信息安全法律法規(guī)我國的標(biāo)準(zhǔn)

網(wǎng)絡(luò)信息安全等級保護(hù)制度10/3/20231引言信息網(wǎng)絡(luò)的全球化使得信息網(wǎng)絡(luò)的安全問題也全球化起來，任何與互聯(lián)網(wǎng)相連接的信息系統(tǒng)都必須面對世界范圍內(nèi)的網(wǎng)絡(luò)攻擊、數(shù)據(jù)竊取、身份假冒等安全問題。發(fā)達(dá)國家普遍發(fā)生的有關(guān)利用計算機(jī)進(jìn)行犯罪的案件，絕大部分已經(jīng)在我國出現(xiàn)。10/3/20232引言當(dāng)前計算機(jī)信息系統(tǒng)的建設(shè)者、管理者和使用者都面臨著一個共同的問題，就是他們建設(shè)、管理或使用的信息系統(tǒng)是否是安全的？如何評價系統(tǒng)的安全性？這就需要有一整套用于規(guī)范計算機(jī)信息系統(tǒng)安全建設(shè)和使用的標(biāo)準(zhǔn)和管理辦法。10/3/20233等級保護(hù)制度的意義1994年，國務(wù)院發(fā)布了《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》，該條例是計算機(jī)信息系統(tǒng)安全保護(hù)的法律基礎(chǔ)。其中第九條規(guī)定“計算機(jī)信息系統(tǒng)實行安全等級保護(hù)。安全等級的劃分標(biāo)準(zhǔn)和安全等級保護(hù)的具體辦法，由公安部會同有關(guān)部門制定?！?0/3/20234等級保護(hù)制度的意義公安部在《條例》發(fā)布實施后便著手開始了計算機(jī)信息系統(tǒng)安全等級保護(hù)的研究和準(zhǔn)備工作。等級管理的思想和方法具有科學(xué)、合理、規(guī)范、便于理解、掌握和運(yùn)用等優(yōu)點，因此，對計算機(jī)信息系統(tǒng)實行安全等級保護(hù)制度，是我國計算機(jī)信息系統(tǒng)安全保護(hù)工作的重要發(fā)展思路，對于正在發(fā)展中的信息系統(tǒng)安全保護(hù)工作更有著十分重要的意義。10/3/20235等級保護(hù)制度的意義為切實加強(qiáng)重要領(lǐng)域信息系統(tǒng)安全的規(guī)范化建設(shè)和管理，全面提高國家信息系統(tǒng)安全保護(hù)的整體水平，使公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察工作更加科學(xué)、規(guī)范，指導(dǎo)工作更具體、明確，公安部組織制訂了《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》國家標(biāo)準(zhǔn)，并于1999年9月13日由國家質(zhì)量技術(shù)監(jiān)督局審查通過并正式批準(zhǔn)發(fā)布，已于2001年1月1日執(zhí)行。該準(zhǔn)則的發(fā)布為計算機(jī)信息系統(tǒng)安全法規(guī)和配套標(biāo)準(zhǔn)的制定和執(zhí)法部門的監(jiān)督檢查提供了依據(jù)，為安全產(chǎn)品的研制提供了技術(shù)支持，為安全系統(tǒng)的建設(shè)和管理提供了技術(shù)指導(dǎo)，是我國計算機(jī)信息系統(tǒng)安全保護(hù)等級工作的基礎(chǔ)。10/3/20236國外等級保護(hù)的發(fā)展歷程10/3/20237美國國防部早在80年代就針對國防部門的計算機(jī)安全保密開展了一系列有影響的工作，后來成立了所屬的機(jī)構(gòu)--國家計算機(jī)安全中心（NCSC）繼續(xù)進(jìn)行有關(guān)工作。

10/3/20238TCSEC1984年美國國防部發(fā)布的《可信計算機(jī)系統(tǒng)評估準(zhǔn)則》（TrustedComputerSystemEvaluationCriteria）即桔皮書。目的：為制造商提供一個安全標(biāo)準(zhǔn)；為國防部各部門提供一個度量標(biāo)準(zhǔn)，用來評估計算機(jī)系統(tǒng)或其他敏感信息的可信度；在分析、研究規(guī)范時，為指定安全需求提供基礎(chǔ)。10/3/20239TCSEC采用等級評估的方法，將計算機(jī)安全分為A、B、C、D四個等級八個級別，D等級安全級別最低，風(fēng)險最高，A等級安全級別最高，風(fēng)險最低；評估類別：安全策略可審計性保證文檔10/3/202310無保護(hù)級（D級）是為那些經(jīng)過評估，但不滿足較高評估等級要求的系統(tǒng)設(shè)計的，只具有一個級別

該類是指不符合要求的那些系統(tǒng)，因此，這種系統(tǒng)不能在多用戶環(huán)境下處理敏感信息10/3/202311自主保護(hù)級（C級）具有一定的保護(hù)能力，采用的措施是身份認(rèn)證、自主訪問控制和審計跟蹤

一般只適用于具有一定等級的多用戶環(huán)境具有對主體責(zé)任及其動作審計的能力自主安全保護(hù)級（C1級)

控制訪問保護(hù)級（C2級）10/3/202312強(qiáng)制保護(hù)級（B級）B類系統(tǒng)中的客體必須攜帶敏感標(biāo)記（安全等級）TCB應(yīng)維護(hù)完整的敏感標(biāo)記，并在此基礎(chǔ)上執(zhí)行一系列強(qiáng)制訪問控制規(guī)則標(biāo)記安全保護(hù)級（B1級）

結(jié)構(gòu)保護(hù)級（B2級）

強(qiáng)制安全區(qū)域級（B3級）10/3/202313驗證保護(hù)級（A級）A類的特點是使用形式化的安全驗證方法，保證系統(tǒng)的自主和強(qiáng)制安全控制措施能夠有效地保護(hù)系統(tǒng)中存儲和處理的秘密信息或其他敏感信息為證明TCB滿足設(shè)計、開發(fā)及實現(xiàn)等各個方面的安全要求，系統(tǒng)應(yīng)提供豐富的文檔信息TrustedComputingBase可靠計算基礎(chǔ)。就是計算系統(tǒng)中的每個事物都提供了一個安全環(huán)境。這包括操作系統(tǒng)和它提供的安全機(jī)制，硬件，物理定位，網(wǎng)絡(luò)硬件和軟件，指定處理過程。具有代表性的是控制訪問的防備，對特殊資源的授權(quán)，支持用戶身份驗證，抵抗病毒和其他對系統(tǒng)的滲透，還有數(shù)據(jù)備份。假設(shè)可靠計算基礎(chǔ)已經(jīng)或必須被測試和驗證通過。驗證設(shè)計級（A1級）

超A1級10/3/202314TCSEC帶動了國際計算機(jī)安全的評估研究。90年代西歐四國（英、法、荷、德）聯(lián)合提出了信息技術(shù)安全評估標(biāo)準(zhǔn)（ITSEC），ITSEC（又稱歐洲白皮書）除了吸收TCSEC的成功經(jīng)驗外，首次提出了信息安全的保密性、完整性、可用性的概念，把可信計算機(jī)的概念提高到可信信息技術(shù)的高度上來認(rèn)識。他們的工作成為歐共體信息安全計劃的基礎(chǔ)，并對國際信息安全的研究、實施帶來深刻的影響。10/3/202315通用準(zhǔn)則（CommonCriteria）來自六國七方的安全標(biāo)準(zhǔn)組織組合成的單一的、能被廣泛使用的IT安全準(zhǔn)則。目的：解決各標(biāo)準(zhǔn)中出現(xiàn)的概念和技術(shù)上的差異，并把結(jié)果作為國際標(biāo)準(zhǔn)提交給ISO。內(nèi)容：對信息系統(tǒng)的安全功能、安全保障給出了分類描述，并綜合考慮信息系統(tǒng)的資產(chǎn)價值、威脅等因素后，對被評估對象提出了安全需求（保護(hù)輪廓PP）及安全實現(xiàn)（安全目標(biāo)ST）等方面的評估。10/3/202316重點考慮人為的威脅，也用于非人為因素導(dǎo)致的威脅。CC適用于硬件、固件和軟件實現(xiàn)的信息技術(shù)安全措施，而某些內(nèi)容因涉及特殊專業(yè)技術(shù)或僅是信息技術(shù)安全的外圍技術(shù)不在CC的范圍內(nèi)。通用準(zhǔn)則(CommonCriteria,CC)是目前國際上最全面的信息技術(shù)安全性評估準(zhǔn)則,它具有國際互認(rèn)的優(yōu)勢,因此研究CC評估、建立CC評估體系對我國的信息安全發(fā)展具有重大意義。通用評估方法CEM(CommonEvaluationMethodology,CEM)是CC評估配套的評估方法。10/3/202317中國的等級保護(hù)體系10/3/2023181989年公安部開始設(shè)計起草法律和標(biāo)準(zhǔn)，在起草過程中經(jīng)過長期的對國內(nèi)外廣泛的調(diào)查和研究，特別是對國外的法律法規(guī)、政府政策、標(biāo)準(zhǔn)和計算機(jī)犯罪的研究，使我們認(rèn)識到要從法律、管理和技術(shù)三個方面著手；采取的措施要從國家制度的角度來看問題，對信息安全要實行等級保護(hù)制度。10/3/202319GB17859-1999《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》意義：該準(zhǔn)則的發(fā)布為計算機(jī)信息系統(tǒng)安全法規(guī)和配套標(biāo)準(zhǔn)的制定和執(zhí)法部門的監(jiān)督檢查提供了依據(jù)為安全產(chǎn)品的研制提供了技術(shù)支持為安全系統(tǒng)的建設(shè)和管理提供了技術(shù)指導(dǎo)是我國計算機(jī)信息系統(tǒng)安全保護(hù)等級工作的基礎(chǔ)10/3/202320將計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分為五個級別。第一級：用戶自主保護(hù)級第二級：系統(tǒng)審計保護(hù)級第三級：安全標(biāo)記保護(hù)級第四級：結(jié)構(gòu)化保護(hù)級第五級：訪問驗證保護(hù)級

10/3/202321第一級：用戶自主保護(hù)級：計算機(jī)信息系統(tǒng)可信計算基通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力。它具有多種形式的控制能力，對用戶實施訪問控制，即為用戶提供可行的手段，保護(hù)用戶和用戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞

10/3/202322第二級：系統(tǒng)審計保護(hù)級：與用戶自主保護(hù)級相比，計算機(jī)信息系統(tǒng)可信計算基實施了粒度更細(xì)的自主訪問控制它通過登錄規(guī)程、審計安全性相關(guān)事件和隔離資源，使用戶對自己的行為負(fù)責(zé)10/3/202323第三級：安全標(biāo)記保護(hù)級：計算機(jī)信息系統(tǒng)可信計算基具有系統(tǒng)審計保護(hù)級所有功能此外，還提供有關(guān)安全策略模型、數(shù)據(jù)標(biāo)記以及主體對客體強(qiáng)制訪問控制的非形式化描述具有準(zhǔn)確地標(biāo)記輸出信息的能力消除通過測試發(fā)現(xiàn)的任何錯誤10/3/202324第四級：結(jié)構(gòu)化保護(hù)級：計算機(jī)信息系統(tǒng)可信計算基建立于一個明確定義的形式化安全策略模型之上要求將第三級系統(tǒng)中的自主和強(qiáng)制訪問控制擴(kuò)展到所有主體與客體此外，還要考慮隱蔽通道計算機(jī)信息系統(tǒng)可信計算基必須結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素計算機(jī)信息系統(tǒng)可信計算基的接口也必須明確定義，使其設(shè)計與實現(xiàn)能經(jīng)受更充分的測試和更完整的復(fù)審加強(qiáng)了鑒別機(jī)制支持系統(tǒng)管理員和操作員的職能提供可信設(shè)施管理增強(qiáng)了配置管理控制系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力10/3/202325第五級：訪問驗證保護(hù)級：計算機(jī)信息系統(tǒng)可信計算基滿足訪問監(jiān)控器需求訪問監(jiān)控器仲裁主體對客體的全部訪問訪問監(jiān)控器本身是抗篡改的；必須足夠小，能夠分析和測試支持安全管理員職能擴(kuò)充審計機(jī)制，當(dāng)發(fā)生與安全相關(guān)的事件時發(fā)出信號提供系統(tǒng)恢復(fù)機(jī)制系統(tǒng)具有很高的抗?jié)B透能力

10/3/202326需要實施安全等級保護(hù)的信息系統(tǒng)為：-黨政系統(tǒng)(黨委、政府)；

-金融系統(tǒng)(銀行、保險、證券)；

-財稅系統(tǒng)(財政、稅務(wù)、工商)；

-經(jīng)貿(mào)系統(tǒng)(商業(yè)貿(mào)易、海關(guān))；

-電信系統(tǒng)(郵電、電信、廣播、電視)；

-能源系統(tǒng)(電力、熱力、燃?xì)?、煤炭、油?；

-交通運(yùn)輸系統(tǒng)(航空、航天、鐵路、公路、水運(yùn)、海運(yùn))；

-供水系統(tǒng)(水利及水源供給)；

-社會應(yīng)急服務(wù)系統(tǒng)(醫(yī)療、消防、緊急救援)；

-教育科研系統(tǒng)(教育、科研、尖端科技)；

-國防建設(shè)系統(tǒng);-國有大中型企業(yè)系統(tǒng)；-互聯(lián)單位、接入單位、重點網(wǎng)站及向公眾提供上網(wǎng)服務(wù)場所的計算機(jī)信息系統(tǒng).10/3/202327

等級保護(hù)是國家基本政策10/3/202328等級保護(hù)是國家基本政策信息安全等級保護(hù)是《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定的法定保護(hù)制度，具有強(qiáng)制性；以國家制度推進(jìn)信息和信息系統(tǒng)安全保護(hù)責(zé)任的落實；符合客觀實際，具有科學(xué)性；具有自我保護(hù)與國家保護(hù)相結(jié)合的長效保護(hù)機(jī)制；突出保護(hù)重點，國家優(yōu)先重點保護(hù)涉及國計民生的信息系統(tǒng)，國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)內(nèi)分級重點保護(hù)三級以上的局域網(wǎng)和子系統(tǒng)安全；具有整體保護(hù)性，在突出重點，兼顧