《信息安全工程与管理(第二版)》 课件 第4章_信息安全工程与等级保护.ppt

4.10有关部门信息安全等级保护工作经验设立了领导机构，明确了责任部门。立足全局，制定全国海关系统等级保护安全建设整改工作规划。分析比对，剖析全国海关系统安全保护状况。完善海关等级保护体系，形成长效机制。4.10.2海关总署海关总署将信息安全等级保护工作作为保障海关信息系统安全与信息化建设同步发展的必要手段和优化信息安全资源配置、保障海关核心系统运行安全的重大举措，采取了一系列措施推动全国海关贯彻落实等级保护制度4.10有关部门信息安全等级保护工作经验领导高度重视，组织机构健全。建立了证监部门与公安机关的分级协调配合机制。有序开展等级保护各项工作。成效显著，行业信息安全保障水平显著提高。4.10.3证监会证监会将信息安全等级保护工作作为推动行业信息安全工作的重要抓手，全面加强行业的信息安全等级保护工作，不断提升行业信息系统安全保障的整体水平，同时，打防结合，积极协调配合公安机关打击针对证券期货业的网络违法犯罪，各项工作取得了明显的成效。本章总结等级保护的核心观念是保护重点、适度安全，即分级别、按需要重点保护重要信息系统，综合平衡安全成本和风险，提高保护成效。在等级保护的基本方法中要注意分区域分等级安全保护、内部保护和边界保护和网络安全保护。根据GB17859《计算机信息系统安全保护等级划分准则》，我国计算机信息系统安全保护划分为5个等级。在信息系统安全等级保护建设中，一定要按照《信息安全技术—网络安全等级保护基本要求》（GB/T22239—2019），参照相关标准和规范要求开展工作。我国已从“信息安全等级保护1.0”进入“网络安全等级保护2.0”时代。信息系统安全等级保护的核心观念是保护重点、适度安全，即分级别、按需要重点保护重要信息系统，综合平衡安全成本和风险，提高保护成效。信息安全等级保护是国际通行的做法，其思想源头可以追溯到美国的军事必威体育官网网址制度。自20世纪60年代以来，这一思想不断发展，日益完善。20世纪60年代，正在大力进行信息化的美军发现，使用计算机系统无法实现这一真实世界中的体系，当不同安全等级的数据存放于同一个计算机系统中时，低密级的人员总能找到办法获取高密级的文件。原因在于计算机系统的分时性（Time-Sharing），因为从计算角度来看，使用多道程序（Multi-Programming）意味着多个作业同时驻留在计算机的内存中，而从存储方面看，各用户的数据都存储在同一个计算机中，因此一个用户的作业有可能会读取其他用户的信息。1970年，兰德公司W·威尔（W.Ware）指出，要把真实世界的等级保护体系映射到计算机中，在计算机系统中建立等级保护体系，必须重新设计现有的计算机系统。1973年，数学家D.E.Bell和L.J.LaPadula提出第一个形式化的安全模型——Bell-LaPadula模型（简称BLP模型），从数学上证明在计算机中实现等级保护是可行的。基于BLP模型，美国霍尼韦尔（Honeywell）公司开发出了第一个完全符合BLP模型的安全信息系统——SCOMP多级必威体育官网网址系统。实践证明该系统可以建立起符合等级保护要求的工作环境。*2001年，我国对ISO/IEC15408:1999进行了翻译整理，形成了一个等同于ISO/IEC15408的国家标准，即《信息技术—安全技术—信息技术安全性评估准则》（GB/T18336—2001）。此后，根据ISO/IEC15408的发展情况，于2008年在参考第2版ISO/IEC15408:2005的基础上，对GB/T18336—2001进行了第1次修订，形成了《信息技术—安全技术—信息技术安全性评估准则》（GB/T18336—2008）。2015年再次修订形成了《信息技术—安全技术—信息技术安全性评估准则》（GB/T18336—2015）。目前，中国信息安全测评中心正在参考ISO/IEC15408:2022，开展向国家标准GB/T18336—202X的修订转化工作。为了推进信息技术产品的安全性评估结果在国际间互认，减少重复检测认证，国际上成立了CC互认组织CCRA（CommonCriteriaRecognitionArrangement）。截止2022年底，CCRA成员国已发展到31个（参见：/ccra/members/），其中已有16个国家的相关政府机构拥有自己的评估认证体系可进行认证证书的颁发并接受互认（CertificateAuthorizing），而另外的15个国家可以接受和认可来自上述国家颁发的认证结果（CertificateConsuming）。根据协议要求，各CCRA成员国之间对CC的EAL等级的评估结果相互承认。