主讲教师：董庆宽研究方向：密码学与信息安全Email

1、主讲教师主讲教师：董庆宽：董庆宽研究方向研究方向：密码学与信息安全：密码学与信息安全Email Email ：个人主页个人主页：http:/ /网教院培训课程：信息系统安全网教院培训课程：信息系统安全第三章第三章 信息安全保障体系信息安全保障体系 2/83内容提要内容提要3.1 信息保障体系的基本概念信息保障体系的基本概念3.2 信息保障体系的构成信息保障体系的构成l3.2.1 国家信息保障体系的构成国家信息保障体系的构成l3.2.2 信息保障体系模型信息保障体系模型l3.2.3 信息安全保障体系框架信息安全保障体系框架l3.2.4 信息保障体系设计和建设的基本原则信息保障体系设计和建设的基本

2、原则3.3信息系统安全等级保护信息系统安全等级保护l3.3.1 等级保护建设的相关国际标准等级保护建设的相关国际标准l3.3.2 信息及信息系统的分级信息及信息系统的分级l3.3.3 等级保护技术分级等级保护技术分级l3.3.4 等级保护要素与实施过程等级保护要素与实施过程3/83当前的信息安全已经发展到信息保障时代当前的信息安全已经发展到信息保障时代 (IA, Information assurance)信息保障的概念源自于美国，信息保障的概念源自于美国， 1996年美国国防年美国国防部部(DoD)在国防部令在国防部令S600.1中对信息保障做中对信息保障做了如下定义：了如下定义：l保护和防

3、御信息及信息系统，确保其可用性、保护和防御信息及信息系统，确保其可用性、完整性、保密性、可认证性和不可否认性等完整性、保密性、可认证性和不可否认性等特性。特性。3.1 信息保障体系的基本概念信息保障体系的基本概念第三章第三章 信息安全保障体系信息安全保障体系3.1 3.1 信息保障体系的基本概念信息保障体系的基本概念4/833.1 信息保障体系的基本概念信息保障体系的基本概念信息保障在内涵上包括在信息系统中融入保护信息保障在内涵上包括在信息系统中融入保护(Protect)、检测、检测(Detect)、反应、反应(React)和提供对和提供对信息系统的恢复功能信息系统的恢复功能(Restore)

4、，它们构成以安全，它们构成以安全策略为中心的策略为中心的PDRR动态信息保障模型动态信息保障模型P-PDRR第三章第三章 信息安全保障体系信息安全保障体系3.1 3.1 信息保障体系的基本概念信息保障体系的基本概念保护保护Protect检测检测Detect恢复恢复Restore反应反应React安全安全策略策略5/83美国国家安全局美国国家安全局(NSA),1998年制定年制定信息保障技术框架信息保障技术框架(IATF),提出了提出了l主动防护主动防护l即在安全事件发生前对系统面临的威胁和风险、系统中存在的即在安全事件发生前对系统面临的威胁和风险、系统中存在的漏洞进行主动的分析和检测，并针对问

5、题进行及时的防护；同漏洞进行主动的分析和检测，并针对问题进行及时的防护；同时在事件发生时能够采取有效的应急手段将安全风险和损失降时在事件发生时能够采取有效的应急手段将安全风险和损失降到最小；事件发生后及时恢复到最小；事件发生后及时恢复l深度防御策略深度防御策略l即从物理即从物理,网络网络,应用应用,系统系统,管理等各个层面综合防护管理等各个层面综合防护2002年年9月，颁布月，颁布信息保障技术框架信息保障技术框架3.1版本版本l信息保障已经成为国家战略信息保障已经成为国家战略主动防护、纵深防御、主动防护、纵深防御、P-PDRR是信息保障的重要标志是信息保障的重要标志3.1 信息保障体系的基本概

6、念信息保障体系的基本概念第三章第三章 信息安全保障体系信息安全保障体系3.1 3.1 信息保障体系的基本概念信息保障体系的基本概念6/83在深度防御策略中，将信息系统安全划分为五个在深度防御策略中，将信息系统安全划分为五个层面进行综合防护，即层面进行综合防护，即l物理层安全、系统层安全、网络层安全、管理层安全、物理层安全、系统层安全、网络层安全、管理层安全、应用层安全应用层安全五个层面的递次关系为五个层面的递次关系为l首先是物理安全，保障基本设施层面的安全首先是物理安全，保障基本设施层面的安全l然后在物理设备上运行的操作系统要安全可信然后在物理设备上运行的操作系统要安全可信l进一步保障系统内部

7、和系统之间的网络传输的安全进一步保障系统内部和系统之间的网络传输的安全l在上述构建的基础信息网络环境下构建的应用的安全在上述构建的基础信息网络环境下构建的应用的安全l最后要保障管理方面的安全最后要保障管理方面的安全3.1 信息保障体系的基本概念信息保障体系的基本概念第三章第三章 信息安全保障体系信息安全保障体系3.1 3.1 信息保障体系的基本概念信息保障体系的基本概念7/833.2.1国家信息保障体系的构成国家信息保障体系的构成国家信息安全保障体系因国家而异，但如下的基国家信息安全保障体系因国家而异，但如下的基础设施和体系是不可或缺的础设施和体系是不可或缺的l法律监管体系法律监管体系l提供法

8、律保障，执法机关对信息安全的监管，如数字签名法提供法律保障，执法机关对信息安全的监管，如数字签名法l国务院国务院147号令：信息安全保障方面的法规号令：信息安全保障方面的法规中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例l1997年修改的刑法中对计算机犯罪进行规定年修改的刑法中对计算机犯罪进行规定l基础网络设施安全保障体系基础网络设施安全保障体系l信任体系的建设信任体系的建设l网络中的信任危机、信任抵赖如何解决网络中的信任危机、信任抵赖如何解决l建立以密码技术为支撑的网上信任体系极为重要，如建立以密码技术为支撑的网上信任体系极为重要，如PKI等等第三章第三章

9、信息安全保障体系信息安全保障体系3.2 3.2 信息保障体系的构成信息保障体系的构成8/83l应急响应体系建设应急响应体系建设l一个组织为了应对各种安全事件的发生而在事发前所一个组织为了应对各种安全事件的发生而在事发前所做的准备工作和在事件发生时及发生后所采取的紧急做的准备工作和在事件发生时及发生后所采取的紧急措施措施l监督控制体系的建设监督控制体系的建设l互联网有害信息内容的监督和控制互联网有害信息内容的监督和控制l信息安全保障技术标准体系信息安全保障技术标准体系l涉及技术、产品、管理、服务方面的标准涉及技术、产品、管理、服务方面的标准l军事战术环境的信息保障军事战术环境的信息保障3.2.1

10、国家信息保障体系的构成国家信息保障体系的构成第三章第三章 信息安全保障体系信息安全保障体系3.2 3.2 信息保障体系的构成信息保障体系的构成9/83l人才教育培养体系人才教育培养体系l信息安全人才培养极为重要，有多种渠道信息安全人才培养极为重要，有多种渠道学历教育信息安全专业学历教育信息安全专业专业培训各种认证专业培训各种认证CISSP职业培训对相关人员的安全意识和常识的培训职业培训对相关人员的安全意识和常识的培训招安：黑客招安：黑客l技术支撑队伍体系技术支撑队伍体系l各种从事信息安全的组织，需要多种类型各种从事信息安全的组织，需要多种类型基础理论研究基础理论研究新技术研究新技术研究产品研发

11、产品研发安全服务、外包安全服务、外包3.2.1国家信息保障体系的构成国家信息保障体系的构成第三章第三章 信息安全保障体系信息安全保障体系3.2 3.2 信息保障体系的构成信息保障体系的构成10/83组织内部信息安全保障体系组织内部信息安全保障体系l一个国家中的社会由不同规模、职能、性质的一个国家中的社会由不同规模、职能、性质的组织构成，不同的组织具有个性化特点，组织构成，不同的组织具有个性化特点， 构成构成不同层次的信息系统，一套安全解决方案不适不同层次的信息系统，一套安全解决方案不适合所有的组织合所有的组织l整体解决组织整体解决组织(单位单位)内部安全问题需要全面分内部安全问题需要全面分析安

12、全需求，综合设计，析安全需求，综合设计，组织内部的安全问题，组织内部的安全问题，应该从构建信息安全保障体系思想解决应该从构建信息安全保障体系思想解决3.2.1国家信息保障体系的构成国家信息保障体系的构成第三章第三章 信息安全保障体系信息安全保障体系3.2 3.2 信息保障体系的构成信息保障体系的构成11/83信息保障在信息系统安全知识体系中的地位信息保障在信息系统安全知识体系中的地位lTCB提供了信息系统安全的结构和范畴提供了信息系统安全的结构和范畴l安全控制是信息系统安全原理的核心安全控制是信息系统安全原理的核心l安全模型是策略描述与实现的依据安全模型是策略描述与实现的依据l安全技术是安全控

13、制的具体措施和功能安全技术是安全控制的具体措施和功能l信息保障模型是安全实现的内在联系机制，是信息保障模型是安全实现的内在联系机制，是CC的原的原理理3.2.1国家信息保障体系的构成国家信息保障体系的构成第三章第三章 信息安全保障体系信息安全保障体系3.2 3.2 信息保障体系的构成信息保障体系的构成12/833.2.2 信息保障体系模型信息保障体系模型组织内部的信息安全保障体系目前没有统一标准组织内部的信息安全保障体系目前没有统一标准l有一些典型的信息安全保障体系模型，受到普遍关注有一些典型的信息安全保障体系模型，受到普遍关注的有如下两个的有如下两个lP-PDRR模型模型基于策略的基于策略的

14、PDRR模型是一个简单有效的动态模型模型是一个简单有效的动态模型lAPPDRR全网动态安全模型全网动态安全模型对对PDRR模型的一个修补模型的一个修补l提出了一些信息保障体系框架提出了一些信息保障体系框架l信息保障的要素及其之间的关系信息保障的要素及其之间的关系第三章第三章 信息安全保障体系信息安全保障体系3.2 3.2 信息保障体系的构成信息保障体系的构成13/83APPDRR全网动态安全模型全网动态安全模型l如图所示，该模型认为：如图所示，该模型认为：l信息系统安全风险分析制定策略系统防护实时监测信息系统安全风险分析制定策略系统防护实时监测 实时响应灾难恢复实时响应灾难恢复l以上六个方面组

15、成一个闭环结构以上六个方面组成一个闭环结构第二章所述的安全模型仅解决了对已有安全策略采用何种安全机制第二章所述的安全模型仅解决了对已有安全策略采用何种安全机制防护的问题，即系统防护这个环节防护的问题，即系统防护这个环节特点特点l全面性、动态性全面性、动态性l可实施性可实施性l各部分之间的动态关系与依赖性各部分之间的动态关系与依赖性3.2.2 信息保障体系模型信息保障体系模型第三章第三章 信息安全保障体系信息安全保障体系3.2 3.2 信息保障体系的构成信息保障体系的构成14/83APPDRR模型通过对网络风险进行分析、量化，建立安全模型通过对网络风险进行分析、量化，建立安全模型，提供全方位的、

16、整体安全解决方案模型，提供全方位的、整体安全解决方案APPDRR动态安全体系模型本身是一个循环的模型，强调动态安全体系模型本身是一个循环的模型，强调的是全网安全和动态安全。的是全网安全和动态安全。l全网安全全网安全是指在网络系统中，综合考虑技术、管理、规是指在网络系统中，综合考虑技术、管理、规范、行业法规等各个环节，在网络运行各个阶段，分析范、行业法规等各个环节，在网络运行各个阶段，分析网络的参考点和安全的各个层次，采取安全技术和安全网络的参考点和安全的各个层次，采取安全技术和安全管理手段，从整个网络安全需求出发，构建网络的安全管理手段，从整个网络安全需求出发，构建网络的安全架构架构l安全不是

17、一成不变的、静态的，而是安全不是一成不变的、静态的，而是“动态动态”的安全。的安全。动态安全动态安全体系必须体系必须能包容新的情况，及时作出联动反应能包容新的情况，及时作出联动反应3.2.2 信息保障体系模型信息保障体系模型第三章第三章 信息安全保障体系信息安全保障体系3.2 3.2 信息保障体系的构成信息保障体系的构成15/83APPDRR模型为网络系统建立了模型为网络系统建立了4道防线，即继道防线，即继承了承了P-PDRR的特性的特性l(1)安全防护，阻止对网络的入侵和危害安全防护，阻止对网络的入侵和危害l加密、访问控制、认证、加密、访问控制、认证、l(2)安全监测，及时发现入侵和破坏安全

18、监测，及时发现入侵和破坏l审计、审计、IDS、扫描、扫描l(3)实时响应，当攻击发生时维持网络打不垮实时响应，当攻击发生时维持网络打不垮lIPS、应急响应、网络可生存性、应急响应、网络可生存性l(4)恢复，使网络在遭受攻击后能以最快的速度恢复，使网络在遭受攻击后能以最快的速度“起死起死回生回生”，最大程度上降低安全事件带来的损失。，最大程度上降低安全事件带来的损失。3.2.2 信息保障体系模型信息保障体系模型第三章第三章 信息安全保障体系信息安全保障体系3.2 3.2 信息保障体系的构成信息保障体系的构成16/833.2.3 信息保障体系框架信息保障体系框架信息保障体系框架描述了信息系统安全保

19、障的要素及其之信息保障体系框架描述了信息系统安全保障的要素及其之间的关系，而信息保障模型是基于该框架进行信息系统安间的关系，而信息保障模型是基于该框架进行信息系统安全防护和保障体系建设的重要依据全防护和保障体系建设的重要依据l框架说明了保障的要素，模型说明了如何做框架说明了保障的要素，模型说明了如何做目前典型的信息保障体系框架有目前典型的信息保障体系框架有l美国信息保障体系框架美国信息保障体系框架l2002年修改后的年修改后的信息保障体系框架信息保障体系框架3.1版本版本l该框架本课程不做详细讨论该框架本课程不做详细讨论l启明星辰的保障体系框架启明星辰的保障体系框架l三维信息系统安全保障体系模

20、型三维信息系统安全保障体系模型第三章第三章 信息安全保障体系信息安全保障体系3.2 3.2 信息保障体系的构成信息保障体系的构成17/83启明星辰的信息保障体系框架启明星辰的信息保障体系框架启明星辰理解信息安全保障的六大模型和思路启明星辰理解信息安全保障的六大模型和思路1. ITA信息体系架构：明确保护的对象信息体系架构：明确保护的对象(信息、威胁、资信息、威胁、资产产)，理解需要保护的信息资产及其结构的典型方法就，理解需要保护的信息资产及其结构的典型方法就是是安全域安全域(TCB所有安全功能的操作控制及其所涉及的所有安全功能的操作控制及其所涉及的主体和客体主体和客体)2. CIA信息安全属性

21、。从信息安全保护目标信息安全属性。从信息安全保护目标(机密性、完整机密性、完整性和可用性性和可用性)入手考虑信息安全保障体系建设入手考虑信息安全保障体系建设3. 管理和执行模型：管理主要指建立管理和执行模型：管理主要指建立ISMS(信息安全管理信息安全管理体系体系)，在，在BS7799框架基础上提出框架基础上提出12ISMC框架。在框架。在执行模型方面，提出包含执行模型方面，提出包含决策层、运营层和运行层决策层、运营层和运行层三个三个执行层次的执行层次的VITA模型模型l安全防护措施由管理和技术两个方面组成，二者并重安全防护措施由管理和技术两个方面组成，二者并重3.2.3 信息保障体系框架信息

22、保障体系框架第三章第三章 信息安全保障体系信息安全保障体系3.2 3.2 信息保障体系的构成信息保障体系的构成18/834. 以以PDR(防护、检测、响应防护、检测、响应)为代表的动态信息安全模型，为代表的动态信息安全模型，从信息安全方面阐述，也有自己的从信息安全方面阐述，也有自己的APPDRR模型，如模型，如赵战生的赵战生的WPDRRC(预警预警warning、保护、检测、反应、保护、检测、反应、恢复和反击恢复和反击counterattack)5. 风险管理方法：提供一种评价和决策的方法，其它类风险管理方法：提供一种评价和决策的方法，其它类似的方法还有业务连续性管理和投资汇报管理似的方法还有

23、业务连续性管理和投资汇报管理l启明星辰认为：信息安全的本质是风险管理，与风险管理密切启明星辰认为：信息安全的本质是风险管理，与风险管理密切相关的是企业的资产、资产面临的威胁及采取的安全防护措施相关的是企业的资产、资产面临的威胁及采取的安全防护措施6. 基于生命周期的过程方法、工程方法：基于生命周期的过程方法、工程方法：lPDCA(策划、实施、检查、改进策划、实施、检查、改进)方法方法PlanDoCheckAction l2080原则：用原则：用20%的资源解决的资源解决80%的问题的问题3.2.3 信息保障体系框架信息保障体系框架第三章第三章 信息安全保障体系信息安全保障体系3.2 3.2 信

24、息保障体系的构成信息保障体系的构成19/83启明星辰信息安全保障体系总体框架启明星辰信息安全保障体系总体框架3.2.3 信息保障体系框架信息保障体系框架第三章第三章 信息安全保障体系信息安全保障体系3.2 3.2 信息保障体系的构成信息保障体系的构成20/83三维信息系统安全保障体系模型三维信息系统安全保障体系模型对于一个组织应按下对于一个组织应按下图建立自己的信息安图建立自己的信息安全保障体系全保障体系3.2.3 信息保障体系框架信息保障体系框架第三章第三章 信息安全保障体系信息安全保障体系3.2 3.2 信息保障体系的构成信息保障体系的构成21/83过程维过程维l是与时间有关的过程，既反应

25、了信息系统的生命周期，是与时间有关的过程，既反应了信息系统的生命周期，也反应了在这个周期中的工程过程也反应了在这个周期中的工程过程措施维措施维l包括：包括：安全技术保障安全技术保障、安全管理保障安全管理保障和和安全工程保障安全工程保障，从三个方面构成了一个完整的信息系统安全保障体系。从三个方面构成了一个完整的信息系统安全保障体系。当然不同安全等级其保障的强度是不一样的当然不同安全等级其保障的强度是不一样的三个保障体系是有机的整体三个保障体系是有机的整体l如风险评估即是安全运行维护的基本方法，也是工程保如风险评估即是安全运行维护的基本方法，也是工程保障的基本方法，同时又是风险管理的基础障的基本方

26、法，同时又是风险管理的基础3.2.3 信息保障体系框架信息保障体系框架第三章第三章 信息安全保障体系信息安全保障体系3.2 3.2 信息保障体系的构成信息保障体系的构成22/83技术保障体系是由两个大的体系构成的技术保障体系是由两个大的体系构成的l信息的保护体系信息的保护体系l实际上也是一个三维问题，不同安全等级的信息系统实际上也是一个三维问题，不同安全等级的信息系统各个层面的安全需求不一样，如三维体系图。各个层面的安全需求不一样，如三维体系图。l系统的安全运行维护体系系统的安全运行维护体系l安全运行维护是一个技术与管理相互严重交织的体系安全运行维护是一个技术与管理相互严重交织的体系3.2.3

27、 信息保障体系框架信息保障体系框架第三章第三章 信息安全保障体系信息安全保障体系3.2 3.2 信息保障体系的构成信息保障体系的构成23/83运行维护技术体系运行维护技术体系3.2.3 信息保障体系框架信息保障体系框架第三章第三章 信息安全保障体系信息安全保障体系3.2 3.2 信息保障体系的构成信息保障体系的构成24/833.2.4 信息保障体系设计和建设原则信息保障体系设计和建设原则信息保障体系设计要根据设计需求、需要信息保障体系设计要根据设计需求、需要达到的安全目标、对应安全机制所需的安达到的安全目标、对应安全机制所需的安全服务等因素来综合考虑。全服务等因素来综合考虑。基本原则一：个性化

28、原则和实用性原则基本原则一：个性化原则和实用性原则l一个组织的信息系统总有独特的地方，这些独一个组织的信息系统总有独特的地方，这些独特的地方决定了其安全需求的独特要求特的地方决定了其安全需求的独特要求l实用性是指可实施性、可管理性、可扩展性实用性是指可实施性、可管理性、可扩展性25/83基本原则二、主动防御，综合防范基本原则二、主动防御，综合防范l主动防御主动防御l坚持动态发展原则，要根据网络安全的变化不断调整坚持动态发展原则，要根据网络安全的变化不断调整安全措施，适应新的网络环境，满足新的网络安全需安全措施，适应新的网络环境，满足新的网络安全需求，评估，修补漏洞求，评估，修补漏洞，等等。，等

29、等。l综合防范综合防范l将安全事件的各个阶段纳入到安全防范体系的全局去将安全事件的各个阶段纳入到安全防范体系的全局去考虑考虑l安全事件的处理从多个层面给出了多种技术，需要各安全事件的处理从多个层面给出了多种技术，需要各种技术的集成与协作，实现整体联动种技术的集成与协作，实现整体联动3.2.4 信息保障体系设计和建设原则信息保障体系设计和建设原则26/83基本原则三、网络信息安全的木桶原则基本原则三、网络信息安全的木桶原则l木桶原则是指对信息进行均衡、全面的保护。木桶原则是指对信息进行均衡、全面的保护。l“木桶的最大容积取决于最短的一块木板木桶的最大容积取决于最短的一块木板”。l安全机制和安全服

30、务设计的首要目的是防止最常用的安全机制和安全服务设计的首要目的是防止最常用的攻击手段，攻击手段，根本目的是提高整个系统的根本目的是提高整个系统的“安全最低点安全最低点”的安全性能的安全性能基本原则四：动态性原则基本原则四：动态性原则l安全是一个过程，应从以下几个方面理解信息系统安安全是一个过程，应从以下几个方面理解信息系统安全的动态性全的动态性l1)信息安全本身的动态性信息安全本身的动态性l2)安全事件是动态的过程安全事件是动态的过程l3)基于过程的动态管理基于过程的动态管理3.2.4 信息保障体系设计和建设原则信息保障体系设计和建设原则27/83基本原则五、技术与管理相结合原则基本原则五、技

31、术与管理相结合原则l安全体系是一个复杂的系统工程，涉及人、技术、操作等要素，安全体系是一个复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。因此，必须将各种安全技术单靠技术或单靠管理都不可能实现。因此，必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设与运行管理机制、人员思想教育与技术培训、安全规章制度建设等相结合。等相结合。基本原则六、适度风险或等级性原则基本原则六、适度风险或等级性原则l等级性原则是指安全层次和安全级别。良好的信息安全系统必然等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的，包括：是分为不同等级的，包括

32、：l对信息保密程度、用户操作权限、网络安全程度、系统实现结构分级对信息保密程度、用户操作权限、网络安全程度、系统实现结构分级l零风险是不存在的，也没必要追求零风险是不存在的，也没必要追求l解决信息安全问题的解决信息安全问题的“三不三不”l不存在一成不变的模式、不存在普遍适用的解决方案、不存在一劳永不存在一成不变的模式、不存在普遍适用的解决方案、不存在一劳永逸的技术和产品逸的技术和产品3.2.4 信息保障体系设计和建设原则信息保障体系设计和建设原则28/833.3.1 等级保护建设的相关国际标准等级保护建设的相关国际标准3.3.2 信息及信息系统的分级信息及信息系统的分级3.3.3 等级保护技术

33、分级等级保护技术分级3.3.4 等级保护要素与实施过程等级保护要素与实施过程3.3 信息系统安全等级保护信息系统安全等级保护第三章第三章 信息安全保障体系信息安全保障体系3.3 3.3 信息系统安全等级保护信息系统安全等级保护29/833.3.1等级保护建设的相关国等级保护建设的相关国际标准际标准等级保护是一种普遍的技术策略等级保护是一种普遍的技术策略l其核心思想是将安全策略、安全责任和安全保证等计算机信息系统安其核心思想是将安全策略、安全责任和安全保证等计算机信息系统安全需求划分为不同等级全需求划分为不同等级l国家、企业和个人依据不同等级的要求有针对性地保护信息系统安全国家、企业和个人依据不

34、同等级的要求有针对性地保护信息系统安全具体而言，信息安全等级保护是指具体而言，信息安全等级保护是指l对国家秘密对国家秘密信息信息、法人和其他组织及公民的专有信息以及公开信息和、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的存储、传输、处理这些信息的信息系统分等级实行安全保护信息系统分等级实行安全保护l对信息系统中使用的对信息系统中使用的信息安全产品信息安全产品实行实行按等级管理按等级管理，l对信息系统中发生的信息对信息系统中发生的信息安全事件分等级响应、处置安全事件分等级响应、处置。最早给信息系统进行安全定级的是美国的最早给信息系统进行安全定级的是美国的TCSEC，对计

35、算对计算机操作系统提出了等级划分的依据，机操作系统提出了等级划分的依据，是计算机系统安全评价是计算机系统安全评价的第一个正式标准的第一个正式标准第三章第三章 信息安全保障体系信息安全保障体系3.3 3.3 信息系统安全等级保护信息系统安全等级保护30/83TCSEC提出了计算机操作系统的提出了计算机操作系统的6项基本项基本TCB(可可信计算基信计算基)需求，需求，4项属于访问控制，项属于访问控制，2项涉及安全项涉及安全保障保障l(1)安全策略：必须有一个显式和良好定义的安全策略安全策略：必须有一个显式和良好定义的安全策略由该系统实现由该系统实现l(2)标记：存取控制标签必须对应于对象标记：存取

36、控制标签必须对应于对象 （对客体标记（对客体标记）l(3)标识：每一个主体都必须标识标识：每一个主体都必须标识l(4)审计：必须将安全的相关事件给予记录审计：必须将安全的相关事件给予记录l(5)保证：必须有软件和硬件保证上述保证：必须有软件和硬件保证上述4项功能实现项功能实现l(6)连续保护：必须对信任机制的连续性进行保护连续保护：必须对信任机制的连续性进行保护 3.3.1等级保护建设的相关国等级保护建设的相关国际标准际标准第三章第三章 信息安全保障体系信息安全保障体系3.3 3.3 信息系统安全等级保护信息系统安全等级保护31/83TCSEC将操作系统按照将操作系统按照TCB措施的多少和水平

37、，将操作措施的多少和水平，将操作系统划分为四类系统划分为四类7个等级个等级D类，最低级类，最低级，仅一个级别，所有不满足高级别要求的系，仅一个级别，所有不满足高级别要求的系统均划入该级别；只为文件和用户提供安全保护统均划入该级别；只为文件和用户提供安全保护C类，为自主保护类类，为自主保护类，能够提供审慎的保护，并为用户的，能够提供审慎的保护，并为用户的行动和责任提供审计能力，分为行动和责任提供审计能力，分为C1级和级和C2级；级；lC1级系统：可信计算基级系统：可信计算基TCB通过通过用户和数据用户和数据分开来达到安全目的，分开来达到安全目的，使所有的用户都使所有的用户都以同样的灵敏度处理数据

38、以同样的灵敏度处理数据l可认为所有文档有相同机密性可认为所有文档有相同机密性 lC2级系统：在级系统：在C1基础上，基础上，通过登录、安全事件和资源隔离增强通过登录、安全事件和资源隔离增强可可调的审慎控制调的审慎控制。在连接到网上时，用户分别对自己的行为负责。在连接到网上时，用户分别对自己的行为负责。 l适合商用系统，目前适合商用系统，目前Windows和和Linux系统都是系统都是C2级级3.3.1等级保护建设的相关国等级保护建设的相关国际标准际标准第三章第三章 信息安全保障体系信息安全保障体系3.3 3.3 信息系统安全等级保护信息系统安全等级保护32/83B类，为强制保护类类，为强制保护

39、类，分为，分为B1级、级、B2级和级和B3级三级三个级别；个级别；l强制性意味着在没有与安全等级相连的情况下，系统就强制性意味着在没有与安全等级相连的情况下，系统就不会让用户存取对象不会让用户存取对象lB1级系统级系统: (实施强制访问控制实施强制访问控制)l对每个对象都进行对每个对象都进行敏感度标记敏感度标记，导入非标记对象前要先标记它，导入非标记对象前要先标记它们；们；l用敏感度标记作为强制访问控制的基础；用敏感度标记作为强制访问控制的基础； l敏感度标记必须准确地表示其所联系的对象的安全级别；敏感度标记必须准确地表示其所联系的对象的安全级别； l系统必须使用系统必须使用用户口令或身份认证

40、用户口令或身份认证来决定用户的安全访问级别；来决定用户的安全访问级别；l系统必须通过系统必须通过审计审计来记录未授权访问的企图来记录未授权访问的企图3.3.1等级保护建设的相关国等级保护建设的相关国际标准际标准第三章第三章 信息安全保障体系信息安全保障体系3.3 3.3 信息系统安全等级保护信息系统安全等级保护33/83lB2级系统：级系统：l必须符合必须符合B1级系统的所有要求；级系统的所有要求；l系统管理员必须使用一个系统管理员必须使用一个明确的、文档化的安全策略明确的、文档化的安全策略模式作为系统可信任运算基础体制；可信任运算基础模式作为系统可信任运算基础体制；可信任运算基础体制能够支持

41、独立的操作者和管理员；体制能够支持独立的操作者和管理员； l只有用户能够在只有用户能够在可信任通信路径可信任通信路径中进行初始化通信；中进行初始化通信；l进行进行隐蔽信道分析隐蔽信道分析；l所有与用户相关的所有与用户相关的网络连接的改变必须通知所有的用网络连接的改变必须通知所有的用户户3.3.1等级保护建设的相关国等级保护建设的相关国际标准际标准第三章第三章 信息安全保障体系信息安全保障体系3.3 3.3 信息系统安全等级保护信息系统安全等级保护34/83lB3级系统：级系统： （更加强调安全管理）（更加强调安全管理）l具有很强的具有很强的监视委托管理访问能力和抗干扰能力监视委托管理访问能力和

42、抗干扰能力。要求：。要求：l必须符合必须符合B2系统所有安全需求；系统所有安全需求；l必须设有必须设有安全管理员安全管理员；l除控制个别对象的访问外，必须产生一个可读的安全列表；每个被除控制个别对象的访问外，必须产生一个可读的安全列表；每个被命名的对象提供对该对象没有访问的用户列表说明；命名的对象提供对该对象没有访问的用户列表说明；l系统验证每一个用户身份，并会发送一个取消访问的审计跟踪消息；系统验证每一个用户身份，并会发送一个取消访问的审计跟踪消息；l设计者必须正确区分可信任路径和其他路径；设计者必须正确区分可信任路径和其他路径；l可信任的通信基础体制为每一个被命名的对象建立安全审计跟踪；可

43、信任的通信基础体制为每一个被命名的对象建立安全审计跟踪；l可信任的运算基础体制支持独立的安全管理可信任的运算基础体制支持独立的安全管理3.3.1等级保护建设的相关国等级保护建设的相关国际标准际标准第三章第三章 信息安全保障体系信息安全保障体系3.3 3.3 信息系统安全等级保护信息系统安全等级保护35/83A类为验证保护类类为验证保护类(只含只含1级级)最高安全级别最高安全级别 lA1级与级与B3级相似，对系统的结构和策略不作特别要求，级相似，对系统的结构和策略不作特别要求，而而系统的设计者必须按照一个正式的设计规范进行系统系统的设计者必须按照一个正式的设计规范进行系统分析分析；分析后必须用核

44、对技术确保系统符合设计规范。；分析后必须用核对技术确保系统符合设计规范。A1系统必须满足：系统必须满足： l系统管理员系统管理员必须接收到开发者提供的安全策略正式模型；必须接收到开发者提供的安全策略正式模型； l所有的安装操作都必须由系统管理员进行；所有的安装操作都必须由系统管理员进行；l系统管理员进行的每一步安装操作必须有正式的文档。系统管理员进行的每一步安装操作必须有正式的文档。 3.3.1等级保护建设的相关国等级保护建设的相关国际标准际标准第三章第三章 信息安全保障体系信息安全保障体系3.3 3.3 信息系统安全等级保护信息系统安全等级保护36/8337/83ITSEC：lITSEC于于

45、1990年推出第一版草稿，并最终于年推出第一版草稿，并最终于1995年由年由欧盟会议批准。欧盟会议批准。lITSEC比比TCSEC更灵活更灵活。二者。二者的主要区别在于，的主要区别在于，ITSEC不单针对了保密性，同时也把完整性和可用性作不单针对了保密性，同时也把完整性和可用性作为评估的标准之一为评估的标准之一。lITSEC的制定认识到的制定认识到IT系统安全的实现通常是要系统安全的实现通常是要将技术将技术和非技术手段结合和非技术手段结合起来，技术手段用来抵御威胁，而组起来，技术手段用来抵御威胁，而组织和管理手段则用来指导实现。织和管理手段则用来指导实现。3.3.1等级保护建设的相关国等级保护

46、建设的相关国际标准际标准第三章第三章 信息安全保障体系信息安全保障体系3.3 3.3 信息系统安全等级保护信息系统安全等级保护38/83lITSEC的安全等级划分与的安全等级划分与TCSEC不同，他分为功能性等级（不同，他分为功能性等级（F）和保证性等级（和保证性等级（E），这两个等级的具体内容如下：），这两个等级的具体内容如下：lE3级别被认为是最常用的安全产品评估标准，安全操作系统或级别被认为是最常用的安全产品评估标准，安全操作系统或数据库系统通常会使用数据库系统通常会使用F2+E3这个结合来进行评估。这个结合来进行评估。39/83ITSEC相比于相比于TCSEC增增强了完整性和可用性要强

47、了完整性和可用性要求求(如右图如右图)CC、TCSEC、ITSEC、中国标准之间的对应关中国标准之间的对应关系系(如下图如下图)40/832003年年2月月14日美国政府发布了日美国政府发布了保护网络空间的国家战保护网络空间的国家战略略，为了确保国家关键基础设施，为了确保国家关键基础设施(基础信息网络和重要基础信息网络和重要信息系统信息系统)的安全，对于网络空间，从国家关心的角度，的安全，对于网络空间，从国家关心的角度，美国将其分为五个级别。美国将其分为五个级别。(信息系统的级别信息系统的级别)l第一级，家庭用户和小型商业机构第一级，家庭用户和小型商业机构l第二级，大型机构第二级，大型机构(公

48、司、政府机构和大学等公司、政府机构和大学等)l第三级，国家信息基础设施部门。第三级，国家信息基础设施部门。(包括联邦政府、私营部门包括联邦政府、私营部门(银行银行与金融、能量、运输、电信、信息技术、通用制造业、化学制造与金融、能量、运输、电信、信息技术、通用制造业、化学制造业业)、洲和地方政府、高等教育机构。、洲和地方政府、高等教育机构。)l第四级，国家机构和政策部门第四级，国家机构和政策部门l第五级，全球第五级，全球3.3.2 信息及信息系统的分级信息及信息系统的分级第三章第三章 信息安全保障体系信息安全保障体系3.3 3.3 信息系统安全等级保护信息系统安全等级保护41/83我国信息系统按

49、监管力度也分五级我国信息系统按监管力度也分五级l自主、指导、监督、强制、专控五个保护级自主、指导、监督、强制、专控五个保护级国家对信息安全产品的使用实行分等级管理国家对信息安全产品的使用实行分等级管理l按照信息安全产品的可控性、可靠性、安全性和可监督按照信息安全产品的可控性、可靠性、安全性和可监督性的要求确定相应等级进行管理性的要求确定相应等级进行管理。l可控性是指国家或用户对产品的技术可控可控性是指国家或用户对产品的技术可控，自主知识产权，掌，自主知识产权，掌握产品源代码等握产品源代码等l可靠性是指生产信息安全产品的单位和人员稳定可靠可靠性是指生产信息安全产品的单位和人员稳定可靠。l安全性是

50、指不会因使用该信息安全产品而给信息系统引入安全安全性是指不会因使用该信息安全产品而给信息系统引入安全隐患隐患。l可监督性指产品的研发生产和检测过程可监督可监督性指产品的研发生产和检测过程可监督。3.3.2 信息及信息系统的分级信息及信息系统的分级第三章第三章 信息安全保障体系信息安全保障体系3.3 3.3 信息系统安全等级保护信息系统安全等级保护42/833.3.3 等级保护技术分级等级保护技术分级1999年公安部提出的年公安部提出的计算机信息系统安全等级的划分准则计算机信息系统安全等级的划分准则GB17859-1999将信息系统按照安全保护能力划分为五个等级。将信息系统按照安全保护能力划分为

51、五个等级。l第一级：用户自主保护级第一级：用户自主保护级； C1级级(TCSEC的分级的分级)l自主访问控制、身份鉴别、数据完整性自主访问控制、身份鉴别、数据完整性l第二级：系统审计保护级第二级：系统审计保护级； C2级级l自主访问控制、增强的身份鉴别、数据完整性、自主访问控制、增强的身份鉴别、数据完整性、客体重用、审客体重用、审计计l第三级：安全标记保护级第三级：安全标记保护级； B1级级l自主访问控制、自主访问控制、强制访问控制强制访问控制、增强的身份鉴别、数据完整性、增强的身份鉴别、数据完整性、客体重用、审计，客体重用、审计，敏感标记敏感标记l第四级：结构化保护级第四级：结构化保护级；

52、B2级级l可信计算基基于一个明确定义的可信计算基基于一个明确定义的形式化安全保护策略形式化安全保护策略。将第三。将第三级实施的（自主或强制）级实施的（自主或强制）访问控制扩展到所有主体和客体访问控制扩展到所有主体和客体。审。审计、数据完整性、计、数据完整性、隐蔽信道分析、可信路径隐蔽信道分析、可信路径l第五级：访问验证保护级第五级：访问验证保护级。 A级级第三章第三章 信息安全保障体系信息安全保障体系3.3 3.3 信息系统安全等级保护信息系统安全等级保护43/833.3.4 等级保护要素和实施过程等级保护要素和实施过程1. 信息系统等级保护包含以下七个基本要素：信息系统等级保护包含以下七个基

53、本要素：l1)信息系统：信息系统：l系统是信息安全等级保护的对象，包括系统中的信息、系统所系统是信息安全等级保护的对象，包括系统中的信息、系统所提供的服务，以及执行信息处理、存储、传输的软硬件设备等提供的服务，以及执行信息处理、存储、传输的软硬件设备等l2)目标：目标：l是指信息系统的是指信息系统的业务目标业务目标和和安全目标安全目标，等级保护要保障业务目，等级保护要保障业务目标和安全目标的实现标和安全目标的实现l3)信息系统的安全等级：信息系统的安全等级：l信息安全等级划分为五级，分别体现在信息系统的等级和安全信息安全等级划分为五级，分别体现在信息系统的等级和安全保护的等级两个方面保护的等级

54、两个方面l4)安全保护要求：安全保护要求：l不同的信息系统具有不同的类型和不同的强度的安全保护要求不同的信息系统具有不同的类型和不同的强度的安全保护要求第三章第三章 信息安全保障体系信息安全保障体系3.3 3.3 信息系统安全等级保护信息系统安全等级保护44/83l5)安全风险：安全风险：l是指信息系统由于本身存在安全弱点，通过人为或自然的威胁是指信息系统由于本身存在安全弱点，通过人为或自然的威胁可能导致安全事件的发生。安全风险由可能导致安全事件的发生。安全风险由安全事件的发生的可能安全事件的发生的可能性及其造成的影响这两种指标来综合衡量性及其造成的影响这两种指标来综合衡量。l6)安全保护措施

55、：安全保护措施：l是用来对抗安全风险、满足安全保护要求、保护信息系统和保是用来对抗安全风险、满足安全保护要求、保护信息系统和保障系统目标实现的措施，包括障系统目标实现的措施，包括安全管理措施和安全技术措施安全管理措施和安全技术措施。l7)安全保护措施的成本：安全保护措施的成本：l不同类型和强度的安全保护措施的实现需要不同的成本，安全不同类型和强度的安全保护措施的实现需要不同的成本，安全保护措施的成本应包括设备购买成本、实施成本、维护成本和保护措施的成本应包括设备购买成本、实施成本、维护成本和人员成本等。人员成本等。3.3.4 等级保护要素和实施过程等级保护要素和实施过程第三章第三章 信息安全保

56、障体系信息安全保障体系3.3 3.3 信息系统安全等级保护信息系统安全等级保护45/832.信息系统等级保护各要素之间的关系信息系统等级保护各要素之间的关系l(1)信息系统的安全等级由系统的使命、目标和系统的重要程度决信息系统的安全等级由系统的使命、目标和系统的重要程度决定（定（1，2，3三个要素）三个要素）l(2)安全措施需要满足系统安全保护要求，对抗系统所面临的风险安全措施需要满足系统安全保护要求，对抗系统所面临的风险（4，5，6三个要素）三个要素）l不同信息系统的使命和业务目标的差异性，业务和系统本身的特性不同信息系统的使命和业务目标的差异性，业务和系统本身的特性(所所属信息资产特性、实

57、际运行情况和所处环境等属信息资产特性、实际运行情况和所处环境等)的差异性，的差异性，决定了系统决定了系统安全保护要求的特性安全保护要求的特性(安全保护要求的类型和强度安全保护要求的类型和强度)的差异性的差异性l(3)信息系统安全措施的确定需要综合平衡系统安全保护要求的满信息系统安全措施的确定需要综合平衡系统安全保护要求的满足程度、系统面临风险的控制和降低程度、系统残余风险的接受足程度、系统面临风险的控制和降低程度、系统残余风险的接受程度以及程度以及实施安全措施的成本实施安全措施的成本，进行安全措施的调整和定制，形，进行安全措施的调整和定制，形成与系统安全等级相适应的安全保障体系。在成与系统安全

58、等级相适应的安全保障体系。在适度成本适度成本下实现适下实现适度安全。度安全。(整体要素关系整体要素关系)3.3.4 等级保护要素和实施过程等级保护要素和实施过程第三章第三章 信息安全保障体系信息安全保障体系3.3 3.3 信息系统安全等级保护信息系统安全等级保护46/833.3.4 等级保护要素和实施过程等级保护要素和实施过程3. 等级保护的实施过程等级保护的实施过程信息系统安全等级保护实信息系统安全等级保护实现的一般方法如图现的一般方法如图l将信息系统按照定级的规则将信息系统按照定级的规则划分为相应的安全等级，图划分为相应的安全等级，图2.1中给出了五个等级，中给出了五个等级，l在考虑风险与

59、成本的前提下，在考虑风险与成本的前提下，按照不同等级标准的要求，按照不同等级标准的要求，制定相应的保护措施，制定相应的保护措施，l将这个保护措施在原信息系将这个保护措施在原信息系统上实施统上实施第三章第三章 信息安全保障体系信息安全保障体系3.3 3.3 信息系统安全等级保护信息系统安全等级保护47/83信息安全等级信息安全等级保护的实施过保护的实施过程包括三个阶程包括三个阶段，分别为：段，分别为：l(1)定级。定级。(2)规划与设计。规划与设计。(3)实施、等级实施、等级评估与改进评估与改进信息系统安全等级保护的基本流程信息系统安全等级保护的基本流程48/831)第一阶段：定级第一阶段：定级

60、定级阶段主要包括两个步骤。定级阶段主要包括两个步骤。l(1)系统识别与描述系统识别与描述l清晰地了解组织所拥有的信息系统，根据需要将复杂清晰地了解组织所拥有的信息系统，根据需要将复杂信息系统分解为信息子系统，描述系统和子系统地组信息系统分解为信息子系统，描述系统和子系统地组成及边界成及边界l(2)等级确定等级确定l完成信息系统总体定级和子系统的定级完成信息系统总体定级和子系统的定级3.3.4 等级保护要素和实施过程等级保护要素和实施过程第三章第三章 信息安全保障体系信息安全保障体系3.3 3.3 信息系统安全等级保护信息系统安全等级保护49/832)第二阶段：规划与设计第二阶段：规划与设计l(