信息安全技术资料整理

 

• 计算机信息系统安全保护等级划分准则

1. 计算机信息系统安全保护能力的五个等级：

1. 用户自主保护级；
2. 系统审计保护级；
3. 安全标记保护级；
4. 结构化保护级；
5. 访问验证保护级；

• 信息安全技术 信息系统安全等级保护实施指
• 信息安全技术 信息系统安全等级保护定级指南

1. 信息系统的安全保护等级划分以下五级：

1. 第一级，信息系统受到破坏后，会对公民，法人和其他组织的合法权益造成损害，但不损害国家安全，社会秩序和公共利益。
2. 第二级，信息系统受到破坏后，会对公民，法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。
3. 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。
4. 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。
5. 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害

1. 信息系统安全保护等级的定级要素：

1. 等级保护对象受到破坏时所侵害的客体
2. 对客体造成侵害的程度

1. 受侵害的客体

1. 公民，法人和其他组织的合法权益；
2. 社会秩序，公共利益；
3. 国家安全

1. 对客体的侵害程度：

1. 造成一般损害；
2. 造成严重损害；
3. 造成特别严重损害；

1. 定级要素与等级的关系

如图所示

• 信息安全技术 信息系统安全等级保护基本要求

1. 基本技术的三种类型

1. 保护数据在存储，传输，处理过程中不被泄露，破坏和免受未授权的修改的业务信息安全类要求（简称为 S）；
2. 保护系统连续正常的运行，免受对系统的未授权修改，破坏而导致系统不可用的服务保证类要求（简称为 A）；
3. 通用安全保护类要求（简称为G）

1. 保证信息系统的整体安全保护能力还要考虑以下总体特性要求：

1. 构建纵深的防御体系；
2. 采取互补的安全措施；
3. 保证一致的安全强度；
4. 建立统一的支撑平台；
5. 进行集中的安全管理；

1. 信息系统定级后，不同安全保护等级的信息系统可能形成的定级结果组合如下表所示

• 信息安全技术 信息系统安全等级保护测评要求

1. 测评原则

1. 客观性和公正性原则
2. 经济性和可重用性原则
3. 可重复性和可再现性原则
4. 符合性原则

1. 测评内容

信息系统安全等级测评主要包括：

单元测评 和  整体测评

单元测评是等级测评工作的基本活动，每个单元测评包括测评指标，测评实施和结果判定三个部分。

整体测评是在单元测评的基础上，通过进一步分析信息系统的整体安全性，对信息系统实施的综合安全测评。主要包括安全控制点间，层面间和区域间相互作用的安全测评以及系统结构的安全测评等。

测评方法：是指测评人员在测评实施过程中所使用的方法，主要包括：访谈，检查和测试

• 信息安全技术 信息系统安全等级保护测评过程指南

1. 等级测评过程分为四个基本测评活动：测评准备活动，方案编制活动，现场测评活动，分析与报告编制活动

1.1测评准备活动的主要任务：

1）等级测评项目启动

2）信息收集和分析

3）工具和表单准备

1.2方案编制活动的主要任务：

1）测评对象确定

2）测评指标确定

3）测试工具接入点确定

4）测评内容确定

5）测评指导书开发

6）测评方案编制

1.3现场测评活动的主要任务：

1）现场测评准备

2）现场测评和结果记录

3）结果确认和资料归还

1.4分析与报告编制活动的主要任务：

1）单项测评结果判定

2）单元测评结果判定

3）整体测评

4）风险分析

5）等级测评结论形成

6）测评报告编制