uvs[计算机]信息安全等级标准.ppt

1、信息系统安全等级保护标准整体框架 2、信息系统安全等级保护标准体系 3 亟需制定的若干核心标准 信息系统安全等级保护标准整体框架 国家信息化标准体系 国家信息安全标准体系 国家相关部门制订的信息安全标准 国家信息化标准体系框架 信息化标准体系主要由信息技术的基础标准、信息资源标准体系、网络通信标准体系、信息安全标准体系、应用标准体系、管理标准体系等六大类构成。 信息安全标准体系是信息化标准体系的重要组成部分。 信息安全标准化工作领域包括信息安全技术、安全机制、安全服务、安全管理、安全评估等领域标准化工作。 国家信息安全标准体系框架 目前，在国家层面，全国信息安全标准化技术委员会工作组分成: WG1 -- 信息安全标准体系与协调工作组 WG2 -- 内容安全分级及标识工作组 WG3 -- 密码算法与密码模块/KMI/VPN工作组 WG4 -- PKI/PMI工作组 WG5 -- 信息安全评估工作组 WG6 -- 应急处理工作组 WG7 -- 信息安全管理（含工程与开发）工作组 WG8 -- 电子证据及处理工作组 WG9 -- 身份标识与鉴别协议工作组 WG10-- 操作系统与数据库安全工作组 正式启动的有WG1、WG2、WG3、WG4、WG5、WG7。 国家信息安全标准体系框架 一般认为，信息安全标准体系主要由基础标准、技术标准和管理标准等分体系组成。 基础标准体系由安全技术术语、体系结构、模型和框架等方面标准组成； 技术标准体系由密码技术、安全协议、标识与鉴别、访问控制、电子签名、完整性保护、抗抵赖、审计与监控、公钥基础设施、物理安全技术以及其他安全技术等标准组成； 管理标准体系由系统安全管理、等级保护、工程、评估和运行等方面组成。用于对信息系统保护产品的规划、设计、建设、验收、测评、运行与维护过程的指导。 国家信息安全标准体系框架 用于对信息系统保护产品的规划、设计、建设、验收、测评、运行与维护过程的指导。 国家制订的均为基础性标准、配套性标准、实施指导标准。 国家标准/行业标准（GA，BMB等） 国家信息安全标准体系框架 比较完整的安全保护框架应包括如下几个方面： 1、总体框架：明确安全等级保护模型，实现总体控制 2、设计和实现过程控制：解决信息系统产品的安全等级功能与安全保证的实现 3、设计与实现的结果控制：解决安全产品及信息系统的评测与评估 4、信息系统分层面安全控制：在物理及运行、支撑系统、网络、应用、管理层面，分别采取安全保护措施 5、监督管理： 对信息安全系统实施安全等级监督管理 信息系统安全标准体系核心标准 　　 1994年2月18日国务院147号令《中华人民共和国计算机信息系统安全保护条例》第九条：计算机信息系统实行安全等级保护。 1999年发布GB17859-99（2001年1月1日生效实施）是我国计算机信息系统安全等级保护系列标准的核心。 信息系统等级保护是国家信息安全体系建设的核心工作。所以，各级各类信息系统安全体系建设都要以等级保护为载体来进行，为此，我们认为应该重点考虑计算机信息系统安全等级保护标准体系。 计算机信息系统安全等级保护标准体系 1、基础性标准 2、配套系列标准 3、实施指导类标准 4、各应用领域实施指导方案 1、基础性标准 GB17859-99是我国计算机信息系统安全等级保护系列标准的核心，它源自TCSEC桔皮书，是实行计算机信息系统安全等级保护制度建设的基础性标准。 相关标准的传承渊源 计算机信息系统安全等级保护三维空间 2、配套系列标准 配套系列标准：按等级保护的要求，对建设、评估、监督、管理安全的计算机信息系统提供指导的标准，包括总体框架标准、技术要求标准、评估准则标准、管理要求标准、管理评估标准等。 总体框架标准——为按等级保护的要求，实施信息系统安全从总体上提供指导的标准； 要求类系列标准——为按等级保护的要求，建设安全的信息系统从技术和管理方面提供指导的标准； 《信息安全等级保护基本要求》 评估类系列标准——为按等级保护的要求，对安全的信息系统进行评估从技术和管理方面提供指导的标准； 《信息安全等级保护测评准则》 3、实施指导类标准 从系统角度，对等级保护的具体实施提供指导的标准，包括信息安全等级保护实施指南、信息系统安全方案设计指南、信息安全等级保护监督检查与管理工作手册等； 4、各应用领域实施指导方案 各应用领域实施指导方案——按等级保护要求，对各个应用领域按照上述标准的要求建设安全的信息系统的参考性方案。 总体框架标准 目前国内关于总体框架标准已经制