一、信息安全政策文件体系
1.1 核心政策文件
国家信息安全保障工作的纲领性文件
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确了我国信息安全保障工作的方针和总体要求以及加强信息安全保障工作的主要原则。 核心政策文件对比:
| 文件名称 | 发布机构 | 主要内容 | 地位 |
|---|---|---|---|
| 《国家信息化领导小组关于加强信息安全保障工作的意见》 | 中办 | 方针、总体要求、主要原则 | ✅ 纲领性文件 |
| 《关于加强政府信息系统安全和保密管理工作的通知》 | 国务院办公厅 | 政府信息系统安全管理 | 专项文件 |
| 《中华人民共和国计算机信息系统安全保护条例》 | 国务院 | 计算机信息系统安全保护 | 行政法规 |
| 《关于开展信息安全风险评估工作的意见》 | 相关部门 | 风险评估工作指导 | 专项文件 |
| 《国家信息化领导小组关于加强信息安全保障工作的意见》的重要性: |
graph TB
A["中办发[2003]27号文件"]
B["信息安全保障工作方针"]
C["总体要求"]
D["主要原则"]
E["重点任务"]
A --> B
A --> C
A --> D
A --> E
B --> B1["积极防御"]
B --> B2["综合防范"]
C --> C1["提高整体水平"]
C --> C2["保障重点系统"]
D --> D1["坚持积极防御"]
D --> D2["坚持管理与技术并重"]
D --> D3["坚持突出重点"]
E --> E1["等级保护制度"]
E --> E2["风险评估"]
E --> E3["应急响应"]
style A fill:#e3f2fd,stroke:#1976d2
style B fill:#fff3e0,stroke:#f57c00
style C fill:#e8f5e9,stroke:#388e3d
style D fill:#f3e5f5,stroke:#7b1fa2
style E fill:#fce4ec,stroke:#c2185b
文件核心内容:
- 信息安全保障工作方针
- 积极防御
- 综合防范
- 确保重点
- 总体要求
- 提高信息安全保障能力
- 保障重要信息系统安全
- 维护国家安全和社会稳定
- 主要原则
- 坚持积极防御、综合防范
- 坚持管理与技术并重
- 坚持突出重点、保障重点
- 坚持统筹规划、分步实施
- 重点任务
- 建立信息安全等级保护制度
- 开展信息安全风险评估
- 建立应急响应机制
- 加强信息安全教育培训
二、信息安全等级保护制度
2.1 等级保护概述
信息安全等级保护是我国的一项基础制度,具有一定强制性,其实施的主要目的是有效地提高我国信息和信息系统安全建设的整体水平,重点保障基础信息网络和重要信息系统的安全。
graph TB
A["信息安全等级保护"]
B["定级"]
C["备案"]
D["建设整改"]
E["等级测评"]
F["监督检查"]
A --> B
B --> C
C --> D
D --> E
E --> F
F --> D
B --> B1["确定保护等级"]
C --> C1["向公安机关备案"]
D --> D1["按等级要求建设"]
E --> E1["第三方测评"]
F --> F1["主管部门检查"]
style A fill:#e3f2fd,stroke:#1976d2
style B fill:#fff3e0,stroke:#f57c00
style C fill:#e8f5e9,stroke:#388e3d
style D fill:#f3e5f5,stroke:#7b1fa2
style E fill:#fce4ec,stroke:#c2185b
style F fill:#e1f5fe,stroke:#0277bd
等级保护的特点
基础性制度:
- 作为我国信息安全的基础制度
- 具有一定的强制性
- 适用于各类信息系统 主要目的:
- 提高信息系统安全建设整体水平
- 重点保障基础信息网络
- 保护重要信息系统安全
2.2 等级保护五个等级
我国信息安全等级保护将信息系统分为五个安全保护等级:
graph TB
A["等级保护五级体系"]
B["第一级<br/>用户自主保护级"]
C["第二级<br/>系统审计保护级"]
D["第三级<br/>安全标记保护级"]
E["第四级<br/>结构化保护级"]
F["第五级<br/>访问验证保护级"]
A --> B
A --> C
A --> D
A --> E
A --> F
B --> B1["自主定级<br/>自主保护<br/>备案"]
C --> C1["自主定级<br/>自主保护<br/>备案"]
D --> D1["主管部门审核<br/>测评检查"]
E --> E1["主管部门审核<br/>强制测评"]
F --> F1["国家专控<br/>最高等级"]
style B fill:#e8f5e9,stroke:#388e3d
style C fill:#fff3e0,stroke:#f57c00
style D fill:#ffe0b2,stroke:#e65100
style E fill:#ffcdd2,stroke:#c62828
style F fill:#f3e5f5,stroke:#4a148c
各等级详细说明:
| 等级 | 名称 | 破坏后果 | 管理要求 |
|---|---|---|---|
| 第一级 | 用户自主保护级 | 损害公民、法人和其他组织的合法权益,但不损害国家安全、社会秩序和公共利益 | 自主定级、自主保护、备案 |
| 第二级 | 系统审计保护级 | 严重损害公民、法人和其他组织的合法权益,或者损害社会秩序和公共利益,但不损害国家安全 | 自主定级、自主保护、备案 |
| 第三级 | 安全标记保护级 | 严重损害社会秩序和公共利益,或者损害国家安全 | 主管部门审核、测评、检查 |
| 第四级 | 结构化保护级 | 特别严重损害社会秩序和公共利益,或者严重损害国家安全 | 主管部门审核、强制测评 |
| 第五级 | 访问验证保护级 | 特别严重损害国家安全 | 国家专门控制 |
2.3 等级保护测评体系
测评体系管理
根据相关文件规定,由公安部等级保护评估中心对等级保护测评机构管理,接受测评机构的申请、考核和定期能力验证,对不具备能力的测评机构则取消授权。 测评体系关键要素:
graph TB
A["等级保护测评体系"]
B["管理机构"]
C["测评机构"]
D["管理流程"]
A --> B
A --> C
A --> D
B --> B1["公安部等级保护评估中心"]
C --> C1["申请资质"]
C --> C2["接受考核"]
C --> C3["定期能力验证"]
D --> D1["申请"]
D --> D2["考核"]
D --> D3["能力验证"]
D --> D4["取消授权"]
style B fill:#e3f2fd,stroke:#1976d2
style C fill:#e8f5e9,stroke:#388e3d
style D fill:#fff3e0,stroke:#f57c00
测评体系管理流程:
| 阶段 | 内容 | 负责机构 | 说明 |
|---|---|---|---|
| 申请 | 测评机构提交申请 | 测评机构 | 需满足资质要求 |
| 考核 | 对测评机构进行考核 | 公安部等级保护评估中心 | 评估能力和资质 |
| 能力验证 | 定期验证测评能力 | 公安部等级保护评估中心 | 确保持续符合要求 |
| 取消授权 | 对不具备能力的机构取消授权 | 公安部等级保护评估中心 | 保证测评质量 |
2.4 二级系统的特点
二级系统管理特点
自主性强:
- 自主定级:系统运营使用单位自行确定等级
- 自主保护:按照要求自行建设和保护
- 备案制:向公安机关备案即可 无需上级测评:
- 不需要上级或主管部门测评
- 不需要主管部门检查
- 但需要向公安机关备案
2.5 等级保护与其他标准的区别
常见信息安全标准对比:
| 标准/制度 | 性质 | 强制性 | 适用范围 | 主要目的 |
|---|---|---|---|---|
| 信息安全等级保护 | 国家基础制度 | 有一定强制性 | 中国境内信息系统 | 提高整体安全水平 |
| ISMS (ISO 27001) | 国际标准 | 自愿认证 | 全球 | 建立管理体系 |
| NIST SP800 | 技术指南 | 美国联邦机构强制 | 主要美国 | 提供技术指导 |
| ISO 27000系列 | 国际标准 | 自愿认证 | 全球 | 信息安全管理 |
三、信息安全保障技术框架(IATF)
3.1 IATF概述
信息安全保障技术框架(Information Assurance Technical Framework, IATF)是美国国家安全局(NSA)制定的框架,目的是为保障政府和工业的信息基础设施提供技术指南。
graph TB
A["IATF框架"]
B["深度防御战略"]
C["纵深防御"]
D["安全服务"]
A --> B
A --> C
A --> D
B --> B1["人员"]
B --> B2["技术"]
B --> B3["运行/操作"]
C --> C1["保护网络和基础设施"]
C --> C2["保护边界"]
C --> C3["保护计算环境"]
C --> C4["支撑性基础设施"]
D --> D1["认证"]
D --> D2["访问控制"]
D --> D3["完整性"]
D --> D4["保密性"]
D --> D5["可用性"]
style B fill:#e3f2fd,stroke:#1976d2
style C fill:#e8f5e9,stroke:#388e3d
style D fill:#fff3e0,stroke:#f57c00
3.2 IATF的核心思想:深度防御
深度防御(Defense in Depth)是IATF的核心思想,强调多层次、多维度的安全防护。
深度防御的核心理念
多层防护:
- 不依赖单一防护措施
- 建立多道防线
- 即使一层被突破,其他层仍能保护 全方位防护:
- 从人员、技术、运行三个维度
- 覆盖网络、边界、计算环境
- 提供全面的安全保障
3.3 深度防御的三个核心要素
深度防御战略包含三个核心要素:
graph LR
A["深度防御三要素"]
B["人员<br/>People"]
C["技术<br/>Technology"]
D["运行/操作<br/>Operations"]
A --> B
A --> C
A --> D
B --> B1["安全意识"]
B --> B2["培训教育"]
B --> B3["职责分工"]
C --> C1["安全技术"]
C --> C2["安全产品"]
C --> C3["安全工具"]
D --> D1["安全流程"]
D --> D2["安全策略"]
D --> D3["日常运维"]
style B fill:#e3f2fd,stroke:#1976d2
style C fill:#e8f5e9,stroke:#388e3d
style D fill:#fff3e0,stroke:#f57c00
三要素详解:
| 要素 | 说明 | 关键内容 |
|---|---|---|
| 人员(People) | 安全的人为因素 | 安全意识、培训、职责、文化 |
| 技术(Technology) | 安全的技术手段 | 防火墙、加密、认证、检测 |
| 运行/操作(Operations) | 安全的管理运营 | 策略、流程、监控、响应 |
三要素缺一不可
- 只有技术没有人员意识,安全措施会被绕过
- 只有人员没有技术支撑,无法有效防护
- 只有技术和人员没有运行管理,无法持续保障
3.4 IATF的纵深防御层次
纵深防御的四个层次:
graph TB
A["纵深防御层次"]
B["保护网络和基础设施"]
C["保护边界"]
D["保护计算环境"]
E["支撑性基础设施"]
A --> B
A --> C
A --> D
A --> E
B --> B1["网络架构安全"]
B --> B2["网络设备安全"]
C --> C1["防火墙"]
C --> C2["入侵检测"]
D --> D1["主机安全"]
D --> D2["应用安全"]
E --> E1["物理安全"]
E --> E2["人员安全"]
style B fill:#e3f2fd,stroke:#1976d2
style C fill:#e8f5e9,stroke:#388e3d
style D fill:#fff3e0,stroke:#f57c00
style E fill:#f3e5f5,stroke:#7b1fa2
四、安全培训管理
4.1 安全培训的重要性
安全培训是提升组织整体安全水平的关键手段,需要针对不同人员制定不同的培训计划。
graph TB
A["安全培训体系"]
B["高层管理者"]
C["安全管理人员"]
D["技术人员"]
E["全体员工"]
A --> B
A --> C
A --> D
A --> E
B --> B1["网络安全法"]
B --> B2["战略决策"]
B --> B3["合规要求"]
C --> C1["CISP认证"]
C --> C2["专业技能"]
C --> C3["管理能力"]
D --> D1["安全基础"]
D --> D2["技术实践"]
D --> D3["安全开发"]
E --> E1["安全意识"]
E --> E2["基础知识"]
E --> E3["日常规范"]
style B fill:#e3f2fd,stroke:#1976d2
style C fill:#e8f5e9,stroke:#388e3d
style D fill:#fff3e0,stroke:#f57c00
style E fill:#f3e5f5,stroke:#7b1fa2
4.2 分层培训策略
不同层级的培训重点:
| 人员层级 | 培训内容 | 培训目标 | 培训方式 |
|---|---|---|---|
| 高层管理者(一把手) | 网络安全法、战略决策 | 提升安全意识和重视程度 | 专题讲座、高层研讨 |
| 安全管理人员 | CISP认证、专业技能 | 确保专业能力 | 认证培训、专业课程 |
| 技术人员 | 安全基础、技术实践 | 掌握安全技术 | 技术培训、实操演练 |
| 全体员工 | 安全意识、基础知识 | 全员安全意识 | 在线学习、定期宣传 |
4.3 培训计划制定
有效的培训计划
全面覆盖:
- 从高层到基层全覆盖
- 不同层级不同内容
- 确保培训针对性 重点突出:
- 高层重视网络安全法
- 管理人员重视专业能力
- 技术人员重视实践技能
- 全员重视安全意识
4.4 培训效果评估
培训效果评估方法:
培训效果评估:
├── 反应层评估
│ ├── 培训满意度调查
│ └── 即时反馈收集
├── 学习层评估
│ ├── 知识测试
│ └── 技能考核
├── 行为层评估
│ ├── 工作行为观察
│ └── 安全实践检查
└── 结果层评估
├── 安全事件减少
└── 合规性提升五、通用准则(CC标准)
5.1 CC标准概述
通用准则(Common Criteria, CC)是目前系统安全认证方面最权威的国际标准,全称为《信息技术安全评估通用准则》。
graph TB
A["CC标准"]
B["结构开放性"]
C["表达通用性"]
D["独立性"]
A --> B
A --> C
A --> D
B --> B1["保护轮廓PP"]
B --> B2["安全目标ST"]
B --> B3["可扩展"]
C --> C1["通用表达方式"]
C --> C2["标准化描述"]
D --> D1["功能与保证分离"]
D --> D2["独立评估"]
style B fill:#e3f2fd,stroke:#1976d2
style C fill:#e8f5e9,stroke:#388e3d
style D fill:#fff3e0,stroke:#f57c00
5.2 CC标准的先进性
CC标准的三大先进特性
1. 结构的开放性:
- 功能和保证要求可在具体的”保护轮廓”(PP)中细化
- 可在”安全目标”(ST)中进一步扩展
- 支持灵活的安全需求定义 2. 表达方式的通用性:
- 提供通用的表达方式
- 便于不同产品和系统的安全描述
- 促进国际间的互认 3. 独立性:
- 强调将安全的功能和保证分离
- 功能要求:系统应该做什么
- 保证要求:如何确保系统正确实现功能 CC标准特性对比: | 特性 | 说明 | 体现方式 | 是否为先进性 | |------|------|---------|-------------| | 结构开放性 | 功能和保证要求可细化扩展 | PP和ST | ✅ 是 | | 表达通用性 | 通用的表达方式 | 标准化描述 | ✅ 是 | | 独立性 | 功能与保证分离 | 分离评估 | ✅ 是 | | 实用性 | 应用到开发、测试过程 | 实施指导 | ❌ 不是先进性体现 |
注意区分
实用性不是CC标准先进性的体现:
- 实用性是指将CC标准应用到实际的IT产品开发、生产、测试和评估过程中
- 这是标准的应用层面,不是标准本身的先进性特征
- CC标准的先进性主要体现在其设计理念和框架结构上
5.3 CC标准核心概念
保护轮廓(PP)与安全目标(ST):
graph LR
A["CC标准核心概念"]
B["保护轮廓<br/>PP"]
C["安全目标<br/>ST"]
A --> B
A --> C
B --> B1["通用安全需求"]
B --> B2["某类产品"]
B --> B3["可重用"]
C --> C1["具体产品"]
C --> C2["实现声明"]
C --> C3["评估依据"]
style B fill:#e3f2fd,stroke:#1976d2
style C fill:#e8f5e9,stroke:#388e3d
六、总结
关键要点
等级保护制度:
- 信息安全等级保护是我国的基础制度,有一定强制性
- 二级系统只需自主定级、自主保护、向公安机关备案
- 五个等级:用户自主、系统审计、安全标记、结构化、访问验证 IATF框架:
- IATF的核心思想是深度防御
- 深度防御的三个核心要素:人员、技术和运行(操作)
- 纵深防御四层次:网络基础设施、边界、计算环境、支撑设施 安全培训:
- 安全培训应针对不同层级制定不同内容
- 高层管理者应重点培训网络安全法
- 技术人员需掌握安全技术实践 CC标准:
- CC标准的先进性体现在结构开放性、表达通用性、独立性
- 实用性不是CC标准先进性的体现
- PP(保护轮廓)和ST(安全目标)是核心概念
实践建议
- 准确定级,合规建设
- 建立深度防御体系
- 重视人员、技术、运行三要素
- 制定全面的培训计划
- 定期评估培训效果 下一篇: CISP学习指南:信息安全管理体系与标准