信息安全保障建設(shè)中的課件

信息安全保障建設(shè)中的

幾個(gè)焦點(diǎn)問(wèn)題國(guó)家信息化專家咨詢委員會(huì)委員沈昌祥院士信息安全保障建設(shè)中的

幾個(gè)焦點(diǎn)問(wèn)題國(guó)家信息化專家咨詢委員會(huì)委1內(nèi)容—————————————————————————一、信息安全等級(jí)劃分與保護(hù)二、等級(jí)保護(hù)與信息安全保障各環(huán)節(jié)的關(guān)系

三、可信計(jì)算平臺(tái)是系統(tǒng)級(jí)安全的必要條件四、高安全等級(jí)系統(tǒng)軟件是信息安全的基礎(chǔ)內(nèi)容2一、信息安全等級(jí)劃分

與保護(hù)一、信息安全等級(jí)劃分

與保護(hù)32004年9月15日由公安部、國(guó)家保密局、國(guó)家密碼管理局和國(guó)信辦聯(lián)合下發(fā)《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（66號(hào)文件），明確實(shí)施等級(jí)保護(hù)的基本做法。2007年6月22日又由四單位聯(lián)合下發(fā)《信息安全等級(jí)保護(hù)管理辦法》（43號(hào)文件），規(guī)范了信息安全等級(jí)保護(hù)的管理。信息安全保障建設(shè)中的課件4堅(jiān)持自主定級(jí)、自主保護(hù)原則。應(yīng)根據(jù)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，以及系統(tǒng)遭受破壞后的危害程度等因素確定等級(jí)。信息安全保障建設(shè)中的課件5等級(jí)劃分：等級(jí)合法權(quán)益社會(huì)秩序和公共利益國(guó)家安全損害嚴(yán)重?fù)p害損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害一級(jí)√二級(jí)√√三級(jí)√√四級(jí)√√五級(jí)√等級(jí)劃分：等級(jí)社會(huì)秩序和嚴(yán)重?fù)p害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害嚴(yán)重?fù)p害6等級(jí)劃分：等級(jí)合法權(quán)益社會(huì)秩序和公共利益國(guó)家安全損害嚴(yán)重?fù)p害損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害一級(jí)√二級(jí)√√三級(jí)√√四級(jí)√√五級(jí)√等級(jí)劃分：等級(jí)社會(huì)秩序和嚴(yán)重?fù)p害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害嚴(yán)重?fù)p害7等級(jí)劃分：等級(jí)合法權(quán)益社會(huì)秩序和公共利益國(guó)家安全損害嚴(yán)重?fù)p害損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害一級(jí)√二級(jí)√√三級(jí)√√四級(jí)√√五級(jí)√等級(jí)劃分：等級(jí)社會(huì)秩序和嚴(yán)重?fù)p害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害嚴(yán)重?fù)p害8等級(jí)分級(jí)保護(hù)保護(hù)級(jí)（GB17859)實(shí)施與管理一級(jí)自主保護(hù)自主訪問(wèn)主管部門審批自定二級(jí)指導(dǎo)保護(hù)審計(jì)（自主訪問(wèn)）主管部門審批公安備案三級(jí)監(jiān)督檢查標(biāo)記（強(qiáng)制訪問(wèn)）主管部門審批每年一次測(cè)評(píng)檢查四級(jí)強(qiáng)制監(jiān)督檢查結(jié)構(gòu)化保證專家委評(píng)審半年一次測(cè)評(píng)檢查五級(jí)專門監(jiān)督檢查實(shí)時(shí)監(jiān)控專家委評(píng)審專門檢查等級(jí)分級(jí)保護(hù)保護(hù)級(jí)（GB17859)實(shí)施與管理一級(jí)自主保護(hù)自9等級(jí)分級(jí)保護(hù)保護(hù)級(jí)（GB17859)實(shí)施與管理一級(jí)自主保護(hù)自主訪問(wèn)主管部門審批自定二級(jí)指導(dǎo)保護(hù)審計(jì)（自主訪問(wèn)）主管部門審批公安備案三級(jí)監(jiān)督檢查標(biāo)記（強(qiáng)制訪問(wèn)）主管部門審批每年一次測(cè)評(píng)檢查四級(jí)強(qiáng)制監(jiān)督檢查結(jié)構(gòu)化保證專家委評(píng)審半年一次測(cè)評(píng)檢查五級(jí)專門監(jiān)督檢查實(shí)時(shí)監(jiān)控專家委評(píng)審專門檢查等級(jí)分級(jí)保護(hù)保護(hù)級(jí)（GB17859)實(shí)施與管理一級(jí)自主保護(hù)自10等級(jí)分級(jí)保護(hù)保護(hù)級(jí)（GB17859)實(shí)施與管理一級(jí)自主保護(hù)自主訪問(wèn)主管部門審批自定二級(jí)指導(dǎo)保護(hù)審計(jì)（自主訪問(wèn)）主管部門審批公安備案三級(jí)監(jiān)督檢查標(biāo)記（強(qiáng)制訪問(wèn)）主管部門審批每年一次測(cè)評(píng)檢查四級(jí)強(qiáng)制監(jiān)督檢查結(jié)構(gòu)化保證專家委評(píng)審半年一次測(cè)評(píng)檢查五級(jí)專門監(jiān)督檢查實(shí)時(shí)監(jiān)控專家委評(píng)審專門檢查等級(jí)分級(jí)保護(hù)保護(hù)級(jí)（GB17859)實(shí)施與管理一級(jí)自主保護(hù)自11等級(jí)分級(jí)保護(hù)保護(hù)級(jí)（GB17859)實(shí)施與管理一級(jí)自主保護(hù)自主訪問(wèn)主管部門審批自定二級(jí)指導(dǎo)保護(hù)審計(jì)（自主訪問(wèn)）主管部門審批公安備案三級(jí)監(jiān)督檢查標(biāo)記（強(qiáng)制訪問(wèn)）主管部門審批每年一次測(cè)評(píng)檢查四級(jí)強(qiáng)制監(jiān)督檢查結(jié)構(gòu)化保證專家委評(píng)審半年一次測(cè)評(píng)檢查五級(jí)專門監(jiān)督檢查實(shí)時(shí)監(jiān)控專家委評(píng)審專門檢查等級(jí)分級(jí)保護(hù)保護(hù)級(jí)（GB17859)實(shí)施與管理一級(jí)自主保護(hù)自12等級(jí)分級(jí)保護(hù)保護(hù)級(jí)（GB17859)實(shí)施與管理一級(jí)自主保護(hù)自主訪問(wèn)主管部門審批自定二級(jí)指導(dǎo)保護(hù)審計(jì)（自主訪問(wèn)）主管部門審批公安備案三級(jí)監(jiān)督檢查標(biāo)記（強(qiáng)制訪問(wèn)）主管部門審批每年一次測(cè)評(píng)檢查四級(jí)強(qiáng)制監(jiān)督檢查結(jié)構(gòu)化保證專家委評(píng)審半年一次測(cè)評(píng)檢查五級(jí)專門監(jiān)督檢查實(shí)時(shí)監(jiān)控專家委評(píng)審專門檢查等級(jí)分級(jí)保護(hù)保護(hù)級(jí)（GB17859)實(shí)施與管理一級(jí)自主保護(hù)自13二、等級(jí)保護(hù)與信息安全

保障各環(huán)節(jié)的關(guān)系

二、等級(jí)保護(hù)與信息安全

保障各環(huán)節(jié)的關(guān)系

14等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、應(yīng)急處理和災(zāi)難恢復(fù)是信息安全保障的主要環(huán)節(jié)，對(duì)等于P.D.R.R模型的各要素。因此各環(huán)節(jié)應(yīng)前后聯(lián)接、融為一體。而現(xiàn)在往往各自獨(dú)立地制定標(biāo)準(zhǔn)、試點(diǎn)推廣，導(dǎo)致保障目標(biāo)混亂，保護(hù)策略相互沖突，達(dá)不到應(yīng)有效果，浪費(fèi)資源，增大保護(hù)成本。這種局面應(yīng)加以糾正，學(xué)術(shù)上應(yīng)重點(diǎn)研究各環(huán)節(jié)內(nèi)涵的一致性和外延的匹配性。信息安全保障建設(shè)中的課件15等級(jí)保護(hù)是以制度的方式確定保護(hù)對(duì)象的重要程度和要求，風(fēng)險(xiǎn)評(píng)估是檢測(cè)評(píng)估是否達(dá)到保護(hù)要求的度量工具，應(yīng)急處理是將剩余風(fēng)險(xiǎn)因突發(fā)事件引起損失降低到可接受程度的對(duì)應(yīng)手段。災(zāi)難恢復(fù)是針對(duì)發(fā)生災(zāi)難性破壞時(shí)所采取的由備份進(jìn)行恢復(fù)的措施。它們都是為使一個(gè)確定的保護(hù)對(duì)象的資產(chǎn)少受或不受損失所進(jìn)行的各個(gè)保障環(huán)節(jié)，缺一不可，單獨(dú)進(jìn)行也不成，必須從總體統(tǒng)一保障。等級(jí)保護(hù)是以制度的方式確定保護(hù)對(duì)象的重要程度和要求，風(fēng)險(xiǎn)評(píng)估16等級(jí)保護(hù)應(yīng)根據(jù)信息系統(tǒng)的綜合價(jià)值和綜合能力保證的要求不同以及安全性破壞造成損失大小來(lái)確定其相應(yīng)的保護(hù)等級(jí)。等級(jí)保護(hù)應(yīng)根據(jù)信息系統(tǒng)的綜合價(jià)值和綜合能力保證的要求不同以及17信息資產(chǎn)由價(jià)值表示，分為經(jīng)濟(jì)價(jià)值和社會(huì)價(jià)值。用下圖表示：經(jīng)濟(jì)價(jià)值社會(huì)價(jià)值綜合價(jià)值信息資產(chǎn)由價(jià)值表示，分為經(jīng)濟(jì)價(jià)值和社會(huì)價(jià)值。用下圖表示：經(jīng)濟(jì)18業(yè)務(wù)能力表現(xiàn)在信息服務(wù)上，分為服務(wù)范圍和連續(xù)性依賴程度。服務(wù)范圍連續(xù)性依賴綜合能力保證業(yè)務(wù)能力表現(xiàn)在信息服務(wù)上，分為服務(wù)范圍和連續(xù)性依賴程度。服務(wù)19降低威脅能力風(fēng)險(xiǎn)評(píng)估計(jì)算降低殘余風(fēng)險(xiǎn)：降低脆弱性新增或強(qiáng)化安全措施殘余風(fēng)險(xiǎn)能接受？降低負(fù)面影響維持是否降低威脅能力風(fēng)險(xiǎn)評(píng)估計(jì)算降低脆弱性新增或強(qiáng)化殘余風(fēng)險(xiǎn)能接受？20安全應(yīng)急恢復(fù)是一種降低殘余風(fēng)險(xiǎn)損失的協(xié)調(diào)過(guò)程，涉及到計(jì)劃、流程和技術(shù)措施，以使IT系統(tǒng)、運(yùn)行和數(shù)據(jù)在被破壞后能夠得到恢復(fù)。這涉及到法律、組織管理和技術(shù)支持等環(huán)節(jié)，首先要做好應(yīng)急規(guī)劃。安全應(yīng)急恢復(fù)是一種降低殘余風(fēng)險(xiǎn)損失的協(xié)調(diào)過(guò)程，涉及到計(jì)劃、流21應(yīng)急貫穿系統(tǒng)全生命周期：開(kāi)發(fā)/采辦階段實(shí)現(xiàn)階段運(yùn)行/維護(hù)階段啟動(dòng)階段廢棄階段進(jìn)行測(cè)試計(jì)劃的培訓(xùn)、演習(xí)隨時(shí)準(zhǔn)備恢復(fù)原系統(tǒng)確定應(yīng)急需求確定應(yīng)急方案應(yīng)急貫穿系統(tǒng)全生命周期：開(kāi)發(fā)/采辦階段實(shí)現(xiàn)階段運(yùn)行/維護(hù)階段22三、可信計(jì)算平臺(tái)是系統(tǒng)安全的必要條件三、可信計(jì)算平臺(tái)是系統(tǒng)安全的必要條件23隨著計(jì)算機(jī)的普及，安全問(wèn)題越來(lái)越突出，采取老三樣的堵漏洞、作高墻的方法來(lái)解決安全問(wèn)題，反而使問(wèn)題越來(lái)越多。因而可信計(jì)算平臺(tái)無(wú)疑是一種有效的解決辦法。其實(shí)這也不是什么突破性的東西，而是對(duì)安全本質(zhì)的一種回歸。隨著計(jì)算機(jī)的普及，安全問(wèn)題越來(lái)越突出，采取老三樣的堵漏洞、24可信計(jì)算平臺(tái)基于可信平臺(tái)模塊（TPM）,以密碼技術(shù)為支持、安全操作系統(tǒng)為核心（如圖所示）

安全應(yīng)用組件安全操作系統(tǒng)安全操作系統(tǒng)內(nèi)核密碼模塊協(xié)議棧主板可信BIOSTPM(密碼模塊芯片)圖：可信計(jì)算平臺(tái)可信計(jì)算平臺(tái)基于可信平臺(tái)模塊（TPM）,以密碼技術(shù)為支持、安25可信計(jì)算平臺(tái)具有以下功能：確保用戶唯一身份、權(quán)限、工作空間的完整性/可用性確保存儲(chǔ)、處理、傳輸?shù)臋C(jī)密性/完整性確保硬件環(huán)境配置、操作系統(tǒng)內(nèi)核、服務(wù)及應(yīng)用程序的完整性確保密鑰操作和存儲(chǔ)的安全確保系統(tǒng)具有免疫能力，從根本上阻止病毒和黑客等軟件攻擊做到非法人員進(jìn)不來(lái)、拿不走、看不懂、改不了、賴不掉可信計(jì)算平臺(tái)具有以下功能：26微軟下一代操作系統(tǒng)（Vista）已正式發(fā)布，其主要特點(diǎn)是全面采用可信計(jì)算技術(shù)提高其安全可控性，利用密碼技術(shù)把各種應(yīng)用綁定在它的平臺(tái)上，我們幾乎不可能修改、插入有利于安全的代碼。還是以防外部攻擊為目的，仍達(dá)不到防內(nèi)部攻擊的高安全等級(jí)要求。不是一個(gè)高安全等級(jí)的操作系統(tǒng)。信息安全保障建設(shè)中的課件27四、高安全等級(jí)系統(tǒng)軟件是信息安全的基礎(chǔ)四、高安全等級(jí)系統(tǒng)軟件是信息安全的基礎(chǔ)28確保國(guó)家機(jī)密應(yīng)以防內(nèi)為主，必須采用高安全等級(jí)的操作系統(tǒng)和數(shù)據(jù)庫(kù)實(shí)施安全等級(jí)保護(hù)需要采取細(xì)粒度強(qiáng)制訪問(wèn)控制、全程的密級(jí)標(biāo)識(shí)和嚴(yán)格的最小特權(quán)原則目前我們還沒(méi)有實(shí)施高安全等級(jí)的相應(yīng)技術(shù)和產(chǎn)品，一定要在系統(tǒng)內(nèi)核加強(qiáng)加固，力爭(zhēng)自主可控確保國(guó)家機(jī)密應(yīng)以防內(nèi)為主，必須采用高安全等級(jí)的操作系統(tǒng)和數(shù)據(jù)29滿足國(guó)家標(biāo)準(zhǔn)（GB-17859）中的三級(jí)系統(tǒng)能防內(nèi)部人員攻擊四級(jí)系統(tǒng)能防高手的攻擊五級(jí)能防內(nèi)外勾結(jié)的集團(tuán)性攻擊信息安全保障建設(shè)中的課件30商用的操作系統(tǒng)和數(shù)據(jù)庫(kù)不能防止內(nèi)部人員從系統(tǒng)底層讀取和修改重要數(shù)據(jù)，應(yīng)用軟件中各種安全措施都無(wú)效（如：高手竊密賣密案件的警示）。完全的物理隔離信息系統(tǒng)也存在泄密的隱通道（如：移動(dòng)存儲(chǔ)設(shè)備的信息擺渡問(wèn)題），必須從系統(tǒng)核心級(jí)防止。商用的操作系統(tǒng)和數(shù)據(jù)庫(kù)不能防止內(nèi)部人員從系統(tǒng)底層讀取和修改重31謝謝！謝謝！32信息安全保障建設(shè)中的

幾個(gè)焦點(diǎn)問(wèn)題國(guó)家信息化專家咨詢委員會(huì)委員沈昌祥院士信息安全保障建設(shè)中的

幾個(gè)焦點(diǎn)問(wèn)題國(guó)家信息化專家咨詢委員會(huì)委33內(nèi)容—————————————————————————一、信息安全等級(jí)劃分與保護(hù)二、等級(jí)保護(hù)與信息安全保障各環(huán)節(jié)的關(guān)系

三、可信計(jì)算平臺(tái)是系統(tǒng)級(jí)安全的必要條件四、高安全等級(jí)系統(tǒng)軟件是信息安全的基礎(chǔ)內(nèi)容34一、信息安全等級(jí)劃分

與保護(hù)一、信息安全等級(jí)劃分

與保護(hù)352004年9月15日由公安部、國(guó)家保密局、國(guó)家密碼管理局和國(guó)信辦聯(lián)合下發(fā)《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（66號(hào)文件），明確實(shí)施等級(jí)保護(hù)的基本做法。2007年6月22日又由四單位聯(lián)合下發(fā)《信息安全等級(jí)保護(hù)管理辦法》（43號(hào)文件），規(guī)范了信息安全等級(jí)保護(hù)的管理。信息安全保障建設(shè)中的課件36堅(jiān)持自主定級(jí)、自主保護(hù)原則。應(yīng)根據(jù)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，以及系統(tǒng)遭受破壞后的危害程度等因素確定等級(jí)。信息安全保障建設(shè)中的課件37等級(jí)劃分：等級(jí)合法權(quán)益社會(huì)秩序和公共利益國(guó)家安全損害嚴(yán)重?fù)p害損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害一級(jí)√二級(jí)√√三級(jí)√√四級(jí)√√五級(jí)√等級(jí)劃分：等級(jí)社會(huì)秩序和嚴(yán)重?fù)p害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害嚴(yán)重?fù)p害38等級(jí)劃分：等級(jí)合法權(quán)益社會(huì)秩序和公共利益國(guó)家安全損害嚴(yán)重?fù)p害損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害一級(jí)√二級(jí)√√三級(jí)√√四級(jí)√√五級(jí)√等級(jí)劃分：等級(jí)社會(huì)秩序和嚴(yán)重?fù)p害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害嚴(yán)重?fù)p害39等級(jí)劃分：等級(jí)合法權(quán)益社會(huì)秩序和公共利益國(guó)家安全損害嚴(yán)重?fù)p害損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害一級(jí)√二級(jí)√√三級(jí)√√四級(jí)√√五級(jí)√等級(jí)劃分：等級(jí)社會(huì)秩序和嚴(yán)重?fù)p害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害嚴(yán)重?fù)p害40等級(jí)分級(jí)保護(hù)保護(hù)級(jí)（GB17859)實(shí)施與管理一級(jí)自主保護(hù)自主訪問(wèn)主管部門審批自定二級(jí)指導(dǎo)保護(hù)審計(jì)（自主訪問(wèn)）主管部門審批公安備案三級(jí)監(jiān)督檢查標(biāo)記（強(qiáng)制訪問(wèn)）主管部門審批每年一次測(cè)評(píng)檢查四級(jí)強(qiáng)制監(jiān)督檢查結(jié)構(gòu)化保證專家委評(píng)審半年一次測(cè)評(píng)檢查五級(jí)專門監(jiān)督檢查實(shí)時(shí)監(jiān)控專家委評(píng)審專門檢查等級(jí)分級(jí)保護(hù)保護(hù)級(jí)（GB17859)實(shí)施與管理一級(jí)自主保護(hù)自41等級(jí)分級(jí)保護(hù)保護(hù)級(jí)（GB17859)實(shí)施與管理一級(jí)自主保護(hù)自主訪問(wèn)主管部門審批自定二級(jí)指導(dǎo)保護(hù)審計(jì)（自主訪問(wèn)）主管部門審批公安備案三級(jí)監(jiān)督檢查標(biāo)記（強(qiáng)制訪問(wèn)）主管部門審批每年一次測(cè)評(píng)檢查四級(jí)強(qiáng)制監(jiān)督檢查結(jié)構(gòu)化保證專家委評(píng)審半年一次測(cè)評(píng)檢查五級(jí)專門監(jiān)督檢查實(shí)時(shí)監(jiān)控專家委評(píng)審專門檢查等級(jí)分級(jí)保護(hù)保護(hù)級(jí)（GB17859)實(shí)施與管理一級(jí)自主保護(hù)自42等級(jí)分級(jí)保護(hù)保護(hù)級(jí)（GB17859)實(shí)施與管理一級(jí)自主保護(hù)自主訪問(wèn)主管部門審批自定二級(jí)指導(dǎo)保護(hù)審計(jì)（自主訪問(wèn)）主管部門審批公安備案三級(jí)監(jiān)督檢查標(biāo)記（強(qiáng)制訪問(wèn)）主管部門審批每年一次測(cè)評(píng)檢查四級(jí)強(qiáng)制監(jiān)督檢查結(jié)構(gòu)化保證專家委評(píng)審半年一次測(cè)評(píng)檢查五級(jí)專門監(jiān)督檢查實(shí)時(shí)監(jiān)控專家委評(píng)審專門檢查等級(jí)分級(jí)保護(hù)保護(hù)級(jí)（GB17859)實(shí)施與管理一級(jí)自主保護(hù)自43等級(jí)分級(jí)保護(hù)保護(hù)級(jí)（GB17859)實(shí)施與管理一級(jí)自主保護(hù)自主訪問(wèn)主管部門審批自定二級(jí)指導(dǎo)保護(hù)審計(jì)（自主訪問(wèn)）主管部門審批公安備案三級(jí)監(jiān)督檢查標(biāo)記（強(qiáng)制訪問(wèn)）主管部門審批每年一次測(cè)評(píng)檢查四級(jí)強(qiáng)制監(jiān)督檢查結(jié)構(gòu)化保證專家委評(píng)審半年一次測(cè)評(píng)檢查五級(jí)專門監(jiān)督檢查實(shí)時(shí)監(jiān)控專家委評(píng)審專門檢查等級(jí)分級(jí)保護(hù)保護(hù)級(jí)（GB17859)實(shí)施與管理一級(jí)自主保護(hù)自44等級(jí)分級(jí)保護(hù)保護(hù)級(jí)（GB17859)實(shí)施與管理一級(jí)自主保護(hù)自主訪問(wèn)主管部門審批自定二級(jí)指導(dǎo)保護(hù)審計(jì)（自主訪問(wèn)）主管部門審批公安備案三級(jí)監(jiān)督檢查標(biāo)記（強(qiáng)制訪問(wèn)）主管部門審批每年一次測(cè)評(píng)檢查四級(jí)強(qiáng)制監(jiān)督檢查結(jié)構(gòu)化保證專家委評(píng)審半年一次測(cè)評(píng)檢查五級(jí)專門監(jiān)督檢查實(shí)時(shí)監(jiān)控專家委評(píng)審專門檢查等級(jí)分級(jí)保護(hù)保護(hù)級(jí)（GB17859)實(shí)施與管理一級(jí)自主保護(hù)自45二、等級(jí)保護(hù)與信息安全

保障各環(huán)節(jié)的關(guān)系

二、等級(jí)保護(hù)與信息安全

保障各環(huán)節(jié)的關(guān)系

46等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、應(yīng)急處理和災(zāi)難恢復(fù)是信息安全保障的主要環(huán)節(jié)，對(duì)等于P.D.R.R模型的各要素。因此各環(huán)節(jié)應(yīng)前后聯(lián)接、融為一體。而現(xiàn)在往往各自獨(dú)立地制定標(biāo)準(zhǔn)、試點(diǎn)推廣，導(dǎo)致保障目標(biāo)混亂，保護(hù)策略相互沖突，達(dá)不到應(yīng)有效果，浪費(fèi)資源，增大保護(hù)成本。這種局面應(yīng)加以糾正，學(xué)術(shù)上應(yīng)重點(diǎn)研究各環(huán)節(jié)內(nèi)涵的一致性和外延的匹配性。信息安全保障建設(shè)中的課件47等級(jí)保護(hù)是以制度的方式確定保護(hù)對(duì)象的重要程度和要求，風(fēng)險(xiǎn)評(píng)估是檢測(cè)評(píng)估是否達(dá)到保護(hù)要求的度量工具，應(yīng)急處理是將剩余風(fēng)險(xiǎn)因突發(fā)事件引起損失降低到可接受程度的對(duì)應(yīng)手段。災(zāi)難恢復(fù)是針對(duì)發(fā)生災(zāi)難性破壞時(shí)所采取的由備份進(jìn)行恢復(fù)的措施。它們都是為使一個(gè)確定的保護(hù)對(duì)象的資產(chǎn)少受或不受損失所進(jìn)行的各個(gè)保障環(huán)節(jié)，缺一不可，單獨(dú)進(jìn)行也不成，必須從總體統(tǒng)一保障。等級(jí)保護(hù)是以制度的方式確定保護(hù)對(duì)象的重要程度和要求，風(fēng)險(xiǎn)評(píng)估48等級(jí)保護(hù)應(yīng)根據(jù)信息系統(tǒng)的綜合價(jià)值和綜合能力保證的要求不同以及安全性破壞造成損失大小來(lái)確定其相應(yīng)的保護(hù)等級(jí)。等級(jí)保護(hù)應(yīng)根據(jù)信息系統(tǒng)的綜合價(jià)值和綜合能力保證的要求不同以及49信息資產(chǎn)由價(jià)值表示，分為經(jīng)濟(jì)價(jià)值和社會(huì)價(jià)值。用下圖表示：經(jīng)濟(jì)價(jià)值社會(huì)價(jià)值綜合價(jià)值信息資產(chǎn)由價(jià)值表示，分為經(jīng)濟(jì)價(jià)值和社會(huì)價(jià)值。用下圖表示：經(jīng)濟(jì)50業(yè)務(wù)能力表現(xiàn)在信息服務(wù)上，分為服務(wù)范圍和連續(xù)性依賴程度。服務(wù)范圍連續(xù)性依賴綜合能力保證業(yè)務(wù)能力表現(xiàn)在信息服務(wù)上，分為服務(wù)范圍和連續(xù)性依賴程度。服務(wù)51降低威脅能力風(fēng)險(xiǎn)評(píng)估計(jì)算降低殘余風(fēng)險(xiǎn)：降低脆弱性新增或強(qiáng)化安全措施殘余風(fēng)險(xiǎn)能接受？降低負(fù)面影響維持是否降低威脅能力風(fēng)險(xiǎn)評(píng)估計(jì)算降低脆弱性新增或強(qiáng)化殘余風(fēng)險(xiǎn)能接受？52安全應(yīng)急恢復(fù)是一種降低殘余風(fēng)險(xiǎn)損失的協(xié)調(diào)過(guò)程，涉及到計(jì)劃、流程和技術(shù)措施，以使IT系統(tǒng)、運(yùn)行和數(shù)據(jù)在被破壞后能夠得到恢復(fù)。這涉及到法律、組織管理和技術(shù)支持等環(huán)節(jié)，首先要做好應(yīng)急規(guī)劃。安全應(yīng)急恢復(fù)是一種降低殘余風(fēng)險(xiǎn)損失的協(xié)調(diào)過(guò)程，涉及到計(jì)劃、流53應(yīng)急貫穿系統(tǒng)全生命周期：開(kāi)發(fā)/采辦階段實(shí)現(xiàn)階段運(yùn)行/維護(hù)階段啟動(dòng)階段廢棄階段進(jìn)行測(cè)試計(jì)劃的培訓(xùn)、演習(xí)隨時(shí)準(zhǔn)備恢復(fù)原系統(tǒng)確定應(yīng)急需求確定應(yīng)急方案應(yīng)急貫穿系統(tǒng)全生命周期：開(kāi)發(fā)/采辦階段實(shí)現(xiàn)階段運(yùn)行/維護(hù)階段54三、可信計(jì)算平臺(tái)是系統(tǒng)安全的必要條件三、可信計(jì)算平臺(tái)是系統(tǒng)安全的必要條件55隨著計(jì)算機(jī)的普及，安全問(wèn)題越來(lái)越突出，采取老三樣的堵漏洞、作高墻的方法來(lái)解決安全問(wèn)題，反而使問(wèn)題越來(lái)越多。因而可信計(jì)算平臺(tái)無(wú)疑是一種有效的解決辦法。其實(shí)這也不是什么突破性的東西，而是對(duì)安全本質(zhì)的一種回歸。隨著計(jì)算機(jī)的普及，安全問(wèn)題越來(lái)越突出，采取老三樣的堵漏洞、56可信計(jì)算平臺(tái)基于可信平臺(tái)模塊（TPM）,以密碼技術(shù)為支持、安全操作系統(tǒng)為核心（如圖所示）

安全應(yīng)用組件安全操作系統(tǒng)安全操作系統(tǒng)內(nèi)核密碼模塊協(xié)議棧主板可信BIOSTPM(密碼模塊芯片)圖：可信計(jì)算平