1、1 信息安全等级保护培训教材 信息系统安全等级保护基本要求 公安部 2007 年 7 月 2 目录 1 概述 . 3 1.1 背景介绍 . 3 1.2 主要作用及特点 . 3 1.3 与其他标准的关系 . 4 1.4 框架结构 . 4 2 描述模型 . 5 2.1 总体描述 . 5 2.2 保护对象 . 6 2.3 安全保护能力 . 6 2.4 安全要求 . 8 3 逐级增强的特点 . 9 3.1 增强原则 . 9 3.2 总体描述 . 10 3.3 控制点增加 . 11 3.4 要求项增加 . 11 3.5 控制强度增强 . 12 4 各级安全要求 . 13 4.1 技术要求 . 13 4.
2、1.1 物理安全 . 13 4.1.2 网络安全 . 19 4.1.3 主机安全 . 24 4.1.4 应用安全 . 30 4.1.5 数据安全及备份恢复 . 36 4.2 管理要求 . 38 4.2.1 安全管理制度 . 38 4.2.2 安全管理机 构 . 41 4.2.3 人员安全管理 . 44 4.2.4 系统建设管理 . 47 4.2.5 系统运维管理 . 52 3 本教材 根据 信息系统安全等级保护管理办法 公通字 200743 号和关于开展全国重要信息系统安全等级保护定级工作的通知公信安 2007861 号文件 , 围绕信息安全等级工作, 介绍 信息系统安全建设和改造过程中使用的
3、主要标准之一信息系统安全等级保护基本要求(以下简称基本要求), 描述 基本要求的 技术 要求 分级思路 、逐级增强特点以及具体各级安全要求。通过 培训 ,使得用户能够 了解基本要求 在信息系统安全等级保护中的作用、 基本思路和主要内容, 以便 正确 选择合适的安全 要求进行 信息 系统保护。 1 概述 1.1 背景介绍 2004 年, 66 号文件中指出“信息安全等级保护工作是个庞大的系统工程,关系到国家信息化建设的方方面面,这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施,信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。”信息安全等级保护工作第一阶段为准备阶段,准
4、备阶段中重要工作之一是“加快制定、完善管理规范和技术标准体系”。依据此要求,基本要求列入了首批需完成的 6 个标准之一。 1.2 主要作用及特点 1. 主要作用 基本要求对等级保护工作中的安全控制选择、调整、实 施等提出规范性要求,根据使用对象不同,其主要作用分为三种: a) 为信息系统建设单位和运营、使用单位提供技术指导 在信息系统的安全保护等级确定后,基本要求为信息系统的建设单位和运营、使用单位如何对特定等级的信息系统进行保护提供技术指导。 b) 为 测评机构 提供评估依据 基本要求为信息系统主管部门,信息系统运营、使用单位或专门的 等级测评机构 对信息系统安全保护等级的检测评估提供依据。
5、 c) 为职能监管部门提供监督检查依据 基本要求为监管部门的监督检查提供依据,用于判断一个特定等级的信息系统是否按照国家要求进行了基本的保 护。 2. 主要特点 基本要求是针对每个等级的信息系统提出相应安全保护要求, “ 基本 ” 意味着这些要求是针对该等级的信息系统达到基本保护能力而提出的,也就是说,这些要求的实现能够保证系统达到相应等级的基本保护能力,但反过来说,系统达到相应等级的保护能力并不仅仅完全依靠这些安全保护要求。同时,基本要求强调的是“要求”,而不是具体实施方案或作业指导书,基本要求给出了系统每一保护方面需达到的要求,至于这种要求采取何4 种方式实现,不在基本要求的描述范围内。
6、按照基本要求进行保护后,信息系统达到一种安全状态, 具备了相应等级的保护能力。 1.3 与其他标准的关系 从标准间的承接关系上讲 : 信息系统安全 等级 保护定级指南 确定出系统等级以及业务信息安全性等级和系统 服务 安全 等级后,需要按照相应等级,根据基本要求选择相应等级的安全保护要求进行系统建设实施。 信息系统安全等级保护测评准则 是针对基本要求的具体控制要求开发的测评要求,旨在强调系统按照基本要求进行建设完毕后,检验系统的各项保护要求是否符合相应等级的基本要求。 由上可见,基本要求在整个标准体系中起着承上启下的作用。 从技术角度上讲: 基本要求 的技术部分吸收和借鉴了 GB 17859:
7、1999 标准,采纳其中的身份鉴别、数据完整性、自主访问控制、强制访问控制、审计、客体重用(改为剩余信息保护)标记、可信路径等 8 个安全机制 的部分或全部内容 ,并将这些机制扩展到网络层、主机系统层、应用层和数据层。 基本要求的技术部分弱化了在信息系统中实现安全机制结构化设计及安全机制可信性方面的要求,例如没有提出信息系统的可信恢复,但在 4 级系统提出了灾难备份与恢复的要求,保证业务连续运行。基本要求没有对隐蔽通道分析的安全机制提出要求。 此外,基本要求的管理部分充 分借鉴了 ISO/IEC 17799:2005 等国际上流行的信息安全管理方面的标准,尽量做到全方位的安全管理。 1.4 框
8、架结构 基本要求在整体框架结构上以三种分类为支撑点,自上而下分别为:类、控制点和项。其中,类表示基本要求在整体上大的分类,其中技术部分 分为:物理安全、网络安全、主机 安全、应用安全和数据安全 及备份恢复 等 5 大类,管理部分分为: 安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等 5 大类,一共分为 10 大类。控制点表示每个大类下的关键控制点,如物理安全大类中的“物理访问控制”作为一 个控制点。而项则是控制点下的具体要求项,如“ 机房出入应安排专人负责,控制、鉴别和记录进入的人员。 ” 具体框架结构如图所示: 5 图 1-1 基本要求的框架结构 2 描述模型 2.1
9、 总体描述 信息系统是颇受诱惑力的被攻击目标。它们抵抗着来自各方面威胁实体的攻击。对信息系统实行 安全 保护的目的就是要对抗系统面临的各种威胁,从而尽量降低由于威胁给系统带来的损失。 能够应对威胁的能力构成了系统的安全保护能力之一 对抗能力 。但在某些情况下,信息系统无法阻挡威胁对自身的破坏 时,如果系统具有很好的恢复能力,那么即使遭到破坏,也能在很短的时间内恢复系统原有的状态。能够在一定时间内恢复系统原有状态的能力构成了系统的另一种安全保护能力 恢复能力 。对抗能力和恢复能力共同形成了信息系统的安全保护能力。 不同级别的信息系统应具备相应等级的安全保护能力,即应该具备不同的对抗能力和恢复能力
10、,以对抗不同的威胁和能够在不同的时间内恢复系统原有的状态。 针对各等级系统应当对抗的安全威胁和应具有的恢复能力,基本要求提出各等级的基本安全要求。基本安全要求包括了基本技术要求和基本管理要求,基本技术要 求主要用于对抗威胁和实现技术能力,基本管理要求主要为安全技术实现提供组织、人员、程序等方面的保障。 各等级的基本安全要求,由包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面的基本安全技术措施和包括安全管理机构、安全管理制度、人员安全管理、第三级基本 要求 物理安全 网络安全 主机安全 应用安全 第一级基本要求 第二级基本要求 第四级基本要求 第五级基本要求 数据 安全 及 备
11、份 恢复 技术要求 管理要求 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 6 系统建设管理和系统运维管理等五个方面的基本安全管理措施来实现和保证。 下图表明了基本要求的描述模型。 图 1-2基本要求的描述模型 2.2 保护对象 作为保护对象, 管理办法中 将信息系统分为五级,分 别为: 第一级,信息系统受到破坏后 ,会对公民、法人和其他组织的合法权益 造成 损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后 ,会对公民、法人和其他组织的合法权益产生严重损害,或 者 对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后 ,会
12、对社会秩序和公共利益造成严重损害,或 者 对国家安全造成损害。 第四级,信息系统受到破坏后 ,会对社会秩序和公共利益造成特别严重损害,或 者 对国家安全造成严重损害。 第五级,信息系统受到破坏后 ,会对国家安全造成特别严重损害。 2.3 安全保护能力 1. 定义 a) 对抗能力 能够应对威胁的能力构成了系统的安全保护能力之一 对抗能力。不同等级系统所应对抗的威胁主要从威胁源(自然、环境、系统、人为)动机(不可抗外力、无意、有意)范围(局部、全局)能力(工具、技术、资源等)四个要素来考虑。 每一等级信息系统 安全保护能力 技术措施 管理措施 包含 具备 基本安全要求 满足 包含 满足 实现 7
13、在对威胁进行级别划分前,我们首先解释以上几个要素: 威胁源 是指任何能够导致非预期的不利事件发生的因素,通常分为自然(如自然灾害)环境(如电力故障) IT 系统(如系统故障)和人员(如心怀不满的员工)四类。 动机 与威胁源和目标有着密切的联系,不同的威胁源对应不同的目标有着不同的 动机,通常可分为不可抗外力(如自然灾害)无意的(如员工的疏忽大意)和故意的(如情报机构的信息收集活动)。 范围 是指威胁潜在的危害范畴,分为局部和整体两种情况;如病毒威胁,有些计算机病毒的传染性较弱,危害范围是有限的;但是蠕虫类病毒则相反,它们可以在网络中以惊人的速度迅速扩散并导致整个网络瘫痪。 能力 主要是针对威胁
14、源为人的情况,它是衡量攻击成功可能性的主要因素。能力主要体现在威胁源占有的计算资源的多少、工具的先进程度、人力资源(包括经验)等方面。 通过对威胁主要因素的分析,我们可以组合得到不同等级的威 胁: 第一级:本等级的威胁是 1)危害范围为局部的环境或者设备故障、 2)无意的员工失误以及 3)低能力的渗透攻击等威胁情景。典型情况如灰尘超标(环境)单个非重要工作站(设备)崩溃等。 第二级:本等级的威胁主要是 1)危害局部的较严重的自然事件、 2)具备中等能力、有预设目标的威胁情景。典型情况如有组织的情报搜集等。 第三级:本等级的威胁主要是 1)危害整体的自然事件、 2)具备较高能力、大范围的、有预设
15、目标的渗透攻击。典型情况如较严重的自然灾害、大型情报组织的情报搜集等。 第四级:本等级的威胁主要是 1)危害整体的严重的 自然事件、 2)国家级渗透攻击。典型情况如国家经营,组织精良,有很好的财政资助,从其他具有经济、军事或政治优势的国家收集机密信息等。 b) 恢复能力 但在某些情况下,信息系统无法阻挡威胁对自身的破坏时,如果系统具有很好的恢复能力,那么即使遭到破坏,也能在很短的时间内恢复系统原有的状态。能够在一定时间内恢复系统原有状态的能力构成了另一种安全保护能力 恢复能力。恢复能力主要从恢复时间和恢复程度上来衡量其不同级别。恢复时间越短、恢复程度越接近系统正常运行状态,表明恢复能力越高。
16、第一级:系统具有基本的数据备份功能,在遭 到破坏后能够不限时的恢复部分系统功能。 第二级:系统具有一定的数据备份功能,在遭到破坏后能够在一段时间内恢复部分功能。 第三级:系统具有较高的数据备份和系统备份功能,在遭到破坏后能够较快的恢复绝大部分功能。 8 第四级:系统具有极高的数据备份和系统备份功能,在遭到破坏后能够迅速恢复所有系统功能。 2. 不同等级的安全保护能力 信息系统的安全保护能力包括对抗能力和恢复能力。不同级别的信息系统应具备相应等级的安全保护能力,即应该具备不同的对抗能力和恢复能力。将“能力”分级,是基于系统的保护对象不同,其重要程度也不相同,重 要程度决定了系统所具有的能力也就有
17、所不同。一般来说,信息系统越重要,应具有的保护能力就越高。因为系统越重要,其所伴随的遭到破坏的可能性越大,遭到破坏后的后果越严重,因此需要提高相应的安全保护能力。 不同等级信息系统所具有的保护能力如下: 一级安全保护能力: 应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害,在系统遭到损害后,能够恢复部分功能。 二级安全保护能力 : 应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻 击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损
18、害后,能够在一段时间内恢复部分功能。 三级安全保护能力 : 应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。 四级安全保护能力 : 应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起 的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够迅速恢复所有功能。 2.4 安全要求 首先介绍基本要求的安全要求的分类
19、。安全要求从整体上分为技术和管理两大类,其中,技术类安全要求按其保护的侧重点不同,将其下的控制点分为三类: 信息安全类( S 类) 关注的是保护数据在存储、传输、处理过程中不被泄漏 、 破坏和 免受 未授权的 修改 。 如,自主访问控制,该控制点主要关注的是防止未授权的访问系统,进而造成数据的修改或泄漏。至于对保证业务的正常连续运 行并没有直接的影响。 服务保证类( A 类) 关注的是保护系统连续正常的 运行, 避免因 对系统的 未授权 修改、破坏而导致系统不可用 。 如,数据的备份和恢复,该控制点很好的体现了对业务正常运行的保护。通过对数据9 进行备份,在发生安全事件后能够及时的进行恢复,从
20、而保证了业务的正常运行。 通用安全保护类( G 类) 既关注保护 业务信息 的安全性,同时也关注保护系统的连续 可用 性 。 大多数技术类安全要求都属于此类,保护的重点既是为了保证业务能够正常运行,同时数据要安全。如,物理访问控制,该控制点主要是防止非授权人员物理访问 系统主要工作环境,由于进入工作环境可能导致的后果既可能包括系统无法正常运行(如,损坏某台重要服务器),也可能窃取某些重要数据。因此,它保护的重点二者兼而有之。 技术安全要求按其保护的侧重点不同分为 S、 A、 G 三类,如果从另外一个角度考虑,根据信息系统安全的整体结构来看,信息系统安全可从五个层面:物理、网络、主机系统、应用系
21、统和数据对系统进行保护,因此,技术类安全要求也相应的分为五个层面上的安全要求: 物理层面安全要求:主要是从外界环境、基础设施、运行硬件、介质等方面为信息系统的安全运行提供基本的后台支持和 保证; 网络层面安全要求:为信息系统能够在安全的网络环境中运行提供支持,确保网络系统安全运行,提供有效的网络服务; 主机 层面安全要求:在物理、网络层面安全的情况下,提供安全的操作系统和安全的数据库管理系统,以实现操作系统和数据库管理系统的安全运行; 应用层面安全要求:在物理、网络、系统等层面安全的支持下,实现用户安全需求所确定的安全目标; 数据 及备份恢复 层面安全要求:全面关注信息系统中存储、传输、处理等
22、过程的数据的安全性。 管理类安全要求主要是围绕信息系统整个生命周期全过程而提出的 ,均为 G 类 要求 。信息系统的生命周期主要分为五个阶段:初始阶段、采购 /开发阶段、实施阶段、运行维护阶段和废弃阶段。管理类安全要求正是针对这五个阶段的不同安全活动提出的,分为: 安全管理制度、 安全管理机构、人员安全管理、系统建设管理和系统运维管理 五个方面。 3 逐级增强的特点 3.1 增强原则 不同级别的信息系统,其应该具备的安全保护能力不同,也就是对抗能力和恢复能力不同;安全保护能力不同意味着能够应对的威胁不同,较高级别的系统应该能够应对更多的威胁;应对威胁将通过技术措施和管理措施来实现,应对同一个威
23、胁可以有不同强度和数量的措施,较 高级别的系统应考虑更为周密的应对措施。 不同级别的信息系统基本安全要求的考虑思路和增强原则如下图所示: 10 一 级 系 统P P D R R 模 型深 层 防 御 模 型 能 力 成 熟 模 型 G B 1 7 8 5 9防 护 通 信 边 界 ( 基 本 ) 非 正 式 执 行身 份 鉴 别数 据 完 整 性自 主 访 问 控 制二 级 系 统防 护 监 测通 信 边 界 内 部( 关 键 设 备 )计 划 和 跟 踪身 份 鉴 别数 据 完 整 性自 主 访 问 控 制安 全 审 计三 级 系 统策 略 防 护 监 测 恢 复通 信 边 界 内 部( 主
24、 要 设 备 )良 好 定 义身 份 鉴 别数 据 完 整 性自 主 访 问 控 制强 制 访 问 控 制安 全 审 计剩 余 信 息 保 护四 级 系 统策 略 防 护 监 测 恢 复 响 应通 信 边 界 内 部 基 础 设 施( 全 部 设 备 )持 续 改 进身 份 鉴 别数 据 完 整 性自 主 访 问 控 制强 制 访 问 控 制安 全 审 计剩 余 信 息 保 护安 全 标 记可 信 路 径威 胁个 人 攻 击 行 为人 员 失 误设 备 故 障 部 分 恢 复一 般 的 自 然 灾 难 环 境 威 胁小 型 组 织 的 攻 击 行 为人 员 失 误设 备 故 障 短 时 间 部
25、 分 恢 复一 般 的 自 然 灾 难 环 境 威 胁有 组 织 的 团 体 攻 击 行 为内 部 人 员 攻 击人 员 失 误设 备 故 障 快 速 恢 复 大 部 分较 严 重 自 然 灾 难 环 境 威 胁国 家 级 别 的 攻 击 行 为内 部 人 员 攻 击人 员 失 误设 备 故 障 快 速 恢 复 所 有严 重 自 然 灾 难 环 境 威 胁图 1-3基本要求 逐级 的 考虑思路和增强原则 3.2 总体描述 不同等级的信息系统安全保护能力不同,故其安全要求也不同,从宏观来看,各个级别的安全要求逐级增强,表现为: 二级基本要求 :在一级基本要求的基础上, 技术方面, 二级要求在控制
26、点上增加了 安全审计、边界完整性检查、 入侵防范、资源控制以及通信保密性 等 控制点 。 身份鉴别则要求在系统的整 个 生命周期,每一个 用户具 有唯一标识,使用户对对自己的行为负责,具有可查性。同时,要求 访问控制具有更细的访问控制粒度 等 。管理方面,增加了 审核和检查、管理制度的评审和修订、人员考核、密码管理、变更管理和应急预案管理 等控制点。要求 制定信息安全工作的总体方针和安全策略,设立安全主管、安全管理各个方面的负责人岗位,健全各项安全管理的规章制度,对各类人员进行不同层次要求的安全培训等,从而确保系统所设置的各种安全功能发挥其应有的作用。 三级基本要求 :在二级基本要求的基础上,技术方面,在控制点上增加了 网络恶意代码防范、剩余信息保护、 抗抵赖 等 。同时,对身份鉴别、 访问控制、 安全审计、数据完整性、数据保密性等均有更进一步的要求 ,如访问控制增加了对重要信息资源设置敏感标记等 。管理方面,增加了 系统备案、 等级 测评 、监控管理和安全管理中心 等控制点, 同时要求设置必要的安全管理职能部门, 加强了安全管理制度的评审以及人员安全的管理,对系统建设过程加强了质量管理。
