收藏
下载资源

信息安全等级标准

上传人:鲁** 文档编号:569294413 上传时间:2024-07-28 格式:PPT 页数:25 大小:254.50KB
返回 下载 相关 举报
信息安全等级标准_第1页
第1页 / 共25页
信息安全等级标准_第2页
第2页 / 共25页
信息安全等级标准_第3页
第3页 / 共25页
信息安全等级标准_第4页
第4页 / 共25页
信息安全等级标准_第5页
第5页 / 共25页
点击查看更多>>
资源描述

《信息安全等级标准》由会员分享,可在线阅读,更多相关《信息安全等级标准(25页珍藏版)》请在金锄头文库上搜索。

1、信息系统安全等级保护标准体系信息系统安全等级保护标准体系框架框架1、信息系统安全等级保护标准整体框架、信息系统安全等级保护标准整体框架 2、信息系统安全等级保护标准体系、信息系统安全等级保护标准体系3 亟需制定的若干核心标准亟需制定的若干核心标准介绍内容信息系统安全等级保护标准整体框架信息系统安全等级保护标准整体框架国家信息化标准体系国家信息化标准体系国家信息安全国家信息安全标准体系准体系国家相关部国家相关部门制制订的信息安全的信息安全标准准国家信息化标准体系框架信息化标准体系主要由信息技术的基础标准、信息信息化标准体系主要由信息技术的基础标准、信息资源标准体系、网络通信标准体系、资源标准体系

2、、网络通信标准体系、信息安全标准信息安全标准体系体系、应用标准体系、管理标准体系等六大类构成。、应用标准体系、管理标准体系等六大类构成。信息安全标准体系是信息化标准体系的重要组成部信息安全标准体系是信息化标准体系的重要组成部分。分。信息安全标准化工作领域包括信息安全技术、安全信息安全标准化工作领域包括信息安全技术、安全机制、安全服务、安全管理、安全评估等领域标准机制、安全服务、安全管理、安全评估等领域标准化工作。化工作。 国家信息安全标准体系框架目前,在国家层面,全国信息安全标准化技目前,在国家层面,全国信息安全标准化技术委员会工作组分成术委员会工作组分成: WG1 - 信息安全标准体系与协调

3、工作组信息安全标准体系与协调工作组 WG2 - 内容安全分级及标识工作组内容安全分级及标识工作组 WG3 - 密码算法与密码模块密码算法与密码模块/KMI/VPN工工作组作组 WG4 - PKI/PMI工作组工作组 WG5 - 信息安全评估工作组信息安全评估工作组 WG6 - 应急处理工作组应急处理工作组 WG7 - 信息安全管理(含工程与开发)工信息安全管理(含工程与开发)工作组作组 WG8 - 电子证据及处理工作组电子证据及处理工作组 WG9 - 身份标识与鉴别协议工作组身份标识与鉴别协议工作组 WG10- 操作系统与数据库安全工作组操作系统与数据库安全工作组 正式启动的有正式启动的有WG

4、1、WG2、WG3、WG4、WG5、WG7。 国家信息安全标准体系框架一一般般认认为为,信信息息安安全全标标准准体体系系主主要要由由基基础础标标准、技术标准和管理标准等分体系组成。准、技术标准和管理标准等分体系组成。基基础础标标准准体体系系由由安安全全技技术术术术语语、体体系系结结构构、模型和框架等方面标准组成;模型和框架等方面标准组成;技技术术标标准准体体系系由由密密码码技技术术、安安全全协协议议、标标识识与与鉴鉴别别、访访问问控控制制、电电子子签签名名、完完整整性性保保护护、抗抗抵抵赖赖、审审计计与与监监控控、公公钥钥基基础础设设施施、物物理理安全技术以及其他安全技术等标准组成;安全技术以

5、及其他安全技术等标准组成;管管理理标标准准体体系系由由系系统统安安全全管管理理、等等级级保保护护、工工程程、评评估估和和运运行行等等方方面面组组成成。用用于于对对信信息息系系统统保保护护产产品品的的规规划划、设设计计、建建设设、验验收收、测评、运行与维护过程的指导。测评、运行与维护过程的指导。国家信息安全标准体系框架用于对信息系统保护产品的规划、设计、建设、验用于对信息系统保护产品的规划、设计、建设、验收、测评、运行与维护过程的指导。收、测评、运行与维护过程的指导。 国家制订的均为基础性标准、配套性标准、实施指国家制订的均为基础性标准、配套性标准、实施指导标准。导标准。 国家标准国家标准/行业

6、标准(行业标准(GA,BMB等)等) 国家信息安全标准体系框架国家信息安全标准体系框架比较完整的安全保护框架应包括如下几个方面:1、总体框架:总体框架:明确安全等级保护模型,实现总体控制2、设计和实现过程控制设计和实现过程控制:解决信息系统产品的安全等级功能与安全保证的实现3、设计与实现的结果控制设计与实现的结果控制:解决安全产品及信息系统的评测与评估4、信息系统分层面安全控制信息系统分层面安全控制:在物理及运行、支撑系统、网络、应用、管理层面,分别采取安全保护措施5、监督管理:监督管理: 对信息安全系统实施安全等级监督管理信息系统安全标准体系核心标准 1994年年2月月18日国务院日国务院1

7、47号令号令中华人民共和国计算机信息系中华人民共和国计算机信息系统安全保护条例统安全保护条例第九条:计算机信息系统实行安全等级保护。第九条:计算机信息系统实行安全等级保护。 1999年发布年发布GB17859-99(2001年年1月月1日生效实施)日生效实施)是我国计算机信是我国计算机信息系统安全等级保护系列标准的核心。息系统安全等级保护系列标准的核心。 信信息息系系统统等等级级保保护护是是国国家家信信息息安安全全体体系系建建设设的的核核心心工工作作。所所以以,各各级级各各类类信信息息系系统统安安全全体体系系建建设设都都要要以以等等级级保保护护为为载载体体来来进进行行,为为此此,我我们们认认为

8、为应应该该重重点点考考虑虑计计算算机机信信息息系系统统安安全全等等级级保保护护标标准准体系。体系。1、基础性标准、基础性标准2、配套系列标准、配套系列标准3、实施指导类标准、实施指导类标准4、各应用领域实施指导方案、各应用领域实施指导方案 计算机信息系统安全等级保护标准体系 1、基础性标准GB17859-99是是我我国国计计算算机机信信息息系系统统安安全全等等级级保保护护系系列列标标准准的的核核心心,它它源源自自TCSEC桔桔皮皮书书,是是实实行行计计算算机机信信息息系系统统安安全全等等级级保保护护制制度建设的基础性标准。度建设的基础性标准。相关标准的传承渊源1999年GB 17859 计算机

9、信息系统安全保护等级划分准则1991年欧洲信息技术安全性评估准则(ITSEC)国际通用准则1996年(CC1.0)1998年(CC2.0)1985年美国可信计算机系统评估准则(TCSEC)1993年加拿大可信计算机产品评估准则(CTCPEC)1993年美国联邦准则(FC 1.0)1999年国际标准ISO/IEC 154081989年英国可信级别标准(MEMO 3 DTI)德国评估标准(ZSEIC)法国评估标准(B-W-R BOOK)2001年国家标准GB/T 18336 信息技术安全性评估准则idt iso/iec154081993年美国NIST的MSFR第五级:专有保护级第四级:强制保护级第

10、三级:监督保护级第二级:指导保护级第一级:自主保护级计算机信息系统安全等级保护的五个层面物理物理层面层面网络网络层面层面系统系统层面层面应用应用层面层面数据数据层面层面构建过程控制测评过程控制运行过程控制计算机信息系统安全等级保护三维空间2、配套系列标准、配套系列标准配套系列标准:按等级保护的要求,对建设、配套系列标准:按等级保护的要求,对建设、评估、监督、管理安全的计算机信息系统提评估、监督、管理安全的计算机信息系统提供指导的标准,包括总体框架标准、技术要供指导的标准,包括总体框架标准、技术要求标准、评估准则标准、管理要求标准、管求标准、评估准则标准、管理要求标准、管理评估标准等。理评估标准

11、等。 总体框架标准总体框架标准为按等级保护的要求,实为按等级保护的要求,实施信息系统安全从总体上提供指导的标准;施信息系统安全从总体上提供指导的标准; 要求类系列标准要求类系列标准为按等级保护的要求,为按等级保护的要求,建设安全的信息系统从技术和管理方面提供建设安全的信息系统从技术和管理方面提供指导的标准;指导的标准; 信息安全等级保护基本要求信息安全等级保护基本要求 评估类系列标准评估类系列标准为按等级保护的要求,为按等级保护的要求,对安全的信息系统进行评估从技术和管理方对安全的信息系统进行评估从技术和管理方面提供指导的标准;面提供指导的标准; 信息安全等级保护测评准则信息安全等级保护测评准

12、则3、实施指导类标准、实施指导类标准 从系统角度,对等级保护的具体实施提供从系统角度,对等级保护的具体实施提供指导的标准,包括信息安全等级保护实施指指导的标准,包括信息安全等级保护实施指南、信息系统安全方案设计指南、信息安全南、信息系统安全方案设计指南、信息安全等级保护监督检查与管理工作手册等;等级保护监督检查与管理工作手册等; 4、各应用领域实施指导方案、各应用领域实施指导方案各应用领域实施指导方案各应用领域实施指导方案按等级保护要按等级保护要求,对各个应用领域按照上述标准的要求建求,对各个应用领域按照上述标准的要求建设安全的信息系统的参考性方案。设安全的信息系统的参考性方案。 总体框架标准

13、总体框架标准目前国内关于总体框架标准已经制订了一些标目前国内关于总体框架标准已经制订了一些标准草案,分别为:准草案,分别为: 信息系统安全等级保护信息系统安全等级保护 总体框架总体框架 基本模型基本模型规定了对信息系统实施安全等级保护的基本规定了对信息系统实施安全等级保护的基本模型。对基本模型组成部分进行说明。模型。对基本模型组成部分进行说明。 信息系统安全等级保护信息系统安全等级保护 总体框架总体框架 体系结构体系结构从体系结构的角度对信息系统安全等级保护从体系结构的角度对信息系统安全等级保护的总体框架进行描述。的总体框架进行描述。 信息系统安全保障评估框架信息系统安全保障评估框架主要技术内

14、主要技术内容包括对信息系统的描述、其所处的安全环境容包括对信息系统的描述、其所处的安全环境(包括假设、所考虑的威胁和组织安全策略)、(包括假设、所考虑的威胁和组织安全策略)、所要达到的安全保障目标、所创建的实际安全所要达到的安全保障目标、所创建的实际安全保障要求以及信息系统安全保障级的分级说明保障要求以及信息系统安全保障级的分级说明等。等。我们的任务是对上述标准框架进行针对国防科我们的任务是对上述标准框架进行针对国防科技工业信息化的适用性评估与改进。技工业信息化的适用性评估与改进。2、技术要求标准、技术要求标准 信息安全标准是一个体系,从技术要求上来讲,包括物理、网络、服务器、信息安全标准是一

15、个体系,从技术要求上来讲,包括物理、网络、服务器、路由器、交换机、应用系统、实体鉴别、抗抵赖等等。从软件和硬件各个路由器、交换机、应用系统、实体鉴别、抗抵赖等等。从软件和硬件各个方面对信息系统安全各个等级制定详细的技术要求,分别如下:方面对信息系统安全各个等级制定详细的技术要求,分别如下:计算机信息系统安全等级保护计算机信息系统安全等级保护 技术要求技术要求 物理安全物理安全计算机信息系统安全等级保护计算机信息系统安全等级保护 技术要求技术要求 服务器服务器计算机信息系统安全等级保护计算机信息系统安全等级保护 技术要求技术要求 路由器路由器计算机信息系统安全等级保护计算机信息系统安全等级保护

16、技术要求技术要求 交换机交换机信息系统安全等级保护信息系统安全等级保护 技术要求技术要求 应用系统应用系统智能卡集成电路平台安全技术要求智能卡集成电路平台安全技术要求网络交换机和路由器安全技术要求网络交换机和路由器安全技术要求网络隔离设备安全技术要求网络隔离设备安全技术要求通用操作系统安全技术要求通用操作系统安全技术要求等。等。 我们的任务是对上述技术要求进行针对国防科技工业信息化的适用性评我们的任务是对上述技术要求进行针对国防科技工业信息化的适用性评估与改进。估与改进。3、评估准则标准、评估准则标准我国从上世纪我国从上世纪 90 年代中期即开始制定关于信息安全产品的标准。年代中期即开始制定关

17、于信息安全产品的标准。2000年年开始有计划地研究制定信息安全评估标准,逐步立项开展若干单项标准的开始有计划地研究制定信息安全评估标准,逐步立项开展若干单项标准的制订工作,这些标准既适用于相关产品安全等级的评估,同时可作为系统制订工作,这些标准既适用于相关产品安全等级的评估,同时可作为系统研制、开发、测试和产品采购使用:研制、开发、测试和产品采购使用: (1)操作系统安全保护等级评估准则操作系统安全保护等级评估准则。(2)数据库管理系统安全保护等级评估准则数据库管理系统安全保护等级评估准则。(3)路由器安全保护等级评估准则路由器安全保护等级评估准则。(4)包过滤防火墙安全保护等级评估准则包过滤

18、防火墙安全保护等级评估准则。(5)智能卡操作系统(智能卡操作系统(COS)测评标准)测评标准。(6)防火墙技术要求与测评准则防火墙技术要求与测评准则。(7)端设备隔离部件安全保护等级评估准则端设备隔离部件安全保护等级评估准则。(8)入侵检测系统安全保护等级评估准则入侵检测系统安全保护等级评估准则。(9)网络脆弱性扫描产品安全保护等级评估准则网络脆弱性扫描产品安全保护等级评估准则。近期又将发布近期又将发布计算机信息系统安全保护等级评估准则计算机信息系统安全保护等级评估准则。 上述标准分别针对信息系统与安全产品两个方面。我们的任务是对上述上述标准分别针对信息系统与安全产品两个方面。我们的任务是对上

19、述技术要求进行针对国防科技工业信息化的适用性评估与改进。技术要求进行针对国防科技工业信息化的适用性评估与改进。4、管理要求标准、管理要求标准一套完善的信息安全管理体系,应该包括规范一套完善的信息安全管理体系,应该包括规范化的信息安全管理内容、以风险和策略为核心化的信息安全管理内容、以风险和策略为核心的建设方法、定性和定量的度量信息安全管理。的建设方法、定性和定量的度量信息安全管理。信息安全管理是目前信息安全领域里最热门的信息安全管理是目前信息安全领域里最热门的话题之一,而作为指导和规范信息安全管理的话题之一,而作为指导和规范信息安全管理的标准更是重中之重,信息安全管理领域标准众标准更是重中之重

20、,信息安全管理领域标准众多,对于标准的争论从未停息过。多,对于标准的争论从未停息过。近年来,国际近年来,国际ISO/IEC和西方一些国家开始发和西方一些国家开始发布和改版一系列信息安全管理标准,使安全标布和改版一系列信息安全管理标准,使安全标准进入了一个繁忙的改版期。这表明,信息安准进入了一个繁忙的改版期。这表明,信息安全管理标准已经从零星的、随意的、指南性标全管理标准已经从零星的、随意的、指南性标准,逐渐衍变成为层次化、体系化、覆盖信息准,逐渐衍变成为层次化、体系化、覆盖信息安全管理全生命周期的信息安全管理体系。安全管理全生命周期的信息安全管理体系。5、管理评估标准、管理评估标准目前,在信息

21、安全管理评估方面,英国标准目前,在信息安全管理评估方面,英国标准BS7799已经成为世界上应用最广泛与典型已经成为世界上应用最广泛与典型的信息安全管理标准。的信息安全管理标准。2000年年12月,月,BS7799-1:1999信息安信息安全管理实施细则全管理实施细则正式成为国际标准正式成为国际标准-ISO/IEC17799-1:2000信息技术信息技术-信息安信息安全管理实施细则全管理实施细则,成为国际上具有代表性,成为国际上具有代表性的信息安全管理体系标准。的信息安全管理体系标准。2002年年9月月5日,日,BSI又发布了最新版的又发布了最新版的BS7799-2:2002标标准。准。因此,针

22、对我们建设国防科技工业信息化信因此,针对我们建设国防科技工业信息化信息安全管理标准,息安全管理标准,BS7799标准具有很深刻标准具有很深刻的社会影响和参考作用。的社会影响和参考作用。6、信息安全等级保护实施指南、信息安全等级保护实施指南 国家对不同安全等级的信息系统提出的基本国家对不同安全等级的信息系统提出的基本保护要求,是对不同信息系统相同保护要求的保护要求,是对不同信息系统相同保护要求的共性的抽取,是保障信息系统安全的最基本要共性的抽取,是保障信息系统安全的最基本要求。信息系统的类型千差万别、错综复杂,应求。信息系统的类型千差万别、错综复杂,应根据信息系统的重要程度、完成的不同使命、根据

23、信息系统的重要程度、完成的不同使命、承载的不同业务、处理的不同数据、针对自身承载的不同业务、处理的不同数据、针对自身的特点有特殊的安全需求等分别确定每个信息的特点有特殊的安全需求等分别确定每个信息系统的安全等级。大型、复杂的信息系统应该系统的安全等级。大型、复杂的信息系统应该考虑是由不同安全等级的几个小型信息系统构考虑是由不同安全等级的几个小型信息系统构成,从而达到对整个信息系统区分保护和重点成,从而达到对整个信息系统区分保护和重点保护的目的。保护的目的。7、信息安全等级保护监督检查与管理工作手册、信息安全等级保护监督检查与管理工作手册主要包括:主要包括:信息安全工程与资质管理信息安全工程与资质管理信息安全团队构建与管理信息安全团队构建与管理信息安全风险评估信息安全风险评估信息网络的安全威胁信息网络的安全威胁信息网络的政策与监管信息网络的政策与监管信息安全等级保护与控制规范信息安全等级保护与控制规范信息安全策略与机制信息安全策略与机制灾难恢复规划风险分析灾难恢复规划风险分析灾难恢复规划中的设备保护、数据恢复规划、灾难恢复规划中的设备保护、数据恢复规划、应急决策维护与测试应急决策维护与测试信息系统标准化管理信息系统标准化管理 计算机事故应对小组及对攻击所采取的应对措施计算机事故应对小组及对攻击所采取的应对措施4 亟需制定的若干核心标准等级保护标准体系图等级保护标准体系图 谢 谢

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号