信息系统等级保护与风险管理
第17章 信息系统等级保护与风险管理 17章
李
剑
北京邮电大学信息安全中心 E-mail: lijian@电话:130-01936882
版权所有,盗版必纠
信息系统等级保护与风险管理
概况 信息安全等级保护是指国家通过制定统一的信息 安全等级保护管理规范和技术标准,组织公民、 法人和其他组织对信息系统分等级实行安全保护, 对等级保护工作的实施进行监督、管理。风险管 理是安全管理的重要组成部分。它包括:风险评 估、风险控制以及根据风险评估结果对信息系统 的运行中的相关事项做出决策。等级保护是基本 制度,风险评估是过程,风险管理是目标。
版权所有,盗版必纠
信息系统等级保护与风险管理
第17章 信息系统等级保护与风险管理 17.1 信息安全等级保护 17.1.1 我国信息安全等级保护 17.1.2 国外信息安全等级保护 17.2 信息安全风险管理 17.3 信息系统风险评估 17.3.1 信息安全风险评估概述 17.3.2 信息安全风险评估方法 思考题版权所有,盗版必纠
信息系统等级保护与风险管理
17.1 信息安全等级保护 信息安全等级保护制度是国家在国民经济和社会 信息化的发展过程中,提高信息安全保障能力和 水平,维护国家安全、社会稳定和公共利益,保 障和促进信息化建设健康发展的一项基本制度。 实行信息安全等级保护制度,能够充分调动国家、 法人和其他组织及公民的积极性,发挥各方面的 作用,达到有效保护的目的,增强安全保护的整 体性、针对性和实效性,使信息系统安全建设更 加突出重点、统一规范、科学合理,对促进我国 信息安全的发展将起到重要推动作用。版权所有,盗版必纠
信息系统等级保护与风险管理
17.1.1 我国信息安全等级保护 1994年国务院颁布的 《中华人民共和国计算机信息系统 安全保护条例》规定,“计算机信息系统实行安全等级保 护,安全等级的划分标准和安全等级保护的具体办法,由 公安部会同有关部门制定”。1999年9月13日国家发布 《计算机信息系统安全保护等级划分准则》。2003年中 央办公厅、国务院办公厅转发《国家信息化领导小组关于 加强信息安全保障工作的意见》(中办发 [2003]27 号) 明确指出,“要重点保护基础信息网络和关系国家安全、 经济命脉、社会稳定等方面的重要信息系统,抓紧建立信 息安全等级保护制度,制定信息安全等级保护的管理办法 和技术指南”。 2007年6月,公安部、国家保密局、国 家密码管理局、国务院信息化工作办公室制定了《信息安 全等级保护管理办法》(以下简称《管理办法》),明确 了信息安全等级保护的具体要求。版权所有,盗版必纠
信息系统等级保护与风险管理
17.1.1 我国信息安全等级保护 信息安全等级保护制度的实施,必将大大提高我 国的信息安
全水平,有力保护我国信息化建设成 果。同时,我国相关的信息安全企业也将得到实 惠。有关技术专家分析,国家对于信息系统以及 相关安全产品进行等级划分,会使很多企事业单 位的安全意识更加增强,有了这样的认识之后, 信息安全厂商的相关产品才能够被广泛了解,安 全厂商可以应针对等级划分要把自己的产品进行 有针对性的调整,相关解决方案是否符合当前信 息系统的安全需求也可以经过等级评估的检验。 我国的信息系统的安全保护等级分为以下五级:版权所有,盗版必纠
信息系统等级保护与风险管理
17.1.1 我国信息安全等级保护 (1) 第一级为自主保护级。由用户来决定如何对资源进行保护,以及采用何 种方式进行保护。 本级别适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织 的合法权益产生损害,但不损害国家安全、社会秩序和公共利益。 (2) 第二级为指导保护级。本级的安全保护机制支持用户具有更强的自主保 护能力。特别是具有访问审记能力,即它能创建、维护受保护对象的访问审 计跟踪记录,记录与系统安全相关事件发生的日期、时间、用户和事件类型 等信息,所有和安全相关的操作都能够被记录下来,以便当系统发生安全问 题时,可以根据审记记录,分析追查事故责任人。 本级别适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造 成轻微损害,但不损害国家安全。 (3) 第三级为监督保护级。具有第二级系统审计保护级的所有功能,并对访 问者及其访问对象实施强制访问控制。通过对访问者和访问对象指定不同安 全标记,限制访问者的权限。 本级别适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到 破坏后,会对国家安全、社会秩序和公共利益造成损害。
版权所有,盗版必纠
信息系统等级保护与风险管理
17.1.1 我国信息安全等级保护 (4) 第四级为强制保护级。将前三级的安全保护能力扩展到所有访问 者和访问对象,支持形式化的安全保护策略。其本身构造也是结构化 的,以使之具有相当的抗渗透能力。本级的安全保护机制能够使信息 系统实施一种系统化的安全保护。 本级别适用于涉及国家安全、社会秩序和公共利益的重要信息系统, 其受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害。 (5) 第五级为专控保护级。具备第四级的所有功能,还具有仲裁访问 者能否访问某些对象的能力。为此,本级的安全保护机制不能被攻击、 被篡改的,具有极强的抗渗透能力。 本级别适用于涉及国家安全、社会秩序和公共利益的重要信息系统的 核心子系统,其受到破坏后,会
对国家安全、社会秩序和公共利益造 成特别严重损害。 信息系统运营、使用单位及个人依据“信息安全等级保护管理办法” 和相关技术标准对信息系统进行保护,国家有关信息安全职能部门对 其信息安全等级保护工作进行监督管理
版权所有,盗版必纠
信息系统等级保护与风险管理
17.1.1 我国信息安全等级保护 (1) 第一级信息系统运营、使用单位或者个人可以依据国家管理规范和技术 标准进行保护。 (2) 第二级信息系统运营、使用单位应当依据国家管理规范和技术标准进行 保护。必要时,国家有关信息安全职能部门可以对其信息安全等级保护工作 进行指导。 (3) 第三级信息系统运营、使用单位应当依据国家管理规范和技术标准进行 保护,国家有关信息安全职能部门对其信息安全等级保护工作进行监督、检 查。 (4) 第四级信息系统运营、使用单位应当依据国家管理规范和技术标准进行 保护,国家有关信息安全职能部门对其信息安全等级保护工作进行强制监督、 检查。 (5) 第五级信息系统运营、使用单位应当依据国家管理规范和技术标准进行 保护,国家指定的专门部门或者专门机构对其信息安全等级保护工作进行专 门监督、检查。 信息安全等级保护的主要内容如图17.1所示,大的方面分为技术要求和管理 要求。技术要求分为物理安全、网络安全、主机安全、应用安全和数据安全。 管理要求又分为安全管理机构、安全管理制度、人员安全管事、系统建设管 理和系统运维管理。
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说实用文档第17章 信息系统等级保护与风险管理在线全文阅读。
相关推荐: