随着《电子政务信息安全等级保护实施指南》和《信息安全等级保护管理办法》等一系列文件的颁布,对在等级保护政策环境下进行信息系统安全建设的各种指南和规范逐渐形成,国家相关主管部门在信息系统等级保护相关文件中则明确规定了不同等级信息系统普适的安全保护要求。而不同信息系统由于所处的环境和承载的业务不同,对于系统安全的具体需求也相应有所差异。如何确定信息系统安全需求,作为信息系统安全建设的基础和起点,对设计合理的信息系统安全保障体系则具有重要的作用和意义。
用户目标定位
信息系统安全需求大致来源于四个方面:国家信息安全法律法规对组织信息系统安全的要求;组织信息系统安全规划;组织业务性质确定的特殊要求;风险评估结果。目前,在等级保护政策指导下,卫士通安全服务在确定信息系统的安全需求主要包括等级保护、风险评估、安全要求确定、系统安全规划和确定信息系统安全需求五大模块。
![]("http://product.ccidnet.com/col/attachment/2007/11/1282757.gif")
卫士通确定信息系统安全需求过程图
等级保护需求分析
在等级保护需求模块中,确定信息系统范围是进行信息系统安全建设的首要工作。如今,各组织机构形式不尽相同:既只有一个信息系统,也可能有多个信息系统;信息系统可能存在于同一个物理区域,也可能存在于多个跨区域、跨省市的物理区域。然而,对于同一个信息系统,又会存在不同等级的信息系统子系统。对于多个信息系统,其中每个信息系统的安全保护等级可以是相同的,也可以是不同的。所以对组织内的信息系统范围进行明确,对每个信息系统的边界以及信息系统处理的业务进行明确是对信息系统进行安全建设的首要任务。
其中卫士通所采用的信息系统划分是“适度安全”理念的重要体现,通过划分不同信息子系统对重要区域实施重点保护。具体而言,信息系统划分可以依据不同的标准,比如按照相同的管理机构、相同的业务类型或者相同的物理位置或相似的环境。
在具体划分时必须充分考虑系统的业务流程、信息流程以及系统的功能特性,选择合理的划分方法以做到划分的子系统最有利于安全建设的有效性和经济性,以及管理的便利性,这样才能够有效地体现“等级保护、适度安全”的思想。
此外,业务子系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,业务子系统定级也应由业务信息安全和系统服务安全两方面确定。最后,根据业务子系统的安全保护等级,将业务子系统安全保护等级的最高者确定为信息系统的安全保护等级。
确定信息系统安全需求
根据信息系统安全需求的几个输入,卫士通在确定信息系统的安全需求中在各方面重点考虑如下的内容。
首先、信息安全法律法规与标准以及合作合同的要求。
与信息安全相关的法律法规是对组织的强制性要求,组织应该对现有的法律法规加以识别和分析,将适用于组织的法律法规转化为组织的信息安全需求。这里所说的法律法规有三个层次,即国家法律、行政法规和各部委和地方的规章及规范性文件。此外,组织还要考虑商务合作者和客户对组织提出的具体的信息安全要求,包括合同约定、招标条件和承诺等。
第二、系统安全规划的要求
组织从自身业务和经营管理的需求出发,根据信息系统的使命和目标制定的系统安全建设规划在安全预算方面的限制以及系统安全建设的目标转化为组织的信息安全需求。
第三、系统安全要求
根据国家的信息系统分级保护相关政策,经过风险评估对系统安全要求的调整确定的系统安全要求作为信息系统安全需求的一个重要输入。
第四、风险评估的结果
确定安全需求最主要的另一个输入就是风险评估的结果,根据风险评估的结果,对安全要求没有涵盖的风险,根据风险评估的结果对安全需求进行补充。
根据上述四个输入,得出信息系统的安全需求。最终,卫士通公司将根据安全需求设计安全建设方案,通过方案实施使信息系统安全达到国家等级保护制度相关要求的规定,满足客户需求,为用户建设一套覆盖全面、重点突出、节约成本、持续运营的安全保障信息系统,切实有效地推进我国信息安全等级保护工作的持续发展。
