3信息安全等级保护ppt

LOGO信息安全等级保护何晓霞627603450@qq.com本章内容安排信息安全等级保护制度信息系统安全等级保护实施信息系统安全等级确定信息系统安全等级保护要求信息系统安全风险评估第一节信息安全等级保护制度一、信息安全等级保护管理二、信息系统安全等级划分三、信息系统安全等级保护相关标准一、信息安全等级保护管理信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，是信息安全保障工作中国家意志的体现。背景1994年，《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。1995年2月18日人大12次会议通过并实施的《中华人民共和国警察法》第二章第六条第十二款规定，公安机关人民警察依法履行“监督管理计算机信息系统的安全保护工作”。——法律依据。1999年，强制性国家标准－《计算机信息系统安全保护等级划分准则》GB17859）。2003年，中办、国办转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2004年，公安部、国家保密局、国家密码管理局、国信办联合印发了《关于信息安全等级保护工作的实施意见》（66号文件）2006年1月，公安部、国家保密局、国家密码管理局、国信办联合制定了《信息安全等级保护管理办法》（公通字[2006]7号）1、政府层面：国家制定统一信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对信息安全产品的使用分等级实行管理，对等级保护工作的实施进行监督、指导。2、用户层面：公民、法人和其他组织应当按照国家有关等级保护的管理规范和技术标准开展等级保护工作，服从国家对信息安全等级保护工作的监督、指导，保障信息系统安全。3、社会层面：信息安全产品的研制、生产单位，信息系统的集成、等级测评、风险评估等安全服务机构，依据国家有关管理规定和技术标准，开展相应工作，并接受国家信息安全职能部门的监督管理。等级保护制度的基本思想信息安全等级保护的工作进展一是2006年1月制定出台了《信息安全等级保护管理办法（试行）》。二是2006年5月18日组织召开了国家信息安全等级保护工作协调小组第一次会议。三是制定了等级保护系列技术标准。四是开展了等级保护基础调查工作。五是部署开展信息安全等级保护试点工作。六是出台新的《信息安全等级保护管理办法》。七是筹备召开全国信息系统定级工作。二、信息系统安全等级划分根据《信息系统安全等级保护实施指南》的规定，信息系统可以分为五个安全等级，国家对不同级别的信息和信息系统实行不同强度的监管政策。（一）第一级为自主保护级其主要对象为一般的信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不危害国家安全、社会秩序和公共利益。本级系统依照国家管理规范和技术标准进行自主保护。二、信息系统安全等级划分（二）第二级为指导保护级其主要对象为一般的信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对社会秩序和公共利益造成一定损害，但不损害国家安全。本级系统依照国家管理规范和技术标准进行自主保护，必要时信息安全监管职能部门对其进行指导。二、信息系统安全等级划分（三）第三级为监督保护级其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成较大损害。本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查。二、信息系统安全等级划分（四）第四级为强制保护级其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害。本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检查。二、信息系统安全等级划分（五）第五级为专控保护级其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重损害。本级系统依照国家管理规范和技术标准进行自主保护，国家指定专门部门、专门机构进行专门监督、检查。二、安全保护等级的划分等级对象侵害客体侵害程度监管强度第一级合法权益损害自主保护合法权益严重损害第二级一般系统社会秩序和公共利益损害指导社会秩序和公共利益严重损害第三级国家安全损害监督检查社会秩序和公共利益特别严重损害第四级重要系统国家安全严重损害强制监督检查第五级极端重要系统国家安全特别严重损害专门监督检查三、信息系统安全等级保护相关标准我国正式颁布的信息系统安全等级保护的强制性国家标准是GB17859—1999《计算机信息系统安全保护等级划分准则》，该准则于1999年9月13日经国家质量技术监督局发布，2001年1月1日起实施。随后围绕GB17859—1999编写和制定了一系列与信息系统安全等级保护有关的标准和指南，旨在规范和指导信息系统安全等级保护实施过程中的活动。（一）GB17859—1999《计算机信息系统安全保护等级划分准则》GB17859—1999是建立计算机信息系统安全等级保护制度，实施安全等级管理的重要基础性标准。它将计算机信息系统安全保护等级划分为五个等级，通过规范、科学和公正的评定和监督管理，一是为计算机信息系统安全等级保护管理法规的制定和执法部门的监督、检查提供依据；二是为计算机信息系统安全产品的研制提供技术支持；三是为安全系统的建设和管理提供技术指导。（一）GB17859—1999《计算机信息系统安全保护等级划分准则》GB17859—1999规定了计算机信息系统安全保护能力的五个等级；定义了计算机信息系统、计算机信息系统可信计算机、客体、主体、敏感标记、安全策略、信道、隐蔽信道、访问监控器；描述了五个等级的细则。（二）GA/T390—2002《计算机信息系统安全等级保护通用技术要求》公安部于2002年7月15日发布并实施了GA/T390—2002《计算机信息系统安全等级保护通用技术要求》。GA/T390—2002《计算机信息系统安全等级保护通用技术要求》作为计算机信息系统安全等级保护要求系列的基础标准，详细说明了计算机信息系统为实现GB17859—1999所提出的安全等级要求应采取的通用的安全技术，以及为确保这些安全技术所实现的安全功能达到其应具有的安全性而采取的保证措施，并将对计算机信息系统五个安全保护等级每一级的要求，从技术要求方面进行详细描述。（二）GA/T390—2002《计算机信息系统安全等级保护通用技术要求》GA/T390—2002主要内容为：（1）安全功能技术要求，包括物理安全、运行安全、信息安全。（2）安全保证技术要求，包括TCB自身安全保护、TCB设计和实现、TCB安全管理。（3）五个安全等级划分要求技术方面细则。（三）GA/T388—2002《计算机信息系统安全等级保护操作系统技术要求》公安部于2002年7月15日发布并实施该标准作为计算机信息系统安全等级保护要求系列标准的重要组成部分，用于指导设计者如何设计和实现具有所需要的安全等级的操作系统，主要从对操作系统的安全等级进行划分来说明其技术要求，即主要说明为实现GB17859—1999所提出的安全等级要求对操作系统应采取的安全技术措施，以及各安全技术要求在不同安全级中具体实现的差异。对计算机信息系统五个安全保护等级每一级的安全功能技术要求和安全保证技术要求进行详细描述。（四）GA/T389—2002《计算机信息系统安全等级保护数据库管理系统技术要求》公安部于2002年7月15日发布并实施。该标准作为计算机信息系统安全等级保护要求系列标准的重要组成部分，用于指导设计者如何设计和实现具有所需要的安全等级的数据库管理系统，主要从对数据库管理系统的安全等级进行划分来说明其技术要求，即主要说明为实现GB17859—1999所提出的安全等级要求对数据库管理系统应采取的安全技术措施，以及各安全技术要求在不同安全级中具体实现的差异。对计算机信息系统五个安全保护等级每一级的安全功能技术要求和安全保证技术要求进行详细描述。（四）GA/T389—2002《计算机信息系统安全等级保护数据库管理系统技术要求》GA/T389—2002主要内容为：（1）数据库管理系统安全技术要求，包括身份鉴别、标记与访问控制、数据完整性、数据库安全审计、客体重用、数据库可信恢复、隐蔽信道分析、可信路径、推理控制。（2）五个安全等级划分要求技术方面细则。（五）GA/T387—2002《计算机信息系统安全等级保护网络技术要求》公安部于2002年7月15日发布并实施该标准作为计算机信息系统安全等级保护要求系列标准的重要组成部分，用于指导设计者如何设计和实现具有所需要的安全等级的网络系统，主要从对网络系统的安全等级进行划分来说明其技术要求，即主要说明为实现GB17859—1999所提出的安全等级要求对网络系统应采取的安全技术措施，以及各安全技术要求在不同安全级中具体实现的差异。对计算机信息系统五个安全保护等级每一级的安全功能技术要求和安全保证技术要求进行详细描述。（五）GA/T387—2002《计算机信息系统安全等级保护网络技术要求》GA/T387—2002主要内容为：（1）简单描述了关于安全等级划分、主体、客体、TCB、密码技术、建立网络安全的一般要求，以及网络安全组成与相互关系。（2）详细描述了网络基本安全技术，包括自主访问控制、强制访问控制、标记、用户身份鉴别、剩余信息保护、安全审计、数据完整性、隐蔽信道分析、可信路径、可信恢复、抗抵赖、密码支持等。（3）详细描述了网络安全技术要求。（4）五个安全等级划分要求技术方面细则。（六）GA/T391—2002《计算机信息系统安全等级保护管理要求》公安部于2002年7月18日发布并实施。该标准作为GB17859—1999《计算机信息系统安全保护等级划分准则》的管理要求，是根据《计算机信息系统安全保护条例》的规定编写的，是GB17859—1999的配套标准中的重要标准之一，与上述所介绍的技术要求共同组成计算机信息系统的安全等级保护体系。计算机信息系统的安全等级保护体系从计算机信息系统的管理层面、物理层面、系统层面、网络层面、应用层面、运行层面对计算机信息系统资源实施保护，作为计算机信息系统安全保护的支撑服务。管理层面贯穿其他五个层面，是其他五个层面实施安全等级保护的保证。（六）GA/T391—2002《计算机信息系统安全等级保护管理要求》GA/T391—2002主要内容为：（1）简单描述了信息系统安全管理的内涵、主要安全要素、信息系统安全管理的基本原则、安全管理的过程、安全管理组织、人员安全管理、安全管理制度等。（2）五个安全等级划分要求管理方面细则。（七）《信息安全技术——信息系统安全等级保护实施指南》该标准以信息系统安全等级保护建设为主要线索，介绍了信息系统的安全等级和保护要求等相关概念；说明了信息系统安全等级保护实施过程中涉及的角色；信息系统安全等级保护实施的基本原则；信息系统安全等级保护实施的基本过程；信息系统安全等级保护实施的主要阶段和主要活动以及与信息系统生命周期之间的关系；提出了信息系统安全等级保护在信息系统生命周期不同阶段的实施要点、实施流程、具体的活动内容以及活动的输入输出等，并对其进行了详细的描述。（八）《信息系统安全保护等级定级指南》根据《信息安全技术——信息系统安全等级保护实施