计算机信息系统安全保护制度ppt课件.pptVIP

计算机信息系统安全保护制度 2 1安全等级保护制度2信息流管理制度3计算机信息系统安全技术和专用产品管理制度4计算机案件报告制度 3 1安全等级保护制度 1 1信息的安全等级1 2计算机信息系统的安全等级1 3计算机安全等级1 4物理环境安全等级 4 1 1信息的安全等级信息安全是指保护信息和信息系统 以避免未授权的访问 使用 泄漏 破坏 修改或者销毁 以确保信息的完整性 保密性和可用性 联邦信息安全管理法案 FISMA 2002年3月 1安全等级保护制度 5 信息安全等级的具体划分在不同的地方有不同的标准 主要从信息完整性 保密性和可用性三个方面综合考虑为了保障计算机信息系统的安全 规范其应用 促进其发展 我国早在1994年就颁布了 中华人民共和国计算机信息系统安全保护条例 其中该条例第九条规定 计算机信息系统实行安全等级保护 这是我国计算机信息系统安全保护的一项基本制度 1安全等级保护制度 6 由公安部 国家保密局 国际密码管理委员会办公室和国务院信息化工作办公室共同制定的 关于信息安全等级保护工作的实施意见 中将信息和信息系统的安全保护等级分为五级 第一级为自主保护级 适用于一般的信息和信息系统 第二级为指导保护级 适用于一定程度上涉及国家安全 社会秩序 经济建设和公共利益的一般信息和信息系统 第三级为监督保护级 适用于涉及国家安全 社会秩序 经济建设和公共利益的信息和信息系统 第四级为强制保护级 适用于涉及国家安全 社会秩序 经济建设和公共利益的重要信息和信息系统 第五级为专控保护级 适用于涉及国家安全 社会秩序 经济建设和公共利益的重要信息和信息系统的核心子系统 1安全等级保护制度 7 1信息保密安全等级1988年9月5日公布的 中华人民共和国保守国家秘密法 简称 保密法 是我国目前还在使用的国家信息保密法规 其安全等级划分适用于计算机信息保密安全 国家事务的重大决策中的秘密事项 国防建设和武装力量活动中的秘密事项 外交和外事活动中的秘密事项 国民经济和社会发展中的秘密事项 科学技术中的秘密事项 维护国家安全活动和追查刑事犯罪中的秘密事项 其他经国家保密工作部门确定应当保守的秘密事项 保密法 的第八条对国家秘密的解释 1安全等级保护制度 8 保密法 第九条清晰指出 国家秘密的密级分为 绝密 机密 秘密 三级 它的划分是国家秘密对于国家的安全和利益的重要程度 表信息保密安全等级 1安全等级保护制度 9 2人员安全等级 保密法 第二十七条规定 国家秘密应当根据需要 限于一定范围的人员接触 绝密级的国家秘密 经过批准的人员才能接触 保密法 第二十八条规定 任用经管国家秘密事项的专职人员 应当按照国家保密工作部门和人事主管部门的规定予以审查批准 这些都是以法定形式出现的 行之有效的人员管理准则 在实际的计算机信息操作中 人员安全等级的划分主要表现在该人员对信息的访问能力和操作情况 借助访问的鉴别 控制机制等安全技术 可以控制不同的操作人员对系统的数据 功能之类等信息的读 增 删 改 复制等的操作能力 对同一信息 人员拥有的操作能力越高 则其安全等级也越高 1安全等级保护制度 10 1 2计算机信息系统的安全等级计算机信息系统的安全的等级划分与计算机信息的安全等级划分有所不同 除了看该信息系统对国家 集体或个人的安全和利益的重要程度外 计算机实体本身的财产价值 岗位的重要程度等因素 也是一个划分的重要依据 1安全等级保护制度 11 安全等级系统安全一级系统安全二级系统安全三级系统安全四级系统安全五级 1安全等级保护制度 12 系统安全一级存储 处理和传输绝密信息的金融电子化系统 该系统中信息一旦泄露或破坏 会给国家安全和利益带来特别严重的损害 对金融业造成巨大的经济损失 因此 系统应能确保连续可用 不因局部的毁坏 故障 事故 差错造成系统效率的降低 系统安全二级存储 处理和传输机密信息的金融电子化系统 该系统中信息一旦泄露或破坏 会给国家安全和利益带来严重的损害 对金融业造成很大的经济损失 因此 系统应能连续可用 局部的毁坏 故障 事故 差错虽然可能影响了系统的效率 但仍能正确运行 1安全等级保护制度 13 系统安全三级存储 处理和传输秘密信息的金融电子化系统 该系统中信息一旦泄露或破坏 会使国家安全和利益遭受损害 金融业造成一定的经济损失 因此 系统应能确保连续可用 不因局部的毁坏 故障 事故 差错造成系统效率的降低 系统安全四级存储 处理和传输不属于国际密级 但属金融业内部掌握 具有敏感性的金融电子化系统 该系统中的信息一旦泄露或破坏 会使银行 证券交易商 保险公司及其客户陷入困境 甚至造成损失 使其社会声誉受到损害 因此 系统应有对局部毁坏 故障 事故 差错在短时间内得到排除 纠正和恢复的能力 系统安全五级存储 处理和传输不属于以上保护级别的电子化系统 该系统的毁坏 故障 事故 可能会造成某些金融业务的停顿 影响某些金融业务的效率 但经济损失不大 1安全等级保护制度 14 1 3计算机安全等级D类 属非安全保护类 只一个级别 凡不满足其他各级安全要求的 皆属此级别 C类 为自主保护类 分为两级 C1 C2 B类 为强制保护类 分三级 B1 B2 B3 A类 为验证保护级 拟分两级 A1 超A1 1安全等级保护制度 15 C类C1级 具有一定的自主型存取控制 DAC 安全机制 系统能定期检验可信计算机 TCB 的正确性 维护系统的完整性 C2级 具有以用户为单位的DAC机制 能进行审计 1安全等级保护制度 16 B类B1级 引入强制存取控制 MAC 机制 并对主体和客体进行安全级标识 实施标识管理 B2级 具有形式化安全模型 系统设计结构化 MAC机制更趋完善 具备了最小特权管理 以及可信通道机制 隐通道分析和处理等 B3级 具有严格的系统结构化设计和TCB最小复杂性设计 应具备全面的存取控制的访问监控机制 以及审计实时报告机制等 1安全等级保护制度 17 A类A1级 具有系统形式化顶层设计说明 FTDS 并形式化验证FTDS与形式化模型的一致性 隐通道问题则用形式化技术解决等 超A1级 比A1级具有更高的安全可信度要求 这已超出了当前的技术发展水平 有待进一步描述 1安全等级保护制度 18 计算机安全等级的主要技术措施如右表 1安全等级保护制度 19 续上表 1安全等级保护制度 20 1 4物理环境安全等级计算机所运行的物理环境主要是指计算机信息系统周边的环境 即计算机信息系统场地 我国国家标准 计算站场地安全要求 GB9361 88 和 计算站场地技术条件 GB2887 89 对计算机场地安全要求 作了明确的等级规定 1安全等级保护制度 21 在 计算站场地安全要求 中 把计算机房分为3种基本安全类别 A类 对计算机房的安全有严格的要求 有完善的计算机房安全措施 B类 对计算机房的安全有较严格的要求 有完善的计算机房安全措施 C类 对计算机房的安全有基本的要求 有基本的计算机房安全措施 1安全等级保护制度 22 1计算机房温湿度要求 1安全等级保护制度 23 2计算机房供电要求 1安全等级保护制度 24 3计算机系统接地要求 1安全等级保护制度 25 2信息流管理制度 2 1信息流管理控制的相关概念2 2计算机信息媒体进出境申报制度2 3计算机信息网络国际联网安全保护管理办法 26 2 1信息流管理控制的相关概念信息的流动途径信息的流动方式有两种 信息存储在一些媒介上 如存在 盘里 手机上 再通过现代的通信方式或携带 邮寄 托运等 导致信息的流动 信息也可以直接通过网络传输 导致信息的流动 我们在电子商务中所讲的信息流通常情况讲的就是后者 计算机互联 网络互联的主要途径是有线和无线两种 有线方式是当前我国网络互联的主要方式 或通过邮电部的分组交换网 或租用邮电部的国际专线来实现 2信息流管理制度 27 与国际联网的单位类型根据 中国互联网络域名注册暂行管理办法 我国互联网络的二级域名包括318个 行政区域名 和6个 类别域名 我国境内的计算机信息系统 通过物理通信信道 直接或间接与境外 含港 澳 台地区 计算机信息系统连接的 均属于国际联网的计算机信息系统 拥有这些系统购单位 大体上有 金融 经贸 海运 海关等国有单位 独资 合资企业 外国驻华使 领 馆以及新闻代表机构 还有与国际信息服务网相连接的用户单位等 2信息流管理制度 28 网络安全纳入规范化 法制化管理的轨道针对当前我国计算机信息网络国家联网安全保护工作的需要 为了加强计算机信息网络国际联网的安全保护管理 维护国家安全 社会稳定和信息安全 保障公共秩序 促进计算机信息系统的应用发展 当务之急是必须早日形成规范有序的信息出入国境的 口岸 相关管理规范制度主要有 中华人民共和国计算机信息网络国际联网管理暂行规定 公安部关于对与国际联网的计算机信息系统进行备案工作的通知 计算机信息网络国际联网安全保护管理办法 计算机信息媒体进出境申报制度 还有国务院信息化工作领导小组发布的 中国互联网络域名注册暂行管理办法 和 中国互联网络域名注册实施细则 等 2信息流管理制度 29 2 2计算机信息媒体进出境申报制度1计算机信息媒体的相关概念计算机信息媒体主要是指具有存储功能的集成电路存储器 磁盘 磁带 光盘等 它们可以存储各种形式的信息 如文字 图形 声音 图像 视频 动画等等 出境的信息媒体 有可能造成有损专利 版权 机密及其他重要信息的有害外流 入境的信息媒体 有可能造成有害信息在国内的传播 计算机信息媒体有其自身的许多特点 所携带的信息量可能相当大 体积小 便于携带 复制方便 其中的信息往往能以压缩或加密等方式出现 不易直接读出其中内容 内容所涉及的专业较广 其中的内容和性质等往往需要专业人员协助才能进行鉴别 分析鉴别往往需要相应的检测设备 检测环境条件 及不定期的分析方法 耗费时间等 2信息流管理制度 30 2计算机信息媒体出入境的一般处理 1 申报 一般由信息媒体拥有者向海关和公安机关主管部门如实申报 有交接关系的 可委托境内收方协助申报或代理申报 2 检测 由公安机关主管部门主持安排实施 检测完毕 做出准予报送与否决定 3 报送 海关查验属实放行 未经公安机关检测或媒体发生替换的 不予放行 4 其他 临时报关的 一般应扣留待查 如有担保条件的 则可留下原件待查 放行副本 2信息流管理制度 31 2 3计算机信息网络国际联网安全保护管理办法1997年国务院批准公安部公布了 计算机信息网络国际联网安全保护管理办法 使我国国际信息网络互联的信息流安全管理正式纳入了法制化和规范化的轨道 其内容包括 制定 办法 的基本指导思想 办法 禁止的活动和内容安全责任公安机关计算机管理监察机构的职责 2信息流管理制度 32 3计算机信息系统安全技术和专用产品管理制度 3 1计算机信息系统安全专用产品的有关概念3 2计算机安全专用产品管理的一般原则3 3计算机安全专用产品的管理制度 33 3 1计算机信息系统安全专用产品的有关概念1计算机安全专用产品的分类计算机安全专用产品是指用于保护计算机信息系统安全的专用硬件和软件产品 计算机安全专用产品分为三大类 实体安全专用产品 运行安全专用产品和信息安全专用产品 每一个大类下又细分了小类 详见下页表 3计算机信息系统安全技术和专用产品管理制度 34 A类 3计算机信息系统安全技术和专用产品管理制度 35 B类 3计算机信息系统安全技术和专用产品管理制度 36 C类 3计算机信息系统安全技术和专用产品管理制度 37 3 2计算机安全专用产品管理的一般原则坚持独立自主的原则坚持规范化 法制化管理原则 3计算机信息系统安全技术和专用产品管理制度 38 3 3计算机安全专用产品的管理制度计算机安全专用产品的管理应该涵盖从开发到销售 使用等整个周期的过程 由于我国目前立法还不完善 安全专用产品的管理制度还不能完全覆盖整个周期 以 计算机信息系统安全专用产品检测和销售许可证管理办法 为例 其内容包括 许可证办法 的适用范围检测机构检测办法销售许可销售许可中的违法行为 3计算机信息系统安全技术和专用产品管理制度 39 4计算机案件报告制度 4 1计算机安全事件的相关概念4 2计算机安全事件报告内容 40 4 1计算机安全事件的相关概念1计算机安全事件的定义计算机安全事件是指对计算机信息系统的可用性 完整性 保密性 真实性 可核查性和可靠性等造成危害的事件 或者是在计算机信息系统发生的对社会造成负面影响的其他事件 它的主体是计算机安全事件的制造者或造成计算机安全事件的最终原因 它的客体是受计算机安全事件影响或发生计算机安全事件的计算机信息系统 具体地说 计算机安全事件的客体可分为信息系统 信息内容和网络基础设施三大类 4计算机案件报告制度 41 2计算机安全事件的分级根据计算机安全事件所造成后果的严重程度 计算机安全事件可划分为5个等级 其中1级危害程度最高 5级危害程度最低 如右图 3级和3级以上的计算机安全事件称为重大信息安全事件 4计算机案件报告制度 42 3计算机安全事件分级规范信息密级 4计算机案件报告制度 43 公众影响公众影响分级规范 4计算机案件报告制度 44 业务影响业务影响分级规范 4计算机案件报告制度 45 资产损失资产损失分级规范 4计算机案件报