03信息安全体系结构
ISMS【信息安全系列培训】【03】【体系框架】
3
2 规范性应用文件
2 规范性引用文件 下列参考文件对于本文件的应用是必不可少的。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最 新版本(包括任何修改)适用于本标准。 ISO/IEC 17799:2005,信息技术—安全技术—信息安全管理实用规则。
4
3 术语和定义 (续)
Байду номын сангаас
监视和 评审ISMS
受控的 信息安全
检查Check
2
1 范围
1 范围 1.1 总则 本标准适用于所有类型的组织(例如,商业企业、政府机构、非赢利组织)。本标准从组织的整体业务风险的角度,为建立、实施、运行、 监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。 ISMS的设计应确保选择适当和相宜的安全控制措施,以充分保护信息资产并给予相关方信心。 注1:本标准中的“业务”一词应广义的解释为关系一个组织生存的核心活动。 注2:ISO/IEC 17799提供了设计控制措施时可使用的实施指南。 1.2 应用 本标准规定的要求是通用的,适用于各种类型、规模和特性的组织。组织声称符合本标准时,对于4、5、6、7和8章的要求不能删减。 为了满足风险接受准则所必须进行的任何控制措施的删减,必须证明是合理的,且需要提供证据证明相关风险已被负责人员接受。除非删 减不影响组织满足由风险评估和适用法律法规要求所确定的安全要求的能力和/或责任,否则不能声称符合本标准。 注:如果一个组织已经有一个运转着的业务过程管理体系(例如,与ISO 9001或者ISO 14001相关的),那么在大多数情况下,更可取 的是在这个现有的管理体系内满足本标准的要求。
8
4 信息安全管理体系(ISMS)
信息安全策略体系结构组成及具体内容
信息安全策略体系结构组成及具体内容信息安全策略体系是一个组织或企业用来保护其信息资产免受损害的具体计划和框架。
它是信息安全管理的基础,可以帮助组织建立安全的信息系统和保护信息资产,以应对日益增长的威胁和风险。
下面将详细介绍信息安全策略体系的结构、组成以及具体内容。
一、信息安全策略体系的结构1.信息安全目标:明确组织对信息安全的期望和目标,如保护机密性、完整性和可用性。
2.组织结构与职责:确定信息安全管理的组织结构和职责,包括指定信息安全负责人、安全团队以及各个部门的安全职责。
3.风险评估和管理:识别和评估信息系统和信息资产的风险,并采取相应措施来管理和减轻这些风险。
4.安全控制:定义并实施符合组织需求的安全控制措施,以保护信息系统和信息资产。
这包括技术控制、物理控制、组织和人员控制等。
5.安全培训与意识:提供信息安全培训和教育计划,增强员工的信息安全意识和能力。
6.合规性要求:确保组织符合相关的法律、法规和监管要求,以及行业标准和最佳做法。
7.事件响应和恢复:建立适当的响应机制和应急计划,以及恢复系统和信息资产的能力,以应对安全事件和事故。
8.性能评估与改进:定期评估信息安全策略的有效性和组织的安全性能,并制定改进措施。
二、信息安全策略体系的组成1.政策与规程:明确组织对信息安全的要求和政策,并制定相应的信息安全规程和操作指南,以指导员工在日常工作中的行为规范和操作规范。
2.安全控制措施:部署和实施各类安全控制措施,包括访问控制、身份验证、防火墙、加密以及网络安全监控和审计等。
3.审计与监测:建立日志记录和监测系统,对系统的使用情况和安全事件进行跟踪和审计,以及采取相应措施,保护和保留相关日志。
4.信息分类与标识:根据信息的重要性和敏感性将信息进行分类,并采取相应的措施进行标识和保护,以确保信息的机密性和可用性。
5.培训与意识提升:为员工提供信息安全培训和意识提升计划,增强他们对信息安全的认识和重要性,并教育他们如何正确处理信息。
信息安全概论课件
信息安全意识教育的内容
介绍信息安全意识教育的主要内容,包括信息安全 基本概念、安全风险防范、个人信息保护等方面的 知识。
信息安全意识教育的实施 方式
探讨如何有效地开展信息安全意识教育,包 括课程设置、培训形式、宣传推广等方面的 措施。
内容。
信息安全道德规范的核心原则
02 阐述信息安全道德规范所遵循的核心原则,如尊重他
人隐私、保护国家安全、维护社会公共利益等。
信息安全道德规范的具体要求
03
详细说明在信息安全领域中,个人和组织应该遵循的
具体道德规范和行为准则。
信息安全意识教育
信息安全意识教育的重要 性
强调信息安全意识教育在保障信息安全中的 重要作用,分析当前信息安全意识教育的现 状和不足。
对称密钥密码体制安全性
对称密钥密码体制安全性取决于密钥的保密性,如果密钥泄露,则加密 信息会被破解。因此,对称密钥密码体制需要妥善保管密钥。
非对称密钥密码体制
非对称密钥密码体制定义
非对称密钥密码体制也称为公钥密码体制,是指加密和解密使用不同密钥的加密方式。
非对称密钥密码体制算法
非对称密钥密码体制算法包括RSA(Rivest-Shamir-Adleman)、ECC(椭圆曲线加密算 法)等,这些算法通过一对公钥和私钥来进行加密和解密操作。
数字签名主要用于验证信息的完整性 和真实性,以及防止信息被篡改和伪 造。
数字签名与验证流程包括签名生成和 验证两个阶段。在签名生成阶段,发 送方使用私钥对信息摘要进行加密, 生成数字签名;在验证阶段,接收方 使用公钥对数字签名进行解密,得到 信息摘要,并与原始信息摘要进行比 对,以验证信息的完整性和真实性。
信息安全的威胁与风险
01
信息安全体系结构.doc
1.1基本概念1.1.1体系结构:是系统整体体系结构的描述的一部分,应该包括一组相互依赖、协作的安全功能相关元素的最高层描述与配置,这些元素共同实施系统的安全策略。
1.1.2信息安全体系结构1.1.3信息安全保障:是人类利用技术和经验来实现信息安全的一个过程。
1.2三要素1.2.1人:包括信息安全保障目标的实现过程中的所有有关人员。
1.2.2技术:用于提供信息安全服务和实现安全保障目标的技术。
1.2.3管理:对实现信息安全保障目标有责任的有管人员具有的管理职能。
1.2.4三者的相互关系:在实现信息安全保障目标的过程中,三个要素相辅相成,缺一不可。
1.2.5作为一个信息安全工作者,应该遵循哪些道徳规范?1、不可使用计算机去做伤害他人的事2、不要干扰他人使用计算机的工作3、不要窥视他人的计算机文件4、不要使用计算机进行偷窃。
5、不要使用计算机来承担为证6、不要使用没有付款的专用软件。
第2章信息安全体系结构规划与设计2.1网络与信息系统总体结构初步分析2.2信息安全需求分析2.2.1物理安全:从外界环境、基础设施、运行硬件、介质等方而为信息系统安全运行提供基本的底层支持和保障。
安全需求主要包括:物理位程的选择、物理访问控制、防盗窃和防破坏、防雷电、防火、防静电。
2.2.2系统安全:提供安全的操作系统和安全的数据库管理系统,以实现操作系统和数拯库管理系统的安全运行。
安全需求包括:操作系统、数据库系统、服务器安全需求、基于主机的入侵检测、基于主机的漏洞扫描、基于主机的恶意代码的检测与防范、基于主机的文件完整性检验、容灾、备份与恢复。
2.2.3网络安全:为信息系统能够在安全的网络坏境中运行提供支持。
安全需求包括:信息传输安全需求(VPN、无线局域网、微博与卫星通信)、网络边界防护安全需求、网络上的检测与响应安全需求。
2.2.4数据安全:目的:实现数据的机密性、完整性、可控性、不可否认性,并进行数据备份和恢复。
信息安全体系结构重点
企业体系结构有以下六种基本模式:(1)管道和过滤器(2)数据抽象和面向对象(3)事件驱动(4)分层次(5)知识库(6)解释器通用数据安全体系结构(CDSA)有三个基本的层次:系统安全服务层、通用安全服务管理层、安全模块层。
其中通用安全服务管理层(CSSM)是通用数据安全体系结构(CDSA)的核心,负责对各种安全服务进行管理,管理这些服务的实现模块。
信息安全保障的基本属性:可用性、完整性、可认证性、机密性和不可否认性,提出了保护、检测、响应和恢复这四个动态的信息安全环节。
信息安全保障的三要素:人、技术和管理。
信息安全需求分析涉及物理安全、系统安全、网络安全、数据安全、应用安全与安全管理等多个层面,既与安全策略的制定和安全等级的确定有关,又与信息安全技术和产品的特点有关。
信息传输安全需求与链路加密技术,VPN应用、以及无线局域网和微波与卫星网等信息传输途径有关。
信息安全体系结构的设计原则:需求分明、代价平衡、标准优先、技术成熟、管理跟进、综合防护。
密码服务系统由密码芯片、密码模块、密码机或软件,以及密码服务接口构成。
KMI 密钥管理设施PKI 公开密钥基础设施实际应用系统涉及的密码应用:数字证书运算、密钥加密运算、数据传输、数据存储、数字签名、消息摘要与验证,数字信封。
密钥管理系统由密钥管理服务器、管理终端、数据库服务器、密码服务系统等组成。
认证体系由数字认证机构(CA)、数字证书审核注册中心(RA)、密钥管理中心(KMC)、目录服务系统、可信时间戳系统组成。
认证系统的三种基本信任模型,分别是树状模型、信任链模型和网状模型。
解决互操作的途径有两种:交叉认证和桥CA。
CA结构1)证书管理模块2)密钥管理模块3)注册管理模块4)证书发布及实时查询系统设计可信目录服务的核心是目录树的结构设计。
这种设计应符合LDAP层次模型,且遵循以下三个基本原则:(1)有利于简化目录数据的管理。
(2)可以灵活的创建数据复制和访问策略。
信息安全体系结构概述
信息安全体系结构概述信息安全体系结构通常包括以下几个关键组成部分:1. 策略和规程:包括制定和执行信息安全政策、安全规程、控制措施和程序,以确保组织内部对信息安全的重视和执行。
2. 风险管理:包括风险评估、威胁分析和安全漏洞管理,以识别和减轻潜在的安全风险。
3. 身份和访问管理:包括身份认证、授权和审计,确保只有授权的用户才能访问和操作组织的信息系统。
4. 安全基础设施:包括网络安全、终端安全、数据加密和恶意软件防护,以提供全方位的信息安全保护。
5. 安全监控和响应:包括实时监控、安全事件管理和安全事件响应,以保持对信息安全事件的感知和及时响应。
信息安全体系结构的设计和实施需要根据组织的特定需求和风险状况进行定制,以确保信息安全控制措施的有效性和适用性。
同时,信息安全体系结构也需要不断地进行评估和改进,以适应不断变化的安全威胁和技术环境。
通过建立健全的信息安全体系结构,组织可以有效地保护其信息资产,确保业务的连续性和稳定性。
信息安全体系结构是一个综合性的框架,涵盖了组织内部的信息安全管理、技术实施和持续改进,以保护组织的信息资产不受到未经授权的访问、使用、泄露、干扰或破坏。
下面我们将深入探讨信息安全体系结构的各个关键组成部分。
首先是策略和规程。
信息安全体系结构的基础是明确的信息安全政策和安全规程。
具体来说,信息安全政策应当包括对信息安全意识的要求、信息安全的目标和范围、信息安全管理的组织结构和沟通机制、信息安全责任和权限的分配、信息安全培训和监督制度,以及信息安全政策的制定、执行、检查、改进和审查的一系列管理程序。
涉及敏感信息资产的操作程序和应急响应机制,应当被明确规定。
其次是风险管理。
风险是信息系统安全的关键问题之一。
风险管理主要包括风险评估、威胁分析和安全漏洞管理。
通过对信息系统进行风险评估和威胁分析,可以评估信息系统的脆弱性,找出哪些方面具有较大的风险,并将重点放在这些方面,进行防护措施。
信息安全体系结构概述
信息安全体系结构概述引言信息安全在当今数字化时代变得至关重要。
随着各种技术的迅猛发展,网络空间中威胁的频率和复杂程度也在不断增加。
为了保护个人、组织和国家的敏感信息免受恶意活动的威胁,建立一个坚固而可靠的信息安全体系结构是至关重要的。
信息安全的重要性信息安全的重要性不容忽视。
当敏感信息落入恶意分子的手中时,会给个人、组织和国家带来巨大的损失。
以下是几个信息安全的重要性方面:保护个人隐私在这个数字化时代,个人数据成为了各种欺诈和诈骗活动的目标。
个人隐私的泄露可能导致财务损失和身份盗窃等问题。
通过建立和遵循信息安全体系结构,可以保护个人隐私,确保个人信息的机密性和完整性。
维护组织声誉组织的声誉是其长期发展的重要因素之一。
当组织在信息安全方面存在弱点时,可能会导致数据泄露,使组织的声誉受损。
信息安全体系结构的建立和实施可以有效防止这种情况的发生,维护组织的声誉和可信度。
保障国家安全国家安全是一个国家的核心利益所在。
随着国家政务、金融交易和国防信息的数字化,信息安全攸关着国家利益和国家安全。
建立健全的信息安全体系结构是保障国家安全的重要组成部分。
信息安全体系结构构成一个完善的信息安全体系结构需要包含以下几个关键组成部分:策略与规划信息安全策略与规划是一个组织信息安全体系结构的基石。
它包括确定信息安全目标、制定信息安全政策和规程以及确立责任和义务等。
有效的策略与规划能够指导组织在信息安全方面开展工作,确保信息资产得到适当的保护。
风险管理风险管理是信息安全体系结构的关键组成部分。
它包括对组织内外的潜在威胁进行评估和识别,确定风险等级,并制定相应的风险应对措施。
通过风险管理,组织可以减少安全风险并避免潜在的威胁。
安全控制安全控制是信息安全体系结构的核心组成部分。
它涉及到对信息系统、网络和设备的保护措施,包括访问控制、身份验证、加密、防火墙等。
安全控制的目标是保护组织的信息资产免受未经授权的访问和恶意活动的侵犯。
信息安全体系结构
信息安全体系结构信息安全体系结构是指为了保护信息系统中的数据和信息资源免受未经授权的访问、使用、泄露、破坏、干扰和篡改而建立的一系列组织、技术、政策、流程和控制措施。
信息安全体系结构的建立旨在确保信息系统的可靠性、完整性、保密性和可用性,从而保护信息系统中的数据和信息资源不受损害。
信息安全体系结构通常由以下几个方面组成,安全策略、安全组织、安全技术、安全管理和安全服务。
安全策略是信息安全体系结构的基础,它包括制定信息安全政策、标准、程序和指南,明确信息安全的目标和要求,为信息安全提供指导。
安全组织是指建立信息安全管理机构和安全团队,明确安全责任和权限,确保信息安全工作的有效开展。
安全技术是指利用各种安全技术手段,保护信息系统的安全,包括访问控制、加密技术、身份认证、安全审计、安全防护等。
安全管理是指建立完善的安全管理体系,包括风险管理、安全培训、安全意识教育、安全检查和安全事件响应等。
安全服务是指为用户和系统提供安全保障的各种服务,包括安全咨询、安全评估、安全监控、安全维护和安全应急响应等。
在信息安全体系结构中,安全策略是首要的,它为整个信息安全工作提供了指导和依据。
安全策略要明确信息安全的目标和要求,包括保护数据的机密性、完整性和可用性,防止未经授权的访问和使用,防止数据泄露和破坏,确保信息系统的安全运行。
安全策略还要明确安全责任和权限,确保安全措施的有效实施。
安全策略还要与企业的业务目标和风险承受能力相一致,确保安全策略的制定和执行不会影响企业的正常运营。
安全组织是信息安全体系结构中的重要组成部分,它是保障信息安全的基础。
安全组织要建立信息安全管理机构和安全团队,明确安全责任和权限,确保信息安全工作的有效开展。
安全组织还要建立安全管理制度和安全工作流程,确保安全工作的有序进行。
安全组织还要开展安全培训和安全意识教育,提高员工的安全意识和安全技能,确保员工能够正确使用信息系统,防范各种安全风险。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2006年主要的信息安全技术应用统计
3.6
信息安全等级保护与分级认证
产品认证 人员认证 系统认证
18
3.6
信息安全等级保护与分级认证
IT安全评估通用准则 3.6.1 IT安全评估通用准则
1985年,美国国防部颁布了可信计算机的安全评估准 1985年 TCSEC); 1995年 统一成CC 1999年 CC准则成为 CC; 则(TCSEC); 1995年 统一成CC;1999年,CC准则成为 国际标准( 15408) 国际标准(ISO/IEC 15408) CC评估准则将信息系统的安全性定义为7 CC评估准则将信息系统的安全性定义为7个评估保证 评估准则将信息系统的安全性定义为 级别(EAL1~EAL7), EAL1:功能测试;EAL2: ),即 级别(EAL1~EAL7),即EAL1:功能测试;EAL2:结构测 EAL3:系统地测试和检查;EAL4:系统地设计;EAL5: 试;EAL3:系统地测试和检查;EAL4:系统地设计;EAL5: 半形式化设计和测试;EAL6:半形式化验证的设计和测试; 半形式化设计和测试;EAL6:半形式化验证的设计和测试; EAL7:形式化验证的设计和测试。 EAL7:形式化验证的设计和测试。
4
3.1 信息安全的保护机制
5
3.2 开放系统互连安全体系结构
6
3.2 开放系统互连安全体系结构
安全机制是指用来保护系统免受侦听、 安全机制是指用来保护系统免受侦听、阻止 是指用来保护系统免受侦听 安全攻击及恢复系统的机制。 安全攻击及恢复系统的机制。
安全服务就是加强数据处理系统和信息传输的 安全服务就是加强数据处理系统和信息传输的 安全性的一类服务, 安全性的一类服务,其目的在于利用一种或多种安 全机制阻止安全攻击。 全机制阻止安全攻击。
15
3.4
信息安全技术
3)网络安全技术(网络层安全)。主要体现在网络方面 网络安全技术(网络层安全)。主要体现在网络方面 )。 的安全性,包括网络层身份认证、网络资源的访问控制、 的安全性,包括网络层身份认证、网络资源的访问控制、数据 传输的保密与完整性、远程接入的安全、域名系统的安全、 传输的保密与完整性、远程接入的安全、域名系统的安全、路 由系统的安全、入侵检测的手段、网络设施防病毒等。 由系统的安全、入侵检测的手段、网络设施防病毒等。 4)应用安全技术(应用层安全)。主要由提供服务所采 应用安全技术(应用层安全) 用的应用软件和数据的安全性产生,包括Web服务、 Web服务 用的应用软件和数据的安全性产生,包括Web服务、电子邮件 系统、DNS等 此外,还包括病毒对系统的威胁。 系统、DNS等。此外,还包括病毒对系统的威胁。 5)管理安全性(管理层安全)。安全管理包括安全技术 管理安全性(管理层安全) 和设备的管理、安全管理制度、部门与人员的组织规则等。 和设备的管理、安全管理制度、部门与人员的组织规则等。管 理的制度化极大程度地影响着整个网络的安全, 理的制度化极大程度地影响着整个网络的安全,严格的安全管 理制度、明确的部门安全职责划分、 理制度、明确的部门安全职责划分、合理的人员角色配置都可 以在很大程度上降低其他层次的安全漏洞。 以在很大程度上降低其他层次的安全漏洞。
11
3.3
技术体系
信息安全体系框架
物理安全技术。信息系统的建筑物、 1)物理安全技术。信息系统的建筑物、机房条件及硬 件设备条件满足信息系统的机械防护安全; 件设备条件满足信息系统的机械防护安全;通过对电力供应 设备以及信息系统组件的抗电磁干扰和电磁泄露性能的选择 性措施达到相应的安全目的。 性措施达到相应的安全目的。物理安全技术运用于物理保障 环境(含系统组件的物理环境) 环境(含系统组件的物理环境)。 2)系统安全技术。通过对信息系统与安全相关组件的 系统安全技术。 操作系统的安全性选择措施或自主控制, 操作系统的安全性选择措施或自主控制,使信息系统安全组 件的软件工作平台达到相应的安全等级, 件的软件工作平台达到相应的安全等级,一方面避免操作平 台自身的脆弱性和漏洞引发的风险, 台自身的脆弱性和漏洞引发的风险,另一方面阻塞任何形式 的非授权行为对信息系统安全组件的入侵或接管系统管理权 。
3
3.1 信息安全的保护机制
信息安全的最终任务是保护信息资源被合法用户安全使 并禁止非法用户、入侵者、攻击者和黑客非法偷盗、 用,并禁止非法用户、入侵者、攻击者和黑客非法偷盗、使 用信息资源。 用信息资源。 信息安全的保护机制包括电磁辐射、环境安全、计算机 信息安全的保护机制包括电磁辐射、环境安全、 技术、网络技术等技术因素,还包括信息安全管理( 技术、网络技术等技术因素,还包括信息安全管理(含系统 安全管理、安全服务管理和安全机制管理) 安全管理、安全服务管理和安全机制管理)、法律和心理因 素等机制。 素等机制。 国际信息系统安全认证组织( 国际信息系统安全认证组织 ( International Information Systems Security Certification Consortium , 简称 ISC2 ) 将信息 简称ISC ISC2 安全划分为5重屏障共10 10大领域并给出了它们涵盖的知识结 安全划分为5重屏障共10大领域并给出了它们涵盖的知识结 构
7
3.2 开放系统互连安全体系结构
1、安全服务
1)鉴别服务 2)访问控制 3)数据保密性 4)数据完整性 5)抗抵赖
8
3.2 开放系统互连安全体系结构
访问控制策略有如下三种类型。 访问控制策略有如下三种类型。 1)基于身份的策略 2)基于规则的策略 3)基于角色的策略 目的就是保证信息的可用性, 目的就是保证信息的可用性,即可被授权实体访问并按 需求使用, 需求使用,保证合法用户对信息和资源的使用不会被不正当 地拒绝,同进不能被无权使用的人使用或修改、破坏。 地拒绝,同进不能被无权使用的人使用或修改、破坏。
12
3.3
组织机构体系
信息安全体系框架
组织机构体系是信息系统安全的组织保障系统, 组织机构体系是信息系统安全的组织保障系统,由机 岗位和人事三个模块构成一个体系。 构、岗位和人事三个模块构成一个体系。 机构的设置分为三个层次:决策层、 机构的设置分为三个层次:决策层、管理层和执行层 岗位是信息系统安全管理机关根据系统安全需要设定 的负责某一个或某几个安全事务的职位 人事机构是根据管理机构设定的岗位,对岗位上在职、 人事机构是根据管理机构设定的岗位,对岗位上在职、 待职和离职的雇员进行素质教育、 待职和离职的雇员进行素质教育、业绩考核和安全监管的 机构。 机构。
第3章 信息安全体系结构
1
基本内容
了解了信息面临的风险和网络攻击的方法以后,本章在 ISO安全体系结构的指导下,针对信息安全保护层次结构 的目标,提出信息安全技术体系结构和相应的防护技术, 最后根据目前我国信息系统安全的要求,介绍等级保护的 概念。
2
风险和安全策略
掌握信息安全风险状态和分布情况的变化规律, 掌握信息安全风险状态和分布情况的变化规律, 提出安全需求, 提出安全需求,建立起具有自适应能力的信息安全模 从而驾驭风险, 型,从而驾驭风险,使信息安全风险被控制在可接受 的最小限度内,并渐近于零风险。 的最小限度内,并渐近于零风险。 安全与实现的方便性是矛盾的对立。必须牺牲方 安全与实现的方便性是矛盾的对立。 便性求得安全,我们必须在这两者之间找出平衡点, 便性求得安全,我们必须在这两者之间找出平衡点, 在可接受的安全状况下,尽力方便用户的使用。 在可接受的安全状况下,尽力方便用户的使用。
14
3.4
信息安全技术
安全防范技术体系划分为物理层安全、系统层安全、 安全防范技术体系划分为物理层安全、系统层安全、网络 层安全、应用层安全和管理层安全等五个层次。 层安全、应用层安全和管理层安全等五个层次。 物理安全技术(物理层安全) 1)物理安全技术(物理层安全)。该层次的安全包括通信 线路的安全、物理设备的安全、机房的安全等。 线路的安全、物理设备的安全、机房的安全等。物理层的安全 主要体现在通信线路的可靠性(线路备份、网管软件、 主要体现在通信线路的可靠性(线路备份、网管软件、传输介 ),软硬件设备安全性 替换设备、拆卸设备、增加设备), 软硬件设备安全性( 质),软硬件设备安全性(替换设备、拆卸设备、增加设备), 设备的备份,防灾害能力,防干扰能力,设备的运行环境( 设备的备份,防灾害能力,防干扰能力,设备的运行环境(温 湿度、烟尘),不间断电源保障,等等。 ),不间断电源保障 度、湿度、烟尘),不间断电源保障,等等。 系统安全技术(操作系统的安全性) 2)系统安全技术(操作系统的安全性)。该层次的安全问 题来自网络内使用的操作系统的安全, NT、 题来自网络内使用的操作系统的安全,如Windows NT、Windows 2000等 主要表现在三个方面: 2000等。主要表现在三个方面:一是操作系统本身的缺陷带来 的不安全因素,主要包括身份认证、访问控制、系统漏洞等; 的不安全因素,主要包括身份认证、访问控制、系统漏洞等; 二是对操作系统的安全配置问题;三是病毒对操作系统的威胁。 二是对操作系统的安全配置问题;三是病毒对操作系统的威胁。
20
3.6
信息安全等级保护与分级认证
3.6.3 分级保护的认证
(1)信息安全产品认证 信息安全产品认证主要分为型号认证和分级认证两种。 信息安全产品认证主要分为型号认证和分级认证两种。其中分 级认证又分成7个级别。目前开展的是1 级的认证, 级认证又分成7 个级别 。目前开展的是1 ~5 级的认证, 其中对电信 智能卡的认证已达到5 其他安全产品目前最高达到3 智能卡的认证已达到5 级,其他安全产品目前最高达到3级。 (2)信息系统安全认证 信息系统安全认证的技术标准分为5个级别, 信息系统安全认证的技术标准分为 5 个级别 , 目前开展两个级 别的系统认证工作。信息系统安全认证在实施过程中, 别的系统认证工作。信息系统安全认证在实施过程中,主要分为方 案评审、系统测评、系统认证等三个方面。 案评审、系统测评、系统认证等三个方面。方案评审是为确定特定 信息系统是否达到标准的安全性设计要求; 信息系统是否达到标准的安全性设计要求;系统测评是对运行中的 信息系统的安全功能的技术测试、 信息系统的安全功能的技术测试、对信息系统安全技术和管理体系 的调查取证和对特定系统运行情况是否达到标准的安全要求的评估 进行的系统认证是对运行系统的组织管理体系的审核。 ;进行的系统认证是对运行系统的组织管理体系的审核。