5.5 信息安全等级保护的标准体系
您可以在百度里搜索“网络安全法和网络安全等级保护2 艾草文学(www.321553.xyz)”查找最新章节!
5.5 信息安全等级保护的标准体系
为推动我国信息安全等级保护工作的开展,十多年来,在公安部领导和支持下,在国内有关专家、企业的共同努力下,全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准,形成了比较完整的信息安全等级保护标准体系,为开展信息安全等级保护工作提供了标准保障。相关标准与等级保护各工作环节的关系如图5-6所示。
标准体系的构成与作用如下。
1.基础类标准
《计算机信息系统安全保护等级划分准则》是强制性国家标准,是等级保护重要的基础性标准。依据此标准制定出的《信息系统通用安全技术要求》等技术类标准和《信息系统安全管理要求》《信息系统安全工程管理要求》等管理类标准、《操作系统安全技术要求》等产品类标准,共同构成了等级保护基础性标准,为相关标准的制定起到了基础性作用。
2.安全要求类标准
《信息系统安全等级保护基本要求》(以下简称《基本要求》)以及行业标准规范或细则构成了信息系统安全建设整改的安全需求。
①《基本要求》是在《计算机信息系统安全保护等级划分准则》、技术类标准和管理类标准基础上,总结几年的实践,结合当前信息技术发展的实际情况研究制定的,该标准提出了各级信息系统应当具备的安全保护能力,并从技术和管理两方面提出了相应的措施。
② 信息系统安全等级保护基本要求的行业细则。重点行业可以按照《基本要求》等国家标准,结合行业特点,在公安部等有关部门指导下,确定《基本要求》的具体指标,在不低于《基本要求》的情况下,结合系统安全保护的特殊需求,制定信息系统安全建设整改的行业标准规范或细则,并据此开展安全建设整改工作。
3.定级类标准
《信息系统安全等级保护定级指南》和《信息系统安全等级保护行业定级细则》为确定信息系统安全保护等级提供支持。
图5-6 等级保护相关标准与等级保护各工作环节的关系
①《信息系统安全等级保护定级指南》(GB/T22240—2008),规定了定级的依据、对象、流程和方法以及等级变更等内容,用于指导开展信息系统定级工作。
②《信息系统安全等级保护行业定级细则》。重点行业可以根据《信息系统安全等级保护定级指南》,结合行业特点,在公安部指导下,制定出台行业信息系统定级标准规范或细则,并据此开展信息系统定级工作。
4.方法指导类标准
《信息系统安全等级保护实施指南》和《信息系统等级保护安全设计技术要求》构成了指导信息系统安全建设整改的方法指导类标准。
①《信息系统安全等级保护实施指南》(信安字〔2007〕10 号)。该标准阐述了等级保护实施的基本原则、参与角色和信息系统定级、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止等几个主要工作阶段中如何按照信息安全等级保护政策、标准要求实施等级保护工作。
②《信息系统等级保护安全设计技术要求》(信安字〔2009〕059号),提出了信息系统等级保护安全设计的技术要求,包括第一级至第五级信息系统安全保护环境的安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面的设计技术要求,以及定级系统互联的设计技术要求,明确了体现定级系统安全保护能力的整体控制机制,用于指导信息系统运营使用单位、信息安全企业、信息安全服务机构等开展信息系统等级保护安全技术设计。
5.现状分析类标准
《信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》构成了指导开展等级测评的标准规范。
①《信息系统安全等级保护测评要求》,阐述了等级测评的原则、测评内容、测评强度、单元测评要求、整体测评要求、等级测评结论的产生方法等内容,用于规范和指导测评人员如何开展等级测评工作。
②《信息系统安全等级保护测评过程指南》,阐述了信息系统等级测评的测评过程,明确了等级测评的工作任务、分析方法以及工作结果等,包括测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动,用于规范测评机构的等级测评过程。
上述标准在应用中需注意以下问题:
一是《基本要求》是信息系统安全建设整改的基本目标,《信息系统等级保护安全设计技术要求》是实现该目标的方法和途径之一。《基本要求》中不包含安全设计和工程实施等内容,因此,在系统安全建设整改中,可以参照《信息系统安全等级保护实施指南》《信息系统等级保护安全设计技术要求》和《信息系统安全工程管理要求》进行。
二是由于信息系统定级时是根据业务信息安全等级和系统服务安全等级确定的系统安全等级,因此,在进行信息系统安全建设整改时,应根据业务信息安全等级和系统服务安全等级确定《基本要求》中相应的安全保护要求。各单位、各部门在进行信息系统安全建设整改方案设计时,要按照整体安全的原则,综合考虑安全保护措施,建立系统综合防护体系,提高系统的整体保护能力。
三是《信息系统等级保护安全设计技术要求》依据《计算机信息系统安全保护等级划分准则》从“计算环境安全、区域边界安全、通信网络安全和安全管理中心”(一个中心三维防护)四方面给出了五个级别信息系统安全保护设计的技术要求,用于指导信息系统等级保护安全技术设计。该标准不包括信息系统物理安全、安全管理、安全运行维护等方面的安全要求,所以应与《基本要求》等标准配合使用。
5.5.1 信息安全等级保护相关标准体系
信息安全等级保护相关标准大致可以分为四类:基础类、定级类、实施建设类、等级测评类、风险评估类、新技术类和其他类。
1.基础类标准
《计算机信息系统安全保护等级划分准则》(GB17859—1999)。
《信息系统安全等级保护基本要求》(GB/T22239—2008)。
2.信息系统定级
《信息系统安全保护等级定级指南》(GB/T22240—2008)。
3.等级保护实施和建设类
《信息系统安全等级保护实施指南》(信安字〔2007〕10号)。
《信息系统通用安全技术要求》(GB/T20271—2006)。
《信息系统等级保护安全设计技术要求》(信安秘字〔2009〕059号)。
《信息系统安全管理要求》(GB/T20269—2006)。
《信息系统安全工程管理要求》(GB/T20282—2006)。
《信息系统物理安全技术要求》(GB/T21052—2007)。
《网络基础安全技术要求》(GB/T20270—2006)。
《信息系统安全等级保护体系框架》(GA/T708—2007)。
《信息系统安全等级保护基本模型》)(GA/T709—2007)。
《信息系统安全等级保护基本配置》(GA/T710—2007)。
4.等级保护测评类
《信息安全技术 信息系统安全等级保护测评要求》(GB/T28448—2012)。
《信息安全技术 信息系统安全等级保护测评过程指南》(GB/T28449—2012)。
《信息系统安全管理测评》(GA/T713—2007)。
5.风险评估类标准
《信息技术 安全技术 信息安全风险评估实施指南》。
《工业控制系统风险评估实施指南》。
《信息安全技术 信息安全风险评估规范》。
《信息安全风险评估与风险管理系列标准框架研究——可信第三方服务的使用和管理相关标准研究》。
《信息安全风险评估与风险管理系列标准框架研究》。
《信息安全风险评估及风险管理系列标准框架研究报告》。
《信息系统风险评估实施指南》。
6.新技术类标准
(1)工业控制系统安全
《信息安全技术 工业控制系统安全管理基本要求》。
《信息安全技术 工业控制系统安全检查指南》。
《信息安全技术 工业控制系统安全防护技术要求和测试评价方法》。
《信息安全技术 工业控制系统安全分级指南》。
(2)大数据
《大数据平台安全管理产品安全技术要求研究》。
《大数据安全防护标准研究》。
(3)物联网
《信息安全技术 物联网感知层接入通信网的安全要求》。
《信息安全技术 物联网感知设备安全技术要求》。
《信息安全技术 物联网感知层网关安全技术要求》。
《信息安全技术 物联网数据传输安全技术要求》。
《信息安全技术 物联网安全体系架构》。
《物联网安全技术体系》。
(4)移动互联网
《信息安全技术 移动互联网安全审计技术规范》。
《信息安全技术 移动互联网第三方应用服务器安全技术要求》。
(5)无线网络安全
《无线网络安全标准体系研究》。
(6)云计算
《信息安全技术 云计算服务安全指南》。
《信息安全技术 云计算数据中心安全建设指南》。
《信息安全技术 云计算安全审计通用数据接口规范》。
《信息安全技术 可信云计算体系架构及软件规范研究》。
《信息安全技术 用于云计算的授权与鉴别机制》。
《桌面云安全技术要求》。
《信息安全技术 公有云安全指南》。
《云计算安全参考架构》。
《云计算服务安全能力评估方法》。
《信息安全技术 云计算服务安全能力要求》。
《基于云计算的互联网数据中心安全建设指南》。
《云计算身份管理标准研究》。
《政府部门云计算安全要求》。
(7)智慧城市
《信息安全技术 智慧城市建设信息安全保障指南》。
《智慧城市建设信息安全保障指南研究》。
《信息安全技术 智慧城市公共支撑与服务平台安全要求》。
(8)智能终端
《信息安全技术 移动智能终端安全架构》。
《信息安全技术 移动智能终端操作系统安全测试评价方法》。
《信息安全技术 移动智能终端个人信息保护技术要求》。
《信息安全技术 移动智能终端数据存储安全技术要求和测试评价方法》。
《信息安全技术 移动智能终端应用软件安全技术要求和测试评价方法》。
《信息安全技术 移动通信智能终端操作系统安全技术要求(EAL2级)》。
7.安全检测与事件管理类
《信息安全事件管理指南》(GB/Z20985—2007)。
《信息安全事件分类分级指南》(GB/Z20986—2007)。
《信息系统灾难恢复规范》(GB/T20988—2007)。
《信息安全技术 网络安全自监测要求与实施指南》。
《信息安全技术 APT安全监测产品安全技术要求和测试评价方法》。
8.电子政务类
《信息安全技术 基于互联网电子政务信息安全实施指南》。
《信息安全技术 政府部门互联网安全接入技术规范》。
《信息安全管理体系标准的实施与应用研究——信息安全管理体系标准在电子政务中的实施与应用研究》。
《电子政务信息安全管理体系实施指南》。
《信息安全技术 电子政务认证应用技术指南》。
《信息安全技术 电子政务移动办公安全技术规范》。
9.产品类标准
(1)操作系统
《操作系统安全技术要求》(GB/T20272—2006)。
《操作系统安全评估准则》(GB/T20008—2005)。
(2)数据库
《数据库管理系统安全技术要求》(GB/T20273—2006)。
《数据库管理系统安全评估准则》(GB/T20009—2005)。
(3)网络
《网络端设备隔离部件技术要求》(GB/T20279—2006)。
《网络端设备隔离部件测试评价方法》(GB/T20277—2006)。
《网络脆弱性扫描产品技术要求》(GB/T20278—2006)。
《网络脆弱性扫描产品测试评价方法》(GB/T20280—2006)。
《网络交换机安全技术要求》(GA/T684—2007)。
《虚拟专用网安全技术要求》(GA/T686—2007)。
(4)PKI
《公钥基础设施安全技术要求》(GA/T687—2007)。
《PKI系统安全等级保护技术要求》(GB/T21053—2007)。
《信息安全技术 公钥基础设施 PKI系统安全等级保护技术要求》。
《信息安全技术 公钥基础设施 PKI系统安全等级保护评估准则》。
(5)网关
《网关安全技术要求》(GA/T681—2007)。
《信息安全技术 防病毒网关安全技术要求和测试评价方法》。
《信息安全技术 网络安全秩序管理网关产品标准》。
(6)服务器
《服务器安全技术要求》(GB/T21028—2007)。
《计算机信息系统安全等级保护 技术要求 服务器》。
《信息安全技术 移动互联网第三方应用服务器安全技术要求》。
《信息安全技术 服务器安全测评要求》。
《信息安全技术 域名服务器安全技术要求》。
《信息安全技术 邮件服务器安全技术要求》。
(7)入侵检测
《入侵检测系统技术要求和检测方法》(GB/T20275—2006)。
《计算机网络入侵分级要求》(GA/T700—2007)。
(8)防火墙
《防火墙安全技术要求》(GA/T683—2007)。
《信息安全技术 防火墙安全技术要求和测试评价方法》。
《信息系统安全等级保护防火墙安全配置指南(报批稿)》。
《防火墙技术要求和测评方法》(GB/T20281—2006)。
《包过滤防火墙评估准则》(GB/T20010—2005)。
《信息安全技术 Web应用防火墙和主机型防火墙安全技术要求和测试评价方法》。
《信息安全技术 Web应用防火墙安全技术要求与测试评价方法》。
《信息安全技术 个人防火墙技术要求和测试评价方法》。
(9)路由器
《路由器安全技术要求》(GB/T18018—2007)
《路由器安全评估准则》(GB/T20011—2005)
《路由器安全测评要求》(GA/T682—2007)
(10)交换机
《网络交换机安全技术要求》(GB/T21050—2007)。
《交换机安全测评要求》(GA/T685—2007)。
(11)其他产品
《终端计算机系统安全等级技术要求》(GA/T671—2006)。
《终端计算机系统测评方法》(GA/T671—2006)。
《审计产品技术要求和测评方法》(GB/T20945—2006)。
《虹膜特征识别技术要求》(GB/T20979—2007)。
《虚拟专网安全技术要求》(GA/T686—2007)。
《应用软件系统安全等级保护通用技术指南》(GA/T711—2007)。
《应用软件系统安全等级保护通用测试指南》(GA/T712—2007)。
《网络和终端设备隔离部件测试评价方法》(GB/T20277—2006)。
《网络脆弱性扫描产品测评方法》(GB/T20280—2006)。
5.5.2 信息安全等级保护主要标准简介
现将信息安全等级保护标准体系中比较重要的《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护定级指南》、《信息系统安全管理要求》、《信息系统通用安全技术要求》、《信息系统等级保护安全设计技术要求》、《信息系统安全工程管理要求》、《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》等10个标准作一简要说明。
1.《计算机信息系统安全保护等级划分准则》(GB17859—1999)
本标准对计算机信息系统的安全保护能力划分了五个等级,并明确了各保护级别的技术保护措施要求。本标准是国家强制性技术规范,其主要用途包括:一是规范和指导计算机信息系统安全保护有关标准的制定;二是为安全产品的研究开发提供技术支持;三是为计算机信息系统安全法规的制定和执法部门的监督检查提供依据。
本标准界定了计算机信息系统的基本概念:计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的、按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。信息系统安全保护能力五级划分。信息系统按照安全保护能力划分为五个等级:第一级用户自主保护级,第二级系统审计保护级,第三级安全标记保护级,第四级结构化保护级,第五级访问验证保护级。从自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复等10方面,采取逐级增强的方式提出了计算机信息系统的安全保护技术要求。
2.《信息系统安全等级保护基本要求》(GB/T22239—2008)
根据《信息安全等级保护管理办法》的规定,信息系统按照重要性和被破坏后对国家安全、社会秩序、公共利益的危害性分为五个安全保护等级。不同安全保护等级的信息系统有着不同的安全需求,为此,针对不同等级的信息系统提出了相应的基本安全保护要求,各级别信息系统的安全保护要求构成了《信息系统安全等级保护基本要求》。《基本要求》以《计算机信息系统安全保护等级划分准则》(GB17859—1999)为基础研究制定,提出了各级信息系统应当具备的安全保护能力,并从技术和管理两方面提出了相应的措施,为信息系统建设单位和运营使用单位在系统安全建设中提供参照。
《基本要求》分为基本技术要求和基本管理要求两大类。技术要求又分为物理安全、网络安全、主机安全、应用安全、数据安全及其备份恢复五方面。管理要求分为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运行维护管理五方面。
技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确配置其安全功能来实现。根据保护侧重点的不同,技术类安全要求进一步细分为信息安全类要求(简记为S)、服务保证类要求(简记为A)和通用安全保护类要求(简记为G)。
3.《信息系统安全等级保护实施指南》(信安字〔2007〕10号)
信息系统从规划设计到终止运行要经历几个阶段,《信息系统安全等级保护实施指南》用于指导信息系统运营使用单位,在信息系统从规划设计到终止运行的过程中如何按照信息安全等级保护政策、标准要求实施等级保护工作。可通过该标准了解信息系统实施等级保护的过程、主要内容和脉络,不同角色在不同阶段的作用,不同活动的参与角色、活动内容等。
《实施指南》给出了标准使用范围、规范性引用文件和术语定义,介绍了等级保护实施的基本原则、参与角色和几个主要工作阶段。对于信息系统定级、总体安全规划、安全设计与实施、安全运行与维护和信息系统终止五个工作阶段进行了详细描述和说明。
本标准以信息系统安全等级保护建设为主要线索,定义信息系统等级保护实施的主要阶段和过程,包括信息系统定级、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止等五个阶段,对于每一个阶段,介绍了主要的工作过程和相关活动的目标、参与角色、输入条件、活动内容、输出结果等。
4.《信息系统安全等级保护定级指南》(GB/T22240—2008)
《信息系统安全等级保护定级指南》依据《管理办法》,从信息系统对国家安全、经济建设、社会生活的重要作用,信息系统承载业务的重要性以及业务对信息系统的依赖程度等方面,提出确定信息系统安全保护等级的方法。
给出了信息系统五个安全保护等级的具体定义,将信息系统受到破坏时所侵害的客体和对客体造成侵害的程度等两方面因素作为信息系统的定级要素,并给出了定级要素与信息系统安全保护等级的对应关系。信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级可以分别确定业务信息安全保护等级和系统服务安全保护等级,并取二者中的较高者为信息系统的安全保护等级。
5.《信息系统安全管理要求》(GB/T20269—2006)
《安全管理要求》为信息系统运营使用单位的信息系统安全管理策略制定、信息系统安全管理组织体系建设、信息系统安全管理制度体系建设、信息系统运维及规划建设管理、信息系统安全管理监督检查、信息系统安全管理体系建立和完善等提供指导和参考。在信息系统安全整改阶段进行信息系统等级保护安全管理方案设计的过程中,也可按照《安全管理要求》所规定的各个安全保护等级的安全管理要求,作为建立信息安全管理体系和制定相关信息安全管理制度、措施的基本依据。
《安全管理要求》核心内容主要从以下八方面描述:信息系统安全管理文档体系的建设要求;信息安全管理的组织保证,规定了信息安全管理的领导层、管理层以及执行机构的要求;信息系统安全管理中的风险管理要求;信息系统的环境和资源管理要求;信息系统的运行和维护管理要求;信息系统的业务连续性管理要求,提出备份与恢复、应急处理、安全事件处理的要求;信息系统的监督和检查管理要求;系统生存周期管理要求。
《安全管理要求》主要供下列三类人员使用:信息系统高层管理人员、信息系统使用管理人员和信息系统安全服务人员。
6.《信息系统通用安全技术要求》(GB/T20271—2006)
不同安全保护等级的信息系统具有相应的安全技术要求,各个等级的安全技术要求构成了《信息系统通用安全技术要求》的基本内容。本标准涉及组成各类信息系统的计算机系统、网络系统、应用软件系统及其所使用的信息技术产品和信息安全产品中所涉及的安全技术,其主要用途:一是为信息系统选择安全技术产品和设置安全设备的相应安全机制提供指导;二是为这些产品和设备的相关安全标准的制定提供参考。
按安全技术要素,标准提出了与各安全保护等级信息系统相对应的安全技术要素的安全性要求,并从安全功能和安全保证两方面,对各安全技术要素应具有的安全性提出了要求。涉及40个安全技术要素。其中,安全功能技术要素23个,安全保证技术要素17个。
7.《信息系统等级保护安全设计技术要求》(信安秘字〔2009〕059号)
规定的信息系统安全保护能力等级,以及配套系列标准的安全等级保护技术要求,给出了五个级别信息系统安全保护设计的技术要求,用于指导信息系统运营使用单位、信息安全企业、信息安全服务机构等开展信息系统等级保护安全技术设计。本标准提出了信息系统等级保护安全设计的技术要求,包括第一级至第五级信息系统安全保护环境的安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面的设计技术要求,以及定级系统互联的设计技术要求,明确了体现定级系统安全保护能力的整体控制机制。
本标准突出从“计算环境安全、区域边界安全、通信网络安全和安全管理中心”四方面对信息系统进行安全技术设计。在安全设计中应注意各安全技术和机制之间的相互关联,通过对安全技术、机制和产品的有机集成,使信息系统安全保护技术能力符合其安全等级的保护要求。
8.《信息系统安全工程管理要求》(GB/T20282—2006)
不同安全保护等级的信息系统有着不同的安全工程管理需求,安全工程由安全等级、保证与实施要求两个维度组成,不同等级要求的安全工程对应不同的保证与实施要求。为此,针对不同等级信息系统的具体要求构成了安全工程管理要求体系。保证要求、实施要求、安全工程管理分等级要求和安全工程流程与安全工程要求构成了《信息系统安全工程管理要求》。《工程管理要求》以《计算机信息系统安全保护等级划分准则》为基础研究制定,规定了信息系统安全工程管理的不同要求,为信息系统建设的需求方、实施方与第三方工程实施在系统安全建设中提供参照,各方可以此为依据建立安全工程管理体系。
《工程管理要求》分为保证要求和实施要求两大类,其中保证要求是由资格保证要求和组织保证要求构成,实施要求是由工程实施要求和项目实施要求构成。
9.《信息系统安全等级保护测评要求》(GB/T28448—2012)
《信息系统安全等级保护测评要求》依据《信息系统安全等级保护基本要求》规定了对信息系统安全等级保护进行安全测试评估的内容和方法,用于规范和指导测评人员的等级测评活动。
本标准介绍了等级测评的原则、测评内容、测评强度、结果重用和使用方法。分别规定了对五个等级信息系统进行等级测评的单元测评要求。描述了整体测评的四方面,即安全控制间安全测评、层面间安全测评、区域间安全测评和系统结构测评安全测评。
10.《信息系统安全等级保护测评过程指南》(GB/T28449—2012)
为规范等级测评机构的测评活动,保证测评结论准确、公正,《信息系统安全等级保护测评过程指南》明确了信息系统等级测评的测评过程,阐述了等级测评的工作任务、分析方法以及工作结果等,为信息系统测评机构、运营使用单位及其主管部门在等级测评工作中提供指导。
《测评过程指南》以测评机构对三级信息系统的首次等级测评活动过程为主要线索,定义信息系统等级测评的主要活动和任务,包括测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动等四个活动。其中,测评准备活动包括项目启动、信息收集和分析、工具和表单准备三项任务;方案编制活动包括测评对象确定、测评指标确定、测试工具接入点确定、测评内容确定、测评实施手册开发及测评方案编制六项任务;现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项任务;分析与报告编制活动包括单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成及测评报告编制六项任务。对于每一个活动,介绍了工作流程、主要的工作任务、输出文档、双方的职责等。对于各工作任务,描述了任务内容和输入/输出产品等。 网络安全法和网络安全等级保护2