如何建设符合信息安全等级保护要求的信息系统

国家信息安全保障体系与信息安全等级保护制度实施公安部信息安全等级保护评估中心内容摘要信息安全等级保护制度是什么信息安全等级保护制度要干什么如何开展信息安全等级保护工作引言在当今社会中，信息已成为人类宝贵的资源，并且可以通过Internet为全球人类所使用与共享。信息产业随着互联网技术的发展在一个国家国民经济发展中所占的比重也越来越大。人类生活对Internet的依赖也越来越大。引言（续）信息技术发展引发的信息化革命辅助作用不完全依赖支撑作用完全依赖引言（续）由互联网的发展而带来的信息安全问题正变得突出，网络安全已成为关系国家安全的重大战略问题。保障网络与信息系统安全，更好地维护国家安全、经济命脉和社会稳定，已经成为信息化发展中迫切需要解决的重大问题。我国现状近年来，党中央、国务院高度重视，各有关方面协调配合、共同努力，我国信息安全保障工作取得了很大进展。但是从总体上看，我国的信息安全保障工作尚处于起步阶段，基础薄弱，水平不高，存在以下突出问题：存在的问题信息安全滞后于信息化发展；信息安全阻碍了信息化发展。存在的问题（续）大多数单位虽然采用防火墙作为内外网的边界防护设备。重视外部攻击与入侵，忽视内部的非法行为。偏重产品，忽视体系和管理。关键技术、产品受制于人。我们面对的威胁西方发达国家信息技术优势明显，我国面临信息强国的冲击、挑战和威胁，信息安全领域始终面临信息战和网络恐怖袭击的威胁；敌对势力的网上煽动、渗透和破坏活动愈加突出，针对信息系统进行的破坏活动日益严重，利用网络实施的违法犯罪案件持续大幅上升。面对的威胁（续）受威胁的对象是操作系统、数据库系统和信息系统，攻击的目的是使系统瘫痪、信息被窃取、篡改毁坏。早期是能直接接触计算机系统的人（单机、多用户终端、局域网），现在攻击者和方式发生了变化，广域网、因特网使任何信息系统参与人都可能成为攻击者。在参与人中，有正常使用的人，也有非正常使用的人，后者称之为“攻击者或黑客”。“攻击者”分成几类：有着不同目的的。面对的威胁（续）一般黑客有组织犯罪高层次深度打击安全防护的重点系统防入侵网络防攻击信息防泄露内容防篡改内部防越权网络信息战通过利用、改变和瘫痪敌方的信息、信息系统和以计算机为基础的网络应用，同时保护己方的信息、信息系统和以计算机为基础的网络应用不被敌方利用、改变和瘫痪，以获取信息优势，而采取的各种作战行动。信息战是现代战争的一种新作战形式。信息战分为两大类：一是国家级信息战，也称为战略信息战；二是战场信息战，也称为指挥控制战。战略信息战战略信息战是利用非杀伤性技术而秘密实施的，不需要公开宣战。它利用了国家力量的所有手段在国家战略级形成可竞争的优势，把“战争”的范围扩大到经济、政治和社会的各个方面。这种信息战无论在平时、危机时刻还是在战争状态下都可能发生。这种信息战必须有组织地进行，并且要受最高政治机构的严格控制。新战争理论学说新的战略战术思想新的战场战线特点新的武器装备形式新的国防动员体制新的平战结合模式新的军民鱼水关系当前信息安全形势外部环境—各国在大力推进Internet与信息技术应用的同时，抓紧实施国家信息安全保障体系与国防的信息安全防御体系。—各国抓紧研究信息安全策略、制订体系标准、法律法规，实施安全计划。外部环境（续）2008年5月1日，美国防高级研究计划局（DARPA）发布关于展开“国家网络靶场”项目研发工作公告。美国认为，网络空间是美国经济、关键设施和国家安全的重要基础，对于国家力量的影响至关重要。为此，美国高度重视研发以网络为中心的C4ISR系统和网络攻防对抗装备，推进网络中心战能力建设。外部环境（续）2009年1月8日，美国总统布什签署第54号国家安全总统令和第23号国土安全总统令，要求美国政府所有与安全有关的部门（包括国土安全部、国家安全局等）都参与实施“国家网络安全综合计划”。这是一项长期计划，将由多个部门参加并分步骤实施，其最终目的是保护美国的网络安全，防止美国遭受敌对的电子攻击，并能对敌方展开在线攻击。外部环境（续）美国总统奥巴马2009年5月29日公布了一份由安全部门完成的网络安全评估报告，表明来自网络空间的威胁已经成为美国面临的最严重的经济和军事威胁之一。奥巴马还表示：网络空间以及它带来的威胁都是真实的，保护网络基础设施将是维护美国国家安全的第一要务。外部环境（续）6月25日英国出台首个国家网络安全战略政府将成立两个网络安全新部门网络安全办公室和网络安全行动中心计划征召包括黑客在内的网络精英护卫网络安全英国已经具备主动发起网络攻击的能力外部环境（续）台湾加紧开展信息战的准备—控制进入大陆的微机板卡、硬盘等。—专门搜集大陆民用网络（电信、能源、交通、金融及政府等）的结构、路由以及设备情报。—积极研究网络渗透与病毒植入和激活技术。产生问题的原因整体信息安全防范意识和能力薄弱;信息系统安全建设和管理缺乏体系化思想;信息安全法律法规不完善，标准体系尚待完善；自主技术产品缺乏，信息技术产业未完全形成。当前的要求与原则总体要求:坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保护基础网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。主要原则：立足国情，以我为主，坚持管理与技术并重；正确处理安全与发展的关系，以安全促发展，在发展中求安全；统筹规划，突出重点，强化基础性工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。当前的九项任务全面实行信息安全等级保护制度加强以密码技术为基础的信息保护和网络信任体系建设建设和完善信息安全监控体系重视信息安全应急处理工作加强信息安全技术研究开发，推进信息安全产业发展加强信息安全法制建设标准化建设加快信息安全人才培养，增强全民信息安全意识保证信息安全资金加强对信息安全保障工作的领导，建立健全信息安全管理责任制摘要等级保护制度是什么等级保护制度要干什么如何开展等级保护工作等级保护制度根据信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；将信息系统划分为不同的安全保护等级并对其实施不同的保护和监管。第一级信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。信息系统运营、使用单位依照国家有关管理规范和技术标准进行保护。第二级信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害，但不损害国家安全。信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导第三级信息系统受到破坏后，会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。第四级信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。第五级信息系统受到破坏后,会对国家安全造成特别严重损害；信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。摘要等级保护制度是什么等级保护制度要干什么如何开展等级保护工作等级保护制度体现国家管理意志构建国家信息安全保障体系保障信息化发展和维护国家安全解决什么信息安全等级保护是手段，是为了构建国家信息安全保障体系。信息安全保障体系也是手段，是为了业务应用发展。信息安全等级保护是带有很强技术性的国家风险控制行为所谓风险安全风险管理的目的并不是保证没有风险，而是要将信息系统带来的业务风险控制在可接受的范围内。信息安全等级保护的关键所在正是基于信息系统所承载应用的重要性，以及该应用损毁后带来的影响程度来判断风险是否控制在可接受的范围内。安全防护的重点系统防入侵网络防攻击信息防泄露内容防篡改内部防越权奥运安保的启示1、对奥运的信息系统，开展定级工作2、第一次按照基本要求测评差距比较大，奥运系统进行了相应的整改。3、整改后、测评、再整改，能够达到基本保护要求的大部分的要求4、对于奥运系统，达到一个基本安全状态并不够。因为基本要求是一个底线的要求。5、奥运是个特殊时期，奥运系统有许多特殊需求6、针对特殊需求重点进行了外部渗透测试。奥运安保的启示通过整改安全防护状况有较大改进，绝大部分网站防SQL注入能力增强，能抵御一般黑客攻击；网站放置在一个虚拟服务器的现象消失，数据库与网站程序实施了分离；网站管理后台采用了较多的安全设置。但仍有不少网站存在目录列遍，敏感信息泄露、跨站被动攻击和跨站请求伪造的漏洞；个别网站子站防护能力薄弱，无法抵御有组织犯罪攻击，风险等级仍旧高危。奥运安保的启示通过外部安全测试，能够迅速从外部发现对外暴露的安全隐患和脆弱性，测试结果直观，能够引起对安全威胁的警觉和安全保障工作的高度重视。外部安全测试作为一种方法，虽不能体系性地根本消除对外暴露的安全隐患，但作为查漏补缺，急用先上，特别是在特定敏感时期发现主要问题起到了重要作用。奥运安保的启示大量的政务系统由于建设的时期，背景的不同；主管运营模式的不同，在安全防护能力上差异很大。仅依靠外部安全测试，只能治标，要体系化地根本解决安全问题，必须标本兼顾，坚持常态化的、基础性的信息安全等级保护是必由之路。政务系统由于其特殊的政治背景，安全防护标准不同于一般商业系统，要想保障其安全，应该基于《信息安全等级保护管理办法》和《信息系统安全等级保护基本要求》制定有针对性的管理规范和技术标准。等级保护制度的作用提出信息安全工作的思路划定信息系统保护的基线发现信息系统的问题和差距明确信息系统安全保护的方向提升信息系统的安全保护能力涉及层面管理层面：国家制定统一信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对信息安全产品的使用分等级实行管理，对等级保护工作的实施进行监督、指导。用户层面：公民、法人和其他组织应当按照国家有关等级保护的管理规范和技术标准开展等级保护工作，服从国家对信息安全等级保护工作的监督、指导，保障信息系统安全。社会层面：信息安全产品的研制、生产单位，信息系统的集成、等级测评、风险评估等安全服务机构，依据国家有关管理规定和技术标准，开展相应工作，并接受国家信息安全职能部门的监督管理。摘要等级保护制度是什么等级保护制度要干什么如何开展等级保护工作原则谁拥有谁负责、谁运行谁负责自主定级、自主保护、监督指导主要流程一是：定级。二是：备案。三是：建设、整改。四是：等级测评。五是：定期开展监督检查安全保护等级确定信息系统运营、使用单位依据《管理办法》和《定级指南》确定信息系统的安全保护等级。由主管部门的，应当经主管部门的审核批准。跨省或者全国统一联网运行的可以由主管部门统一确定安全保护等级。对拟定为四级以上的应当请国家信息安全保护等级专家评审委员会评审。等级保护的备案管理信息系统运营、使用单位应当在其系统安全保护等级确定后，向当地同级公安机关提请备案备案时应当到备案机关填写备案登记表并按要求提交相关资料。备案登记表/系统体系/功能结构图/系统安全保护方案或措施/系统安全管理制度等等级保护的备案管理信息系统备案信息是国家有关信息安全职能部门了解和掌握重要信息系统的安全保护基本状况、分析总体安全形势的基础资料来源，也是下一步接受备案机关开展各项监督检查工作所必需的基本依