等級(jí)保護(hù)基本要求培訓(xùn)(第十二期)

1、廣東計(jì)安信息網(wǎng)絡(luò)培訓(xùn)中心廣東計(jì)安信息網(wǎng)絡(luò)培訓(xùn)中心信息系統(tǒng)安全等級(jí)保護(hù)基本要求程曉峰目錄 等級(jí)保護(hù)知識(shí)回顧 使用時(shí)機(jī)和主要作用 基本要求主要思想 各級(jí)系統(tǒng)保護(hù)的主要內(nèi)容等級(jí)保護(hù)等級(jí)等級(jí)保護(hù)重要標(biāo)準(zhǔn) GB 17859-1999 計(jì)算機(jī)信息系統(tǒng) 安全保護(hù)等級(jí)劃分準(zhǔn)則 GB/T 222392008 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 GB/T 222402008 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南 信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)過程指南（國標(biāo)報(bào)批稿） 信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)要求（國標(biāo)報(bào)批稿） GB/T 25058-2010信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 GB/T 25070-2010信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求等級(jí)

2、保護(hù)相關(guān)標(biāo)準(zhǔn)GA/T 708-2007 信息系統(tǒng)安全等級(jí)保護(hù)體系框架GA/T 7092007 信息系統(tǒng)安全等級(jí)保護(hù)基本模型GA/T 710-2007 信息系統(tǒng)安全等級(jí)保護(hù)基本配置GA/T 711-2007 應(yīng)用軟件系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)指南GA/T 7122007 應(yīng)用軟件系統(tǒng)安全等級(jí)保護(hù)通用測試指南GA/T 713-2007 信息系統(tǒng)安全管理測評(píng)GB/T 180182007 路由器安全技術(shù)要求GB/T 202692006 信息系統(tǒng)安全管理要求GB/T 202702006 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T 202712006 信息系統(tǒng)安全通用技術(shù)要求GB/T 202722006 操作系統(tǒng)安全技術(shù)

3、要求GB/T 202732006 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求GB/T 202752006 入侵檢測系統(tǒng)技術(shù)要求和測試評(píng)價(jià)方法GB/T 202782006 網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求GB/T 202792006 網(wǎng)絡(luò)和終端設(shè)備隔離部件安全技術(shù)要求GB/T 202812006 防火墻技術(shù)要求和測試評(píng)價(jià)方法GB/T 202822006 信息系統(tǒng)安全工程管理要求GB/T 209792007 虹膜識(shí)別系統(tǒng)技術(shù)要求GB/T 209842007 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB/T 209882007 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范GB/T 210282007 服務(wù)器安全技術(shù)要求GB/T 210522007 信息系統(tǒng)物理安全

4、技術(shù)要求GB/T 210532007 公鑰基礎(chǔ)設(shè)施 PKI系統(tǒng)安全等級(jí)保護(hù)技術(shù)要求GB/Z 209852007 信息安全事件管理指南 YD/TGB/Z 209862007 信息安全事件分類分級(jí)指南定級(jí)流程G=MAX(S,A)SA安全保護(hù)和系統(tǒng)定級(jí)的關(guān)系安全等級(jí)安全等級(jí)信息系統(tǒng)保護(hù)要求的組合信息系統(tǒng)保護(hù)要求的組合第一級(jí)第一級(jí)S1A1G1S1A1G1第二級(jí)第二級(jí)S1A2G2S1A2G2，S2A2G2S2A2G2，S2A1G2S2A1G2第三級(jí)第三級(jí)S1A3G3S1A3G3，S2A3G3S2A3G3，S3A3G3S3A3G3，S3A2G3S3A2G3，S3A1G3S3A1G3第四級(jí)第四級(jí)S1A4G4

5、S1A4G4，S2A4G4S2A4G4，S3A4G4S3A4G4，S4A4G4S4A4G4，S4A3G4S4A3G4，S4A2G4S4A2G4，S4A1G4S4A1G4使用時(shí)機(jī)和主要作用使用時(shí)機(jī)和主要作用等級(jí)保護(hù)基本要求作用基本要求監(jiān)管機(jī)構(gòu)檢查測評(píng)機(jī)構(gòu)測評(píng)使用單位自查集成廠商指導(dǎo)建設(shè)技術(shù)標(biāo)準(zhǔn)和管理規(guī)范的作用技術(shù)標(biāo)準(zhǔn)和管理規(guī)范信息系統(tǒng)定級(jí)信息系統(tǒng)安全建設(shè)或改建安全狀況達(dá)到等級(jí)保護(hù)要求的信息系統(tǒng)基本要求的定位 是系統(tǒng)安全保護(hù)、等級(jí)測評(píng)的一個(gè)基本“標(biāo)尺”，同樣級(jí)別的系統(tǒng)使用統(tǒng)一的“標(biāo)尺”來衡量，保證權(quán)威性，是一個(gè)達(dá)標(biāo)線； 每個(gè)級(jí)別的信息系統(tǒng)按照基本要求進(jìn)行保護(hù)后，信息系統(tǒng)具有相應(yīng)等級(jí)的基本安全保護(hù)能

6、力，達(dá)到一種基本的安全狀態(tài); 是每個(gè)級(jí)別信息系統(tǒng)進(jìn)行安全保護(hù)工作的一個(gè)基本出發(fā)點(diǎn)，更加貼切的保護(hù)可以通過需求分析對(duì)基本要求進(jìn)行補(bǔ)充，參考其他有關(guān)等級(jí)保護(hù)或安全方面的標(biāo)準(zhǔn)來實(shí)現(xiàn);等級(jí)保護(hù)基本要求效果0246810物理安全網(wǎng)絡(luò)安全數(shù)據(jù)安全主機(jī)安全應(yīng)用安全等保二級(jí)等保三級(jí)基本要求的定位某級(jí)信息系統(tǒng)基本保護(hù)精確保護(hù)基本要求保護(hù)基本要求測評(píng)補(bǔ)充的安全措施GB17859-1999通用技術(shù)要求安全管理要求高級(jí)別的基本要求等級(jí)保護(hù)其他標(biāo)準(zhǔn)安全方面相關(guān)標(biāo)準(zhǔn)等等基本保護(hù)特殊需求補(bǔ)充措施基本要求主要思想基本要求主要思想基本要求基本思路不同級(jí)別信息系統(tǒng)重要程度不同應(yīng)對(duì)不同威脅的能力具有不同的安全保護(hù)能力不同的等級(jí)保護(hù)

7、基本要求不同級(jí)別的安全保護(hù)能力要求 第一級(jí)安全保護(hù)能力第一級(jí)安全保護(hù)能力 應(yīng)能夠防護(hù)系統(tǒng)免受來自應(yīng)能夠防護(hù)系統(tǒng)免受來自個(gè)人的、擁有很少資源個(gè)人的、擁有很少資源（如利用公（如利用公開可獲取的工具等）的威脅源發(fā)起的惡意攻擊、開可獲取的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然一般的自然災(zāi)難災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度弱、持續(xù)時(shí)間很短等）以及其他相當(dāng)（災(zāi)難發(fā)生的強(qiáng)度弱、持續(xù)時(shí)間很短等）以及其他相當(dāng)危害程度的威脅（無意失誤、技術(shù)故障等）所造成的危害程度的威脅（無意失誤、技術(shù)故障等）所造成的關(guān)鍵資關(guān)鍵資源源損害，在系統(tǒng)遭到損害后，能夠損害，在系統(tǒng)遭到損害后，能夠恢復(fù)部分功能恢復(fù)部分功能。 第二級(jí)安全保護(hù)能力第二

8、級(jí)安全保護(hù)能力 應(yīng)能夠防護(hù)系統(tǒng)免受來自應(yīng)能夠防護(hù)系統(tǒng)免受來自外部小型組織外部小型組織的（如自發(fā)的三兩人的（如自發(fā)的三兩人組成的黑客組織）、擁有少量資源（如個(gè)別人員能力、公開組成的黑客組織）、擁有少量資源（如個(gè)別人員能力、公開可獲或特定開發(fā)的工具等）的威脅源發(fā)起的惡意攻擊、可獲或特定開發(fā)的工具等）的威脅源發(fā)起的惡意攻擊、一般一般的自然災(zāi)難的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度一般、持續(xù)時(shí)間短、覆蓋范圍（災(zāi)難發(fā)生的強(qiáng)度一般、持續(xù)時(shí)間短、覆蓋范圍小等）以及其他相當(dāng)危害程度的威脅（無意失誤、技術(shù)故障小等）以及其他相當(dāng)危害程度的威脅（無意失誤、技術(shù)故障等）所造成的等）所造成的重要資源重要資源損害，損害，能夠發(fā)現(xiàn)重要

9、的安全漏洞和安能夠發(fā)現(xiàn)重要的安全漏洞和安全事件全事件，在系統(tǒng)遭到損害后，在系統(tǒng)遭到損害后，能夠在一段時(shí)間內(nèi)恢復(fù)部分功能夠在一段時(shí)間內(nèi)恢復(fù)部分功能能。不同級(jí)別的安全保護(hù)能力要求 第三級(jí)安全保護(hù)能力第三級(jí)安全保護(hù)能力 應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自外部有組織的團(tuán)體自外部有組織的團(tuán)體（如一個(gè)商業(yè)情報(bào)組織或犯罪組織等），擁有較為豐富資源（包（如一個(gè)商業(yè)情報(bào)組織或犯罪組織等），擁有較為豐富資源（包括人員能力、計(jì)算能力等）的威脅源發(fā)起的惡意攻擊、括人員能力、計(jì)算能力等）的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重較為嚴(yán)重的自然災(zāi)難的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度較大、持續(xù)時(shí)間較長

10、、覆蓋范圍較（災(zāi)難發(fā)生的強(qiáng)度較大、持續(xù)時(shí)間較長、覆蓋范圍較廣等）以及其他相當(dāng)危害程度的威脅（廣等）以及其他相當(dāng)危害程度的威脅（內(nèi)部人員的惡意威脅內(nèi)部人員的惡意威脅、無、無意失誤、較嚴(yán)重的技術(shù)故障等）所造成的主要資源損害，能夠發(fā)意失誤、較嚴(yán)重的技術(shù)故障等）所造成的主要資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠較快恢復(fù)絕大能夠較快恢復(fù)絕大部分功能部分功能。 第四級(jí)安全保護(hù)能力第四級(jí)安全保護(hù)能力 應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自國家級(jí)別的、敵對(duì)組國家級(jí)別的、敵對(duì)組織織的、擁有豐富資源的威脅源發(fā)起的惡

11、意攻擊、的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)難嚴(yán)重的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度大、持續(xù)時(shí)間長、覆蓋范圍廣等）以及其他相（災(zāi)難發(fā)生的強(qiáng)度大、持續(xù)時(shí)間長、覆蓋范圍廣等）以及其他相當(dāng)危害程度的威脅（內(nèi)部人員的惡意威脅、無意失誤、嚴(yán)重的技當(dāng)危害程度的威脅（內(nèi)部人員的惡意威脅、無意失誤、嚴(yán)重的技術(shù)故障等）所造成的資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，術(shù)故障等）所造成的資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，在系統(tǒng)遭到損害后，能夠迅速恢復(fù)所有功能能夠迅速恢復(fù)所有功能。 不同級(jí)別的安全保護(hù)能力要求人員威脅人員威脅自然威脅自然威脅損害對(duì)象損害對(duì)象恢復(fù)能力恢復(fù)能力發(fā)現(xiàn)能力發(fā)現(xiàn)能力第

12、一級(jí)個(gè)人一般自然災(zāi)害關(guān)鍵資源部分恢復(fù)無第二級(jí)小型組織一般自然災(zāi)害重要資源一段時(shí)間內(nèi)部分恢復(fù)能夠發(fā)現(xiàn)安全漏洞和安全事件第三級(jí)外部組織或內(nèi)部人員較為嚴(yán)重災(zāi)害主要資源較快恢復(fù)絕大部分能夠發(fā)現(xiàn)安全漏洞和安全事件第四級(jí)國家級(jí)別嚴(yán)重災(zāi)害所有資源迅速恢復(fù)所有能夠發(fā)現(xiàn)安全漏洞和安全事件各個(gè)要素之間的關(guān)系安全保護(hù)能力基本安全要求每個(gè)等級(jí)的信息系統(tǒng)基本技術(shù)措施基本管理措施具備包含包含滿足滿足實(shí)現(xiàn)基本要求核心思路某級(jí)系統(tǒng)技術(shù)要求管理要求基本要求建立安全技術(shù)體系建立安全管理體系具有某級(jí)安全保護(hù)能力的系統(tǒng)各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀） 安全保護(hù)模型PPDRR Protection防護(hù)防護(hù) Policy Detectio

13、n 策略策略 檢測檢測 Response 響應(yīng)響應(yīng) Recovery恢復(fù)恢復(fù)各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀）一級(jí)系統(tǒng)二級(jí)系統(tǒng)三級(jí)系統(tǒng)四級(jí)系統(tǒng)防護(hù)防護(hù)/監(jiān)測策略/防護(hù)/監(jiān)測/恢復(fù)策略/防護(hù)/監(jiān)測/恢復(fù)/響應(yīng)各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀）成功的完成業(yè)務(wù)成功的完成業(yè)務(wù)信息保障信息保障人人技術(shù)技術(shù)操作操作防御網(wǎng)絡(luò)與基礎(chǔ)設(shè)施防御飛地邊界防御計(jì)算環(huán)境支撐性基礎(chǔ)設(shè)施安全保護(hù)模型IATF各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀）一級(jí)系統(tǒng)二級(jí)系統(tǒng)三級(jí)系統(tǒng)四級(jí)系統(tǒng)通信/邊界（基本）通信/邊界/內(nèi)部（關(guān)鍵設(shè)備）通信/邊界/內(nèi)部（主要設(shè)備）通信/邊界/內(nèi)部/基礎(chǔ)設(shè)施（所有設(shè)備）能力成熟度模型CMM非正式執(zhí)行計(jì)劃跟蹤充分定義持續(xù)改進(jìn)

14、各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀）一級(jí)系統(tǒng)二級(jí)系統(tǒng)三級(jí)系統(tǒng)四級(jí)系統(tǒng)計(jì)劃和跟蹤（主要制度）計(jì)劃和跟蹤（主要制度）良好定義（管理活動(dòng)制度化）持續(xù)改進(jìn)（管理活動(dòng)制度化/及時(shí)改進(jìn)）各級(jí)系統(tǒng)的保護(hù)要求差異（微觀）某級(jí)系統(tǒng)物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理各級(jí)系統(tǒng)保護(hù)的主要內(nèi)容各級(jí)系統(tǒng)保護(hù)的主要內(nèi)容基本要求的主要內(nèi)容 由由9個(gè)章節(jié)個(gè)章節(jié)2個(gè)附錄構(gòu)成個(gè)附錄構(gòu)成 1.適用范圍適用范圍 2.規(guī)范性引用文件規(guī)范性引用文件 3術(shù)語和定義術(shù)語和定義 4.等級(jí)保護(hù)概述等級(jí)保護(hù)概述 .9對(duì)應(yīng)對(duì)應(yīng) 第一至五級(jí)第一至五級(jí) 基本

15、要求基本要求 附錄附錄A 關(guān)于信息系統(tǒng)整體安全保護(hù)能力的要求關(guān)于信息系統(tǒng)整體安全保護(hù)能力的要求 附錄附錄B 基本安全要求的選擇和使用基本安全要求的選擇和使用基本要求的組織方式某級(jí)系統(tǒng)類技術(shù)要求管理要求基本要求類控制點(diǎn)具體要求控制點(diǎn)具體要求基本要求舉例技術(shù)要求 網(wǎng)絡(luò)安全（類） 訪問控制(G2) （控制點(diǎn)）本項(xiàng)要求包括: （具體要求） a) 應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,啟用訪問控制功能; b) 應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的拒絕訪問的能力能力,控制粒度為網(wǎng)段級(jí)。控制粒度為網(wǎng)段級(jí)。 c) 應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)

16、則,決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問,控制粒度為單個(gè)用戶; d) 應(yīng)限制具有撥號(hào)訪問權(quán)限的用戶數(shù)量。應(yīng)限制具有撥號(hào)訪問權(quán)限的用戶數(shù)量?；疽笈e例技術(shù)要求 網(wǎng)絡(luò)安全（類） 訪問控制(G3)本項(xiàng)要求包括: a) 應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,啟用訪問控制功能; b) 應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力,控制粒度為端口級(jí)端口級(jí); c) 應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾,實(shí)現(xiàn)對(duì)應(yīng)用層實(shí)現(xiàn)對(duì)應(yīng)用層 HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制等協(xié)議命令級(jí)的控制; d) 應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束

17、后終止網(wǎng)絡(luò)連接應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接; e) 應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù); f) 重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙; g) 應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則,決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問,控制粒度為單個(gè)用戶; h) 應(yīng)限制具有撥號(hào)訪問權(quán)限的用戶數(shù)量?；疽髽?biāo)注方式 基本要求基本要求 技術(shù)要求技術(shù)要求 管理要求管理要求 要求標(biāo)注要求標(biāo)注 業(yè)務(wù)信息安全類要求（標(biāo)記為業(yè)務(wù)信息安全類要求（標(biāo)記為S類）類） 系統(tǒng)服務(wù)保證類要求（標(biāo)記為系統(tǒng)服務(wù)保證類要求（標(biāo)記為A類）類） 通用安全保護(hù)類要求

18、（標(biāo)記為通用安全保護(hù)類要求（標(biāo)記為G類）類） 基本要求的選擇和使用 一個(gè)3級(jí)系統(tǒng),定級(jí)結(jié)果為S3A2，保護(hù)類型應(yīng)該是S3A2G3 第1步: 選擇標(biāo)準(zhǔn)中3級(jí)基本要求的技術(shù)要求和管理要求; 第2步: 要求中標(biāo)注為S類和G類的不變; 標(biāo)注為A類的要求可以選用2級(jí)基本要求中的A類作為基本要求;安全保護(hù)和系統(tǒng)定級(jí)的關(guān)系安全等級(jí)安全等級(jí)信息系統(tǒng)保護(hù)要求的組合信息系統(tǒng)保護(hù)要求的組合第一級(jí)第一級(jí)S1A1G1第二級(jí)第二級(jí)S1A2G2，S2A2G2，S2A1G2第三級(jí)第三級(jí)S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級(jí)第四級(jí)S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A

19、3G4，S4A2G4，S4A1G4l定級(jí)指南要求按照定級(jí)指南要求按照“業(yè)務(wù)信息業(yè)務(wù)信息”和和“系統(tǒng)服務(wù)系統(tǒng)服務(wù)”的需求確定整個(gè)系統(tǒng)的安全保護(hù)等級(jí)的需求確定整個(gè)系統(tǒng)的安全保護(hù)等級(jí)l定級(jí)過程反映了信息系統(tǒng)的保護(hù)要求定級(jí)過程反映了信息系統(tǒng)的保護(hù)要求系統(tǒng)服務(wù)要求舉例：電力控制(A) 一級(jí):計(jì)算機(jī)系統(tǒng)供電應(yīng)與其他供電分開;應(yīng)設(shè)置穩(wěn)壓器和過電壓防護(hù)設(shè)備 。 二級(jí):應(yīng)提供短期的備用電力供應(yīng)(如:UPS設(shè) 備)。 三級(jí):應(yīng)具備冗余或并行的電力電纜線路;備用供電系統(tǒng)(如備用發(fā)電機(jī)) 。 四級(jí):與三級(jí)要求相同。業(yè)務(wù)信息要求舉例：電磁防護(hù)(S) 一級(jí):無此要求。 二級(jí):要求具有基本的電磁防護(hù)能力,如電源線和通信 線

20、纜應(yīng)隔離鋪設(shè)等。 三級(jí):除二級(jí)要求外,增強(qiáng)了防護(hù)能力,要求能夠做到 關(guān)鍵設(shè)備和磁介質(zhì)的電磁屏蔽。 四級(jí):在三級(jí)要求的基礎(chǔ)上,要求屏蔽范圍擴(kuò)展關(guān)鍵區(qū)不同級(jí)別系統(tǒng)控制點(diǎn)的差異安全要求安全要求類類層面層面一級(jí)一級(jí)二級(jí)二級(jí)三級(jí)三級(jí)四級(jí)四級(jí)技術(shù)要求物理安全7101010網(wǎng)絡(luò)安全3677主機(jī)安全4679應(yīng)用安全47911數(shù)據(jù)安全及備份恢復(fù)2333管理要求安全管理制度2333安全管理機(jī)構(gòu)4555人員安全管理4555系統(tǒng)建設(shè)管理991111系統(tǒng)運(yùn)維管理9121313合計(jì)/48667377級(jí)差/1874不同級(jí)別系統(tǒng)要求項(xiàng)的差異安全要求類安全要求類層面層面一級(jí)一級(jí)二級(jí)二級(jí)三級(jí)三級(jí)四級(jí)四級(jí)技術(shù)要求物理安全91932

21、33網(wǎng)絡(luò)安全9183332主機(jī)安全6193236應(yīng)用安全7193136數(shù)據(jù)安全及備份恢復(fù)24811管理要求安全管理制度371114安全管理機(jī)構(gòu)492020人員安全管理7111618系統(tǒng)建設(shè)管理20284548系統(tǒng)運(yùn)維管理18416270合計(jì)/85175290318級(jí)差/9011528基本要求組織方式各級(jí)系統(tǒng)安全保護(hù)要求-物理安全控制點(diǎn)控制點(diǎn)一級(jí)一級(jí)二級(jí)二級(jí)三級(jí)三級(jí)四級(jí)四級(jí)物理位置的選擇G0122物理訪問控制G1244+防盜竊和防破壞G2566防雷擊G1233防火G11+33防水和防潮G2344防靜電G0123溫濕度控制G11+11電力供應(yīng)A1244+電磁防護(hù)S0133+控制點(diǎn)合計(jì)7101010

22、具體要求合計(jì)9193233各級(jí)系統(tǒng)安全保護(hù)要求-物理安全 一級(jí)物理安全要求一級(jí)物理安全要求：主要要求對(duì)物理環(huán)境進(jìn)行基本的防護(hù)，對(duì)出入進(jìn)行基本控制，環(huán)境安全能夠?qū)ψ匀煌{進(jìn)行基本的防護(hù)，電力則要求提供供電電壓的正常。 二級(jí)物理安全要求二級(jí)物理安全要求：對(duì)物理安全進(jìn)行了進(jìn)一步的防護(hù)，不僅對(duì)出入進(jìn)行基本的控制，對(duì)進(jìn)入后的活動(dòng)也要進(jìn)行控制；物理環(huán)境方面，則加強(qiáng)了各方面的防護(hù)，采取更細(xì)的要求來多方面進(jìn)行防護(hù)。 三級(jí)物理安全要求三級(jí)物理安全要求：對(duì)出入加強(qiáng)了控制，做到人、電子設(shè)備共同監(jiān)控；物理環(huán)境方面，進(jìn)一步采取各種控制措施來進(jìn)行防護(hù)。如，防火要求，不僅要求自動(dòng)消防系統(tǒng)，而且要求區(qū)域隔離防火，建筑材料防火

23、等方面，將防火的范圍增大，從而使火災(zāi)發(fā)生的幾率和損失降低。 四級(jí)物理安全要求四級(jí)物理安全要求：對(duì)機(jī)房出入的要求進(jìn)一步增強(qiáng)，要求多道電子設(shè)備監(jiān)控；物理環(huán)境方面，要求采用一定的防護(hù)設(shè)備進(jìn)行防護(hù)，如靜電消除裝置等。 各級(jí)系統(tǒng)安全保護(hù)要求-網(wǎng)絡(luò)安全控制點(diǎn)控制點(diǎn)一級(jí)一級(jí)二級(jí)二級(jí)三級(jí)三級(jí)四級(jí)四級(jí)結(jié)構(gòu)安全G3477+訪問控制G3484+安全審計(jì)G0246邊界完整性檢查S0122入侵防范G0122+惡意代碼防范G0022網(wǎng)絡(luò)設(shè)備防護(hù)G3689控制點(diǎn)合計(jì)3677具體要求合計(jì)9183332各級(jí)系統(tǒng)安全保護(hù)要求-網(wǎng)絡(luò)安全一級(jí)網(wǎng)絡(luò)安全要求一級(jí)網(wǎng)絡(luò)安全要求：主要提供網(wǎng)絡(luò)安全運(yùn)行的基本保障，包括網(wǎng)絡(luò)結(jié)構(gòu)能夠基本滿足業(yè)務(wù)運(yùn)

24、行需要，網(wǎng)絡(luò)邊界處對(duì)進(jìn)出的數(shù)據(jù)包頭進(jìn)行基本過濾等訪問控制措施。二級(jí)網(wǎng)絡(luò)安全要求二級(jí)網(wǎng)絡(luò)安全要求：不僅要滿足網(wǎng)絡(luò)安全運(yùn)行的基本保障，同時(shí)還要考慮網(wǎng)絡(luò)處理能力要滿足業(yè)務(wù)極限時(shí)的需要。對(duì)網(wǎng)絡(luò)邊界的訪問控制粒度進(jìn)一步增強(qiáng)。同時(shí)，加強(qiáng)了網(wǎng)絡(luò)邊界的防護(hù)，增加了安全審計(jì)、邊界完整性檢查、入侵防范安全審計(jì)、邊界完整性檢查、入侵防范等控制點(diǎn)。對(duì)網(wǎng)絡(luò)設(shè)備的防護(hù)不僅局限于簡單的身份鑒別，同時(shí)對(duì)標(biāo)識(shí)和鑒別信息都有了相應(yīng)的要求。三級(jí)網(wǎng)絡(luò)安全要求三級(jí)網(wǎng)絡(luò)安全要求：對(duì)網(wǎng)絡(luò)處理能力增加了“優(yōu)先級(jí)”考慮，保證重要主機(jī)能夠在網(wǎng)絡(luò)擁堵時(shí)仍能夠正常運(yùn)行；網(wǎng)絡(luò)邊界的訪問控制擴(kuò)展到應(yīng)用層，網(wǎng)絡(luò)邊界的其他防護(hù)措施進(jìn)一步增強(qiáng)，不僅能夠被動(dòng)的

25、“防”，還應(yīng)能夠主動(dòng)發(fā)出一些動(dòng)作，如報(bào)警、阻斷等。網(wǎng)絡(luò)設(shè)備的防護(hù)手段要求兩種身份鑒別技術(shù)綜合使用。四級(jí)網(wǎng)絡(luò)安全要求四級(jí)網(wǎng)絡(luò)安全要求：對(duì)網(wǎng)絡(luò)邊界的訪問控制做出了更為嚴(yán)格的要求，禁止遠(yuǎn)程撥號(hào)訪問，不允許數(shù)據(jù)帶通用協(xié)議通過；邊界的其他防護(hù)措施也加強(qiáng)了要求。網(wǎng)絡(luò)安全審計(jì)著眼于全局，做到集中審計(jì)分析，以便得到更多的綜合信息。網(wǎng)絡(luò)設(shè)備的防護(hù)，在身份鑒別手段上除要求兩種技術(shù)外，其中一種鑒別技術(shù)必須是不可偽造的，進(jìn)一步加強(qiáng)了對(duì)網(wǎng)絡(luò)設(shè)備的防護(hù)。各級(jí)系統(tǒng)安全保護(hù)要求-主機(jī)安全控制點(diǎn)控制點(diǎn)一級(jí)一級(jí)二級(jí)二級(jí)三級(jí)三級(jí)四級(jí)四級(jí)身份鑒別S1567安全標(biāo)記S0001訪問控制G3476可信路徑S0002安全審計(jì)G0467剩余信

26、息保護(hù)S0022入侵防范G11+33惡意代碼防范G1233資源控制A0355控制點(diǎn)合計(jì)4679具體要求合計(jì)6193236各級(jí)系統(tǒng)安全保護(hù)要求-主機(jī)安全 一級(jí)主機(jī)系統(tǒng)安全要求：一級(jí)主機(jī)系統(tǒng)安全要求：對(duì)主機(jī)進(jìn)行基本的防護(hù)，要求主機(jī)做到簡單的身份鑒別，粗粒度的訪問控制以及重要主機(jī)能夠進(jìn)行惡意代碼防范。 二級(jí)主機(jī)系統(tǒng)安全要求：二級(jí)主機(jī)系統(tǒng)安全要求：在控制點(diǎn)上增加了安全審計(jì)和資安全審計(jì)和資源控制源控制等。同時(shí)，對(duì)身份鑒別和訪問控制都進(jìn)一步加強(qiáng)，鑒別的標(biāo)識(shí)、信息等都提出了具體的要求；訪問控制的粒度進(jìn)行了細(xì)化等，惡意代碼增加了統(tǒng)一管理等。 三級(jí)主機(jī)系統(tǒng)安全要求三級(jí)主機(jī)系統(tǒng)安全要求：在控制點(diǎn)上增加了剩余信息保

27、護(hù)剩余信息保護(hù)，即，訪問控制增加了設(shè)置敏感標(biāo)記等，力度變強(qiáng)。同樣，身份鑒別的力度進(jìn)一步增強(qiáng)，要求兩種以上鑒別技術(shù)同時(shí)使用。安全審計(jì)已不滿足于對(duì)安全事件的記錄，而要進(jìn)行分析、生成報(bào)表。對(duì)惡意代碼的防范綜合考慮網(wǎng)絡(luò)上的防范措施，做到二者相互補(bǔ)充。對(duì)資源控制的增加了對(duì)服務(wù)器的監(jiān)視和最小服務(wù)水平的監(jiān)測和報(bào)警等。 四級(jí)主機(jī)系統(tǒng)安全要求四級(jí)主機(jī)系統(tǒng)安全要求：在控制點(diǎn)上增加了安全標(biāo)記和可安全標(biāo)記和可信路徑信路徑，其他控制點(diǎn)在強(qiáng)度上也分別增強(qiáng)，如，身份鑒別要求使用不可偽造的鑒別技術(shù)，訪問控制要求部分按照強(qiáng)制訪問控制的力度實(shí)現(xiàn)，安全審計(jì)能夠做到統(tǒng)一集中審計(jì)等。各級(jí)系統(tǒng)安全保護(hù)要求-應(yīng)用安全控制點(diǎn)控制點(diǎn)一級(jí)一級(jí)二

28、級(jí)二級(jí)三級(jí)三級(jí)四級(jí)四級(jí)身份鑒別S3455+安全標(biāo)記S0001訪問控制S2465+可信路經(jīng)S0002安全審計(jì)G0345剩余信息保護(hù)S0022通信完整性S11+1+1通信保密性S022+3抗抵賴G0022軟件容錯(cuò)A122+3資源控制A0377控制點(diǎn)合計(jì)47911具體要求合計(jì)7193136各級(jí)系統(tǒng)安全保護(hù)要求-應(yīng)用安全一級(jí)應(yīng)用安全要求：一級(jí)應(yīng)用安全要求：對(duì)應(yīng)用進(jìn)行基本的防護(hù)，要求做到簡單的身份鑒別，粗粒度的訪問控制以及數(shù)據(jù)有效性檢驗(yàn)等基本防護(hù)。二級(jí)應(yīng)用安全要求：二級(jí)應(yīng)用安全要求：在控制點(diǎn)上增加了安全審計(jì)、通信保密性和資源安全審計(jì)、通信保密性和資源控制控制等。同時(shí)，對(duì)身份鑒別和訪問控制都進(jìn)一步加強(qiáng)，鑒

29、別的標(biāo)識(shí)、信息等都提出了具體的要求。訪問控制的粒度進(jìn)行了細(xì)化，對(duì)通信過程的完整性保護(hù)提出了特定的校驗(yàn)碼技術(shù)。應(yīng)用軟件自身的安全要求進(jìn)一步增強(qiáng)，軟件容錯(cuò)能力增強(qiáng)。三級(jí)應(yīng)用安全要求三級(jí)應(yīng)用安全要求：在控制點(diǎn)上增加了剩余信息保護(hù)和抗抵賴等剩余信息保護(hù)和抗抵賴等。同時(shí)，身份鑒別的力度進(jìn)一步增強(qiáng)，要求組合鑒別技術(shù)，訪問控制增加了敏感標(biāo)記功能，安全審計(jì)已不滿足于對(duì)安全事件的記錄，而要進(jìn)行分析等。對(duì)通信過程的完整性保護(hù)提出了特定的密碼技術(shù)。應(yīng)用軟件自身的安全要求進(jìn)一步增強(qiáng)，軟件容錯(cuò)能力增強(qiáng)，增加了自動(dòng)保護(hù)功能。四級(jí)應(yīng)用安全要求四級(jí)應(yīng)用安全要求：在控制點(diǎn)上增加了安全標(biāo)記和可信路徑等安全標(biāo)記和可信路徑等。部分控

30、制點(diǎn)在強(qiáng)度上進(jìn)一步增強(qiáng)，如，身份鑒別要求使用不可偽造的鑒別技術(shù)，安全審計(jì)能夠做到統(tǒng)一安全策略提供集中審計(jì)接口等，軟件應(yīng)具有自動(dòng)恢復(fù)的能力等。各級(jí)系統(tǒng)安全保護(hù)要求-數(shù)據(jù)安全及備份恢復(fù)控制點(diǎn)控制點(diǎn)一級(jí)一級(jí)二級(jí)二級(jí)三級(jí)三級(jí)四級(jí)四級(jí)數(shù)據(jù)完整性S11+23數(shù)據(jù)保密性S0123備份和恢復(fù)A1245控制點(diǎn)合計(jì)2333具體要求合計(jì)24811各級(jí)系統(tǒng)安全保護(hù)要求-數(shù)據(jù)安全及備份恢復(fù) 一級(jí)數(shù)據(jù)安全及備份恢復(fù)要求一級(jí)數(shù)據(jù)安全及備份恢復(fù)要求：對(duì)數(shù)據(jù)完整性用戶數(shù)據(jù)在傳輸過程提出要求，能夠檢測出數(shù)據(jù)完整性受到破壞；同時(shí)能夠?qū)χ匾畔⑦M(jìn)行備份。 二級(jí)數(shù)據(jù)及備份恢復(fù)安全要求二級(jí)數(shù)據(jù)及備份恢復(fù)安全要求：對(duì)數(shù)據(jù)完整性的要求增強(qiáng)，

31、范圍擴(kuò)大，要求鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中都要保證其完整性。對(duì)數(shù)據(jù)保密性要求實(shí)現(xiàn)鑒別信息存儲(chǔ)保密性，數(shù)據(jù)備份增強(qiáng)，要求一定的硬件冗余。 三級(jí)數(shù)據(jù)及備份恢復(fù)安全要求三級(jí)數(shù)據(jù)及備份恢復(fù)安全要求：對(duì)數(shù)據(jù)完整性的要求增強(qiáng)，范圍擴(kuò)大，增加了系統(tǒng)管理數(shù)據(jù)的傳輸完整性，不僅能夠檢測出數(shù)據(jù)受到破壞，并能進(jìn)行恢復(fù)。對(duì)數(shù)據(jù)保密性要求范圍擴(kuò)大到實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)的傳輸和存儲(chǔ)的保密性，數(shù)據(jù)的備份不僅要求本地完全數(shù)據(jù)備份，還要求異地備份和冗余網(wǎng)絡(luò)拓?fù)洹?四級(jí)數(shù)據(jù)及備份恢復(fù)安全要求四級(jí)數(shù)據(jù)及備份恢復(fù)安全要求：為進(jìn)一步保證數(shù)據(jù)的完整性和保密性，提出使用專有的安全協(xié)議的要求。同時(shí)，備份方式增加了建

32、立異地適時(shí)災(zāi)難備份中心，在災(zāi)難發(fā)生后系統(tǒng)能夠自動(dòng)切換和恢復(fù)。各級(jí)系統(tǒng)安全保護(hù)要求-安全管理制度控制點(diǎn)控制點(diǎn)一級(jí)一級(jí)二級(jí)二級(jí)三級(jí)三級(jí)四級(jí)四級(jí)管理制度1344制定和發(fā)布2356評(píng)審和修訂0124控制點(diǎn)合計(jì)2333具體要求合計(jì)371114各級(jí)系統(tǒng)安全保護(hù)要求-安全管理制度 一級(jí)安全管理制度要求一級(jí)安全管理制度要求：主要明確了制定日常常用的管理制度，并對(duì)管理制度的制定和發(fā)布提出基本要求。 二級(jí)安全管理制度要求二級(jí)安全管理制度要求：在控制點(diǎn)上增加了評(píng)審評(píng)審和修訂和修訂，管理制度增加了總體方針和安全策略，和對(duì)各類重要操作建立規(guī)程的要求，并且管理制度的制定和發(fā)布要求組織論證。 三級(jí)安全管理制度要求三級(jí)安全管

33、理制度要求：在二級(jí)要求的基礎(chǔ)上，要求機(jī)構(gòu)形成信息安全管理制度體系，對(duì)管理制度的制定要求和發(fā)布過程進(jìn)一步嚴(yán)格和規(guī)范。對(duì)安全制度的評(píng)審和修訂要求領(lǐng)導(dǎo)小組的負(fù)責(zé)。 四級(jí)安全管理制度要求四級(jí)安全管理制度要求：在三級(jí)要求的基礎(chǔ)上，主要考慮了對(duì)帶有密級(jí)的管理制度的管理和管理制度的日常維護(hù)等。各級(jí)系統(tǒng)安全保護(hù)要求-安全管理機(jī)構(gòu)控制點(diǎn)控制點(diǎn)一級(jí)一級(jí)二級(jí)二級(jí)三級(jí)三級(jí)四級(jí)四級(jí)崗位設(shè)置1244人員配備1233授權(quán)和審批1244溝通和合作1255審核和檢查0144控制點(diǎn)合計(jì)4555具體要求合計(jì)492020各級(jí)系統(tǒng)安全保護(hù)要求-安全管理機(jī)構(gòu) 一級(jí)安全管理機(jī)構(gòu)要求一級(jí)安全管理機(jī)構(gòu)要求：主要要求對(duì)開展信息安全工作的基本工作

34、崗位進(jìn)行配備，對(duì)機(jī)構(gòu)重要的安全活動(dòng)進(jìn)行審批，加強(qiáng)對(duì)外的溝通和合作。 二級(jí)安全管理機(jī)構(gòu)要求：二級(jí)安全管理機(jī)構(gòu)要求：在控制點(diǎn)上增加了審核和檢查審核和檢查，同時(shí)，在一級(jí)基礎(chǔ)上，明確要求設(shè)立安全主管等重要崗位；人員配備方面提出安全管理員不可兼任其它崗位原則；溝通與合作的范圍增加與機(jī)構(gòu)內(nèi)部及與其他部門的合作和溝通。 三級(jí)安全管理機(jī)構(gòu)要求三級(jí)安全管理機(jī)構(gòu)要求：對(duì)于崗位設(shè)置，不僅要求設(shè)置信息安全的職能部門，而且機(jī)構(gòu)上層應(yīng)有一定的領(lǐng)導(dǎo)小組全面負(fù)責(zé)機(jī)構(gòu)的信息安全全局工作。授權(quán)審批方面加強(qiáng)了授權(quán)流程控制以及階段性審查。溝通與合作方面加強(qiáng)了與外部組織的溝通和合作，并聘用安全顧問。同時(shí)對(duì)審核和檢查工作進(jìn)一步規(guī)范。 四

35、級(jí)安全管理機(jī)構(gòu)要求四級(jí)安全管理機(jī)構(gòu)要求：同三級(jí)要求。各級(jí)系統(tǒng)安全保護(hù)要求-人員安全管理控制點(diǎn)控制點(diǎn)一級(jí)一級(jí)二級(jí)二級(jí)三級(jí)三級(jí)四級(jí)四級(jí)人員錄用2344人員離崗233+3+人員考核0134安全意識(shí)教育和培訓(xùn)2344外部人員訪問管理11+23控制點(diǎn)合計(jì)4555具體要求合計(jì)7111618各級(jí)系統(tǒng)安全保護(hù)要求-人員安全管理 一級(jí)人員安全管理要求一級(jí)人員安全管理要求：對(duì)人員在機(jī)構(gòu)的工作周期（即，錄用、日常培訓(xùn)、離崗）的活動(dòng)提出基本的管理要求。同時(shí)，對(duì)外部人員訪問要求得到授權(quán)和審批。 二級(jí)人員安全管理要求二級(jí)人員安全管理要求：在控制點(diǎn)上增加了人員考核人員考核，對(duì)人員的錄用和離崗要求進(jìn)一步增強(qiáng)，過程性要求增加，

36、安全教育培訓(xùn)更正規(guī)化，對(duì)外部人員的訪問活動(dòng)約束其訪問行為。 三級(jí)人員安全管理要求三級(jí)人員安全管理要求：在二級(jí)要求的基礎(chǔ)上，增強(qiáng)了對(duì)關(guān)鍵崗位人員的錄用、離崗和考核要求，對(duì)人員的培訓(xùn)教育更具有針對(duì)性，外部人員訪問要求更具體。 四級(jí)人員安全管理要求四級(jí)人員安全管理要求：在三級(jí)要求的基礎(chǔ)上，提出了保密要求和關(guān)鍵區(qū)域禁止外部人員訪問的要求。各級(jí)系統(tǒng)安全保護(hù)要求-系統(tǒng)建設(shè)管理控制點(diǎn)控制點(diǎn)一級(jí)一級(jí)二級(jí)二級(jí)三級(jí)三級(jí)四級(jí)四級(jí)系統(tǒng)定級(jí)3344安全方案設(shè)計(jì)3455產(chǎn)品采購和使用1345自行軟件開發(fā)2356外包軟件開發(fā)3444+工程實(shí)施1234測試驗(yàn)收2355系統(tǒng)交付3355系統(tǒng)備案0033等級(jí)測評(píng)0044+安全服務(wù)

37、商選擇2333控制點(diǎn)合計(jì)991111具體要求合計(jì)20284548各級(jí)系統(tǒng)安全保護(hù)要求-系統(tǒng)建設(shè)管理 一級(jí)系統(tǒng)建設(shè)管理要求一級(jí)系統(tǒng)建設(shè)管理要求：對(duì)系統(tǒng)建設(shè)整體過程所涉及的各項(xiàng)活動(dòng)進(jìn)行基本的規(guī)范，如，先定級(jí)，方案準(zhǔn)備、安全產(chǎn)品按要求采購，軟件開發(fā)（自行、外包）的基本安全，實(shí)施的基本管理，建設(shè)后的安全性驗(yàn)收、交付等都進(jìn)行要求。 二級(jí)系統(tǒng)建設(shè)管理要求二級(jí)系統(tǒng)建設(shè)管理要求：在控制點(diǎn)上增加了系統(tǒng)備案和安系統(tǒng)備案和安全測評(píng)全測評(píng)，增加了某些活動(dòng)的文檔化要求，如軟件開發(fā)管理制度，工程實(shí)施應(yīng)有實(shí)施方案要求等。同時(shí)，對(duì)安全方案、驗(yàn)收?qǐng)?bào)告等增加了審定要求，產(chǎn)品的采購增加了密碼產(chǎn)品的采購要求等。 三級(jí)系統(tǒng)建設(shè)管理要求三級(jí)系統(tǒng)建設(shè)管理要求：對(duì)建設(shè)過程的各項(xiàng)活動(dòng)都要求進(jìn)行制度化規(guī)范，按照制度要求進(jìn)行活動(dòng)的開展。對(duì)建設(shè)前的安全方案設(shè)計(jì)提出體系化要求，并加強(qiáng)了對(duì)其的論證工作。 四級(jí)系統(tǒng)建設(shè)管理要求四級(jí)系統(tǒng)建設(shè)管理要求：主要對(duì)軟件開發(fā)活動(dòng)進(jìn)一步加強(qiáng)了要求，以保證軟件開發(fā)的安全性。對(duì)工程實(shí)施過程提出了監(jiān)理要求。各級(jí)系統(tǒng)安全保護(hù)要求-系統(tǒng)運(yùn)維管理控制點(diǎn)控制點(diǎn)一級(jí)一級(jí)二級(jí)二級(jí)三級(jí)三級(jí)四級(jí)四級(jí)環(huán)境管理3445資產(chǎn)管理1244介質(zhì)管理2466+設(shè)備管理2455監(jiān)控管理和安全管理中心0033網(wǎng)絡(luò)安全管理2689系統(tǒng)安全管理3678惡意代碼防范管理1344密