信息安全管理4汇编.ppt

第三章 信息安全等级保护制度 信息系统安全等级划分准则 计算机信息系统安全等级保护系列标准的核心 实行计算机信息系统安全等级保护制度建设的重要基础 第一级 用户自主保护级 本级的计算机信息系统TCB通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏。 第二级 系统审计保护级 与用户自主保护级相比，本级的计算机信息系统TCB实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。 第三级 安全标记保护级 本级的计算机信息系统TCB具有系统审计保护级所有功能。此外，还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述；具有准确地标记输出信息的能力；消除通过测试发现的任何错误。 第四级 结构化保护级 本级的计算机信息系统TCB建立于一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。本级的计算机信息系统TCB必须结构化为关键保护元素和非关键保护元素。 第五级 访问验证保护级 本级的计算机信息系统TCB满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的；必须足够小，能够分析和测试。为了满足访问监控器需求，计算机信息系统可信计算基在其构造时，排除那些对实施安全策略来说并非必要的代码；在设计和实现时，从系统工程角度将其复杂性降低到最小程度。 网站安全 网络的缺陷 因特网在设计之初对共享性和开放性的强调，使得其在安全性方面存在先天的不足。其赖以生存的TCP/IP 协议族在设计理念上更多的是考虑该网络不会因局部故障而影响信息的传输，基本没有考虑安全问题，故缺乏应有的安全机制。因此它在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷，从而构成了对网络安全的重要隐患。 例如：多数底层协议为广播方式，多数应用层协议为明文传输， 缺乏保密 与认证机制，因此容易遭到欺骗和窃听 软件及系统的“漏洞”及后门 随着软件及网络系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免的存在，比如我们常用的操作系统，无论是Windows 还是UNIX 几乎都存在或多或少的安全漏洞，众多的服务器、浏览器、桌面软件等等都被发现存在很多安全隐患。任何一个软件系统都可能会因为程序员的一个疏忽或设计中的一个缺陷等原因留下漏洞。这也成为网络的不安全因素之一 黑客的攻击 黑客技术不再是一种高深莫测的技术，并逐渐被越来越多的人掌握。目前，世界上有20 多万个免费的黑客网站，这些站点从系统漏洞入手，介绍网络攻击的方法和各种攻击软件的使用，这样，系统和站点遭受攻击的可能性就变大了。加上现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，这些都使得黑客攻击具有隐蔽性好，“杀伤力”强的特点，构成了网络安全的主要威胁。 网络普及，安全建设滞后 网络硬件建设如火如荼，网络管理尤其是安全管理滞后，用户安全意识不强，即使应用了最好的安全设备也经常达不到预期效果 国内外黑客组织 北京绿色联盟技术公司 () 中国红客联盟() 中国鹰派() 中国黑客联盟 Hackweiser Prophet Acidklown Poizonbox Prime Suspectz Subex SVUN Hi-Tech 网络安全防护建议(1) 经常关注安全信息发布 Microsoft、Sun、hp、ibm等公司的安全公告 安全焦点 绿盟网站 网络安全防护建议(2) 经常性检查重要服务器、网络设备是否存在安全漏洞 微软安全基线检测工具 Nmap X-scan 流光 ISS-SCANNER等其他商业安全工具 Windows平台利用Msconfig检查启动项目 网络安全防护建议(3) 根据安全公告、扫描结果及时打补丁或升级软件 利用签名工具对系统重要文件进行签名，经常检查有无变化，防止木马植入 关闭服务器或网络设备上不必要的功能或服务 制定切实可行的安全策略，形成制度并强制执行 * 信息安全管理（四） 信息安全等级保护是指将信息系统按照重要性划分不同的安全级别，在每个级别进行相应的安全保护的思想。 国务院令147号《中华人民共和国计算机信息系统安全保护条例》第九条规定：计算机信息系统实行安全等级保护。 《信息安全等级保护管理办法》 第十五条 已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 新建第二级以上信息系统，应当在投入运行后30日内，由其运营