安全建设整改工作依据的标准
发布时间:2012-09-04   作者:

一、《基本要求》作用


《基本要求》是针对每个等级的信息系统提出相应安全保护要求,“基本”意味着这些要求是针对该等级的信息系统达到基本保护能力而提出的,也就是说,这些要求的实现能够保证系统达到相应等级的基本保护能力。信息系统安全建设整改应以落实《基本要求》为主要目标。信息系统运营使用单位应根据信息系统安全保护等级选择《基本要求》中相应级别的安全保护要求作为信息系统的基本安全需求。当信息系统有更高安全需求时,可参考《基本要求》中较高级别保护要求或《信息系统通用安全技术要求》、《信息系统安全管理要求》等其他标准。行业主管部门可以结合行业特点和信息系统实际出台行业细则,行业细则的要求应不低于《基本要求》。


但《基本要求》提出的是“要求”,而不是具体实施方案或作业指导书,《基本要求》给出了系统每一保护方面需达到的要求,至于这种要求采取何种方式实现,不在《基本要求》的描述范围内。

 

《基本要求》为以下工作提供依据:

 

a) 为信息系统建设单位和运营、使用单位的信息系统建设和整改工作提供依据;

 

b) 为测评机构提供信息系统的等级测评依据;

 

c) 为职能监管部门提供监督检查依据。

 

二、《基本要求》框架结构

 

《基本要求》在整体框架结构上以三种分类为支撑点,自上而下分别为:类、控制点和项。其中,类表示《基本要求》在整体上大的分类,其中技术部分分为:物理安全、网络安全、主机系统安全、应用安全和数据安全等5大类,管理部分分为:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等5大类,一共分为10大类。控制点表示每个大类下的关键控制点,如物理安全大类中的“物理访问控制”作为一个控制点。而项则是控制点下的具体要求项,如“机房出入应有专人负责,进入的人员登记在案。”

 

具体框架结构如图所示:
 

《基本要求》的框架结构

 

三、安全保护能力


对信息系统采取安全措施是为了使信息系统具备一定的安全保护能力,这种安全保护能力主要表现为能够应对威胁的能力,称为对抗能力。但在某些情况下,信息系统无法阻挡威胁对自身的破坏时,如果信息系统具有很好的恢复能力,那么即使遭到破坏,也能在很短的时间内恢复系统原有的状态。能够在一定时间内恢复系统原有状态的能力构成了信息系统的另一种安全保护能力——恢复能力。对抗能力和恢复能力共同构成了信息系统的安全保护能力。


将“能力”分级,是基于系统的保护对象不同,其重要程度也不相同,重要程度决定了系统所具有的能力也就有所不同。一般来说,信息系统越重要,应具有的保护能力就越高。因为系统越重要,其所伴随的遭到破坏的可能性越大,遭到破坏后的后果越严重,因此需要提高相应的安全保护能力。


根据不同级别信息系统的重要程度,提出不同强度的对抗能力和恢复能力,将这些能力细化成安全目标,而基本要求就是为满足这些安全目标而提出的安全保护要求。
下图给出了不同等级信息系统的安全保护能力、安全目标与安全要求之间映射关系。


 

《基本要求》的描述模型


不同等级信息系统所具有的保护能力如下:

 

第一级信息系统:经过安全建设整改,信息系统具有抵御一般性攻击的能力,防范常见计算机病毒和恶意代码危害的能力;系统遭到损害后,具有恢复系统主要功能的能力。

第二级信息系统:经过安全建设整改,信息系统具有抵御小规模、较弱强度恶意攻击的能力,抵抗一般的自然灾害的能力,防范一般性计算机病毒和恶意代码危害的能力;具有检测常见的攻击行为,并对安全事件进行记录的能力;系统遭到损害后,具有恢复系统正常运行状态的能力。


第三级信息系统:经过安全建设整改,信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能快速恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。


第四级信息系统:经过安全建设整改,信息系统在统一的安全保护策略下具有抵御敌对势力有组织的大规模攻击的能力,抵抗严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行快速响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能立即恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。

 

四、《基本要求》的选择和使用说明

 

安全要求从整体上分为技术和管理两大类,其中,技术类安全要求按其保护的侧重点不同,将其下的控制点分为三类:

 

业务信息安全类(S类)——关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改。

 

如,访问控制,该控制点主要关注的是防止未授权的访问系统,进而造成数据的修改或泄漏。至于对保证业务的正常连续运行并没有直接的影响。

 

系统服务安全类(A类)——关注的是保护系统连续正常的运行,避免因对系统的未授权修改、破坏而导致系统不可用。

 

如,资源控制,该控制点很好的体现了对业务正常运行的保护。通过对资源的使用限制、监视和预警等控制,保证了重要业务的正常运行。

 

通用安全保护类(G类)——既关注保护业务信息的安全性,同时也关注保护系统的连续可用性。

 

大多数技术类安全要求都属于此类,保护的重点既是为了保证业务能够正常运行,同时数据要安全。如,物理访问控制,该控制点主要是防止非授权人员物理访问系统主要工作环境,由于进入工作环境可能导致的后果既可能包括系统无法正常运行(如,损坏某台重要服务器),也可能窃取某些重要数据。因此,它保护的重点二者兼而有之。


因此,在使用《基本要求》时,应该从信息系统的安全关注点出发,而信息系统的安全关注点可以从信息系统的定级结果中得到。有了定级结果,就可以选择和使用基本安全要求。


举例来说,某信息系统定级结果为三级S1A3G3 ,在选择和使用基本安全要求时应选择三级管理要求和S1A3G3的技术要求,可以分为以下过程:

 

1、选择《基本要求》中的第7章第三级基本要求,包括管理要求和技术要求;

 

2、根据定级结果S1A3G3进行调整。信息系统的业务信息安全保护等级为1级,系统服务安全保护等级为3级,因此,将第三级技术要求中的S类要求调整为第一级基本要求中的S类要求,第1步骤中已选择的A类和G类基本要求保持不变;

 

3、根据行业要求或系统自身特点,分析需要增强的安全保护能力,需要增强业务信息安全保护能力的从2、3、4级的S类基本要求中选择,需要增强系统服务安全保护能力的从4级的A类基本要求中选择,整体需要增强的,则从4级G类基本要求中选择。在现有技术条件下,基本要求中的某些要求可能无法实现,如“对信息资源设置敏感标记”,信息系统运营、使用单位可以对基本要求进行调整,但是不能降低整体安全保护能力。


此外,在为信息系统选择和使用基本要求时,出发点是保证信息系统具有相应等级的基本安全保护能力。但用户在进行信息系统安全建设整改时,可以在《基本要求》中的各级要求基础上,参考其他标准、行业要求和系统实际,提出特殊安全要求,开展安全建设整改。


《基本要求》给出了各级信息系统每一保护方面需达到的要求,但不是具体的安全建设整改方案或作业指导书,实现基本要求的措施或方式并不局限于《基本要求》给出的内容,要结合系统自身特点综合考虑采取的措施来达到基本要求提出的保护能力。


《基本要求》中不包含安全设计和工程实施等内容,因此,在系统安全建设整改中,可以参照《信息系统安全等级保护实施指南》、《信息系统等级保护安全设计技术要求》和《信息系统安全工程管理要求》进行。


《基本要求》综合了《信息系统物理安全技术要求》、《信息系统通用安全技术要求》和《信息系统安全管理要求》的有关内容,在进行系统安全建设整改方案设计时可进一步参考后三个标准。


信息系统运营使用单位在根据《基本要求》进行安全建设整改方案设计时,要按照整体安全的原则,综合考虑安全保护措施,建立并完善系统安全保障体系,提高系统的整体安全防护能力。 

文章来源:
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号