《信息安全等级保护》由会员分享,可在线阅读,更多相关《信息安全等级保护(105页珍藏版)》请在金锄头文库上搜索。
1、信息安全等级保护 内容介绍省公安厅网警总队 王诗军目录一、为什么开展等级保护二、什么是等级保护三、如何实施等级保护一、为何开展信息安全等级保护1、背景 2、存在的问题 3、国外做法 4、现实要求我省信息化发展状况目前,我省互联网用户1800多万,互联网 站点29万个,均居全国首位。网络技术对社 会进步的贡献有目共睹,主要体现在电子政 务、电子商务、电子娱乐、远程医疗、远程 教育等多个领域的应用。随着3G、IPv6等新 技术的逐渐成熟和投入使用,网络将给人们 的生产、生活带来更大方便,提供更多就业 机会,促进社会经济更快发展。据有关机构 调查,在大城市已经有4%的消费者采用了网 上购物方式,超过
2、邮购方式,有7%的消费者 在未来会采用网上购物方式。信息安全形势现代化建设的许多方面已融入于网 络(信息) 社会之中,政府部门正在积极推 进电子政务;金融、证券部门正在稳健地开 展网络化的服务业务(网上银行支付和网上 证券交易);商贸部门正在推动电子商务的 发展;国防部门积极研究网络信息战(现代 战争的形式)等。信息安全形势信息是战略资源,是决策之本,是控制 一个国家国民经济与军事的灵魂。 由Internet的发展而带来的网络系统 的安全问题正变得突出,网络安全已成为 关系国家安全的重大战略问题。运筹帷幄,决胜千里。存在的问题信息安全意识和安全防范能力薄弱,信 息安全滞后于信息化发展; 信息系
3、统安全建设和管理的目标不明确 ; 信息安全保障工作的重点不突出; 信息安全监督管理缺乏依据和标准,监 管措施有待到位,监管体系尚待完善。 存在的问题大多数单位的信息系统安全保护还处在 采用防火墙、IDS和防病毒等部件方面。 重视外部攻击与入侵,忽视内部的非法 行为 偏重产品,忽视体系和管理。 国内产品质量和技术问题。 用户信息安全的潜在的需求到现实需求 仍有一个过程存在的问题西方发达国家信息技术优势明显,我国 面临信息强国的冲击、挑战和威胁,信息 安全领域始终面临信息战和网络恐怖袭击 的威胁 ; 敌对势力的网上煽动、渗透和破坏活动 愈加突出,针对信息系统进行的破坏活动 日益严重,利用网络实施的
4、违法犯罪案件 持续大幅上升 。外部环境 美国政府发布了保护网络空间的国家 战略 (2003.2)试图根本上提高防止信息系 统入侵和破坏能力。 美国国防部国防信息系统安全计划 DISSP DISSP:Defense Information System Security Program DISSP的目标: 使美国国防系统的信息 系统安全结构从“安全过渡策略”向统一的具有 多级安全的“国防目标安全体系”转变。外部环境2003年2月14日美国政府发布的保护网络空间的国 家战略,为了确保国家关键基础设施(基础信息网络 和重要信息系统)的安全,对于网络空间,从国家关心 的角度,美国将其分为五个优先级:
5、第一级 家庭用户和小型商业机构 第二级 大型机构(公司、政府机构和大学等) 第三级 国家信息基础设施部门包括联邦政府、 私营 部门(银行与金融、能源、运输、电信、信 息技术、通用制造业、化学制造业)、州和地方政府、 高等教育机构。 第四级 国家机构和政策部门 第五级 全球外部环境美国联邦信息处理标准(FIPS)是国家标准 与技术研究所(NIST)制定的一类安全出版物,多为强 制性标准。FIPS 199 联邦信息和信息系统安全分类标 准描述了如何确定一个信息系统的安全类别。确定系 统级别的落脚点在于系统中所处理、传输、存储的所有 信息类型的重要性。 信息和信息系统的“安全类别”是FIPS 199
6、提出的 一种新的系统级别概念。该定义是建立在某些事件的发 生直接导致三类安全目标(保密性、完整性和可用性) 的丧失,从而对机构运行(使命,功能,形象,声誉) 、机构资产或个人产生潜在影响的基础之上。即,衡量 指标是三性的丧失而产生的“影响级”,FIPS 199定义 了三种影响级:低、中、高。外部环境FIPS 199按照“确定信息类型-确定信息的安全类 别-确定系统的安全类别”三个步骤进行系统最终的定 级。 首先,确定系统内的所有信息类型。FIPS 199指出 ,一个信息系统内可能包含不止一种类型的信息(例如 隐私信息、合同商敏感信息、专属信息、系统安全信息 等)。 其次,根据三类安全目标,确定
7、不同信息类型的潜 在影响级别(低、中、高)。 最后,按照“取高”原则,即选择系统内所有信息 类型的潜在影响级的较高级别作为系统的影响级(低、 中、高)。FIPS199确定系统级别的方法的重点是信息和 信息系统的级别建立在某些事件的发生会对机构产生潜 在影响的基础之上,根据安全目标(保密性、完整性和 可用性)确定系统所处理、存储、传输的信息的级别, 从而确定系统级别。外部环境 据有关资料可以看出,信息技术已 经改变了美国企业和政府的运行方式,美 国经济和国家安全对信息技术和信息基础 设施依赖性越来越强,网络直接支撑着各 个经济领域的运行。 综合上述情况,不难看出,美国政 府在信息安全领域采取的就
8、是分级保护的 策略。现实要求n 各国在大力推进Internet与信息技 术应用的同时,抓紧实施国家信息安全保障 体系与国防的信息安全防御体系。n 各国抓紧研究信息安全策略、制订 体系标准、法律法规,实施安全计划。我国在推进信息化进程中,信息安全问 题得到重视。要求在党政部门、要害部门使用具 有国内自主产权的安全产品。现实要求胡锦涛总书记指出:信息安全是个大问题,必须把信 息安全问题放到至关重要的位置,认真加 以考虑和解决 切实把互联网建设好、利用好、管 理好现实要求温家宝总理强调:面对复杂多变的国际环境和互联 网的广泛应用,我国信息安全问题日益突 出。加入世界贸易组织、发展电子政务等 ,对信息
9、安全保障提出了新的、更高的要 求。必须从国家安全、经济发展、社会稳 定、公共利益的高度,充分认识信息安全 的极端重要性。现实要求温家宝同志还指出:坚持积极防御、综合防范的方针 ,在全面提高信息安全防护能力的同时, 重点保障基础网络和重要系统的安全。完 善信息安全监控体系,建立信息安全的有 效机制和应急处理机制。现实要求美国及西方发达国家为了抵御信息网 络的脆弱性和安全威胁,制定了一系列强化信息 网络安全建设的政策和标准,其中一个很重要思 想就是按照安全保护强度划分不同的安全等级, 以指导不同领域的信息安全工作。面对严峻的形势和严重的问题,如何 解决我国信息安全问题,是摆在我国政府、企业 、公民
10、面前的重大关键问题。二、什么是等级保护1、等级保护的含义 2、等级保护的发展 3、基本原则和要求 4 、职责分工信息安全等级保护定义信息安全等级保护管理办法(试行): 信息安全等级保护是指对国家秘密信息、法人和 其他组织及公民的专有信息以及公开信息和存储 、传输、处理这些信息的信息系统分等级实行安 全保护,对信息系统中使用的信息安全产品实行 按等级管理,对信息系统中发生的信息安全事件 分等级响应、处置。 信息安全等级保护管理办法国家通过制 定统一的信息安全等级保护管理规范和技术标准 ,组织公民、法人和其他组织对信息系统分等级 实行安全保护,对等级保护工作的实施进行监督 、管理。范畴信息安全等级
11、保护工作是一项由信息系 统主管部门、运营使用单位、安全产品提 供方、安全服务提供方、检测评估机构、 信息安全监督管理部门等多方参与,涉及 技术与管理两个领域的复杂系统工程。 是一项制度、一个体系,非风险评估等 措施。等级保护工作发展概况l1994年国务院颁布实施中华人民共和国计算机信 息系统安全保护条例 l2003年中办、国办转发国家信息化领导小组关于 加强信息安全保障工作的意见 l2004年公安部、国家保密局、国家密码管理局、国 信办出台了关于信息安全等级保护工作的实施意见 l去年1月四部局办联合出台信息安全等级保护管理 办法(试行) l今年6月22日四部局办联合出台信息安全等级保护 管理办
12、法信息安全等级保护制度1994年国务院计算机信息系统 安全保护条例 (147号令)规定“计算 机信息系统实行安全等级保护。等级划分 标准和等级管理办法由公安部会同有关部 门制定”。信息安全等级保护制度(续) 1999年,公安部组织有关单位和专 家起草了安全保护等级管理的重要基础性 国家强制性标准计算机信息系统安 全保护等级划分准则,并于1999年9月 13日经国家质量技术监督局审查通过并正 式批准发布。该标准将计算机信息系统安 全保护能力划分为五个等级,为开展我国 计算机信息系统安全保护等级工作确定了 划分原则。信息安全等级保护制度(续)2003年,中央办公厅、国务 院办公厅转发的国家信息化领
13、导小组 关于加强信息安全保障工作的意见( 中办发200327号)明确指出:要重点 保护基础信息网络和关系国家安全、经 济命脉、社会稳定等方面的重要信息系 统,抓紧建立信息安全等级保护制度。 制定信息安全等级保护的管理办法和技 术指南 。 信息安全等级保护制度(续) 2004年9月,公安部、国家保密局、国 家密码管理委员会办公室、国务院信息化工作办 公室联合下发了关于信息安全等级保护工作的 实施意见(公通字200466号),文件中明确 指出:信息安全等级保护制度是国家在国民经济 和社会信息化的发展过程中,提高信息安全保障 能力和水平,维护国家安全、社会稳定和公共利 益,保障和促进信息化建设健康发
14、展的一项基本 制度。信息安全等级保护实施计划实施意见中信息安全等级保护制 度计划用三年左右的时间在全国范围内分三个阶 段实施: (一)准备阶段(二)重点实行阶段(三)全面实行阶段准备阶段为了保障信息安全等级保护制度的顺 利实施,在全面实施等级保护制度之前,用一年 左右的时间做好下列准备工作:1.加强领导,落实责任加快完善法律法规和标准体系建设信息安全等级保护监督管理队伍和技术支撑体系进一步做好等级保护试点工作加强宣传、培训工作重点实行阶段在做好前期准备工作的基础上,用一年左右 的时间,在国家重点保护的涉及国家安全、经济 命脉、社会稳定的基础信息网络和重要信息系统 中实行等级保护制度。经过一年的
15、建设,使基础 信息网络和重要信息系统的核心要害部位得到有 效保护,涉及国家安全、经济命脉、社会稳定的 基础信息网络和重要信息系统的保护状况得到较 大改善,结束目前基本没有保护措施或保护措施 不到位的状况。全面实行阶段在试行工作的基础上,用一年左右的时间,在全国全面推行信息安全等级保护制度。已经实施等级保护制度的信息和信息系统的运营、使用单位及其主管部门,要进一步完善信息安全保护措施。没有实施等级保护制度的,要按照等级保护的管理规范和技术标准认真组织落实。信息安全等级保护制度的意义实行等级保护制度,能够充分 调动国家、法人和其他组织及公民的积 极性,发挥各方面的作用,达到有效保 护的目的,增强安
16、全保护的整体性、针 对性和实效性,使信息系统安全建设更 加突出重点、统一规范、科学合理,对 促进我国信息安全的发展将起到重要推 动作用。 信息安全等级保护制度的意义(续)实施信息安全等级保护,可以 有效地提高我国信息安全建设的整体水 平,有利于在信息化建设过程中同 步建设信息安全设施,保障信息安全与 信息化建设相协调;有利于加强对涉及国家安全、 经济秩序、社会稳定和公共利益的信息 系统的安全保护和管理监督;信息安全等级保护制度的意义(续)有利于明确国家、法人和其他组 织、公民的安全责任,强化政府监管职能 ,共同落实各项安全建设和安全管理措施 ;有利于提高安全保护的科学性、 整体性、针对性,推动信息安全产业水平 ,逐步探索一条适应社会主义市场经济发 展的信息安全发展模
