新信息安全概论 教学课件 李剑 张然 第17章 信息系统等级保护与风险管理.pptVIP

版权所有，盗版必纠 第17章 信息系统等级保护与风险管理 李 剑 北京邮电大学信息安全中心 E-mail: lijian@ 电话：130概况 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。风险管理是安全管理的重要组成部分。它包括：风险评估、风险控制以及根据风险评估结果对信息系统的运行中的相关事项做出决策。等级保护是基本制度，风险评估是过程，风险管理是目标。 第17章 信息系统等级保护与风险管理 17.1 信息安全等级保护 17.1.1 我国信息安全等级保护 17.1.2 国外信息安全等级保护 17.2 信息安全风险管理 17.3 信息系统风险评估 17.3.1 信息安全风险评估概述 17.3.2 信息安全风险评估方法 思考题 17.1 信息安全等级保护 信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。 17.1.1 我国信息安全等级保护 1994年国务院颁布的 《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发 [2003]27 号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。 2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》（以下简称《管理办法》），明确了信息安全等级保护的具体要求。 17.1.1 我国信息安全等级保护 信息安全等级保护制度的实施，必将大大提高我国的信息安全水平，有力保护我国信息化建设成果。同时，我国相关的信息安全企业也将得到实惠。有关技术专家分析，国家对于信息系统以及相关安全产品进行等级划分，会使很多企事业单位的安全意识更加增强，有了这样的认识之后，信息安全厂商的相关产品才能够被广泛了解，安全厂商可以应针对等级划分要把自己的产品进行有针对性的调整，相关解决方案是否符合当前信息系统的安全需求也可以经过等级评估的检验。我国的信息系统的安全保护等级分为以下五级： 17.1.1 我国信息安全等级保护 (1) 第一级为自主保护级。由用户来决定如何对资源进行保护，以及采用何种方式进行保护。 本级别适用于一般的信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。 (2) 第二级为指导保护级。本级的安全保护机制支持用户具有更强的自主保护能力。特别是具有访问审记能力，即它能创建、维护受保护对象的访问审计跟踪记录，记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息，所有和安全相关的操作都能够被记录下来，以便当系统发生安全问题时，可以根据审记记录，分析追查事故责任人。 本级别适用于一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全。 (3) 第三级为监督保护级。具有第二级系统审计保护级的所有功能，并对访问者及其访问对象实施强制访问控制。通过对访问者和访问对象指定不同安全标记，限制访问者的权限。 本级别适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成损害。 17.1.1 我国信息安全等级保护 (4) 第四级为强制保护级。将前三级的安全保护能力扩展到所有访问者和访问对象，支持形式化的安全保护策略。其本身构造也是结构化的，以使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。 本级别适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害。 (5) 第五级为专控保护级。具备第四级的所有功能，还具有仲裁访问者能否访问某些对象的能力。为此，本级的安全保护机制不能被攻击、被篡改的，具有极强的抗渗透能力。 本级别适用于涉及国家安全