信息系统等级保护建设思路.doc

1、信息系统等级保护建设思路 实施信息安全等级保护，能够有效地提高我国信息和信息系统安全建设的整体水平，有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务，有效控制信息安全建设成本;有利于优化信息安全资源的配置，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理;有利于推动信息安全产业的发展。 　　《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)，明确指出将等级保护制度

2、作为我国信息安全领域的一项基本制度。2010年发布的《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010] 303号)明确指出，"2011年底前完成第三级(含)以上信息系统的测评工作，2012年底之前完成第三级(含)以上信息系统的安全建设整改工作。”在制度保证的前提下，各企业和组织要明确信息系统等级保护建设思路，才能事半功倍，确实提升信息系统安全保障能力。 　　一、信息安全等级保护的情况介绍 　　实施信息安全等级保护，能够有效地提高我国信息和信息系统安全建设的整体水平，有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调;有利于为信息系

3、统安全建设和管理提供系统性、针对性、可行性的指导和服务，有效控制信息安全建设成本;有利于优化信息安全资源的配置，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理;有利于推动信息安全产业的发展。 　　国内信息安全等级保护工作的开展是一个随着计算机技术的发展和业务对计算机系统依赖性逐渐增加，不断发展和完善起来的。《国家信息化领导小组关于加强信息安全保障工作的意见》正式出台，明确提出非涉密信息系统遵循等级保护思想进行信息安全建设。公安部网络安全保卫局在全国开展等级保护工作试点，先后发布了信息系统定

4、级、备案、整改建设、等级测评等各重要环节的有关文件，指导等级保护工作开展。其中2009年的公信安1429号文《关于开展信息安全等级保护安全建设整改工作的指导意见》明确提出2012年年底前完成已定级信息系统的整改工作。 　　等级保护的技术体系也基本成型，目前涉及到等级保护建设的技术标准和规范大约有30多个，主要包括了技术、管理、产品、建设流程等各方面的内容，如:定级指南、备案细则、实施指南、安全设计、基本要求、测评过程要求、测评指南，使得等级保护工作在各个环节都有具体的技术标准可以参考。 　　二、工作思路与建设原则 　　对于具有分支机构的大型企业组织来说，信息安全工作已经有等级保护的制度和

5、技术体系做依托，更多的是在实践中摸索出适合本企业组织信息系统安全建设的工作思路与建设原则。 　　统一规划、统一标准、统筹协调 　　统一规划:统一制订规划建设推进方案、等级保护工程建设方法，各信息系统均需要参照规划方案实施，不能自行规划。 　　统一标准:统一组织制订等级保护建设的流程、步骤、技术和管理规范，确保上下衔接、互联互通。 　　统筹协调:统筹全局，协调各分支机构或各业务系统之间的资源共享、业务协同，联合推进等级保护建设。 　　分级建设、分步实施、分类指导 　　分级建设;统一组织等级保护项目建设;各分支机构在总体方案的指导下，负责信息系统在本区域范围内的建设和安全运营维护。

6、　　分步实施根据目前等级保护项目建设基础条件和特点，采用分批分期建设方式开展项目建设。 　　分类指导:对干不同的信息系统，采用不同的组织管理模式、工作机制和推进方式。 　　加强管理 　　加强管理:落实等级保护项目建设组织机构、责任部门，科学调度，加强项目过程管理，确保项目取得成功。 　　建设原则 　　法规遵循:应严格执行国家法律法规、相关主管部门的要求。 　　科学管理:严谨、先进的技术项目实施与科学、规范的项目实施管理手段相结合，以提高整体项目实施的效率，保证项目质量，缩短项目工期，降低项目成本。 　　平稳过渡项目包含子系统较多，且项目需要进行网络改造，在项目实施时，采用分项，循

7、序渐进的方式，保证系统改造不影响日常办公的使用，平稳过渡。 　　适当先进:综合考虑本单位实际情况，在结合实际的基础上，确保建成的信息系统能够符合当前网络技术、信息技术发展的趋势，具有一定的先进性，在未来5年内能满足科研生产任务和国家法律法规相关要求的实际需要。 　　便于维护:系统应具有良好的可扩展性和可维护性，部署便利、使用简便、维护集中，并可以实现服务和应用的灵活扩展。 　　重视培训:系统是按计划分步实施的，培训也将随着项目的各个阶段分期进行，并根据培训的效果做出相应的调整，以达到更好的培训的效果。 　　三、信息安全保障体系总体框架 　　信息安全保障体系总体框架 　　在进行信息安

8、全等级保护安全建设工作中，严格遵循国家等级保护有关规定和标准规范要求，坚持管理和技术并重的原则，将技术措施和管理措施有机结合，建立信息系统综合防护体系，提高信息系统整体安全保护能力。非涉密信息系统总体安全框架如图1所示。 点击图片查看大图 图1 信息安全保障体系总体框架 　　总体安全框架是将等级保护基本要求、技术设计要求与安全防护需求充分融合，采用“一个中心、两大体系、三重防护”为企业组织提供体系化的防护能力，确保系统安全运行。 　　四、信息安全管理体系的建设 　　信息安全管理制度是信息安全领域各种规则的制度化的体现，在信息化相关活动中起着统一目标、规范流程、保障信息安全

9、实施效果的重要作用。通过对信息安全制度规范的决策，首先从高层确保企业组织的信息安全工作“有法可依”，推动信息安全制度建设工作，营造一个积极的信息安全控制环境。 　　信息安全管理体系的建设，我们要考虑以下几个方面:一、安全管理制度框架、安全管理制度、规范、流程及表单;二、信息安全管理机构、岗位;三、人员安全管理;四、系统建设管理;五、系统运维管理。六、合规性的电子化管理。 　　企业组织的等级保护工作也需要信息化的手段来进行约束。信息系统合规性监管系统就是将等级保护相关基本要求以及风险管理与控制体系建设方法及过程，按照以重要信息系统为基础、以等级保护建设工作流为核心、以等级保护基本要求进行建模

10、加以等级保护控制措施进行分析，通过风险评估看清风险，通过体系建设制定任务，通过体系保障完整建设。从而规范等级保护建设管理与控制体系的建设过程，提升组织信息安全风险管理与控制体系的完备性及有效性。 　　五、信息安全技术体系的建设 　　信息安全技术体系规划设计流程 　　信息安全技术体系规划设计流程包括五个阶段:系统调研阶段、安全域规划、系统定级、技术体系设计、技术手段落实。对应的输出是:业务系统调研文档、安全域规划方案、业务系统定级方案、业务系统安全防护方案、初步设计文档技术体系部分。 　　信息安全技术体系设计原则 　　设计信息系统技术安全解决方案时，应遵循以下原则: 　　风险(

11、需求)、成本〔投入)及效果(收益)相平衡的原则 　　对任何一个信息系统来说，绝对安全是难以达到的。信息安全技术体系建设的最高原则是风险、成本及效果三原则相结合的结果。 　　综合性、整体性、一致性原则 　　一个组织的 　　可扩展、可发展性原则 　　信息安全工作是一个螺旋上升的过程。在信息安全技术体系设计时要充分继承该组织现有的信息安全基础设施，避免重复投资。同时平衡考虑满足当前正在建设的业务应用及未来的业务发展要求。 　　信息安全技术建设工作步骤 　　信息安全技术体系建设涉及业务领域的各个环节，在风险评估的基础上，结合实际业务应用，根据各系统访问控制需求，科学、合理的划分“安全域”

12、是整个信息安全技术体系建设的首要工作。 　　安全域划分 　　通过划分安全域，明确网络边界，才能便于实现网络区域、物理区域之间的有效隔离和访问控制。安全域划分的目的是把一个大规模复杂系统的安全问题，化解为更小区域的安全保护问题，是实现大规模复杂信息系统安全等级保护的有效方法。 　　在企业或组织中，我们通常会看到这样的区域互联网业务发布区、企业内网工作区和数据交换区。具体到一个重要的信息系统，比如视频业务系统就可以细化为生产制作区域、共享区域、播出区域、安全管理区域。 　　明确安全域的防护手段 　　信息安全技术体系是利用各种安全技术、产品以及工具作为安全管理和运行落实的重要手段、最终支

13、撑信息安全体系的建设。防护手段分了五个方面:身份认证、访问控制、内容安全、监控审计与备份恢复。这里我们要重点强调身份认证，统一的身份管理和统一的认证管理是技术体系的前提保障，有了完善的身份认证的基础架构，我们的业务才能够顺畅开展，才有可能回答这样一个安全问题“什么人、什么时间、做了什么事情?” 　　确保防护手段的合规性 　　在选择安全防护技术时，我们应充分考虑遵循国家等级保护的相关技术标准，以确保合规性。图2为信息系统等级保护二、三、四级技术要求。 点击图片查看大图 图2 信息系统等级保护等级要求 　　确保防护手段的适应性 　　结合企业或组织的现状、经费预算、建设阶段和实

14、际需求，在各安全域的防护设计过程中充分考虑适应性。 　　计算环境的安全防护设计 　　计算环境包含了重要应用系统的核心主机或服务器、数据库服务器、存储系统等。我们重点考虑的是身份鉴别、访问控制、资源控制数据完整性、数据保密性与备份恢复。在这里我们要强调应用开发环节在安全防护设计中的重要性，如编码安全、基于用户身份的资源访问控制和行为审计、基于应用设计的流量控制方法，这些都可以有效减少硬件安全产品的部署，提升业务连续性能力。 　　边界接入与网络设施安全防护设计 　　网络设施主要包括了网络骨干区域、网络接人区域。我们可以把它看成公共的基础性区域，是企业各个应用系统出口的高速公路，是企业连续性

15、要求的重要依托。我们强调的是结构化的安全、安全审计与网络设备自身的防护。 　　终端接入安全防护设计 　　随着企业和组织的业务发展，组网技术的发展，终端的定义越来越宽泛，接人的形式也越来越多样化。信息安全问题直接延伸到企业人员使用的端点设备上。我们应重点强调身份鉴别、恶意代码防范和用户行为控制，同时也要意识到易用性与安全的平衡。 　　六、信息安全运维体系的建设 　　企业和组织的信息化过程已经从大规模建设阶段逐步转型为“建设和运维”并举的阶段。我们可以看到大多数的信息安全运维体系的服务水平处在一个被动的阶段。主要表现在信息技术和设备的应用越来越多，但运维人员在信息系统出现安全事件的时候却茫

16、然不知所措。因此，行之有效的信息安全运维体系，是信息安全管理体系与信息安全技术体系落地的根本之道。 　　运维服务的发展趋势与阶段划分 　　安全运维服务通常可以分为五个阶段:混乱、被动、主动、服务和价值阶段。"NSM一ITSM-}BSM”将是IT管理逐步提升的经典路线模型，反映了IT的运营作为一个新兴的企业活动逐步成熟，持续提升。NSM(针对IT技术设施的网络系统管理)、ITSM(针对流程、人员管理的IT服务管理)，BSM(业务服务管理)这些目前己经被广泛应用的理念，在IT管理的发展过程中，发挥了巨大的作用。 　　安全运维体系的构建 　　目前条件下的安全运维体系可以分三个阶段构建: 　

17、　第一阶段从“被动响应”到“主动管理”，是采用NSM实现管理提升的阶段。通过实现对技术元素的数据收集和分析，获得从整个IT信息环境到每个计算实体元素的运行状态信息，因此也能够在故障发生时或者发生之前采取主动的管理操作，实现对工T技术设施的有效掌控和管理，有效提高IT环境的运行质量。建立安全运维监控中心实现第一阶段目标 　　第二阶段:从“主动管理”到“服务导向”，采用ITSM实现管理提升。在实现了对所有IT技术元素的全面监控以后，IT技术设施的运行质量有了明显改善，但仍未从根本上解决“意外问题”的发生。全球范围内的调查表明，IT问题的出现，除了和设备元素本身的可靠性、性能等密切相关以外，更多的

18、问题(超过80%)是由于IT运维人员没有按照规范的操作流程来进行日常的维护管理，缺乏有效的协同机制等造成的。也就是说，管理的缺位，而不是技术设施本身的问题阻碍了企业IT部门工作效率的提高。借鉴并融合ITIL(信息系统基础设施库)/ITSM (IT服务管理)建立安全运维事件响应中心，借助图形化、可配置的工作流程管理系统，将运维管理工作以任务和工作单传递的方式，通过科学的、符合用户运维管理规范的工作流程进行处置，处理过程电子化流转、减少人工错误，实现对事件、问题处理过程中的各个环节的追踪、监督和审计。 　　第三阶段:从“服务管理”到“业务价值”，采用BSM实现管理提升。在信息时代，企业的发展和

19、IT环境的成熟是一个互相驱动、交替上升的过程。商业社会中，企业作为一个经济运行实体，其所有的活动和投人都是围绕利益产出的目标进行的。在当前激烈的商业竞争环境中，企业正不断地进行变革，以适应市场和用户的需求。作为业务重要支撑元素的IT正面临着越来越大的挑战。如何充分利用已有的IT资源并持续优化资源配置，如何实现IT和业务目标相统一、持续推动业务发展、创造商业价值，己经成为众多企业信息部门主管、CIO、甚至更高层管理人员的重要难题。建立以信息资产管理为核心的安全运维审核评估中心是这一阶段的工作目标。能够实现信息系统运行质量、服务水平、运维管理工作绩效的综合评估、考核、审计:能够实现关键业务的配置管理、关键业务与基础设施的关联、关键业务的综合运行态势的把握。 　　七、结束语 　　在信息安全保障体系总体框架的指导下，注重信息安全管理体系、技术体系和运维体系的建设。充分意识到等级保护建设整改过程中的政策和技术发展的风险，注重安全技术手段的适用性，就可以有效地解决企业和组织面临的安全问题，按照“明确重点、突出重点、保护重点”的原则，将有限的财力、物力、人力投人到重要信息系统的安全保护中，逐步推进企业信息系统安全保障水平。