信息安全等级标准.ppt

信息系统安全等级保护标准体系框架 1 信息系统安全等级保护标准整体框架2 信息系统安全等级保护标准体系3亟需制定的若干核心标准 介绍内容 信息系统安全等级保护标准整体框架 国家信息化标准体系国家信息安全标准体系国家相关部门制订的信息安全标准 国家信息化标准体系框架 信息化标准体系主要由信息技术的基础标准 信息资源标准体系 网络通信标准体系 信息安全标准体系 应用标准体系 管理标准体系等六大类构成 信息安全标准体系是信息化标准体系的重要组成部分 信息安全标准化工作领域包括信息安全技术 安全机制 安全服务 安全管理 安全评估等领域标准化工作 国家信息安全标准体系框架 目前 在国家层面 全国信息安全标准化技术委员会工作组分成 WG1 信息安全标准体系与协调工作组WG2 内容安全分级及标识工作组WG3 密码算法与密码模块 KMI VPN工作组WG4 PKI PMI工作组WG5 信息安全评估工作组WG6 应急处理工作组WG7 信息安全管理 含工程与开发 工作组WG8 电子证据及处理工作组WG9 身份标识与鉴别协议工作组WG10 操作系统与数据库安全工作组正式启动的有WG1 WG2 WG3 WG4 WG5 WG7 国家信息安全标准体系框架 一般认为 信息安全标准体系主要由基础标准 技术标准和管理标准等分体系组成 基础标准体系由安全技术术语 体系结构 模型和框架等方面标准组成 技术标准体系由密码技术 安全协议 标识与鉴别 访问控制 电子签名 完整性保护 抗抵赖 审计与监控 公钥基础设施 物理安全技术以及其他安全技术等标准组成 管理标准体系由系统安全管理 等级保护 工程 评估和运行等方面组成 用于对信息系统保护产品的规划 设计 建设 验收 测评 运行与维护过程的指导 国家信息安全标准体系框架 用于对信息系统保护产品的规划 设计 建设 验收 测评 运行与维护过程的指导 国家制订的均为基础性标准 配套性标准 实施指导标准 国家标准 行业标准 GA BMB等 国家信息安全标准体系框架 比较完整的安全保护框架应包括如下几个方面 1 总体框架 明确安全等级保护模型 实现总体控制2 设计和实现过程控制 解决信息系统产品的安全等级功能与安全保证的实现3 设计与实现的结果控制 解决安全产品及信息系统的评测与评估4 信息系统分层面安全控制 在物理及运行 支撑系统 网络 应用 管理层面 分别采取安全保护措施5 监督管理 对信息安全系统实施安全等级监督管理 信息系统安全标准体系核心标准 1994年2月18日国务院147号令 中华人民共和国计算机信息系统安全保护条例 第九条 计算机信息系统实行安全等级保护 1999年发布GB17859 99 2001年1月1日生效实施 是我国计算机信息系统安全等级保护系列标准的核心 信息系统等级保护是国家信息安全体系建设的核心工作 所以 各级各类信息系统安全体系建设都要以等级保护为载体来进行 为此 我们认为应该重点考虑计算机信息系统安全等级保护标准体系 1 基础性标准2 配套系列标准3 实施指导类标准4 各应用领域实施指导方案 计算机信息系统安全等级保护标准体系 1 基础性标准 GB17859 99是我国计算机信息系统安全等级保护系列标准的核心 它源自TCSEC桔皮书 是实行计算机信息系统安全等级保护制度建设的基础性标准 相关标准的传承渊源 1999年GB17859计算机信息系统安全保护等级划分准则 1991年欧洲信息技术安全性评估准则 ITSEC 国际通用准则1996年 CC1 0 1998年 CC2 0 1985年美国可信计算机系统评估准则 TCSEC 1993年加拿大可信计算机产品评估准则 CTCPEC 1993年美国联邦准则 FC1 0 1999年国际标准ISO IEC15408 1989年英国可信级别标准 MEMO3DTI 德国评估标准 ZSEIC 法国评估标准 B W RBOOK 2001年国家标准GB T18336信息技术安全性评估准则idtiso iec15408 1993年美国NIST的MSFR 计算机信息系统安全等级保护三维空间 2 配套系列标准 配套系列标准 按等级保护的要求 对建设 评估 监督 管理安全的计算机信息系统提供指导的标准 包括总体框架标准 技术要求标准 评估准则标准 管理要求标准 管理评估标准等 总体框架标准 为按等级保护的要求 实施信息系统安全从总体上提供指导的标准 要求类系列标准 为按等级保护的要求 建设安全的信息系统从技术和管理方面提供指导的标准 信息安全等级保护基本要求 评估类系列标准 为按等级保护的要求 对安全的信息系统进行评估从技术和管理方面提供指导的标准 信息安全等级保护测评准则 3 实施指导类标准 从系统角度 对等级保护的具体实施提供指导的标准 包括信息安全等级保护实施指南 信息系统安全方案设计指南 信息安全等级保护监督检查与管理工作手册等 4 各应用领域实施指导方案 各应用领域实施指导方案 按等级保护要求 对各个应用领域按照上述标准的要求建设安全的信息系统的参考性方案 总体框架标准 目前国内关于总体框架标准已经制订了一些标准草案 分别为 信息系统安全等级保护总体框架基本模型 规定了对信息系统实施安全等级保护的基本模型 对基本模型组成部分进行说明 信息系统安全等级保护总体框架体系结构 从体系结构的角度对信息系统安全等级保护的总体框架进行描述 信息系统安全保障评估框架 主要技术内容包括对信息系统的描述 其所处的安全环境 包括假设 所考虑的威胁和组织安全策略 所要达到的安全保障目标 所创建的实际安全保障要求以及信息系统安全保障级的分级说明等 我们的任务是对上述标准框架进行针对国防科技工业信息化的适用性评估与改进 2 技术要求标准 信息安全标准是一个体系 从技术要求上来讲 包括物理 网络 服务器 路由器 交换机 应用系统 实体鉴别 抗抵赖等等 从软件和硬件各个方面对信息系统安全各个等级制定详细的技术要求 分别如下 计算机信息系统安全等级保护技术要求物理安全 计算机信息系统安全等级保护技术要求服务器 计算机信息系统安全等级保护技术要求路由器 计算机信息系统安全等级保护技术要求交换机 信息系统安全等级保护技术要求应用系统 智能卡集成电路平台安全技术要求 网络交换机和路由器安全技术要求 网络隔离设备安全技术要求 通用操作系统安全技术要求 等 我们的任务是对上述技术要求进行针对国防科技工业信息化的适用性评估与改进 3 评估准则标准 我国从上世纪90年代中期即开始制定关于信息安全产品的标准 2000年开始有计划地研究制定信息安全评估标准 逐步立项开展若干单项标准的制订工作 这些标准既适用于相关产品安全等级的评估 同时可作为系统研制 开发 测试和产品采购使用 1 操作系统安全保护等级评估准则 2 数据库管理系统安全保护等级评估准则 3 路由器安全保护等级评估准则 4 包过滤防火墙安全保护等级评估准则 5 智能卡操作系统 COS 测评标准 6 防火墙技术要求与测评准则 7 端设备隔离部件安全保护等级评估准则 8 入侵检测系统安全保护等级评估准则 9 网络脆弱性扫描产品安全保护等级评估准则 近期又将发布 计算机信息系统安全保护等级评估准则 上述标准分别针对信息系统与安全产品两个方面 我们的任务是对上述技术要求进行针对国防科技工业信息化的适用性评估与改进 4 管理要求标准 一套完善的信息安全管理体系 应该包括规范化的信息安全管理内容 以风险和策略为核心的建设方法 定性和定量的度量信息安全管理 信息安全管理是目前信息安全领域里最热门的话题之一 而作为指导和规范信息安全管理的标准更是重中之重 信息安全管理领域标准众多 对于标准的争论从未停息过 近年来 国际ISO IEC和西方一些国家开始发布和改版一系列信息安全管理标准 使安全标准进入了一个繁忙的改版期 这表明 信息安全管理标准已经从零星的 随意的 指南性标准 逐渐衍变成为层次化 体系化 覆盖信息安全管理全生命周期的信息安全管理体系 5 管理评估标准 目前 在信息安全管理评估方面 英国标准BS7799已经成为世界上应用最广泛与典型的信息安全管理标准 2000年12月 BS7799 1 1999 信息安全管理实施细则 正式成为国际标准 ISO IEC17799 1 2000 信息技术 信息安全管理实施细则 成为国际上具有代表性的信息安全管理体系标准 2002年9月5日 BSI又发布了最新版的BS7799 2 2002标准 因此 针对我们建设国防科技工业信息化信息安全管理标准 BS7799标准具有很深刻的社会影响和参考作用 6 信息安全等级保护实施指南 国家对不同安全等级的信息系统提出的基本保护要求 是对不同信息系统相同保护要求的共性的抽取 是保障信息系统安全的最基本要求 信息系统的类型千差万别 错综复杂 应根据信息系统的重要程度 完成的不同使命 承载的不同业务 处理的不同数据 针对自身的特点有特殊的安全需求等分别确定每个信息系统的安全等级 大型 复杂的信息系统应该考虑是由不同安全等级的几个小型信息系统构成 从而达到对整个信息系统区分保护和重点保护的目的 7 信息安全等级保护监督检查与管理工作手册 主要包括 信息安全工程与资质管理信息安全团队构建与管理信息安全风险评估信息网络的安全威胁信息网络的政策与监管信息安全等级保护与控制规范信息安全策略与机制灾难恢复规划风险分析灾难恢复规划中的设备保护 数据恢复规划 应急决策维护与测试信息系统标准化管理计算机事故应对小组及对攻击所采取的应对措施 4亟需制定的若干核心标准 等级保护标准体系图 谢谢