没有合适的资源?快使用搜索试试~ 我知道了~
系统定级背景.docx
需积分: 10 0 下载量 113 浏览量
2021-06-11
13:00:46
上传
评论
收藏 146KB DOCX 举报
温馨提示
试读
41页
等保系统定级背景
资源详情
资源评论
资源推荐
1、信息系统安全等级保护定级指南
为宣贯《信息系统安全等级保护定级指南》(以下简称《定级
指南》)国家标准,由标准起草人介绍标准制、修订过程,讲解标
准的主要内容解答标准执行中可能遇到的问题。
1.1 定级指南标准制修订过程
1.1.1 制定背景
本标准是公安部落实 号文件,满足开展等级保护工作所需要
的重要规范性文件之一,是其他标准规范文件的基础。本标准依据
号文件和“信息安全等级保护管理办法”的精神和原则,从信息系
统对国家安全、经济建设、社会生活重要作用,信息系统承载业务
的重要性、业务对信息系统的依赖程度和信息系统的安全需求等方
面的因素,确定信息系统的安全保护等级,提出了分级的原则和方
法。本任务来自全国信息系统安全标准化技术委员会,由全国信息
安全标准化技术委员会 工作组负责管理。
1.1.2 国外相关资料分析
本标准编制前,编制人员收集与信息系统确定等级相关的国外
资料,其中主要是来自美国的标准或文献资料,例如:
(美国国家标准和技术研究
所 ) !"#$"%!&'()* "+
,--..
*(美国国防部)
!"#$"%!&''(/-0-1
.(美国国防部)
-"+234((美国国家安全
局)
这些资料表明,美国政府及军方也在积极进行信息系统分等级
保护的尝试,从一个侧面反映了分等级对重要信息系统实施重点保
护的思想不仅适用于像我国这样的信息技术水平不高的发展中国家,
也适用于信息化发达国家。但仔细分析起来,这些文献资料中所描
述的等级在其适用对象、定级方法、划定的等级和定级要素选择方
面各有不同。
作为美国联邦政府标准,依据 /''/ 年通过的联邦信息
安全管理法,适用于所有联邦政府内的信息(除其它规定外的)和
除已定义为国家安全系统之外的联邦信息系统。根据 ,信
息和信息系统根据信息系统中信息的保密性、完整性和可用性被破
坏的潜在影响将信息分类,影响程度可为高、中或低。例如某政府
采购系统中,包含合同信息和管理信息,各自的信息分类为:
合同信息560保密性,中1,(完整性,中),(可用性,低)
管理信息560保密性,低1,(完整性,低),(可用性,低)
该政府采购系统分类的各项,将是系统中所有信息分类的三性取值
中的最高值:
政府采购系统560保密性,中1,(完整性,中),(可用性,
低) 尽管该标准仅将信息系统按照对信息安全三性的安全需求进行
了分类,没有明确说明信息系统的安全等级,但从与该标准配套的
安全控制措施(&'')4 等)内容来看,最终信息系统的等级是由
分类中的较高者决定。
&'()* 为 美 国 国 防 部 发 布 的 "- 计 划 提 供 实 施 手 册 ,
"- 计划的主要目的是保护国防信息基础设施,适用于国防大臣
办公室、军事部门、参谋长联席会议主席、作战指挥部、国防机构、
组成部门及其承包商和机构。在考虑系统的功能、国家和国防
的安全要求以及系统的使命的危险程度、系统所处理的数据和用户
类型等因素的基础上, "- 的认证任务要求每个系统在四个认证
级别中确定一个适合自身的认证级别。这四个认证级别是: 级—
基本的安全评审,/ 级—最小分析,4 级—详细分析,7 级—复杂分
析。
&'()* 提出用于描述系统的 8 个特征量,互联模式、处理模
式、归因性(责任追溯)业务依赖性、信息三性等,根据对这 8 个
特征量赋权值,得出某个信息系统的总的权值,再根据权值所处的
区间,确定信息系统的认证级别。 &''(/没有直接针对信息系统
分级,但给出了两种分等级的信息保障需求,一种是按信息保密性
分级, 定义了三个保密性等级:保密、敏感和公开,另一种是
按业务保障分类(*-):*-Ⅰ、*- 和
*-,由此可以排列出 种组合。保密性分级反映了系统内所处理
的信息的重要程度,业务保障类反映了与 实现业务目标相关的
重要性,业务保障类主要用于满足完整性和可用性方面的需求,其
中 *-Ⅰ 系统比 *- 和 *- 系统要求有更为严格的保护措施。
《信息保障技术框架》(-")由美国国家安全局主持编制,
其所面向的对象既包括 这样的全球信息基础设施,也包括
国家信息基础设施,以及作为机构专有资源以实现其业务的本地信
息基础设施。-" 为安全机制的强度和实现保证提出了三个强健度
等级0*91,并对资产按其信息价值分为 个等级,威胁环境按其强
弱分为 8 个等级,以矩阵表的方式给出了 4 种情况下可以选择的强
健度等级。信息系统的所有者可以根据其信息价值与可能面临的威
胁环境,选择系统安全保护的强健度等级和信息技术产品的评估保
证级别(:-9)。
1.1.3 定级指南编制原则
通过分析可以发现上述定级方法分别在不同方面不能满足我国
等级保护的需要,具体分析如下:
可能是与我们的需求最为接近的一种信息系统定级方法,
它以信息安全保密性、完整性和可用性需求中的最高者作为信息系
统的安全等级,用于美国联邦政府信息系统的保护可能合适,但我
国的等级保护面向国内所有行业,包括那些生产系统和自动化处理
系统,这些系统对信息保密性要求不高,而对业务安全保障要求非
常高,三性取高的定级方法,没有反映出这些系统的安全需求特点,
可能造成对多数系统要求过高而无法实现。
&'()* 确定的是用于管理的认证级,各等级之间没有安全保
护强度的差别,而等级保护的定级应当反映保护强度和保护能力的
逐级提高。
&''(/没有明确提出定级方法,当两种信息保障类别排列出不
同组合时,没有给出信息系统等级如何确定,但它提出两类信息保
障的不同需求组合,反映信息系统不同安全需求的做法值得借鉴。
-" 提出的是信息系统的强健性等级,不是信息系统安全等级,
没有反映信息系统的安全需求。但它提出了根据信息价值和信息系
统面临的威胁环境强度决定信息系统的保护强度的概念,值得借鉴。
究其原因,上述国外标准和文献资料一般针对特定系统,在特定系
统中适用,但不能满足我国在全国范围内、在所有行业内开展等级
保护工作的要求。因此必须在对国外资料进行研究和吸收的基础上,
探索适合我国国情、简便易行的定级方法。因此,等级保护的定级
方法应反映出信息系统对国家安全、经济建设、社会生活重要程度
的差异。从这一点出发考虑,信息系统安全保护等级定级的出发点
应当是信息系统所承载的业务,或称业务应用的重要性。
剩余40页未读,继续阅读
dhj_xiaobai
- 粉丝: 0
- 资源: 4
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0