等級保護標準體系簡介

1、信息安全等級保護信息安全等級保護標準體系簡介標準體系簡介 公安部信息安全等級保護評估中心公安部信息安全等級保護評估中心 馬力馬力o 信息安全等級保護標準體系信息安全等級保護標準體系o 信息安全等級保護工作使用的主要標準信息安全等級保護工作使用的主要標準n 管理辦法管理辦法n 實施指南實施指南n 定級指南定級指南n 基本要求基本要求n 測評要求測評要求o 信息安全等級保護標準體系信息安全等級保護標準體系o 信息安全等級保護工作使用的主要標準信息安全等級保護工作使用的主要標準n 管理辦法管理辦法n 實施指南實施指南n 定級指南定級指南n 基本要求基本要求n 測評要求測評要求 多年來，在有關(guān)部門支持

2、下，在國多年來，在有關(guān)部門支持下，在國內(nèi)有關(guān)專家、企業(yè)的共同努力下，全國信內(nèi)有關(guān)專家、企業(yè)的共同努力下，全國信息安全標準化技術(shù)委員會和公安部信息系息安全標準化技術(shù)委員會和公安部信息系統(tǒng)安全標準化技術(shù)委員會組織制訂了信息統(tǒng)安全標準化技術(shù)委員會組織制訂了信息安全等級保護工作需要的一系列標準，形安全等級保護工作需要的一系列標準，形成了比較完整的信息安全等級保護標準體成了比較完整的信息安全等級保護標準體系。匯集成系。匯集成信息安全等級保護標準匯編信息安全等級保護標準匯編供有關(guān)單位、部門使用。供有關(guān)單位、部門使用。 在安全建設(shè)整改工作中的作用 等級保護有關(guān)標準o信息安全等級保護標準體系由等級保護工作過程

3、中所需的所有標準組成，整個標準體系可以從多個角度分析o從基本分類角度看n基礎(chǔ)類標準n技術(shù)類標準n管理類標準o從對象角度看n基礎(chǔ)標準n系統(tǒng)標準n產(chǎn)品標準n安全服務(wù)標準n安全事件標準等o 從等級保護生命周期看n 通用/基礎(chǔ)標準n 系統(tǒng)定級用標準n 安全建設(shè)用標準n 等級測評用標準n 運行維護用標準等一是：定級備案二是：建設(shè)整改三是：等級測評四是：監(jiān)督檢查（一）基礎(chǔ)1 1、計算機信息系統(tǒng)安全保護等級劃分準則GB17859-1999GB17859-19992 2、信息系統(tǒng)安全等級保護實施指南GB/T 25058-2010GB/T 25058-2010（二）系統(tǒng)定級環(huán)節(jié)3 3、信息系統(tǒng)安全保護等級定級指

4、南GB/T22240-2008GB/T22240-2008（三）建設(shè)整改環(huán)節(jié)4 4、信息系統(tǒng)安全等級保護基本要求GB/T22239-2008GB/T22239-2008（四）等級測評環(huán)節(jié)5 5、信息系統(tǒng)安全等級保護測評要求( (國標報批稿) )6 6、信息系統(tǒng)安全等級保護測評過程指南( (國標報批稿) )o信息安全等級保護管理辦法（公通字200743號，以下簡稱管理辦法）o計算機信息安全保護等級劃分準則（GB 17859-1999，簡稱劃分準則）o信息系統(tǒng)安全等級保護實施指南 GB/T 25058-2010 （簡稱實施指南）o信息系統(tǒng)安全保護等級定級指南（GB/T 22240-2008，簡稱定

5、級指南）o信息系統(tǒng)安全等級保護基本要求（GB/T 22239-2008，簡稱基本要求）o信息系統(tǒng)安全等級保護測評要求（簡稱測評要求）o信息系統(tǒng)安全等級保護測評過程指南 （簡稱測評過程指南）o 信息安全等級保護制度要干什么信息安全等級保護制度要干什么o 信息安全等級保護工作使用的主要標準信息安全等級保護工作使用的主要標準n 管理辦法管理辦法n 實施指南實施指南n 定級指南定級指南n 基本要求基本要求n 測評要求測評要求等級確定與備案 自查與等級測評等級保護運行與管理基本要求，實施指南、 安全產(chǎn)品標準 定級指南、實施指南 監(jiān)督管理要求、 基本要求、測評要求 基本要求，定級指南、實施指南，設(shè)計規(guī)范、

6、測評要求安全規(guī)劃與設(shè)計 安全建設(shè)與實現(xiàn) 監(jiān)督管理要求實施指南o 管理辦法管理辦法(43(43文件文件) )（總要求）（總要求）o 實施指南（實施指南（GB/T25058-2010GB/T25058-2010）o 定級指南（定級指南（GB/T22240-2008GB/T22240-2008）o 基本要求（基本要求（GB/T22239-2008GB/T22239-2008）o 測評要求測評要求o 建設(shè)指南建設(shè)指南o 信息安全等級保護制度要干什么信息安全等級保護制度要干什么o 信息安全等級保護工作使用的主要標準信息安全等級保護工作使用的主要標準n 管理辦法管理辦法n 實施指南實施指南n 定級指南定級

7、指南n 基本要求基本要求n 測評要求測評要求o 管理辦法第八條:o 信息系統(tǒng)運營、使用單位依據(jù)本辦法和相關(guān)技術(shù)標準對信息系統(tǒng)進行保護，國家有關(guān)信息安全職能部門對其信息安全等級保護工作進行監(jiān)督管理 。o管理辦法第九條:o信息系統(tǒng)運營、使用單位應(yīng)當按照信息系統(tǒng)安全等級保護實施指南具體實施等級保護工作。o管理辦法第十條:o信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)本辦法和信息系統(tǒng)安全等級保護定級指南確定信息系統(tǒng)的安全保護等級。有主管部門的，應(yīng)當經(jīng)主管部門審核批準。 o管理辦法第十二條:o在信息系統(tǒng)建設(shè)過程中，運營、使用單位應(yīng)當按照計算機信息系統(tǒng)安全保護等級劃分準則（GB17859-1999）、信息系統(tǒng)安全等級保

8、護基本要求等技術(shù)標準，參照等技術(shù)標準同步建設(shè)符合該等級要求的信息安全設(shè)施。o 管理辦法第十三條:o 運營、使用單位應(yīng)當參照信息安全技術(shù)信息系統(tǒng)安全管理要求（GB/T20269-2006）、信息安全技術(shù)信息系統(tǒng)安全工程管理要求（GB/T20282-2006）、信息系統(tǒng)安全等級保護基本要求等管理規(guī)范，制定并落實符合本系統(tǒng)安全保護等級要求的安全管理制度。 o管理辦法第十四條:o信息系統(tǒng)建設(shè)完成后，運營、使用單位或者其主管部門應(yīng)當選擇符合本辦法規(guī)定條件的測評單位，依據(jù)信息系統(tǒng)安全等級保護測評要求等技術(shù)標準，定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應(yīng)當每年至少進行一次等級測評，第四級信息系

9、統(tǒng)應(yīng)當每半年至少進行一次等級測評，第五級信息系統(tǒng)應(yīng)當依據(jù)特殊安全需求進行等級測評。o 信息安全等級保護制度要干什么信息安全等級保護制度要干什么o 信息安全等級保護工作使用的主要標準信息安全等級保護工作使用的主要標準n 管理辦法管理辦法n 實施指南實施指南n 定級指南定級指南n 基本要求基本要求n 測評要求測評要求介紹和描述了實施信息系統(tǒng)等級保護過程介紹和描述了實施信息系統(tǒng)等級保護過程中涉及的階段、過程和需要完成的活動，通過中涉及的階段、過程和需要完成的活動，通過對過程和活動的介紹，使大家了解對信息系統(tǒng)對過程和活動的介紹，使大家了解對信息系統(tǒng)實施等級保護的流程方法，以及不同的角色在實施等級保護的

10、流程方法，以及不同的角色在不同階段的作用等。不同階段的作用等。等級變更等級變更局部調(diào)整局部調(diào)整信息系統(tǒng)定級信息系統(tǒng)定級總體安全規(guī)劃總體安全規(guī)劃安全設(shè)計與實施安全設(shè)計與實施安全運行維護安全運行維護信息系統(tǒng)終止信息系統(tǒng)終止u 以信息系統(tǒng)安全等級保護建設(shè)為主要線索，u 定義信息系統(tǒng)等級保護實施的主要階段和過程u 對每個階段介紹和描述主要的過程和實施活動 u 對每個活動說明實施主體、主要活動內(nèi)容和輸入輸出等o 正文由9個章節(jié)1個附錄構(gòu)成n1. 范圍n2.規(guī)范性引用文件n3術(shù)語定義n4. 等級保護實施概述n5.信息系統(tǒng)定級n6.總體安全規(guī)劃n7.安全設(shè)計/實施n8.安全運行維護n9.信息系統(tǒng)終止n附錄A

11、 主要過程及其輸出o 階段o 過程o 主要活動o 子活動o 活動輸入o 活動輸出o 階段階段n 過程過程o 活動活動n 子活動子活動例如例如: :o 信息系統(tǒng)定級信息系統(tǒng)定級n 信息系統(tǒng)分析信息系統(tǒng)分析o 系統(tǒng)識別和描繪系統(tǒng)識別和描繪n 識別信息系統(tǒng)的基本信息識別信息系統(tǒng)的基本信息n 識別信息系統(tǒng)的管理框架識別信息系統(tǒng)的管理框架n o 信息系統(tǒng)劃分信息系統(tǒng)劃分主要輸入主要輸入主要輸出主要輸出過程過程系統(tǒng)立項文檔系統(tǒng)立項文檔系統(tǒng)建設(shè)文檔系統(tǒng)建設(shè)文檔系統(tǒng)管理文檔系統(tǒng)管理文檔信息系統(tǒng)分析信息系統(tǒng)分析系統(tǒng)總體描述文件系統(tǒng)總體描述文件系統(tǒng)詳細描述文件系統(tǒng)詳細描述文件安全保護等級確定安全保護等級確定系統(tǒng)總

12、體描述文件系統(tǒng)總體描述文件系統(tǒng)詳細描述文件系統(tǒng)詳細描述文件系統(tǒng)安全保護等級系統(tǒng)安全保護等級定級建議書定級建議書o 信息安全等級保護制度要干什么信息安全等級保護制度要干什么o 信息安全等級保護工作使用的主要標準信息安全等級保護工作使用的主要標準n 管理辦法管理辦法n 實施指南實施指南n 定級指南定級指南n 基本要求基本要求n 測評要求測評要求o 安全保護等級安全保護等級 等級的確定是不依賴于安全保護措施的，具有等級的確定是不依賴于安全保護措施的，具有一定的一定的“客觀性客觀性”，即該系統(tǒng)在存在之初便由，即該系統(tǒng)在存在之初便由其自身所實現(xiàn)的使命決定了它的安全保護等級，其自身所實現(xiàn)的使命決定了它的安

13、全保護等級，而非由而非由“后天后天”的安全保護措施決定。的安全保護措施決定。o 正文由6個章節(jié)構(gòu)成n 1. 范圍n 2. 規(guī)范性引用文件n 3. 術(shù)語定義n 4. 定級原理n 5. 定級方法n 6. 級別變更o五個等級的定義n第一級, 信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。n第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。n第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。 n第四級，信息系統(tǒng)受到破壞后，會對社會秩

14、序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。n第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。 受侵害的客體對客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級o確定定級對象；o確定業(yè)務(wù)信息安全受到破壞時所侵害的客體；o綜合評定業(yè)務(wù)信息安全被破壞對客體的侵害程度；o得到業(yè)務(wù)信息安全等級；o確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客體；o綜合評定系統(tǒng)服務(wù)安全被破壞對客體的侵害程度；o得到系統(tǒng)服務(wù)安全等級；o由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級的較高者確定定級對象的安全保護等級。

15、 o 第一級第一級 S1A1G1S1A1G1o 第二級第二級 S1A2G2S1A2G2，S2A2G2S2A2G2，S2A1G2S2A1G2o 第三級第三級 S1A3G3S1A3G3，S2A3G3S2A3G3，S3A3G3S3A3G3，S3A2G3S3A2G3，S3A1G3S3A1G3o 第四級第四級 S1A4G4S1A4G4，S2A4G4S2A4G4，S3A4G4S3A4G4，S4A4G4S4A4G4，S4A3G4S4A3G4，S4A2G4S4A2G4，S4A1G4S4A1G4o 信息安全等級保護制度要干什么信息安全等級保護制度要干什么o 信息安全等級保護工作使用的主要標準信息安全等級保護工作

16、使用的主要標準n 管理辦法管理辦法n 實施指南實施指南n 定級指南定級指南n 基本要求基本要求n 測評要求測評要求37o 03年，27號文件進一步明確信息安全等級保護制度o 04年，66號文件要求“盡快制定、完善法律法規(guī)和標準體系”o 編制歷程n04年10月，接受公安部的標準編制任務(wù)n05年 6月，完成初稿，廣泛征求安全領(lǐng)域?qū)＜液托袠I(yè)用戶意見；n05年10月，征求意見稿第一稿，國信辦、安標委評審n05年11月，征求意見稿第三稿n06年 6月，試點工作n07年04月，征求意見稿第四稿，安標委專家評審n07年05月，形成報批稿n08年6月19日，正式發(fā)布，08年11月1日正式實施。38o GB 1

17、7859-1999的細化和發(fā)展n 吸收安全機制并擴展到不同層面n 增加安全管理方面的內(nèi)容n 借鑒PDR、CMM、17799o 關(guān)注可操作性n 最佳實踐n 當前技術(shù)的發(fā)展n 機制要求（目標/要求）信息系統(tǒng)安全等級保護基本要求計算機信息系統(tǒng)安全保護等級劃分準則（GB17859）信息系統(tǒng)通用安全技術(shù)要求信息系統(tǒng)物理安全技術(shù)要求技術(shù)類其他技術(shù)類標準信息系統(tǒng)安全管理要求信息系統(tǒng)安全工程管理要求其他管理類標準信息系統(tǒng)安全等級保護定級指南信息系統(tǒng)安全等級保護基本要求的行業(yè)細則信息系統(tǒng)安全等級保護測評過程指南信息系統(tǒng)安全等級保護測評要求信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求管理類產(chǎn)品類數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求其他

18、產(chǎn)品類標準信息系統(tǒng)安全等級保護行業(yè)定級細則操作系統(tǒng)安全技術(shù)要求信息系統(tǒng)安全等級保護建設(shè)整改網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求網(wǎng)絡(luò)和終端設(shè)備隔離部件技術(shù)要求安全定級基線要求狀態(tài)分析方法指導(dǎo)信息系統(tǒng)安全等級保護實施指南等級保護有關(guān)標準在安全建設(shè)整改工作中的作用 3940o GB17859-1999是基礎(chǔ)性標準，基本要求17859基礎(chǔ)上的進一步細化和擴展。o 定級指南確定出系統(tǒng)等級以及業(yè)務(wù)信息安全性等級和業(yè)務(wù)服務(wù)保證性等級后，需要按照相應(yīng)等級，根據(jù)基本要求選擇相應(yīng)等級的安全保護要求進行系統(tǒng)建設(shè)實施。o 測評要求是依據(jù)基本要求檢驗系統(tǒng)的各項保護措施是否達到相應(yīng)等級的基本要求所規(guī)定的保護能力。41o 用戶范圍n信息系

19、統(tǒng)的主管部門及運營使用單位n測評機構(gòu)n安全服務(wù)機構(gòu)（系統(tǒng)集成商，軟件開發(fā)商）n信息安全監(jiān)管職能部門o 適用環(huán)節(jié)n需求分析n方案設(shè)計、系統(tǒng)建設(shè)與驗收n運行維護、等級測評、自查n 門檻合理 對每個級別的信息系統(tǒng)安全要求設(shè)置合理，按照基本要求建設(shè)后，確實達到期望的安全保護能力n 內(nèi)容完整 綜合技術(shù)、管理各個方面的要求，安全要求內(nèi)容考慮全面、完整，覆蓋信息系統(tǒng)生命周期n 便于使用 安全要求分類方式合理，便于安全保護、檢測評估、監(jiān)督檢查實施各方的靈活使用424344o 對抗能力和恢復(fù)能力共同構(gòu)成了信息系統(tǒng)的安全保護能力。o 安全保護能力主要表現(xiàn)為信息系統(tǒng)應(yīng)對威脅的能力，稱為對抗能力，但當信息系統(tǒng)無法阻擋

20、威脅對自身的破壞時，信息系統(tǒng)的恢復(fù)能力使系統(tǒng)在一定時間內(nèi)恢復(fù)到原有狀態(tài)，從而降低負面影響。45o 第一級安全保護能力 應(yīng)具有能夠?qū)箒碜詡€人的、擁有很少資源（如利用公開可獲取的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難（災(zāi)難發(fā)生的強度弱、持續(xù)時間很短、系統(tǒng)局部范圍等）、以及其他相當危害程度的威脅所造成的關(guān)鍵資源損害，并在威脅發(fā)生后，能夠恢復(fù)部分功能。46o 第二級安全保護能力 應(yīng)具有能夠?qū)箒碜孕⌒徒M織的（如自發(fā)的三兩人組成的黑客組織）、擁有少量資源（如個別人員能力、公開可獲或特定開發(fā)的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難（災(zāi)難發(fā)生的強度一般、持續(xù)時間短、覆蓋范圍?。ň植啃裕┑龋?/p>

21、、以及其他相當危害程度（無意失誤、設(shè)備故障等）的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時間內(nèi)恢復(fù)部分功能。47o 第三級安全保護能力n應(yīng)具有能夠?qū)箒碜源笮偷?、有組織的團體（如一個商業(yè)情報組織或犯罪組織等），擁有較為豐富資源（包括人員能力、計算能力等）的威脅源發(fā)起的惡意攻擊、較為嚴重的自然災(zāi)難（災(zāi)難發(fā)生的強度較大、持續(xù)時間較長、覆蓋范圍較廣（地區(qū)性）等）以及其他相當危害程度（內(nèi)部人員的惡意威脅、設(shè)備的較嚴重故障等）威脅的能力，并在威脅發(fā)生后，能夠較快恢復(fù)絕大部分功能。 48o 第四級安全保護能力n 應(yīng)具有能夠?qū)箒碜試壹墑e的、敵對組織的、擁有

22、豐富資源的威脅源發(fā)起的惡意攻擊、嚴重的自然災(zāi)難（災(zāi)難發(fā)生的強度大、持續(xù)時間長、覆蓋范圍廣（多地區(qū)性）等）以及其他相當危害程度（內(nèi)部人員的惡意威脅、設(shè)備的嚴重故障等）威脅的能力，并在威脅發(fā)生后，能夠迅速恢復(fù)所有功能。49一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)防護防護/檢測策略/防護/檢測/恢復(fù)策略/防護/檢測/恢復(fù)/響應(yīng)四級系統(tǒng)技術(shù)要求特點50一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)管理要求特點一般執(zhí)行（部分活動建制度）計劃實施（主要過程建制度）統(tǒng)一策略（管理制度體系化）持續(xù)改進（管理制度體系化/驗證/改進）51一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)覆蓋范圍特點通信/邊界（關(guān)鍵資源）通信/邊界/內(nèi)部（重要設(shè)備）通信/邊界/

23、內(nèi)部（主要設(shè)備）通信/邊界/內(nèi)部/基礎(chǔ)設(shè)施（所有設(shè)備）52某級系統(tǒng)類技術(shù)要求管理要求基本要求類控制點要求項控制點要求項53物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機安全應(yīng)用安全數(shù)據(jù)安全及備份恢復(fù)安全管理制度安全管理機構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理類547 第三級基本要求7.1 技術(shù)要求7.1.1 物理安全7.1.1.1 物理位置的選擇 本項要求包括 a) 機房和辦公場地應(yīng)選擇在具有防震、防 風和防雨等能力的建筑內(nèi) b) 機房場地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。 。類要求項控制點55n 業(yè)務(wù)信息安全相關(guān)要求（標記為S）n 系統(tǒng)服務(wù)保證相關(guān)要求（標記為A）n 通

24、用安全保護要求（標記為G） n 技術(shù)要求（3種標注）n 管理要求（統(tǒng)屬G）56o 業(yè)務(wù)信息安全相關(guān)要求（S）n電磁防護n訪問控制n數(shù)據(jù)完整性n數(shù)據(jù)保密性o 系統(tǒng)服務(wù)保證相關(guān)要求（A）n電力供應(yīng)n軟件容錯n備份與恢復(fù)n資源控制o 通用安全保護要求（G）n 管理要求和大部分技術(shù)要求o控制點增加o要求項增加o要求項增強范圍增大 要求細化要求粒度細化58o三級基本要求：在二級基本要求的基礎(chǔ)上，技術(shù)方面，在控制點上增加了網(wǎng)絡(luò)惡意代碼防范、剩余信息保護、軟件容錯、抗抵賴等。管理方面，增加了系統(tǒng)備案、安全測評、監(jiān)控管理和安全管理中心等控制點。 o四級基本要求：在三級基本要求的基礎(chǔ)上，技術(shù)方面，在系統(tǒng)和應(yīng)用層

25、面控制點上增加了安全標記、可信路徑， 59安全要求類類/層面一級二級三級四級技術(shù)要求物理安全7101010網(wǎng)絡(luò)安全3677主機安全4679應(yīng)用安全47911數(shù)據(jù)安全及備份恢復(fù)2333管理要求安全管理制度2333安全管理機構(gòu)4555人員安全管理4555系統(tǒng)建設(shè)管理991111系統(tǒng)運維管理9121313合計/48667377級差/187460o 要求項增多，如，對“身份鑒別”，一級要求“進行身份標識和鑒別”，二級增加要求“口令復(fù)雜度、登錄失敗保護等”；而三級則要求“采用兩種或兩種以上組合的鑒別技術(shù) ”。o 項目增加，要求增強。61安全要求類/層面一級二級三級四級技術(shù)要求物理安全9193233網(wǎng)絡(luò)安

26、全9183332主機安全6193236應(yīng)用安全7193136數(shù)據(jù)安全及備份恢復(fù)24811管理要求安全管理制度371114安全管理機構(gòu)492020人員安全管理7111618系統(tǒng)建設(shè)管理20284548系統(tǒng)運維管理18416270合計/85175290318級差/901152862o 范圍增大，如，對物理安全的“防靜電”，二級只要求“關(guān)鍵設(shè)備應(yīng)采用必要的接地防靜電措施”；而三級則在對象的范圍上發(fā)生了變化，為“主要設(shè)備應(yīng)采用必要的接地防靜電措施”。范圍的擴大，表明了該要求項強度的增強。 。63o 要求細化：如，人員安全管理中的“安全意識教育和培訓(xùn)”，二級要求“應(yīng)制定安全教育和培訓(xùn)計劃，對信息安全基礎(chǔ)

27、知識、崗位操作規(guī)程等進行培訓(xùn)”，而三級在對培訓(xùn)計劃進行了進一步的細化，為“應(yīng)針對不同崗位制定不同培訓(xùn)計劃”，培訓(xùn)計劃有了針對性，更符合各個崗位人員的實際需要。 64o 粒度細化：如，網(wǎng)絡(luò)安全中的“訪問控制”，二級要求“控制粒度為網(wǎng)段級”，而三級要求則將控制粒度細化，為“控制粒度為端口級”。由“網(wǎng)段級”到“端口級”，粒度上的細化，同樣也增強了要求的強度。 65o 由9個章節(jié)2個附錄構(gòu)成n 1.適用范圍n 2.規(guī)范性引用文件n 3.術(shù)語定義n 4.信息系統(tǒng)安全等級保護概述n 5.6.7.8.9五個等級的基本要求n 附錄A 關(guān)于信息系統(tǒng)整體安全保護能力的要求n 附錄B 基本安全要求的選擇和使用66物

28、理位置選擇物理安全物理訪問控制防盜竊和防破壞防雷擊防火防水和防潮電力供應(yīng)電磁防護防靜電溫濕度控制67物理安全要求主要由機房（包括主、輔機房、介質(zhì)存放間等）所部署的設(shè)備設(shè)施和采取的安全技術(shù)措施兩方面提供的功能來滿足。部分物理安全要求涉及到終端所在的辦公場地?？刂泣c一級二級三級四級物理位置的選擇*物理訪問控制*防盜竊和防破壞*防雷擊*防火*防水和防潮*防靜電*溫濕度控制*電力供應(yīng)*電磁防護*合計71010106869網(wǎng)絡(luò)安全結(jié)構(gòu)安全網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)安全審計邊界完整性檢查網(wǎng)絡(luò)入侵檢測惡意代碼防護網(wǎng)絡(luò)設(shè)備防護70網(wǎng)絡(luò)安全要求中對廣域網(wǎng)絡(luò)、城域網(wǎng)絡(luò)等通信網(wǎng)絡(luò)的要求由構(gòu)成通信網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備等的網(wǎng)

29、絡(luò)管理機制提供的功能來滿足。對局域網(wǎng)安全的要求主要通過采用、防火墻、入侵檢測系統(tǒng)、惡意代碼防范系統(tǒng)、安全管理中心等設(shè)備提供的安全功能來滿足?？刂泣c一級二級三級四級結(jié)構(gòu)安全（G）*訪問控制（G）*安全審計（G）*邊界完整性檢查（S）*入侵防范（G）*惡意代碼防范（G）*網(wǎng)絡(luò)設(shè)備防護（G）*合計36777172主機安全身份鑒別訪問控制可信路徑安全審計剩余信息保護入侵防范惡意代碼防范資源控制安全標記73主機包括應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、安全軟件所安裝的服務(wù)器及管理終端、業(yè)務(wù)終端、辦公終端等。主機安全要求通過操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)及其他安全軟件（包括防病毒、防入侵、木馬檢測等軟件）實現(xiàn)的安全功能來滿

30、足?？刂泣c一級二級三級四級身份鑒別（S）*安全標記（S）*訪問控制（S）*可信路徑（S）*安全審計（G）*剩余信息保護（S）*入侵防范（G）*惡意代碼防范（G）*資源控制（A）*合計46797475應(yīng)用安全身份鑒別訪問控制通信完整性通信保密性安全審計剩余信息保護抗抵賴軟件容錯資源控制代碼安全76應(yīng)用安全要求通過應(yīng)用系統(tǒng)、應(yīng)用平臺系統(tǒng)等實現(xiàn)的安全功能來滿足。如果應(yīng)用系統(tǒng)是多層結(jié)構(gòu)的，一般不同層的應(yīng)用都需要實現(xiàn)同樣強度的身份鑒別、訪問控制、安全審計、剩余信息保護及資源控制等。通信保密性、完整性一般在一個層面實現(xiàn)。77數(shù)據(jù)安全數(shù)據(jù)完整性數(shù)據(jù)保密性備份和恢復(fù)控制點一級二級三級四級數(shù)據(jù)完整性*數(shù)據(jù)保密性

31、*備份和恢復(fù)*合計23337879管理要求安全管理機構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理80崗位設(shè)置安全管理機構(gòu)人員配備授權(quán)和審批溝通與合作審核和檢查控制點一級二級三級四級崗位設(shè)置*人員配備*授權(quán)和審批*溝通和合作*審核和檢查*合計45558182管理制度安全管理制度制定和發(fā)布評審和修訂控制點一級二級三級四級管理制度*制定和發(fā)布*評審和修訂*合計23338384人員安全管理人員錄用人員離崗人員考核安全意識教育和培訓(xùn)外部人員訪問管理85控制點一級二級三級四級人員錄用*人員離崗*人員考核*安全意識教育和培訓(xùn)*外部人員訪問管理*合計455586系統(tǒng)建設(shè)管理系統(tǒng)定級安全方案設(shè)計產(chǎn)品采購自

32、行軟件開發(fā)外包軟件開發(fā)工程實施測試驗收系統(tǒng)交付安全服務(wù)商選擇系統(tǒng)備案等級測評控制點一級二級三級四級系統(tǒng)定級*安全方案設(shè)計*產(chǎn)品采購和使用*自行軟件開發(fā)*外包軟件開發(fā)*工程實施*測試驗收*系統(tǒng)交付*系統(tǒng)備案*等級測評*安全服務(wù)商選擇*合計9911118788系統(tǒng)運維管理環(huán)境管理資產(chǎn)管理設(shè)備管理介質(zhì)管理監(jiān)控管理和管理中網(wǎng)絡(luò)安全管理系統(tǒng)安全管理惡意代碼防范管理變更管理密碼管理備份和恢復(fù)管理安全事件處置應(yīng)急預(yù)案管理控制點一級二級三級四級環(huán)境管理*資產(chǎn)管理*介質(zhì)管理*設(shè)備管理*監(jiān)控管理和安全管理中心*網(wǎng)絡(luò)安全管理*系統(tǒng)安全管理*惡意代碼防范管理*密碼管理*變更管理*備份與恢復(fù)管理*安全事件處置*應(yīng)急預(yù)案管理*合計1012131389o 信息安全