人员均为中国公民,无违法犯罪记录并签订安全保密协议。
4、同类项目近几年的业绩情况及客户名单。
第三部分标书、报价方式
1、标书分正本1份,副本2份,并在标书标书袋上标明“正本”、“副本”字样。均固定装订成一册,不能活页装订或散装,盖单位公章和法定代表人印签后递交医院招标办。
第四部分报送时间、地点
标书报送时间截止2018年1月30日16时。(每日8:00~17:00,周六、周日除外)
标书报送地点:临沂市中医医院门诊七楼招标办。
第五篇:《信息安全等级保护测评机构管理办法》最新
信息安全等级保护测评机构管理办法
第一条 为加强信息安全等级保护测评机构管理,规范等级测评行为,提高测评技术能力和服务水平,根据《信息安全等级保护管理办法》等有关规定,制定本办法。
第二条 等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
等级测评机构,是指依据国家信息安全等级保护制度规定,具备本办法规定的基本条件,经审核推荐,从事等级测评等信息安全服务的机构。
第三条 等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针,按照“谁推荐、谁负责,谁审核、谁负责”的原则有序开展。
第四条 等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等服务。
第五条 国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
第六条 申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件:
(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;
(二)产权关系明晰,注册资金100万元以上;
(三)从事信息系统安全相关工作两年以上,无违法记录;
(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;
(五)具有信息系统安全相关工作经验的技术人员,不少于10人;
(六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求;
(七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度;
(八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁;
(九)不涉及信息安全产品开发、销售或信息系统安全集成等业务;
(十)应具备的其他条件。
第七条 申请时,申请单位应向等保办提交以下材料:
(一)《信息安全等级保护测评机构申请表》;
(二)从事信息系统安全相关工作情况;
(三)检测评估工作所需软硬件及其他服务保障设施配备情况;
(四)有关管理制度建设情况;
(五)申请单位及其测评人员基本情况;
(六)应提交的其他材料。
等保办收到申请材料后,应在10个工作日内组织初审,并出具初审结果告知书。
第八条 通过初审的申请单位,应及时参加指定评估机构组织的测评人员培训。考试合格的人员,取得等级测评师证书。
等级测评师分为初级、中级和高级。申请单位应至少有10人获得等级测评师证书,其中高级和中级测评师均不得少于1人。
第九条 指定评估机构应根据标准规范对申请单位开展能力评估,出具信息安全等级保护测评机构能力评估报告,并及时将申请单位能力评估有关情况报送等保办。
第十条 等保办组织专家对通过能力评估的申请单位进行审核。审核通过的,颁发《信息安全等级保护测评机构推荐证书》。
省级等保办应及时将本地等级测评机构推荐情况报国家等保办,国家等保办定期发布公告,在《中国信息安全等级保护网》发布《全国信息安全等级保护测评机构推荐目录》。
第十一条 下列事项发生变更时,等级测评机构应在变更后5个工作日内向等保办报告。
(一)等级测评机构名称、地址、测评人员和主要负责人发生变更的;
(二)等级测评机构法人、股权结构发生变更的;
(三)其他重大事项发生变更的。
省级等保办应及时将等级测评机构变更情况报国家等保办。
第十二条 信息安全等级保护测评机构推荐证书有效期为三年。等级测评机构应在推荐证书期满前30日内,向等保办申请复审。复审通过的等级测评机构应换发新证。复审未通过的,等保办应督促其限期整改。
省级等保办应及时将等级测评机构期满复审情况报国家等保办。
第十三条 等级测评师上岗前,等级测评机构应组织岗前培训。培训合格的,由等级测评机构配发上岗证。未取得测评师证书和上岗证的,不得参与等级测评项目。
等级测评师离职前,等级测评机构应与其签订离职保密承诺书,并收回上岗证。
第十四条 等级测评师应妥善保管等级测评师证书、上岗证,不得涂改、出借、出租和转让。
第十五条 等级测评机构应加强对本机构等级测评师的监督管理,定期组织开展安全保密教育和业务培训。
第十六条 等级测评机构应严格按照信息安全等级保护标准规范公正、独立地开展等级测评工作,依据模板出具信息系统安全等级测评报告,确保测评质量,全面、客观地反映被测信息系统的安全保护状况。
第十七条 等级测评机构开展测评项目不受地域、行业限制。等级测评机构应在测评项目合同签订以及项目完成后5个工作日内,向受理信息系统备案的公安机关报告等级测评项目有关情况。
第十八条 测评项目实施过程中,等级测评机构应接受等保办的监督、检查和指导。测评项目完成后,等级测评机构应请被测评信息系统运营使用单位对测评服务情况进行评价,评价情况由被测单位反馈等保办。
第十九条 等级测评机构应定期向等保办报送测评工作开展情况。根据测评实践,每年底编制并报送信息系统安全状况分析报告。第二十条 等级测评机构实行等级化管理。根据信息系统测评数量、机构规模、测评技术能力和服务质量等指标,对等级测评机构划分为五个星级,最低为一星级,最高为五星级。等级测评机构星级评定标准由国家等保办另行制定。
第二十一条 等级测评机构应于每年底向等保办提交星级评定所需材料。
等保办负责组织所推荐等级测评机构的星级评定审核工作,并出具星级评定意见。省级等保办应及时将评定意见报国家等保办审定,国家等保办定期发布星级评定结果。
第二十二条 取得信息安全等级保护测评机构推荐证书未满一年的,不参加星级评定。
第二十三条 等保办负责对所推荐等级测评机构的日常监督检查、测评项目抽查和年审工作,及时掌握等级测评机构工作情况。
第二十四条 等保办应于每年底对所推荐的等级测评机构进行年审。等级测评机构自推荐之日起未满6个月的,当年可免予年审。年审时,等级测评机构应提交以下材料:
(一)《信息安全等级保护测评机构年审表》;
(二)信息安全等级保护测评机构推荐证书副本;
(三)测评工作总结;
(四)其他所需材料。
第二十五条
国家等保办负责组织开展等级测评机构能力验证和抽查工作。
第二十六条 等级测评机构有下列情形之一的,等保办应责令其限期整改;情形严重的,予以通报。
(一)未按照有关标准规范开展测评或未按规定出具信息系统安全等级测评报告的;
(二)影响被测评信息系统正常运行,危害被测评信息系统安全的;
(三)非授权占有、使用,未妥善保管等级测评相关资料及数据文件的;
(四)分包或转包等级测评项目,以及扰乱测评市场秩序的;
(五)限定被测评单位购买、使用指定信息安全产品的;
(六)测评人员未取得等级测评师证书和上岗证从事等级测评活动的;
(七)未按本办法规定向等保办提交材料、报告情况或弄虚作假的;
(八)其他违反等级测评有关规定的行为。
第二十七条 等级测评机构有下列情形之一的,等保办应取消其信息安全等级保护测评机构推荐证书,并向社会公告。
(一)因单位股权、人员等情况发生变动,不符合等级测评机构基本条件的;
(二)有信息安全产品开发、销售或信息系统安全集成行为的;
(三)故意泄露被测评单位工作秘密、重要信息系统数据信息的;
(四)故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假未如实出具等级测评报告的;
(五)一年内未开展信息系统测评工作或自愿退出《全国信息安全等级保护测评机构推荐目录》的;
(六)连续两年年审不合格或限期整改后仍未通过复审的;
(七)违反本办法第二十六条规定,情节特别严重的。第二十八条 等级测评师有下列行为之一的,等保办应责令等级测评机构督促其限期改正;情节严重的,责令等级测评机构暂停其参与测评工作;情形特别严重的,应注销其等级测评师证书,并对其所在等级测评机构进行通报。
(一)未经允许擅自使用或泄露、出售等级测评工作中收集的数据信息、资料或信息系统安全等级测评报告的;
(二)违反本办法第十四条规定,未妥善保管等级测评师证书、上岗证,有涂改、出借、出租和转让等行为的;
(三)测评行为失误或不当,影响信息系统安全或造成运营使用单位利益损失的;
(四)其他违反等级测评有关规定的行为。第二十九条 等级测评机构及其等级测评师违反本办法的相关规定,给被测评信息系统运营使用单位造成严重危害和损失的,由相关部门依照有关法律、法规予以处理。
第三十条 任何单位和个人如发现等级测评机构、等级测评师有违法、违规行为的,可向国家等保办举报、投诉。
第三十一条 本办法由国家等保办负责解释。第三十二条 本办法自发布之日起实施。
点击咨询 