信息安全標(biāo)準(zhǔn)、法律法規(guī)及等級(jí)保護(hù)議程信息安全基礎(chǔ)標(biāo)準(zhǔn)國(guó)際信息安全類(lèi)標(biāo)準(zhǔn)概述國(guó)家“等級(jí)保護(hù)”標(biāo)準(zhǔn)相關(guān)法規(guī)政策簡(jiǎn)介標(biāo)準(zhǔn)化基礎(chǔ)標(biāo)準(zhǔn)：標(biāo)準(zhǔn)是對(duì)重復(fù)性事物和概念所做的統(tǒng)一規(guī)定。它以科學(xué)、技術(shù)和實(shí)踐的綜合成果為基礎(chǔ)，經(jīng)有關(guān)方面協(xié)商一致，由主管部門(mén)批準(zhǔn)，以特定的方式發(fā)布，作為共同遵守的準(zhǔn)則和依據(jù)(中華人民共和國(guó)標(biāo)準(zhǔn)化法條文規(guī)定)。強(qiáng)制性標(biāo)準(zhǔn)：保障人體健康、人身、財(cái)產(chǎn)安全的標(biāo)準(zhǔn)和法律、行政法規(guī)規(guī)定強(qiáng)制執(zhí)行的標(biāo)準(zhǔn)；其它標(biāo)準(zhǔn)是推薦性標(biāo)準(zhǔn)。標(biāo)準(zhǔn)分五級(jí)：國(guó)際標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)、企業(yè)標(biāo)準(zhǔn)。標(biāo)準(zhǔn)化基礎(chǔ)標(biāo)準(zhǔn)化：為在一定的范圍內(nèi)獲得最佳秩序，對(duì)實(shí)際的或潛在的問(wèn)題制定共同的和重復(fù)使用的規(guī)則的活動(dòng)實(shí)質(zhì)：通過(guò)制定、發(fā)布和實(shí)施標(biāo)準(zhǔn)，達(dá)到統(tǒng)一。目的：獲得最佳秩序和社會(huì)效益。標(biāo)準(zhǔn)化基礎(chǔ)標(biāo)準(zhǔn)化的地位和作用標(biāo)準(zhǔn)化為科學(xué)管理奠定了基礎(chǔ)；促進(jìn)經(jīng)濟(jì)全面發(fā)展，提高經(jīng)濟(jì)效益；標(biāo)準(zhǔn)化是科研、生產(chǎn)、使用三者之間的橋梁；標(biāo)準(zhǔn)化為組織現(xiàn)代化生產(chǎn)創(chuàng)造了前提條件；促進(jìn)對(duì)自然資源的合理利用，保持生態(tài)平衡，維護(hù)人類(lèi)社會(huì)當(dāng)前和長(zhǎng)遠(yuǎn)的利益；合理發(fā)展產(chǎn)品品種，提高企業(yè)應(yīng)變能力，以更好地滿(mǎn)足社會(huì)需求；保證產(chǎn)品質(zhì)量，維護(hù)消費(fèi)者利益；在社會(huì)生產(chǎn)組成部分之間進(jìn)行協(xié)調(diào)，確立共同遵循的準(zhǔn)則，建立穩(wěn)定的秩序；在消除貿(mào)易障礙，促進(jìn)國(guó)際技術(shù)交流和貿(mào)易發(fā)展，提高產(chǎn)品在國(guó)際市場(chǎng)上的競(jìng)爭(zhēng)能力方面具有重大作用；保障身體健康和生命安全。大量的環(huán)保標(biāo)準(zhǔn)、衛(wèi)生標(biāo)準(zhǔn)和安全標(biāo)準(zhǔn)制定發(fā)布后，用法律形式強(qiáng)制執(zhí)行，對(duì)保障人民的身體健康和生命財(cái)產(chǎn)安全具有重大作用。國(guó)家標(biāo)準(zhǔn)：對(duì)需要在全國(guó)范圍內(nèi)統(tǒng)一的技術(shù)要求(含標(biāo)準(zhǔn)樣品的制作）。GB/TXXXX.X-200XGBXXXX-200X行業(yè)標(biāo)準(zhǔn)：需要在全國(guó)某個(gè)行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要求。GA,SJ地方標(biāo)準(zhǔn)：需要在省、自治區(qū)、直轄市范圍內(nèi)統(tǒng)一的工業(yè)產(chǎn)品的安全、衛(wèi)生要求。DBXX/TXXX-200XDBXX/XXX-200X企業(yè)標(biāo)準(zhǔn)：對(duì)企業(yè)范圍內(nèi)需要統(tǒng)一的技術(shù)要求、管理要求和工作要求。QXXX-XXX-200X標(biāo)準(zhǔn)化基礎(chǔ)-我國(guó)標(biāo)準(zhǔn)的分級(jí)標(biāo)準(zhǔn)化三維空間

國(guó)際級(jí)區(qū)域級(jí)國(guó)家級(jí)行業(yè)級(jí)地方級(jí)企業(yè)級(jí)人員服務(wù)系統(tǒng)產(chǎn)品過(guò)程管理應(yīng)用技術(shù)機(jī)制體系、框架術(shù)語(yǔ)XYZX軸代表標(biāo)準(zhǔn)化對(duì)象，Y軸代表標(biāo)準(zhǔn)化的內(nèi)容，Z軸代表標(biāo)準(zhǔn)化的級(jí)別。

“我國(guó)標(biāo)準(zhǔn)化八字原理*”

“統(tǒng)一”原理“簡(jiǎn)化”原理“協(xié)調(diào)”原理“最優(yōu)”原理IT標(biāo)準(zhǔn)發(fā)展趨勢(shì)*(1)標(biāo)準(zhǔn)逐步從技術(shù)驅(qū)動(dòng)向市場(chǎng)驅(qū)動(dòng)方向發(fā)展。(2)信息技術(shù)標(biāo)準(zhǔn)化機(jī)構(gòu)由分散走向聯(lián)合。(3)信息技術(shù)標(biāo)準(zhǔn)化的內(nèi)容更加廣泛，重點(diǎn)更加突出，從IT技術(shù)領(lǐng)域向社會(huì)各個(gè)領(lǐng)域滲透，涉及教育、文化、醫(yī)療、交通、商務(wù)等廣泛領(lǐng)域，需求大量增加。(4)從技術(shù)角度看，IT標(biāo)準(zhǔn)化的重點(diǎn)將放在網(wǎng)絡(luò)接口、軟件接口、信息格式、安全等方面，并向著以技術(shù)中立為前提，保證互操作為目的方向發(fā)展。信息安全標(biāo)準(zhǔn)化組織ISOJTC1SC27，信息技術(shù)-安全技術(shù)ISO/TC68銀行和有關(guān)的金融服務(wù)SC2，安全管理和通用銀行運(yùn)作；SC4，安全及相關(guān)金融工具；SC6，零售金融服務(wù)。JTC1其他分技術(shù)委員會(huì)：SC6—系統(tǒng)間通信與信息交換，主要開(kāi)發(fā)開(kāi)放系統(tǒng)互連下四層安全模型和安全協(xié)議，如ISO9160、ISO/IEC11557。SC17—識(shí)別卡和有關(guān)設(shè)備，主要開(kāi)發(fā)與識(shí)別卡有關(guān)的安全標(biāo)準(zhǔn)ISO7816SC18—文件處理及有關(guān)通信，主要開(kāi)發(fā)電子郵件、消息處理系統(tǒng)等。SC21—開(kāi)放系統(tǒng)互連，數(shù)據(jù)管理和開(kāi)放式分布處理，主要開(kāi)發(fā)開(kāi)放系統(tǒng)互連安全體系結(jié)構(gòu)，各種安全框架，高層安全模型等標(biāo)準(zhǔn)，如:ISO/IEC7498-2、ISO/IEC9594-1至8。SC22—程序語(yǔ)言，其環(huán)境及系統(tǒng)軟件接口，也開(kāi)發(fā)相應(yīng)的安全標(biāo)準(zhǔn)。SC30—開(kāi)放式電子數(shù)據(jù)交換，主要開(kāi)發(fā)電子數(shù)據(jù)交換的有關(guān)安全標(biāo)準(zhǔn)。如ISO9735-9、ISO9735-10。信息安全標(biāo)準(zhǔn)化組織（續(xù)）IEC-國(guó)際電工標(biāo)準(zhǔn)化組織TC56可靠性；TC74IT設(shè)備安全和功效；TC77電磁兼容；CISPR無(wú)線電干擾特別委員會(huì)

ITU前身是CCITT消息處理系統(tǒng)目錄系統(tǒng)(X.400系列、X.500系列)安全框架安全模型等標(biāo)準(zhǔn)信息安全標(biāo)準(zhǔn)化組織（續(xù)）IETF-互聯(lián)網(wǎng)工程任務(wù)組（170多個(gè)RFC、12個(gè)工作組）PGP開(kāi)發(fā)規(guī)范(openpgp)；鑒別防火墻遍歷(aft)；通用鑒別技術(shù)(cat)；域名服務(wù)系統(tǒng)安全(dnssec)；IP安全協(xié)議(ipsec)；一次性口令鑒別(otp)；X.509公鑰基礎(chǔ)設(shè)施(pkix)；S/MIME郵件安全(smime)；安全Shell(secsh)；簡(jiǎn)單公鑰基礎(chǔ)設(shè)施(spki)；傳輸層安全(tls)Web處理安全(wts)信息安全標(biāo)準(zhǔn)化組織（續(xù)）美國(guó)ANSI-美國(guó)國(guó)家標(biāo)準(zhǔn)學(xué)會(huì)NCITS-T4制定IT安全技術(shù)標(biāo)準(zhǔn)X9制定金融業(yè)務(wù)標(biāo)準(zhǔn)X12制定商業(yè)交易標(biāo)準(zhǔn)NIST-美國(guó)標(biāo)準(zhǔn)與技術(shù)研究院負(fù)責(zé)聯(lián)邦政府非密敏感信息FIPS-197DOD-美國(guó)國(guó)防部負(fù)責(zé)涉密信息NSA國(guó)防部指令（DODDI）（如TCSEC）信息安全標(biāo)準(zhǔn)化組織（續(xù)）IEEE-美國(guó)電氣及電子工程師學(xué)會(huì)SILS（LAN/WAN）安全P1363公鑰密碼標(biāo)準(zhǔn)ECMA(歐洲計(jì)算機(jī)廠商協(xié)會(huì))TC32——“通信、網(wǎng)絡(luò)和系統(tǒng)互連”曾定義了開(kāi)放系統(tǒng)應(yīng)用層安全結(jié)構(gòu)；TC36——“IT安全”負(fù)責(zé)信息技術(shù)設(shè)備的安全標(biāo)準(zhǔn)。信息安全標(biāo)準(zhǔn)化組織（續(xù)）英國(guó)BSI醫(yī)療衛(wèi)生信息系統(tǒng)安全加拿大計(jì)算機(jī)安全管理日本JIS國(guó)家標(biāo)準(zhǔn)JISC工業(yè)協(xié)會(huì)標(biāo)準(zhǔn)韓國(guó)KISA負(fù)責(zé)防火墻、IDS、PKI方面標(biāo)準(zhǔn)信息安全標(biāo)準(zhǔn)化組織（續(xù)）中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)（統(tǒng)一計(jì)劃、統(tǒng)一審查、統(tǒng)一編號(hào)、統(tǒng)一批準(zhǔn)發(fā)布）國(guó)家標(biāo)準(zhǔn)化技術(shù)委員會(huì)（由200多個(gè)分技術(shù)委員會(huì)組成，是標(biāo)準(zhǔn)的“制造和生產(chǎn)工廠”，其中下設(shè)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)-2002年成立）各行業(yè)監(jiān)管部門(mén)標(biāo)準(zhǔn)的起源：基于OSI七層協(xié)議的安全體系結(jié)構(gòu)

OSI參考模型7應(yīng)用層6表示層5會(huì)話(huà)層4傳輸層3網(wǎng)絡(luò)層2鏈路層1物理層安全機(jī)制公證路由選擇控制通信業(yè)務(wù)填充鑒別交換數(shù)據(jù)完整性訪問(wèn)控制數(shù)字簽名加密安全服務(wù)鑒別服務(wù)

訪問(wèn)控制數(shù)據(jù)完整性數(shù)據(jù)機(jī)密性抗抵賴(lài)

安全服務(wù)是由安全機(jī)制來(lái)實(shí)現(xiàn)的。一個(gè)安全服務(wù)可以由一個(gè)或幾個(gè)安全機(jī)制來(lái)實(shí)現(xiàn)；同樣，一個(gè)安全機(jī)制也可用于實(shí)現(xiàn)不同的安全服務(wù)中。安全服務(wù)與安全機(jī)制的關(guān)系信息安全標(biāo)準(zhǔn)的起源：五種安全服務(wù)鑒別：提供對(duì)通信中的對(duì)等實(shí)體和數(shù)據(jù)來(lái)源的鑒別。訪問(wèn)控制：提供保護(hù)以對(duì)抗開(kāi)放系統(tǒng)互連可訪問(wèn)資源的非授權(quán)使用?？蓱?yīng)用于對(duì)資源的各種不同類(lèi)型的訪問(wèn)（例如，使用通信資源，讀、寫(xiě)或刪除信息資源，處理資源的操作），或應(yīng)用于對(duì)某種資源的所有訪問(wèn)數(shù)據(jù)機(jī)密性：對(duì)數(shù)據(jù)提供保護(hù)使之不被非授權(quán)地泄露數(shù)據(jù)完整性：對(duì)付主動(dòng)威脅。在一次連接上，連接開(kāi)始時(shí)使用對(duì)某實(shí)體鑒別服務(wù)，并在連接的存活期使用數(shù)據(jù)完整性服務(wù)就能聯(lián)合起來(lái)為在此連接上傳送的所有數(shù)據(jù)單元的來(lái)源提供確證，為這些數(shù)據(jù)單元的完整性提供確證?？沟仲?lài)：可取有數(shù)據(jù)原發(fā)證明的抗抵賴(lài)、有交付證明的抗抵賴(lài)兩種形式，或兩者之一。信息安全的起源：OSI和安全服務(wù)之間的關(guān)系安全服務(wù)1234567對(duì)等實(shí)體鑒別數(shù)據(jù)源鑒別訪問(wèn)控制服務(wù)連接機(jī)密性無(wú)連接機(jī)密性選擇字段機(jī)密性流量機(jī)密性有恢復(fù)功能的連接完整性無(wú)恢復(fù)功能的連接完整性選擇字段連接完整性無(wú)連接完整性選擇字段非連接完整性源發(fā)方抗抵賴(lài)接收方抗抵賴(lài)－－－Y－－Y－－－－－－－－－－YY－－－－－－－－－YYYYY－Y－Y－Y－－－YYYYY－－YY－Y－－－－－－－－－－－－－－－－－－－－YYY－－－－－－－－YYYYYYYYYYYYYY信息安全的起源：

安全服務(wù)和安全機(jī)制之間的關(guān)系安全服務(wù)加密數(shù)字簽名訪問(wèn)控制數(shù)據(jù)完整鑒別交換業(yè)務(wù)填塞路由控制公證對(duì)等實(shí)體鑒別數(shù)據(jù)源鑒別訪問(wèn)控制服務(wù)連接機(jī)密性無(wú)連接機(jī)密性選擇字段機(jī)密性流量機(jī)密性有恢復(fù)功能的連接完整性無(wú)恢復(fù)功能的連接完整性選擇字段連接完整性無(wú)連接完整性選擇字段非連接完整性源發(fā)方抗抵賴(lài)接收方抗抵賴(lài)YY－YYYYYYYYY－－YY－－－－－－－－YYYY－－Y－－－－－－－－－－－－－－－－－－YYYYYYYY－－－－－－－－－－－－－－－－－－－Y－－－－－－－－－－YY－Y－－－－－－－－－－－－－－－－－－－YY議程信息安全基礎(chǔ)標(biāo)準(zhǔn)國(guó)際信息安全類(lèi)標(biāo)準(zhǔn)概述國(guó)家“等級(jí)保護(hù)”標(biāo)準(zhǔn)相關(guān)法規(guī)政策簡(jiǎn)介國(guó)際信息安全類(lèi)標(biāo)準(zhǔn)概述

測(cè)評(píng)類(lèi)標(biāo)準(zhǔn)TCSEC,ITSEC和CC（ISO15408、GB18336-2001）指導(dǎo)類(lèi)標(biāo)準(zhǔn)ISO13335認(rèn)證類(lèi)BS7799系列（ISO17799和ISO27001）和IATF最佳實(shí)踐類(lèi)ITIL,Cobit,PDCA美國(guó)TCSEC1970年由美國(guó)國(guó)防科學(xué)委員會(huì)提出。1985年公布。主要為軍用標(biāo)準(zhǔn)。延用至民用。評(píng)估準(zhǔn)則安全級(jí)別從高到低分為A、B、C、D四類(lèi)，其中每個(gè)類(lèi)別再劃分不同的級(jí)（7個(gè)）。彩虹系列 桔皮書(shū)：可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則 黃皮書(shū)：桔皮書(shū)的應(yīng)用指南 紅皮書(shū)：可信網(wǎng)絡(luò)解釋 紫皮書(shū)：可信數(shù)據(jù)庫(kù)解釋美國(guó)TCSECD:最小保護(hù)MinimalProtectionC1:自主安全保護(hù)DiscretionarySecurityProtectionC2:訪問(wèn)控制保護(hù)ControlledAccessProtectionB1:安全標(biāo)簽保護(hù)LabeledSecurityProtectionB2:結(jié)構(gòu)化保護(hù)StructuredProtectionB3:安全域保護(hù)SecurityDomainA1:驗(yàn)證設(shè)計(jì)保護(hù)VerifiedDesign低保證系統(tǒng)高保證系統(tǒng)D:最低防護(hù)級(jí)別D1系統(tǒng)只為文件和用戶(hù)提供安全保護(hù)。D1系統(tǒng)最普通的形式是本地操作系統(tǒng)，或者是一個(gè)完全沒(méi)有保護(hù)的網(wǎng)絡(luò)。MS-DOS、windows3.X系統(tǒng)屬于D1系統(tǒng)以非工作組方式工作的windows95C1:自主安全保護(hù)本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算機(jī)通過(guò)隔離用戶(hù)與數(shù)據(jù)，使用戶(hù)具備自主安全保護(hù)的能力。本級(jí)實(shí)施的是自主訪問(wèn)控制。即通過(guò)可信計(jì)算機(jī)定義系統(tǒng)中的用戶(hù)和命名用戶(hù)多命名客體的訪問(wèn)，并允許用戶(hù)以自己的身份或用戶(hù)組的身份指定并控制對(duì)客體的訪問(wèn)。這意味著系統(tǒng)用戶(hù)或用戶(hù)組可以通過(guò)可信計(jì)算機(jī)自主地定義對(duì)客體的訪問(wèn)權(quán)限。從用戶(hù)的角度來(lái)看，用戶(hù)自主保護(hù)級(jí)的責(zé)任只有一個(gè)，即為用戶(hù)提供身份鑒別?？梢园B透性測(cè)試Windows95，98和早期的Unix系統(tǒng)屬于C1C2:訪問(wèn)控制保護(hù)-商業(yè)系統(tǒng)的最高級(jí)別與用戶(hù)自主保護(hù)級(jí)相比，本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算機(jī)實(shí)施了粒度更細(xì)的自主訪問(wèn)控制，它通過(guò)登錄規(guī)程、審計(jì)安全性相關(guān)事件和隔離資源，使用戶(hù)對(duì)自己的行為負(fù)責(zé)。本級(jí)實(shí)施的是自主訪問(wèn)控制和客體的安全重用身份鑒別方面，比用戶(hù)自主保護(hù)級(jí)增加兩點(diǎn)：為用戶(hù)提供唯一標(biāo)識(shí)，使用戶(hù)對(duì)自己的行為負(fù)責(zé)。為支持安全審計(jì)功能，具有將身份標(biāo)識(shí)與用戶(hù)所有可審計(jì)的行為相關(guān)聯(lián)的能力。安全審計(jì)方面，可信計(jì)算機(jī)能夠創(chuàng)建、維護(hù)對(duì)其所保護(hù)客體的訪問(wèn)審計(jì)記錄，WindowsNT（2000、2003）和Unix（商用）系統(tǒng)屬于C2級(jí)TCSEC的缺陷集中考慮數(shù)據(jù)機(jī)密性，而忽略了數(shù)據(jù)完整性、系統(tǒng)可用性等；將安全功能和安全保證混在一起安全功能規(guī)定得過(guò)為嚴(yán)格，不便于實(shí)際開(kāi)發(fā)和測(cè)評(píng)歐洲多國(guó)安全評(píng)價(jià)方法的綜合產(chǎn)物，軍用，政府用和商用。以超越TCSEC為目的，將安全概念分為功能與功能評(píng)估兩部分。功能準(zhǔn)則在測(cè)定上分10級(jí)。1－5級(jí)對(duì)應(yīng)于TCSEC的C1到B3。6－10級(jí)加上了以下概念：F-IN：數(shù)據(jù)和程序的完整性F-AV：系統(tǒng)可用性F-DI：數(shù)據(jù)通信完整性F-DC：數(shù)據(jù)通信保密性F-DX包括機(jī)密性和完整性的網(wǎng)絡(luò)安全評(píng)估準(zhǔn)則分為6級(jí)：

E1：測(cè)試

E2：配置控制和可控的分配

E3：能訪問(wèn)詳細(xì)設(shè)計(jì)和源碼

E4：詳細(xì)的脆弱性分析

E5：設(shè)計(jì)與源碼明顯對(duì)應(yīng)

E6：設(shè)計(jì)與源碼在形式上一致。歐洲ITSEC與TCSEC的不同安全被定義為機(jī)密性、完整性、可用性功能和質(zhì)量/保證分開(kāi)對(duì)產(chǎn)品和系統(tǒng)的評(píng)估都適用，提出評(píng)估對(duì)象（TOE）的概念產(chǎn)品：能夠被集成在不同系統(tǒng)中的軟件或硬件包；系統(tǒng)：具有一定用途、處于給定操作環(huán)境的特殊安全裝置3.通用準(zhǔn)則（CC）國(guó)際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)則的努力結(jié)果；1993年開(kāi)始，1996年出V1.0,1998年出V2.0，1999年6月正式成為國(guó)際標(biāo)準(zhǔn)，1999年12月ISO出版發(fā)行ISO/IEC15408，后被我國(guó)采用，演化成GB18336；主要思想和框架取自ITSEC；充分突出“保護(hù)輪廓”，將評(píng)估過(guò)程分“功能”和“保證”兩部分；是目前最全面的評(píng)價(jià)準(zhǔn)則

通用準(zhǔn)則（CC）（續(xù)）國(guó)際上認(rèn)同的表達(dá)IT安全的體系結(jié)構(gòu)一組規(guī)則集一種評(píng)估方法，其評(píng)估結(jié)果國(guó)際互認(rèn)通用測(cè)試方法（CEM）已有安全準(zhǔn)則的總結(jié)和兼容通用的表達(dá)方式，便于理解靈活的架構(gòu)可以定義自己的要求擴(kuò)展CC要求今后發(fā)展的框架CC-1（GB/T18336.1）：簡(jiǎn)介和一般模型保護(hù)輪廓規(guī)范安全目標(biāo)規(guī)范CC-2（GB/T18336.2）：安全功能要求CC-3（

GB/T18336.3）：安全保證要求標(biāo)準(zhǔn)組成

用戶(hù)-甲方

開(kāi)發(fā)者-乙方

評(píng)估者-第三方目標(biāo)讀者系統(tǒng)管理員和系統(tǒng)安全管理員內(nèi)部和外部審計(jì)員安全規(guī)劃和設(shè)計(jì)者認(rèn)可者評(píng)估發(fā)起者評(píng)估機(jī)構(gòu)本標(biāo)準(zhǔn)定義作為評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全特性的基礎(chǔ)準(zhǔn)則不包括屬于行政性管理安全措施的評(píng)估準(zhǔn)則；不包括物理安全方面（諸如電磁輻射控制）的評(píng)估準(zhǔn)則；不包括密碼算法固有質(zhì)量評(píng)價(jià)準(zhǔn)則應(yīng)用范圍CC的關(guān)鍵概念*（1）評(píng)估對(duì)象——TOE(TargetofEvaluation)

產(chǎn)品、系統(tǒng)、子系統(tǒng)保護(hù)輪廓——PP(ProtectionProfile） 表達(dá)一類(lèi)產(chǎn)品或系統(tǒng)的安全目標(biāo)（用戶(hù)需求）、組合安全功能要求和安全保證要求。驗(yàn)證技術(shù)與需求之間的內(nèi)在完備性，使得提高安全保護(hù)的針對(duì)性、有效性安全目標(biāo)——ST(SecurityTarget） 描述IT安全目的和要求，以及要求的具體實(shí)現(xiàn)、實(shí)用方案和適用于產(chǎn)品和系統(tǒng)功能(Function)

規(guī)范IT產(chǎn)品和系統(tǒng)的安全行為，應(yīng)做的事保證(Assurance)

如何確保安全功能的實(shí)現(xiàn),產(chǎn)生信心的方法關(guān)鍵概念*（2）組件(Component)

包含由保護(hù)輪廓引出的安全目標(biāo)中的最小的安全要求的集合（數(shù)據(jù)保密性-訪問(wèn)控制-身份鑒別機(jī)制）包(Package)

包含IT安全目的和要求（ST）、功能或保證要求（如EAL）和適用于產(chǎn)品和系統(tǒng)評(píng)估保證級(jí)——EAL(EvaluationAssuranceLevel） 預(yù)定義的保證包、測(cè)試方法的集合，公認(rèn)的廣泛適用的一組保證要求，針對(duì)不同級(jí)別的安全目標(biāo)所采用的安全功能，要采用不同的EAL來(lái)確保上述功能的實(shí)現(xiàn)，共7級(jí)（背下*）ISO13335ISO13335是一個(gè)信息安全管理指南，這個(gè)標(biāo)準(zhǔn)的主要目的就是要給出如何有效地實(shí)施IT安全管理的建議和指南。該標(biāo)準(zhǔn)目前分為5個(gè)部分。

第一部分：IT安全的概念和模型（ConceptsandmodelsforITSecurity），發(fā)布于1996年12月15日。該部分包括了對(duì)IT安全和安全管理的一些基本概念和模型的介紹。

第二部分：IT安全的管理和計(jì)劃（ManagingandplanningITSecurity），發(fā)布于1997年12月15日。這個(gè)部分建議性地描述了IT安全管理和計(jì)劃的方式和要點(diǎn)，包括：

-

決定IT安全目標(biāo)、戰(zhàn)略和策略

-

決定組織IT安全需求

-

管理IT安全風(fēng)險(xiǎn)

-

計(jì)劃適當(dāng)IT安全防護(hù)措施的實(shí)施

-

開(kāi)發(fā)安全教育計(jì)劃

-

策劃跟進(jìn)的程序，如監(jiān)控、復(fù)查和維護(hù)安全服務(wù)

-

開(kāi)發(fā)事件處理計(jì)劃

ISO13335組成第三部分：IT安全管理的技術(shù)（TechniquesforthemanagementofITSecurity），發(fā)布于1998年6月15日。這個(gè)部分覆蓋了風(fēng)險(xiǎn)管理技術(shù)、IT安全計(jì)劃的開(kāi)發(fā)以及實(shí)施和測(cè)試，還包括一些后續(xù)的制度審查、事件分析、IT安全教育程序等。

第四部分：防護(hù)的選擇（Selectionofsafeguards），發(fā)布于2000年3月1日。這個(gè)部分是最新發(fā)布的一個(gè)部分，主要探討如何針對(duì)一個(gè)組織的特定環(huán)境和安全需求來(lái)選擇防護(hù)措施。這些措施不僅僅包括技術(shù)措施。

第五部分：外部聯(lián)接的防護(hù)（Safeguardsforexternalconnections），目前這個(gè)部分尚未發(fā)布（即將發(fā)布）。ISO13335風(fēng)險(xiǎn)管理模型在ISO13335中分析了在安全管理過(guò)程中的幾個(gè)高層次的關(guān)鍵要素：

-Assets（資產(chǎn)）——包括物理資產(chǎn)、軟件、數(shù)據(jù)、服務(wù)能力、人、企業(yè)形象等。

-Threats（威脅）——可能引起對(duì)我們的系統(tǒng)、組織和財(cái)富的，我們所不希望的不良影響。這些威脅可能是環(huán)境方面的、人員方面的、系統(tǒng)方面等等。

-Vulnerabilities（漏洞）——漏洞就是存在于我們系統(tǒng)的各方面的脆弱性。這些漏洞可能存在于組織結(jié)構(gòu)、工作流程、物理環(huán)境、人員管理、硬件、軟件或者信息本身。

-Impact（影響）——影響就是我們不希望出現(xiàn)的一些事故，這些事故導(dǎo)致我們?cè)诒Ｃ苄?、完整性、可用性、?fù)責(zé)性、確實(shí)性、可靠性等方面的損失，并且造成我們信息資產(chǎn)的損失。

-Risk（風(fēng)險(xiǎn)）——風(fēng)險(xiǎn)是威脅利用我們的漏洞，引起一些事故，對(duì)我們的信息財(cái)富造成一些不良影響的可能性。我們整個(gè)的安全管理實(shí)際上就是在做風(fēng)險(xiǎn)管理。

-Safeguards（防護(hù)措施）——是我們?yōu)榱私档惋L(fēng)險(xiǎn)所采用的解決辦法。這些措施有些是在環(huán)境方面的，比如：門(mén)禁系統(tǒng)、人員安全管理、防火措施、UPS等。有些措施是技術(shù)方面的，比如：網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)監(jiān)控和分析、加密、數(shù)字簽名、防病毒、備份和恢復(fù)、訪問(wèn)控制等等。

-ResidualRisk（剩余風(fēng)險(xiǎn)）——在經(jīng)過(guò)一系列安全控制和安全措施之后，信息安全的風(fēng)險(xiǎn)會(huì)降低，但是絕對(duì)不會(huì)完全消失，會(huì)有一些剩余風(fēng)險(xiǎn)的存在。對(duì)這些風(fēng)險(xiǎn)可能我們就需要用其他方法轉(zhuǎn)嫁或者承受。

-Constraints（約束）——是一些組織實(shí)施安全管理時(shí)不得不受到環(huán)境的影響，不能完全按照理想的方式執(zhí)行。這些約束可能來(lái)自組織結(jié)構(gòu)、財(cái)務(wù)能力、環(huán)境限制、人員素質(zhì)、時(shí)間、法律、技術(shù)、文化和社會(huì)等等。ISO13335的特點(diǎn)第一，對(duì)安全的概念和模型的描述非常獨(dú)特，具有很大的借鑒意義。在全面考慮安全問(wèn)題，進(jìn)行安全教育，普及安全理念的時(shí)候，完全可以將其中的多種概念和模型結(jié)合起來(lái)。--初學(xué)者第二，對(duì)安全管理過(guò)程的描述非常細(xì)致，而且完全可操作。作為一個(gè)企業(yè)的信息安全主管機(jī)關(guān)，完全可以參照這個(gè)完整的過(guò)程規(guī)劃自己的管理計(jì)劃和實(shí)施步驟。--管理者第三，對(duì)安全管理過(guò)程中的最關(guān)鍵環(huán)節(jié)——風(fēng)險(xiǎn)分析和管理有非常細(xì)致的描述。包括基線方法、非形式化方法、詳細(xì)分析方法和綜合分析方法等風(fēng)險(xiǎn)分析方法學(xué)的闡述，對(duì)風(fēng)險(xiǎn)分析過(guò)程細(xì)節(jié)的描述都很有參考價(jià)值。--服務(wù)商第四，在標(biāo)準(zhǔn)的第四部分，有比較完整的針對(duì)6種安全需求的防護(hù)措施的介紹。將實(shí)際構(gòu)建一個(gè)信息安全管理框架和防護(hù)體系的工作變成了一個(gè)搭積木的過(guò)程。--技術(shù)人員第五，這個(gè)標(biāo)準(zhǔn)是一個(gè)開(kāi)放的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)還在不斷的增加和改進(jìn)中。現(xiàn)在標(biāo)準(zhǔn)的第五部分即將發(fā)布。IATF—信息保障技術(shù)架構(gòu)（NSA）現(xiàn)代風(fēng)險(xiǎn)管理體系的雛形-三個(gè)基本元素（人、技術(shù)、操作）人，借助技術(shù)的支持，實(shí)施一系列的操作過(guò)程，最終實(shí)現(xiàn)信息保障目標(biāo)（深度戰(zhàn)略防護(hù)），這就是IATF最核心的理念之一在這個(gè)技術(shù)框架中，描述了四個(gè)重要的防護(hù)對(duì)象：保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、保護(hù)網(wǎng)絡(luò)邊界、保護(hù)計(jì)算環(huán)境、支持基礎(chǔ)設(shè)施IATF—信息保障技術(shù)架構(gòu)（NSA）人（People）：人是信息體系的主體，是信息系統(tǒng)的擁有者、管理者和使用者，是信息保障體系的核心，是第一位的要素，同時(shí)也是最脆弱的。正是基于這樣的認(rèn)識(shí)，安全管理在安全保障體系中就愈顯重要，可以這么說(shuō)，信息安全保障體系，實(shí)質(zhì)上就是一個(gè)安全管理的體系，其中包括意識(shí)培訓(xùn)、組織管理、技術(shù)管理和操作管理等多個(gè)方面。技術(shù)（Technology）：技術(shù)是實(shí)現(xiàn)信息保障的重要手段，信息保障體系所應(yīng)具備的各項(xiàng)安全服務(wù)就是通過(guò)技術(shù)機(jī)制來(lái)實(shí)現(xiàn)的。當(dāng)然，這里所說(shuō)的技術(shù)，已經(jīng)不單是以防護(hù)為主的靜態(tài)技術(shù)體系，而是防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)并重的動(dòng)態(tài)的技術(shù)體系。操作（Operation）：或者叫運(yùn)行，它構(gòu)成了安全保障的主動(dòng)防御體系，如果說(shuō)技術(shù)的構(gòu)成是被動(dòng)的，那操作和流程就是將各方面技術(shù)緊密結(jié)合在一起的主動(dòng)的過(guò)程，其中包括風(fēng)險(xiǎn)評(píng)估、安全監(jiān)控、安全審計(jì)、跟蹤告警、入侵檢測(cè)、響應(yīng)恢復(fù)等內(nèi)容。IATF—信息保障技術(shù)架構(gòu)（NSA）幾個(gè)問(wèn)題：關(guān)于邊界的確定-物理，邏輯純技術(shù)框架，如何實(shí)施，過(guò)程的管理除技術(shù)手段外，對(duì)于管理手段的考慮BS7799概述BS7799是英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BritishStandardsInstitute，BSI）最早發(fā)布的一個(gè)關(guān)于信息安全管理的標(biāo)準(zhǔn)partI：信息安全管理實(shí)施細(xì)則，現(xiàn)在已經(jīng)被轉(zhuǎn)換為ISO17799：2000，十個(gè)大標(biāo)題，共127個(gè)控制項(xiàng)。95年第一版發(fā)行partII：ISMS建設(shè)規(guī)范，是一部有關(guān)信息安全管理體系的規(guī)范，是對(duì)partI的有益補(bǔ)充和完善。98年發(fā)行第一版，BS7799也被最終完善。BS7799的發(fā)展歷程99年，兩部分被整合為一套完整的標(biāo)準(zhǔn)，并隨著IT的應(yīng)用，增加了有關(guān)信息安全事故管理類(lèi),變?yōu)?1個(gè)域，133個(gè)控制項(xiàng)2000年ISO組織將partI轉(zhuǎn)化為ISO/IEC17799:2000《信息技術(shù)——信息安全管理實(shí)施細(xì)則》。ISO/IEC17799(信息安全管理最佳實(shí)踐指南)目前是國(guó)際上唯一的關(guān)于信息安全管理的國(guó)際標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)強(qiáng)調(diào)以風(fēng)險(xiǎn)管理為基礎(chǔ)的、全面的安全管理，目前該方法在世界范圍內(nèi)得到認(rèn)可。

2005年，ISO組織將PartII整合成為ISO27001,ISO27001（信息安全管理體系規(guī)范）是ISO/IEC17799的姊妹對(duì)標(biāo)準(zhǔn)，是信息安全管理體系審核的依據(jù)標(biāo)準(zhǔn)。BS7799-I的十大控制項(xiàng)BS7799-I的十大控制域：安全策略（Securitypolicy）；組織安全（Organizationsecurity）；資產(chǎn)分類(lèi)和控制（Assetclassificationandcontrol）；人員安全（Personnelsecurity）；物理和環(huán)境安全（Physicalandenvironmentalsecurity）；通信和操作管理（Communicationandoperationmanagement）；訪問(wèn)控制（Accesscontrol）；系統(tǒng)開(kāi)發(fā)和維護(hù)（Systemdevelopmentandmaintenance）；業(yè)務(wù)連續(xù)性管理（Businesscontinuitymanagement）；合規(guī)性（Compliance）BS7799-I的控制子項(xiàng)—舉例例如在訪問(wèn)控制域中，包括一個(gè)控制項(xiàng)“網(wǎng)絡(luò)訪問(wèn)控制”，其中包含控制子項(xiàng)：網(wǎng)絡(luò)服務(wù)使用策略強(qiáng)制路徑對(duì)外部連接用戶(hù)進(jìn)行身份認(rèn)證節(jié)點(diǎn)認(rèn)證遠(yuǎn)程診斷端口的保護(hù)網(wǎng)絡(luò)隔離對(duì)網(wǎng)絡(luò)連接能力加以控制網(wǎng)絡(luò)路由控制網(wǎng)絡(luò)服務(wù)的安全BS7799-I的配套標(biāo)準(zhǔn)（1）PD3000系列---指導(dǎo)BS7799-PartI的實(shí)施和開(kāi)展ISO13335-IT安全管理指南,是一個(gè)信息安全管理方面的指導(dǎo)性標(biāo)準(zhǔn)，其目的是為有效實(shí)施IT安全管理提供建議。他與BS7799的區(qū)別在于，7799屬于框架性結(jié)構(gòu)，而13335是屬于指導(dǎo)性的，更具體，更多的從需求的角度去論證各項(xiàng)安全管理措施，更具備實(shí)施性和操作性。SSE-CMM：它以成熟度模型為依據(jù)，描述了安全建設(shè)的各個(gè)過(guò)程應(yīng)該達(dá)到的標(biāo)準(zhǔn)。定義了實(shí)現(xiàn)最終安全目標(biāo)所需要的一系列過(guò)程，并對(duì)組織執(zhí)行這些過(guò)程的能力進(jìn)行等級(jí)劃分。目前被國(guó)家信息安全測(cè)評(píng)中心用來(lái)對(duì)安全服務(wù)商進(jìn)行資質(zhì)和能力的認(rèn)定信息安全管理標(biāo)準(zhǔn)族-27000系列27000-ISMS基礎(chǔ)和詞匯表27001-ISMS要求27002-信息安全管理實(shí)施細(xì)則（原17799）27003-ISMS實(shí)施指南27004-信息安全管理測(cè)量27005-ISMS風(fēng)險(xiǎn)管理PDCA概述—最佳實(shí)踐，持續(xù)改進(jìn)和完善（戴明環(huán)）

PLAN（規(guī)劃階段）

：安全目標(biāo)—安全現(xiàn)狀----各保護(hù)對(duì)象安全計(jì)劃（建設(shè)；維護(hù)…）規(guī)劃安全項(xiàng)目

Do（實(shí)施和運(yùn)行階段）

：安全項(xiàng)目建設(shè)安全維護(hù)作業(yè)可控安全環(huán)境1、更新資產(chǎn)補(bǔ)丁\拓?fù)鋅服務(wù)等狀態(tài)2、安全事件通報(bào)….3、安全加固4、更新安全現(xiàn)狀和安全目標(biāo)要求差距5、其他…..Check(監(jiān)控及評(píng)估階段)

:日常安全檢查周期性安全評(píng)估1、檢查安全目標(biāo)要求的完成狀態(tài)2、評(píng)估安全狀況（資產(chǎn)狀態(tài)；弱點(diǎn)狀態(tài)），3、安全現(xiàn)狀是否符合可控安全環(huán)境Action（改進(jìn)階段）：調(diào)整安全目標(biāo)要求評(píng)價(jià)和考核安全目標(biāo)和需求BS7799標(biāo)準(zhǔn)要求基于PDCA管理模型來(lái)建立和維護(hù)信息安全管理體系(ISMS)。BS7799和PDCA的關(guān)系描述

為了實(shí)現(xiàn)ISMS，組織應(yīng)該在計(jì)劃(Plan)階段通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)了解安全需求，然后根據(jù)需求設(shè)計(jì)解決方案；在實(shí)施(Do)階段將解決方案付諸實(shí)現(xiàn)；解決方案是否有效？是否有新的變化？應(yīng)該在檢查(Check)階段予以監(jiān)視和審查；一旦發(fā)現(xiàn)問(wèn)題，需要在措施(Act)階段予以解決，以便改進(jìn)ISMS。通過(guò)這樣的過(guò)程周期，組織就能將確切的信息安全需求和期望轉(zhuǎn)化為可管理的信息安全體系。

Cobit概述Cobit-信息及相關(guān)技術(shù)控制目標(biāo)（ControlObjectivesforInformationandrelatedTechnology，Cobit），是美國(guó)信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（InformationSystemsAuditandontrolAssociation）針對(duì)IT過(guò)程管理制定的一套基于最佳實(shí)踐的控制目標(biāo)，是目前國(guó)際上公認(rèn)的最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)。這個(gè)架構(gòu)包括34個(gè)IT過(guò)程，分成4個(gè)領(lǐng)域：PO（Planning&Organization）、AI（Acquisition&Implementation）、DS（DeliveryandSupport）、和Monitoring，所有的過(guò)程中又包含了318個(gè)控制目標(biāo)，全都提供了最佳的施行指導(dǎo)?；谛畔⑾到y(tǒng)生命周期，描述出在不同的過(guò)程中我們的控制目標(biāo)ITIL概述ITIL，全稱(chēng)InformationTechnologyInfrastructureLibrary，通常被譯為“信息技術(shù)基礎(chǔ)架構(gòu)庫(kù)”。它是英國(guó)中央計(jì)算機(jī)和電信局CCTA（現(xiàn)在已并入英國(guó)商務(wù)部）于80年代中期開(kāi)始開(kāi)發(fā)的一套針對(duì)IT行業(yè)的服務(wù)管理標(biāo)準(zhǔn)庫(kù)發(fā)展歷程20世紀(jì)80年代后期ITIL由CCTA提出，在英國(guó)得到應(yīng)用20世紀(jì)90年代初期ITIL被引入歐洲其他國(guó)家20世紀(jì)90年代中期ITIL成為歐洲事實(shí)上的IT服務(wù)管理標(biāo)準(zhǔn)1998年國(guó)際ITSM論壇成立，在澳大利亞舉辦第一次itSMF會(huì)議2001年OGC開(kāi)始更新ITIL，發(fā)布英國(guó)國(guó)家標(biāo)準(zhǔn)BS150002002年BS15000被國(guó)際標(biāo)準(zhǔn)化組織（ISO）接納，啟動(dòng)了ITSM的標(biāo)準(zhǔn)化歷程ITIL概述每個(gè)ITIL流程都包括五大要點(diǎn)：流程目標(biāo)、基本概念、主要活動(dòng)、好處與風(fēng)險(xiǎn)，以及關(guān)鍵績(jī)效指標(biāo)與報(bào)表。

ITIL概述ITIL概述服務(wù)交付流程議程信息安全基礎(chǔ)標(biāo)準(zhǔn)國(guó)際信息安全類(lèi)標(biāo)準(zhǔn)概述國(guó)家“等級(jí)保護(hù)”標(biāo)準(zhǔn)相關(guān)法規(guī)政策簡(jiǎn)介3等級(jí)保護(hù)系列標(biāo)準(zhǔn)2003年《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）的出臺(tái)明確提出了“實(shí)行信息安全等級(jí)保護(hù)”、“要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級(jí)保護(hù)制度，制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南”。是一套綜合類(lèi)標(biāo)準(zhǔn)，包括了測(cè)評(píng)、認(rèn)證、過(guò)程指導(dǎo)等多方面的內(nèi)容，將作為?！暗燃?jí)保護(hù)”已經(jīng)確立為我國(guó)信息安全工作開(kāi)展的基本方針和政策，也是各個(gè)行業(yè)開(kāi)展安全工作的基本參照系2003年9月中辦國(guó)辦頒發(fā)《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）2004年11月四部委會(huì)簽《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（公通字[2004]66號(hào)）2005年9月國(guó)信辦文件《關(guān)于轉(zhuǎn)發(fā)《電子政務(wù)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指南》的通知》（國(guó)信辦[2004]25號(hào)）2005年公安部標(biāo)準(zhǔn)《等級(jí)保護(hù)安全要求》《等級(jí)保護(hù)定級(jí)指南》《等級(jí)保護(hù)實(shí)施指南》《等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》總結(jié)成一種安全工作的方法和原則最先作為“適度安全”的工作思路提出確認(rèn)為國(guó)家信息安全的基本制度，安全工作的根本方法形成等級(jí)保護(hù)的基本理論框架，制定了方法，過(guò)程和標(biāo)準(zhǔn)1994年國(guó)務(wù)院頒布《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》2006年四部委會(huì)簽公通字[2006]7號(hào)文件（關(guān)于印發(fā)《信息安全等級(jí)保護(hù)管理辦法（試行）》的通知）明確做等級(jí)保護(hù)，等級(jí)保護(hù)工作的重點(diǎn)是基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)定義了五個(gè)保護(hù)級(jí)別、監(jiān)管方式、職責(zé)分工和時(shí)間計(jì)劃定義了電子政務(wù)等級(jí)保護(hù)的實(shí)施過(guò)程和方法定義了等級(jí)保護(hù)的管理辦法，后被43號(hào)文件取代。首次提出計(jì)算機(jī)信息系統(tǒng)必須實(shí)行安全等級(jí)保護(hù)。提出了等級(jí)保護(hù)的定級(jí)方法、實(shí)施辦法，并對(duì)不同等級(jí)需要達(dá)到的安全能力要求進(jìn)行了詳細(xì)的定義，同時(shí)對(duì)系統(tǒng)保護(hù)能力等級(jí)評(píng)測(cè)指出了具體的指標(biāo)。等級(jí)保護(hù)政策文件演進(jìn)2007年7月16日四部門(mén)會(huì)簽公信安[2007]861號(hào)文件：四部門(mén)下發(fā)《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》提出了等級(jí)保護(hù)的推進(jìn)和管理辦法為等級(jí)保護(hù)工作開(kāi)展提供了參考開(kāi)始了等級(jí)保護(hù)的實(shí)質(zhì)性工作的第一階段2007年四部委會(huì)簽公通字[2007]43號(hào)文件《信息安全等級(jí)保護(hù)管理辦法》替代公通字[2006]7號(hào)文件，明確了等級(jí)保護(hù)的具體操作辦法和各部委的職責(zé)，以及推進(jìn)等級(jí)保護(hù)的具體事宜2006年公安部、國(guó)信辦下發(fā)了《關(guān)于開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)基礎(chǔ)調(diào)查工作的通知》從2006年1月10日到4月10日，分三個(gè)階段對(duì)國(guó)家重要的基礎(chǔ)信息系統(tǒng)進(jìn)行摸底，包括黨政機(jī)關(guān)、財(cái)政、海關(guān)、能源、金融、社會(huì)保障等行業(yè)2007年7月至10月在全國(guó)范圍內(nèi)組織開(kāi)展重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作，其中包括公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)以及鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險(xiǎn)、外交、人事勞動(dòng)和社會(huì)保障、財(cái)政、等行業(yè)等級(jí)保護(hù)政策文件演進(jìn)等級(jí)保護(hù)標(biāo)準(zhǔn)的體系結(jié)構(gòu)等級(jí)保護(hù)標(biāo)準(zhǔn)體系結(jié)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則系統(tǒng)標(biāo)準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息安全等級(jí)保護(hù)信息系統(tǒng)測(cè)評(píng)準(zhǔn)則信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南信息技術(shù)信息系統(tǒng)安全通用技術(shù)要求信息安全技術(shù)信息系統(tǒng)安全管理要求信息系統(tǒng)安全等級(jí)保護(hù)物理安全技術(shù)要求信息安全技術(shù)信息系統(tǒng)工程安全管理要求信息系統(tǒng)安全等級(jí)保護(hù)管理監(jiān)督檢查要求信息安全產(chǎn)品使用等級(jí)劃分準(zhǔn)則安全產(chǎn)品標(biāo)準(zhǔn)信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求信息安全技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)要求信息安全技術(shù)網(wǎng)絡(luò)端設(shè)備隔離部件技術(shù)要求信息安全技術(shù)網(wǎng)絡(luò)脆弱性?huà)呙璁a(chǎn)品技術(shù)要求安全事件標(biāo)準(zhǔn)信息安全事件等級(jí)劃分準(zhǔn)則信息安全事件響應(yīng)處置要求資質(zhì)等級(jí)劃分準(zhǔn)則信息系統(tǒng)安全等級(jí)保護(hù)檢測(cè)評(píng)估機(jī)構(gòu)服務(wù)安全服務(wù)標(biāo)準(zhǔn)信息系統(tǒng)的等級(jí)保護(hù)實(shí)施過(guò)程的詳細(xì)活動(dòng)存儲(chǔ)介質(zhì)的清除或銷(xiāo)毀設(shè)備遷移或廢棄等級(jí)保護(hù)監(jiān)督檢查等級(jí)保護(hù)安全測(cè)評(píng)安全檢查和持續(xù)改進(jìn)安全事件處置和應(yīng)急預(yù)案安全狀態(tài)監(jiān)控變更管理和控制等級(jí)保護(hù)安全測(cè)評(píng)等級(jí)保護(hù)技術(shù)實(shí)施等級(jí)保護(hù)管理實(shí)施安全等級(jí)確定系統(tǒng)定級(jí)安全規(guī)劃設(shè)計(jì)安全實(shí)施安全運(yùn)維系統(tǒng)終止信息系統(tǒng)的等級(jí)保護(hù)實(shí)施過(guò)程的主要活動(dòng)信息系統(tǒng)劃分安全建設(shè)規(guī)劃安全總體設(shè)計(jì)安全需求分析安全方案詳細(xì)設(shè)計(jì)運(yùn)行管理和控制信息轉(zhuǎn)移、暫存或清除系統(tǒng)識(shí)別描述

一、等級(jí)保護(hù)是什么（一）等級(jí)保護(hù)基本概念：安全等級(jí)保護(hù)是指對(duì)信息安全實(shí)行等級(jí)化保護(hù)和等級(jí)化管理根據(jù)信息系統(tǒng)應(yīng)用業(yè)務(wù)重要程度及其實(shí)際安全需求，實(shí)行分級(jí)、分類(lèi)、分階段實(shí)施保護(hù)，保障信息安全和系統(tǒng)安全正常運(yùn)行，維護(hù)國(guó)家利益、公共利益和社會(huì)穩(wěn)定。等級(jí)保護(hù)的核心是對(duì)信息系統(tǒng)特別是對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。國(guó)家對(duì)信息安全等級(jí)保護(hù)工作運(yùn)用法律和技術(shù)規(guī)范逐級(jí)加強(qiáng)監(jiān)管力度。突出重點(diǎn)，保障重要信息資源和重要信息系統(tǒng)的安全。等級(jí)保護(hù)是什么（二）信息安全等級(jí)保護(hù)制度的主要內(nèi)容信息安全等級(jí)保護(hù)是指：對(duì)國(guó)家秘密信息、法人和其他組織及公民的專(zhuān)有信息、公開(kāi)信息分類(lèi)分級(jí)進(jìn)行管理和保護(hù)；

對(duì)信息系統(tǒng)按業(yè)務(wù)安全應(yīng)用域和區(qū)實(shí)行分級(jí)保護(hù)。對(duì)系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按分級(jí)許可管理。對(duì)等級(jí)系統(tǒng)的安全服務(wù)資質(zhì)分級(jí)許可管理。對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。等級(jí)保護(hù)是什么（三）為什么要搞等級(jí)保護(hù)--保護(hù)業(yè)務(wù)安全應(yīng)用 對(duì)信息安全等級(jí)保護(hù)是客觀需求：信息系統(tǒng)的建立是為社會(huì)發(fā)展、社會(huì)生活的需要而設(shè)計(jì)、建立的，是社會(huì)構(gòu)成、行政組織體系及其業(yè)務(wù)體系的反映，這種體系是分層次和級(jí)別的。因此，信息安全保護(hù)必須符合客觀存在。等級(jí)化保護(hù)是信息安全發(fā)展規(guī)律：按組織業(yè)務(wù)應(yīng)用區(qū)域、分層、分類(lèi)、分級(jí)進(jìn)行保護(hù)和管理，分階段推進(jìn)等級(jí)保護(hù)制度建設(shè)，這是做好國(guó)家信息安全保護(hù)必須遵循的客觀規(guī)律。等級(jí)保護(hù)做什么

（四）級(jí)別劃分

根據(jù)被保護(hù)系統(tǒng)一旦遭受風(fēng)險(xiǎn)后，針對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益所造成的損害程度，對(duì)信息系統(tǒng)的安全等級(jí)從功能上劃分為五個(gè)級(jí)別的安全保護(hù)能力：第一級(jí)：自主保護(hù)級(jí)；第二級(jí)：指導(dǎo)保護(hù)級(jí)；第三級(jí)：監(jiān)督保護(hù)級(jí)；第四級(jí)：強(qiáng)制保護(hù)級(jí)；第五級(jí)：專(zhuān)控保護(hù)級(jí)；安全保護(hù)能力從第一級(jí)到第五級(jí)逐級(jí)增強(qiáng)。(見(jiàn)說(shuō)明、有關(guān)標(biāo)準(zhǔn)）等級(jí)保護(hù)做什么（五）等級(jí)保護(hù)制度運(yùn)行五個(gè)關(guān)鍵控制環(huán)節(jié)

1.法律規(guī)范；

2.管理與技術(shù)規(guī)范；

3.系統(tǒng)安全等級(jí)實(shí)施過(guò)程控制；

4.系統(tǒng)安全等級(jí)實(shí)現(xiàn)結(jié)果控制；

5.國(guó)家監(jiān)督管理。

以上五個(gè)關(guān)鍵控制環(huán)節(jié)，構(gòu)成國(guó)家信息安全等級(jí)保護(hù)長(zhǎng)效機(jī)制。等級(jí)保護(hù)做什么（六）建設(shè)信息系統(tǒng)安全集中控制管理體系第一：防范與保護(hù)；第二：監(jiān)控與檢查；第三：響應(yīng)與處置。其中包括自我保護(hù)和國(guó)家保護(hù)兩個(gè)方面。等級(jí)保護(hù)做什么（七）實(shí)現(xiàn)系統(tǒng)主要目標(biāo)的安全管理（八大目標(biāo)）：

1.組織責(zé)任管理

2.信息資源管理

3.保密信息管理

4.系統(tǒng)資源管理

5.密碼使用管理

6.各類(lèi)用戶(hù)管理

7.應(yīng)用邊界管理

8.安全事件管理等級(jí)保護(hù)做什么（八）總結(jié)：確?；ミB互通、信息共享，以利發(fā)展

-互連互通：不同安全等級(jí)的系統(tǒng)之間應(yīng)當(dāng)盡可能實(shí)現(xiàn)縱、橫互連互通，互操作。

-信息共享：符合信息共享要求。

-保障環(huán)境：保障安全并為應(yīng)用發(fā)展提供良好的環(huán)境。三、等級(jí)保護(hù)如何實(shí)施（一）信息安全等級(jí)保護(hù)責(zé)任制：

信息安全等級(jí)保護(hù)實(shí)行：誰(shuí)主管誰(shuí)負(fù)責(zé)：誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)：誰(shuí)使用誰(shuí)負(fù)責(zé)：誰(shuí)提供安全服務(wù)誰(shuí)負(fù)責(zé)。

等級(jí)保護(hù)如何實(shí)施（二）等級(jí)確定各部門(mén)、各單位應(yīng)當(dāng)適用法律規(guī)范和有關(guān)標(biāo)準(zhǔn)規(guī)范，確定其系統(tǒng)安全保護(hù)等級(jí)，報(bào)其主管部門(mén)領(lǐng)導(dǎo)批準(zhǔn)，并報(bào)當(dāng)?shù)赝?jí)信息安全職能部門(mén)備案。等級(jí)保護(hù)如何實(shí)施（三）制定等級(jí)化建設(shè)和管理的解決方案和實(shí)施規(guī)范各部門(mén)、各單位應(yīng)當(dāng)適用有關(guān)標(biāo)準(zhǔn)規(guī)定，制定適合本系統(tǒng)的安全等級(jí)保護(hù)解決方案，進(jìn)行安全建設(shè)、使用、管理。等級(jí)保護(hù)如何實(shí)施（四）檢測(cè)評(píng)估安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)機(jī)構(gòu)按其所取得的許可資質(zhì)，按照法規(guī)、標(biāo)準(zhǔn)規(guī)定提供評(píng)估服務(wù)，接受信息安全職能部門(mén)的監(jiān)督，并承擔(dān)法律規(guī)定的安全責(zé)任和義務(wù)。等級(jí)保護(hù)如何實(shí)施（五）安全等級(jí)產(chǎn)品保護(hù)安全等級(jí)保護(hù)產(chǎn)品研發(fā)、提供、選購(gòu)，應(yīng)當(dāng)貫徹標(biāo)準(zhǔn)和法規(guī)規(guī)定，符合信息安全產(chǎn)品的可控性、可靠性、可信性、安全性和可監(jiān)督性的要求。等級(jí)保護(hù)如何實(shí)施（六）系統(tǒng)安全等級(jí)保護(hù)服務(wù)系統(tǒng)安全等級(jí)保護(hù)服務(wù)單位應(yīng)當(dāng)按標(biāo)準(zhǔn)和法規(guī)規(guī)定提供安全服務(wù)，并承擔(dān)法律規(guī)定的安全責(zé)任和義務(wù)。

等級(jí)保護(hù)如何實(shí)施（七）安全等級(jí)保護(hù)技術(shù)產(chǎn)品政策重要、關(guān)鍵的信息安全技術(shù)和產(chǎn)品是國(guó)家信息安全之安全。國(guó)家對(duì)等級(jí)保護(hù)所需的信息技術(shù)安全產(chǎn)品選購(gòu)使用應(yīng)當(dāng)實(shí)行分級(jí)管理政策。第三級(jí)以上的安全產(chǎn)品出口實(shí)行審批制度，保障國(guó)家關(guān)鍵核心信息安全保護(hù)技術(shù)不外泄。

非等級(jí)保護(hù)產(chǎn)品可以進(jìn)入國(guó)際商業(yè)交流領(lǐng)域。

等級(jí)保護(hù)如何實(shí)施（八）監(jiān)督、檢查、指導(dǎo)政府職能部門(mén)依法按標(biāo)準(zhǔn)進(jìn)行監(jiān)督、檢查、指導(dǎo)、提供服務(wù)。開(kāi)展“安全等級(jí)防護(hù)工作”的關(guān)鍵將等級(jí)保護(hù)工作融入日常維護(hù)運(yùn)行管理工作，不斷夯實(shí)基礎(chǔ)持續(xù)開(kāi)展安全評(píng)估工作，提升網(wǎng)絡(luò)安全水平建設(shè)多維度、可運(yùn)行的風(fēng)險(xiǎn)管理體系加強(qiáng)應(yīng)急管理，構(gòu)筑最后一道防線定級(jí)的主要因素和方法

社會(huì)影響力（1-5）----定級(jí)對(duì)象的社會(huì)影響力表示其受到破壞后對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的侵害程度 所提供服務(wù)的重要性（1-5）----定級(jí)對(duì)象所提供服務(wù)的重要性表示其提供的服務(wù)被破壞后對(duì)其所有者的合法利益的影響程度 規(guī)模和服務(wù)范圍（1-5）----定級(jí)對(duì)象的規(guī)模表示其服務(wù)的用戶(hù)數(shù)多少，服務(wù)范圍表示其服務(wù)的地區(qū)范圍大小k=Round1{Log2{[α×2I+β×2V+γ×2R]}}–對(duì)數(shù)法其中，k

代表安全等級(jí)值，I代表社會(huì)影響力賦值、V代表所提供服務(wù)的重要性賦值、R代表規(guī)模和服務(wù)范圍賦值，Round1{}表示四舍五入處理，保留1位小數(shù)；Log2[]表示取以2為底的對(duì)數(shù)，α、β、γ分別表示定級(jí)對(duì)象的社會(huì)影響力、所提供服務(wù)的重要性、規(guī)模和服務(wù)范圍賦值所占的權(quán)重，α≥0，β≥0，γ≥0，且α+β+γ=1。網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商可根據(jù)具體網(wǎng)絡(luò)的情況確定的α、β、γ取值，一般情況下，取α=β=γ=1/3。表A.1安全等級(jí)值與安全等級(jí)的映射關(guān)系1≤k<1.5第1級(jí)1.5≤k<2.5第2級(jí)2.5≤k<3.3第3.1級(jí)3.3≤k≤4第3.2級(jí)4<k<4.5第4級(jí)4.5≤k≤5第5級(jí)議程信息安全基礎(chǔ)標(biāo)準(zhǔn)國(guó)際信息安全類(lèi)標(biāo)準(zhǔn)概述國(guó)家“等級(jí)保護(hù)”標(biāo)準(zhǔn)相關(guān)法規(guī)政策簡(jiǎn)介我國(guó)信息安全的法制建設(shè)2001年7月，江澤民同志談“推動(dòng)信息網(wǎng)絡(luò)化迅速健康發(fā)展”2007年1月，胡錦濤同志強(qiáng)調(diào)“以創(chuàng)新的精神加強(qiáng)網(wǎng)絡(luò)文化建設(shè)和管理”信息安全法律法規(guī)學(xué)習(xí)方法具備高度的法律意識(shí)初步了解概況和框架需仔細(xì)了解細(xì)節(jié)時(shí)查閱相關(guān)網(wǎng)站和資料（如方案設(shè)計(jì)和安全工程的輸入項(xiàng)）需理解應(yīng)用時(shí)咨詢(xún)專(zhuān)業(yè)人士美國(guó)信息安全法律法規(guī)近況9.11事件后，美國(guó)對(duì)于國(guó)家安全的重視日益增強(qiáng)，美國(guó)參眾兩院及聯(lián)邦政府有關(guān)安全方面的立法力度較以往大大加強(qiáng)。自2001年下半年至今，就有近二十個(gè)與網(wǎng)絡(luò)信息安全相關(guān)的法案、提案送交兩院審議。這些法律法規(guī)的推出將為美國(guó)社會(huì)的安全保障構(gòu)建堅(jiān)實(shí)的法律基礎(chǔ)。美國(guó)信息安全法律法規(guī)近況《愛(ài)國(guó)者法案》（已通過(guò)）、《網(wǎng)絡(luò)安全研發(fā)法案》、《國(guó)家網(wǎng)絡(luò)安全防御小組授權(quán)法案》、《2002年聯(lián)邦信息安全管理法案》、《本土安全信息共享法案》《網(wǎng)絡(luò)安全增強(qiáng)法案》（2002年8月11日眾議院通過(guò)）——黑客最高可判終身監(jiān)禁《國(guó)家信息安全產(chǎn)品采購(gòu)政策》（NSTISSC于2001年1月發(fā)布）規(guī)定到2002