Slide Title,Body Text,Second Level,Third Level,Fourth Level,Fifth Level,-,*,信息系统平安等级保护标准体系框架,1、信息系统平安等级保护标准整体框架,2、信息系统平安等级保护标准体系,3 亟需制定的假设干核心标准,介绍内容,信息系统平安等级保护标准整体框架,国家信息化标准体系,国家信息平安标准体系,国家相关部门制订的信息平安标准,国家信息化标准体系框架,信息化标准体系主要由信息技术的根底标准、信息资源标准体系、网络通信标准体系、信息平安标准体系、应用标准体系、管理标准体系等六大类构成。,信息平安标准体系是信息化标准体系的重要组成局部。,信息平安标准化工作领域包括信息平安技术、平安机制、平安效劳、平安管理、平安评估等领域标准化工作。,国家信息平安标准体系框架,目前，在国家层面，全国信息平安标准化技术委员会工作组分成:,WG1-信息平安标准体系与协调工作组,WG2-内容平安分级及标识工作组,WG3-密码算法与密码模块/KMI/VPN工作组,WG4-PKI/PMI工作组,WG5-信息平安评估工作组,WG6-应急处理工作组,WG7-信息平安管理含工程与开发工作组,WG8-电子证据及处理工作组,WG9-身份标识与鉴别协议工作组,WG10-操作系统与数据库平安工作组,正式启动的有WG1、WG2、WG3、WG4、WG5、WG7。,国家信息平安标准体系框架,一般认为，信息平安标准体系主要由根底标准、技术标准和管理标准等分体系组成。,根底标准体系由平安技术术语、体系结构、模型和框架等方面标准组成；,技术标准体系由密码技术、平安协议、标识与鉴别、访问控制、电子签名、完整性保护、抗抵赖、审计与监控、公钥根底设施、物理平安技术以及其他平安技术等标准组成；,管理标准体系由系统平安管理、等级保护、工程、评估和运行等方面组成。用于对信息系统保护产品的规划、设计、建设、验收、测评、运行与维护过程的指导。,国家信息平安标准体系框架,用于对信息系统保护产品的规划、设计、建设、验收、测评、运行与维护过程的指导。,国家制订的均为根底性标准、配套性标准、实施指导标准。,国家标准/行业标准GA，BMB等,国家信息平安标准体系框架,比较完整的平安保护框架应包括如下几个方面：,1、总体框架：明确平安等级保护模型，实现总体控制,2、设计和实现过程控制：解决信息系统产品的平安等级功能与平安保证的实现,3、设计与实现的结果控制：解决平安产品及信息系统的评测与评估,4、信息系统分层面平安控制：在物理及运行、支撑系统、网络、应用、管理层面，分别采取平安保护措施,5、监督管理：对信息平安系统实施平安等级监督管理,信息系统平安标准体系核心标准,1994年2月18日国务院147号令?中华人民共和国计算机信息系统平安保护条例?第九条：计算机信息系统实行平安等级保护。,1999年发布GB17859-992001年1月1日生效实施是我国计算机信息系统平安等级保护系列标准的核心。,信息系统等级保护是国家信息平安体系建设的核心工作。所以，各级各类信息系统平安体系建设都要以等级保护为载体来进行，为此，我们认为应该重点考虑计算机信息系统平安等级保护标准体系。,1、根底性标准,2、配套系列标准,3、实施指导类标准,4、各应用领域实施指导方案,计算机信息系统平安等级保护标准体系,1、根底性标准,GB17859-99是我国计算机信息系统平安等级保护系列标准的核心，它源自TCSEC桔皮书，是实行计算机信息系统平安等级保护制度建设的根底性标准。,相关标准的传承渊源,1999年 GB 17859 计算机信息系统平安保护等级划分准那么,1991年欧洲信息技术平安性评估准那么ITSEC,国际通用准那么,1996年CC1.0,1998年CC2.0,1985年美国可信计算机系统评估准那么TCSEC,1993年 加拿大可信计算机产品评估准那么CTCPEC,1993年美国联邦准那么FC 1.0,1999年 国际标准,ISO/IEC 15408,1989年 英国,可信级别标准,MEMO 3 DTI,德国评估标准ZSEIC,法国评估标准,B-W-R BOOK,2001年 国家标准,GB/T 18336 信息技术平安性评估准那么,idt iso/iec15408,1993年美国,NIST,的,MSFR,第五级：专有保护级,第四级：强制保护级,第三级：监督保护级,第二级：指导保护级,第一级：自主保护级,计算机信息系统安全等级保护的五个层面,物理,层面,网络,层面,系统,层面,应用,层面,数据,层面,构建过程控制,测评过程控制,运行过程控制,计算机信息系统平安等级保护三维空间,2、配套系列标准,配套系列标准：按等级保护的要求，对建设、评估、监督、管理平安的计算机信息系统提供指导的标准，包括总体框架标准、技术要求标准、评估准那么标准、管理要求标准、管理评估标准等。,总体框架标准为按等级保护的要求，实施信息系统平安从总体上提供指导的标准；,要求类系列标准为按等级保护的要求，建设平安的信息系统从技术和管理方面提供指导的标准；,?信息平安等级保护根本要求?,评估类系列标准为按等级保护的要求，对平安的信息系统进行评估从技术和管理方面提供指导的标准；,?信息平安等级保护测评准那么?,3、实施指导类标准,从系统角度，对等级保护的具体实施提供指导的标准，包括信息平安等级保护实施指南、信息系统平安方案设计指南、信息平安等级保护监督检查与管理工作手册等；,4、各应用领域实施指导方案,各应用领域实施指导方案按等级保护要求，对各个应用领域按照上述标准的要求建设平安的信息系统的参考性方案。,总体框架标准,目前国内关于总体框架标准已经制订了一些标准草案，分别为：,?信息系统平安等级保护 总体框架 根本模型?规定了对信息系统实施平安等级保护的根本模型。对根本模型组成局部进行说明。,?信息系统平安等级保护 总体框架 体系结构?从体系结构的角度对信息系统平安等级保护的总体框架进行描述。,?信息系统平安保障评估框架?主要技术内容包括对信息系统的描述、其所处的平安环境包括假设、所考虑的威胁和组织平安策略、所要到达的平安保障目标、所创立的实际平安保障要求以及信息系统平安保障级的分级说明等。,我们的任务是对上述标准框架进行针对国防科技工业信息化的适用性评估与改进。,2,、技术要求标准,信息平安标准是一个体系，从技术要求上来讲，包括物理、网络、效劳器、路由器、交换机、应用系统、实体鉴别、抗抵赖等等。从软件和硬件各个方面对信息系统平安各个等级制定详细的技术要求，分别如下：,?计算机信息系统平安等级保护 技术要求 物理平安?,?计算机信息系统平安等级保护 技术要求 效劳器?,?计算机信息系统平安等级保护 技术要求 路由器?,?计算机信息系统平安等级保护 技术要求 交换机?,?信息系统平安等级保护 技术要求 应用系统?,?智能卡集成电路平台平安技术要求?,?网络交换机和路由器平安技术要求?,?网络隔离设备平安技术要求?,?通用操作系统平安技术要求?等。,我们的任务是对上述技术要求进行针对国防科技工业信息化的适用性评估与改进。,3、评估准那么标准,我国从上世纪 90 年代中期即开始制定关于信息平安产品的标准。2000年开始有方案地研究制定信息平安评估标准，逐步立项开展假设干单项标准的制订工作，这些标准既适用于相关产品平安等级的评估，同时可作为系统研制、开发、测试和产品采购使用：,1?操作系统平安保护等级评估准那么?。,2?数据库管理系统平安保护等级评估准那么?。,3?路由器平安保护等级评估准那么?。,4?包过滤防火墙平安保护等级评估准那么?。,5?智能卡操作系统COS测评标准?。,6?防火墙技术要求与测评准那么?。,7?端设备隔离部件平安保护等级评估准那么?。,8?入侵检测系统平安保护等级评估准那么?。,9?网络脆弱性扫描产品平安保护等级评估准那么?。,近期又将发布?计算机信息系统平安保护等级评估准那么?。,上述标准分别针对信息系统与平安产品两个方面。我们的任务是对上述技术要求进行针对国防科技工业信息化的适用性评估与改进。,4,、管理要求标准,一套完善的信息平安管理体系，应该包括标准化的信息平安管理内容、以风险和策略为核心的建设方法、定性和定量的度量信息平安管理。,信息平安管理是目前信息平安领域里最热门的话题之一，而作为指导和标准信息平安管理的标准更是重中之重，信息平安管理领域标准众多，对于标准的争论从未停息过。,近年来，国际ISO/IEC和西方一些国家开始发布和改版一系列信息平安管理标准，使平安标准进入了一个繁忙的改版期。这说明，信息平安管理标准已经从零星的、随意的、指南性标准，逐渐衍变成为层次化、体系化、覆盖信息平安管理全生命周期的信息平安管理体系。,5,、管理评估标准,目前，在信息平安管理评估方面，英国标准BS7799已经成为世界上应用最广泛与典型的信息平安管理标准。,2000年12月，BS7799-1：1999?信息平安管理实施细那么?正式成为国际标准-ISO/IEC17799-1：2000?信息技术-信息平安管理实施细那么?，成为国际上具有代表性的信息平安管理体系标准。2002年9月5日，BSI又发布了最新版的BS7799-2：2002标准。,因此，针对我们建设国防科技工业信息化信息平安管理标准，BS7799标准具有很深刻的社会影响和参考作用。,6、信息平安等级保护实施指南,国家对不同平安等级的信息系统提出的根本保护要求，是对不同信息系统相同保护要求的共性的抽取，是保障信息系统平安的最根本要求。信息系统的类型千差万别、错综复杂，应根据信息系统的重要程度、完成的不同使命、承载的不同业务、处理的不同数据、针对自身的特点有特殊的平安需求等分别确定每个信息系统的平安等级。大型、复杂的信息系统应该考虑是由不同平安等级的几个小型信息系统构成，从而到达对整个信息系统区分保护和重点保护的目的。,7、信息平安等级保护监督检查与管理工作手册,主要包括：,信息平安工程与资质管理,信息平安团队构建与管理,信息平安风险评估,信息网络的平安威胁,信息网络的政策与监管,信息平安等级保护与控制标准,信息平安策略与机制,灾难恢复规划风险分析,灾难恢复规划中的设备保护、数据恢复规划、应急决策维护与测试,信息系统标准化管理,计算机事故应对小组及对攻击所采取的应对措施,4 亟需制定的假设干核心标准,等级保护标准体系图,谢 谢,