第1章 信息安全概述4.ppt

* 《计算机病毒防治管理办法》 中华人民共和国公安部第51号令《计算机病毒防治管理办法》对计算机病毒概念、计算机病毒主管部门、传播计算机病毒行为、计算机病毒疫情和违规责任等事项进行了详细说明。 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 传播计算机病毒行为：故意输入计算机病毒，危害计算机信息系统安全；向他人提供含有计算机病毒的文件、软件、媒体；销售、出租、附赠含有计算机病毒的媒体。 * 1.4.6 安全专用产品销售许可证制度 《安全保护条例》第十六条规定：国家对计算机信息系统安全专用产品的销售实行许可证制度。为了加强计算机信息系统安全专用产品的管理，保证安全专用产品的安全功能，维护计算机信息系统的安全，根据《安全保护条例》第十六条规定，公安部出台了第32号令《计算机信息系统安全专用产品检测和销售许可证管理办法》。其中第三条规定，中华人民共和国境内的安全专用产品进入市场销售，实行销售许可证制度。安全专用产品的生产者在其产品进入市场销售之前，必须申领《计算机信息系统安全专用产品销售许可证》。 * 我国信息安全测评认证体系 我国的测评认证体系由国家信息安全测评认证管理委员会、国家信息安全测评认证中心（）和授权分支机构组成。测评认证管理委员会在国家质量技术监督局的领导和管理下，负责测评认证的监管工作； 测评认证中心代表国家具体实施信息安全测评认证业务； 授权分支机构是认证中心根据业务发展和管理需要而授权成立的、具有测试评估能力的独立机构。 * 1.5 信息安全等级保护法规和标准 信息安全等级保护工作是我国为保障国家安全、社会秩序、公共利益以及公民、法人和其他组织合法权益强制实施的一项基本制度； 信息系统安全等级保护法规 《关于信息安全等级保护工作的实施意见》； 《信息安全等级保护管理办法》； 《关于开展全国重要信息系统安全等级保护定级工作的通知》； 《信息安全等级保护备案实施细则》； 《公安机关信息安全等级保护检查工作规范》； 《关于开展信息安全等级保护安全建设整改工作的指导意见》 * 信息安全等级保护的实施 信息安全等级保护意义； 信息安全等级保护原则； 对信息安全分等级、按标准进行建设、管理和监督； 信息安全等级保护内容 第一级至第五级分别称为自主保护、指导保护、监督保护、强制保护和专控保护等级 信息安全等级保护职责分工 * 信息安全等级保护划分 第一级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益； 第二级：…，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全； 第三级： …，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害； 第四级： …，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害； 第五级：信息系统受到破坏后，会对国家安全造成特别严重损害。 * 信息安全等级保护测评 依据《信息系统安全等级保护测评要求》技术标准，定期对信息系统安全等级状况开展等级测评； 第三级信息系统要求每年至少进行一次等级测评； 第四级信息系统要求每半年至少进行一次等级测评； 第五级信息系统要求依据特殊安全需求进行等级测评； 第三级以上信息系统必须选择具有我国自主知识产权；取得国家信息安全产品认证机构颁发的认证证书的信息安全产品进行保护 。 * 信息安全等级保护的建设 《计算机信息系统安全保护等级划分准则GB 17859》是基础性标准； 《信息系统安全等级保护基本要求 GB/T 22239》是整改的依据； 《信息系统安全等级保护定级指南GB/T 22240》为定级提供了技术支持； 《信息系统安全等级保护测评要求》提供了测评和评价方法； 《信息系统安全等级保护实施指南》是过程控制标准； 《信息系统等级保护安全设计技术要求》用于指导技术设计活动 * 信息系统安全等级保护定级 侵 害 对 象 侵 害 程 度 一般损害 严重损害 特别严重损害 公民、法人或其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 * 信息系统安全等级保护基本要求 * 国家信息安全保护常用法律法规 法律法规名称 颁布部门 颁布年份 中华人民共和国计算机信息系统安全保护条例 国务院147号令 1994-2-18 中国公用计算机互联网国际联网管理办法 邮电部493号令 1996-4-3 专用网与公用网联网的暂行规定 邮电部 1996-7-24 计算机信息系统安全专用产品检测和销售许可证管理办法 公安部令第32号令 19