信息安全等級保護政策及標準解讀_圖文

1、 2. 1983 美國政府發(fā)布可信計算機系統(tǒng)評估準則 (TCSEC , Trusted Computer Security Evaluation Criteria3. 1991年 英、德、法、荷 4國 淘汰(TCSEC ,制定信息技術(shù)安全評定標準 (ITSEC 4. 1999年 ISO/IEC 15408:2009 (俗稱 CC 標準CC 取代了 TCSEC 和 ITSEC 成為信息技術(shù)安全評估領域的唯一國際標準 2. 1994年 國務院頒發(fā)中華人民共和國計算機信息系統(tǒng)安全保護條例 (國務院 147號令3. 1999年 計算機信息系統(tǒng)等級保護劃分準則 GB17859 1999 為此、后續(xù)發(fā)布了

2、超過 60個關于等級保護的指導性文件 計算機信息系統(tǒng)安全保護等級劃分準則(GB17859 1999信息系統(tǒng)安全等級保護基本要求(GB/T 22239 2008安全等級 保護實施 指南GB /T25058 2010信息系統(tǒng) 等級保護 安全設計 技術(shù)要求 GB/T25070 2010信息系統(tǒng) 安全等級 保護測評 要求GB /T284482012信息系統(tǒng) 等級保護 測評過程 指南 GB/T284492 2012 用戶自主保護級 系統(tǒng)審計保護級 安全標記保護級 結(jié)構(gòu)化保護級 訪問驗證保護級 標記 身份鑒別 客體重用 審計 數(shù)據(jù)完整性 隱蔽信道分析 可信路徑 可信恢復問題:它強調(diào)是什么,缺乏什么?它對系

3、統(tǒng)定級是如何判定的? 物理安全 網(wǎng)絡完全 應用安全 數(shù)據(jù)安全 主機安全 安全管理機構(gòu) 人員安全管理 系統(tǒng)建設管理 系統(tǒng)運維管理只是給出要求、并不是具體的最終方案或指導書認為:不是全面實現(xiàn),而是采用其他安全有效的措施替代不能實施的基本要求,但 信息系統(tǒng)定級 總體安全規(guī)劃 安全設計與實施 安全運行與維護 信息系統(tǒng)終止 等級保護技術(shù)的整改 新建等級保護技術(shù)的架構(gòu)1. 對等級保護的技術(shù)安全設計提出要求 安全計算環(huán)境 安全區(qū)域邊界 安全通信網(wǎng)絡 安全管理中心 1. 包含了測評的原則、內(nèi)容、強度、結(jié)果重用、使用方法2. 規(guī)定等級測評的單元和整體安全測評、以及等級測評結(jié)論的產(chǎn)生方法3. 測評的訪談、檢查、測

4、試等三個關鍵要素(三級以上還需要做滲透測試 三、解讀 信息系統(tǒng)安全等級保護測評過程指南 GB/T 284922012 本規(guī)范是主要指導組織機構(gòu)如何開展信息系統(tǒng)的安全測評工作 1. 信息系統(tǒng)建設完成后、運營、使用單位以及主管部分需要對信息系統(tǒng)安全等級 狀況進行等級測評（測評過程、工作任務、分析方法、工作結(jié)果等） 2. 當中有4的環(huán)節(jié)：測評準備、方案編制、現(xiàn)場測評、分析和報告編制 16 三、解讀 信息系統(tǒng)安全等級保護測評過程指南 GB/T 284922012 本規(guī)范是主要指導組織機構(gòu)如何開展信息系統(tǒng)的安全測評工作 1. 2. 測評準備：項目啟動、信息收集及分析、工具/表單準備 方案編制：對象確定、測評指標、測試工具接入點、測評內(nèi)容、測評實施手冊、 測評方案編制 3. 4. 現(xiàn)場測評：現(xiàn)場測評準備、現(xiàn)場測評、結(jié)果記錄