等級保護安全培訓規(guī)劃

第頁等級保護安全培訓規(guī)劃《信息系統(tǒng)安全等級保護實施指南》

培訓教材

本教材主要通過對《信息系統(tǒng)安全等級保護實施指南》（以下簡稱《實施指南》）的主要作用、內容等進行介紹，使培訓人員能夠清楚了解等級保護的整個實施過程，以便各項工作的開展。

1概述

1.1主要作用

信息安全等級保護工作的先行工作之一是“加快制定、完善管理規(guī)范和技術標準體系”，管理規(guī)范和技術標準體系是等級保護工作的基礎，在《關于信息安全等級保護工作的實施意見》（公通字[2004]66號，以下簡稱“66號文件”）的職責分工和工作要求中指出：

。信息和信息系統(tǒng)的運營、使用單位按照等級保護的管理規(guī)范和技術標準，確定其信

息和信息系統(tǒng)的安全保護等級；

。信息和信息系統(tǒng)的運營、使用單位按照等級保護的管理規(guī)范和技術標準對新建、改

建、擴建的信息系統(tǒng)進行信息系統(tǒng)的安全規(guī)劃設計、安全建設施工；

。信息和信息系統(tǒng)的運營、使用單位及其主管部門按照與信息系統(tǒng)安全保護等級相對

應的管理規(guī)范和技術標準的要求，定期進行安全狀況檢測評估；

。國家指定信息安全監(jiān)管職能部門按照等級保護的管理規(guī)范和技術標準的要求，對信

息和信息系統(tǒng)的安全等級保護狀況進行監(jiān)督檢查。

從上述“66號文件”描述的內容中可以看出，信息安全等級保護工作的主要內容包括“等級確定”、“安全建設”、“安全測評”和“監(jiān)督檢查”等，完成上述工作的主要依據是等級保護的管理規(guī)范和技術標準。

信息安全等級保護的實施過程中涉及到的各類組織、需完成的工作以及依據的基礎如下圖所示：

1

主管部門運營、使用單位安全服務商監(jiān)管部門系統(tǒng)定級安全保護檢測評估監(jiān)督檢查技術標準管理規(guī)范

圖1-1技術標準和管理規(guī)范的作用

除了“66號文件”中提到的“信息和信息系統(tǒng)的運營、使用單位”、“國家指定信息安全監(jiān)管職能部門”外，信息安全等級保護的實施過程中涉及到各類組織和人員實際還包括信息安全服務商、安全測評機構等，它們配合“信息和信息系統(tǒng)的運營、使用單位”、“國家指定信息安全監(jiān)管職能部門”共同進行信息安全等級保護工作。

為使信息安全等級保護的實施過程中涉及到的各類組織和人員能夠順利地完成信息安全等級保護工作，需要一個技術標準為實施的各方提供指導，這個標準就是《實施指南》。

《實施指南》的主要作用包括：

1）作為系統(tǒng)等級保護實施的指南性文件

指導對一個信息系統(tǒng)實施安全等級保護的參與各方，如何在等級保護實施過程的各個階段開展相應的活動，給出階段活動的內容、控制方法和輸出結果。

2）作為等級保護標準體系的指引性文件

介紹實施信息系統(tǒng)等級保護過程中，在不同階段和從事不同活動中，如何使用等級保護標準體系中的其他等級保護相關標準。

2

1.2主要思路

對信息系統(tǒng)實施等級保護的過程是一個工程過程，其工程活動將覆蓋到信息系統(tǒng)生命周期的各個階段，其核心內容是對信息系統(tǒng)實施安全保護，到目前為止，對信息系統(tǒng)實施安全保護的方法論有很多，主要流行的方法包括風險管理方法和安全工程方法。

1.風險管理的思路

介紹風險管理的材料有很多，其中iso/iec13335、nist-sp800-30、“加拿大風險管理工作指南”等是典型的通過風險管理的手段對信息系統(tǒng)實施保護的參考材料。各種資料介紹的風險管理方法在細節(jié)方面可能有所差別，但是總體思路基本一致。

采用風險管理方法對信息系統(tǒng)進行保護的基本步驟是：

1）風險分析和風險評估

可以采用各種方法（iso/iec13335等）對信息系統(tǒng)面臨的風險進行分析，包括資產分析、弱點分析、威脅分析、現有保護措施分析、風險分析，得到現有系統(tǒng)的安全風險狀況。

2）風險規(guī)避

針對在風險分析和風險評估步驟得到的系統(tǒng)安全風險信息，選擇可能采用的可以消除、減低、轉移風險的風險規(guī)避策略。根據風險規(guī)避策略，進一步選擇所要采取的安全措施，此時既要考慮安全風險的排序，也應考慮安全措施投入和安全保護效果之間平衡，最終形成安全改進的設計方案（plan）。

大多數風險管理方法的文件或指南將論述重點放在風險分析、風險評估和風險規(guī)避方面，作為完整的風險管理過程，除此之外還有安全措施的實施和實現、系統(tǒng)運行維護等工作過程。尤其是當系統(tǒng)發(fā)生變化、環(huán)境發(fā)生變化或殘余風險不能接受時，應進入另一個風險管理過程，以此循環(huán)形成閉環(huán)。

如果從工程的角度看待風險管理方法，可以將風險分析和風險評估過程看作是確定安全需求的過程，風險規(guī)避過程可以看作是安全需求定義和安全規(guī)劃設計的過程。

2.安全工程的思路

sse-cmm和isse是典型的介紹通過安全工程的手段對信息系統(tǒng)實施保護的參考材

3

料。sse-cmm和isse是具有代表性的從工程角度考慮對信息系統(tǒng)進行保護的方法論，兩者在描述風格上差異較大，但是總體思路實際上沒有太大差別。

sse-cmm認為對信息系統(tǒng)進行保護應該執(zhí)行以下幾個過程：

1）風險過程

風險過程包括四個主要活動。威脅分析、弱點分析、影響分析和風險分析。

2）工程過程

工程過程包括五個主要活動。確定安全需求、提供安全輸入、管理安全措施、監(jiān)控安全狀態(tài)和安全活動的協調。

3）保證過程

保證過程包括兩個主要活動：驗證和確認安全、提供安全保證證據。isse認為對信息系統(tǒng)進行保護應該執(zhí)行以下一些活動：a）發(fā)現系統(tǒng)保護需求b）定義系統(tǒng)安全需求c）設計系統(tǒng)安全框架d）開發(fā)詳細安全設計e）實施系統(tǒng)安全f）

評估系統(tǒng)保護有效性

sse-cmm描述了安全工程的方法論，論述了對信息系統(tǒng)進行保護的主要活動和控制方法。isse則描述了安全工程的主要活動。仔細分析sse-cmm和isse，實際上兩者的內容基本一致，只是描述風格上差異較大。

sse-cmm和isse從工程角度描述信息系統(tǒng)的保護過程，并且將工程活動與信息系統(tǒng)的生命周期進行對應，更容易被人們理解和接受。

3.《實施指南》的主要思路

在對信息系統(tǒng)實施等級保護的過程中，風險分析可以作為一種輔助手段。等級保護的相關標準對不同級別的信息系統(tǒng)提出了基本保護要求，基本保護要求是系統(tǒng)安全建設的基礎，但是不同的信息系統(tǒng)由于其本身的特性，除基本保護要求外，還有其特殊的安全需求，可以

4

通過風險分析的方法選擇需要補充的安全措施，從而在等級保護的基礎上，體現各系統(tǒng)防護措施的特殊性。

對信息系統(tǒng)實施等級保護的過程也是一個工程過程，其主要思路可以借鑒安全工程的思路，但是由于對信息系統(tǒng)實施等級保護的過程是以信息系統(tǒng)的合理定級活動開始的，與安全工程相比，考慮問題的思路和方法都將有所不同，具體活動也會有所區(qū)別。安全工程的方法論可以作為信息系統(tǒng)實施安全等級保護的一種借鑒，但須根據等級保護的特點補充和完善與等級保護相關的特定工程活動，比如信息系統(tǒng)的劃分活動、信息系統(tǒng)的定級活動、信息系統(tǒng)等級保護安全策略規(guī)劃活動等等。

與風險管理和安全工程不同，實施信息系統(tǒng)等級保護的第一個步驟是確定保護對象，即信息系統(tǒng)的安全等級，然后根據確定的安全等級對信息系統(tǒng)進行符合相應等級保護要求的安全建設和安全管理。對信息系統(tǒng)實施等級保護涉及很多活動，包括系統(tǒng)定級、參照等級保護基本要求的安全措施選擇、安全方案的設計、安全工程的實施、系統(tǒng)安全運行管理等等，上述活動均在《實施指南》中有所描述。

對信息系統(tǒng)實施等級保護過程中所涉及的活動分散在信息系統(tǒng)生命周期的不同階段進行，有些活動之間具有一定的繼承性，也就是說必須在一個活動完成后才能進行下一個活動，比如必須進行安全方案設計，完成后才能進行安全工程實施，有些活動沒有明顯的繼承性，比如系統(tǒng)的安全狀態(tài)監(jiān)控和系統(tǒng)的變更管理控制。為了保證《實施指南》對活動描述的全面性，《實施指南》應覆蓋信息系統(tǒng)生命周期所有階段的安全活動。

基于上述的分析，《實施指南》的編制基本思路為：1）以信息系統(tǒng)等級保護建設為主要線索

如前所述，信息系統(tǒng)等級保護的實施過程中涉及到各類組織和人員，他們將會參與不同的或相同的活動，比如信息系統(tǒng)的主管單位和信息系統(tǒng)的運營單位將參與系統(tǒng)定級活動，如果委托安全服務商進行定級，則安全服務商也會參與定級活動；又如信息系統(tǒng)的運營單位可以自己完成風險分析活動，也可以委托安全服務商完成風險分析活動。

《實施指南》面臨的使用對象將是信息系統(tǒng)的主管單位、運營使用單位、技術支持單位、監(jiān)督管理機構等，為了保證《實施指南》的描述有一個清晰的思路，各類使用人員都能夠理

5

解和較好地使用，實施指南并不以某個特定單位的活動為主線進行描述，而是以信息系統(tǒng)等級保護建設所要從事的活動為主線進行描述，有些活動可能是這個單位執(zhí)行的，另一些活動可能是另一個單位執(zhí)行的。《實施指南》的讀者根據自己的角色和從事的活動選擇相應的內容作為指導。

2）定義信息系統(tǒng)等級保護實施的基本流程

對信息系統(tǒng)實施等級保護涉及的活動有很多，根據安全的動態(tài)性和安全工程的循環(huán)理論，很多活動需要重復執(zhí)行，從而保證安全保護的有效性，雖然安全保護是一個不斷循環(huán)和不斷提高的過程，但是實施信息系統(tǒng)等級保護的一次完整周期流程是可以區(qū)分清楚的，比如從系統(tǒng)定級到最終的系統(tǒng)安全運行維護，為了便于清晰劃分信息系統(tǒng)等級保護的一次實施過程，有必要定義信息系統(tǒng)等級保護實施的一個基本流程。

《實施指南》根據信息系統(tǒng)等級保護實施的特點，結合風險管理和安全工程方法提出信息系統(tǒng)等級保護實施的基本流程，將等級保護實施過程劃分為幾個不同的階段，然后分章節(jié)介紹和描述不同階段的安全活動，，指導系統(tǒng)建設者和系統(tǒng)運營者在系統(tǒng)建設和運營期間更好地同步進行等級保護建設。

通過對信息系統(tǒng)等級保護實施基本流程的提出，更好地描述信息系統(tǒng)等級保護實施的不斷循環(huán)過程；級別變更可能觸發(fā)另一個等級保護實施流程的執(zhí)行；風險評估和安全測評可能導致等級保護實施流程中局部活動的重復執(zhí)行等。

3）介紹和描述每個階段主要的實施過程和主要活動

為了便于用戶使用《實施指南》，《實施指南》根據基本實施流程的階段劃分，分為不同的章節(jié)，每個階段對應一章。每一章介紹和描述本階段所要進行的過程和主要安全活動，如果過程具有順序性，將用流程圖的形式表述過程的執(zhí)行過程，如果沒有順序性，則用框圖分別表述每一個過程活動?！秾嵤┲改稀穼⒚總€過程作為章下的節(jié)，每一節(jié)詳細描述過程的內容，包括過程可能的實施主體，主要的活動內容和工作方法，過程的輸入和輸出內容。

1.3使用對象

《實施指南》以信息系統(tǒng)的生命周期為主線，描述信息系統(tǒng)安全等級保護實施的基本過

6

程，而信息系統(tǒng)安全等級保護實施過程本身是一個多方參與的工作，將會涉及到各類組織，所以《實施指南》的使用對象包括信息系統(tǒng)安全等級保護實施過程中的參與各方。具體包括：國家管理部門、信息系統(tǒng)主管部門、信息系統(tǒng)運營使用單位、信息安全服務機構、信息安全等級測評機構、信息安全產品供應商等。

1）國家管理部門

公安機關負責信息安全等級保護工作的監(jiān)督、檢查、指導。國家保密工作部門負責等級保護工作中有關保密工作的監(jiān)督、檢查、指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監(jiān)督、檢查、指導。涉及其他職能部門管轄范圍的事項，由有關職能部門依照國家法律法規(guī)的規(guī)定進行管理。國務院信息化工作辦公室及地方信息化領導小組辦事機構負責等級保護工作的部門間協調。

2）信息系統(tǒng)主管部門

負責依照國家信息安全等級保護的管理規(guī)范和技術標準，督促、檢查和指導本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運營、使用單位的信息安全等級保護工作。

3）信息系統(tǒng)運營、使用單位

負責依照國家信息安全等級保護的管理規(guī)范和技術標準，確定其信息系統(tǒng)的安全保護等級，有主管部門的，應當報其主管部門審核批準；根據已經確定的安全保護等級，到公安機關辦理備案手續(xù)；按照國家信息等級保護管理規(guī)范和技術標準，進行信息系統(tǒng)安全保護的規(guī)劃設計；使用符合國家有關規(guī)定，滿足信息系統(tǒng)安全保護等級需求的信息技術產品和信息安全產品，開展信息系統(tǒng)安全建設或者改建工作；制定、落實各項安全管理制度，定期對信息系統(tǒng)的安全狀況、安全保護制度及措施的落實情況進行自查，選擇符合國家相關規(guī)定的等級測評機構，定期進行等級測評；制定不同等級信息安全事件的響應、處置預案，對信息系統(tǒng)的信息安全事件分等級進行應急處置。

4）信息安全服務機構

負責依據信息系統(tǒng)運營、使用單位的委托，按照國家信息安全等級保護的管理規(guī)范和技術標準，協助信息系統(tǒng)運營、使用單位完成等級保護的相關工作，包括確定其信息系統(tǒng)的安全保護等級、進行安全需求分析、安全總體規(guī)劃、實施安全建設和安全改造等。

7

5）信息安全等級測評機構

負責根據信息系統(tǒng)運營、使用單位的委托或根據國家管理部門的授權，協助信息系統(tǒng)運營、使用單位或國家管理部門，按照國家信息安全等級保護的管理規(guī)范和技術標準，對已經完成等級保護建設的信息系統(tǒng)進行等級測評；對信息安全產品供應商提供的信息安全產品進行安全測評。

6）信息安全產品供應商

負責按照國家信息安全等級保護的管理規(guī)范和技術標準，開發(fā)符合等級保護相關要求的信息安全產品，接受安全測評；按照等級保護相關要求銷售信息安全產品并提供相關服務。

1.4基本結構

《實施指南》包括9章，1個附錄。

第1、2、3章為標準的固定格式要求，說明《實施指南》標準的使用范圍、引用的其他標準、使用到的術語和定義。

第4章總體描述信息系統(tǒng)等級保護的實施過程，包括實施過程中涉及到的各種角色和職責、實施的基本原則、實施的基本流程。

第5、6、7、8、9章分別根據等級保護實施流程劃分的階段，說明每個階段的主要實施過程。每章以階段名稱作為一級標題，以主要過程作為二級標題，主要活動要素作為三級標題，說明信息系統(tǒng)安全等級保護的實施活動。

附錄a為主要過程的輸出列表。

2基本實施過程

2.1一些主要概念

1、信息系統(tǒng)安全保護等級

信息系統(tǒng)重要程度的表征。重要程度以信息系統(tǒng)受到破壞后，對國家安全、社會秩序、經濟建設和公共利益造成的損害程度來衡量。

8

2、信息系統(tǒng)安全等級保護對信息系統(tǒng)分等級實施安全保護。

3、信息系統(tǒng)生命周期

信息系統(tǒng)從存在到消失的整個時間周期。通常觀點認為信息系統(tǒng)生命周期包括五個階段，即啟動準備階段、設計/開發(fā)階段、實施/實現階段、運行維護階段和系統(tǒng)終止階段。

4、階段和階段目標

信息系統(tǒng)生命周期中，具有代表性的時段劃分，稱為階段。通常以經歷一系列相關的過程，完成一系列相關的活動，產生一個標志性結果為劃分依據。在信息系統(tǒng)安全等級保護實施中，劃分為信息系統(tǒng)定級、總體安全規(guī)劃、安全設計與實施、安全運行與維護和信息系統(tǒng)廢棄幾個階段。

每個階段內期望達到的結果的描述，稱為階段目標。

5、主要活動和活動目標

《實施指南》中，按照階段、過程、活動、子活動的分解方式進行描述，每個階段的每個過程中，具有代表性的活動，稱為主要活動。通常以為達到階段目標而必須完成的活動為表述依據。例如在信息系統(tǒng)安全等級保護實施中，信息系統(tǒng)定級階段的主要過程分為信息系統(tǒng)分析和安全等級確定，其中信息系統(tǒng)分析過程的主要活動劃分為系統(tǒng)識別和描述、信息系統(tǒng)分解等幾個主要活動。

每個主要活動期望達到的結果的描述，稱為活動目標。

7、參與角色

每個活動或活動過程的參與人員，稱為參與角色。在《實施指南》中，參與角色的最小度量為“單位”，參與角色分為國家管理部門、信息系統(tǒng)主管部門、信息系統(tǒng)運營使用單位、信息安全服務機構、信息安全等級測評機構、信息安全產品供應商等。

8、子活動和工作內容

主要活動進一步分解后的活動，稱為子活動。子活動中需要完成的工作的描述稱為工作內容。在《實施指南》中，大部分的主要活動均分解為若干個子活動，并對子活動內容進行詳細描述，子活動通常由主要活動的參與角色完成。

9

9、活動輸入和活動輸出

為完成主要活動或子活動，需要的文件資料稱為活動輸入；主要活動或子活動完成后，產生的文件資料稱為活動輸出。在《實施指南》中，對各類主要活動描述了活動輸入和活動輸出的文檔資料名稱。

10、相互之間的關系

《實施指南》中，各個主要概念之間的關系如下圖所示：

信息系統(tǒng)生命周期階段階段主要過程活動階段目標過程目標子活動活動流程參與角色工作內容輸入與輸出

圖1-2基本概念之間的關系

2.2基本實施流程

對一個信息系統(tǒng)實施等級保護的過程本質上是對信息系統(tǒng)進行安全保護的過程，應遵循對信息系統(tǒng)進行安全保護的方法論，但是作為國家等級保護制度實施的對信息系統(tǒng)的安全等級保護工作本身有其自己的特點，整個實施過程應體現出“信息系統(tǒng)分等級”、“按標準進行建設”、“實施監(jiān)督和管理”等思想。

安全保護過程是一個不斷循環(huán)和不斷提高的過程，但是實施等級保護的一次完整過程是可以區(qū)分清楚的，比如從信息系統(tǒng)定級、系統(tǒng)運行維護，最終到信息系統(tǒng)終止，為了便于清晰劃分等級保護的一次實施過程，有必要根據信息系統(tǒng)的一個生命周期確定等級保護實施的

10

流程。

對一個信息系統(tǒng)實施等級保護的基本流程如下所示：

信息系統(tǒng)定級總體安全規(guī)劃級別變更安全設計與實施局部調整安全運行與維護信息系統(tǒng)終止

圖1-3信息系統(tǒng)安全等級保護實施的基本流程

。局部調整

在安全運行與維護階段，當系統(tǒng)局部調整時，如果不影響系統(tǒng)的安全等級，應從安全運行與維護階段進入安全設計與實施階段，重新調整和實施安全措施，確保滿足等級保護的要求；

。級別變更

在安全運行與維護階段，當系統(tǒng)發(fā)生重大變更導致影響系統(tǒng)的安全等級時，應從安全運行與維護階段進入信息系統(tǒng)定級階段，重新開始一次等級保護的實施流程。

2.3主要的實施階段

根據信息系統(tǒng)實施等級保護的流程將其實施階段分別劃分為五個不同階段，即信息系統(tǒng)定級階段、總體安全規(guī)劃階段、安全設計與實施階段、安全運行與維護階段和信息系統(tǒng)終止階段。

1、信息系統(tǒng)定級階段

信息系統(tǒng)定級階段通過對信息系統(tǒng)調查和分析，進行信息系統(tǒng)劃分，確定相對獨立的信

11

息系統(tǒng)的個數，按照《信息系統(tǒng)安全等級保護定級指南》確定每個信息系統(tǒng)的安全等級。

2、總體安全規(guī)劃階段

總體安全規(guī)劃階段通過安全需求分析判斷信息系統(tǒng)的安全保護現狀與國家等級保護基本要求之間的差距，確定安全需求，然后根據信息系統(tǒng)的劃分情況、信息系統(tǒng)定級情況、信息系統(tǒng)承載業(yè)務情況和安全需求等，設計合理的、滿足等級保護要求的總體安全方案，并制定出安全實施規(guī)劃等，以指導后續(xù)的信息系統(tǒng)安全建設工程實施。

3、安全設計與實施階段

安全設計與實施階段通過安全方案詳細設計、安全產品的采購、安全控制的開發(fā)、安全控制集成、機構和人員的配置、安全管理制度的建設、人員的安全技能培訓等環(huán)節(jié)，將規(guī)劃階段的安全方針和策略，具體落實到信息系統(tǒng)中去，其最終的成果是提交滿足用戶安全需求的信息系統(tǒng)以及配套的安全管理體系。

4、安全運行與維護階段

安全運行與維護階段將介紹運行管理和控制、變更管理和控制、安全狀態(tài)監(jiān)控以及安全事件處置和應急預案等過程；對安全狀態(tài)進行監(jiān)控，對發(fā)生的安全事件及時響應，確保信息系統(tǒng)正常運行；通過定期的監(jiān)督檢查督促信息系統(tǒng)運營、使用單位做好信息系統(tǒng)的日常安全維護工作，確保其滿足相應等級的安全要求，達到相應等級的安全保護能力；通過安全檢查和持續(xù)改進等活動過程實現對信息系統(tǒng)的動態(tài)保護。

5、信息系統(tǒng)終止階段

信息系統(tǒng)終止階段是對信息系統(tǒng)的過時或無用部分進行報廢處理的過程，主要涉及對信息、設備、存儲介質或整個信息系統(tǒng)的廢棄處理。信息系統(tǒng)終止階段的主要活動可能包括對信息的轉移、暫存或清除，對設備遷移或廢棄，對存儲介質的清除或銷毀；信息系統(tǒng)終止階段當要遷移或廢棄系統(tǒng)組件時，核心關注點是防止敏感信息泄漏。

3主要實施階段介紹

如前所述，信息系統(tǒng)實施等級保護劃分為五個不同階段，即信息系統(tǒng)定級階段、總體安全規(guī)劃階段、安全設計與實施階段、安全運行與維護階段和信息系統(tǒng)終止階段。關于“信息

12

系統(tǒng)定級“階段的工作方法和工作內容，參見《定級指南》及相關教材。本教材重點介紹“總體安全規(guī)劃“階段的工作內容和可用方法。其他階段的內容，參見《信息系統(tǒng)安全等級保護實施指南》標準相關章節(jié)。

3.1總體安全規(guī)劃

3.1.1安全需求分析

系統(tǒng)定級完成后，首要的工作是確定系統(tǒng)的安全需求，也就是系統(tǒng)的保護需求。對于新建的系統(tǒng)和已建的系統(tǒng)，安全需求的確定方法不同，新建過程中的系統(tǒng)由于在設計完成之前還沒有系統(tǒng)實體，所以系統(tǒng)可以按照等級保護的要求進行定級、設計和實施，系統(tǒng)的安全需求主要來源于國家政策性要求、機構使命性要求和可能的系統(tǒng)環(huán)境影響；運行過程中的系統(tǒng)由于建設過程中并沒有按照等級保護的要求進行定級和設計，雖然采取了一定的安全保護措施，但是可能與國家等級保護的要求存在差距，所以需要完成的工作是按照國家等級保護的要求進行安全改造。

新建系統(tǒng)可以在信息系統(tǒng)生命周期的啟動/準備、設計/開發(fā)階段同步實施系統(tǒng)定級和系統(tǒng)設計，根據信息系統(tǒng)承載的業(yè)務對信息系統(tǒng)合理分級之后，國家標準《信息系統(tǒng)安全等級保護基本要求》就是對各個級別系統(tǒng)的明確安全需求，系統(tǒng)的安全規(guī)劃設計應以此為依據。

本章重點介紹已建系統(tǒng)，即運行過程中的系統(tǒng)如何在等級保護實施過程中的規(guī)劃設計階段確定安全需求，新建系統(tǒng)確定安全需求的方法也可以借鑒這里介紹的方法。關于運行過程中的系統(tǒng)如何定級參見有關信息系統(tǒng)安全保護等級確定的教材，這里不再描述。

對于一個已建系統(tǒng)，在對系統(tǒng)進行劃分，并確定了不同系統(tǒng)的安全保護等級之后，關注的重點是不同安全保護等級的系統(tǒng)目前采取的安全保護措施與國家等級保護要求之間的差距有多大，這種差距就是未來需要對系統(tǒng)進行安全改造的目標，也就是安全改造設計方案的安全需求輸入。

根據《實施指南》，總體安全規(guī)劃階段的第一個重要活動是“安全需求分析”，對于一個已經確定了安全保護等級，并處于運行狀態(tài)的信息系統(tǒng)，“安全需求分析”實際要完成安全現狀評估和安全需求確認兩項主要工作。

13

3.1.1.1安全現狀評估

一、評估方法

當根據信息系統(tǒng)的業(yè)務重要性及其他相關因素對信息系統(tǒng)進行劃分，確定了信息系統(tǒng)的安全保護等級后，需要了解不同級別的信息系統(tǒng)或子系統(tǒng)當前的安全保護與相應等級的安全保護基本要求之間存在的差距，這種差距是一種安全需求，是進行安全方案設計的基礎。

傳統(tǒng)的安全需求分析方法有很多，如流行的風險分析法，但是作為了解信息系統(tǒng)或子系統(tǒng)當前的安全保護狀況與相應等級的安全保護基本要求之間存在的差距的簡便方法，莫過于等級測評法。

關于等級測評有專門的教材進行詳細描述，這里只說明如何采用等級測評法對安全現狀進行評估，并確定與相應等級的安全保護基本要求之間存在的差距。

二、基本步驟

采用等級測評法進行安全現狀評估的基本步驟如下：

1、確定評估范圍

明確本次被評估系統(tǒng)的范圍，包括整個信息系統(tǒng)的范圍、各個等級信息系統(tǒng)的范圍，各個等級信息系統(tǒng)的邊界等。這些信息來自信息系統(tǒng)的定級報告。

例如：

xxxx信息系統(tǒng)承載xx、xx、xx業(yè)務，具有xx個出口。出口1通過xx設備與外部的xx系統(tǒng)相連，出口2通過xx設備與外部的xx系統(tǒng)相連，……，系統(tǒng)示意圖如下。

xxxx信息系統(tǒng)被劃分為xx個信息系統(tǒng)，信息系統(tǒng)1承載xx業(yè)務，信息系統(tǒng)2承載xx業(yè)務，……。

信息系統(tǒng)1有xx個邊界，邊界1通過xx設備與外部的xx系統(tǒng)相連，邊界2通過xx設備與信息系統(tǒng)2相連，……。

……

本次安全評估的系統(tǒng)包括信息系統(tǒng)1、信息系統(tǒng)2、……。

2、獲得被評估信息系統(tǒng)的信息

通過查閱資料（如果定級建議書有詳細的資料）或現場調查的方式，了解被評估信息系

14

統(tǒng)的構成，包括網絡拓撲、業(yè)務應用、業(yè)務流程、設備信息、安全措施狀況等，并將被評估信息系統(tǒng)的信息準確描述。

例如：

信息系統(tǒng)1的范圍如下面網絡拓撲圖所示。圖略。

網絡邊界。有xx個邊界，邊界1通過xx設備與外部的xx系統(tǒng)相連，邊界2通過xx設備與信息系統(tǒng)2相連，……。

網絡區(qū)域：有xx個區(qū)域，每個區(qū)域的說明。承載業(yè)務：有xx個業(yè)務，每個業(yè)務的說明。

主要安全設備。有xx個安全設備，每個設備的部署位置、主要作用?！?。

設備清單列表：

xxxx類設備所屬區(qū)域序號設備名稱用途設備信息說明12343、確定具體的評估對象確定每個等級信息系統(tǒng)的被評估對象，包括整體對象，如機房、辦公環(huán)境、網絡等，也包括具體對象，如邊界設備、網關設備、服務器設備、工作站、應用系統(tǒng)等。

4、確定評估工作的方法

根據信息系統(tǒng)安全等級情況、系統(tǒng)規(guī)模大小等，明確本次評估的方法，如所有對象的評估還是抽樣方式的評估；詢問、檢查、測試的組合方式等。

15

序號45678問題描述嚴重程度可能的改進措施三、過程輸出安全現狀評估過程中重要的過程控制文件和結果描述文件包括：。評估工作計劃或項目工作計劃。評估方案或測評方案。各類數據記錄表格。安全評估報告

1、評估工作計劃或項目工作計劃基本結構

1、項目概述2、工作依據3、工作內容4、工作產品5、任務分工6、時間計劃7、項目評審2、評估方案或測評方案基本結構1、項目概述2、測評對象21

3、測評指標4、測評方式和工具5、層面測評實施6、系統(tǒng)測評實施附件a：安全管理測評記錄表格附件b：網絡結構測評記錄表格附件c：網絡設備測評記錄表格附件d：安全設備測評記錄表格附件e：主機設備測評記錄表格附件f：應用系統(tǒng)測評記錄表格附件g：物理安全測評記錄表格3、記錄表格基本結構序號類別求基本要法測評方錄結果記況符合情4、安全評估報告基本結構1、項目概述2、測評對象3、測評指標4、測評方式和工具22

5、測評結果6、綜合分析7、測評結論附件a：安全管理測評記錄表格附件b：網絡結構測評記錄表格附件c：網絡設備測評記錄表格附件d：安全設備測評記錄表格附件e：主機設備測評記錄表格附件f：應用系統(tǒng)測評記錄表格附件g：物理安全測評記錄表格3.1.1.2安全需求確定

一、分析方法

通過等級測評方法對安全現狀評估產生的結果，說明了系統(tǒng)安全保護方面與等級保護基本要求之間的差距，這種差距是進一步對系統(tǒng)進行安全改造的依據，由于《信息系統(tǒng)安全等級保護基本要求》中提出的安全要求是針對大部分系統(tǒng)的通用要求，因此還應結合自身系統(tǒng)的特點判斷不符合要求的差距是否在今后的安全改造過程中需要補充，以及除《信息系統(tǒng)安全等級保護基本要求》中提出的安全要求外，是否還需要補充其他的措施。

安全需求的最終確認，可以借鑒風險分析的做法，由于已經采用等級測評方法對系統(tǒng)進行了安全現狀評估，所以借鑒風險分析法對安全需求進行最終確認時，可以簡化分析方法，關注點放在系統(tǒng)的重要資產上，識別出系統(tǒng)的重要資產、重要資產保護方面存在的缺陷、重要資產可能面臨的威脅以及可能的風險大小。通過針對重要資產的風險分析方法，判斷等級測評中不符合項可能產生的風險，以及對重要資產的額外保護需求。

等級測評中可能產生較大風險的不符合項，為了對抗特定環(huán)境下的威脅，重要資產需要補充的安全措施，兩者共同構成了系統(tǒng)的安全需求。

二、基本步驟

23

安全需求確認的基本步驟如下：

1、重要資產的分析

明確信息系統(tǒng)中的重要資產或稱重要部件，如邊界設備、網關設備、核心網絡設備、重要服務器設備、重要應用系統(tǒng)、重要數據等。列表說明重要資產，并按重要程度排序。

例如：序號123456782、重要資產安全弱點評估

檢查或判斷上述重要資產或重要部件可能存在的弱點，包括技術上和管理上的；分析安全弱點被利用的可能性。重要資產可能存在的弱點的分析和判斷可以借用安全現狀評估的結果數據，根據弱點的暴露程度或弱點的可利用程度，列表說明。

例如：序號資產名稱弱點弱點說明24

資產名稱重要程度資產說明12序號資產名稱弱點弱點說明33、重要資產面臨威脅評估

分析和判斷上述重要資產或重要部件可能面臨的威脅，包括外部的威脅和內部的威脅，威脅發(fā)生的可能性或概率。威脅的分析和判斷可以采用過濾法，即利用威脅的大列表對每項資產進行過濾，有發(fā)生可能性的威脅保留，然后根據威脅發(fā)生的可能性大小列表說明重要資產面臨的威脅。

例如。序號資產名稱威脅234、綜合風險分析以每個重要資產為主線，分析威脅利用弱點可能產生的安全事件，分析安全事件發(fā)生造成的損害或產生的影響大小。按照安全事件發(fā)生造成的損害或產生的影響大小排序說明每個資產可能的安全事件和安全事件的影響。

25

威脅說明1

例如。序號資產名稱可能的安全事件235、安全需求分析針對可能的安全事件以及安全事件發(fā)生造成的損害或產生的影響大小，分析和判斷需要采用的安全措施，分析安全措施的實施成本和實現可能，分析安全措施之間的互補性。結合安全現狀評估的結果，列表說明期望實現的各種安全措施。

例如：序號12345678問題或事件描述問題或事件危害程度描述可能的安全措施安全事件的破壞和影響16、完成安全需求分析報告26

根據安全評估報告和需求分析階段的各類數據等形成安全需求分析報告。安全需求分析報告的文檔結構見本節(jié)“過程輸出”部分。

三、過程輸出

安全需求確認過程中的結果描述文件包括。。安全需求分析報告安全需求分析報告基本結構

1、概述2、系統(tǒng)描述3、等級測評結果4、需求分析結果5、安全需求描述3.1.2總體安全規(guī)劃設計

完成系統(tǒng)定級并確定安全需求后，進入實施前的設計過程，設計過程通常分為總體設計和詳細設計，安全設計也不例外，在《實施指南》的描述中，總體安全設計在“總體安全規(guī)劃階段”完成，詳細安全設計在“安全設計與實施階段”完成，這里介紹的方法是總體安全設計。

總體安全設計的目的是根據等級保護安全基本要求和確定的系統(tǒng)安全需求，設計系統(tǒng)的整體安全框架，提出系統(tǒng)在總體方面的策略要求、各個子系統(tǒng)應該實現的安全技術措施、安全管理措施等，是《基本要求》在特定系統(tǒng)的具體落實，總體安全設計形成的文檔用于指導系統(tǒng)具體安全建設。

詳細安全設計的目標是依據信息系統(tǒng)總體安全方案，提出本期實施項目的具體實施方案，將總體方案中要求實現的安全策略、安全技術體系架構、安全措施和要求落實到產品功能或物理形態(tài)上，提出指定的產品或組件及其具體規(guī)范，并將產品功能特征整理成文檔，使

27

得安全產品采購、安全控制開發(fā)、具體安全實施有依據。

3.1.2.1總體安全設計

一、設計方法

總體安全設計并非安全等級保護實施過程中必須的執(zhí)行過程，對于規(guī)模較小、構成內容簡單的信息系統(tǒng)，在通過安全需求分析確定了信息系統(tǒng)的安全需求之后，可以直接進入安全詳細設計。

對于略有規(guī)模的信息系統(tǒng)，比如信息系統(tǒng)本身是由多個不同級別的系統(tǒng)構成、信息系統(tǒng)分布在多個物理地區(qū)、信息系統(tǒng)的系統(tǒng)之間橫向和縱向連接關系復雜等，對于這樣的信息系統(tǒng)，應實施總體安全設計過程。行業(yè)信息系統(tǒng)通常具有這種規(guī)模和復雜程度。

總體安全設計的基本思路是根據自身信息系統(tǒng)的系統(tǒng)劃分情況、系統(tǒng)定級情況、系統(tǒng)的連接情況、系統(tǒng)的業(yè)務承載情況、運作機制和管理方式等特點，結合《基本要求》，在較高層次上形成自己信息系統(tǒng)的安全要求，包括安全方針和安全策略、安全技術框架和安全管理體系等。

總體安全設計的基本方法是將復雜信息系統(tǒng)進行簡化，提取共性形成模型，針對模型要素結合《基本要求》和安全需求提出安全策略和安全措施要求，指導信息系統(tǒng)中各個組織、各個層次和各個對象安全策略和安全措施的具體實現。

二、基本步驟

總體安全設計的基本步驟如下：

1、信息系統(tǒng)構成抽象處理

對于通過骨干網或城域網連接分布在多個不同物理地區(qū)的局域網構成，并且每個物理地區(qū)的局域網內劃分為多個不同級別的子系統(tǒng)的情況，為了便于分析和處理，首先用模型表示信息系統(tǒng)的構成，將信息系統(tǒng)抽象為骨干網、城域網、局域網這些分析要素，通過抽象處理后，信息系統(tǒng)可以認為是由骨干網/城域網連接的多個局域網形成。

例如：

某個類型的信息系統(tǒng)，通過抽象處理后，信息系統(tǒng)構成模型可能如下圖所示：

28

局域網1局域網2骨干網/城域網局域網3局域網4圖1-4信息系統(tǒng)構成抽象模型

這里假設被分析的信息系統(tǒng)由骨干網/城域網連接的多個局域網形成。當然，最簡單的信息系統(tǒng)可能只由局域網構成；更復雜的信息系統(tǒng)可能是由骨干網連接多個城域網，每個城域網連接多個局域網構成。

被分析的信息系統(tǒng)被抽象為局域網和骨干網/城域網要素，四個局域網通過局域網和骨干網/城域網互相連接。

2、骨干網/城域網抽象處理

通常將骨干網/城域網分解為通信線路、網絡設備和骨干網/城域網管理中心三個要素，暫不考慮骨干網/城域網內部的實現細節(jié)，認為骨干網/城域網是由通信線路連接網絡設備構成的模型。通過對骨干網/城域網模型化處理后，關注點將放在通信線路、網絡設備和骨干網/城域網的網絡管理上，通過對通信線路、網絡設備和網絡管理提出安全策略要求和安全措施要求，實現骨干網/城域網的安全保護。

例如：

通過抽象處理后，信息系統(tǒng)骨干網/城域網模型可能如下圖所示：

29

局域網網絡設備網絡設備局域網網絡設備網絡設備局域網網絡管理中心圖1-5骨干網/城域網構成抽象模型

3、局域網抽象處理

對于每個局域網可能是由多個不同級別的子系統(tǒng)構成的情況，無論局域網內部子系統(tǒng)有多少，可以將同級的或處理同類信息的子系統(tǒng)抽象為一個模型要素，我們稱之為某級子系統(tǒng)（或稱某級安全域）。通過抽象處理后，局域網模型可能是由多個級別的子系統(tǒng)（安全域）互聯構成的模型，關注點將放在不同級別安全域互聯和不同級別安全域的邊界上，通過對不同級別的安全域互聯、安全域邊界提出安全策略要求和安全措施要求，實現對安全域邊界的安全保護。

例如：

通過抽象處理后，局域網模型可能如下圖所示：

30

四級子系統(tǒng)/安全域三級子系統(tǒng)/安全域二級子系統(tǒng)/安全域一級子系統(tǒng)/安全域圖1-6局域網構成抽象模型

4、局域網內部子系統(tǒng)之間互聯抽象處理

根據局域網內部的業(yè)務流程、數據交換要求、用戶訪問要求等確定不同級別安全域之間的網絡連接要求。

例如：

如果任意兩個不同級別的子系統(tǒng)之間有業(yè)務流程、數據交換要求、用戶訪問要求等的需要，則認為兩個模型要素之間有連接。通過分析和抽象處理后，局域網內部子系統(tǒng)之間互聯模型可能如下圖所示：

31

四級安全域三級安全域二級安全域一級安全域圖1-7局域網內不同級別安全域互聯抽象模型

5、局域網之間子系統(tǒng)互聯抽象處理

根據局域網之間的業(yè)務流程、數據交換要求、用戶訪問要求等確定局域網之間通過骨干網/城域網的分隔的同級或不同級別安全域之間的網絡連接要求。

例如：

如果任意兩個級別的子系統(tǒng)之間有業(yè)務流程、數據交換要求、用戶訪問要求等的需要，則認為兩個局域網的子系統(tǒng)之間有連接。通過分析和抽象處理后，局域網之間子系統(tǒng)互聯模型可能如下圖所示：

32

四級安全域四級安全域三級安全域三級安全域二級安全域二級安全域一級安全域一級安全域圖1-8局域網之間不同級別安全域互聯抽象模型

6、局域網子系統(tǒng)與外部單位互聯抽象處理

對于與國際互聯網或外部機構/單位有連接或數據交換的信息系統(tǒng)，分析這種網絡連接要求，并進行模型化處理。

例如：

分析任意一個級別的安全域，如果這個安全域與外部機構/單位或國際互聯網之間有業(yè)務訪問、數據交換等的需要，則認為這個級別的安全域與外部機構/單位或國際互聯網之間有連接，通過這種分析和抽象處理后，局域網安全域與外部機構/單位或國際互聯網之間互聯模型可能如下圖所示：

33

四級安全域三級安全域二級安全域外部機構/單位一級安全域國際互聯網圖1-9局域網與外部連接抽象模型

8、安全域內部抽象處理

局域網中不同級別的安全域的規(guī)模和復雜程度可能不同，但是每個級別的安全域的構成要素基本一致，即是由服務器、工作站和連接它們構成網絡的網絡設備構成。為了便于分析和處理，將安全域內部抽象為服務器設備（包括存貯設備）、工作站設備和網絡設備這些要素，通過對安全域內部的模型化處理后，對每個安全域內部的關注點將放在服務器設備、工作站設備和網絡設備上，通過對不同級別的安全域中的服務器設備、工作站設備和網絡設備提出安全策略要求和安全措施要求，實現安全域內部的安全保護。

例如：

通過抽象處理后，每個安全域模型可能如下圖所示：

34

網絡設備服務器設備工作站設備圖1-10安全域內部構成抽象模型

9、形成信息系統(tǒng)抽象模型

通過對信息系統(tǒng)的分析和抽象處理，最終應形成被分析的信息系統(tǒng)的抽象模型。信息系統(tǒng)抽象模型的表達應包括以下內容：

。信息系統(tǒng)如何由骨干網、城域網、局域網構成，骨干網、城域網、局域網之間如何

互聯；

。局域網最多包含幾個不同級別的安全域；。局域網內部不同級別的安全域之間如何連接；。不同局域網之間的安全域之間如何連接；

。局域網內部安全域是否與外部機構/單位或國際互聯網有互聯；。等等。

10、說明總體安全策略

說明安全工作的主要策略，包括安全組織機構劃分策略、業(yè)務系統(tǒng)分級策略、數據信息分級策略、安全域互連策略、信息流控制策略等；

例如：

1）、管理策略：

35

xxxx集團公司成立信息安全領導小組，該小組是信息安全的最高決策機構。安全領導小組下xxxx工作組、xxxx工作組負責具體工作；各個分公司成立xxxx工作負責分公司的具體工作。

xxxx集團公司信息安全領導小組負責組織相關人員對信息系統(tǒng)的安全建設和安全改造進行統(tǒng)一規(guī)劃，各分公司和直屬單位根據統(tǒng)一規(guī)劃進行具體建設實施。

由xxxx集團公司負責對信息安全設備的選型、采購和驗收等方面制定具體管理規(guī)定，各分公司和直屬單位根據上述具體管理規(guī)定進行信息安全設備的采購和使用。

集團公司本部局域網由本部xxxx部門負責管理；各分公司和直屬單位局域網由xxxx部門負責管理；骨干網由xxxx部分負責管理；各分公司城域網由各分公司xxxx部門負責管理。

等等

2）、系統(tǒng)分級

集團公司本部和分公司局域網劃分為xxxx四個級別的安全域，其中xxxx為4級，xxxx為3級，xxxx為2級，xxxx為1級。

xxxx業(yè)務、xxxx業(yè)務、……等劃歸在4級安全域，……。等等

3）、網絡互聯

同級的安全域通過骨干網/城域網只能與上級或下級單位的同級安全域進行連接；4級安全域通過二層的vpn通道進行數據交換、3級安全域通過二層或三層的vpn通道進行數據交換；

4級安全域不能與2級安全域、1級安全域直接連接；3級安全域不能與1級安全域直接連接；

分公司不允許有internet出口，分公司到internet的訪問必須通過集團公司本部的internet出口，僅集團公司本部有唯一的internet連接；internet出口只能與1級安全域連接；

等等

36

4）、安全控制

4級安全域與3級安全域之間必須采用接近物理隔離的專用設備進行隔離；各級別安全域的網絡對外接口處必須使用防火墻進行有效的邊界保護；

3級安全域和2級安全域外部單位進行數據交換時，不允許直接交換，必須把要交換的數據送到外部接入網絡的前置機或中間件，由外部單位從外部接入網絡的前置機或中間件將數據取走；反之亦然；

等等

11、選擇和規(guī)定骨干網/城域網的安全保護技術措施

針對信息系統(tǒng)等級化抽象模型，根據機構總體安全策略、等級保護基本要求和系統(tǒng)的特殊安全需求，提出骨干網/城域網的安全保護策略和安全技術措施。

例如：

1）、網絡設備安全

網絡設備應位于xxxx機房內；

網絡設備應提供遠程管理和本地管理兩種管理方式；網絡設備應設置通過特定