1、網絡信息安全等級保護制度 10/2/20221引 言信息網絡的全球化使得信息網絡的安全問題也全球化起來，任何與互聯網相連接的信息系統都必須面對世界范圍內的網絡攻擊、數據竊取、身份假冒等安全問題。發達國家普遍發生的有關利用計算機進行犯罪的案件，絕大部分已經在我國出現。10/2/20222引 言當前計算機信息系統的建設者、管理者和使用者都面臨著一個共同的問題，就是他們建設、管理或使用的信息系統是否是安全的？如何評價系統的安全性？這就需要有一整套用于規范計算機信息系統安全建設和使用的標準和管理辦法。10/2/20223等級保護制度的意義 1994 年，國務院發布了中華人民共和國計算機信息系統安全保護

2、條例，該條例是計算機信息系統安全保護的法律基礎。其中第九條規定“計算機信息系統實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定?！?0/2/20224等級保護制度的意義 公安部在條例發布實施后便著手開始了計算機信息系統安全等級保護的研究和準備工作。等級管理的思想和方法具有科學、合理、規范、便于理解、掌握和運用等優點，因此，對計算機信息系統實行安全等級保護制度，是我國計算機信息系統安全保護工作的重要發展思路，對于正在發展中的信息系統安全保護工作更有著十分重要的意義。10/2/20225國外等級保護的發展歷程 10/2/20227美國國防部早在80年代就針對國

3、防部門的計算機安全保密開展了一系列有影響的工作，后來成立了所屬的機構-國家計算機安全中心（NCSC）繼續進行有關工作。 10/2/20228TCSEC采用等級評估的方法，將計算機安全分為A、B、C、D四個等級八個級別，D等級安全級別最低，風險最高，A等級安全級別最高，風險最低；評估類別：安全策略可審計性保證文檔10/2/202210無保護級（D級）是為那些經過評估，但不滿足較高評估等級要求的系統設計的，只具有一個級別 該類是指不符合要求的那些系統，因此，這種系統不能在多用戶環境下處理敏感信息10/2/202211自主保護級（C級）具有一定的保護能力，采用的措施是身份認證、自主訪問控制和審計跟蹤

4、 一般只適用于具有一定等級的多用戶環境具有對主體責任及其動作審計的能力自主安全保護級（C1級) 控制訪問保護級（C2級）10/2/202212驗證保護級（A級）A類的特點是使用形式化的安全驗證方法，保證系統的自主和強制安全控制措施能夠有效地保護系統中存儲和處理的秘密信息或其他敏感信息為證明TCB滿足設計、開發及實現等各個方面的安全要求，系統應提供豐富的文檔信息Trusted Computing Base可靠計算基礎。就是計算系統中的每個事物都提供了一個安全環境。這包括操作系統和它提供的安全機制，硬件，物理定位，網絡硬件和軟件，指定處理過程。具有代表性的是控制訪問的防備，對特殊資源的授權，支持用

5、戶身份驗證，抵抗病毒和其他對系統的滲透，還有數據備份。假設可靠計算基礎已經或必須被測試和驗證通過。 驗證設計級（A1級） 超A1級10/2/202214TCSEC 帶動了國際計算機安全的評估研究。90年代西歐四國（英、法、荷、德）聯合提出了信息技術安全評估標準（ITSEC），ITSEC（又稱歐洲白皮書）除了吸收TCSEC 的成功經驗外，首次提出了信息安全的保密性、完整性、可用性的概念，把可信計算機的概念提高到可信信息技術的高度上來認識。他們的工作成為歐共體信息安全計劃的基礎，并對國際信息安全的研究、實施帶來深刻的影響。10/2/202215重點考慮人為的威脅，也用于非人為因素導致的威脅。CC適

6、用于硬件、固件和軟件實現的信息技術安全措施，而某些內容因涉及特殊專業技術或僅是信息技術安全的外圍技術不在CC的范圍內。通用準則(Common Criteria,CC)是目前國際上最全面的信息技術安全性評估準則,它具有國際互認的優勢,因此研究CC評估、建立CC評估體系對我國的信息安全發展具有重大意義。通用評估方法CEM(Common Evaluation Methodology,CEM)是CC評估配套的評估方法。10/2/202217中國的等級保護體系 10/2/2022181989年公安部開始設計起草法律和標準，在起草過程中經過長期的對國內外廣泛的調查和研究，特別是對國外的法律法規、政府政策、

7、標準和計算機犯罪的研究，使我們認識到要從法律、管理和技術三個方面著手；采取的措施要從國家制度的角度來看問題，對信息安全要實行等級保護制度。10/2/202219GB17859-1999計算機信息系統安全保護等級劃分準則意義：該準則的發布為計算機信息系統安全法規和配套標準的制定和執法部門的監督檢查提供了依據為安全產品的研制提供了技術支持為安全系統的建設和管理提供了技術指導是我國計算機信息系統安全保護等級工作的基礎 10/2/202220將計算機信息系統安全保護等級劃分為五個級別。第一級：用戶自主保護級第二級：系統審計保護級第三級：安全標記保護級第四級：結構化保護級第五級：訪問驗證保護級 10/2

8、/202221第一級：用戶自主保護級：計算機信息系統可信計算基通過隔離用戶與數據，使用戶具備自主安全保護的能力。它具有多種形式的控制能力，對用戶實施訪問控制，即為用戶提供可行的手段，保護用戶和用戶組信息，避免其他用戶對數據的非法讀寫與破壞 10/2/202222第三級：安全標記保護級：計算機信息系統可信計算基具有系統審計保護級所有功能此外，還提供有關安全策略模型、數據標記以及主體對客體強制訪問控制的非形式化描述具有準確地標記輸出信息的能力消除通過測試發現的任何錯誤10/2/202224第四級：結構化保護級：計算機信息系統可信計算基建立于一個明確定義的形式化安全策略模型之上要求將第三級系統中的自

9、主和強制訪問控制擴展到所有主體與客體此外，還要考慮隱蔽通道計算機信息系統可信計算基必須結構化為關鍵保護元素和非關鍵保護元素計算機信息系統可信計算基的接口也必須明確定義，使其設計與實現能經受更充分的測試和更完整的復審加強了鑒別機制支持系統管理員和操作員的職能提供可信設施管理增強了配置管理控制系統具有相當的抗滲透能力10/2/202225需要實施安全等級保護的信息系統為：- 黨政系統(黨委、政府)；- 金融系統(銀行、保險、證券)；- 財稅系統(財政、稅務、工商)；- 經貿系統(商業貿易、海關)；- 電信系統(郵電、電信、廣播、電視)；- 能源系統(電力、熱力、燃氣、煤炭、油料)；- 交通運輸系統

10、(航空、航天、鐵路、公路、水運、海運)；- 供水系統(水利及水源供給)；- 社會應急服務系統(醫療、消防、緊急救援)；- 教育科研系統(教育、科研、尖端科技)；- 國防建設系統; -國有大中型企業系統； -互聯單位、接入單位、重點網站及向公眾提供上網服務場所的計算機信息系統.10/2/202227 等級保護是國家基本政策10/2/202228等級保護是國家基本政策信息安全等級保護是中華人民共和國計算機信息系統安全保護條例規定的法定保護制度，具有強制性；以國家制度推進信息和信息系統安全保護責任的落實；符合客觀實際，具有科學性；具有自我保護與國家保護相結合的長效保護機制；突出保護重點，國家優先重點

11、保護涉及國計民生的信息系統，國家基礎信息網絡和重要信息系統內分級重點保護三級以上的局域網和子系統安全；具有整體保護性，在突出重點，兼顧一般的原則下，著重加強重點、要害部位,由點到面進行保護，逐步實現信息安全整體保障。 10/2/202229 建立國家信息安全等級保護機制10/2/202230國家實行信息安全等級保護，必須緊緊抓住抓好五個關鍵環節，形成長效信息安全等級保護運行機制。國家信息安全等級保護制度運行機制有以下關鍵環節構成：1法律規范2管理與技術規范3實施過程控制4結果控制5監督管理。10/2/2022311法律規范：國家制定和完善信息安全等級保護政策、法律規范以及組織實施規則和方法,完

12、善信息安全保護法律體系；2管理與技術規范：制定符合國情的標準,建立等級保護體系；3實施過程控制：明確落實系統擁有者的安全責任制，系統擁有者按法律規定和安全等級標準的要求進行信息系統的建設和管理，并承擔應急管理責任，在信息系統生命周期內進行自管、自查、自評，建立安全管理體系。安全產品的研發者提供符合安全等級標準要求的技術產品。10/2/2022323實施過程控制：明確落實系統擁有者的安全責任制，系統擁有者按法律規定和安全等級標準的要求進行信息系統的建設和管理，并承擔應急管理責任，在信息系統生命周期內進行自管、自查、自評，建立安全管理體系。安全產品的研發者提供符合安全等級標準要求的技術產品。4結果

13、控制：建立非盈利并能夠覆蓋全國的系統安全等級保護的執法檢查與評估體系，使用統一標準和工具開展系統安全等級保護檢查評估工作。10/2/2022335監督管理：公安機關依法行政，督促安全等級保護責任制的落實，以等級保護標準監督、檢查、指導基礎信息網絡和重要信息系統安全等級保護建設、管理。對安全等級技術產品實行監管，對監測評估機構實施監管。政府其他職能部門應當認真履行職責，依法行政，按職責開展信息安全等級保護專項制度建設工作，完善信息安全監督體系。10/2/202234 信息系統安全等級保護制度實施方法10/2/202235首先，公安、國家保密、國家密碼管理、技術監督、信息產業等國家有關信息網絡安全

14、的行政主管部門要在國家信息化領導小組的統一領導下，制定我國開展信息網絡安全等級保護工作的發展政策，統一制定針對不同安全保護等級的管理規定和技術標準，對不同信息網絡確定不同安全保護等級和實施不同的監督管理措施，既包括依法進行行政監督、檢查和指導，也包括依據國家技術標準進行的技術檢查和評估。10/2/202236其次，等級保護堅持“誰主管、誰負責；誰經營、誰負責；誰建設、誰負責；誰使用、誰負責?！钡脑瓌t。10/2/202237第三，等級保護實行“國家主導；重點單位強制，一般單位自愿；高保護級別強制，低保護級別自愿”的監管原則。10/2/202238第四，信息網絡安全狀況等級的技術檢測是等級保護的重點。由國家授權的技術檢測機構通過技術檢測來進行評定。技術檢測機構需取得國家主管部