版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1、信息系統(tǒng)安全等級保護(hù)信息系統(tǒng)安全等級保護(hù)概念、原理、方法、要求、實(shí)施概念、原理、方法、要求、實(shí)施華南理工大學(xué)信息網(wǎng)絡(luò)工程研究中心羅曉奔內(nèi)容n安全等級保護(hù)概述n安全等級保護(hù)定級原理n安全等級保護(hù)定級方法n安全等級保護(hù)定級管理n安全等級保護(hù)技術(shù)和管理要求n高校安全等級保護(hù)實(shí)施探討內(nèi)容n安全等級保護(hù)概述n目的、意義、職責(zé)分工、政策法規(guī)n安全等級保護(hù)定級原理n安全等級保護(hù)定級方法n安全等級保護(hù)定級管理n安全等級保護(hù)技術(shù)和管理要求n高校安全等級保護(hù)實(shí)施探討目的n規(guī)范信息安全等級保護(hù)管理,提高信息安全保障能力和水平,維護(hù)國家安全、社會(huì)穩(wěn)定和公共利益,保障和促進(jìn)信息化建設(shè)。n國家通過制定統(tǒng)一的信息安全等級保
2、護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),組織公民、法人和其他組織對信息系統(tǒng)分等級實(shí)行安全保護(hù),對等級保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。意義n有利于在信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施,保障信息安全與信息化建設(shè)相協(xié)調(diào);n有利于為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對性、可行性的指導(dǎo)和服務(wù);n有利于優(yōu)化信息安全資源的配置,重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全;n有利于明確國家、法人和其他組織、公民的信息安全責(zé)任,加強(qiáng)信息安全管理;n有利于推動(dòng)信息安全產(chǎn)業(yè)的發(fā)展,逐步探索出一條適應(yīng)社會(huì)主義市場經(jīng)濟(jì)發(fā)展的信息安全模式。定級范圍n運(yùn)營商和服務(wù)提供商n電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò),經(jīng)營性公眾互
3、聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。n重要行業(yè)n鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險(xiǎn)、外交、科技、發(fā)展改革、國防科技、公安、人事勞動(dòng)和社會(huì)保障、財(cái)政、審計(jì)、商務(wù)、水利、國土資源、能源、交通、文化、教育、統(tǒng)計(jì)、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)。n重要機(jī)關(guān)n市(地)級以上黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)。n涉密系統(tǒng)n涉及國家秘密的信息系統(tǒng)。職責(zé)分工n公安機(jī)關(guān)n負(fù)責(zé)信息安全等級保護(hù)工作的監(jiān)督、檢查、指導(dǎo)。n國家密碼管理部門n負(fù)責(zé)等級保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。n其他相關(guān)部門n涉及其他職能部門管轄范圍的事項(xiàng),由
4、有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進(jìn)行管理。n信息化領(lǐng)導(dǎo)機(jī)構(gòu)n國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)等級保護(hù)工作的部門間協(xié)調(diào)。n信息系統(tǒng)主管部門n依照本辦法及相關(guān)標(biāo)準(zhǔn)規(guī)范,督促、檢查、指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運(yùn)營、使用單位的等級保護(hù)工作。n信息系統(tǒng)的運(yùn)營、使用單位n應(yīng)當(dāng)依照本辦法及其相關(guān)標(biāo)準(zhǔn)規(guī)范,履行信息安全等級保護(hù)的義務(wù)和責(zé)任。政策法規(guī)n中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例(國務(wù)院147號令)n國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(中辦發(fā)200327號文件),中辦、國辦n關(guān)于信息安全等級保護(hù)工作的實(shí)施意見(公通字200466號文件)公安部、保密局、
5、國密辦以及國信辦n信息系統(tǒng)安全等級保護(hù)基本要求(擬報(bào)標(biāo)準(zhǔn)GB/T?-?)n信息系統(tǒng)安全等級保護(hù)定級指南(擬報(bào)標(biāo)準(zhǔn)GB/T?-? )n信息系統(tǒng)安全等級保護(hù)實(shí)施指南(擬報(bào)標(biāo)準(zhǔn)GB/T?-? )n信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則(擬報(bào)標(biāo)準(zhǔn)GB/T?-? )n信息安全等級保護(hù)管理辦法(公通字200743號文件),公安部、保密局、國密辦以及國信辦n關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知(公信安2007861號文件),公安部、保密局、國密辦以及國信辦國家標(biāo)準(zhǔn)n信息技術(shù) 詞匯 第8部分:安全(GB/T 5271.8) n信息技術(shù) 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則(GB17859-1999)n信息技
6、術(shù) 信息技術(shù)安全性評估準(zhǔn)則(GB/T 18336-2000) n信息技術(shù) 信息安全管理實(shí)用規(guī)則( GB/T 19716-2005) n信息技術(shù) 信息系統(tǒng)通用安全技術(shù)要求(GB/T20271-2006)n信息技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求(GB/T20270-2006)n信息技術(shù) 操作系統(tǒng)安全技術(shù)要求(GB/T20272-2006)n信息技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求(GB/T20273-2006)n信息技術(shù) 服務(wù)器技術(shù)要求 (GB/T?-?)n信息技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級技術(shù)要求(GA/T671-2006)n信息技術(shù) 信息系統(tǒng)安全管理要求(GB/T20269-2006)n信息技術(shù) 信息系統(tǒng)安
7、全工程管理要求(GB/T20282-2006)內(nèi)容n安全等級保護(hù)概述n安全等級保護(hù)定級原理n定級準(zhǔn)則、等級劃分、定級要素、定級要素與等級的關(guān)系 n安全等級保護(hù)定級方法n安全等級保護(hù)定級管理n安全等級保護(hù)技術(shù)和管理要求n高校安全等級保護(hù)實(shí)施探討定級準(zhǔn)則n堅(jiān)持自主定級、自主保護(hù)的原則。n應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度,信息系統(tǒng)遭到破壞后對國家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益(受侵害客體)的危害程度等因素確定。 等級劃分n第一級(自主保護(hù)級 )n信息系統(tǒng)受到破壞后,會(huì)對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會(huì)秩序和公共利益。
8、n第二級(指導(dǎo)保護(hù)級 )n信息系統(tǒng)受到破壞后,會(huì)對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對社會(huì)秩序和公共利益造成損害,但不損害國家安全。n第三級(監(jiān)督保護(hù)級 )n信息系統(tǒng)受到破壞后,會(huì)對社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,或者對國家安全造成損害。 n第四級(強(qiáng)制保護(hù)級 )n信息系統(tǒng)受到破壞后,會(huì)對社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對國家安全造成嚴(yán)重?fù)p害。n第五級(??乇Wo(hù)級 )n信息系統(tǒng)受到破壞后,會(huì)對國家安全造成特別嚴(yán)重?fù)p害。 第五級第四級第三級第二級定級監(jiān)管部門第一級單位自主公安部門公安部門和國密部門國密部門?定級要素n受侵害的客體等級保護(hù)對象受到破壞時(shí)所侵害的客體包括以下三個(gè)
9、方面:n公民、法人和其他組織的合法權(quán)益;n社會(huì)秩序、公共利益;n國家安全。n對客體的侵害程度對客體的侵害程度由客觀方面的不同外在表現(xiàn)綜合決定,表現(xiàn)為對等級保護(hù)對象的破壞,通過危害方式、危害后果和危害程度加以描述。侵害程度歸結(jié)為以下三種:n造成一般損害;n造成嚴(yán)重?fù)p害;n造成特別嚴(yán)重?fù)p害。定級要素與等級的關(guān)系受侵害的客體對客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會(huì)秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級等級、定級要素、監(jiān)管關(guān)系等級等級受侵害客體受侵害客體侵害程度侵害程度監(jiān)管強(qiáng)度監(jiān)管強(qiáng)度第一級公民、法人和其他組織的合法權(quán)益一般損
10、害自主保護(hù)第二級公民、法人和其他組織的合法權(quán)益嚴(yán)重?fù)p害、特別嚴(yán)重?fù)p害指導(dǎo)保護(hù)社會(huì)秩序和公共利益嚴(yán)重?fù)p害第三級社會(huì)秩序和公共利益嚴(yán)重?fù)p害監(jiān)督保護(hù)國家安全一般損害第四級社會(huì)秩序和公共利益特別嚴(yán)重?fù)p害強(qiáng)制保護(hù)國家安全嚴(yán)重?fù)p害第五級國家安全特別嚴(yán)重?fù)p害專控保護(hù)內(nèi)容n安全等級保護(hù)概述n安全等級保護(hù)定級原理n安全等級保護(hù)定級方法n安全對象、定級流程、定級對象、受侵害的客體、對客體的危害后果、對客體的侵害程度、確定安全等級n安全等級保護(hù)定級管理n安全等級保護(hù)技術(shù)和管理要求n高校安全等級保護(hù)實(shí)施探討確定安全對象n業(yè)務(wù)信息安全保護(hù)等級n從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護(hù)等級稱業(yè)務(wù)信息安全保護(hù)等級。n以業(yè)務(wù)
11、為主題,如不同應(yīng)用系統(tǒng)n系統(tǒng)服務(wù)安全保護(hù)等級n從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護(hù)等級稱系統(tǒng)服務(wù)安全保護(hù)等級。n以服務(wù)為主題,如不同子網(wǎng)、數(shù)據(jù)中心定級流程 3、綜合評定對客體的侵害程度2、確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體6、綜合評定對客體的侵害程度5、確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體7、系統(tǒng)服務(wù)安全等級4、業(yè)務(wù)信息安全等級8、定級對象的安全保護(hù)等級依據(jù)表A依據(jù)表B1、確定定級對象確定定級對象(流程1)n具有唯一確定的安全責(zé)任單位(一個(gè)單位)n這種定級對象是能夠唯一地確定其安全責(zé)任單位。如果一個(gè)單位的某個(gè)下級單位負(fù)責(zé)信息系統(tǒng)安全建設(shè)、運(yùn)行維護(hù)等過程的全部安全責(zé)任,則這個(gè)下級單位可
12、以成為信息系統(tǒng)的安全責(zé)任單位;如果一個(gè)單位中的不同下級單位分別承擔(dān)信息系統(tǒng)不同方面的安全責(zé)任,則該信息系統(tǒng)的安全責(zé)任單位應(yīng)是這些下級單位共同所屬的單位。n具有信息系統(tǒng)的基本要素(一個(gè)系統(tǒng))n這種定級對象是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體。應(yīng)避免將某個(gè)單一的系統(tǒng)組件,如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等作為定級對象。n承載相對獨(dú)立的業(yè)務(wù)應(yīng)用(一種應(yīng)用)n這種定級對象是指其業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程獨(dú)立,同時(shí)與其他業(yè)務(wù)應(yīng)用有一定的數(shù)據(jù)交換,定級對象可能會(huì)與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備,尤其是網(wǎng)絡(luò)傳輸設(shè)備。確定受侵害的客體(流程2、5)nA-侵害國家安全n影響國家政權(quán)穩(wěn)固和國防實(shí)力
13、;影響國家統(tǒng)一、民族團(tuán)結(jié)和社會(huì)安定;影響國家對外活動(dòng)中的政治、經(jīng)濟(jì)利益;影響國家重要的安全保衛(wèi)工作;其他影響國家安全的事項(xiàng)。nB1-侵害社會(huì)秩序n影響國家機(jī)關(guān)社會(huì)管理和公共服務(wù)的工作秩序;影響各種類型的經(jīng)濟(jì)活動(dòng)秩序;影響各行業(yè)的科研、生產(chǎn)活動(dòng)秩序;影響公眾在法律約束和道德規(guī)范下的正常生活秩序等;其他影響社會(huì)秩序的事項(xiàng)。nB2-影響公共利益n影響社會(huì)成員使用公共設(shè)施;影響社會(huì)成員獲取公開信息資源;影響社會(huì)成員接受公共服務(wù)等方面;其他影響公共利益的事項(xiàng)。nC-影響公民、法人和其他組織的合法權(quán)益n指由法律確認(rèn)的并受法律保護(hù)的公民、法人和其他組織所享有的一定的社會(huì)權(quán)利和利益。確定對客體的侵害程度(流程
14、3、6)n一般損害n工作職能受到局部影響,業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行,出現(xiàn)較輕的法律問題,較低的財(cái)產(chǎn)損失,有限的社會(huì)不良影響,對其他組織和個(gè)人造成較低損害。n嚴(yán)重?fù)p害n工作職能受到嚴(yán)重影響,業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行,出現(xiàn)較嚴(yán)重的法律問題,較高的財(cái)產(chǎn)損失,較大范圍的社會(huì)不良影響,對其他組織和個(gè)人造成較嚴(yán)重?fù)p害。n特別嚴(yán)重?fù)p害n工作職能受到特別嚴(yán)重影響或喪失行使能力,業(yè)務(wù)能力嚴(yán)重下降且或功能無法執(zhí)行,出現(xiàn)極其嚴(yán)重的法律問題,極高的財(cái)產(chǎn)損失,大范圍的社會(huì)不良影響,對其他組織和個(gè)人造成非常嚴(yán)重?fù)p害。確定對客體的危害后果n影響行使工作職能;n導(dǎo)致業(yè)務(wù)能力下降;n引起法律糾紛;n
15、導(dǎo)致財(cái)產(chǎn)損失;n造成社會(huì)不良影響;n對其他組織和個(gè)人造成損失;n其他影響。確定定級對象的安保等級(流程4、7)n業(yè)務(wù)信息安全保護(hù)等級矩陣表n系統(tǒng)服務(wù)安全保護(hù)等級矩陣表表A-業(yè)務(wù)信息安全保護(hù)等級矩陣表 業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會(huì)秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級表B-系統(tǒng)服務(wù)安全保護(hù)等級矩陣表 系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會(huì)秩序、公共利益第二級第三級第四級國家安全第三
16、級第四級第五級內(nèi)容n安全等級保護(hù)概述n安全等級保護(hù)定級原理n安全等級保護(hù)定級方法n安全等級保護(hù)定級管理n定級監(jiān)督管理、等級測評與自查、定級申報(bào)材料n安全等級保護(hù)技術(shù)和管理要求n高校安全等級保護(hù)實(shí)施探討定級監(jiān)督管理n第一級n信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。n國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行備案。n第二級n信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。n國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行指導(dǎo)。n第三級n信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。n國家信息安全監(jiān)管部門對該級
17、信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行監(jiān)督、檢查。n第四級n信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行保護(hù)。n國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。n第五級n信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)。n國家指定專門部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行專門監(jiān)督、檢查。等級測評與自查 n第三方測評n運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合規(guī)定條件的測評機(jī)構(gòu),依據(jù)信息系統(tǒng)安全等級保護(hù)測評要求等技術(shù)標(biāo)準(zhǔn),定期對信息系統(tǒng)安全等級狀況開展等級測評。n測評周期n第三級:每年至少一次n第四級:每半年至少一
18、次n第五級:應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級測評。n自查n信息系統(tǒng)運(yùn)營、使用單位及其主管部門應(yīng)當(dāng)定期對信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查。n自查周期n第三級:每年至少一次n第四級:每半年至少一次n第五級:應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行自查。定級申報(bào)材料n編寫信息系統(tǒng)安全等級保護(hù)定級報(bào)告n填寫信息系統(tǒng)安全等級保護(hù)備案表n第三級以上信息系統(tǒng)應(yīng)當(dāng)同時(shí)提供以下材料:n系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明;n系統(tǒng)安全組織機(jī)構(gòu)和管理制度;n系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案; n系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明; n測評后符合系統(tǒng)安全保護(hù)等級的技術(shù)檢測評估報(bào)告;n信息系統(tǒng)安全保護(hù)等級專家
19、評審意見;n主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級的意見。信息系統(tǒng)安全等級保護(hù)定級報(bào)告n一、XXX信息系統(tǒng)描述n簡述確定該系統(tǒng)為定級對象的理由:1.描述承擔(dān)信息系統(tǒng)安全責(zé)任的相關(guān)單位或部門,說明本單位或部門對信息系統(tǒng)具有信息安全保護(hù)責(zé)任,該系統(tǒng)為本單位或部門的定級對象;2. 定級對象具有的信息系統(tǒng)基本要素,描述基本要素、系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)邊界和邊界設(shè)備;3.定級對象是否承載著單一或相對獨(dú)立的業(yè)務(wù),業(yè)務(wù)情況描述。n二、XXX信息系統(tǒng)安全保護(hù)等級確定n(一)業(yè)務(wù)信息安全保護(hù)等級的確定:n1、業(yè)務(wù)信息描述、2、業(yè)務(wù)信息受到破壞時(shí)所侵害客體的確定、3、信息受到破壞后對侵害客體的侵害程度的確定、4、業(yè)務(wù)信
20、息安全等級的確定n(二)系統(tǒng)服務(wù)安全保護(hù)等級的確定:n1、系統(tǒng)服務(wù)描述、2、系統(tǒng)服務(wù)受到破壞時(shí)所侵害客體的確定、3、系統(tǒng)服務(wù)受到破壞后對侵害客體的侵害程度的確定、4、系統(tǒng)服務(wù)安全等級的確定n(三)整體安全保護(hù)等級的確定:n由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級較高者決定,最終確定該系統(tǒng)的安全保護(hù)等級。信息系統(tǒng)名稱安全保護(hù)等級業(yè)務(wù)信息安全等級系統(tǒng)服務(wù)安全等級XXX信息系統(tǒng)XXX信息系統(tǒng)安全等級保護(hù)備案表 涉及國家秘密的信息系統(tǒng)分級保護(hù)備案表內(nèi)容n安全等級保護(hù)概述n安全等級保護(hù)定級原理n安全等級保護(hù)定級方法n安全等級保護(hù)定級管理n安全等級保護(hù)技術(shù)和管理要求n安全保護(hù)能力要求、基本安全要求結(jié)構(gòu)、各等級
21、的技術(shù)和管理要求n高校安全等級保護(hù)實(shí)施探討安全保護(hù)能力總體要求n第一級安全保護(hù)能力n應(yīng)能夠防護(hù)系統(tǒng)免受來自個(gè)人的、擁有很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的關(guān)鍵資源損害。n在系統(tǒng)遭到損害后,能夠恢復(fù)部分功能。n第二級安全保護(hù)能力n應(yīng)能夠防護(hù)系統(tǒng)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的重要資源損害,能夠發(fā)現(xiàn)重要的安全漏洞和安全事件。n在系統(tǒng)遭到損害后,能夠在一段時(shí)間內(nèi)恢復(fù)部分功能。n第三級安全保護(hù)能力n應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自外部有組織的團(tuán)體、擁有較為豐富資源的威脅源發(fā)
22、起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的主要資源損害,能夠發(fā)現(xiàn)安全漏洞和安全事件n在系統(tǒng)遭到損害后,能夠較快恢復(fù)絕大部分功能。n第四級安全保護(hù)能力n應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的資源損害,能夠發(fā)現(xiàn)安全漏洞和安全事件。n在系統(tǒng)遭到損害后,能夠迅速恢復(fù)所有功能。n第五級安全保護(hù)能力n(略)由國家指定部門或機(jī)構(gòu)確定。基本安全要求結(jié)構(gòu)某級系統(tǒng)某級系統(tǒng)物理安全物理安全技術(shù)要求技術(shù)要求管理要求管理要求基本要求基本要求網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全主機(jī)安全主機(jī)安全應(yīng)用安全應(yīng)用安
23、全數(shù)據(jù)安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)安全管理制度安全管理制度人員安全管理人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理系統(tǒng)運(yùn)維管理第一級基本技術(shù)要求n物理安全n物理訪問控制(G1)、 防盜竊和防破壞(G1)、 防雷擊(G1)、 防火(G1)、 防水和防潮(G1)、 溫濕度控制(G1)、 電力供應(yīng)(A1)n網(wǎng)絡(luò)安全n結(jié)構(gòu)安全(G1)、 訪問控制(G1)、設(shè)備防護(hù)(G1)n主機(jī)安全n身份鑒別(S1)、 訪問控制(S1)、入侵防范(G1)、 惡意代碼防范(G1)n應(yīng)用安全n身份鑒別(S1)、 訪問控制(S1)、 通信完整性(S1)、 軟件容錯(cuò)(A1)、 數(shù)據(jù)安全及備份恢復(fù)、 數(shù)據(jù)完整性(S1
24、)、 備份和恢復(fù)(A1)第一級基本管理要求n安全管理制度n管理制度(G1)、制定和發(fā)布(G1)n安全管理機(jī)構(gòu)n崗位設(shè)置(G1)、人員配備(G1)、授權(quán)和審批(G1)、溝通和合作(G1)n人員安全管理n人員錄用(G1)、人員離崗(G1)、安全意識教育和培訓(xùn)(G1)、外部人員訪問管理(G1)n系統(tǒng)建設(shè)管理n系統(tǒng)定級(G1)、安全方案設(shè)計(jì)(G1)、產(chǎn)品采購和使用(G1)、自行軟件開發(fā)(G1)、外包軟件開發(fā)(G1)、工程實(shí)施(G1)、測試驗(yàn)收(G1)、系統(tǒng)交付(G1)、安全服務(wù)商選擇(G1)n系統(tǒng)運(yùn)維管理n環(huán)境管理(G1)、資產(chǎn)管理(G1)、設(shè)備管理(G1)、網(wǎng)絡(luò)安全管理(G1)、系統(tǒng)安全管理(G1)
25、、惡意代碼防范管理(G1)、備份與恢復(fù)管理(G1)、安全事件處置(G1)第二級基本技術(shù)要求n物理安全n物理位置的選擇(G2)、 物理訪問控制(G2)、 防盜竊和防破壞(G2)、 防雷擊(G2)、 防火(G2)、 防水和防潮(G2)、 防靜電(G2)、 溫濕度控制(G2)、 電力供應(yīng)(A2)、 電磁防護(hù)(S2)n網(wǎng)絡(luò)安全n結(jié)構(gòu)安全(G2)、 訪問控制(G2)、 安全審計(jì)(G2)、 邊界完整性檢查(S2)、 入侵防范(G2)、 網(wǎng)絡(luò)設(shè)備防護(hù)(G2)n主機(jī)安全n身份鑒別(S2)、 訪問控制(S2)、 安全審計(jì)(G2)、 入侵防范(G2)、 惡意代碼防范(G2)、 資源控制(A2)n 應(yīng)用安全n身份鑒
26、別(S2)、 訪問控制(S2)、 安全審計(jì)(G2)、 通信完整性(S2)、 通信保密性(S2)、 軟件容錯(cuò)(A2)、 資源控制(A2)n數(shù)據(jù)安全及備份恢復(fù)n數(shù)據(jù)完整性(S2)、 數(shù)據(jù)保密性(S2)、 備份和恢復(fù)(A2)第二級基本管理要求n安全管理制度n管理制度(G2)、 制定和發(fā)布(G2)、 評審和修訂(G2)n安全管理機(jī)構(gòu)n崗位設(shè)置(G2)、 人員配備(G2、 授權(quán)和審批(G2)、 溝通和合作(G2)、 審核和檢查(G2)n人員安全管理n人員錄用(G2)、 人員離崗(G2)、 人員考核(G2)、 安全意識教育和培訓(xùn)(G2)、 外部人員訪問管理(G2)n 系統(tǒng)建設(shè)管理n系統(tǒng)定級(G2)、 安全
27、方案設(shè)計(jì)(G2)、 產(chǎn)品采購和使用(G2)、 自行軟件開發(fā)(G2)、 外包軟件開發(fā)(G2)、 工程實(shí)施(G2)、 測試驗(yàn)收(G2)、 系統(tǒng)交付(G2)、 安全服務(wù)商選擇(G2)n系統(tǒng)運(yùn)維管理n環(huán)境管理(G2)、 資產(chǎn)管理(G2)、 介質(zhì)管理(G2、 設(shè)備管理(G2)、 網(wǎng)絡(luò)安全管理(G2)、 系統(tǒng)安全管理(G2)、 惡意代碼防范管理(G2)、 密碼管理(G2)、 變更管理(G2)、 備份與恢復(fù)管理(G2)、 安全事件處置(G2)、 應(yīng)急預(yù)案管理(G2)第三級基本技術(shù)要求n物理安全n物理位置的選擇(G3)、物理訪問控制(G3)、防盜竊和防破壞(G3)、防雷擊(G3)、防火(G3)、防水和防潮(G
28、3)、防靜電(G3)、溫濕度控制(G3)、電力供應(yīng)(A3)、電磁防護(hù)(S3)n網(wǎng)絡(luò)安全n結(jié)構(gòu)安全(G3)、訪問控制(G3)、安全審計(jì)(G3)、邊界完整性檢查(S3)、入侵防范(G3)、惡意代碼防范(G3)、網(wǎng)絡(luò)設(shè)備防護(hù)(G3)n主機(jī)安全n身份鑒別(S3)、訪問控制(S3)、安全審計(jì)(G3)、剩余信息保護(hù)(S3)、入侵防范(G3)、惡意代碼防范(G3)、資源控制(A3)n應(yīng)用安全n身份鑒別(S3)、 訪問控制(S3)、 安全審計(jì)(G3)、 剩余信息保護(hù)(S3)、 通信完整性(S3)、 通信保密性(S3、 抗抵賴(G3)、 軟件容錯(cuò)(A3)、 資源控制(A3)、n數(shù)據(jù)安全及備份恢復(fù)n數(shù)據(jù)完整性(S
29、3)、 數(shù)據(jù)保密性(S3)、 備份和恢復(fù)(A3)第三級基本管理要求n安全管理制度n管理制度(G3)、 制定和發(fā)布(G3)、 評審和修訂(G3)n安全管理機(jī)構(gòu)n崗位設(shè)置(G3)、 人員配備(G3)、 授權(quán)和審批(G3)、 溝通和合作(G3)、 審核和檢查(G3)n人員安全管理n人員錄用(G3)、人員離崗(G3)、 人員考核(G3)、 安全意識教育和培訓(xùn)(G3)、 外部人員訪問管理(G3)n系統(tǒng)建設(shè)管理n系統(tǒng)定級(G3)、 安全方案設(shè)計(jì)(G3)、 產(chǎn)品采購和使用(G3)、 自行軟件開發(fā)(G3)、 外包軟件開發(fā)(G3)、 工程實(shí)施(G3)、 測試驗(yàn)收(G3)、 系統(tǒng)交付(G3)、 系統(tǒng)備案(G3)、
30、 等級測評(G3)、 安全服務(wù)商選擇(G3)n系統(tǒng)運(yùn)維管理n環(huán)境管理(G3)、 資產(chǎn)管理(G3)、 介質(zhì)管理(G3)、 設(shè)備管理(G3)、 監(jiān)控管理和安全管理中心(G3)、 網(wǎng)絡(luò)安全管理(G3)、 系統(tǒng)安全管理(G3)、 惡意代碼防范管理(G3)、 密碼管理(G3)、 變更管理(G3)、 備份與恢復(fù)管理(G3)、 安全事件處置(G3)、應(yīng)急預(yù)案管理(G3)第四級基本技術(shù)要求n物理安全n物理位置的選擇(G4)、 物理訪問控制(G4)、 防盜竊和防破壞(G4)、 防雷擊(G4)、 防火(G4)、 防水和防潮(G4)、 防靜電(G4)、 溫濕度控制(G4)、 電力供應(yīng)(A4)、 電磁防護(hù)(S4)n網(wǎng)
31、絡(luò)安全n結(jié)構(gòu)安全(G4)、 訪問控制(G4)、 安全審計(jì)(G4)、 邊界完整性檢查(S4、 入侵防范(G4)、 惡意代碼防范(G4)、 網(wǎng)絡(luò)設(shè)備防護(hù)(G4)n主機(jī)安全n身份鑒別(S4)、 安全標(biāo)記(S4)、 訪問控制(S4)、 可信路徑(S4)、 安全審計(jì)(G4)、 剩余信息保護(hù)(S4)、 入侵防范(G4)、 惡意代碼防范(G4)、 資源控制(A4)n應(yīng)用安全n身份鑒別(S4)、 安全標(biāo)記(S4)、 訪問控制(S4)、 可信路徑(S4)、 安全審計(jì)(G4)、 剩余信息保護(hù)(S4)、 通信完整性(S4)、 通信保密性(S4)、 抗抵賴(G4)、 軟件容錯(cuò)(A4)、 資源控制(A4)n數(shù)據(jù)安全及備
32、份恢復(fù)n數(shù)據(jù)完整性(S4)、 數(shù)據(jù)保密性(S4)、 備份和恢復(fù)(A4)第四級基本管理要求n安全管理制度n管理制度(G4)、 制定和發(fā)布(G4)、 評審和修訂(G4)n安全管理機(jī)構(gòu)n崗位設(shè)置(G4)、人員配備(G4)、授權(quán)和審批(G4)、溝通和合作(G4)、審核和檢查(G4)n人員安全管理n人員錄用(G4)、人員離崗(G4)人員考核(G4)、安全意識教育和培訓(xùn)(G4)、外部人員訪問管理(G4)n系統(tǒng)建設(shè)管理n系統(tǒng)定級(G4)、 安全方案設(shè)計(jì)(G4)、 產(chǎn)品采購和使用(G4)、 自行軟件開發(fā)(G4)、 外包軟件開發(fā)(G4)、 工程實(shí)施(G4)、 測試驗(yàn)收(G4)、 系統(tǒng)交付(G4)、 系統(tǒng)備案(G
33、4)、 等級測評(G4)、 安全服務(wù)商選擇(G4)n系統(tǒng)運(yùn)維管理n環(huán)境管理(G4)、 資產(chǎn)管理(G4)、 介質(zhì)管理(G4)、 設(shè)備管理(G4)、 監(jiān)控管理和安全管理中心(G4)、 網(wǎng)絡(luò)安全管理(G4、 系統(tǒng)安全管理(G4)、 惡意代碼防范管理(G4)、 密碼管理(G4)、 變更管理(G4)、 備份與恢復(fù)管理(G4)、 安全事件處置(G4)、 應(yīng)急預(yù)案管理(G4)、第五級基本要求n第五級信息系統(tǒng)是涉及到國家安全、社會(huì)次序、經(jīng)濟(jì)建設(shè)和公共利益的重要的信息系統(tǒng),對第五級信息系統(tǒng)的安全要求由國家指定的專門部門或者專門機(jī)構(gòu)另行專門制定規(guī)范。各等級信息系統(tǒng)定級結(jié)果組合 安全保護(hù)等級安全保護(hù)等級信息系統(tǒng)定級
34、結(jié)果的組合信息系統(tǒng)定級結(jié)果的組合第一級第一級S1A1G1第二級第二級S1A2G2,S2A2G2,S2A1G2第三級第三級S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3第四級第四級S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4第五級第五級/內(nèi)容n安全等級保護(hù)概述n安全等級保護(hù)定級原理n安全等級保護(hù)定級方法n安全等級保護(hù)定級管理n安全等級保護(hù)技術(shù)和管理要求n高校安全等級保護(hù)實(shí)施探討n常見問題、定級目的、級別的確定、安全要求、安全設(shè)計(jì)、安全系統(tǒng)建設(shè)安全等保常見問題n學(xué)校為什么開展信息系統(tǒng)安全保護(hù)等級n誰管高校的信息系統(tǒng)安全安全保
35、護(hù)n學(xué)校的信息系統(tǒng)安全程度如何n如何申報(bào)信息系統(tǒng)安全等保n怎樣確定學(xué)校信息系統(tǒng)安保等級n怎樣劃分學(xué)校的信息系統(tǒng)n怎樣規(guī)劃設(shè)計(jì)學(xué)校的信息系統(tǒng)安全體系高校開展安全等保工作的目的和意義n信息系統(tǒng)安全意識n信息系統(tǒng)與信息系統(tǒng)安全同步建設(shè)n信息系統(tǒng)安全管理體系的規(guī)范化建設(shè)n信息系統(tǒng)安全技術(shù)體系的規(guī)范化建設(shè)n確保重要信息系統(tǒng)的安全、可靠運(yùn)行n保障信息化工作的健康發(fā)展學(xué)校整體安全等級的確定n第一級(自主保護(hù)級 )n目前還沒有比較規(guī)范和完善建設(shè)信息安全系統(tǒng)的學(xué)校n學(xué)校整體達(dá)到一級,部分系統(tǒng)達(dá)到二級。n第二級(指導(dǎo)保護(hù)級 )n已經(jīng)規(guī)范建設(shè)信息安全系統(tǒng)的學(xué)校n學(xué)??蔂幦≌w達(dá)到二級。n第三級(監(jiān)督保護(hù)級 )n承擔(dān)
36、了國家或國防秘密研究項(xiàng)目的學(xué)校的部分系統(tǒng)n第四級(強(qiáng)制保護(hù)級 )n承擔(dān)了國家或國防機(jī)密研究項(xiàng)目的學(xué)校的部分系統(tǒng)n第五級(??乇Wo(hù)級 )n承擔(dān)了國家或國防絕密研究項(xiàng)目的學(xué)校的部分系統(tǒng)業(yè)務(wù)類安全對象及其等級劃分n一般性信息系統(tǒng):1級n學(xué)校各種公共網(wǎng)站n資源性信息系統(tǒng):1-2級n教學(xué)資源系統(tǒng)、數(shù)字圖書館系統(tǒng)n管理性信息系統(tǒng):2級n電子校務(wù)系統(tǒng)n內(nèi)部性信息系統(tǒng):2-3級n黨務(wù)系統(tǒng)n涉密性信息系統(tǒng):3-5級n有關(guān)國家、國防的各種密級研究項(xiàng)目的系統(tǒng)服務(wù)類安全對象及其等級劃分n生活類系統(tǒng):1級n學(xué)生與教工宿舍子網(wǎng)n工作類系統(tǒng):1-2級n辦公、科研子網(wǎng)n生產(chǎn)類系統(tǒng):2級n教學(xué)、實(shí)驗(yàn)、圖書館子網(wǎng)n公共服務(wù)類系統(tǒng)
37、: 2-3級n骨干網(wǎng)、數(shù)據(jù)中心子網(wǎng)n內(nèi)部服務(wù)系統(tǒng):2-5級n辦公內(nèi)網(wǎng)、黨務(wù)網(wǎng)、涉密性信息系統(tǒng)安全要求n以第一、二級為例n技術(shù)要求n管理要求物理安全n物理位置的選擇n機(jī)房和辦公場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)。n物理訪問控制n機(jī)房出入口應(yīng)安排專人值守,控制、鑒別和記錄進(jìn)入的人員;n需進(jìn)入機(jī)房的來訪人員應(yīng)經(jīng)過申請和審批流程,并限制和監(jiān)控其活動(dòng)范圍。n防盜竊和防破壞n應(yīng)將主要設(shè)備放置在機(jī)房內(nèi);n應(yīng)將設(shè)備或主要部件進(jìn)行固定,并設(shè)置明顯的不易除去的標(biāo)記;n應(yīng)將通信線纜鋪設(shè)在隱蔽處,可鋪設(shè)在地下或管道中;n應(yīng)對介質(zhì)分類標(biāo)識,存儲(chǔ)在介質(zhì)庫或檔案室中;n主機(jī)房應(yīng)安裝必要的防盜報(bào)警設(shè)施。n防雷擊(
38、G2)n機(jī)房建筑應(yīng)設(shè)置避雷裝置;n機(jī)房應(yīng)設(shè)置交流電源地線。物理安全(續(xù))n防火n機(jī)房應(yīng)設(shè)置滅火設(shè)備和火災(zāi)自動(dòng)報(bào)警系統(tǒng)。n防水和防潮n水管安裝,不得穿過機(jī)房屋頂和活動(dòng)地板下;n應(yīng)采取措施防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透;n應(yīng)采取措施防止機(jī)房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。n防靜電n關(guān)鍵設(shè)備應(yīng)采用必要的接地防靜電措施。n溫濕度控制n機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施,使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。n電力供應(yīng)n應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備;n應(yīng)提供短期的備用電力供應(yīng),至少滿足關(guān)鍵設(shè)備在斷電情況下的正常運(yùn)行要求。n電磁防護(hù)n電源線和通信線纜應(yīng)隔離鋪設(shè),避免互相干擾
39、。網(wǎng)絡(luò)安全n結(jié)構(gòu)安全n應(yīng)保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間,滿足業(yè)務(wù)高峰期需要;n應(yīng)保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬滿足業(yè)務(wù)高峰期需要; n應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖;n應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素,劃分不同的子網(wǎng)或網(wǎng)段,并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段。n訪問控制n應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,啟用訪問控制功能;n應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力,控制粒度為網(wǎng)段級。n應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則,決定允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問,控制粒度為用戶組(單個(gè)用戶);n應(yīng)限制具有撥號訪問權(quán)限的用戶
40、數(shù)量。n安全審計(jì)(G2)n應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄;n審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息。網(wǎng)絡(luò)安全(續(xù))n邊界完整性檢查n應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查。n入侵防范n應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為:端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。n網(wǎng)絡(luò)設(shè)備防護(hù)n應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別;n應(yīng)具有登錄失敗處理功能,可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施;n當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí),
41、應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。n應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制;n網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一;n身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn),口令應(yīng)有復(fù)雜度要求并定期更換;主機(jī)安全n身份鑒別n應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別;n操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有不易被冒用的特點(diǎn),口令應(yīng)有復(fù)雜度要求并定期更換;n應(yīng)啟用登錄失敗處理功能,可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施;n當(dāng)對服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí),應(yīng)采取必要措施,防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽;n應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名,確保用戶名具有唯一性。n訪問控制n應(yīng)啟
42、用訪問控制功能,依據(jù)安全策略控制用戶對資源的訪問;n應(yīng)限制默認(rèn)帳戶的訪問權(quán)限,重命名系統(tǒng)默認(rèn)帳戶,修改這些帳戶的默認(rèn)口令;n應(yīng)及時(shí)刪除多余的、過期的帳戶,避免共享帳戶的存在。n應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離;n安全審計(jì)n審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶;n審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件;n審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等;n應(yīng)保護(hù)審計(jì)記錄,避免受到未預(yù)期的刪除、修改或覆蓋等。主機(jī)安全(續(xù))n入侵防范n操作系統(tǒng)應(yīng)遵循最小安裝的原則,僅安裝需要的組件和應(yīng)用程序,并通過設(shè)
43、置升級服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。n惡意代碼防范n應(yīng)安裝防惡意代碼軟件,并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫;n應(yīng)支持防惡意代碼軟件的統(tǒng)一管理。n資源控制n應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄;n應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定;n應(yīng)限制單個(gè)用戶對系統(tǒng)資源的最大或最小使用限度。應(yīng)用安全n身份鑒別n應(yīng)提供專用的登錄控制模塊對登錄用戶進(jìn)行身份標(biāo)識和鑒別;n應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能,保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識,身份鑒別信息不易被冒用;n應(yīng)提供登錄失敗處理功能,可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施;n應(yīng)啟用身份鑒別、用
44、戶身份標(biāo)識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能,并根據(jù)安全策略配置相關(guān)參數(shù)。n訪問控制n應(yīng)提供訪問控制功能,依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問;n訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作;n應(yīng)由授權(quán)主體配置訪問控制策略,并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限;n應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限,并在它們之間形成相互制約的關(guān)系。n安全審計(jì)n應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能,對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì);n應(yīng)保證無法刪除、修改或覆蓋審計(jì)記錄;n審計(jì)記錄的內(nèi)容至少應(yīng)包括事件日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等。應(yīng)用安全(續(xù))
45、n通信完整性n應(yīng)采用校驗(yàn)碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。n通信保密性n在通信雙方建立連接之前,應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證;n應(yīng)對通信過程中的敏感信息字段進(jìn)行加密。n軟件容錯(cuò)n應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能,保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求;n在故障發(fā)生時(shí),應(yīng)用系統(tǒng)應(yīng)能夠繼續(xù)提供一部分功能,確保能夠?qū)嵤┍匾拇胧?。n 資源控制n當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng),另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話;n應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制;n應(yīng)能夠?qū)蝹€(gè)帳戶的多重并發(fā)會(huì)話進(jìn)行限制。數(shù)據(jù)安全及備份恢復(fù)n數(shù)據(jù)完整性n應(yīng)能夠檢測到鑒別信息和
46、重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞。n數(shù)據(jù)保密性n應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)鑒別信息的存儲(chǔ)保密性。n備份和恢復(fù)n應(yīng)能夠?qū)χ匾畔⑦M(jìn)行備份和恢復(fù);n應(yīng)提供關(guān)鍵網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余,保證系統(tǒng)的可用性。安全管理制度n管理制度n應(yīng)制定信息安全工作的總體方針和安全策略,說明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等;n應(yīng)對安全管理活動(dòng)中重要的管理內(nèi)容建立安全管理制度;n應(yīng)對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程。n制定和發(fā)布n應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定;n應(yīng)組織相關(guān)人員對制定的安全管理制度進(jìn)行論證和審定;n應(yīng)將安全管理制度以某種方式發(fā)
47、布到相關(guān)人員手中。n評審和修訂n應(yīng)定期對安全管理制度進(jìn)行評審,對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。安全管理機(jī)構(gòu)n崗位設(shè)置n應(yīng)設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位,并定義各負(fù)責(zé)人的職責(zé);n應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位,并定義各個(gè)工作崗位的職責(zé)。n人員配備n應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等;n安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等。n授權(quán)和審批n應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批部門及批準(zhǔn)人,對系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問等關(guān)鍵活動(dòng)進(jìn)行審批;n應(yīng)針對關(guān)鍵活動(dòng)建立審批流程,并由批準(zhǔn)人簽字確認(rèn)。n溝通和合作n應(yīng)加強(qiáng)
48、各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通;n應(yīng)加強(qiáng)與兄弟單位、公安機(jī)關(guān)、電信公司的合作與溝通。n審核和檢查n安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查,檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。人員安全管理n人員錄用n應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用;n應(yīng)規(guī)范人員錄用過程,對被錄用人員的身份、背景和專業(yè)資格等進(jìn)行審查,對其所具有的技術(shù)技能進(jìn)行考核;n應(yīng)與從事關(guān)鍵崗位的人員簽署保密協(xié)議。n人員離崗n應(yīng)規(guī)范人員離崗過程,及時(shí)終止離崗員工的所有訪問權(quán)限;n應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備;n應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)。n人員考核n應(yīng)定期對各個(gè)崗
49、位的人員進(jìn)行安全技能及安全認(rèn)知的考核。n安全意識教育和培訓(xùn)n應(yīng)對各類人員進(jìn)行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn);n應(yīng)告知人員相關(guān)的安全責(zé)任和懲戒措施,并對違反違背安全策略和規(guī)定的人員進(jìn)行懲戒;n應(yīng)制定安全教育和培訓(xùn)計(jì)劃,對信息安全基礎(chǔ)知識、崗位操作規(guī)程等進(jìn)行培訓(xùn)。n外部人員訪問管理n應(yīng)確保在外部人員訪問受控區(qū)域前得到授權(quán)或?qū)徟鷾?zhǔn)后由專人全程陪同或監(jiān)督,并登記備案。系統(tǒng)建設(shè)管理n系統(tǒng)定級n應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級; n應(yīng)以書面的形式說明信息系統(tǒng)確定為某個(gè)安全保護(hù)等級的方法和理由;n應(yīng)確保信息系統(tǒng)的定級結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)。n安全方案設(shè)計(jì)n應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等級選擇基本
50、安全措施,依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施;n應(yīng)以書面形式描述對系統(tǒng)的安全保護(hù)要求、策略和措施等內(nèi)容,形成系統(tǒng)的安全方案;n應(yīng)對安全方案進(jìn)行細(xì)化,形成能指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采購和使用的詳細(xì)設(shè)計(jì)方案;n應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對安全設(shè)計(jì)方案的合理性和正確性進(jìn)行論證和審定,并且經(jīng)過批準(zhǔn)后,才能正式實(shí)施。n產(chǎn)品采購和使用n應(yīng)確保安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定;n應(yīng)確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求;n應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購。n自行軟件開發(fā)n應(yīng)確保開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開;n應(yīng)制定軟件開發(fā)管理制度,明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則;n應(yīng)
51、確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南,并由專人負(fù)責(zé)保管。系統(tǒng)建設(shè)管理(續(xù))n外包軟件開發(fā)n應(yīng)根據(jù)開發(fā)要求檢測軟件質(zhì)量;n應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南;n應(yīng)在軟件安裝之前檢測軟件包中可能存在的惡意代碼;n應(yīng)要求開發(fā)單位提供軟件源代碼,并審查軟件中可能存在的后門。n工程實(shí)施n應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實(shí)施過程的管理;n應(yīng)制定詳細(xì)的工程實(shí)施方案,控制工程實(shí)施過程。n 測試驗(yàn)收n應(yīng)對系統(tǒng)進(jìn)行安全性測試驗(yàn)收;n在測試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制訂測試驗(yàn)收方案,在測試驗(yàn)收過程中應(yīng)詳細(xì)記錄測試驗(yàn)收結(jié)果,并形成測試驗(yàn)收報(bào)告;n應(yīng)組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗(yàn)收報(bào)告進(jìn)行審定,并簽字
52、確認(rèn)。n系統(tǒng)交付 n應(yīng)制定系統(tǒng)交付清單,并根據(jù)交付清單對所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn);n應(yīng)對負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn);n應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔。n安全服務(wù)商選擇n應(yīng)確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定;n應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議,明確約定相關(guān)責(zé)任;n應(yīng)確保選定的安全服務(wù)商提供技術(shù)支持和服務(wù)承諾,必要的與其簽訂服務(wù)合同。系統(tǒng)運(yùn)維管理n環(huán)境管理n應(yīng)指定專門部門或人員定期對機(jī)房供電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理;n應(yīng)配備機(jī)房安全管理人員,對機(jī)房的出入、服務(wù)器的開機(jī)或關(guān)機(jī)等工作進(jìn)行管理;n應(yīng)建立機(jī)房安全管理制度,
53、對有關(guān)機(jī)房物理訪問,物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理作出規(guī)定;n應(yīng)加強(qiáng)對辦公環(huán)境的保密性管理,包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙和不在辦公區(qū)接待來訪人員等。n資產(chǎn)管理n應(yīng)編制與信息系統(tǒng)相關(guān)的資產(chǎn)清單,包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容;n應(yīng)建立資產(chǎn)安全管理制度,規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門,并規(guī)范資產(chǎn)管理和使用的行為。n介質(zhì)管理n應(yīng)確保介質(zhì)存放在安全的環(huán)境中,對各類介質(zhì)進(jìn)行控制和保護(hù),并實(shí)行存儲(chǔ)環(huán)境專人管理;n應(yīng)對介質(zhì)歸檔和查詢等過程進(jìn)行記錄,并根據(jù)存檔介質(zhì)的目錄清單定期盤點(diǎn);n應(yīng)對需要送出維修或銷毀的介質(zhì),首先清除其中的敏感數(shù)據(jù),防止信息的非法泄漏;
54、n應(yīng)根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進(jìn)行分類和標(biāo)識管理。系統(tǒng)運(yùn)維管理(續(xù))n設(shè)備管理n應(yīng)對信息系統(tǒng)相關(guān)的各種設(shè)備(包括備份和冗余設(shè)備)、線路等指定專門的部門或人員定期進(jìn)行維護(hù)管理;n應(yīng)建立基于申報(bào)、審批和專人負(fù)責(zé)的設(shè)備安全管理制度,對信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購、發(fā)放和領(lǐng)用等過程進(jìn)行規(guī)范化管理;n應(yīng)對終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理,按操作規(guī)程實(shí)現(xiàn)關(guān)鍵設(shè)備(包括備份和冗余設(shè)備)的啟動(dòng)/停止、加電/斷電等操作;n應(yīng)確保信息處理設(shè)備必須經(jīng)過審批才能帶離機(jī)房或辦公地點(diǎn)。 n網(wǎng)絡(luò)安全管理n應(yīng)指定人員對網(wǎng)絡(luò)進(jìn)行管理,負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和
55、報(bào)警信息分析和處理工作;n應(yīng)建立網(wǎng)絡(luò)安全管理制度,對網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級與打補(bǔ)丁、口令更新周期等方面作出規(guī)定;n應(yīng)根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進(jìn)行更新,并在更新前對現(xiàn)有的重要文件進(jìn)行備份;n應(yīng)定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描,對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ);n應(yīng)對網(wǎng)絡(luò)設(shè)備的配置文件進(jìn)行定期備份;f)應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)。系統(tǒng)運(yùn)維管理(續(xù))n系統(tǒng)安全管理n應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略;n應(yīng)定期進(jìn)行漏洞掃描,對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時(shí)進(jìn)行修補(bǔ);n應(yīng)安裝系統(tǒng)的最新補(bǔ)丁程序,在安裝系統(tǒng)補(bǔ)丁前,應(yīng)首先在測試環(huán)境中測試通過,并對重要
56、文件進(jìn)行備份后,方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝;n應(yīng)建立系統(tǒng)安全管理制度,對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出規(guī)定;n應(yīng)依據(jù)操作手冊對系統(tǒng)進(jìn)行維護(hù),詳細(xì)記錄操作日志,包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容,嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作;n應(yīng)定期對運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析,以便及時(shí)發(fā)現(xiàn)異常行為。n惡意代碼防范管理n應(yīng)提高所有用戶的防病毒意識,告知及時(shí)升級防病毒軟件,在讀取移動(dòng)存儲(chǔ)設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前,先進(jìn)行病毒檢查,對外來計(jì)算機(jī)或存儲(chǔ)設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進(jìn)行病毒檢查;n應(yīng)指定專人對網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測并保存檢測記錄;n應(yīng)對防惡意代碼軟
57、件的授權(quán)使用、惡意代碼庫升級、定期匯報(bào)等作出明確規(guī)定。n密碼管理n應(yīng)使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。n變更管理n應(yīng)確認(rèn)系統(tǒng)中要發(fā)生的重要變更,并制定相應(yīng)的變更方案;n系統(tǒng)發(fā)生重要變更前,應(yīng)向主管領(lǐng)導(dǎo)申請,審批后方可實(shí)施變更,并在實(shí)施后向相關(guān)人員通告。系統(tǒng)運(yùn)維管理(續(xù))n備份與恢復(fù)管理n應(yīng)識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等;n應(yīng)規(guī)定備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)、保存期等;n應(yīng)根據(jù)數(shù)據(jù)的重要性及其對系統(tǒng)運(yùn)行的影響,制定數(shù)據(jù)的備份策略和恢復(fù)策略,備份策略指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和數(shù)據(jù)離站運(yùn)輸方法。n安全事件處置n應(yīng)報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件,但任何情況下用戶均不應(yīng)嘗試驗(yàn)證弱點(diǎn);n應(yīng)制定安全事件報(bào)告和處置管理制度,明確安全事件類型,規(guī)定安全事件的現(xiàn)場處理、事件報(bào)告和后期恢復(fù)的管理職責(zé);n應(yīng)根據(jù)國家相關(guān)管理部門對計(jì)算機(jī)安全事件等級劃分方法和安全事件對本系統(tǒng)產(chǎn)生的影響,對本系統(tǒng)計(jì)算機(jī)安全事件進(jìn)行等級劃分;n應(yīng)記錄并保存所有報(bào)告的安全弱點(diǎn)和可疑事件,分析事件原因,監(jiān)督事態(tài)發(fā)展,采取措施避免安全事件發(fā)生。n應(yīng)急預(yù)案管理n應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案,應(yīng)急預(yù)案框
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2023年浮標(biāo)式氧氣吸入器項(xiàng)目融資計(jì)劃書
- 生命科學(xué)試題庫
- 養(yǎng)老院老人生日慶祝制度
- 養(yǎng)老院老人緊急救援服務(wù)質(zhì)量管理制度
- 質(zhì)量管理體系國家審核員培訓(xùn)考試題
- 房建木工合同范本(2篇)
- 2025年鎮(zhèn)江c1貨運(yùn)從業(yè)資格證模擬考試題
- 2025年合作下載貨運(yùn)從業(yè)資格證模擬考試
- 2025年南寧貨運(yùn)從業(yè)資格證實(shí)操考試題
- 2025年舟山駕校考試貨運(yùn)從業(yè)資格證考試
- 2023年香港島六年級數(shù)學(xué)第二學(xué)期期末聯(lián)考試題含解析
- 廈門市業(yè)主大會(huì)及業(yè)主委員會(huì)服務(wù)手冊
- 陜西省物業(yè)服務(wù)收費(fèi)管理實(shí)施辦法(陜價(jià)服發(fā)【2014】85號)
- 梗阻性黃疸的診斷
- 招標(biāo)代理機(jī)構(gòu)優(yōu)惠條件及服務(wù)承諾
- 領(lǐng)導(dǎo)干部的法治思維和法治方式
- 如何培養(yǎng)學(xué)生學(xué)習(xí)數(shù)學(xué)的興趣課件
- 中學(xué)生學(xué)習(xí)地理困難的原因及對策1000字
- 車間日常安全生產(chǎn)檢查表
- 冠寓運(yùn)營管理手冊正式版
- 樹莓派機(jī)械臂使用說明書
評論
0/150
提交評論