版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
第13章 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度
1計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第1頁(yè)13.1安全等級(jí)保護(hù)制度13.2信息流管理制度13.3計(jì)算機(jī)信息系統(tǒng)安全技術(shù)和專用產(chǎn)品管理制度13.4計(jì)算機(jī)案件匯報(bào)制度13.5軟件安全技術(shù)第13章計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度
2計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第2頁(yè)
13.1
安全等級(jí)保護(hù)制度
13.1.1信息安全等級(jí)
13.1.2計(jì)算機(jī)信息系統(tǒng)安全等級(jí)
13.1.3計(jì)算機(jī)安全等級(jí)
13.1.4物理環(huán)境安全等級(jí)
返回3計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第3頁(yè)
13.1.1信息安全等級(jí)
信息安全是指保護(hù)信息和信息系統(tǒng),以防止未授權(quán)訪問、使用、泄漏、破壞、修改或者銷毀,以確保信息完整性、保密性和可用性。 --《聯(lián)邦信息安全管理法案》(FISMA),3月13.1安全等級(jí)保護(hù)制度返回4計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第4頁(yè)信息安全等級(jí)詳細(xì)劃分在不一樣地方有不一樣標(biāo)準(zhǔn)。主要從信息完整性、保密性和可用性三個(gè)方面綜合考慮為了保障計(jì)算機(jī)信息系統(tǒng)安全,規(guī)范其應(yīng)用,促進(jìn)其發(fā)展,我國(guó)早在1994年就頒布了《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》。其中該條例第九條要求:“計(jì)算機(jī)信息系統(tǒng)實(shí)施安全等級(jí)保護(hù)”,這是我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)一項(xiàng)基本制度。13.1安全等級(jí)保護(hù)制度5計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第5頁(yè)由公安部、國(guó)家保密局、國(guó)際密碼管理委員會(huì)辦公室和國(guó)務(wù)院信息化工作辦公室共同制訂《關(guān)于信息安全等級(jí)保護(hù)工作實(shí)施意見》中將信息和信息系統(tǒng)安全保護(hù)等級(jí)分為五級(jí):第一級(jí)為自主保護(hù)級(jí),適合用于普通信息和信息系統(tǒng);第二級(jí)為指導(dǎo)保護(hù)級(jí),適合用于一定程度上包括國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益普通信息和信息系統(tǒng);第三級(jí)為監(jiān)督保護(hù)級(jí),適合用于包括國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益信息和信息系統(tǒng);第四級(jí)為強(qiáng)制保護(hù)級(jí),適合用于包括國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益主要信息和信息系統(tǒng);第五級(jí)為專控保護(hù)級(jí),適合用于包括國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益主要信息和信息系統(tǒng)關(guān)鍵子系統(tǒng)。13.1安全等級(jí)保護(hù)制度6計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第6頁(yè)1信息保密安全等級(jí)1988年9月5日公布《中華人民共和國(guó)保守國(guó)家秘密法》(簡(jiǎn)稱《保密法》),是我國(guó)當(dāng)前還在使用國(guó)家信息保密法規(guī),其安全等級(jí)劃分適合用于計(jì)算機(jī)信息保密安全。國(guó)家事務(wù)重大決議中秘密事項(xiàng);國(guó)防建設(shè)和武裝力量活動(dòng)中秘密事項(xiàng);外交和外事活動(dòng)中秘密事項(xiàng);國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展中秘密事項(xiàng);科學(xué)技術(shù)中秘密事項(xiàng);維護(hù)國(guó)家安全活動(dòng)和追查刑事犯罪中秘密事項(xiàng);其它經(jīng)國(guó)家保密工作部門確定應(yīng)該保守秘密事項(xiàng)?!侗C芊ā返诎藯l對(duì)國(guó)家秘密解釋13.1安全等級(jí)保護(hù)制度7計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第7頁(yè)
《保密法》第九條清楚指出,“國(guó)家秘密密級(jí)分為‘絕密、‘機(jī)密’、‘秘密’三級(jí)?!彼鼊澐质菄?guó)家秘密對(duì)于國(guó)家安全和利益主要程度。
密級(jí)主要性泄露后果絕密最主要尤其嚴(yán)重?fù)p害機(jī)密主要嚴(yán)重?fù)p害秘密普通損害表信息保密安全等級(jí)13.1安全等級(jí)保護(hù)制度8計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第8頁(yè)2人員安全等級(jí)《保密法》第二十七條要求:“國(guó)家秘密應(yīng)該依據(jù)需要,限于一定范圍人員接觸。絕密級(jí)國(guó)家秘密,經(jīng)過同意人員才能接觸。”《保密法》第二十八條要求:“任用經(jīng)管國(guó)家秘密事項(xiàng)專職人員,應(yīng)該按照國(guó)家保密工作部門和人事主管部門要求給予審查同意?!边@些都是以法定形式出現(xiàn),行之有效人員管理準(zhǔn)則。在實(shí)際計(jì)算機(jī)信息操作中,人員安全等級(jí)劃分主要表現(xiàn)在該人員對(duì)信息訪問能力和操作情況。借助訪問判別、控制機(jī)制等安全技術(shù),能夠控制不一樣操作人員對(duì)系統(tǒng)數(shù)據(jù)、功效之類等信息讀、增、刪、改、復(fù)制等操作能力。對(duì)同一信息,人員擁有操作能力越高,則其安全等級(jí)也越高。13.1安全等級(jí)保護(hù)制度9計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第9頁(yè)13.1.2計(jì)算機(jī)信息系統(tǒng)安全等級(jí)
計(jì)算機(jī)信息系統(tǒng)安全等級(jí)劃分與計(jì)算機(jī)信息安全等級(jí)劃分有所不一樣,除了看該信息系統(tǒng)對(duì)國(guó)家、集體或個(gè)人安全和利益主要程度外,計(jì)算機(jī)實(shí)體本身財(cái)產(chǎn)價(jià)值,崗位主要程度等原因,也是一個(gè)劃分主要依據(jù)。
13.1安全等級(jí)保護(hù)制度返回10計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第10頁(yè)金融電子化系統(tǒng)安全等級(jí)系統(tǒng)安全一級(jí)系統(tǒng)安全二級(jí)系統(tǒng)安全三級(jí)系統(tǒng)安全四級(jí)系統(tǒng)安全五級(jí)13.1安全等級(jí)保護(hù)制度11計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第11頁(yè)系統(tǒng)安全一級(jí)存放、處理和傳輸絕密信息金融電子化系統(tǒng)。該系統(tǒng)中信息一旦泄露或破壞,會(huì)給國(guó)家安全和利益帶來尤其嚴(yán)重?fù)p害,對(duì)金融業(yè)造成巨大經(jīng)濟(jì)損失。所以,系統(tǒng)應(yīng)能確保連續(xù)可用,不因局部毀壞、故障、事故、差錯(cuò)造成系統(tǒng)效率降低。系統(tǒng)安全二級(jí)存放、處理和傳輸機(jī)密信息金融電子化系統(tǒng)。該系統(tǒng)中信息一旦泄露或破壞,會(huì)給國(guó)家安全和利益帶來嚴(yán)重?fù)p害,對(duì)金融業(yè)造成很大經(jīng)濟(jì)損失。所以,系統(tǒng)應(yīng)能連續(xù)可用,局部毀壞、故障、事故、差錯(cuò)即使可能影響了系統(tǒng)效率,但仍能正確運(yùn)行13.1安全等級(jí)保護(hù)制度12計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第12頁(yè)系統(tǒng)安全三級(jí)存放、處理和傳輸秘密信息金融電子化系統(tǒng)。該系統(tǒng)中信息一旦泄露或破壞,會(huì)使國(guó)家安全和利益遭受損害,金融業(yè)造成一定經(jīng)濟(jì)損失。所以,系統(tǒng)應(yīng)能確保連續(xù)可用,不因局部毀壞、故障、事故、差錯(cuò)造成系統(tǒng)效率降低。系統(tǒng)安全四級(jí)存放、處理和傳輸不屬于國(guó)際密級(jí),但屬金融業(yè)內(nèi)部掌握、含有敏感性金融電子化系統(tǒng)。該系統(tǒng)中信息一旦泄露或破壞,會(huì)使銀行、證券交易商、保險(xiǎn)企業(yè)及其客戶陷入困境,甚至造成損失,使其社會(huì)聲譽(yù)受到損害,所以,系統(tǒng)應(yīng)有對(duì)局部毀壞、故障、事故、差錯(cuò)在短時(shí)間內(nèi)得到排除、糾正和恢復(fù)能力。系統(tǒng)安全五級(jí)存放、處理和傳輸不屬于以上保護(hù)級(jí)別電子化系統(tǒng)。該系統(tǒng)毀壞、故障、事故,可能會(huì)造成一些金融業(yè)務(wù)停頓,影響一些金融業(yè)務(wù)效率,但經(jīng)濟(jì)損失不大。13.1安全等級(jí)保護(hù)制度13計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第13頁(yè)13.1.3計(jì)算機(jī)安全等級(jí)
D類:屬非安全保護(hù)類,只一個(gè)級(jí)別。凡不滿足其它各級(jí)安全要求,皆屬此級(jí)別。C類:為自主保護(hù)類,分為兩級(jí)(C1,C2)。B類:為強(qiáng)制保護(hù)類,分三級(jí)(B1,B2,B3)。A類:為驗(yàn)證保護(hù)級(jí),擬分兩級(jí)(A1,超A1)。13.1安全等級(jí)保護(hù)制度返回14計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第14頁(yè)C類
C1級(jí):含有一定自主型存取控制(DAC)安全機(jī)制,系統(tǒng)能定時(shí)檢驗(yàn)可信計(jì)算基(TCB)正確性,維護(hù)系統(tǒng)完整性。C2級(jí):含有以用戶為單位DAC機(jī)制,能進(jìn)行審計(jì)。13.1安全等級(jí)保護(hù)制度15計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第15頁(yè)B類
B1級(jí):引入強(qiáng)制存取控制(MAC)機(jī)制,并對(duì)主體和客體進(jìn)行安全級(jí)標(biāo)識(shí),實(shí)施標(biāo)識(shí)管理。B2級(jí):含有形式化安全模型,系統(tǒng)設(shè)計(jì)結(jié)構(gòu)化,MAC機(jī)制更趨完善,具備了最小特權(quán)管理,以及可信通道機(jī)制、隱通道分析和處理等。B3級(jí):含有嚴(yán)格系統(tǒng)結(jié)構(gòu)化設(shè)計(jì)和TCB最小復(fù)雜性設(shè)計(jì),應(yīng)具備全方面存取控制訪問監(jiān)控機(jī)制,以及審計(jì)實(shí)時(shí)匯報(bào)機(jī)制等。13.1安全等級(jí)保護(hù)制度16計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第16頁(yè)A類A1級(jí):含有系統(tǒng)形式化頂層設(shè)計(jì)說明(FTDS),并形式化驗(yàn)證FTDS與形式化模型一致性,隱通道問題則用形式化技術(shù)處理等。超A1級(jí):比A1級(jí)含有更高安全可信度要求,這已超出了當(dāng)前技術(shù)發(fā)展水平,有待深入描述。13.1安全等級(jí)保護(hù)制度17計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第17頁(yè)計(jì)算機(jī)安全等級(jí)主要技術(shù)辦法如右表序號(hào)安全技術(shù)方法適用最低級(jí)別1判別使用口令登錄各用戶C22維護(hù)用戶資格不受侵害B13能產(chǎn)生保持保護(hù)客體存取審核蹤跡C24受權(quán)讀取審核蹤跡C25含有事件審核統(tǒng)計(jì)C26用戶標(biāo)識(shí)符選擇C27安全情況審核B18隱蔽該信道事件審核B29實(shí)時(shí)威脅監(jiān)控B310用戶存取控制C211存取標(biāo)準(zhǔn)鎖定C212存取授權(quán)限制C213存取控制表存取方式和控制B314資源存放區(qū)保護(hù)隔離C215地址空間進(jìn)程隔離B113.1安全等級(jí)保護(hù)制度18計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第18頁(yè)續(xù)上表16硬件積木化B217存放區(qū)去除再使用C218正確標(biāo)識(shí)安全等級(jí)B119打印標(biāo)志B120級(jí)別信道路由指定B121多信道報(bào)文標(biāo)簽B122敏感標(biāo)志B123外部資源標(biāo)志B124動(dòng)態(tài)終端標(biāo)識(shí)B225安全、泄漏和完整性B126對(duì)外部用戶控制B227操作、管理人員分離B228管理活動(dòng)審核B329可注冊(cè)路徑B230安全級(jí)別改變可信路徑B231安全恢復(fù)B3序號(hào)安全技術(shù)方法適用最低級(jí)別13.1安全等級(jí)保護(hù)制度19計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第19頁(yè)13.1.4物理環(huán)境安全等級(jí)計(jì)算機(jī)所運(yùn)行物理環(huán)境主要是指計(jì)算機(jī)信息系統(tǒng)周圍環(huán)境,即計(jì)算機(jī)信息系統(tǒng)場(chǎng)地。我國(guó)國(guó)家標(biāo)準(zhǔn)《計(jì)算站場(chǎng)地安全要求》(GB9361-88)和《計(jì)算站場(chǎng)地技術(shù)條件》(GB2887-89)對(duì)計(jì)算機(jī)場(chǎng)地安全要求,作了明確等級(jí)要求。13.1安全等級(jí)保護(hù)制度返回20計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第20頁(yè)在《計(jì)算站場(chǎng)地安全要求》中,把計(jì)算機(jī)房分為3種基本安全類別:A類:對(duì)計(jì)算機(jī)房安全有嚴(yán)格要求,有完善計(jì)算機(jī)房安全辦法。B類:對(duì)計(jì)算機(jī)房安全有較嚴(yán)格要求,有完善計(jì)算機(jī)房安全辦法。C類:對(duì)計(jì)算機(jī)房安全有基本要求,有基本計(jì)算機(jī)房安全辦法。13.1安全等級(jí)保護(hù)制度21計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第21頁(yè)1計(jì)算機(jī)房溫濕度要求項(xiàng)目A級(jí)指標(biāo)B級(jí)指標(biāo)C級(jí)指標(biāo)溫度夏季22±2℃15~30℃10~35℃相對(duì)溫度45%~65%40%~70%30%~80%溫度改變率<5℃/h<10℃/h<15℃/h不凝露不凝露不凝露13.1安全等級(jí)保護(hù)制度22計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第22頁(yè)2計(jì)算機(jī)房供電要求
項(xiàng)目A類指標(biāo)B類指標(biāo)C類指標(biāo)電壓表動(dòng)率(%)-5~+5-10~+7-15~+10頻率改變(Hz)-0.2~+0.2-0.5~+0.5-1~+1波形失真率(%)≤±5≤±7≤±1013.1安全等級(jí)保護(hù)制度23計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第23頁(yè)3計(jì)算機(jī)系統(tǒng)接地要求接地名稱作用接地電流接地電阻避雷地防雷擊(防建筑內(nèi)可免)極大<10交流電源中線人身及設(shè)備運(yùn)行安全大<18直流電源地人身及設(shè)備運(yùn)行安全大安全防護(hù)地人身安全大<18屏蔽地防信息泄漏、防干擾中或小<3或1信號(hào)地信息運(yùn)行安全小<3或113.1安全等級(jí)保護(hù)制度24計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第24頁(yè)13.2信息流管理制度
13.2.1信息流管理控制相關(guān)概念13.2.2計(jì)算機(jī)信息媒體進(jìn)出境申報(bào)制度13.2.3計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理方法返回25計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第25頁(yè)13.2.1信息流管理控制相關(guān)概念信息流動(dòng)路徑信息流動(dòng)方式有兩種:信息存放在一些媒介上,如存在U盤里,手機(jī)上,再經(jīng)過當(dāng)代通信方式或攜帶,郵寄,托運(yùn)等,造成信息流動(dòng); 信息也能夠直接經(jīng)過網(wǎng)絡(luò)傳輸,造成信息流動(dòng)。我們?cè)陔娮由虅?wù)中所講信息流通常情況講就是后者。計(jì)算機(jī)互聯(lián),網(wǎng)絡(luò)互聯(lián)主要路徑是有線和無(wú)線兩種。有線方式是當(dāng)前我國(guó)網(wǎng)絡(luò)互聯(lián)主要方式,或經(jīng)過郵電部分組交換網(wǎng),或租用郵電部國(guó)際專線來實(shí)現(xiàn)。13.2信息流管理制度返回26計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第26頁(yè)與國(guó)際聯(lián)網(wǎng)單位類型依據(jù)《中國(guó)互聯(lián)網(wǎng)絡(luò)域名注冊(cè)暫行管理方法》,我國(guó)互聯(lián)網(wǎng)絡(luò)二級(jí)域名包含318個(gè)“行政區(qū)域名”和6個(gè)“類別域名”。我國(guó)境內(nèi)計(jì)算機(jī)信息系統(tǒng),經(jīng)過物理通信信道,直接或間接與境外(含港、澳、臺(tái)地域)計(jì)算機(jī)信息系統(tǒng)連接,均屬于國(guó)際聯(lián)網(wǎng)計(jì)算機(jī)信息系統(tǒng)。擁有這些系統(tǒng)購(gòu)單位,大致上有:金融、經(jīng)貿(mào)、海運(yùn)、海關(guān)等國(guó)有單位、獨(dú)資、合資企業(yè)、外國(guó)駐華使(領(lǐng))館以及新聞代表機(jī)構(gòu),還有與國(guó)際信息服務(wù)網(wǎng)相連接用戶單位等。13.2信息流管理制度27計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第27頁(yè)網(wǎng)絡(luò)安全納入規(guī)范化、法制化管理軌道針對(duì)當(dāng)前我國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)家聯(lián)網(wǎng)安全保護(hù)工作需要,為了加強(qiáng)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理,維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和信息安全,保障公共秩序,促進(jìn)計(jì)算機(jī)信息系統(tǒng)應(yīng)用發(fā)展,當(dāng)務(wù)之急是必須早日形成規(guī)范有序信息出入國(guó)境“口岸”。相關(guān)管理規(guī)范制度主要有:《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行要求》、《公安部關(guān)于對(duì)與國(guó)際聯(lián)網(wǎng)計(jì)算機(jī)信息系統(tǒng)進(jìn)行立案工作通知》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理方法》、《計(jì)算機(jī)信息媒體進(jìn)出境申報(bào)制度》,還有國(guó)務(wù)院信息化工作領(lǐng)導(dǎo)小組公布《中國(guó)互聯(lián)網(wǎng)絡(luò)域名注冊(cè)暫行管理方法》和《中國(guó)互聯(lián)網(wǎng)絡(luò)域名注冊(cè)實(shí)施細(xì)則》等。13.2信息流管理制度28計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第28頁(yè)13.2.2計(jì)算機(jī)信息媒體進(jìn)出境申報(bào)制度1計(jì)算機(jī)信息媒體相關(guān)概念計(jì)算機(jī)信息媒體主要是指含有存放功效集成電路存放器、磁盤、磁帶、光盤等,它們能夠存放各種形式信息,如文字、圖形、聲音、圖像、視頻、動(dòng)畫等等。出境信息媒體,有可能造成有損專利、版權(quán)、機(jī)密及其它主要信息有害外流;入境信息媒體,有可能造成有害信息在國(guó)內(nèi)傳輸。計(jì)算機(jī)信息媒體有其本身許多特點(diǎn),所攜帶信息量可能相當(dāng)大;體積小,便于攜帶;復(fù)制方便;其中信息往往能以壓縮或加密等方式出現(xiàn),不易直接讀出其中內(nèi)容;內(nèi)容所包括專業(yè)較廣,其中內(nèi)容和性質(zhì)等往往需要專業(yè)人員幫助才能進(jìn)行判別;分析判別往往需要對(duì)應(yīng)檢測(cè)設(shè)備、檢測(cè)環(huán)境條件、及不定時(shí)分析方法,花費(fèi)時(shí)間等。13.2信息流管理制度返回29計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第29頁(yè)2計(jì)算機(jī)信息媒體出入境普通處理(1)申報(bào)。普通由信息媒體擁有者向海關(guān)和公安機(jī)關(guān)主管部門如實(shí)申報(bào)。有交接關(guān)系,可委托境內(nèi)收方幫助申報(bào)或代理申報(bào)。(2)檢測(cè)。由公安機(jī)關(guān)主管部門主持安排實(shí)施,檢測(cè)完成,做出準(zhǔn)予報(bào)送是否決定。(3)報(bào)送。海關(guān)查驗(yàn)屬實(shí)放行。未經(jīng)公安機(jī)關(guān)檢測(cè)或媒體發(fā)生替換,不予放行。(4)其它。暫時(shí)報(bào)關(guān),普通應(yīng)扣留待查。如有擔(dān)保條件,則可留下原件待查,放行副本。13.2信息流管理制度30計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第30頁(yè)13.2.3計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理方法
1997年國(guó)務(wù)院同意公安部公布了《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理方法》,使我國(guó)國(guó)際信息網(wǎng)絡(luò)互聯(lián)信息流安全管理正式納入了法制化和規(guī)范化軌道,其內(nèi)容包含:制訂《方法》基本指導(dǎo)思想《方法》禁止活動(dòng)和內(nèi)容安全責(zé)任公安機(jī)關(guān)計(jì)算機(jī)管理監(jiān)察機(jī)構(gòu)職責(zé)13.2信息流管理制度返回31計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第31頁(yè)
13.3計(jì)算機(jī)信息系統(tǒng)安全技術(shù)
和專用產(chǎn)品管理制度13.3.1計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品相關(guān)概念13.3.2計(jì)算機(jī)安全專用產(chǎn)品管理普通標(biāo)準(zhǔn)13.3.3計(jì)算機(jī)安全專用產(chǎn)品管理制度返回32計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第32頁(yè)13.3.1計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品相關(guān)概念
1
計(jì)算機(jī)安全專用產(chǎn)品分類計(jì)算機(jī)安全專用產(chǎn)品是指用于保護(hù)計(jì)算機(jī)信息系統(tǒng)安全專用硬件和軟件產(chǎn)品。計(jì)算機(jī)安全專用產(chǎn)品分為三大類:實(shí)體安全專用產(chǎn)品、運(yùn)行安全專用產(chǎn)品和信息安全專用產(chǎn)品,每一個(gè)大類下又細(xì)分了小類,詳見下頁(yè)表。13.3計(jì)算機(jī)信息系統(tǒng)安全技術(shù)
和專用產(chǎn)品管理制度返回33計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第33頁(yè)
A類A類實(shí)體安全A10類環(huán)境安全A11類受災(zāi)保護(hù)A12類受災(zāi)恢復(fù)計(jì)劃輔助軟件A13類區(qū)域保護(hù)A20類設(shè)備安全A21類設(shè)備防盜A22類設(shè)備防毀A23類預(yù)防電磁信息泄漏A24類預(yù)防線路截獲A25類抗電磁干擾A26類電源保護(hù)A30類媒體安全A31類媒體安全A32類媒體數(shù)據(jù)安全13.3計(jì)算機(jī)信息系統(tǒng)安全技術(shù)
和專用產(chǎn)品管理制度34計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第34頁(yè)B類B類運(yùn)行安全B10類風(fēng)險(xiǎn)分析B20類審計(jì)跟蹤B30類備份與恢復(fù)B40類應(yīng)急B41類應(yīng)急計(jì)劃輔助軟件B42類應(yīng)急方法13.3計(jì)算機(jī)信息系統(tǒng)安全技術(shù)
和專用產(chǎn)品管理制度35計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第35頁(yè) C類C類信息安全C10類操作系統(tǒng)安全C11類安全操作系統(tǒng)C12類操作系統(tǒng)安全部件C20類數(shù)據(jù)庫(kù)安全C21類安全數(shù)據(jù)庫(kù)系統(tǒng)C22類數(shù)據(jù)庫(kù)系統(tǒng)安全部件C30類網(wǎng)絡(luò)安全C31類網(wǎng)絡(luò)安全管理C32類安全網(wǎng)絡(luò)系統(tǒng)C33類網(wǎng)絡(luò)系統(tǒng)安全部件C40類計(jì)算機(jī)病毒防護(hù)C41類單機(jī)系統(tǒng)病毒防護(hù)C42類網(wǎng)絡(luò)系統(tǒng)病毒防護(hù)C50類訪問控制C51類出入控制C52類存放控制C60類密碼C61類加密設(shè)備C62類密鑰管理C70類判別C71類身份判別C72類完整性判別C73類不可否定判別13.3計(jì)算機(jī)信息系統(tǒng)安全技術(shù)
和專用產(chǎn)品管理制度36計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第36頁(yè)13.3.2計(jì)算機(jī)安全專用產(chǎn)品管理普通標(biāo)準(zhǔn)堅(jiān)持獨(dú)立自主標(biāo)準(zhǔn)堅(jiān)持規(guī)范化、法制化管理標(biāo)準(zhǔn)13.3計(jì)算機(jī)信息系統(tǒng)安全技術(shù)
和專用產(chǎn)品管理制度返回37計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第37頁(yè)13.3.3計(jì)算機(jī)安全專用產(chǎn)品管理制度計(jì)算機(jī)安全專用產(chǎn)品管理應(yīng)該涵蓋從開發(fā)到銷售、使用等整個(gè)周期過程,因?yàn)槲覈?guó)當(dāng)前立法還不完善,安全專用產(chǎn)品管理制度還不能完全覆蓋整個(gè)周期。以《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可證管理方法》為例,其內(nèi)容包含:《許可證方法》適用范圍檢測(cè)機(jī)構(gòu)檢測(cè)方法銷售許可銷售許可中違法行為13.3計(jì)算機(jī)信息系統(tǒng)安全技術(shù)
和專用產(chǎn)品管理制度返回38計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第38頁(yè)13.4計(jì)算機(jī)案件匯報(bào)制度
13.4.1計(jì)算機(jī)安全事件相關(guān)概念13.4.2計(jì)算機(jī)安全事件匯報(bào)內(nèi)容返回39計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第39頁(yè)13.4.1計(jì)算機(jī)安全事件相關(guān)概念1計(jì)算機(jī)安全事件定義
計(jì)算機(jī)安全事件是指對(duì)計(jì)算機(jī)信息系統(tǒng)可用性、完整性、保密性、真實(shí)性、可核查性和可靠性等造成危害事件,或者是在計(jì)算機(jī)信息系統(tǒng)發(fā)生對(duì)社會(huì)造成負(fù)面影響其它事件。它主體是計(jì)算機(jī)安全事件制造者或造成計(jì)算機(jī)安全事件最終原因。它客體是受計(jì)算機(jī)安全事件影響或發(fā)生計(jì)算機(jī)安全事件計(jì)算機(jī)信息系統(tǒng)。詳細(xì)地說,計(jì)算機(jī)安全事件客體可分為信息系統(tǒng)、信息內(nèi)容和網(wǎng)絡(luò)基礎(chǔ)設(shè)施三大類。
13.4計(jì)算機(jī)案件匯報(bào)制度返回40計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第40頁(yè)
2計(jì)算機(jī)安全事件分級(jí)
依據(jù)計(jì)算機(jī)安全事件所造成后果嚴(yán)重程度,計(jì)算機(jī)安全事件可劃分為5個(gè)等級(jí)。其中1級(jí)危害程度最高,5級(jí)危害程度最低,如右圖。3級(jí)和3級(jí)以上計(jì)算機(jī)安全事件稱為重大信息安全事件。分級(jí)分級(jí)內(nèi)容1級(jí)本級(jí)計(jì)算機(jī)安全事件對(duì)計(jì)算機(jī)信息系統(tǒng)所承載業(yè)務(wù)、事發(fā)單位利益以及社會(huì)公共利益有災(zāi)難性影響或破壞,對(duì)社會(huì)穩(wěn)定和國(guó)家安全產(chǎn)生災(zāi)難性危害;2級(jí)本級(jí)計(jì)算機(jī)安全事件對(duì)計(jì)算機(jī)信息系統(tǒng)所承載業(yè)務(wù)、事發(fā)單位利益以及社會(huì)公共利益有極其嚴(yán)重影響或破壞,對(duì)社會(huì)穩(wěn)定、國(guó)家安全造成嚴(yán)重危害;3級(jí)本級(jí)計(jì)算機(jī)安全事件對(duì)計(jì)算機(jī)信息系統(tǒng)所承載業(yè)務(wù)、事發(fā)單位利益以及社會(huì)公共利益有較為嚴(yán)重影響或破壞,對(duì)社會(huì)穩(wěn)定、國(guó)家安全產(chǎn)生一定危害;4級(jí)本級(jí)計(jì)算機(jī)安全事件對(duì)計(jì)算機(jī)信息系統(tǒng)所承載業(yè)務(wù)以及事發(fā)單位利益有一定影響或破壞;5級(jí)本級(jí)計(jì)算機(jī)安全事件對(duì)計(jì)算機(jī)信息系統(tǒng)所承載業(yè)務(wù)以及事發(fā)單位利益基本不影響或損害極小。13.4計(jì)算機(jī)案件匯報(bào)制度41計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第41頁(yè)3計(jì)算機(jī)安全事件分級(jí)規(guī)范信息密級(jí)級(jí)別信息密級(jí)1級(jí)明確標(biāo)注有“絕密”信息失竊或泄密2級(jí)明確標(biāo)注有“機(jī)密”信息失竊或泄密3級(jí)明確標(biāo)注有“秘密”信息失竊或泄密4級(jí)本單位工作秘密信息失竊或泄密5級(jí)本單位敏感信息或個(gè)人隱私信息失竊或泄密13.4計(jì)算機(jī)案件匯報(bào)制度42計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第42頁(yè)公眾影響公眾影響分級(jí)規(guī)范
發(fā)生時(shí)間影響范圍和程度敏感時(shí)期日常時(shí)期對(duì)國(guó)家安全造成影響計(jì)算機(jī)安全事件1~2級(jí)2~3級(jí)對(duì)社會(huì)穩(wěn)定造成影響計(jì)算機(jī)安全事件1~2級(jí)2~3級(jí)對(duì)事發(fā)單位正常工作秩序、單位形象和聲譽(yù)等造成影響計(jì)算機(jī)安全事件3~4級(jí)4級(jí)只對(duì)事發(fā)單位部分人員正常工作秩序造成影響計(jì)算機(jī)安全事件4~5級(jí)5級(jí)13.4計(jì)算機(jī)案件匯報(bào)制度43計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第43頁(yè)業(yè)務(wù)影響業(yè)務(wù)影響分級(jí)規(guī)范中止時(shí)間信息系統(tǒng)安全等級(jí)4小時(shí)以內(nèi)4小時(shí)(含)以上,8小時(shí)以內(nèi)8小時(shí)(含)以上52~3級(jí)1~2級(jí)1~2級(jí)42~3級(jí)1~2級(jí)1~2級(jí)33~4級(jí)2~3級(jí)1~2級(jí)24~5級(jí)3~4級(jí)3級(jí)15級(jí)4~5級(jí)3~4級(jí)13.4計(jì)算機(jī)案件匯報(bào)制度44計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第44頁(yè)資產(chǎn)損失資產(chǎn)損失分級(jí)規(guī)范級(jí)別累計(jì)資產(chǎn)損失(人民幣)1級(jí)1000萬(wàn)元(含)以上2級(jí)300萬(wàn)元(含)~1000萬(wàn)元之間3級(jí)50萬(wàn)(含)~300萬(wàn)元之間4級(jí)5萬(wàn)元(含)~50萬(wàn)元之間5級(jí)5萬(wàn)元以下13.4計(jì)算機(jī)案件匯報(bào)制度45計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第45頁(yè)計(jì)算機(jī)安全事件分類《中華人民共和國(guó)計(jì)算機(jī)信系統(tǒng)安全保護(hù)條例》第十四條要求:“對(duì)計(jì)算機(jī)信息系統(tǒng)中發(fā)生案件,相關(guān)使用單位應(yīng)該在218小時(shí)內(nèi)向當(dāng)?shù)乜h級(jí)以上人民政府公安機(jī)關(guān)匯報(bào)。”著重強(qiáng)調(diào)了對(duì)于計(jì)算機(jī)安全事件,必須及時(shí)匯報(bào)。也就是說,我國(guó)計(jì)算機(jī)安全事件采取計(jì)算機(jī)案件匯報(bào)制度。計(jì)算機(jī)安全事件可分為環(huán)境災(zāi)害、常規(guī)事故、內(nèi)容異常、網(wǎng)絡(luò)或系統(tǒng)異常和其它事件等5個(gè)第一層分類,在此基礎(chǔ)上,再細(xì)分成若干個(gè)第二層和第三層分類。
13.4計(jì)算機(jī)案件匯報(bào)制度46計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第46頁(yè)13.4.2計(jì)算機(jī)安全事件匯報(bào)內(nèi)容
單位名稱
匯報(bào)人
聯(lián)絡(luò)電話
通訊地址
傳真
電子郵件
負(fù)責(zé)部門
責(zé)任人
計(jì)算機(jī)安全事件客體名稱
類別□網(wǎng)絡(luò)基礎(chǔ)設(shè)施□信息系統(tǒng)□信息內(nèi)容用途描述:
計(jì)算機(jī)安全事件簡(jiǎn)明描述(如以前出現(xiàn)過類似情況也應(yīng)加以說明)
初步判定事件類別事件一層類別□環(huán)境災(zāi)害□常規(guī)事故□內(nèi)容異?!蹙W(wǎng)絡(luò)或系統(tǒng)異?!跗渌录录宇悇e
事件三層類別
計(jì)算機(jī)安全事件初步定級(jí)結(jié)果信息密級(jí)要素定級(jí)結(jié)果□1級(jí)□2級(jí)□3級(jí)□4級(jí)□5級(jí)公眾影響要素定級(jí)結(jié)果□1級(jí)□2級(jí)□3級(jí)□4級(jí)□5級(jí)業(yè)務(wù)影響要素定級(jí)結(jié)果□1級(jí)□2級(jí)□3級(jí)□4級(jí)□5級(jí)資產(chǎn)損失要素定級(jí)結(jié)果□1級(jí)□2級(jí)□3級(jí)□4級(jí)□5級(jí)綜合定級(jí)結(jié)果□1級(jí)□2級(jí)□3級(jí)□4級(jí)□5級(jí)當(dāng)前采取應(yīng)對(duì)方法
此次計(jì)算機(jī)安全事件初步影響情況事件后果□業(yè)務(wù)中止□系統(tǒng)破壞□數(shù)據(jù)丟失□其它
影響范圍□單臺(tái)主機(jī)□
臺(tái)主機(jī)□整個(gè)信息系統(tǒng)□整個(gè)局域網(wǎng)□
13.4計(jì)算機(jī)案件匯報(bào)制度返回47計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第47頁(yè)13.5軟件安全技術(shù)13.5.1軟件安全基本要求1計(jì)算機(jī)軟件安全包括范圍2軟件本質(zhì)及特征3軟件安全技術(shù)辦法13.5.2慣用軟件保護(hù)方式返回48計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第48頁(yè)13.5.1軟件安全基本要求1計(jì)算機(jī)軟件安全包括范圍1)軟件本身安全保密指軟件完整,即確保操作系統(tǒng)軟件、數(shù)據(jù)庫(kù)管理軟件、網(wǎng)絡(luò)軟件、應(yīng)用軟件及相關(guān)資料完整。2)數(shù)據(jù)安全保密即系統(tǒng)擁有和產(chǎn)生數(shù)據(jù)信息完整、有效,使用正當(dāng),不被破壞或泄露。3)系統(tǒng)運(yùn)行安全保密比如系統(tǒng)資源和信息使用安全保密。返回13.5軟件安全技術(shù)49計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第49頁(yè)1)軟件是用戶使用計(jì)算機(jī)工具。2)軟件是將特定裝置轉(zhuǎn)換成邏輯裝置伎倆。3)軟件是計(jì)算機(jī)系統(tǒng)一個(gè)資源。4)軟件是信息傳輸和交流工具。5)軟件是知識(shí)產(chǎn)品,是當(dāng)代社會(huì)一個(gè)商品形式;6)軟件能夠儲(chǔ)存、進(jìn)入各種媒體;7)軟件能夠移植,包含在相同和不相同機(jī)器上移植;2軟件本質(zhì)及特征13.5軟件安全技術(shù)50計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第50頁(yè)9)軟件能夠非法入侵計(jì)算機(jī)系統(tǒng)。10)軟件含有潛伏性,能夠潛伏在載體或計(jì)算機(jī)系統(tǒng)中,從而組成在正當(dāng)操作或文件名義下非授權(quán)。11)軟件含有再生性,在信息傳輸過程中或共享系統(tǒng)資源環(huán)境下存在非線性增加模式。12)軟件含有可激發(fā)性,在一定條件刺激下可成為邏輯炸彈。13)軟件含有破壞性。14)軟件含有攻擊性。8)軟件能夠非法入侵載體。13.5軟件安全技術(shù)51計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第51頁(yè)從軟件安全技術(shù)角度出發(fā),軟件含有兩重性:軟件含有巨大使用價(jià)值軟件含有潛在破壞性能量13.5軟件安全技術(shù)52計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第52頁(yè)
非技術(shù)性辦法比如制訂相關(guān)法律、法規(guī)。技術(shù)性辦法1)軟件加密2)軟件保護(hù)3)軟件反跟蹤4)軟件測(cè)試3軟件安全技術(shù)辦法13.5軟件安全技術(shù)53計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第53頁(yè)13.5.2慣用軟件保護(hù)方式盜版軟件類型
1)企業(yè)盜版:企業(yè)未經(jīng)授權(quán)在其內(nèi)部計(jì)算機(jī)系統(tǒng)中使用軟件。
2)硬盤預(yù)裝盜版
3)軟件仿冒盜版
4)光盤盜版
5)互聯(lián)網(wǎng)盜版:盜版者在Internet站點(diǎn)上公布廣告,出售假冒軟件或匯編軟件或允許下載軟件產(chǎn)品。返回13.5軟件安全技術(shù)54計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度匯編第54頁(yè)13.5.2慣用軟件保護(hù)方式1序列號(hào)方式2警告窗口3時(shí)間限制4
溫馨提示
- 1. 本站所有資源如無(wú)特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 幼兒園安全教育工作總結(jié)
- 慢阻肺治療培訓(xùn)
- 2024年黑龍江哈爾濱市中考數(shù)學(xué)真題卷及答案解析
- 快遞服務(wù)租賃合同
- 機(jī)場(chǎng)專用停車場(chǎng)出租協(xié)議
- 城市照明系統(tǒng)改造需求書
- 簽約責(zé)任與義務(wù)明確
- 債權(quán)轉(zhuǎn)讓合同審查指南
- 硝酸領(lǐng)用權(quán)限與責(zé)任
- 金融投資招投標(biāo)風(fēng)險(xiǎn)評(píng)估
- 糕點(diǎn)切片機(jī)答辯
- 《化學(xué)實(shí)驗(yàn)室安全與環(huán)保手冊(cè)》
- 消防安全網(wǎng)格化管理表格樣式
- 高考復(fù)習(xí)之——詩(shī)詞鑒賞-景與情關(guān)系
- 重慶市高等教育學(xué)校收費(fèi)標(biāo)準(zhǔn)一覽表(公辦)
- 婚禮流程準(zhǔn)備安排表需要彩排的
- 閃光焊及缺陷
- 泵站質(zhì)量檢查表
- 非連續(xù)性文本在部編本初中語(yǔ)文教材中的運(yùn)用
- 分宜縣土地利用總體規(guī)劃
- 新版atstudy系統(tǒng)測(cè)試計(jì)劃
評(píng)論
0/150
提交評(píng)論