您所在的位置 >>> 首页>信息安全等级保护工作>技术标准>

 作者:  | 日期:2008-01-09 | 来自: | 浏览:  

 《信息系统安全等级保护基本要求》在开展信息安全等级保护工作中的作用


法律规范和技术标准是贯彻落实信息安全等级保护制度的法律依据和技术保障。公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合印发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)中指出,信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。目前,国家已经出台了与等级保护有关的技术标准50多个,信息安全等级保护标准体系基本形成。其中,《信息系统安全等级保护基本要求》(以下简称《基本要求》)是重要的基础性标准之一。为更好地帮助各单位、各部门依据《基本要求》开展安全技术和管理建设等相关工作,现就其主要内容进行解释说明。

一、《基本要求》的地位及其作用

《基本要求》以《计算机信息系统安全保护等级划分准则》(GB17859-1999)强制性国标为基础研究制定。根据目前信息技术的发展水平,《基本要求》提出了不同安全保护等级信息系统的最低保护要求,适用于指导不同安全保护等级信息系统的安全建设和管理。可以说,《基本要求》是进行信息系统分等级保护、信息系统等级测评和自纠自查的一个基本标线。开展系统安全保护、等级测评和自纠自查工作的不同主体,对于同样级别的信息系统使用统一的《基本要求》作为“标尺”来衡量,确保了安全保护、等级测评和自纠自查结果的一致性,有利于对信息系统进行整体保护,有效优化资源配置,同时,为信息系统建设单位和运营使用单位提供技术指导和支持,为测评机构提供检测评估的依据和标准,为国家信息安全监管部门提供监督检查的依据和规范。由于各行业、单位信息系统自身安全保障的侧重点各有不同,各信息系统运营使用单位可以结合自身安全需求,对《基本要求》进行补充、完善,使信息系统的保护水平既达到标准要求,又满足行业自身特殊的安全需求。

二、《基本要求》的框架结构及内容

《基本要求》是五个安全保护等级信息系统的基本安全保护技术和管理要求,是构建信息系统安全技术体系和安全管理体系的出发点,提出了各级信息系统应当具备的基本安全保护能力和技术管理措施。

在内容结构上,《基本要求》按照“级别--大类--小类--控制点--基本要求项”的形式组织,“大类”上分为基本技术要求和基本管理要求两大类,其中技术要求分为物理安全、网络安全、主机安全、应用安全和数据安全五“小类”,管理要求分为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运行维护管理五“小类”。不同级别的信息系统具备的不同安全保护能力,级别越高,安全保护能力越强。不同级别保护要求的区别体现在三个方面,即控制点的不同、要求项的不同和控制强度的不同。控制点增加,表明对系统的关注点增加;控制点之下的安全要求项的增加,体现出系统保护的逐级增强。安全要求逐级增强主要表现在控制点的增加、同一控制点的要求项增加、同一要求项强度增强。控制点、要求项和控制强度之间的区别,综合体现出不同等级信息系统的安全要求级差。

《基本要求》明确了不同等级的安全保护能力及具体要求。信息系统运营使用单位应依据信息系统的安全保护等级,保障信息系统具有相应等级的基本安全保护能力。安全保护能力包括对抗能力和恢复能力,能够应对威胁的能力构成了信息系统的对抗能力,能够在一定时间内恢复信息系统原有状态的能力构成恢复能力。如,第三级信息系统安全保护能力应能够在统一安全策略下,防护系统免受来自外部有组织的团体(如商业情报组织或犯罪组织等),拥有较为丰富资源(包括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾难(灾难发生的强度较大、持续时间较长、覆盖范围较广等)以及其他相当危害程度的威胁(内部人员的恶意威胁、无意失误、较严重的技术故障等)所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。

基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求。根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类。技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确配置其安全功能来实现;管理类安全要求与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。基本安全要求从各个层面提出了系统的每个组件应该满足的安全要求,信息系统具有的整体安全保护能力通过不同组件达到基本安全要求来保证。除了保证系统的每个组件满足基本安全要求外,还要考虑组件之间的相互关系,来保证信息系统的整体安全保护能力。如,三级信息系统基本要求是在二级基本要求的基础上,技术方面,在控制点上增加了网络恶意代码防范、剩余信息保护、抗抵赖等,同时,对身份鉴别、访问控制、安全审计、数据完整性及保密性等均有进一步的要求。在管理方面,则增加了监控管理和安全管理中心等控制点,同时要求设置必要的安全管理职能部门,加强了安全管理制度的评审以及人员安全的管理,对系统建设过程加强了质量管理。

   《基本要求》虽然针对各个等级的信息系统提出了相应的安全保护要求,但“基本”意味着这些要求是针对该等级信息系统达到基本保护能力而提出的,这些要求的实现能够保证信息系统达到相应等级的安全保护能力,但信息系统达到相应等级的保护能力并不仅仅依靠这些安全保护要求。同时《基本要求》强调的是“要求”,而不是具体的实施方案或作业指导书,《基本要求》虽然给出了五个等级信息系统每一保护方面需达到的要求,但实现这些要求的措施或方式并不局限于《基本要求》的描述。