首页 > 政策法规 >正文

网络信息安全等级保护制度

文章来源: | 发布时间:2017-06-30

信息网络的全球化使得信息网络的安全问题也全球化起来,任何与互联网相连接的信息系统都必 须面对世界范围内的网络攻击、数据窃取、身份 假冒等安全问题。发达国家普遍发生的有关利用 计算机进行犯罪的案件,绝大部分已经在我国出现。
  
  当前计算机信息系统的建设者、管理者和使用者都面临着一个共同的问题,就是他们建设、管理 或使用的信息系统是否是安全的?如何评价系统 的安全性?
  
  这就需要有一整套用于规范计算机信息系统安全建设和使用的标准和管理办法。
  
  1994 年,国务院发布了《中华人民共和国计算机信息系统安全保护条例》,该条例是计算机信息系统安全保护的法 律基础。其中第九条规定“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,
  
  由公安部会同有关部门制定。”
  
  公安部在《条例》发布实施后便着手开始了计算机信息系统安全等级保护的研究和准备工作。等级管理的思想和方法具有科学、合理、规范、便于理解、掌握和运用等优点, 因此,对计算机信息系统实行安全等级保护制度,是我国计算机信息系统安全保护工作的重要发展思路,对于正在
  
  发展中的信息系统安全保护工作更有着十分重要的意义。
  
  等级保护制度的意义
  
  为切实加强重要领域信息系统安全的规范化建设和管理, 全面提高国家信息系统安全保护的整体水平,使公安机关 公共信息网络安全监察工作更加科学、规范,指导工作更 具体、明确,公安部组织制订了《计算机信息系统安全保护等级划分准则》国家标准,并于1999年9 月13日由国家 质量技术监督局审查通过并正式批准发布,已于 2001年1 月1日执行。
  
  该准则的发布为计算机信息系统安全法规和配套标准的制 定和执法部门的监督检查提供了依据,为安全产品的研制 提供了技术支持,为安全系统的建设和管理提供了技术指 导,是我国计算机信息系统安全保护等级工作的基础。
  
  美国国防部早在80年代就针对国防部门的计算机 安全保密开展了一系列有影响的工作,后来成立了所属的机构--国家计算机安全中心(NCSC)继续进行有关工作。
  
  1984年美国国防部发布的《可信计算机系统评估准则》(Trusted Computer System Evaluation Criteria)即桔皮书。
  
  目的:
  
  为制造商提供一个安全标准;
  
  为国防部各部门提供一个度量标准,用来评估计算机 系统或其他敏感信息的可信度;
  
  在分析、研究规范时,为指定安全需求提供基础。
  
  TCSEC采用等级评估的方法,将计算机安全分为A、B、C、D四个等级八个级别,D等级安全级别最低,风险最高,A等级安全级别最高,风险最低;
  
  评估类别:
  
  安全策略
  
  可审计性
  
  保证
  
  文档
  
  无保护级(D级)
  
  是为那些经过评估,但不满足较高评估等级要 求的系统设计的,只具有一个级别
  
  该类是指不符合要求的那些系统,因此,这种 系统不能在多用户环境下处理敏感信息
  
  自主保护级(C级)
  
  具有一定的保护能力,采用的措施是身份认证、自主访问控制和审计跟踪
  
  一般只适用于具有一定等级的多用户环境
  
  具有对主体责任及其动作审计的能力
  
  自主安全保护级(C1级)
  
  控制访问保护级(C2级)
  
  强制保护级 (B级)
  
  B类系统中的客体必须携带敏感标记(安全等级)
  
  TCB应维护完整的敏感标记,并在此基础上执行一系列 强制访问控制规则
  
  标记安全保护级(B1级)
  
  结构保护级(B2级)
  
  强制安全区域级(B3级)
  
  验证保护级(A级)
  
  A类的特点是使用形式化的安全验证方法,保证系统的自主和强制 安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息
  
  为证明TCB满足设计、开发及实现等各个方面的安全要求,系统应 提供丰富的文档信息
  
  Trusted Computing Base可靠计算基础。就是计算系统中的每 个事物都提供了一个安全环境。这包括操作系统和它提供的安全 机制,硬件,物理定位,网络硬件和软件,指定处理过程。具有 代表性的是控制访问的防备,对特殊资源的授权,支持用户身份 验证,抵抗病毒和其他对系统的渗透,还有数据备份。假设可靠 计算基础已经或必须被测试和验证通过。
  
  验证设计级(A1级)
  
  超A1级
  
  TCSEC 带动了国际计算机安全的评估研究。
  
  90年代西欧四国(英、法、荷、德)联合提出了信息技术 安全评估标准(ITSEC),ITSEC(又称欧洲白皮书)除 了吸收TCSEC 的成功经验外,首次提出了信息安全的保密性、完整性、可用性的概念,把可信计算机的概念提高 到可信信息技术的高度上来认识。他们的工作成为欧共体 信息安全计划的基础,并对国际信息安全的研究、实施带 来深刻的影响。
  
  来自六国七方的安全标准组织组合成的单一的、能被广泛使用的IT安全准则。
  
  目的:解决各标准中出现的概念和技术上的差异,并把结 果作为国际标准提交给ISO。
  
  内容:对信息系统的安全功能、安全保障给出了分类描述, 并综合考虑信息系统的资产价值、威胁等因素后,对被评估对象提出了安全需求(保护轮廓PP)及安全实现(安全目标ST)等方面的评估。
  
  重点考虑人为的威胁,也用于非人为因素导致的威胁。
  
  CC适用于硬件、固件和软件实现的信息技术安全措施,而某些内容因涉及特殊专业技术或仅是信息技术安全的外围技术不在CC的范围内。
  
  通用准则(Common Criteria,CC)是目前国际上最全面的 信息技术安全性评估准则,它具有国际互认的优势,因此研究CC评估、建立CC评估体系对我国的信息安全发展具有 重大意义。通用评估方法CEM(Common Evaluation Methodology,CEM)是CC评估配套的评估方法。
  
  1989年公安部开始设计起草法律和标准,在起草过程中经过长期的对国内外广泛的调查和研究,特 别是对国外的法律法规、政府政策、标准和计算机 犯罪的研究,使我们认识到要从法律、管理和技术 三个方面着手;采取的措施要从国家制度的角度来 看问题,对信息安全要实行等级保护制度。
  
  《计算机信息系统安全保护等级划分准则》
  
  意义:
  
  该准则的发布为计算机信息系统安全法规和配套标准 的制定和执法部门的监督检查提供了依据
  
  为安全产品的研制提供了技术支持
  
  为安全系统的建设和管理提供了技术指导是我国计算 机信息系统安全保护等级工作的基础
  
  将计算机信息系统安全保护等级划分为五个级别。
  
  第一级:用户自主保护级
  
  第二级:系统审计保护级
  
  第三级:安全标记保护级
  
  第四级:结构化保护级
  
  第五级:访问验证保护级
  
  第一级:用户自主保护级:
  
  计算机信息系统可信计算基通过隔离用户与数据, 使用户具备自主安全保护的能力。
  
  它具有多种形式的控制能力,对用户实施访问控 制,即为用户提供可行的手段,保护用户和用户 组信息,避免其他用户对数据的非法读写与破坏
  
  第二级:系统审计保护级:
  
  与用户自主保护级相比,计算机信息系统可信计 算基实施了粒度更细的自主访问控制
  
  它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责
  
  第三级:安全标记保护级:
  
  计算机信息系统可信计算基具有系统审计保护级 所有功能
  
  此外,还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述
  
  具有准确地标记输出信息的能力
  
  消除通过测试发现的任何错误
  
  第四级:结构化保护级:
  
  计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上
  
  要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体
  
  此外,还要考虑隐蔽通道
  
  计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素
  
  计算机信息系统可信计算基的接口也必须明确定义,使其设计与实现 能经受更充分的测试和更完整的复审
  
  加强了鉴别机制
  
  支持系统管理员和操作员的职能
  
  提供可信设施管理
  
  增强了配置管理控制
  
  系统具有相当的抗渗透能力
  
  第五级:访问验证保护级:
  
  计算机信息系统可信计算基满足访问监控器需求
  
  访问监控器仲裁主体对客体的全部访问
  
  访问监控器本身是抗篡改的;必须足够小,能够分析和测 试支持安全管理员职能
  
  扩充审计机制,当发生与安全相关的事件时发出信号
  
  提供系统恢复机制
  
  系统具有很高的抗渗透能力
  
  - 党政系统(党委、政府);
  
  - 金融系统(银行、保险、证券);
  
  - 财税系统(财政、税务、工商);
  
  - 经贸系统(商业贸易、海关);
  
  - 电信系统(邮电、电信、广播、电视);
  
  - 能源系统(电力、热力、燃气、煤炭、油料);
  
  - 交通运输系统(航空、航天、铁路、公路、水运、海运);
  
  - 供水系统(水利及水源供给);
  
  - 社会应急服务系统(医疗、消防、紧急救援);
  
  - 教育科研系统(教育、科研、尖端科技);
  
  - 国防建设系统;
  
  -国有大中型企业系统;
  
  -互联单位、接入单位、重点网站及向公众提供上网服务场所的计算机信息 系统.
  
  2017/6/30 27/41
  
  信息安全等级保护是《中华人民共和国计算机信息系统安全保护条例》规定的法定保护制度,具有强制性;
  
  以国家制度推进信息和信息系统安全保护责任的落实;
  
  符合客观实际,具有科学性;
  
  具有自我保护与国家保护相结合的长效保护机制;
  
  突出保护重点,国家优先重点保护涉及国计民生的信息系统, 国家基础信息网络和重要信息系统内分级重点保护三级以上的局域网和子系统安全;
  
  具有整体保护性,在突出重点,兼顾一般的原则下,着重加 强重点、要害部位,由点到面进行保护,逐步实现信息安全整 体保障。国家实行信息安全等级保护,必须紧紧抓住抓好五个关键环节,形成长效信息安全等级保护运行机制。国家信息 安全等级保护制度运行机制有以下关键环节构成:
  
  1.法律规范
  
  2.管理与技术规范
  
  3.实施过程控制
  
  4.结果控制
  
  5.监督管理。
  
  3.实施过程控制:明确落实系统拥有者的安全责任制,系
  
  统拥有者按法律规定和安全等级标准的要求进行信息系统的建 设和管理,并承担应急管理责任,在信息系统生命周期内进行 自管、自查、自评,建立安全管理体系。安全产品的研发者提 供符合安全等级标准要求的技术产品。
  
  5.监督管理:公安机关依法行政,督促安全等级保护
  
  责任制的落实,以等级保护标准监督、检查、指导基础信 息网络和重要信息系统安全等级保护建设、管理。对安全 等级技术产品实行监管,对监测评估机构实施监管。政府 其他职能部门应当认真履行职责,依法行政,按职责开展 信息安全等级保护专项制度建设工作,完善信息安全监督 体系。
  
  首先,公安、国家保密、国家密码管理、技术监督、
  
  信息产业等国家有关信息网络安全的行政主管部门要在国家 信息化领导小组的统一领导下,制定我国开展信息网络安全 等级保护工作的发展政策,统一制定针对不同安全保护等级 的管理规定和技术标准,对不同信息网络确定不同安全保护等级和实施不同的监督管理措施,既包括依法进行行政监督、 检查和指导,也包括依据国家技术标准进行的技术检查和评 估。
  
  第三,等级保护实行“国家主导; 重点单位强制,一般单位自愿;高保护 级别强制,低保护级别自愿”的监管原则。
  
  第四,信息网络安全状况等级的技术检测是等级保护的重点。
  
  由国家授权的技术检测机构通过技术检测 来进行评定。技术检测机构需取得国家主管部 门的技术资质和授权后,方可从事信息网络安 全等级保护的技术检测。
  
  计划在五年左右的时间在全国范围内分三个阶段实施信息安全等级保护制度:
  
  1、准备阶段
  
  2、试行阶段
  
  3、全面实行阶段
  
  信息系统等级的划分方法(自主评级)
  
  实施步骤:
  
  业务影响分析、划分子系统 确定子系统边界
  
  确定安全保护等级
  
  子系统间访问关系的模型化
  
  安全风险分析与控制措施调整 确定系统保护安全计划
  
  系统等级和安全计划的批准