信息化安全生產(chǎn)標準管理導論

1、1信息安全標準信息安全導論（模塊信息安全導論（模塊3信息安全法律法規(guī)與信息安全法律法規(guī)與標準標準）2內(nèi)容提要n1、標準的定義、標準的定義n2、標準的分級、標準的分級n3、標準的分類、標準的分類n4、與計算機信息系統(tǒng)安全等級保護相關(guān)、與計算機信息系統(tǒng)安全等級保護相關(guān)的標準的標準n5、信息安全國際標準、信息安全國際標準31 標準的定義n國際標準化組織定義國際標準化組織定義：由有關(guān)各方根據(jù)科學技術(shù)：由有關(guān)各方根據(jù)科學技術(shù)成就與先進經(jīng)驗，共同合作起草，一致或基本上成就與先進經(jīng)驗，共同合作起草，一致或基本上同意的技術(shù)規(guī)范或其他公開文件，其目的在于促同意的技術(shù)規(guī)范或其他公開文件，其目的在于促進最佳的公共利

2、益，并由標準化團體批準進最佳的公共利益，并由標準化團體批準n我國定義我國定義：標準是對重復性事物和概念所做的統(tǒng)：標準是對重復性事物和概念所做的統(tǒng)一規(guī)定。它以科學、技術(shù)和實踐經(jīng)驗的綜合成果一規(guī)定。它以科學、技術(shù)和實踐經(jīng)驗的綜合成果為基礎(chǔ)，經(jīng)有關(guān)方面協(xié)調(diào)一致，由主管機構(gòu)批準，為基礎(chǔ)，經(jīng)有關(guān)方面協(xié)調(diào)一致，由主管機構(gòu)批準，以特定形式發(fā)布，作為共同遵守的準則和依據(jù)以特定形式發(fā)布，作為共同遵守的準則和依據(jù)42 標準的分級n我國標準分為四級我國標準分為四級n國家標準國家標準：由：由國務院標準化行政主管部門國務院標準化行政主管部門負責組織負責組織制定和審批制定和審批n行業(yè)標準行業(yè)標準：由國務院有關(guān)：由國務院有

3、關(guān)行政主管部門行政主管部門負責制定和負責制定和審批，并報國務院標準化行政主管部門備案審批，并報國務院標準化行政主管部門備案n地方標準地方標準：由：由省級政府標準化行政主管部門省級政府標準化行政主管部門負責制負責制定和審批，并報國務院標準化行政主管部門和國務定和審批，并報國務院標準化行政主管部門和國務院有關(guān)行政主管部門備案院有關(guān)行政主管部門備案n企業(yè)標準企業(yè)標準：由：由企業(yè)法人代表企業(yè)法人代表或法人代表授權(quán)的主管或法人代表授權(quán)的主管領(lǐng)導批準、發(fā)布，由企業(yè)法人代表授權(quán)的部門統(tǒng)一領(lǐng)導批準、發(fā)布，由企業(yè)法人代表授權(quán)的部門統(tǒng)一管理，企業(yè)產(chǎn)品標準應向當?shù)貥藴驶姓鞴懿块T管理，企業(yè)產(chǎn)品標準應向當?shù)貥藴驶?/p>

4、政主管部門和有關(guān)行政主管部門備案和有關(guān)行政主管部門備案53 標準的分類n按標準發(fā)生作用的按標準發(fā)生作用的范圍范圍和審批標準和審批標準級別級別來分來分n國家標準國家標準n行業(yè)標準行業(yè)標準n地方標準地方標準n企業(yè)標準企業(yè)標準n按標準的約束性來分n按標準在標準系統(tǒng)中的地位和作用來分n按標準化對象在生產(chǎn)過程中的作用來分n按標準的性質(zhì)來分63 標準的分類n按標準發(fā)生作用的范圍和審批標準級別來分n按標準的按標準的約束性約束性來分來分n強制性標準強制性標準：保障人體健康、人身、財產(chǎn)安全的國：保障人體健康、人身、財產(chǎn)安全的國家標準或行業(yè)標準和法律及行政法規(guī)規(guī)定強制執(zhí)行家標準或行業(yè)標準和法律及行政法規(guī)規(guī)定強制執(zhí)

5、行的標準。必須執(zhí)行，不符合的產(chǎn)品禁止生產(chǎn)、銷售的標準。必須執(zhí)行，不符合的產(chǎn)品禁止生產(chǎn)、銷售和進口和進口n推薦性標準推薦性標準：相對于強制性標準的其他標準。鼓勵：相對于強制性標準的其他標準。鼓勵企業(yè)自行采用企業(yè)自行采用n按標準在標準系統(tǒng)中的地位和作用來分n按標準化對象在生產(chǎn)過程中的作用來分n按標準的性質(zhì)來分73 標準的分類n按標準發(fā)生作用的范圍和審批標準級別來分n按標準的約束性來分n按標準在標準系統(tǒng)中的按標準在標準系統(tǒng)中的地位和作用地位和作用來分來分n基礎(chǔ)標準基礎(chǔ)標準：一定范圍內(nèi)作為：一定范圍內(nèi)作為其他標準的基礎(chǔ)其他標準的基礎(chǔ)并普遍并普遍使用的標準，具有廣泛的指導意義使用的標準，具有廣泛的指導意

6、義n例如，例如，GB17859：1999計算機信息系統(tǒng)安全保護等級計算機信息系統(tǒng)安全保護等級劃分準則劃分準則n一般標準一般標準：相對于基礎(chǔ)標準的其他標準：相對于基礎(chǔ)標準的其他標準n按標準化對象在生產(chǎn)過程中的作用來分n按標準的性質(zhì)來分83 標準的分類n按標準發(fā)生作用的范圍和審批標準級別來分n按標準的約束性來分n按標準在標準系統(tǒng)中的地位和作用來分n按標準化對象在按標準化對象在生產(chǎn)過程生產(chǎn)過程中的作用來分中的作用來分n產(chǎn)品標準；原材料標準；零部件標準；工藝和工藝產(chǎn)品標準；原材料標準；零部件標準；工藝和工藝裝備標準；設(shè)備維修標準；檢驗和試驗方法標準；裝備標準；設(shè)備維修標準；檢驗和試驗方法標準；檢驗、測

7、量和試驗設(shè)備標準；搬運、貯存、包裝、檢驗、測量和試驗設(shè)備標準；搬運、貯存、包裝、標識標準等標識標準等n按標準的性質(zhì)來分93 標準的分類n按標準發(fā)生作用的范圍和審批標準級別來分n按標準的約束性來分n按標準在標準系統(tǒng)中的地位和作用來分n按標準化對象在生產(chǎn)過程中的作用來分n按標準的按標準的性質(zhì)性質(zhì)來分來分n技術(shù)標準技術(shù)標準：對標準化領(lǐng)域中需要協(xié)調(diào)統(tǒng)一的：對標準化領(lǐng)域中需要協(xié)調(diào)統(tǒng)一的技術(shù)事項技術(shù)事項所制定的標準所制定的標準n管理標準管理標準：對標準化領(lǐng)域中需要協(xié)調(diào)統(tǒng)一的：對標準化領(lǐng)域中需要協(xié)調(diào)統(tǒng)一的管理事項管理事項所制定的標準所制定的標準n工作標準工作標準：對工作的責任、權(quán)利、范圍、質(zhì)量要求、：對工作

8、的責任、權(quán)利、范圍、質(zhì)量要求、程序、效果、檢查方法、考核辦法所制定的標準程序、效果、檢查方法、考核辦法所制定的標準10信息安全標準n我國的信息安全從保密技術(shù)、難度、標我國的信息安全從保密技術(shù)、難度、標準的特點出發(fā)，將信息安全保密標準分準的特點出發(fā)，將信息安全保密標準分為三級為三級n第一級國家標準第一級國家標準n第二級國家軍隊標準第二級國家軍隊標準n第三級國家保密標準第三級國家保密標準n三級標準中，國家保密標準最高三級標準中，國家保密標準最高n其他標準還包括：公共安全行業(yè)標準其他標準還包括：公共安全行業(yè)標準（GA）11n我國我國信息安全標準委員會信息安全標準委員會在制定我國信在制定我國信息安全標

9、準方面做了大量的工作息安全標準方面做了大量的工作n目前已出臺的信息安全保護方面的標準目前已出臺的信息安全保護方面的標準主要包括在國家標準和公共安全行業(yè)標主要包括在國家標準和公共安全行業(yè)標準中，當然在國家軍隊標準、國家保密準中，當然在國家軍隊標準、國家保密標準中也有所涉及標準中也有所涉及124 與計算機信息系統(tǒng)安全等級保護相關(guān)的標準nGB17859-1999計算機信息系統(tǒng)安全保護等級劃分準則計算機信息系統(tǒng)安全保護等級劃分準則nGA/T387-2002計算機信息系統(tǒng)安全等級保護計算機信息系統(tǒng)安全等級保護網(wǎng)絡(luò)技術(shù)要網(wǎng)絡(luò)技術(shù)要求求nGA/T388-2002計算機信息系統(tǒng)安全等級保護計算機信息系統(tǒng)安全等

10、級保護操作系統(tǒng)技操作系統(tǒng)技術(shù)要求術(shù)要求nGA/T389-2002計算機信息系統(tǒng)安全等級保護計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求系統(tǒng)技術(shù)要求nGA/T390-2002計算機信息系統(tǒng)安全等級保護計算機信息系統(tǒng)安全等級保護通用技術(shù)要通用技術(shù)要求求nGA/T391-2002計算機信息系統(tǒng)安全等級保護計算機信息系統(tǒng)安全等級保護管理要求管理要求nGB9361-88S計算站場地安全要求計算站場地安全要求nGA163-1997計算機信息系統(tǒng)安全專用產(chǎn)品分類原則計算機信息系統(tǒng)安全專用產(chǎn)品分類原則13GB17859-1999計算機信息系計算機信息系統(tǒng)安全保護等級劃分準則統(tǒng)安全保護等級劃分準則

11、n是建立計算機信息系統(tǒng)安全等級保護制是建立計算機信息系統(tǒng)安全等級保護制度，實施安全等級管理的重要度，實施安全等級管理的重要基礎(chǔ)性標基礎(chǔ)性標準準n將計算機信息系統(tǒng)安全保護能力劃分為將計算機信息系統(tǒng)安全保護能力劃分為五個等級五個等級：n用戶自主保護級用戶自主保護級n系統(tǒng)審計保護級系統(tǒng)審計保護級n安全標記保護級安全標記保護級n結(jié)構(gòu)化保護級結(jié)構(gòu)化保護級n訪問驗證保護級訪問驗證保護級14GA/T390-2002計算機信息系計算機信息系統(tǒng)安全統(tǒng)安全等級保護通用技術(shù)要求等級保護通用技術(shù)要求n是計算機信息系統(tǒng)安全是計算機信息系統(tǒng)安全等級保護技術(shù)要等級保護技術(shù)要求系列標準的基礎(chǔ)性標準求系列標準的基礎(chǔ)性標準，用以

12、指導設(shè)，用以指導設(shè)計者如何設(shè)計和實現(xiàn)具有所需要的安全計者如何設(shè)計和實現(xiàn)具有所需要的安全等級的計算機信息系統(tǒng)等級的計算機信息系統(tǒng)n主要說明了主要說明了為實現(xiàn)為實現(xiàn)GB17859-1999中每中每一個保護等級一個保護等級的安全要求的安全要求應采取的通用應采取的通用的安全技術(shù)的安全技術(shù)，和為確保這些安全技術(shù)所，和為確保這些安全技術(shù)所實現(xiàn)的安全功能達到其應具有的安全性實現(xiàn)的安全功能達到其應具有的安全性而采取的通用的保證措施而采取的通用的保證措施15GA/T391-2002計算機信息系計算機信息系統(tǒng)安全統(tǒng)安全等級保護管理要求等級保護管理要求n明確提出了管理層、物理層、網(wǎng)絡(luò)層、明確提出了管理層、物理層、網(wǎng)

13、絡(luò)層、系統(tǒng)層、應用層和運行層的系統(tǒng)層、應用層和運行層的安全管理要安全管理要求求，并將管理要求落實到，并將管理要求落實到GB17859-1999的五個等級上的五個等級上n更有利于對安全管理的繼承、理解、分更有利于對安全管理的繼承、理解、分工實施，更有利于對安全管理的評估和工實施，更有利于對安全管理的評估和檢查檢查16GA/T387-2002計算機信息系計算機信息系統(tǒng)安全統(tǒng)安全等級保護網(wǎng)絡(luò)技術(shù)要求等級保護網(wǎng)絡(luò)技術(shù)要求n用以指導設(shè)計者如何設(shè)計和實現(xiàn)具有所用以指導設(shè)計者如何設(shè)計和實現(xiàn)具有所需要的安全等級的需要的安全等級的網(wǎng)絡(luò)網(wǎng)絡(luò)系統(tǒng)系統(tǒng)n主要從對網(wǎng)絡(luò)的安全保護等級進行劃分主要從對網(wǎng)絡(luò)的安全保護等級進行

14、劃分的角度來說明其技術(shù)要求，即主要說明的角度來說明其技術(shù)要求，即主要說明了為實現(xiàn)了為實現(xiàn)GB17859-1999中每一個保護中每一個保護等級的安全要求等級的安全要求對網(wǎng)絡(luò)系統(tǒng)應采取的安對網(wǎng)絡(luò)系統(tǒng)應采取的安全技術(shù)措施全技術(shù)措施，以及各安全技術(shù)要求在不，以及各安全技術(shù)要求在不同安全級中具體實現(xiàn)上的差異同安全級中具體實現(xiàn)上的差異17GA/T388-2002計算機信息系統(tǒng)計算機信息系統(tǒng)安全安全等級保護操作系統(tǒng)技術(shù)要求等級保護操作系統(tǒng)技術(shù)要求n用以指導設(shè)計者如何設(shè)計和實現(xiàn)具有所用以指導設(shè)計者如何設(shè)計和實現(xiàn)具有所需要的安全等級的需要的安全等級的操作系統(tǒng)操作系統(tǒng)，主要從對，主要從對操作系統(tǒng)的安全保護等級進行

15、劃分的角操作系統(tǒng)的安全保護等級進行劃分的角度來說明其技術(shù)要求度來說明其技術(shù)要求18GA/T389-2002計算機信息系統(tǒng)安計算機信息系統(tǒng)安全全等級保護數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求等級保護數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求n用以指導設(shè)計者如何設(shè)計和實現(xiàn)具有所用以指導設(shè)計者如何設(shè)計和實現(xiàn)具有所需要的安全等級的需要的安全等級的數(shù)據(jù)庫管理系統(tǒng)數(shù)據(jù)庫管理系統(tǒng)，主，主要從對數(shù)據(jù)庫管理系統(tǒng)的安全保護等級要從對數(shù)據(jù)庫管理系統(tǒng)的安全保護等級進行劃分的角度來說明其技術(shù)要求進行劃分的角度來說明其技術(shù)要求19GB17859-1999計算機信息系計算機信息系統(tǒng)安全保護等級劃分準則統(tǒng)安全保護等級劃分準則n五個等級：五個等級：n第一級：用戶

16、自主保護級第一級：用戶自主保護級n第二級：系統(tǒng)審計保護級第二級：系統(tǒng)審計保護級n第三級：安全標記保護級第三級：安全標記保護級n第四級：結(jié)構(gòu)化保護級第四級：結(jié)構(gòu)化保護級n第五級：訪問驗證保護級第五級：訪問驗證保護級n安全保護能力隨著安全保護等級的提高，安全保護能力隨著安全保護等級的提高，逐漸增強逐漸增強20五個等級保護能力比較編號編號保護能力項目保護能力項目第一級第一級第二級第二級第三級第三級第四級第四級第五級第五級1自主訪問控制自主訪問控制2強制訪問控制強制訪問控制3標記標記4身份鑒別身份鑒別5客體重用客體重用6審計審計7數(shù)據(jù)完整性數(shù)據(jù)完整性8隱蔽信道分析隱蔽信道分析9可信路徑可信路徑10可信

17、恢復可信恢復21GA/T391-2002計算機信息系計算機信息系統(tǒng)安全等級保護管理要求統(tǒng)安全等級保護管理要求n信息系統(tǒng)安全管理信息系統(tǒng)安全管理，是對一個組織或機構(gòu)中信息系統(tǒng)的，是對一個組織或機構(gòu)中信息系統(tǒng)的生命周期全過程實施符合安全等級責任要求的科學管理生命周期全過程實施符合安全等級責任要求的科學管理n落實安全組織及安全管理人員，明確角色與職責，制定安全規(guī)劃落實安全組織及安全管理人員，明確角色與職責，制定安全規(guī)劃n開發(fā)安全策略開發(fā)安全策略n實施風險管理實施風險管理n制定業(yè)務持續(xù)性計劃和災難恢復計劃制定業(yè)務持續(xù)性計劃和災難恢復計劃n選擇與實施安全措施選擇與實施安全措施n保證配置、變更的正確與安全

18、保證配置、變更的正確與安全n進行安全審計進行安全審計n保證維護支持保證維護支持n進行監(jiān)控、檢查，處理安全事件進行監(jiān)控、檢查，處理安全事件n安全意識與安全教育安全意識與安全教育n人員安全管理等人員安全管理等22NoImage主要安全要素23n信息系統(tǒng)安全管理的基本原則信息系統(tǒng)安全管理的基本原則n總原則總原則n主要領(lǐng)導人負責原則主要領(lǐng)導人負責原則n規(guī)范定級原則規(guī)范定級原則n依法行政原則依法行政原則n以人為本原則以人為本原則n適度安全原則適度安全原則n全面防范、突出重點原則全面防范、突出重點原則n系統(tǒng)、動態(tài)原則系統(tǒng)、動態(tài)原則n控制社會影響原則控制社會影響原則n主要安全管理策略24n信息系統(tǒng)安全管理的

19、基本原則信息系統(tǒng)安全管理的基本原則n總原則n主要安全管理策略主要安全管理策略n分權(quán)制衡分權(quán)制衡n最小特權(quán)最小特權(quán)n選用成熟技術(shù)選用成熟技術(shù)n普遍參與普遍參與255 信息安全國際標準n國際上比較有影響的信息安全標準體系國際上比較有影響的信息安全標準體系主要有：主要有：nISO/IEC的國際標準的國際標準13335、17799、27001系列系列n美國國家標準和技術(shù)委員會（美國國家標準和技術(shù)委員會（NIST）的特）的特別出版物系列別出版物系列n英國標準協(xié)會（英國標準協(xié)會（BSI）的）的7799系列系列26n國際標準國際標準ISO/IEC是國際上最權(quán)威的由是國際上最權(quán)威的由國際標準化組織（國際標準化

20、組織（ ISO）和國際電工委）和國際電工委員會（員會（IEC）所制定的國際標準）所制定的國際標準nISO和和IEC是世界范圍的標準化組織，它是世界范圍的標準化組織，它由各個國家和地區(qū)的成員組成，各國的由各個國家和地區(qū)的成員組成，各國的相關(guān)標準化組織都是其成員，他們通過相關(guān)標準化組織都是其成員，他們通過各技術(shù)委員會，參與相關(guān)標準的制定各技術(shù)委員會，參與相關(guān)標準的制定27nISO/IEC聯(lián)合技術(shù)委員會聯(lián)合技術(shù)委員會JTC1子委員會子委員會27（ISO/IEC JTC1 SC27）是）是信息安信息安全領(lǐng)域最權(quán)威和國際認可的標準化組織全領(lǐng)域最權(quán)威和國際認可的標準化組織nISO/IEC JTC1 SC2

21、7發(fā)布的目前最主發(fā)布的目前最主要的標準是要的標準是nISO/IEC 13335nISO/IEC 17799:2005nISO/IEC 27001:200528nBS 7799受到廣泛認可受到廣泛認可n它的第一部分已成為國際標準它的第一部分已成為國際標準 ISO/IEC 17799:2005n它的第二部分成為國際標準它的第二部分成為國際標準 ISO/IEC 27001:200529BS 7799信息安全管理標準nBS 7799是英國標準協(xié)會針對信息安全管理而是英國標準協(xié)會針對信息安全管理而制定的標準制定的標準n第一部分：是第一部分：是信息安全管理實踐規(guī)范信息安全管理實踐規(guī)范nCode of Practice for Information Security Managementn主要供負責信息安全系統(tǒng)開發(fā)的人員作為參考使用主要供負責信息安全系統(tǒng)開發(fā)的人員作為參考使用n第二部分：是第二部分：是建立信息安全管理體系的規(guī)范建立信息安全管理體系的規(guī)范nSpecification for Information Security Management Systemsn可用來指導相關(guān)人員應用第一部分，最終目的是建可用來指導相關(guān)人員應用