联系我们
 您在这里: 首页 / 媒体 / 政策、法规传播


等级保护

等级保护

出处:国家机构
作者:国家机构
发布日期:2012-09-28

一、美国信息系统分级的思路

 

    从目前的资料上看,美国在计算机信息系统的分级存在多样性,但基本的思路是一致的,只不过分级的方法不同而已,已在不同分级方法中出现的作为划分信息系统安全等级的因素主要包括:
        
资产(包括有形资产和无形资产)(使用资产等级作为判断系统等级重要因素的文件如FIPS199,IATF,DITSCAP,NIST800-37等);
        
威胁(使用威胁等级作为判断系统等级重要因素的文件如IATF等);
         破坏后对国家、社会公共利益和单位或个人的影响(使用影响等级作为判断系统等级重要因素的文件如FIPS199,IATF等);
      单位业务对信息系统的依赖程度(DITSCAP);

 

    根据对上述因素的不同合成方式,分别可以确定:
     系统强健度等级(IATF):由信息影响与威胁等级决定;
     系统认证级(DITSCAP):由接口模式、处理模式、业务依赖、三性、不可否认性等七个方面取权值决定;
     系统影响等级(FIPS199):根据信息三性的影响确定;
     安全认证级(NIST800-37):根据系统暴露程度与保密等级确定。

 

    由于不同的信息系统所隶属的机构不同,美国两大类主要信息系统:联邦政府机构的信息系统及国防部信息系统所参照的分级标准不尽相同,即:所有联邦政府机构按照美国国家标准与技术研究所(NIST)有关标准和指南的分级方法和技术指标;而国防部考虑到本身信息系统及所处理信息的特殊性,则是按照DoD 8500.2的技术方法进行系统分级。下面重点介绍美国联邦政府和国防部的有关标准和指南性文件。

 

    美国联邦信息处理标准(FIPS)是(NIST)制定的一类安全出版物,多为强制性标准。FIPS 199 《联邦信息和信息系统安全分类标准》(2003年12月最终版)描述了如何确定一个信息系统的安全类别。确定系统级别的落脚点在于系统中所处理、传输、存储的所有信息类型的重要性。

 

    信息和信息系统的“安全类别”是FIPS 199中提出的一种系统级别概念。该定义是建立在某些事件的发生会对机构产生潜在影响的基础之上。具体以信息和信息系统的三类安全目标(保密性、完整性和可用性)来表现,即,丧失了保密性、完整性或可用性,对机构运行、机构资产和个人产生的影响。FIPS 199定义了三种影响级:低、中、高。

 

    FIPS 199按照“确定信息类型——确定信息的安全类别——确定系统的安全类别”三个步骤进行系统最终的定级。首先,确定系统内的所有信息类型。FIPS 199指出,一个信息系统内可能包含不止一种类型的信息(例如隐私信息、合同商敏感信息、专属信息、系统安全信息等)。其次,根据三类安全目标,确定不同信息类型的潜在影响级别(低、中、高)。最后,整合系统内所有信息类型的潜在影响级,按照“取高”原则,即选择较高影响级别作为系统的影响级(低、中、高)。最终,系统安全类别(SC)的通用表达式为:SC需求系统={(保密性,影响级),(完整性,影响级),(可用性,影响级)}为配合FIPS 199的实施,NIST分别于2004年6月推出了SP 800-60第一、二部分,《将信息和信息系统映射到安全类别的指南》及其附件。其中详细的介绍了联邦信息系统中可能运行的所有信息类型;并针对每一种信息类型,介绍了如何去选择其影响级别,并给出了推荐采用的级别。这样,系统在确定等级的第一步—确认信息类型,并确定其影响级别时,有了很好的参考意见。

 

    而美国国防部对信息系统的分级与联邦政府有所不同,主要把信息系统的信息分类为业务保障类和保密类,同时对这两类进行了分级的要求,该分级要求发布在2003年2月的信息保障实施指导书(8500.2)中。

 

    总的来讲,8500.2也采用了三性:完整性、可用性和保密性对国防部的信息系统进行级别划分。需要特别提出的是,考虑到完整性和可用性在很多时候是相互联系的,无法完全分出,故在8500.2中将二者合为一体,提出一个新概念“业务保障类”。同时考虑到国防部信息系统所处理的信息的特殊性,故其分级依据为系统其对业务保障类的要求及所处理信息的保密程度,分别分为三个等级。

 

    保密类级别根据系统处理信息的保密类型:机密类、敏感类和公开类来确定级别(高、中、基本)。业务保障级别和保密级别是相互独立的,也就是说业务保障类I可以处理公共信息,而业务保障类III可以处理机密信息。不同级别的业务保障类和保密类相互组合,形成九种组合,体现不同系统的等级要求。

 

    综上所述,无论是联邦政府还是国防部,在考虑系统分级因素的时候,都给予了信息系统所处理、传输和存储的信息以很大的权重。NIST的系统影响级是完全建立在信息影响级基础之上的;而国防部考虑到其所处理的信息的密级,故将信息的保密性单独作为一项指标。可见,系统所处理的信息的重要性可作为我们划分等级时的重要依据。

 

二、安全措施的选择

 

   信息系统的保护等级确定后,有一整套的标准和指南规定如何为其选择相应的安全措施。NIST 的SP 800-53《联邦信息系统推荐安全控制》为不同级别的系统推荐了不同强度的安全控制集(包括管理、技术和运行类)。为帮助机构对它们的信息系统选择合适的安全控制集,该指南提出了基线这一概念。基线安全控制是基于FIPS 199中的系统安全分类方法的最小安全控制集。针对三类系统影响级,800-53列出三套基线安全控制集(基本、中、高),分别对应于系统的影响等级。

 

    800-53中提出了三类安全控制:管理、技术和运行。每类又分若干个族(共18个),每个族又由不同的安全控制组成(共390个)。集合了美国各方面的控制措施的要求,来源包括:
     FISCAM (联邦信息系统控制审计手册);
     DOD 8500 (信息保障实施指导书);
     SP 800-26(信息技术系统安全自评估指南);
     CMS (公共健康和服务部,医疗保障和公共医疗补助,核心安全需求);
     DCID 6/3 (保护信息系统的敏感隔离信息);
     ISO 17799 (信息系统安全管理实践准则)。

 

    来源的广泛性,体现了安全控制措施的适用性和恰当性。需要指出的是,800-53只是作为选择最小安全控制的临时性指南,NIST将于2005年12月推出FIPS 200 《联邦信息系统最小安全控制》标准,以进一步完善信息系统的安全控制。

 

    区别于SP 800-53中“类”的概念,国防部8500.2提出了“域”的概念,八个主题域分别为:安全设计与配置、标识与鉴别、飞地与计算环境、飞地边界防御、物理和环境、人员、连续性、脆弱性和事件管理。每个主题域包含若干个安全控制。对应系统的业务保障类级别和保密类级别,安全控制也分为业务保障类安全控制I、II、III级和保密类安全控制三级。机构可根据自身对业务保障类和保密类安全要求,选择相应的安全控制。

 

    由以上介绍可以看出,美国在推行系统分级实施不同安全措施方面,虽然只是近几年才开展,但已经积累了一些成熟的经验,并形成了一套完整的体系。尤其是联邦政府的信息系  统,根据2002年《联邦信息安全管理法案》(FISMA)(公共法律107-347),赋予了NIST以法定责任开发一系列的标准和指南。因此,从系统信息类型定义,到如何确定影响级,到安全控制的选择,直至最终的系统安全验证和授权,NIST都给出了配套的指南或标准来支持。这些都为我国推行等级保护铺垫了良好的基础,提供了有效的经验。

 

    温家宝总理在国家信息化领导小组第三次会议上曾经指出,信息安全的保障工作要坚持积极防御、综合方法的方针 重点保障基础网络和重要系统的安全,并完善信息安全监控体系,建立信息安全的有效机制和应急处理机制。

 

    因此,如何使计算机信息网络等级保护制度更为有效地保护重要领域的信息网络,建立安全保障的长效机制将是今后我国信息安全建设的重点。为此,公安部公共信息网络安全监察局局长李昭就等级保护制度进行了解释。

 

    计算机信息网络安全等级保护的主要内容和基本思路

 

    答:1994年国务院颁布的《计算机信息系统安全保护条例》中已经规定:我国的“计算机信息系统实行安全等级保护。等级划分标准和等级管理办法由公安部会同有关部门制定”。等级保护的主要内容可以从五个方面来概括。首先,公安、国家保密、国家密码管理、技术监督、信息产业等国家有关信息网络安全的行政主管部门要在国家信息化领导小组的统一领导下,制定我国开展信息网络安全等级保护工作的发展政策,统一制定针对不同安全保护等级的管理规定和技术标准,对不同信息网络确定不同安全保护等级和实施不同的监督管理措施。公安机关作为计算机信息网络安全保护工作的主管部门,要代表国家依法履行对计算机信息网络安全等级保护工作的监督管理和服务保障职能,依据管理规定和技术标准的具体等级,对单位、企业、个人计算机信息网络的安全保护状况进行监督和检查,并为落实等级保护制度提供指导和服务保障。国家保密、密码管理、技术监督、信息产业等部门也要根据各自职能,在等级保护中各自发挥重要作用。

 

    其次,等级保护坚持“谁主管、谁负责,谁经营、谁负责,谁建设、谁负责,谁使用、谁负责”的原则。计算机信息网络的建设和使用单位要依照等级保护管理规定和香港技术标准,根据其单位在国民经济和社会发展中的地位作用、信息网络依赖程度和重要程度、信息内容或数据的重要程度、系统遭到攻击破坏后造成的危害程度等因素,科学、准确地设定其安全保护等级,开展安全等级波阿訇设施和制度建设,落实安全管理措施和相关责任。重要领域和重点要害信息网络的上级主管部门要对所属信息网络的安全负起领导和管理责任,提高自主管理、自我保护能力。

 

    第三,等级保护实行“国家主导、重点单位强制、一般单位自愿;高保护级别强制、低保护级别自愿”的监管原则。计算机信息网络安全涉及国家安全、国家利益和社会稳定,信息网络安全等级保护是国家安全战略的重要组成部分。国家根据信息网络的重要程度和保护价值实行分等级逐步加重的保护措施。涉及国家安全和利益的重要信息网络,必须按照管理规定设定相应的安全保护制度,并由国家主管部门予以核准;其他信息网络自行设定安全等级,报国家主管部门备案。重要信息网络要按照国家有关法规和技术标准建设安全保护设施和进行安全保护管理,国家主管部门依法对其进行监督和检查;一般使用单位可以自愿按照国家制度的标准,在国家主管部门的制度或帮助下,实施自我保护和共同保护。

 

    第四,信息网络安全状况等级的技术检测是等级保护的重点。信息网络的技术安全等级是信息网络安全状况等级的主要指标,由国家授权的技术检测机构通过技术检测来进行评定。技术检测机构需取得国家主管部门的技术资质和授权后,方可从事信息网络安全等级保护的技术检测。同时,鼓励重点使用单位和主管部门自行建立评估机构,在取得国家主管部门的技术资质和授权后,对本单位、部门的信息网络自行检测。技术检测的结果应报送国家主管部门。国家主管部门根据技术检测和其他安全检查的结果对信息网络的安全保护进行监督管理,并对技术检测机构进行监管。

 

    第五,等级保护制度为信息网络安全产品的普及使用提供了广阔的市场和发展空间。通过等级保护,引导国内外信息技术和信息安全产品研发企业根据国家有关法规和技术标准,积极研发和推广使用适合不同安全保护等级的产品。由于国家强制采用符合安全等级的产品,特别是重要领域要求采用我国自主开发的安全产品,必将带动和促进自主信息网络安全产品的开发、研制、生产和使用,使我国自主的信息安全产业化,尽快缩短与发达国家的差距,既能推动我国民族信息产业的进一步发展,也为保障我国的信息网络安全打下更坚实的基础。

 

    等级保护制度对于我国国家信息安全的重要意义

 

    答:实行等级保护是在借鉴国外先进经验和结合我国国情的基础上解决我国信息网络安全的必然选择。

 

    如何全面和整体解决各行各业在信息化建设中的安全问题,是国内外信息安全界多年来一直关注的问题。美国及西方发达国家为了抵御信息网络的脆弱性和安全威胁,制定了一系列强化信息网络安全建设的政策和标准,其中一个很重要思想就是将按照安全保护强度划分不同的安全等级,以指导不同领域的信息安全工作。

 

    近年来,在党中央、国务院高度重视和全社会共同努力下,我国信息网络安全工作取得了很大发展。但是由于我国信息安全工作起步晚,基础薄弱,信息网络安全面临的形势依然十分严峻。

 

    首先,全社会对网络信息内容安全的认识普遍提高,但对网络自身的安全性却认识不足。一些单位片面认为内部使用的信息网络就是安全的,因而缺乏网络安全保护的意识和能力。随着信息化发展特别是电子政务的建设,互联互通和信息共享已越来越广泛,单位内部信息网络面临的安全威胁越来越大,单位内部信息网络面临的安全威胁越来越大。更令人担心的是,这些信息网络大多集中在党政机关,以及金融、电信、广电、能源、交通运输、重点工程建设、大型企业等重要经济建设部门,这些关系国计民生的信息网络一旦遭到外部攻击或内部破坏,后果将十分严重。

 

    其次,网络安全建设和管理存在很大的盲目性。大多数单位既不清楚如何建设网络才是安全的,也不清楚如何检查所使用的网络的安全状况,也不知道如何有效改进和完善网络的安全性。有的人以为,安装了防火墙、防病毒、入侵检测等设备的网络就是安全的。这种低水平的安全建设和管理,不仅使建设投资缺乏针对性,而且难以保证网络的整体安全防范能力。

 

    第三,对信息网络安全保护工作的监测管理薄弱。近年来,我国相继出台了多部信息网络安全的法律法规和技术标准,赋予多个行政部门主管部门在信息网络领域行使监督执法职能,但随着信息技术的迅猛发展和我国信息化进程的加快,传统的管理方式越来越不适应。执法主体不集中,多重多头管理,对重要程度不同的信息网络的管理要求没有差异、没有标准,缺乏针对性。对应该重点监督的单位和网络,无从入手实施监管。对信息网络的安全监督检查,多数停留在对安全管理制度、人员及一般性地技术检查,缺乏有效的技术检查标准和检测工具,工作难以深入。特别是监督和检测的职能不分,不符合社会主义市场经济条件下政府职能转变的要求。

 

    第四,规范化、高水平的信息网络安全服务市场还未形成。由于信息网络安全的专业性强,专门人才有限,而社会上专业化程度高、专门从事网络安全技术咨询、风险分析、检测评估等业务的网络安全服务机构极为缺乏,难以为全社会提供足够的网络安全技术支持和服务。因此,我国绝大多数单位的信息网络基本上是自己建设、自行管理,安全防范和管理服务水平很低。

 

    经过我信息安全领域有关部门和专家学者的多年研究,普遍认为应当针对计算机信息网络建设和使用单位根据其单位的重要程度、网络的重要程度、内容的重要程度、系统遭到攻击破坏后造成的危害程度等因素,依据国家规定的等级划分标准设定其保护等级,自主进行网络安全建设和安全管理,提高安全保护的科学性、整体性、实用性。因此,通过实施安全等级保护,转变政府职能,强化国家监管和明确单位、企业、个人责任,推动信息网络安全服务机制和建立和完善,逐步探索一条适应社会主义市场经济发展的信息安全发展模式,使有效解决我国信息网络安全问题的重要措施。

 

    等级保护制度对于公安部门信息网络安全监察工作的意义

 

    答:面对信息化发展带来社会管理工作的新要求、新变化,公安机关多年来积累的在计划经济条件下的社会行政管理模式遇到了强烈的冲击和挑战。公关信息网络安全监察部门在对网络社会安全的监督方法已越来越不适应形势的发展。安全等级保护模式要求国家主管部门必须依据法规和技术标准来进行监督和管理,必须根据不同等级的信息网络采取不同等级的管理措施,增强了执法的针对性,避免了执法中的随意性,强化了立警为公、执法为民的服务和保证意识,使公安机关执法更加公开、公平、公正。这些工作措施是各级公安机关贯彻“三个代表”的重要思想,建立和完善社会主义市场经济条件下信息网络安全监督管理机制的具体体现。

 

    1、范围、本标准规定了计算机系统安全保护能力的五个等级,即:
        第一级:用户自主保护级;
        第二级:系统审计保护级;
  第三级:安全标记保护级;
  第四级:结构化保护级;
  第五级:访问验证保护级。
  本标准适用计算机信息系统安全保护技术能力等级的划分。计算机信息系统安全保护力随着安全保护等级的增高,逐渐增强。

 

    2 引用标准 下列标准所包含的条文,通过在本标准中引用而构成本标准的条文。本标准出版时,所示版本均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。

 

    3 定义 除本章定义外,其他未列出的定义见GB/T 5271。

 

    3.1 计算机信息系统 computer information system 计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

 

    3.2 计算机信息系统可信计算基 trusted computing base of computer information system  计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。

 

    3.3 客体 object 信息的载体。3.4 主体 subject 引起信息在客体之间流动的人、进程或设备等。3.5 敏感标记 sensitivity label 表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制访问控制决策的依据。3.6 安全策略 security policy 有关管理、保护和发布敏感信息的法律、规定和实施细则。3.7 信道 channel 系统内的信息传输路径。

 

    3.8 隐蔽信道 covert channel 允许进程以危害系统安全策略的方式传输信息的通信信道。3.9 访问监控器 reference monitor 监控主体和客体之间授权访问关系的部件。

 

    4 等级划分准则。4.1 第一级 用户自主保护,本级的计算机信息系统可信计算基通过隔离用户与数据,使用户具备自主安全保护的能力。它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏。

 

    4.1.1 自主访问控制 计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制(例如:访问控制表)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享;阻止非授权用户读取敏感信息。

 

    4.1.2 身份鉴别 计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,并使用保护机制(例如:口令)来鉴别用户的身份,阻止非授权用户访问用户身份鉴别数据。4.1.3 数据完整性 计算机信息系统可信计算基通过自主完整性策略,阻止非授权用户修改或破坏敏感信息。4.2 第二级 系统审计保护级 与用户自主保护级相比,本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。

 

    4.2.1 自主访问控制 计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制(例如:访问控制表)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享;阻止非授权用户读取敏感信息。并控制访问权限扩散。自主访问控制机制根据用户指定方式或默认方式,阻止非授权用户访问客体。访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。

 

    4.2.2 身份鉴别 计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,并使用保护机制(例如:口令)来鉴别用户的身份;阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识、计算机信息系统可信计算基能够使用户对自己的行为负责。计算机信息系统可信计算基还具备将身份标识与该用户所有可审计行为相关联的能力。

   

    4.2.3 客体重用 在计算机信息系统可信计算基的空闲存储客体空间中,对客体初始指定、分配或再分配一个主体之前,撤销该客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权时,当前主体不能获得原主体活动所产生的任何信息。

 

    4.2.4 审计 计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。计算机信息系统可信计算基能记录下述事件:使用身份鉴别机制;将客体引入用户地址空间(例如:打开文件、程序初始化);删除客体;由操作员、系统管理员或(和)系统安全管理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含的来源(例如:终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计记录包含客体名。对不能由计算机信息系统可信计算基独立分辨的审计事件,审计机制提供审计记录接口,可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记录。

 

    4.2.5 数据完整性 计算机信息系统可信计算基通过自主完整性策略,阻止非授权用户修改或破坏敏感信息。

 

等级保护咨询

   

    目标:符合国家相关部门和监管机构对信息系统实行等级保护的要求,完成信息系统安全等级定级和顺利通过等级测评工作; 发现和解决信息系统安全面临的威胁和存在的主要问题,发现与等级保护级别要求上的差距,并及时进行改进; 有利于采取系统、规范、经济有效、科学的管理和技术保障措施,提高信息系统整体安全保护水平,保障信息系统安全正常运行; 然后根据信息系统划分情况、信息系统定级情况、信息系统承载业务情况和安全需求等,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施规划等,有针对性地指导后续的信息系统安全建设工程实施; 通过全程参与本项目实施过程,提升部门技术人员的安全技术和安全管理技能; 提升信息系统整体安全层次,使信息系统为业务提供更好的支撑平台,保证业务系统的正常运行。

 

    咨询服务内容:信息系统的风险等级定级 根据《计算机信息系统安全保护等级划分准则》(GB 17859-1999)、《信息安全等级保护管理办法》、《信息安全技术 信息系统安全等级保护定级指南》的要求和标准,通过对信息系统的综合分析,结合《信息系统总体描述文件》、《信息系统详细描述文件》、《信息系统安全等级定级报告》完成信息系统的定级工作。 信息系统的风险测评评估 在了解XXX信息系统构成的基础上,依据各信息系统的安全保护等级的相应等级指标,按照《信息安全技术? 信息系统安全等级保护测评准则》、《信息安全技术? 信息系统安全等级保护实施指南》相关办法和技术标准的要求,对信息系统进行全面、细致的风险测评评估。

 

   差距分析 根据《信息安全技术信息系统安全等级保护测评准则》的要求及信息系统的定级标准,结合信息系统的状况和各信息系统的安全保护等级的相应等级指标,进行等级保护差距分析,明确不符合项及与安全要求之间的差距及可能造成的风险。 信息系统安全整改建议 根据通过信息系统等级保护差距分析的结果,提供《信息系统等级保护安全整改方案》,完成信息系统的安全整改工作后,将保证信息系统的机密性、完整性和可用性。 信息系统总体安全规划 根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况,通过分析明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指导后续的信息系统安全建设工程实施。 信息系统安全保护等级测评 公司根据《信息安全等级保护基本要求》、《信息安全等级保护测评指南》,并根据测评机构选取的测评范围、测评对象、测评强度、测评方法,以现场配合的方式来协助与等级保护测评机构完成等级保护测评工作。尽可能的避免或减少测评工作对信息系统和正常业务开展带来的影响。

 

    特点:标准化和规范化 技术的先进性和成熟性 整体性原则 动态性原则 经济性原则。

 

    等级保护测评和评估支撑平台:信息安全等级保护测评和评估支撑系统适合等级保护测评机构使用,为等级保护测评中心开展等级保护测评工作提供辅助支撑,提高测评项目的规范化管理。本系统提供信息系统测评、测评项目管理、知识库管理、漏洞弱点库管理、测评工具库管理、系统安全管理等一系列辅助管理功能,为等级保护工作效率和能力的提升提供一个方便的信息化支撑平台。

 

    使用本系统,将为开展等级保护测评工作提供有力的支持,促进等级保护工作的顺利展开。通过安全测评服务,带动和指导后续的整改、集成、产品提供和安全服务需求,扩大产业规模,带动安全产品和服务产业发展。

  本系统是等级保护测评机构适用的信息安全等级保护测评和评估支撑系统,为等级保护测评中心开展等级保护测评评估工作提供辅助支撑,提高测评项目的规范化管理、测评能力和工作效率。

    信息安全等级保护测评和评估支撑系统主要建设内容包括:提供全面完整的测评信息管理:对于等级保护测评过程中使用的被测系统基础资料、测评标准规范、测评知识库、测评过程信息和文档、测评报告、历史资料、测评案例、人员信息、系统日志审计等,测评支撑系统提供方便的编辑、维护、查询、使用、引用界面和接口。 测评知识库管理:为专业化服务规范体系建设的工作成果提供维护、使用、引用平台。通过知识库的在测评过程中的使用,约束、规范测评过程中各测评单元的工作要求和测评人员的行为。达到提高测评结果的客观性、公正性、科学性和可重复性。测评知识库的内容包括等保测评实施点库、风险评估实施点库、典型案例库、标准规范库、漏洞弱点库、文档模板库、工具库。

 

    等级保护测评过程管理:为等级保护测评服务提供业务流程和信息流管理。规定测评过程信息收集、前期准备、方案制定、现场测试、综合分析各阶段工作内容和步骤,对测评过程各节点工作成果进行审核、审批,对测评计划的执行进行监控。规范测评过程各阶段输入、输出信息(文档)的类型、内容、格式。尽量提高各种文档的自动化生成能力。 测评资料管理:包括等级保护测评标准、规范、指南的文档管理,测评案例、安全测评工具库、历史测评资料的管理。为等级保护测评过程及培训工作提供技术资料。 风险评估管理:根据风险评估相关标准,结合等级保护的要求,通过管理和规范风险评估过程,提高风险评估工作的规范性和效率。建立风险评估工作的业务流程和信息流管理平台,实现风险评估团队的协同工作。为信息安全测评机构的检查评估提供技术支持服务。

Keywords: 文件加密 加密软件 数据安全