信息安全等级评测

简介

信息安全合规测评是国家强制要求的，信息系统运营、使用单位或者其主管部门，必须在系统建设、改造完成后，选择具备资质测评机构，依据信息安全合规性要求，对信息系统是否合规进行检测和评估的活动。信息安全合规测评具有强制性和周期性（定期检测），是国家信息安全部门督促合规性要求落地实施，保障信息安全的重要手段。

合规要求

• 等级保护
  等级保护将信息系统按照价值系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别划分五个等级进行保护。其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。等级保护依据公安部、国家保密局、国家密码管理局和国信办先后联合下发《关于信息安全等级保护工作的实施意见》、《信息安全等级保护信息安全等级保护管理办法》开展。

• 分级保护
  分级保护针对的是涉密信息系统，根据涉密信息的涉密等级，涉密信息系统的重要性，遭到破坏后对国计民生造成的危害性，以及涉密信息系统必须达到的安全保护水平划分为秘密级、机密级和绝密级三个等级。国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准，目前，正在执行的两个分级保护的国家保密标准是BMB17《涉及国家秘密的信息系统分级保护技术要求》和BMB20《涉及国家秘密的信息系统分级保护管理规范》。

• 等级保护和分级保护的区别

  1. 划分等级的标准不同：等级保护主要根据系统的价值和重要程度划分五个等级进行保护；分级保护主要根据信息系统的涉密等级和遭到破坏的危害性划分为三个等级进行保护。
  2. 重点保护对象不同：国家安全信息等级保护重点保护的对象是涉及国计民生的重要信息系统和通信基础信息系统（金融、税务、工商、海关、能源、交通运输、社会保障、教育等），而不论它是否涉密；涉密信息系统分级保护保护的对象是所有涉及国家秘密的信息系统，重点是党政机关、军队和军工单位，确保国家秘密不被泄漏。
  3. 地位及范围不同：国家信息安全等级保护是国家从整体上、根本上解决国家信息安全问题的办法，是国家法定制度和基本国策，是开展信息安全保护工作的有效办法。而涉密信息系统分级保护则是是国家信息安全等级保护的重要组成部分，是等级保护在涉密领域的具体体现。

等级保护级别划分

• 第一级：用户自主保护级。完全由用户自己来决定如何对资源进行保护，以及采用何种方式进行保护。
• 第二级：系统审计保护级。本级的安全保护机制受到信息系统等级保护的指导，支持用户具有更强的自主保护能力，特别是具有访问审计能力。
• 第三级：安全标记保护级。除具有第二级系统审计保护级的所有功能外，它还要求对访问者和访问对象实施强制访问控制，并能够进行记录，以便事后的监督、审计。
• 第四级：结构化保护级。将前三级的安全保护能力扩展到所有访问者和访问对象，支持形式化的安全保护策略。
• 第五级：访问验证保护级。这一个级别除了具备前四级的所有功能外还特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动，仲裁访问者能否访问某些对象从而对访问对象实行专控，保护信息不能被非授权获取。

等级保护实现

《信息系统安全等级保护基本要求》（GB/T 22239-2008）
《信息系统通用技术要求》（GA/T 390-2002）
《信息系统安全管理要求》（GB/T 20269-2006）
《信息系统安全工程管理要求》（GB/T 20282-2006）

• 物理部分：包括周边环境，门禁检查，防火、防水、防潮、防鼠、虫害和防雷，防电磁泄漏和干扰，电源备份和管理，设备的标识、使用、存放和管理等；
• 支撑系统：包括计算机系统、操作系统、数据库系统和通信系统；
• 网络部分：包括网络的拓扑结构、网络的布线和防护、网络设备的管理和报警，网络攻击的监察和处理；
• 应用系统：包括系统登录、权限划分与识别、数据备份与容灾处理，运行管理和访问控制，密码保护机制和信息存储管理；
• 管理制度：包括管理的组织机构和各级的职责、权限划分和责任追究制度，人员的管理和培训、教育制度，设备的管理和引进、退出制度，环境管理和监控，安防和巡查制度，应急响应制度和程序，规章制度的建立、更改和废止的控制程序。

涉密系统分级保护的划分

• 秘密级：信息系统中包含有最高为秘密级的国家秘密，其防护水平不低于国家信息安全等级保护三级的要求，并且还必须符合分级保护的保密技术要求。
• 机密级：信息系统中包含有最高为机密级的国家秘密，其防护水平不低于国家信息安全等级保护四级的要求，还必须符合分级保护的保密技术要求。属于下列情况之一的机密级信息系统应选择机密级（增强）的要求：
  （1）信息系统的使用单位为副省级以上的党政首脑机关，以及国防、外交、国家安全、军工等要害部门；
  （2）信息系统中的机密级信息含量较高或数量较多；
  （3）信息系统使用单位对信息系统的依赖程度较高。
• 绝密级：信息系统中包含有最高为绝密级的国家秘密，其防护水平不低于国家信息安全等级保护五级的要求，还必须符合分级保护的保密技术要求，绝密级信息系统应限定在封闭的安全可控的独立建筑内，不能与城域网或广域网相联。

分级保护的国家保密标准

BMB17《涉及国家秘密的信息系统分级保护技术要求》
BMB20《涉及国家秘密的信息系统分级保护管理规范》

• 物理安全：
• 信息安全：
• 运行安全：
• 安全保密：

等级评测主要内容

• 单元测评：从信息安全管理制度、信息安全管理机构、人员安全管理、信息系统建设管理、信息系统运维管理、物理安全、网络安全、主机安全、应用安全、数据安全等层面，测评《信息系统安全等级保护基本要求》（GB/T 22239-2008）所要求的基本安全控制在信息系统中的实施配置情况。
• 整体测评：主要测评分析信息系统的整体安全性。在内容上主要包括安全控制间、层面间和区域间相互作用的安全测评以及系统结构的安全测评等，是在单元测评基础上进行的进一步测评分析。

等级评测主要流程

1. 测评准备活动
   本活动是开展等级测评工作的前提和基础，是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况，准备测试工具，为编制测评方案做好准备。
2. 方案编制活动
   本活动是开展等级测评工作的关键活动，为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等，并根据需要重用或开发测评指导书测评指导书，形成测评方案。
3. 现场测评活动
   本活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求，严格执行测评指导书测评指导书，分步实施所有测评项目，包括单元测评和整体测评两个方面，以了解系统的真实保护情况，获取足够证据，发现系统存在的安全问题。
4. 分析与报告编制活动
   本活动是给出等级测评工作结果的活动，是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和《信息安全等级保护基本要求》的有关要求，通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法，找出整个系统的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距导致被测系统面临的风险，从而给出等级测评结论，形成测评报告文本。

等级合规测评的指标

开展等级测评活动应从《信息系统安全等级保护基本要求》（GB/T 22239-2008）中选择相应等级的安全要求作为基本测评指标。

1. 第二级信息系统等级测评指标，除按照《信息系统安全等级保护基本要求》所规定的物理安全、网络安全、主机安全、应用安全、数据安全、管理制度、管理机构、人员安全管理、系统建设安全管理、系统运维管理的66项基本要求（177个控制点）作为基础测评指标以外，还应参照《信息系统通用技术要求》中的83个控制点、《信息系统安全管理要求》中的70个控制点、《信息系统安全工程管理要求》中的51个控制点以及行业测评标准所规定的其他控制点，结合不同的定级结果组合情况进行确定。
2. 第三级信息系统等级测评指标确定，除按照《信息系统安全等级保护基本要求》所规定的物理安全、网络安全、主机安全、应用安全、数据安全、管理制度、管理机构、人员安全管理、系统建设安全管理、系统运维管理的73项基本要求（290个控制点）作为测评指标以外，还应参照《信息系统通用技术要求》中的109个控制点、《信息系统安全管理要求》中的104个控制点、《信息系统安全工程管理要求》中的42个控制点以及行业测评标准所规定的其他控制点，结合不同的定级结果组合情况进行确定。
3. 第四级信息系统等级测评指标确定，除按照《信息系统安全等级保护基本要求》所规定的物理安全、网络安全、主机安全、应用安全、数据安全、管理制度、管理机构、人员安全管理、系统建设安全管理、系统运维管理的77项基本要求（317个控制点）作为测评指标以外，还应参照《信息系统通用技术要求》中的120个控制点、《信息系统安全管理要求》中的104个控制点、《信息系统安全工程管理要求》中的35个控制点以及行业测评标准所规定的其他控制点，结合不同的定级结果组合情况进行确定。
4. 对于由多个不同等级的信息系统组成的被测系统，应分别确定各个定级对象的测评指标。如果多个定级对象共用物理环境或管理体系，而且测评指标不能分开，则不能分开的测评指标应采用就高原则。

参考文章