信息化安全生產(chǎn)標(biāo)準(zhǔn)管理導(dǎo)論

1、1信息安全標(biāo)準(zhǔn)信息安全導(dǎo)論（模塊信息安全導(dǎo)論（模塊3信息安全法律法規(guī)與信息安全法律法規(guī)與標(biāo)準(zhǔn)標(biāo)準(zhǔn)）2內(nèi)容提要n1、標(biāo)準(zhǔn)的定義、標(biāo)準(zhǔn)的定義n2、標(biāo)準(zhǔn)的分級、標(biāo)準(zhǔn)的分級n3、標(biāo)準(zhǔn)的分類、標(biāo)準(zhǔn)的分類n4、與計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)相關(guān)、與計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)相關(guān)的標(biāo)準(zhǔn)的標(biāo)準(zhǔn)n5、信息安全國際標(biāo)準(zhǔn)、信息安全國際標(biāo)準(zhǔn)31 標(biāo)準(zhǔn)的定義n國際標(biāo)準(zhǔn)化組織定義國際標(biāo)準(zhǔn)化組織定義：由有關(guān)各方根據(jù)科學(xué)技術(shù)：由有關(guān)各方根據(jù)科學(xué)技術(shù)成就與先進(jìn)經(jīng)驗(yàn)，共同合作起草，一致或基本上成就與先進(jìn)經(jīng)驗(yàn)，共同合作起草，一致或基本上同意的技術(shù)規(guī)范或其他公開文件，其目的在于促同意的技術(shù)規(guī)范或其他公開文件，其目的在于促進(jìn)最佳的公共利

2、益，并由標(biāo)準(zhǔn)化團(tuán)體批準(zhǔn)進(jìn)最佳的公共利益，并由標(biāo)準(zhǔn)化團(tuán)體批準(zhǔn)n我國定義我國定義：標(biāo)準(zhǔn)是對重復(fù)性事物和概念所做的統(tǒng)：標(biāo)準(zhǔn)是對重復(fù)性事物和概念所做的統(tǒng)一規(guī)定。它以科學(xué)、技術(shù)和實(shí)踐經(jīng)驗(yàn)的綜合成果一規(guī)定。它以科學(xué)、技術(shù)和實(shí)踐經(jīng)驗(yàn)的綜合成果為基礎(chǔ)，經(jīng)有關(guān)方面協(xié)調(diào)一致，由主管機(jī)構(gòu)批準(zhǔn)，為基礎(chǔ)，經(jīng)有關(guān)方面協(xié)調(diào)一致，由主管機(jī)構(gòu)批準(zhǔn)，以特定形式發(fā)布，作為共同遵守的準(zhǔn)則和依據(jù)以特定形式發(fā)布，作為共同遵守的準(zhǔn)則和依據(jù)42 標(biāo)準(zhǔn)的分級n我國標(biāo)準(zhǔn)分為四級我國標(biāo)準(zhǔn)分為四級n國家標(biāo)準(zhǔn)國家標(biāo)準(zhǔn)：由：由國務(wù)院標(biāo)準(zhǔn)化行政主管部門國務(wù)院標(biāo)準(zhǔn)化行政主管部門負(fù)責(zé)組織負(fù)責(zé)組織制定和審批制定和審批n行業(yè)標(biāo)準(zhǔn)行業(yè)標(biāo)準(zhǔn)：由國務(wù)院有關(guān)：由國務(wù)院有

3、關(guān)行政主管部門行政主管部門負(fù)責(zé)制定和負(fù)責(zé)制定和審批，并報(bào)國務(wù)院標(biāo)準(zhǔn)化行政主管部門備案審批，并報(bào)國務(wù)院標(biāo)準(zhǔn)化行政主管部門備案n地方標(biāo)準(zhǔn)地方標(biāo)準(zhǔn)：由：由省級政府標(biāo)準(zhǔn)化行政主管部門省級政府標(biāo)準(zhǔn)化行政主管部門負(fù)責(zé)制負(fù)責(zé)制定和審批，并報(bào)國務(wù)院標(biāo)準(zhǔn)化行政主管部門和國務(wù)定和審批，并報(bào)國務(wù)院標(biāo)準(zhǔn)化行政主管部門和國務(wù)院有關(guān)行政主管部門備案院有關(guān)行政主管部門備案n企業(yè)標(biāo)準(zhǔn)企業(yè)標(biāo)準(zhǔn)：由：由企業(yè)法人代表企業(yè)法人代表或法人代表授權(quán)的主管或法人代表授權(quán)的主管領(lǐng)導(dǎo)批準(zhǔn)、發(fā)布，由企業(yè)法人代表授權(quán)的部門統(tǒng)一領(lǐng)導(dǎo)批準(zhǔn)、發(fā)布，由企業(yè)法人代表授權(quán)的部門統(tǒng)一管理，企業(yè)產(chǎn)品標(biāo)準(zhǔn)應(yīng)向當(dāng)?shù)貥?biāo)準(zhǔn)化行政主管部門管理，企業(yè)產(chǎn)品標(biāo)準(zhǔn)應(yīng)向當(dāng)?shù)貥?biāo)準(zhǔn)化行

4、政主管部門和有關(guān)行政主管部門備案和有關(guān)行政主管部門備案53 標(biāo)準(zhǔn)的分類n按標(biāo)準(zhǔn)發(fā)生作用的按標(biāo)準(zhǔn)發(fā)生作用的范圍范圍和審批標(biāo)準(zhǔn)和審批標(biāo)準(zhǔn)級別級別來分來分n國家標(biāo)準(zhǔn)國家標(biāo)準(zhǔn)n行業(yè)標(biāo)準(zhǔn)行業(yè)標(biāo)準(zhǔn)n地方標(biāo)準(zhǔn)地方標(biāo)準(zhǔn)n企業(yè)標(biāo)準(zhǔn)企業(yè)標(biāo)準(zhǔn)n按標(biāo)準(zhǔn)的約束性來分n按標(biāo)準(zhǔn)在標(biāo)準(zhǔn)系統(tǒng)中的地位和作用來分n按標(biāo)準(zhǔn)化對象在生產(chǎn)過程中的作用來分n按標(biāo)準(zhǔn)的性質(zhì)來分63 標(biāo)準(zhǔn)的分類n按標(biāo)準(zhǔn)發(fā)生作用的范圍和審批標(biāo)準(zhǔn)級別來分n按標(biāo)準(zhǔn)的按標(biāo)準(zhǔn)的約束性約束性來分來分n強(qiáng)制性標(biāo)準(zhǔn)強(qiáng)制性標(biāo)準(zhǔn)：保障人體健康、人身、財(cái)產(chǎn)安全的國：保障人體健康、人身、財(cái)產(chǎn)安全的國家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)和法律及行政法規(guī)規(guī)定強(qiáng)制執(zhí)行家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)和法律及行政法規(guī)規(guī)定強(qiáng)制執(zhí)

5、行的標(biāo)準(zhǔn)。必須執(zhí)行，不符合的產(chǎn)品禁止生產(chǎn)、銷售的標(biāo)準(zhǔn)。必須執(zhí)行，不符合的產(chǎn)品禁止生產(chǎn)、銷售和進(jìn)口和進(jìn)口n推薦性標(biāo)準(zhǔn)推薦性標(biāo)準(zhǔn)：相對于強(qiáng)制性標(biāo)準(zhǔn)的其他標(biāo)準(zhǔn)。鼓勵(lì)：相對于強(qiáng)制性標(biāo)準(zhǔn)的其他標(biāo)準(zhǔn)。鼓勵(lì)企業(yè)自行采用企業(yè)自行采用n按標(biāo)準(zhǔn)在標(biāo)準(zhǔn)系統(tǒng)中的地位和作用來分n按標(biāo)準(zhǔn)化對象在生產(chǎn)過程中的作用來分n按標(biāo)準(zhǔn)的性質(zhì)來分73 標(biāo)準(zhǔn)的分類n按標(biāo)準(zhǔn)發(fā)生作用的范圍和審批標(biāo)準(zhǔn)級別來分n按標(biāo)準(zhǔn)的約束性來分n按標(biāo)準(zhǔn)在標(biāo)準(zhǔn)系統(tǒng)中的按標(biāo)準(zhǔn)在標(biāo)準(zhǔn)系統(tǒng)中的地位和作用地位和作用來分來分n基礎(chǔ)標(biāo)準(zhǔn)基礎(chǔ)標(biāo)準(zhǔn)：一定范圍內(nèi)作為：一定范圍內(nèi)作為其他標(biāo)準(zhǔn)的基礎(chǔ)其他標(biāo)準(zhǔn)的基礎(chǔ)并普遍并普遍使用的標(biāo)準(zhǔn)，具有廣泛的指導(dǎo)意義使用的標(biāo)準(zhǔn)，具有廣泛的指導(dǎo)意

6、義n例如，例如，GB17859：1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則劃分準(zhǔn)則n一般標(biāo)準(zhǔn)一般標(biāo)準(zhǔn)：相對于基礎(chǔ)標(biāo)準(zhǔn)的其他標(biāo)準(zhǔn)：相對于基礎(chǔ)標(biāo)準(zhǔn)的其他標(biāo)準(zhǔn)n按標(biāo)準(zhǔn)化對象在生產(chǎn)過程中的作用來分n按標(biāo)準(zhǔn)的性質(zhì)來分83 標(biāo)準(zhǔn)的分類n按標(biāo)準(zhǔn)發(fā)生作用的范圍和審批標(biāo)準(zhǔn)級別來分n按標(biāo)準(zhǔn)的約束性來分n按標(biāo)準(zhǔn)在標(biāo)準(zhǔn)系統(tǒng)中的地位和作用來分n按標(biāo)準(zhǔn)化對象在按標(biāo)準(zhǔn)化對象在生產(chǎn)過程生產(chǎn)過程中的作用來分中的作用來分n產(chǎn)品標(biāo)準(zhǔn)；原材料標(biāo)準(zhǔn)；零部件標(biāo)準(zhǔn)；工藝和工藝產(chǎn)品標(biāo)準(zhǔn)；原材料標(biāo)準(zhǔn)；零部件標(biāo)準(zhǔn)；工藝和工藝裝備標(biāo)準(zhǔn)；設(shè)備維修標(biāo)準(zhǔn)；檢驗(yàn)和試驗(yàn)方法標(biāo)準(zhǔn)；裝備標(biāo)準(zhǔn)；設(shè)備維修標(biāo)準(zhǔn)；檢驗(yàn)和試驗(yàn)方法標(biāo)準(zhǔn)；檢驗(yàn)、測

7、量和試驗(yàn)設(shè)備標(biāo)準(zhǔn)；搬運(yùn)、貯存、包裝、檢驗(yàn)、測量和試驗(yàn)設(shè)備標(biāo)準(zhǔn)；搬運(yùn)、貯存、包裝、標(biāo)識(shí)標(biāo)準(zhǔn)等標(biāo)識(shí)標(biāo)準(zhǔn)等n按標(biāo)準(zhǔn)的性質(zhì)來分93 標(biāo)準(zhǔn)的分類n按標(biāo)準(zhǔn)發(fā)生作用的范圍和審批標(biāo)準(zhǔn)級別來分n按標(biāo)準(zhǔn)的約束性來分n按標(biāo)準(zhǔn)在標(biāo)準(zhǔn)系統(tǒng)中的地位和作用來分n按標(biāo)準(zhǔn)化對象在生產(chǎn)過程中的作用來分n按標(biāo)準(zhǔn)的按標(biāo)準(zhǔn)的性質(zhì)性質(zhì)來分來分n技術(shù)標(biāo)準(zhǔn)技術(shù)標(biāo)準(zhǔn)：對標(biāo)準(zhǔn)化領(lǐng)域中需要協(xié)調(diào)統(tǒng)一的：對標(biāo)準(zhǔn)化領(lǐng)域中需要協(xié)調(diào)統(tǒng)一的技術(shù)事項(xiàng)技術(shù)事項(xiàng)所制定的標(biāo)準(zhǔn)所制定的標(biāo)準(zhǔn)n管理標(biāo)準(zhǔn)管理標(biāo)準(zhǔn)：對標(biāo)準(zhǔn)化領(lǐng)域中需要協(xié)調(diào)統(tǒng)一的：對標(biāo)準(zhǔn)化領(lǐng)域中需要協(xié)調(diào)統(tǒng)一的管理事項(xiàng)管理事項(xiàng)所制定的標(biāo)準(zhǔn)所制定的標(biāo)準(zhǔn)n工作標(biāo)準(zhǔn)工作標(biāo)準(zhǔn)：對工作的責(zé)任、權(quán)利、范圍、質(zhì)量要求、：對工作

8、的責(zé)任、權(quán)利、范圍、質(zhì)量要求、程序、效果、檢查方法、考核辦法所制定的標(biāo)準(zhǔn)程序、效果、檢查方法、考核辦法所制定的標(biāo)準(zhǔn)10信息安全標(biāo)準(zhǔn)n我國的信息安全從保密技術(shù)、難度、標(biāo)我國的信息安全從保密技術(shù)、難度、標(biāo)準(zhǔn)的特點(diǎn)出發(fā)，將信息安全保密標(biāo)準(zhǔn)分準(zhǔn)的特點(diǎn)出發(fā)，將信息安全保密標(biāo)準(zhǔn)分為三級為三級n第一級國家標(biāo)準(zhǔn)第一級國家標(biāo)準(zhǔn)n第二級國家軍隊(duì)標(biāo)準(zhǔn)第二級國家軍隊(duì)標(biāo)準(zhǔn)n第三級國家保密標(biāo)準(zhǔn)第三級國家保密標(biāo)準(zhǔn)n三級標(biāo)準(zhǔn)中，國家保密標(biāo)準(zhǔn)最高三級標(biāo)準(zhǔn)中，國家保密標(biāo)準(zhǔn)最高n其他標(biāo)準(zhǔn)還包括：公共安全行業(yè)標(biāo)準(zhǔn)其他標(biāo)準(zhǔn)還包括：公共安全行業(yè)標(biāo)準(zhǔn)（GA）11n我國我國信息安全標(biāo)準(zhǔn)委員會(huì)信息安全標(biāo)準(zhǔn)委員會(huì)在制定我國信在制定我國信息安全標(biāo)

9、準(zhǔn)方面做了大量的工作息安全標(biāo)準(zhǔn)方面做了大量的工作n目前已出臺(tái)的信息安全保護(hù)方面的標(biāo)準(zhǔn)目前已出臺(tái)的信息安全保護(hù)方面的標(biāo)準(zhǔn)主要包括在國家標(biāo)準(zhǔn)和公共安全行業(yè)標(biāo)主要包括在國家標(biāo)準(zhǔn)和公共安全行業(yè)標(biāo)準(zhǔn)中，當(dāng)然在國家軍隊(duì)標(biāo)準(zhǔn)、國家保密準(zhǔn)中，當(dāng)然在國家軍隊(duì)標(biāo)準(zhǔn)、國家保密標(biāo)準(zhǔn)中也有所涉及標(biāo)準(zhǔn)中也有所涉及124 與計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)相關(guān)的標(biāo)準(zhǔn)nGB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則nGA/T387-2002計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)網(wǎng)絡(luò)技術(shù)要網(wǎng)絡(luò)技術(shù)要求求nGA/T388-2002計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)計(jì)算機(jī)信息系統(tǒng)安全等

10、級保護(hù)操作系統(tǒng)技操作系統(tǒng)技術(shù)要求術(shù)要求nGA/T389-2002計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)數(shù)據(jù)庫管理數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求系統(tǒng)技術(shù)要求nGA/T390-2002計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)通用技術(shù)要通用技術(shù)要求求nGA/T391-2002計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)管理要求管理要求nGB9361-88S計(jì)算站場地安全要求計(jì)算站場地安全要求nGA163-1997計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則13GB17859-1999計(jì)算機(jī)信息系計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則統(tǒng)安全保護(hù)等級劃分準(zhǔn)則

11、n是建立計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)制是建立計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)制度，實(shí)施安全等級管理的重要度，實(shí)施安全等級管理的重要基礎(chǔ)性標(biāo)基礎(chǔ)性標(biāo)準(zhǔn)準(zhǔn)n將計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力劃分為將計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力劃分為五個(gè)等級五個(gè)等級：n用戶自主保護(hù)級用戶自主保護(hù)級n系統(tǒng)審計(jì)保護(hù)級系統(tǒng)審計(jì)保護(hù)級n安全標(biāo)記保護(hù)級安全標(biāo)記保護(hù)級n結(jié)構(gòu)化保護(hù)級結(jié)構(gòu)化保護(hù)級n訪問驗(yàn)證保護(hù)級訪問驗(yàn)證保護(hù)級14GA/T390-2002計(jì)算機(jī)信息系計(jì)算機(jī)信息系統(tǒng)安全統(tǒng)安全等級保護(hù)通用技術(shù)要求等級保護(hù)通用技術(shù)要求n是計(jì)算機(jī)信息系統(tǒng)安全是計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)技術(shù)要等級保護(hù)技術(shù)要求系列標(biāo)準(zhǔn)的基礎(chǔ)性標(biāo)準(zhǔn)求系列標(biāo)準(zhǔn)的基礎(chǔ)性標(biāo)準(zhǔn)，用以

12、指導(dǎo)設(shè)，用以指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)具有所需要的安全計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)具有所需要的安全等級的計(jì)算機(jī)信息系統(tǒng)等級的計(jì)算機(jī)信息系統(tǒng)n主要說明了主要說明了為實(shí)現(xiàn)為實(shí)現(xiàn)GB17859-1999中每中每一個(gè)保護(hù)等級一個(gè)保護(hù)等級的安全要求的安全要求應(yīng)采取的通用應(yīng)采取的通用的安全技術(shù)的安全技術(shù)，和為確保這些安全技術(shù)所，和為確保這些安全技術(shù)所實(shí)現(xiàn)的安全功能達(dá)到其應(yīng)具有的安全性實(shí)現(xiàn)的安全功能達(dá)到其應(yīng)具有的安全性而采取的通用的保證措施而采取的通用的保證措施15GA/T391-2002計(jì)算機(jī)信息系計(jì)算機(jī)信息系統(tǒng)安全統(tǒng)安全等級保護(hù)管理要求等級保護(hù)管理要求n明確提出了管理層、物理層、網(wǎng)絡(luò)層、明確提出了管理層、物理層、網(wǎng)

13、絡(luò)層、系統(tǒng)層、應(yīng)用層和運(yùn)行層的系統(tǒng)層、應(yīng)用層和運(yùn)行層的安全管理要安全管理要求求，并將管理要求落實(shí)到，并將管理要求落實(shí)到GB17859-1999的五個(gè)等級上的五個(gè)等級上n更有利于對安全管理的繼承、理解、分更有利于對安全管理的繼承、理解、分工實(shí)施，更有利于對安全管理的評估和工實(shí)施，更有利于對安全管理的評估和檢查檢查16GA/T387-2002計(jì)算機(jī)信息系計(jì)算機(jī)信息系統(tǒng)安全統(tǒng)安全等級保護(hù)網(wǎng)絡(luò)技術(shù)要求等級保護(hù)網(wǎng)絡(luò)技術(shù)要求n用以指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)具有所用以指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)具有所需要的安全等級的需要的安全等級的網(wǎng)絡(luò)網(wǎng)絡(luò)系統(tǒng)系統(tǒng)n主要從對網(wǎng)絡(luò)的安全保護(hù)等級進(jìn)行劃分主要從對網(wǎng)絡(luò)的安全保護(hù)等級進(jìn)行

14、劃分的角度來說明其技術(shù)要求，即主要說明的角度來說明其技術(shù)要求，即主要說明了為實(shí)現(xiàn)了為實(shí)現(xiàn)GB17859-1999中每一個(gè)保護(hù)中每一個(gè)保護(hù)等級的安全要求等級的安全要求對網(wǎng)絡(luò)系統(tǒng)應(yīng)采取的安對網(wǎng)絡(luò)系統(tǒng)應(yīng)采取的安全技術(shù)措施全技術(shù)措施，以及各安全技術(shù)要求在不，以及各安全技術(shù)要求在不同安全級中具體實(shí)現(xiàn)上的差異同安全級中具體實(shí)現(xiàn)上的差異17GA/T388-2002計(jì)算機(jī)信息系統(tǒng)計(jì)算機(jī)信息系統(tǒng)安全安全等級保護(hù)操作系統(tǒng)技術(shù)要求等級保護(hù)操作系統(tǒng)技術(shù)要求n用以指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)具有所用以指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)具有所需要的安全等級的需要的安全等級的操作系統(tǒng)操作系統(tǒng)，主要從對，主要從對操作系統(tǒng)的安全保護(hù)等級進(jìn)行

15、劃分的角操作系統(tǒng)的安全保護(hù)等級進(jìn)行劃分的角度來說明其技術(shù)要求度來說明其技術(shù)要求18GA/T389-2002計(jì)算機(jī)信息系統(tǒng)安計(jì)算機(jī)信息系統(tǒng)安全全等級保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求等級保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求n用以指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)具有所用以指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)具有所需要的安全等級的需要的安全等級的數(shù)據(jù)庫管理系統(tǒng)數(shù)據(jù)庫管理系統(tǒng)，主，主要從對數(shù)據(jù)庫管理系統(tǒng)的安全保護(hù)等級要從對數(shù)據(jù)庫管理系統(tǒng)的安全保護(hù)等級進(jìn)行劃分的角度來說明其技術(shù)要求進(jìn)行劃分的角度來說明其技術(shù)要求19GB17859-1999計(jì)算機(jī)信息系計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則統(tǒng)安全保護(hù)等級劃分準(zhǔn)則n五個(gè)等級：五個(gè)等級：n第一級：用戶

16、自主保護(hù)級第一級：用戶自主保護(hù)級n第二級：系統(tǒng)審計(jì)保護(hù)級第二級：系統(tǒng)審計(jì)保護(hù)級n第三級：安全標(biāo)記保護(hù)級第三級：安全標(biāo)記保護(hù)級n第四級：結(jié)構(gòu)化保護(hù)級第四級：結(jié)構(gòu)化保護(hù)級n第五級：訪問驗(yàn)證保護(hù)級第五級：訪問驗(yàn)證保護(hù)級n安全保護(hù)能力隨著安全保護(hù)等級的提高，安全保護(hù)能力隨著安全保護(hù)等級的提高，逐漸增強(qiáng)逐漸增強(qiáng)20五個(gè)等級保護(hù)能力比較編號(hào)編號(hào)保護(hù)能力項(xiàng)目保護(hù)能力項(xiàng)目第一級第一級第二級第二級第三級第三級第四級第四級第五級第五級1自主訪問控制自主訪問控制2強(qiáng)制訪問控制強(qiáng)制訪問控制3標(biāo)記標(biāo)記4身份鑒別身份鑒別5客體重用客體重用6審計(jì)審計(jì)7數(shù)據(jù)完整性數(shù)據(jù)完整性8隱蔽信道分析隱蔽信道分析9可信路徑可信路徑10可信

17、恢復(fù)可信恢復(fù)21GA/T391-2002計(jì)算機(jī)信息系計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)管理要求統(tǒng)安全等級保護(hù)管理要求n信息系統(tǒng)安全管理信息系統(tǒng)安全管理，是對一個(gè)組織或機(jī)構(gòu)中信息系統(tǒng)的，是對一個(gè)組織或機(jī)構(gòu)中信息系統(tǒng)的生命周期全過程實(shí)施符合安全等級責(zé)任要求的科學(xué)管理生命周期全過程實(shí)施符合安全等級責(zé)任要求的科學(xué)管理n落實(shí)安全組織及安全管理人員，明確角色與職責(zé)，制定安全規(guī)劃落實(shí)安全組織及安全管理人員，明確角色與職責(zé)，制定安全規(guī)劃n開發(fā)安全策略開發(fā)安全策略n實(shí)施風(fēng)險(xiǎn)管理實(shí)施風(fēng)險(xiǎn)管理n制定業(yè)務(wù)持續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃制定業(yè)務(wù)持續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃n選擇與實(shí)施安全措施選擇與實(shí)施安全措施n保證配置、變更的正確與安全

18、保證配置、變更的正確與安全n進(jìn)行安全審計(jì)進(jìn)行安全審計(jì)n保證維護(hù)支持保證維護(hù)支持n進(jìn)行監(jiān)控、檢查，處理安全事件進(jìn)行監(jiān)控、檢查，處理安全事件n安全意識(shí)與安全教育安全意識(shí)與安全教育n人員安全管理等人員安全管理等22NoImage主要安全要素23n信息系統(tǒng)安全管理的基本原則信息系統(tǒng)安全管理的基本原則n總原則總原則n主要領(lǐng)導(dǎo)人負(fù)責(zé)原則主要領(lǐng)導(dǎo)人負(fù)責(zé)原則n規(guī)范定級原則規(guī)范定級原則n依法行政原則依法行政原則n以人為本原則以人為本原則n適度安全原則適度安全原則n全面防范、突出重點(diǎn)原則全面防范、突出重點(diǎn)原則n系統(tǒng)、動(dòng)態(tài)原則系統(tǒng)、動(dòng)態(tài)原則n控制社會(huì)影響原則控制社會(huì)影響原則n主要安全管理策略24n信息系統(tǒng)安全管理的

19、基本原則信息系統(tǒng)安全管理的基本原則n總原則n主要安全管理策略主要安全管理策略n分權(quán)制衡分權(quán)制衡n最小特權(quán)最小特權(quán)n選用成熟技術(shù)選用成熟技術(shù)n普遍參與普遍參與255 信息安全國際標(biāo)準(zhǔn)n國際上比較有影響的信息安全標(biāo)準(zhǔn)體系國際上比較有影響的信息安全標(biāo)準(zhǔn)體系主要有：主要有：nISO/IEC的國際標(biāo)準(zhǔn)的國際標(biāo)準(zhǔn)13335、17799、27001系列系列n美國國家標(biāo)準(zhǔn)和技術(shù)委員會(huì)（美國國家標(biāo)準(zhǔn)和技術(shù)委員會(huì)（NIST）的特）的特別出版物系列別出版物系列n英國標(biāo)準(zhǔn)協(xié)會(huì)（英國標(biāo)準(zhǔn)協(xié)會(huì)（BSI）的）的7799系列系列26n國際標(biāo)準(zhǔn)國際標(biāo)準(zhǔn)ISO/IEC是國際上最權(quán)威的由是國際上最權(quán)威的由國際標(biāo)準(zhǔn)化組織（國際標(biāo)準(zhǔn)化

20、組織（ ISO）和國際電工委）和國際電工委員會(huì)（員會(huì)（IEC）所制定的國際標(biāo)準(zhǔn)）所制定的國際標(biāo)準(zhǔn)nISO和和IEC是世界范圍的標(biāo)準(zhǔn)化組織，它是世界范圍的標(biāo)準(zhǔn)化組織，它由各個(gè)國家和地區(qū)的成員組成，各國的由各個(gè)國家和地區(qū)的成員組成，各國的相關(guān)標(biāo)準(zhǔn)化組織都是其成員，他們通過相關(guān)標(biāo)準(zhǔn)化組織都是其成員，他們通過各技術(shù)委員會(huì)，參與相關(guān)標(biāo)準(zhǔn)的制定各技術(shù)委員會(huì)，參與相關(guān)標(biāo)準(zhǔn)的制定27nISO/IEC聯(lián)合技術(shù)委員會(huì)聯(lián)合技術(shù)委員會(huì)JTC1子委員會(huì)子委員會(huì)27（ISO/IEC JTC1 SC27）是）是信息安信息安全領(lǐng)域最權(quán)威和國際認(rèn)可的標(biāo)準(zhǔn)化組織全領(lǐng)域最權(quán)威和國際認(rèn)可的標(biāo)準(zhǔn)化組織nISO/IEC JTC1 SC2

21、7發(fā)布的目前最主發(fā)布的目前最主要的標(biāo)準(zhǔn)是要的標(biāo)準(zhǔn)是nISO/IEC 13335nISO/IEC 17799:2005nISO/IEC 27001:200528nBS 7799受到廣泛認(rèn)可受到廣泛認(rèn)可n它的第一部分已成為國際標(biāo)準(zhǔn)它的第一部分已成為國際標(biāo)準(zhǔn) ISO/IEC 17799:2005n它的第二部分成為國際標(biāo)準(zhǔn)它的第二部分成為國際標(biāo)準(zhǔn) ISO/IEC 27001:200529BS 7799信息安全管理標(biāo)準(zhǔn)nBS 7799是英國標(biāo)準(zhǔn)協(xié)會(huì)針對信息安全管理而是英國標(biāo)準(zhǔn)協(xié)會(huì)針對信息安全管理而制定的標(biāo)準(zhǔn)制定的標(biāo)準(zhǔn)n第一部分：是第一部分：是信息安全管理實(shí)踐規(guī)范信息安全管理實(shí)踐規(guī)范nCode of Practice for Information Security Managementn主要供負(fù)責(zé)信息安全系統(tǒng)開發(fā)的人員作為參考使用主要供負(fù)責(zé)信息安全系統(tǒng)開發(fā)的人員作為參考使用n第二部分：是第二部分：是建立信息安全管理體系的規(guī)范建立信息安全管理體系的規(guī)范nSpecification for Information Security Management Systemsn可用來指導(dǎo)相關(guān)人員應(yīng)用第一部分，最終目的是建可用來指導(dǎo)相關(guān)人員應(yīng)用