電子商務(wù)的安全技術(shù)第8章

1、第8章 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)(boh)制度共五十頁(yè)8.1 安全等級(jí)保護(hù)(boh)制度8.2 信息流管理制度8.3 計(jì)算機(jī)信息系統(tǒng)安全技術(shù)和專(zhuān) 用產(chǎn)品管理制度8.4 計(jì)算機(jī)案件報(bào)告制度2共五十頁(yè)8.1 安全等級(jí)保護(hù)(boh)制度 8.1.1 信息的安全等級(jí) 8.1.2 計(jì)算機(jī)信息系統(tǒng)的安全等級(jí) 8.1.3 計(jì)算機(jī)安全等級(jí) 8.1.4 物理(wl)環(huán)境安全等級(jí)3共五十頁(yè)8.1.1信息的安全等級(jí) 信息安全是指保護(hù)信息和信息系統(tǒng)，以避免未授權(quán)的訪問(wèn)、使用、泄漏、破壞、修改(xigi)或者銷(xiāo)毀，以確保信息的完整性、保密性和可用性。聯(lián)邦信息安全管理法案(FISMA)， 2002年3月8.1 安全等級(jí)保護(hù)

2、(boh)制度4共五十頁(yè)信息安全等級(jí)的具體劃分在不同的地方有不同的標(biāo)準(zhǔn)。主要從信息完整性、保密性和可用性三個(gè)方面綜合(zngh)考慮 為了保障計(jì)算機(jī)信息系統(tǒng)的安全，規(guī)范其應(yīng)用，促進(jìn)其發(fā)展，我國(guó)早在1994年就頒布了中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例。其中該條例第九條規(guī)定：“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)”，這是我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的一項(xiàng)基本制度。8.1 安全等級(jí)保護(hù)(boh)制度5共五十頁(yè)由公安部、國(guó)家保密局、國(guó)際密碼管理委員會(huì)辦公室和國(guó)務(wù)院信息化工作辦公室共同制定的關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)中將信息和信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí)：第一級(jí)為自主保護(hù)級(jí)，適用于一般的信息和信

3、息系統(tǒng)；第二級(jí)為指導(dǎo)保護(hù)級(jí)，適用于一定程度上涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng)；第三級(jí)為監(jiān)督保護(hù)級(jí)，適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng)；第四級(jí)為強(qiáng)制(qingzh)保護(hù)級(jí)，適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)；第五級(jí)為專(zhuān)控保護(hù)級(jí)，適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)。8.1 安全等級(jí)保護(hù)(boh)制度6共五十頁(yè)1 信息保密安全等級(jí) 1988年9月5日公布的中華人民共和國(guó)保守國(guó)家秘密法( 簡(jiǎn)稱(chēng)保密法)，是我國(guó)目前還在使用的國(guó)家信息保密法規(guī)，其安全等級(jí)劃分(hu f

4、n)適用于計(jì)算機(jī)信息保密安全。國(guó)家事務(wù)的重大決策中的秘密事項(xiàng)；國(guó)防建設(shè)和武裝力量活動(dòng)中的秘密事項(xiàng)；外交和外事活動(dòng)中的秘密事項(xiàng)；國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展中的秘密事項(xiàng)；科學(xué)技術(shù)中的秘密事項(xiàng)；維護(hù)國(guó)家安全活動(dòng)和追查刑事犯罪中的秘密事項(xiàng)；其他經(jīng)國(guó)家保密工作部門(mén)確定應(yīng)當(dāng)保守的秘密事項(xiàng)。保密法的第八條對(duì)國(guó)家秘密的解釋8.1 安全等級(jí)保護(hù)(boh)制度7共五十頁(yè) 保密法第九條清晰指出，“國(guó)家秘密的密級(jí)分為絕密、機(jī)密、秘密三級(jí)?！彼膭澐质菄?guó)家秘密對(duì)于國(guó)家的安全和利益(ly)的重要程度。 密級(jí)重要性泄露后果絕密最重要特別嚴(yán)重?fù)p害機(jī)密重要嚴(yán)重?fù)p害秘密一般損害表 信息(xnx)保密安全等級(jí)8.1 安全等級(jí)保護(hù)制度8共五

5、十頁(yè)2 人員安全等級(jí)保密法第二十七條規(guī)定：“國(guó)家秘密應(yīng)當(dāng)根據(jù)需要，限于一定范圍的人員接觸。絕密級(jí)的國(guó)家秘密，經(jīng)過(guò)批準(zhǔn)的人員才能接觸?！北Ｃ芊ǖ诙藯l規(guī)定：“任用經(jīng)管?chē)?guó)家秘密事項(xiàng)的專(zhuān)職人員，應(yīng)當(dāng)按照國(guó)家保密工作部門(mén)和人事主管部門(mén)的規(guī)定予以審查批準(zhǔn)?！边@些都是以法定形式出現(xiàn)的，行之有效的人員管理準(zhǔn)則。在實(shí)際的計(jì)算機(jī)信息操作中，人員安全等級(jí)的劃分主要表現(xiàn)在該人員對(duì)信息的訪問(wèn)能力(nngl)和操作情況。借助訪問(wèn)的鑒別、控制機(jī)制等安全技術(shù)，可以控制不同的操作人員對(duì)系統(tǒng)的數(shù)據(jù)、功能之類(lèi)等信息的讀、增、刪、改、復(fù)制等的操作能力(nngl)。對(duì)同一信息，人員擁有的操作能力(nngl)越高，則其安全等級(jí)也越高

6、。8.1 安全等級(jí)保護(hù)(boh)制度9共五十頁(yè)8.1.2計(jì)算機(jī)信息系統(tǒng)的安全等級(jí) 計(jì)算機(jī)信息系統(tǒng)的安全的等級(jí)劃分與計(jì)算機(jī)信息的安全等級(jí)劃分有所不同，除了看該信息系統(tǒng)對(duì)國(guó)家、集體或個(gè)人(grn)的安全和利益的重要程度外，計(jì)算機(jī)實(shí)體本身的財(cái)產(chǎn)價(jià)值，崗位的重要程度等因素，也是一個(gè)劃分的重要依據(jù)。 8.1 安全等級(jí)保護(hù)(boh)制度10共五十頁(yè)金融(jnrng)電子化系統(tǒng)的安全等級(jí)系統(tǒng)安全一級(jí)系統(tǒng)安全二級(jí)系統(tǒng)安全三級(jí)系統(tǒng)安全四級(jí)系統(tǒng)安全五級(jí)8.1 安全等級(jí)保護(hù)(boh)制度11共五十頁(yè)系統(tǒng)安全一級(jí)存儲(chǔ)、處理和傳輸絕密信息的金融電子化系統(tǒng)。該系統(tǒng)中信息一旦泄露或破壞，會(huì)給國(guó)家安全和利益帶來(lái)特別嚴(yán)重的損害

7、，對(duì)金融業(yè)造成巨大的經(jīng)濟(jì)損失。因此，系統(tǒng)應(yīng)能確保(qubo)連續(xù)可用，不因局部的毀壞、故障、事故、差錯(cuò)造成系統(tǒng)效率的降低。系統(tǒng)安全二級(jí)存儲(chǔ)、處理和傳輸機(jī)密信息的金融電子化系統(tǒng)。該系統(tǒng)中信息一旦泄露或破壞，會(huì)給國(guó)家安全和利益帶來(lái)嚴(yán)重的損害，對(duì)金融業(yè)造成很大的經(jīng)濟(jì)損失。因此，系統(tǒng)應(yīng)能連續(xù)可用，局部的毀壞、故障、事故、差錯(cuò)雖然可能影響了系統(tǒng)的效率，但仍能正確運(yùn)行8.1 安全等級(jí)保護(hù)(boh)制度12共五十頁(yè)系統(tǒng)安全三級(jí)存儲(chǔ)、處理和傳輸秘密信息的金融電子化系統(tǒng)。該系統(tǒng)中信息一旦泄露或破壞，會(huì)使國(guó)家安全和利益遭受損害，金融業(yè)造成一定的經(jīng)濟(jì)損失。因此，系統(tǒng)應(yīng)能確保連續(xù)可用，不因局部的毀壞、故障、事故、差錯(cuò)

8、造成系統(tǒng)效率的降低。系統(tǒng)安全四級(jí)存儲(chǔ)、處理和傳輸不屬于國(guó)際(guj)密級(jí)，但屬金融業(yè)內(nèi)部掌握、具有敏感性的金融電子化系統(tǒng)。該系統(tǒng)中的信息一旦泄露或破壞，會(huì)使銀行、證券交易商、保險(xiǎn)公司及其客戶(hù)陷入困境，甚至造成損失，使其社會(huì)聲譽(yù)受到損害，因此，系統(tǒng)應(yīng)有對(duì)局部毀壞、故障、事故、差錯(cuò)在短時(shí)間內(nèi)得到排除、糾正和恢復(fù)的能力。系統(tǒng)安全五級(jí)存儲(chǔ)、處理和傳輸不屬于以上保護(hù)級(jí)別的電子化系統(tǒng)。該系統(tǒng)的毀壞、故障、事故，可能會(huì)造成某些金融業(yè)務(wù)的停頓，影響某些金融業(yè)務(wù)的效率，但經(jīng)濟(jì)損失不大。8.1 安全等級(jí)保護(hù)(boh)制度13共五十頁(yè)8.1.3計(jì)算機(jī)安全等級(jí) D類(lèi)：屬非安全保護(hù)(boh)類(lèi)，只一個(gè)級(jí)別。凡不滿(mǎn)足其他

9、各級(jí)安全要求的，皆屬此級(jí)別。C類(lèi)：為自主保護(hù)類(lèi)，分為兩級(jí)（C1, C2)。B類(lèi)：為強(qiáng)制保護(hù)類(lèi)，分三級(jí)(B1,B2,B3)。A類(lèi)：為驗(yàn)證保護(hù)級(jí)，擬分兩級(jí)(A1,超A1)。8.1 安全等級(jí)保護(hù)(boh)制度14共五十頁(yè)C類(lèi)C1級(jí)：具有一定的自主型存取控制（DAC）安全機(jī)制，系統(tǒng)能定期檢驗(yàn)可信計(jì)算基（TCB）的正確性，維護(hù)系統(tǒng)的完整性。C2級(jí)：具有以用戶(hù)為單位的DAC機(jī)制，能進(jìn)行(jnxng)審計(jì)。8.1 安全等級(jí)保護(hù)(boh)制度15共五十頁(yè)B類(lèi)B1級(jí)：引入強(qiáng)制存取控制（MAC）機(jī)制，并對(duì)主體和客體進(jìn)行安全級(jí)標(biāo)識(shí)，實(shí)施標(biāo)識(shí)管理。B2級(jí)：具有形式化安全模型，系統(tǒng)設(shè)計(jì)結(jié)構(gòu)化，MAC機(jī)制更趨完善，具備了

10、最小特權(quán)管理，以及可信通道機(jī)制、隱通道分析和處理等。B3級(jí)：具有嚴(yán)格的系統(tǒng)結(jié)構(gòu)化設(shè)計(jì)和TCB最小復(fù)雜性設(shè)計(jì)，應(yīng)具備全面的存取控制的訪問(wèn)監(jiān)控(jin kn)機(jī)制，以及審計(jì)實(shí)時(shí)報(bào)告機(jī)制等。8.1 安全等級(jí)保護(hù)(boh)制度16共五十頁(yè)A類(lèi)A1級(jí)：具有系統(tǒng)形式化頂層設(shè)計(jì)說(shuō)明（FTDS），并形式化驗(yàn)證FTDS與形式化模型的一致性，隱通道問(wèn)題則用形式化技術(shù)解決等。超A1級(jí)：比A1級(jí)具有更高的安全可信度要求，這已超出(choch)了當(dāng)前的技術(shù)發(fā)展水平，有待進(jìn)一步描述。8.1 安全等級(jí)保護(hù)(boh)制度17共五十頁(yè)計(jì)算機(jī)安全等級(jí)的主要(zhyo)技術(shù)措施如右表序號(hào)安全技術(shù)措施適用的最低級(jí)別1鑒別使用口令登錄

11、的各用戶(hù)C22維護(hù)用戶(hù)資格不受侵害B13能產(chǎn)生保持保護(hù)客體存取的審核蹤跡C24受權(quán)讀取審核蹤跡C25具有事件審核記錄C26用戶(hù)標(biāo)識(shí)符選擇C27安全狀況審核B18隱蔽該信道事件審核B29實(shí)時(shí)威脅監(jiān)控B310用戶(hù)存取控制C211存取標(biāo)準(zhǔn)鎖定C212存取授權(quán)限制C213存取控制表的存取方式和控制B314資源存儲(chǔ)區(qū)保護(hù)隔離C215地址空間進(jìn)程隔離B18.1 安全等級(jí)保護(hù)(boh)制度18共五十頁(yè)續(xù)上表(shn bio)16硬件積木化B217存儲(chǔ)區(qū)清除再使用C218正確標(biāo)識(shí)安全等級(jí)B119打印標(biāo)志B120級(jí)別信道路由指定B121多信道報(bào)文標(biāo)簽B122敏感標(biāo)志B123外部資源標(biāo)志B124動(dòng)態(tài)終端標(biāo)記B22

12、5安全、泄漏和完整性B126對(duì)外部用戶(hù)控制B227操作、管理人員分離B228管理活動(dòng)審核B329可注冊(cè)途徑B230安全級(jí)別變化可信途徑B231安全恢復(fù)B3序號(hào)安全技術(shù)措施適用的最低級(jí)別8.1 安全等級(jí)保護(hù)(boh)制度19共五十頁(yè)8.1.4 物理環(huán)境安全等級(jí)計(jì)算機(jī)所運(yùn)行的物理環(huán)境主要是指計(jì)算機(jī)信息系統(tǒng)周邊的環(huán)境，即計(jì)算機(jī)信息系統(tǒng)場(chǎng)地(chngd)。我國(guó)國(guó)家標(biāo)準(zhǔn)計(jì)算站場(chǎng)地安全要求（GB9361-88）和計(jì)算站場(chǎng)地技術(shù)條件（GB2887-89）對(duì)計(jì)算機(jī)場(chǎng)地安全要求，作了明確的等級(jí)規(guī)定。 8.1 安全等級(jí)保護(hù)(boh)制度20共五十頁(yè)在計(jì)算站場(chǎng)地安全(nqun)要求中，把計(jì)算機(jī)房分為3種基本安全類(lèi)別

13、：A類(lèi)：對(duì)計(jì)算機(jī)房的安全有嚴(yán)格的要求，有完善的計(jì)算機(jī)房安全措施。B類(lèi)：對(duì)計(jì)算機(jī)房的安全有較嚴(yán)格的要求，有完善的計(jì)算機(jī)房安全措施。C類(lèi)：對(duì)計(jì)算機(jī)房的安全有基本的要求，有基本的計(jì)算機(jī)房安全措施。8.1 安全等級(jí)保護(hù)(boh)制度21共五十頁(yè)1 計(jì)算機(jī)房溫濕度要求(yoqi)項(xiàng)目A級(jí)指標(biāo)B級(jí)指標(biāo)C級(jí)指標(biāo)溫度夏季22215301035相對(duì)溫度45%65%40%70%30%80%溫度變化率5/h10/h15/h不凝露不凝露不凝露8.1 安全等級(jí)保護(hù)(boh)制度22共五十頁(yè)2 計(jì)算機(jī)房供電(n din)要求 項(xiàng)目A類(lèi)指標(biāo)B類(lèi)指標(biāo)C類(lèi)指標(biāo)電壓表動(dòng)率（%）-5+5-10+7-15+10頻率變化（Hz）-0.

14、2+0.2-0.5+0.5-1+1波形失真率（%）57108.1 安全等級(jí)保護(hù)(boh)制度23共五十頁(yè)3 計(jì)算機(jī)系統(tǒng)接地(jid)要求接地名稱(chēng)作用接地電流接地電阻避雷地防雷擊（防建筑內(nèi)可免）極大10交流電源中線人身及設(shè)備運(yùn)行安全大18直流電源地人身及設(shè)備運(yùn)行安全大安全防護(hù)地人身安全大18屏蔽地防信息泄漏、防干擾中或小3或1信號(hào)地信息運(yùn)行安全小3或18.1 安全等級(jí)保護(hù)(boh)制度24共五十頁(yè)8.2信息流管理制度8.2.1信息流管理控制的相關(guān)概念 8.2.2計(jì)算機(jī)信息媒體進(jìn)出境申報(bào)(shnbo)制度 8.2.3計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法25共五十頁(yè)8.2.1信息流管理控制的相關(guān)概

15、念信息的流動(dòng)途徑信息的流動(dòng)方式有兩種：信息存儲(chǔ)在一些媒介上，如存在盤(pán)里，手機(jī)上，再通過(guò)現(xiàn)代的通信方式或攜帶，郵寄，托運(yùn)等，導(dǎo)致信息的流動(dòng)；信息也可以直接通過(guò)網(wǎng)絡(luò)傳輸，導(dǎo)致信息的流動(dòng)。我們?cè)陔娮由虅?wù)中所講的信息流通常情況講的就是后者。 計(jì)算機(jī)互聯(lián)，網(wǎng)絡(luò)互聯(lián)的主要途徑是有線和無(wú)線兩種。有線方式是當(dāng)前我國(guó)網(wǎng)絡(luò)互聯(lián)的主要方式，或通過(guò)郵電部的分組交換網(wǎng)，或租用(zyng)郵電部的國(guó)際專(zhuān)線來(lái)實(shí)現(xiàn)。8.2信息流管理制度26共五十頁(yè)與國(guó)際聯(lián)網(wǎng)的單位類(lèi)型根據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)域名注冊(cè)暫行管理(gunl)辦法，我國(guó)互聯(lián)網(wǎng)絡(luò)的二級(jí)域名包括318個(gè)“行政區(qū)域名”和6個(gè)“類(lèi)別域名”。我國(guó)境內(nèi)的計(jì)算機(jī)信息系統(tǒng)，通過(guò)物理通信信道

16、，直接或間接與境外(含港、澳、臺(tái)地區(qū))計(jì)算機(jī)信息系統(tǒng)連接的，均屬于國(guó)際聯(lián)網(wǎng)的計(jì)算機(jī)信息系統(tǒng)。擁有這些系統(tǒng)購(gòu)單位，大體上有：金融、經(jīng)貿(mào)、海運(yùn)、海關(guān)等國(guó)有單位、獨(dú)資、合資企業(yè)、外國(guó)駐華使(領(lǐng))館以及新聞代表機(jī)構(gòu)，還有與國(guó)際信息服務(wù)網(wǎng)相連接的用戶(hù)單位等。8.2信息流管理制度27共五十頁(yè)網(wǎng)絡(luò)安全納入規(guī)范化、法制化管理的軌道針對(duì)當(dāng)前我國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)家聯(lián)網(wǎng)安全保護(hù)工作的需要，為了加強(qiáng)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)的安全保護(hù)管理，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和信息安全，保障公共秩序，促進(jìn)計(jì)算機(jī)信息系統(tǒng)的應(yīng)用發(fā)展，當(dāng)務(wù)之急是必須早日形成規(guī)范有序的信息出入(chr)國(guó)境的“口岸”。相關(guān)管理規(guī)范制度主要有：中華人民共和國(guó)計(jì)

17、算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定、公安部關(guān)于對(duì)與國(guó)際聯(lián)網(wǎng)的計(jì)算機(jī)信息系統(tǒng)進(jìn)行備案工作的通知、計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法、計(jì)算機(jī)信息媒體進(jìn)出境申報(bào)制度,還有國(guó)務(wù)院信息化工作領(lǐng)導(dǎo)小組發(fā)布的中國(guó)互聯(lián)網(wǎng)絡(luò)域名注冊(cè)暫行管理辦法和中國(guó)互聯(lián)網(wǎng)絡(luò)域名注冊(cè)實(shí)施細(xì)則等。 8.2信息流管理制度28共五十頁(yè)8.2.2計(jì)算機(jī)信息媒體進(jìn)出境申報(bào)制度1 計(jì)算機(jī)信息媒體的相關(guān)概念(ginin)計(jì)算機(jī)信息媒體主要是指具有存儲(chǔ)功能的集成電路存儲(chǔ)器、磁盤(pán)、磁帶、光盤(pán)等，它們可以存儲(chǔ)各種形式的信息，如文字、圖形、聲音、圖像、視頻、動(dòng)畫(huà)等等。出境的信息媒體，有可能造成有損專(zhuān)利、版權(quán)、機(jī)密及其他重要信息的有害外流；入境的信息

18、媒體，有可能造成有害信息在國(guó)內(nèi)的傳播。 計(jì)算機(jī)信息媒體有其自身的許多特點(diǎn)，所攜帶的信息量可能相當(dāng)大；體積小，便于攜帶；復(fù)制方便；其中的信息往往能以壓縮或加密等方式出現(xiàn)，不易直接讀出其中內(nèi)容；內(nèi)容所涉及的專(zhuān)業(yè)較廣，其中的內(nèi)容和性質(zhì)等往往需要專(zhuān)業(yè)人員協(xié)助才能進(jìn)行鑒別；分析鑒別往往需要相應(yīng)的檢測(cè)設(shè)備、檢測(cè)環(huán)境條件、及不定期的分析方法，耗費(fèi)時(shí)間等。8.2信息流管理制度29共五十頁(yè)2 計(jì)算機(jī)信息媒體出入境的一般處理(1)申報(bào)。一般由信息媒體擁有者向海關(guān)和公安機(jī)關(guān)主管部門(mén)如實(shí)申報(bào)。有交接關(guān)系的，可委托(witu)境內(nèi)收方協(xié)助申報(bào)或代理申報(bào)。(2)檢測(cè)。由公安機(jī)關(guān)主管部門(mén)主持安排實(shí)施，檢測(cè)完畢，做出準(zhǔn)予報(bào)送

19、與否決定。(3)報(bào)送。海關(guān)查驗(yàn)屬實(shí)放行。未經(jīng)公安機(jī)關(guān)檢測(cè)或媒體發(fā)生替換的，不予放行。(4)其他。臨時(shí)報(bào)關(guān)的，一般應(yīng)扣留待查。如有擔(dān)保條件的，則可留下原件待查，放行副本。8.2信息流管理制度30共五十頁(yè)8.2.3計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法 1997年國(guó)務(wù)院批準(zhǔn)公安部公布了計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法，使我國(guó)國(guó)際信息網(wǎng)絡(luò)互聯(lián)的信息流安全管理正式納入了法制化和規(guī)范化的軌道，其內(nèi)容包括：制定辦法的基本指導(dǎo)思想辦法禁止(jnzh)的活動(dòng)和內(nèi)容安全責(zé)任公安機(jī)關(guān)計(jì)算機(jī)管理監(jiān)察機(jī)構(gòu)的職責(zé)8.2信息流管理制度31共五十頁(yè)8.3計(jì)算機(jī)信息系統(tǒng)安全技術(shù)和專(zhuān)用(zhunyng)產(chǎn)品管理制度8.3

20、.1計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品的有關(guān)概念 8.3.2計(jì)算機(jī)安全(nqun)專(zhuān)用產(chǎn)品管理的一般原則 8.3.3計(jì)算機(jī)安全專(zhuān)用產(chǎn)品的管理制度 32共五十頁(yè)8.3.1計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品的有關(guān)概念 1 計(jì)算機(jī)安全專(zhuān)用產(chǎn)品的分類(lèi)計(jì)算機(jī)安全專(zhuān)用產(chǎn)品是指用于保護(hù)計(jì)算機(jī)信息系統(tǒng)安全的專(zhuān)用硬件和軟件產(chǎn)品。計(jì)算機(jī)安全專(zhuān)用產(chǎn)品分為(fn wi)三大類(lèi)：實(shí)體安全專(zhuān)用產(chǎn)品、運(yùn)行安全專(zhuān)用產(chǎn)品和信息安全專(zhuān)用產(chǎn)品，每一個(gè)大類(lèi)下又細(xì)分了小類(lèi)，詳見(jiàn)下頁(yè)表。 8.3計(jì)算機(jī)信息系統(tǒng)安全技術(shù)和專(zhuān)用(zhunyng)產(chǎn)品管理制度33共五十頁(yè) A類(lèi)A類(lèi) 實(shí)體安全A10類(lèi) 環(huán)境安全A11類(lèi) 受災(zāi)保護(hù)A12類(lèi) 受災(zāi)恢復(fù)計(jì)劃輔助軟件A1

21、3類(lèi) 區(qū)域保護(hù)A20類(lèi) 設(shè)備安全A21類(lèi) 設(shè)備防盜A22類(lèi) 設(shè)備防毀A23類(lèi) 防止電磁信息泄漏A24類(lèi) 防止線路截獲A25類(lèi) 抗電磁干擾A26類(lèi) 電源保護(hù)A30類(lèi) 媒體安全A31類(lèi) 媒體安全A32類(lèi) 媒體數(shù)據(jù)安全8.3計(jì)算機(jī)信息系統(tǒng)安全技術(shù)(jsh)和專(zhuān)用產(chǎn)品管理制度34共五十頁(yè) B類(lèi)B類(lèi) 運(yùn)行安全B10類(lèi) 風(fēng)險(xiǎn)分析B20類(lèi) 審計(jì)跟蹤B30類(lèi) 備份與恢復(fù)B40類(lèi) 應(yīng)急B41類(lèi) 應(yīng)急計(jì)劃輔助軟件B42類(lèi) 應(yīng)急措施8.3計(jì)算機(jī)信息系統(tǒng)安全技術(shù)和專(zhuān)用(zhunyng)產(chǎn)品管理制度35共五十頁(yè)C類(lèi)C類(lèi) 信息安全C10類(lèi) 操作系統(tǒng)安全C11類(lèi) 安全操作系統(tǒng)C12類(lèi) 操作系統(tǒng)安全部件C20類(lèi) 數(shù)據(jù)庫(kù)安全C

22、21類(lèi) 安全數(shù)據(jù)庫(kù)系統(tǒng)C22類(lèi) 數(shù)據(jù)庫(kù)系統(tǒng)安全部件C30類(lèi) 網(wǎng)絡(luò)安全C31類(lèi) 網(wǎng)絡(luò)安全管理C32類(lèi) 安全網(wǎng)絡(luò)系統(tǒng)C33類(lèi) 網(wǎng)絡(luò)系統(tǒng)安全部件C40類(lèi) 計(jì)算機(jī)病毒防護(hù)C41類(lèi) 單機(jī)系統(tǒng)病毒防護(hù)C42類(lèi) 網(wǎng)絡(luò)系統(tǒng)病毒防護(hù)C50類(lèi) 訪問(wèn)控制C51類(lèi) 出入控制C52類(lèi) 存儲(chǔ)控制C60類(lèi) 密碼C61類(lèi) 加密設(shè)備C62類(lèi) 密鑰管理C70類(lèi) 鑒別C71類(lèi) 身份鑒別C72類(lèi) 完整性鑒別C73類(lèi) 不可否認(rèn)鑒別8.3計(jì)算機(jī)信息系統(tǒng)安全技術(shù)和專(zhuān)用(zhunyng)產(chǎn)品管理制度36共五十頁(yè)8.3.2計(jì)算機(jī)安全專(zhuān)用產(chǎn)品管理的一般原則堅(jiān)持(jinch)獨(dú)立自主的原則堅(jiān)持規(guī)范化、法制化管理原則8.3計(jì)算機(jī)信息系統(tǒng)安全技術(shù)和專(zhuān)

23、用(zhunyng)產(chǎn)品管理制度37共五十頁(yè)8.3.3計(jì)算機(jī)安全專(zhuān)用產(chǎn)品的管理制度計(jì)算機(jī)安全專(zhuān)用產(chǎn)品的管理應(yīng)該涵蓋從開(kāi)發(fā)到銷(xiāo)售、使用等整個(gè)周期的過(guò)程(guchng)，由于我國(guó)目前立法還不完善，安全專(zhuān)用產(chǎn)品的管理制度還不能完全覆蓋整個(gè)周期。以計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品檢測(cè)和銷(xiāo)售許可證管理辦法為例，其內(nèi)容包括：許可證辦法的適用范圍檢測(cè)機(jī)構(gòu)檢測(cè)辦法銷(xiāo)售許可銷(xiāo)售許可中的違法行為8.3計(jì)算機(jī)信息系統(tǒng)安全技術(shù)(jsh)和專(zhuān)用產(chǎn)品管理制度38共五十頁(yè)8.4計(jì)算機(jī)案件(njin)報(bào)告制度8.4.1 計(jì)算機(jī)安全事件的相關(guān)(xinggun)概念8.4.2 計(jì)算機(jī)安全事件報(bào)告內(nèi)容39共五十頁(yè) 8.4.1 計(jì)算機(jī)安全

24、事件的相關(guān)概念1 計(jì)算機(jī)安全事件的定義 計(jì)算機(jī)安全事件是指對(duì)計(jì)算機(jī)信息系統(tǒng)(xtng)的可用性、完整性、保密性、真實(shí)性、可核查性和可靠性等造成危害的事件，或者是在計(jì)算機(jī)信息系統(tǒng)(xtng)發(fā)生的對(duì)社會(huì)造成負(fù)面影響的其他事件。它的主體是計(jì)算機(jī)安全事件的制造者或造成計(jì)算機(jī)安全事件的最終原因。它的客體是受計(jì)算機(jī)安全事件影響或發(fā)生計(jì)算機(jī)安全事件的計(jì)算機(jī)信息系統(tǒng)。具體地說(shuō)，計(jì)算機(jī)安全事件的客體可分為信息系統(tǒng)、信息內(nèi)容和網(wǎng)絡(luò)基礎(chǔ)設(shè)施三大類(lèi)。8.4計(jì)算機(jī)案件報(bào)告(bogo)制度40共五十頁(yè) 2 計(jì)算機(jī)安全事件的分級(jí) 根據(jù)計(jì)算機(jī)安全事件所造成后果的嚴(yán)重程度，計(jì)算機(jī)安全事件可劃分為5個(gè)等級(jí)。其中1級(jí)危害程度最高

25、，5級(jí)危害程度最低，如右圖。 3級(jí)和3級(jí)以上(yshng)的計(jì)算機(jī)安全事件稱(chēng)為重大信息安全事件。分級(jí)分級(jí)內(nèi)容1級(jí) 本級(jí)計(jì)算機(jī)安全事件對(duì)計(jì)算機(jī)信息系統(tǒng)所 承載的業(yè)務(wù)、事發(fā)單位利益以及社會(huì)公共利益有災(zāi)難性的影響或破壞，對(duì)社會(huì)穩(wěn)定和國(guó)家安全產(chǎn)生災(zāi)難性的危害； 2級(jí) 本級(jí)計(jì)算機(jī)安全事件對(duì)計(jì)算機(jī)信息系統(tǒng)所承載的業(yè)務(wù)、事發(fā)單位利益以及社會(huì)公共利益有極其嚴(yán)重的影響或破壞，對(duì)社會(huì)穩(wěn)定、國(guó)家安全造成嚴(yán)重危害；3級(jí) 本級(jí)計(jì)算機(jī)安全事件對(duì)計(jì)算機(jī)信息系統(tǒng)所 承載的業(yè)務(wù)、事發(fā)單位利益以及社會(huì)公共利益有較為嚴(yán)重的影響或破壞，對(duì)社會(huì)穩(wěn)定、國(guó)家安全產(chǎn)生一定危害；4級(jí) 本級(jí)計(jì)算機(jī)安全事件對(duì)計(jì)算機(jī)信息系統(tǒng)所承載的業(yè)務(wù)以及事發(fā)單位

26、利益有一定的影響或破壞；5級(jí) 本級(jí)計(jì)算機(jī)安全事件對(duì)計(jì)算機(jī)信息系統(tǒng)所承載的業(yè)務(wù)以及事發(fā)單位利益基本不影響或損害極小。8.4計(jì)算機(jī)案件報(bào)告(bogo)制度41共五十頁(yè)3 計(jì)算機(jī)安全事件分級(jí)(fn j)規(guī)范信息密級(jí)級(jí)別信息密級(jí)1級(jí)明確標(biāo)注有“絕密”的信息失竊或泄密2級(jí)明確標(biāo)注有“機(jī)密”的信息失竊或泄密3級(jí)明確標(biāo)注有“秘密”的信息失竊或泄密4級(jí)本單位的工作秘密信息失竊或泄密5級(jí)本單位敏感信息或個(gè)人隱私信息的失竊或泄密8.4計(jì)算機(jī)案件(njin)報(bào)告制度42共五十頁(yè)公眾(gngzhng)影響 公眾影響分級(jí)規(guī)范 發(fā)生時(shí)間影響范圍和程度敏感時(shí)期平常時(shí)期對(duì)國(guó)家安全造成影響的計(jì)算機(jī)安全事件12級(jí)23級(jí)對(duì)社會(huì)穩(wěn)定

27、造成影響的計(jì)算機(jī)安全事件12級(jí)23級(jí)對(duì)事發(fā)單位的正常工作秩序、單位的形象和聲譽(yù)等造成影響的計(jì)算機(jī)安全事件34級(jí)4級(jí)只對(duì)事發(fā)單位部分人員的正常工作秩序造成影響的計(jì)算機(jī)安全事件45級(jí)5級(jí)8.4計(jì)算機(jī)案件(njin)報(bào)告制度43共五十頁(yè)業(yè)務(wù)影響(yngxing)業(yè)務(wù)影響分級(jí)規(guī)范 中斷時(shí)間信息 系統(tǒng)安全等級(jí)4小時(shí)以?xún)?nèi)4小時(shí)（含）以上， 8小時(shí)以?xún)?nèi)8小時(shí)（含）以上523級(jí)12級(jí)12級(jí)423級(jí)12級(jí)12級(jí)334級(jí)23級(jí)12級(jí)245級(jí)34級(jí)3級(jí)15級(jí)45級(jí)34級(jí)8.4計(jì)算機(jī)案件報(bào)告(bogo)制度44共五十頁(yè)資產(chǎn)損失(snsh) 資產(chǎn)損失分級(jí)規(guī)范 級(jí)別合計(jì)資產(chǎn)損失（人民幣）1級(jí)1000萬(wàn)元（含）以上2級(jí)30

28、0萬(wàn)元（含）1000萬(wàn)元之間3級(jí)50萬(wàn)（含）300萬(wàn)元之間4級(jí)5萬(wàn)元（含）50萬(wàn)元之間5級(jí)5萬(wàn)元以下8.4計(jì)算機(jī)案件報(bào)告(bogo)制度45共五十頁(yè)計(jì)算機(jī)安全事件的分類(lèi)中華人民共和國(guó)計(jì)算機(jī)信系統(tǒng)安全保護(hù)條例第十四條規(guī)定：“對(duì)計(jì)算機(jī)信息系統(tǒng)中發(fā)生的案件，有關(guān)使用單位應(yīng)當(dāng)在218小時(shí)(xiosh)內(nèi)向當(dāng)?shù)乜h級(jí)以上人民政府公安機(jī)關(guān)報(bào)告?！敝貜?qiáng)調(diào)了對(duì)于計(jì)算機(jī)安全事件，必須及時(shí)報(bào)告。也就是說(shuō)，我國(guó)的計(jì)算機(jī)安全事件采用計(jì)算機(jī)案件報(bào)告制度。 計(jì)算機(jī)安全事件可分為環(huán)境災(zāi)害、常規(guī)事故、內(nèi)容異常、網(wǎng)絡(luò)或系統(tǒng)異常和其他事件等5個(gè)第一層分類(lèi)，在此基礎(chǔ)上，再細(xì)分成若干個(gè)第二層和第三層分類(lèi)。 8.4計(jì)算機(jī)案件(njin)報(bào)告制度46共五十頁(yè)8.4.2 計(jì)算機(jī)安全事件報(bào)告(bogo)內(nèi)容 單位名稱(chēng)報(bào)告人