4.1網(wǎng)絡(luò)安全等級保護(hù)劃分準(zhǔn)則4.2網(wǎng)絡(luò)安全等級保護(hù)定級4.3安全策略的定義4.4安全策略的分級4.5安全策略內(nèi)容4.6安全策略舉例224,1.1網(wǎng)絡(luò)安全等級保護(hù)的定義4.1.2網(wǎng)絡(luò)安全等級保護(hù)的等級劃分準(zhǔn)則334.1.1網(wǎng)絡(luò)安全等級保護(hù)的定義(1)定義是指對國家秘密信息法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸處理這些信息的信息系統(tǒng)分等級實行安全保護(hù),對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。444.1.1網(wǎng)絡(luò)安全等級保護(hù)的定義(2)等級保護(hù)的分級第一級:用戶自主保護(hù)級;第二級:系統(tǒng)審計保護(hù)級;第三級:安全標(biāo)記保護(hù)級;第四級:結(jié)構(gòu)化保護(hù)級;第五級:訪問驗證保護(hù)級。554.1.1網(wǎng)絡(luò)安全等級保護(hù)的定義(3)等級保護(hù)的幾個概念強制訪問控制強制訪問控制664.1.2網(wǎng)絡(luò)安全等級保護(hù)的等級劃分準(zhǔn)則第一級用戶自主保護(hù)級本級的計算機信息系統(tǒng)可信計算基通過隔離用戶與數(shù)據(jù),使用戶具備自主安全保護(hù)的能力。它具有多種形式的控制能力對用戶實施訪問控制,即為用戶提供可行的手段,保護(hù)用戶和用戶組信息,避免其他用戶對數(shù)據(jù)的非法讀寫與破壞。774.1.2網(wǎng)絡(luò)安全等級保護(hù)的等級劃分準(zhǔn)則第二級系統(tǒng)審計保護(hù)級與用戶自主保護(hù)級相比,本級的計算機信息系統(tǒng)可信計算基實施了粒度更細(xì)的自主訪問控制,它通過登錄規(guī)程、審計安全性相關(guān)事件和隔離資源,使用戶對自己的行為負(fù)責(zé)。884.1.2網(wǎng)絡(luò)安全等級保護(hù)的等級劃分準(zhǔn)則第三級安全標(biāo)記保護(hù)級本級的計算機信息系統(tǒng)可信計算基具有系統(tǒng)審計保護(hù)級所有功能。此外,還提供有關(guān)安全策略模型、數(shù)據(jù)標(biāo)記以及主體對客體強制訪問控制的非形式化描述;具有準(zhǔn)確地標(biāo)記輸出信息的能力;消除通過測試發(fā)現(xiàn)的任何錯誤。994.1.2網(wǎng)絡(luò)安全等級保護(hù)的等級劃分準(zhǔn)則第四級結(jié)構(gòu)化保護(hù)級本級的計算機信息系統(tǒng)可信計算基建立于一個明確定主和強制訪問控制擴(kuò)展到所有主體與客體。此外,還要考慮隱蔽通道。本級的計算機信息系統(tǒng)可信計算基必須結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素。計算機信息系統(tǒng)可信計算基的接口也必須明確定義,使其設(shè)計與實現(xiàn)能經(jīng)受更充分的測試和更完整的復(fù)審。加強了鑒別機制;支持系統(tǒng)管理員和操作員的職能;提供可信設(shè)施管理;增強了配置管理控制4.1.2網(wǎng)絡(luò)安全等級保護(hù)的等級劃分準(zhǔn)則第五級訪問驗證保護(hù)級本級的計算機信息系統(tǒng)可信計算基滿足訪問監(jiān)控器需求。訪問監(jiān)控器仲裁主體對客體的全部訪問。訪問監(jiān)控器本身是抗篡改的;必須足夠小,能夠分析和測試。為了滿足訪除那些對實施安全策略來說并非必要的代碼;在設(shè)計和實現(xiàn)時,從系統(tǒng)工程角度將其復(fù)雜性降低到最小程度。支持安全管理員職能;擴(kuò)充審計機制,當(dāng)發(fā)生與安全相關(guān)的事件時發(fā)4.1.2網(wǎng)絡(luò)安全等級保護(hù)的等級劃分準(zhǔn)則在安全保護(hù)的每一級,對自主訪問控制、強制訪問控制、標(biāo)記、身份鑒別、客體重用、審計、數(shù)據(jù)完整性、隱蔽信道分析、可信路徑、可信恢復(fù)等都有程度不同的要求,詳見:《GB17859-1999計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》4.1.2網(wǎng)絡(luò)安全等級保護(hù)的等級劃分準(zhǔn)則第一級用戶自主保護(hù)級第二級系統(tǒng)審計保護(hù)第三級安全標(biāo)記保護(hù)第四級結(jié)構(gòu)化保護(hù)第五級訪問驗證保護(hù)4.2.1網(wǎng)絡(luò)安全等級保護(hù)的定級要素根據(jù)信息和信息系統(tǒng)遭到破壞或泄露后,對國家安全、社會秩序、公共利益及公民、法人和其他組織的合法權(quán)益的危害程度來進(jìn)行定級綜上,要考慮的定級要素:4.2.1網(wǎng)絡(luò)安全等級保護(hù)的定級要素侵害國家安全的事項包括以下方面:4.2.1網(wǎng)絡(luò)安全等級保護(hù)的定級要素侵害社會秩序的事項包括以下方面:4.2.1網(wǎng)絡(luò)安全等級保護(hù)的定級要素影響公共利益的事項包括以下方面:4.2.2網(wǎng)絡(luò)安全等級保護(hù)的定級原則第一級信息系統(tǒng)受到破壞后,會對公民法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。第二級,信息系統(tǒng)受到破壞后,會對公民法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害或者對社會秩序和公共利益造成損害,但不損害國家安全。4.2.2網(wǎng)絡(luò)安全等級保護(hù)的定級原則第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴(yán)重?fù)p害,或者對國家安全造成損害。第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對國家安全造成嚴(yán)重?fù)p害。第五級,信息系統(tǒng)受到破壞后,會對國家安4.2.2網(wǎng)絡(luò)安全等級保護(hù)的定級原則4.2.3網(wǎng)絡(luò)安全等級保護(hù)定級與監(jiān)管強度侵害客體侵害程度統(tǒng)合法權(quán)益合法權(quán)益嚴(yán)重?fù)p害社會秩序和公共利益統(tǒng)社會秩序和公共利益嚴(yán)重?fù)p害監(jiān)督檢查社會秩序和公共利益特別嚴(yán)重?fù)p害強制監(jiān)督檢查嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害專門監(jiān)督檢查4.2.4網(wǎng)絡(luò)安全等級保護(hù)定級的一般流程a)確定作為定級對象的信息系統(tǒng);b)確定業(yè)務(wù)信息安全受到破壞時所侵害的客體;c)根據(jù)不同的受侵害客體,從多個方面綜合評定業(yè)務(wù)信息安全被破壞對客體的侵害程度;d)依據(jù)表2,得到業(yè)務(wù)信息安全保護(hù)等級;e)確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客體;f)根據(jù)不同的受侵害客體,從多個方面綜合評定系統(tǒng)服務(wù)安全被破壞對客體的侵害程度;g)依據(jù)表3,得到系統(tǒng)服務(wù)安全保護(hù)等級;h)將業(yè)務(wù)信息安全保護(hù)等級和系統(tǒng)服務(wù)安全保護(hù)等級的較高4.2.4網(wǎng)絡(luò)安全等級保護(hù)定級的一般流程4.2.4網(wǎng)絡(luò)安全等級保護(hù)定級的一般流程4.2.4網(wǎng)絡(luò)安全等級保護(hù)定級的一般流程4.2.5網(wǎng)絡(luò)安全等級保護(hù)定級步驟:①確定信息系統(tǒng)及保護(hù)的客體2確定業(yè)務(wù)信息的損壞程度并定級(表2)③確定系統(tǒng)服務(wù)的損壞程度并定級(表3)選擇業(yè)務(wù)信息定級和系統(tǒng)服務(wù)定級中較高的級別作為信息系統(tǒng)最終保護(hù)定級的級別。4.3.1安全策略的目的制定安全策略的目的是保證網(wǎng)絡(luò)安全保護(hù)工作的整體性計劃性及規(guī)范性,保證各項措施和管理手段的正確實施,使網(wǎng)絡(luò)系統(tǒng)信息數(shù)據(jù)的機密性、完整性及可用性受到全面可靠的保護(hù)。4.3.2信息安全策略的意義信息安全策略(Informationsecuritypolicy)是一個組織機構(gòu)中解決信息安全問題最重要的部分。在一個小型組織內(nèi)部,信息安全策略的制定者一般應(yīng)該是該組織的技術(shù)管理者,在一個大的組織內(nèi)部,信息安全策略的制定者可能是由一個多方人員組成的小組。一個組織的信息安全策略反映出一個組織對于現(xiàn)實和未來安全風(fēng)險的認(rèn)識水平,對于組織內(nèi)部業(yè)務(wù)人員和技術(shù)人員安全風(fēng)險的假定與處理。信息安全策略的制定,同時還需4.3.2信息安全策略的定義信息安全策略是一組規(guī)則,它們定義了一個組織要實現(xiàn)的安全目標(biāo)和實現(xiàn)這些安全目標(biāo)的途徑。它們規(guī)定了做什么和不做什么的政策。信息安全策略可以劃分為兩個部分,即:問題策略(issuepolicy)和功能策略(functionalpolicy)。問題策略描述了一個組織所關(guān)心的安全領(lǐng)域和對這些領(lǐng)域內(nèi)安全問題的基本態(tài)度。功能策略描述如何解決所關(guān)心的問題,包括制定具體的硬件和軟件配置規(guī)格說明、使用策略以及雇員行為4.3.3對信息安全策略的要求l信息安全策略必須有清晰和完全的文檔描述。l必須有相應(yīng)的措施保證信息安全策略得到強制執(zhí)行。l在組織內(nèi)部,必須有行政措施保證制定的信息安全策略被不打折扣地執(zhí)行,管理層不能允許任何違反組織信息安全策略的行為存在。l需要根據(jù)業(yè)務(wù)情況的變化不斷地修改和補充信息安全策略。2.04.4.1安全策略的分級相應(yīng)地,安全策略是指某個安全區(qū)域內(nèi)用于所有與安全有關(guān)的活動的規(guī)則,層次上分三級:①安全策略目標(biāo):指導(dǎo)性目標(biāo)②機構(gòu)安全策略:問題級策略③系統(tǒng)安全策略:功能性策略4.4.2安全策略與技術(shù)方案的區(qū)別l信息安全策略是描述一個組織保證信息安全的途徑的指導(dǎo)性文件,不涉及具體做什么和如何做的問題,只需指出要完成的目標(biāo)。l信息安全策略為具體的安全措施和規(guī)定提供一個全局性框架。在信息安全策略中不規(guī)定使用什么具體技術(shù),也不描述技術(shù)配置參數(shù)。信息安全策略的另外一個安全策略的遵守程度給出評價。l技術(shù)方案要選擇具體的技術(shù)路線、技術(shù)產(chǎn)品和系統(tǒng),4.4.2安全策略與技術(shù)方案的區(qū)別l信息安全策略是描述一個組織保證信息安全的途徑的指導(dǎo)性文件,不涉及具體做什么和如何做的問題,只需指出要完成的目標(biāo)。l信息安全策略為具體的安全措施和規(guī)定提供一個全局性框架。在信息安全策略中不規(guī)定使用什么具體技術(shù),也不描述技術(shù)配置參數(shù)。信息安全策略的另外一個安全策略的遵守程度給出評價。l技術(shù)方案要選擇具體的技術(shù)路線、技術(shù)產(chǎn)品和系統(tǒng),4.4.3安全策略的描述方式信息安全策略的描述語言應(yīng)該是簡潔的、非技術(shù)性的和具有指導(dǎo)性的。比如一個涉及對敏感信息加密的信息安全策略條目可以這樣描述:條目1"任何類別為機密的信息,無論存貯在計算機中,還是通過公共網(wǎng)絡(luò)傳輸時,必須使用本公司信息安全部門指定的加密硬件或者加密軟件予以保護(hù)。"這個敘述沒有談及加密算法和密鑰長度,所以當(dāng)舊的加密算法被替換,新的加密算法被公布的時候,無須對信息安全策略進(jìn)行修改。4.4.3制訂安全策略的流程①確定應(yīng)用范圍②獲得管理支持③進(jìn)行安全分析④會見關(guān)鍵人員制訂策略草案開展策略評估發(fā)布安全策略隨需修訂策略信息安全策略的制定者綜合風(fēng)險評估信息對業(yè)務(wù)的重要性,管理考慮、組織所遵從的安全標(biāo)準(zhǔn),制定組織的信息安全策略,傳統(tǒng)安全策略可能包括的內(nèi)容示例:(1)加密策略----描述組織對數(shù)據(jù)加密的安全要求。(2)使用策略----描述設(shè)備使用、計算機服務(wù)使用和雇員安全規(guī)定、以保護(hù)組織的信息和資源安全。(3)線路連接策略---描述諸如傳真發(fā)送和接收、模擬線路與計算機連接、撥號連接等安全要求(4)反病毒策略---給出有效減少計算機病毒對組織的威(5)應(yīng)用服務(wù)提供策略---定義應(yīng)用服務(wù)提供者必須遵守的安全方針。(6)審計策略---描述信息審計要求,包括審計小組的組成、權(quán)限、事故調(diào)查、安全風(fēng)險估計、信息安全策略符合程度評價、對用戶和系統(tǒng)活動進(jìn)行監(jiān)控等活動的要求。(7)電子郵件使用策略---描述內(nèi)部和外部電子郵件接收、傳遞的安全要求。(8)數(shù)據(jù)庫策略描述存儲、檢索、更新等管理數(shù)據(jù)庫數(shù)據(jù)的安全要求。(9)非軍事區(qū)域策略----定義位于"非軍事區(qū)域"((10)第三方的連接策略---定義第三方接入的安全要求。(11)敏感信息策略---對于組織的機密信息進(jìn)行分級,按照它們的敏感度描述安全要求。(12)內(nèi)部策略---描述對組織內(nèi)部的各種活動安全要求,使組織的產(chǎn)品服務(wù)和利益受到充分保護(hù)。(13)Internet接入策略---定義在組織防火墻之外的設(shè)備和操作的安全要求。(14)口令防護(hù)策略----定義創(chuàng)建,保護(hù)和改變口令的要求。(15