Transcript Document
信息安全管理技术 目录 信息安全等级保护 ISO信息安全管理标准 信息安全法规 信息安全等级保护 我们在13章提到的一些信息安全评估准则: 《可信技术安全评估准则》(ITSEC) 《信息安全技术通用评估准则》(CC) GB 17859—1999《计算机信息系统安全保护等级划分准则》 GB 18366—2001《信息技术 安全技术 信息技术安全性评估准 则》 信息安全等级保护 以上的安全评估准则既是信息安全评估的依据, 也是政府、部队和企业实施信息安全管理的指 导原则。在这些准则中,不同等级的信息系统 或安全设备满足安全性的要求和程度不同,在 应用中所适合的场合也不同,组织按照这些原 则对信息系统和安全设备进行管理的措施称为 信息安全等级保护。 信息安全等级保护 西方发达国家和地区高度重视信息安全等级保护。其中,以美国国 家标准与技术协会(NIST)与美国国家安全局(NSA)推出的一些标 准和规范最具影响力。 信息安全等级保护 NIST颁布的技术文件分为特别出版物(SP,Special Publication)和联邦信 息处理标准出版物(FIPS PUB,Federal Information Processing Standards Publication)两个系列。2003年颁布的FIPS PUB 199《联邦信息和信息系 统安全分类标准》将信息和信息系统按照保密性、完整性和可用性3个安 全目标被破坏的后果将他们分为低、中、高3个级别;同年颁布的NIST SP 800-53《联邦信息系统建议安全控制》将安全措施分为基本级、增强级和 强健级,并针对FIPS Pub 199中3个级别的信息和信息系统分别给出了需要 采取的最小保护措施;另外,NIST SP 800-37和NIST SP 800-53A向政府机 构提供了如何对NIST SP 800-53所采取的安全措施进行有效性验证的指南。 信息安全等级保护 1999年,NSA制定了《信息保障技术框架》(IATF,Information Assurance Technical Framework),它将信息资产的价值分为V1~V5共 5个级别,将威胁按照其危害程度分为T1~T7,将安全机制的强度分为 SML1~SML3共3级,它还建议采用CC的评估保证级EAL1~EAL7衡量对安 全功能的保障能力,并建议采用下图中的等级保护方法。 信息价值 V1 V2 V3 V4 V5 威胁级别 T1 T2 T3 T4 T5 T6 T7 SML1 EAL1SML1 EAL1SML1 EAL1SML1 EAL2SML1 EAL2SML1 EAL2SML1 EAL2 SML1 EAL1SML1 EAL1SML1 EAL1SML2 EAL2SML2 EAL2SML2 EAL3SML2 EAL3 SML1 EAL1SML1 EAL2SML1 EAL2SML2 EAL3SML2 EAL3SML2 EAL4SML2 EAL4 SML2 EAL1SML2 EAL2SML2 EAL3SML3 EAL4SML3 EAL5SML3 EAL5SML3 EAL6 SML2 EAL2SML2 EAL3SML3 EAL4SML3 EAL5SML3 EAL6SML3 EAL6SML3 EAL7 信息安全等级保护 我国政府高度重视信息安全等级保护工作。 1994年,国务院发布了《中华人民共和国计算机信息系统安全保护 条例》,它是我国计算机信息系统安全保护的法律基础,其中规定我 国计算机信息系统实行安全等级保护,安全等级的划分标准和安全等 级保护的具体办法由公安部会同有关部门联合制定。 公安部在《条例》发布后制定了GB 17859—1999《计算机信息系统 保护等级划分准则》国家标准。该准则的发布为计算机信息系统安全 法规和配套标准的制定和执法部门的监督检查提供了依据,为安全产 品的研制提供了技术支持,为安全系统的建设和管理提供了技术指导, 是我国计算机信息系统安全保护等级工作的基础。 2006年,公安部、国家保密局、国家密码管理局、国务院信息化办 公室联合颁布《信息安全等级保护管理办法》,它将信息系统划分为 自主保护级、指导保护级、监督保护级、强制保护级、专控保护级由 低到高5级,将信息系统运营、使用单位及个人分为5个级别,规定了 它(他)们对信息安全等级保护的职责和义务。 ISO信息安全管理标准 国际标准化组织的英语简称。其全称是International Organization for Standardization或International Standard Organized 。ISO一来源于希腊语“ISOS”,即 “EQUAL”——平等之意。国际标准化组织(ISO)是由各 国标准化团体(ISO成员团体)组成的世界性的联合会。 制定国际标准工作通常由ISO的技术委员会完成。ISO与国 际电工委员会(IEC)在电工技术标准化方面保持密切合 作的关系。。中国是ISO的正式成员,代表中国的组织为 中国国家标准化管理委员会(Standardization Administration of China,简称SAC)。 ISO信息安全管理标准 ISO信息安全管理标准的发展起源于英国标准管理协会(BSI, British Standards Institute)制定的BS 7799系列标准。1995年BSI颁 布了BS 7799-1:1995《信息安全管理实施细则》,1998年又公布 了BS 7799-2:1999,前者于2000年被ISO采纳为ISO/IEC 17799-1号 标准,2007年被更新为ISO/IEC 27002《信息安全管理实践规则》, 后者于2005年被ISO采纳为ISO/IEC 27000《信息安全管理体系规范 要求》。 ISO/IEC 27002与ISO/IEC 27001是ISO/IEC 27000系列中最 主要的两个标准,该系列标准组织安全管理提供了指导,使组织 可以建立比较完整的信息安全管理体系,实现制度化及预防为主 的信息安全管理方式,增加信息安全技术实施的效能。 ISO信息安全管理标准 ISO信息安全管理实践规则 ISO信息安全管理体系规范 ISO信息安全管理实践规则 ISO/IEC 27002《信息安全管理实践规则》的特点: 思想上必须依赖合理的管理控制手段、管理程序和风险评估措施 ,从危害源头抓起,主动避免安全事件的发生。 将需要实施管理控制的对象分为11类:安全策略、组织信息安全 、资产管理、人力资源安全、通信和操作管理、访问控制、信息系统 的获取或开发与维护、信息安全事故管理、业务连续性管理和兼容性 。 ISO信息安全管理体系规范 ISO/IEC 27001《信息安全管理体系规范要求》借鉴了ISO/IEC 9000 《 质量管理体系》的基本思想,采用了“规划、实施、检查、处置”的 质量管理理念建立、执行和维护信息安全管理体系,给出了ISMS的规 划和建立、实施和运行、监控与评审、保持和改进4个阶段的基本要 求,并指出这是一个循环迭代的提高过程。当前,ISO正在组织制定 ISO/IEC 27003《信息安全管理体系实施指南》,它的颁布将为以上4 个阶段的工作提供更具体的指导。 ISO/IEC 27001及其前身不但已经在一些西方国家得到了应用,我国也 与2006年启动了“信息安全管理标准应用(ISMS)试点”工作,试点 历时半年,涉及我国一些税务、证券、大型国有企业等重要单位,取 得了良好的效果。 信息安全法规 信息安全法规以法律形式保障信息安全,它们 不但对组织的信息安全管理具有促进和指导作用, 其本身也是更高层次的信息安全管理。从这种意 义上说,信息安全法规借助司法制度加强了信息 安全,这类似于用具体的管理制度提高信息系统 的安全。 信息安全法规 西方发达国家在信息安全法规的建设方面起步较早。美国是迄今 信息安全法规最多的国家,其信息安全法规已经构成了比较完善 的法规体系,涉及行政法、刑法、诉讼法等领域。比较有影响的 包括:20世纪80年代颁布的《计算机犯罪法》和《计算机诈骗和 滥用法》已经成为美国计算机犯罪法规体系的基础,各州已经结 合该法设立了计算机服务盗窃罪、侵犯知识产权罪、破坏计算机 设备或配置罪、计算机诈骗罪、计算机滥用罪、计算机错误访问 罪、非授权计算机使用罪等多种罪名。为了调查和诉讼以上犯罪, 《联邦证据法》为计算机证据作出规定。此外,欧共体和俄罗斯 等也颁布了类似的法律。 信息安全法规 我国在信息安全方面也已经制定一些法规,其中有国家制定的和 职能部门制定的,也有一些行业制定了自己的相关规定。这些法规 主要包括《中华人民共和国保守国家秘密法》、《中华人民共和国 电子签名法》、《中华人民共和国计算机信息网络国际联网管理暂 行规定》、《商用密码管理条例》、《全国人民代表大会常务委员 会关于维护互联网安全的决定》、公安部《计算机病毒防止管理办 法》、国家密码管理局《电子认证密码管理办法》、国家新闻出版 总署《互联网出版管理暂行规定》、中国人民银行《金融机构计算 机信息系统安全保护工作暂行规定》等。 The End Thanks