信息安全工程
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
- 14
3、实施指导类标准
从系统角度,对等级保护的具体实施 提供指导的标准,包括信息安全等级保护 实施指南、信息系统安全方案设计指南、 信息安全等级保护监督检查与管理工作手 册等;
- 15
4、各应用领域实施指导方案 各应用领域实施指导方案——按等级保护 要求,对各个应用领域按照上述标准的要 求建设安全的信息系统的参考性方案。
-5
国家信息安全标准体系框架
一般认为,信息安全标准体系主要由基础标准、技术标准 和管理标准等分体系组成。 基础标准体系由安全技术术语、体系结构、模型和框架等 方面标准组成; 技术标准体系由密码技术、安全协议、标识与鉴别、访问 控制、电子签名、完整性保护、抗抵赖、审计与监控、公 钥基础设施、物理安全技术以及其他安全技术等标准组成 ; 管理标准体系由系统安全管理、等级保护、工程、评估和 运行等方面组成。用于对信息系统保护产品的规划、设计 、建设、验收、测评、运行与维护过程的指导。
-6
国家信息安全标准体系框架
用于对信息系统保护产品的规划、设计、建设、 验收、测评、运行与维护过程的指导。 国家制订的均为基础性标准、配套性标准、实施 指导标准。
国家标准/行业标准(GA,BMB等)
-7
国家信息安全标准体系框架
比较完整的安全保护框架应包括如下几个方面: 1、总体框架:明确安全等级保护模型,实现总体控制 2、设计和实现过程控制:解决信息系统产品的安全等级功能与安全保证
1985年美国可信计 算机系统评估准则 (TCSEC)
国际通用准则 1996年(CC1.0) 1998年(CC2.0)
1989年 英国 可信级别标准 (MEMO 3 DTI) 德国评估标准(ZSEIC) 法国评估标准 (B-W-R BOOK)
- 12
计算机信息系统安全等级ቤተ መጻሕፍቲ ባይዱ护三维空间
第五级:专有保护级 第四级:强制保护级 第三级:监督保护级 第二级:指导保护级 第一级:自主保护级
计算机信息系统安全等级保护的五个层面 物理 层面 网络 层面 系统 层面 应用 层面 数据 层面
构建过程控制
测评过程控制
运行过程控制
- 13
2、配套系列标准
配套系列标准:按等级保护的要求,对建设、评估、监督 、管理安全的计算机信息系统提供指导的标准,包括总体 框架标准、技术要求标准、评估准则标准、管理要求标准 、管理评估标准等。 总体框架标准——为按等级保护的要求,实施信息系统安 全从总体上提供指导的标准; 要求类系列标准——为按等级保护的要求,建设安全的信 息系统从技术和管理方面提供指导的标准; 《信息安全等级保护基本要求》 评估类系列标准——为按等级保护的要求,对安全的信息 系统进行评估从技术和管理方面提供指导的标准; 《信息安全等级保护测评准则》
的实现
3、设计与实现的结果控制:解决安全产品及信息系统的评测与评估 4、信息系统分层面安全控制:在物理及运行、支撑系统、网络、应用、
管理层面,分别采取安全保护措施
5、监督管理: 对信息安全系统实施安全等级监督管理
-8
信息系统安全标准体系核心标准
1994年2月18日国务院147号令《中华人民共和国计算机信息 系统安全保护条例》第九条:计算机信息系统实行安全等级保 护。 1999年发布GB17859-99(2001年1月1日生效实施)是我国计算机 信息系统安全等级保护系列标准的核心。
- 16
总体框架标准
目前国内关于总体框架标准已经制订了一些标准草案,分别 为: 《信息系统安全等级保护 总体框架 基本模型》规定了 对信息系统实施安全等级保护的基本模型。对基本模型组成 部分进行说明。 《信息系统安全等级保护 总体框架 体系结构》从体系 结构的角度对信息系统安全等级保护的总体框架进行描述。 《信息系统安全保障评估框架》主要技术内容包括对信 息系统的描述、其所处的安全环境(包括假设、所考虑的威 胁和组织安全策略)、所要达到的安全保障目标、所创建的 实际安全保障要求以及信息系统安全保障级的分级说明等。 我们的任务是对上述标准框架进行针对国防科技工业信息化 的适用性评估与改进。
信息系统等级保护是国家信息安全体系建设的核心工作。所 以,各级各类信息系统安全体系建设都要以等级保护为载体来 进行,为此,我们认为应该重点考虑计算机信息系统安全等级 保护标准体系。
-9
计算机信息系统安全等级保护标准体系
1、基础性标准
2、配套系列标准
3、实施指导类标准
4、各应用领域实施指导方案
- 10
信息系统安全等级保护标准体系框架
介绍内容
1、信息系统安全等级保护标准整体框架
2、信息系统安全等级保护标准体系
3 亟需制定的若干核心标准
-2
信息系统安全等级保护标准整体框架
国家信息化标准体系
国家信息安全标准体系
国家相关部门制订的信息安全标准
-3
国家信息化标准体系框架
信息化标准体系主要由信息技术的基础标准、信 息资源标准体系、网络通信标准体系、信息安全 标准体系、应用标准体系、管理标准体系等六大 类构成。
1、基础性标准
GB17859-99 是我国计算机信息系统安全等级 保护系列标准的核心,它源自TCSEC桔皮书 ,是实行计算机信息系统安全等级保护制 度建设的基础性标准。
- 11
相关标准的传承渊源
1999年 GB 17859 计算机信息 系统安全保护等级划分准则 1993年 加拿大可 信计算机产品评估 准则(CTCPEC) 1993年美 国NIST的 MSFR 1993年美国联邦 准则(FC 1.0) 1991年欧洲信息技 术安全性评估准则 (ITSEC) 1999年 国际标准 ISO/IEC 15408 2001年 国家标准 GB/T 18336 信息技术安全 性评估准则 idt iso/iec15408
信息安全标准体系是信息化标准体系的重要组成 部分。
信息安全标准化工作领域包括信息安全技术、安 全机制、安全服务、安全管理、安全评估等领域 标准化工作。
-4
国家信息安全标准体系框架
目前,在国家层面,全国信息安全标准化技术委员会工作 组分成: WG1 -- 信息安全标准体系与协调工作组 WG2 -- 内容安全分级及标识工作组 WG3 -- 密码算法与密码模块/KMI/VPN工作组 WG4 -- PKI/PMI工作组 WG5 -- 信息安全评估工作组 WG6 -- 应急处理工作组 WG7 -- 信息安全管理(含工程与开发)工作组 WG8 -- 电子证据及处理工作组 WG9 -- 身份标识与鉴别协议工作组 WG10-- 操作系统与数据库安全工作组 正式启动的有WG1、WG2、WG3、WG4、WG5、WG7。
3、实施指导类标准
从系统角度,对等级保护的具体实施 提供指导的标准,包括信息安全等级保护 实施指南、信息系统安全方案设计指南、 信息安全等级保护监督检查与管理工作手 册等;
- 15
4、各应用领域实施指导方案 各应用领域实施指导方案——按等级保护 要求,对各个应用领域按照上述标准的要 求建设安全的信息系统的参考性方案。
-5
国家信息安全标准体系框架
一般认为,信息安全标准体系主要由基础标准、技术标准 和管理标准等分体系组成。 基础标准体系由安全技术术语、体系结构、模型和框架等 方面标准组成; 技术标准体系由密码技术、安全协议、标识与鉴别、访问 控制、电子签名、完整性保护、抗抵赖、审计与监控、公 钥基础设施、物理安全技术以及其他安全技术等标准组成 ; 管理标准体系由系统安全管理、等级保护、工程、评估和 运行等方面组成。用于对信息系统保护产品的规划、设计 、建设、验收、测评、运行与维护过程的指导。
-6
国家信息安全标准体系框架
用于对信息系统保护产品的规划、设计、建设、 验收、测评、运行与维护过程的指导。 国家制订的均为基础性标准、配套性标准、实施 指导标准。
国家标准/行业标准(GA,BMB等)
-7
国家信息安全标准体系框架
比较完整的安全保护框架应包括如下几个方面: 1、总体框架:明确安全等级保护模型,实现总体控制 2、设计和实现过程控制:解决信息系统产品的安全等级功能与安全保证
1985年美国可信计 算机系统评估准则 (TCSEC)
国际通用准则 1996年(CC1.0) 1998年(CC2.0)
1989年 英国 可信级别标准 (MEMO 3 DTI) 德国评估标准(ZSEIC) 法国评估标准 (B-W-R BOOK)
- 12
计算机信息系统安全等级ቤተ መጻሕፍቲ ባይዱ护三维空间
第五级:专有保护级 第四级:强制保护级 第三级:监督保护级 第二级:指导保护级 第一级:自主保护级
计算机信息系统安全等级保护的五个层面 物理 层面 网络 层面 系统 层面 应用 层面 数据 层面
构建过程控制
测评过程控制
运行过程控制
- 13
2、配套系列标准
配套系列标准:按等级保护的要求,对建设、评估、监督 、管理安全的计算机信息系统提供指导的标准,包括总体 框架标准、技术要求标准、评估准则标准、管理要求标准 、管理评估标准等。 总体框架标准——为按等级保护的要求,实施信息系统安 全从总体上提供指导的标准; 要求类系列标准——为按等级保护的要求,建设安全的信 息系统从技术和管理方面提供指导的标准; 《信息安全等级保护基本要求》 评估类系列标准——为按等级保护的要求,对安全的信息 系统进行评估从技术和管理方面提供指导的标准; 《信息安全等级保护测评准则》
的实现
3、设计与实现的结果控制:解决安全产品及信息系统的评测与评估 4、信息系统分层面安全控制:在物理及运行、支撑系统、网络、应用、
管理层面,分别采取安全保护措施
5、监督管理: 对信息安全系统实施安全等级监督管理
-8
信息系统安全标准体系核心标准
1994年2月18日国务院147号令《中华人民共和国计算机信息 系统安全保护条例》第九条:计算机信息系统实行安全等级保 护。 1999年发布GB17859-99(2001年1月1日生效实施)是我国计算机 信息系统安全等级保护系列标准的核心。
- 16
总体框架标准
目前国内关于总体框架标准已经制订了一些标准草案,分别 为: 《信息系统安全等级保护 总体框架 基本模型》规定了 对信息系统实施安全等级保护的基本模型。对基本模型组成 部分进行说明。 《信息系统安全等级保护 总体框架 体系结构》从体系 结构的角度对信息系统安全等级保护的总体框架进行描述。 《信息系统安全保障评估框架》主要技术内容包括对信 息系统的描述、其所处的安全环境(包括假设、所考虑的威 胁和组织安全策略)、所要达到的安全保障目标、所创建的 实际安全保障要求以及信息系统安全保障级的分级说明等。 我们的任务是对上述标准框架进行针对国防科技工业信息化 的适用性评估与改进。
信息系统等级保护是国家信息安全体系建设的核心工作。所 以,各级各类信息系统安全体系建设都要以等级保护为载体来 进行,为此,我们认为应该重点考虑计算机信息系统安全等级 保护标准体系。
-9
计算机信息系统安全等级保护标准体系
1、基础性标准
2、配套系列标准
3、实施指导类标准
4、各应用领域实施指导方案
- 10
信息系统安全等级保护标准体系框架
介绍内容
1、信息系统安全等级保护标准整体框架
2、信息系统安全等级保护标准体系
3 亟需制定的若干核心标准
-2
信息系统安全等级保护标准整体框架
国家信息化标准体系
国家信息安全标准体系
国家相关部门制订的信息安全标准
-3
国家信息化标准体系框架
信息化标准体系主要由信息技术的基础标准、信 息资源标准体系、网络通信标准体系、信息安全 标准体系、应用标准体系、管理标准体系等六大 类构成。
1、基础性标准
GB17859-99 是我国计算机信息系统安全等级 保护系列标准的核心,它源自TCSEC桔皮书 ,是实行计算机信息系统安全等级保护制 度建设的基础性标准。
- 11
相关标准的传承渊源
1999年 GB 17859 计算机信息 系统安全保护等级划分准则 1993年 加拿大可 信计算机产品评估 准则(CTCPEC) 1993年美 国NIST的 MSFR 1993年美国联邦 准则(FC 1.0) 1991年欧洲信息技 术安全性评估准则 (ITSEC) 1999年 国际标准 ISO/IEC 15408 2001年 国家标准 GB/T 18336 信息技术安全 性评估准则 idt iso/iec15408
信息安全标准体系是信息化标准体系的重要组成 部分。
信息安全标准化工作领域包括信息安全技术、安 全机制、安全服务、安全管理、安全评估等领域 标准化工作。
-4
国家信息安全标准体系框架
目前,在国家层面,全国信息安全标准化技术委员会工作 组分成: WG1 -- 信息安全标准体系与协调工作组 WG2 -- 内容安全分级及标识工作组 WG3 -- 密码算法与密码模块/KMI/VPN工作组 WG4 -- PKI/PMI工作组 WG5 -- 信息安全评估工作组 WG6 -- 应急处理工作组 WG7 -- 信息安全管理(含工程与开发)工作组 WG8 -- 电子证据及处理工作组 WG9 -- 身份标识与鉴别协议工作组 WG10-- 操作系统与数据库安全工作组 正式启动的有WG1、WG2、WG3、WG4、WG5、WG7。