信息安全标准、法律法规及等级保护 温州市继续教育院 -信息安全继续教育培训 陆军波 13867715151/13004707373 温州市继续教育院 -信息安全继续教育培训 信息安全标准、法律法规及等级保护 陆军波 13867715151/13004707373 Email:lujunbo@163.com QQ:759588826
议程 信息安全基础标准 国际信息安全类标准概述 国家“等级保护”标准 相关法规政策简介 温州市继续教育院 温州市信息安全测评中心
标准化基础 标准:标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践的综合成果为基础,经有关方面协商一致,由主管部门批准,以特定的方式发布,作为共同遵守的准则和依据(中华人民共和国标准化法条文规定)。 强制性标准:保障人体健康、人身、财产安全的标准和法律、行政法规规定强制执行的标准;其它标准是推荐性标准。 标准分五级:国际标准、国家标准、行业标准、地方标准、企业标准。 温州市继续教育院 温州市信息安全测评中心
标准化基础 标准化:为在一定的范围内获得最佳秩序,对实际的或潜在的问题制定共同的和重复使用的规则的活动 实质:通过制定、发布和实施标准,达到统一。 目的:获得最佳秩序和社会效益。 温州市继续教育院 温州市信息安全测评中心
标准化的地位和作用 标准化基础 标准化为科学管理奠定了基础; 促进经济全面发展,提高经济效益; 标准化是科研、生产、使用三者之间的桥梁; 标准化为组织现代化生产创造了前提条件; 促进对自然资源的合理利用,保持生态平衡,维护人类社会当前和长远的利益; 合理发展产品品种,提高企业应变能力,以更好地满足社会需求; 保证产品质量,维护消费者利益; 在社会生产组成部分之间进行协调,确立共同遵循的准则,建立稳定的秩序; 在消除贸易障碍,促进国际技术交流和贸易发展,提高产品在国际市场上的竞争能力方面具有重大作用; 保障身体健康和生命安全。大量的环保标准、卫生标准和安全标准制定发布后,用法律形式强制执行,对保障人民的身体健康和生命财产安全具有重大作用。 温州市继续教育院 温州市信息安全测评中心
标准化基础-我国标准的分级 国家标准:对需要在全国范围内统一的技术要求(含标准样品的制作)。 GB/T XXXX.X-200X GB XXXX-200X 行业标准:需要在全国某个行业范围内统一的技术要求。GA ,SJ 地方标准:需要在省、自治区、直辖市范围内统一的工业产品的安全、卫 生要求。 DBXX/T XXX-200X DBXX/XXX-200X 企业标准:对企业范围内需要统一的技术要求、管理要求和工作要求。 QXXX-XXX-200X 温州市继续教育院 温州市信息安全测评中心
X轴代表标准化对象,Y轴代表标准化的内容,Z轴代表标准化的级别。 标准化三维空间 Z 国际级 区域级 国家级 行业级 地方级 企业级 人员 服务 系统 产品 过程 术语 X 体系、框架 技术机制 应用 Y 管理 X轴代表标准化对象,Y轴代表标准化的内容,Z轴代表标准化的级别。 温州市继续教育院 温州市信息安全测评中心
“我国标准化八字原理*” “统一”原理 “简化”原理 “协调”原理 “最优”原理 温州市继续教育院 温州市信息安全测评中心
IT标准发展趋势* (1)标准逐步从技术驱动向市场驱动方向发展。 (2)信息技术标准化机构由分散走向联合。 温州市继续教育院 温州市信息安全测评中心
信息安全标准化组织 ISO JTC1 SC27,信息技术-安全技术 ISO/TC 68 银行和有关的金融服务 JTC1其他分技术委员会: SC6—系统间通信与信息交换,主要开发开放系统互连下四层安全模型和安全协议,如ISO 9160、ISO/IEC 11557。 SC17—识别卡和有关设备,主要开发与识别卡有关的安全标准ISO 7816 SC18—文件处理及有关通信,主要开发电子邮件、消息处理系统等。 SC21—开放系统互连,数据管理和开放式分布处理,主要开发开放系统互连安全体系结构,各 种安全框架,高层安全模型等标准,如:ISO/IEC 7498-2、ISO/IEC 9594-1至8。 SC22—程序语言,其环境及系统软件接口,也开发相应的安全标准。 SC30—开放式电子数据交换,主要开发电子数据交换的有关安全标准。如ISO 9735-9 、 ISO 9735-10。 温州市继续教育院 温州市信息安全测评中心
信息安全标准化组织(续) IEC-国际电工标准化组织 ITU TC56 可靠性; TC74 IT设备安全和功效; TC77 电磁兼容; CISPR 无线电干扰特别委员会 ITU 前身是CCITT 消息处理系统 目录系统(X.400系列、X.500系列) 安全框架 安全模型等标准 温州市继续教育院 温州市信息安全测评中心
信息安全标准化组织(续) IETF-互联网工程任务组(170多个RFC、12个工作组) PGP开发规范(openpgp); 鉴别防火墙遍历(aft); 通用鉴别技术(cat) ; 域名服务系统安全(dnssec); IP安全协议(ipsec); 一次性口令鉴别(otp); X.509公钥基础设施(pkix); S/MIME邮件安全(smime); 安全Shell (secsh); 简单公钥基础设施(spki); 传输层安全(tls) Web处理安全 (wts) 温州市继续教育院 温州市信息安全测评中心
信息安全标准化组织(续) NCITS-T4 制定IT安全技术标准 X9 制定金融业务标准 X12 制定商业交易标准 负责联邦政府非密敏感信息 美国 ANSI-美国国家标准学会 NCITS-T4 制定IT安全技术标准 X9 制定金融业务标准 X12 制定商业交易标准 NIST-美国标准与技术研究院 负责联邦政府非密敏感信息 FIPS-197 DOD-美国国防部 负责涉密信息 NSA 国防部指令(DODDI)(如TCSEC) 温州市继续教育院 温州市信息安全测评中心
信息安全标准化组织(续) SILS(LAN/WAN)安全 P1363公钥密码标准 IEEE-美国电气及电子工程师学会 ECMA(欧洲计算机厂商协会) TC32——“通信、网络和系统互连”曾定义了开放系统应用层安全结构; TC36——“IT安全”负责信息技术设备的安全标准。 温州市继续教育院 温州市信息安全测评中心
信息安全标准化组织(续) BSI 医疗卫生信息系统安全 计算机安全管理 JIS 国家标准 JISC 工业协会标准 KISA负责 英国 BSI 医疗卫生信息系统安全 加拿大 计算机安全管理 日本 JIS 国家标准 JISC 工业协会标准 韩国 KISA负责 防火墙、IDS、PKI方面标准 温州市继续教育院 温州市信息安全测评中心
信息安全标准化组织(续) 国家标准化管理委员会(统一计划、统一审查、统一编号、统一批准发布) 中国 国家标准化管理委员会(统一计划、统一审查、统一编号、统一批准发布) 国家标准化技术委员会(由200多个分技术委员会组成,是标准的“制造和生产工厂”,其中下设信息安全标准化技术委员会-2002年成立) 各行业监管部门 温州市继续教育院 温州市信息安全测评中心
标准的起源:基于OSI七层协议的安全体系结构 7 应用层 6 表示层 5 会话层 4 传输层 3 网络层 2 链路层 1 物理层 安全机制 公 证 路由选择控制 通信业务填充 鉴别交换 数据完整性 访问控制 数字签名 加 密 安全服务 鉴别服务 数据机密性 抗抵赖 在某一层上,采用哪种或哪几种安全机制来确保提供相关的安全服务 温州市继续教育院 温州市信息安全测评中心
安全服务与安全机制的关系 安全服务是由安全机制来实现的。一个安全服务可以由一个或几个安全机制来实现;同样,一个安全机制也可用于实现不同的安全服务中。 温州市继续教育院 温州市信息安全测评中心
信息安全标准的起源:五种安全服务 鉴别:提供对通信中的对等实体和数据来源的鉴别。 访问控制:提供保护以对抗开放系统互连可访问资源的非授权使用。可应用于对资源的各种不同类型的访问(例如,使用通信资源,读、写或删除信息资源,处理资源的操作),或应用于对某种资源的所有访问 数据机密性:对数据提供保护使之不被非授权地泄露 数据完整性:对付主动威胁。在一次连接上,连接开始时使用对某实体鉴别服务,并在连接的存活期使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证,为这些数据单元的完整性提供确证。 抗抵赖:可取有数据原发证明的抗抵赖、有交付证明的抗抵赖两种形式,或两者之一。 温州市继续教育院 温州市信息安全测评中心
信息安全的起源:OSI和安全服务之间的关系 1 2 3 4 5 6 7 对等实体鉴别 数据源鉴别 访问控制服务 连接机密性 无连接机密性 选择字段机密性 流量机密性 有恢复功能的连接完整性 无恢复功能的连接完整性 选择字段连接完整性 无连接完整性 选择字段非连接完整性 源发方抗抵赖 接收方抗抵赖 - Y OSI的那一层上可以进行何种安全服务?标准的编写基础,结合OSI每一层的特点,例如传输层是面向连接的通信,而网络层是面向无连接的通信 温州市继续教育院 温州市信息安全测评中心
信息安全的起源: 安全服务和安全机制之间的关系 加密 数字签名 访问控制 数据完整 鉴别交换 业务填塞 路由控制 公证 对等实体鉴别 数据源鉴别 访问控制服务 连接机密性 无连接机密性 选择字段机密性 流量机密性 有恢复功能的连接完整性 无恢复功能的连接完整性 选择字段连接完整性 无连接完整性 选择字段非连接完整性 源发方抗抵赖 接收方抗抵赖 Y - 温州市继续教育院 温州市信息安全测评中心
议程 信息安全基础标准 国际信息安全类标准概述 国家“等级保护”标准 相关法规政策简介 温州市继续教育院 温州市信息安全测评中心
国际信息安全类标准概述 测评类标准TCSEC,ITSEC和CC(ISO15408、GB18336-2001) 指导类标准ISO13335 认证类BS7799系列(ISO17799和ISO27001)和IATF 最佳实践类ITIL,Cobit,PDCA 温州市继续教育院 温州市信息安全测评中心
美国TCSEC 1970年由美国国防科学委员会提出。1985年公布。 主要为军用标准。延用至民用。 评估准则 安全级别从高到低分为A、B、C、D四类,其中每个类别再划分不同的级(7个)。 彩虹系列 桔皮书:可信计算机系统评估准则 黄皮书:桔皮书的应用指南 红皮书:可信网络解释 紫皮书:可信数据库解释 第一部信息安全标准,提出了“等级化”的思想 温州市继续教育院 温州市信息安全测评中心
美国TCSEC D: 最小保护Minimal Protection C1: 自主安全保护Discretionary Security Protection C2: 访问控制保护Controlled Access Protection B1: 安全标签保护Labeled Security Protection B2: 结构化保护Structured Protection B3: 安全域保护Security Domain A1: 验证设计保护Verified Design 低保证系统 高保证系统 温州市继续教育院 温州市信息安全测评中心
D: 最低防护级别 D1系统只为文件和用户提供安全保护。D1系统最普通的形式是本地操作系统,或者是一个完全没有保护的网络。 MS-DOS、windows3.X系统属于D1系统 以非工作组方式工作的windows95 温州市继续教育院 温州市信息安全测评中心
C1: 自主安全保护 本级的计算机信息系统可信计算机通过隔离用户与数据,使用户具备自主安全保护的能力。 本级实施的是自主访问控制。即通过可信计算机定义系统中的用户和命名用户多命名客体的访问,并允许用户以自己的身份或用户组的身份指定并控制对客体的访问。这意味着系统用户或用户组可以通过可信计算机自主地定义对客体的访问权限。 从用户的角度来看,用户自主保护级的责任只有一个,即为用户提供身份鉴别。 可以包括渗透性测试 Windows95,98和早期的Unix系统属于C1 温州市继续教育院 温州市信息安全测评中心
C2: 访问控制保护-商业系统的最高级别 与用户自主保护级相比,本级的计算机信息系统可信计算机实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。 本级实施的是自主访问控制和客体的安全重用 身份鉴别方面,比用户自主保护级增加两点:为用户提供唯一标识,使用户对自己的行为负责。为支持安全审计功能,具有将身份标识与用户所有可审计的行为相关联的能力。 安全审计方面,可信计算机能够创建、维护对其所保护客体的访问审计记录, Windows NT(2000、2003)和Unix(商用)系统属于C2级 温州市继续教育院 温州市信息安全测评中心
TCSEC的缺陷 集中考虑数据机密性,而忽略了数据完整性、系统可用性等; 将安全功能和安全保证混在一起 安全功能规定得过为严格,不便于实际开发和测评 温州市继续教育院 温州市信息安全测评中心
欧洲ITSEC 欧洲多国安全评价方法的综合产物,军用,政府用和商用。 以超越TCSEC为目的,将安全概念分为功能与功能评估两部分。 功能准则在测定上分10级。1-5级对应于TCSEC的C1 到B3。6-10级加上了以下概念: F-IN:数据和程序的完整性 F-AV:系统可用性 F-DI:数据通信完整性 F-DC:数据通信保密性 F-DX 包括机密性和完整性的网络安全 评估准则分为6级: E1:测试 E2:配置控制和可控的分配 E3:能访问详细设计和源码 E4:详细的脆弱性分析 E5:设计与源码明显对应 E6:设计与源码在形式上一致。 温州市继续教育院 温州市信息安全测评中心
与TCSEC的不同 安全被定义为机密性、完整性、可用性 功能和质量/保证分开 对产品和系统的评估都适用,提出评估对象(TOE)的概念 产品:能够被集成在不同系统中的软件或硬件包; 系统:具有一定用途、处于给定操作环境的特殊安全装置 温州市继续教育院 温州市信息安全测评中心
3.通用准则(CC ) 国际标准化组织统一现有多种准则的努力结果; 1993年开始,1996年出V 1.0, 1998年出V 2.0,1999年6月正式成为国际标准,1999年12月ISO出版发行ISO/IEC 15408,后被我国采用,演化成GB18336; 主要思想和框架取自ITSEC; 充分突出“保护轮廓”,将评估过程分“功能”和“保证”两部分; 是目前最全面的评价准则 温州市继续教育院 温州市信息安全测评中心
通用准则(CC)(续) 通用测试方法(CEM) 可以定义自己的要求扩展CC要求 国际上认同的表达IT安全的体系结构 一组规则集 一种评估方法,其评估结果国际互认 通用测试方法(CEM) 已有安全准则的总结和兼容 通用的表达方式,便于理解 灵活的架构 可以定义自己的要求扩展CC要求 今后发展的框架 温州市继续教育院 温州市信息安全测评中心
标准组成 CC-1(GB/T 18336.1): 简介和一般模型 保护轮廓规范 安全目标规范 CC-2( GB/T 18336.2): 安全功能要求 CC-3( GB/T 18336.3): 安全保证要求 温州市继续教育院 温州市信息安全测评中心
目标读者 用户-甲方 开发者-乙方 评估者-第三方 系统管理员和系统安全管理员 内部和外部审计员 安全规划和设计者 认可者 评估发起者 评估机构 温州市继续教育院 温州市信息安全测评中心
应用范围 本标准定义作为评估信息技术产品和系统安全特性的基础准则 不包括属于行政性管理安全措施的评估准则;不包括物理安全方面(诸如电磁辐射控制)的评估准则;不包括密码算法固有质量评价准则 温州市继续教育院 温州市信息安全测评中心
CC的关键概念*(1) 评估对象—— TOE(Target of Evaluation) 产品、系统、子系统 保护轮廓——PP (Protection Profile) 表达一类产品或系统的安全目标(用户需求)、组合安全功能要求和安全保证要求。验证技术与需求之间的内在完备性,使得提高安全保护的针对性、有效性 安全目标——ST( Security Target) 描述IT安全目的和要求,以及要求的具体实现、实用方案和适用于产品和系统 功能(Function) 规范IT产品和系统的安全行为,应做的事 保证(Assurance) 如何确保安全功能的实现,产生信心的方法 温州市继续教育院 温州市信息安全测评中心
关键概念*(2) 组件(Component) 包含由保护轮廓引出的安全目标中的最小的安全要求的集合(数据保密性-访问控制-身份鉴别机制) 包(Package) 包含IT安全目的和要求(ST)、功能或保证要求(如EAL)和适用于产品和系统 评估保证级——EAL( Evaluation Assurance Level) 预定义的保证包、测试方法的集合,公认的广泛适用的一组保证要求,针对不同级别的安全目标所采用的安全功能,要采用不同的EAL来确保上述功能的实现,共7级(背下*) 温州市继续教育院 温州市信息安全测评中心
ISO13335 ISO13335是一个信息安全管理指南,这个标准的主要目的就是要给出如何有效地实施IT安全管理的建议和指南。该标准目前分为5个部分。 第一部分:IT安全的概念和模型(Concepts and models for IT Security),发布于1996年12月15日。该部分包括了对IT安全和安全管理的一些基本概念和模型的介绍。 第二部分:IT安全的管理和计划(Managing and planning IT Security),发布于1997年12月15日。这个部分建议性地描述了IT安全管理和计划的方式和要点,包括: - 决定IT安全目标、战略和策略 - 决定组织IT安全需求 - 管理IT安全风险 - 计划适当IT安全防护措施的实施 - 开发安全教育计划 - 策划跟进的程序,如监控、复查和维护安全服务 - 开发事件处理计划 温州市继续教育院 温州市信息安全测评中心
ISO13335组成 第三部分:IT安全管理的技术(Techniques for the management of IT Security),发布于1998年6月15日。这个部分覆盖了风险管理技术、IT安全计划的开发以及实施和测试,还包括一些后续的制度审查、事件分析、IT安全教育程序等。 第四部分:防护的选择(Selection of safeguards),发布于2000年3月1日。这个部分是最新发布的一个部分,主要探讨如何针对一个组织的特定环境和安全需求来选择防护措施。这些措施不仅仅包括技术措施。 第五部分:外部联接的防护(Safeguards for external connections),目前这个部分尚未发布(即将发布)。 从风险管理的概念和模型入手,罗列出安全管理的要点和计划,以及针对上述要点所实施的安全管理所要应用的各种手段和技术,从第四部分开始结合特点的环境和应用来逐一描述如何确定需求和选取相应的防护需求。 温州市继续教育院 温州市信息安全测评中心
ISO13335风险管理模型 在ISO13335中分析了在安全管理过程中的几个高层次的关键要素: - Assets(资产)——包括物理资产、软件、数据、服务能力、人、企业形象等。 - Threats(威胁)——可能引起对我们的系统、组织和财富的,我们所不希望的不良影响。这些威胁可能是环境方面的、人员方面的、系统方面等等。 - Vulnerabilities(漏洞)——漏洞就是存在于我们系统的各方面的脆弱性。这些漏洞可能存在于组织结构、工作流程、物理环境、人员管理、硬件、软件或者信息本身。 - Impact(影响)——影响就是我们不希望出现的一些事故,这些事故导致我们在保密性、完整性、可用性、负责性、确实性、可靠性等方面的损失,并且造成我们信息资产的损失。 - Risk(风险)——风险是威胁利用我们的漏洞,引起一些事故,对我们的信息财富造成一些不良影响的可能性。我们整个的安全管理实际上就是在做风险管理。 - Safeguards(防护措施)——是我们为了降低风险所采用的解决办法。这些措施有些是在环境方面的,比如:门禁系统、人员安全管理、防火措施、UPS等。有些措施是技术方面的,比如:网络防火墙、网络监控和分析、加密、数字签名、防病毒、备份和恢复、访问控制等等。 -Residual Risk(剩余风险)——在经过一系列安全控制和安全措施之后,信息安全的风险会降低,但是绝对不会完全消失,会有一些剩余风险的存在。对这些风险可能我们就需要用其他方法转嫁或者承受。 -Constraints(约束)——是一些组织实施安全管理时不得不受到环境的影响,不能完全按照理想的方式执行。这些约束可能来自组织结构、财务能力、环境限制、人员素质、时间、法律、技术、文化和社会等等。 顺便在回顾一下,前面的概念 温州市继续教育院 温州市信息安全测评中心
ISO13335的特点 第一, 对安全的概念和模型的描述非常独特,具有很大的借鉴意义。在全面考虑安全问题,进行安全教育,普及安全理念的时候,完全可以将其中的多种概念和模型结合起来。--初学者 第二, 对安全管理过程的描述非常细致,而且完全可操作。作为一个企业的信息安全主管机关,完全可以参照这个完整的过程规划自己的管理计划和实施步骤。--管理者 第三, 对安全管理过程中的最关键环节——风险分析和管理有非常细致的描述。包括基线方法、非形式化方法、详细分析方法和综合分析方法等风险分析方法学的阐述,对风险分析过程细节的描述都很有参考价值。--服务商 第四, 在标准的第四部分,有比较完整的针对6种安全需求的防护措施的介绍。将实际构建一个信息安全管理框架和防护体系的工作变成了一个搭积木的过程。--技术人员 第五, 这个标准是一个开放的标准,标准还在不断的增加和改进中。现在标准的第五部分即将发布。 初学者 温州市继续教育院 温州市信息安全测评中心
现代风险管理体系的雏形-三个基本元素(人、技术、操作) IATF—信息保障技术架构(NSA) 现代风险管理体系的雏形-三个基本元素(人、技术、操作) 人,借助技术的支持,实施一系列的操作过程,最终实现信息保障目标(深度战略防护),这就是IATF最核心的理念之一 在这个技术框架中,描述了四个重要的防护对象:保护网络基础设施、保护网络边界、保护计算环境、支持基础设施 初学者 温州市继续教育院 温州市信息安全测评中心
IATF—信息保障技术架构(NSA) 人(People):人是信息体系的主体,是信息系统的拥有者、管理者和使用者,是信息保障体系的核心,是第一位的要素,同时也是最脆弱的。正是基于这样的认识,安全管理在安全保障体系中就愈显重要,可以这么说,信息安全保障体系,实质上就是一个安全管理的体系,其中包括意识培训、组织管理、技术管理和操作管理等多个方面。 技术(Technology):技术是实现信息保障的重要手段,信息保障体系所应具备的各项安全服务就是通过技术机制来实现的。当然,这里所说的技术,已经不单是以防护为主的静态技术体系,而是防护、检测、响应、恢复并重的动态的技术体系。 操作(Operation):或者叫运行,它构成了安全保障的主动防御体系,如果说技术的构成是被动的,那操作和流程就是将各方面技术紧密结合在一起的主动的过程,其中包括风险评估、安全监控、安全审计、跟踪告警、入侵检测、响应恢复等内容。 初学者 温州市继续教育院 温州市信息安全测评中心
IATF—信息保障技术架构(NSA) 几个问题: 关于边界的确定-物理,逻辑 纯技术框架,如何实施,过程的管理 除技术手段外,对于管理手段的考虑 初学者 温州市继续教育院 温州市信息安全测评中心
BS7799概述 BS7799 是英国标准协会(British Standards Institute,BSI)最早发布的一个关于信息安全管理的标准 partI:信息安全管理实施细则,现在已经被转换为ISO17799:2000,十个大标题,共127个控制项。95年第一版发行 partII:ISMS建设规范,是一部有关信息安全管理体系的规范,是对partI的有益补充和完善。98年发行第一版,BS7799也被最终完善。 温州市继续教育院 温州市信息安全测评中心
BS7799的发展历程 99年,两部分被整合为一套完整的标准,并随着IT的应用,增加了有关信息安全事故管理类 ,变为11个域,133个控制项 2000年ISO组织将partI转化为ISO/IEC 17799:2000《信息技术——信息安全管理实施细则》。ISO/IEC 17799 (信息安全管理最佳实践指南)目前是国际上唯一的关于信息安全管理的国际标准。该标准强调以风险管理为基础的、全面的安全管理,目前该方法在世界范围内得到认可。 2005年,ISO组织将PartII整合成为ISO27001, ISO27001(信息安全管理体系规范)是ISO/IEC 17799 的姊妹对标准,是信息安全管理体系审核的依据标准。 温州市继续教育院 温州市信息安全测评中心
BS7799-I的十大控制项 BS7799-I的十大控制域: 安全策略(Security policy); 组织安全(Organization security); 资产分类和控制(Asset classification and control); 人员安全(Personnel security); 物理和环境安全(Physical and environmental security); 通信和操作管理(Communication and operation management); 访问控制(Access control); 系统开发和维护(System development and maintenance); 业务连续性管理(Business continuity management); 合规性(Compliance) 温州市继续教育院 温州市信息安全测评中心
BS7799-I的控制子项—举例 网络服务使用策略 强制路径 对外部连接用户进行身份认证 节点认证 远程诊断端口的保护 网络隔离 例如在访问控制域中,包括一个控制项“网络访问控制”,其中包含控制子项: 网络服务使用策略 强制路径 对外部连接用户进行身份认证 节点认证 远程诊断端口的保护 网络隔离 对网络连接能力加以控制 网络路由控制 网络服务的安全 温州市继续教育院 温州市信息安全测评中心
BS7799-I的配套标准(1) PD3000系列---指导BS7799-PartI的实施和开展 ISO13335-IT安全管理指南,是一个信息安全管理方面的指导性标准,其目的是为有效实施IT 安全管理提供建议。他与BS7799的区别在于,7799属于框架性结构,而13335是属于指导性的,更具体,更多的从需求的角度去论证各项安全管理措施,更具备实施性和操作性。 SSE-CMM:它以成熟度模型为依据,描述了安全建设的各个过程应该达到的标准。定义了实现最终安全目标所需要的一系列过程,并对组织执行这些过程的能力进行等级划分。 目前被国家信息安全测评中心用来对安全服务商进行资质和能力的认定 温州市继续教育院 温州市信息安全测评中心
信息安全管理标准族-27000系列 27000-ISMS基础和词汇表 27001-ISMS要求 27002-信息安全管理实施细则(原17799) 27003-ISMS实施指南 27004-信息安全管理测量 27005-ISMS风险管理 温州市继续教育院 温州市信息安全测评中心
PDCA概述—最佳实践,持续改进和完善(戴明环) BS7799标准要求基于PDCA管理模型来建立和维护信息安全管理体系(ISMS)。 PDCA概述—最佳实践,持续改进和完善(戴明环) Do (实施和运行阶段) : 安全项目建设 安全维护作业 可控安全环境 1、更新资产补丁\拓扑\服务等状态 2、安全事件通报…. 3、安全加固 4、更新安全现状和安全目标要求差距 5、其他….. 安全目标和需求 PLAN (规划阶段) : 安全目标—安全现状 ---- 各保护对象安全计划(建设;维护…) 规划安全项目 Check (监控及评估阶段) : 日常安全检查 周期性安全评估 1、检查安全目标要求的完成状态 2、评估安全状况(资产状态;弱点状态), 3、安全现状是否符合可控安全环境 Action(改进阶段): 调整安全目标要求 评价和考核 温州市继续教育院 温州市信息安全测评中心
BS7799和PDCA的关系描述 为了实现ISMS,组织应该在计划(Plan)阶段通过风险评估来了解安全需求,然后根据需求设计解决方案;在实施(Do)阶段将解决方案付诸实现;解决方案是否有效?是否有新的变化?应该在检查(Check)阶段予以监视和审查;一旦发现问题,需要在措施(Act)阶段予以解决,以便改进ISMS。通过这样的过程周期,组织就能将确切的信息安全需求和期望转化为可管理的信息安全体系。 温州市继续教育院 温州市信息安全测评中心
Cobit概述 Cobit-信息及相关技术控制目标(Control Objectives for Information and related Technology,Cobit),是美国信息系统审计与控制协会(Information Systems Audit and ontrol Association)针对IT 过程管理制定的一套基于最佳实践的控制目标,是目前国际上公认的最先进、最权威的安全与信息技术管理和控制标准。这个架构包括34 个IT 过程,分成4 个领域:PO(Planning & Organization)、AI(Acquisition& Implementation)、DS(Delivery and Support)、和Monitoring,所有的过程中又包含了318个控制目标,全都提供了最佳的施行指导。 基于信息系统生命周期,描述出在不同的过程中我们的控制目标 温州市继续教育院 温州市信息安全测评中心
ITIL概述 ITIL,全称Information Technology Infrastructure Library,通常被译为“信息技术基础架构库”。它是英国中央计算机和电信局CCTA(现在已并入英国商务部)于80年代中期开始开发的一套针对IT行业的服务管理标准库 发展历程 20世纪80年代后期 ITIL由CCTA提出,在英国得到应用 20世纪90年代初期 ITIL被引入欧洲其他国家 20世纪90年代中期 ITIL成为欧洲事实上的IT服务管理标准 1998年 国际ITSM论坛成立,在澳大利亚举办第一次itSMF会议 2001年 OGC开始更新ITIL,发布英国国家标准BS15000 2002年 BS15000被国际标准化组织(ISO)接纳,启动了ITSM的标准化历程 温州市继续教育院 温州市信息安全测评中心
ITIL概述 每个ITIL流程都包括五大要点:流程目标、基本概念、主要活动、好处与风险,以及关键绩效指标与报表。 ITIL所强调的核心思想是应该从客户(业务)而不是IT 服务提供方(技术)的角度理解IT 服务需求 确保IT流程支撑业务流程,整体上提高了业务运作的质量; 通过事故管理流程、变更管理流程和服务台等提供了更可靠的业务支持; 客户对IT有更合理的期望,并更加清楚为达到这些期望他们所需要付出的成本; 提高了客户和业务人员的生产率; 提供更加及时有效的业务持续性服务; 客户和IT服务提供者之间建立更加融洽的工作关系; 提高了客户满意度。 温州市继续教育院 温州市信息安全测评中心
ITIL概述 温州市继续教育院 温州市信息安全测评中心
ITIL概述 一个用户进行IDC的托管服务,根据用户的需求,根据现有的能力,为用户设计服务方案,并在合理的成本范围内和用户签署SLA,为用户提供可持续的IT服务。在服务过程中出现问题或事故时,由服务台进行故障受理,快速及时的定位并及时解决问题,确保业务的正常运行 服务交付流程 温州市继续教育院 温州市信息安全测评中心
议程 信息安全基础标准 国际信息安全类标准概述 国家“等级保护”标准 相关法规政策简介 温州市继续教育院 温州市信息安全测评中心
3 等级保护系列标准 2003年《国家信息化领导小组关于加强信息安全保障工作的意见》(中 办发[2003]27号)的出台明确提出了“实行信息安全等级保护”、“要 重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的 重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保 护的管理办法和技术指南”。 是一套综合类标准,包括了测评、认证、过程指导等多方面的内容,将 作为。“等级保护”已经确立为我国信息安全工作开展的基本方针和政 策,也是各个行业开展安全工作的基本参照系 温州市继续教育院 温州市信息安全测评中心
等级保护政策文件演进 定义了电子政务等级保护的实施过程和方法 首次提出计算机信息系统必须实行安全等级保护。 2005年9月 国信办文件 《 关于转发《电子政务信息系统信息安全等级保护实施指南》的通知 》 (国信办[2004]25号) 1994年 国务院颁布《中华人民共和国计算机信息系统安全保护条例》 2003年9月 中办国办颁发 《关于加强信息安全保障工作的意见》 (中办发[2003]27号) 2004年11月 四部委会签 《关于信息安全等级保护工作的实施意见》 (公通字[2004]66号) 2005年 公安部标准 《等级保护安全要求》 《等级保护定级指南》 《等级保护实施指南》 《等级保护测评准则》 定义了电子政务等级保护的实施过程和方法 首次提出计算机信息系统必须实行安全等级保护。 明确做等级保护,等级保护工作的重点是 基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统 定义了五个保护级别、监管方式、职责分工和时间计划 提出了等级保护的定级方法、实施办法,并对不同等级需要达到的安全能力要求进行了详细的定义,同时对系统保护能力等级评测指出了具体的指标。 2006年 四部委会签 公通字[2006]7号文件(关于印发《信息安全等级保护管理办法(试行)》的通知) 定义了等级保护的管理办法,后被43号文件取代。 形成等级保护的基本理论框架,制定了方法,过程和标准 最先作为“适度安全”的工作思路提出 总结成一种安全工作的方法和原则 确认为国家信息安全的基本制度,安全工作的根本方法 温州市继续教育院 温州市信息安全测评中心
等级保护政策文件演进 2007年7月16日 四部门会签 公信安[2007]861号文件:四部门下发《关于开展全国重要信息系统安全等级保护定级工作的通知》 2006年 公安部、国信办 下发了《关于开展信息系统安全等级保护基础调查工作的通知》 2007年 四部委会签 公通字[2007]43号文件《信息安全等级保护管理办法》 2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作 ,其中包括公用通信网、广播电视传输网等基础信息网络 以及铁路、银行、海关、税务、民航、电力、证券、保险、外交、人事劳动和社会保障、财政、等行业 替代公通字[2006]7号文件,明确了等级保护的具体操作办法和各部委的职责,以及推进等级保护的具体事宜 从2006年1月10日到4月10日,分三个阶段对国家重要的基础信息系统进行摸底,包括党政机关、财政、海关、能源、金融、社会保障等行业 开始了等级保护的实质性工作的第一阶段 为等级保护工作开展提供了参考 提出了等级保护的推进和管理办法 温州市继续教育院 温州市信息安全测评中心
等级保护标准的体系结构 温州市继续教育院 温州市信息安全测评中心 等级保护标准体系结构 计算机信息系统安全保护等级划分准则 系统标准 信息系统安全保护等级定级指南 信息系统安全等级保护基本要求 信息安全等级保护 信息系统测评准则 信息系统安全等级保护实施指南 信息技术 信息系统安全通用技术要求 信息安全技术 信息系统安全管理要求 信息系统安全等级保护物理安全技术要求 信息安全技术 信息系统工程安全管理要求 信息系统安全等级保护管理监督检查要求 信息安全产品使用等级划分准则 安全产品标准 信息安全技术 操作系统安全技术要求 信息安全技术 数据库管理系统安全技术要求 信息安全技术 计算机网络安全技术要求 信息安全技术 网络端设备隔离部件技术要求 信息安全技术 网络脆弱性扫描产品技术要求 安全事件标准 信息安全事件等级划分准则 信息安全事件响应处置要求 资质等级划分准则 信息系统安全等级保护检测评估机构服务 安全服务标准 温州市继续教育院 温州市信息安全测评中心
信息系统的等级保护实施过程的详细活动 信息系统的等级保护实施过程的主要活动 系统定级 安全规划设计 安全实施 安全运维 系统终止 系统识别描述 安全需求分析 安全方案详细设计 运行管理和控制 信息转移、暂存或清除 信息系统划分 安全总体设计 等级保护管理实施 变更管理和控制 设备迁移或废弃 安全等级确定 安全建设规划 等级保护技术实施 安全状态监控 存储介质的清除或销毁 等级保护安全测评 安全事件处置和应急预案 安全检查和持续改进 等级保护安全测评 等级保护监督检查 温州市继续教育院 温州市信息安全测评中心
一、等级保护是什么 (一)等级保护基本概念:安全等级保护是指对信息安全实行等级化保护和等级化管理 根据信息系统应用业务重要程度及其实际安全需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全正常运行,维护国家利益、公共利益和社会稳定。 等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点,保障重要信息资源和重要信息系统的安全。 温州市继续教育院 温州市信息安全测评中心
等级保护是什么 (二)信息安全等级保护制度的主要内容 信息安全等级保护是指:对国家秘密信息、法人和其他组织及公民的专有信息、公开信息分类分级进行管理和保护; 对信息系统按业务安全应用域和区实行分级保护。 对系统中使用的信息安全产品实行按分级许可管理。 对等级系统的安全服务资质分级许可管理。 对信息系统中发生的信息安全事件分等级响应、处置。 温州市继续教育院 温州市信息安全测评中心
等级保护是什么 (三)为什么要搞等级保护--保护业务安全应用 对信息安全等级保护是客观需求:信息系统的建立是为社会发展、社会生活的需要而设计、建立的,是社会构成、行政组织体系及其业务体系的反映,这种体系是分层次和级别的。因此,信息安全保护必须符合客观存在。 等级化保护是信息安全发展规律:按组织业务应用区域、分层、分类、分级进行保护和管理,分阶段推进等级保护制度建设,这是做好国家信息安全保护必须遵循的客观规律。 温州市继续教育院 温州市信息安全测评中心
等级保护做什么 (四)级别划分 根据被保护系统一旦遭受风险后,针对国家安全、社会秩序、经济建设和公共利益所造成的损害程度,对信息系统的安全等级从功能上划分为五个级别的安全保护能力: 第一级:自主保护级 ; 第二级:指导保护级 ; 第三级:监督保护级 ; 第四级:强制保护级 ; 第五级:专控保护级; 安全保护能力从第一级到第五级逐级增强。(见说明、有关标准) 温州市继续教育院 温州市信息安全测评中心
等级保护做什么 (五)等级保护制度运行五个关键控制环节 1.法律规范; 2.管理与技术规范; 3.系统安全等级实施过程控制; 4.系统安全等级实现结果控制; 5.国家监督管理。 以上五个关键控制环节,构成国家信息安全等级保护长效机制。 温州市继续教育院 温州市信息安全测评中心
等级保护做什么 (六)建设信息系统安全集中控制管理体系 第一:防范与保护 ; 第二:监控与检查; 第三:响应与处置。 其中包括自我保护和国家保护两个方面。 温州市继续教育院 温州市信息安全测评中心
等级保护做什么 1.组织责任管理 (七)实现系统主要目标的安全管理(八大目标): 2.信息资源管理 3.保密信息管理 4.系统资源管理 5.密码使用管理 6.各类用户管理 7.应用边界管理 8.安全事件管理 与BS7799的对比 温州市继续教育院 温州市信息安全测评中心
等级保护做什么 (八)总结:确保互连互通、信息共享,以利发展 -互连互通:不同安全等级的系统之间应当尽可能实现纵、横互连互通,互操作。 -信息共享:符合信息共享要求。 -保障环境:保障安全并为应用发展提供良好的环境。 温州市继续教育院 温州市信息安全测评中心
三、等级保护如何实施 (一)信息安全等级保护责任制: 信息安全等级保护实行:谁主管谁负责:谁运营谁负责:谁使用谁负责:谁提供安全服务谁负责。 温州市继续教育院 温州市信息安全测评中心
各部门、各单位应当适用法律规范和有关标准规范,确定其系统安全保护等级,报其主管部门领导批准,并报当地同级信息安全职能部门备案。 等级保护如何实施 (二)等级确定 各部门、各单位应当适用法律规范和有关标准规范,确定其系统安全保护等级,报其主管部门领导批准,并报当地同级信息安全职能部门备案。 温州市继续教育院 温州市信息安全测评中心
等级保护如何实施 (三)制定等级化建设和管理的解决方案和实施规范 各部门、各单位应当适用有关标准规定, 制定适合本系统的安全等级保护解决方案,进行安全建设、使用、管理。 温州市继续教育院 温州市信息安全测评中心
安全等级保护测评服务机构按其所取得的许可资质,按照法规、标准规定提供评估服务,接受信息安全职能部门的监督,并承担法律规定的安全责任和义务。 等级保护如何实施 (四)检测评估 安全等级保护测评服务机构按其所取得的许可资质,按照法规、标准规定提供评估服务,接受信息安全职能部门的监督,并承担法律规定的安全责任和义务。 温州市继续教育院 温州市信息安全测评中心
等级保护如何实施 (五)安全等级产品保护 安全等级保护产品研发、提供、选购,应当贯彻标准和法规规定,符合信息安全产品的可控性、可靠性、可信性、安全性和可监督性的要求。 温州市继续教育院 温州市信息安全测评中心
系统安全等级保护服务单位应当按标准和法规规定提供安全服务,并承担法律规定的安全责任和义务。 等级保护如何实施 (六)系统安全等级保护服务 系统安全等级保护服务单位应当按标准和法规规定提供安全服务,并承担法律规定的安全责任和义务。 温州市继续教育院 温州市信息安全测评中心
等级保护如何实施 (七)安全等级保护技术产品政策 重要、关键的信息安全技术和产品是国家信息安全之安全。 国家对等级保护所需的信息技术安全产品选购使用应当实行分级管理政策。第三级以上的安全产品出口实行审批制度,保障国家关键核心信息安全保护技术不外泄。 非等级保护产品可以进入国际商业交流领域。 温州市继续教育院 温州市信息安全测评中心
等级保护如何实施 (八)监督、检查、指导 政府职能部门依法按标准进行监督、检查、指导、提供服务。 温州市继续教育院 温州市信息安全测评中心
开展“安全等级防护工作”的关键 将等级保护工作融入日常维护运行管理工作,不断夯实基础 持续开展安全评估工作,提升网络安全水平 建设多维度、可运行的风险管理体系 加强应急管理,构筑最后一道防线 温州市继续教育院 温州市信息安全测评中心
定级的主要因素和方法 社会影响力 (1-5)----定级对象的社会影响力表示其受到破坏后对国家安全、社会秩序、经济建设和公共利益的侵害程度 所提供服务的重要性 (1-5)----定级对象所提供服务的重要性表示其提供的服务被破坏后对其所有者的合法利益的影响程度 规模和服务范围 (1-5)----定级对象的规模表示其服务的用户数多少,服务范围表示其服务的地区范围大小 k = Round1{Log2{[α×2I+β×2V+γ×2R]}} –对数法 其中,k 代表安全等级值,I代表社会影响力赋值、V代表所提供服务的重要性赋值、R代表规模和服务范围赋值,Round1{}表示四舍五入处理,保留1位小数;Log2[]表示取以2为底的对数,α、β、γ分别表示定级对象的社会影响力、所提供服务的重要性、规模和服务范围赋值所占的权重,α≥0,β≥0,γ≥0,且α+β+γ=1。网络和业务运营商可根据具体网络的情况确定的α、β、γ取值,一般情况下,取α=β=γ=1/3。 表A.1 安全等级值与安全等级的映射关系 1 ≤ k < 1.5第1级 1.5 ≤ k < 2.5第2级 2.5 ≤ k < 3.3第3.1级 3.3 ≤ k ≤ 4第3.2级 4 < k < 4.5第4级 4.5 ≤ k ≤ 5第5级 温州市继续教育院 温州市信息安全测评中心
议程 信息安全基础标准 国际信息安全类标准概述 国家“等级保护”标准 相关法规政策简介 温州市继续教育院 温州市信息安全测评中心
我国信息安全的法制建设 2001年7月,江泽民同志谈“推动信息网络化迅速健康发展” 2007年1月,胡锦涛同志强调“以创新的精神加强网络文化建设和管理” 温州市继续教育院 温州市信息安全测评中心
信息安全法律法规学习方法 具备高度的法律意识 初步了解概况和框架 需仔细了解细节时查阅相关网站和资料(如方案设计和安全工程的输入项) 需理解应用时咨询专业人士 温州市继续教育院 温州市信息安全测评中心
美国信息安全法律法规近况 9.11事件后,美国对于国家安全的重视日益增强,美国参众两院及联邦政府有关安全方面的立法力度较以往大大加强。自2001年下半年至今,就有近二十个与网络信息安全相关的法案、提案送交两院审议。这些法律法规的推出将为美国社会的安全保障构建坚实的法律基础。 温州市继续教育院 温州市信息安全测评中心
美国信息安全法律法规近况 《爱国者法案》(已通过)、 《网络安全研发法案》、 《国家网络安全防御小组授权法案》、 《2002年联邦信息安全管理法案》、 《本土安全信息共享法案》 《网络安全增强法案》( 2002年8月11日众议院通过)——黑客最高可判终身监禁 《国家信息安全产品采购政策》(NSTISSC于2001 年1 月发布)规定到2002年7月1日,所有采购的商业化信息安全产品及类似产品都必须按照相关标准(含CC)进行认证或确认。 温州市继续教育院 温州市信息安全测评中心
我国国家法律结构(一) 从纵向的层次: 即按立法机关的权限和法律的效力层次来确定的 1.宪法具有最高效力-根本大法 从纵向的层次: 即按立法机关的权限和法律的效力层次来确定的 1.宪法具有最高效力-根本大法 2.法律-除宪法之外,由全国人大制定的 3.行政法规-国务院 4.行政规章-国务院授权的机构或下属部委 5.地方性法规-地方人大或地方政府 温州市继续教育院 温州市信息安全测评中心
国家法律结构(二) 从横向的领域、部门确定—根据约束对象 1.宪法和宪法性法律 2.行政法 3.民商法 4.经济法 5.刑法 6.社会法 7.诉讼仲裁法 温州市继续教育院 温州市信息安全测评中心
国家法律(1) 中华人民共和国宪法 中华人民共和国刑法 中华人民共和国保守国家秘密法 19880905 中华人民共和国保守国家秘密法 19880905 中华人民共和国标准化法19881229 中华人民共和国产品质量法20000708 中华人民共和国反不正当竞争法 中华人民共和国国家安全法19930222 中华人民共和国人民警察法19950228 中华人民共和国刑事诉讼法 温州市继续教育院 温州市信息安全测评中心
国家法律(2) 中华人民共和国行政处罚法 中华人民共和国著作权法 中华人民共和国专利法 中华人民共和国海关法 中华人民共和国商标法 中华人民共和国刑事诉讼法 维护互联网安全的决定-人大常委会 温州市继续教育院 温州市信息安全测评中心
行政法规 (一) 《中华人民共和国产品质量认证管理条例》19910507 《中华人民共和国计算机信息系统安全保护条例》 19940218 《中华人民共和国计算机信息系统安全保护条例》 19940218 《中华人民共和国计算机信息网络国际联网管理暂行规定》19970520 《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》 《计算机信息网络国际联网保密管理规定》 《商用密码管理条例》 温州市继续教育院 温州市信息安全测评中心
行政法规 (二) 《中华人民共和国电信条例》 《计算机软件保护条例》 《互联网信息服务管理办法》 《中华人民共和国计算机信息网络国际联网管理暂行办法 》 温州市继续教育院 温州市信息安全测评中心
部门规章及规范性文件 1、公安部: 《计算机信息系统安全产品检测和销售许可证管理办法》 《计算机信息网络国际联网安全保护管理办法》 《计算机病毒防治管理办法》 《计算机信息系统安全专用产品分类原则》 温州市继续教育院 温州市信息安全测评中心
部门规章及规范性文件 2、国家保密局 : 《计算机信息系统国际联网保密管理规定》 温州市继续教育院 温州市信息安全测评中心
部门规章及规范性文件 3、国务院新闻办公室 : 《互联网站从事登载新闻业务管理暂行规定》 温州市继续教育院 温州市信息安全测评中心
部门规章及规范性文件 4、中国互联网络信息中心 : 《 CNNIC--中文域名争议解决办法》 《 CNNIC--中文域名注册管理办法》 温州市继续教育院 温州市信息安全测评中心
部门规章及规范性文件 5、新闻出版署 : 《电子出版物管理规定》 关于实施《电子出版物管理暂行规定》若干问题的通知 温州市继续教育院 温州市信息安全测评中心
部门规章及规范性文件 6、信息产业部 (1) : 《互联网电子公告服务管理规定》 《软件产品管理办法》 《电信网间互联管理暂行规定》 《关于互联网中文域名管理的通告》 《计算机信息系统集成资质管理办法》 《软件企业认定标准及管理办法》 温州市继续教育院 温州市信息安全测评中心
部门规章及规范性文件 6、信息产业部 (2) : 关于互联网中文域名管理的通告 电信网间互联管理暂行规定 互联网上网服务营业场所管理办法 软件企业认定标准及管理办法 《计算机信息网络国际联网出入口信道管理办法》 《通信建设市场管理办法》 温州市继续教育院 温州市信息安全测评中心
部门规章及规范性文件 6、信息产业部 (3) : 《通信行政处罚程序暂行规定》 中国公用计算机互联网国际联网管理办法 互联网上网服务营业场所管理办法 中国公众多媒体通信管理办法 中国金桥信息网公众多媒体信息服务管理办法 温州市继续教育院 温州市信息安全测评中心
部门规章及规范性文件 7、国家密码管理委员会办公室 : 国家密码管理委员会办公室公告 温州市继续教育院 温州市信息安全测评中心
部门规章及规范性文件 8、中华人民共和国国家科学技术委员会: 科学技术保密规定 温州市继续教育院 温州市信息安全测评中心
部门规章及规范性文件 9、最高人民法院 : 关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释 关于审理涉及计算机网络域名民事纠纷案件适用法律若干问题的解释 温州市继续教育院 温州市信息安全测评中心
部门规章及规范性文件 10、广电总局 : 关于加强通过信息网络向公众传播广播电影电视类节目管理的通告 温州市继续教育院 温州市信息安全测评中心
部门规章及规范性文件 11、国务院信息办 : 中国互联网络域名注册实施细则 中国互联网络域名注册暂行管理办法 温州市继续教育院 温州市信息安全测评中心
部门规章及规范性文件 12、教育部 : 教育网站和网校暂行管理办法 温州市继续教育院 温州市信息安全测评中心
部门规章及规范性文件 13、证监会 : 网上证券委托暂行管理办法 温州市继续教育院 温州市信息安全测评中心
地方法律法规 北京市计算机信息系统集成资质管理暂行办法 北京市人民政府令北京市政务与公共服务信息化工程建设管理办法 关于加强计算机信息系统国际联网备案管理的通告 温州市继续教育院 温州市信息安全测评中心
Thank You !