信息安全法律法规我国的标准..pptVIP

网络信息安全等级保护制度 引 言 信息网络的全球化使得信息网络的安全问题也全球化起来，任何与互联网相连接的信息系统都必须面对世界范围内的网络攻击、数据窃取、身份假冒等安全问题。发达国家普遍发生的有关利用计算机进行犯罪的案件，绝大部分已经在我国出现。 引 言 当前计算机信息系统的建设者、管理者和使用者都面临着一个共同的问题，就是他们建设、管理或使用的信息系统是否是安全的？如何评价系统的安全性？ 这就需要有一整套用于规范计算机信息系统安全建设和使用的标准和管理办法。 等级保护制度的意义 1994 年，国务院发布了《中华人民共和国计算机信息系统安全保护条例》，该条例是计算机信息系统安全保护的法律基础。其中第九条规定“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。” 等级保护制度的意义 公安部在《条例》发布实施后便着手开始了计算机信息系统安全等级保护的研究和准备工作。等级管理的思想和方法具有科学、合理、规范、便于理解、掌握和运用等优点，因此，对计算机信息系统实行安全等级保护制度，是我国计算机信息系统安全保护工作的重要发展思路，对于正在发展中的信息系统安全保护工作更有着十分重要的意义。 等级保护制度的意义 为切实加强重要领域信息系统安全的规范化建设和管理，全面提高国家信息系统安全保护的整体水平，使公安机关公共信息网络安全监察工作更加科学、规范，指导工作更具体、明确，公安部组织制订了《计算机信息系统安全保护等级划分准则》国家标准，并于1999年9 月13日由国家质量技术监督局审查通过并正式批准发布，已于 2001年1月1日执行。 该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据，为安全产品的研制提供了技术支持，为安全系统的建设和管理提供了技术指导，是我国计算机信息系统安全保护等级工作的基础。 国外等级保护的发展历程 美国国防部早在80年代就针对国防部门的计算机安全保密开展了一系列有影响的工作，后来成立了所属的机构--国家计算机安全中心（NCSC）继续进行有关工作。 TCSEC 1984年美国国防部发布的《可信计算机系统评估准则》（Trusted Computer System Evaluation Criteria）即桔皮书。 目的： 为制造商提供一个安全标准； 为国防部各部门提供一个度量标准，用来评估计算机系统或其他敏感信息的可信度； 在分析、研究规范时，为指定安全需求提供基础。 TCSEC采用等级评估的方法，将计算机安全分为A、B、C、D四个等级八个级别，D等级安全级别最低，风险最高，A等级安全级别最高，风险最低； 评估类别： 安全策略 可审计性 保证 文档 无保护级（D级） 是为那些经过评估，但不满足较高评估等级要求的系统设计的，只具有一个级别 该类是指不符合要求的那些系统，因此，这种系统不能在多用户环境下处理敏感信息 自主保护级（C级） 具有一定的保护能力，采用的措施是身份认证、自主访问控制和审计跟踪 一般只适用于具有一定等级的多用户环境 具有对主体责任及其动作审计的能力 自主安全保护级（C1级) 控制访问保护级（C2级） 强制保护级 （B级） B类系统中的客体必须携带敏感标记（安全等级） TCB应维护完整的敏感标记，并在此基础上执行一系列强制访问控制规则 标记安全保护级（B1级） 结构保护级（B2级） 强制安全区域级（B3级） 验证保护级（A级） A类的特点是使用形式化的安全验证方法，保证系统的自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息 为证明TCB满足设计、开发及实现等各个方面的安全要求，系统应提供丰富的文档信息 Trusted Computing Base可靠计算基础。就是计算系统中的每个事物都提供了一个安全环境。这包括操作系统和它提供的安全机制，硬件，物理定位，网络硬件和软件，指定处理过程。具有代表性的是控制访问的防备，对特殊资源的授权，支持用户身份验证，抵抗病毒和其他对系统的渗透，还有数据备份。假设可靠计算基础已经或必须被测试和验证通过。 验证设计级（A1级） 超A1级 TCSEC 带动了国际计算机安全的评估研究。 90年代西欧四国（英、法、荷、德）联合提出了信息技术安全评估标准（ITSEC），ITSEC（又称欧洲白皮书）除了吸收TCSEC 的成功经验外，首次提出了信息安全的保密性、完整性、可用性的概念，把可信计算机的概念提高到可信信息技术的高度上来认识。他们的工作成为欧共体信息安全计划的基础，并对国际信息安全的研究、实施带来深刻的影响。 通用准则（Common Criteria） 来自六国七方的安全标准组织组合成的单一的、能被广泛使用的IT安全准则。 目的：解决各