《第8章计算机信息系统 安全保护制度》由会员分享,可在线阅读,更多相关《第8章计算机信息系统 安全保护制度(49页珍藏版)》请在金锄头文库上搜索。
1、第第8章章 计算机信息系统计算机信息系统安全保护制度安全保护制度8.1 安全等级保护制度安全等级保护制度8.2 信息流管理制度信息流管理制度8.3 计算机信息系统安全技术和专计算机信息系统安全技术和专 用产品管理制度用产品管理制度8.4 计算机案件报告制度计算机案件报告制度28.1 安全等级保护制度安全等级保护制度 8.1.1 信息的安全等级信息的安全等级 8.1.2 计算机信息系统的安全等级计算机信息系统的安全等级 8.1.3 计算机安全等级计算机安全等级 8.1.4 物理环境安全等级物理环境安全等级38.1.1信息的安全等级信息的安全等级 信信息息安安全全是指保护信息和信息系统,以避免未授
2、权的访问、使用、泄漏、破坏、修改或者销毁,以确保信息的完整性、保密性和可用性。联邦信息安全管理法案联邦信息安全管理法案联邦信息安全管理法案联邦信息安全管理法案(FISMA)(FISMA), 20022002年年年年3 3月月月月 8.1 安全等级保护制度安全等级保护制度4信息安全等级的具体划分在不同的地方有不同的标准。主要从信息完整性、保密性和可用性信息完整性、保密性和可用性三个方面综合考虑 为了保障计算机信息系统的安全,规范其应用,促进其发展,我国早在1994年就颁布了中华人民共和国计算机信息系统安全保护条例。其中该条例第九条规定:“计算机信息系统实行安全等级保护”,这是我国计算机信息系统安
3、全保护的一项基本制度。8.1 安全等级保护制度安全等级保护制度5由公安部、国家保密局、国际密码管理委员会办公室和国务院信息化工作办公室共同制定的关于信关于信息安全等级保护工作的实施意见息安全等级保护工作的实施意见中将信息和信息系统的安全保护等级分为五级:第一级为自主保护级自主保护级,适用于一般的信息和信息系统;第二级为指导保护级指导保护级,适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统;第三级为监督保护级监督保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统;第四级为强制保护级强制保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重
4、要信息和信息系统;第五级为专控保护级专控保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统。8.1 安全等级保护制度安全等级保护制度61 信息保密安全等级信息保密安全等级 1988年9月5日公布的中华人民共和国保守国家秘密法( 简称保密法),是我国目前还在使用的国家信息保密法规,其安全等级划分适用于计算机信息保密安全。国家事务的重大决策中的秘密事项;国防建设和武装力量活动中的秘密事项;外交和外事活动中的秘密事项;国民经济和社会发展中的秘密事项;科学技术中的秘密事项;维护国家安全活动和追查刑事犯罪中的秘密事项;其他经国家保密工作部门确定应当保守的秘密事项。保
5、密法的第八条对国家秘密的解释8.1 安全等级保护制度安全等级保护制度7保密法第九条清晰指出,“国家秘密的密级分为绝密、机密、秘密三级。”它的划分是国家秘密对于国家的安全和利益的重要程度。 密级密级重要性重要性泄露后果泄露后果绝密最重要特别严重损害机密重要严重损害秘密一般损害表表 信息保密安全等级信息保密安全等级8.1 安全等级保护制度安全等级保护制度82 人员安全等级人员安全等级保密法保密法第二十七条规定:第二十七条规定:“ “国家秘密应当根据需要,限于国家秘密应当根据需要,限于一定范围的人员接触。绝密级的国家秘密,经过批准的人员才一定范围的人员接触。绝密级的国家秘密,经过批准的人员才能接触。
6、能接触。” ”保密法保密法第二十八条规定:第二十八条规定:“ “任用经管国家秘密事项的专职任用经管国家秘密事项的专职人员,应当按照国家保密工作部门和人事主管部门的规定予以人员,应当按照国家保密工作部门和人事主管部门的规定予以审查批准。审查批准。” ”这些都是以法定形式出现的,行之有效的人员管这些都是以法定形式出现的,行之有效的人员管理准则。理准则。在实际的计算机信息操作中,人员安全等级的划分主要表现在在实际的计算机信息操作中,人员安全等级的划分主要表现在该人员对信息的访问能力和操作情况。借助访问的鉴别、控制该人员对信息的访问能力和操作情况。借助访问的鉴别、控制机制等安全技术,可以控制不同的操作
7、人员对系统的数据、功机制等安全技术,可以控制不同的操作人员对系统的数据、功能之类等信息的读、增、删、改、复制等的操作能力。对同一能之类等信息的读、增、删、改、复制等的操作能力。对同一信息,人员拥有的操作能力越高,则其安全等级也越高。信息,人员拥有的操作能力越高,则其安全等级也越高。8.1 安全等级保护制度安全等级保护制度98.1.2计算机信息系统的安全等级计算机信息系统的安全等级 计算机信息系统的安全的等级划分与计算机信息的安全等级划分有所不同,除了看该信息系统对国家、集体或个人的安全和利益的重要程度外,计算机实体本身的财产价值,岗位的重要程度等因素,也是一个划分的重要依据。 8.1 安全等级
8、保护制度安全等级保护制度10金融电子化系统的安全等级金融电子化系统的安全等级系统安全一级系统安全一级系统安全二级系统安全二级系统安全三级系统安全三级系统安全四级系统安全四级系统安全五级系统安全五级8.1 安全等级保护制度安全等级保护制度11系统安全一级系统安全一级存储、处理和传输绝密信息的金融电子化系统。该系统中信息一旦泄露或破坏,会给国家安全和利益带来特别严重的损害,对金融业造成巨大的经济损失。因此,系统应能确保连续可用,不因局部的毁坏、故障、事故、差错造成系统效率的降低。系统安全二级系统安全二级存储、处理和传输机密信息的金融电子化系统。该系统中信息一旦泄露或破坏,会给国家安全和利益带来严重
9、的损害,对金融业造成很大的经济损失。因此,系统应能连续可用,局部的毁坏、故障、事故、差错虽然可能影响了系统的效率,但仍能正确运行8.1 安全等级保护制度安全等级保护制度12 系统安全三级系统安全三级系统安全三级系统安全三级 存储、处理和传输秘密信息的金融电子化系统。该系统中存储、处理和传输秘密信息的金融电子化系统。该系统中信息一旦泄露或破坏,会使国家安全和利益遭受损害,金信息一旦泄露或破坏,会使国家安全和利益遭受损害,金融业造成一定的经济损失。因此,系统应能确保连续可用,融业造成一定的经济损失。因此,系统应能确保连续可用,不因局部的毁坏、故障、事故、差错造成系统效率的降低。不因局部的毁坏、故障
10、、事故、差错造成系统效率的降低。 系统安全四级系统安全四级系统安全四级系统安全四级 存储、处理和传输不属于国际密级,但属金融业内部掌握、存储、处理和传输不属于国际密级,但属金融业内部掌握、具有敏感性的金融电子化系统。该系统中的信息一旦泄露具有敏感性的金融电子化系统。该系统中的信息一旦泄露或破坏,会使银行、证券交易商、保险公司及其客户陷入或破坏,会使银行、证券交易商、保险公司及其客户陷入困境,甚至造成损失,使其社会声誉受到损害,因此,系困境,甚至造成损失,使其社会声誉受到损害,因此,系统应有对局部毁坏、故障、事故、差错在短时间内得到排统应有对局部毁坏、故障、事故、差错在短时间内得到排除、纠正和恢
11、复的能力。除、纠正和恢复的能力。 系统安全五级系统安全五级系统安全五级系统安全五级 存储、处理和传输不属于以上保护级别的电子化系统。该存储、处理和传输不属于以上保护级别的电子化系统。该系统的毁坏、故障、事故,可能会造成某些金融业务的停系统的毁坏、故障、事故,可能会造成某些金融业务的停顿,影响某些金融业务的效率,但经济损失不大。顿,影响某些金融业务的效率,但经济损失不大。8.1 安全等级保护制度安全等级保护制度138.1.3计算机安全等级计算机安全等级 D D类:类:类:类:属非安全保护类,只一个级别。凡不属非安全保护类,只一个级别。凡不满足其他各级安全要求的,皆属此级别。满足其他各级安全要求的
12、,皆属此级别。C C类:类:类:类:为自主保护类,分为两级(为自主保护类,分为两级(C1, C2)C1, C2)。B B类:类:类:类:为强制保护类,分三级为强制保护类,分三级(B1,B2,B3)(B1,B2,B3)。A A类:类:类:类:为验证保护级,拟分两级为验证保护级,拟分两级(A1,(A1,超超A1)A1)。8.1 安全等级保护制度安全等级保护制度14C类类C1C1级:具有一定的自主型存取控制(级:具有一定的自主型存取控制(级:具有一定的自主型存取控制(级:具有一定的自主型存取控制(DACDAC)安全机制,)安全机制,)安全机制,)安全机制,系统能定期检验可信计算基(系统能定期检验可信
13、计算基(系统能定期检验可信计算基(系统能定期检验可信计算基(TCBTCB)的正确性,维护系)的正确性,维护系)的正确性,维护系)的正确性,维护系统的完整性。统的完整性。统的完整性。统的完整性。C2C2级:具有以用户为单位的级:具有以用户为单位的级:具有以用户为单位的级:具有以用户为单位的DACDAC机制,能进行审计。机制,能进行审计。机制,能进行审计。机制,能进行审计。8.1 安全等级保护制度安全等级保护制度15B类类B1B1级:引入强制存取控制(级:引入强制存取控制(级:引入强制存取控制(级:引入强制存取控制(MACMAC)机制,并对主体和客)机制,并对主体和客)机制,并对主体和客)机制,并
14、对主体和客体进行安全级标识,实施标识管理。体进行安全级标识,实施标识管理。体进行安全级标识,实施标识管理。体进行安全级标识,实施标识管理。B2B2级:具有形式化安全模型,系统设计结构化,级:具有形式化安全模型,系统设计结构化,级:具有形式化安全模型,系统设计结构化,级:具有形式化安全模型,系统设计结构化,MACMAC机机机机制更趋完善,具备了最小特权管理,以及可信通道机制、制更趋完善,具备了最小特权管理,以及可信通道机制、制更趋完善,具备了最小特权管理,以及可信通道机制、制更趋完善,具备了最小特权管理,以及可信通道机制、隐通道分析和处理等。隐通道分析和处理等。隐通道分析和处理等。隐通道分析和处
15、理等。B3B3级:具有严格的系统结构化设计和级:具有严格的系统结构化设计和级:具有严格的系统结构化设计和级:具有严格的系统结构化设计和TCBTCB最小复杂性设最小复杂性设最小复杂性设最小复杂性设计,应具备全面的存取控制的访问监控机制,以及审计计,应具备全面的存取控制的访问监控机制,以及审计计,应具备全面的存取控制的访问监控机制,以及审计计,应具备全面的存取控制的访问监控机制,以及审计实时报告机制等。实时报告机制等。实时报告机制等。实时报告机制等。8.1 安全等级保护制度安全等级保护制度16A类类A1级:具有系统形式化顶层设计说明级:具有系统形式化顶层设计说明(FTDS),并形式化验证),并形式
16、化验证FTDS与形式化模与形式化模型的一致性,隐通道问题则用形式化技术解型的一致性,隐通道问题则用形式化技术解决等。决等。超超A1级:比级:比A1级具有更高的安全可信度要级具有更高的安全可信度要求,这已超出了当前的技术发展水平,有待求,这已超出了当前的技术发展水平,有待进一步描述。进一步描述。8.1 安全等级保护制度安全等级保护制度17计算机安全等计算机安全等级的主要技术级的主要技术措施措施如右表如右表序号安全技术措施适用的最低级别1鉴别使用口令登录的各用户C22维护用户资格不受侵害B13能产生保持保护客体存取的审核踪迹C24受权读取审核踪迹C25具有事件审核记录C26用户标识符选择C27安全
17、状况审核B18隐蔽该信道事件审核B29实时威胁监控B310用户存取控制C211存取标准锁定C212存取授权限制C213存取控制表的存取方式和控制B314资源存储区保护隔离C215地址空间进程隔离B18.1 安全等级保护制度安全等级保护制度18续上表续上表16硬件积木化B217存储区清除再使用C218正确标识安全等级B119打印标志B120级别信道路由指定B121多信道报文标签B122敏感标志B123外部资源标志B124动态终端标记B225安全、泄漏和完整性B126对外部用户控制B227操作、管理人员分离B228管理活动审核B329可注册途径B230安全级别变化可信途径B231安全恢复B3序号安
18、全技术措施适用的最低级别8.1 安全等级保护制度安全等级保护制度198.1.4 物理环境安全等级物理环境安全等级计算机所运行的物理环境计算机所运行的物理环境计算机所运行的物理环境计算机所运行的物理环境主要是指计算机信息系统主要是指计算机信息系统周边的环境,即计算机信息系统场地。周边的环境,即计算机信息系统场地。我国国家标准计算站场地安全要求(GB9361-88)和计算站场地技术条件(GB2887-89)对计算机场地安全要求,作了明确的等级规定。 8.1 安全等级保护制度安全等级保护制度20在在计算站场地安全要求计算站场地安全要求中,把计算机房分为中,把计算机房分为3 3种种基本安全类别:基本安
19、全类别:A A类:对计算机房的安全有严格的要求,有完善的类:对计算机房的安全有严格的要求,有完善的计算机房安全措施。计算机房安全措施。B B类:对计算机房的安全有较严格的要求,有完善类:对计算机房的安全有较严格的要求,有完善的计算机房安全措施。的计算机房安全措施。C C类:对计算机房的安全有基本的要求,有基本的类:对计算机房的安全有基本的要求,有基本的计算机房安全措施。计算机房安全措施。8.1 安全等级保护制度安全等级保护制度211 计算机房温湿度要求计算机房温湿度要求项目项目A级指标级指标B级指标级指标C级指标级指标温度夏季22215301035相对温度45%65%40%70%30%80%温
20、度变化率5/h10/h15/h不凝露不凝露不凝露8.1 安全等级保护制度安全等级保护制度222 计算机房供电要求计算机房供电要求 项目项目A类指标类指标B类指标类指标C类指标类指标电压表动率(%)-5+5-10+7-15+10频率变化(Hz)-0.2+0.2-0.5+0.5-1+1波形失真率(%)57108.1 安全等级保护制度安全等级保护制度233 计算机系统接地要求计算机系统接地要求接地名称接地名称作用作用接地电流接地电流接地电阻接地电阻避雷地防雷击(防建筑内可免)极大10交流电源中线人身及设备运行安全大18直流电源地人身及设备运行安全大安全防护地人身安全大18屏蔽地防信息泄漏、防干扰中或
21、小3或1信号地信息运行安全小3或18.1 安全等级保护制度安全等级保护制度248.2信息流管理制度信息流管理制度8.2.1信息流管理控制的相关概念信息流管理控制的相关概念 8.2.2计算机信息媒体进出境申报制度计算机信息媒体进出境申报制度 8.2.3计计算算机机信信息息网网络络国国际际联联网网安安全全保保护护管理办法管理办法258.2.1信息流管理控制的相关概念信息流管理控制的相关概念信息的流动途径信息的流动途径信息的流动方式有两种:信息存储在一些媒介上,如存在盘里,手机上,再通过现代的通信方式或携带,邮寄,托运等,导致信息的流动;信息也可以直接通过网络传输,导致信息的流动。我们在电子商务中所
22、讲的信息流通常情况讲的就是后者。 计算机互联,网络互联的主要途径是有线和无线两种。有线方式是当前我国网络互联的主要方式,或通过邮电部的分组交换网,或租用邮电部的国际专线来实现。8.2信息流管理制度信息流管理制度26与国际联网的单位类型与国际联网的单位类型根据中国互联网络域名注册暂行管理办法,我国互联网络的二级域名包括318个“行政区域名”和6个“类别域名”。我国境内的计算机信息系统,通过物理通信信道,直接或间接与境外(含港、澳、台地区)计算机信息系统连接的,均属于国际联网的计算机信息系统。拥有这些系统购单位,大体上有:金融、经贸、海运、海关等国有单位、独资、合资企业、外国驻华使(领)馆以及新闻
23、代表机构,还有与国际信息服务网相连接的用户单位等。8.2信息流管理制度信息流管理制度27网络安全纳入规范化、法制化管理的轨道网络安全纳入规范化、法制化管理的轨道针对当前我国计算机信息网络国家联网安全保护工作的需要,为了加强计算机信息网络国际联网的安全保护管理,维护国家安全、社会稳定和信息安全,保障公共秩序,促进计算机信息系统的应用发展,当务之急是必须早日形成规范有序的信息出入国境的信息出入国境的“口岸口岸”。相关管理规范制度主要有:中华人民共和国计算机信息网络国际联网管理暂行规定、公安部关于对与国际联网的计算机信息系统进行备案工作的通知、计算机信息网络国际联网安全保护管理办法、计算机信息媒体进
24、出境申报制度,还有国务院信息化工作领导小组发布的中国互联网络域名注册暂行管理办法和中国互联网络域名注册实施细则等。 8.2信息流管理制度信息流管理制度288.2.2计算机信息媒体进出境申报制度计算机信息媒体进出境申报制度1 计算机信息媒体的相关概念计算机信息媒体的相关概念计算机信息媒体主要是指具有存储功能的集成电路存储器、磁盘、磁带、光盘等,它们可以存储各种形式的信息,如文字、图形、声音、图像、视频、动画等等。出境的信息媒体,有可能造成有损专利、版权、机密及其他重要信息的有害外流;入境的信息媒体,有可能造成有害信息在国内的传播。 计算机信息媒体有其自身的许多特点,所携带的信息量可能相当大;体积
25、小,便于携带;复制方便;其中的信息往往能以压缩或加密等方式出现,不易直接读出其中内容;内容所涉及的专业较广,其中的内容和性质等往往需要专业人员协助才能进行鉴别;分析鉴别往往需要相应的检测设备、检测环境条件、及不定期的分析方法,耗费时间等。8.2信息流管理制度信息流管理制度292 计算机信息媒体出入境的一般处理计算机信息媒体出入境的一般处理(1)(1)申报。申报。一般由信息媒体拥有者向海关和公安机关主管部门如实申报。有交接关系的,可委托境内收方协助申报或代理申报。(2)(2)检测。检测。由公安机关主管部门主持安排实施,检测完毕,做出准予报送与否决定。(3)(3)报送。报送。海关查验属实放行。未经
26、公安机关检测或媒体发生替换的,不予放行。(4)(4)其他其他。临时报关的,一般应扣留待查。如有担保条件的,则可留下原件待查,放行副本。8.2信息流管理制度信息流管理制度308.2.3计算机信息网络国际联网安全保护管计算机信息网络国际联网安全保护管理办法理办法 1997年国务院批准公安部公布了计算机信息网络国际联网安全保护管理办法,使我国国际信息网络互联的信息流安全管理正式纳入了法制化和规范化的轨道,其内容包括:制定制定办法办法的基本指导思想的基本指导思想办法办法禁止的活动和内容禁止的活动和内容安全责任安全责任公安机关计算机管理监察机构的职责公安机关计算机管理监察机构的职责8.2信息流管理制度信
27、息流管理制度318.3计算机信息系统安全技术计算机信息系统安全技术和专用产品管理制度和专用产品管理制度8.3.1计算机信息系统安全专用产品的有关概念 8.3.2计算机安全专用产品管理的一般原则 8.3.3计算机安全专用产品的管理制度 328.3.1计算机信息系统安全专用产品的有关概念计算机信息系统安全专用产品的有关概念 1 计算机安全专用产品的分类计算机安全专用产品的分类计算机安全专用产品的分类计算机安全专用产品的分类计算机安全专用产品计算机安全专用产品是指用于保护计算机信息系统安全的专用硬件和软件产品。计算机安全专用产品分为三大类:实体安全专用产品、运行安全专用产品和信息安全专用产品,每一个
28、大类下又细分了小类,详见下页表。 8.3计算机信息系统安全技术计算机信息系统安全技术和专用产品管理制度和专用产品管理制度33 A A类类A类类 实体安全实体安全A10类类 环境安全环境安全A11类类 受灾保护受灾保护A12类类 受灾恢复计划辅助软件受灾恢复计划辅助软件A13类类 区域保护区域保护A20类类 设备安全设备安全A21类类 设备防盗设备防盗A22类类 设备防毁设备防毁A23类类 防止电磁信息泄漏防止电磁信息泄漏A24类类 防止线路截获防止线路截获A25类类 抗电磁干扰抗电磁干扰A26类类 电源保护电源保护A30类类 媒体安全媒体安全A31类类 媒体安全媒体安全A32类类 媒体数据安全
29、媒体数据安全8.3计算机信息系统安全技术计算机信息系统安全技术和专用产品管理制度和专用产品管理制度34 B B类类B类类 运行安全运行安全B10类类 风险分风险分析析B20类类 审计跟踪审计跟踪B30类类 备份与恢复备份与恢复B40类类 应急应急B41类类 应急计划辅助软件应急计划辅助软件B42类类 应急措施应急措施8.3计算机信息系统安全技术计算机信息系统安全技术和专用产品管理制度和专用产品管理制度35C C类类C类类 信息安全信息安全C10类类 操作系统安全操作系统安全C11类类 安全操作系统安全操作系统C12类类 操作系统安全部件操作系统安全部件C20类类 数据库安全数据库安全C21类类
30、 安全数据库系统安全数据库系统C22类类 数据库系统安全部件数据库系统安全部件C30类类 网络安全网络安全C31类类 网络安全管理网络安全管理C32类类 安全网络系统安全网络系统C33类类 网络系统安全部件网络系统安全部件C40类类 计算机病毒防护计算机病毒防护C41类类 单机系统病毒防护单机系统病毒防护C42类类 网络系统病毒防护网络系统病毒防护C50类类 访问控制访问控制C51类类 出入控制出入控制C52类类 存储控制存储控制C60类类 密码密码C61类类 加密设备加密设备C62类类 密钥管理密钥管理C70类类 鉴别鉴别C71类类 身份鉴别身份鉴别C72类类 完整性鉴别完整性鉴别C73类类
31、 不可否认鉴别不可否认鉴别8.3计算机信息系统安全技术计算机信息系统安全技术和专用产品管理制度和专用产品管理制度368.3.2计算机安全专用产品管理的一般原则计算机安全专用产品管理的一般原则坚持独立自主的原则坚持独立自主的原则坚持规范化、法制化管理原则坚持规范化、法制化管理原则8.3计算机信息系统安全技术计算机信息系统安全技术和专用产品管理制度和专用产品管理制度378.3.3计算机安全专用产品的管理制度计算机安全专用产品的管理制度计算机安全专用产品的管理应该涵盖从开发到销售、使用等整个周期的过程,由于我国目前立法还不完善,安全专用产品的管理制度还不能完全覆盖整个周期。以计算机信息系统安全专用产
32、品检测和销售许可证管理办法为例,其内容包括:许可证办法的适用范围检测机构检测办法销售许可销售许可中的违法行为8.3计算机信息系统安全技术计算机信息系统安全技术和专用产品管理制度和专用产品管理制度388.4计算机案件报告制度计算机案件报告制度8.4.1 计算机安全事件的相关概念计算机安全事件的相关概念8.4.2 计算机安全事件报告内容计算机安全事件报告内容39 8.4.1 计算机安全事件的相关概念计算机安全事件的相关概念1 计算机安全事件的定义计算机安全事件的定义 计算机安全事件计算机安全事件是指对计算机信息系统的可用性、完整性、保密性、真实性、可核查性和可靠性等造成危害的事件,或者是在计算机信
33、息系统发生的对社会造成负面影响的其他事件。它的主体主体是计算机安全事件的制造者或造成计算机安全事件的最终原因。它的客体客体是受计算机安全事件影响或发生计算机安全事件的计算机信息系统。具体地说,计算机安全事件的客体可分为信息系统、信息内容和网络基础设施三大类。 8.48.4计算机案件报告制度计算机案件报告制度40 2 计算机安全事件的计算机安全事件的分级分级 根据计算机安全事件所造成后果的严重程度,计算机安全事件可划分为5个等级。其中1级危害程度最高,5级危害程度最低,如右图。 3级和3级以上的计算机安全事件称为重大信息安全事件。分分级级分级内容分级内容1级级 本级计算机安全事件对计算机信息系统
34、所 承载的业务、事发单位利益以及社会公共利益有灾难性的影响或破坏,对社会稳定和国家安全产生灾难性的危害; 2级级 本级计算机安全事件对计算机信息系统所承载的业务、事发单位利益以及社会公共利益有极其严重的影响或破坏,对社会稳定、国家安全造成严重危害;3级级 本级计算机安全事件对计算机信息系统所 承载的业务、事发单位利益以及社会公共利益有较为严重的影响或破坏,对社会稳定、国家安全产生一定危害;4级级 本级计算机安全事件对计算机信息系统所承载的业务以及事发单位利益有一定的影响或破坏;5级级 本级计算机安全事件对计算机信息系统所承载的业务以及事发单位利益基本不影响或损害极小。8.48.4计算机案件报告
35、制度计算机案件报告制度413 计算机安全事件分级规范计算机安全事件分级规范信息密级信息密级级别级别信息密级信息密级1级明确标注有“绝密”的信息失窃或泄密2级明确标注有“机密”的信息失窃或泄密3级明确标注有“秘密”的信息失窃或泄密4级本单位的工作秘密信息失窃或泄密5级本单位敏感信息或个人隐私信息的失窃或泄密8.48.4计算机案件报告制度计算机案件报告制度42公众影响公众影响 公众影响分级规范公众影响分级规范 发生时间发生时间影响范围和程度影响范围和程度敏感时期敏感时期平常时期平常时期对国家安全造成影响的计算机安全事件12级23级对社会稳定造成影响的计算机安全事件12级23级对事发单位的正常工作秩
36、序、单位的形象和声誉等造成影响的计算机安全事件34级4级只对事发单位部分人员的正常工作秩序造成影响的计算机安全事件45级5级8.48.4计算机案件报告制度计算机案件报告制度43业务影响业务影响业务影响分级规范业务影响分级规范 中断时间中断时间信息信息 系统安全等级系统安全等级4 4小时以内小时以内4 4小时(含)以小时(含)以上,上, 8 8小时以内小时以内8 8小时(含)以小时(含)以上上523级12级12级423级12级12级334级23级12级245级34级3级15级45级34级8.48.4计算机案件报告制度计算机案件报告制度44资产损失资产损失 资产损失分级规范资产损失分级规范 级别级
37、别合计资产损失(人民币)合计资产损失(人民币)1级1000万元(含)以上2级300万元(含)1000万元之间3级50万(含)300万元之间4级5万元(含)50万元之间5级5万元以下8.48.4计算机案件报告制度计算机案件报告制度45计算机安全事件的分类计算机安全事件的分类中华人民共和国计算机信系统安全保护条例第十四条规定:“对计算机信息系统中发生的案件,有关使用单位应当在218小时内向当地县级以上人民政府公安机关报告。”着重强调了对于计算机安全事件,必须及时报告。也就是说,我国的计算机安全事件采用计算机案件报告制度。 计算机安全事件可分为环境灾害、常规事故、内容异常、网络或系统异常和其他事件等
38、5个第一层分类,在此基础上,再细分成若干个第二层和第三层分类。 8.48.4计算机案件报告制度计算机案件报告制度468.4.2 计算机安全事件报告内容计算机安全事件报告内容 单位名称单位名称报告人报告人联系电话联系电话通讯地址通讯地址传传 真真电子邮件电子邮件负责部门负责部门负责人负责人计算机安全事件的客体计算机安全事件的客体名称名称类别类别网络基础设施信息系统信息内容用途描述:用途描述:计算机安全事件的简要描述(如以前出现过类计算机安全事件的简要描述(如以前出现过类似情况也应加以说明)似情况也应加以说明)初步判定的事件类别初步判定的事件类别事件一层类别事件一层类别环境灾害常规事故内容异常网络
39、或系统异常其他事件事件二层类别事件二层类别事件三层类别事件三层类别计算机安全事件初步定级结果计算机安全事件初步定级结果信息密级要素定级结果信息密级要素定级结果1级2级3级4级5级公众影响要素定级结果公众影响要素定级结果1级2级3级4级5级业务影响要素定级结果业务影响要素定级结果1级2级3级4级5级资产损失要素定级结果资产损失要素定级结果1级2级3级4级5级综合定级结果综合定级结果1级2级3级4级5级当前采取的应对措施当前采取的应对措施本次计算机安全事件的初步影响状况本次计算机安全事件的初步影响状况事件后果事件后果业务中断系统破坏数据丢失其他影响范围影响范围单台主机台主机整个信息系统整个局域网8
40、.48.4计算机案件报告制度计算机案件报告制度47本章小结本章小结 本章介绍了计算机信息系统安全保护制度。本章介绍了计算机信息系统安全保护制度。 信息安全是指保护信息和信息系统,以避免未授权的访问、信息安全是指保护信息和信息系统,以避免未授权的访问、使用、泄漏、破坏、修改或者销毁,以确保信息的完整性、保密使用、泄漏、破坏、修改或者销毁,以确保信息的完整性、保密性和可用性。性和可用性。 计算机安全专用产品是指用于保护计算机信息系统安全的专计算机安全专用产品是指用于保护计算机信息系统安全的专用硬件和软件产品。用硬件和软件产品。 计算机安全事件是指对计算机信息系统的可用性、完整性、计算机安全事件是指对计算机信息系统的可用性、完整性、保密性、真实性、可核查性和可靠性等造成危害的事件,或者是保密性、真实性、可核查性和可靠性等造成危害的事件,或者是在计算机信息系统发生的对社会造成负面影响的其他事件。在计算机信息系统发生的对社会造成负面影响的其他事件。48Thanks!
