1、網絡信息安全等級保護制度 7/24/20221引 言信息網絡的全球化使得信息網絡的安全問題也全球化起來，任何與互聯網相連接的信息系統(tǒng)都必須面對世界范圍內的網絡攻擊、數據竊取、身份假冒等安全問題。發(fā)達國家普遍發(fā)生的有關利用計算機進行犯罪的案件，絕大部分已經在我國出現。7/24/20222引 言當前計算機信息系統(tǒng)的建設者、管理者和使用者都面臨著一個共同的問題，就是他們建設、管理或使用的信息系統(tǒng)是否是安全的？如何評價系統(tǒng)的安全性？這就需要有一整套用于規(guī)范計算機信息系統(tǒng)安全建設和使用的標準和管理辦法。7/24/20223等級保護制度的意義 1994 年，國務院發(fā)布了中華人民共和國計算機信息系統(tǒng)安全保護

2、條例，該條例是計算機信息系統(tǒng)安全保護的法律基礎。其中第九條規(guī)定“計算機信息系統(tǒng)實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定?！?/24/20224等級保護制度的意義 公安部在條例發(fā)布實施后便著手開始了計算機信息系統(tǒng)安全等級保護的研究和準備工作。等級管理的思想和方法具有科學、合理、規(guī)范、便于理解、掌握和運用等優(yōu)點，因此，對計算機信息系統(tǒng)實行安全等級保護制度，是我國計算機信息系統(tǒng)安全保護工作的重要發(fā)展思路，對于正在發(fā)展中的信息系統(tǒng)安全保護工作更有著十分重要的意義。7/24/20225等級保護制度的意義 為切實加強重要領域信息系統(tǒng)安全的規(guī)范化建設和管理，全面

3、提高國家信息系統(tǒng)安全保護的整體水平，使公安機關公共信息網絡安全監(jiān)察工作更加科學、規(guī)范，指導工作更具體、明確，公安部組織制訂了計算機信息系統(tǒng)安全保護等級劃分準則國家標準，并于2019年9 月13日由國家質量技術監(jiān)督局審查通過并正式批準發(fā)布，已于 2019年1月1日執(zhí)行。該準則的發(fā)布為計算機信息系統(tǒng)安全法規(guī)和配套標準的制定和執(zhí)法部門的監(jiān)督檢查提供了依據，為安全產品的研制提供了技術支持，為安全系統(tǒng)的建設和管理提供了技術指導，是我國計算機信息系統(tǒng)安全保護等級工作的基礎。7/24/20226國外等級保護的發(fā)展歷程 7/24/20227美國國防部早在80年代就針對國防部門的計算機安全保密開展了一系列有影響

4、的工作，后來成立了所屬的機構-國家計算機安全中心（NCSC）繼續(xù)進行有關工作。 7/24/20228TCSEC1984年美國國防部發(fā)布的可信計算機系統(tǒng)評估準則（Trusted Computer System Evaluation Criteria）即桔皮書。目的：為制造商提供一個安全標準；為國防部各部門提供一個度量標準，用來評估計算機系統(tǒng)或其他敏感信息的可信度；在分析、研究規(guī)范時，為指定安全需求提供基礎。7/24/20229TCSEC采用等級評估的方法，將計算機安全分為A、B、C、D四個等級八個級別，D等級安全級別最低，風險最高，A等級安全級別最高，風險最低；評估類別：安全策略可審計性保證文檔

5、7/24/202210無保護級（D級）是為那些經過評估，但不滿足較高評估等級要求的系統(tǒng)設計的，只具有一個級別 該類是指不符合要求的那些系統(tǒng)，因此，這種系統(tǒng)不能在多用戶環(huán)境下處理敏感信息7/24/202211自主保護級（C級）具有一定的保護能力，采用的措施是身份認證、自主訪問控制和審計跟蹤 一般只適用于具有一定等級的多用戶環(huán)境具有對主體責任及其動作審計的能力自主安全保護級（C1級) 控制訪問保護級（C2級）7/24/202212強制保護級 （B級）B類系統(tǒng)中的客體必須攜帶敏感標記（安全等級）TCB應維護完整的敏感標記，并在此基礎上執(zhí)行一系列強制訪問控制規(guī)則標記安全保護級（B1級） 結構保護級（B

6、2級） 強制安全區(qū)域級（B3級）7/24/202213驗證保護級（A級）A類的特點是使用形式化的安全驗證方法，保證系統(tǒng)的自主和強制安全控制措施能夠有效地保護系統(tǒng)中存儲和處理的秘密信息或其他敏感信息為證明TCB滿足設計、開發(fā)及實現等各個方面的安全要求，系統(tǒng)應提供豐富的文檔信息Trusted Computing Base可靠計算基礎。就是計算系統(tǒng)中的每個事物都提供了一個安全環(huán)境。這包括操作系統(tǒng)和它提供的安全機制，硬件，物理定位，網絡硬件和軟件，指定處理過程。具有代表性的是控制訪問的防備，對特殊資源的授權，支持用戶身份驗證，抵抗病毒和其他對系統(tǒng)的滲透，還有數據備份。假設可靠計算基礎已經或必須被測試和

7、驗證通過。 驗證設計級（A1級） 超A1級7/24/202214TCSEC 帶動了國際計算機安全的評估研究。90年代西歐四國（英、法、荷、德）聯合提出了信息技術安全評估標準（ITSEC），ITSEC（又稱歐洲白皮書）除了吸收TCSEC 的成功經驗外，首次提出了信息安全的保密性、完整性、可用性的概念，把可信計算機的概念提高到可信信息技術的高度上來認識。他們的工作成為歐共體信息安全計劃的基礎，并對國際信息安全的研究、實施帶來深刻的影響。7/24/202215通用準則（Common Criteria）來自六國七方的安全標準組織組合成的單一的、能被廣泛使用的IT安全準則。目的：解決各標準中出現的概念和

8、技術上的差異，并把結果作為國際標準提交給ISO。內容：對信息系統(tǒng)的安全功能、安全保障給出了分類描述，并綜合考慮信息系統(tǒng)的資產價值、威脅等因素后，對被評估對象提出了安全需求（保護輪廓PP）及安全實現（安全目標ST）等方面的評估。7/24/202216重點考慮人為的威脅，也用于非人為因素導致的威脅。CC適用于硬件、固件和軟件實現的信息技術安全措施，而某些內容因涉及特殊專業(yè)技術或僅是信息技術安全的外圍技術不在CC的范圍內。通用準則(Common Criteria,CC)是目前國際上最全面的信息技術安全性評估準則,它具有國際互認的優(yōu)勢,因此研究CC評估、建立CC評估體系對我國的信息安全發(fā)展具有重大意義

9、。通用評估方法CEM(Common Evaluation Methodology,CEM)是CC評估配套的評估方法。7/24/202217中國的等級保護體系 7/24/2022181989年公安部開始設計起草法律和標準，在起草過程中經過長期的對國內外廣泛的調查和研究，特別是對國外的法律法規(guī)、政府政策、標準和計算機犯罪的研究，使我們認識到要從法律、管理和技術三個方面著手；采取的措施要從國家制度的角度來看問題，對信息安全要實行等級保護制度。7/24/202219GB17859-2019計算機信息系統(tǒng)安全保護等級劃分準則意義：該準則的發(fā)布為計算機信息系統(tǒng)安全法規(guī)和配套標準的制定和執(zhí)法部門的監(jiān)督檢查提

10、供了依據為安全產品的研制提供了技術支持為安全系統(tǒng)的建設和管理提供了技術指導是我國計算機信息系統(tǒng)安全保護等級工作的基礎 7/24/202220將計算機信息系統(tǒng)安全保護等級劃分為五個級別。第一級：用戶自主保護級第二級：系統(tǒng)審計保護級第三級：安全標記保護級第四級：結構化保護級第五級：訪問驗證保護級 7/24/202221第一級：用戶自主保護級：計算機信息系統(tǒng)可信計算基通過隔離用戶與數據，使用戶具備自主安全保護的能力。它具有多種形式的控制能力，對用戶實施訪問控制，即為用戶提供可行的手段，保護用戶和用戶組信息，避免其他用戶對數據的非法讀寫與破壞 7/24/202222第二級：系統(tǒng)審計保護級：與用戶自主保

11、護級相比，計算機信息系統(tǒng)可信計算基實施了粒度更細的自主訪問控制它通過登錄規(guī)程、審計安全性相關事件和隔離資源，使用戶對自己的行為負責7/24/202223第三級：安全標記保護級：計算機信息系統(tǒng)可信計算基具有系統(tǒng)審計保護級所有功能此外，還提供有關安全策略模型、數據標記以及主體對客體強制訪問控制的非形式化描述具有準確地標記輸出信息的能力消除通過測試發(fā)現的任何錯誤7/24/202224第四級：結構化保護級：計算機信息系統(tǒng)可信計算基建立于一個明確定義的形式化安全策略模型之上要求將第三級系統(tǒng)中的自主和強制訪問控制擴展到所有主體與客體此外，還要考慮隱蔽通道計算機信息系統(tǒng)可信計算基必須結構化為關鍵保護元素和非

12、關鍵保護元素計算機信息系統(tǒng)可信計算基的接口也必須明確定義，使其設計與實現能經受更充分的測試和更完整的復審加強了鑒別機制支持系統(tǒng)管理員和操作員的職能提供可信設施管理增強了配置管理控制系統(tǒng)具有相當的抗?jié)B透能力7/24/202225第五級：訪問驗證保護級：計算機信息系統(tǒng)可信計算基滿足訪問監(jiān)控器需求訪問監(jiān)控器仲裁主體對客體的全部訪問訪問監(jiān)控器本身是抗篡改的；必須足夠小，能夠分析和測試支持安全管理員職能擴充審計機制，當發(fā)生與安全相關的事件時發(fā)出信號提供系統(tǒng)恢復機制系統(tǒng)具有很高的抗?jié)B透能力 7/24/202226需要實施安全等級保護的信息系統(tǒng)為：- 黨政系統(tǒng)(黨委、政府)；- 金融系統(tǒng)(銀行、保險、證券)

13、；- 財稅系統(tǒng)(財政、稅務、工商)；- 經貿系統(tǒng)(商業(yè)貿易、海關)；- 電信系統(tǒng)(郵電、電信、廣播、電視)；- 能源系統(tǒng)(電力、熱力、燃氣、煤炭、油料)；- 交通運輸系統(tǒng)(航空、航天、鐵路、公路、水運、海運)；- 供水系統(tǒng)(水利及水源供給)；- 社會應急服務系統(tǒng)(醫(yī)療、消防、緊急救援)；- 教育科研系統(tǒng)(教育、科研、尖端科技)；- 國防建設系統(tǒng); -國有大中型企業(yè)系統(tǒng)； -互聯單位、接入單位、重點網站及向公眾提供上網服務場所的計算機信息系統(tǒng).7/24/202227 等級保護是國家基本政策7/24/202228等級保護是國家基本政策信息安全等級保護是中華人民共和國計算機信息系統(tǒng)安全保護條例規(guī)定的

14、法定保護制度，具有強制性；以國家制度推進信息和信息系統(tǒng)安全保護責任的落實；符合客觀實際，具有科學性；具有自我保護與國家保護相結合的長效保護機制；突出保護重點，國家優(yōu)先重點保護涉及國計民生的信息系統(tǒng)，國家基礎信息網絡和重要信息系統(tǒng)內分級重點保護三級以上的局域網和子系統(tǒng)安全；具有整體保護性，在突出重點，兼顧一般的原則下，著重加強重點、要害部位,由點到面進行保護，逐步實現信息安全整體保障。 7/24/202229 建立國家信息安全等級保護機制7/24/202230國家實行信息安全等級保護，必須緊緊抓住抓好五個關鍵環(huán)節(jié)，形成長效信息安全等級保護運行機制。國家信息安全等級保護制度運行機制有以下關鍵環(huán)節(jié)構

15、成：1法律規(guī)范2管理與技術規(guī)范3實施過程控制4結果控制5監(jiān)督管理。7/24/2022311法律規(guī)范：國家制定和完善信息安全等級保護政策、法律規(guī)范以及組織實施規(guī)則和方法,完善信息安全保護法律體系；2管理與技術規(guī)范：制定符合國情的標準,建立等級保護體系；3實施過程控制：明確落實系統(tǒng)擁有者的安全責任制，系統(tǒng)擁有者按法律規(guī)定和安全等級標準的要求進行信息系統(tǒng)的建設和管理，并承擔應急管理責任，在信息系統(tǒng)生命周期內進行自管、自查、自評，建立安全管理體系。安全產品的研發(fā)者提供符合安全等級標準要求的技術產品。7/24/2022323實施過程控制：明確落實系統(tǒng)擁有者的安全責任制，系統(tǒng)擁有者按法律規(guī)定和安全等級標準

16、的要求進行信息系統(tǒng)的建設和管理，并承擔應急管理責任，在信息系統(tǒng)生命周期內進行自管、自查、自評，建立安全管理體系。安全產品的研發(fā)者提供符合安全等級標準要求的技術產品。4結果控制：建立非盈利并能夠覆蓋全國的系統(tǒng)安全等級保護的執(zhí)法檢查與評估體系，使用統(tǒng)一標準和工具開展系統(tǒng)安全等級保護檢查評估工作。7/24/2022335監(jiān)督管理：公安機關依法行政，督促安全等級保護責任制的落實，以等級保護標準監(jiān)督、檢查、指導基礎信息網絡和重要信息系統(tǒng)安全等級保護建設、管理。對安全等級技術產品實行監(jiān)管，對監(jiān)測評估機構實施監(jiān)管。政府其他職能部門應當認真履行職責，依法行政，按職責開展信息安全等級保護專項制度建設工作，完善信

17、息安全監(jiān)督體系。7/24/202234 信息系統(tǒng)安全等級保護制度實施方法7/24/202235首先，公安、國家保密、國家密碼管理、技術監(jiān)督、信息產業(yè)等國家有關信息網絡安全的行政主管部門要在國家信息化領導小組的統(tǒng)一領導下，制定我國開展信息網絡安全等級保護工作的發(fā)展政策，統(tǒng)一制定針對不同安全保護等級的管理規(guī)定和技術標準，對不同信息網絡確定不同安全保護等級和實施不同的監(jiān)督管理措施，既包括依法進行行政監(jiān)督、檢查和指導，也包括依據國家技術標準進行的技術檢查和評估。7/24/202236其次，等級保護堅持“誰主管、誰負責；誰經營、誰負責；誰建設、誰負責；誰使用、誰負責?！钡脑瓌t。7/24/202237第三，等級保護實行“國家主導；重點單位強制，一般單位自愿；高保護級別強制，低保護級別自愿”的監(jiān)管原則。7/24/202238第四，信息網絡安全狀況等級的技術檢測是等級保護的重點