計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度

計(jì)算機(jī)信息系統(tǒng)

安全保護(hù)制度

第1頁，共48頁。1安全等級(jí)保護(hù)制度2信息流管理制度3計(jì)算機(jī)信息系統(tǒng)安全技術(shù)和專用產(chǎn)品管理制度4計(jì)算機(jī)案件報(bào)告制度2第2頁，共48頁。

1

安全等級(jí)保護(hù)制度

1.1信息的安全等級(jí)1.2計(jì)算機(jī)信息系統(tǒng)的安全等級(jí)

1.3計(jì)算機(jī)安全等級(jí)

1.4物理環(huán)境安全等級(jí)

3第3頁，共48頁。

1.1信息的安全等級(jí)

信息安全是指保護(hù)信息和信息系統(tǒng)，以避免未授權(quán)的訪問、使用、泄漏、破壞、修改或者銷毀，以確保信息的完整性、保密性和可用性。 －－《聯(lián)邦信息安全管理法案》(FISMA)，2002年3月

1安全等級(jí)保護(hù)制度4第4頁，共48頁。信息安全等級(jí)的具體劃分在不同的地方有不同的標(biāo)準(zhǔn)。主要從信息完整性、保密性和可用性三個(gè)方面綜合考慮為了保障計(jì)算機(jī)信息系統(tǒng)的安全，規(guī)范其應(yīng)用，促進(jìn)其發(fā)展，我國早在1994年就頒布了《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》。其中該條例第九條規(guī)定：“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)”，這是我國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的一項(xiàng)基本制度。1安全等級(jí)保護(hù)制度5第5頁，共48頁。由公安部、國家保密局、國際密碼管理委員會(huì)辦公室和國務(wù)院信息化工作辦公室共同制定的《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》中將信息和信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí)：第一級(jí)為自主保護(hù)級(jí)，適用于一般的信息和信息系統(tǒng)；第二級(jí)為指導(dǎo)保護(hù)級(jí)，適用于一定程度上涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng)；第三級(jí)為監(jiān)督保護(hù)級(jí)，適用于涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng)；第四級(jí)為強(qiáng)制保護(hù)級(jí)，適用于涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)；第五級(jí)為?？乇Ｗo(hù)級(jí)，適用于涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)。1安全等級(jí)保護(hù)制度6第6頁，共48頁。1信息保密安全等級(jí)1988年9月5日公布的《中華人民共和國保守國家秘密法》(簡稱《保密法》)，是我國目前還在使用的國家信息保密法規(guī)，其安全等級(jí)劃分適用于計(jì)算機(jī)信息保密安全。國家事務(wù)的重大決策中的秘密事項(xiàng)；國防建設(shè)和武裝力量活動(dòng)中的秘密事項(xiàng)；外交和外事活動(dòng)中的秘密事項(xiàng)；國民經(jīng)濟(jì)和社會(huì)發(fā)展中的秘密事項(xiàng)；科學(xué)技術(shù)中的秘密事項(xiàng)；維護(hù)國家安全活動(dòng)和追查刑事犯罪中的秘密事項(xiàng)；其他經(jīng)國家保密工作部門確定應(yīng)當(dāng)保守的秘密事項(xiàng)。《保密法》的第八條對(duì)國家秘密的解釋1安全等級(jí)保護(hù)制度7第7頁，共48頁。

《保密法》第九條清晰指出，“國家秘密的密級(jí)分為‘絕密、‘機(jī)密’、‘秘密’三級(jí)?！彼膭澐质菄颐孛軐?duì)于國家的安全和利益的重要程度。

密級(jí)重要性泄露后果絕密最重要特別嚴(yán)重?fù)p害機(jī)密重要嚴(yán)重?fù)p害秘密一般損害表信息保密安全等級(jí)1安全等級(jí)保護(hù)制度8第8頁，共48頁。2人員安全等級(jí)《保密法》第二十七條規(guī)定：“國家秘密應(yīng)當(dāng)根據(jù)需要，限于一定范圍的人員接觸。絕密級(jí)的國家秘密，經(jīng)過批準(zhǔn)的人員才能接觸?！薄侗Ｃ芊ā返诙藯l規(guī)定：“任用經(jīng)管國家秘密事項(xiàng)的專職人員，應(yīng)當(dāng)按照國家保密工作部門和人事主管部門的規(guī)定予以審查批準(zhǔn)?！边@些都是以法定形式出現(xiàn)的，行之有效的人員管理準(zhǔn)則。在實(shí)際的計(jì)算機(jī)信息操作中，人員安全等級(jí)的劃分主要表現(xiàn)在該人員對(duì)信息的訪問能力和操作情況。借助訪問的鑒別、控制機(jī)制等安全技術(shù)，可以控制不同的操作人員對(duì)系統(tǒng)的數(shù)據(jù)、功能之類等信息的讀、增、刪、改、復(fù)制等的操作能力。對(duì)同一信息，人員擁有的操作能力越高，則其安全等級(jí)也越高。1安全等級(jí)保護(hù)制度9第9頁，共48頁。1.2計(jì)算機(jī)信息系統(tǒng)的安全等級(jí)

計(jì)算機(jī)信息系統(tǒng)的安全的等級(jí)劃分與計(jì)算機(jī)信息的安全等級(jí)劃分有所不同，除了看該信息系統(tǒng)對(duì)國家、集體或個(gè)人的安全和利益的重要程度外，計(jì)算機(jī)實(shí)體本身的財(cái)產(chǎn)價(jià)值，崗位的重要程度等因素，也是一個(gè)劃分的重要依據(jù)。

1安全等級(jí)保護(hù)制度10第10頁，共48頁。安全等級(jí)系統(tǒng)安全一級(jí)系統(tǒng)安全二級(jí)系統(tǒng)安全三級(jí)系統(tǒng)安全四級(jí)系統(tǒng)安全五級(jí)1安全等級(jí)保護(hù)制度11第11頁，共48頁。系統(tǒng)安全一級(jí)存儲(chǔ)、處理和傳輸絕密信息的金融電子化系統(tǒng)。該系統(tǒng)中信息一旦泄露或破壞，會(huì)給國家安全和利益帶來特別嚴(yán)重的損害，對(duì)金融業(yè)造成巨大的經(jīng)濟(jì)損失。因此，系統(tǒng)應(yīng)能確保連續(xù)可用，不因局部的毀壞、故障、事故、差錯(cuò)造成系統(tǒng)效率的降低。系統(tǒng)安全二級(jí)存儲(chǔ)、處理和傳輸機(jī)密信息的金融電子化系統(tǒng)。該系統(tǒng)中信息一旦泄露或破壞，會(huì)給國家安全和利益帶來嚴(yán)重的損害，對(duì)金融業(yè)造成很大的經(jīng)濟(jì)損失。因此，系統(tǒng)應(yīng)能連續(xù)可用，局部的毀壞、故障、事故、差錯(cuò)雖然可能影響了系統(tǒng)的效率，但仍能正確運(yùn)行1安全等級(jí)保護(hù)制度12第12頁，共48頁。系統(tǒng)安全三級(jí)存儲(chǔ)、處理和傳輸秘密信息的金融電子化系統(tǒng)。該系統(tǒng)中信息一旦泄露或破壞，會(huì)使國家安全和利益遭受損害，金融業(yè)造成一定的經(jīng)濟(jì)損失。因此，系統(tǒng)應(yīng)能確保連續(xù)可用，不因局部的毀壞、故障、事故、差錯(cuò)造成系統(tǒng)效率的降低。系統(tǒng)安全四級(jí)存儲(chǔ)、處理和傳輸不屬于國際密級(jí)，但屬金融業(yè)內(nèi)部掌握、具有敏感性的金融電子化系統(tǒng)。該系統(tǒng)中的信息一旦泄露或破壞，會(huì)使銀行、證券交易商、保險(xiǎn)公司及其客戶陷入困境，甚至造成損失，使其社會(huì)聲譽(yù)受到損害，因此，系統(tǒng)應(yīng)有對(duì)局部毀壞、故障、事故、差錯(cuò)在短時(shí)間內(nèi)得到排除、糾正和恢復(fù)的能力。系統(tǒng)安全五級(jí)存儲(chǔ)、處理和傳輸不屬于以上保護(hù)級(jí)別的電子化系統(tǒng)。該系統(tǒng)的毀壞、故障、事故，可能會(huì)造成某些金融業(yè)務(wù)的停頓，影響某些金融業(yè)務(wù)的效率，但經(jīng)濟(jì)損失不大。1安全等級(jí)保護(hù)制度13第13頁，共48頁。1.3計(jì)算機(jī)安全等級(jí)

D類：屬非安全保護(hù)類，只一個(gè)級(jí)別。凡不滿足其他各級(jí)安全要求的，皆屬此級(jí)別。C類：為自主保護(hù)類，分為兩級(jí)（C1,C2)。B類：為強(qiáng)制保護(hù)類，分三級(jí)(B1,B2,B3)。A類：為驗(yàn)證保護(hù)級(jí)，擬分兩級(jí)(A1,超A1)。1安全等級(jí)保護(hù)制度14第14頁，共48頁。C類

C1級(jí)：具有一定的自主型存取控制（DAC）安全機(jī)制，系統(tǒng)能定期檢驗(yàn)可信計(jì)算機(jī)（TCB）的正確性，維護(hù)系統(tǒng)的完整性。C2級(jí)：具有以用戶為單位的DAC機(jī)制，能進(jìn)行審計(jì)。1安全等級(jí)保護(hù)制度15第15頁，共48頁。B類

B1級(jí)：引入強(qiáng)制存取控制（MAC）機(jī)制，并對(duì)主體和客體進(jìn)行安全級(jí)標(biāo)識(shí)，實(shí)施標(biāo)識(shí)管理。B2級(jí)：具有形式化安全模型，系統(tǒng)設(shè)計(jì)結(jié)構(gòu)化，MAC機(jī)制更趨完善，具備了最小特權(quán)管理，以及可信通道機(jī)制、隱通道分析和處理等。B3級(jí)：具有嚴(yán)格的系統(tǒng)結(jié)構(gòu)化設(shè)計(jì)和TCB最小復(fù)雜性設(shè)計(jì)，應(yīng)具備全面的存取控制的訪問監(jiān)控機(jī)制，以及審計(jì)實(shí)時(shí)報(bào)告機(jī)制等。1安全等級(jí)保護(hù)制度16第16頁，共48頁。A類A1級(jí)：具有系統(tǒng)形式化頂層設(shè)計(jì)說明（FTDS），并形式化驗(yàn)證FTDS與形式化模型的一致性，隱通道問題則用形式化技術(shù)解決等。超A1級(jí)：比A1級(jí)具有更高的安全可信度要求，這已超出了當(dāng)前的技術(shù)發(fā)展水平，有待進(jìn)一步描述。1安全等級(jí)保護(hù)制度17第17頁，共48頁。計(jì)算機(jī)安全等級(jí)的主要技術(shù)措施如右表序號(hào)安全技術(shù)措施適用的最低級(jí)別1鑒別使用口令登錄的各用戶C22維護(hù)用戶資格不受侵害B13能產(chǎn)生保持保護(hù)客體存取的審核蹤跡C24受權(quán)讀取審核蹤跡C25具有事件審核記錄C26用戶標(biāo)識(shí)符選擇C27安全狀況審核B18隱蔽該信道事件審核B29實(shí)時(shí)威脅監(jiān)控B310用戶存取控制C211存取標(biāo)準(zhǔn)鎖定C212存取授權(quán)限制C213存取控制表的存取方式和控制B314資源存儲(chǔ)區(qū)保護(hù)隔離C215地址空間進(jìn)程隔離B11安全等級(jí)保護(hù)制度18第18頁，共48頁。續(xù)上表16硬件積木化B217存儲(chǔ)區(qū)清除再使用C218正確標(biāo)識(shí)安全等級(jí)B119打印標(biāo)志B120級(jí)別信道路由指定B121多信道報(bào)文標(biāo)簽B122敏感標(biāo)志B123外部資源標(biāo)志B124動(dòng)態(tài)終端標(biāo)記B225安全、泄漏和完整性B126對(duì)外部用戶控制B227操作、管理人員分離B228管理活動(dòng)審核B329可注冊(cè)途徑B230安全級(jí)別變化可信途徑B231安全恢復(fù)B3序號(hào)安全技術(shù)措施適用的最低級(jí)別1安全等級(jí)保護(hù)制度19第19頁，共48頁。1.4物理環(huán)境安全等級(jí)計(jì)算機(jī)所運(yùn)行的物理環(huán)境主要是指計(jì)算機(jī)信息系統(tǒng)周邊的環(huán)境，即計(jì)算機(jī)信息系統(tǒng)場地。我國國家標(biāo)準(zhǔn)《計(jì)算站場地安全要求》（GB9361-88）和《計(jì)算站場地技術(shù)條件》（GB2887-89）對(duì)計(jì)算機(jī)場地安全要求，作了明確的等級(jí)規(guī)定。1安全等級(jí)保護(hù)制度20第20頁，共48頁。在《計(jì)算站場地安全要求》中，把計(jì)算機(jī)房分為3種基本安全類別：A類：對(duì)計(jì)算機(jī)房的安全有嚴(yán)格的要求，有完善的計(jì)算機(jī)房安全措施。B類：對(duì)計(jì)算機(jī)房的安全有較嚴(yán)格的要求，有完善的計(jì)算機(jī)房安全措施。C類：對(duì)計(jì)算機(jī)房的安全有基本的要求，有基本的計(jì)算機(jī)房安全措施。1安全等級(jí)保護(hù)制度21第21頁，共48頁。1計(jì)算機(jī)房溫濕度要求項(xiàng)目A級(jí)指標(biāo)B級(jí)指標(biāo)C級(jí)指標(biāo)溫度夏季22±2℃15~30℃10~35℃相對(duì)溫度45%~65%40%~70%30%~80%溫度變化率<5℃/h<10℃/h<15℃/h不凝露不凝露不凝露1安全等級(jí)保護(hù)制度22第22頁，共48頁。2計(jì)算機(jī)房供電要求

項(xiàng)目A類指標(biāo)B類指標(biāo)C類指標(biāo)電壓表動(dòng)率（%）-5~+5-10~+7-15~+10頻率變化（Hz）-0.2~+0.2-0.5~+0.5-1~+1波形失真率（%）≤±5≤±7≤±101安全等級(jí)保護(hù)制度23第23頁，共48頁。3計(jì)算機(jī)系統(tǒng)接地要求接地名稱作用接地電流接地電阻避雷地防雷擊（防建筑內(nèi)可免）極大<10交流電源中線人身及設(shè)備運(yùn)行安全大<18直流電源地人身及設(shè)備運(yùn)行安全大安全防護(hù)地人身安全大<18屏蔽地防信息泄漏、防干擾中或小<3或1信號(hào)地信息運(yùn)行安全小<3或11安全等級(jí)保護(hù)制度24第24頁，共48頁。2信息流管理制度

2.1信息流管理控制的相關(guān)概念2.2計(jì)算機(jī)信息媒體進(jìn)出境申報(bào)制度2.3計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法25第25頁，共48頁。2.1信息流管理控制的相關(guān)概念信息的流動(dòng)途徑信息的流動(dòng)方式有兩種：信息存儲(chǔ)在一些媒介上，如存在Ｕ盤里，手機(jī)上，再通過現(xiàn)代的通信方式或攜帶，郵寄，托運(yùn)等，導(dǎo)致信息的流動(dòng)； 信息也可以直接通過網(wǎng)絡(luò)傳輸，導(dǎo)致信息的流動(dòng)。我們?cè)陔娮由虅?wù)中所講的信息流通常情況講的就是后者。計(jì)算機(jī)互聯(lián)，網(wǎng)絡(luò)互聯(lián)的主要途徑是有線和無線兩種。有線方式是當(dāng)前我國網(wǎng)絡(luò)互聯(lián)的主要方式，或通過郵電部的分組交換網(wǎng)，或租用郵電部的國際專線來實(shí)現(xiàn)。2信息流管理制度26第26頁，共48頁。與國際聯(lián)網(wǎng)的單位類型根據(jù)《中國互聯(lián)網(wǎng)絡(luò)域名注冊(cè)暫行管理辦法》，我國互聯(lián)網(wǎng)絡(luò)的二級(jí)域名包括318個(gè)“行政區(qū)域名”和6個(gè)“類別域名”。我國境內(nèi)的計(jì)算機(jī)信息系統(tǒng)，通過物理通信信道，直接或間接與境外(含港、澳、臺(tái)地區(qū))計(jì)算機(jī)信息系統(tǒng)連接的，均屬于國際聯(lián)網(wǎng)的計(jì)算機(jī)信息系統(tǒng)。擁有這些系統(tǒng)購單位，大體上有：金融、經(jīng)貿(mào)、海運(yùn)、海關(guān)等國有單位、獨(dú)資、合資企業(yè)、外國駐華使(領(lǐng))館以及新聞代表機(jī)構(gòu)，還有與國際信息服務(wù)網(wǎng)相連接的用戶單位等。2信息流管理制度27第27頁，共48頁。網(wǎng)絡(luò)安全納入規(guī)范化、法制化管理的軌道針對(duì)當(dāng)前我國計(jì)算機(jī)信息網(wǎng)絡(luò)國家聯(lián)網(wǎng)安全保護(hù)工作的需要，為了加強(qiáng)計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)的安全保護(hù)管理，維護(hù)國家安全、社會(huì)穩(wěn)定和信息安全，保障公共秩序，促進(jìn)計(jì)算機(jī)信息系統(tǒng)的應(yīng)用發(fā)展，當(dāng)務(wù)之急是必須早日形成規(guī)范有序的信息出入國境的“口岸”。相關(guān)管理規(guī)范制度主要有：《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》、《公安部關(guān)于對(duì)與國際聯(lián)網(wǎng)的計(jì)算機(jī)信息系統(tǒng)進(jìn)行備案工作的通知》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《計(jì)算機(jī)信息媒體進(jìn)出境申報(bào)制度》,還有國務(wù)院信息化工作領(lǐng)導(dǎo)小組發(fā)布的《中國互聯(lián)網(wǎng)絡(luò)域名注冊(cè)暫行管理辦法》和《中國互聯(lián)網(wǎng)絡(luò)域名注冊(cè)實(shí)施細(xì)則》等。2信息流管理制度28第28頁，共48頁。2.2計(jì)算機(jī)信息媒體進(jìn)出境申報(bào)制度1計(jì)算機(jī)信息媒體的相關(guān)概念計(jì)算機(jī)信息媒體主要是指具有存儲(chǔ)功能的集成電路存儲(chǔ)器、磁盤、磁帶、光盤等，它們可以存儲(chǔ)各種形式的信息，如文字、圖形、聲音、圖像、視頻、動(dòng)畫等等。出境的信息媒體，有可能造成有損專利、版權(quán)、機(jī)密及其他重要信息的有害外流；入境的信息媒體，有可能造成有害信息在國內(nèi)的傳播。計(jì)算機(jī)信息媒體有其自身的許多特點(diǎn)，所攜帶的信息量可能相當(dāng)大；體積小，便于攜帶；復(fù)制方便；其中的信息往往能以壓縮或加密等方式出現(xiàn)，不易直接讀出其中內(nèi)容；內(nèi)容所涉及的專業(yè)較廣，其中的內(nèi)容和性質(zhì)等往往需要專業(yè)人員協(xié)助才能進(jìn)行鑒別；分析鑒別往往需要相應(yīng)的檢測設(shè)備、檢測環(huán)境條件、及不定期的分析方法，耗費(fèi)時(shí)間等。2信息流管理制度29第29頁，共48頁。2計(jì)算機(jī)信息媒體出入境的一般處理(1)申報(bào)。一般由信息媒體擁有者向海關(guān)和公安機(jī)關(guān)主管部門如實(shí)申報(bào)。有交接關(guān)系的，可委托境內(nèi)收方協(xié)助申報(bào)或代理申報(bào)。(2)檢測。由公安機(jī)關(guān)主管部門主持安排實(shí)施，檢測完畢，做出準(zhǔn)予報(bào)送與否決定。(3)報(bào)送。海關(guān)查驗(yàn)屬實(shí)放行。未經(jīng)公安機(jī)關(guān)檢測或媒體發(fā)生替換的，不予放行。(4)其他。臨時(shí)報(bào)關(guān)的，一般應(yīng)扣留待查。如有擔(dān)保條件的，則可留下原件待查，放行副本。2信息流管理制度30第30頁，共48頁。2.3計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法

1997年國務(wù)院批準(zhǔn)公安部公布了《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》，使我國國際信息網(wǎng)絡(luò)互聯(lián)的信息流安全管理正式納入了法制化和規(guī)范化的軌道，其內(nèi)容包括：制定《辦法》的基本指導(dǎo)思想《辦法》禁止的活動(dòng)和內(nèi)容安全責(zé)任公安機(jī)關(guān)計(jì)算機(jī)管理監(jiān)察機(jī)構(gòu)的職責(zé)2信息流管理制度31第31頁，共48頁。

3計(jì)算機(jī)信息系統(tǒng)安全技術(shù)

和專用產(chǎn)品管理制度

3.1計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品的有關(guān)概念3.2計(jì)算機(jī)安全專用產(chǎn)品管理的一般原則3.3計(jì)算機(jī)安全專用產(chǎn)品的管理制度32第32頁，共48頁。3.1計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品的有關(guān)概念

1

計(jì)算機(jī)安全專用產(chǎn)品的分類計(jì)算機(jī)安全專用產(chǎn)品是指用于保護(hù)計(jì)算機(jī)信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品。計(jì)算機(jī)安全專用產(chǎn)品分為三大類：實(shí)體安全專用產(chǎn)品、運(yùn)行安全專用產(chǎn)品和信息安全專用產(chǎn)品，每一個(gè)大類下又細(xì)分了小類，詳見下頁表。3計(jì)算機(jī)信息系統(tǒng)安全技術(shù)

和專用產(chǎn)品管理制度33第33頁，共48頁。

A類A類實(shí)體安全A10類環(huán)境安全A11類受災(zāi)保護(hù)A12類受災(zāi)恢復(fù)計(jì)劃輔助軟件A13類區(qū)域保護(hù)A20類設(shè)備安全A21類設(shè)備防盜A22類設(shè)備防毀A23類防止電磁信息泄漏A24類防止線路截獲A25類抗電磁干擾A26類電源保護(hù)A30類媒體安全A31類媒體安全A32類媒體數(shù)據(jù)安全3計(jì)算機(jī)信息系統(tǒng)安全技術(shù)

和專用產(chǎn)品管理制度34第34頁，共48頁。B類B類運(yùn)行安全B10類風(fēng)險(xiǎn)分析B20類審計(jì)跟蹤B30類備份與恢復(fù)B40類應(yīng)急B41類應(yīng)急計(jì)劃輔助軟件B42類應(yīng)急措施3計(jì)算機(jī)信息系統(tǒng)安全技術(shù)

和專用產(chǎn)品管理制度35第35頁，共48頁。 C類C類信息安全C10類操作系統(tǒng)安全C11類安全操作系統(tǒng)C12類操作系統(tǒng)安全部件C20類數(shù)據(jù)庫安全C21類安全數(shù)據(jù)庫系統(tǒng)C22類數(shù)據(jù)庫系統(tǒng)安全部件C30類網(wǎng)絡(luò)安全C31類網(wǎng)絡(luò)安全管理C32類安全網(wǎng)絡(luò)系統(tǒng)C33類網(wǎng)絡(luò)系統(tǒng)安全部件C40類計(jì)算機(jī)病毒防護(hù)C41類單機(jī)系統(tǒng)病毒防護(hù)C42類網(wǎng)絡(luò)系統(tǒng)病毒防護(hù)C50類訪問控制C51類出入控制C52類存儲(chǔ)控制C60類密碼C61類加密設(shè)備C62類密鑰管理C70類鑒別C71類身份鑒別C72類完整性鑒別C73類不可否認(rèn)鑒別3計(jì)算機(jī)信息系統(tǒng)安全技術(shù)

和專用產(chǎn)品管理制度36第36頁，共48頁。3.2計(jì)算機(jī)安全專用產(chǎn)品管理的一般原則堅(jiān)持獨(dú)立自主的原則堅(jiān)持規(guī)范化、法制化管理原則3計(jì)算機(jī)信息系統(tǒng)安全技術(shù)

和專用產(chǎn)品管理制度37第37頁，共48頁。3.3計(jì)算機(jī)安全專用產(chǎn)品的管理制度計(jì)算機(jī)安全專用產(chǎn)品的管理應(yīng)該涵蓋從開發(fā)到銷售、使用等整個(gè)周期的過程，由于我國目前立法還不完善，安全專用產(chǎn)品的管理制度還不能完全覆蓋整個(gè)周期。以《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》為例，其內(nèi)容包括：《許可證辦法》的適用范圍檢測機(jī)構(gòu)檢測辦法銷售許可銷售許可中的違法行為3計(jì)算機(jī)信息系統(tǒng)安全技術(shù)

和專用產(chǎn)品管理制度38第38頁，共48頁。4計(jì)算機(jī)案件報(bào)告制度

4.1計(jì)算機(jī)安全事件的相關(guān)概念4.2計(jì)算機(jī)安全事件報(bào)告內(nèi)容39第39頁，共48頁。

4.1計(jì)算機(jī)安全事件的相關(guān)概念1計(jì)算機(jī)安全事件的定義

計(jì)算機(jī)安全事件是指對(duì)計(jì)算機(jī)信息系統(tǒng)的可用性、完整性、保密性、真實(shí)性、可核查性和可靠性等造成危害的事件，或者是在計(jì)算機(jī)信息系統(tǒng)發(fā)生的對(duì)社會(huì)造成負(fù)面影響的其他事件。它的主體是計(jì)算機(jī)安全事件的制造者或造成計(jì)算機(jī)安全事件的最終原因。它的客體是受計(jì)算機(jī)安全事件影響或發(fā)生計(jì)算機(jī)安全事件的計(jì)算機(jī)信息系統(tǒng)。具體地說，計(jì)算機(jī)安全事件的客體可分為信息系統(tǒng)、信息內(nèi)容和網(wǎng)絡(luò)基礎(chǔ)設(shè)施三大類。

4計(jì)算機(jī)案件報(bào)告制度

40第40頁，共48頁。

2計(jì)算機(jī)安全事件的分級(jí)

根據(jù)計(jì)算機(jī)安全事件所造成后果的嚴(yán)重程度，計(jì)算機(jī)安全事件可劃分為5個(gè)等級(jí)。其中1級(jí)危害程度最高，5級(jí)危害程度最低，如右圖。3級(jí)和3級(jí)以上的計(jì)算機(jī)安全事件稱為重大信息安全事件。分級(jí)分級(jí)內(nèi)容1級(jí)本級(jí)計(jì)算機(jī)安全事件對(duì)計(jì)算機(jī)信息系統(tǒng)所承載的業(yè)務(wù)、事發(fā)單位利益以及社會(huì)公共利益有災(zāi)難性的影響或破壞，對(duì)社會(huì)穩(wěn)定和國家安全產(chǎn)生災(zāi)難性的危害；2級(jí)本級(jí)計(jì)算機(jī)安全事件對(duì)計(jì)算機(jī)信息系統(tǒng)所承載的業(yè)務(wù)、事發(fā)單位利益以及社會(huì)公共利益有極其嚴(yán)重的影響或破壞，對(duì)社會(huì)穩(wěn)定、國家安全造成嚴(yán)重危害；3級(jí)本級(jí)計(jì)算機(jī)安全事件對(duì)計(jì)算機(jī)信息系統(tǒng)所承載的業(yè)務(wù)、事發(fā)單位利益以及社會(huì)公共利益有較為嚴(yán)重的影響或破壞，對(duì)社會(huì)穩(wěn)定、國家安全產(chǎn)生一定危害；4級(jí)本級(jí)計(jì)算機(jī)安全事件對(duì)計(jì)算機(jī)信息系統(tǒng)所承載的業(yè)務(wù)以及事發(fā)單位利益有一定的影響或破壞；5級(jí)本級(jí)計(jì)算機(jī)安全事件對(duì)計(jì)算機(jī)信息系統(tǒng)所承載的業(yè)務(wù)以及事發(fā)單位利益基本不影響或損害極小。4計(jì)算機(jī)案件報(bào)告制度

41第41頁，共48頁。3計(jì)算機(jī)安全事件分級(jí)規(guī)范信息密級(jí)級(jí)別信息密級(jí)1級(jí)明確標(biāo)注有“絕密”的信息失竊或泄密2級(jí)明確標(biāo)注有“機(jī)密”的信息失竊或泄密3級(jí)明確標(biāo)注有“秘密”的信息失竊或泄密4級(jí)本單位的工作秘密信息失竊或泄密5級(jí)本單位敏感信息或個(gè)人隱私信息的失竊或泄密4計(jì)算機(jī)案件報(bào)告制度

42第42頁，共48頁。公眾影響公眾影響分級(jí)規(guī)范

發(fā)生時(shí)間影響范圍和程度敏感時(shí)期平常時(shí)期對(duì)國家安全造成影響的計(jì)算機(jī)安全事件1~2級(jí)2~3級(jí)對(duì)社會(huì)穩(wěn)定造成影響的計(jì)算機(jī)安全事件1~2級(jí)2~3級(jí)對(duì)事發(fā)單位的正常工作秩序、單位的形象和聲譽(yù)等造成影響的計(jì)算機(jī)安全事件3~4級(jí)4級(jí)只對(duì)事發(fā)單位部分人員的正常工作秩序造成影響的計(jì)算機(jī)安全事件4~5級(jí)5級(jí)4計(jì)算機(jī)案件報(bào)告制度

43第43頁，共48頁。業(yè)務(wù)影響業(yè)務(wù)影響分級(jí)規(guī)范中斷時(shí)間信息系統(tǒng)安全等級(jí)4小時(shí)以內(nèi)4小時(shí)（含）以上，8小時(shí)以內(nèi)8小時(shí)（含）以上52~3級(jí)1~2級(jí)1~2級(jí)42~3級(jí)1~2級(jí)1~2級(jí)33~4級(jí)2~3級(jí)1~2級(jí)24~5級(jí)3~4級(jí)3級(jí)15級(jí)4~5級(jí)3~4級(jí)4計(jì)算機(jī)案件報(bào)告制度

44第44頁，共48頁。資產(chǎn)損失資產(chǎn)損失分級(jí)規(guī)范級(jí)別合計(jì)資產(chǎn)損失（人民幣）1級(jí)1000萬元（含）以上2級(jí)300萬元（含）~1000萬元之間3級(jí)50萬（含）~300萬元之間4級(jí)5萬元（含）~50萬元之間5級(jí)5萬元以下4