信息安全等級(jí)保護(hù)

1、1. 信息安全等級(jí)保護(hù)信息安全等級(jí)保護(hù)是對(duì)信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)的一種工作，在中國(guó)、美國(guó)等很多國(guó)家都存在的一種信息安全領(lǐng)域的工作。在中國(guó)，信息安全等級(jí)保護(hù)廣義上為涉及到該工作的標(biāo)準(zhǔn)、產(chǎn)品、系統(tǒng)、信息等均依據(jù)等級(jí)保護(hù)思想的安全工作；狹義上稱(chēng) 為的一般指信息系統(tǒng)安全等級(jí)保護(hù)，是指對(duì)國(guó)家安全、法人和其他組織及公民的專(zhuān)有信息以及公開(kāi)信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置的綜合性工作。國(guó)家通過(guò)制定統(tǒng)一的信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對(duì)信息系統(tǒng)

2、分等級(jí)實(shí)行安全保護(hù)，對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。公安機(jī)關(guān)負(fù)責(zé)信息安全等級(jí)保護(hù)工作的監(jiān)督、檢查、指導(dǎo)。國(guó)家保密工作部門(mén)負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。國(guó)家密碼管理部門(mén)負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。涉及其他職能部門(mén)管轄范圍的事項(xiàng)，由有關(guān)職能部門(mén)依照國(guó) 家法律法規(guī)的規(guī)定進(jìn)行管理。國(guó)務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé) 等級(jí)保護(hù)工作的部門(mén)間協(xié)調(diào)。2. 信息安全等級(jí)保護(hù)工作內(nèi)容信息安全等級(jí)保護(hù)工作包括 定級(jí)、備案、安全建設(shè)和整改、信息安全等級(jí)測(cè)評(píng)、信息安全檢查五個(gè)階段。如圖i所示為具體流程。圖12.1信息安全保護(hù)等級(jí)劃分國(guó)家信息安全等級(jí)保護(hù)堅(jiān)

3、持自主定級(jí)、自主保護(hù)的原則。信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。信息安全等級(jí)保護(hù)信息安全等級(jí)保護(hù)管理辦法規(guī)定：信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)：第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。第三級(jí)，信息系統(tǒng)受到破壞后， 會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，

4、或者對(duì)國(guó)家安全造成損害。第四級(jí)，信息系統(tǒng)受到破壞后， 會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分：第一級(jí)：用戶(hù)自主保護(hù)級(jí)第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)第三級(jí)：安全標(biāo)記保護(hù)級(jí)第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)第五級(jí)：訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí)3. 信息安全等級(jí)保護(hù)測(cè)評(píng)基本概念信息系統(tǒng)安全等級(jí)測(cè)評(píng)是驗(yàn)證信息系統(tǒng)是否滿(mǎn)足相應(yīng)安全保護(hù)等級(jí)的評(píng)估 過(guò)程3.1 等級(jí)測(cè)評(píng)工作等級(jí)測(cè)評(píng)工作是指測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定， 按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)非涉及國(guó)家秘密信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。通過(guò)信息

5、安全等級(jí)評(píng)測(cè)機(jī)構(gòu)對(duì)已完成的等級(jí)保護(hù)建設(shè)的信息系統(tǒng)定期進(jìn)行等級(jí)測(cè)評(píng)， 確 保信息系統(tǒng)的安全保護(hù)措施符合相應(yīng)等級(jí)的安全要求。3.2 等級(jí)測(cè)評(píng)機(jī)構(gòu)等級(jí)測(cè)評(píng)機(jī)構(gòu)是指具備本規(guī)范的基本條件， 經(jīng)能力評(píng)估和審核， 由省級(jí)以上信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室（等保辦）推薦，從事等級(jí)測(cè)評(píng)工作的機(jī)構(gòu)。? 等級(jí)保護(hù)測(cè)評(píng)的執(zhí)行主體應(yīng)當(dāng)是具有相關(guān)資質(zhì)的、獨(dú)立的測(cè)評(píng)服務(wù)機(jī)構(gòu)。? 只有獨(dú)立的第三方，才能保證測(cè)評(píng)工作的客觀性和公正性。? 開(kāi)展等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)通常符合 GB/T15481，通過(guò)計(jì)量認(rèn)證和實(shí)驗(yàn)室認(rèn)可。? 通過(guò)檢查機(jī)構(gòu)認(rèn)可。3.2 等級(jí)保護(hù)測(cè)評(píng)流程1 ）資料審查階段：對(duì)被測(cè)用戶(hù)提交的申請(qǐng)，進(jìn)行文檔的形式化審查，確

6、認(rèn)符合測(cè)評(píng)要求。2）核查測(cè)試階段：用戶(hù)進(jìn)行充分溝通，指定測(cè)評(píng)計(jì)劃和測(cè)試方案，并實(shí)施現(xiàn)場(chǎng)測(cè)評(píng)，形成測(cè)評(píng)記錄。3）綜合評(píng)估階段：整理測(cè)評(píng)數(shù)據(jù)，對(duì)用戶(hù)資料和測(cè)評(píng)結(jié)果進(jìn)行綜合分析，形成測(cè)評(píng)報(bào)告。召開(kāi)專(zhuān)家委員會(huì)， 對(duì)測(cè)評(píng)報(bào)告進(jìn)行評(píng)審， 最后由測(cè)評(píng)中心領(lǐng)導(dǎo)批準(zhǔn)， 出具等級(jí)保護(hù)測(cè)評(píng)報(bào)告。具體流程如圖 2 所示。圖2321測(cè)評(píng)準(zhǔn)備活動(dòng)測(cè)評(píng)準(zhǔn)備活動(dòng)的主要任務(wù)包括：項(xiàng)目啟動(dòng)、信息收集和分析、 工具和表單準(zhǔn)備。這三項(xiàng)任務(wù)之間存在工作的先后次序，項(xiàng)目啟動(dòng)任務(wù)完成之后才能開(kāi)始信息收集和分析任務(wù)。可采用如圖3所示的工作流程：1.頂目心訪(fǎng)出組建測(cè)評(píng)頊目組"編制壩目計(jì)劃書(shū)"砒企測(cè)評(píng)委托單位應(yīng)提供的資料4*

7、±.全息收集利細(xì)聲閱這級(jí)報(bào)告、系 統(tǒng)扌苗述支件-系統(tǒng) 安全設(shè)計(jì)方粟、自 査或上挨等級(jí)涮評(píng) 報(bào)告f如杲偽過(guò)甥 產(chǎn)或等級(jí)漏評(píng)）等根扼沓繭劃的殺銃 怙況調(diào)整凋直表內(nèi) 容"岌放調(diào)查表給刪評(píng) 晏托單位"協(xié)助測(cè)評(píng)萎捋單位 填占調(diào)杳表*收回調(diào)査結(jié)果卡帳扌用情乳確宦是否 安禰觀揚(yáng)調(diào)査"*廿析調(diào)査蠟黒*43.丄貝和蠱里推詢(xún)?cè)嚋y(cè)訐工日摸擬鍛測(cè)矛統(tǒng)搭 建欄評(píng)壞境4模擬測(cè)評(píng)，準(zhǔn)畬和打印表單-圖3322方案編制活動(dòng)方案編制活動(dòng)的主要任務(wù)包括：測(cè)評(píng)對(duì)象確定、測(cè)評(píng)指標(biāo)確定、測(cè)評(píng)內(nèi)容確定、工具測(cè)試方法確定、測(cè)評(píng)指導(dǎo)書(shū)開(kāi)發(fā)及測(cè)評(píng)方案編制。其中，測(cè)評(píng)對(duì)象確定與測(cè)評(píng)指標(biāo)確定兩項(xiàng)任務(wù)可以并行實(shí)

8、施，其他四項(xiàng)任務(wù)之間存在工作的先后次序，測(cè)評(píng)內(nèi)容確定任務(wù)完成之后才能2-劇禪內(nèi)容識(shí)別甸個(gè) 則評(píng)對(duì)S 對(duì)應(yīng)的測(cè) 評(píng)指標(biāo)識(shí)別每個(gè) M評(píng)対S 対應(yīng)的毎 個(gè)測(cè)評(píng)指 標(biāo)的測(cè)評(píng) 方潔確宗工具測(cè)說(shuō)的測(cè)評(píng)吋 象選擇測(cè)試路 徑確定剩試工 具的擁入點(diǎn)4 -怨書(shū)有的測(cè) 評(píng)指導(dǎo)書(shū)中 選擇與測(cè)評(píng) 對(duì)象對(duì)應(yīng)的 手冊(cè)針對(duì)沒(méi)有現(xiàn) 成測(cè)評(píng)指導(dǎo) 書(shū)的測(cè)評(píng)対 熱開(kāi)發(fā)新的 測(cè)評(píng)指導(dǎo)書(shū)制描逑卿評(píng)頂 目基本情:兄 和工作依拯栩述被測(cè)系 統(tǒng)的整體結(jié) 構(gòu)、邊畀和 網(wǎng)絡(luò)區(qū)域描謎被測(cè)乘 統(tǒng)的更更節(jié) 點(diǎn)和業(yè)勢(shì)應(yīng) 用描瀾評(píng)指 標(biāo)*箱謎測(cè)評(píng)對(duì) 象*揚(yáng)述測(cè)評(píng)內(nèi) 窖和方法1 -泗辟對(duì)轅謚識(shí)別顧懾瀟級(jí)訶別被測(cè)系纟克的整體箱 構(gòu)識(shí)別械測(cè)累養(yǎng)的邊畀說(shuō)別被測(cè)系鐮

9、的網(wǎng)絡(luò)區(qū) 域*識(shí)別被測(cè)系統(tǒng)的重要節(jié) 點(diǎn)和11奔蠱用-確定的攜輛洼識(shí)象槪測(cè)奈鐮業(yè)務(wù)信息 和系統(tǒng)胭務(wù)安全慷護(hù)等 級(jí)選屋對(duì)血等級(jí)的ASG三 類(lèi)安全豊求作為則評(píng)楷 標(biāo)就高原則調(diào)整參嚇定級(jí) 耐象共用的某些物謹(jǐn)簣 全或管遲安全測(cè)評(píng)指標(biāo)323現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)的主要任務(wù)包括：現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備、現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄、結(jié)果確認(rèn)和資料歸還。這三項(xiàng)任務(wù)之間存在工作的先后次序，現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備任務(wù)完成之后才能開(kāi)始后續(xù)任務(wù)?？刹捎萌鐖D5所示的工作流程:圖5324報(bào)告編制活動(dòng)報(bào)告編制活動(dòng)的主要任務(wù)包括：?jiǎn)雾?xiàng)測(cè)評(píng)結(jié)果判定、單元測(cè)評(píng)結(jié)果判定、整體測(cè)評(píng)、風(fēng)險(xiǎn)分析、等級(jí)測(cè)評(píng)結(jié)論形成及測(cè)評(píng)報(bào)告編制。這六項(xiàng)任務(wù)之間存在工作的先后次序，單

10、項(xiàng)測(cè)評(píng)結(jié)果判定任務(wù)完成之后才能開(kāi)始后續(xù)任務(wù)。3.3等級(jí)保護(hù)測(cè)評(píng)方法3.3.1測(cè)評(píng)方法測(cè)評(píng)采用訪(fǎng)談、檢查和測(cè)試三種方法，測(cè)評(píng)對(duì)象是測(cè)評(píng)實(shí)施過(guò)程中涉及到的信息系統(tǒng)的 構(gòu)成成份，包括人員、文檔、機(jī)制、軟件、設(shè)備。測(cè)評(píng)的層面涉及物理安全、網(wǎng)絡(luò)安全、主 機(jī)安全、應(yīng)用系統(tǒng)安全、數(shù)據(jù)安全以及安全管理。3.3.2測(cè)評(píng)要求?使用測(cè)評(píng)表進(jìn)行具體檢查時(shí)， 首先按詢(xún)問(wèn)、查驗(yàn)、檢測(cè)等工作方式將所有檢查項(xiàng)目分類(lèi)。?所有以詢(xún)問(wèn)方式檢查的項(xiàng)目，在與有關(guān)人員的談話(huà)或會(huì)議上進(jìn)行。?所有以查驗(yàn)方式檢查的項(xiàng)目，將需要的文檔清單在檢查現(xiàn)場(chǎng)提交給被檢查方，請(qǐng)被檢查方當(dāng)前提供并進(jìn)行查驗(yàn)。所有需要以檢測(cè)方式檢查的項(xiàng)目，按檢測(cè)部門(mén)或設(shè)備分類(lèi)后

11、， 根據(jù)具體情況選擇檢測(cè)順 序。333方法要求?“訪(fǎng)談”方法：目的是了解信息系統(tǒng)的全局性。范圍一般不覆蓋所有要求內(nèi)容。?“檢查”方法：目的是確認(rèn)信息系統(tǒng)當(dāng)前具體安全機(jī)制和運(yùn)行的配置是否符合要求。范圍一般要覆蓋所有要求內(nèi)容。?“測(cè)試”方法：目的是驗(yàn)證信息系統(tǒng)安全機(jī)制有效性和安全強(qiáng)度。范圍不覆蓋所有要求內(nèi)容。3.3.4管理要求? 對(duì)人員方面的要求，重點(diǎn)通過(guò)“訪(fǎng)談”的方式來(lái)測(cè)評(píng)，檢查為輔。? 對(duì)過(guò)程方面的要求，通過(guò)“訪(fǎng)談”和“檢查”的方式來(lái)測(cè)評(píng)。? 對(duì)規(guī)范方面的要求，以“檢查”文檔為主，“訪(fǎng)談”為輔。3.4等級(jí)保護(hù)測(cè)評(píng)中的角色和職責(zé)關(guān)系公安期曲靜門(mén)時(shí)評(píng)估跡進(jìn)辿川T汀角色與職責(zé)關(guān)系如圖 6所示。 I：

12、 ；T.U ：1丨出叮門(mén)匕機(jī)評(píng)1：程和用 St 丈 FS賓廉的配卄評(píng)詡實(shí)嶽方集節(jié)相兀tn 配合幼唱測(cè)評(píng)上眄? 信息安全服務(wù)機(jī)構(gòu)： 協(xié)助信息系統(tǒng)運(yùn)營(yíng)、 使用單位完成等級(jí)保護(hù)的相關(guān)工作， 包括確定 其信息系統(tǒng)的安全保護(hù)等級(jí)、 進(jìn)行安全需求分析、 安全總體規(guī)劃、 實(shí)施安全建設(shè)和安全 改造等。? 信息安全產(chǎn)品供應(yīng)商： 開(kāi)發(fā)符合等級(jí)保護(hù)相關(guān)要求的信息安全產(chǎn)品， 接受安全測(cè)評(píng)， 按 照等級(jí)保護(hù)相關(guān)要求銷(xiāo)售信息安全產(chǎn)品并提供相關(guān)服務(wù)。? 應(yīng)用軟件開(kāi)發(fā)機(jī)構(gòu)：將安全控制要求與應(yīng)用軟件結(jié)合，負(fù)責(zé)軟件開(kāi)發(fā)。? 信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)： 協(xié)助信息系統(tǒng)運(yùn)營(yíng)、 使用單位或國(guó)家管理部門(mén)， 按照國(guó)家信息 安全等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)已經(jīng)完成等級(jí)保護(hù)建設(shè)的信息系統(tǒng)進(jìn)行測(cè)評(píng)； 對(duì)信息安全產(chǎn)品供應(yīng)商提供的信息安全產(chǎn)品進(jìn)行安全測(cè)評(píng)。3.5 等級(jí)保護(hù)測(cè)評(píng)工作實(shí)施步驟3.5.1 首次會(huì)議? 參加人員：主管領(lǐng)導(dǎo)、技術(shù)人員、測(cè)評(píng)機(jī)構(gòu)人員? 被測(cè)評(píng)機(jī)構(gòu)工作匯報(bào)3.5.2 測(cè)評(píng)實(shí)施被測(cè)評(píng)單位派人負(fù)責(zé)測(cè)評(píng)過(guò)程聯(lián)絡(luò)和協(xié)助。3.5.3 末次會(huì)議? 參加人員：主管領(lǐng)導(dǎo)、技術(shù)人員、測(cè)評(píng)機(jī)構(gòu)人員? 測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)試情況匯報(bào)3.6 等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目組的構(gòu)成? 組長(zhǎng)職責(zé)：管理測(cè)評(píng)過(guò)程、主持編制測(cè)評(píng)計(jì)劃、主持設(shè)計(jì)測(cè)評(píng)方案、負(fù)責(zé)訪(fǎng)談、檢查、 組織分析測(cè)評(píng)結(jié)果、主持編制測(cè)評(píng)總結(jié)報(bào)告；? 訪(fǎng)談和查看組：負(fù)責(zé)訪(fǎng)談、執(zhí)行測(cè)試，記錄和分