第17章 信息系统等级保护与风险管理

信息系统等级保护与风险管理

第17章 信息系统等级保护与风险管理 17章

李

剑

北京邮电大学信息安全中心 E-mail: lijian@电话：130-01936882

版权所有，盗版必纠

信息系统等级保护与风险管理

概况 信息安全等级保护是指国家通过制定统一的信息 安全等级保护管理规范和技术标准，组织公民、 法人和其他组织对信息系统分等级实行安全保护， 对等级保护工作的实施进行监督、管理。风险管 理是安全管理的重要组成部分。它包括：风险评 估、风险控制以及根据风险评估结果对信息系统 的运行中的相关事项做出决策。等级保护是基本 制度，风险评估是过程，风险管理是目标。

版权所有，盗版必纠

信息系统等级保护与风险管理

第17章 信息系统等级保护与风险管理 17.1 信息安全等级保护 17.1.1 我国信息安全等级保护 17.1.2 国外信息安全等级保护 17.2 信息安全风险管理 17.3 信息系统风险评估 17.3.1 信息安全风险评估概述 17.3.2 信息安全风险评估方法 思考题版权所有，盗版必纠

信息系统等级保护与风险管理

17.1 信息安全等级保护 信息安全等级保护制度是国家在国民经济和社会 信息化的发展过程中，提高信息安全保障能力和 水平，维护国家安全、社会稳定和公共利益，保 障和促进信息化建设健康发展的一项基本制度。 实行信息安全等级保护制度，能够充分调动国家、 法人和其他组织及公民的积极性，发挥各方面的 作用，达到有效保护的目的，增强安全保护的整 体性、针对性和实效性，使信息系统安全建设更 加突出重点、统一规范、科学合理，对促进我国 信息安全的发展将起到重要推动作用。版权所有，盗版必纠

信息系统等级保护与风险管理

17.1.1 我国信息安全等级保护 1994年国务院颁布的 《中华人民共和国计算机信息系统 安全保护条例》规定，“计算机信息系统实行安全等级保 护，安全等级的划分标准和安全等级保护的具体办法，由 公安部会同有关部门制定”。1999年9月13日国家发布 《计算机信息系统安全保护等级划分准则》。2003年中 央办公厅、国务院办公厅转发《国家信息化领导小组关于 加强信息安全保障工作的意见》(中办发 [2003]27 号) 明确指出，“要重点保护基础信息网络和关系国家安全、 经济命脉、社会稳定等方面的重要信息系统，抓紧建立信 息安全等级保护制度，制定信息安全等级保护的管理办法 和技术指南”。 2007年6月，公安部、国家保密局、国 家密码管理局、国务院信息化工作办公室制定了《信息安 全等级保护管理办法》(以下简称《管理办法》),明确 了信息安全等级保护的具体要求。版权所有，盗版必纠

信息系统等级保护与风险管理

17.1.1 我国信息安全等级保护 信息安全等级保护制度的实施，必将大大提高我 国的信息安

全水平，有力保护我国信息化建设成 果。同时，我国相关的信息安全企业也将得到实 惠。有关技术专家分析，国家对于信息系统以及 相关安全产品进行等级划分，会使很多企事业单 位的安全意识更加增强，有了这样的认识之后， 信息安全厂商的相关产品才能够被广泛了解，安 全厂商可以应针对等级划分要把自己的产品进行 有针对性的调整，相关解决方案是否符合当前信 息系统的安全需求也可以经过等级评估的检验。 我国的信息系统的安全保护等级分为以下五级：版权所有，盗版必纠

信息系统等级保护与风险管理

17.1.1 我国信息安全等级保护 (1) 第一级为自主保护级。由用户来决定如何对资源进行保护，以及采用何 种方式进行保护。 本级别适用于一般的信息系统，其受到破坏后，会对公民、法人和其他组织 的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。 (2) 第二级为指导保护级。本级的安全保护机制支持用户具有更强的自主保 护能力。特别是具有访问审记能力，即它能创建、维护受保护对象的访问审 计跟踪记录，记录与系统安全相关事件发生的日期、时间、用户和事件类型 等信息，所有和安全相关的操作都能够被记录下来，以便当系统发生安全问 题时，可以根据审记记录，分析追查事故责任人。 本级别适用于一般的信息系统，其受到破坏后，会对社会秩序和公共利益造 成轻微损害，但不损害国家安全。 (3) 第三级为监督保护级。具有第二级系统审计保护级的所有功能，并对访 问者及其访问对象实施强制访问控制。通过对访问者和访问对象指定不同安 全标记，限制访问者的权限。 本级别适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到 破坏后，会对国家安全、社会秩序和公共利益造成损害。

版权所有，盗版必纠

信息系统等级保护与风险管理

17.1.1 我国信息安全等级保护 (4) 第四级为强制保护级。将前三级的安全保护能力扩展到所有访问 者和访问对象，支持形式化的安全保护策略。其本身构造也是结构化 的，以使之具有相当的抗渗透能力。本级的安全保护机制能够使信息 系统实施一种系统化的安全保护。 本级别适用于涉及国家安全、社会秩序和公共利益的重要信息系统， 其受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害。 (5) 第五级为专控保护级。具备第四级的所有功能，还具有仲裁访问 者能否访问某些对象的能力。为此，本级的安全保护机制不能被攻击、 被篡改的，具有极强的抗渗透能力。 本级别适用于涉及国家安全、社会秩序和公共利益的重要信息系统的 核心子系统，其受到破坏后，会

对国家安全、社会秩序和公共利益造 成特别严重损害。 信息系统运营、使用单位及个人依据“信息安全等级保护管理办法” 和相关技术标准对信息系统进行保护，国家有关信息安全职能部门对 其信息安全等级保护工作进行监督管理

版权所有，盗版必纠

信息系统等级保护与风险管理

17.1.1 我国信息安全等级保护 (1) 第一级信息系统运营、使用单位或者个人可以依据国家管理规范和技术 标准进行保护。 (2) 第二级信息系统运营、使用单位应当依据国家管理规范和技术标准进行 保护。必要时，国家有关信息安全职能部门可以对其信息安全等级保护工作 进行指导。 (3) 第三级信息系统运营、使用单位应当依据国家管理规范和技术标准进行 保护，国家有关信息安全职能部门对其信息安全等级保护工作进行监督、检 查。 (4) 第四级信息系统运营、使用单位应当依据国家管理规范和技术标准进行 保护，国家有关信息安全职能部门对其信息安全等级保护工作进行强制监督、 检查。 (5) 第五级信息系统运营、使用单位应当依据国家管理规范和技术标准进行 保护，国家指定的专门部门或者专门机构对其信息安全等级保护工作进行专 门监督、检查。 信息安全等级保护的主要内容如图17.1所示，大的方面分为技术要求和管理 要求。技术要求分为物理安全、网络安全、主机安全、应用安全和数据安全。 管理要求又分为安全管理机构、安全管理制度、人员安全管事、系统建设管 理和系统运维管理。

版权所有，盗版必纠

信息系统等级保护与风险管理

17.1.1 我国信息安全等级保护

版权所有，盗版必纠

信息系统等级保护与风险管理

17.1.1 我国信息安全等级保护 信息系统等级保护实施生命周期内的主要 活动有四个阶段，包括定级阶段、规划设 计阶段、安全实施/实现阶段、安全运行管 理阶段，如图所示。

版权所有，盗版必纠

信息系统等级保护与风险管理

17.1.1 我国信息安全等级保护

版权所有，盗版必纠

信息系统等级保护与风险管理

17.1.2 国外信息安全等级保护 第一个有关信息技术安全评价的标准诞生于八十 年代的美国，就是著名的“可信计算机系统评价 准则”(TCSEC,又称桔皮书)。该准则对计算 机操作系统的安全性规定了不同的等级.从九十年 代开始,一些国家与国际组织相继提出了新的安全 评价准则。1991年，欧共体发布了“信息技术安 全评价准则”(ITSEC)。1993年,加拿大发布 了“加拿大可信计算机产品评价准则” (CTCPEC), CTCPEC综合了TCSEC与ITSEC 两个准则的优点。同年，美国在对TCSEC进行修 改补充并吸收ITSEC优点的基础上，发布了“信 息技术安全评价联邦准则”(FC)。版权所有，盗版必纠

信息系统等级保护与风险管理

17.1.2 国外信息安全等级保护 美国，作为一直走在信息安全前列的

大国， 近几年来在信息系统安全方面，突出体现 了对信息系统分类分级实施保护的发展思 路，制定了一系列体系化的标准和指南性 文件，并根据有关的技术标准、指南，对 联邦政府一些重要的信息系统已实现了安 全分级，并在整体上体现了分级保护、管 理的思想。下面主要介绍的“可信计算机 系统评价准则”,即桔皮书。版权所有，盗版必纠

信息系统等级保护与风险管理

17.1.2 国外信息安全等级保护 桔皮书是美国国家安全局(NSA)的国家电脑安全中心(NCSC)颁 布的官方标准，其正式的名称为“受信任电脑系统评价标准” (TCSEC:Trusted Computer System Evaluation CRITERIA). 目前，桔皮书是权威性的电脑系统安全标准之一，它 将一个电脑系统可接受的信任程度给予分级，依照安全性从高到低划 分为 A,B,C,D四个等级，其中这些安全等级不是线性的，而是指 数级上升的。 桔皮书将计算机安全由低到高分为四类七级：D1、C1、 C2、B1、B2、B3、A1。其中D1级是不具备最低安全限度的等级， C1和C2级是具备最低安全限度的等级，B1和B2级是具有中等安全保 护能力的等级，B3和A1属于最高安全等级。 D1级：计算机安全的最低一级，不要求用户进行用户登录和密码保 护，任何人都可以使用，整个系统是不可信任的，硬件软件都易被侵 袭。

版权所有，盗版必纠

信息系统等级保护与风险管理

17.1.2 国外信息安全等级保护 C1级：自主安全保护级，要求硬件有一定的安全 级(如计算机带锁),用户必须通过登录认证方 可使用系统，并建立了访问许可权限机制。 C2级：受控存取保护级，比C1级增加了几个特性： C2 C1 引进了受控访问环境，进一步限制了用户执行某 些系统指令；授权分级使系统管理员给用户分组， 授予他们访问某些程序和分级目录的权限；采用 系统审计，跟踪记录所有安全事件及系统管理员 工作。

版权所有，盗版必纠

信息系统等级保护与风险管理

17.1.2 国外信息安全等级保护 B1级：标记安全保护级，对网络上每个对象都予实施保 护；支持多级安全，对网络、应用程序工作站实施不同的 安全策略；对象必须在访问控制之下，不允许拥有者自己 改变所属资源的权限。 B2级：结构化保护级，对网络和计算机系统中所有对象 都加以定义，给一个标签；为工作站、终端等设备分配不 同的安全级别；按最小特权原则取消权力无限大的特权用 户。 B3级：安全域级，要求用户工作站或终端必须通过信任 的途径连接到网络系统内部的主机上；采用硬件来保护系 统的数据存储区；根据最小特权原则，增加了系统安全员， 将系统管理员、系统操作员和系统安全员的职责分离，将 人为因素对计算机安全的威胁减至最小

。

版权所有，盗版必纠

信息系统等级保护与风险管理

17.1.2 国外信息安全等级保护 A1级：验证设计级，是计算机安全级中最 高一级，本级包括了以上各级别的所有措 施，并附加了一个安全系统的受监视设计； 合格的个体必须经过分析并通过这一设计； 所有构成系统的部件的来源都必须有安全 保证；还规定了将安全计算机系统运送到 现场安装所必须遵守的程序。

版权所有，盗版必纠

信息系统等级保护与风险管理

17.2 信息安全风险管理 信息安全风险管理是信息安全管理的重要组成部 分，它是信息安全等级保护的基础。 1. 风险 风险(Risk) 风险指在某一特定环境下，在某一特定时间段内， 特定的威胁利用资产的一种或一组薄弱点，导致 资产的丢失或损害的潜在可能性，即特定威胁事 件发生的可能性与后果的结合。ISO 27001要求 组织通过风险评估来识别组织的潜在风险及其大 小，并按照风险的大小安排控制措施的优先等级。 例如，在使用计算机的时候，如果安装了360安 全卫士等安全工具，则有时会出现如图17.3所示 的安全风险告警。版权所有，盗版必纠

本文来源：https://www.bwwdw.com/article/g8em.html