一、信息安全政策文件体系
1.1 核心政策文件
📋 国家信息安全保障工作的纲领性文件
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确了我国信息安全保障工作的方针和总体要求以及加强信息安全保障工作的主要原则。
核心政策文件对比:
| 文件名称 | 发布机构 | 主要内容 | 地位 |
|---|---|---|---|
| 《国家信息化领导小组关于加强信息安全保障工作的意见》 | 中办 | 方针、总体要求、主要原则 | ✅ 纲领性文件 |
| 《关于加强政府信息系统安全和保密管理工作的通知》 | 国务院办公厅 | 政府信息系统安全管理 | 专项文件 |
| 《中华人民共和国计算机信息系统安全保护条例》 | 国务院 | 计算机信息系统安全保护 | 行政法规 |
| 《关于开展信息安全风险评估工作的意见》 | 相关部门 | 风险评估工作指导 | 专项文件 |
《国家信息化领导小组关于加强信息安全保障工作的意见》的重要性:
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文件核心内容:
-
信息安全保障工作方针
- 积极防御
- 综合防范
- 确保重点
-
总体要求
- 提高信息安全保障能力
- 保障重要信息系统安全
- 维护国家安全和社会稳定
-
主要原则
- 坚持积极防御、综合防范
- 坚持管理与技术并重
- 坚持突出重点、保障重点
- 坚持统筹规划、分步实施
-
重点任务
- 建立信息安全等级保护制度
- 开展信息安全风险评估
- 建立应急响应机制
- 加强信息安全教育培训
二、信息安全等级保护制度
2.1 等级保护概述
信息安全等级保护是我国的一项基础制度,具有一定强制性,其实施的主要目的是有效地提高我国信息和信息系统安全建设的整体水平,重点保障基础信息网络和重要信息系统的安全。
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💡 等级保护的特点
基础性制度:
- 作为我国信息安全的基础制度
- 具有一定的强制性
- 适用于各类信息系统
主要目的:
- 提高信息系统安全建设整体水平
- 重点保障基础信息网络
- 保护重要信息系统安全
2.2 等级保护五个等级
我国信息安全等级保护将信息系统分为五个安全保护等级:
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各等级详细说明:
| 等级 | 名称 | 破坏后果 | 管理要求 |
|---|---|---|---|
| 第一级 | 用户自主保护级 | 损害公民、法人和其他组织的合法权益,但不损害国家安全、社会秩序和公共利益 | 自主定级、自主保护、备案 |
| 第二级 | 系统审计保护级 | 严重损害公民、法人和其他组织的合法权益,或者损害社会秩序和公共利益,但不损害国家安全 | 自主定级、自主保护、备案 |
| 第三级 | 安全标记保护级 | 严重损害社会秩序和公共利益,或者损害国家安全 | 主管部门审核、测评、检查 |
| 第四级 | 结构化保护级 | 特别严重损害社会秩序和公共利益,或者严重损害国家安全 | 主管部门审核、强制测评 |
| 第五级 | 访问验证保护级 | 特别严重损害国家安全 | 国家专门控制 |
2.3 等级保护测评体系
🔍 测评体系管理
根据相关文件规定,由公安部等级保护评估中心对等级保护测评机构管理,接受测评机构的申请、考核和定期能力验证,对不具备能力的测评机构则取消授权。
测评体系关键要素:
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测评体系管理流程:
| 阶段 | 内容 | 负责机构 | 说明 |
|---|---|---|---|
| 申请 | 测评机构提交申请 | 测评机构 | 需满足资质要求 |
| 考核 | 对测评机构进行考核 | 公安部等级保护评估中心 | 评估能力和资质 |
| 能力验证 | 定期验证测评能力 | 公安部等级保护评估中心 | 确保持续符合要求 |
| 取消授权 | 对不具备能力的机构取消授权 | 公安部等级保护评估中心 | 保证测评质量 |
2.4 二级系统的特点
💡 二级系统管理特点
自主性强:
- 自主定级:系统运营使用单位自行确定等级
- 自主保护:按照要求自行建设和保护
- 备案制:向公安机关备案即可
无需上级测评:
- 不需要上级或主管部门测评
- 不需要主管部门检查
- 但需要向公安机关备案
2.5 等级保护与其他标准的区别
常见信息安全标准对比:
| 标准/制度 | 性质 | 强制性 | 适用范围 | 主要目的 |
|---|---|---|---|---|
| 信息安全等级保护 | 国家基础制度 | 有一定强制性 | 中国境内信息系统 | 提高整体安全水平 |
| ISMS (ISO 27001) | 国际标准 | 自愿认证 | 全球 | 建立管理体系 |
| NIST SP800 | 技术指南 | 美国联邦机构强制 | 主要美国 | 提供技术指导 |
| ISO 27000系列 | 国际标准 | 自愿认证 | 全球 | 信息安全管理 |
三、信息安全保障技术框架(IATF)
3.1 IATF概述
信息安全保障技术框架(Information Assurance Technical Framework, IATF)是美国国家安全局(NSA)制定的框架,目的是为保障政府和工业的信息基础设施提供技术指南。
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3.2 IATF的核心思想:深度防御
深度防御(Defense in Depth)是IATF的核心思想,强调多层次、多维度的安全防护。
💡 深度防御的核心理念
多层防护:
- 不依赖单一防护措施
- 建立多道防线
- 即使一层被突破,其他层仍能保护
全方位防护:
- 从人员、技术、运行三个维度
- 覆盖网络、边界、计算环境
- 提供全面的安全保障
3.3 深度防御的三个核心要素
深度防御战略包含三个核心要素:
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三要素详解:
| 要素 | 说明 | 关键内容 |
|---|---|---|
| 人员(People) | 安全的人为因素 | 安全意识、培训、职责、文化 |
| 技术(Technology) | 安全的技术手段 | 防火墙、加密、认证、检测 |
| 运行/操作(Operations) | 安全的管理运营 | 策略、流程、监控、响应 |
⚠️ 三要素缺一不可
- 只有技术没有人员意识,安全措施会被绕过
- 只有人员没有技术支撑,无法有效防护
- 只有技术和人员没有运行管理,无法持续保障
3.4 IATF的纵深防御层次
纵深防御的四个层次:
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四、安全培训管理
4.1 安全培训的重要性
安全培训是提升组织整体安全水平的关键手段,需要针对不同人员制定不同的培训计划。
Z3JhcGggVEIKICAgIEFbIuWuieWFqOWfueiureS9k+ezuyJdCiAgICAKICAgIEJbIumrmOWxgueuoeeQhuiAhSJdCiAgICBDWyLlronlhajnrqHnkIbkurrlkZgiXQogICAgRFsi5oqA5pyv5Lq65ZGYIl0KICAgIEVbIuWFqOS9k+WRmOW3pSJdCiAgICAKICAgIEEgLS0+IEIKICAgIEEgLS0+IEMKICAgIEEgLS0+IEQKICAgIEEgLS0+IEUKICAgIAogICAgQiAtLT4gQjFbIue9kee7nOWuieWFqOazlSJdCiAgICBCIC0tPiBCMlsi5oiY55Wl5Yaz562WIl0KICAgIEIgLS0+IEIzWyLlkIjop4TopoHmsYIiXQogICAgCiAgICBDIC0tPiBDMVsiQ0lTUOiupOivgSJdCiAgICBDIC0tPiBDMlsi5LiT5Lia5oqA6IO9Il0KICAgIEMgLS0+IEMzWyLnrqHnkIbog73lipsiXQogICAgCiAgICBEIC0tPiBEMVsi5a6J5YWo5Z+656GAIl0KICAgIEQgLS0+IEQyWyLmioDmnK/lrp7ot7UiXQogICAgRCAtLT4gRDNbIuWuieWFqOW8gOWPkSJdCiAgICAKICAgIEUgLS0+IEUxWyLlronlhajmhI/or4YiXQogICAgRSAtLT4gRTJbIuWfuuehgOefpeivhiJdCiAgICBFIC0tPiBFM1si5pel5bi46KeE6IyDIl0KICAgIAogICAgc3R5bGUgQiBmaWxsOiNlM2YyZmQsc3Ryb2tlOiMxOTc2ZDIKICAgIHN0eWxlIEMgZmlsbDojZThmNWU5LHN0cm9rZTojMzg4ZTNkCiAgICBzdHlsZSBEIGZpbGw6I2ZmZjNlMCxzdHJva2U6I2Y1N2MwMAogICAgc3R5bGUgRSBmaWxsOiNmM2U1ZjUsc3Ryb2tlOiM3YjFmYTI=4.2 分层培训策略
不同层级的培训重点:
| 人员层级 | 培训内容 | 培训目标 | 培训方式 |
|---|---|---|---|
| 高层管理者(一把手) | 网络安全法、战略决策 | 提升安全意识和重视程度 | 专题讲座、高层研讨 |
| 安全管理人员 | CISP认证、专业技能 | 确保专业能力 | 认证培训、专业课程 |
| 技术人员 | 安全基础、技术实践 | 掌握安全技术 | 技术培训、实操演练 |
| 全体员工 | 安全意识、基础知识 | 全员安全意识 | 在线学习、定期宣传 |
4.3 培训计划制定
💡 有效的培训计划
全面覆盖:
- 从高层到基层全覆盖
- 不同层级不同内容
- 确保培训针对性
重点突出:
- 高层重视网络安全法
- 管理人员重视专业能力
- 技术人员重视实践技能
- 全员重视安全意识
4.4 培训效果评估
培训效果评估方法:
培训效果评估:
├── 反应层评估
│ ├── 培训满意度调查
│ └── 即时反馈收集
├── 学习层评估
│ ├── 知识测试
│ └── 技能考核
├── 行为层评估
│ ├── 工作行为观察
│ └── 安全实践检查
└── 结果层评估
├── 安全事件减少
└── 合规性提升五、通用准则(CC标准)
5.1 CC标准概述
通用准则(Common Criteria, CC)是目前系统安全认证方面最权威的国际标准,全称为《信息技术安全评估通用准则》。
Z3JhcGggVEIKICAgIEFbIkND5qCH5YeGIl0KICAgIAogICAgQlsi57uT5p6E5byA5pS+5oCnIl0KICAgIENbIuihqOi+vumAmueUqOaApyJdCiAgICBEWyLni6znq4vmgKciXQogICAgCiAgICBBIC0tPiBCCiAgICBBIC0tPiBDCiAgICBBIC0tPiBECiAgICAKICAgIEIgLS0+IEIxWyLkv53miqTova7lu5NQUCJdCiAgICBCIC0tPiBCMlsi5a6J5YWo55uu5qCHU1QiXQogICAgQiAtLT4gQjNbIuWPr+aJqeWxlSJdCiAgICAKICAgIEMgLS0+IEMxWyLpgJrnlKjooajovr7mlrnlvI8iXQogICAgQyAtLT4gQzJbIuagh+WHhuWMluaPj+i/sCJdCiAgICAKICAgIEQgLS0+IEQxWyLlip/og73kuI7kv53or4HliIbnprsiXQogICAgRCAtLT4gRDJbIueLrOeri+ivhOS8sCJdCiAgICAKICAgIHN0eWxlIEIgZmlsbDojZTNmMmZkLHN0cm9rZTojMTk3NmQyCiAgICBzdHlsZSBDIGZpbGw6I2U4ZjVlOSxzdHJva2U6IzM4OGUzZAogICAgc3R5bGUgRCBmaWxsOiNmZmYzZTAsc3Ryb2tlOiNmNTdjMDA=5.2 CC标准的先进性
💡 CC标准的三大先进特性
1. 结构的开放性:
- 功能和保证要求可在具体的"保护轮廓"(PP)中细化
- 可在"安全目标"(ST)中进一步扩展
- 支持灵活的安全需求定义
2. 表达方式的通用性:
- 提供通用的表达方式
- 便于不同产品和系统的安全描述
- 促进国际间的互认
3. 独立性:
- 强调将安全的功能和保证分离
- 功能要求:系统应该做什么
- 保证要求:如何确保系统正确实现功能
CC标准特性对比:
| 特性 | 说明 | 体现方式 | 是否为先进性 |
|---|---|---|---|
| 结构开放性 | 功能和保证要求可细化扩展 | PP和ST | ✅ 是 |
| 表达通用性 | 通用的表达方式 | 标准化描述 | ✅ 是 |
| 独立性 | 功能与保证分离 | 分离评估 | ✅ 是 |
| 实用性 | 应用到开发、测试过程 | 实施指导 | ❌ 不是先进性体现 |
⚠️ 注意区分
实用性不是CC标准先进性的体现:
- 实用性是指将CC标准应用到实际的IT产品开发、生产、测试和评估过程中
- 这是标准的应用层面,不是标准本身的先进性特征
- CC标准的先进性主要体现在其设计理念和框架结构上
5.3 CC标准核心概念
保护轮廓(PP)与安全目标(ST):
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六、总结
🎯 关键要点
等级保护制度:
- 信息安全等级保护是我国的基础制度,有一定强制性
- 二级系统只需自主定级、自主保护、向公安机关备案
- 五个等级:用户自主、系统审计、安全标记、结构化、访问验证
IATF框架:
- IATF的核心思想是深度防御
- 深度防御的三个核心要素:人员、技术和运行(操作)
- 纵深防御四层次:网络基础设施、边界、计算环境、支撑设施
安全培训:
- 安全培训应针对不同层级制定不同内容
- 高层管理者应重点培训网络安全法
- 技术人员需掌握安全技术实践
CC标准:
- CC标准的先进性体现在结构开放性、表达通用性、独立性
- 实用性不是CC标准先进性的体现
- PP(保护轮廓)和ST(安全目标)是核心概念
💡 实践建议
- 准确定级,合规建设
- 建立深度防御体系
- 重视人员、技术、运行三要素
- 制定全面的培训计划
- 定期评估培训效果
下一篇: CISP学习指南:信息安全管理体系与标准