1、山东省等级保护工作实施主要环节说明2012 年 8 月一、等级保护基本知识信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。(一) 等级保护概述根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序
2、、公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,信息和信息系统的安全保护等级共分五级: 第一级为自主保护级 第二级为指导保护级 第三级为监督保护级 第四级为强制保护级 第五级为专控保保护(二) 等级保护的意义近年来,在党中央、国务院高度重视和各有关方面协调配合、共同努力下,我国信息安全保障工作取得了很大进展。但是从总体上看,我国的信息安全保障工作尚处于起步阶段,基础薄弱,水平不高,存在以下突出问题:信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;信息系统安全建设和管理的目标不明确;信息安全保障
3、工作的重点不突出;信息安全监督管理缺乏依据和标准,监管措施有待到位,监管体系尚待完善。随着信息技术的高速发展和网络应用的迅速普及,我国国民经济和社会信息化进程全面加快,信息系统的基础性、全局性作用日益增强,信息资源已经成为国家经济建设和社会发展的重要战略资源之一。保障信息安全,维护国家安全、公共利益和社会稳定,是当前信息化发展中迫切需要解决的重大问题。2003 年中央办公厅、国务院办公厅转发的国家信息化领导小组关于加强信息安全保障工作的意见明确指出, “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技
4、术指南” ;2004 年公安部等四部委关于信息系统安全等级保护工作的实施意见也指出“信息系统安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度” 。我单位作为国家的重要事业机关单位,关系到国家安全、经济命脉、社会的稳定,所以应当实行等级保护。(三) 等级保护工作的地位和作用根据中华人民共和国计算机信息系统安全保护条例 (国务院 147 号令)及国家信息化领导小组关于加强信息安全保障工作的意见 (中办发200327号)的规定,等级保护的地位及作用如下: 等级保护制度是国家信息安全保障工
5、作的基本制度,基本国策; 等级保护是我国开展信息安全工作的基本方法; 等级保护制度是促进信息化、维护国家信息安全的根本保障。二、等级保护工作实施过程说明第一阶段:等级保护定级工作信息系统定级原则:“自主定级、专家评审、主管部门审批、公安机关审核” 。具体可按照关于开展全国重要信息系统安全等级保护定级工作的通知(公通字2007861 号)要求执行。定级工作流程:确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核。1. 确定定级对象 起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统) 。 用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 各
6、单位网站。2. 确定信息系统安全保护等级管理办法规定的五个等级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。3. 实际操作中参考确定信息系统等级: 第一级信
7、息系统:适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。 第二级信息系统:适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。 第三级信息系统一般适用于地市级以:上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省联接的网络系统等。 第四级信息系统:一般适用于国
8、家重要领域、部门中涉及国计民生、国家利益、国家安全,影响社会稳定的核心系统。例如电力生产控制系统、银行核心业务系统、电信核心网络、铁路客票系统、列车指挥调度系统等。4. 定级工作需注意的问题同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、同步设计同步实施安全保护技术措施和管理措施。第二阶段:信息系统备案工作备案工作包括:信息系统备案、受理、审核和备案信息管理。具体按照关于开展全国重要信息系统安全等级保护定级工作的通知要求开展。1. 备案事项第二级以上信息系统,由信息系统运营使用单位到所在地设区的市级以上公安机关网络
9、安全保卫部门办理备案手续,填写信息系统安全等级保护备案表 。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部备案;其他信息系统向北京市公安局备案。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。各部委统一定级信息系统在各地的分支系统,即使是上级主管部门定级的,也要到当地公安网络安全保卫部门备案。2. 受理备案与审核公安机关受理备案,按照信息安全等级保护备案实施细则要求,对备案材料进行审核,定级准确、材料符合要求的颁发由公安部统一监制的备案证明。第三阶段:信息系统安全建设整改工作1. 安全建设整
10、改要求结合行业特点和安全需求,制定符合相应等级要求的信息系统安全建设整改方案,开展整改措施建设,主要涉及以下方面。图一:信息安全整改涉及范围2. 安全建设整改工作流程第一步:制定安全建设整改工作规划,对安全建设整改工作进行总体部署。第二步:开展信息系统安全现状分析,从管理和技术两方面确定安全建设整改需求。第三步:确定安全保护策略,制定信息系统安全建设整改方案。第四步:开展信息系统安全建设整改工作,建立并落实安全管理制度,落实安全责任制,建设安全设施,落实安全措施。第五步:开展安全自查和等级测评,及时发现问题并进一步整改。3. 整改后应达到的保护能力目标第二级信息系统:经过安全建设整改工作,信息
11、系统具有抵御小规模较弱强度恶意攻击的能力,抵抗一般的自然灾害的能力,防范一般性计算机病毒和恶意代码危害的能力;具有检测常见的攻击行为,并对安全事件进行记录的能力;系统遭到损害后,具有恢复系统正常运行状态的能力。第三级信息系统:经过安全建设整改工作,信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现报警、记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能立即恢复正常运行状态;具有对系统资源、用
12、户、安全机制等进行集中控管的能力。第四级信息系统:经过安全建设整改工作,信息系统在统一的安全保护策略下具有抵御敌对势力有组织的大规模攻击的能力抵抗严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现报警、记录入侵行为的能力;具有对安全事件进行快速响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能迅速恢复正常运行状态具有对系统资源、用户、安全机制等进行集中控管的能力。第四阶段:信息安全等级保护测评工作等级测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方
13、之间的沟通与洽谈应贯穿整个等级测评过程。1.测评准备活动 1.1 测评准备活动的工作流程测评准备活动的目标是顺利启动测评项目,准备测评所需的相关资料,为顺利编制测评方案打下良好的基础。 测评准备活动包括项目启动、信息收集和分析、工具和表单准备三项主要任务。这三项任务的基本工作流程见图 1: 1.2 测评准备活动的主要任务1.2.1 项目启动在项目启动任务中,首先组建等级测评项目组,获取测评委托单位及被测系统的基本情况,从基本资料、人员、计划安排等方面为整个等级测评项目的实施做基本准备。 输入:委托测评协议书。任务描述: a) 根据测评双方签订的委托测评协议书和系统规模,测评机构组建测评项目组,
14、从人员方面做好准备,并编制项目计划书。项目计划书应包含项目概述、工作依据、技术思路、工作内容和项目组织等。 b) 测评机构要求测评委托单位提供基本资料,包括:被测系统总体描述文件,详细描述文件,安全保护等级定级报告,系统验收报告,安全需求分析报告,安全总体方案,自查或上次等级测评报告(如果有),测评委托单位的信息化建设状况与发展以及联络方式等。 输出/产品:项目计划书,风险告知书。 1.2.2 信息收集和分析测评机构通过查阅被测系统已有资料或使用调查表格的方式,了解整个系统的构成和保护情况,为编写测评方案和开展现场测评工作奠定基础。 输入:调查表格,被测系统总体描述文件,详细描述文件,安全保护
15、等级定级报告,系统验收报告,安全需求分析报告,安全总体方案,自查或上次等级测评报告(如果有)。 任务描述: a) 测评机构收集等级测评需要的各种资料,包括测评委托单位的各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、详细描述文件、安全保护等级 定级报告、安全需求分析报告、安全总体方案、安全现状评价报告、安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等。 b) 测评机构将调查表格提交给测评委托单位,督促被测系统相关人员准确填写调查表格。 c) 测评机构收回填写完成的调查表格,并分析调查结果,了解和熟悉被测系统的实际情况。分析的内容包括被测系统的基本信息、物理位置、行
16、业特征、管理框架、管理策略、网络及设备部署、软硬件重要性及部署情况、范围及边界、业务种类及重要性、业务流程、业务数据及重要性、业务安全保护等级、用户范围、用户类型、被测系统所处的运行环境及面临的威胁等。这些信息可以重用自查或上次等级测评报告中的可信结果。d) 如果调查表格填写不准确或不完善或存在相互矛盾的地方较多,应安排现场调查,与被测系统相关人员进行面对面的沟通和了解。输出/产品:填好的调查表格。 1.2.3 工具和表单准备测评项目组成员在进行现场测评之前,应熟悉与被测系统相关的各种组件、调试测评工具、准备各种表单等。 输入:各种与被测系统相关的技术资料。 任务描述: a) 测评人员调试本次
17、测评过程中将用到的测评工具,包括漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。b) 测评人员模拟被测系统搭建测评环境。 c) 准备和打印表单,主要包括:现场测评授权书、文档交接单、会议记录表单、会议签到表单等。 输出/产品:选用的测评工具清单,打印的各类表单。 1.3 测评准备活动的输出文档测评准备活动的输出文档及其内容如表 1 所示: 1.4 测评准备活动中双方的职责测评机构职责: a) 组建等级测评项目组。 b) 指出测评委托单位应提供的基本资料。 c) 准备被测系统基本情况调查表格,并提交给测评委托单位。 d) 向测评委托单位介绍安全测评工作流程和方法。 e) 向测评委托单位说明测评工作可能带来的风险和规避方法。 f) 了解测评委托单位的信息化建设状况与发展,以及被测系统的基本情况。
