信息安全技术资料整理

 

  • 计算机信息系统安全保护等级划分准则
  1. 计算机信息系统安全保护能力的五个等级:
  1. 用户自主保护级;
  2. 系统审计保护级;
  3. 安全标记保护级;
  4. 结构化保护级;
  5. 访问验证保护级;
  • 信息安全技术 信息系统安全等级保护实施指
  • 信息安全技术 信息系统安全等级保护定级指南
  1. 信息系统的安全保护等级划分以下五级:
  1. 第一级,信息系统受到破坏后,会对公民,法人和其他组织的合法权益造成损害,但不损害国家安全,社会秩序和公共利益。
  2. 第二级,信息系统受到破坏后,会对公民,法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
  3. 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
  4. 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
  5. 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害
  1. 信息系统安全保护等级的定级要素:
  1. 等级保护对象受到破坏时所侵害的客体
  2. 对客体造成侵害的程度
  1. 受侵害的客体
  1. 公民,法人和其他组织的合法权益;
  2. 社会秩序,公共利益;
  3. 国家安全
  1. 对客体的侵害程度:
  1. 造成一般损害;
  2. 造成严重损害;
  3. 造成特别严重损害;
  1. 定级要素与等级的关系

如图所示

  • 信息安全技术 信息系统安全等级保护基本要求
  1. 基本技术的三种类型
  1. 保护数据在存储,传输,处理过程中不被泄露,破坏和免受未授权的修改的业务信息安全类要求(简称为 S);
  2. 保护系统连续正常的运行,免受对系统的未授权修改,破坏而导致系统不可用的服务保证类要求(简称为 A);
  3. 通用安全保护类要求(简称为G)
  1. 保证信息系统的整体安全保护能力还要考虑以下总体特性要求:
  1. 构建纵深的防御体系;
  2. 采取互补的安全措施;
  3. 保证一致的安全强度;
  4. 建立统一的支撑平台;
  5. 进行集中的安全管理;
  1. 信息系统定级后,不同安全保护等级的信息系统可能形成的定级结果组合如下表所示

  • 信息安全技术 信息系统安全等级保护测评要求
  1. 测评原则
  1. 客观性和公正性原则
  2. 经济性和可重用性原则
  3. 可重复性和可再现性原则
  4. 符合性原则
  1. 测评内容

信息系统安全等级测评主要包括:

单元测评 和  整体测评

单元测评是等级测评工作的基本活动,每个单元测评包括测评指标,测评实施和结果判定三个部分。

整体测评是在单元测评的基础上,通过进一步分析信息系统的整体安全性,对信息系统实施的综合安全测评。主要包括安全控制点间,层面间和区域间相互作用的安全测评以及系统结构的安全测评等。

测评方法:是指测评人员在测评实施过程中所使用的方法,主要包括:访谈,检查和测试

  • 信息安全技术 信息系统安全等级保护测评过程指南
  1. 等级测评过程分为四个基本测评活动:测评准备活动,方案编制活动,现场测评活动,分析与报告编制活动

1.1测评准备活动的主要任务:

1)等级测评项目启动

2)信息收集和分析

3)工具和表单准备

1.2方案编制活动的主要任务:

1)测评对象确定

2)测评指标确定

3)测试工具接入点确定

4)测评内容确定

5)测评指导书开发

6)测评方案编制

1.3现场测评活动的主要任务:

1)现场测评准备

2)现场测评和结果记录

3)结果确认和资料归还

1.4分析与报告编制活动的主要任务:

1)单项测评结果判定

2)单元测评结果判定

3)整体测评

4)风险分析

5)等级测评结论形成

6)测评报告编制

你可能感兴趣的:(信息安全技术资料整理)