等级保护安全培训规划

《信息系统安全等级保护实施指南》

培训教材

本教材主要通过对《信息系统安全等级保护实施指南》（以下简称《实施指南》）的主要作用、内容等进行介绍，使培训人员能够清楚了解等级保护的整个实施过程，以便各项工作的开展。

1 概述

1.1 主要作用

信息安全等级保护工作的先行工作之一是“加快制定、完善管理规范和技术标准体系”，管理规范和技术标准体系是等级保护工作的基础，在《关于信息安全等级保护工作的实施意见》（公通字[2004]66号，以下简称“66号文件”）的职责分工和工作要求中指出：

? 信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准，确定其信

息和信息系统的安全保护等级；

? 信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准对新建、改

建、扩建的信息系统进行信息系统的安全规划设计、安全建设施工；

? 信息和信息系统的运营、使用单位及其主管部门按照与信息系统安全保护等级相对

应的管理规范和技术标准的要求，定期进行安全状况检测评估；

? 国家指定信息安全监管职能部门按照等级保护的管理规范和技术标准的要求，对信

息和信息系统的安全等级保护状况进行监督检查。

从上述“66号文件”描述的内容中可以看出，信息安全等级保护工作的主要内容包括“等级确定”、“安全建设”、“安全测评”和“监督检查”等，完成上述工作的主要依据是等级保护的管理规范和技术标准。

信息安全等级保护的实施过程中涉及到的各类组织、需完成的工作以及依据的基础如下图所示：

1

主管部门 运营、使用单位安全服务商 监管部门 系统定级 安全保护 检测评估 监督检查 技术标准 管理规范

图1-1 技术标准和管理规范的作用

除了“66号文件”中提到的“信息和信息系统的运营、使用单位”、“国家指定信息安全监管职能部门”外，信息安全等级保护的实施过程中涉及到各类组织和人员实际还包括信息安全服务商、安全测评机构等，它们配合“信息和信息系统的运营、使用单位”、“国家指定信息安全监管职能部门”共同进行信息安全等级保护工作。

为使信息安全等级保护的实施过程中涉及到的各类组织和人员能够顺利地完成信息安全等级保护工作，需要一个技术标准为实施的各方提供指导，这个标准就是《实施指南》。

《实施指南》的主要作用包括：

1) 作为系统等级保护实施的指南性文件

指导对一个信息系统实施安全等级保护的参与各方，如何在等级保护实施过程的各个阶段开展相应的活动，给出阶段活动的内容、控制方法和输出结果。

2) 作为等级保护标准体系的指引性文件

介绍实施信息系统等级保护过程中，在不同阶段和从事不同活动中，如何使用等级保护标准体系中的其他等级保护相关标准。

2

1.2 主要思路

对信息系统实施等级保护的过程是一个工程过程，其工程活动将覆盖到信息系统生命周期的各个阶段，其核心内容是对信息系统实施安全保护，到目前为止，对信息系统实施安全保护的方法论有很多，主要流行的方法包括风险管理方法和安全工程方法。

1. 风险管理的思路

介绍风险管理的材料有很多，其中ISO/IEC 13335、NIST-SP800-30、“加拿大风险管理工作指南”等是典型的通过风险管理的手段对信息系统实施保护的参考材料。各种资料介绍的风险管理方法在细节方面可能有所差别，但是总体思路基本一致。

采用风险管理方法对信息系统进行保护的基本步骤是：

1）风险分析和风险评估

可以采用各种方法（ISO/IEC13335等）对信息系统面临的风险进行分析，包括资产分析、弱点分析、威胁分析、现有保护措施分析、风险分析，得到现有系统的安全风险状况。

2）风险规避

针对在风险分析和风险评估步骤得到的系统安全风险信息，选择可能采用的可以消除、减低、转移风险的风险规避策略。根据风险规避策略，进一步选择所要采取的安全措施，此时既要考虑安全风险的排序，也应考虑安全措施投入和安全保护效果之间平衡，最终形成安全改进的设计方案（PLAN）。

大多数风险管理方法的文件或指南将论述重点放在风险分析、风险评估和风险规避方面，作为完整的风险管理过程，除此之外还有安全措施的实施和实现、系统运行维护等工作过程。尤其是当系统发生变化、环境发生变化或残余风险不能接受时，应进入另一个风险管理过程，以此循环形成闭环。

如果从工程的角度看待风险管理方法，可以将风险分析和风险评估过程看作是确定安全需求的过程，风险规避过程可以看作是安全需求定义和安全规划设计的过程。

2. 安全工程的思路

SSE-CMM和ISSE是典型的介绍通过安全工程的手段对信息系统实施保护的参考材

3

料。SSE-CMM和ISSE是具有代表性的从工程角度考虑对信息系统进行保护的方法论，两者在描述风格上差异较大，但是总体思路实际上没有太大差别。

SSE-CMM认为对信息系统进行保护应该执行以下几个过程：

1）风险过程

风险过程包括四个主要活动：威胁分析、弱点分析、影响分析和风险分析。

2）工程过程

工程过程包括五个主要活动：确定安全需求、提供安全输入、管理安全措施、监控安全状态和安全活动的协调。

3）保证过程

保证过程包括两个主要活动：验证和确认安全、提供安全保证证据。 ISSE认为对信息系统进行保护应该执行以下一些活动： a) 发现系统保护需求 b) 定义系统安全需求 c) 设计系统安全框架 d) 开发详细安全设计 e) 实施系统安全 f)

评估系统保护有效性

SSE-CMM描述了安全工程的方法论，论述了对信息系统进行保护的主要活动和控制方法。ISSE则描述了安全工程的主要活动。仔细分析SSE-CMM和ISSE，实际上两者的内容基本一致，只是描述风格上差异较大。

SSE-CMM和ISSE从工程角度描述信息系统的保护过程，并且将工程活动与信息系统的生命周期进行对应，更容易被人们理解和接受。

3. 《实施指南》的主要思路

在对信息系统实施等级保护的过程中，风险分析可以作为一种辅助手段。等级保护的相关标准对不同级别的信息系统提出了基本保护要求，基本保护要求是系统安全建设的基础，但是不同的信息系统由于其本身的特性，除基本保护要求外，还有其特殊的安全需求，可以

4

通过风险分析的方法选择需要补充的安全措施，从而在等级保护的基础上，体现各系统防护措施的特殊性。

对信息系统实施等级保护的过程也是一个工程过程，其主要思路可以借鉴安全工程的思路，但是由于对信息系统实施等级保护的过程是以信息系统的合理定级活动开始的，与安全工程相比，考虑问题的思路和方法都将有所不同，具体活动也会有所区别。安全工程的方法论可以作为信息系统实施安全等级保护的一种借鉴，但须根据等级保护的特点补充和完善与等级保护相关的特定工程活动，比如信息系统的划分活动、信息系统的定级活动、信息系统等级保护安全策略规划活动等等。

与风险管理和安全工程不同，实施信息系统等级保护的第一个步骤是确定保护对象，即信息系统的安全等级，然后根据确定的安全等级对信息系统进行符合相应等级保护要求的安全建设和安全管理。对信息系统实施等级保护涉及很多活动，包括系统定级、参照等级保护基本要求的安全措施选择、安全方案的设计、安全工程的实施、系统安全运行管理等等，上述活动均在《实施指南》中有所描述。

对信息系统实施等级保护过程中所涉及的活动分散在信息系统生命周期的不同阶段进行，有些活动之间具有一定的继承性，也就是说必须在一个活动完成后才能进行下一个活动，比如必须进行安全方案设计，完成后才能进行安全工程实施，有些活动没有明显的继承性，比如系统的安全状态监控和系统的变更管理控制。为了保证《实施指南》对活动描述的全面性，《实施指南》应覆盖信息系统生命周期所有阶段的安全活动。

基于上述的分析，《实施指南》的编制基本思路为： 1） 以信息系统等级保护建设为主要线索

如前所述，信息系统等级保护的实施过程中涉及到各类组织和人员，他们将会参与不同的或相同的活动，比如信息系统的主管单位和信息系统的运营单位将参与系统定级活动，如果委托安全服务商进行定级，则安全服务商也会参与定级活动；又如信息系统的运营单位可以自己完成风险分析活动，也可以委托安全服务商完成风险分析活动。

《实施指南》面临的使用对象将是信息系统的主管单位、运营使用单位、技术支持单位、监督管理机构等，为了保证《实施指南》的描述有一个清晰的思路，各类使用人员都能够理

5

解和较好地使用，实施指南并不以某个特定单位的活动为主线进行描述，而是以信息系统等级保护建设所要从事的活动为主线进行描述，有些活动可能是这个单位执行的，另一些活动可能是另一个单位执行的。《实施指南》的读者根据自己的角色和从事的活动选择相应的内容作为指导。

2） 定义信息系统等级保护实施的基本流程

对信息系统实施等级保护涉及的活动有很多，根据安全的动态性和安全工程的循环理论，很多活动需要重复执行，从而保证安全保护的有效性，虽然安全保护是一个不断循环和不断提高的过程，但是实施信息系统等级保护的一次完整周期流程是可以区分清楚的，比如从系统定级到最终的系统安全运行维护，为了便于清晰划分信息系统等级保护的一次实施过程，有必要定义信息系统等级保护实施的一个基本流程。

《实施指南》根据信息系统等级保护实施的特点，结合风险管理和安全工程方法提出信息系统等级保护实施的基本流程，将等级保护实施过程划分为几个不同的阶段，然后分章节介绍和描述不同阶段的安全活动，，指导系统建设者和系统运营者在系统建设和运营期间更好地同步进行等级保护建设。

通过对信息系统等级保护实施基本流程的提出，更好地描述信息系统等级保护实施的不断循环过程；级别变更可能触发另一个等级保护实施流程的执行；风险评估和安全测评可能导致等级保护实施流程中局部活动的重复执行等。

3）介绍和描述每个阶段主要的实施过程和主要活动

为了便于用户使用《实施指南》，《实施指南》根据基本实施流程的阶段划分，分为不同的章节，每个阶段对应一章。每一章介绍和描述本阶段所要进行的过程和主要安全活动，如果过程具有顺序性，将用流程图的形式表述过程的执行过程，如果没有顺序性，则用框图分别表述每一个过程活动。《实施指南》将每个过程作为章下的节，每一节详细描述过程的内容，包括过程可能的实施主体，主要的活动内容和工作方法，过程的输入和输出内容。

1.3 使用对象

《实施指南》以信息系统的生命周期为主线，描述信息系统安全等级保护实施的基本过

6

程，而信息系统安全等级保护实施过程本身是一个多方参与的工作，将会涉及到各类组织，所以《实施指南》的使用对象包括信息系统安全等级保护实施过程中的参与各方。具体包括：国家管理部门、信息系统主管部门、信息系统运营使用单位、信息安全服务机构、信息安全等级测评机构、信息安全产品供应商等。

1） 国家管理部门

公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

2） 信息系统主管部门

负责依照国家信息安全等级保护的管理规范和技术标准，督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

3） 信息系统运营、使用单位

负责依照国家信息安全等级保护的管理规范和技术标准，确定其信息系统的安全保护等级，有主管部门的，应当报其主管部门审核批准；根据已经确定的安全保护等级，到公安机关办理备案手续；按照国家信息等级保护管理规范和技术标准，进行信息系统安全保护的规划设计；使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品和信息安全产品，开展信息系统安全建设或者改建工作；制定、落实各项安全管理制度，定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查，选择符合国家相关规定的等级测评机构，定期进行等级测评；制定不同等级信息安全事件的响应、处置预案，对信息系统的信息安全事件分等级进行应急处置。

4） 信息安全服务机构

负责依据信息系统运营、使用单位的委托，按照国家信息安全等级保护的管理规范和技术标准，协助信息系统运营、使用单位完成等级保护的相关工作，包括确定其信息系统的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造等。

7

5） 信息安全等级测评机构

负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权，协助信息系统运营、使用单位或国家管理部门，按照国家信息安全等级保护的管理规范和技术标准，对已经完成等级保护建设的信息系统进行等级测评；对信息安全产品供应商提供的信息安全产品进行安全测评。

6） 信息安全产品供应商

负责按照国家信息安全等级保护的管理规范和技术标准，开发符合等级保护相关要求的信息安全产品，接受安全测评；按照等级保护相关要求销售信息安全产品并提供相关服务。

1.4 基本结构

《实施指南》包括9章，1个附录。

第1、2、3章为标准的固定格式要求，说明《实施指南》标准的使用范围、引用的其他标准、使用到的术语和定义。

第4章总体描述信息系统等级保护的实施过程，包括实施过程中涉及到的各种角色和职责、实施的基本原则、实施的基本流程。

第5、6、7、8、9章分别根据等级保护实施流程划分的阶段，说明每个阶段的主要实施过程。每章以阶段名称作为一级标题，以主要过程作为二级标题，主要活动要素作为三级标题，说明信息系统安全等级保护的实施活动。

附录A为主要过程的输出列表。

2 基本实施过程

2.1 一些主要概念

1、信息系统安全保护等级

信息系统重要程度的表征。重要程度以信息系统受到破坏后，对国家安全、社会秩序、经济建设和公共利益造成的损害程度来衡量。

8

2、信息系统安全等级保护 对信息系统分等级实施安全保护。 3、信息系统生命周期

信息系统从存在到消失的整个时间周期。通常观点认为信息系统生命周期包括五个阶段，即启动准备阶段、设计/开发阶段、实施/实现阶段、运行维护阶段和系统终止阶段。

4、阶段和阶段目标

信息系统生命周期中，具有代表性的时段划分，称为阶段。通常以经历一系列相关的过程，完成一系列相关的活动，产生一个标志性结果为划分依据。在信息系统安全等级保护实施中，划分为信息系统定级、总体安全规划、安全设计与实施、安全运行与维护和信息系统废弃几个阶段。

每个阶段内期望达到的结果的描述，称为阶段目标。 5、主要活动和活动目标

《实施指南》中，按照阶段、过程、活动、子活动的分解方式进行描述，每个阶段的每个过程中，具有代表性的活动，称为主要活动。通常以为达到阶段目标而必须完成的活动为表述依据。例如在信息系统安全等级保护实施中，信息系统定级阶段的主要过程分为信息系统分析和安全等级确定，其中信息系统分析过程的主要活动划分为系统识别和描述、信息系统分解等几个主要活动。

每个主要活动期望达到的结果的描述，称为活动目标。 7、参与角色

每个活动或活动过程的参与人员，称为参与角色。在《实施指南》中，参与角色的最小度量为“单位”，参与角色分为国家管理部门、信息系统主管部门、信息系统运营使用单位、信息安全服务机构、信息安全等级测评机构、信息安全产品供应商等。

8、子活动和工作内容

主要活动进一步分解后的活动，称为子活动。子活动中需要完成的工作的描述称为工作内容。在《实施指南》中，大部分的主要活动均分解为若干个子活动，并对子活动内容进行详细描述，子活动通常由主要活动的参与角色完成。

9

9、活动输入和活动输出

为完成主要活动或子活动，需要的文件资料称为活动输入；主要活动或子活动完成后，产生的文件资料称为活动输出。在《实施指南》中，对各类主要活动描述了活动输入和活动输出的文档资料名称。

10、相互之间的关系

《实施指南》中，各个主要概念之间的关系如下图所示：

信息系统 生命周期 阶段 阶段 主要过程 活动 阶段目标 过程目标 子活动 活动流程 参与角色 工作内容 输入与输出

图1-2 基本概念之间的关系

2.2 基本实施流程

对一个信息系统实施等级保护的过程本质上是对信息系统进行安全保护的过程，应遵循对信息系统进行安全保护的方法论，但是作为国家等级保护制度实施的对信息系统的安全等级保护工作本身有其自己的特点，整个实施过程应体现出“信息系统分等级”、“按标准进行建设”、“实施监督和管理”等思想。

安全保护过程是一个不断循环和不断提高的过程，但是实施等级保护的一次完整过程是可以区分清楚的，比如从信息系统定级、系统运行维护，最终到信息系统终止，为了便于清晰划分等级保护的一次实施过程，有必要根据信息系统的一个生命周期确定等级保护实施的

10

流程。

对一个信息系统实施等级保护的基本流程如下所示：

信息系统定级 总体安全规划 级别变更 安全设计与实施 局部调整 安全运行与维护 信息系统终止

图1-3 信息系统安全等级保护实施的基本流程

? 局部调整

在安全运行与维护阶段，当系统局部调整时，如果不影响系统的安全等级，应从安全运行与维护阶段进入安全设计与实施阶段，重新调整和实施安全措施，确保满足等级保护的要求；

? 级别变更

在安全运行与维护阶段，当系统发生重大变更导致影响系统的安全等级时，应从安全运行与维护阶段进入信息系统定级阶段，重新开始一次等级保护的实施流程。

2.3 主要的实施阶段

根据信息系统实施等级保护的流程将其实施阶段分别划分为五个不同阶段，即信息系统定级阶段、总体安全规划阶段、安全设计与实施阶段、安全运行与维护阶段和信息系统终止阶段。

1、 信息系统定级阶段

信息系统定级阶段通过对信息系统调查和分析，进行信息系统划分，确定相对独立的信

11

息系统的个数，按照《信息系统安全等级保护定级指南》确定每个信息系统的安全等级。

2、 总体安全规划阶段

总体安全规划阶段通过安全需求分析判断信息系统的安全保护现状与国家等级保护基本要求之间的差距，确定安全需求，然后根据信息系统的划分情况、信息系统定级情况、信息系统承载业务情况和安全需求等，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施规划等，以指导后续的信息系统安全建设工程实施。

3、 安全设计与实施阶段

安全设计与实施阶段通过安全方案详细设计、安全产品的采购、安全控制的开发、安全控制集成、机构和人员的配置、安全管理制度的建设、人员的安全技能培训等环节，将规划阶段的安全方针和策略，具体落实到信息系统中去，其最终的成果是提交满足用户安全需求的信息系统以及配套的安全管理体系。

4、 安全运行与维护阶段

安全运行与维护阶段将介绍运行管理和控制、变更管理和控制、安全状态监控以及安全事件处置和应急预案等过程；对安全状态进行监控，对发生的安全事件及时响应，确保信息系统正常运行；通过定期的监督检查督促信息系统运营、使用单位做好信息系统的日常安全维护工作，确保其满足相应等级的安全要求，达到相应等级的安全保护能力；通过安全检查和持续改进等活动过程实现对信息系统的动态保护。

5、 信息系统终止阶段

信息系统终止阶段是对信息系统的过时或无用部分进行报废处理的过程，主要涉及对信息、设备、存储介质或整个信息系统的废弃处理。信息系统终止阶段的主要活动可能包括对信息的转移、暂存或清除，对设备迁移或废弃，对存储介质的清除或销毁；信息系统终止阶段当要迁移或废弃系统组件时，核心关注点是防止敏感信息泄漏。

3 主要实施阶段介绍

如前所述，信息系统实施等级保护划分为五个不同阶段，即信息系统定级阶段、总体安全规划阶段、安全设计与实施阶段、安全运行与维护阶段和信息系统终止阶段。关于“信息

12

系统定级“阶段的工作方法和工作内容，参见《定级指南》及相关教材。本教材重点介绍“总体安全规划“阶段的工作内容和可用方法。其他阶段的内容，参见《信息系统安全等级保护实施指南》标准相关章节。

3.1 总体安全规划

3.1.1 安全需求分析

系统定级完成后，首要的工作是确定系统的安全需求，也就是系统的保护需求。对于新建的系统和已建的系统，安全需求的确定方法不同，新建过程中的系统由于在设计完成之前还没有系统实体，所以系统可以按照等级保护的要求进行定级、设计和实施，系统的安全需求主要来源于国家政策性要求、机构使命性要求和可能的系统环境影响；运行过程中的系统由于建设过程中并没有按照等级保护的要求进行定级和设计，虽然采取了一定的安全保护措施，但是可能与国家等级保护的要求存在差距，所以需要完成的工作是按照国家等级保护的要求进行安全改造。

新建系统可以在信息系统生命周期的启动/准备、设计/开发阶段同步实施系统定级和系统设计，根据信息系统承载的业务对信息系统合理分级之后，国家标准《信息系统安全等级保护基本要求》就是对各个级别系统的明确安全需求，系统的安全规划设计应以此为依据。

本章重点介绍已建系统，即运行过程中的系统如何在等级保护实施过程中的规划设计阶段确定安全需求，新建系统确定安全需求的方法也可以借鉴这里介绍的方法。关于运行过程中的系统如何定级参见有关信息系统安全保护等级确定的教材，这里不再描述。

对于一个已建系统，在对系统进行划分，并确定了不同系统的安全保护等级之后，关注的重点是不同安全保护等级的系统目前采取的安全保护措施与国家等级保护要求之间的差距有多大，这种差距就是未来需要对系统进行安全改造的目标，也就是安全改造设计方案的安全需求输入。

根据《实施指南》，总体安全规划阶段的第一个重要活动是“安全需求分析”，对于一个已经确定了安全保护等级，并处于运行状态的信息系统，“安全需求分析”实际要完成安全现状评估和安全需求确认两项主要工作。

13

3.1.1.1 安全现状评估

一、评估方法

当根据信息系统的业务重要性及其他相关因素对信息系统进行划分，确定了信息系统的安全保护等级后，需要了解不同级别的信息系统或子系统当前的安全保护与相应等级的安全保护基本要求之间存在的差距，这种差距是一种安全需求，是进行安全方案设计的基础。

传统的安全需求分析方法有很多，如流行的风险分析法，但是作为了解信息系统或子系统当前的安全保护状况与相应等级的安全保护基本要求之间存在的差距的简便方法，莫过于等级测评法。

关于等级测评有专门的教材进行详细描述，这里只说明如何采用等级测评法对安全现状进行评估，并确定与相应等级的安全保护基本要求之间存在的差距。

二、基本步骤

采用等级测评法进行安全现状评估的基本步骤如下： 1、确定评估范围

明确本次被评估系统的范围，包括整个信息系统的范围、各个等级信息系统的范围，各个等级信息系统的边界等。这些信息来自信息系统的定级报告。

例如：

XXXX信息系统承载XX、XX、XX业务，具有XX个出口。出口1通过XX设备与外部的XX系统相连，出口2通过XX设备与外部的XX系统相连，……，系统示意图如下。

XXXX信息系统被划分为XX个信息系统，信息系统1承载XX业务，信息系统2承载XX业务，……。

信息系统1有XX个边界，边界1通过XX设备与外部的XX系统相连，边界2通过XX设备与信息系统2相连，……。

……

本次安全评估的系统包括信息系统1、信息系统2、……。 2、获得被评估信息系统的信息

通过查阅资料（如果定级建议书有详细的资料）或现场调查的方式，了解被评估信息系

14

统的构成，包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等，并将被评估信息系统的信息准确描述。

例如：

信息系统1的范围如下面网络拓扑图所示： 图略。

网络边界：有XX个边界，边界1通过XX设备与外部的XX系统相连，边界2通过XX设备与信息系统2相连，……。

网络区域：有XX个区域，每个区域的说明。 承载业务：有XX个业务，每个业务的说明。

主要安全设备：有XX个安全设备，每个设备的部署位置、主要作用。 ……。

设备清单列表：

XXXX类设备 所属区域 序号 设备名称 用 途 设备信息 说明 1 2 3 4 3、确定具体的评估对象 确定每个等级信息系统的被评估对象，包括整体对象，如机房、办公环境、网络等，也包括具体对象，如边界设备、网关设备、服务器设备、工作站、应用系统等。

4、确定评估工作的方法

根据信息系统安全等级情况、系统规模大小等，明确本次评估的方法，如所有对象的评估还是抽样方式的评估；询问、检查、测试的组合方式等。

15

序号 4 5 6 7 8 问题描述 严重程度 可能的改进措施 三、过程输出 安全现状评估过程中重要的过程控制文件和结果描述文件包括： ? 评估工作计划或项目工作计划 ? 评估方案或测评方案 ? 各类数据记录表格 ? 安全评估报告

1、评估工作计划或项目工作计划基本结构

1、项目概述 2、工作依据 3、工作内容 4、工作产品 5、任务分工 6、时间计划 7、项目评审 2、评估方案或测评方案基本结构 1、项目概述 2、测评对象 21

3、测评指标 4、测评方式和工具 5、层面测评实施 6、系统测评实施 附件A：安全管理测评记录表格 附件B：网络结构测评记录表格 附件C：网络设备测评记录表格 附件D：安全设备测评记录表格 附件E：主机设备测评记录表格 附件F：应用系统测评记录表格 附件G：物理安全测评记录表格 3、记录表格基本结构 序号 类别 求 基本要法 测评方录 结果记况 符合情4、安全评估报告基本结构 1、项目概述 2、测评对象 3、测评指标 4、测评方式和工具 22

5、测评结果 6、综合分析 7、测评结论 附件A：安全管理测评记录表格 附件B：网络结构测评记录表格 附件C：网络设备测评记录表格 附件D：安全设备测评记录表格 附件E：主机设备测评记录表格 附件F：应用系统测评记录表格 附件G：物理安全测评记录表格 3.1.1.2 安全需求确定

一、分析方法

通过等级测评方法对安全现状评估产生的结果，说明了系统安全保护方面与等级保护基本要求之间的差距，这种差距是进一步对系统进行安全改造的依据，由于《信息系统安全等级保护基本要求》中提出的安全要求是针对大部分系统的通用要求，因此还应结合自身系统的特点判断不符合要求的差距是否在今后的安全改造过程中需要补充，以及除《信息系统安全等级保护基本要求》中提出的安全要求外，是否还需要补充其他的措施。

安全需求的最终确认，可以借鉴风险分析的做法，由于已经采用等级测评方法对系统进行了安全现状评估，所以借鉴风险分析法对安全需求进行最终确认时，可以简化分析方法，关注点放在系统的重要资产上，识别出系统的重要资产、重要资产保护方面存在的缺陷、重要资产可能面临的威胁以及可能的风险大小。通过针对重要资产的风险分析方法，判断等级测评中不符合项可能产生的风险，以及对重要资产的额外保护需求。

等级测评中可能产生较大风险的不符合项，为了对抗特定环境下的威胁，重要资产需要补充的安全措施，两者共同构成了系统的安全需求。

二、基本步骤

23

安全需求确认的基本步骤如下： 1、重要资产的分析

明确信息系统中的重要资产或称重要部件，如边界设备、网关设备、核心网络设备、重要服务器设备、重要应用系统、重要数据等。列表说明重要资产，并按重要程度排序。

例如： 序号 1 2 3 4 5 6 7 8 2、重要资产安全弱点评估

检查或判断上述重要资产或重要部件可能存在的弱点，包括技术上和管理上的；分析安全弱点被利用的可能性。重要资产可能存在的弱点的分析和判断可以借用安全现状评估的结果数据，根据弱点的暴露程度或弱点的可利用程度，列表说明。

例如： 序号 资产名称 弱点 弱点说明 24

资产名称 重要程度 资产说明 1 2 序号 资产名称 弱点 弱点说明 3 3、重要资产面临威胁评估

分析和判断上述重要资产或重要部件可能面临的威胁，包括外部的威胁和内部的威胁，威胁发生的可能性或概率。威胁的分析和判断可以采用过滤法，即利用威胁的大列表对每项资产进行过滤，有发生可能性的威胁保留，然后根据威胁发生的可能性大小列表说明重要资产面临的威胁。

例如： 序号 资产名称 威胁 2 3 4、综合风险分析 以每个重要资产为主线，分析威胁利用弱点可能产生的安全事件，分析安全事件发生造成的损害或产生的影响大小。按照安全事件发生造成的损害或产生的影响大小排序说明每个资产可能的安全事件和安全事件的影响。

25

威胁说明 1

例如： 序号 资产名称 可能的安全事件 2 3 5、安全需求分析 针对可能的安全事件以及安全事件发生造成的损害或产生的影响大小，分析和判断需要采用的安全措施，分析安全措施的实施成本和实现可能，分析安全措施之间的互补性。结合安全现状评估的结果，列表说明期望实现的各种安全措施。

例如： 序号 1 2 3 4 5 6 7 8 问题或事件描述 问题或事件危害程度描述 可能的安全措施 安全事件的破坏和影响 1 6、完成安全需求分析报告 26

根据安全评估报告和需求分析阶段的各类数据等形成安全需求分析报告。 安全需求分析报告的文档结构见本节“过程输出”部分。 三、过程输出

安全需求确认过程中的结果描述文件包括： ? 安全需求分析报告 安全需求分析报告基本结构

1、概述 2、系统描述 3、等级测评结果 4、需求分析结果 5、安全需求描述 3.1.2 总体安全规划设计

完成系统定级并确定安全需求后，进入实施前的设计过程，设计过程通常分为总体设计和详细设计，安全设计也不例外，在《实施指南》的描述中，总体安全设计在“总体安全规划阶段”完成，详细安全设计在“安全设计与实施阶段”完成，这里介绍的方法是总体安全设计。

总体安全设计的目的是根据等级保护安全基本要求和确定的系统安全需求，设计系统的整体安全框架，提出系统在总体方面的策略要求、各个子系统应该实现的安全技术措施、安全管理措施等，是《基本要求》在特定系统的具体落实，总体安全设计形成的文档用于指导系统具体安全建设。

详细安全设计的目标是依据信息系统总体安全方案，提出本期实施项目的具体实施方案，将总体方案中要求实现的安全策略、安全技术体系架构、安全措施和要求落实到产品功能或物理形态上，提出指定的产品或组件及其具体规范，并将产品功能特征整理成文档，使

27

得安全产品采购、安全控制开发、具体安全实施有依据。

3.1.2.1 总体安全设计

一、设计方法

总体安全设计并非安全等级保护实施过程中必须的执行过程，对于规模较小、构成内容简单的信息系统，在通过安全需求分析确定了信息系统的安全需求之后，可以直接进入安全详细设计。

对于略有规模的信息系统，比如信息系统本身是由多个不同级别的系统构成、信息系统分布在多个物理地区、信息系统的系统之间横向和纵向连接关系复杂等，对于这样的信息系统，应实施总体安全设计过程。行业信息系统通常具有这种规模和复杂程度。

总体安全设计的基本思路是根据自身信息系统的系统划分情况、系统定级情况、系统的连接情况、系统的业务承载情况、运作机制和管理方式等特点，结合《基本要求》，在较高层次上形成自己信息系统的安全要求，包括安全方针和安全策略、安全技术框架和安全管理体系等。

总体安全设计的基本方法是将复杂信息系统进行简化，提取共性形成模型，针对模型要素结合《基本要求》和安全需求提出安全策略和安全措施要求，指导信息系统中各个组织、各个层次和各个对象安全策略和安全措施的具体实现。

二、基本步骤

总体安全设计的基本步骤如下： 1、信息系统构成抽象处理

对于通过骨干网或城域网连接分布在多个不同物理地区的局域网构成，并且每个物理地区的局域网内划分为多个不同级别的子系统的情况，为了便于分析和处理，首先用模型表示信息系统的构成，将信息系统抽象为骨干网、城域网、局域网这些分析要素，通过抽象处理后，信息系统可以认为是由骨干网/城域网连接的多个局域网形成。

例如：

某个类型的信息系统，通过抽象处理后，信息系统构成模型可能如下图所示：

28

局域网1 局域网2 骨干网/城域网 局域网3 局域网4 图1-4 信息系统构成抽象模型

这里假设被分析的信息系统由骨干网/城域网连接的多个局域网形成。当然，最简单的信息系统可能只由局域网构成；更复杂的信息系统可能是由骨干网连接多个城域网，每个城域网连接多个局域网构成。

被分析的信息系统被抽象为局域网和骨干网/城域网要素，四个局域网通过局域网和骨干网/城域网互相连接。

2、骨干网/城域网抽象处理

通常将骨干网/城域网分解为通信线路、网络设备和骨干网/城域网管理中心三个要素，暂不考虑骨干网/城域网内部的实现细节，认为骨干网/城域网是由通信线路连接网络设备构成的模型。通过对骨干网/城域网模型化处理后，关注点将放在通信线路、网络设备和骨干网/城域网的网络管理上，通过对通信线路、网络设备和网络管理提出安全策略要求和安全措施要求，实现骨干网/城域网的安全保护。

例如：

通过抽象处理后，信息系统骨干网/城域网模型可能如下图所示：

29

局域网 网络设备 网络设备 局域网 网络设备 网络设备 局域网 网络管理 中心 图1-5 骨干网/城域网构成抽象模型

3、局域网抽象处理

对于每个局域网可能是由多个不同级别的子系统构成的情况，无论局域网内部子系统有多少，可以将同级的或处理同类信息的子系统抽象为一个模型要素，我们称之为某级子系统（或称某级安全域）。通过抽象处理后，局域网模型可能是由多个级别的子系统（安全域）互联构成的模型，关注点将放在不同级别安全域互联和不同级别安全域的边界上，通过对不同级别的安全域互联、安全域边界提出安全策略要求和安全措施要求，实现对安全域边界的安全保护。

例如：

通过抽象处理后，局域网模型可能如下图所示：

30

四级子系统/ 安全域 三级子系统/安全域 二级子系统/安全域 一级子系统/安全域 图1-6 局域网构成抽象模型

4、局域网内部子系统之间互联抽象处理

根据局域网内部的业务流程、数据交换要求、用户访问要求等确定不同级别安全域之间的网络连接要求。

例如：

如果任意两个不同级别的子系统之间有业务流程、数据交换要求、用户访问要求等的需要，则认为两个模型要素之间有连接。通过分析和抽象处理后，局域网内部子系统之间互联模型可能如下图所示：

31

四级安全域 三级安全域 二级安全域 一级安全域 图1-7 局域网内不同级别安全域互联抽象模型

5、局域网之间子系统互联抽象处理

根据局域网之间的业务流程、数据交换要求、用户访问要求等确定局域网之间通过骨干网/城域网的分隔的同级或不同级别安全域之间的网络连接要求。

例如：

如果任意两个级别的子系统之间有业务流程、数据交换要求、用户访问要求等的需要，则认为两个局域网的子系统之间有连接。通过分析和抽象处理后，局域网之间子系统互联模型可能如下图所示：

32

四级安全域 四级安全域 三级安全域 三级安全域 二级安全域 二级安全域 一级安全域 一级安全域 图1-8 局域网之间不同级别安全域互联抽象模型

6、局域网子系统与外部单位互联抽象处理

对于与国际互联网或外部机构/单位有连接或数据交换的信息系统，分析这种网络连接要求，并进行模型化处理。

例如：

分析任意一个级别的安全域，如果这个安全域与外部机构/单位或国际互联网之间有业务访问、数据交换等的需要，则认为这个级别的安全域与外部机构/单位或国际互联网之间有连接，通过这种分析和抽象处理后，局域网安全域与外部机构/单位或国际互联网之间互联模型可能如下图所示：

33

四级安全域 三级安全域 二级安全域 外部机构/单位 一级安全域 国际互联网 图1-9 局域网与外部连接抽象模型

8、安全域内部抽象处理

局域网中不同级别的安全域的规模和复杂程度可能不同，但是每个级别的安全域的构成要素基本一致，即是由服务器、工作站和连接它们构成网络的网络设备构成。为了便于分析和处理，将安全域内部抽象为服务器设备（包括存贮设备）、工作站设备和网络设备这些要素，通过对安全域内部的模型化处理后，对每个安全域内部的关注点将放在服务器设备、工作站设备和网络设备上，通过对不同级别的安全域中的服务器设备、工作站设备和网络设备提出安全策略要求和安全措施要求，实现安全域内部的安全保护。

例如：

通过抽象处理后，每个安全域模型可能如下图所示：

34

网络设备 服务器设备 工作站设备 图1-10 安全域内部构成抽象模型

9、形成信息系统抽象模型

通过对信息系统的分析和抽象处理，最终应形成被分析的信息系统的抽象模型。信息系统抽象模型的表达应包括以下内容：

? 信息系统如何由骨干网、城域网、局域网构成，骨干网、城域网、局域网之间如何

互联；

? 局域网最多包含几个不同级别的安全域； ? 局域网内部不同级别的安全域之间如何连接； ? 不同局域网之间的安全域之间如何连接；

? 局域网内部安全域是否与外部机构/单位或国际互联网有互联； ? 等等。

10、说明总体安全策略

说明安全工作的主要策略，包括安全组织机构划分策略、业务系统分级策略、数据信息分级策略、安全域互连策略、信息流控制策略等；

例如：

1）、管理策略：

35

XXXX集团公司成立信息安全领导小组，该小组是信息安全的最高决策机构。安全领导小组下XXXX工作组、XXXX工作组负责具体工作；各个分公司成立XXXX工作负责分公司的具体工作。

XXXX集团公司信息安全领导小组负责组织相关人员对信息系统的安全建设和安全改造进行统一规划，各分公司和直属单位根据统一规划进行具体建设实施。

由XXXX集团公司负责对信息安全设备的选型、采购和验收等方面制定具体管理规定，各分公司和直属单位根据上述具体管理规定进行信息安全设备的采购和使用。

集团公司本部局域网由本部XXXX部门负责管理；各分公司和直属单位局域网由XXXX部门负责管理；骨干网由XXXX部分负责管理；各分公司城域网由各分公司XXXX部门负责管理。

等等

2）、系统分级

集团公司本部和分公司局域网划分为XXXX四个级别的安全域，其中XXXX为4级，XXXX为3级，XXXX为2级，XXXX为1级。

XXXX业务、XXXX业务、……等划归在4级安全域，……。 等等

3）、网络互联

同级的安全域通过骨干网/城域网只能与上级或下级单位的同级安全域进行连接；4级安全域通过二层的VPN通道进行数据交换、3级安全域通过二层或三层的VPN通道进行数据交换；

4级安全域不能与2级安全域、1级安全域直接连接；3级安全域不能与1级安全域直接连接；

分公司不允许有Internet出口，分公司到Internet的访问必须通过集团公司本部的Internet出口，仅集团公司本部有唯一的Internet连接；Internet出口只能与1级安全域连接；

等等

36

4）、安全控制

4级安全域与3级安全域之间必须采用接近物理隔离的专用设备进行隔离； 各级别安全域的网络对外接口处必须使用防火墙进行有效的边界保护；

3级安全域和2级安全域外部单位进行数据交换时，不允许直接交换，必须把要交换的数据送到外部接入网络的前置机或中间件，由外部单位从外部接入网络的前置机或中间件将数据取走；反之亦然；

等等

11、选择和规定骨干网/城域网的安全保护技术措施

针对信息系统等级化抽象模型，根据机构总体安全策略、等级保护基本要求和系统的特殊安全需求，提出骨干网/城域网的安全保护策略和安全技术措施。

例如：

1）、网络设备安全

网络设备应位于XXXX机房内；

网络设备应提供远程管理和本地管理两种管理方式； 网络设备应设置通过特定的端口才可以进行配置；

网络设备上应设置访问控制列表，限制对网络设备的可访问人员；

应对访问网络设备的用户进行身份认证，确保只有授权的网络管理员可以进行配置管理；

网络设备的身份认证采用用户名/口令方式，应保证口令数字字母混合，且长度不少于8位；

等等。

2）、网络通信安全

确保为3级以上安全域之间的通信开通VPN通道； 确保二个局域网之间有二条路由通道；

确保对网络设备的管理使用一个独立的网络，与普通用户使用的网络隔离； 开通一个专用的VPN通道，使网络设备与网络管理中心的网络管理数据交换通过此

37

VPN通道传输；

等等

12、选择和规定不同级别安全域的边界保护技术措施

针对信息系统等级化抽象模型，根据机构总体安全策略、等级保护基本要求和系统的特殊安全需求，提出不同级别安全域边界的安全保护策略和安全技术措施。安全域边界安全保护策略和安全技术措施提出时应考虑边界设备共享的情况，如果不同级别的安全域通过同一设备进行边界保护，这个边界设备的安全保护策略和安全技术措施应满足最高级别安全域的等级保护基本要求。

例如：

1）、1级安全域边界

在1级安全域、外部单位接入点和Internet接入点处部署防火墙设备、网络入侵检测系统、防病毒网关设备实施边界防护；

……

应保证防火墙启动了“除许可的以外拒绝所有服务”的模式； 应保证防火墙使用了地址转换功能隐藏了内部网络结构； ……

应在防火墙的内部接口网段上配置入侵检测传感器； 应在重要的服务器所在网段上配置入侵监测传感器； …… 等等

2）、2级安全域边界

在2级安全域和外部单位接入点处部署防火墙设备、网络入侵检测系统、防病毒网关设备实施边界防护；

…… 等等

38

13、选择和规定不同级别安全域内部系统平台和业务应用的安全保护技术措施 针对信息系统等级化抽象模型，根据机构总体安全策略、等级保护基本要求和系统的特殊安全需求，提出不同级别安全域内部网络平台、系统平台和业务应用的安全保护策略和安全技术措施。

例如：

1）、各级安全域网络结构

将网络划分为不同的子网或VLAN，使不同业务应用系统的工作站和服务器位于不同的子网或VLAN中；

将同一业务应用系统的服务器尽量集中放置于一个区域，并使访问服务器的工作站通过特定的路径对服务器进行访问；

在连接服务器和工作站的线路之间使用可以设置访问规则的网络连接设备，并根据访问策略设置合适的访问规则；

…… 等等

2）、各级安全域服务器基本要求

及时修补本身存在的漏洞，安装相应的补丁程序。 关闭所有不需要的服务端口。 删除或关闭所有不需要的账户。

设置口令，并基于标识号和口令对用户的身份进行认证。 …….。 等等。

3）、3、4级安全域服务器增强要求 对于操作系统，进行必要的剪裁。 对于操作系统，安装加固软件。

使用数字证书标识用户，并基于数字证书进行用户身份认证。 开启审计机制记录下重要操作的过程。

39

安装主机入侵检测系统。 …… 等等。

3）、应用系统安全

各级应用系统基本安全策略：

应用系统应该对每个请求进入应用系统的用户给予一个标识，以便区分用户，同时标识必须唯一。

应用系统应该对请求访问的用户进行鉴别，至少使用个人标识和口令进行身份认证。 应用程序应该对用户区分角色，并对不同的用户角色分配不同的操作权限。 应用程序应该采用菜单方式，通过菜单的变化，根据用户的权限进行访问控制。 应用程序在传送和接受数据时、在存入和读出数据时，应该至少采用校验和、循环冗余码技术保证数据完整性。

应用程序的输入界面应该具有容错能力和错误处理能力，不能因为某个误操作或数据输入不合适而造成应用系统程序中断或出现故障。

…… 等等。

3，4级应用系统增强安全策略：

采用数字证书标识用户和实体，并对用户和实体进行基于数字证书的身份认证。 除采用校验和、循环冗余码技术外，还应该采用数字摘要技术等，确保数据的完整性。 对敏感数据采用数据标签技术标识数据的重要级别。

对数据的发送方和接受方在身份认证的基础上对处理的数据使用数字签名技术，以防止出现抵赖现象。

…… 等等

14、选择和规定不同级别信息系统机房的安全保护技术措施

40

本文来源：https://www.bwwdw.com/article/8se.html