信息安全法律法規(guī)我國的標準課件

1、網(wǎng)絡信息安全等級保護制度 10/2/20221引 言信息網(wǎng)絡的全球化使得信息網(wǎng)絡的安全問題也全球化起來，任何與互聯(lián)網(wǎng)相連接的信息系統(tǒng)都必須面對世界范圍內(nèi)的網(wǎng)絡攻擊、數(shù)據(jù)竊取、身份假冒等安全問題。發(fā)達國家普遍發(fā)生的有關利用計算機進行犯罪的案件，絕大部分已經(jīng)在我國出現(xiàn)。10/2/20222引 言當前計算機信息系統(tǒng)的建設者、管理者和使用者都面臨著一個共同的問題，就是他們建設、管理或使用的信息系統(tǒng)是否是安全的？如何評價系統(tǒng)的安全性？這就需要有一整套用于規(guī)范計算機信息系統(tǒng)安全建設和使用的標準和管理辦法。10/2/20223等級保護制度的意義 1994 年，國務院發(fā)布了中華人民共和國計算機信息系統(tǒng)安全保護

2、條例，該條例是計算機信息系統(tǒng)安全保護的法律基礎。其中第九條規(guī)定“計算機信息系統(tǒng)實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定。”10/2/20224等級保護制度的意義 公安部在條例發(fā)布實施后便著手開始了計算機信息系統(tǒng)安全等級保護的研究和準備工作。等級管理的思想和方法具有科學、合理、規(guī)范、便于理解、掌握和運用等優(yōu)點，因此，對計算機信息系統(tǒng)實行安全等級保護制度，是我國計算機信息系統(tǒng)安全保護工作的重要發(fā)展思路，對于正在發(fā)展中的信息系統(tǒng)安全保護工作更有著十分重要的意義。10/2/20225國外等級保護的發(fā)展歷程 10/2/20227美國國防部早在80年代就針對國

3、防部門的計算機安全保密開展了一系列有影響的工作，后來成立了所屬的機構-國家計算機安全中心（NCSC）繼續(xù)進行有關工作。 10/2/20228TCSEC采用等級評估的方法，將計算機安全分為A、B、C、D四個等級八個級別，D等級安全級別最低，風險最高，A等級安全級別最高，風險最低；評估類別：安全策略可審計性保證文檔10/2/202210無保護級（D級）是為那些經(jīng)過評估，但不滿足較高評估等級要求的系統(tǒng)設計的，只具有一個級別 該類是指不符合要求的那些系統(tǒng)，因此，這種系統(tǒng)不能在多用戶環(huán)境下處理敏感信息10/2/202211自主保護級（C級）具有一定的保護能力，采用的措施是身份認證、自主訪問控制和審計跟蹤

4、 一般只適用于具有一定等級的多用戶環(huán)境具有對主體責任及其動作審計的能力自主安全保護級（C1級) 控制訪問保護級（C2級）10/2/202212驗證保護級（A級）A類的特點是使用形式化的安全驗證方法，保證系統(tǒng)的自主和強制安全控制措施能夠有效地保護系統(tǒng)中存儲和處理的秘密信息或其他敏感信息為證明TCB滿足設計、開發(fā)及實現(xiàn)等各個方面的安全要求，系統(tǒng)應提供豐富的文檔信息Trusted Computing Base可靠計算基礎。就是計算系統(tǒng)中的每個事物都提供了一個安全環(huán)境。這包括操作系統(tǒng)和它提供的安全機制，硬件，物理定位，網(wǎng)絡硬件和軟件，指定處理過程。具有代表性的是控制訪問的防備，對特殊資源的授權，支持用

5、戶身份驗證，抵抗病毒和其他對系統(tǒng)的滲透，還有數(shù)據(jù)備份。假設可靠計算基礎已經(jīng)或必須被測試和驗證通過。 驗證設計級（A1級） 超A1級10/2/202214TCSEC 帶動了國際計算機安全的評估研究。90年代西歐四國（英、法、荷、德）聯(lián)合提出了信息技術安全評估標準（ITSEC），ITSEC（又稱歐洲白皮書）除了吸收TCSEC 的成功經(jīng)驗外，首次提出了信息安全的保密性、完整性、可用性的概念，把可信計算機的概念提高到可信信息技術的高度上來認識。他們的工作成為歐共體信息安全計劃的基礎，并對國際信息安全的研究、實施帶來深刻的影響。10/2/202215重點考慮人為的威脅，也用于非人為因素導致的威脅。CC適

6、用于硬件、固件和軟件實現(xiàn)的信息技術安全措施，而某些內(nèi)容因涉及特殊專業(yè)技術或僅是信息技術安全的外圍技術不在CC的范圍內(nèi)。通用準則(Common Criteria,CC)是目前國際上最全面的信息技術安全性評估準則,它具有國際互認的優(yōu)勢,因此研究CC評估、建立CC評估體系對我國的信息安全發(fā)展具有重大意義。通用評估方法CEM(Common Evaluation Methodology,CEM)是CC評估配套的評估方法。10/2/202217中國的等級保護體系 10/2/2022181989年公安部開始設計起草法律和標準，在起草過程中經(jīng)過長期的對國內(nèi)外廣泛的調(diào)查和研究，特別是對國外的法律法規(guī)、政府政策、

7、標準和計算機犯罪的研究，使我們認識到要從法律、管理和技術三個方面著手；采取的措施要從國家制度的角度來看問題，對信息安全要實行等級保護制度。10/2/202219GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準則意義：該準則的發(fā)布為計算機信息系統(tǒng)安全法規(guī)和配套標準的制定和執(zhí)法部門的監(jiān)督檢查提供了依據(jù)為安全產(chǎn)品的研制提供了技術支持為安全系統(tǒng)的建設和管理提供了技術指導是我國計算機信息系統(tǒng)安全保護等級工作的基礎 10/2/202220將計算機信息系統(tǒng)安全保護等級劃分為五個級別。第一級：用戶自主保護級第二級：系統(tǒng)審計保護級第三級：安全標記保護級第四級：結構化保護級第五級：訪問驗證保護級 10/2

8、/202221第一級：用戶自主保護級：計算機信息系統(tǒng)可信計算基通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護的能力。它具有多種形式的控制能力，對用戶實施訪問控制，即為用戶提供可行的手段，保護用戶和用戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞 10/2/202222第三級：安全標記保護級：計算機信息系統(tǒng)可信計算基具有系統(tǒng)審計保護級所有功能此外，還提供有關安全策略模型、數(shù)據(jù)標記以及主體對客體強制訪問控制的非形式化描述具有準確地標記輸出信息的能力消除通過測試發(fā)現(xiàn)的任何錯誤10/2/202224第四級：結構化保護級：計算機信息系統(tǒng)可信計算基建立于一個明確定義的形式化安全策略模型之上要求將第三級系統(tǒng)中的自

9、主和強制訪問控制擴展到所有主體與客體此外，還要考慮隱蔽通道計算機信息系統(tǒng)可信計算基必須結構化為關鍵保護元素和非關鍵保護元素計算機信息系統(tǒng)可信計算基的接口也必須明確定義，使其設計與實現(xiàn)能經(jīng)受更充分的測試和更完整的復審加強了鑒別機制支持系統(tǒng)管理員和操作員的職能提供可信設施管理增強了配置管理控制系統(tǒng)具有相當?shù)目節(jié)B透能力10/2/202225需要實施安全等級保護的信息系統(tǒng)為：- 黨政系統(tǒng)(黨委、政府)；- 金融系統(tǒng)(銀行、保險、證券)；- 財稅系統(tǒng)(財政、稅務、工商)；- 經(jīng)貿(mào)系統(tǒng)(商業(yè)貿(mào)易、海關)；- 電信系統(tǒng)(郵電、電信、廣播、電視)；- 能源系統(tǒng)(電力、熱力、燃氣、煤炭、油料)；- 交通運輸系統(tǒng)

10、(航空、航天、鐵路、公路、水運、海運)；- 供水系統(tǒng)(水利及水源供給)；- 社會應急服務系統(tǒng)(醫(yī)療、消防、緊急救援)；- 教育科研系統(tǒng)(教育、科研、尖端科技)；- 國防建設系統(tǒng); -國有大中型企業(yè)系統(tǒng)； -互聯(lián)單位、接入單位、重點網(wǎng)站及向公眾提供上網(wǎng)服務場所的計算機信息系統(tǒng).10/2/202227 等級保護是國家基本政策10/2/202228等級保護是國家基本政策信息安全等級保護是中華人民共和國計算機信息系統(tǒng)安全保護條例規(guī)定的法定保護制度，具有強制性；以國家制度推進信息和信息系統(tǒng)安全保護責任的落實；符合客觀實際，具有科學性；具有自我保護與國家保護相結合的長效保護機制；突出保護重點，國家優(yōu)先重點

11、保護涉及國計民生的信息系統(tǒng)，國家基礎信息網(wǎng)絡和重要信息系統(tǒng)內(nèi)分級重點保護三級以上的局域網(wǎng)和子系統(tǒng)安全；具有整體保護性，在突出重點，兼顧一般的原則下，著重加強重點、要害部位,由點到面進行保護，逐步實現(xiàn)信息安全整體保障。 10/2/202229 建立國家信息安全等級保護機制10/2/202230國家實行信息安全等級保護，必須緊緊抓住抓好五個關鍵環(huán)節(jié)，形成長效信息安全等級保護運行機制。國家信息安全等級保護制度運行機制有以下關鍵環(huán)節(jié)構成：1法律規(guī)范2管理與技術規(guī)范3實施過程控制4結果控制5監(jiān)督管理。10/2/2022311法律規(guī)范：國家制定和完善信息安全等級保護政策、法律規(guī)范以及組織實施規(guī)則和方法,完

12、善信息安全保護法律體系；2管理與技術規(guī)范：制定符合國情的標準,建立等級保護體系；3實施過程控制：明確落實系統(tǒng)擁有者的安全責任制，系統(tǒng)擁有者按法律規(guī)定和安全等級標準的要求進行信息系統(tǒng)的建設和管理，并承擔應急管理責任，在信息系統(tǒng)生命周期內(nèi)進行自管、自查、自評，建立安全管理體系。安全產(chǎn)品的研發(fā)者提供符合安全等級標準要求的技術產(chǎn)品。10/2/2022323實施過程控制：明確落實系統(tǒng)擁有者的安全責任制，系統(tǒng)擁有者按法律規(guī)定和安全等級標準的要求進行信息系統(tǒng)的建設和管理，并承擔應急管理責任，在信息系統(tǒng)生命周期內(nèi)進行自管、自查、自評，建立安全管理體系。安全產(chǎn)品的研發(fā)者提供符合安全等級標準要求的技術產(chǎn)品。4結果

13、控制：建立非盈利并能夠覆蓋全國的系統(tǒng)安全等級保護的執(zhí)法檢查與評估體系，使用統(tǒng)一標準和工具開展系統(tǒng)安全等級保護檢查評估工作。10/2/2022335監(jiān)督管理：公安機關依法行政，督促安全等級保護責任制的落實，以等級保護標準監(jiān)督、檢查、指導基礎信息網(wǎng)絡和重要信息系統(tǒng)安全等級保護建設、管理。對安全等級技術產(chǎn)品實行監(jiān)管，對監(jiān)測評估機構實施監(jiān)管。政府其他職能部門應當認真履行職責，依法行政，按職責開展信息安全等級保護專項制度建設工作，完善信息安全監(jiān)督體系。10/2/202234 信息系統(tǒng)安全等級保護制度實施方法10/2/202235首先，公安、國家保密、國家密碼管理、技術監(jiān)督、信息產(chǎn)業(yè)等國家有關信息網(wǎng)絡安全

14、的行政主管部門要在國家信息化領導小組的統(tǒng)一領導下，制定我國開展信息網(wǎng)絡安全等級保護工作的發(fā)展政策，統(tǒng)一制定針對不同安全保護等級的管理規(guī)定和技術標準，對不同信息網(wǎng)絡確定不同安全保護等級和實施不同的監(jiān)督管理措施，既包括依法進行行政監(jiān)督、檢查和指導，也包括依據(jù)國家技術標準進行的技術檢查和評估。10/2/202236其次，等級保護堅持“誰主管、誰負責；誰經(jīng)營、誰負責；誰建設、誰負責；誰使用、誰負責?！钡脑瓌t。10/2/202237第三，等級保護實行“國家主導；重點單位強制，一般單位自愿；高保護級別強制，低保護級別自愿”的監(jiān)管原則。10/2/202238第四，信息網(wǎng)絡安全狀況等級的技術檢測是等級保護的重點。由國家授權的技術檢測機構通過技術檢測來進行評定。技術檢測機構需取得國家主管部