信息系統(tǒng)安全等級保護(hù)基本要求培訓(xùn)VIP

1、2022-3-222022-3-22 使用時機(jī)和主要作用 保護(hù)要求分級描述的主要思想 各級系統(tǒng)保護(hù)的主要內(nèi)容 2022-3-222022-3-22信息系統(tǒng)運(yùn)營、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對信息系統(tǒng)進(jìn)行保護(hù)，國家有關(guān)信息安全職能部門對其信息安全等級保護(hù)工作進(jìn)行監(jiān)督管理。2022-3-22在信息系統(tǒng)建設(shè)過程中，運(yùn)營、使用單位應(yīng)當(dāng)按照計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則（GB17859-1999）、信息系統(tǒng)安全等級保護(hù)基本要求等技術(shù)標(biāo)準(zhǔn)，參照等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級要求的信息安全設(shè)施。2022-3-22運(yùn)營、使用單位應(yīng)當(dāng)參照信息安全技術(shù)信息系統(tǒng)安全管理要求（GB/T20269-2006）、信

2、息安全技術(shù)信息系統(tǒng)安全工程管理要求（GB/T20282-2006）、信息系統(tǒng)安全等級保護(hù)基本要求等管理規(guī)范，制定并落實符合本系統(tǒng)安全保護(hù)等級要求的安全管理制度。 2022-3-22信息系統(tǒng)建設(shè)完成后，運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評單位，依據(jù)信息系統(tǒng)安全等級保護(hù)測評要求等技術(shù)標(biāo)準(zhǔn)，定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級測評，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級測評。2022-3-22信息系統(tǒng)運(yùn)營、使用單位及其主管部門應(yīng)當(dāng)定期對信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實情況進(jìn)行

3、自查。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行自查。2022-3-22經(jīng)測評或者自查，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級要求的，運(yùn)營、使用單位應(yīng)當(dāng)制定方案進(jìn)行整改。2022-3-22技術(shù)標(biāo)準(zhǔn)和管理規(guī)范信息系統(tǒng)定級信息系統(tǒng)安全建設(shè)或改建安全狀況達(dá)到等級保護(hù)要求的信息系統(tǒng)2022-3-22信息安全等級保護(hù)管理辦法公通字200743號計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則（GB17859-1999） 信息安全等級保護(hù)實施指南信息安全等級保護(hù)定級指南信息安全等級保護(hù)基本要求信息安全等級保護(hù)測評要求信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)

4、要求（GB/T20270-2006）信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求GB/T20271-2006）信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求（GB/T20272-2006）信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求（GB/T20273-2006）2022-3-22信息安全技術(shù) 信息系統(tǒng)安全管理要求（GB/T20269-2006）信息安全技術(shù) 信息系統(tǒng)安全工程管理要求（GB/T20282-2006）信息安全技術(shù) 信息系統(tǒng)安全工程管理要求（GB/T20282-2006）2022-3-22信息安全等級保護(hù)管理辦法信息安全等級保護(hù)管理辦法計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則（GB17859-1999） 信息

5、系統(tǒng)安全等級保護(hù)實施指南信息系統(tǒng)安全等級保護(hù)實施指南 信息系統(tǒng)安全保護(hù)等級定級指南信息系統(tǒng)安全保護(hù)等級定級指南信息系統(tǒng)安全等級保護(hù)基本要求信息系統(tǒng)安全等級保護(hù)基本要求信息系統(tǒng)安全等級保護(hù)測評要求信息系統(tǒng)安全等級保護(hù)測評要求 等等等等2022-3-22信息系統(tǒng)安全等級保護(hù)基本要求運(yùn)營、使用單位（安全服務(wù)商）主管部門（等級測評機(jī)構(gòu)）安全保護(hù)測評檢查2022-3-22是系統(tǒng)安全保護(hù)、等級測評的一個基本“標(biāo)尺”，同樣級別的系統(tǒng)使用統(tǒng)一的“標(biāo)尺”來衡量，保證權(quán)威性，是一個達(dá)標(biāo)線；每個級別的信息系統(tǒng)按照基本要求進(jìn)行保護(hù)后，信息系統(tǒng)具有相應(yīng)等級的基本安全保護(hù)能力，達(dá)到一種基本的安全狀態(tài);是每個級別信息系統(tǒng)進(jìn)

6、行安全保護(hù)工作的一個基本出發(fā)點(diǎn)，更加貼切的保護(hù)可以通過需求分析對基本要求進(jìn)行補(bǔ)充，參考其他有關(guān)等級保護(hù)或安全方面的標(biāo)準(zhǔn)來實現(xiàn);2022-3-22某級信息系統(tǒng)基本保護(hù)精確保護(hù)基本要求保護(hù)基本要求測評補(bǔ)充的安全措施GB17859-1999通用技術(shù)要求安全管理要求高級別的基本要求等級保護(hù)其他標(biāo)準(zhǔn)安全方面相關(guān)標(biāo)準(zhǔn)等等基本保護(hù)特殊需求補(bǔ)充措施2022-3-222022-3-22不同級別信息系統(tǒng)重要程度不同應(yīng)對不同威脅的能力(威脅弱點(diǎn))具有不同的安全保護(hù)能力不同的基本要求2022-3-22第一級安全保護(hù)能力第一級安全保護(hù)能力 應(yīng)能夠防護(hù)系統(tǒng)免受來自個人的、擁有很少資源（如利應(yīng)能夠防護(hù)系統(tǒng)免受來自個人的、擁

7、有很少資源（如利用公開可獲取的工具等）的威脅源發(fā)起的惡意攻擊、一用公開可獲取的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度弱、持續(xù)時間很短等）般的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度弱、持續(xù)時間很短等）以及其他相當(dāng)危害程度的威脅（無意失誤、技術(shù)故障等）以及其他相當(dāng)危害程度的威脅（無意失誤、技術(shù)故障等）所造成的關(guān)鍵資源損害，在系統(tǒng)遭到損害后，能夠恢復(fù)所造成的關(guān)鍵資源損害，在系統(tǒng)遭到損害后，能夠恢復(fù)部分功能。部分功能。第二級安全保護(hù)能力第二級安全保護(hù)能力 應(yīng)能夠防護(hù)系統(tǒng)免受來自外部小型組織的（如自發(fā)的三兩人組應(yīng)能夠防護(hù)系統(tǒng)免受來自外部小型組織的（如自發(fā)的三兩人組成的黑客組織）、擁有少量資源（

8、如個別人員能力、公開可獲成的黑客組織）、擁有少量資源（如個別人員能力、公開可獲或特定開發(fā)的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然或特定開發(fā)的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度一般、持續(xù)時間短、覆蓋范圍小等）以災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度一般、持續(xù)時間短、覆蓋范圍小等）以及其他相當(dāng)危害程度的威脅（無意失誤、技術(shù)故障等）所造成及其他相當(dāng)危害程度的威脅（無意失誤、技術(shù)故障等）所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時間內(nèi)恢復(fù)部分功能。統(tǒng)遭到損害后，能夠在一段時間內(nèi)恢復(fù)部分功能。2

9、022-3-22第三級安全保護(hù)能力 應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自外部有組織的團(tuán)體（如一個商業(yè)情報組織或犯罪組織等），擁有較為豐富資源（包括人員能力、計算能力等）的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度較大、持續(xù)時間較長、覆蓋范圍較廣等）以及其他相當(dāng)危害程度的威脅（內(nèi)部人員的惡意威脅、無意失誤、較嚴(yán)重的技術(shù)故障等）所造成的主要資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠較快恢復(fù)絕大部分功能。 第四級安全保護(hù)能力 應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度大、持續(xù)時間長

10、、覆蓋范圍廣等）以及其他相當(dāng)危害程度的威脅（內(nèi)部人員的惡意威脅、無意失誤、嚴(yán)重的技術(shù)故障等）所造成的資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠迅速恢復(fù)所有功能。 2022-3-22安全保護(hù)能力基本安全要求每個等級的信息系統(tǒng)基本技術(shù)措施基本管理措施具備包含包含滿足滿足實現(xiàn)2022-3-22某級系統(tǒng)技術(shù)要求管理要求基本要求建立安全技術(shù)體系建立安全管理體系具有某級安全保護(hù)能力的系統(tǒng)2022-3-22安全保護(hù)模型PPDRR Recovery恢復(fù)恢復(fù)2022-3-22一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)防護(hù)防護(hù)/監(jiān)測策略/防護(hù)/監(jiān)測/恢復(fù)策略/防護(hù)/監(jiān)測/恢復(fù)/響應(yīng)2022-3-22成功的

11、完成業(yè)務(wù)成功的完成業(yè)務(wù)信息保障信息保障人人技術(shù)技術(shù)操作操作防御網(wǎng)絡(luò)與基礎(chǔ)設(shè)施防御飛地邊界防御計算環(huán)境支撐性基礎(chǔ)設(shè)施安全保護(hù)模型IATF2022-3-22一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)通信/邊界（基本）通信/邊界/內(nèi)部（關(guān)鍵設(shè)備）通信/邊界/內(nèi)部（主要設(shè)備）通信/邊界/內(nèi)部/基礎(chǔ)設(shè)施（所有設(shè)備）2022-3-22一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)計劃和跟蹤（主要制度）計劃和跟蹤（主要制度）良好定義（管理活動制度化）持續(xù)改進(jìn)（管理活動制度化/及時改進(jìn)）2022-3-22某級系統(tǒng)物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管

12、理2022-3-222022-3-22某級系統(tǒng)技術(shù)要求管理要求基本要求建立安全技術(shù)體系建立安全管理體系具有某級安全保護(hù)能力的系統(tǒng)2022-3-22由由9個章節(jié)個章節(jié)2個附錄構(gòu)成個附錄構(gòu)成 1.適用范圍適用范圍 2.規(guī)范性引用文件規(guī)范性引用文件 3術(shù)語定義術(shù)語定義 4.等級保護(hù)概述等級保護(hù)概述 5. 6.7.8.9基本要求基本要求 附錄附錄A 關(guān)于信息系統(tǒng)整體安全保護(hù)能力的要求關(guān)于信息系統(tǒng)整體安全保護(hù)能力的要求 附錄附錄B 基本安全要求的選擇和使用基本安全要求的選擇和使用2022-3-22某級系統(tǒng)類技術(shù)要求管理要求基本要求類控制點(diǎn)具體要求控制點(diǎn)具體要求2022-3-22某級系統(tǒng)物理安全技術(shù)要求管

13、理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理2022-3-22物理位置選擇物理安全(四級)物理訪問控制防盜竊和防破壞防雷擊防火防水和防潮溫濕度控制電力供應(yīng)電磁防護(hù)2022-3-22結(jié)構(gòu)安全和網(wǎng)段劃分網(wǎng)絡(luò)安全(四級)網(wǎng)絡(luò)訪問控制撥號訪問控制網(wǎng)絡(luò)安全審計邊界完整性檢查網(wǎng)絡(luò)入侵檢測惡意代碼防護(hù)網(wǎng)絡(luò)設(shè)備防護(hù)2022-3-22身份鑒別主機(jī)系統(tǒng)安全(四級)自主訪問控制強(qiáng)制訪問控制可信路徑安全審計剩余信息保護(hù)入侵防范惡意代碼防范系統(tǒng)資源控制系統(tǒng)自我保護(hù)2022-3-22身份鑒別應(yīng)用安全(四級)訪問控制通信完整性通信保密性安全審計剩余信息保護(hù)抗抵賴

14、軟件容錯資源控制代碼安全2022-3-22數(shù)據(jù)完整性數(shù)據(jù)安全(四級)數(shù)據(jù)保密性安全備份2022-3-22崗位設(shè)置安全管理機(jī)構(gòu)(四級)人員配備授權(quán)和審批溝通與合作審核和檢查2022-3-22管理制度安全管理制度(四級)制訂和發(fā)布評審和修訂2022-3-22人員錄用人員安全管理(四級)人員離崗人員考核安全意識教育和培訓(xùn)第三方人員訪問管理2022-3-22系統(tǒng)定級系統(tǒng)建設(shè)管理(四級)安全風(fēng)險評估安全方案設(shè)計產(chǎn)品采購自行軟件開發(fā)外包軟件開發(fā)工程實施測試驗收系統(tǒng)交付安全服務(wù)商選擇系統(tǒng)備案2022-3-22環(huán)境管理系統(tǒng)運(yùn)維管理(四級)資產(chǎn)管理設(shè)備管理介質(zhì)管理運(yùn)行維護(hù)和監(jiān)控管理網(wǎng)絡(luò)安全管理系統(tǒng)安全管理惡意代

15、碼防范管理變更管理密碼管理系統(tǒng)備案備份和恢復(fù)管理安全事件處置應(yīng)急計劃管理2022-3-22基本要求基本要求 技術(shù)要求技術(shù)要求 管理要求管理要求要求標(biāo)注要求標(biāo)注 業(yè)務(wù)信息安全類要求（標(biāo)記為業(yè)務(wù)信息安全類要求（標(biāo)記為S類）類） 系統(tǒng)服務(wù)保證類要求（標(biāo)記為系統(tǒng)服務(wù)保證類要求（標(biāo)記為A類）類） 通用安全保護(hù)類要求（標(biāo)記為通用安全保護(hù)類要求（標(biāo)記為G類）類） 2022-3-22通用安全保護(hù)類要求（G）業(yè)務(wù)信息安全類（S）系統(tǒng)服務(wù)保證類（A安全要求安全要求2022-3-22一個3級系統(tǒng),定級結(jié)果為S3A2，保護(hù)類型應(yīng)該是S3A2G3第1步: 選擇標(biāo)準(zhǔn)中3級基本要求的技術(shù)要求和管理要求;第2步: 要求中標(biāo)注

16、為S類和G類的不變; 標(biāo)注為A類的要求可以選用2級基本要求中的A類作為基本要求;2022-3-22安全等級安全等級信息系統(tǒng)保護(hù)要求的組合信息系統(tǒng)保護(hù)要求的組合第一級第一級S1A1G1第二級第二級S1A2G2，S2A2G2，S2A1G2第三級第三級S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級第四級S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4定級指南要求按照定級指南要求按照“業(yè)務(wù)信息業(yè)務(wù)信息”和和“系統(tǒng)服務(wù)系統(tǒng)服務(wù)”的需求確定的需求確定整個系統(tǒng)的安全保護(hù)等級整個系統(tǒng)的安全保護(hù)等級定級過程反映了信息系統(tǒng)的保護(hù)要求定級過

17、程反映了信息系統(tǒng)的保護(hù)要求2022-3-22安全要求類安全要求類層面層面一級一級二級二級三級三級四級四級技術(shù)要求物理安全7101010網(wǎng)絡(luò)安全3677主機(jī)安全4679應(yīng)用安全47911數(shù)據(jù)安全及備份恢復(fù)2333管理要求安全管理制度2333安全管理機(jī)構(gòu)4555人員安全管理4555系統(tǒng)建設(shè)管理991111系統(tǒng)運(yùn)維管理9121313合計/48667377級差/18742022-3-22安全要求類安全要求類層面層面一級一級二級二級三級三級四級四級技術(shù)要求物理安全9193233網(wǎng)絡(luò)安全9183332主機(jī)安全6193236應(yīng)用安全7193136數(shù)據(jù)安全及備份恢復(fù)24811管理要求安全管理制度371114安

18、全管理機(jī)構(gòu)492020人員安全管理7111618系統(tǒng)建設(shè)管理20284548系統(tǒng)運(yùn)維管理18416270合計/85175290318級差/90115282022-3-22物理安全主要涉及的方面包括環(huán)境安全（防火、防水、防雷擊等）設(shè)備和介質(zhì)的防盜竊防破壞等方面。具體包括：物理位置的選擇、物理訪問控制、物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等十個控制點(diǎn)。十個控制點(diǎn)。2022-3-22控制點(diǎn)控制點(diǎn)一級一級二級二級三級三級四級四級物理位置的選擇*物理

19、訪問控制*防盜竊和防破壞*防雷擊*防火*防水和防潮*防靜電*溫濕度控制*電力供應(yīng)*電磁防護(hù)*合計71010102022-3-22一級物理安全要求一級物理安全要求：主要要求對物理環(huán)境進(jìn)行基本的防護(hù)，對出入進(jìn)行基本控制，環(huán)境安全能夠?qū)ψ匀煌{進(jìn)行基本的防護(hù)，電力則要求提供供電電壓的正常。二級物理安全要求二級物理安全要求：對物理安全進(jìn)行了進(jìn)一步的防護(hù)，不僅對出入進(jìn)行基本的控制，對進(jìn)入后的活動也要進(jìn)行控制；物理環(huán)境方面，則加強(qiáng)了各方面的防護(hù)，采取更細(xì)的要求來多方面進(jìn)行防護(hù)。三級物理安全要求三級物理安全要求：對出入加強(qiáng)了控制，做到人、電子設(shè)備共同監(jiān)控；物理環(huán)境方面，進(jìn)一步采取各種控制措施來進(jìn)行防護(hù)。如，

20、防火要求，不僅要求自動消防系統(tǒng)，而且要求區(qū)域隔離防火，建筑材料防火等方面，將防火的范圍增大，從而使火災(zāi)發(fā)生的幾率和損失降低。四級物理安全要求四級物理安全要求：對機(jī)房出入的要求進(jìn)一步增強(qiáng)，要求多道電子設(shè)備監(jiān)控；物理環(huán)境方面，要求采用一定的防護(hù)設(shè)備進(jìn)行防護(hù)，如靜電消除裝置等。 2022-3-22網(wǎng)絡(luò)安全主要關(guān)注的方面包括：網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界以及網(wǎng)絡(luò)設(shè)備自身安全等。具體的控制點(diǎn)包括：結(jié)構(gòu)安全、訪問控制、安結(jié)構(gòu)安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等七個控制點(diǎn)。碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等七個控制點(diǎn)。2022-3-22控制點(diǎn)控制

21、點(diǎn)一級一級二級二級三級三級四級四級結(jié)構(gòu)安全*訪問控制*安全審計*邊界完整性檢查*入侵防范*惡意代碼防范*網(wǎng)絡(luò)設(shè)備防護(hù)*合計36772022-3-22一級網(wǎng)絡(luò)安全要求一級網(wǎng)絡(luò)安全要求：主要提供網(wǎng)絡(luò)安全運(yùn)行的基本保障，包括網(wǎng)絡(luò)結(jié)構(gòu)能夠基本滿足業(yè)務(wù)運(yùn)行需要，網(wǎng)絡(luò)邊界處對進(jìn)出的數(shù)據(jù)包頭進(jìn)行基本過濾等訪問控制措施。二級網(wǎng)絡(luò)安全要求二級網(wǎng)絡(luò)安全要求：不僅要滿足網(wǎng)絡(luò)安全運(yùn)行的基本保障，同時還要考慮網(wǎng)絡(luò)處理能力要滿足業(yè)務(wù)極限時的需要。對網(wǎng)絡(luò)邊界的訪問控制粒度進(jìn)一步增強(qiáng)。同時，加強(qiáng)了網(wǎng)絡(luò)邊界的防護(hù)，增加了安全審計、邊界完整性檢查、入侵防范安全審計、邊界完整性檢查、入侵防范等控制點(diǎn)。對網(wǎng)絡(luò)設(shè)備的防護(hù)不僅局限于簡單

22、的身份鑒別，同時對標(biāo)識和鑒別信息都有了相應(yīng)的要求。三級網(wǎng)絡(luò)安全要求三級網(wǎng)絡(luò)安全要求：對網(wǎng)絡(luò)處理能力增加了“優(yōu)先級”考慮，保證重要主機(jī)能夠在網(wǎng)絡(luò)擁堵時仍能夠正常運(yùn)行；網(wǎng)絡(luò)邊界的訪問控制擴(kuò)展到應(yīng)用層，網(wǎng)絡(luò)邊界的其他防護(hù)措施進(jìn)一步增強(qiáng)，不僅能夠被動的“防”，還應(yīng)能夠主動發(fā)出一些動作，如報警、阻斷等。網(wǎng)絡(luò)設(shè)備的防護(hù)手段要求兩種身份鑒別技術(shù)綜合使用。四級網(wǎng)絡(luò)安全要求四級網(wǎng)絡(luò)安全要求：對網(wǎng)絡(luò)邊界的訪問控制做出了更為嚴(yán)格的要求，禁止遠(yuǎn)程撥號訪問，不允許數(shù)據(jù)帶通用協(xié)議通過；邊界的其他防護(hù)措施也加強(qiáng)了要求。網(wǎng)絡(luò)安全審計著眼于全局，做到集中審計分析，以便得到更多的綜合信息。網(wǎng)絡(luò)設(shè)備的防護(hù)，在身份鑒別手段上除要求兩

23、種技術(shù)外，其中一種鑒別技術(shù)必須是不可偽造的，進(jìn)一步加強(qiáng)了對網(wǎng)絡(luò)設(shè)備的防護(hù)。2022-3-22主機(jī)系統(tǒng)安全是包括服務(wù)器、終端/工作站等在內(nèi)的計算機(jī)設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全。終端/工作站是帶外設(shè)的臺式機(jī)與筆記本計算機(jī)，服務(wù)器則包括應(yīng)用程序、網(wǎng)絡(luò)、web、文件與通信等服務(wù)器。主機(jī)系統(tǒng)是構(gòu)成信息系統(tǒng)的主要部分，其上承載著各種應(yīng)用。因此，主機(jī)系統(tǒng)安全是保護(hù)信息系統(tǒng)安全的中堅力量。主機(jī)系統(tǒng)安全涉及的控制點(diǎn)包括：身份鑒別、身份鑒別、安全標(biāo)記、訪問控制、可信路徑、安全審計、安全標(biāo)記、訪問控制、可信路徑、安全審計、剩余信息保護(hù)、入侵防范、惡意代碼防范和資剩余信息保護(hù)、入侵防范、惡意代碼防范和資源控制

24、等九個控制點(diǎn)。源控制等九個控制點(diǎn)。 2022-3-22控制點(diǎn)控制點(diǎn)一級一級二級二級三級三級四級四級身份鑒別*安全標(biāo)記*訪問控制*可信路徑*安全審計*剩余信息保護(hù)*入侵防范*惡意代碼防范*資源控制*合計46792022-3-22一級主機(jī)系統(tǒng)安全要求：一級主機(jī)系統(tǒng)安全要求：對主機(jī)進(jìn)行基本的防護(hù)，要求主機(jī)做到簡單的身份鑒別，粗粒度的訪問控制以及重要主機(jī)能夠進(jìn)行惡意代碼防范。二級主機(jī)系統(tǒng)安全要求：二級主機(jī)系統(tǒng)安全要求：在控制點(diǎn)上增加了安全審計和資源控制安全審計和資源控制等。同時，對身份鑒別和訪問控制都進(jìn)一步加強(qiáng)，鑒別的標(biāo)識、信息等都提出了具體的要求；訪問控制的粒度進(jìn)行了細(xì)化等，惡意代碼增加了統(tǒng)一管理等

25、。三級主機(jī)系統(tǒng)安全要求三級主機(jī)系統(tǒng)安全要求：在控制點(diǎn)上增加了剩余信息保護(hù)剩余信息保護(hù)，即，訪問控制增加了設(shè)置敏感標(biāo)記等，力度變強(qiáng)。同樣，身份鑒別的力度進(jìn)一步增強(qiáng)，要求兩種以上鑒別技術(shù)同時使用。安全審計已不滿足于對安全事件的記錄，而要進(jìn)行分析、生成報表。對惡意代碼的防范綜合考慮網(wǎng)絡(luò)上的防范措施，做到二者相互補(bǔ)充。對資源控制的增加了對服務(wù)器的監(jiān)視和最小服務(wù)水平的監(jiān)測和報警等。四級主機(jī)系統(tǒng)安全要求四級主機(jī)系統(tǒng)安全要求：在控制點(diǎn)上增加了安全標(biāo)記和可信路徑安全標(biāo)記和可信路徑，其他控制點(diǎn)在強(qiáng)度上也分別增強(qiáng)，如，身份鑒別要求使用不可偽造的鑒別技術(shù)，訪問控制要求部分按照強(qiáng)制訪問控制的力度實現(xiàn)，安全審計能夠做到

26、統(tǒng)一集中審計等。2022-3-22通過網(wǎng)絡(luò)、主機(jī)系統(tǒng)的安全防護(hù)，最終應(yīng)用安全成為信息系統(tǒng)整體防御的最后一道防線。在應(yīng)用層面運(yùn)行著信息系統(tǒng)的基于網(wǎng)絡(luò)的應(yīng)用以及特定業(yè)務(wù)應(yīng)用?；诰W(wǎng)絡(luò)的應(yīng)用是形成其他應(yīng)用的基礎(chǔ)，包括消息發(fā)送、web瀏覽等，可以說是基本的應(yīng)用。業(yè)務(wù)應(yīng)用采納基本應(yīng)用的功能以滿足特定業(yè)務(wù)的要求，如電子商務(wù)、電子政務(wù)等。由于各種基本應(yīng)用最終是為業(yè)務(wù)應(yīng)用服務(wù)的，因此對應(yīng)用系統(tǒng)的安全保護(hù)最終就是如何保護(hù)系統(tǒng)的各種業(yè)務(wù)應(yīng)用程序安全運(yùn)行。應(yīng)用安全主要涉及的安全控制點(diǎn)包括：身份鑒別、安身份鑒別、安全標(biāo)記、訪問控制、可信路徑、安全審計、剩余信息全標(biāo)記、訪問控制、可信路徑、安全審計、剩余信息保護(hù)、通信完

27、整性、通信保密性、抗抵賴、軟件容錯、保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制資源控制等十一個控制點(diǎn)。2022-3-22控制點(diǎn)控制點(diǎn)一級一級二級二級三級三級四級四級身份鑒別*安全標(biāo)記*訪問控制*可信路經(jīng)*安全審計*剩余信息保護(hù)*通信完整性*通信保密性*抗抵賴*軟件容錯*資源控制*合計479112022-3-22一級應(yīng)用安全要求：一級應(yīng)用安全要求：對應(yīng)用進(jìn)行基本的防護(hù)，要求做到簡單的身份鑒別，粗粒度的訪問控制以及數(shù)據(jù)有效性檢驗等基本防護(hù)。二級應(yīng)用安全要求：二級應(yīng)用安全要求：在控制點(diǎn)上增加了安全審計、通信保密性和安全審計、通信保密性和資源控制資源控制等。同時，對身份鑒別和訪問控制都進(jìn)

28、一步加強(qiáng)，鑒別的標(biāo)識、信息等都提出了具體的要求。訪問控制的粒度進(jìn)行了細(xì)化，對通信過程的完整性保護(hù)提出了特定的校驗碼技術(shù)。應(yīng)用軟件自身的安全要求進(jìn)一步增強(qiáng)，軟件容錯能力增強(qiáng)。三級應(yīng)用安全要求三級應(yīng)用安全要求：在控制點(diǎn)上增加了剩余信息保護(hù)和抗抵賴等剩余信息保護(hù)和抗抵賴等。同時，身份鑒別的力度進(jìn)一步增強(qiáng)，要求組合鑒別技術(shù)，訪問控制增加了敏感標(biāo)記功能，安全審計已不滿足于對安全事件的記錄，而要進(jìn)行分析等。對通信過程的完整性保護(hù)提出了特定的密碼技術(shù)。應(yīng)用軟件自身的安全要求進(jìn)一步增強(qiáng)，軟件容錯能力增強(qiáng)，增加了自動保護(hù)功能。四級應(yīng)用安全要求四級應(yīng)用安全要求：在控制點(diǎn)上增加了安全標(biāo)記和可信路徑等安全標(biāo)記和可信路

29、徑等。部分控制點(diǎn)在強(qiáng)度上進(jìn)一步增強(qiáng)，如，身份鑒別要求使用不可偽造的鑒別技術(shù)，安全審計能夠做到統(tǒng)一安全策略提供集中審計接口等，軟件應(yīng)具有自動恢復(fù)的能力等。2022-3-22信息系統(tǒng)處理的各種數(shù)據(jù)（用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等）在維持系統(tǒng)正常運(yùn)行上起著至關(guān)重要的作用。一旦數(shù)據(jù)遭到破壞（泄漏、修改、毀壞），都會在不同程度上造成影響，從而危害到系統(tǒng)的正常運(yùn)行。由于信息系統(tǒng)的各個層面（網(wǎng)絡(luò)、主機(jī)、應(yīng)用等）都對各類數(shù)據(jù)進(jìn)行傳輸、存儲和處理等，因此，對數(shù)據(jù)的保護(hù)需要物理環(huán)境、網(wǎng)絡(luò)、數(shù)據(jù)庫和操作系統(tǒng)、應(yīng)用程序等提供支持。各個“關(guān)口”把好了，數(shù)據(jù)本身再具有一些防御和修復(fù)手段，必然將對數(shù)據(jù)造成的損害降至最小。另

30、外，數(shù)據(jù)備份也是防止數(shù)據(jù)被破壞后無法恢復(fù)的重要手段，而硬件備份等更是保證系統(tǒng)可用的重要內(nèi)容，在高級別的信息系統(tǒng)中采用異地適時備份會有效的防治災(zāi)難發(fā)生時可能造成的系統(tǒng)危害。保證數(shù)據(jù)安全和備份恢復(fù)主要從：數(shù)據(jù)完整性、數(shù)據(jù)保密性、備數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)份和恢復(fù)等三個控制點(diǎn)考慮。2022-3-22控制點(diǎn)控制點(diǎn)一級一級二級二級三級三級四級四級數(shù)據(jù)完整性*數(shù)據(jù)保密性*備份和恢復(fù)*合計23332022-3-22一級數(shù)據(jù)安全及備份恢復(fù)要求一級數(shù)據(jù)安全及備份恢復(fù)要求：對數(shù)據(jù)完整性用戶數(shù)據(jù)在傳輸過程提出要求，能夠檢測出數(shù)據(jù)完整性受到破壞；同時能夠?qū)χ匾畔⑦M(jìn)行備份。二級數(shù)據(jù)及備份恢復(fù)安全要求二級數(shù)據(jù)

31、及備份恢復(fù)安全要求：對數(shù)據(jù)完整性的要求增強(qiáng)，范圍擴(kuò)大，要求鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中都要保證其完整性。對數(shù)據(jù)保密性要求實現(xiàn)鑒別信息存儲保密性，數(shù)據(jù)備份增強(qiáng)，要求一定的硬件冗余。三級數(shù)據(jù)及備份恢復(fù)安全要求三級數(shù)據(jù)及備份恢復(fù)安全要求：對數(shù)據(jù)完整性的要求增強(qiáng)，范圍擴(kuò)大，增加了系統(tǒng)管理數(shù)據(jù)的傳輸完整性，不僅能夠檢測出數(shù)據(jù)受到破壞，并能進(jìn)行恢復(fù)。對數(shù)據(jù)保密性要求范圍擴(kuò)大到實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)的傳輸和存儲的保密性，數(shù)據(jù)的備份不僅要求本地完全數(shù)據(jù)備份，還要求異地備份和冗余網(wǎng)絡(luò)拓?fù)?。四級?shù)據(jù)及備份恢復(fù)安全要求四級數(shù)據(jù)及備份恢復(fù)安全要求：為進(jìn)一步保證數(shù)據(jù)的完整性和保密性，提出使用專有

32、的安全協(xié)議的要求。同時，備份方式增加了建立異地適時災(zāi)難備份中心，在災(zāi)難發(fā)生后系統(tǒng)能夠自動切換和恢復(fù)。2022-3-22在信息安全中，最活躍的因素是人，對人的管理包括法律、法規(guī)與政策的約束、安全指南的幫助、安全意識的提高、安全技能的培訓(xùn)、人力資源管理措施以及企業(yè)文化的熏陶，這些功能的實現(xiàn)都是以完備的安全管理政策和制度為前提。這里所說的安全管理制度包括信息安全工作的總體方針、策略、規(guī)范各種安全管理活動的管理制度以及管理人員或操作人員日常操作的操作規(guī)程。安全管理制度主要包括：管理制度、制定和發(fā)管理制度、制定和發(fā)布、評審和修訂布、評審和修訂三個控制點(diǎn)。2022-3-22控制點(diǎn)控制點(diǎn)一級一級二級二級三級

33、三級四級四級管理制度*制定和發(fā)布*評審和修訂*合計23332022-3-22一級安全管理制度要求一級安全管理制度要求：主要明確了制定日常常用的管理制度，并對管理制度的制定和發(fā)布提出基本要求。二級安全管理制度要求二級安全管理制度要求：在控制點(diǎn)上增加了評審和修評審和修訂訂，管理制度增加了總體方針和安全策略，和對各類重要操作建立規(guī)程的要求，并且管理制度的制定和發(fā)布要求組織論證。三級安全管理制度要求三級安全管理制度要求：在二級要求的基礎(chǔ)上，要求機(jī)構(gòu)形成信息安全管理制度體系，對管理制度的制定要求和發(fā)布過程進(jìn)一步嚴(yán)格和規(guī)范。對安全制度的評審和修訂要求領(lǐng)導(dǎo)小組的負(fù)責(zé)。四級安全管理制度要求四級安全管理制度要求

34、：在三級要求的基礎(chǔ)上，主要考慮了對帶有密級的管理制度的管理和管理制度的日常維護(hù)等。2022-3-22安全管理，首先要建立一個健全、務(wù)實、有效、統(tǒng)一指揮、統(tǒng)一步調(diào)的完善的安全管理機(jī)構(gòu)，明確機(jī)構(gòu)成員的安全職責(zé)，這是信息安全管理得以實施、推廣的基礎(chǔ)。在單位的內(nèi)部結(jié)構(gòu)上必須建立一整套從單位最高管理層（董事會）到執(zhí)行管理層以及業(yè)務(wù)運(yùn)營層的管理結(jié)構(gòu)來約束和保證各項安全管理措施的執(zhí)行。其主要工作內(nèi)容包括對機(jī)構(gòu)內(nèi)重要的信息安全工作進(jìn)行授權(quán)和審批、內(nèi)部相關(guān)業(yè)務(wù)部門和安全管理部門之間的溝通協(xié)調(diào)以及與機(jī)構(gòu)外部各類單位的合作、定期對系統(tǒng)的安全措施落實情況進(jìn)行檢查，以發(fā)現(xiàn)問題進(jìn)行改進(jìn)。安全管理機(jī)構(gòu)主要包括：崗位設(shè)置、人

35、員配備、授權(quán)崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作以及審核和檢查和審批、溝通和合作以及審核和檢查等五個控制點(diǎn)。2022-3-22控制點(diǎn)控制點(diǎn)一級一級二級二級三級三級四級四級崗位設(shè)置*人員配備*授權(quán)和審批*溝通和合作*審核和檢查*合計45552022-3-22一級安全管理機(jī)構(gòu)要求一級安全管理機(jī)構(gòu)要求：主要要求對開展信息安全工作的基本工作崗位進(jìn)行配備，對機(jī)構(gòu)重要的安全活動進(jìn)行審批，加強(qiáng)對外的溝通和合作。二級安全管理機(jī)構(gòu)要求：二級安全管理機(jī)構(gòu)要求：在控制點(diǎn)上增加了審核和檢審核和檢查查，同時，在一級基礎(chǔ)上，明確要求設(shè)立安全主管等重要崗位；人員配備方面提出安全管理員不可兼任其它崗位原則；溝通與合作的

36、范圍增加與機(jī)構(gòu)內(nèi)部及與其他部門的合作和溝通。三級安全管理機(jī)構(gòu)要求三級安全管理機(jī)構(gòu)要求：對于崗位設(shè)置，不僅要求設(shè)置信息安全的職能部門，而且機(jī)構(gòu)上層應(yīng)有一定的領(lǐng)導(dǎo)小組全面負(fù)責(zé)機(jī)構(gòu)的信息安全全局工作。授權(quán)審批方面加強(qiáng)了授權(quán)流程控制以及階段性審查。溝通與合作方面加強(qiáng)了與外部組織的溝通和合作，并聘用安全顧問。同時對審核和檢查工作進(jìn)一步規(guī)范。四級安全管理機(jī)構(gòu)要求四級安全管理機(jī)構(gòu)要求：同三級要求。2022-3-22人，是信息安全中最關(guān)鍵的因素，同時也是信息安全中最薄弱的環(huán)節(jié)。很多重要的信息系統(tǒng)安全問題都涉及到用戶、設(shè)計人員、實施人員以及管理人員。如果這些與人員有關(guān)的安全問題沒有得到很好的解決，任何一個信息系

37、統(tǒng)都不可能達(dá)到真正的安全。只有對人員進(jìn)行了正確完善的管理，才有可能降低人為錯誤、盜竊、詐騙和誤用設(shè)備的風(fēng)險，從而減小了信息系統(tǒng)遭受人員錯誤造成損失的概率。對人員安全的管理，主要涉及兩方面：對內(nèi)部人員的安全管理和對外部人員的安全管理。具體包括：人員人員錄用、人員離崗、人員考核、安全意識教育和培訓(xùn)和錄用、人員離崗、人員考核、安全意識教育和培訓(xùn)和外部人員訪問管理外部人員訪問管理等五個控制點(diǎn)。2022-3-22控制點(diǎn)控制點(diǎn)一級一級二級二級三級三級四級四級人員錄用*人員離崗*人員考核*安全意識教育和培訓(xùn)*外部人員訪問管理*合計45552022-3-22一級人員安全管理要求一級人員安全管理要求：對人員在機(jī)

38、構(gòu)的工作周期（即，錄用、日常培訓(xùn)、離崗）的活動提出基本的管理要求。同時，對外部人員訪問要求得到授權(quán)和審批。二級人員安全管理要求二級人員安全管理要求：在控制點(diǎn)上增加了人員考核人員考核，對人員的錄用和離崗要求進(jìn)一步增強(qiáng)，過程性要求增加，安全教育培訓(xùn)更正規(guī)化，對外部人員的訪問活動約束其訪問行為。三級人員安全管理要求三級人員安全管理要求：在二級要求的基礎(chǔ)上，增強(qiáng)了對關(guān)鍵崗位人員的錄用、離崗和考核要求，對人員的培訓(xùn)教育更具有針對性，外部人員訪問要求更具體。四級人員安全管理要求四級人員安全管理要求：在三級要求的基礎(chǔ)上，提出了保密要求和關(guān)鍵區(qū)域禁止外部人員訪問的要求。2022-3-22信息系統(tǒng)的安全管理貫穿

39、系統(tǒng)的整個生命周期，系統(tǒng)建設(shè)管理主要關(guān)注的是生命周期中的前三個階段（即，初始、采購、實施）中各項安全管理活動。系統(tǒng)建設(shè)管理分別從工程實施建設(shè)前、建設(shè)過程以及建設(shè)完畢交付等三方面考慮，具體包括：系統(tǒng)定級、安全方案設(shè)計、產(chǎn)品采購和使用、系統(tǒng)定級、安全方案設(shè)計、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、系統(tǒng)備案、等級測評和安試驗收、系統(tǒng)交付、系統(tǒng)備案、等級測評和安全服務(wù)商選擇全服務(wù)商選擇等十一個控制點(diǎn)。2022-3-22控制點(diǎn)控制點(diǎn)一級一級二級二級三級三級四級四級系統(tǒng)定級*安全方案設(shè)計*產(chǎn)品采購和使用*自行軟件開發(fā)*外包軟件開發(fā)

40、*工程實施*測試驗收*系統(tǒng)交付*系統(tǒng)備案*等級測評*安全服務(wù)商選擇*合計9911112022-3-22一級系統(tǒng)建設(shè)管理要求一級系統(tǒng)建設(shè)管理要求：對系統(tǒng)建設(shè)整體過程所涉及的各項活動進(jìn)行基本的規(guī)范，如，先定級，方案準(zhǔn)備、安全產(chǎn)品按要求采購，軟件開發(fā)（自行、外包）的基本安全，實施的基本管理，建設(shè)后的安全性驗收、交付等都進(jìn)行要求。二級系統(tǒng)建設(shè)管理要求二級系統(tǒng)建設(shè)管理要求：在控制點(diǎn)上增加了系統(tǒng)備案和安全測評系統(tǒng)備案和安全測評，增加了某些活動的文檔化要求，如軟件開發(fā)管理制度，工程實施應(yīng)有實施方案要求等。同時，對安全方案、驗收報告等增加了審定要求，產(chǎn)品的采購增加了密碼產(chǎn)品的采購要求等。三級系統(tǒng)建設(shè)管理要求三

41、級系統(tǒng)建設(shè)管理要求：對建設(shè)過程的各項活動都要求進(jìn)行制度化規(guī)范，按照制度要求進(jìn)行活動的開展。對建設(shè)前的安全方案設(shè)計提出體系化要求，并加強(qiáng)了對其的論證工作。四級系統(tǒng)建設(shè)管理要求四級系統(tǒng)建設(shè)管理要求：主要對軟件開發(fā)活動進(jìn)一步加強(qiáng)了要求，以保證軟件開發(fā)的安全性。對工程實施過程提出了監(jiān)理要求。2022-3-22信息系統(tǒng)建設(shè)完成投入運(yùn)行之后，接下來就是如何維護(hù)和管理信息系統(tǒng)了。系統(tǒng)運(yùn)行涉及到很多管理方面，例如對環(huán)境的管理、介質(zhì)的管理、資產(chǎn)的管理等。同時，還要監(jiān)控系統(tǒng)由于一些原因發(fā)生的重大變化，安全措施也要進(jìn)行相應(yīng)的修改，以維護(hù)系統(tǒng)始終處于相應(yīng)安全保護(hù)等級的安全狀態(tài)中。系統(tǒng)運(yùn)維管理主要包括：環(huán)境管理、資產(chǎn)管理、介質(zhì)：環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安管理