当前位置:文档之家 › 信息安全等级标准

信息安全等级标准

  • 格式:ppt
  • 大小:157.00 KB
  • 文档页数:25

下载文档原格式

  / 25

合集下载

中国信息安全标准

中国信息安全标准

中国信息安全标准主要由一系列的国内标准组成,涵盖了信息安全管理的各个层面。

以下是一些主要的中国信息安全标准:
1. GB/T 17859-1999《信息安全技术信息安全评估准则》:该标准规定了信息安全评估的目标、范围、过程和方法,以及信息安全评估的等级划分。

2. GB/T 22239-2019《信息安全技术信息安全等级保护基本要求》:该标准规定了信息安全等级保护的基本要求,包括安全保护等级划分、安全保护要求、安全保护措施等。

3. GB/T 25070-2010《信息安全技术信息安全风险评估规范》:该标准规定了信息安全风险评估的方法、过程和结果表达,以及风险评估的等级划分。

4. GB/T 31167-2014《信息安全技术信息安全事件分类分级指南》:该标准规定了信息安全事件的分类和分级方法,以及事件报告和处置要求。

5. GB/T 20984-2007《信息安全技术信息安全风险管理指南》:该标准规定了信息安全风险管理的流程和方法,以及风险管理的责任划分。

网络信息安全等级与标准

网络信息安全等级与标准

我国网络信息安全的相关政策法规
❖ 《中华人民共和国计算机信息网络国际联网管理暂行规定》 ❖ 《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》 ❖ 《中国互联网络域名注册暂行管理办法》 ❖ 《中国互联网络域名注册实施细则》 ❖ 《中华人民共和国计算机信息系统安全保护条例》 ❖ 《关于加强计算机信息系统国际联网备案管理的通告》 ❖ 《中华人民共和国电信条例》中华人民共和国国务院令(第291号) ❖ 《互联网信息服务管理办法》中华人民共和国国务院令(第292号) ❖ 《从事放开经营电信业务审批管理暂行办法》 ❖ 《电子出版物管理规定》 ❖ 《关于对与国际联网的计算机信息系统进行备案工作的通知》 ❖ 《计算机软件保护条例》 ❖ 《计算机信息网络国际联网出入口信道管理办法》
• 实施方法
❖ 在组织实施网络与信息安全系统时,应该将技术层 面和管理层面良好配合。
❖ 在信息安全技术层面,应通过采用包括建设安全的 主机系统和安全的网络系统,并配备适当的安全产 品的方法来实现
❖ 而在管理层面,则可以通过构架ISMS来实现。
信息安全管理体系构建
❖ 定义信息安全策略 ❖ 定义NISMS的范围 ❖ 进行信息安全风险评估 ❖ 信息安全风险管理 ❖ 确定管制目标和选择管制措施 ❖ 准备信息安全适用性声明
A级)。
D级和A级暂时不分子级。每级包括它下级的所有
特性,从最简单的系统安全特性直到最高级的计算机
安全模型技术,不同计算机信息系统可以根据需要和
可能选用不同安全保密程度的不同标准。
网络信息安全等级与标准
1) D级 D级是最低的安全形式,整个计算机是不信任的, 只为文件和用户提供安全保护。D级系统最普通的形 式是本地操作系统,或者是一个完全没有保护的网络。 拥有这个级别的操作系统就像一个门户大开的房子, 任何人可以自由进出,是完全不可信的。对于硬件来 说,是没有任何保护措施的,操作系统容易受到损害, 没有系统访问限制和数据限制,任何人不需要任何账 户就可以进入系统,不受任何限制就可以访问他人的 数据文件。

信息安全等级保护的5个级别

信息安全等级保护的5个级别

信息安全等级保护的5个级别信息安全是现代社会中非常重要的一个方面,随着信息技术的发展,信息安全问题也变得越来越严峻。

为了保护信息安全,我们需要根据信息的重要性和敏感程度来对其进行等级保护。

信息安全等级保护主要分为5个级别,分别是非密级、内部限制级、秘密级、机密级和绝密级。

下面将对这5个级别进行详细介绍。

首先是非密级,非密级信息是指那些对国家、集体和个人利益没有危害的信息。

这类信息的泄露对国家安全和社会稳定没有实质性影响。

非密级信息可以在一定范围内自由传播和使用,但在传播和使用过程中也要遵守相关的法律法规和规章制度,确保信息的安全性。

其次是内部限制级,内部限制级信息是指那些对国家、集体和个人利益可能产生一定危害的信息。

这类信息的泄露可能对国家安全和社会稳定产生一定影响。

内部限制级信息的传播和使用需要受到一定的限制和监管,确保信息不会被泄露或滥用。

接下来是秘密级,秘密级信息是指那些对国家、集体和个人利益可能产生较大危害的信息。

这类信息的泄露可能对国家安全和社会稳定产生严重影响。

秘密级信息的传播和使用需要严格的审批和管理,确保信息不会被非法获取和利用。

然后是机密级,机密级信息是指那些对国家、集体和个人利益可能产生重大危害的信息。

这类信息的泄露可能对国家安全和社会稳定产生极其严重的影响。

机密级信息的传播和使用需要进行严格的控制和保护,确保信息不会被泄露和滥用。

最后是绝密级,绝密级信息是指那些对国家、集体和个人利益可能产生特别重大危害的信息。

这类信息的泄露可能对国家安全和社会稳定产生特别严重的影响。

绝密级信息的传播和使用需要进行最严格的保护和管理,确保信息不会被泄露和利用。

综上所述,信息安全等级保护分为非密级、内部限制级、秘密级、机密级和绝密级5个级别,每个级别都有其特定的保护要求和管理措施。

只有做好信息安全等级保护工作,才能有效地保护信息安全,维护国家安全和社会稳定。

希望各单位和个人能够高度重视信息安全等级保护工作,共同努力,确保信息安全,促进社会发展。

信息安全保护等级测评标准

信息安全保护等级测评标准

信息安全保护等级测评标准信息安全是当今社会中极为重要的一个议题,随着互联网的发展和普及,信息安全问题也日益受到重视。

在信息安全保护方面,不同的组织和机构都需要根据自身的特点和需求,采取相应的措施来确保信息的安全性。

而信息安全保护等级测评标准,则是评估和确认信息系统安全等级的重要工具之一。

首先,信息安全保护等级测评标准需要考虑的是信息系统的安全性能。

信息系统的安全性能包括信息系统的机密性、完整性、可用性等方面。

机密性是指信息系统中的信息不会被未经授权的个人或实体获取,完整性是指信息系统中的信息不会被未经授权的个人或实体篡改,可用性是指信息系统能够在需要时正常运行。

评估信息系统的安全性能,需要考虑到这些方面的综合情况,以确定信息系统的安全等级。

其次,信息安全保护等级测评标准还需要考虑信息系统的安全风险。

安全风险是指信息系统受到威胁和漏洞的可能性和影响程度。

评估信息系统的安全风险,需要考虑到信息系统所面临的各种威胁和漏洞,以确定信息系统的安全等级。

另外,信息安全保护等级测评标准还需要考虑信息系统的安全管理。

安全管理是指信息系统中的安全策略、安全控制、安全监控等方面。

评估信息系统的安全管理,需要考虑到信息系统中的安全策略是否合理、安全控制是否有效、安全监控是否到位,以确定信息系统的安全等级。

最后,信息安全保护等级测评标准还需要考虑信息系统的安全保障措施。

安全保障措施是指信息系统中的安全技术、安全设备、安全服务等方面。

评估信息系统的安全保障措施,需要考虑到信息系统中的安全技术是否先进、安全设备是否完备、安全服务是否可靠,以确定信息系统的安全等级。

综上所述,信息安全保护等级测评标准是评估和确认信息系统安全等级的重要工具,需要考虑信息系统的安全性能、安全风险、安全管理、安全保障措施等方面,以确定信息系统的安全等级。

只有通过科学、全面、客观的测评,才能更好地保护信息系统的安全,确保信息的安全性和可靠性。

信息安全等保测评等级划分

信息安全等保测评等级划分

信息安全等保测评等级划分下载提示:该文档是本店铺精心编制而成的,希望大家下载后,能够帮助大家解决实际问题。

文档下载后可定制修改,请根据实际需要进行调整和使用,谢谢!而且本店铺为大家提供各种类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you!In addition, this shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!信息安全等保测评等级划分。

引言随着信息技术的迅猛发展,信息安全问题日益凸显,为了保护国家机密信息以及企业用户的隐私数据,信息安全等保测评等级划分成为一项关键任务。

信息安全等级保护标准

信息安全等级保护标准

信息安全等级保护标准信息安全等级保护标准(GB/T 22239-2008)是由中国国家标准化管理委员会发布的一项国家标准,旨在规范和指导各类信息系统的安全保护工作,保障国家重要信息基础设施的安全运行。

本标准适用于涉密信息系统、非涉密信息系统和非密级信息系统,是信息安全管理工作的重要依据。

一、信息安全等级划分。

根据GB/T 22239-2008标准,信息系统的安全等级划分包括四个等级,分别为一级、二级、三级和四级。

不同等级的信息系统对安全性的要求也不同,一级安全等级要求最严格,四级安全等级要求最低。

在具体的信息系统建设和运行中,应根据系统所处的环境和对信息安全的需求,确定相应的安全等级,并按照该等级的保护要求进行设计和实施。

二、信息安全等级保护的基本要求。

1. 安全保护目标明确,根据信息系统所处的环境和对信息安全的需求,明确安全保护的目标和要求,确保安全保护工作有的放矢。

2. 安全保护措施合理有效,采取符合实际情况的安全保护措施,包括技术措施、管理措施和物理措施,合理配置安全资源,确保安全保护措施的有效性。

3. 安全保护责任明确,明确信息系统安全保护的责任主体和责任范围,建立健全的安全管理机制,确保安全保护工作的有效实施。

4. 安全保护监督检查,建立健全的安全监督检查机制,对信息系统的安全保护工作进行定期检查和评估,及时发现和解决安全隐患。

5. 应急响应能力,建立健全的信息安全事件应急响应机制,对可能发生的安全事件进行预案设计和应急演练,提高信息系统的抗风险能力。

三、信息安全等级保护标准的意义。

信息安全等级保护标准的制定和实施,对于保障国家重要信息基础设施的安全运行,维护国家安全和社会稳定具有重要意义。

同时,对于促进信息技术的发展和应用,提高信息系统的安全性和可信度,也具有积极的推动作用。

在当前信息化的大背景下,信息系统的安全性问题日益突出,各类网络攻击、信息泄露事件层出不穷。

因此,加强信息安全等级保护工作,严格按照GB/T 22239-2008标准的要求,对信息系统进行科学合理的安全保护,已成为当务之急。

信息安全等级保护标准

信息安全等级保护标准信息安全等级保护标准是指根据信息系统对信息的重要性和保密要求,对信息系统进行等级划分,并按照不同等级的保护要求,采取相应的技术和管理措施,以保障信息系统的安全性和可靠性。

信息安全等级保护标准的制定和执行,对于保护国家机密信息,维护国家安全,保障国家利益具有重要意义。

首先,信息安全等级保护标准的制定需根据信息系统所处的环境、所处理的信息内容和信息系统的重要程度来确定。

不同等级的信息系统,其信息安全等级保护标准也会有所不同。

在制定信息安全等级保护标准时,需要充分考虑信息系统的功能和用途,以及其所处的环境和风险特征,综合评估信息系统对信息的重要性和保密要求,确定信息安全等级。

其次,信息安全等级保护标准需要明确不同等级信息系统的保护要求。

对于不同等级的信息系统,其信息安全等级保护标准需要明确具体的保护要求,包括技术和管理措施。

技术措施包括网络安全、数据加密、访问控制、身份认证等技术手段,用于保障信息系统的安全性;管理措施包括安全管理制度、安全培训教育、安全事件响应等管理手段,用于规范信息系统的安全运行。

再次,信息安全等级保护标准的执行需要全面覆盖信息系统的建设、运维和管理全过程。

在信息系统的建设过程中,需要根据信息安全等级保护标准的要求,设计和实施相应的安全措施,确保信息系统在设计阶段就具备安全性;在信息系统的运维过程中,需要严格执行信息安全等级保护标准,对信息系统进行安全监控、漏洞修补、事件响应等工作;在信息系统的管理过程中,需要建立健全的安全管理制度,加强安全培训教育,提高信息系统的安全意识。

最后,信息安全等级保护标准的执行需要建立健全的监督检查机制。

相关部门需要建立健全的信息安全等级保护标准的监督检查机制,对信息系统的安全性进行定期检查和评估,发现和解决安全隐患,确保信息系统的安全性和可靠性。

同时,还需要建立信息安全等级保护标准的违规处罚机制,对违反信息安全等级保护标准的行为进行惩处,提高信息安全等级保护标准的执行力度。

国家信息安全等级划分

国家信息安全等级划分
国家信息安全等级划分(2009-11-30 11:10:32)
转载
标签:
核密
普密
分类:系统
商密
信息安全
it
我们国家将信息安全划分为三个等级:核密、普密和商密。

其中核密最⾼,普密次之,商密最低。

普密和商密这两种信息的保护要求不⼀样,普密可以⽤于保护⼀定范围的国家安全信息,对国家秘密保护的强度包括它的⼿段和技术。

从密码⾓度来说保护国家秘密信息的时候所采⽤的密码必须是普密级以上的,普密设备从管理上要求对普密产品、设备(包括研制、⽣产、销售普密产品的企业)的管理⾮常严格,应⽤圈⼦相对较⼩。

商密⽤于保护企业级的商业秘密,技术上不⼀定⽐普密低,但商密产品的管理程度不如普密,应⽤产品多,应⽤⾯⼴(如VPN)。

国家规定商密禁⽌操作任何国家秘密以上的安全信息。

信息安全等级保护的5个级别

信息安全等级保护的5个级别信息安全是当今社会中不可忽视的重要问题,随着互联网技术的发展和普及,信息安全问题也日益凸显。

为了更好地保护信息安全,不同的信息系统需要根据其特点和重要性采取不同的安全等级保护措施。

在我国,信息安全等级保护分为5个级别,分别是一级、二级、三级、四级和五级。

下面将逐级介绍这5个级别的信息安全等级保护标准。

一级信息安全等级保护是指对一般信息系统的保护要求,主要针对一般的商业信息系统和政府信息系统。

在一级保护中,主要的安全措施包括对系统的基本管理、网络安全防护、数据备份和恢复等方面的要求。

一级信息安全等级保护要求相对较低,适用于一般的商业和政府信息系统。

二级信息安全等级保护是在一级的基础上进一步提高了安全保护的要求,主要针对一些重要的商业信息系统和政府信息系统。

在二级保护中,除了满足一级保护的要求外,还需要加强对系统的访问控制、数据加密、安全审计等方面的保护措施。

二级信息安全等级保护适用于一些对信息安全要求较高的商业和政府信息系统。

三级信息安全等级保护是在二级的基础上进一步提高了安全保护的要求,主要针对一些非常重要的商业信息系统和政府信息系统。

在三级保护中,除了满足二级保护的要求外,还需要加强对系统的身份认证、安全通信、安全管理等方面的保护措施。

三级信息安全等级保护适用于一些对信息安全要求非常高的商业和政府信息系统。

四级信息安全等级保护是在三级的基础上进一步提高了安全保护的要求,主要针对一些非常重要的商业信息系统和政府信息系统。

在四级保护中,除了满足三级保护的要求外,还需要加强对系统的安全审计、安全管理、应急响应等方面的保护措施。

四级信息安全等级保护适用于一些对信息安全要求非常高的商业和政府信息系统。

五级信息安全等级保护是在四级的基础上进一步提高了安全保护的要求,主要针对一些绝对重要的商业信息系统和政府信息系统。

在五级保护中,除了满足四级保护的要求外,还需要加强对系统的安全评估、安全认证、安全监控等方面的保护措施。

网络信息安全等级与标准

网络信息安全等级与标准网络信息安全等级与标准1. 简介网络信息安全是现代社会中的重要问题,随着信息技术的快速发展和互联网的普及应用,网络安全等级与标准变得越来越重要。

本文将介绍网络信息安全等级与标准的概念、作用以及相关方面的内容。

2. 网络信息安全等级和标准的概念2.1 网络信息安全等级网络信息安全等级是指根据一定的标准和要求,将网络安全的重要性分为不同的等级。

在不同的安全等级下,需要采取不同的安全措施和管理措施来保护网络信息的安全。

网络信息安全等级的设定可以帮助机构和个人更好地了解网络安全的需求,并采取相应的防护措施。

2.2 网络信息安全标准网络信息安全标准是指通过制定一系列的规定和要求,对网络信息安全进行评估和监管。

网络信息安全标准可以帮助机构和个人识别网络安全风险,确定相应的安全措施,并指导网络安全管理工作的实施。

3. 网络信息安全等级的作用3.1 提供安全保障网络信息安全等级的设定可以帮助机构和个人了解网络安全的风险和威胁,从而采取相应的措施保护网络信息的安全。

不同等级的安全措施可以提供不同程度的安全保障,确保网络信息不受未经授权的访问、恶意攻击和数据泄露的威胁。

3.2 促进互联互通网络信息安全等级的统一标准可以促进不同网络之间的互联互通。

通过遵循相同的安全标准,不同网络可以建立起互信机制,实现信息的安全传输和共享。

这对于推动信息化进程、促进经济发展具有重要意义。

3.3 规范网络运营网络信息安全等级的设定可以帮助规范网络运营行为。

各级网络安全等级的要求和标准可以引导网络运营者加强安全管理,落实网络安全责任,提高网络安全的整体水平。

4. 网络信息安全等级的分类与评定4.1 网络信息安全等级分类网络信息安全等级一般分为基本等级、一级、二级、三级等级,不同等级对应着不同的安全要求和措施。

基本等级是对网络信息最基本的安全要求,一级、二级、三级等级则相对更高。

4.2 网络信息安全评定网络信息安全等级的评定是根据相关标准和要求,对网络进行安全评估和评定。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

-8
信息系统安全标准体系核心标准
1994年 1994年2月18日国务院147号令《中华人民共和国计算机信息 18日国务院147号令《 日国务院147号令 系统安全保护条例》第九条: 系统安全保护条例》第九条:计算机信息系统实行安全等级保 护。 1999年发布GB17859年发布GB17859 2001年 日生效实施) 1999年发布GB17859-99(2001年1月1日生效实施)是我国计算机 信息系统安全等级保护系列标准的核心。 信息系统安全等级保护系列标准的核心。 信息系统等级保护是国家信息安全体系建设的核心工作。 信息系统等级保护是国家信息安全体系建设的核心工作 。 所 各级各类信息系统安全体系建设 信息系统安全体系建设都 以 , 各级各类 信息系统安全体系建设 都 要以等级保护为载体来 进行,为此, 进行 , 为此 , 我们认为应该重点考虑计算机信息系统安全等级 保护标准体系。 保护标准体系。
-6
国家信息安全标准体系框架
用于对信息系统保护产品的规划、设计、建设、 用于对信息系统保护产品的规划、设计、建设、 验收、测评、运行与维护过程的指导。 验收、测评、运行与维护过程的指导。 国家制订的均为基础性标准、配套性标准、 国家制订的均为基础性标准、配套性标准、实施 指导标准。 指导标准。 国家标准/行业标准(GA,BMB等 国家标准/行业标准(GA,BMB等)
信息系统安全等级保护标准体系框架
介绍内容
1、信息系统安全等级保护标准整体框架 2、信息系统安全等级保护标准体系 3 亟需制定的若干核心标准
-2
信息系统安全等级保护标准整体框架
国家信息化标准体系 国家信息安全标准体系 国家相关部门制订的信息安全标准
-3
国家信息化标准体系框架
信息化标准体系主要由信息技术的基础标准、 信息化标准体系主要由信息技术的基础标准、信 息资源标准体系、网络通信标准体系、 息资源标准体系、网络通信标准体系、信息安全 标准体系、应用标准体系、管理标准体系等六大 标准体系、应用标准体系、 类构成。 类构成。 信息安全标准体系是信息化标准体系的重要组成 部分。 部分。 信息安全标准化工作领域包括信息安全技术、 信息安全标准化工作领域包括信息安全技术、安 全机制、安全服务、安全管理、 全机制、安全服务、安全管理、安全评估等领域 标准化工作。 标准化工作。
- 14
3、实施指导类标准
从系统角度, 从系统角度,对等级保护的具体实施 提供指导的标准,包括信息安全等级保护 提供指导的标准, 实施指南、信息系统安全方案设计指南、 实施指南、信息系统安全方案设计指南、 信息安全等级保护监督检查与管理工作手 册等; 册等;
- 15
4、各应用领域实施指导方案
各应用领域实施指导方案——按等级保护 按等级保护 各应用领域实施指导方案 要求, 要求,对各个应用领域按照上述标准的要 求建设安全的信息系统的参考性方案。 求建设安全的信息系统的参考性方案。
- 17
2、技术要求标准
信息安全标准是一个体系,从技术要求上来讲,包括物理、网络、 信息安全标准是一个体系,从技术要求上来讲,包括物理、网络、服务器 路由器、交换机、应用系统、实体鉴别、抗抵赖等等。 、路由器、交换机、应用系统、实体鉴别、抗抵赖等等。从软件和硬件 各个方面对信息系统安全各个等级制定详细的技术要求,分别如下: 各个方面对信息系统安全各个等级制定详细的技术要求,分别如下: 物理安全》 《计算机信息系统安全等级保护 技术要求 物理安全》 服务器》 《计算机信息系统安全等级保护 技术要求 服务器》 路由器》 《计算机信息系统安全等级保护 技术要求 路由器》 交换机》 《计算机信息系统安全等级保护 技术要求 交换机》 应用系统》 《信息系统安全等级保护 技术要求 应用系统》 智能卡集成电路平台安全技术要求》 《智能卡集成电路平台安全技术要求》 网络交换机和路由器安全技术要求》 《网络交换机和路由器安全技术要求》 网络隔离设备安全技术要求》 《网络隔离设备安全技术要求》 通用操作系统安全技术要求》 《通用操作系统安全技术要求》等。 我们的任务是对上述技术要求进行针对国防科技工业信息化的适用 性评估与改进。 性评估与改进。
-4
国家信息安全标准体系框架
目前,在国家层面, 目前,在国家层面,全国信息安全标准化技术委员会工作 组分成: 组分成: WG1 -- 信息安全标准体系与协调工作组 WG2 -- 内容安全分级及标识工作组 密码算法与密码模块/KMI/VPN /KMI/VPN工作组 WG3 -- 密码算法与密码模块/KMI/VPN工作组 PKI/PMI工作组 WG4 -- PKI/PMI工作组 WG5 -- 信息安全评估工作组 WG6 -- 应急处理工作组 信息安全管理(含工程与开发) WG7 -- 信息安全管理(含工程与开发)工作组 WG8 -- 电子证据及处理工作组 WG9 -- 身份标识与鉴别协议工作组 WG10-WG10-- 操作系统与数据库安全工作组 正式启动的有WG1、WG2、WG3、WG4、WG5、WG7。 正式启动的有WG1、WG2、WG3、WG4、WG5、WG7。 WG1
-5

国家信息安全标准体系框架
一般认为,信息安全标准体系主要由基础标准、 一般认为,信息安全标准体系主要由基础标准、技术标准 和管理标准等分体系组成。 和管理标准等分体系组成。 基础标准体系由安全技术术语、体系结构、 基础标准体系由安全技术术语、体系结构、模型和框架等 由安全技术术语 方面标准组成; 方面标准组成; 技术标准体系由密码技术、安全协议、标识与鉴别、 技术标准体系由密码技术、安全协议、标识与鉴别、访问 由密码技术 控制、电子签名、完整性保护、抗抵赖、审计与监控、公 控制、电子签名、完整性保护、抗抵赖、审计与监控、 钥基础设施、 钥基础设施、物理安全技术以及其他安全技术等标准组成 ; 管理标准体系由系统安全管理、等级保护、工程、 管理标准体系由系统安全管理、等级保护、工程、评估和 由系统安全管理 运行等方面组成。用于对信息系统保护产品的规划、 运行等方面组成。用于对信息系统保护产品的规划、设计 建设、验收、测评、运行与维护过程的指导。 、建设、验收、测评、运行与维护过程的指导。
- 11
相关标准的传承渊源
1999年 GB 17859 计算机信息 系统安全保护等级划分准则 1993年 加拿大可 信计算机产品评估 准则(CTCPEC) 1993年美 国NIST的 MSFR 1993年美国联邦 准则(FC 1.0) 1991年欧洲信息技 术安全性评估准则 (ITSEC) 1999年 国际标准 ISO/IEC 15408 2001年 国家标准 GB/T 18336 信息技术安全 性评估准则 idt iso/iec15408
-7
国家信息安全标准体系框架
比较完整的安全保护框架应包括如下几个方面: 1、总体框架:明确安全等级保护模型,实现总体控制 总体框架: 总体框架 2、设计和实现过程控制 设计和实现过程控制:解决信息系统产品的安全等级功能与安全保证 设计和实现过程控制 的实现 3、设计与实现的结果控制 设计与实现的结果控制:解决安全产品及信息系统的评测与评估 设计与实现的结果控制 4、信息系统分层面安全控制 信息系统分层面安全控制:在物理及运行、支撑系统、网络、应用、 信息系统分层面安全控制 管理层面,分别采取安全保护措施 5、监督管理: 对信息安全系统实施安全等级监督管理 监督管理: 监督管理
计算机信息系统安全等级保护的五个层面 物理 层面 网络 层面 系统 层面 应用 层面 数据 层面
构建过程控制
测评过程控制
运行过程控制
- 13
2、配套系列标准
配套系列标准:按等级保护的要求,对建设、评估、 配套系列标准:按等级保护的要求,对建设、评估、监督 管理安全的计算机信息系统提供指导的标准, 、管理安全的计算机信息系统提供指导的标准,包括总体 框架标准、技术要求标准、评估准则标准、 框架标准、技术要求标准、评估准则标准、管理要求标准 管理评估标准等。 、管理评估标准等。 总体框架标准——为按等级保护的要求,实施信息系统安 为按等级保护的要求, 总体框架标准 为按等级保护的要求 全从总体上提供指导的标准; 全从总体上提供指导的标准; 要求类系列标准——为按等级保护的要求,建设安全的信 为按等级保护的要求, 要求类系列标准 为按等级保护的要求 息系统从技术和管理方面提供指导的标准; 息系统从技术和管理方面提供指导的标准; 信息安全等级保护基本要求》 《信息安全等级保护基本要求》 评估类系列标准——为按等级保护的要求,对安全的信息 为按等级保护的要求, 评估类系列标准 为按等级保护的要求 系统进行评估从技术和管理方面提供指导的标准; 系统进行评估从技术和管理方面提供指导的标准; 信息安全等级保护测评准则》 《信息安全等级保护测评准则》
1985年美国可信计 算机系统评估准则 (TCSEC)
国际通用准则 1996年(CC1.0) 1998年(CC2.0)
1989年 英国 可信级别标准 (MEMO 3 DTI) 德国评估标准(ZSEIC) 法国评估标准 (B-W-R BOOK)
- 12
计算机信息系统安全等级保护三维空间
第五级: 第五级:专有保护级 第四级: 第四级:强制保护级 第三级: 第三级:监督保护级 第二级: 第二级:指导保护级 第一级:自主保护级 第一级:
- 16
总体框架标准
目前国内关于总体框架标准已经制订了一些标准草案, 目前国内关于总体框架标准已经制订了一些标准草案,分别 为: 基本模型》 《信息系统安全等级保护 总体框架 基本模型》规定了 对信息系统实施安全等级保护的基本模型。 对信息系统实施安全等级保护的基本模型。对基本模型组成 部分进行说明。 部分进行说明。 体系结构》 《信息系统安全等级保护 总体框架 体系结构》从体系 结构的角度对信息系统安全等级保护的总体框架进行描述。 结构的角度对信息系统安全等级保护的总体框架进行描述。 信息系统安全保障评估框架》 《信息系统安全保障评估框架》主要技术内容包括对信 息系统的描述、其所处的安全环境(包括假设、 息系统的描述、其所处的安全环境(包括假设、所考虑的威 胁和组织安全策略)、所要达到的安全保障目标、 )、所要达到的安全保障目标 胁和组织安全策略)、所要达到的安全保障目标、所创建的 实际安全保障要求以及信息系统安全保障级的分级说明等。 实际安全保障要求以及信息系统安全保障级的分级说明等。 我们的任务是对上述标准框架进行针对国防科技工业信息化 的适用性评估与改进。 的适用性评估与改进。