信息系统安全等级保护测评准则中期阶段报告XXXX年7月.pptx

等级保护技术标准简介朱建平公安部信息安全等级保护评估中心2005年7月报告内容第一部分、总体情况介绍第二部分、有关标准编制内容介绍总体情况介绍机构背景等级保护标准制修订背景公安部第三研究所公安部计算机信息系统安全产品质量监督检验中心公安部信息安全产品检测中心公安部信息安全等级保护评估中心总体情况介绍----机构背景 1994年，《中华人民共和国计算机信息系统安全保护条例》的发布 1999年，《计算机信息系统安全保护等级划分准则》 GB17859-1999发布 2001年，国家发改委“计算机信息系统安全保护等级评估体系及互联网络电子身份管理与安全保护平台建设项目”（1110）工程实施 2003年，中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》 2004年，四部委联合签发了《关于信息安全等级保护工作的实施意见 》总体情况介绍----等级保护标准制修订背景定级指南基本要求产品使用测评准则监督管理应急响应等级需求特殊需求选型过程方法安全控制流程方法监管流程应急预案确定系统等级确定安全需求设计安全方案安全建设安全测评监督管理运行维护暂不考虑启动采购/开发实施运行/维护废弃总体情况介绍----等级保护标准制修订背景定级指南基本要求实施指南有关标准编制内容介绍定级指南标准编制情况介绍定级指南标准编制情况介绍背景介绍等级确定的原则决定等级的主要因素分析等级确定方法等级划分流程背景介绍与系统等级相关的国外资料：FIPS 199（美国联邦政府）根据信息系统所处理信息的机密性、完整性和可用性被破坏的影响确定。IATF（NSA） 根据信息价值与威胁确定系统强健度等级。 DITSCAP （DOD） 根据互联模式、处理模式、业务依赖、三性、不可否认性等七个方面确定系统认证级。背景介绍上述定级方法存在问题仅由信息重要性确定信息系统的等级，对大型企业和重点行业的重要业务系统不合适。在通过三性影响分析，并根据三者取高的方法中，无法为可用性要求高和保密性要求高两类系统提出统一的技术要求。确定系统等级，与业务无关，不满足等级保护的监管需要。定级范围往往只在局部范围内。等级确定的原则全局性原则信息系统安全等级保护是针对全国范围内、涵盖各个行业信息系统的管理制度，信息系统安全保护等级的划分也必须从国家层面考虑，体现全局性。业务为核心原则信息系统是为业务应用服务的，信息系统的安全保护等级应当依据信息系统承载业务的重要性、业务对信息系统的依赖度和系统特殊的安全需求确定。等级确定的原则满足监管要求原则信息系统安全保护等级既不是信息系统安全保障等级，也不是信息系统所能达到的技术能力等级，而是从安全监管需要，从信息系统对国家安全、经济建设、公共利益等方面的重要性，以及信息或信息系统被破坏后造成危害的严重性角度确定的信息系统应达到的安全等级。合理性原则不同于信息安全产品，信息系统千差万别，各具特色，只有在划分安全保护等级的过程中，尽可能反映出信息系统的主要安全特征，合理划分等级，才能做到突出重点，适度保护。决定等级的主要因素分析 从目前的资料上看，已在不同分级方法中出现的作为划分信息系统安全等级的因素主要包括：单位业务在国家事务中的重要性（实施意见）；资产（包括有形资产和无形资产）（FIPS199，IATF，DITSCAP，NIST800-37）；威胁（IATF）；信息被破坏后对国家、社会公共利益和单位或个人的影响（FIPS199，通用要求，实施指南）；单位业务对信息系统的依赖程度（DITSCAP） 决定等级的主要因素分析 经分析，除排除威胁因素外，划分等级时应考虑以下因素：信息系统所属类型，即信息系统的安全利益主体。信息系统主要处理的业务数据类别。信息系统服务范围，包括服务对象和服务网络覆盖范围。业务处理的自动化程度，或以手工作业替代信息系统处理业务的程度。决定等级的主要因素分析信息系统所属类型业务数据安全性业务重要性业务数据类别信息系统服务范围业务依赖性业务处理连续性业务处理的自动化程度决定等级的主要因素分析业务数据安全性信息系统安全保护等级业务处理连续性等级确定方法 具体步骤：通过对信息系统类型和业务数据类型赋值，确定信息系统的业务数据安全性等级；通过对信息系统服务范围和业务处理自动化程度赋值，确定信息系统的业务处理连续性等级；通过业务数据安全性等级和业务处理连续性等级确定信息系统安全保护等级。等级调整 信息系统类型赋值信息系统所属类型赋值表信息系统所属类型赋值信息系统的社会影响1信息系统受到破坏会对单位利益有直接影响2信息系统受到破坏会对公共利益有直接影响，或对国家安全利益有间接影响3信息系统受到破坏会对国家安全利益有直接影响信息系统类型举例典型的信息系统所属类型 信息系统所属类型赋值信息系统所属类型1属于一般企事业单位，处理其内部事务的