信息系統(tǒng)安全等級化保護原理與實踐

第1章 信息安全概述\t1
1．1　引 言　1
1．2　信息安全的內(nèi)涵及特性　2
1．3　信息安全在國家安全中的重要作用和戰(zhàn)略地位　3
1．3．1　信息安全對國家政治的影響　4
1．3．2　信息安全對國家經(jīng)濟的影響　8
1．3．3　信息安全對國家文化安全的影響　13
1．3．4　信息安全對國家軍事的影響　17
1．4　信息安全的面臨的挑戰(zhàn)　22
1．4．1　通用計算設(shè)備的計算能力越來越強帶來的挑戰(zhàn)　22
1．4．2　計算環(huán)境日益復(fù)雜多樣帶來的挑戰(zhàn)　22
1．4．3　云計算服務(wù)給密碼保護造成的新挑戰(zhàn)　22
1．4．4　大數(shù)據(jù)技術(shù)帶來的安全隱患　23
1．4．5　網(wǎng)絡(luò)融合新技術(shù)帶來安全新的挑戰(zhàn)和威脅　23
1．4．6　惡意代碼層出不窮，病毒傳播途徑多樣化，網(wǎng)絡(luò)攻擊日益趨利化　23
1．4．7　世界大國都將信息安全問題上升為國家戰(zhàn)略問題加劇了信息安全的競爭　24
1．4．8　“網(wǎng)絡(luò)戰(zhàn)”已成為各國競相發(fā)展的核心安全力量，網(wǎng)絡(luò)空間已成為各國情報機構(gòu)的主要戰(zhàn)場　25
1．5　我國信息安全防護存在的問題　25
1．6　信息安全研究的重要價值和意義　26
1．7　信息安全的主要研究問題　27
1．7．1　可信計算平臺及其安全關(guān)鍵技術(shù)　27
1．7．2　信息安全新技術(shù)開發(fā)與安全測試評估的模型和工具　27
1．7．3　網(wǎng)絡(luò)監(jiān)控、應(yīng)急響應(yīng)與安全管理關(guān)鍵技術(shù)　28
1．7．4　網(wǎng)絡(luò)信任保障的理論、技術(shù)和體系　28
1．7．5　密碼與安全協(xié)議的新理論與新方法　28
1．7．6　網(wǎng)絡(luò)可生存性理論和技術(shù)　28
1．7．7　逆向分析與可控性技術(shù)　29
1．7．8　網(wǎng)絡(luò)病毒與垃圾信息防范技術(shù)　29
1．7．9　新型網(wǎng)絡(luò)、計算和應(yīng)用下的信息安全技術(shù)　29
1．7．10　主動實時防護模型和技術(shù)　29
1．8　小 結(jié)　29
參考文獻　30
第2章　信息系統(tǒng)等級保護的意義及發(fā)展　31
2．1　信息安全等級保護概述　31
2．1．1　什么是信息安全等級保護　31
2．1．2　傳統(tǒng)的安全保障體系與等級保護安全體系區(qū)別　32
2．2　狀信息系統(tǒng)等級化安全管理的重要意義　32
2．3　信息安全等級化保護思想的起源及發(fā)展　33
2．3．1　等級思想的起源　34
2．3．2　橘皮書和通用準(zhǔn)則　35
2．3．3　等級保護架構(gòu)的發(fā)展　36
2．3．4　等級保護體系的新綜合　37
2．4　美國的信息安全等級化發(fā)展歷程　38
2．4．1　美國信息系統(tǒng)分級的思路　38
2．4．2　安全措施的選擇　40
2．5　我國信息安全等級化發(fā)展歷程　42
2．6　小 結(jié)　48
參　考 文 獻　48
第3章　信息安全等級保障體系　50
3．1　為什么要實行等級保護　50
3．2　基本安全要求的結(jié)構(gòu)　50
3．3　等級化安全保障體系及其設(shè)計　51
3．3．1　安全保護對象框架　52
3．3．2　安全保護對策框架　53
3．3．3　等級化安全保障體系　55
3．4　信息安全等級保護體系設(shè)計方法及原則　56
3．4．1　安全體系設(shè)計原則　56
3．4．2　安全體系設(shè)計流程　58
3．5　安全組織體系設(shè)計　59
3．6　小 結(jié)　61
參考文獻　61
第4章　等級保護的保護對象體系設(shè)計　63
4．1　安全保護對象框架　63
4．2　保護對象框架建立　64
4．2．1　信息系統(tǒng)進行模型化處理　64
4．2．2　安全域劃分　65
4．2．3　保護對象分類　67
4．2．4　保護對象劃分方法　67
4．2．5　系統(tǒng)分域保護框架　68
4．2．6　保護對象等級化劃分　68
4．3　小 結(jié)　69
參考文獻　70
第5章　等級保護策略體系設(shè)計　72
5．1　定級策略　73
5．1．1　定級范圍　73
5．1．2　等級劃分　73
5．1．3　不同等級的安全保護能力　74
5．2　等級保護評估策略　77
5．2．1　評估指標(biāo)選擇和組合　77
5．2．2　現(xiàn)狀與評估指標(biāo)對比　77
5．2．3　額外/特殊風(fēng)險評估　78
5．2．4　綜合評估分析　81
5．3　安全規(guī)劃設(shè)計策略　82
5．4　等級保護測評策略　84
5．5　實施與運維要求策略　85
5．6　備案與管理策略　85
5．6．1　對涉密信息系統(tǒng)的管理　85
5．6．2　信息安全等級保護的密碼管理　87
5．7　小 結(jié)　88
參考文獻　88
第6章　等級保護安全技術(shù)體系設(shè)計　90
6．1　通用定級要素　90
6．2　通用定級方法　91
6．2．1　確定定級對象　91
6．2．2　信息系統(tǒng)的基本屬性CIA　92
6．2．3　定級流程　93
6．3　涉密信息系統(tǒng)的等級保護　95
6．4　信息系統(tǒng)安全技術(shù)體系結(jié)構(gòu)設(shè)計　95
6．5　安全技術(shù)體系建設(shè)　96
6．5．1　物理安全防護　96
6．5．2　計算環(huán)境安全防護　97
6．5．3　應(yīng)用安全監(jiān)控子系統(tǒng)　101
6．5．4　通信與存儲安全子系統(tǒng)　102
6．5．5　內(nèi)網(wǎng)安全管理子系統(tǒng)　103
6．5．6　區(qū)域邊界安全防護　105
6．5．7　網(wǎng)絡(luò)入侵檢測子系統(tǒng)　106
6．5．8　通信網(wǎng)絡(luò)安全防護　107
6．5．9　網(wǎng)絡(luò)設(shè)備安全檢測與加固　108
6．5．10　安全支撐平臺　109
6．6　小 結(jié)　111
參考文獻　112
第7章　信息安全等級保護運作體系設(shè)計　114
7．1　運作體系及其組成　114
7．2　定級階段　115
7．2．1　定級準(zhǔn)備　116
7．2．2　定級主要工作　119
7．3　總體安全規(guī)劃階段　120
7．3．1　安全等級評估　120
7．3．2　安全等級保護規(guī)劃流程及過程　121
7．4　設(shè)計開發(fā)/實施階段　121
7．5　運行維護階段　122
7．6　系統(tǒng)終止階段　122
7．7　小 結(jié)　122
參考文獻　123
第8章　信息系統(tǒng)安全等級保護基本要求　125
8．1　框架結(jié)構(gòu)　125
8．2　描述模型　126
8．2．1　總體描述　126
8．2．2　保護對象　127
8．2．3　安全保護能力　128
8．2．4　安全要求　130
8．3　逐級增強的特點　131
8．3．1　增強原則　131
8．3．2　總體描述　132
8．3．3　控制點增加　133
8．3．4　要求項增加　133
8．3．5　控制強度增強　134
8．4　各級安全要求　135
8．4．1　技術(shù)要求　135
8．4．2　管理要求　137
8．5　小 結(jié)　139
參考文獻　139
第9章　信息系統(tǒng)定級方法研究　141
9．1　綜合評價方法綜述　141
9．2　系統(tǒng)定級對象的確定　142
9．3　綜合評價方法綜述　142
9．3．1　綜合評價方法的基本流程　142
9．3．2　評價指標(biāo)體系建立原則　144
9．3．3　評價指標(biāo)體系框架　145
9．3．4　評價指標(biāo)體系的建立方法　145
9．3．5　評價指標(biāo)提取的相關(guān)問題　146
9．4　信息系統(tǒng)評價指標(biāo)體系分析　146
9．4．1　系統(tǒng)安全屬性分析　146
9．4．2　額外/特殊風(fēng)險評估　148
9．4．3　評價指標(biāo)的選取　151
9．4．4　量化定級模型　152
9．5　量化定級方法　156
9．5．1　構(gòu)造單 因 素隸 屬函 數(shù)　156
9．5．2　確定因 素權(quán) 重　158
9．5．3　計算安全等級　159
9．6　小結(jié)　161
參考文獻　161
第10章　等級保護中的信息安全風(fēng)險分析與評估　163
10．1　在等級保護周期中風(fēng)險評估作用　163
10．2　信息安全風(fēng)險評估原理　164
10．3　等級保護風(fēng)險評估模型　167
10．3．1　信息系統(tǒng)風(fēng)險評估模型現(xiàn)狀　167
10．3．2　等級保護風(fēng)險評估模型　169
10．4　等級保護信息安全風(fēng)險評估的內(nèi)容　173
10．4．1　技術(shù)層面威脅與風(fēng)險　173
10．4．2　管理層面威脅與風(fēng)險　175
10．5　風(fēng)險評估與合規(guī)性檢測　176
10．5．1　方法論　176
10．5．2　典型流程　178
10．5．3　專用工具　178
10．6　小 結(jié)　182
參考文獻　182
第11章　信息系統(tǒng)安全等級保護能力測評模型研究　185
11．1　信息系統(tǒng)安全等級保護能力測評概述　185
11．1．1　信息系統(tǒng)安全等級保護能力測評過程　186
11．1．2　信息系統(tǒng)安全等級保護能力測評存在的不足　188
11．2　信息系統(tǒng)安全等級保護能力測評指標(biāo)體系　188
11．2．1　總體描述　188
11．2．2　基本要求和框架　189
11．2．3　測評指標(biāo)體系　191
11．3　改進型信息系統(tǒng)安全等級保護能力測評模型　195
11．3．1　模型概述　195
11．3．2　測評對象確定　196
11．3．3　測評指標(biāo)選取　196
11．3．4　測評指標(biāo)數(shù)據(jù)采集　197
11．3．5　測評結(jié)果判定　199
11．3．6　基于知識的風(fēng)險分析　204
11．3．7　安全效益度量及最優(yōu)安全投入建議　205
11．4　小 結(jié)　212
參考文獻　212

第12章　等級保護實現(xiàn)的一般流程及實現(xiàn)方法　215
12．1　等級保護實施的基本流程　215
12．1．1　定級階段　216
12．1．2　總體安全規(guī)劃階段　217
12．1．3　安全等級評估　218
12．1．4　設(shè)計開發(fā)/實施階段　218
12．1．5　運行維護階段　219
12．1．6　系統(tǒng)終止階段　219
12．2　自我安全風(fēng)險分析與評估　220
12．3　信息系統(tǒng)定級　220
12．3．1　定級流程　220
12．3．2　信息系統(tǒng)等級確定　220
12．3．3　定級報告　223
12．3．4　定級備案　223
12．4　差距分析　223
12．4．1　等級測評范圍　223
12．4．2　等級測評內(nèi)容　224
12．4．3　差距分析流程　225
12．4．4　報告編制　226
12．5　體系咨詢規(guī)劃　226
12．5．1　滲透測試與安全加固　227
12．5．2　風(fēng)險評估與合規(guī)性檢測　231
12．5．3　安全體系咨詢規(guī)劃　231
12．5．4　解決方案設(shè)計　235
12．6　整改及集成實施　244
12．6．1　安全管理體系建設(shè)　244
12．6．2　安全技術(shù)體系建設(shè)　245
12．7　等級測評　245
12．8　安全運維　245
12．8．1　安全運維服務(wù)　245
12．8．2　監(jiān)控應(yīng)急　246
12．8．3　審計追查　247
12．9　小 結(jié)　247
參考文獻　247
第13章　省級電信計費系統(tǒng)定級實例　250
13．1　省級電信計費系統(tǒng)概述　250
13．1．1　系統(tǒng)總體描述　250
13．1．2　系統(tǒng)主要業(yè)務(wù)　251
13．1．3　系統(tǒng)安 全性 能分析　252
13．2　安全等級定級計算過程　253
13．2．1　計算社會影響力等級　253
13．2．2　5．2．2計算服務(wù)重要性等級　254
13．2．3　系統(tǒng)安全等級　256
13．3　小結(jié)　256
參考文獻　256
第14章　我國信息安全等級保護制度的創(chuàng)新和發(fā)展　1
14．1　信息安全等級保護是國家制度性工作　1
14．1．1　概述　1
14．2　科學(xué)定級、全面建設(shè)　2
14．2．1　定級　2
14．2．2　虛擬化技術(shù)典型架構(gòu)　2
14．3　主動應(yīng)對、積極防御　3
14．3．1　設(shè)計原則　3
14．3．2　結(jié)構(gòu)框架　3
14．3．3　安全防護特點　5
14．4　做好新型計算環(huán)境下信息安全等級保護工作　5
14．4．1　概述　5
14．5　小 結(jié)　9
參考文獻　10
第15章　基于云環(huán)境的等級化安全管理研究　260
15．1　云計算時代等級保護面臨的挑戰(zhàn)　260
15．1．1　云計算的定義　260
15．1．2　云計算安全　261
15．1．3　等級保護面臨的挑戰(zhàn)　263
15．2　改進型信息系統(tǒng)安全等級保護能力測評模型　266
15．2．1　虛擬化技術(shù)典型架構(gòu)　266
15．2．2　虛擬化技術(shù)安全風(fēng)險分析　267
15．2．3　虛擬化技術(shù)的等級保護基本要求　272
15．3　基于云安全模型的信息系統(tǒng)安全等級保護測評策略　276
15．3．1　云安全服務(wù)模型　277
15．3．2　基于云安全模型的信息安全等級測評　277
15．4　美國國防部等級化云計算安全體系分析與啟示　278
15．4．1　美國國防部云計算安全管理的制度基礎(chǔ)　279
15．4．2　美國國防部云計算安全管理框架　280
15．4．3　重點技術(shù)要求　281
15．4．4　分級網(wǎng)絡(luò)安全管理模式對比　283
15．4．5　啟發(fā)與建議　284
15．5　云計算虛擬化環(huán)境中的安全等級保護實例　285
15．5．1　云計算在電力行業(yè)的應(yīng)用　285
15．5．2　云計算虛擬化帶來的邊界挑戰(zhàn)　288
15．6　小 結(jié)　291
1參考文獻　292
第16章　等級化安全管理支撐平臺設(shè)計　285
16．1　平臺系統(tǒng)設(shè)計原則　285
16．2　系統(tǒng)構(gòu)架　287
16．2．1　系統(tǒng)角色　287
16．2．2　架構(gòu)分層描述　287
16．3　功能構(gòu)架　288
16．3．1　功能分解　288
16．3．2　功能劃分　290
16．3．3　功能架構(gòu)　291
16．4　數(shù)據(jù)架構(gòu)　293
16．4．1　業(yè)務(wù)數(shù)據(jù)模型　294
16．4．2　技術(shù)數(shù)據(jù)模型　295
16．5　技術(shù)架構(gòu)　296
16．6　系統(tǒng)設(shè)計　296
16．6．1　系統(tǒng)功能設(shè)計　297
16．6．2　數(shù)據(jù)模型設(shè)計　302
16．6．3　數(shù)據(jù)編碼設(shè)計　308
16．6．4　系統(tǒng)接口分析與設(shè)計　312
16．6．5　知識庫設(shè)計　314
16．7　小 結(jié)　315
參考文獻　315