信息系统安全等级保护 标准体系.ppt

总体情况介绍----等级保护标准制修订背景 总体情况介绍----等级保护标准制修订背景 定级指南标准编制情况介绍 定级指南标准编制情况介绍 背景介绍 等级确定的原则 决定等级的主要因素分析 等级确定方法 等级划分流程 背景介绍 与系统等级相关的国外资料： FIPS 199（美国联邦政府） 根据信息系统所处理信息的机密性、完整性和可用性被破坏的影响确定。 IATF（NSA） 根据信息价值与威胁确定系统强健度等级。 DITSCAP （DOD） 根据互联模式、处理模式、业务依赖、三性、不可否认性等七个方面确定系统认证级。 背景介绍 上述定级方法存在问题 仅由信息重要性确定信息系统的等级，对大型企业和重点行业的重要业务系统不合适。 在通过三性影响分析，并根据三者取高的方法中，无法为可用性要求高和必威体育官网网址性要求高两类系统提出统一的技术要求。 确定系统等级，与业务无关，不满足等级保护的监管需要。 定级范围往往只在局部范围内。 等级确定的原则 全局性原则 信息系统安全等级保护是针对全国范围内、涵盖各个行业信息系统的管理制度，信息系统安全保护等级的划分也必须从国家层面考虑，体现全局性。 业务为核心原则 信息系统是为业务应用服务的，信息系统的安全保护等级应当依据信息系统承载业务的重要性、业务对信息系统的依赖度和系统特殊的安全需求确定。 等级确定的原则 满足监管要求原则 信息系统安全保护等级既不是信息系统安全保障等级，也不是信息系统所能达到的技术能力等级，而是从安全监管需要，从信息系统对国家安全、经济建设、公共利益等方面的重要性，以及信息或信息系统被破坏后造成危害的严重性角度确定的信息系统应达到的安全等级。 合理性原则 不同于信息安全产品，信息系统千差万别，各具特色，只有在划分安全保护等级的过程中，尽可能反映出信息系统的主要安全特征，合理划分等级，才能做到突出重点，适度保护。 决定等级的主要因素分析 从目前的资料上看，已在不同分级方法中出现的作为划分信息系统安全等级的因素主要包括： 单位业务在国家事务中的重要性（实施意见）； 资产（包括有形资产和无形资产）（FIPS199，IATF，DITSCAP，NIST800-37）； 威胁（IATF）； 信息被破坏后对国家、社会公共利益和单位或个人的影响（FIPS199，通用要求，实施指南）； 单位业务对信息系统的依赖程度（DITSCAP） 决定等级的主要因素分析 经分析，除排除威胁因素外，划分等级时应考虑以下因素： 信息系统所属类型，即信息系统的安全利益主体。 信息系统主要处理的业务数据类别。 信息系统服务范围，包括服务对象和服务网络覆盖范围。 业务处理的自动化程度，或以手工作业替代信息系统处理业务的程度。 决定等级的主要因素分析 决定等级的主要因素分析 等级确定方法 具体步骤： 通过对信息系统类型和业务数据类型赋值，确定信息系统的业务数据安全性等级； 通过对信息系统服务范围和业务处理自动化程度赋值，确定信息系统的业务处理连续性等级； 通过业务数据安全性等级和业务处理连续性等级确定信息系统安全保护等级。 等级调整 信息系统类型赋值 信息系统类型举例 确定业务数据安全性 确定信息系统安全保护等级 组合形式 等级划分流程 基本要求标准编制情况介绍 基本要求标准编制的主要思路 5个监管等级对象 5个监管等级对象 整体保护能力 整体保护能力--威胁分类 整体保护能力--威胁分级描述 安全目标 每一级的安全目标与威胁之间存在对应关系，每个威胁至少被一个安全目标所覆盖；反过来，每个安全目标至少覆盖一个威胁。 一级具有15个技术目标，16个管理目标；二级具有29个技术目标，25个管理目标；三级具有36个技术目标，27个管理目标；四级具有41个技术目标，28个管理目标。 安全要求的选择 安全要求等级区别 安全技术要求的组成 安全技术要求-物理 安全技术要求-网络 安全技术要求-主机 安全技术要求-应用 安全技术要求-数据 安全管理要求 管理部分形成的基本思路 管理部分的覆盖范围 不同级别之间的区别 管理活动控制点的增加 每个控制点具体管理要求的增多 管理活动的能力逐步加强 借鉴能力成熟度模型（CMM） 一级 非正式执行 二级 计划和跟踪 三级 良好定义 四级 持续改进 安全管理机构 岗位设置 人员配备 授权和审批 沟通和合作 审核和检查 安全管理制度 管理制度 制定和发布 评审和修订 安全管理人员 人员录用 人员离岗 人员考核 安全意识教育和培训 第三方人员管理 系统建设管理 系统定级 安全风险评估 安全方案设计 产品采购 自行开发设计 外包开发设计 系统运维管理 环境管理 资产管理 介质管理 设备使用管理 运行维护和监控管理 网