CISP0501信息安全法規(guī)、政策和標準-含網(wǎng)絡安全法

360企業(yè)平安集團陳洪波版本：3.0發(fā)布日期：2021-12-1生效日期：2021-1-1課程內(nèi)容〔1〕信息安全法規(guī)與政策知識體知識域信息安全法規(guī)知識子域我國信息安全法規(guī)體系框架信息安全政策信息安全相關(guān)國家法律信息安全相關(guān)行政法規(guī)和部門規(guī)章國外典型信息安全相關(guān)法規(guī)簡介國家信息安全政策概況信息安全相關(guān)國家政策國外信息安全相關(guān)政策信息安全相關(guān)地方法規(guī)、規(guī)章和行業(yè)規(guī)定課程內(nèi)容〔2〕3信息平安標準知識體知識域信息平安標準根底知識子域信息平安標準化組織信息平安標準體系我國國家標準的類型和代碼國際信息安全標準化組織國外信息安全標準化組織我國信息安全標準化組織我國信息安全標準體系國際信息安全標準體系基礎(chǔ)標準密碼技術(shù)標準信息安全等級保護標準體系管理標準標準化的特點和原則標準的作用我國信息平安典型標準介紹技術(shù)與機制標準保密技術(shù)標準測評標準課程內(nèi)容〔3〕4知識體知識域知識子域信息平安道德標準信息平安從業(yè)人員道德標準CISP職業(yè)道德準則計算機使用道德規(guī)范互聯(lián)網(wǎng)使用道德規(guī)范

信息安全從業(yè)人員基本道德規(guī)范知識域：信息平安法規(guī)知識子域：我國信息平安法規(guī)體系框架了解信息平安法治建設的意義了解我國信息平安法律法規(guī)體系框架5信息平安法治建設的意義6我國的多級立法體系結(jié)構(gòu)7多級立法我國信息平安法律法規(guī)體系框架在多級立法的體制下，我國已經(jīng)先后公布了一些包含信息平安相關(guān)內(nèi)容的法律、法規(guī)、規(guī)章等8法律行政法規(guī)地方性法規(guī)地方政府規(guī)章部門規(guī)章全國人大及其常委會國務院地方人大及常委會地方人民政府憲法、刑法（部分條款）國家安全法（部分條款）保守國家秘密法電子簽名法...計算機信息系統(tǒng)安全保護條例互聯(lián)網(wǎng)信息服務管理辦法商用密碼管理條例...公安部（安全專用產(chǎn)品等）原信產(chǎn)部（互聯(lián)網(wǎng)域名等）國新辦（互聯(lián)網(wǎng)新聞信息服務）保密局（保密等）...國務院各部委北京市信息化促進條例、遼寧省計算機信息系統(tǒng)安全管理條例...北京市公共服務網(wǎng)絡與信息系統(tǒng)安全管理規(guī)定、上海市公共信息系統(tǒng)安全測評管理辦法

...?國家信息化領(lǐng)導小組關(guān)于加強信息平安保障工作的意見?〔中辦發(fā)[2003]27號〕我國信息平安法治建設的開展歷程通信保密平安計算機系統(tǒng)平安網(wǎng)絡信息系統(tǒng)平安1994年2000年2003年保守國家秘密法〔1989〕〔2021年修訂〕中央關(guān)于加強密碼工作的決定計算機信息系統(tǒng)平安保護條例〔草案〕-86計算機信息系統(tǒng)平安保護條例〔1994〕計算機信息系統(tǒng)平安專用產(chǎn)品檢測和銷售許可證管理方法-97計算機信息網(wǎng)絡國際聯(lián)網(wǎng)平安保護管理方法-97計算機信息系統(tǒng)保密管理暫行規(guī)定-98商用密碼管理條例-99關(guān)于維護互聯(lián)網(wǎng)平安的決定〔2000〕互聯(lián)網(wǎng)信息效勞管理方法計算機病毒防治管理方法計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定-0092021年網(wǎng)絡平安法〔〕2021年下半年提上日程，2021年形成草案，15年初形成征求意見稿，15年6月一審，16年6月二審、10月31日三審、11月7日人大通過，2021年6月1日施行154票贊成、0票反對、1票棄權(quán)互聯(lián)網(wǎng)平安知識域：信息平安法規(guī)10我國信息平安法律分類11信息保護相關(guān)法律12國家秘密國家秘密13國家安全和利益在一定時間內(nèi)只限一定范圍的人員知悉依照法定程序確定國家秘密的根本范圍14國家秘密的保密期限15國家秘密的密級劃分密級描述泄露后果絕密最重要的國家秘密泄露會使國家安全和利益遭受特別嚴重的損害機密重要的國家秘密泄露會使國家安全和利益遭受嚴重的損害秘密一般的國家秘密泄露會使國家安全和利益遭受損害16?保守國家秘密法?法律17商業(yè)秘密18保護商業(yè)秘密相關(guān)法律〔1〕19保護商業(yè)秘密相關(guān)法律〔2〕?勞動合同法?用人單位與勞動者可以在勞動合同中約定保守用人單位的商業(yè)秘密和與知識產(chǎn)權(quán)相關(guān)的保密事項?刑事訴訟法?涉及商業(yè)秘密的案件，當事人申請不公開審理的，可以不公開審理?民事訴訟法?對涉及商業(yè)秘密的證據(jù)應當保密，需要在法庭出示的，不得在公開開庭時出示人民法院審理民事案件，涉及商業(yè)秘密的案件，當事人申請不公開審理的，可以不公開審理2021?憲法?中的有關(guān)規(guī)定法律22232425信息平安主管/監(jiān)管機構(gòu)〔1〕26信息平安主管/監(jiān)管機構(gòu)〔2〕27信息平安主管/監(jiān)管機構(gòu)〔3〕28網(wǎng)絡平安法〔1〕29網(wǎng)絡平安法〔2〕30網(wǎng)絡平安法〔3〕31網(wǎng)絡平安法〔4〕32網(wǎng)絡平安法〔5〕33網(wǎng)絡平安法〔6〕34網(wǎng)絡平安法〔7〕第十九條各級人民政府及其有關(guān)部門應當組織開展經(jīng)常性的網(wǎng)絡平安宣傳教育，并指導、催促有關(guān)單位做好網(wǎng)絡平安宣傳教育工作。群眾傳播媒介應當有針對性地面向社會進行網(wǎng)絡平安宣傳教育?！捕喾N形式教育〕第二十條國家支持企業(yè)和高等學校、職業(yè)學校等教育培訓機構(gòu)開展網(wǎng)絡平安相關(guān)教育與培訓，采取多種方式培養(yǎng)網(wǎng)絡平安人才，促進網(wǎng)絡平安人才交流?！步鉀Q人才缺乏問題〕35網(wǎng)絡平安法〔8〕36網(wǎng)絡平安法〔9〕37網(wǎng)絡平安法〔10〕38網(wǎng)絡平安法〔11〕39網(wǎng)絡平安法〔12〕40網(wǎng)絡平安法〔13〕41網(wǎng)絡平安法〔14〕第二十五條網(wǎng)絡運營者應當制定網(wǎng)絡平安事件應急預案，及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡侵入等平安風險；在發(fā)生危害網(wǎng)絡平安的事件時，立即啟動應急預案，采取相應的補救措施，并按照規(guī)定向有關(guān)主管部門報告?！矐鳖A案、應急處置〕第二十六條開展網(wǎng)絡平安認證、檢測、風險評估等活動，向社會發(fā)布系統(tǒng)漏洞、計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡侵入等網(wǎng)絡平安信息，應當遵守國家有關(guān)規(guī)定?！驳谌叫谝胤ā?2網(wǎng)絡平安法〔15〕43網(wǎng)絡平安法〔16〕44網(wǎng)絡平安法〔17〕45網(wǎng)絡平安法〔18〕46網(wǎng)絡平安法〔19〕47網(wǎng)絡平安法〔20〕48網(wǎng)絡平安法〔21〕49網(wǎng)絡平安法〔22〕50網(wǎng)絡平安法〔23〕51網(wǎng)絡平安法〔24〕52網(wǎng)絡平安法〔25〕法律責任第五十九條網(wǎng)絡運營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡平安保護義務的，由有關(guān)主管部門責令改正，給予警告;拒不改正或者導致危害網(wǎng)絡平安等后果的，處一萬元以上十萬元以下罰款;對直接負責的主管人員處五千元以上五萬元以下罰款。關(guān)鍵信息根底設施的運營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網(wǎng)絡平安保護義務的，由有關(guān)主管部門責令改正，給予警告;拒不改正或者導致危害網(wǎng)絡平安等后果的，處十萬元以上一百萬元以下罰款;對直接負責的主管人員處一萬元以上十萬元以下罰款。53網(wǎng)絡平安法〔26〕54知識域：信息平安法規(guī)知識子域：信息平安相關(guān)行政法規(guī)和部門規(guī)章了解信息平安相關(guān)行政法規(guī)，掌握涉及信息平安的相關(guān)內(nèi)容了解信息平安相關(guān)部門規(guī)章，掌握涉及信息平安的相關(guān)內(nèi)容解讀網(wǎng)絡平安法，熟悉最新要求55信息平安相關(guān)行政法規(guī)56?計算機信息系統(tǒng)平安保護條例?平安保護保障計算機及其相關(guān)的和配套的設備、設施(含網(wǎng)絡)的平安，運行環(huán)境的平安，保障信息的平安，保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)的平安運行主管部門平安保護制度計算機信息系統(tǒng)實行平安等級保護使用單位應當建立健全平安管理制度平安專用產(chǎn)品〔硬件、軟件〕的銷售實行許可證制度57?商用密碼管理條例?商用密碼主管部門管理要點商密產(chǎn)品銷售單位應先獲得?商用密碼產(chǎn)品銷售許可證?任何單位或者個人不得銷售境外的密碼產(chǎn)品不得使用自行研制的或者境外生產(chǎn)的密碼產(chǎn)品不得轉(zhuǎn)讓其使用的商用密碼產(chǎn)品〔含故障維修、報廢銷毀〕58信息平安相關(guān)部門規(guī)章?計算機信息系統(tǒng)平安專用產(chǎn)品檢測和銷售許可證管理方法??計算機信息系統(tǒng)保密管理暫行規(guī)定??國家電子政務工程建設工程管理暫行方法?59?計算機信息系統(tǒng)平安專用產(chǎn)品

檢測和銷售許可證管理方法?兩個必須安全專用產(chǎn)品在進入市場銷售之前,必須申領(lǐng)《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》申領(lǐng)銷售許可證時,必須對產(chǎn)品進行安全功能檢測和認定檢測（機構(gòu)）檢測機構(gòu)對產(chǎn)品（樣品）的安全功能和性能進行檢測檢測機構(gòu)應保守檢測產(chǎn)品的技術(shù)秘密，并不得非法占有他人科技成果，不得從事與檢測產(chǎn)品有關(guān)的開發(fā)和對外咨詢業(yè)務銷售許可證（主管部門）由公安部計算機管理監(jiān)察部門頒發(fā)安全專用產(chǎn)品銷售許可證（兩年內(nèi)有效）、“銷售許可”標記安全專用產(chǎn)品的檢測通告和經(jīng)安全功能檢測確認的安全專用產(chǎn)品目錄,由公安部計算機管理監(jiān)察部門發(fā)布60?計算機信息系統(tǒng)保密管理暫行規(guī)定?適用范圍適用于采集、存儲、處理、傳遞、輸出國家秘密信息的計算機信息系統(tǒng)主管部門國家保密局主管全國計算機信息系統(tǒng)的保密工作管理要點涉密系統(tǒng)---保密設施、保密措施、訪問控制、數(shù)據(jù)保護等涉密信息---密級標識、物理隔離等涉密媒體---各類計算機媒體（含打印輸出等）涉密場所---控制區(qū)、防電磁信息泄漏、其他物理安全等系統(tǒng)管理---領(lǐng)導負責制、管理制度、保密檢查、人員培訓和考核等61國家保密局,國保發(fā)［1998］1號,1998年2月26日發(fā)布施行?國家電子政務工程建設工程管理暫行方法?項目建議書、可行性研究報告、初步設計方案在“項建和可研”的項目建設方案中應包含“安全系統(tǒng)建設方案”在“初設”的項目設計方案中應包含“安全系統(tǒng)設計”驗收評價管理項目建設單位應在完成項目建設任務后的半年內(nèi),組織完成建設項目的信息安全風險評估和初步驗收工作運行管理項目建設單位或其委托的專業(yè)機構(gòu)應按照風險評估的相關(guān)規(guī)定,對建成項目進行信息安全風險評估,檢驗其網(wǎng)絡和信息系統(tǒng)對安全環(huán)境變化的適應性及安全措施的有效性,保障信息安全目標的實現(xiàn)62國家發(fā)改委令[2007]第55號,

2007年9月1日起施行知識域：信息平安法規(guī)知識子域：信息平安相關(guān)地方法規(guī)、地方規(guī)章和行業(yè)規(guī)定了解信息平安相關(guān)地方法規(guī)，掌握自身所在地方或密切相關(guān)地方涉及信息平安的相關(guān)內(nèi)容了解信息平安相關(guān)地方規(guī)章，掌握自身所在地方或密切相關(guān)地方涉及信息平安的相關(guān)內(nèi)容了解信息平安相關(guān)行業(yè)規(guī)定，掌握自身所在行業(yè)或密切相關(guān)行業(yè)涉及信息平安的相關(guān)內(nèi)容63地方法規(guī)64地方規(guī)章65地方規(guī)章?廣東省計算機信息系統(tǒng)平安保護管理規(guī)定??廣東省電子政務信息平安管理暫行方法??廣東省互聯(lián)網(wǎng)上網(wǎng)效勞營業(yè)場所管理方法??廣東省計算機信息系統(tǒng)平安保護管理規(guī)定實施細那么〔試行〕??廣東省通信短信息效勞管理方法〔試行〕??深圳經(jīng)濟特區(qū)計算機信息系統(tǒng)公共平安管理規(guī)定??福建省互聯(lián)網(wǎng)上網(wǎng)效勞營業(yè)場所管理規(guī)定??江蘇省互聯(lián)網(wǎng)網(wǎng)絡與信息平安管理暫行規(guī)定??云南省網(wǎng)絡與信息系統(tǒng)平安監(jiān)察管理規(guī)定??江西省計算機信息系統(tǒng)平安保護方法??杭州市計算機信息系統(tǒng)平安保護管理方法?...66行業(yè)規(guī)定67知識域：信息平安法規(guī)知識子域：國外典型信息平安相關(guān)法規(guī)簡介了解美國信息平安相關(guān)法規(guī)概況68國外信息平安法律法規(guī)簡介69?信息自由法??信息自由法?美國對政府信息進行立法保護的首要原那么是向公眾公開原那么〔也叫信息公開原那么〕，是構(gòu)成其他信息平安保護法律的根底該法案主要是保障公民的個人自由，但也需要保障國家的平安，因此，該法利用“例外〞的立法方式，將需要保護的信息加以列舉70?愛國者法?71?聯(lián)邦信息平安管理法案?727374我國信息平安保障工作總體文件75?國家信息化領(lǐng)導小組關(guān)于加強信息平安保障工作的意見?76?國家信息化領(lǐng)導小組關(guān)于加強信息平安保障工作的意見?77787980關(guān)于開展信息平安風險評估工作的意見

〔國信辦[2006]5號〕81?關(guān)于加強國家電子政務工程建設工程信息平安風險評估工作的通知?〔發(fā)改高技[2021]2071號〕依據(jù)和目的?國家電子政務工程建設工程管理暫行方法?---國家發(fā)改委令[2007]第55號目的是為了貫徹落實中辦發(fā)[2003]27號文，加強根底信息網(wǎng)絡和重要信息系統(tǒng)平安保障，加強和標準國家電子政務工程建設工程信息平安風險評估工作風險評估的主要內(nèi)容分析信息系統(tǒng)資產(chǎn)的重要程度，評估信息系統(tǒng)面臨的平安威脅、存在的脆弱性、已有的平安措施和剩余風險的影響等兩類信息系統(tǒng)的工作開展涉密信息系統(tǒng)參照“分級保護〞非涉密信息系統(tǒng)參照“等級保護〞相關(guān)要點要求將“信息平安風險評估〞作為電子政務工程驗收的重要內(nèi)容對信息平安風險評估機構(gòu)的指定〔1家+3家〕投入運行后，應定期開展信息平安風險評估82關(guān)于加強政府信息系統(tǒng)平安和保密管理工作的通知〔國辦發(fā)[2021]17號〕838485關(guān)于加強工業(yè)控制系統(tǒng)信息平安管理的通知〔工信部協(xié)[2021]451號〕根本情況工信部協(xié)[2021]451號，2021年9月29日發(fā)布強調(diào)了工業(yè)控制系統(tǒng)信息平安的重要性工業(yè)控制系統(tǒng)信息平安事關(guān)工業(yè)生產(chǎn)運行、國家經(jīng)濟平安和人民生命財產(chǎn)平安四個方面要求充分認識加強工業(yè)控制系統(tǒng)信息平安管理的重要性和緊迫性明確重點領(lǐng)域工業(yè)控制系統(tǒng)信息平安管理要求建立工業(yè)控制系統(tǒng)平安測評檢查和漏洞發(fā)布制度進一步加強工業(yè)控制系統(tǒng)信息平安工作的組織領(lǐng)導868788依據(jù)和指導文件89關(guān)于信息平安等級保護工作的實施意見

〔公字通[2004]66號〕9091關(guān)于開展全國重要信息系統(tǒng)平安等級保護定級工作的通知〔公信安[2007]861號〕92關(guān)于開展信息平安等級保護平安建設整改工作的指導意見〔公信安[2021]1429號〕9394為推進物聯(lián)網(wǎng)有序健康開展提出了指導思想、根本原那么和開展目標，明確了主要任務和保障措施指導思想要求以保障平安為前提，強化標準標準，有序推進物聯(lián)網(wǎng)持續(xù)健康開展根本原那么平安可控959697奧巴馬政府的新舉措98知識域：信息平安標準根底99標準和標準化相關(guān)根本概念100標準的作用101標準化的特點特點標準化的對象是共同的、可重復的事物不是孤立的一件事、一個事物標準化的動態(tài)性隨著科技的進步和社會的開展而不斷變化開展標準化的相對性原有標準隨著社會開展和環(huán)境變化，需要更新標準化的效益通過應用表達經(jīng)濟和社會效益102標準化工作應遵循的原那么原那么簡化統(tǒng)一協(xié)調(diào)優(yōu)化103我國國家標準的代碼104除了國家標準，還有行業(yè)標準、地方標準等。知識域：信息平安標準化組織知識子域：國際信息平安標準化組織了解國際信息平安標準化組織及其工作知識子域：國外信息平安標準化組織了解國外典型信息平安標準化組織及其工作知識子域：我國信息平安標準化組織了解我國信息平安標準化組織及其工作105國際主要的信息平安標準化組織106國際信息平安標準化組織信息平安管理體系工作組密碼與平安機制工作組平安評估準那么工作組平安控制與效勞工作組107美國標準化組織108其他區(qū)域性信息平安標準化組織109我國標準化組織110111知識域：信息平安標準體系知識子域：我國信息平安標準體系了解我國信息平安標準體系框架知識子域：信息平安等級保護標準體系理解信息平安等級保護標準體系理解在信息平安等級保護建設的各階段應遵循的標準知識子域：國際信息平安標準體系了解國際信息平安標準體系框架112信息平安標準體系113我國信息平安標準體系114信息平安等級保護標準體系115信息平安等級保護十大標準根底類?計算機信息系統(tǒng)平安保護等級劃分準那么?GB17859-1999?信息系統(tǒng)平安等級保護實施指南?GB/T25058-2021應用類116定級階段《信息系統(tǒng)安全保護等級定級指南》GB/T22240-2008建設/整改階段《信息系統(tǒng)安全等級保護基本要求》GB/T22239-2008《信息系統(tǒng)通用安全技術(shù)要求》GB/T20271-2006《信息系統(tǒng)等級保護安全設計技術(shù)要求》GB/T25070-2010

測評階段《信息系統(tǒng)安全等級保護測評要求》GB/T28448-2012《信息系統(tǒng)安全等級保護測評過程指南》GB/T28449-2012管理《信息系統(tǒng)安全管理要求》GB/T20269-2006《信息系統(tǒng)安全工程管理要求》GB/T20282-2006其它相關(guān)標準1177、系統(tǒng)效勞平安等級定級指南－－GB/T22240-2021保護對象受到破壞時受侵害的客體對客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級等級保護定級方法保護對象對客體的侵害程度客體：社會關(guān)系受侵害的客體信息系統(tǒng)平安系統(tǒng)效勞平安業(yè)務信息平安3、綜合評定對客體的侵害程度2、確定業(yè)務信息平安受到破壞時所侵害的客體6、綜合評定對客體的侵害程度5、確定系統(tǒng)效勞平安受到破壞時所侵害的客體4、業(yè)務信息平安等級8、定級對象的平安保護等級8＝MAX〔4，7〕1、確定定級對象〔系統(tǒng)邊界〕一般流程等級確定118控制點控制項安全要求類層面一級二級三級四級一級二級三級四級技術(shù)要求物理安全71010109193233網(wǎng)絡安全36779183332主機安全46796193236應用安全479117193136數(shù)據(jù)安全及備份恢復233324811管理要求安全管理制度2333371114安全管理機構(gòu)4555492020人員安全管理45557111618系統(tǒng)建設管理99111120284548系統(tǒng)運維管理912131318416270合計/4866737785175290318級差//1874/9011528根本要求－－GB/T22239-2021119實施指南－－GB/T25058-2021等級變更局部調(diào)整信息系統(tǒng)定級總體平安規(guī)劃平安設計與實施平安運行維護信息系統(tǒng)終止國家管理部門〔4家〕信息系統(tǒng)主管部門信息系統(tǒng)運營、使用單位信息平安效勞機構(gòu)信息平安等級測評機構(gòu)信息平安產(chǎn)品供給商120測評要求--GB/T28448-2021測評強度信息系統(tǒng)安全等級第一級第二級第三級第四級訪談廣度種類和數(shù)量上抽樣，種類和數(shù)量都較少種類和數(shù)量上抽樣，種類和數(shù)量都較多數(shù)量上抽樣，基本覆蓋數(shù)量上抽樣，基本覆蓋深度簡要充分較全面全面檢查廣度種類和數(shù)量上抽樣，種類和數(shù)量都較少種類和數(shù)量上抽樣，種類和數(shù)量都較多數(shù)量上抽樣，基本覆蓋數(shù)量上抽樣，基本覆蓋深度簡要充分較全面全面測試廣度種類和數(shù)量、范圍上抽樣，種類和數(shù)量都較少，范圍小種類和數(shù)量、范圍上抽樣，種類和數(shù)量都較多,范圍大數(shù)量、范圍上抽樣，基本覆蓋數(shù)量、范圍上抽樣，基本覆蓋深度功能測試/性能測試功能測試/性能測試功能測試/性能測試，滲透測試功能測試/性能測試，滲透測試121測評過程指南-GB/T28449-2021方案編制測評準備分析與報告編制現(xiàn)場測評工程啟動、信息收集和分析、工具和表單準備測評對象確定、測評指標確定、測試工具接入點確定、測評內(nèi)容確定、測評實施手冊開發(fā)、測評方案編制現(xiàn)場測評準備〔一般包括：訪談、文檔審查、配置檢查、工具測試和實地觀察〕、現(xiàn)場測評和結(jié)果記錄、結(jié)果確認和資料歸還單項測評結(jié)果判定、單元測評結(jié)果判定、整體測評、風險分析、等級測評結(jié)論形成、測評報告編制122文檔R&R國際信息平安標準體系框架123國際信息平安標準體系信息平安管理體系標準平安評價準那么標準平安控制與效勞標準詞匯標準要求標準指南標準相關(guān)標準為實現(xiàn)保密性、完整性和可用性而開發(fā)的各種平安機制標準平安評價標準平安功能和保證標準針對潛在/顯現(xiàn)信息平安問題的標準針對信息平安問題的標準針對信息平安違反和損害的標準身份管理相關(guān)標準生物識別相關(guān)標準隱私保護相關(guān)標準ISO27000ISO27001ISO27006ISO27002ISO27003ISO18033ISO19772...ISO15408ISO18045...ISO19790ISO24759...ISO27032ISO27033ISO27037ISO24760ISO29144ISO29100知識域：我國信息平安典型標準介紹124知識域：我國信息平安典型標準介紹125根底標準126127管理標準128測評標準129分三局部GB/T18336.1-2021?第1局部：簡介和一般模型?ISO/IEC15408-1:2021定義了IT平安性評估的一般概念和原理，并提出了評估的一般模型GB/T18336.2-2021?第2局部：平安功能要求?ISO/IEC15408-2:2021規(guī)定了一系列功能組件族和類，作為表達評估對象〔TOE〕功能要求的標準方法GB/T18336.3-2021?第3局部：平安保證要求?ISO/IEC15408-3:2021規(guī)定了一系列保證組件族和類，作為表達TOE保證要求的標準方法定義了保護輪廓〔PP〕和平安目標〔ST〕的評估準那么，提出了評估保證級別〔EvaluationAssuranceLevel，EAL〕130131ITSEC1991CC1.01996ISO154081999CC2.01998GB/T183362001CD1997GB178591999ISO154082005TCSEC1985FC1992CTCPEC1993GB/T183362021FCD1998平安被定義為保密性、完整性、可用性功能和質(zhì)量/保證分開對產(chǎn)品和系統(tǒng)的評估都適用，提出評估對象〔TOE〕的概念產(chǎn)品：能夠被集成在不同系統(tǒng)中的軟件或硬件包；系統(tǒng)：具有一定用途、處于給定操作環(huán)境的特殊平安裝置美國的平安評測標準(TCSEC)、

歐洲的平安評測標準(ITSEC)132集中考慮數(shù)據(jù)保密性，而忽略了數(shù)據(jù)完整性、系統(tǒng)可用性等；將平安功能和平安保證混在一起平安功能規(guī)定得過為嚴格，不便于實際開發(fā)和測評133美國TCSECD:

最小保護MinimalProtectionC1:自主安全保護DiscretionarySecurityProtectionC2:訪問控制保護ControlledAccessProtectionB1:安全標簽保護LabeledSecurityProtectionB2:結(jié)構(gòu)化保護StructuredProtectionB3:安全域保護SecurityDomainA1:驗證設計保護VerifiedDesign低保證系統(tǒng)高保證系統(tǒng)TCSEC提供D、C1、C2、B1、B2、B3和A1等七個等級的可信系統(tǒng)評價標準，每個等級對應有確定的平安特性需求和保障需求，高等級的需求建立在低等級的需求的根底之上，可形象地表示成下頁圖的形式[LUBB1993]加拿大的評測標準(CTCPEC)、

美國聯(lián)邦準那么(FC)134美國聯(lián)邦準那么(FC)對TCSEC的升級1992年12月公布引入了“保護輪廓〔PP〕〞這一重要概念每個輪廓都包括功能局部、開發(fā)保證局部和評測局部分級方式與TCSEC不同，吸取了ITSEC、CTCPEC中的優(yōu)點供美國政府用，民用和商用通用準那么〔CC〕國際標準化組織統(tǒng)一現(xiàn)有多種準那么的努力結(jié)果；1999年正式成為國際標準ISO/IEC15408；充分突出“保護輪廓〞，將評估過程分“功能〞和“保證〞兩局部；CC基于風險管理理論，對平安模型、平安概念和平安功能進行了全面系統(tǒng)描繪，強化了評估保證；是目前最全面的評價準那么。國際上認同的表達IT平安的體系結(jié)構(gòu)，一組規(guī)那么集一種評估方法，其評估結(jié)果國際互認通用的表達方式，便于理解靈活的架構(gòu)，可以定義自己的要求擴展CC要求通用評估方法(CEM)是CC標準出版后，為了在評估中應用CC而提供的一種通用方法。是與CC配套的文檔。135開展國際標準化組織統(tǒng)一現(xiàn)有多種準那么的努力結(jié)果1999年正式成為國際標準ISO/IEC15408特點定義了“保護輪廓〞和“平安目標〞將評估過程分“功能〞和“保證〞兩局部基于風險管理理論，對平安模型、平安概念和平安功能進行了全面系統(tǒng)描繪，強化了保證評估優(yōu)點通用的表達方式，便于理解是目前最全面的評價準那么一種評估方法，其評估結(jié)果國際互認136CC中的關(guān)鍵概念137138平安功能/平安保障要求的表達形式類（Class）子類（Family）子類（Family）組件組件組件組件PP/ST/包139例如：類－子類－組件FIA標識和鑒別

FIA_AFL鑒別失敗

FIA_ATD用戶屬性定義FIA_SOS秘密的標準類 子類 組件FIA_AFL.1鑒別失敗處理FIA_ATD.1用戶屬性定義FIA_SOS.1秘密的驗證FIA_SOS.2秘密的TSF生成140例如：平安功能要求組件標識FDP_IFF.4.2F-功能要求,A-保證要求DP-保護用戶數(shù)據(jù)類IFF-信息流控制功能族4-第四個組件2-第二個元素平安功能要求類141142FAU類:平安審計1、 平安審計自動響應〔FAU_ARP〕2、 平安審計數(shù)據(jù)產(chǎn)生〔FAU_GEN〕3、 平安審計分析〔FAU_SAA〕4、 平安審計查閱〔FAU_SAR〕5、 平安審計事件選擇〔FAU_SEL〕6、 平安審計數(shù)據(jù)存貯〔FAU_STG〕143FDP類：保護用戶數(shù)據(jù)144FIA類：標識和鑒別1、鑒別失敗〔FIA_AFL〕2、用戶屬性定義〔FIA_ATD〕3、秘密的標準〔FIA_SOS〕4、用戶鑒別〔FIA_UAU〕5、用戶標識〔FIA_UID〕6、用戶_主體綁定〔FIA_USB〕145FPT類：TOE平安功能〔TSF〕的保護146FTA類：TOE訪問1、可選屬性范圍限定〔FTA_LSA〕2、多重并發(fā)會話限定〔FTA_MCS〕3、會話鎖定〔FTA_SSL〕4、TOE訪問方法〔FTA_TAB〕5、TOE訪問歷史〔FTA_TAH〕6、TOE會話建立〔FTA_TSE〕平安保障要求類147148各局部關(guān)系子類C1C2C3Cn功能(CCPART2)保證(CCPART3)FamilyC1C2C3CnFamilyC1C2C3Cn子類C1C2C3Cn子類C1C2C3Cn子類C1C2C3Cn功能類保證類功能包為構(gòu)建PP或ST而選取的一組可重復使用的功能要求評估保證級1評估保證級2評估保證級3評估保證級n保護輪廓PP包括一個CC評估保證級的一組可重復使用且完備的安全要求。安全目標ST包括一個CC評估保證級的描述TOE的一組完備要求?？砂ūＷo輪廓、要求和/或其它非CC要求。選擇性擴充（非CC）安全要求149150PP的內(nèi)容1

保護輪廓引言

1．1

PP標識

1．2

PP概述

標識PP，敘述性總結(jié)PP

2

TOE描述

TOE的背景信息

3

安全環(huán)境

3．1

假設

3．2

威脅

3．3

組織性安全策略

指明安全問題（要保護的資產(chǎn)、已知的攻擊方式、TOE必須使用的組織性安全策略）

4

安全目的

4．1

TOE安全目的

4．2

環(huán)境安全目的

對安全問題的相應反應（包括非技術(shù)性措施）

5

IT安全要求

5．1

TOE安全功能要求

5．2

TOE安全保證要求

5．3

IT環(huán)境安全要求

CC第二部分的功能組件

CC第三部分的保證組件

IT環(huán)境中軟件、硬件、固件要求

6

基本原理

6．1

安全目的基本原理

6．2

安全要求基本原理

目的和要求可以解決已指出的安全問題

7

應用注解

附加信息

151152ST的內(nèi)容TOE、PP、ST三者關(guān)系TOE產(chǎn)品或系統(tǒng)本身ST廠商聲稱提供的東西PP用戶想要的東西153評估保證級〔EAL〕EvaluationAssuranceLevel定義了劃分TOE保證等級的預定義的評估尺度一個保證等級〔EAL〕是評估保證要求的一個基線集合——保證包每一評估保證級定義一套一致的保證要求，合起來構(gòu)成一個預定義CC保證級尺度定義了7個遞增的評估保證等級〔EAL1～EAL7〕154評估保證級別〔EAL〕155156評估保證級〔EAL〕EAL1—功能測試EAL2—結(jié)構(gòu)測試EAL3—系統(tǒng)地測試和檢查EAL4—系統(tǒng)地設計、測試和復查EAL5—半形式化設計和測試EAL6—半形式化驗證的設計和測試EAL7—形式化驗證的設計和測試157EAL1—功能測試EAL1適用于平安的威脅并不嚴重的場合TOE的功能與其文檔在形式上是一致的，并且對已標識的威脅提供了有效的保護。利用功能和接口的標準以及指導性文檔，對平安功能進行分析，進行獨立性測試保證組件：ACM_CAP.1版本號ADO_IGS.1安裝、生成和啟動程序ADV_FSP.1非形式化功能標準ADV_RCR.1非形式化對應性論證AGD_ADM.1管理員指南AGD_USR.1用戶指南ATE_IND.1——一致性158平安保證級別1(EAL1)159EAL2—結(jié)構(gòu)測試EAL2適用于在缺乏現(xiàn)成可用的完整的開發(fā)記錄時，開發(fā)者或使用者需要一種低到中等級別的獨立保證的平安性。增加：ACM_CAP.2配置項ADO_DEL.1交付程序ADV_HLD.1描述性高層設計*ATE_COV.1范圍證據(jù)ATE_FUN.1功能測試ATE_IND.2獨立性測試——抽樣AVA_SOF.1TOE平安功能強度評估*AVA_VLA.1開發(fā)者脆弱性分析*160平安保證級別2(EAL2)161EAL3—系統(tǒng)地測試和檢查EAL3適用于開發(fā)者或使用者需要一個中等級別的平安性，和不需要再次進行真正的工程實踐的情況下，對TOE及其開發(fā)過程進行徹底檢查。增加組件：ACM_CAP.3授權(quán)控制ACM_SCP.1TOE配置管理〔CM〕范圍ADV_HLD.2平安加強的高層設計*ALC_DVS.1平安措施標識*ATE_COV.2范圍分析ATE_DPT.1測試：高層設計AVA_MSU.1指南審查162平安保證級別3(EAL3)163EAL4—系統(tǒng)地設計、測試和復查EAL4適用于：開發(fā)者或使用者對傳統(tǒng)的商品化的TOE需要一個中等到高等級別的平安性，并準備負擔額外的平安專用工程費用。增加組件：ACM_AUT.1局部配置管理〔CM〕自動化ACM_CAP.4產(chǎn)生支持和接受程序ACM_SCP.2跟蹤配置管理〔CM〕范圍問題ADO_DEL.2修改檢測ADV_FSP.2完全定義的外部接口*ADV_IMP.1TSF實現(xiàn)的子集*ADV_LLD.1描述性低層設計*ALC_LCD.1開發(fā)者定義的生命周期模型ALC_TAT.1明確定義的開發(fā)工具AVA_MSU.2分析確認AVA_VLA.2獨立脆弱性分析*(穿透性測試〕164平安保證級別4(EAL4)165EAL5—半形式化設計和測試TOE平安策略的形式化模型，功能標準和高層設計的半形式化表示，及它們之間對應性的半形式化論證。還需模塊化的TOE設計。這種分析也包括對開發(fā)者的隱蔽信道分析確實認增加組件：ACM_SCP.3開發(fā)工具配置管理〔CM〕范圍ADV_FSP.3半形式化功能標準*ADV_HLD.3半形式化高層設計*ADV_IMP.2TSF實現(xiàn)ADV_INT.1模塊