4.1網絡安全等級保護劃分準則4.2網絡安全等級保護定級4.3安全策略的定義4.4安全策略的分級4.5安全策略內容4.6安全策略舉例224,1.1網絡安全等級保護的定義4.1.2網絡安全等級保護的等級劃分準則334.1.1網絡安全等級保護的定義(1)定義是指對國家秘密信息法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。444.1.1網絡安全等級保護的定義(2)等級保護的分級第一級:用戶自主保護級;第二級:系統審計保護級;第三級:安全標記保護級;第四級:結構化保護級;第五級:訪問驗證保護級。554.1.1網絡安全等級保護的定義(3)等級保護的幾個概念強制訪問控制強制訪問控制664.1.2網絡安全等級保護的等級劃分準則第一級用戶自主保護級本級的計算機信息系統可信計算基通過隔離用戶與數據,使用戶具備自主安全保護的能力。它具有多種形式的控制能力對用戶實施訪問控制,即為用戶提供可行的手段,保護用戶和用戶組信息,避免其他用戶對數據的非法讀寫與破壞。774.1.2網絡安全等級保護的等級劃分準則第二級系統審計保護級與用戶自主保護級相比,本級的計算機信息系統可信計算基實施了粒度更細的自主訪問控制,它通過登錄規程、審計安全性相關事件和隔離資源,使用戶對自己的行為負責。884.1.2網絡安全等級保護的等級劃分準則第三級安全標記保護級本級的計算機信息系統可信計算基具有系統審計保護級所有功能。此外,還提供有關安全策略模型、數據標記以及主體對客體強制訪問控制的非形式化描述;具有準確地標記輸出信息的能力;消除通過測試發現的任何錯誤。994.1.2網絡安全等級保護的等級劃分準則第四級結構化保護級本級的計算機信息系統可信計算基建立于一個明確定主和強制訪問控制擴展到所有主體與客體。此外,還要考慮隱蔽通道。本級的計算機信息系統可信計算基必須結構化為關鍵保護元素和非關鍵保護元素。計算機信息系統可信計算基的接口也必須明確定義,使其設計與實現能經受更充分的測試和更完整的復審。加強了鑒別機制;支持系統管理員和操作員的職能;提供可信設施管理;增強了配置管理控制4.1.2網絡安全等級保護的等級劃分準則第五級訪問驗證保護級本級的計算機信息系統可信計算基滿足訪問監控器需求。訪問監控器仲裁主體對客體的全部訪問。訪問監控器本身是抗篡改的;必須足夠小,能夠分析和測試。為了滿足訪除那些對實施安全策略來說并非必要的代碼;在設計和實現時,從系統工程角度將其復雜性降低到最小程度。支持安全管理員職能;擴充審計機制,當發生與安全相關的事件時發4.1.2網絡安全等級保護的等級劃分準則在安全保護的每一級,對自主訪問控制、強制訪問控制、標記、身份鑒別、客體重用、審計、數據完整性、隱蔽信道分析、可信路徑、可信恢復等都有程度不同的要求,詳見:《GB17859-1999計算機信息系統安全保護等級劃分準則》4.1.2網絡安全等級保護的等級劃分準則第一級用戶自主保護級第二級系統審計保護第三級安全標記保護第四級結構化保護第五級訪問驗證保護4.2.1網絡安全等級保護的定級要素根據信息和信息系統遭到破壞或泄露后,對國家安全、社會秩序、公共利益及公民、法人和其他組織的合法權益的危害程度來進行定級綜上,要考慮的定級要素:4.2.1網絡安全等級保護的定級要素侵害國家安全的事項包括以下方面:4.2.1網絡安全等級保護的定級要素侵害社會秩序的事項包括以下方面:4.2.1網絡安全等級保護的定級要素影響公共利益的事項包括以下方面:4.2.2網絡安全等級保護的定級原則第一級信息系統受到破壞后,會對公民法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。第二級,信息系統受到破壞后,會對公民法人和其他組織的合法權益產生嚴重損害或者對社會秩序和公共利益造成損害,但不損害國家安全。4.2.2網絡安全等級保護的定級原則第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。第四級,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。第五級,信息系統受到破壞后,會對國家安4.2.2網絡安全等級保護的定級原則4.2.3網絡安全等級保護定級與監管強度侵害客體侵害程度統合法權益合法權益嚴重損害社會秩序和公共利益統社會秩序和公共利益嚴重損害監督檢查社會秩序和公共利益特別嚴重損害強制監督檢查嚴重損害特別嚴重損害專門監督檢查4.2.4網絡安全等級保護定級的一般流程a)確定作為定級對象的信息系統;b)確定業務信息安全受到破壞時所侵害的客體;c)根據不同的受侵害客體,從多個方面綜合評定業務信息安全被破壞對客體的侵害程度;d)依據表2,得到業務信息安全保護等級;e)確定系統服務安全受到破壞時所侵害的客體;f)根據不同的受侵害客體,從多個方面綜合評定系統服務安全被破壞對客體的侵害程度;g)依據表3,得到系統服務安全保護等級;h)將業務信息安全保護等級和系統服務安全保護等級的較高4.2.4網絡安全等級保護定級的一般流程4.2.4網絡安全等級保護定級的一般流程4.2.4網絡安全等級保護定級的一般流程4.2.5網絡安全等級保護定級步驟:①確定信息系統及保護的客體2確定業務信息的損壞程度并定級(表2)③確定系統服務的損壞程度并定級(表3)選擇業務信息定級和系統服務定級中較高的級別作為信息系統最終保護定級的級別。4.3.1安全策略的目的制定安全策略的目的是保證網絡安全保護工作的整體性計劃性及規范性,保證各項措施和管理手段的正確實施,使網絡系統信息數據的機密性、完整性及可用性受到全面可靠的保護。4.3.2信息安全策略的意義信息安全策略(Informationsecuritypolicy)是一個組織機構中解決信息安全問題最重要的部分。在一個小型組織內部,信息安全策略的制定者一般應該是該組織的技術管理者,在一個大的組織內部,信息安全策略的制定者可能是由一個多方人員組成的小組。一個組織的信息安全策略反映出一個組織對于現實和未來安全風險的認識水平,對于組織內部業務人員和技術人員安全風險的假定與處理。信息安全策略的制定,同時還需4.3.2信息安全策略的定義信息安全策略是一組規則,它們定義了一個組織要實現的安全目標和實現這些安全目標的途徑。它們規定了做什么和不做什么的政策。信息安全策略可以劃分為兩個部分,即:問題策略(issuepolicy)和功能策略(functionalpolicy)。問題策略描述了一個組織所關心的安全領域和對這些領域內安全問題的基本態度。功能策略描述如何解決所關心的問題,包括制定具體的硬件和軟件配置規格說明、使用策略以及雇員行為4.3.3對信息安全策略的要求l信息安全策略必須有清晰和完全的文檔描述。l必須有相應的措施保證信息安全策略得到強制執行。l在組織內部,必須有行政措施保證制定的信息安全策略被不打折扣地執行,管理層不能允許任何違反組織信息安全策略的行為存在。l需要根據業務情況的變化不斷地修改和補充信息安全策略。2.04.4.1安全策略的分級相應地,安全策略是指某個安全區域內用于所有與安全有關的活動的規則,層次上分三級:①安全策略目標:指導性目標②機構安全策略:問題級策略③系統安全策略:功能性策略4.4.2安全策略與技術方案的區別l信息安全策略是描述一個組織保證信息安全的途徑的指導性文件,不涉及具體做什么和如何做的問題,只需指出要完成的目標。l信息安全策略為具體的安全措施和規定提供一個全局性框架。在信息安全策略中不規定使用什么具體技術,也不描述技術配置參數。信息安全策略的另外一個安全策略的遵守程度給出評價。l技術方案要選擇具體的技術路線、技術產品和系統,4.4.2安全策略與技術方案的區別l信息安全策略是描述一個組織保證信息安全的途徑的指導性文件,不涉及具體做什么和如何做的問題,只需指出要完成的目標。l信息安全策略為具體的安全措施和規定提供一個全局性框架。在信息安全策略中不規定使用什么具體技術,也不描述技術配置參數。信息安全策略的另外一個安全策略的遵守程度給出評價。l技術方案要選擇具體的技術路線、技術產品和系統,4.4.3安全策略的描述方式信息安全策略的描述語言應該是簡潔的、非技術性的和具有指導性的。比如一個涉及對敏感信息加密的信息安全策略條目可以這樣描述:條目1"任何類別為機密的信息,無論存貯在計算機中,還是通過公共網絡傳輸時,必須使用本公司信息安全部門指定的加密硬件或者加密軟件予以保護。"這個敘述沒有談及加密算法和密鑰長度,所以當舊的加密算法被替換,新的加密算法被公布的時候,無須對信息安全策略進行修改。4.4.3制訂安全策略的流程①確定應用范圍②獲得管理支持③進行安全分析④會見關鍵人員制訂策略草案開展策略評估發布安全策略隨需修訂策略信息安全策略的制定者綜合風險評估信息對業務的重要性,管理考慮、組織所遵從的安全標準,制定組織的信息安全策略,傳統安全策略可能包括的內容示例:(1)加密策略----描述組織對數據加密的安全要求。(2)使用策略----描述設備使用、計算機服務使用和雇員安全規定、以保護組織的信息和資源安全。(3)線路連接策略---描述諸如傳真發送和接收、模擬線路與計算機連接、撥號連接等安全要求(4)反病毒策略---給出有效減少計算機病毒對組織的威(5)應用服務提供策略---定義應用服務提供者必須遵守的安全方針。(6)審計策略---描述信息審計要求,包括審計小組的組成、權限、事故調查、安全風險估計、信息安全策略符合程度評價、對用戶和系統活動進行監控等活動的要求。(7)電子郵件使用策略---描述內部和外部電子郵件接收、傳遞的安全要求。(8)數據庫策略描述存儲、檢索、更新等管理數據庫數據的安全要求。(9)非軍事區域策略----定義位于"非軍事區域"((10)第三方的連接策略---定義第三方接入的安全要求。(11)敏感信息策略---對于組織的機密信息進行分級,按照它們的敏感度描述安全要求。(12)內部策略---描述對組織內部的各種活動安全要求,使組織的產品服務和利益受到充分保護。(13)Internet接入策略---定義在組織防火墻之外的設備和操作的安全要求。(14)口令防護策略----定義創建,保護和改變口令的要求。(15