《等级保护评测是信息安全首要环节》由会员分享,可在线阅读,更多相关《等级保护评测是信息安全首要环节(5页珍藏版)》请在金锄头文库上搜索。
1、朱建平:等级保护评测是信息安全首要环节(一)转载朱建平:各位来宾大家下午好。由我来讲,我们评估中心专门是从事测评工作的,所 以我想介绍政策法规。所以这个关于等级保护的政策方面,还是以后有机会让顾局有机会 跟大家介绍。我今天跟大家讲讲和我们工作,等级评估工作相关的测评方面的一些工作。 今天想给大家讲三个方面的内容,一个是等级测评,在等级保护中的作用和地位。第二个是等级测评在奥运安保中间的作用。第三是等级测评一个简单的介绍。信息安全等级保护的工作流程主要有五个规定:第一个就是定级,定级工作目前市部委下发了一个文件,基本上已经圆满结束了。接下来,第二个阶段的工作就是根据你这个信息系统定完是多少级,要
2、进行相应这个级别的建设和整改工作。在整改和建设完成以后,就有一个对这个系统来进行一个测评。测评完了,应该向主管公安部门进行备案,根据备案材料,进行法规所赋予的监管权利和义务,对这个信息系统进行监管。通过信息安全等级保护工作流程可以看出,定级是一个首要环节,是定级保护工作的一个开始的环节,但不是核心环节。定级只是一个手段,目的是为了保护国家对已经确定的安全保护等级的信息系统,根据信息技术发展,根据现在的黑客攻击能力,对一到五级的系统,在技术和管理方面,十个部分已经规定了最低的保护要求,如果满足了基本要求,系统就具备了相应等级的基本安全保护能力,达到了一个基本的安全状态,基本要求这个环节是信息安全
3、等级保护的核心。已经确定安全保护的系统是否满足基本要求是需要信息安全等级测评来进行判断的。系统安全等级测评,不同于一般的安全测和风险评估。等级测评活动的完全首先是依据系统安全保护等级和该级别系统的基本保护要求。同时还要求测评人员具有把握国家政策,理解和掌握相关的技术。最为重要的是等级测评的结果,将是国家信息安全监管部门依法行政管理的技术依据,因此,等级测评活动,是一项政策性很强的技术专业化的一个信息安全服务。由此可见,信息安全等级测评,是开展信息安全等级保护工作的一个重要环节。是在国家管理下的技术支撑活动和纯粹的商业化的评估有明显的区别。信息安全等级测评,首先要满足国家管理的需求,但是可以采取
4、市场化运行的一种模式。 第二给大家介绍一下去年奥运工作中,我们等级测评的一些工作。这是整个等级测评在奥运安保中作用的一个图。对于某一个奥运的信息系统,首先我们开展了一个定级的工作,采用了我们评估中心制订的国家标准,定级指南,对这个奥运系统进行定级。定级指南是2240,基本要求是2239。根据这个定级的标准,把这个奥运信息系统定完级以后,其实它应该具有什么样的保护,有什么要求,基本上已经定了。然后有一个第一次的测评,就看它比如说定的是三级和基本保护的要求,三级的要求,看看它符合性有多少,那第一次测评基本上都是差距比较大。所以,这个奥运的系统进行了相应的整改。按照基本要求,当时对四个奥运的系统进行
5、测评,问题还是比较大。找出来的问题比较多,经过整改了以后,使得它达到了基本保护要求的很多项的要求都已经满足了,但是我们觉得奥运系统,达到一个基本的安全状态还是不够。为什么?因为这是在我们现在提出的那个基本要求是泛泛针对整个信息系统,它是一个底线的基本要求。这证明了,如果你达到了这样一个基本要求,证明了你这个系统达到了一个基本的安全状态。如果在一个特定的时期,比如说你在奥运期间,有很多国外的这些反华的势力还有其他的机构,可能会对这些系统进行一些不利于我们国家的一些情况的动作,所以,在这样特殊的威胁之前,对我们的奥运系统又进行了一个特殊安全需求的挖掘,然后又进行了风险评估和渗透测试。在这个风险评估
6、和渗透测试这些特殊的安全系统加进去以后,发现也有很多问题,然后再进行整改。整改了以后,再进行第二次测评,测评完了以后,在奥运之前,基本上这样反反复复做了三次,使得我们奥运的四个信息系统,在整个的奥运期间,大事没有出,小事也基本上没有,达到了我们国家对奥运信息系统预期的一个安全上的要求。从奥运的工作中间,我们可以看到,应该要用等级保护的思想,对这个信息系统进行保护。然后风险评估是寻找系统的脆弱性,渗透测试主要是验证这个脆弱性的机构。所以我们认为等级保护是这个信息系统安全保护的一个基础。风险评估,它是一个有益的补充,然后渗透测试它是对这个系统安全性的一个验证。第三,向大家介绍一下等级测评。这是等级
7、测评的一个过程,针对某一个信息系统,跟奥运的一样,首先要用国家的标准对这个系统进行定级,定级的过程大家都比较清晰,主要是考虑它对国家重要性的程度,和它损害以后的危害和要素来进行定的级。定完级以后,用基本的要求,对它进行最基本的保护。但是由于现在很多的信息系统不是新建的,都是已经在运行使用的,所以它当时在运行使用设计的时候不是按照这个等级保护的要求来做,所以会有一些地方有一些差距。所以,一般在整个活动中间,定完级以后,后面的工作没有强制一定要进行测评,也可以根据标准,比如定了三级,可以根据级别要求,三级所要求的项和你自己的信息系统设计的那些安全状态进行比对,但是有很多的运行使用单位,它的信息中心
8、,或者是信息安全的主管的那些部门,他人手比较少,信息系统比较大,这样一个比对工作无法单独自己完成,所以也就可以委托那些测评机构,对他的现状,目前的安全现状和他所定的级别之间的差距有多少,可以做第一次的测评。我们评估中心目前现阶段做的大部分测评工作,主要是现状测评。测评完以后,可以提出一个系统整改的最基本的安全需求,就是和所定的级的差距项有多少项,这是整改的第一个需求。根据这些需求,你也可以根据你自己行业的一些特殊的需求,比如说,你的上级主管部门要求你的,比如说银行,我们这个标准里面要求业务连续性没有那么高,但是银行的那个他要求你必须得要四个九的业务联系要求,也就是说一年只能够停半小时这样的要求
9、,比我们的基本要求高,这些行业的特殊的安全需求,也可以加进来也是作为一个整改的内容。然后进行整改以后,再进行法规上的要求的第三个规定动作,测评。第二次测评是一个符合性的测评,就是和国家要求你的级别所应该达到的保护能力的一个符合性测评,测评肯定存在两个结果,一个结果是做得不错,全部都按照基本要求,都测试合格了。我们认为你这个系统已经达到了一个基本的安全保护的状态,是可以备案运行使用。还有一种情况,肯定是存在某些项目没有达到,存在一些缺陷下,对于这个缺陷,我们目前处理的方法是,对这个缺陷下,要进行风险评估,并不是说,判你不合格,然后又让你打回去,再进行整改,再测评,这样可能会造成一些死循环。因为有
10、些系统,由于本身的原因,业务上的一些原因,是不一定能够达到你这个级别所要求的那些技术。在缺陷存在的情况下,你就得要进行风险评估。看看有什么威胁,能对这个缺陷起作用,然后存在的风险有多大,如果你这个信息系统什么也没有,那可能你计算出来的风险就很大。那个时候,可能就得要回去加一些东西,如果说,你觉得强制保护工作做不到,那我做一些其他的,但是也是能够提升他的保护,然后降低这个风险的,比如说我做了一些防护控制和间谍,使得他的防止内部人员作案不容易了,然后再进行风险评估的时候,发现他的风险值就降低了。然后你通过增加一些其他的不是强制防护控制的机制,使得它的风险降低了,原来是5,现在变成了3,根据风险评估
11、的界定,风险的大小可以决定这个信息系统是不是可以运行,所以我们把它作为是带病运行。并不是说是可以永远带病运行,如果是三级的系统,要一年做一次测评的。短期可以带病运行,但是不能保证长期的带病运行。如果长期的技术或者条件许可情况下,还得要按照要求来达到最上面的合格,达到一个基本安全保护的状态。前面说的那么多必须要达到,那么要什么依据来让我做到。我现在向大家说一下,我们这个等级测评,最后判定的是系统的保护能力。什么是保护能力呢,就是该级别的系统,应该具备该级别的保护能力。信息系统由于种种原因造成被攻击目标。对信息系统,实行安全保护的目的,就是要对抗系统面临的各种威胁,从而降低由于威胁给系统带来的损失
12、,但由于信息系统的保护成本很高,不可能全面抵抗各种各样的威胁,因此,系统因根据其重要的程度,具备不同程度的安全保护能力,以抑制受保护朋友,并在遭受攻击后得以的快速恢复。保护能力体现在两个方面,一个是抗威胁的能力,还有一个是系统的恢复能力,这两个方面,八宝壶成本合理得用在最需要的地方。这里向大家介绍一下,第三级的保护能力。保护能力,应能够在统一安全测量下,防护系统免受来自外部有组织的团体,拥有较为丰富的资源,较为严重的自然灾害,持续时间较长,覆盖范围较广等,其他相当程度的威胁,内部人员的恶意威胁,较严重的技术故障等所造的损害,在系统遭受危害之后,能够较快恢复绝大部分的功能。下面是这个保护能力的一
13、个最终实现和体现的,这是一个图。某级的信息系统,三级的,我们认为,你必须具备三级的保护能力,就刚才前面介绍的,有两个部分组成,一个是应该抵抗的威胁和遭受破坏以后,你的恢复能力。朱建平:等级保护评测是信息安全首要环节(二)转载这个级别的保护能力,等级保护就是说,这个能力必须要强制必须要做到,和其他的一些测评是有本质的区别。然后这个保护能力,你怎么实际去做到?我们中间有一个安全目标。这个安全目标是把保护能力进行了细化,有各种安全措施来进行实现。怎么来实现这些安全目标?我们的基本要求,列出了一大堆的安全措施和安全机制来对应这个安全目标。当你在选择安全目标的时候,可以基本要求里面对应的,比如三级可以从
14、三级里面去寻找对应的安全措施,也可以选取更高级别的,如果这个级别对你来讲比较弱,还可以选择更高级别的要求里面去选那些安全措施来满足你这个安全目标。还有一个我觉得就是某一个层面,我实现得很困难,但是我是不是可以从其他层面上来保护?这个也是一个没有办法的办法。因为这个信息系统安全大家知道,还有一个终生防御的概念,我在各个层面上都可以加不同的安全机制,当某一个层面被突破以后,另外一个层面上还有一些保护措施,使得它的攻击比较难,因为有一个终生防御的这样一个机制在里面。当你的资金各方面存在困难,然后这个安全目标必须要实现的时候,可能我们要求你在某一个层面,比如说要求你是在主机层面上实现比较困难,可能在其
15、他的层面上去实现。但是所对应的安全目标,是目前要满足的。措施可以选择,有一些基本要求的条款,你觉得这些条款对你实现来讲,或者和你现在已经采取的措施来讲,有一些地方你做的东西和我的是差不多的,所对应的安全目标也是一致的,那其实也是可以通过这个其他层面的安全措施的一些互补关系来进行分析。然后最终选取达到安全目标采取的措施。还有就是现在新发展的那些安全措施,安全技术,我们也不排斥,等级保护的措施也排斥,只要你这些安全措施提供的安全功能和机制是能够满足我这个安全目标的,那我也可以认为你选择对的安全措施。还有一个就是刚才前面讲了,实在做不到,是不是可以探索,也能够满足你的安全目标,或者基本满足你的安全目
16、标,这也是可以进行尝试的。因为你这个有保护,我们认为,你有保护,总比没有保护好,我这个做不到,我什么也不做,那肯定是不合适的。因为这条做不到,但是想了办法了,也采用了一些其他的保护能力比较低的,但是通过它的组合,使得它的安全能力进一步提高,这是一个保护能力,如何来实现的一个图。我们的基本要求,对于不同的级别,推荐了十个方面的一些措施和机制。主要分技术要求管理要求。技术要求是五个方面,主要分在物理安全、网络安全、主机安全、应用安全、数据安全。对于信息系统,安全等级保护的状况进行测试评估,应该包括两个方面,刚才前面讲了,按照我这个要求,已经做完了,要测评,怎么测评呢?下面向大家介绍一下测评。测评工作主要分两个方面。一个是单元测评,就是前面讲的分了十个方面,但是每个方面它下面还下挂着很多的那些单元的要求,比如物理安全,有物理位置的选择、控制等等一些单元的测评项。单元测评主要是信息安全保护的一个基本控制的情况,主要测这个情况。还有一个是整体测评。整体测评,它主要是分析信息系统的一个整体的安全性问题。测评的基本方法有三种,一种是访谈,另外一种是检查,还有一个是测试。访谈的对象主要是人员,典型的访
