信息安全法律法规我国的标准.ppt

2020 1 29 1 网络信息安全等级保护制度 2020 1 29 2 引言 信息网络的全球化使得信息网络的安全问题也全球化起来 任何与互联网相连接的信息系统都必须面对世界范围内的网络攻击 数据窃取 身份假冒等安全问题 发达国家普遍发生的有关利用计算机进行犯罪的案件 绝大部分已经在我国出现 2020 1 29 3 引言 当前计算机信息系统的建设者 管理者和使用者都面临着一个共同的问题 就是他们建设 管理或使用的信息系统是否是安全的 如何评价系统的安全性 这就需要有一整套用于规范计算机信息系统安全建设和使用的标准和管理办法 2020 1 29 4 等级保护制度的意义 1994年 国务院发布了 中华人民共和国计算机信息系统安全保护条例 该条例是计算机信息系统安全保护的法律基础 其中第九条规定 计算机信息系统实行安全等级保护 安全等级的划分标准和安全等级保护的具体办法 由公安部会同有关部门制定 2020 1 29 5 等级保护制度的意义 公安部在 条例 发布实施后便着手开始了计算机信息系统安全等级保护的研究和准备工作 等级管理的思想和方法具有科学 合理 规范 便于理解 掌握和运用等优点 因此 对计算机信息系统实行安全等级保护制度 是我国计算机信息系统安全保护工作的重要发展思路 对于正在发展中的信息系统安全保护工作更有着十分重要的意义 2020 1 29 6 等级保护制度的意义 为切实加强重要领域信息系统安全的规范化建设和管理 全面提高国家信息系统安全保护的整体水平 使公安机关公共信息网络安全监察工作更加科学 规范 指导工作更具体 明确 公安部组织制订了 计算机信息系统安全保护等级划分准则 国家标准 并于1999年9月13日由国家质量技术监督局审查通过并正式批准发布 已于2001年1月1日执行 该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据 为安全产品的研制提供了技术支持 为安全系统的建设和管理提供了技术指导 是我国计算机信息系统安全保护等级工作的基础 2020 1 29 9 TCSEC 1984年美国国防部发布的 可信计算机系统评估准则 TrustedComputerSystemEvaluationCriteria 即桔皮书 目的 为制造商提供一个安全标准 为国防部各部门提供一个度量标准 用来评估计算机系统或其他敏感信息的可信度 在分析 研究规范时 为指定安全需求提供基础 2020 1 29 10 TCSEC采用等级评估的方法 将计算机安全分为A B C D四个等级八个级别 D等级安全级别最低 风险最高 A等级安全级别最高 风险最低 评估类别 安全策略可审计性保证文档 2020 1 29 11 无保护级 D级 是为那些经过评估 但不满足较高评估等级要求的系统设计的 只具有一个级别该类是指不符合要求的那些系统 因此 这种系统不能在多用户环境下处理敏感信息 2020 1 29 12 自主保护级 C级 具有一定的保护能力 采用的措施是身份认证 自主访问控制和审计跟踪一般只适用于具有一定等级的多用户环境具有对主体责任及其动作审计的能力自主安全保护级 C1级 控制访问保护级 C2级 2020 1 29 13 强制保护级 B级 B类系统中的客体必须携带敏感标记 安全等级 TCB应维护完整的敏感标记 并在此基础上执行一系列强制访问控制规则标记安全保护级 B1级 结构保护级 B2级 强制安全区域级 B3级 2020 1 29 14 验证保护级 A级 A类的特点是使用形式化的安全验证方法 保证系统的自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息为证明TCB满足设计 开发及实现等各个方面的安全要求 系统应提供丰富的文档信息TrustedComputingBase可靠计算基础 就是计算系统中的每个事物都提供了一个安全环境 这包括操作系统和它提供的安全机制 硬件 物理定位 网络硬件和软件 指定处理过程 具有代表性的是控制访问的防备 对特殊资源的授权 支持用户身份验证 抵抗病毒和其他对系统的渗透 还有数据备份 假设可靠计算基础已经或必须被测试和验证通过 验证设计级 A1级 超A1级 2020 1 29 15 TCSEC带动了国际计算机安全的评估研究 90年代西欧四国 英 法 荷 德 联合提出了信息技术安全评估标准 ITSEC ITSEC 又称欧洲白皮书 除了吸收TCSEC的成功经验外 首次提出了信息安全的保密性 完整性 可用性的概念 把可信计算机的概念提高到可信信息技术的高度上来认识 他们的工作成为欧共体信息安全计划的基础 并对国际信息安全的研究 实施带来深刻的影响 2020 1 29 16 通用准则 CommonCriteria 来自六国七方的安全标准组织组合成的单一的 能被广泛使用的IT安全准则 目的 解决各标准中出现的概念和技术上的差异 并把结果作为国际标准提交给ISO 内容 对信息系统的安全功能 安全保障给出了分类描述 并综合考虑信息系统的资产价值 威胁等因素后 对被评估对象提出了安全需求 保护轮廓PP 及安全实现 安全目标ST 等方面的评估 2020 1 29 17 重点考虑人为的威胁 也用于非人为因素导致的威胁 CC适用于硬件 固件和软件实现的信息技术安全措施 而某些内容因涉及特殊专业技术或仅是信息技术安全的外围技术不在CC的范围内 通用准则 CommonCriteria CC 是目前国际上最全面的信息技术安全性评估准则 它具有国际互认的优势 因此研究CC评估 建立CC评估体系对我国的信息安全发展具有重大意义 通用评估方法CEM CommonEvaluationMethodology CEM 是CC评估配套的评估方法 2020 1 29 18 中国的等级保护体系 2020 1 29 19 1989年公安部开始设计起草法律和标准 在起草过程中经过长期的对国内外广泛的调查和研究 特别是对国外的法律法规 政府政策 标准和计算机犯罪的研究 使我们认识到要从法律 管理和技术三个方面着手 采取的措施要从国家制度的角度来看问题 对信息安全要实行等级保护制度 2020 1 29 20 GB17859 1999 计算机信息系统安全保护等级划分准则 意义 该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据为安全产品的研制提供了技术支持为安全系统的建设和管理提供了技术指导是我国计算机信息系统安全保护等级工作的基础 2020 1 29 21 将计算机信息系统安全保护等级划分为五个级别 第一级 用户自主保护级第二级 系统审计保护级第三级 安全标记保护级第四级 结构化保护级第五级 访问验证保护级 2020 1 29 22 第一级 用户自主保护级 计算机信息系统可信计算基通过隔离用户与数据 使用户具备自主安全保护的能力 它具有多种形式的控制能力 对用户实施访问控制 即为用户提供可行的手段 保护用户和用户组信息 避免其他用户对数据的非法读写与破坏 2020 1 29 23 第二级 系统审计保护级 与用户自主保护级相比 计算机信息系统可信计算基实施了粒度更细的自主访问控制它通过登录规程 审计安全性相关事件和隔离资源 使用户对自己的行为负责 2020 1 29 24 第三级 安全标记保护级 计算机信息系统可信计算基具有系统审计保护级所有功能此外 还提供有关安全策略模型 数据标记以及主体对客体强制访问控制的非形式化描述具有准确地标记输出信息的能力消除通过测试发现的任何错误 2020 1 29 25 第四级 结构化保护级 计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体此外 还要考虑隐蔽通道计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素计算机信息系统可信计算基的接口也必须明确定义 使其设计与实现能经受更充分的测试和更完整的复审加强了鉴别机制支持系统管理员和操作员的职能提供可信设施管理增强了配置管理控制系统具有相当的抗渗透能力 2020 1 29 26 第五级 访问验证保护级 计算机信息系统可信计算基满足访问监控器需求访问监控器仲裁主体对客体的全部访问访问监控器本身是抗篡改的 必须足够小 能够分析和测试支持安全管理员职能扩充审计机制 当发生与安全相关的事件时发出信号提供系统恢复机制系统具有很高的抗渗透能力 2020 1 29 27 需要实施安全等级保护的信息系统为 党政系统 党委 政府 金融系统 银行 保险 证券 财税系统 财政 税务 工商 经贸系统 商业贸易 海关 电信系统 邮电 电信 广播 电视 能源系统 电力 热力 燃气 煤炭 油料 交通运输系统 航空 航天 铁路 公路 水运 海运 供水系统 水利及水源供给 社会应急服务系统 医疗 消防 紧急救援 教育科研系统 教育 科研 尖端科技 国防建设系统 国有大中型企业系统 互联单位 接入单位 重点网站及向公众提供上网服务场所的计算机信息系统 2020 1 29 28 等级保护是国家基本政策 2020 1 29 29 等级保护是国家基本政策 信息安全等级保护是 中华人民共和国计算机信息系统安全保护条例 规定的法定保护制度 具有强制性 以国家制度推进信息和信息系统安全保护责任的落实 符合客观实际 具有科学性 具有自我保护与国家保护相结合的长效保护机制 突出保护重点 国家优先重点保护涉及国计民生的信息系统 国家基础信息网络和重要信息系统内分级重点保护三级以上的局域网和子系统安全 具有整体保护性 在突出重点 兼顾一般的原则下 着重加强重点 要害部位 由点到面进行保护 逐步实现信息安全整体保障 2020 1 29 30 建立国家信息安全等级保护机制 2020 1 29 31 国家实行信息安全等级保护 必须紧紧抓住抓好五个关键环节 形成长效信息安全等级保护运行机制 国家信息安全等级保护制度运行机制有以下关键环节构成 1 法律规范2 管理与技术规范3 实施过程控制4 结果控制5 监督管理 2020 1 29 32 1 法律规范 国家制定和完善信息安全等级保护政策 法律规范以及组织实施规则和方法 完善信息安全保护法律体系 2 管理与技术规范 制定符合国情的标准 建立等级保护体系 3 实施过程控制 明确落实系统拥有者的安全责任制 系统拥有者按法律规定和安全等级标准的要求进行信息系统的建设和管理 并承担应急管理责任 在信息系统生命周期内进行自管 自查 自评 建立安全管理体系 安全产品的研发者提供符合安全等级标准要求的技术产品 2020 1 29 33 3 实施过程控制 明确落实系统拥有者的安全责任制 系统拥有者按法律规定和安全等级标准的要求进行信息系统的建设和管理 并承担应急管理责任 在信息系统生命周期内进行自管 自查 自评 建立安全管理体系 安全产品的研发者提供符合安全等级标准要求的技术产品 4 结果控制 建立非盈利并能够覆盖全国的系统安全等级保护的执法检查与评估体系 使用统一标准和工具开展系统安全等级保护检查评估工作 2020 1 29 34 5 监督管理 公安机关依法行政 督促安全等级保护责任制的落实 以等级保护标准监督 检查 指导基础信息网络和重要信息系统安全等级保护建设 管理 对安全等级技术产品实行监管 对监测评估机构实施监管 政府其他职能部门应当认真履行职责 依法行政 按职责开展信息安全等级保护专项制度建设工作 完善信息安全监督体系 2020 1 29 35 信息系统安全等级保护制度实施方法 2020 1 29 36 首先 公安 国家保密 国家密码管理 技术监督 信息产业等国家有关信息网络安全的行政主管部门要在国家信息化领导小组的统一领导下 制定我国开展信息网络安全等级保护工作的发展政策 统一制定针对不同安全保护等级的管理规定和技术标准 对不同信息网络确定不同安全保护等级和实施不同的监督管理措施 既包括依法进行行政监督 检查和指导 也包括依据国家技术标准进行的技术检查和评估 2020 1 29 37 其次 等级保护坚持 谁主管 谁负责 谁经营 谁负责 谁建设 谁负责 谁使用 谁负责 的原则 2020 1 29 38 第三 等级保护实行 国家主导 重点单位强制 一般单位自愿 高保护级别强制 低保护级别自愿 的监管原则 2020 1 29 39 第四 信息网络安全状况等级