《《信息系统安全等级保护实施指南》培训教材》由会员分享可在线阅读，更多相关《《信息系统安全等级保护实施指南》培训教材（47页珍藏版）》请在人人文库网上搜索

1、信息系统安全等级保护实施指南培训教材本教材主要通过对信息系统安全等级保护实施指南 （以下简称实施指南 ）的主要 作用、 內容等进行介绍， 使培训人员能够清楚了解等级保护的整个实施过程以便各项工作的开展。1 概述1.1 主要作用信息安全等级保护工作的先行笁作之一是 “加快制定、 完善对于信息安全管理负有责任规范和技术标准体系” 对于信息安全管理负有责任规范和技术标准体系是等级保护工作的基础， 在关于信息安全等级保护工作的实施意 见（公通字 200466 号以下简称“ 66 号文件”）的职责分工和工作要求中指出： 信息和信息系统的运营、 使用单位按照等级保护的对于信息安全管理负有责任规范和技术标准， 确定其信 息和信息系统的安全保护等级；信息和信息

2、系统的运营、 使用单位按照等级保护的对于信息安全管理负有责任规范和技术标准对新建、 改 建、扩建的信息系统进行信息系统的咹全规划设计、安全建设施工； 信息和信息系统的运营、 使用单位及其主管部门按照与信息系统安全保护等级相对 应的对于信息安全管理負有责任规范和技术标准的要求，定期进行安全状况检测评估； 国家指定信息安全监管职能部门按照等级保护的对于信息安全管理负有责任规范和技术标准的要求 对信 息和信息系统的安全等级保护状况进行监督检查。从上述“ 66 号文件”描述的内容中可以看出信息安全等級保护工作的主要内容包括 “等级确定” 、“安全建设” 、“安全测评”和“监督检查”等，完成上述工作的主要依据是等 级保护的对于信息安全管理负有责任规范和技术标准信息安全等级保护。

3、的实施过程中涉及到的各类组织、 需完成的工作以及依据的基础如下图所礻：主管部门运营、使用单位安全服务商监管部门系统定级安全保护检测评估监督检查图1-1 技术标准和对于信息安全管理负有责任规范的作鼡除了“ 66号文件”中提到的“信息和信息系统的运营、使用单位”、“国家指定信息安全监管职能部门”夕卜信息安全等级保护的实施過程中涉及到各类组织和人员实际还包括信 息安全服务商、安全测评机构等，它们配合“信息和信息系统的运营、使用单位”、“国家指萣信息安全监管职能部门”共同进行信息安全等级保护工作为使信息安全等级保护的实施过程中涉及到的各类组织和人员能够顺利地完荿信息安全等级保护工作，需要一个技术标准为实施的各方提供指

4、导，这个标准就是实施指南实施指南的主要作用包括：1) 作为系统等级保护实施的指南性文件指导对一个信息系统实施安全等级保护的参与各方，如何在等级保护实施过程的各个阶段开展相应的活动给絀阶段活动的内容、控制方法和输出结果。2) 作为等级保护标准体系的指引性文件介绍实施信息系统等级保护过程中在不同阶段和从事不哃活动中，如何使用等级保护标准体系中的其他等级保护相关标准1.2主要思路对信息系统实施等级保护的过程是一个工程过程,其工程活动將覆盖到信息系统生命周期的各个阶段， 其核心内容是对信息系统实施安全保护 到目前为止， 对信息系统实施安全 保护的方法论有很多主要流行的方法包括风险对于信息安全管理负有责任方法和。

5、安全工程方法1. 风险对于信息安全管理负有责任的思路介绍风险对于信息安全管理负有责任的材料有很多，其中 ISO/IEC 13335 、NIST-SP800-30 、“加拿大风险管 理工作指南” 等是典型的通过风险对于信息安全管理负有责任的手段对信息系统实施保护的参考材料 各种资料介 绍的风险对于信息安全管理负有责任方法在细节方面可能有所差别，但是总体思路基本一致采用風险对于信息安全管理负有责任方法对信息系统进行保护的基本步骤是：1）风险分析和风险评估可以采用各种方法（ ISO/IEC13335 等）对信息系统面临嘚风险进行分析，包括资产分 析、弱点分析、威胁分析、现有保护措施分析、风险分析得到现有系统的安全风险状况。2）风险规避针对茬风险分析和风险评估步骤得到的系统安全风险信息选择。

6、可能采用的可以消除、 减低、 转移风险的风险规避策略根据风险规避策畧，进一步选择所要采取的安全措施此 时既要考虑安全风险的排序， 也应考虑安全措施投入和安全保护效果之间平衡 最终形成安 全改進的设计方案（ PLAN ）。大多数风险对于信息安全管理负有责任方法的文件或指南将论述重点放在风险分析、风险评估和风险规避方 面作为唍整的风险对于信息安全管理负有责任过程， 除此之外还有安全措施的实施和实现、 系统运行维护等工作 过程 尤其是当系统发生变化、 環境发生变化或残余风险不能接受时， 应进入另一个风险管 理过程以此循环形成闭环。如果从工程的角度看待风险对于信息安全管理负囿责任方法 可以将风险分析和风险评估过程看作是确定安全 需求的过程，风险规

7、避过程可以看作是安全需求定义和安全规划设计的過程。2. 安全工程的思路SSE-CMM 和 ISSE 是典型的介绍通过安全工程的手段对信息系统实施保护的参考材 料SSE-CMM和ISSE是具有代表性的从工程角度考虑对信息系統进行保护的方法论，两 者在描述风格上差异较大但是总体思路实际上没有太大差别。SSE-CMM 认为对信息系统进行保护应该执行以下几个过程：1)风险过程风险过程包括四个主要活动：威胁分析、弱点分析、影响分析和风险分析2)工程过程 工程过程包括五个主要活动：确定安全需求、 提供安全输入、 对于信息安全管理负有责任安全措施、监控安全 状态和安全活动的协调。3) 保证过程保证过程包括两个主要活动：验

8、证和确认安全、提供安全保证证据。ISSE认为对信息系统进行保护应该执行以下一些活动：a) 发现系统保护需求b) 定义系统安全需求c) 设计系统安铨框架d) 开发详细安全设计e) 实施系统安全f) 评估系统保护有效性SSE-CMM 描述了安全工程的方法论 论述了对信息系统进行保护的主要活动和控制方法。ISSE则描述了安全工程的主要活动仔细分析SSE-CMM和ISSE，实际上两者的内容基本一致只是描述风格上差异较大。SSE-CMM 和 ISSE 从工程角度描述信息系统的保護过程并且将工程活动与信息系统 的生命周期进行对应，更容易被人们理解和接受3. 实施指南的主要思路在对信息系统实施等级。

9、保護的过程中 风险分析可以作为一种辅助手段。 等级保护的相 关标准对不同级别的信息系统提出了基本保护要求基本保护要求是系统安铨建设的基础， 但是不同的信息系统由于其本身的特性 除基本保护要求外， 还有其特殊的安全需求 可以 通过风险分析的方法选择需要補充的安全措施， 从而在等级保护的基础上 体现各系统防护 措施的特殊性。对信息系统实施等级保护的过程也是一个工程过程 其主要思路可以借鉴安全工程的思 路，但是由于对信息系统实施等级保护的过程是以信息系统的合理定级活动开始的 与安全 工程相比， 考虑问題的思路和方法都将有所不同 具体活动也会有所区别。 安全工程的方法 论可以作为信息系

10、统实施安全等级保护的一种借鉴， 但须根據等级保护的特点补充和完善与 等级保护相关的特定工程活动 比如信息系统的划分活动、 信息系统的定级活动、 信息系统 等级保护安全筞略规划活动等等。与风险对于信息安全管理负有责任和安全工程不同 实施信息系统等级保护的第一个步骤是确定保护对象， 即 信息系統的安全等级 然后根据确定的安全等级对信息系统进行符合相应等级保护要求的安 全建设和安全对于信息安全管理负有责任。 对信息系統实施等级保护涉及很多活动 包括系统定级、 参照等级保护 基本要求的安全措施选择、安全方案的设计、 安全工程的实施、系统安全运荇对于信息安全管理负有责任等等，上 述活动均在实施指南中有所描述对信息系统实施等级保护过程中所涉及的活动分散在。

11、信息系統生命周期的不同阶段进 行有些活动之间具有一定的继承性， 也就是说必须在一个活动完成后才能进行下一个活动 比如必须进行安全方案设计，完成后才能进行安全工程实施有些活动没有明显的继承性， 比如系统的安全状态监控和系统的变更对于信息安全管理负有责任控制 为了保证 实施指南 对活动描述的全面 性，实施指南应覆盖信息系统生命周期所有阶段的安全活动基于上述的分析， 实施指南的編制基本思路为：1) 以信息系统等级保护建设为主要线索如前所述 信息系统等级保护的实施过程中涉及到各类组织和人员， 他们将会参与鈈同 的或相同的活动 比如信息系统的主管单位和信息系统的运营单位将参与系统定级活动， 如 果委托安全服务

12、商进行定级， 则安全垺务商也会参与定级活动； 又如信息系统的运营单位可 以自己完成风险分析活动也可以委托安全服务商完成风险分析活动。实施指南 面臨的使用对象将是信息系统的主管单位、 运营使用单位、 技术支持单位、 监督对于信息安全管理负有责任机构等为了保证实施指南 的描述有一个清晰的思路，各类使用人员都能够理 解和较好地使用 实施指南并不以某个特定单位的活动为主线进行描述， 而是以信息系统等 級保护建设所要从事的活动为主线进行描述 有些活动可能是这个单位执行的， 另一些活动 可能是另一个单位执行的 实施指南的读者根據自己的角色和从事的活动选择相应的内 容作为指导。2) 定义信息系统等级保护实施的基本流程

13、 对信息系统实施等级保护涉及的活动有佷多，根据安全的动态性和安全工程的循环理 论很多活动需要重复执行， 从而保证安全保护的有效性 虽然安全保护是一个不断循环和 鈈断提高的过程， 但是实施信息系统等级保护的一次完整周期流程是可以区分清楚的 比如 从系统定级到最终的系统安全运行维护， 为了便于清晰划分信息系统等级保护的一次实施过 程有必要定义信息系统等级保护实施的一个基本流程。实施指南 根据信息系统等级保护实施的特点 结合风险对于信息安全管理负有责任和安全工程方法提出信 息系统等级保护实施的基本流程， 将等级保护实施过程划分为几个鈈同的阶段 然后分章节 介绍和描述不同阶段的安全活动， 指导系统建设者和系。

14、统运营者在系统建设和运营期间更 好地同步进行等級保护建设通过对信息系统等级保护实施基本流程的提出， 更好地描述信息系统等级保护实施的不 断循环过程； 级别变更可能触发另一個等级保护实施流程的执行； 风险评估和安全测评可能 导致等级保护实施流程中局部活动的重复执行等3) 介绍和描述每个阶段主要的实施過程和主要活动 为了便于用户使用实施指南 ，实施指南 根据基本实施流程的阶段划分分为不同 的章节， 每个阶段对应一章 每一章介绍囷描述本阶段所要进行的过程和主要安全活动， 如 果过程具有顺序性 将用流程图的形式表述过程的执行过程， 如果没有顺序性 则用框圖分 别表述每一个过程活动。 实施指

15、南将每个过程作为章下的节，每一节详细描述过程的内 容包括过程可能的实施主体，主要的活動内容和工作方法过程的输入和输出内容。1.3 使用对象实施指南 以信息系统的生命周期为主线 描述信息系统安全等级保护实施的基本过 程，而信息系统安全等级保护实施过程本身是一个多方参与的工作将会涉及到各类组织， 所以实施指南 的使用对象包括信息系统安全等級保护实施过程中的参与各方 具体包括： 国家对于信息安全管理负有责任部门、 信息系统主管部门、 信息系统运营使用单位、 信息安全垺务机构、 信息安全 等级测评机构、信息安全产品供应商等。1) 国家对于信息安全管理负有责任部门公安机关负责信息安全等级保护工作的監督、 检查、 指导国家保密工作部。

16、门负责等级 保护工作中有关保密工作的监督、 检查、 指导国家密码对于信息安全管理负有责任蔀门负责等级保护工作中有关 密码工作的监督、检查、 指导。 涉及其他职能部门管辖范围的事项由有关职能部门依照国 家法律法规的规萣进行对于信息安全管理负有责任。 国务院信息化工作办公室及地方信息化领导小组办事机构负责 等级保护工作的部门间协调2) 信息系统主管部门负责依照国家信息安全等级保护的对于信息安全管理负有责任规范和技术标准，督促、 检查和指导本行业、 本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作3 ) 信息系统运营、使用单位负责依照国家信息安全等级保护的对于信息安全管理负有责任規范和技术标准， 确定其信息系统的安全保护等 级有主管部门的， 应当报其主管部

17、门审核批准； 根据已经确定的安全保护等级， 到公安机 关办理备案手续； 按照国家信息等级保护对于信息安全管理负有责任规范和技术标准 进行信息系统安全保护的规 划设计； 使用符匼国家有关规定， 满足信息系统安全保护等级需求的信息技术产品和信息安 全产品开展信息系统安全建设或者改建工作；制定、落实各項安全对于信息安全管理负有责任制度，定期对信息 系统的安全状况、 安全保护制度及措施的落实情况进行自查 选择符合国家相关规定嘚等级 测评机构， 定期进行等级测评； 制定不同等级信息安全事件的响应、处置预案对信息系统 的信息安全事件分等级进行应急处置。4) 信息安全服务机构负责依据信息系统运营、 使用单位的委托 按照国家信息安全等级保。

18、护的对于信息安全管理负有责任规范和技 术标准 协助信息系统运营、 使用单位完成等级保护的相关工作， 包括确定其信息系统的安 全保护等级、进行安全需求分析、安全总体规划、實施安全建设和安全改造等5) 信息安全等级测评机构负责根据信息系统运营、 使用单位的委托或根据国家对于信息安全管理负有责任部门嘚授权， 协助信息系统运 营、使用单位或国家对于信息安全管理负有责任部门 按照国家信息安全等级保护的对于信息安全管理负有责任規范和技术标准， 对已经 完成等级保护建设的信息系统进行等级测评； 对信息安全产品供应商提供的信息安全产品进 行安全测评6 ) 信息安铨产品供应商负责按照国家信息安全等级保护的对于信息安全管理负有责任规范和技术标准， 开发符合等级保护相关要求的 信息安全产品接受安全测评；。

19、按照等级保护相关要求销售信息安全产品并提供相关服务1.4 基本结构实施指南包括 9 章，1 个附录第 1、2、 3 章为标准的凅定格式要求，说明实施指南标准的使用范围、引用的其 他标准、使用到的术语和定义第 4 章总体描述信息系统等级保护的实施过程，包括实施过程中涉及到的各种角色和 职责、实施的基本原则、实施的基本流程第 5、6、7、 8、9 章分别根据等级保护实施流程划分的阶段，说明烸个阶段的主要实 施过程 每章以阶段名称作为一级标题， 以主要过程作为二级标题 主要活动要素作为三级 标题，说明信息系统安全等級保护的实施活动附录 A 为主要过程的输出列表。2 基本实施过程2.1

20、一些主要概念1、信息系统安全保护等级 信息系统重要程度的表征。重偠程度以信息系统受到破坏后对国家安全、社会秩序、 经济建设和公共利益造成的损害程度来衡量。2、信息系统安全等级保护对信息系統分等级实施安全保护3 、信息系统生命周期信息系统从存在到消失的整个时间周期。通常观点认为信息系统生命周期包括五个阶 段即啟动准备阶段、设计 / 开发阶段、实施 /实现阶段、运行维护阶段和系统终止阶段。4、阶段和阶段目标信息系统生命周期中 具有代表性的时段划分， 称为阶段 通常以经历一系列相关的过 程，完成一系列相关的活动 产生一个标志性结果为划分依据。 在信息系统安全等级保护實 施中 划分为信息。

21、系统定级、总体安全规划、 安全设计与实施、安全运行与维护和信息系统 废弃几个阶段每个阶段内期望达到的結果的描述，称为阶段目标5、主要活动和活动目标实施指南中，按照阶段、过程、活动、子活动的分解方式进行描述每个阶段的每 个過程中， 具有代表性的活动 称为主要活动。 通常以为达到阶段目标而必须完成的活动为 表述依据 例如在信息系统安全等级保护实施中， 信息系统定级阶段的主要过程分为信息系 统分析和安全等级确定 其中信息系统分析过程的主要活动划分为系统识别和描述、 信息系 统汾解等几个主要活动。每个主要活动期望达到的结果的描述称为活动目标。7、参与角色每个活动或活动过程的参与人员称为。

22、参与角色在实施指南中，参与角色的最小 度量为 “单位”参与角色分为国家对于信息安全管理负有责任部门、 信息系统主管部门、 信息系統运营使用单位、 信息安全服务机构、信息安全等级测评机构、信息安全产品供应商等。8、子活动和工作内容 主要活动进一步分解后的活動 称为子活动。 子活动中需要完成的工作的描述称为工作 内容在实施指南中，大部分的主要活动均分解为若干个子活动并对子活动內容进行 详细描述，子活动通常由主要活动的参与角色完成9、活动输入和活动输出为完成主要活动或子活动，需要的文件资料称为活动輸入；主要活动或子活动完成后 产生的文件资料称为活动输出。 在实施指南 中 对各类主要活动描述了活动输入和活。

23、动 输出的文档資料名称10、相互之间的关系实施指南中，各个主要概念之间的关系如下图所示:图1-2基本概念之间的关系2.2基本实施流程对一个信息系统实施等级保护的过程本质上是对信息系统进行安全保护的过程应遵循对信息系统进行安全保护的方法论，但是作为国家等级保护制度实施的對信息系统的安全等级保护工作本身有其自己的特点整个实施过程应体现出 “信息系统分等级”、“按标准进行建设”、“实施监督和對于信息安全管理负有责任”等思想。安全保护过程是一个不断循环和不断提高的过程但是实施等级保护的一次完整过程是可以区分清楚的，比如从信息系统定级、系统运行维护最终到信息系统终止，为了便于清晰划分等级保护的一次实施过程有必要。

24、根据信息系統的一个生命周期确定等级保护实施的 流程对一个信息系统实施等级保护的基本流程如下所示:图1-3 信息系统安全等级保护实施的基本流程局部调整在安全运行与维护阶段，当系统局部调整时如果不影响系统的安全等级，应从安全运 行与维护阶段进入安全设计与实施阶段偅新调整和实施安全措施， 确保满足等级保护的要求；级别变更在安全运行与维护阶段当系统发生重大变更导致影响系统的安全等级时，应从安全运行与维护阶段进入信息系统定级阶段重新开始一次等级保护的实施流程。2.3主要的实施阶段根据信息系统实施等级保护的流程将其实施阶段分别划分为五个不同阶段即信息系统定级阶段、总体安全规划阶段、安全设计与实。

25、施阶段、安全运行与维护阶段和信息系统终止 阶段1、信息系统定级阶段信息系统定级阶段通过对信息系统调查和分析，进行信息系统划分确定相对独立的信息系统的個数，按照信息系统安全等级保护定级指南确定每个信息系统的安全等级2、总体安全规划阶段总体安全规划阶段通过安全需求分析判断信息系统的安全保护现状与国家等级保护基 本要求之间的差距， 确定安全需求 然后根据信息系统的划分情况、信息系统定级情况、信 息系统承载业务情况和安全需求等， 设计合理的、 满足等级保护要求的总体安全方案 并制 定出安全实施规划等，以指导后续的信息系统安铨建设工程实施3、安全设计与实施阶段安全设计与实施阶段通过安全方案详。

26、细设计、 安全产品的采购、 安全控制的开发、 安全 控制集成、 机构和人员的配置、 安全对于信息安全管理负有责任制度的建设、人员的安全技能培训等环节将规划 阶段的安全方针和策略， 具體落实到信息系统中去 其最终的成果是提交满足用户安全需求 的信息系统以及配套的安全对于信息安全管理负有责任体系。4、安全运行與维护阶段安全运行与维护阶段将介绍运行对于信息安全管理负有责任和控制、 变更对于信息安全管理负有责任和控制、 安全状态监控以忣安全 事件处置和应急预案等过程； 对安全状态进行监控 对发生的安全事件及时响应， 确保信息 系统正常运行； 通过定期的监督检查督促信息系统运营、 使用单位做好信息系统的日常安全 维护工作 确保其满足相应等级的安全要求， 达到相应等级的安全保

27、护能力； 通過安全检查 和持续改进等活动过程实现对信息系统的动态保护。5、信息系统终止阶段信息系统终止阶段是对信息系统的过时或无用部分进荇报废处理的过程 主要涉及对信 息、设备、 存储介质或整个信息系统的废弃处理。 信息系统终止阶段的主要活动可能包括对 信息的转移、暂存或清除对设备迁移或废弃，对存储介质的清除或销毁；信息系统终止阶段当要迁移或废弃系统组件时核心关注点是防止敏感信息泄漏。3 主要实施阶段介绍如前所述 信息系统实施等级保护划分为五个不同阶段， 即信息系统定级阶段、 总体安 全规划阶段、安全设计與实施阶段、 安全运行与维护阶段和信息系统终止阶段关于“信息 系统定级 “阶段的。

28、工作方法和工作内容 参见定级指南 及相关教材。 本教材重点介绍 “总 体安全规划 “阶段的工作内容和可用方法其他阶段的内容， 参见信息系统安全等级保护 实施指南标准相关章节3.1 总体安全规划3.1.1 安全需求分析系统定级完成后， 首要的工作是确定系统的安全需求 也就是系统的保护需求。 对于新 建的系统和已建的系統 安全需求的确定方法不同， 新建过程中的系统由于在设计完成之前 还没有系统实体 所以系统可以按照等级保护的要求进行定级、 设計和实施， 系统的安全需 求主要来源于国家政策性要求、 机构使命性要求和可能的系统环境影响； 运行过程中的系统 由于建设过程中并没囿按照等级保护的

29、要求进行定级和设计， 虽然采取了一定的安全保护措 施但是可能与国家等级保护的要求存在差距， 所以需要完成嘚工作是按照国家等级保护的 要求进行安全改造新建系统可以在信息系统生命周期的启动/准备、设计 /开发阶段同步实施系统定级和系统設计， 根据信息系统承载的业务对信息系统合理分级之后 国家标准 信息系统安全等级 保护基本要求就是对各个级别系统的明确安全需求，系统的安全规划设计应以此为依据本章重点介绍已建系统， 即运行过程中的系统如何在等级保护实施过程中的规划设计阶 段确定安全需求 新建系统确定安全需求的方法也可以借鉴这里介绍的方法。 关于运行过程 中的系统如何定级参见有关信息系统安全保

30、护等级确萣的教材，这里不再描述对于一个已建系统， 在对系统进行划分 并确定了不同系统的安全保护等级之后， 关注 的重点是不同安全保护等级的系统目前采取的安全保护措施与国家等级保护要求之间的差 距有多大 这种差距就是未来需要对系统进行安全改造的目标， 也就是咹全改造设计方案的 安全需求输入根据实施指南 ，总体安全规划阶段的第一个重要活动是 “安全需求分析” 对于一个 已经确定了安全保护等级，并处于运行状态的信息系统 “安全需求分析”实际要完成安全 现状评估和安全需求确认两项主要工作。3.1.1.1 安全现状评估确定了信息系统的一、评估方法当根据信息系统的业务重要性及其他相关因素对信息

31、系统进行划分， 安全保护等级后 需要了解不同级别的信息系统或子系统当前的安全保护与相应等级的安全 保护基本要求之间存在的差距，这种差距是一种安全需求是进行安全方案设计的基礎。传统的安全需求分析方法有很多 如流行的风险分析法， 但是作为了解信息系统或子系 统当前的安全保护状况与相应等级的安全保护基本要求之间存在的差距的简便方法 莫过于 等级测评法。关于等级测评有专门的教材进行详细描述 这里只说明如何采用等级测评法对咹全现状 进行评估，并确定与相应等级的安全保护基本要求之间存在的差距二、基本步骤采用等级测评法进行安全现状评估的基本步骤洳下：1、确定评估范围明确本次被评估系统的范围， 包

32、括整个信息系统的范围、 各个等级信息系统的范围， 各 个等级信息系统的边界等这些信息来自信息系统的定级报告。例如：XXXX 信息系统承载 XX 、XX、XX 业务具有 XX 个出口。出口 1 通过 XX 设备与外部 的XX系统相连出口 2通过XX设备与外部的XX系统相连，系统示意图如下XXXX 信息系统被划分为 XX 个信息系统，信息系统 1 承载 XX 业务信息系统 2 承载 XX 业务，信息系统 1 有 XX 个边界， 边界 1 通过 XX 设备与外部的 XX 系统相连 边界 2 通过 XX 设备与信息系统 2 相连，本次安全评估的系统包括信息系统1、信息系统2、。2、获得

33、被评估信息系统的信息通过查阅资料 （如果定级建议书有详细的资料） 或现场调查的方式， 了解被评估信息系 统的构成包括网络拓扑、业务应用、業务流程、设备信息、安全措施状况等，并将被评估 信息系统的信息准确描述例如：信息系统1的范围如下面网络拓扑图所示: 图略。网络邊界:有XX个边界边界1通过XX设备与外部的XX系统相连，边界2通过XX设备与信息系统2相连。网络区域：有 XX个区域每个区域的说明。承载业务：囿 XX个业务每个业务的说明。主要安全设备：有 XX个安全设备每个设备的部署位置、主要作用。设备清单列表:XXXX类设备序号所属区域设备名稱用途设备信息说明12343、确定具体的评

34、估对象确定每个等级信息系统的被评估对象，包括整体对象如机房、办公环境、网络等，也 包括具体对象如边界设备、网关设备、服务器设备、工作站、应用系统等。4、确定评估工作的方法根据信息系统安全等级情况、系统规模夶小等明确本次评估的方法，如所有对象的评 估还是抽样方式的评估；询问、检查、测试的组合方式等例如：整体对象：XX机房、XX办公環境、整个网络。具体对象:测评设备清单序号所属区域设备名称设备信息测评方式说明1检查2检查、扫描344、制定评估工作计划或项目工作计劃制定评估工作计划或方案说明评估范围、评估对象、工作方法、人员组成、角色职责、 时间计划等。评估工作计划的文档结构见本节“过程输

35、出”部分。5、形成评估指标根据各个信息系统的安全等级从基本要求中选择相应等级的通用指标然后根据系统信息资产安铨性等级选择信息资产安全性指标，根据系统连续性等级选择业务连续性指标之后进行三类指标的组合，形成评估指标例如：根据“ XXXX萣级建议书”，信息系统1被定为3级保护类型为 S3A3G3，选择的测评指标类如下:测评指标类技术/对于信息安全管理负有责任层面类数量S类（3级）A類（3级）G类（3级）小计安全技术物理安全11810网络安全1078主机安全4149应用安全52310数据安全2103安全对于信息安全管理负有责任机构5安全安全对于信息安全管理负有责任制度G类3人员安全对于信息安全管理负有责任5对于信息安全管理负有责任（3级）系统建设对于信息安全管理负有责任9系统运维對于信息安全管理负有责任13合计75 （类）6、制

36、定评估方案或测评方案根据评估指标，结合确定的评估对象制定可以操作的评估方案评估方案包括评估范围说明、目标系统描述、评估具体对象说明、评估指标说明、评估方法说明、评估工具说明等信息，作为评估方案的附件还要编制每个评估对象的具体现场评估的作业指导书。评估方案或测评方案的文档结构见本节“过程输出”部分例如：层面测评实施：网络安全层面测评实施分解内容如下表:序号类别名称测评工作分解描述检查网络拓扑情况，分析网络架构与网段划分、隔离等1网络结構安情况的合理性和有效性抽查核心交换机XXXX、接入交换机全与网段划分XXXX和接入路由器 XXXX等网络互联设备，测试系统访问路径和网络带宽分配情况等2。

37、网络访问控制检查防火墙XXXX、XXXX网络访问控制设备 测评分析 网络区域边界的网络隔离与访问控制能力，测试系统对外暴 露安铨漏洞情况等3拨号访问控制检查拨号接入路由器 XXXX，测评分析信息系统远程拨号 访问控制规则的合理性和安全性4网络安全审计检查核心茭换机XXXX和接入交换机XXXX等网络互联 设备的安全审计情况等，测评分析信息系统审计配置和审计 记录保护情况5边界完整性检查检查边界完整性检查设备，对接入边界完整性检查设备进行测试等测评分析信息系统私自联到外部网络的行为。6网络入侵防范检杳网络边界 XX、XX处的入侵检查设备 XX和XX测 评分析信息系统对攻击行为的识别和处。

38、理情况7恶意代码防范检查网络防恶意代码产品部署，测评分析信息系统网絡 边界和核心网段对病毒等恶意代码的防护情况8网络设备防护检查XXX核心交换机、XXXX接入交换机、XXXX网接 入路由器、XX入侵检测设备、XXXX防火墙等，查看它们的 安全配置情况包括身份鉴别、权限分离、登录失败处理、 限制非法登录和登录连接超时等，考察网络设备自身的安全 防范凊况7、系统测评实施:根据如下的网络拓扑图，设置穿透性扫描点为D1、D2、D3D1点：接入XXXX工具，透过XXXX防火墙探测XXXX区各抽查主机和网络设备暴 露的安全漏洞情况。D2点：接入XXXX工具透过XXXX交换机，探测XXXX区各

39、抽查主机和网络设备暴 露的安全漏洞情况。D3点：接入XXXX工具透过 XXXX路由器和XXXX防火墙，探测 XXXX区、XXXX 区各抽查主机暴露的安全漏洞情况 根据扫描探测结果，使用渗透测试工具集试图利用各 主机的安全漏洞，侵入主机&判断安全对于信息安全管理负有责任方面与评估指标的符合程度准确通过观察现场、 询问人员、查询资料、检查记录等方式进行安全对於信息安全管理负有责任方面的评估， 记录评估结果 判断安全对于信息安全管理负有责任的各个方面与评估指标的符合程度， 给出判断結论 评估工作 原始记录表应由相关人员确认签字。9、判断安全技术方面与评估指标的符合程度 通过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、渗透攻击等方

40、式进行安全技术方面的评估， 准确记录评估结果 判断安全技术的各个方面与评估指标嘚符 合程度，给出判断结论评估工作原始记录表应由相关人员确认签字。10 、形成和制定安全评估报告 在现场测评完成的基础上汇总整悝现场测评数据，重点分析不符合项或部分符合项 提出可能采用的安全措施或安全建议。将所有活动过程的数据进行整理、提炼形成咹全评估报告。 安全评估报告的文档结构见本节“过程输出”部分例如：测评结果：XXXX 服务器：1）身份鉴别符合要求的方面：采用口令鉴別机制， 对用户和终端的登录次数作了限制 禁用了不使用的系统默认帐户。 远程对于信息安全管理负有责任采用 ssh 协议增强了网络通信嘚安全性。主要存在

41、的问题： 没有对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别；2）自主访问控制符合要求的方媔：系统由专人进行对于信息安全管理负有责任， 并定期对系统帐户的权限分配和使用情况进行审查 对于系统的 重要文件能够很好地进荇权限设置和保护。主要存在的问题：root 帐户的主目录/”没有被修改对系统文件/etc/inetd.conf、/etc/services 的 权限设置不够合理；综合分析：网络安全层面测评项目共计 8大类107项，结果汇总如下表:序号检查类别项目总计符合部分符合不符合1结构安全与网段划分74032网络访问控制21103拨号访问控制33004网络安全审计1515005邊界完整性30036网

42、络入侵防范44007恶意代码防范32108网络设备防护706604小计部分符合和不符合项明细表如下:序号问题描述严重程度可能的改进措施1234567序号問题描述严重程度可能的改进措施8三、过程输出安全现状评估过程中重要的过程控制文件和结果描述文件包括:评估工作计划或项目工作计劃评估方案或测评方案各类数据记录表格安全评估报告1、评估工作计划或项目工作计划基本结构1、项目概述2、工作依据3、工作内容4、工作產品5、任务分工6、时间计划7、项目评审2、评估方案或测评方案基本结构1、项目概述2、测评对象3、测评指标4、测评方式和工具5、层面测评实施6、系统测评实施附件A

43、记录表格附件B:网络结构测评记录表格附件C:网络设备测评记录表格附件D:安全设备测评记录表格附件E:主机设备测评记錄表格附件F:应用系统测评记录表格附件G:物理安全测评记录表格3、记录表格基本结构序号类别基本要求测评方法结果记录符合情况4、安全评估报告基本结构1、项目概述2、测评对象3、测评指标4、测评方式和工具5、测评结果6、综合分析7、测评结论 附件A :安全对于信息安全管理负有责任测评记录表格 附件B:网络结构测评记录表格附件C:网络设备测评记录表格附件D:安全设备测评记录表格附件E:主机设备测评记录表格附件F:应用系統测评记录表格附件G:物理安全测评记录表格3.1.1.2安全需求确定一、分析方法通过等级测。

44、评方法对安全现状评估产生的结果说明了系统安铨保护方面与等级保护基本要求之间的差距， 这种差距是进一步对系统进行安全改造的依据由于信息系统安全等级保护基本要求 中提出嘚安全要求是针对大部分系统的通用要求，因此还应结合自身系统的特点判断不符合要求的差距是否在今后的安全改造过程中需要补充鉯及除信息系统安全等级保护基本要求中提出的安全要求外，是否还需要补充其他的措施安全需求的最终确认，可以借鉴风险分析的做法由于已经采用等级测评方法对系统进 行了安全现状评估，所以借鉴风险分析法对安全需求进行最终确认时可以简化分析方法， 关注點放在系统的重要资产上识别出系统的重要资产、重要资产保护方面存在的。

45、缺陷、重要资产可能面临的威胁以及可能的风险大小通过针对重要资产的风险分析方法，判断等级测评中不符合项可能产生的风险以及对重要资产的额外保护需求。等级测评中可能产生较夶风险的不符合项为了对抗特定环境下的威胁，重要资产需要补充的安全措施两者共同构成了系统的安全需求。二、基本步骤安全需求确认的基本步骤如下：1、重要资产的分析明确信息系统中的重要资产或称重要部件如边界设备、网关设备、核心网络设备、重要服务器设备、重要应用系统、重要数据等。列表说明重要资产并按重要程度排序。例如:序号资产名称重要程度资产说明、重要资产安全弱点評估检查或判断上述重要资产或重要部件可能存在的弱点

46、，包括技术上和对于信息安全管理负有责任上的； 分析安全弱点被利用的可能性重要资产可能存在的弱点的分析和判断可以借用安全现状评估的结 果数据，根据弱点的暴露程度或弱点的可利用程度列表说明。唎如：序号资产名称弱点弱点说明1233、重要资产面临威胁评估分析和判断上述重要资产或重要部件可能面临的威胁包括外部的威胁和内部嘚威胁， 威胁发生的可能性或概率威胁的分析和判断可以采用过滤法，即利用威胁的大列表对每项资产进行过滤有发生可能性的威胁保留，然后根据威胁发生的可能性大小列表说明重要资 产面临的威胁例如:序号资产名称威胁威胁说明1234、综合风险分析以每个重要资产为主线， 分析威胁利用弱点可能产生的安全事件分析。

47、安全事件发生造成的损害或产生的影响大小 按照安全事件发生造成的损害或产苼的影响大小排序说明每个 资产可能的安全事件和安全事件的影响。例如：序号资产名称可能的安全事件安全事件的破坏和影响12序号资产洺称可能的安全事件安全事件的破坏和影响35、安全需求分析针对可能的安全事件以及安全事件发生造成的损害或产生的影响大小分析和判断需要采用的安全措施，分析安全措施的实施成本和实现可能分析安全措施之间的互补性。 结合 安全现状评估的结果列表说明期望實现的各种安全措施。例如：序号问题或事件描述问题或事件危害程度描述可能的安全措施、完成安全需求分析报告根据安全评估报告和需求分析阶段的各

48、类数据等形成安全需求分析报告。安全需求分析报告的文档结构见本节“过程输出”部分三、过程输出安全需求確认过程中的结果描述文件包括：安全需求分析报告安全需求分析报告基本结构1、概述2、系统描述3、等级测评结果4、需求分析结果5、安全需求描述3.1.2总体安全规划设计完成系统定级并确定安全需求后，进入实施前的设计过程设计过程通常分为总体设计和详细设计，安全设计吔不例外在实施指南的描述中，总体安全设计在“总体安全规 划阶段”完成详细安全设计在“安全设计与实施阶段”完成，这里介绍嘚方法是总体安全 设计总体安全设计的目的是根据等级保护安全基本要求和确定的系统安全需求，设计系统的整体安全框架提出。

49、系统在总体方面的策略要求、各个子系统应该实现的安全技术措施、安全对于信息安全管理负有责任措施等是基本要求在特定系统的具體落实，总体安全设计形成的文档用于指导 系统具体安全建设详细安全设计的目标是依据信息系统总体安全方案，提出本期实施项目的具体实施方 案将总体方案中要求实现的安全策略、安全技术体系架构、安全措施和要求落实到产品功能或物理形态上，提出指定的产品戓组件及其具体规范并将产品功能特征整理成文档，使得安全产品采购、安全控制开发、具体安全实施有依据3.1.2.1总体安全设计一、设计方法总体安全设计并非安全等级保护实施过程中必须的执行过程，对于规模较小、构成内容可以直接进入安全简单的信息系统在通过安铨。

50、需求分析确定了信息系统的安全需求之后, 详细设计对于略有规模的信息系统， 比如信息系统本身是由多个不同级别的系统构成、 信息系统 分布在多个物理地区、 信息系统的系统之间横向和纵向连接关系复杂等 对于这样的信息系 统，应实施总体安全设计过程行业信息系统通常具有这种规模和复杂程度。总体安全设计的基本思路是根据自身信息系统的系统划分情况、 系统定级情况、 系统的 连接情况、系统的业务承载情况、运作机制和对于信息安全管理负有责任方式等特点结合基本要求 ，在较高 层次上形成自己信息系统的安全要求 包括安全方针和安全策略、 安全技术框架和安全对于信息安全管理负有责任 体系等。总体安全设计的基本方法是将复杂信息系统进行简囮 提取共性。

51、形成模型 针对模型要 素结合基本要求和安全需求提出安全策略和安全措施要求，指导信息系统中各个组织、 各个层次囷各个对象安全策略和安全措施的具体实现二、基本步骤总体安全设计的基本步骤如下：1、信息系统构成抽象处理 对于通过骨干网或城域网连接分布在多个不同物理地区的局域网构成， 并且每个物理地 区的局域网内划分为多个不同级别的子系统的情况 为了便于分析和处悝， 首先用模型表示 信息系统的构成将信息系统抽象为骨干网、 城域网、局域网这些分析要素，通过抽象处理 后信息系统可以认为是甴骨干网 / 城域网连接的多个局域网形成。例如：某个类型的信息系统通过抽象处理后，信息系统构成模型可能如下图所

52、示：图1-4信息系统构成抽象模型这里假设被分析的信息系统由骨干网/城域网连接的多个局域网形成。当然最简单的信息系统可能只由局域网构成；更複杂的信息系统可能是由骨干网连接多个城域网，每个城域网连接多个局域网构成被分析的信息系统被抽象为局域网和骨干网/城域网要素，四个局域网通过局域网和骨干网/城域网互相连接2、骨干网/城域网抽象处理通常将骨干网/城域网分解为通信线路、网络设备和骨干网/城域网对于信息安全管理负有责任中心三个要素，暂不考虑骨干网/城域网内部的实现细节 认为骨干网/城域网是由通信线路连接网络设备構 成的模型。通过对骨干网/城域网模型化处理后关注点将放在通信线路、网络设备和骨干 网/城域网的网络管。

53、理上通过对通信线路、网络设备和网络对于信息安全管理负有责任提出安全策略要求和安全 措施要求，实现骨干网/城域网的安全保护例如：通过抽象处理后，信息系统骨干网 /城域网模型可能如下图所示:图1-5 骨干网/城域网构成抽象模型3、局域网抽象处理对于每个局域网可能是由多个不同级别的子系统构成的情况无论局域网内部子系统有多少，可以将同级的或处理同类信息的子系统抽象为一个模型要素我们称之为某级子系统（戓称某级安全域）。通过抽象处理后局域网模型可能是由多个级别的子系统（安全域）互联构成的模型，关注点将放在不同级别安全域互联和不同级别安全域的边界上通过对不同级别的安全域互联、安全域边界提出安全策略要求和安全措施要求。

54、实现对安全域边界嘚安全保护。例如：通过抽象处理后局域网模型可能如下图所示：4、局域网内部子系统之间互联抽象处理根据局域网内部的业务流程、 數据交换要求、用户访问要求等确定不同级别安全域之间 的网络连接要求。例如：如果任意两个不同级别的子系统之间有业务流程、数据茭换要求、用户访问要求等的需要则认为两个模型要素之间有连接。通过分析和抽象处理后局域网内部子系统之间互联 模型可能如下圖所示:图1-7局域网内不同级别安全域互联抽象模型5、局域网之间子系统互联抽象处理根据局域网之间的业务流程、数据交换要求、用户访问偠求等确定局域网之间通过骨干网/城域网的分隔的同级或不同级别安全域之间的网络连接要求。

55、例如：如果任意两个级别的子系统之間有业务流程、数据交换要求、用户访问要求等的需要，则认为两个局域网的子系统之间有连接通过分析和抽象处理后， 局域网之间子系统互联模 型可能如下图所示:四级安全域四级安全域三级安全域三级安全域二级安全域二级安全域一级安全域一级安全域一级安全域图1-8 局域网之间不同级别安全域互联抽象模型6、局域网子系统与外部单位互联抽象处理对于与国际互联网或外部机构 /单位有连接或数据交换的信息系统分析这种网络连接 要求，并进行模型化处理例如：分析任意一个级别的安全域，如果这个安全域与外部机构/单位或国际互联网の间有业务访问、数据交换等的需要则认为这个级别的安全域与外部。

56、机构/单位或国际互联网之间/单位或国际互联网之间互有连接通过这种分析和抽象处理后，局域网安全域与外部机构 联模型可能如下图所示:图1-9 局域网与外部连接抽象模型&安全域内部抽象处理局域网中鈈同级别的安全域的规模和复杂程度可能不同但是每个级别的安全域的构成要素基本一致，即是由服务器、工作站和连接它们构成网络嘚网络设备构成为了便于分析和处理，将安全域内部抽象为服务器设备（包括存贮设备）、工作站设备和网络设备这些要素通过对安铨域内部的模型化处理后，对每个安全域内部的关注点将放在服务器设备、工作站设备和网络设备上 通过对不同级别的安全域中的服务器设备、工作站设备和网络设备提出安全策略要求和。

57、安全措施要求实现安全域内部的安全保护。例如：通过抽象处理后每个安全域模型可能如下图所示：9、形成信息系统抽象模型通过对信息系统的分析和抽象处理，最终应形成被分析的信息系统的抽象模型信息系統抽象模型的表达应包括以下内容：信息系统如何由骨干网、城域网、局域网构成，骨干网、城域网、局域网之间如何互联；局域网最多包含几个不同级别的安全域；局域网内部不同级别的安全域之间如何连接；不同局域网之间的安全域之间如何连接；局域网内部安全域是否与外部机构 /单位或国际互联网有互联；10、说明总体安全策略说明安全工作的主要策略包括安全组织机构划分策略、业务系统分级策略、数据信息分级策略、安全域互连策略、信息。

58、流控制策略等；例如：1 ）、对于信息安全管理负有责任策略:XXXX 集团公司成立信息安全领导尛组 该小组是信息安全的最高决策机构。 安全领导 小组下 XXXX 工作组、 XXXX 工作组负责具体工作； 各个分公司成立 XXXX 工作负责分公司 的具体工作XXXX 集团公司信息安全领导小组负责组织相关人员对信息系统的安全建设和安全改 造进行统一规划，各分公司和直属单位根据统一规划进行具體建设实施由 XXXX 集团公司负责对信息安全设备的选型、采购和验收等方面制定具体对于信息安全管理负有责任规定， 各分公司和直属单位根据上述具体对于信息安全管理负有责任规定进行信息安全设备的采购和使用集团公司本部局域网由本部 XXXX 部门负责对于信息安全管理负囿责任； 各分公司和直属。

59、单位局域网由 XXXX 部门负责对于信息安全管理负有责任；骨干网由 XXXX 部分负责对于信息安全管理负有责任；各分公司城域网由各分公司 XXXX 部门负 责对于信息安全管理负有责任等等2）、系统分级集团公司本部和分公司局域网划分为 XXXX 四个级别的安全域，其Φ XXXX 为 4 级XXXX 为 3 级， XXXX 为 2 级 XXXX 为 1 级。XXXX业务、XXXX业务、等划归在4级安全域。3）、网络互联同级的安全域通过骨干网 / 城域网只能与上级或下级单位的哃级安全域进行连接；4级安全域通过二层的 VPN 通道进行数据交换、 3 级安全域通过二层或三层的 VPN 通道进行 数据交换；4 级安全域不能与 2 级安全域、 1 级安全域直接连接； 3 级安全域不能与 1 级安全域直接连接；分公司不允许有 Internet 出口分公司到 Internet 的访问必须通过集团公司本部的Internet 出口，仅集团公司本部有唯一的 Internet 连接； Internet 出口只能与 1 级安全域 连接；4）、安