网络信息安全等级保护制度PPT课件

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
求的系统设计的,只具有一个级别
该类是指不符合要求的那些系统,因此,这种
系统不能在多用户环境下处理敏感信息
2017/9/9
11/41
自主保护级(C级)
具有一定的保护能力,采用的措施是身份认证、
自主访问控制和审计跟踪
一般只适用于具有一定等级的多用户环境
具有对主体责任及其动作审计的能力

自主安全保护级(C1级)
网络信息安全等级保护制度
引 言
信息网络的全球化使得信息网络的安全问题也全
球化起来,任何与互联网相连接的信息系统都必
须面对世界范围内的网络攻击、数据窃取、身份 假冒等安全问题。发达国家普遍发生的有关利用 计算机进行犯罪的案件,绝大部分已经在我国出 现。
2017/9/9
2/41
引 言
当前计算机信息系统的建设者、管理者和使用者
2017/9/9 6/47/9/9
7/41
美国国防部早在80年代就针对国防部门的计算机
安全保密开展了一系列有影响的工作,后来成立
了所属的机构--国家计算机安全中心(NCSC)继 续进行有关工作。
2017/9/9
8/41
TCSEC
1984年美国国防部发布的《可信计算机系统评估
TCSEC采用等级评估的方法,将计算机安全分为A、B、 C、D四个等级八个级别,D等级安全级别最低,风险最 高,A等级安全级别最高,风险最低; 评估类别: 安全策略 可审计性 保证 文档
2017/9/9
10/41
无保护级(D级)
是为那些经过评估,但不满足较高评估等级要
2017/9/9
16/41
重点考虑人为的威胁,也用于非人为因素导致的威胁。 CC适用于硬件、固件和软件实现的信息技术安全措施, 而某些内容因涉及特殊专业技术或仅是信息技术安全的外 围技术不在CC的范围内。
通用准则(Common Criteria,CC)是目前国际上最全面的
计算机信息系统安全保护工作的重要发展思路,对于正在 发展中的信息系统安全保护工作更有着十分重要的意义。
2017/9/9
5/41
等级保护制度的意义
为切实加强重要领域信息系统安全的规范化建设和管理, 全面提高国家信息系统安全保护的整体水平,使公安机关 公共信息网络安全监察工作更加科学、规范,指导工作更 具体、明确,公安部组织制订了《计算机信息系统安全保 护等级划分准则》国家标准,并于1999年9 月13日由国 家质量技术监督局审查通过并正式批准发布,已于 2001 年1月1日执行。 该准则的发布为计算机信息系统安全法规和配套标准的制 定和执法部门的监督检查提供了依据,为安全产品的研制 提供了技术支持,为安全系统的建设和管理提供了技术指 导,是我国计算机信息系统安全保护等级工作的基础。
2017/9/9
15/41
通用准则(Common Criteria)
来自六国七方的安全标准组织组合成的单一的、能被广泛
使用的IT安全准则。
目的:解决各标准中出现的概念和技术上的差异,并把结 果作为国际标准提交给ISO。
内容:对信息系统的安全功能、安全保障给出了分类描述,
并综合考虑信息系统的资产价值、威胁等因素后,对被评 估对象提出了安全需求(保护轮廓PP)及安全实现(安 全目标ST)等方面的评估。
级保护。安全等级的划分标准和安全等级保护的具体办法,
由公安部会同有关部门制定。”
2017/9/9
4/41
等级保护制度的意义
公安部在《条例》发布实施后便着手开始了计算机信息系 统安全等级保护的研究和准备工作。等级管理的思想和方 法具有科学、合理、规范、便于理解、掌握和运用等优点,
因此,对计算机信息系统实行安全等级保护制度,是我国
控制访问保护级(C2级)
12/41
2017/9/9
强制保护级 (B级)
B类系统中的客体必须携带敏感标记(安全等级)
TCB应维护完整的敏感标记,并在此基础上执行一系列 强制访问控制规则

标记安全保护级(B1级)
结构保护级(B2级) 强制安全区域级(B3级)
2017/9/9
13/41
验证保护级(A级)
A类的特点是使用形式化的安全验证方法,保证系统的自主和强制 安全控制措施能够有效地保护系统中存储和处理的秘密信息或其 他敏感信息 为证明TCB满足设计、开发及实现等各个方面的安全要求,系统应 提供丰富的文档信息 Trusted Computing Base可靠计算基础。就是计算系统中的每 个事物都提供了一个安全环境。这包括操作系统和它提供的安全 机制,硬件,物理定位,网络硬件和软件,指定处理过程。具有 代表性的是控制访问的防备,对特殊资源的授权,支持用户身份 验证,抵抗病毒和其他对系统的渗透,还有数据备份。假设可靠 计算基础已经或必须被测试和验证通过。
都面临着一个共同的问题,就是他们建设、管理
或使用的信息系统是否是安全的?如何评价系统 的安全性? 这就需要有一整套用于规范计算机信息系统安全 建设和使用的标准和管理办法。
2017/9/9
3/41
等级保护制度的意义
1994 年,国务院发布了《中华人民共和国计算机信息系 统安全保护条例》,该条例是计算机信息系统安全保护的 法律基础。其中第九条规定“计算机信息系统实行安全等

验证设计级(A1级) 超A1级
14/41
2017/9/9
TCSEC 带动了国际计算机安全的评估研究。
90年代西欧四国(英、法、荷、德)联合提出了信息技术
安全评估标准(ITSEC),ITSEC(又称欧洲白皮书)除 了吸收TCSEC 的成功经验外,首次提出了信息安全的保 密性、完整性、可用性的概念,把可信计算机的概念提高 到可信信息技术的高度上来认识。他们的工作成为欧共体 信息安全计划的基础,并对国际信息安全的研究、实施带 来深刻的影响。
准则》(Trusted Computer System
Evaluation Criteria)即桔皮书。 目的:
为制造商提供一个安全标准; 为国防部各部门提供一个度量标准,用来评估计算机 系统或其他敏感信息的可信度; 在分析、研究规范时,为指定安全需求提供基础。
2017/9/9 9/41
相关文档
最新文档