网络安全体系基础架构建设知识
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
15
信息系统安全等级保护实施的标准法规
四大标准
❖ 《信息安全技术 信息系统安全等级保护定级指南》 GB/T 22240-2019
❖ 《信息安全技术 信息系统安全等级保护基本要求》 GB/T 22239-2019
❖ 信息系统安全等级保护实施指南(国家标准报批稿) ❖ 信息系统安全等级保护测评准则(国家标准报批稿)
2019年两会期间,杨匡满等政协委员再次递交了《关于 国家强制性标准全国产品与服务统一代码(NPC)的推广 应用工作必须立即恢复的再提议案》,签名提案委员72人, 成为政协史上最大提案;2019年,59名;
NPC是我国自主创新、完全拥有知识产权的国家强制性标 准,2019年由国家质检总局发布,2019年宣布取消;
13
信息安全等级保护相关文件间的关系
政策文件
提供指导
四大标准
提供方法
技术标准
提供技术要求
管理标准
提供管理要求
安全等级化的信息系统
14
信息系统安全等级保护实施政策文件
政策文件
国务院147号令- 《中华人民共和国计算机信息系统安全保护条例》 中办发[2019]27号- 《国家信息化领导小组关于加强信息安全保障工作的意见》 公通字[2019]66号- 《关于信息安全等级保护工作的实施意见》 公通字[2019]43号- 《信息安全等级保护管理办法》
2
中国面临的信息安全风险因素
基础信息网络和重要信息系统的安全防护 能力不强
泄密隐患严重 信息技术自主可控能力不高 对外风险意识欠缺,防范措施不够,缺乏
对国外信息技术产品和服务采购中的风险 控制
3
中国面临的信息安全现状
基础信息网络和重要信息系统的安全防护 能力不强
– 重视不够,投入不足 – 安全体系不完善,整体安全十分脆弱 – 软硬件特别是高端产品严重依赖国外 – 国家安全意识不强
16
信息系统安全等级保护实施技术标准
技术标准
《计算机信息系统安全保护等级划分准则》(GB 17859-2019) 《信息安全技术 信息系统通用安全技术要求》(GB/T 20271-2019) 《信息安全技术 网络基础安全技术要求》(GB/T 20270-2019) 《信息安全技术 操作系统安全技术要求》(GB/T 20272-2019) 《信息安全技术 数据库管理系统安全技术要求》(GB/T 20273-2019) 《信息安全技术 服务器技术要求》(GB/T 21028-2019) 《信息安全技术 终端计算机系统安全等级技术要求》(GA/T 671-2019) 《涉及国家秘密的信息系统分级保护技术要求》(BMB17-2019) ………
1983 年NCSC公布了可信计算机系统评估准则TCSECTrusted Computer System Evaluation Criteria,俗称 橘皮书
NCSC于1987年出版了一系列有关可信计算机数据库、可 信计算机网络等的指南等(俗称彩虹系列),根据所采用 的安全策略、系统所具备的安全功能将系统分为四类七个 安全级别。将计算机系统的可信程度划分为D、C1、C2、 B1、B2、B3和A1七个层次。
12
目前最新的信息安全体系发展状况
1994年,国务院发布了《中华人民共和国计算机信息系 统安全保护条例》,该条例是计算机信息系统安全保护的 法律基础。
其中第九条规定“计算机信息系统实行安全等级保护。安 全等级的划分标准和安全等级保护的具体办法,由公安部 会同有关部门制定。”
公安部组织制订了《计算机信息系统安全保护等级划分准 则》的国家标准,并于2019年9月13日由国家质量技术监 督局审查通过并正式批准发布,已于 2019年1月1日执行。
网络安全体系基础架构建设知识
国际社会对信息安全的共识
2019年以来的历届联合国大会,均专门商 讨信息安全概念和主要威胁;
2019年,俄罗斯向联合国提交了《从国际 安全的角度来看信息和电信领域的发展》 报告,遭到西方国家强烈抵制;
2019年10月20日,俄罗斯联合中国等国, 继续提交了报告决议草案,最终169票对1 票通过,唯一投反对票的国家是美国。
7
中国面临的信息安全风险因素
对外风险意识欠缺,防范措施不够
–缺少对采购国外信息技术产品和服务的限制 –尚未建立外商投资安全审查机制 –互联网基础设施对国外高度依赖-DNS问题 –国内.CN域名注册量少于.COM顶级域名注册量
8
有关电子标签的两次政协提案
电子标签:非接触自动识别技术,通过射频信号识别目标 对象并获取相关数据,无须人工干预;
11
中国早期参考的信息安全体系标准
TCSEC带动了国际计算机安全的评估研究,90年代西欧 四国(英、法、荷、德)联合提出了信息技术安全评估标 准(ITSEC),ITSEC(又称欧洲白皮书)除了吸收 TCSEC 的成功经验外,首次提出了信息安全的保密性、 完整性、可用性的概念
美国不甘心TCSEC的影响被ITSEC取代,他们联合其他 国家于1991年1月宣布制定了通用安全评估准则CC,并 于2019年1月出版了1.0版。CC标准吸收了各先进国家对 现代信息系统信息安全的经验与知识,对未来信息安全的 研究与应用带来重大影响-中国根据该准则制订了《计算 机信息系统安全保护等级划分准则 GB17859-2019》
EPC是美国EPC Global公司推出的产品电子代码,2019 年进入中国,中国物品编码中心(国家质检总局、国家标 准委所属机构)为其代理单位;
日本坚决抵制EPC,建立了自己的UID;德国、韩国。。
9
网络安全体系基础架构
10
中国早期参考的信息安全体系标准
美国国防部早在80年代就针对国防部门的计算机安全保密 成立了国家计算机安全中心(NCSC)
5
中国面临的信息安全风险因素
泄密隐患严重
– 情报机构网上窃密活动猖獗 – 信息时代泄密途径日益增多 – 新兴技术发展导致保密形势严峻
6Baidu Nhomakorabea
中国面临的信息安全风险因素
信息技术自主可控能力不高
–核心器件和核心软件还大量依赖国外 –大规模集成电路技术 –集成电路专用设备 –操作系统和数据库90%是外国公司产品 –通信技术、电子视听核心技术没有掌握 –新型元器件方面的核心技术基础非常薄弱
信息系统安全等级保护实施的标准法规
四大标准
❖ 《信息安全技术 信息系统安全等级保护定级指南》 GB/T 22240-2019
❖ 《信息安全技术 信息系统安全等级保护基本要求》 GB/T 22239-2019
❖ 信息系统安全等级保护实施指南(国家标准报批稿) ❖ 信息系统安全等级保护测评准则(国家标准报批稿)
2019年两会期间,杨匡满等政协委员再次递交了《关于 国家强制性标准全国产品与服务统一代码(NPC)的推广 应用工作必须立即恢复的再提议案》,签名提案委员72人, 成为政协史上最大提案;2019年,59名;
NPC是我国自主创新、完全拥有知识产权的国家强制性标 准,2019年由国家质检总局发布,2019年宣布取消;
13
信息安全等级保护相关文件间的关系
政策文件
提供指导
四大标准
提供方法
技术标准
提供技术要求
管理标准
提供管理要求
安全等级化的信息系统
14
信息系统安全等级保护实施政策文件
政策文件
国务院147号令- 《中华人民共和国计算机信息系统安全保护条例》 中办发[2019]27号- 《国家信息化领导小组关于加强信息安全保障工作的意见》 公通字[2019]66号- 《关于信息安全等级保护工作的实施意见》 公通字[2019]43号- 《信息安全等级保护管理办法》
2
中国面临的信息安全风险因素
基础信息网络和重要信息系统的安全防护 能力不强
泄密隐患严重 信息技术自主可控能力不高 对外风险意识欠缺,防范措施不够,缺乏
对国外信息技术产品和服务采购中的风险 控制
3
中国面临的信息安全现状
基础信息网络和重要信息系统的安全防护 能力不强
– 重视不够,投入不足 – 安全体系不完善,整体安全十分脆弱 – 软硬件特别是高端产品严重依赖国外 – 国家安全意识不强
16
信息系统安全等级保护实施技术标准
技术标准
《计算机信息系统安全保护等级划分准则》(GB 17859-2019) 《信息安全技术 信息系统通用安全技术要求》(GB/T 20271-2019) 《信息安全技术 网络基础安全技术要求》(GB/T 20270-2019) 《信息安全技术 操作系统安全技术要求》(GB/T 20272-2019) 《信息安全技术 数据库管理系统安全技术要求》(GB/T 20273-2019) 《信息安全技术 服务器技术要求》(GB/T 21028-2019) 《信息安全技术 终端计算机系统安全等级技术要求》(GA/T 671-2019) 《涉及国家秘密的信息系统分级保护技术要求》(BMB17-2019) ………
1983 年NCSC公布了可信计算机系统评估准则TCSECTrusted Computer System Evaluation Criteria,俗称 橘皮书
NCSC于1987年出版了一系列有关可信计算机数据库、可 信计算机网络等的指南等(俗称彩虹系列),根据所采用 的安全策略、系统所具备的安全功能将系统分为四类七个 安全级别。将计算机系统的可信程度划分为D、C1、C2、 B1、B2、B3和A1七个层次。
12
目前最新的信息安全体系发展状况
1994年,国务院发布了《中华人民共和国计算机信息系 统安全保护条例》,该条例是计算机信息系统安全保护的 法律基础。
其中第九条规定“计算机信息系统实行安全等级保护。安 全等级的划分标准和安全等级保护的具体办法,由公安部 会同有关部门制定。”
公安部组织制订了《计算机信息系统安全保护等级划分准 则》的国家标准,并于2019年9月13日由国家质量技术监 督局审查通过并正式批准发布,已于 2019年1月1日执行。
网络安全体系基础架构建设知识
国际社会对信息安全的共识
2019年以来的历届联合国大会,均专门商 讨信息安全概念和主要威胁;
2019年,俄罗斯向联合国提交了《从国际 安全的角度来看信息和电信领域的发展》 报告,遭到西方国家强烈抵制;
2019年10月20日,俄罗斯联合中国等国, 继续提交了报告决议草案,最终169票对1 票通过,唯一投反对票的国家是美国。
7
中国面临的信息安全风险因素
对外风险意识欠缺,防范措施不够
–缺少对采购国外信息技术产品和服务的限制 –尚未建立外商投资安全审查机制 –互联网基础设施对国外高度依赖-DNS问题 –国内.CN域名注册量少于.COM顶级域名注册量
8
有关电子标签的两次政协提案
电子标签:非接触自动识别技术,通过射频信号识别目标 对象并获取相关数据,无须人工干预;
11
中国早期参考的信息安全体系标准
TCSEC带动了国际计算机安全的评估研究,90年代西欧 四国(英、法、荷、德)联合提出了信息技术安全评估标 准(ITSEC),ITSEC(又称欧洲白皮书)除了吸收 TCSEC 的成功经验外,首次提出了信息安全的保密性、 完整性、可用性的概念
美国不甘心TCSEC的影响被ITSEC取代,他们联合其他 国家于1991年1月宣布制定了通用安全评估准则CC,并 于2019年1月出版了1.0版。CC标准吸收了各先进国家对 现代信息系统信息安全的经验与知识,对未来信息安全的 研究与应用带来重大影响-中国根据该准则制订了《计算 机信息系统安全保护等级划分准则 GB17859-2019》
EPC是美国EPC Global公司推出的产品电子代码,2019 年进入中国,中国物品编码中心(国家质检总局、国家标 准委所属机构)为其代理单位;
日本坚决抵制EPC,建立了自己的UID;德国、韩国。。
9
网络安全体系基础架构
10
中国早期参考的信息安全体系标准
美国国防部早在80年代就针对国防部门的计算机安全保密 成立了国家计算机安全中心(NCSC)
5
中国面临的信息安全风险因素
泄密隐患严重
– 情报机构网上窃密活动猖獗 – 信息时代泄密途径日益增多 – 新兴技术发展导致保密形势严峻
6Baidu Nhomakorabea
中国面临的信息安全风险因素
信息技术自主可控能力不高
–核心器件和核心软件还大量依赖国外 –大规模集成电路技术 –集成电路专用设备 –操作系统和数据库90%是外国公司产品 –通信技术、电子视听核心技术没有掌握 –新型元器件方面的核心技术基础非常薄弱