信息安全等级标准.ppt

1、,信息系统安全等级保护标准体系框架,1、信息系统安全等级保护标准整体框架 2、信息系统安全等级保护标准体系 3 亟需制定的若干核心标准,介绍内容,信息系统安全等级保护标准整体框架,国家信息化标准体系 国家信息安全标准体系 国家相关部门制订的信息安全标准,国家信息化标准体系框架,信息化标准体系主要由信息技术的基础标准、信息资源标准体系、网络通信标准体系、信息安全标准体系、应用标准体系、管理标准体系等六大类构成。 信息安全标准体系是信息化标准体系的重要组成部分。 信息安全标准化工作领域包括信息安全技术、安全机制、安全服务、安全管理、安全评估等领域标准化工作。,国家信息安全标准体系框架,目前，在国家

2、层面，全国信息安全标准化技术委员会工作组分成: WG1 - 信息安全标准体系与协调工作组 WG2 - 内容安全分级及标识工作组 WG3 - 密码算法与密码模块/KMI/VPN工作组 WG4 - PKI/PMI工作组 WG5 - 信息安全评估工作组 WG6 - 应急处理工作组 WG7 - 信息安全管理（含工程与开发）工作组 WG8 - 电子证据及处理工作组 WG9 - 身份标识与鉴别协议工作组 WG10- 操作系统与数据库安全工作组 正式启动的有WG1、WG2、WG3、WG4、WG5、WG7。,国家信息安全标准体系框架,一般认为，信息安全标准体系主要由基础标准、技术标准和管理标准等分体系组成。

3、基础标准体系由安全技术术语、体系结构、模型和框架等方面标准组成； 技术标准体系由密码技术、安全协议、标识与鉴别、访问控制、电子签名、完整性保护、抗抵赖、审计与监控、公钥基础设施、物理安全技术以及其他安全技术等标准组成； 管理标准体系由系统安全管理、等级保护、工程、评估和运行等方面组成。用于对信息系统保护产品的规划、设计、建设、验收、测评、运行与维护过程的指导。,国家信息安全标准体系框架,用于对信息系统保护产品的规划、设计、建设、验收、测评、运行与维护过程的指导。 国家制订的均为基础性标准、配套性标准、实施指导标准。 国家标准/行业标准（GA，BMB等）,国家信息安全标准体系框架,比较完整的安全

4、保护框架应包括如下几个方面： 1、总体框架：明确安全等级保护模型，实现总体控制 2、设计和实现过程控制：解决信息系统产品的安全等级功能与安全保证的实现 3、设计与实现的结果控制：解决安全产品及信息系统的评测与评估 4、信息系统分层面安全控制：在物理及运行、支撑系统、网络、应用、管理层面，分别采取安全保护措施 5、监督管理： 对信息安全系统实施安全等级监督管理,信息系统安全标准体系核心标准,1994年2月18日国务院147号令中华人民共和国计算机信息系统安全保护条例第九条：计算机信息系统实行安全等级保护。 1999年发布GB17859-99（2001年1月1日生效实施）是我国计算机信息系统安全等

5、级保护系列标准的核心。 信息系统等级保护是国家信息安全体系建设的核心工作。所以，各级各类信息系统安全体系建设都要以等级保护为载体来进行，为此，我们认为应该重点考虑计算机信息系统安全等级保护标准体系。,1、基础性标准 2、配套系列标准 3、实施指导类标准 4、各应用领域实施指导方案,计算机信息系统安全等级保护标准体系,1、基础性标准,GB17859-99是我国计算机信息系统安全等级保护系列标准的核心，它源自TCSEC桔皮书，是实行计算机信息系统安全等级保护制度建设的基础性标准。,相关标准的传承渊源,1999年 GB 17859 计算机信息系统安全保护等级划分准则,1991年欧洲信息技术安全性评估

6、准则（ITSEC）,国际通用准则 1996年（CC1.0） 1998年（CC2.0）,1985年美国可信计算机系统评估准则（TCSEC）,1993年 加拿大可信计算机产品评估准则（CTCPEC）,1993年美国联邦准则（FC 1.0）,1999年 国际标准 ISO/IEC 15408,1989年 英国 可信级别标准 （MEMO 3 DTI）,德国评估标准（ZSEIC）,法国评估标准 （B-W-R BOOK）,2001年 国家标准 GB/T 18336 信息技术安全性评估准则 idt iso/iec15408,1993年美国NIST的MSFR,计算机信息系统安全等级保护三维空间,2、配套系列标准

7、,配套系列标准：按等级保护的要求，对建设、评估、监督、管理安全的计算机信息系统提供指导的标准，包括总体框架标准、技术要求标准、评估准则标准、管理要求标准、管理评估标准等。 总体框架标准为按等级保护的要求，实施信息系统安全从总体上提供指导的标准； 要求类系列标准为按等级保护的要求，建设安全的信息系统从技术和管理方面提供指导的标准； 信息安全等级保护基本要求 评估类系列标准为按等级保护的要求，对安全的信息系统进行评估从技术和管理方面提供指导的标准； 信息安全等级保护测评准则,3、实施指导类标准,从系统角度，对等级保护的具体实施提供指导的标准，包括信息安全等级保护实施指南、信息系统安全方案设计指南、

8、信息安全等级保护监督检查与管理工作手册等；,4、各应用领域实施指导方案,各应用领域实施指导方案按等级保护要求，对各个应用领域按照上述标准的要求建设安全的信息系统的参考性方案。,总体框架标准,目前国内关于总体框架标准已经制订了一些标准草案，分别为： 信息系统安全等级保护 总体框架 基本模型规定了对信息系统实施安全等级保护的基本模型。对基本模型组成部分进行说明。 信息系统安全等级保护 总体框架 体系结构从体系结构的角度对信息系统安全等级保护的总体框架进行描述。 信息系统安全保障评估框架主要技术内容包括对信息系统的描述、其所处的安全环境（包括假设、所考虑的威胁和组织安全策略）、所要达到的安全保障目标

9、、所创建的实际安全保障要求以及信息系统安全保障级的分级说明等。 我们的任务是对上述标准框架进行针对国防科技工业信息化的适用性评估与改进。,2、技术要求标准,信息安全标准是一个体系，从技术要求上来讲，包括物理、网络、服务器、路由器、交换机、应用系统、实体鉴别、抗抵赖等等。从软件和硬件各个方面对信息系统安全各个等级制定详细的技术要求，分别如下： 计算机信息系统安全等级保护 技术要求 物理安全 计算机信息系统安全等级保护 技术要求 服务器 计算机信息系统安全等级保护 技术要求 路由器 计算机信息系统安全等级保护 技术要求 交换机 信息系统安全等级保护 技术要求 应用系统 智能卡集成电路平台安全技术要

10、求 网络交换机和路由器安全技术要求 网络隔离设备安全技术要求 通用操作系统安全技术要求等。 我们的任务是对上述技术要求进行针对国防科技工业信息化的适用性评估与改进。,3、评估准则标准,我国从上世纪 90 年代中期即开始制定关于信息安全产品的标准。2000年开始有计划地研究制定信息安全评估标准，逐步立项开展若干单项标准的制订工作，这些标准既适用于相关产品安全等级的评估，同时可作为系统研制、开发、测试和产品采购使用： （1）操作系统安全保护等级评估准则。 （2）数据库管理系统安全保护等级评估准则。 （3）路由器安全保护等级评估准则。 （4）包过滤防火墙安全保护等级评估准则。 （5）智能卡操作系统（

11、COS）测评标准。 （6）防火墙技术要求与测评准则。 （7）端设备隔离部件安全保护等级评估准则。 （8）入侵检测系统安全保护等级评估准则。 （9）网络脆弱性扫描产品安全保护等级评估准则。 近期又将发布计算机信息系统安全保护等级评估准则。 上述标准分别针对信息系统与安全产品两个方面。我们的任务是对上述技术要求进行针对国防科技工业信息化的适用性评估与改进。,4、管理要求标准,一套完善的信息安全管理体系，应该包括规范化的信息安全管理内容、以风险和策略为核心的建设方法、定性和定量的度量信息安全管理。 信息安全管理是目前信息安全领域里最热门的话题之一，而作为指导和规范信息安全管理的标准更是重中之重，信息

12、安全管理领域标准众多，对于标准的争论从未停息过。 近年来，国际ISO/IEC和西方一些国家开始发布和改版一系列信息安全管理标准，使安全标准进入了一个繁忙的改版期。这表明，信息安全管理标准已经从零星的、随意的、指南性标准，逐渐衍变成为层次化、体系化、覆盖信息安全管理全生命周期的信息安全管理体系。,5、管理评估标准,目前，在信息安全管理评估方面，英国标准BS7799已经成为世界上应用最广泛与典型的信息安全管理标准。 2000年12月，BS7799-1：1999信息安全管理实施细则正式成为国际标准-ISO/IEC17799-1：2000信息技术-信息安全管理实施细则，成为国际上具有代表性的信息安全管

13、理体系标准。2002年9月5日，BSI又发布了最新版的BS7799-2：2002标准。 因此，针对我们建设国防科技工业信息化信息安全管理标准，BS7799标准具有很深刻的社会影响和参考作用。,6、信息安全等级保护实施指南,国家对不同安全等级的信息系统提出的基本保护要求，是对不同信息系统相同保护要求的共性的抽取，是保障信息系统安全的最基本要求。信息系统的类型千差万别、错综复杂，应根据信息系统的重要程度、完成的不同使命、承载的不同业务、处理的不同数据、针对自身的特点有特殊的安全需求等分别确定每个信息系统的安全等级。大型、复杂的信息系统应该考虑是由不同安全等级的几个小型信息系统构成，从而达到对整个信息系统区分保护和重点保护的目的。,7、