信息化安全生产标准管理导论(共34页).ppt

1、1信息平安标准信息平安导论模块信息平安导论模块3信息平安法律法规与标准信息平安法律法规与标准2内容提要n1、标准的定义、标准的定义n2、标准的分级、标准的分级n3、标准的分类、标准的分类n4、与计算机信息系统平安等级保护相关、与计算机信息系统平安等级保护相关的标准的标准n5、信息平安国际标准、信息平安国际标准31 标准的定义n国际标准化组织定义：由有关各方根据科学技术国际标准化组织定义：由有关各方根据科学技术成就与先进经验，共同合作起草，一致或根本上成就与先进经验，共同合作起草，一致或根本上同意的技术标准或其他公开文件，其目的在于促同意的技术标准或其他公开文件，其目的在于促进最正确的公共利益，

2、并由标准化团体批准进最正确的公共利益，并由标准化团体批准n我国定义：标准是对重复性事物和概念所做的统我国定义：标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践经验的综合成果一规定。它以科学、技术和实践经验的综合成果为根底，经有关方面协调一致，由主管机构批准，为根底，经有关方面协调一致，由主管机构批准，以特定形式发布，作为共同遵守的准那么和依据以特定形式发布，作为共同遵守的准那么和依据42 标准的分级n我国标准分为四级我国标准分为四级n国家标准国家标准：由：由国务院标准化行政主管部门国务院标准化行政主管部门负责组织负责组织制定和审批制定和审批n行业标准行业标准：由国务院有关：由国务院

3、有关行政主管部门行政主管部门负责制定和负责制定和审批，并报国务院标准化行政主管部门备案审批，并报国务院标准化行政主管部门备案n地方标准地方标准：由：由省级政府标准化行政主管部门省级政府标准化行政主管部门负责制负责制定和审批，并报国务院标准化行政主管部门和国务定和审批，并报国务院标准化行政主管部门和国务院有关行政主管部门备案院有关行政主管部门备案n企业标准企业标准：由：由企业法人代表企业法人代表或法人代表授权的主管或法人代表授权的主管领导批准、发布，由企业法人代表授权的部门统一领导批准、发布，由企业法人代表授权的部门统一管理，企业产品标准应向当地标准化行政主管部门管理，企业产品标准应向当地标准化

4、行政主管部门和有关行政主管部门备案和有关行政主管部门备案53 标准的分类n按标准发生作用的按标准发生作用的范围范围和审批标准和审批标准级别级别来分来分n国家标准国家标准n行业标准行业标准n地方标准地方标准n企业标准企业标准n按标准的约束性来分n按标准在标准系统中的地位和作用来分n按标准化对象在生产过程中的作用来分n按标准的性质来分63 标准的分类n按标准发生作用的范围和审批标准级别来分n按标准的约束性来分n强制性标准：保障人体健康、人身、财产平安的国家标准或行业标准和法律及行政法规规定强制执行的标准。必须执行，不符合的产品禁止生产、销售和进口n推荐性标准：相对于强制性标准的其他标准。鼓励企业自

5、行采用n按标准在标准系统中的地位和作用来分n按标准化对象在生产过程中的作用来分n按标准的性质来分73 标准的分类n按标准发生作用的范围和审批标准级别来分n按标准的约束性来分n按标准在标准系统中的地位和作用来分n根底标准：一定范围内作为其他标准的根底并普遍使用的标准，具有广泛的指导意义n例如，GB17859：1999?计算机信息系统平安保护等级划分准那么?n一般标准：相对于根底标准的其他标准n按标准化对象在生产过程中的作用来分n按标准的性质来分83 标准的分类n按标准发生作用的范围和审批标准级别来分n按标准的约束性来分n按标准在标准系统中的地位和作用来分n按标准化对象在按标准化对象在生产过程生产

6、过程中的作用来分中的作用来分n产品标准；原材料标准；零部件标准；工艺和工艺产品标准；原材料标准；零部件标准；工艺和工艺装备标准；设备维修标准；检验和试验方法标准；装备标准；设备维修标准；检验和试验方法标准；检验、测量和试验设备标准；搬运、贮存、包装、检验、测量和试验设备标准；搬运、贮存、包装、标识标准等标识标准等n按标准的性质来分93 标准的分类n按标准发生作用的范围和审批标准级别来分n按标准的约束性来分n按标准在标准系统中的地位和作用来分n按标准化对象在生产过程中的作用来分n按标准的性质来分n技术标准：对标准化领域中需要协调统一的技术事项所制定的标准n管理标准：对标准化领域中需要协调统一的管

7、理事项所制定的标准n工作标准：对工作的责任、权利、范围、质量要求、程序、效果、检查方法、考核方法所制定的标准10信息平安标准n我国的信息平安从保密技术、难度、标我国的信息平安从保密技术、难度、标准的特点出发，将信息平安保密标准分准的特点出发，将信息平安保密标准分为三级为三级n第一级国家标准第一级国家标准n第二级国家军队标准第二级国家军队标准n第三级国家保密标准第三级国家保密标准n三级标准中，国家保密标准最高三级标准中，国家保密标准最高n其他标准还包括：公共平安行业标准其他标准还包括：公共平安行业标准GA11n我国信息平安标准委员会在制定我国信我国信息平安标准委员会在制定我国信息平安标准方面做了

8、大量的工作息平安标准方面做了大量的工作n目前已出台的信息平安保护方面的标准目前已出台的信息平安保护方面的标准主要包括在国家标准和公共平安行业标主要包括在国家标准和公共平安行业标准中，当然在国家军队标准、国家保密准中，当然在国家军队标准、国家保密标准中也有所涉及标准中也有所涉及124 与计算机信息系统平安等级保护相关的标准nGB17859-1999?计算机信息系统平安保护等级划分准那么计算机信息系统平安保护等级划分准那么?nGA/T387-2002?计算机信息系统平安等级保护网络技术要计算机信息系统平安等级保护网络技术要求求?nGA/T388-2002?计算机信息系统平安等级保护操作系统技计算机

9、信息系统平安等级保护操作系统技术要求术要求?nGA/T389-2002?计算机信息系统平安等级保护数据库管理计算机信息系统平安等级保护数据库管理系统技术要求系统技术要求?nGA/T390-2002?计算机信息系统平安等级保护通用技术要计算机信息系统平安等级保护通用技术要求求?nGA/T391-2002?计算机信息系统平安等级保护管理要求计算机信息系统平安等级保护管理要求?nGB9361-88S?计算站场地平安要求计算站场地平安要求?nGA163-1997?计算机信息系统平安专用产品分类原那么计算机信息系统平安专用产品分类原那么?13GB17859-1999?计算机信息系计算机信息系统平安保护等

10、级划分准那么统平安保护等级划分准那么?n是建立计算机信息系统平安等级保护制是建立计算机信息系统平安等级保护制度，实施平安等级管理的重要根底性标度，实施平安等级管理的重要根底性标准准n将计算机信息系统平安保护能力划分为将计算机信息系统平安保护能力划分为五个等级：五个等级：n用户自主保护级用户自主保护级n系统审计保护级系统审计保护级n平安标记保护级平安标记保护级n结构化保护级结构化保护级n访问验证保护级访问验证保护级14GA/T390-2002?计算机信息系计算机信息系统平安等级保护通用技术要求统平安等级保护通用技术要求?n是计算机信息系统平安等级保护技术要是计算机信息系统平安等级保护技术要求系列

11、标准的根底性标准，用以指导设求系列标准的根底性标准，用以指导设计者如何设计和实现具有所需要的平安计者如何设计和实现具有所需要的平安等级的计算机信息系统等级的计算机信息系统n主要说明了为实现主要说明了为实现GB17859-1999中每中每一个保护等级的平安要求应采取的通用一个保护等级的平安要求应采取的通用的平安技术，和为确保这些平安技术所的平安技术，和为确保这些平安技术所实现的平安功能到达其应具有的平安性实现的平安功能到达其应具有的平安性而采取的通用的保证措施而采取的通用的保证措施15GA/T391-2002?计算机信息系计算机信息系统平安等级保护管理要求统平安等级保护管理要求?n明确提出了管理

12、层、物理层、网络层、明确提出了管理层、物理层、网络层、系统层、应用层和运行层的平安管理要系统层、应用层和运行层的平安管理要求，并将管理要求落实到求，并将管理要求落实到GB17859-1999的五个等级上的五个等级上n更有利于对平安管理的继承、理解、分更有利于对平安管理的继承、理解、分工实施，更有利于对平安管理的评估和工实施，更有利于对平安管理的评估和检查检查16GA/T387-2002?计算机信息系计算机信息系统平安等级保护网络技术要求统平安等级保护网络技术要求?n用以指导设计者如何设计和实现具有所用以指导设计者如何设计和实现具有所需要的平安等级的网络系统需要的平安等级的网络系统n主要从对网络

13、的平安保护等级进行划分主要从对网络的平安保护等级进行划分的角度来说明其技术要求，即主要说明的角度来说明其技术要求，即主要说明了为实现了为实现GB17859-1999中每一个保护中每一个保护等级的平安要求对网络系统应采取的平等级的平安要求对网络系统应采取的平安技术措施，以及各平安技术要求在不安技术措施，以及各平安技术要求在不同平安级中具体实现上的差异同平安级中具体实现上的差异17GA/T388-2002?计算机信息系统计算机信息系统平安等级保护操作系统技术要求平安等级保护操作系统技术要求?n用以指导设计者如何设计和实现具有所用以指导设计者如何设计和实现具有所需要的平安等级的操作系统，主要从对需要

14、的平安等级的操作系统，主要从对操作系统的平安保护等级进行划分的角操作系统的平安保护等级进行划分的角度来说明其技术要求度来说明其技术要求18GA/T389-2002?计算机信息系统平安计算机信息系统平安等级保护数据库管理系统技术要求等级保护数据库管理系统技术要求?n用以指导设计者如何设计和实现具有所用以指导设计者如何设计和实现具有所需要的平安等级的数据库管理系统，主需要的平安等级的数据库管理系统，主要从对数据库管理系统的平安保护等级要从对数据库管理系统的平安保护等级进行划分的角度来说明其技术要求进行划分的角度来说明其技术要求19GB17859-1999?计算机信息系计算机信息系统平安保护等级划分

15、准那么统平安保护等级划分准那么?n五个等级：五个等级：n第一级：用户自主保护级第一级：用户自主保护级n第二级：系统审计保护级第二级：系统审计保护级n第三级：平安标记保护级第三级：平安标记保护级n第四级：结构化保护级第四级：结构化保护级n第五级：访问验证保护级第五级：访问验证保护级n平安保护能力随着平安保护等级的提高，平安保护能力随着平安保护等级的提高，逐渐增强逐渐增强20五个等级保护能力比较编号编号保护能力项目保护能力项目第一级第一级第二级第二级第三级第三级第四级第四级第五级第五级1自主访问控制自主访问控制2强制访问控制强制访问控制3标记标记4身份鉴别身份鉴别5客体重用客体重用6审计审计7数据

16、完整性数据完整性8隐蔽信道分析隐蔽信道分析9可信路径可信路径10可信恢复可信恢复21GA/T391-2002?计算机信息系计算机信息系统平安等级保护管理要求统平安等级保护管理要求?n信息系统平安管理，是对一个组织或机构中信息系统的信息系统平安管理，是对一个组织或机构中信息系统的生命周期全过程实施符合平安等级责任要求的科学管理生命周期全过程实施符合平安等级责任要求的科学管理n落实平安组织及平安管理人员，明确角色与职责，制定落实平安组织及平安管理人员，明确角色与职责，制定平安规划平安规划n开发平安策略开发平安策略n实施风险管理实施风险管理n制定业务持续性方案和灾难恢复方案制定业务持续性方案和灾难恢

17、复方案n选择与实施平安措施选择与实施平安措施n保证配置、变更的正确与平安保证配置、变更的正确与平安n进行平安审计进行平安审计n保证维护支持保证维护支持n进行监控、检查，处理平安事件进行监控、检查，处理平安事件n平安意识与平安教育平安意识与平安教育n人员平安管理等人员平安管理等22主要平安要素23n信息系统平安管理的根本原那么信息系统平安管理的根本原那么n总原那么总原那么n主要领导人负责原那么主要领导人负责原那么n标准定级原那么标准定级原那么n依法行政原那么依法行政原那么n以人为本原那么以人为本原那么n适度平安原那么适度平安原那么n全面防范、突出重点原那么全面防范、突出重点原那么n系统、动态原那

18、么系统、动态原那么n控制社会影响原那么控制社会影响原那么n主要平安管理策略主要平安管理策略24n信息系统平安管理的根本原那么信息系统平安管理的根本原那么n总原那么总原那么n主要平安管理策略主要平安管理策略n分权制衡分权制衡n最小特权最小特权n选用成熟技术选用成熟技术n普遍参与普遍参与255 信息平安国际标准n国际上比较有影响的信息平安标准体系国际上比较有影响的信息平安标准体系主要有：主要有：nISO/IEC的国际标准的国际标准13335、17799、27001系列系列n美国国家标准和技术委员会美国国家标准和技术委员会NIST的的特别出版物系列特别出版物系列n英国标准协会英国标准协会BSI的的7

19、799系列系列26n国际标准国际标准ISO/IEC是国际上最权威的由是国际上最权威的由国际标准化组织国际标准化组织 ISO和国际电工委和国际电工委员会员会IEC所制定的国际标准所制定的国际标准nISO和和IEC是世界范围的标准化组织，它是世界范围的标准化组织，它由各个国家和地区的成员组成，各国的由各个国家和地区的成员组成，各国的相关标准化组织都是其成员，他们通过相关标准化组织都是其成员，他们通过各技术委员会，参与相关标准的制定各技术委员会，参与相关标准的制定27nISO/IEC联合技术委员会联合技术委员会JTC1子委员会子委员会27ISO/IEC JTC1 SC27是信息平是信息平安领域最权威

20、和国际认可的标准化组织安领域最权威和国际认可的标准化组织nISO/IEC JTC1 SC27发布的目前最主发布的目前最主要的标准是要的标准是nISO/IEC 13335nISO/IEC 17799:2005nISO/IEC 27001:200528nBS 7799受到广泛认可受到广泛认可n它的第一局部已成为国际标准它的第一局部已成为国际标准 ISO/IEC 17799:2005n它的第二局部成为国际标准它的第二局部成为国际标准 ISO/IEC 27001:200529BS 7799?信息平安管理标准?nBS 7799是英国标准协会针对信息平安管理而是英国标准协会针对信息平安管理而制定的标准制定的标准n第一局部：是信息平安管理实践标准第一局部：是信息平安管理实践标准nCode of Practice for Information Security Managementn主要供负责信息平安系统开发的人员作为参考主要供负责信息平安系统开发的人员作为参考使用使用n第二局部：是建立信息平安管理体系的标准第二局部：是建立信息平安管理体系的标准nSpecification for Information Security Management Systemsn可用来指导相关人员应用第一局部，最终目的可用来指导相关人员应用第一局部，最终目的是建立适合企业需要的信息平安管理体系是建立适合