第13章计算机信息系统安全保护制度.pptVIP

第13章 计算机信息系统安全保护制度 13.1 安全等级保护制度 13.2 信息流管理制度 13.3 计算机信息系统安全技术和专用产品管理制度 13.4 计算机案件报告制度 13.5软件安全技术 13.1 安全等级保护制度 13.1.1 信息的安全等级 13.1.2 计算机信息系统的安全等级 13.1.3 计算机安全等级 13.1.4 物理环境安全等级  13.1.1信息的安全等级 信息安全是指保护信息和信息系统，以避免未授权的访问、使用、泄漏、破坏、修改或者销毁，以确保信息的完整性、保密性和可用性。 －－《联邦信息安全管理法案》(FISMA)， 2002年3月 信息安全等级的具体划分在不同的地方有不同的标准。主要从信息完整性、保密性和可用性三个方面综合考虑 为了保障计算机信息系统的安全，规范其应用，促进其发展，我国早在1994年就颁布了《中华人民共和国计算机信息系统安全保护条例》。其中该条例第九条规定：“计算机信息系统实行安全等级保护”，这是我国计算机信息系统安全保护的一项基本制度。 由公安部、国家保密局、国际密码管理委员会办公室和国务院信息化工作办公室共同制定的《关于信息安全等级保护工作的实施意见》中将信息和信息系统的安全保护等级分为五级： 第一级为自主保护级，适用于一般的信息和信息系统； 第二级为指导保护级，适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统； 第三级为监督保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统； 第四级为强制保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统； 第五级为专控保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统。 1 信息保密安全等级 1988年9月5日公布的《中华人民共和国保守国家秘密法》( 简称《保密法》)，是我国目前还在使用的国家信息保密法规，其安全等级划分适用于计算机信息保密安全。 国家事务的重大决策中的秘密事项； 国防建设和武装力量活动中的秘密事项； 外交和外事活动中的秘密事项； 国民经济和社会发展中的秘密事项； 科学技术中的秘密事项； 维护国家安全活动和追查刑事犯罪中的秘密事项； 其他经国家保密工作部门确定应当保守的秘密事项。 《保密法》的第八条对国家秘密的解释   《保密法》第九条清晰指出，“国家秘密的密级分为‘绝密、‘机密’、‘秘密’三级。”它的划分是国家秘密对于国家的安全和利益的重要程度。  2 人员安全等级 《保密法》第二十七条规定：“国家秘密应当根据需要，限于一定范围的人员接触。绝密级的国家秘密，经过批准的人员才能接触。” 《保密法》第二十八条规定：“任用经管国家秘密事项的专职人员，应当按照国家保密工作部门和人事主管部门的规定予以审查批准。”这些都是以法定形式出现的，行之有效的人员管理准则。 在实际的计算机信息操作中，人员安全等级的划分主要表现在该人员对信息的访问能力和操作情况。借助访问的鉴别、控制机制等安全技术，可以控制不同的操作人员对系统的数据、功能之类等信息的读、增、删、改、复制等的操作能力。对同一信息，人员拥有的操作能力越高，则其安全等级也越高。 13.1.2计算机信息系统的安全等级 计算机信息系统的安全的等级划分与计算机信息的安全等级划分有所不同，除了看该信息系统对国家、集体或个人的安全和利益的重要程度外，计算机实体本身的财产价值，岗位的重要程度等因素，也是一个划分的重要依据。 金融电子化系统的安全等级 系统安全一级 系统安全二级 系统安全三级 系统安全四级 系统安全五级 系统安全一级 存储、处理和传输绝密信息的金融电子化系统。该系统中信息一旦泄露或破坏，会给国家安全和利益带来特别严重的损害，对金融业造成巨大的经济损失。因此，系统应能确保连续可用，不因局部的毁坏、故障、事故、差错造成系统效率的降低。 系统安全二级 存储、处理和传输机密信息的金融电子化系统。该系统中信息一旦泄露或破坏，会给国家安全和利益带来严重的损害，对金融业造成很大的经济损失。因此，系统应能连续可用，局部的毁坏、故障、事故、差错虽然可能影响了系统的效率，但仍能正确运行 系统安全三级 存储、处理和传输秘密信息的金融电子化系统。该系统中信息一旦泄露或破坏，会使国家安全和利益遭受损害，金融业造成一定的经济损失。因此，系统应能确保连续可用，不因局部的毁坏、故障、事故、差错造成系统效率的降低。 系统安全四级 存储、处理和传输不属于国际密级，但属金融业内部掌握、具有敏感性的金融电子化系统。该系统中的信息一旦泄露或破