信息安全法律法規(guī)我國(guó)的標(biāo)準(zhǔn)

網(wǎng)絡(luò)信息安全等級(jí)保護(hù)制度10/3/20231引言信息網(wǎng)絡(luò)的全球化使得信息網(wǎng)絡(luò)的安全問題也全球化起來，任何與互聯(lián)網(wǎng)相連接的信息系統(tǒng)都必須面對(duì)世界范圍內(nèi)的網(wǎng)絡(luò)攻擊、數(shù)據(jù)竊取、身份假冒等安全問題。發(fā)達(dá)國(guó)家普遍發(fā)生的有關(guān)利用計(jì)算機(jī)進(jìn)行犯罪的案件，絕大部分已經(jīng)在我國(guó)出現(xiàn)。10/3/20232引言當(dāng)前計(jì)算機(jī)信息系統(tǒng)的建設(shè)者、管理者和使用者都面臨著一個(gè)共同的問題，就是他們建設(shè)、管理或使用的信息系統(tǒng)是否是安全的？如何評(píng)價(jià)系統(tǒng)的安全性？這就需要有一整套用于規(guī)范計(jì)算機(jī)信息系統(tǒng)安全建設(shè)和使用的標(biāo)準(zhǔn)和管理辦法。10/3/20233等級(jí)保護(hù)制度的意義1994年，國(guó)務(wù)院發(fā)布了《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，該條例是計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的法律基礎(chǔ)。其中第九條規(guī)定“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門制定?！?0/3/20234等級(jí)保護(hù)制度的意義公安部在《條例》發(fā)布實(shí)施后便著手開始了計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)的研究和準(zhǔn)備工作。等級(jí)管理的思想和方法具有科學(xué)、合理、規(guī)范、便于理解、掌握和運(yùn)用等優(yōu)點(diǎn)，因此，對(duì)計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)制度，是我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作的重要發(fā)展思路，對(duì)于正在發(fā)展中的信息系統(tǒng)安全保護(hù)工作更有著十分重要的意義。10/3/20235等級(jí)保護(hù)制度的意義為切實(shí)加強(qiáng)重要領(lǐng)域信息系統(tǒng)安全的規(guī)范化建設(shè)和管理，全面提高國(guó)家信息系統(tǒng)安全保護(hù)的整體水平，使公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察工作更加科學(xué)、規(guī)范，指導(dǎo)工作更具體、明確，公安部組織制訂了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》國(guó)家標(biāo)準(zhǔn)，并于1999年9月13日由國(guó)家質(zhì)量技術(shù)監(jiān)督局審查通過并正式批準(zhǔn)發(fā)布，已于2001年1月1日?qǐng)?zhí)行。該準(zhǔn)則的發(fā)布為計(jì)算機(jī)信息系統(tǒng)安全法規(guī)和配套標(biāo)準(zhǔn)的制定和執(zhí)法部門的監(jiān)督檢查提供了依據(jù)，為安全產(chǎn)品的研制提供了技術(shù)支持，為安全系統(tǒng)的建設(shè)和管理提供了技術(shù)指導(dǎo)，是我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)工作的基礎(chǔ)。10/3/20236國(guó)外等級(jí)保護(hù)的發(fā)展歷程10/3/20237美國(guó)國(guó)防部早在80年代就針對(duì)國(guó)防部門的計(jì)算機(jī)安全保密開展了一系列有影響的工作，后來成立了所屬的機(jī)構(gòu)--國(guó)家計(jì)算機(jī)安全中心（NCSC）繼續(xù)進(jìn)行有關(guān)工作。

10/3/20238TCSEC1984年美國(guó)國(guó)防部發(fā)布的《可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則》（TrustedComputerSystemEvaluationCriteria）即桔皮書。目的：為制造商提供一個(gè)安全標(biāo)準(zhǔn)；為國(guó)防部各部門提供一個(gè)度量標(biāo)準(zhǔn)，用來評(píng)估計(jì)算機(jī)系統(tǒng)或其他敏感信息的可信度；在分析、研究規(guī)范時(shí)，為指定安全需求提供基礎(chǔ)。10/3/20239TCSEC采用等級(jí)評(píng)估的方法，將計(jì)算機(jī)安全分為A、B、C、D四個(gè)等級(jí)八個(gè)級(jí)別，D等級(jí)安全級(jí)別最低，風(fēng)險(xiǎn)最高，A等級(jí)安全級(jí)別最高，風(fēng)險(xiǎn)最低；評(píng)估類別：安全策略可審計(jì)性保證文檔10/3/202310無保護(hù)級(jí)（D級(jí)）是為那些經(jīng)過評(píng)估，但不滿足較高評(píng)估等級(jí)要求的系統(tǒng)設(shè)計(jì)的，只具有一個(gè)級(jí)別

該類是指不符合要求的那些系統(tǒng)，因此，這種系統(tǒng)不能在多用戶環(huán)境下處理敏感信息10/3/202311自主保護(hù)級(jí)（C級(jí)）具有一定的保護(hù)能力，采用的措施是身份認(rèn)證、自主訪問控制和審計(jì)跟蹤

一般只適用于具有一定等級(jí)的多用戶環(huán)境具有對(duì)主體責(zé)任及其動(dòng)作審計(jì)的能力自主安全保護(hù)級(jí)（C1級(jí))

控制訪問保護(hù)級(jí)（C2級(jí)）10/3/202312強(qiáng)制保護(hù)級(jí)（B級(jí)）B類系統(tǒng)中的客體必須攜帶敏感標(biāo)記（安全等級(jí)）TCB應(yīng)維護(hù)完整的敏感標(biāo)記，并在此基礎(chǔ)上執(zhí)行一系列強(qiáng)制訪問控制規(guī)則標(biāo)記安全保護(hù)級(jí)（B1級(jí)）

結(jié)構(gòu)保護(hù)級(jí)（B2級(jí)）

強(qiáng)制安全區(qū)域級(jí)（B3級(jí)）10/3/202313驗(yàn)證保護(hù)級(jí)（A級(jí)）A類的特點(diǎn)是使用形式化的安全驗(yàn)證方法，保證系統(tǒng)的自主和強(qiáng)制安全控制措施能夠有效地保護(hù)系統(tǒng)中存儲(chǔ)和處理的秘密信息或其他敏感信息為證明TCB滿足設(shè)計(jì)、開發(fā)及實(shí)現(xiàn)等各個(gè)方面的安全要求，系統(tǒng)應(yīng)提供豐富的文檔信息TrustedComputingBase可靠計(jì)算基礎(chǔ)。就是計(jì)算系統(tǒng)中的每個(gè)事物都提供了一個(gè)安全環(huán)境。這包括操作系統(tǒng)和它提供的安全機(jī)制，硬件，物理定位，網(wǎng)絡(luò)硬件和軟件，指定處理過程。具有代表性的是控制訪問的防備，對(duì)特殊資源的授權(quán)，支持用戶身份驗(yàn)證，抵抗病毒和其他對(duì)系統(tǒng)的滲透，還有數(shù)據(jù)備份。假設(shè)可靠計(jì)算基礎(chǔ)已經(jīng)或必須被測(cè)試和驗(yàn)證通過。驗(yàn)證設(shè)計(jì)級(jí)（A1級(jí)）

超A1級(jí)10/3/202314TCSEC帶動(dòng)了國(guó)際計(jì)算機(jī)安全的評(píng)估研究。90年代西歐四國(guó)（英、法、荷、德）聯(lián)合提出了信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)（ITSEC），ITSEC（又稱歐洲白皮書）除了吸收TCSEC的成功經(jīng)驗(yàn)外，首次提出了信息安全的保密性、完整性、可用性的概念，把可信計(jì)算機(jī)的概念提高到可信信息技術(shù)的高度上來認(rèn)識(shí)。他們的工作成為歐共體信息安全計(jì)劃的基礎(chǔ)，并對(duì)國(guó)際信息安全的研究、實(shí)施帶來深刻的影響。10/3/202315通用準(zhǔn)則（CommonCriteria）來自六國(guó)七方的安全標(biāo)準(zhǔn)組織組合成的單一的、能被廣泛使用的IT安全準(zhǔn)則。目的：解決各標(biāo)準(zhǔn)中出現(xiàn)的概念和技術(shù)上的差異，并把結(jié)果作為國(guó)際標(biāo)準(zhǔn)提交給ISO。內(nèi)容：對(duì)信息系統(tǒng)的安全功能、安全保障給出了分類描述，并綜合考慮信息系統(tǒng)的資產(chǎn)價(jià)值、威脅等因素后，對(duì)被評(píng)估對(duì)象提出了安全需求（保護(hù)輪廓PP）及安全實(shí)現(xiàn)（安全目標(biāo)ST）等方面的評(píng)估。10/3/202316重點(diǎn)考慮人為的威脅，也用于非人為因素導(dǎo)致的威脅。CC適用于硬件、固件和軟件實(shí)現(xiàn)的信息技術(shù)安全措施，而某些內(nèi)容因涉及特殊專業(yè)技術(shù)或僅是信息技術(shù)安全的外圍技術(shù)不在CC的范圍內(nèi)。通用準(zhǔn)則(CommonCriteria,CC)是目前國(guó)際上最全面的信息技術(shù)安全性評(píng)估準(zhǔn)則,它具有國(guó)際互認(rèn)的優(yōu)勢(shì),因此研究CC評(píng)估、建立CC評(píng)估體系對(duì)我國(guó)的信息安全發(fā)展具有重大意義。通用評(píng)估方法CEM(CommonEvaluationMethodology,CEM)是CC評(píng)估配套的評(píng)估方法。10/3/202317中國(guó)的等級(jí)保護(hù)體系10/3/2023181989年公安部開始設(shè)計(jì)起草法律和標(biāo)準(zhǔn)，在起草過程中經(jīng)過長(zhǎng)期的對(duì)國(guó)內(nèi)外廣泛的調(diào)查和研究，特別是對(duì)國(guó)外的法律法規(guī)、政府政策、標(biāo)準(zhǔn)和計(jì)算機(jī)犯罪的研究，使我們認(rèn)識(shí)到要從法律、管理和技術(shù)三個(gè)方面著手；采取的措施要從國(guó)家制度的角度來看問題，對(duì)信息安全要實(shí)行等級(jí)保護(hù)制度。10/3/202319GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》意義：該準(zhǔn)則的發(fā)布為計(jì)算機(jī)信息系統(tǒng)安全法規(guī)和配套標(biāo)準(zhǔn)的制定和執(zhí)法部門的監(jiān)督檢查提供了依據(jù)為安全產(chǎn)品的研制提供了技術(shù)支持為安全系統(tǒng)的建設(shè)和管理提供了技術(shù)指導(dǎo)是我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)工作的基礎(chǔ)10/3/202320將計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分為五個(gè)級(jí)別。第一級(jí)：用戶自主保護(hù)級(jí)第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)第三級(jí)：安全標(biāo)記保護(hù)級(jí)第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)第五級(jí)：訪問驗(yàn)證保護(hù)級(jí)

10/3/202321第一級(jí)：用戶自主保護(hù)級(jí)：計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力。它具有多種形式的控制能力，對(duì)用戶實(shí)施訪問控制，即為用戶提供可行的手段，保護(hù)用戶和用戶組信息，避免其他用戶對(duì)數(shù)據(jù)的非法讀寫與破壞

10/3/202322第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)：與用戶自主保護(hù)級(jí)相比，計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基實(shí)施了粒度更細(xì)的自主訪問控制它通過登錄規(guī)程、審計(jì)安全性相關(guān)事件和隔離資源，使用戶對(duì)自己的行為負(fù)責(zé)10/3/202323第三級(jí)：安全標(biāo)記保護(hù)級(jí)：計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基具有系統(tǒng)審計(jì)保護(hù)級(jí)所有功能此外，還提供有關(guān)安全策略模型、數(shù)據(jù)標(biāo)記以及主體對(duì)客體強(qiáng)制訪問控制的非形式化描述具有準(zhǔn)確地標(biāo)記輸出信息的能力消除通過測(cè)試發(fā)現(xiàn)的任何錯(cuò)誤10/3/202324第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)：計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基建立于一個(gè)明確定義的形式化安全策略模型之上要求將第三級(jí)系統(tǒng)中的自主和強(qiáng)制訪問控制擴(kuò)展到所有主體與客體此外，還要考慮隱蔽通道計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基必須結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基的接口也必須明確定義，使其設(shè)計(jì)與實(shí)現(xiàn)能經(jīng)受更充分的測(cè)試和更完整的復(fù)審加強(qiáng)了鑒別機(jī)制支持系統(tǒng)管理員和操作員的職能提供可信設(shè)施管理增強(qiáng)了配置管理控制系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力10/3/202325第五級(jí)：訪問驗(yàn)證保護(hù)級(jí)：計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基滿足訪問監(jiān)控器需求訪問監(jiān)控器仲裁主體對(duì)客體的全部訪問訪問監(jiān)控器本身是抗篡改的；必須足夠小，能夠分析和測(cè)試支持安全管理員職能擴(kuò)充審計(jì)機(jī)制，當(dāng)發(fā)生與安全相關(guān)的事件時(shí)發(fā)出信號(hào)提供系統(tǒng)恢復(fù)機(jī)制系統(tǒng)具有很高的抗?jié)B透能力

10/3/202326需要實(shí)施安全等級(jí)保護(hù)的信息系統(tǒng)為：-黨政系統(tǒng)(黨委、政府)；

-金融系統(tǒng)(銀行、保險(xiǎn)、證券)；

-財(cái)稅系統(tǒng)(財(cái)政、稅務(wù)、工商)；

-經(jīng)貿(mào)系統(tǒng)(商業(yè)貿(mào)易、海關(guān))；

-電信系統(tǒng)(郵電、電信、廣播、電視)；

-能源系統(tǒng)(電力、熱力、燃?xì)?、煤炭、油?；

-交通運(yùn)輸系統(tǒng)(航空、航天、鐵路、公路、水運(yùn)、海運(yùn))；

-供水系統(tǒng)(水利及水源供給)；

-社會(huì)應(yīng)急服務(wù)系統(tǒng)(醫(yī)療、消防、緊急救援)；

-教育科研系統(tǒng)(教育、科研、尖端科技)；

-國(guó)防建設(shè)系統(tǒng);-國(guó)有大中型企業(yè)系統(tǒng)；-互聯(lián)單位、接入單位、重點(diǎn)網(wǎng)站及向公眾提供上網(wǎng)服務(wù)場(chǎng)所的計(jì)算機(jī)信息系統(tǒng).10/3/202327

等級(jí)保護(hù)是國(guó)家基本政策10/3/202328等級(jí)保護(hù)是國(guó)家基本政策信息安全等級(jí)保護(hù)是《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定的法定保護(hù)制度，具有強(qiáng)制性；以國(guó)家制度推進(jìn)信息和信息系統(tǒng)安全保護(hù)責(zé)任的落實(shí)；符合客觀實(shí)際，具有科學(xué)性；具有自我保護(hù)與國(guó)家保護(hù)相結(jié)合的長(zhǎng)效保護(hù)機(jī)制；突出保護(hù)重點(diǎn)，國(guó)家優(yōu)先重點(diǎn)保護(hù)涉及國(guó)計(jì)民生的信息系統(tǒng)，國(guó)家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)內(nèi)分級(jí)重點(diǎn)保護(hù)三級(jí)以上的局域網(wǎng)和子系統(tǒng)安全；具有整體保護(hù)性，在突出重點(diǎn)，兼顧