信息安全法律法规我国的标准课件

1、网络信息安全等级保护制度 10/2/20221引 言信息网络的全球化使得信息网络的安全问题也全球化起来，任何与互联网相连接的信息系统都必须面对世界范围内的网络攻击、数据窃取、身份假冒等安全问题。发达国家普遍发生的有关利用计算机进行犯罪的案件，绝大部分已经在我国出现。10/2/20222引 言当前计算机信息系统的建设者、管理者和使用者都面临着一个共同的问题，就是他们建设、管理或使用的信息系统是否是安全的？如何评价系统的安全性？这就需要有一整套用于规范计算机信息系统安全建设和使用的标准和管理办法。10/2/20223等级保护制度的意义 1994 年，国务院发布了中华人民共和国计算机信息系统安全保护

2、条例，该条例是计算机信息系统安全保护的法律基础。其中第九条规定“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。”10/2/20224等级保护制度的意义 公安部在条例发布实施后便着手开始了计算机信息系统安全等级保护的研究和准备工作。等级管理的思想和方法具有科学、合理、规范、便于理解、掌握和运用等优点，因此，对计算机信息系统实行安全等级保护制度，是我国计算机信息系统安全保护工作的重要发展思路，对于正在发展中的信息系统安全保护工作更有着十分重要的意义。10/2/20225国外等级保护的发展历程 10/2/20227美国国防部早在80年代就针对国

3、防部门的计算机安全保密开展了一系列有影响的工作，后来成立了所属的机构-国家计算机安全中心（NCSC）继续进行有关工作。 10/2/20228TCSEC采用等级评估的方法，将计算机安全分为A、B、C、D四个等级八个级别，D等级安全级别最低，风险最高，A等级安全级别最高，风险最低；评估类别：安全策略可审计性保证文档10/2/202210无保护级（D级）是为那些经过评估，但不满足较高评估等级要求的系统设计的，只具有一个级别 该类是指不符合要求的那些系统，因此，这种系统不能在多用户环境下处理敏感信息10/2/202211自主保护级（C级）具有一定的保护能力，采用的措施是身份认证、自主访问控制和审计跟踪

4、 一般只适用于具有一定等级的多用户环境具有对主体责任及其动作审计的能力自主安全保护级（C1级) 控制访问保护级（C2级）10/2/202212验证保护级（A级）A类的特点是使用形式化的安全验证方法，保证系统的自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息为证明TCB满足设计、开发及实现等各个方面的安全要求，系统应提供丰富的文档信息Trusted Computing Base可靠计算基础。就是计算系统中的每个事物都提供了一个安全环境。这包括操作系统和它提供的安全机制，硬件，物理定位，网络硬件和软件，指定处理过程。具有代表性的是控制访问的防备，对特殊资源的授权，支持用

5、户身份验证，抵抗病毒和其他对系统的渗透，还有数据备份。假设可靠计算基础已经或必须被测试和验证通过。 验证设计级（A1级） 超A1级10/2/202214TCSEC 带动了国际计算机安全的评估研究。90年代西欧四国（英、法、荷、德）联合提出了信息技术安全评估标准（ITSEC），ITSEC（又称欧洲白皮书）除了吸收TCSEC 的成功经验外，首次提出了信息安全的保密性、完整性、可用性的概念，把可信计算机的概念提高到可信信息技术的高度上来认识。他们的工作成为欧共体信息安全计划的基础，并对国际信息安全的研究、实施带来深刻的影响。10/2/202215重点考虑人为的威胁，也用于非人为因素导致的威胁。CC适

6、用于硬件、固件和软件实现的信息技术安全措施，而某些内容因涉及特殊专业技术或仅是信息技术安全的外围技术不在CC的范围内。通用准则(Common Criteria,CC)是目前国际上最全面的信息技术安全性评估准则,它具有国际互认的优势,因此研究CC评估、建立CC评估体系对我国的信息安全发展具有重大意义。通用评估方法CEM(Common Evaluation Methodology,CEM)是CC评估配套的评估方法。10/2/202217中国的等级保护体系 10/2/2022181989年公安部开始设计起草法律和标准，在起草过程中经过长期的对国内外广泛的调查和研究，特别是对国外的法律法规、政府政策、

7、标准和计算机犯罪的研究，使我们认识到要从法律、管理和技术三个方面着手；采取的措施要从国家制度的角度来看问题，对信息安全要实行等级保护制度。10/2/202219GB17859-1999计算机信息系统安全保护等级划分准则意义：该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据为安全产品的研制提供了技术支持为安全系统的建设和管理提供了技术指导是我国计算机信息系统安全保护等级工作的基础 10/2/202220将计算机信息系统安全保护等级划分为五个级别。第一级：用户自主保护级第二级：系统审计保护级第三级：安全标记保护级第四级：结构化保护级第五级：访问验证保护级 10/2

8、/202221第一级：用户自主保护级：计算机信息系统可信计算基通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏 10/2/202222第三级：安全标记保护级：计算机信息系统可信计算基具有系统审计保护级所有功能此外，还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述具有准确地标记输出信息的能力消除通过测试发现的任何错误10/2/202224第四级：结构化保护级：计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上要求将第三级系统中的自

9、主和强制访问控制扩展到所有主体与客体此外，还要考虑隐蔽通道计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素计算机信息系统可信计算基的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审加强了鉴别机制支持系统管理员和操作员的职能提供可信设施管理增强了配置管理控制系统具有相当的抗渗透能力10/2/202225需要实施安全等级保护的信息系统为：- 党政系统(党委、政府)；- 金融系统(银行、保险、证券)；- 财税系统(财政、税务、工商)；- 经贸系统(商业贸易、海关)；- 电信系统(邮电、电信、广播、电视)；- 能源系统(电力、热力、燃气、煤炭、油料)；- 交通运输系统

10、(航空、航天、铁路、公路、水运、海运)；- 供水系统(水利及水源供给)；- 社会应急服务系统(医疗、消防、紧急救援)；- 教育科研系统(教育、科研、尖端科技)；- 国防建设系统; -国有大中型企业系统； -互联单位、接入单位、重点网站及向公众提供上网服务场所的计算机信息系统.10/2/202227 等级保护是国家基本政策10/2/202228等级保护是国家基本政策信息安全等级保护是中华人民共和国计算机信息系统安全保护条例规定的法定保护制度，具有强制性；以国家制度推进信息和信息系统安全保护责任的落实；符合客观实际，具有科学性；具有自我保护与国家保护相结合的长效保护机制；突出保护重点，国家优先重点

11、保护涉及国计民生的信息系统，国家基础信息网络和重要信息系统内分级重点保护三级以上的局域网和子系统安全；具有整体保护性，在突出重点，兼顾一般的原则下，着重加强重点、要害部位,由点到面进行保护，逐步实现信息安全整体保障。 10/2/202229 建立国家信息安全等级保护机制10/2/202230国家实行信息安全等级保护，必须紧紧抓住抓好五个关键环节，形成长效信息安全等级保护运行机制。国家信息安全等级保护制度运行机制有以下关键环节构成：1法律规范2管理与技术规范3实施过程控制4结果控制5监督管理。10/2/2022311法律规范：国家制定和完善信息安全等级保护政策、法律规范以及组织实施规则和方法,完

12、善信息安全保护法律体系；2管理与技术规范：制定符合国情的标准,建立等级保护体系；3实施过程控制：明确落实系统拥有者的安全责任制，系统拥有者按法律规定和安全等级标准的要求进行信息系统的建设和管理，并承担应急管理责任，在信息系统生命周期内进行自管、自查、自评，建立安全管理体系。安全产品的研发者提供符合安全等级标准要求的技术产品。10/2/2022323实施过程控制：明确落实系统拥有者的安全责任制，系统拥有者按法律规定和安全等级标准的要求进行信息系统的建设和管理，并承担应急管理责任，在信息系统生命周期内进行自管、自查、自评，建立安全管理体系。安全产品的研发者提供符合安全等级标准要求的技术产品。4结果

13、控制：建立非盈利并能够覆盖全国的系统安全等级保护的执法检查与评估体系，使用统一标准和工具开展系统安全等级保护检查评估工作。10/2/2022335监督管理：公安机关依法行政，督促安全等级保护责任制的落实，以等级保护标准监督、检查、指导基础信息网络和重要信息系统安全等级保护建设、管理。对安全等级技术产品实行监管，对监测评估机构实施监管。政府其他职能部门应当认真履行职责，依法行政，按职责开展信息安全等级保护专项制度建设工作，完善信息安全监督体系。10/2/202234 信息系统安全等级保护制度实施方法10/2/202235首先，公安、国家保密、国家密码管理、技术监督、信息产业等国家有关信息网络安全

14、的行政主管部门要在国家信息化领导小组的统一领导下，制定我国开展信息网络安全等级保护工作的发展政策，统一制定针对不同安全保护等级的管理规定和技术标准，对不同信息网络确定不同安全保护等级和实施不同的监督管理措施，既包括依法进行行政监督、检查和指导，也包括依据国家技术标准进行的技术检查和评估。10/2/202236其次，等级保护坚持“谁主管、谁负责；谁经营、谁负责；谁建设、谁负责；谁使用、谁负责。”的原则。10/2/202237第三，等级保护实行“国家主导；重点单位强制，一般单位自愿；高保护级别强制，低保护级别自愿”的监管原则。10/2/202238第四，信息网络安全状况等级的技术检测是等级保护的重点。由国家授权的技术检测机构通过技术检测来进行评定。技术检测机构需取得国家主管部