《信息安全法律法规我国的标准课件》由会员分享,可在线阅读,更多相关《信息安全法律法规我国的标准课件(41页珍藏版)》请在金锄头文库上搜索。
1、2020/8/7,1,网络信息安全等级保护制度,2020/8/7,2,引 言,信息网络的全球化使得信息网络的安全问题也全球化起来,任何与互联网相连接的信息系统都必须面对世界范围内的网络攻击、数据窃取、身份假冒等安全问题。发达国家普遍发生的有关利用计算机进行犯罪的案件,绝大部分已经在我国出现。,2020/8/7,3,引 言,当前计算机信息系统的建设者、管理者和使用者都面临着一个共同的问题,就是他们建设、管理或使用的信息系统是否是安全的?如何评价系统的安全性? 这就需要有一整套用于规范计算机信息系统安全建设和使用的标准和管理办法。,2020/8/7,4,等级保护制度的意义,1994 年,国务院发布
2、了中华人民共和国计算机信息系统安全保护条例,该条例是计算机信息系统安全保护的法律基础。其中第九条规定“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。”,2020/8/7,5,等级保护制度的意义,公安部在条例发布实施后便着手开始了计算机信息系统安全等级保护的研究和准备工作。等级管理的思想和方法具有科学、合理、规范、便于理解、掌握和运用等优点,因此,对计算机信息系统实行安全等级保护制度,是我国计算机信息系统安全保护工作的重要发展思路,对于正在发展中的信息系统安全保护工作更有着十分重要的意义。,2020/8/7,6,等级保护制度的意义,为切实加
3、强重要领域信息系统安全的规范化建设和管理,全面提高国家信息系统安全保护的整体水平,使公安机关公共信息网络安全监察工作更加科学、规范,指导工作更具体、明确,公安部组织制订了计算机信息系统安全保护等级划分准则国家标准,并于1999年9 月13日由国家质量技术监督局审查通过并正式批准发布,已于 2001年1月1日执行。 该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据,为安全产品的研制提供了技术支持,为安全系统的建设和管理提供了技术指导,是我国计算机信息系统安全保护等级工作的基础。,2020/8/7,7,国外等级保护的发展历程,2020/8/7,8,美国国防部早在8
4、0年代就针对国防部门的计算机安全保密开展了一系列有影响的工作,后来成立了所属的机构-国家计算机安全中心(NCSC)继续进行有关工作。,2020/8/7,9,TCSEC,1984年美国国防部发布的可信计算机系统评估准则(Trusted Computer System Evaluation Criteria)即桔皮书。 目的: 为制造商提供一个安全标准; 为国防部各部门提供一个度量标准,用来评估计算机系统或其他敏感信息的可信度; 在分析、研究规范时,为指定安全需求提供基础。,2020/8/7,10,TCSEC采用等级评估的方法,将计算机安全分为A、B、C、D四个等级八个级别,D等级安全级别最低,风
5、险最高,A等级安全级别最高,风险最低; 评估类别: 安全策略 可审计性 保证 文档,2020/8/7,11,无保护级(D级) 是为那些经过评估,但不满足较高评估等级要求的系统设计的,只具有一个级别 该类是指不符合要求的那些系统,因此,这种系统不能在多用户环境下处理敏感信息,2020/8/7,12,自主保护级(C级) 具有一定的保护能力,采用的措施是身份认证、自主访问控制和审计跟踪 一般只适用于具有一定等级的多用户环境 具有对主体责任及其动作审计的能力 自主安全保护级(C1级) 控制访问保护级(C2级),2020/8/7,13,强制保护级 (B级) B类系统中的客体必须携带敏感标记(安全等级)
6、TCB应维护完整的敏感标记,并在此基础上执行一系列强制访问控制规则 标记安全保护级(B1级) 结构保护级(B2级) 强制安全区域级(B3级),2020/8/7,14,验证保护级(A级) A类的特点是使用形式化的安全验证方法,保证系统的自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息 为证明TCB满足设计、开发及实现等各个方面的安全要求,系统应提供丰富的文档信息 Trusted Computing Base可靠计算基础。就是计算系统中的每个事物都提供了一个安全环境。这包括操作系统和它提供的安全机制,硬件,物理定位,网络硬件和软件,指定处理过程。具有代表性的是控制访问的
7、防备,对特殊资源的授权,支持用户身份验证,抵抗病毒和其他对系统的渗透,还有数据备份。假设可靠计算基础已经或必须被测试和验证通过。 验证设计级(A1级) 超A1级,2020/8/7,15,TCSEC 带动了国际计算机安全的评估研究。 90年代西欧四国(英、法、荷、德)联合提出了信息技术安全评估标准(ITSEC),ITSEC(又称欧洲白皮书)除了吸收TCSEC 的成功经验外,首次提出了信息安全的保密性、完整性、可用性的概念,把可信计算机的概念提高到可信信息技术的高度上来认识。他们的工作成为欧共体信息安全计划的基础,并对国际信息安全的研究、实施带来深刻的影响。,2020/8/7,16,通用准则(Co
8、mmon Criteria),来自六国七方的安全标准组织组合成的单一的、能被广泛使用的IT安全准则。 目的:解决各标准中出现的概念和技术上的差异,并把结果作为国际标准提交给ISO。 内容:对信息系统的安全功能、安全保障给出了分类描述,并综合考虑信息系统的资产价值、威胁等因素后,对被评估对象提出了安全需求(保护轮廓PP)及安全实现(安全目标ST)等方面的评估。,2020/8/7,17,重点考虑人为的威胁,也用于非人为因素导致的威胁。 CC适用于硬件、固件和软件实现的信息技术安全措施,而某些内容因涉及特殊专业技术或仅是信息技术安全的外围技术不在CC的范围内。 通用准则(Common Criteri
9、a,CC)是目前国际上最全面的信息技术安全性评估准则,它具有国际互认的优势,因此研究CC评估、建立CC评估体系对我国的信息安全发展具有重大意义。通用评估方法CEM(Common Evaluation Methodology,CEM)是CC评估配套的评估方法。,2020/8/7,18,中国的等级保护体系,2020/8/7,19,1989年公安部开始设计起草法律和标准,在起草过程中经过长期的对国内外广泛的调查和研究,特别是对国外的法律法规、政府政策、标准和计算机犯罪的研究,使我们认识到要从法律、管理和技术三个方面着手;采取的措施要从国家制度的角度来看问题,对信息安全要实行等级保护制度。,2020/
10、8/7,20,GB17859-1999,计算机信息系统安全保护等级划分准则 意义: 该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据 为安全产品的研制提供了技术支持 为安全系统的建设和管理提供了技术指导是我国计算机信息系统安全保护等级工作的基础,2020/8/7,21,将计算机信息系统安全保护等级划分为五个级别。 第一级:用户自主保护级 第二级:系统审计保护级 第三级:安全标记保护级 第四级:结构化保护级 第五级:访问验证保护级,2020/8/7,22,第一级:用户自主保护级: 计算机信息系统可信计算基通过隔离用户与数据,使用户具备自主安全保护的能力。 它具有
11、多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏,2020/8/7,23,第二级:系统审计保护级: 与用户自主保护级相比,计算机信息系统可信计算基实施了粒度更细的自主访问控制 它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责,2020/8/7,24,第三级:安全标记保护级: 计算机信息系统可信计算基具有系统审计保护级所有功能 此外,还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述 具有准确地标记输出信息的能力 消除通过测试发现的任何错误,2020/8/7,25,第四级:结构化保护
12、级: 计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上 要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体 此外,还要考虑隐蔽通道 计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素 计算机信息系统可信计算基的接口也必须明确定义,使其设计与实现能经受更充分的测试和更完整的复审 加强了鉴别机制 支持系统管理员和操作员的职能 提供可信设施管理 增强了配置管理控制 系统具有相当的抗渗透能力,2020/8/7,26,第五级:访问验证保护级: 计算机信息系统可信计算基满足访问监控器需求 访问监控器仲裁主体对客体的全部访问 访问监控器本身是抗篡改的;必须足够小,能够
13、分析和测试支持安全管理员职能 扩充审计机制,当发生与安全相关的事件时发出信号 提供系统恢复机制 系统具有很高的抗渗透能力,2020/8/7,27,需要实施安全等级保护的信息系统为:,- 党政系统(党委、政府);- 金融系统(银行、保险、证券);- 财税系统(财政、税务、工商);- 经贸系统(商业贸易、海关);- 电信系统(邮电、电信、广播、电视);- 能源系统(电力、热力、燃气、煤炭、油料);- 交通运输系统(航空、航天、铁路、公路、水运、海运);- 供水系统(水利及水源供给);- 社会应急服务系统(医疗、消防、紧急救援);- 教育科研系统(教育、科研、尖端科技);- 国防建设系统; -国有大
14、中型企业系统; -互联单位、接入单位、重点网站及向公众提供上网服务场所的计算机信息系统.,2020/8/7,28,等级保护是国家基本政策,2020/8/7,29,等级保护是国家基本政策,信息安全等级保护是中华人民共和国计算机信息系统安全保护条例规定的法定保护制度,具有强制性; 以国家制度推进信息和信息系统安全保护责任的落实; 符合客观实际,具有科学性; 具有自我保护与国家保护相结合的长效保护机制; 突出保护重点,国家优先重点保护涉及国计民生的信息系统,国家基础信息网络和重要信息系统内分级重点保护三级以上的局域网和子系统安全; 具有整体保护性,在突出重点,兼顾一般的原则下,着重加强重点、要害部位
15、,由点到面进行保护,逐步实现信息安全整体保障。,2020/8/7,30,建立国家信息安全等级保护机制,2020/8/7,31,国家实行信息安全等级保护,必须紧紧抓住抓好五个关键环节,形成长效信息安全等级保护运行机制。国家信息安全等级保护制度运行机制有以下关键环节构成: 1法律规范 2管理与技术规范 3实施过程控制 4结果控制 5监督管理。,2020/8/7,32,1法律规范:国家制定和完善信息安全等级保护政策、法律规范以及组织实施规则和方法,完善信息安全保护法律体系; 2管理与技术规范:制定符合国情的标准,建立等级保护体系; 3实施过程控制:明确落实系统拥有者的安全责任制,系统拥有者按法律规定
16、和安全等级标准的要求进行信息系统的建设和管理,并承担应急管理责任,在信息系统生命周期内进行自管、自查、自评,建立安全管理体系。安全产品的研发者提供符合安全等级标准要求的技术产品。,2020/8/7,33,3实施过程控制:明确落实系统拥有者的安全责任制,系统拥有者按法律规定和安全等级标准的要求进行信息系统的建设和管理,并承担应急管理责任,在信息系统生命周期内进行自管、自查、自评,建立安全管理体系。安全产品的研发者提供符合安全等级标准要求的技术产品。 4结果控制:建立非盈利并能够覆盖全国的系统安全等级保护的执法检查与评估体系,使用统一标准和工具开展系统安全等级保护检查评估工作。,2020/8/7,34,5监督管理:公安机关依法行政,督促安全等级保护责任制的落实,以等级保护标准监督、检查、指导基础信息网络和重要信息系统安全等级保护建设、管理。对安全等级技术产品实行监管,对监测评估机构实施监管。政府其他职能部门应当认真履行职责,依法行政,按职责开展信息安全等级保护专项制度建设工作,完善信息安全监督体系。,2020/8/7,35,信息系统安全等级保护
