Estándares de tecnología informática
El reportero de la agencia de noticias Xinhua Wang Leiming y nuestro reportero Hu Jian informaron desde Beijing el 5 de abril: En respuesta al fuerte aumento de actividades informáticas ilegales y criminales, como ataques de piratas informáticos, propagación de virus e información dañina difundida en últimos años, relevante El departamento publicó recientemente las "Pautas para la clasificación de los niveles de protección de seguridad de los sistemas de información informática", que estipulan que la protección de seguridad de los sistemas de información informática se clasificará en niveles a partir del 1 de enero de 2001. Esta medida marca que la protección de seguridad de Los sistemas informáticos de información de mi país se han incluido en la vía de la gestión jerárquica.
Los “Lineamientos para la Clasificación de los Niveles de Protección de Seguridad de los Sistemas de Información Informáticos” propuestos y organizados por el Ministerio de Seguridad Pública y emitidos por la Administración Estatal de Calidad y Supervisión Técnica, Los niveles se dividen en cinco niveles: nivel de protección independiente del usuario, nivel de protección de auditoría del sistema, nivel de protección de marca de seguridad, nivel de protección estructurado y nivel de protección de verificación de acceso. Los usuarios pueden determinar el nivel de protección de seguridad correspondiente según la importancia de su sistema de información informático y construirlo para el nivel correspondiente.
Según el responsable pertinente del Ministerio de Seguridad Pública, la implementación del sistema de protección del nivel de seguridad ayudará a mejorar el nivel de supervisión y gestión de la protección de seguridad de los sistemas de información informática al organismos de seguridad pública.
---------------------------------------- ----------------------
Nivel de seguridad informática
> Hace unos años, el Departamento de Defensa de Estados Unidos desarrolló 4 directrices para diferentes niveles de seguridad informática.
El Libro Naranja (formalmente conocido como Criterios de evaluación de estándares informáticos confiables) incluye clasificaciones de niveles de seguridad informática.
Eche un vistazo a estas categorías para conocer los diversos riesgos de seguridad
inherentes a algunos sistemas y aprender cómo reducirlos o eliminarlos.
1. Nivel D1
Este es el nivel más bajo de seguridad informática. Todo el sistema informático no es confiable y el hardware y el sistema operativo se ven comprometidos fácilmente. El estándar del sistema informático de nivel D1 estipula que no existe verificación de usuario.
Es decir, cualquiera puede utilizar el sistema informático sin ningún obstáculo. El sistema
no requiere registro de usuario (que requiere que el usuario proporcione un nombre de usuario) ni protección con contraseña (que requiere que el usuario
proporcione una cadena única para acceder ). Cualquiera puede sentarse frente a una computadora y comenzar a usarla.
Los sistemas informáticos de nivel D1 incluyen:
MS-Dos
MS-Windows3.xe y Windows95 (no funciona en modo grupo)
System7.x de Apple
2. Nivel C1
Los sistemas de nivel C1 requieren hardware con ciertos mecanismos de seguridad (como dispositivos de bloqueo de hardware y que requieren una clave para usar la computadora, etc.), y los usuarios deben iniciar sesión en el sistema antes de usarlo. Los sistemas de nivel C1 también requieren la capacidad de tener control de acceso total, lo que debería permitir a los administradores del sistema establecer permisos de acceso para algunos programas o
datos. El inconveniente del nivel de protección C1 es que los usuarios acceden directamente a la raíz del sistema operativo
. El nivel C1 no puede controlar el nivel de acceso de los usuarios que ingresan al sistema, por lo que los usuarios pueden
eliminar datos del sistema a voluntad.
Los sistemas informáticos comunes compatibles con el nivel C1 se enumeran a continuación:
Sistema UNIX
XENIX
Novell3.x o versión superior
Windows NT
3. Nivel C2
El nivel C2 fortalece varias características en algunas deficiencias del nivel C1. El nivel C2 introduce un entorno de acceso controlado
Mejora de la característica del entorno de acceso (nivel de permiso del usuario). Esta característica no solo se basa en los permisos del usuario, sino que también restringe aún más la ejecución de ciertos comandos del sistema. Las jerarquías de autorización permiten a los administradores del sistema agrupar a los usuarios en grupos y otorgarles acceso a ciertos programas o directorios jerárquicos.
Por otro lado, los permisos de usuario autorizan a los usuarios a acceder al directorio donde se encuentra un determinado programa de forma individual.
Si otros programas y datos también están en el mismo directorio, al usuario se le otorgará automáticamente
permiso para acceder a esta información. Los sistemas de nivel C2 también emplean auditoría de sistemas. La función de auditoría rastrea todos los
"eventos de seguridad", como los inicios de sesión (exitosos y fallidos), así como el trabajo del administrador del sistema,
como los cambios en el usuario. acceso y contraseña.
Los sistemas operativos de nivel C2 comunes son:
Sistema UNIX
XENIX
> Novell3.x o versión superior
Windows NT
4. Nivel B1
Los sistemas de nivel B1 admiten seguridad multinivel. Multinivel significa que esta protección de seguridad se instala en sistemas en diferentes niveles
(red, aplicación, estación de trabajo, etc.), que es sensible a La información proporciona un mayor nivel de
protección. Por ejemplo, los niveles de seguridad se pueden dividir en niveles desclasificados, confidenciales y de alto secreto.
5. Nivel B2
Este nivel se llama Protección Estructurada. El nivel de seguridad B2
requiere que todos los objetos de un sistema informático estén etiquetados y que a dispositivos como estaciones de trabajo, terminales
y unidades de disco se les asignen niveles de seguridad. Por ejemplo, un usuario puede acceder a una estación de trabajo, pero es posible que no se le permita acceder al subsistema de disco que contiene información de nómina del personal.
6. Nivel B3
El nivel B3 requiere que las estaciones de trabajo o terminales del usuario se conecten al sistema de red a través de una red confiable Este canal.
Se debe utilizar hardware de nivel 1 para proteger el área de almacenamiento del sistema de seguridad.
7. Nivel A
Este es el nivel de seguridad más alto en el Libro Naranja. Este nivel a veces también lo es. Se llama diseño verificado (diseño verificado). Al igual que los niveles mencionados anteriormente, este nivel incluye todas las características de los niveles inferiores.
El nivel A también incluye un requisito de diseño para que se supervise un sistema de seguridad, y personas
de seguridad calificadas deben analizar y aprobar este diseño. Además, se deben utilizar métodos formales estrictos
para demostrar la seguridad del sistema. Y en el nivel A, las fuentes de todos los componentes que componen el sistema deben ser seguras. Estas medidas de seguridad también deben garantizar que estos componentes no estén protegidos contra daños durante el proceso de venta. Por ejemplo, en una configuración de Clase A, una unidad de cinta se sigue de cerca desde el piso de fabricación hasta la sala de computadoras.
---------------------------------------- ----------------------
Después de albergar con éxito los primeros seis congresos internacionales de seguridad de sistemas de información informática de China Sobre la base de la exposición, la 7ª Exposición Internacional de Redes Informáticas y Seguridad de la Información de China se llevará a cabo en el Salón de Exposiciones de Beijing del 15 al 17 de junio de 2006. La exposición está organizada por la Oficina de Supervisión de Seguridad de la Red de Información del Ministerio de Seguridad Pública y el Comité de Ciencia y Tecnología de la Administración Estatal del Secreto, y está organizada por el Instituto de Información Científica y Tecnológica del Ministerio de Seguridad Pública. El tema de esta exposición es dar a conocer y promover la protección del nivel de seguridad de la información nacional. Al mismo tiempo, se llevará a cabo un seminario sobre el tema de la exposición, invitando a departamentos gubernamentales, expertos en seguridad de la información y fabricantes de renombre en la industria. para discutir políticas y regulaciones, seguridad y gestión, tendencias de desarrollo tecnológico, pronunciar discursos especiales sobre soluciones y otros contenidos.
El presidente chino, Hu Jintao, visitó la segunda exposición y señaló: "Esta exposición estuvo bien organizada. Debemos conceder gran importancia a la seguridad de nuestro país". problemas de información informática, y mejorar aún más la conciencia de autoprotección y prevención, debemos fortalecer vigorosamente la autoinvestigación y el desarrollo de tecnología de seguridad informática, y prestar atención a la absorción y el aprendizaje de tecnologías avanzadas extranjeras; debemos tomar medidas favorables para mejorar el sistema legal; , fortalecer la gestión y garantizar eficazmente la seguridad del sistema nacional de información informática. Seguridad ". Esto demuestra que el liderazgo central se preocupa y concede gran importancia a la industria de seguridad de la información de mi país.
Después de seis años de desarrollo, la exposición se ha convertido en una de las exposiciones de seguridad informática profesional más conocidas en China e incluso en la región de Asia y el Pacífico. , que incorpora plenamente la industria informática en la región de Asia y el Pacífico El nivel de desarrollo de la seguridad de la información de la red. La exposición de 2006 cumplirá con las necesidades de la industria, al tiempo que mostrará los productos y tecnologías más representativos, también brindará a los expositores y visitantes la información más reciente, como consultoría y soluciones integrales de seguridad de la información. Las exhibiciones cubren una amplia gama, incluidas diferentes series de productos de seguridad de la información: seguridad de Internet, seguridad de gobierno electrónico, red privada virtual, infraestructura de clave pública, centro de certificados, sistema de detección de intrusos, seguridad y gestión de redes, seguridad informática, informática forense, comunicación. seguridad, almacenamiento/copia de seguridad de datos, protección contra firewall/virus informáticos, recuperación ante desastres, auditoría de seguridad, seguridad inalámbrica, seguridad de computadoras portátiles, servicios de seguridad y capacitación, publicidad de leyes y reglamentos, etc.
Esta Exposición Internacional de Seguridad de la Información y Redes Informáticas de China continúa recibiendo un fuerte apoyo de los ministerios centrales y las unidades relevantes. Invitamos sinceramente a los fabricantes de seguridad de la información y a las empresas e instituciones relacionadas a participar activamente para promover el desarrollo de la industria de seguridad de la información de China.
------------------------------------------- -- ----------------
Al principio había referencias, pero ahora básicamente se desarrolla de forma independiente.