信息安全等級保護重要標準解讀

1、收稿日期:2014-10-08作者簡介:韓雪紅 ,處級正職。文章編號 :1005-8451(2015 02-0041-04信息安全等級保護重要標準解讀韓雪紅(鐵路公安局,北京 100844摘 要:我國已形成了一套以信息安全等級保護為基礎(chǔ),包含基礎(chǔ)、應(yīng)用、產(chǎn)品等類別的信息安全 等級保護標準體系,將標準體系的若干重要標準在按照其在等級保護實施的不同階段的作用劃分為定 級、規(guī)劃、設(shè)計與建設(shè)以及運維階段標準,從標準框架、主要內(nèi)容、行業(yè)指導(dǎo)意義 3個方面對標準進行解 讀,旨在以點帶面闡述各類標準在信息等級保護不同階段的應(yīng)用和對行業(yè)開展等級保護工作的指導(dǎo)意義。 關(guān)鍵詞: 信息安全;等級保護;標準解讀 中圖

2、分類號:U29-39 文獻標識碼:AInterpretation on important standards for information securitylevel protectionHAN Xuehong( Railway Public Security Administration, Beijing 100844, China Abstract: A set of standard system for information security level protection was built including theoretical principle classes, a

3、pplication classes and production classes in our country. Several standards included in the standard system were divided into several phases as grading, planning, design, construction and operation, the proposed standards would be interpreted from three aspects as framework, main content and industr

4、y guidance. The purpose of this paper was to elaborate standards applications and industry guidance at different stages in security level protection.Key words: information security; level protection; interpretation on standard信息安全等級保護工作是我國在信息化發(fā)展過 程中對信息系統(tǒng)實施安全保護的基本制度、應(yīng)對方 法和實施策略。 2004 年 9月,我國頒布了關(guān)于信 息安全

5、等級保護工作的實施意見 ,隨后于 2007年 6月頒布了信息安全等級保護管理辦法 (公通字 200743號文件,該文件確定了等級保護制度的基 本內(nèi)容、要求和工作流程,而后頒布了定級、等級 劃分、實施和測評相關(guān)的多個多家標注你,初步形 成了我國信息安全等級保護工作的標準體系。1 標準體系目前國家已經(jīng)出臺 60余個信息安全等級保護 標準,包括基礎(chǔ)類、應(yīng)用類、產(chǎn)品類等類別的標準, 在信息安全等級保護定級規(guī)劃、設(shè)計和運維 4個階 段發(fā)揮重要作用的標準目前共 8個,本文旨在對這 8類標準從標準框架、標準內(nèi)容和對行業(yè)指導(dǎo)意義 3個方面進行解讀。 2 各階段標準解讀各階段依據(jù)的重要標準如圖 1所示。2.1

6、定級階段圖 1 信息安全等級保護各階段依據(jù)的重要標準第24卷第2期 Vol.24No.2等級保護LEVELPROTECTION鐵路 RAILWAY COMPUTER APPLICATION計算 機 應(yīng) 用定級指南是在信息安全等級保護管理辦法 的基礎(chǔ)上,主要從定級原理、定級方法和等級變更 3個方面描述了如何對信息系統(tǒng)進行等級確認,為等 級保護定級工作提供有效指導(dǎo)。在定級指南的定級原理一節(jié),定義了信息 系統(tǒng)的 5個安全等級,在定級方法一節(jié)中,說明了 信息系統(tǒng)的安全包括系統(tǒng)服務(wù)安全和業(yè)務(wù)信息安全, 并根據(jù)受侵害客體和對客體的侵害程度,來確定信 息系統(tǒng)的服務(wù)安全保護級別和安全保護級別,最后 綜合考慮取

7、較高者為安全保護等級。各行業(yè)結(jié)合行業(yè)自身的特點和行業(yè)特殊性,出 臺行業(yè)自己的定級指導(dǎo)意見或定級指南,被定級信 息系統(tǒng)需要結(jié)合行業(yè)特點,綜合考慮,做到全地區(qū) 信息系統(tǒng)等級保護定級的一致性。2.2 規(guī)劃階段在規(guī)劃階段,可依據(jù) GB/T22239-2008信息安 全技術(shù)信息系統(tǒng)安全等級保護基本要求 2(簡稱 :基本要求來明確安全等級保護的基本需求。在基本要求中,將基本要求劃分為技術(shù)要 求和管理要求,總計 10個方面。技術(shù)要求分別為物 理層安全要求、主機層安全要求、應(yīng)用層安全要求、 網(wǎng)絡(luò)層安全要求、數(shù)據(jù)安全及備份恢復(fù)要求 5個方 面;管理要求分別為管理制度要求、管理機構(gòu)要求、 人員管理要求、建設(shè)管理要

8、求和運行維護管理要求 5個方面。在基本要求中,根據(jù)側(cè)重點不同,技術(shù)類 安全要求可進一步劃分為 3個保護類,分別為通用 安全、信息安全和服務(wù)保證。信息安全是指保護信 息系統(tǒng)數(shù)據(jù)在傳輸、存儲避免被破壞和未授權(quán)的篡 改;服務(wù)保證類是指避免系統(tǒng)遭受未授權(quán)修改和破 壞,保障系統(tǒng)連續(xù)正常運行。行業(yè)如制定符合自身行業(yè)特點的規(guī)范和標準, 可以根據(jù)行業(yè)自身特點和實際需求, 依據(jù)基本要求 開展行業(yè)自身的標準研究及制定工作。對于基本 要求中提出的無法實現(xiàn)或有更加有效的安全措施, 可在保證不降低整體安全保護能力的情況下對條款 進行適當(dāng)調(diào)整。2.3 設(shè)計與建設(shè)階段在系統(tǒng)設(shè)計和建設(shè)階段活動包含方案設(shè)計和技 術(shù)措施,在此階

9、段參考三類標準,分別為計算機 信息系統(tǒng)安全保護等級的劃分準則 3、 信息系統(tǒng) 通用安全的技術(shù)要求 4、 信息系統(tǒng)等級保護安全 設(shè)計技術(shù)要求 5。劃分準則的主要內(nèi)容是描述如何劃分信息系 統(tǒng)安全等級保護的 5個等級,其中,在用戶自主保 護級中,從訪問控制、身份鑒別和數(shù)據(jù)完整性 3個 方面進行劃分,在系統(tǒng)審計保護級中,新增了客體 重用和審計;安全標記保護級新增了強制訪問控制 和標記;結(jié)構(gòu)化保護級新增了隱蔽通道分析和可新 路徑;訪問驗證保護級新增了可信恢復(fù)。劃分準則屬于強制性技術(shù)規(guī)范,是各行業(yè)制 定行業(yè)自身計算機信息系統(tǒng)安全法規(guī)和監(jiān)督檢查的 依據(jù)性文件。其他技術(shù)標準均需以此標準作為基礎(chǔ) 性標準。本標準

10、為信息系統(tǒng)的信息技術(shù)產(chǎn)品和安全產(chǎn)品 技術(shù)選型提供依據(jù)。 (1為這些產(chǎn)品和設(shè)備的相關(guān) 第24卷第2期等級保護 鐵 路 計 算 機 應(yīng) 用 信息系統(tǒng)通用安全技術(shù)要求 (簡稱:通用安 全技術(shù)要求針對信息系統(tǒng)所采用的安全技術(shù)要素, 從安全保證和安全功能兩個方面,對安全技術(shù)要素 的安全性提出了要求。各行業(yè)在進行等級保護建設(shè)過程中應(yīng)以通用 安全技術(shù)要求為參照,落實安全保護技術(shù)措施。各 行業(yè)安全技術(shù)人員在保證不降低信息系統(tǒng)的整體安 全防護能力的前提下,可以依據(jù)自身行業(yè)特點采取 變通方法實現(xiàn)。本標準從設(shè)計目標、設(shè)計策略和設(shè)計技術(shù)要求 等方面進行了描述。在本標準中,將信息系統(tǒng)設(shè)計分為安全管理中 心、計算環(huán)境安全

11、、區(qū)域邊界安全、通信網(wǎng)絡(luò)安全 設(shè)計 4個部分。安全計算環(huán)境是對已定級的信息系統(tǒng)的數(shù)據(jù)進 行存儲和、處理和進行安全策略配置的體系;區(qū)域 邊界安全設(shè)計是對安全計算環(huán)境間,安全通信網(wǎng)絡(luò) 與安全計算環(huán)境間實現(xiàn)安全通信的體系;通信網(wǎng)絡(luò) 安全設(shè)計是對已定級信息系統(tǒng)的安全計算環(huán)境之間 進行數(shù)據(jù)傳輸以及安全策略實施的相關(guān)部件。安全管理中心是對已定級信息系統(tǒng)的安全策略, 包括安全通信網(wǎng)絡(luò)、安全計算環(huán)境和安全區(qū)域邊界 3個層面的安全策略實行統(tǒng)一管理的平臺。安全管理 中心主要從安全管理、系統(tǒng)管理和審計管理 3方面 進行設(shè)計。各行業(yè)在制定信息系統(tǒng)設(shè)計方案過程中,應(yīng)依 據(jù)自身信息系統(tǒng)的行業(yè)特點,全面地考慮,可對用 戶和

12、設(shè)備節(jié)點的身份認證中心,也可以對各信息系 統(tǒng)單獨構(gòu)建認證中心。由于本標準不包括信息系統(tǒng) 安全管理和物理安全等方面的要求,因此,在對信 息系統(tǒng)等級保護安全方案設(shè)計時,應(yīng)與信息系統(tǒng) 安全等級保護基本要求等標準結(jié)合使用。2.4 運維階段在運維階段,包含對信息系統(tǒng)的運行管理、變 更管理、事件處理、等級測評和備案等,在此階段, 可參考的標準包括信息系統(tǒng)安全管理要求 6、 信 息系統(tǒng)安全等級保護測評要求 7、 信息系統(tǒng)安全 等級保護測評過程指南 8等。信息系統(tǒng)安全管理要求 (簡稱:安全管理要求 可為組織體系和管理體系的建立,安全管理的策略 制定等管理措施提供參考和指導(dǎo)。在安全管理要求中:(1對信息系統(tǒng)的安

13、 全保護提出了分等級管理的要求,闡述了安全管理 的要素以及不同等級的強度要求; (2描述目前我 國信息系統(tǒng)通用的安全管理措施; (3將安全管理 要求落實到等級保護所定義的 5個等級上,主要包 括了兩方面的內(nèi)容,即安全管理分等級要求和安全 管理要素。安全管理要求中根據(jù)劃分的五個安全等級, 從機構(gòu)人員、安全風(fēng)險、環(huán)境資源、政策制度、操 作維護、業(yè)務(wù)連續(xù)性、應(yīng)急和備份、生命周期、監(jiān) 督檢查等管理要素為出發(fā),對信息系統(tǒng)的安全管理 措施進行全面描述。安全管理要求在人員組織機構(gòu)等方面可能存 在全部或部分暫時無法實現(xiàn)的問題,在不降低信息 系統(tǒng)的安全保護能力的前提下,各行業(yè)可采取一些 變通方法加以實現(xiàn)。第24

14、卷第2期 信息安全等級保護重要標準解讀合條件的測評機構(gòu)對完成等級保護建設(shè)的信息系統(tǒng) 進行等級測評。信息系統(tǒng)安全等級保護測評要求 (簡稱:測 評要求中首先描述了信息系統(tǒng)等級測評的內(nèi)容和原 則。在第 59章中指出了不同安全級系統(tǒng)的單元測 評要求。第 10章整體測評提出了對安全層面間、安 全控制間、系統(tǒng)結(jié)構(gòu)和區(qū)域間安全測評的要求。第11章中指出了如何得出等級測評結(jié)論。測評要求是基于基本要求對等級保護的 10個方面提出了測評方法和測評指標,主要包括 10個測評項,技術(shù)層面包括物理層安全、主機層安全、 應(yīng)用層安全、網(wǎng)絡(luò)層安全和數(shù)據(jù)安全;管理層面具 體包括管理制度測評要求、管理機構(gòu)測評要求、系 統(tǒng)建設(shè)管理

15、測評要求、人員安全管理測評要求和運 維管理測評要求。測評過程指南以對 3級信息系統(tǒng)等級測評為 例,描述了信息系統(tǒng)等級測評的活動和任務(wù),包括 4個層面的工作,即測評準備、方案編制、現(xiàn)場測評、 分析與報告編制。測評準備是指需要掌握被測信息系統(tǒng)的詳細信 息,為實施測評工作做好測試工具及文檔方面的準 備;方案編制是編寫與被測信息系統(tǒng)相適應(yīng)的測評 實施手冊;分析與報告編制是指測評結(jié)果,分析被 測系統(tǒng)的安全保護建設(shè)現(xiàn)狀,分析被測系統(tǒng)與其安 全等級要求間的差距,形成測評報告。測評過程指南描述了等級測評的基本工作過 程, 測評過程指南針對已定級的信息系統(tǒng)首次進 行等級測評工作的描述,對于非首次實施等級測評 的

16、工作過程,應(yīng)參考該標準中的調(diào)整原則予以調(diào)整。3 結(jié)束語通過對上述在我國信息安全等級保護工作中涉 及到的主要標準從標準框架、主要內(nèi)容、行業(yè)指導(dǎo) 意義 3個方面對標準進行解讀,明確了各標準在等 級保護工作各個階段發(fā)揮的作用和應(yīng)用場合 ,可為 各行業(yè)等級保護工作的有序開展提供參考和借鑒。 參考文獻:1 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局 . GB/T 22240-2008,信息安全技術(shù) -信息系統(tǒng)安全等級保護定級指南 S. 北京:中國標準出版社, 2008.2 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局 . GB/T 22239-2008,信息安全技術(shù) -信息系統(tǒng)安全等級保護基本要求 S. 北京:中

17、國標準出版社, 2008.3 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局 . GB/T17859-1999,信息安全技術(shù) -計算機信息系統(tǒng)安全保護等級劃分準 則 S.北京:中國標準出版社, 1999.4 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局 . GB/T 20271-2006,信息系統(tǒng)通用安全技術(shù)要求 S.北京:中國標準出 版社, 2006.5 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局 . GB/T 25070-2010,信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求 S.北京:中國 標準出版社, 2010.6 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局 . GB/T 25070-2010, 信息系統(tǒng)安全管理要求 S. 北京 :中國標準出版社, 2006.7 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局 . GB/T 28448-2012,信息系統(tǒng)安全等級保護測評要求 S.北京:中國標準 出版社, 2012.8 中華人民