- 信息系统安全等级测评服务的重要性
- 概述
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
等级保护不仅是对信息安全产品或系统的检测、评估以及定级,更重要的是,等级保护是围绕信息安全保障全过程的一项基础性的管理制度,是一项基础性和制度性的工作。通过将等级化方法和安全体系方法有效结合,设计一套等级化的信息安全保障体系,是适合我国国情、系统化地解决大型组织信息安全问题的一个非常有效的方法。
信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。
等级保护从国家层面来讲,它已经成为我们国家在信息系统安全方面的一项国策,目前国家在组织体系、标准体系、测评体系等方面建设已渐渐成熟,相应的管理文件(如《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27号)、《关于信息安全等级保护工作的实施意见》(公通字【2004】66号)、《信息安全等级保护管理办法》(公通字【2007】43号、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安【2007】861号))等也相继出台,同时也是各单位在系统安全建设上的一项基本工作内容。历经2006年全面开展的信息安全等级保护工作的试点之行,覆盖了北京、山西、上海、江苏、浙江、安徽、江西、山东、河南、湖北、广东、广西、重庆等13个试点省区市,按照“谁主管谁负责,谁运营谁负责”的要求,落实各项试点工作的任务,不断总结技术、管理、运营等知识与等级保护的融合,加快推进等级保护工作,为保障国家信息安全做出新的贡献。
- 等保历程
1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。第一次提出信息系统要实行等级保护,并确定了等级保护的职责单位。
国家发布实施的《计算机信息系统安全保护等级划分准则》GB17859-1999。这是第一部强制性国家信息安全标准,是一个技术法规。它从功能上对信息系统的安全等级划分为五个级别的安全保护能力:第一级:用户自主保护级 ;第二级:系统审计保护级 ;第三级:安全标记保护级 ;第四级:结构化保护级 ;第五级:访问验证保护级。 安全保护能力从第一级到第五级逐级增强。虽然目前等级的定义和概念已和该以此为基础,
2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
之后2004年9月发布的“66号文件”进一步给出了等级保护工作的实施意见,该文件指出:“信息安全等级保护事保障和促进信息化建设健康发展的一项基本制度”。
国信办组织制定的《电子政务信息安全等级保护实施指南》中提出了电子政务等级保护工作的基本思路和实施方法,用于指导各级党政机关按照等级保护要求建设电子政务信息安全保障体系。
2005年12月28日公安部与国信办下发《关于开展信息系统安全等级保护基础调查工作的通知》(公信安〔2005〕1431号)要求: 2006年在全国范围内开展信息安全等级保护基础调查工作,以全面了解掌握我国信息系统特别是主要信息系统的数量、区域分布、行业分布等情况,为制定信息安全等级保护工作规划提供依据,为制定国家信息安全政策提供参考。这次调查为2007年下半年开展试点奠定了初步基础。
2006年1月,公安部、保密局、国密局、国信办又联合印发《信息安全等级保护管理办法(试行)》7号文(现已废止)。
2006年6月15日,公安部、国家保密局、国家密码管理局、国信办发布了《关于开展信息安全等级保护试点工作的通知》。这次试点单位市北京、山西、上海等十三个省、市、自治区,航天科技集团等三个部门。
2007年四部委又联合印发《信息安全等级保护管理办法》(公通字[2007]43号 ),对等级划分、保护、实施与管理,涉密信息系统分级保护管理,密码管理,法制责任等问题作了详细规定。
紧接着,又发布了《关于开展全国重要信息系统安全等级保护定级工作的通知》 (公信安[2007]861号),就定级范围、定级工作主要内容、定级工作要求提出了要求。并在7月20日召开了等级保护大会,对定级工作进行了部署。随后各地包括北京也相继召开了等级保护工作部署大会。
等级保护大会会议后,信息安全等级保护工作又开始了一个新的浪潮,随着奥运会、亚运会和大运会重要赛事的推进,全国重要行业单位的信息系统均到公安网监部门定级备案。
广东省作为国家重要城市,也承担着国家任务和社会风险,相继出台了《关于继续深化我省信息安全等级保护工作的通知》(粤公通字【2011】124号)、《关于加强国家电子政务外网信息安全等级保护工作的通知》(粤公通字【2012】1567号)和关于贯彻落实第三届全国信息安全等级保护测评体系建设会议大力推动信息安全等级保护工作的通知(广公【2013】260号)等相关文件,全面落实十八大精神。
- 主管部门
国家 | 通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理 |
公安机关 | 负责信息安全等级保护工作的监督、检查、指导。 |
保密工作部门 | 负责等级保护工作中有关保密工作的监督、检查、指导。 |
密码管理部门 | 负责等级保护工作中有关密码工作的监督、检查、指导。 |
国信办及地方信息化领导小组办事机构 | 负责等级保护工作的部门间协调。 |
其他 | 涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。 |
信息系统主管部门 | 应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 |
信息系统的运营、使用单位 | 应当依照本办法及其相关 标准规范,履行信息安全等级保护的义务和责任。 |
- 信息系统第三方信息安全测评重要性
- 信息系统安全等级测评服务价值
信息及其支持程序、系统和网络是单位的重要资产,信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。定义、实现、保持和改进信息安全对保持竞争优势、现金周转、赢利、守法和商业形象可能是至关重要的。
各组织及其信息系统和网络面临来自各个方面的安全威胁,包括计算机辅助欺诈、间谍活动、恶意破坏、毁坏行为、火灾或洪水。例如恶意代码、计算机黑客捣乱和拒绝服务攻击等导致破坏的安全威胁,已经变得更加普遍、更有野心和日益复杂。
许多单位信息系统并没有被设计成是安全的。通过技术手段可获得的安全性是有限的,宜通过适当的管理和规程给予支持。确定哪些控制措施宜实施到位需要仔细规划并注意细节。信息安全管理至少需要该组织内的所有员工参与,还可能要求利益相关者、供应商、第三方、顾客或其他外部方的参与。外部组织的专家建议可能也是需要的。
由于信息系统在单位业务活动中的重要地位,使其信息系统和网络也越来越要面对来自四面八方的威胁,如计算机辅助的诈骗、间谍、破坏、火灾及水灾等。损失的来源如计算机病毒、计算机黑客及拒绝服务攻击等手段变得更普遍、大胆和复杂。目前很多单位重要信息系统设计得不够安全,仅仅利用技术手段获得的安全是有限制的,因而还应该得到相应管理和程序的支持。信息安全管理的作用是保护信息不受内、外部环境的威胁和干扰,使单位的业务能够正常运行,消除或最大限度减少损失及提供最大的投资回报和商机。通过采用系统的、周密的安全控制管理体系是对信息安全控制的一个极好帮助。
党中央、国务院高度重视信息安全工作,2003年7月《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)文件明确提出:要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的风险等因素,进行相应等级的安全建设和管理。随后,各地、各部门信息系统安全保障工作得到快速发展,信息安全技术迎来了一个新的发展高潮,信息安全等级保护、信息安全风险评估、信息安全管理规范等政策措施在全国逐步实施,以信息安全等级保护测评体系建设为代表的信息安全保障体系建设得到了进一步加强。
- 信息系统第三方信息安全测评的内容
- 信息系统安全等级测评服务的内容
- 工作依据
- 指导思想
- 信息系统安全等级测评服务的内容
中办【2003】27号文件(关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知)
公通字【2004】66号文件(关于印发《信息安全等级保护工作的实施意见》的通知)
公通字【2007】43号文件(关于印发《信息安全等级保护管理办法》的通知)
公信安【2007】861号文件(关于印发《关于开展全国重要信息系统安全等级保护定级工作》的通知)
- 基础性的标准
《计算机信息系统安全保护等级划分准则》(GB17859-1999)
- 基线标准
《信息系统安全等级保护基本要求》(GB/T 22239-2008)
- 辅助标准:
- 《信息安全等级保护实施指南》(报批稿)
- 《信息系统安全保护等级定级指南》(GB/T 22240-2008)
- 《信息系统安全等级保护 测评准则》(送审稿)
- 目标标准
- 《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)
- 《信息安全技术网络基础安全技术要求》(GB/T20270-2006)
- 《信息安全技术操作系统安全技术要求》(GB/T20272-2006)
- 《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)
- 《信息安全技术终端计算机系统安全等级技术要求》(GA/T671)
- 《信息系统安全安全管理要求》(GB/T20269)
- 《信息系统安全工程管理要求》(GB/T20282)
- 《信息安全技术服务器技术要求》
- 《信息安全技术 信息系统安全等级保护基本要求》GB/T aaaaa-xxxx
- ISO/IEC 27001 信息系统安全管理体系标准
- 工作范围
等级保护工作服务针对信息系统以及业务系统所依托的内部局域网网络环境、软硬件设备(数据库、中间件、应用程序、服务器、网络设备和安全设备等)、机房物理环境、涉及的运维管理机制等实施信息安全等级测评服务。具体评估范围包括但不限于:
物理环境:位于中心机房和各处配线间。主要考察信息系统相关的防火、防水、防雷、防盗和不间断电源等保障物理安全的各种设施。
计算机网络:网络拓扑结构、城域网和互联网连接的路由器、交换机、防火墙或其他信息安全设备、各应用服务器和整体网络的数据流信息。
操作系统:检查所有网络设备、信息安全设备和服务器的操作系统,对所有设备的windows、Linux和专业操作系统是否及时安装最新补丁进行针对性检查。
应用系统:所有业务系统和门户网站等重要信息系统。招标方认为重要且应包含在本次安全评估范围内的信息系统都应被认定为重要管理信息系统。
数据库:对各种数据库进行安全检测。例如某业务系统中数据库是否安装最新补丁,管理帐户是否存在弱口令等进行检测。
未控制网络链接:获得所有未控制并能够连接到网络的设备信息(例如调制解调器、第二块网卡、USB网卡、1394接口网卡等)。防止未经授权的拨入。
防病毒及恶意软件:检查所有服务器的杀毒软件系统和单机防恶意软件系统。
灾难恢复策略:审核并检查数据备份及灾难恢复计划,了解是否进行应急演练,并提出改进建议 。
安全控制策略:边界访问控制的防火墙、入侵检测系统、网络防病毒系统、内网安全管理系统等设备的配置策略。负责安全政策的编制管理人员、办公人员的安全意识、各种安全管理规章制度等。
总体归纳为以下10个层面:
图1 测评内容
- 测评流程
对一个信息系统实施等级保护的过程如图所示:
图2测评流程
信息系统等级保护测评服务主要包括的环节为7个主要阶段:定级-系统备案-颁发证书-分析安全需求(差距测评)-建设整改-验收测评-提交报告。
- 输出结果
- 定级阶段完毕之后,公安网监部门审核通过后会给予客户定级备案表,如下图所示:
- 验收测评完成后测评报告中给出测评结论,包括不符合、部分符合和符合。最终为一式三份,一份由系统运营、使用单位向地级以上市公安机关报测评报告,一份由系统运营、使用单位保存,一份由测评结构保存。