信息安全等级标准

-7
国家信息安全标准体系框架
比较完整的安全保护框架应包括如下几个方面： 1、总体框架：明确安全等级保护模型，实现总体控制 总体框架： 总体框架 2、设计和实现过程控制 设计和实现过程控制：解决信息系统产品的安全等级功能与安全保证 设计和实现过程控制 的实现 3、设计与实现的结果控制 设计与实现的结果控制：解决安全产品及信息系统的评测与评估 设计与实现的结果控制 4、信息系统分层面安全控制 信息系统分层面安全控制：在物理及运行、支撑系统、网络、应用、 信息系统分层面安全控制 管理层面，分别采取安全保护措施 5、监督管理： 对信息安全系统实施安全等级监督管理 监督管理： 监督管理
-6
国家信息安全标准体系框架
用于对信息系统保护产品的规划、设计、建设、 用于对信息系统保护产品的规划、设计、建设、 验收、测评、运行与维护过程的指导。 验收、测评、运行与维护过程的指导。 国家制订的均为基础性标准、配套性标准、 国家制订的均为基础性标准、配套性标准、实施 指导标准。 指导标准。 国家标准/行业标准（GA，BMB等 国家标准/行业标准（GA，BMB等）
- 14
3、实施指导类标准
从系统角度， 从系统角度，对等级保护的具体实施 提供指导的标准，包括信息安全等级保护 提供指导的标准， 实施指南、信息系统安全方案设计指南、 实施指南、信息系统安全方案设计指南、 信息安全等级保护监督检查与管理工作手 册等； 册等；
- 15
4、各应用领域实施指导方案
各应用领域实施指导方案——按等级保护 按等级保护 各应用领域实施指导方案 要求， 要求，对各个应用领域按照上述标准的要 求建设安全的信息系统的参考性方案。 求建设安全的信息系统的参考性方案。
- 16
总体框架标准
目前国内关于总体框架标准已经制订了一些标准草案， 目前国内关于总体框架标准已经制订了一些标准草案，分别 为： 基本模型》 《信息系统安全等级保护 总体框架 基本模型》规定了 对信息系统实施安全等级保护的基本模型。 对信息系统实施安全等级保护的基本模型。对基本模型组成 部分进行说明。 部分进行说明。 体系结构》 《信息系统安全等级保护 总体框架 体系结构》从体系 结构的角度对信息系统安全等级保护的总体框架进行描述。 结构的角度对信息系统安全等级保护的总体框架进行描述。 信息系统安全保障评估框架》 《信息系统安全保障评估框架》主要技术内容包括对信 息系统的描述、其所处的安全环境（包括假设、 息系统的描述、其所处的安全环境（包括假设、所考虑的威 胁和组织安全策略）、所要达到的安全保障目标、 ）、所要达到的安全保障目标 胁和组织安全策略）、所要达到的安全保障目标、所创建的 实际安全保障要求以及信息系统安全保障级的分级说明等。 实际安全保障要求以及信息系统安全保障级的分级说明等。 我们的任务是对上述标准框架进行针对国防科技工业信息化 的适用性评估与改进。 的适用性评估与改进。
- 18
3、评估准则标准
年代中期即开始制定关于信息安全产品的标准。 我国从上世纪 90 年代中期即开始制定关于信息安全产品的标准。2000 年开始有计划地研究制定信息安全评估标准， 年开始有计划地研究制定信息安全评估标准，逐步立项开展若干单项标 准的制订工作，这些标准既适用于相关产品安全等级的评估， 准的制订工作，这些标准既适用于相关产品安全等级的评估，同时可作 为系统研制、开发、测试和产品采购使用： 为系统研制、开发、测试和产品采购使用： 操作系统安全保护等级评估准则》 （1）《操作系统安全保护等级评估准则》。 数据库管理系统安全保护等级评估准则》 （2）《数据库管理系统安全保护等级评估准则》。 路由器安全保护等级评估准则》 （3）《路由器安全保护等级评估准则》。 包过滤防火墙安全保护等级评估准则》 （4）《包过滤防火墙安全保护等级评估准则》。 智能卡操作系统（COS）测评标准》 （5）《智能卡操作系统（COS）测评标准》。 防火墙技术要求与测评准则》 （6）《防火墙技术要求与测评准则》。 端设备隔离部件安全保护等级评估准则》 （7）《端设备隔离部件安全保护等级评估准则》。 入侵检测系统安全保护等级评估准则》 （8）《入侵检测系统安全保护等级评估准则》。 网络脆弱性扫描产品安全保护等级评估准则》 （9）《网络脆弱性扫描产品安全保护等级评估准则》。 近期又将发布《计算机信息系统安全保护等级评估准则》 近期又将发布《计算机信息系统安全保护等级评估准则》。 上述标准分别针对信息系统与安全产品两个方面。 上述标准分别针对信息系统与安全产品两个方面。我们的任务是对 上述技术要求进行针对国防科技工业信息化的适用性评估与改进。 上述技术要求进行针对国防科技工业信息化的适用性评估与改进。
计算机信息系统安全等级保护的五个层面 物理 层面 网络 层面 系统 层面 应用 层面 数据 层面
构建过程控制
测评过程控制
运行过程控制
- 13
2、配套系列标准
配套系列标准：按等级保护的要求，对建设、评估、 配套系列标准：按等级保护的要求，对建设、评估、监督 管理安全的计算机信息系统提供指导的标准， 、管理安全的计算机信息系统提供指导的标准，包括总体 框架标准、技术要求标准、评估准则标准、 框架标准、技术要求标准、评估准则标准、管理要求标准 管理评估标准等。 、管理评估标准等。 总体框架标准——为按等级保护的要求，实施信息系统安 为按等级保护的要求， 总体框架标准 为按等级保护的要求 全从总体上提供指导的标准； 全从总体上提供指导的标准； 要求类系列标准——为按等级保护的要求，建设安全的信 为按等级保护的要求， 要求类系列标准 为按等级保护的要求 息系统从技术和管理方面提供指导的标准； 息系统从技术和管理方面提供指导的标准； 信息安全等级保护基本要求》 《信息安全等级保护基本要求》 评估类系列标准——为按等级保护的要求，对安全的信息 为按等级保护的要求， 评估类系列标准 为按等级保护的要求 系统进行评估从技术和管理方面提供指导的标准； 系统进行评估从技术和管理方面提供指导的标准； 信息安全等级保护测评准则》 《信息安全等级保护测评准则》
-4
国家信息安全标准体系框架
目前，在国家层面， 目前，在国家层面，全国信息安全标准化技术委员会工作 组分成: 组分成: WG1 -- 信息安全标准体系与协调工作组 WG2 -- 内容安全分级及标识工作组 密码算法与密码模块/KMI/VPN /KMI/VPN工作组 WG3 -- 密码算法与密码模块/KMI/VPN工作组 PKI/PMI工作组 WG4 -- PKI/PMI工作组 WG5 -- 信息安全评估工作组 WG6 -- 应急处理工作组 信息安全管理（含工程与开发） WG7 -- 信息安全管理（含工程与开发）工作组 WG8 -- 电子证据及处理工作组 WG9 -- 身份标识与鉴别协议工作组 WG10-WG10-- 操作系统与数据库安全工作组 正式启动的有WG1、WG2、WG3、WG4、WG5、WG7。 正式启动的有WG1、WG2、WG3、WG4、WG5、WG7。 WG1
-8
信息系统Hale Waihona Puke Baidu全标准体系核心标准
1994年 1994年2月18日国务院147号令《中华人民共和国计算机信息 18日国务院147号令《 日国务院147号令 系统安全保护条例》第九条： 系统安全保护条例》第九条：计算机信息系统实行安全等级保 护。 1999年发布GB17859年发布GB17859 2001年 日生效实施） 1999年发布GB17859-99（2001年1月1日生效实施）是我国计算机 信息系统安全等级保护系列标准的核心。 信息系统安全等级保护系列标准的核心。 信息系统等级保护是国家信息安全体系建设的核心工作。 信息系统等级保护是国家信息安全体系建设的核心工作 。 所 各级各类信息系统安全体系建设 信息系统安全体系建设都 以 ， 各级各类 信息系统安全体系建设 都 要以等级保护为载体来 进行，为此， 进行 ， 为此 ， 我们认为应该重点考虑计算机信息系统安全等级 保护标准体系。 保护标准体系。
- 17
2、技术要求标准
信息安全标准是一个体系，从技术要求上来讲，包括物理、网络、 信息安全标准是一个体系，从技术要求上来讲，包括物理、网络、服务器 路由器、交换机、应用系统、实体鉴别、抗抵赖等等。 、路由器、交换机、应用系统、实体鉴别、抗抵赖等等。从软件和硬件 各个方面对信息系统安全各个等级制定详细的技术要求，分别如下： 各个方面对信息系统安全各个等级制定详细的技术要求，分别如下： 物理安全》 《计算机信息系统安全等级保护 技术要求 物理安全》 服务器》 《计算机信息系统安全等级保护 技术要求 服务器》 路由器》 《计算机信息系统安全等级保护 技术要求 路由器》 交换机》 《计算机信息系统安全等级保护 技术要求 交换机》 应用系统》 《信息系统安全等级保护 技术要求 应用系统》 智能卡集成电路平台安全技术要求》 《智能卡集成电路平台安全技术要求》 网络交换机和路由器安全技术要求》 《网络交换机和路由器安全技术要求》 网络隔离设备安全技术要求》 《网络隔离设备安全技术要求》 通用操作系统安全技术要求》 《通用操作系统安全技术要求》等。 我们的任务是对上述技术要求进行针对国防科技工业信息化的适用 性评估与改进。 性评估与改进。
1985年美国可信计 算机系统评估准则 （TCSEC）
国际通用准则 1996年（CC1.0） 1998年（CC2.0）
1989年 英国 可信级别标准 （MEMO 3 DTI） 德国评估标准（ZSEIC） 法国评估标准 （B-W-R BOOK）
- 12
计算机信息系统安全等级保护三维空间
第五级： 第五级：专有保护级 第四级： 第四级：强制保护级 第三级： 第三级：监督保护级 第二级： 第二级：指导保护级 第一级：自主保护级 第一级：
-5
国家信息安全标准体系框架
一般认为，信息安全标准体系主要由基础标准、 一般认为，信息安全标准体系主要由基础标准、技术标准 和管理标准等分体系组成。 和管理标准等分体系组成。 基础标准体系由安全技术术语、体系结构、 基础标准体系由安全技术术语、体系结构、模型和框架等 由安全技术术语 方面标准组成； 方面标准组成； 技术标准体系由密码技术、安全协议、标识与鉴别、 技术标准体系由密码技术、安全协议、标识与鉴别、访问 由密码技术 控制、电子签名、完整性保护、抗抵赖、审计与监控、公 控制、电子签名、完整性保护、抗抵赖、审计与监控、 钥基础设施、 钥基础设施、物理安全技术以及其他安全技术等标准组成 ； 管理标准体系由系统安全管理、等级保护、工程、 管理标准体系由系统安全管理、等级保护、工程、评估和 由系统安全管理 运行等方面组成。用于对信息系统保护产品的规划、 运行等方面组成。用于对信息系统保护产品的规划、设计 建设、验收、测评、运行与维护过程的指导。 、建设、验收、测评、运行与维护过程的指导。
信息系统安全等级保护标准体系框架
介绍内容
1、信息系统安全等级保护标准整体框架 2、信息系统安全等级保护标准体系 3 亟需制定的若干核心标准
-2
信息系统安全等级保护标准整体框架
国家信息化标准体系 国家信息安全标准体系 国家相关部门制订的信息安全标准
-3
国家信息化标准体系框架
信息化标准体系主要由信息技术的基础标准、 信息化标准体系主要由信息技术的基础标准、信 息资源标准体系、网络通信标准体系、 息资源标准体系、网络通信标准体系、信息安全 标准体系、应用标准体系、管理标准体系等六大 标准体系、应用标准体系、 类构成。 类构成。 信息安全标准体系是信息化标准体系的重要组成 部分。 部分。 信息安全标准化工作领域包括信息安全技术、 信息安全标准化工作领域包括信息安全技术、安 全机制、安全服务、安全管理、 全机制、安全服务、安全管理、安全评估等领域 标准化工作。 标准化工作。
- 11
相关标准的传承渊源
1999年 GB 17859 计算机信息 系统安全保护等级划分准则 1993年 加拿大可 信计算机产品评估 准则（CTCPEC） 1993年美 国NIST的 MSFR 1993年美国联邦 准则（FC 1.0） 1991年欧洲信息技 术安全性评估准则 （ITSEC） 1999年 国际标准 ISO/IEC 15408 2001年 国家标准 GB/T 18336 信息技术安全 性评估准则 idt iso/iec15408
-9
计算机信息系统安全等级保护标准体系
1、基础性标准 2、配套系列标准 3、实施指导类标准 4、各应用领域实施指导方案
- 10
1、基础性标准
GB17859-99 是我国计算机信息系统安全等级 GB17859-99是我国计算机信息系统安全等级 17859 保护系列标准的核心，它源自TCSEC桔皮书 保护系列标准的核心，它源自TCSEC桔皮书 TCSEC ， 是实行计算机信息系统安全等级保护制 度建设的基础性标准。 度建设的基础性标准。