网络信息系统安全建设、规划指南.docx

1、 某某石油管理局企业标准 网络信息系统安全建设、规划指南 1适用范围 本规定适用于某某油田管理局信息安全管理中心和下属各单位中心机房。 2规范解释权 规范解释权归某某油田管理局信息中心所有。 3网络信息系统安全建设、规划的概述： 网络信息系统安全建设和规划所要解决的主要问题是，如何在现有法规政策的允许下，综合考虑当前网络信息系统的安全要求，长远规划，以及公司或者单位的物力、财力等因素，设计和实施网络信息安全工程。以及在系统工程过程中设计和实施网络信息系统安全模块。 4网络信息安全工程过程描述 网络信息系统安全工程主要实施于以下情况： Ø 描述信息保护需求；

2、 Ø 根据系统工程的前期需要产生信息保护的具体需要； Ø 在一个可以接受的信息保护风险下满足信息保护需求； Ø 根据需求，构建一个信息保护需要的逻辑结构； Ø 根据物理结构和逻辑结构分派信息保护的具体功能； Ø 设计系统用于实现信息保护的结构； Ø 从整个系统的耗费、规划和执行效率综合考虑，在信息保护风险与其它问题之间进行权衡； Ø 参与涉及其它信息保护和系统学科的综合研究； Ø 将网络信息安全工程与其它系统工程相结合； Ø 以验证信息保护设计方案并确认信息保护的需求为目的，对系统进行测试； Ø 根据用户需要对整个过程进行扩充和裁减，以此支持用户使用。为确保信息保护被纳入整

3、个系统，必须在系统工程最开始进行设计时便考虑网络信息系统的安全。另外，要针对具体的情况，综合考虑信息保护的目标、需求、功用、结构、设计、测试和实际应用中所出现的系统工程设计情况。 5发掘信息保护需求 实施网络信息系统安全工程首先调查对用户需求、相关政策、规则、标准以及系统工程所定义的用户环境中的信息所面临的威胁。然后识别信息系统中的具体用户和信息，以及他们在信息系统中的相互关系、规则及其在信息保护生命周期各阶段所承担的责任。信息保护允许用户有自己的观点，不能局限于特定的设计或者应用。 在信息保护政策中，应该使用通用语言来描述如何在一个综合的信息环境中获得所需要的信息安全保护。当系统发现需

4、要这种信息安全保护时，信息保护将成为一个必须同时考虑的系统模块。下图解释了系统任务、威胁和政策如何影响信息保护需求以及如何进行分析。 任务信息 威胁信息 政策 信息保护策略 系统需求 信息保护需求 图（3.1）系统任务、信息安全威胁和政策对确定信息保护需求的影响 5.1 任务的信息保护需求 信息和信息系统在一个大型任务或特定组织中的作用应当受到足够的重视。实施网络信息系统安全工程必须考虑组织元素（人和系统）的任务可能受到的影响，即：无法使用所依赖的信息系统或信息，尤其是丧失保密性、完整性、可用性、

5、不可否认性及其组合。在此意义上开始探讨用户信息保护需求问题。 为发现用户信息保护需求，必须了解遗漏、丢失或者修改什么信息会对总体任务造成危害。实施工程应该做到以下几点： Ø 帮助用户对自己的信息管理建模； Ø 帮助用户定义信息威胁； Ø 帮助用户确立信息保护需求的优先次序； Ø 准备信息保护策略； Ø 获得用户许可。 工程中提供了识别用户需求的界面，以确保任务需求包含信息保护需求，并且保证系统功能包含信息保护功能。工程将安全规则、技术、机制相结合，并将其应用于解决用户信息保护的时间需求，从而建立了一个信息保护系统。该系统包含信息保护体系结构和机制，并能够依据用户所允许的耗费、功能

6、和计划获得最佳的信息保护性能。 实施网络信息系统安全工程在设计信息系统时必须遵循用户的层次设置，这样才能使整个系统的性能达到预期指标。信息和信息系统在支持系统任务方面必须满足如下要求： Ø 对信息的记录进行观察、更新、删除、初始化或者处理（机密信息、金融信息、产权信息、个人隐私信息等）。 Ø 授权谁观察、更新、删除、初始化和处理信息记录？ Ø 经授权的用户如何履行其责任？ Ø 经授权的用户使用何种工具（文档、硬件、软件、固件或者规程）履行其职责？ Ø 清楚地知道个人发送或者接收的一则消息或一个文件这件事具有怎样的重要性？ 工程小组和系统用户将精诚合作，使信息系统更好的满足用户总任

7、务要求。 5.2 信息管理面临的威胁 从系统的组成上应能够识别信息系统的功能和它与外界系统边界的接口。该系统组成要明确信息系统的物理边界和逻辑边界，以及系统输入/输出的一般特性。它描述系统与环境之间或者系统与其它系统之间信号、能量和物质的双向信息流。必须考虑系统与环境之间或者系统与其它系统之间有以设定的或自行存在的接口。其中，针对后者的部分描述涉及环境和信息系统所面临的“威胁”（指某些人采取某种行动，可能造成某个结果的事件或对系统造成危害的潜在实事）。 对系统威胁的描述涉及到： Ø 信息类型； Ø 合法用户和用户信息； Ø 威胁者的考虑、能力、意图、自发性、动机、对任务的破坏。

8、5.3 信息保护政策的考虑 对一个机构而言，在制定本组织的信息保护政策时必须考虑所有现有的信息保护策略、规则和标准（如国家政策，执行级别的政策等）。 必须定义下面的信息保护最重要的内容： Ø 为什么需要信息保护？ Ø 需要什么样的保护? Ø 怎样获得保护？ 必须定义一个机构信息策略的以下最重要内容： Ø 机构需要保护的资源/资产； Ø 需要和这些资产发生关系的个人的角色和责任； Ø 授权用户用到这些资产的合适方法。 为制订一个有效的信息保护策略，需要设立一个由系统工程专家、工程施工小组、用户代表、权威认证机构、设计专家组成的小组。该小组成员要共同合作，保证政策的正确性、全面

9、性以及和其它政策的连续性。 高层管理机构要颁布信息保护策略。该策略必须时明确的，应该使下级机构易于制订各自的制度，并且便于机构所有成员的理解。需要一个能够确保在机构内部实施该策略的流程，并让机构成员认识到如果不实施该策略将会出现怎样的后果。尽管必须依据具体情况的改变及时更新机构安全策略，高层策略却不应该经常变动。 6定义信息保护系统 在信息保护系统行为中，用户对信息保护需要和信息系统环境的描述被解释为对象、要求和功能。这种行为将定义信息保护系统将要做什么，信息保护系统执行其功能的情况怎么样，以及信息保护系统的外部接口。 6.1 信息保护目标 信息保护目标要求具有有效性检查的特

10、性，而且对信息保护需求是明确的、可测量的、可验证的、可跟踪的。每个目标的基本原理必须解释为： Ø 信息保护对象所支持的任务目标； Ø 驱动信息保护目标的与任务相关的威胁； Ø 未实现的目标的结果； Ø 支持目标的信息保护指导或策略 6.2 系统上下文环境 技术系统的环境确定系统的功能和接口与系统边界外部元素的相互作用。在信息保护系统的情况下，任务对象、信息的本质、任务信息处理系统、威胁、信息保护策略和设备极大影响着系统环境。信息保护系统的环境应该在其与任务信息处理系统、其它系统、环境之间界定逻辑和物理边界。这种环境包含信息的输入和输出、系统与环境之间或与其它系统之间的信号和能量的双

11、向流动和描述。 6.3 信息保护需求 网络信息系统安全工程需求分析行为作为系统工程的一部分包括回顾和更新前一个分析（任务、威胁、对象、系统上下文环境）。由于信息保护需要从用户需要演变为更加精确的系统规范，必须对其进行合理定义，以便系统结构概念能够在集成的、一致的系统工程过程中得以开发。工程小组将和其它信息保护系统成员一起检查以下一系列信息保护需求：正确性、完善性、一致性、互依赖性、冲突和可测性。信息保护功能、执行、接口、互操作性和生发出的要求与设计约束一样将进入系统的使用手册 6.4 功能分析 网络信息系统安全工程实施中应理解功能并将功能分配给各种信息保护配置项。工程必须理解信息保护子

12、系统如何成为整个系统的一部分，如何支持整个系统。 7设计信息保护系统 在这个行为中，工程将构造系统的结构，详细说明信息保护系统的设计方案。当工程在进行设计信息保护系统时，我们应继续： Ø 使要求与威胁评估的基本原理精练、有效并对其进行检查； Ø 确保一系列底层要求满足高层要求； Ø 支持系统层结构、配置项和接口定义； Ø 支持长研制周期和前期采办决策； Ø 定义信息保护的验证与生效步骤和战略； Ø 考虑信息保护操作和生命周期支持问题； Ø 继续跟踪、精炼信息保护相关资料和工程管理计划、策略； Ø 继续系统特定的信息保护风险回顾和评估； Ø 支持认证和批准过程； Ø 融入

13、系统工程过程。 7.1 功能分配 信息保护功能应该被分配给人员、硬件、软件、固件。由于功能被分配给这些组件，组件不仅要满足问题空间中整个系统约束条件的子集，也要满足相应的功能和性能要求。必须检验各个不同的信息保护系统体系结构。工程小组将与系统所有者协商一项在概念上、物理上都可行的信息保护系统体系结构协定。 7.2 初步的信息保护设计 开始初步的信息保护设计的条件是：针对信息保护要求具有一个最小而且稳定的协定和一个在配置管理下的稳定的信息保护体系结构。一旦定义了该体系结构并将其列为基准，系统和网络信息系统安全工程师将产生一些规范，这些规范将细化到怎样构造至配置项层。产品和高层规范的回顾应

14、位于初步设计评审之前。安全工程的这种行为包括： Ø 对挖掘需求和定义系统阶段的产物进行回顾并改进，尤其是配置项层和接口规范的定义； Ø 对现有解决方案进行调查，使之与配置项层要求相匹配； Ø 检查所提出的初步设计中采取的解决办法的基本原理； Ø 检查验证配置项规范是否适合高层信息保护要求； Ø 支持认证和批准过程； Ø 支持信息保护操作开发和生命周期管理决策，及加入系统工程过程； 初步设计评审后将产生各个配置最初要求。 7.3 详细的信息保护设计 详细的信息保护设计产生低层产品规范，或者完成开发中的配置项的设计，或者规定并调整所购买的配置项的选择。这种行为将包括对完全性、冲突

15、兼容性（与接口系统）、可验证性、信息保护风险、对需求的可跟踪性的每个详细的配置项规范的回顾。网络信息系统安全工程行为中详细的信息保护设计包括： Ø 对前面的初步设计的产物进行回顾和改进； Ø 通过对可行的信息保护解决方案提供输入并回顾具体的设计资料，来支持系统层设计和配置项层设计； Ø 检查边界设计层解决方案的基本技术原理； Ø 支持、产生、检验信息保护测试和评估要求及步骤； Ø 追踪和应用信息保障机制； Ø 检验配置项设计是否适合高层信息保护要求； Ø 完成对生命周期安全支持方法的大部分输入，包括对训练和紧急事件训练材料提供信息保护的输入； Ø 回顾和更新信息保护风险和威胁

16、计划以及对要求集的改变； Ø 支持认证和批准过程； Ø 加入系统工程过程。 8实施信息保护系统 这种行为的目的是构造、购买、集成、验证组成信息保护子系统的配置项集合并实质生效。这些子系统满足系统所有的信息保护要求。 该过程除了满足一般系统工程的要求外，它所执行的用于信息保护系统的实施与测试的其它功能包括： Ø 依据系统当前运行状态对系统信息保护的威胁评估进行更新； Ø 验证系统信息保护要求和所实现的信息保护解决方案的约束条件，以及相关的系统验证与确认机制和发现； Ø 跟踪和参与与系统实施和测试实践相关的信息保护保障机制的应用； Ø 对变化中的系统操作流程与生命周期支持计划提供

17、进一步的输入和回顾，例如，基础设施支持中的通信安全密钥发布和释放控制问题，即操作系统和维护培训材料中的信息保护相关元素； Ø 为安全验证评审所准备的正式的信息保护评估； Ø 证书与批准过程行为所要求的输入； Ø 参与对系统所有问题的集体式、多学科的检查。 上述行为及其所产生的结果均支持安全验证调查。在安全验证调查总结后，通常很快产生安全批准许可。 8.1 采办 决定在采办系统组件中采取哪种选择一般是基于对商业现货硬件、软件和固件的熟悉或者偏好。在进行采办决策时需要进行权衡分析。为确保最佳体系结构能够基于操作、性能、代价、进度和风险的相互平衡，网络信息系统安全工程组必须确保所有分析都

18、包括相关的安全因素。为支持购买系统组件的决策，网络信息系统工程必须调查现存的产品目录，以此决定某些现有产品是否能够满足系统组件要求。在所有可能的情况下，必须对一系列潜在的可行选项进行验证，而不仅仅验证单一选项。此外，为确保系统实施之后依然具有较强的生命力，网络信息系统安全工程组必须适当的考虑采用新技术和新产品。 8.2 构建 该行为的目的是确保设计必要的保护机制并使该机制在系统实施中得以实现。与多数系统相同，信息保护系统也受到能够加强或者削弱其效果的变量的影响。在一个信息保护系统中，这些变量扮演重要的角色。它们决定了信息保护对系统的适宜程度。这些变量包括： Ø 物理完整性：产品所用组件能

19、够正确的防干扰。 Ø 人员完整性：建造或者装配系统的人员要有足够的知识去按照正确的装配步骤构建系统。这些人员要拥有足够的安全可信任度，以确保系统的可信性。 8.3 测试 网络信息系统安全工程将开发与信息保护相关的测试计划和流程。同时也必须开发测试实例、工具、硬件、软件以便充分试用该系统。安全工程的测试行为包括： Ø 对设计信息保护系统阶段的结果进行回顾并加以改进； Ø 检验系统和配置顶层的信息保护要求、实现方法的约束条件、相关系统的验证、有效机制和发现； Ø 跟踪和运用与系统实现和测试实践相关的信息保护保障机制； Ø 为所开发的生命周期安全支持计划提供输入，包括基础设施保障、维护

20、和训练； Ø 继续风险管理行为； Ø 加入系统工程过程。 9评估有效性 网络信息系统安全工程强调信息保护系统的有效性。强调为系统所处理的或任务所要求的信息提供必要的保密性、完整性、可用性和不可否认性的系统能力。如果信息保护系统不能完全满足这些要求，则顺利完成任务将比较危险。这些重点包括： Ø 互操作性：系统能否通过外部接口正确的保护信息； Ø 可用性：用户是否能够利用系统保护信息和信息资产； Ø 训练：为使用户能够操作和维护信息保护系统需要进行何种程度的指导； Ø 人机接口：人机接口是造成用户所犯错误的一个原因。信息保护机制可通过该接口被篡改。 Ø 代价：构造和维护信息保护系统在财政上是否可行。 10生效日期