主讲教师：董庆宽研究方向：密码学与信息安全 Email ： qkdong@mail.xidian

网教院培训课程：信息系统安全 第三章信息安全保障体系主讲教师：董庆宽研究方向：密码学与信息安全 Email ：qkdong@mail.xidian.edu.cn 个人主页：http://web.xidian.edu.cn/qkdong/

内容提要 • 3.1 信息保障体系的基本概念 • 3.2 信息保障体系的构成 • 3.2.1 国家信息保障体系的构成 • 3.2.2 信息保障体系模型 • 3.2.3 信息安全保障体系框架 • 3.2.4 信息保障体系设计和建设的基本原则 • 3.3信息系统安全等级保护 • 3.3.1 等级保护建设的相关国际标准 • 3.3.2 信息及信息系统的分级 • 3.3.3 等级保护技术分级 • 3.3.4 等级保护要素与实施过程

第三章信息安全保障体系 3.1 信息保障体系的基本概念 3.1 信息保障体系的基本概念 • 当前的信息安全已经发展到信息保障时代 (IA, Information assurance) • 信息保障的概念源自于美国， 1996年美国国防部(DoD)在国防部令S－600.1中对信息保障做了如下定义： • 保护和防御信息及信息系统，确保其可用性、完整性、保密性、可认证性和不可否认性等特性。

保护 Protect 检测 Detect 安全策略恢复 Restore 反应 React 第三章信息安全保障体系 3.1 信息保障体系的基本概念 3.1 信息保障体系的基本概念 • 信息保障在内涵上包括在信息系统中融入保护(Protect)、检测(Detect)、反应(React)和提供对信息系统的恢复功能(Restore)，它们构成以安全策略为中心的PDRR动态信息保障模型P-PDRR

第三章信息安全保障体系 3.1 信息保障体系的基本概念 3.1 信息保障体系的基本概念 • 美国国家安全局(NSA),1998年制定《信息保障技术框架》(IATF),提出了 • 主动防护 • 即在安全事件发生前对系统面临的威胁和风险、系统中存在的漏洞进行主动的分析和检测，并针对问题进行及时的防护；同时在事件发生时能够采取有效的应急手段将安全风险和损失降到最小；事件发生后及时恢复 • 深度防御策略 • 即从物理,网络,应用,系统,管理等各个层面综合防护 • 2002年9月，颁布《信息保障技术框架》3.1版本 • 信息保障已经成为国家战略 • 主动防护、纵深防御、P-PDRR是信息保障的重要标志

第三章信息安全保障体系 3.1 信息保障体系的基本概念 3.1 信息保障体系的基本概念 • 在深度防御策略中，将信息系统安全划分为五个层面进行综合防护，即 • 物理层安全、系统层安全、网络层安全、管理层安全、应用层安全 • 五个层面的递次关系为 • 首先是物理安全，保障基本设施层面的安全 • 然后在物理设备上运行的操作系统要安全可信 • 进一步保障系统内部和系统之间的网络传输的安全 • 在上述构建的基础信息网络环境下构建的应用的安全 • 最后要保障管理方面的安全

第三章信息安全保障体系 3.2.1国家信息保障体系的构成 3.2 信息保障体系的构成 • 国家信息安全保障体系因国家而异，但如下的基础设施和体系是不可或缺的 • 法律监管体系 • 提供法律保障，执法机关对信息安全的监管，如数字签名法 • 国务院147号令：信息安全保障方面的法规 • 《中华人民共和国计算机信息系统安全保护条例》 • 1997年修改的刑法中对计算机犯罪进行规定 • 基础网络设施安全保障体系 • 信任体系的建设 • 网络中的信任危机、信任抵赖如何解决 • 建立以密码技术为支撑的网上信任体系极为重要，如PKI等

第三章信息安全保障体系 3.2.1国家信息保障体系的构成 3.2 信息保障体系的构成 • 应急响应体系建设 • 一个组织为了应对各种安全事件的发生而在事发前所做的准备工作和在事件发生时及发生后所采取的紧急措施 • 监督控制体系的建设 • 互联网有害信息内容的监督和控制 • 信息安全保障技术标准体系 • 涉及技术、产品、管理、服务方面的标准 • 军事战术环境的信息保障

第三章信息安全保障体系 3.2.1国家信息保障体系的构成 3.2 信息保障体系的构成 • 人才教育培养体系 • 信息安全人才培养极为重要，有多种渠道 • 学历教育－信息安全专业 • 专业培训－各种认证CISSP… • 职业培训－对相关人员的安全意识和常识的培训 • 招安：黑客 • 技术支撑队伍体系 • 各种从事信息安全的组织，需要多种类型 • 基础理论研究 • 新技术研究 • 产品研发 • 安全服务、外包

第三章信息安全保障体系 3.2.1国家信息保障体系的构成 3.2 信息保障体系的构成 • 组织内部信息安全保障体系 • 一个国家中的社会由不同规模、职能、性质的组织构成，不同的组织具有个性化特点，构成不同层次的信息系统，一套安全解决方案不适合所有的组织 • 整体解决组织(单位)内部安全问题需要全面分析安全需求，综合设计，组织内部的安全问题，应该从构建信息安全保障体系思想解决

第三章信息安全保障体系 3.2.1国家信息保障体系的构成 3.2 信息保障体系的构成 • 信息保障在信息系统安全知识体系中的地位 • TCB提供了信息系统安全的结构和范畴 • 安全控制是信息系统安全原理的核心 • 安全模型是策略描述与实现的依据 • 安全技术是安全控制的具体措施和功能 • 信息保障模型是安全实现的内在联系机制，是CC的原理

第三章信息安全保障体系 3.2.2 信息保障体系模型 3.2 信息保障体系的构成 • 组织内部的信息安全保障体系目前没有统一标准 • 有一些典型的信息安全保障体系模型，受到普遍关注的有如下两个 • P-PDRR模型 • 基于策略的PDRR模型是一个简单有效的动态模型 • APPDRR全网动态安全模型 • 对PDRR模型的一个修补 • 提出了一些信息保障体系框架 • 信息保障的要素及其之间的关系

第三章信息安全保障体系 3.2.2 信息保障体系模型 3.2 信息保障体系的构成 • APPDRR全网动态安全模型 • 如图所示，该模型认为： • 信息系统安全＝风险分析＋制定策略＋系统防护＋实时监测＋实时响应＋灾难恢复 • 以上六个方面组成一个闭环结构 • 第二章所述的安全模型仅解决了对已有安全策略采用何种安全机制防护的问题，即系统防护这个环节 • 特点 • 全面性、动态性 • 可实施性 • 各部分之间的动态关系与依赖性

第三章信息安全保障体系 3.2.2 信息保障体系模型 3.2 信息保障体系的构成 • APPDRR模型通过对网络风险进行分析、量化，建立安全模型，提供全方位的、整体安全解决方案 • APPDRR动态安全体系模型本身是一个循环的模型，强调的是全网安全和动态安全。 • 全网安全是指在网络系统中，综合考虑技术、管理、规范、行业法规等各个环节，在网络运行各个阶段，分析网络的参考点和安全的各个层次，采取安全技术和安全管理手段，从整个网络安全需求出发，构建网络的安全架构 • 安全不是一成不变的、静态的，而是“动态”的安全。动态安全体系必须能包容新的情况，及时作出联动反应

第三章信息安全保障体系 3.2.2 信息保障体系模型 3.2 信息保障体系的构成 • APPDRR模型为网络系统建立了4道防线，即继承了P-PDRR的特性 • (1)安全防护，阻止对网络的入侵和危害 • 加密、访问控制、认证、… • (2)安全监测，及时发现入侵和破坏 • 审计、IDS、扫描… • (3)实时响应，当攻击发生时维持网络打不垮 • IPS、应急响应、网络可生存性… • (4)恢复，使网络在遭受攻击后能以最快的速度“起死回生”，最大程度上降低安全事件带来的损失。

第三章信息安全保障体系 3.2.3 信息保障体系框架 3.2 信息保障体系的构成 • 信息保障体系框架描述了信息系统安全保障的要素及其之间的关系，而信息保障模型是基于该框架进行信息系统安全防护和保障体系建设的重要依据 • 框架说明了保障的要素，模型说明了如何做 • 目前典型的信息保障体系框架有 • 美国信息保障体系框架 • 2002年修改后的《信息保障体系框架》3.1版本 • 该框架本课程不做详细讨论 • 启明星辰的保障体系框架 • 三维信息系统安全保障体系模型

第三章信息安全保障体系 3.2.3 信息保障体系框架 3.2 信息保障体系的构成启明星辰的信息保障体系框架 • 启明星辰理解信息安全保障的六大模型和思路 1. ITA信息体系架构：明确保护的对象(信息、威胁、资产)，理解需要保护的信息资产及其结构的典型方法就是安全域(TCB所有安全功能的操作控制及其所涉及的主体和客体) 2. CIA信息安全属性。从信息安全保护目标(机密性、完整性和可用性)入手考虑信息安全保障体系建设 3. 管理和执行模型：管理主要指建立ISMS(信息安全管理体系)，在BS7799框架基础上提出12－ISMC框架。在执行模型方面，提出包含决策层、运营层和运行层三个执行层次的VITA模型 • 安全防护措施由管理和技术两个方面组成，二者并重

第三章信息安全保障体系 3.2.3 信息保障体系框架 3.2 信息保障体系的构成 4. 以PDR(防护、检测、响应)为代表的动态信息安全模型，从信息安全方面阐述，也有自己的APPDRR模型，如赵战生的WPDRRC(预警warning、保护、检测、反应、恢复和反击counterattack) 5. 风险管理方法：提供一种评价和决策的方法，其它类似的方法还有业务连续性管理和投资汇报管理 • 启明星辰认为：信息安全的本质是风险管理，与风险管理密切相关的是企业的资产、资产面临的威胁及采取的安全防护措施 6. 基于生命周期的过程方法、工程方法： • PDCA(策划、实施、检查、改进)方法Plan－Do－Check－Action • 20－80原则：用20%的资源解决80%的问题

第三章信息安全保障体系 启明星辰信息安全保障体系总体框架 3.2.3 信息保障体系框架 3.2 信息保障体系的构成

第三章信息安全保障体系 三维信息系统安全保障体系模型 3.2.3 信息保障体系框架 3.2 信息保障体系的构成 • 对于一个组织应按下图建立自己的信息安全保障体系

第三章信息安全保障体系 3.2.3 信息保障体系框架 3.2 信息保障体系的构成 • 过程维 • 是与时间有关的过程，既反应了信息系统的生命周期，也反应了在这个周期中的工程过程 • 措施维 • 包括：安全技术保障、安全管理保障和安全工程保障，从三个方面构成了一个完整的信息系统安全保障体系。当然不同安全等级其保障的强度是不一样的 • 三个保障体系是有机的整体 • 如风险评估即是安全运行维护的基本方法，也是工程保障的基本方法，同时又是风险管理的基础

第三章信息安全保障体系 3.2.3 信息保障体系框架 3.2 信息保障体系的构成 • 技术保障体系是由两个大的体系构成的 • 信息的保护体系 • 实际上也是一个三维问题，不同安全等级的信息系统各个层面的安全需求不一样，如三维体系图。 • 系统的安全运行维护体系 • 安全运行维护是一个技术与管理相互严重交织的体系

第三章信息安全保障体系 运行维护技术体系 3.2.3 信息保障体系框架 3.2 信息保障体系的构成

3.2.4 信息保障体系设计和建设原则 • 信息保障体系设计要根据设计需求、需要达到的安全目标、对应安全机制所需的安全服务等因素来综合考虑。 • 基本原则一：个性化原则和实用性原则 • 一个组织的信息系统总有独特的地方，这些独特的地方决定了其安全需求的独特要求 • 实用性是指可实施性、可管理性、可扩展性

3.2.4 信息保障体系设计和建设原则 • 基本原则二、主动防御，综合防范 • 主动防御 • 坚持动态发展原则，要根据网络安全的变化不断调整安全措施，适应新的网络环境，满足新的网络安全需求，评估，修补漏洞，等等。 • 综合防范 • 将安全事件的各个阶段纳入到安全防范体系的全局去考虑 • 安全事件的处理从多个层面给出了多种技术，需要各种技术的集成与协作，实现整体联动

3.2.4 信息保障体系设计和建设原则 • 基本原则三、网络信息安全的木桶原则 • 木桶原则是指对信息进行均衡、全面的保护。 • “木桶的最大容积取决于最短的一块木板”。 • 安全机制和安全服务设计的首要目的是防止最常用的攻击手段，根本目的是提高整个系统的“安全最低点”的安全性能 • 基本原则四：动态性原则 • 安全是一个过程，应从以下几个方面理解信息系统安全的动态性 • 1)信息安全本身的动态性 • 2)安全事件是动态的过程 • 3)基于过程的动态管理

3.2.4 信息保障体系设计和建设原则 • 基本原则五、技术与管理相结合原则 • 安全体系是一个复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。因此，必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设等相结合。 • 基本原则六、适度风险或等级性原则 • 等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的，包括： • 对信息保密程度、用户操作权限、网络安全程度、系统实现结构分级 • 零风险是不存在的，也没必要追求 • 解决信息安全问题的“三不” • 不存在一成不变的模式、不存在普遍适用的解决方案、不存在一劳永逸的技术和产品

第三章信息安全保障体系 3.3 信息系统安全等级保护 3.3 信息系统安全等级保护 • 3.3.1 等级保护建设的相关国际标准 • 3.3.2 信息及信息系统的分级 • 3.3.3 等级保护技术分级 • 3.3.4 等级保护要素与实施过程

第三章信息安全保障体系 3.3.1等级保护建设的相关国际标准 3.3 信息系统安全等级保护 • 等级保护是一种普遍的技术策略 • 其核心思想是将安全策略、安全责任和安全保证等计算机信息系统安全需求划分为不同等级 • 国家、企业和个人依据不同等级的要求有针对性地保护信息系统安全 • 具体而言，信息安全等级保护是指 • 对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护 • 对信息系统中使用的信息安全产品实行按等级管理， • 对信息系统中发生的信息安全事件分等级响应、处置。 • 最早给信息系统进行安全定级的是美国的TCSEC，对计算机操作系统提出了等级划分的依据，是计算机系统安全评价的第一个正式标准

第三章信息安全保障体系 3.3.1等级保护建设的相关国际标准 3.3 信息系统安全等级保护 • TCSEC提出了计算机操作系统的6项基本TCB(可信计算基)需求，4项属于访问控制，2项涉及安全保障 • (1)安全策略：必须有一个显式和良好定义的安全策略由该系统实现 • (2)标记：存取控制标签必须对应于对象（对客体标记） • (3)标识：每一个主体都必须标识 • (4)审计：必须将安全的相关事件给予记录 • (5)保证：必须有软件和硬件保证上述4项功能实现 • (6)连续保护：必须对信任机制的连续性进行保护

第三章信息安全保障体系 3.3.1等级保护建设的相关国际标准 3.3 信息系统安全等级保护 • TCSEC将操作系统按照TCB措施的多少和水平，将操作系统划分为四类7个等级 • D类，最低级，仅一个级别，所有不满足高级别要求的系统均划入该级别；只为文件和用户提供安全保护 • C类，为自主保护类，能够提供审慎的保护，并为用户的行动和责任提供审计能力，分为C1级和C2级； • C1级系统：可信计算基TCB通过用户和数据分开来达到安全目的，使所有的用户都以同样的灵敏度处理数据 • 可认为所有文档有相同机密性 • C2级系统：在C1基础上，通过登录、安全事件和资源隔离增强可调的审慎控制。在连接到网上时，用户分别对自己的行为负责。 • 适合商用系统，目前Windows和Linux系统都是C2级

第三章信息安全保障体系 3.3.1等级保护建设的相关国际标准 3.3 信息系统安全等级保护 • B类，为强制保护类，分为B1级、B2级和B3级三个级别； • 强制性意味着在没有与安全等级相连的情况下，系统就不会让用户存取对象 • B1级系统: (实施强制访问控制) • 对每个对象都进行敏感度标记，导入非标记对象前要先标记它们； • 用敏感度标记作为强制访问控制的基础； • 敏感度标记必须准确地表示其所联系的对象的安全级别； • 系统必须使用用户口令或身份认证来决定用户的安全访问级别； • 系统必须通过审计来记录未授权访问的企图

第三章信息安全保障体系 3.3.1等级保护建设的相关国际标准 3.3 信息系统安全等级保护 • B2级系统： • 必须符合B1级系统的所有要求； • 系统管理员必须使用一个明确的、文档化的安全策略模式作为系统可信任运算基础体制；可信任运算基础体制能够支持独立的操作者和管理员； • 只有用户能够在可信任通信路径中进行初始化通信； • 进行隐蔽信道分析； • 所有与用户相关的网络连接的改变必须通知所有的用户

第三章信息安全保障体系 3.3.1等级保护建设的相关国际标准 3.3 信息系统安全等级保护 • B3级系统：（更加强调安全管理） • 具有很强的监视委托管理访问能力和抗干扰能力。要求： • 必须符合B2系统所有安全需求； • 必须设有安全管理员； • 除控制个别对象的访问外，必须产生一个可读的安全列表；每个被命名的对象提供对该对象没有访问的用户列表说明； • 系统验证每一个用户身份，并会发送一个取消访问的审计跟踪消息； • 设计者必须正确区分可信任路径和其他路径； • 可信任的通信基础体制为每一个被命名的对象建立安全审计跟踪； • 可信任的运算基础体制支持独立的安全管理

第三章信息安全保障体系 3.3.1等级保护建设的相关国际标准 3.3 信息系统安全等级保护 • A类为验证保护类(只含1级)——最高安全级别 • A1级与B3级相似，对系统的结构和策略不作特别要求，而系统的设计者必须按照一个正式的设计规范进行系统分析；分析后必须用核对技术确保系统符合设计规范。A1系统必须满足： • 系统管理员必须接收到开发者提供的安全策略正式模型； • 所有的安装操作都必须由系统管理员进行； • 系统管理员进行的每一步安装操作必须有正式的文档。

第三章信息安全保障体系 3.3.1等级保护建设的相关国际标准 3.3 信息系统安全等级保护 • ITSEC： • ITSEC于1990年推出第一版草稿，并最终于1995年由欧盟会议批准。 • ITSEC比TCSEC更灵活。二者的主要区别在于，ITSEC不单针对了保密性，同时也把完整性和可用性作为评估的标准之一。 • ITSEC的制定认识到IT系统安全的实现通常是要将技术和非技术手段结合起来，技术手段用来抵御威胁，而组织和管理手段则用来指导实现。

ITSEC的安全等级划分与TCSEC不同，他分为功能性等级（F）和保证性等级（E），这两个等级的具体内容如下：ITSEC的安全等级划分与TCSEC不同，他分为功能性等级（F）和保证性等级（E），这两个等级的具体内容如下： • E3级别被认为是最常用的安全产品评估标准，安全操作系统或数据库系统通常会使用F2+E3这个结合来进行评估。

ITSEC相比于TCSEC增强了完整性和可用性要求(如右图)ITSEC相比于TCSEC增强了完整性和可用性要求(如右图) • CC、TCSEC、ITSEC、中国标准之间的对应关系(如下图)

第三章信息安全保障体系 3.3.2 信息及信息系统的分级 3.3 信息系统安全等级保护 • 2003年2月14日美国政府发布了《保护网络空间的国家战略》，为了确保国家关键基础设施(基础信息网络和重要信息系统)的安全，对于网络空间，从国家关心的角度，美国将其分为五个级别。(信息系统的级别) • 第一级，家庭用户和小型商业机构 • 第二级，大型机构(公司、政府机构和大学等) • 第三级，国家信息基础设施部门。(包括联邦政府、私营部门(银行与金融、能量、运输、电信、信息技术、通用制造业、化学制造业)、洲和地方政府、高等教育机构。) • 第四级，国家机构和政策部门 • 第五级，全球

第三章信息安全保障体系 3.3.2 信息及信息系统的分级 3.3 信息系统安全等级保护 • 我国信息系统按监管力度也分五级 • 自主、指导、监督、强制、专控五个保护级 • 国家对信息安全产品的使用实行分等级管理 • 按照信息安全产品的可控性、可靠性、安全性和可监督性的要求确定相应等级进行管理。 • 可控性是指国家或用户对产品的技术可控，自主知识产权，掌握产品源代码等 • 可靠性是指生产信息安全产品的单位和人员稳定可靠。 • 安全性是指不会因使用该信息安全产品而给信息系统引入安全隐患。 • 可监督性指产品的研发生产和检测过程可监督。

第三章信息安全保障体系 3.3.3 等级保护技术分级 3.3 信息系统安全等级保护 • 1999年公安部提出的《计算机信息系统安全等级的划分准则》GB17859-1999将信息系统按照安全保护能力划分为五个等级。 • 第一级：用户自主保护级； C1级(TCSEC的分级) • 自主访问控制、身份鉴别、数据完整性 • 第二级：系统审计保护级； C2级 • 自主访问控制、增强的身份鉴别、数据完整性、客体重用、审计 • 第三级：安全标记保护级； B1级 • 自主访问控制、强制访问控制、增强的身份鉴别、数据完整性、客体重用、审计，敏感标记 • 第四级：结构化保护级； B2级 • 可信计算基基于一个明确定义的形式化安全保护策略。将第三级实施的（自主或强制）访问控制扩展到所有主体和客体。审计、数据完整性、隐蔽信道分析、可信路径 • 第五级：访问验证保护级。 A级

第三章信息安全保障体系 3.3.4 等级保护要素和实施过程 3.3 信息系统安全等级保护 • 1. 信息系统等级保护包含以下七个基本要素： • 1)信息系统： • 系统是信息安全等级保护的对象，包括系统中的信息、系统所提供的服务，以及执行信息处理、存储、传输的软硬件设备等 • 2)目标： • 是指信息系统的业务目标和安全目标，等级保护要保障业务目标和安全目标的实现 • 3)信息系统的安全等级： • 信息安全等级划分为五级，分别体现在信息系统的等级和安全保护的等级两个方面 • 4)安全保护要求： • 不同的信息系统具有不同的类型和不同的强度的安全保护要求

第三章信息安全保障体系 3.3.4 等级保护要素和实施过程 3.3 信息系统安全等级保护 • 5)安全风险： • 是指信息系统由于本身存在安全弱点，通过人为或自然的威胁可能导致安全事件的发生。安全风险由安全事件的发生的可能性及其造成的影响这两种指标来综合衡量。 • 6)安全保护措施： • 是用来对抗安全风险、满足安全保护要求、保护信息系统和保障系统目标实现的措施，包括安全管理措施和安全技术措施。 • 7)安全保护措施的成本： • 不同类型和强度的安全保护措施的实现需要不同的成本，安全保护措施的成本应包括设备购买成本、实施成本、维护成本和人员成本等。

第三章信息安全保障体系 3.3.4 等级保护要素和实施过程 3.3 信息系统安全等级保护 • 2.信息系统等级保护各要素之间的关系 • (1)信息系统的安全等级由系统的使命、目标和系统的重要程度决定（1，2，3三个要素） • (2)安全措施需要满足系统安全保护要求，对抗系统所面临的风险（4，5，6三个要素） • 不同信息系统的使命和业务目标的差异性，业务和系统本身的特性(所属信息资产特性、实际运行情况和所处环境等)的差异性，决定了系统安全保护要求的特性(安全保护要求的类型和强度)的差异性 • (3)信息系统安全措施的确定需要综合平衡系统安全保护要求的满足程度、系统面临风险的控制和降低程度、系统残余风险的接受程度以及实施安全措施的成本，进行安全措施的调整和定制，形成与系统安全等级相适应的安全保障体系。在适度成本下实现适度安全。(整体要素关系)

第三章信息安全保障体系 3.3.4 等级保护要素和实施过程 3.3 信息系统安全等级保护 • 3. 等级保护的实施过程 • 信息系统安全等级保护实现的一般方法如图 • 将信息系统按照定级的规则划分为相应的安全等级，图2.1中给出了五个等级， • 在考虑风险与成本的前提下，按照不同等级标准的要求，制定相应的保护措施， • 将这个保护措施在原信息系统上实施

信息安全等级保护的实施过程包括三个阶段，分别为：信息安全等级保护的实施过程包括三个阶段，分别为： • (1)定级。(2)规划与设计。(3)实施、等级评估与改进信息系统安全等级保护的基本流程

第三章信息安全保障体系 3.3.4 等级保护要素和实施过程 3.3 信息系统安全等级保护 • 1)第一阶段：定级 • 定级阶段主要包括两个步骤。 • (1)系统识别与描述 • 清晰地了解组织所拥有的信息系统，根据需要将复杂信息系统分解为信息子系统，描述系统和子系统地组成及边界 • (2)等级确定 • 完成信息系统总体定级和子系统的定级

第三章信息安全保障体系 3.3.4 等级保护要素和实施过程 3.3 信息系统安全等级保护 • 2)第二阶段：规划与设计 • (1)系统分域保护框架建立 • 通过对信息系统进行安全域划分、保护对象分类，建立信息系统的分域保护框架 • (2)选择和调整安全措施 • 根据信息系统和子系统的安全等级，选择对应等级的基本安全要求，并根据风险评估的结果，综合平衡安全风险和成本，以及各系统特定安全要求，选择和调整安全措施，确定出信息系统、子系统和各类保护对象的安全措施 • (3)安全规划和方案设计 • 根据所确定的安全措施，制定安全措施的实施规划，并制定安全技术解决方案和安全管理解决方案

第三章信息安全保障体系 3.3.4 等级保护要素和实施过程 3.3 信息系统安全等级保护 • 第三阶段:实施、等级评估与改进 • (1)安全措施的实施 • 依据安全解决方案建设和实施等级保护的安全技术措施。 • (2)评估与验收 • 按照等级保护的要求，选择相应的方式来评估系统是否满足相应的等级保护要求，并对等级保护建设的最终结果进行验收 • (3)运行监控与改进 • 运行监控是在实施等级保护的各种安全措施后的运行期间，监控系统的变化和系统安全风险的变化，评估系统的安全状况。如果经过评估发现系统及其风险环境已发生重大变化，新的安全保护要求与原有的安全等级已不相适应，则应进行系统重新定级。如果系统只发生部分变化，例如发现新的系统漏洞，这些改变不涉及系统的信息资产和威胁状况的根本改变，则只需要调整和改进相应的安全措施。 • 对于大型复杂系统等级保护可以根据实际情况进一步加强和细化，以满足其复杂性的要求

主讲教师：董庆宽研究方向：密码学与信息安全 Email ： qkdong@mail.xidian