返回
信息系统安全威胁及等级保护

信息系统安全威胁及等级保护

ID:22660810

大小:67.12 KB

页数:6页

时间:2018-10-30

信息系统安全威胁及等级保护_第1页
信息系统安全威胁及等级保护_第2页
信息系统安全威胁及等级保护_第3页
信息系统安全威胁及等级保护_第4页
信息系统安全威胁及等级保护_第5页
资源描述:

《信息系统安全威胁及等级保护》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、信息系统安全威胁及等级保护【摘要】随着信息化水平的不断提高,各单位对其依赖程度前所未有的加大,然而随着各种攻击技术的发展,没有防御的系统则显得不堪一击。针对此,每个单位信息系统的安全运行都相应的加大了信息安全的关注与投入。鉴于此,研宄不同等级的信息系统所需的安全措施就变得很有意义。主要说明了信息系统的不同等级及其安全防护水平。【关键词】信息化;风险;等级保护;安全1信息化发展背景1.1全球背景信息化是充分利用信息技术,开发利用信息资源,促进信息交流和知识共享,提高经济增长质量,推动经济社会发展转型的历史进程。随着信

2、息技术发展,信息化对经济社会发展的影响更加深刻。信息资源日益成为重要生产要素、无形资产和社会财富。与此同时,信息安全的重要性也与日倶增,成为各国面临的共同挑战。1.2我国目标我国信息化发展战略概括为:以信息化促进工业化,以工业化带动信息化,走出中国特色的信息化道路。信息化是当今世界发展的大趋势,是推动经济社会变革的重要力量。到2020年,我国信息化发展的战略目标是:综合信息基础设施基本普及,信息技术自主创新能力显著增强,信息产业结构全面优化,国家信息安全保障水平大幅提高,国民经济和社会信息化取得明显成效,新型工业化

3、发展模式初步确立,国家信息化发展的制度环境和政策体系基本完善,国民信息技术应用能力显著提高,为迈向信息社会奠定坚实基础。2等级保护标准及其具体范围信息安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。2.1美国可信计算机安全评价标准美国可信计算机安全评价标准(TrustedComputerSystemEvaluationCriteria,TCSEC

4、),该标准是世界范围内计算机系统安全评估的第一个正式标准,具有划时代的意义。该准则于1970年由美国国防科学委员会提出,并于1985年12月由美国国防部公布。TCSEC最初只是军用标准,后来延至民用领域。TCSEC将计算机系统的安全划分为4个等级、7个级别。D类安全等级:D类安全等级只包括D1—个级别。D1的安全等级最低。C类安全等级:该类安全等级能够提供审计的保护,并为用户的行动和责任提供审计能力。C类安全等级可划分为C1和C2两类。B类安全等级:B类安全等级可分为BI、B2和B3三类。B类系统具有强制性保护功能

5、。A类安全等级:A系统的安全级别最高。目前,A类安全等级只包含A1—个安全类别。A1系统的显著特征是,系统的设计者必须按照一个正式的设计规范来分析系统。2.2欧洲的安全评价标准欧洲的安全评价标准ITSEC(InformationTechnologySecurityEvaluationCriteria)是英国、'法国、德国和荷兰制定的IT安全评估准则,是欧洲多国安全评价方法的综合产物,应用领域为军队、政府和商业。该标准将安全概念分为功能与评估两部分。功能准则从F1〜F10共分10级。1〜5级对应于TCSEC的D到A。

6、F6至F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性的网络安全。与TCSEC不同,它并不把保密措施直接与计算机功能相联系,而是只叙述技术安全的要求,把保密作为安全增强功能。另外,TCSEC把保密作为安全的重点,而ITSEC则把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级(不满足品质)到E6级(形式化验证)的7个安全等级,对于每个系统,安全功能可分别定义。2.3我国计算机信息系统安全保护等级划分准则我国根据世界范围内信息安全及计算机系统安全

7、评估等技术的发展,并结合我国自身情况,制定并颁发了我国计算机信息系统安全保护等级划分准则(GB17859-1999),在该准则中将信息系统分为下面五个等级:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。3风险分析和安全保护措施3.1漏洞、威胁、风险在实际中,计算机信息系统在确定保护等级之前首先要对该计算机信息系统进行风险分析。风险是构成安全基础的基本观念,风险是丢失需要保护的资产的可能性。如果没有风险就不需要安全。威胁是可能破坏信息系统环境安全

8、的行动或事件。漏洞是各种攻击可能的途径。风险是威胁和漏洞的综合结果。没有漏洞的威胁没有风险,没有威胁的漏洞也没有风险。识别风险除了识别漏洞和威胁之外,还应考虑已有的策略和预防措施。识别漏洞应寻找系统和信息的所有入口及分析如何通过这些入口访问系统和信息。识别威胁是对目标、动机及事件的识别。一旦对漏洞、威胁以及预防措施进行了识别,就可确定该计算机信息系统的风险。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。