信息安全等級保護整改方案

1、信息安全等級保護整改方案做等級保護 鑄信息安全國家高度重視信息安全國家先后出臺了一系列信息安全文件和舉措2003年，中辦發(fā)200327號文件：國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見，中國信息安全建設(shè)的里程碑：一、加強信息安全保障工作的總體要求和主要原則二、實行信息安全等級保護，重視信息安全風險評估三、加強以密碼技術(shù)為基礎(chǔ)的信息保護和網(wǎng)絡(luò)信任體系建設(shè)四、建設(shè)和完善信息安全監(jiān)控體系五、重視信息安全應(yīng)急處理工作六、加強信息安全技術(shù)研究開發(fā)，推進信息安全產(chǎn)業(yè)發(fā)展七、加強信息安全法制建設(shè)和標準化建設(shè)八、加快信息安全人才培養(yǎng)，增強全民信息安全意識九、保證信息安全資金十、加強對信息安全保障工作的領(lǐng)

2、導(dǎo)，建立健全信息安全管理責任制國家高度重視信息安全國家先后出臺了一系列信息安全文件和舉措2012年國務(wù)院以國發(fā)201223號文件：國務(wù)院關(guān)于大力推進信息化發(fā)展和 切實保障信息安全的若干意見，涉及安全提到提升網(wǎng)絡(luò)與信息安全保障水平等六個方面的任務(wù)：健全安全防護和管理，保障重點領(lǐng)域信息安全一、確保重要信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)安全。二、加強政府和涉密信息系統(tǒng)安全管理。三、保障工業(yè)控制系統(tǒng)安全。四、強化信息資源和個人信息保護。加快能力建設(shè)，提升網(wǎng)絡(luò)與信息安全保障水平一、夯實網(wǎng)絡(luò)與信息安全基礎(chǔ)。二、加強網(wǎng)絡(luò)信任體系建設(shè)和密碼保障。三、提升網(wǎng)絡(luò)與信息安全監(jiān)管能力。四、加快技術(shù)攻關(guān)和產(chǎn)業(yè)發(fā)展。五、加強宣傳教育

3、和人才培養(yǎng)。六、加快法規(guī)制度和標準建設(shè)。等級保護的重要地位信息安全等級保護是“令”-國家意志的體現(xiàn)國務(wù)院令【1994】147號中華人民共和國計算機信息系統(tǒng)安全保護條例 規(guī)定“計算機信息系統(tǒng)實行安全等級保護，安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關(guān)部門制定”。信息安全等級保護由執(zhí)法機構(gòu)負責1995年2月18日人大12次會議通過并實施的中華人民共和國警察法第二章第六條第十二款規(guī)定，公安機關(guān)人民警察依法履行“監(jiān)督管理計算機信息系統(tǒng)的安全保護工作”。信息安全等級保護是“強制性國家標準”1999年 GB 17859計算機信息系統(tǒng)安全保護等級劃分準則為信息安全等級保護提供了基礎(chǔ)的標準依

4、據(jù)。概念回顧信息系統(tǒng)安全等級保護指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護；對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理；對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置（摘自“關(guān)于信息安全等級保護工作的實施意見（公通字200466號 ）文件）概念回顧三類基本要求S類業(yè)務(wù)信息安全保護類關(guān)注的是保護數(shù)據(jù)在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權(quán)的修改。A類系統(tǒng)服務(wù)安全保護類關(guān)注的是保護系統(tǒng)連續(xù)正常的運行，避免因?qū)ο到y(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用。G類通用安全保護類既關(guān)注保護業(yè)務(wù)信息的安全性，同時也關(guān)注保護系統(tǒng)的連

5、續(xù)可用性。信息系統(tǒng)安全保護等級第五級第四級第三級第二級第一級信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。 信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。 信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。 信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。 信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。等級保護是基本制度國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見（中辦發(fā)200327號 ）

6、國務(wù)院第147號令中華人民共和國計算機信息系統(tǒng)安全保護條例（1994年2月18日）關(guān)于信息安全等級保護工作的實施意見（公通字200466號 ）信息安全等級保護管理辦法（公通字2007 43 號）關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知（公信安2007861號）信息安全等級保護備案實施細則（公信安20071360號）公安機關(guān)信息安全等級保護檢查工作規(guī)范（公信安2008736號） （七）關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風險評估工作的通知（發(fā)改高技20082071號）關(guān)于印發(fā)信息系統(tǒng)安全等級測評 報告模版（試行）的通知 公信安20091487號關(guān)于開展信息安全等級保護安全建設(shè)整改工

7、作的指導(dǎo)意見(公信安20091429號)定級備案安全建設(shè)整改等級測評監(jiān)督檢查關(guān)于推動信息安全等級保護測評體系建設(shè)和開展等級測評工作的通知公信安 2010303號主要政策回顧序號文 號發(fā)文單位名稱1國務(wù)院令【1994】號國務(wù)院中華人民共和國計算機信息系統(tǒng)安全保護條例 規(guī)定“計算機信息系統(tǒng)實行安全等級保護”2中辦發(fā)200327號中央辦公廳國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見3公通字200466號公安部/4部委關(guān)于信息安全等級保護工作的實施意見4中辦 200618號中央辦公廳轉(zhuǎn)發(fā)國家信息化領(lǐng)導(dǎo)小組關(guān)于推進國家電子政務(wù)網(wǎng)絡(luò)建設(shè)的意見的通知 5公通字200743號公安部/4部委信息安全等級保

8、護管理辦法6公信安20071360號公安部信息安全等級保護備案實施細則7公信安2007861號公安部/4部委關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知8公信安2008736號 公安部公安機關(guān)信息安全等級保護檢查工作規(guī)范（試行）9發(fā)改高技20082071號發(fā)改委關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風險評估工作的通知10公信安20091429號公安部關(guān)于印送關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導(dǎo)意見的函11公信安2010303號公安部關(guān)于推動信息安全等級保護測評體系建設(shè)和開展等級測評工作的通知主要標準回顧序號標準編號標準分類名稱1GB/T 22240-2008信息安全技術(shù)信息系

9、統(tǒng)安全保護等級定級指南2GB/T 22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求3GB/T 24856-2009信息安全技術(shù)信息系統(tǒng)安全等級保護安全設(shè)計技術(shù)要求4GB/T 25058-2010信息安全技術(shù) 信息系統(tǒng)安全等級保護實施指南5GB/T XXXXX-XXXX信息安全技術(shù) 信息系統(tǒng)安全等級保護測評要求序號標準編號標準分類名稱1GB 17859-1999信息安全技術(shù)計算機信息系統(tǒng)安全保護等級劃分準則2GB/T 20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求3GB/T 21052-2006信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求4GB/T 20270-2006信息安全技術(shù)

10、網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求5GB/T 20272-2006信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求6GB/T 20273-2006信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求7GB/T 21028-2006信息安全技術(shù)服務(wù)器技術(shù)要求8GA/T 671-2006信息安全技術(shù)終端計算機系統(tǒng)安全等級技術(shù)要求9GB/T 20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求10GB/T 20282-2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求計算機信息系統(tǒng)安全保護等級劃分準則（GB17859）信息系統(tǒng)通用安全技術(shù)要求信息系統(tǒng)物理安全技術(shù)要求技術(shù)類其他技術(shù)類標準信息系統(tǒng)安全管理要求信息系統(tǒng)安全工程管理要求其他管理類標準管理類

11、產(chǎn)品類數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求其他產(chǎn)品類標準操作系統(tǒng)安全技術(shù)要求網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求網(wǎng)絡(luò)和終端設(shè)備隔離部件技術(shù)要求安全建設(shè)整改的依據(jù)信息系統(tǒng)安全等級保護基本要求信息系統(tǒng)安全等級保護定級指南信息系統(tǒng)安全等級保護基本要求的行業(yè)細則信息系統(tǒng)安全等級保護測評過程指南信息系統(tǒng)安全等級保護測評要求信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求信息系統(tǒng)安全等級保護行業(yè)定級細則安全等級基線要求狀況分析方法指導(dǎo)信息系統(tǒng)安全等級保護實施指南信息安全等級保護安全建設(shè)整改工作四級各級信息系統(tǒng)控制項統(tǒng)計技術(shù)33管理52 技術(shù)148 管理170技術(shù)136 管理154技術(shù)79 管理95二級指標項 174項三級指標項 290項二級和三級

12、相差 116項基本要求的技術(shù)能力 第一級：防護第二級：防護、檢測第三級：策略、防護、檢測、恢復(fù)第四級：策略、防護、檢測、恢復(fù)、響應(yīng)基本要求的管理能力 第一級：一般執(zhí)行（部分活動制度）第二級：計劃實施（主要過程制度）第三級：統(tǒng)一策略（制度體系化）第四級：持續(xù)改進（驗證可改進）業(yè)務(wù)系統(tǒng)面臨的安全風險安全問題1、物理環(huán)境安全方面：未注意保留防盜竊、監(jiān)控報警系統(tǒng)的運行維護檢查記錄缺乏各種設(shè)備的安全資質(zhì)和驗收報告2、網(wǎng)絡(luò)安全方面：未合理劃分VLAN網(wǎng)絡(luò)邊界未設(shè)置合理的訪問控制措施未配備入侵防范和網(wǎng)絡(luò)層惡意代碼防范設(shè)備3、主機安全方面：主機、數(shù)據(jù)庫等應(yīng)用系統(tǒng)的補丁未完全更新主機和數(shù)據(jù)庫管理員權(quán)限未分離未關(guān)

13、閉多余的服務(wù)，未配置合理的口令等措施安全問題4、應(yīng)用安全方面：用戶名和密碼以明文形式傳輸未設(shè)置雙因素認證方式無抗抵賴功能5、數(shù)據(jù)安全方面：無完整性機制無保密性機制關(guān)鍵設(shè)備無冗余，未異地備份6、安全管理方面：未建立體系化的安全管理，無詳細運行記錄未建立安全管理中心信息安全管理工作誤區(qū)一、重視局部安全，對總體安全認識不足，對IT規(guī)劃、安全規(guī)劃在信息安全中的重要性認識不足；建設(shè)過程中，在物理環(huán)境、網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)及管理各層面均采用了部分安全措施；但往往忽視整體的安全規(guī)劃，在安全運維中經(jīng)常陷于 “頭痛醫(yī)頭，腳痛醫(yī)腳”疲于奔命的局面；二、對安全運維、安全服務(wù)認識不足，自身技術(shù)條件不足情況下，安全運

14、維長期缺位而不注意引入安全服務(wù)；三、認為信息安全只是技術(shù)問題，對安全管理認識不足，未能運行有效的安全管理體系，造成制度不到位、責任不明確，出現(xiàn)問題難以查找原因；四、認為信息安全即網(wǎng)絡(luò)安全，對物理、主機、應(yīng)用、數(shù)據(jù)安全認識不足，尤其對應(yīng)用安全認識不足；五、重視安全產(chǎn)品的采購，忽視安全機制的建立；認為要達到等級保護要求，把該買的設(shè)備買夠就行，結(jié)果不但造成浪費，而且事與愿違。安全建設(shè)整改目的通過等保安全整改實現(xiàn)提升信息安全水平和符合國家政策兩項目標：一、要提升信息安全管理水平，從組織、人員、制度和技術(shù)各個方面解決信息安全問題，形成符合我單位特點的整體信息安全保障體系；二、符合等級保護政策要求，通過相

15、關(guān)權(quán)威測評機構(gòu)等保測評；三、兩個目標是一致的，符合等級保護政策是外在動力，提升信息安全管理水平是內(nèi)在需求。等級保護建設(shè)實施流程等級保護建設(shè)實施等保咨詢：1、協(xié)助定級2、現(xiàn)狀調(diào)研與差距分析3、方案設(shè)計 集成實施：4、安全產(chǎn)品采購5、安全策略設(shè)計6、安全集成實施7、安全評估加固8、安全管理體系制定9、協(xié)助應(yīng)用安全整改10、協(xié)助安全測評11、應(yīng)急響應(yīng)等級保護建設(shè)實施一、等保咨詢1、協(xié)助定級及備案；2、協(xié)助測評工作；3、安全培訓(xùn)工作；二、安全評估加固1、依據(jù)需求分析階段風險評估的結(jié)果執(zhí)行安全加固操作；2、業(yè)務(wù)系統(tǒng)上線前進行評估加固；3、依據(jù)風險評估結(jié)果配合各廠商應(yīng)用方面進行加固整改；4、測評前模擬測評

16、機構(gòu)對系統(tǒng)進行全面風險評估三、安全方案設(shè)計1、物理環(huán)境、管理現(xiàn)狀、網(wǎng)絡(luò)架構(gòu)、業(yè)務(wù)應(yīng)用系統(tǒng)、已有安全措施調(diào)研；2、根據(jù)調(diào)研結(jié)果，對照等保要求，出具差距分析報告；3、依據(jù)等?；疽筮M行風險評估；4、依據(jù)差距分析結(jié)果和風險評估結(jié)論，進行需求分析；5、依據(jù)需求分析結(jié)論，進行安全建設(shè)方案設(shè)計，方案包含技術(shù)框架、工程框架、管理體系設(shè)計、技術(shù)體系設(shè)計、資金預(yù)算規(guī)劃等；等級保護建設(shè)實施四、安全集成實施1、編制安全產(chǎn)品采購建議；2、協(xié)助編制技術(shù)招標文件；3、提供網(wǎng)神安全產(chǎn)品及產(chǎn)品解決方案；4、組織安全產(chǎn)品集成上線；5、統(tǒng)一部署安全策略配置；6、安全技術(shù)規(guī)范制定；五、安全管理體系建設(shè)1、安全管理架構(gòu)及職責咨詢、

17、安全管理架構(gòu)及職責審核安全管理制度編寫。2、安全管理制度審核、確認和發(fā)布；六、運維保障1、本地、遠程運維保障工作；2、應(yīng)急響應(yīng)支持工作；分析現(xiàn)狀編寫方案設(shè)計策略實施措施 選擇基本安全措施評估特殊風險 安全保 護等級信息系統(tǒng)基本保護要求的組合第一級S1A1G1第二級S1A2G2，S2A2G2，S2A1G2第三級S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4第五級S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A5G5，S5A4G5，S5A3G5，S5A2G5，S

18、5A1G5工具掃描人工分析滲透測試調(diào)研訪談?wù){(diào)查現(xiàn)狀，分析風險和差距 安全需求分析報告信息系統(tǒng)描述；安全管理狀況；安全技術(shù)狀況；存在的不足和可能的風險；安全需求描述。分析現(xiàn)狀編寫方案設(shè)計策略實施措施 選擇基本安全措施評估特殊風險安全需求分析報告分析現(xiàn)狀編寫方案設(shè)計策略實施措施方案概述背景、編寫依據(jù)、定位和目標、設(shè)計思路、技術(shù)路線信息系統(tǒng)定級及基本情況信息系統(tǒng)情況、等級情況、網(wǎng)絡(luò)及安全措施情況信息與網(wǎng)絡(luò)安全需求分析風險分析、等保差距分析、總體安全需求安全保障體系框架保護對象與安全域、安全保障體系框架總體安全方針和策略信息安全方針、總體安全策略安全管理體系設(shè)計組織、制度、人員安全建設(shè)安全技術(shù)體系設(shè)計

19、物理、安全區(qū)域邊界、安全網(wǎng)絡(luò)通信、安全計算環(huán)境安全運行體系設(shè)計建設(shè)安全管理、運維安全管理安全管理中心設(shè)計安全工作管理、安全運維管理、統(tǒng)一技術(shù)管理、三員管理項目實施總體計劃第一階段、第二階段、本期實施產(chǎn)品及總體拓撲確定框架，制定整改方案依據(jù)信息系統(tǒng)安全等級保護基本要求 參照信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求引入“安全域”的概念，強化訪問控制安全技術(shù)控制策略安全管理控制策略總體方案-要點關(guān)鍵點：安全技術(shù)+安全管理計算環(huán)境安全基礎(chǔ)設(shè)施安全區(qū)域邊界安全網(wǎng)絡(luò)通信安全安全管理中心安全方針策略安全管理制度安全規(guī)范和流程安全記錄單業(yè)務(wù)流備份接入?yún)^(qū)分支用戶區(qū)分支接入?yún)^(qū)總部接入?yún)^(qū)核心交換區(qū)數(shù)據(jù)備份區(qū)業(yè)務(wù)服務(wù)器區(qū)按照

20、應(yīng)用的通信過程劃分：接入?yún)^(qū)交換區(qū)用戶區(qū)服務(wù)器區(qū)管理區(qū)按照業(yè)務(wù)數(shù)據(jù)的流轉(zhuǎn)路徑劃分存儲區(qū)前置區(qū)終端區(qū)傳輸區(qū)備份區(qū)總部服務(wù)器 核心交換路由器廣域網(wǎng) 路由器 備份服務(wù)器路由器終端劃分安全域（參考）分析現(xiàn)狀編寫方案設(shè)計策略實施措施分析訪問，合理設(shè)計安全策略業(yè)務(wù)風險控制業(yè)務(wù)應(yīng)用主機組件應(yīng)用平臺網(wǎng)絡(luò)業(yè)務(wù)安全需求安全功能實現(xiàn)數(shù)據(jù)庫 功能組件支撐安全功能實現(xiàn)安全軟件環(huán)境安全邊界安全傳輸通道業(yè)務(wù)風險保護策略信息系統(tǒng)保護策略整體保護策略程序安全組件安全主機安全網(wǎng)絡(luò)安全“業(yè)務(wù)+系統(tǒng)”安全=整體安全策略分析現(xiàn)狀編寫方案設(shè)計策略實施措施結(jié)合實際，部署實施安全措施等級保護要求控制要求等保三級所需產(chǎn)品網(wǎng)神安全產(chǎn)品網(wǎng)絡(luò)安全結(jié)構(gòu)

21、安全帶寬管理、SSLVPN/IPSecVPN路由器、交換機、負載均衡SecBMS3600SecSSL3600SecGate3600訪問控制防火墻、IPS/IDSSecGate3600SecIPS3600SecIDS3600安全審計網(wǎng)絡(luò)安全審計日志審計SecFox-NBASecFox-LAS邊界完整性檢查終端安全管理SecFox-EPS入侵防范IDSSecIDS3600惡意代碼防范防病毒系統(tǒng)、防病毒網(wǎng)關(guān)SecAV3600網(wǎng)絡(luò)設(shè)備防護等保三級整改方案網(wǎng)神安全產(chǎn)品等級保護要求控制要求等保三級所需產(chǎn)品網(wǎng)神安全產(chǎn)品主機安全身份鑒別主機核心防護SecSSM3600訪問控制主機核心防護SecSSM3600安

22、全審計終端、服務(wù)器、數(shù)據(jù)審計系統(tǒng)SecFox-EPSSecFox-NBASecFox-LAS剩余信息保護數(shù)據(jù)庫審計系統(tǒng)SecFox-NBA入侵防范主機核心防護、主機入侵檢測SecSSM3600惡意代碼防范防病毒資源控制網(wǎng)管系統(tǒng)SecFox-SNI等保三級整改方案網(wǎng)神安全產(chǎn)品等級保護要求控制要求等保三級所需產(chǎn)品網(wǎng)神安全產(chǎn)品主機安全身份鑒別主機核心防護SecSSM3600應(yīng)用安全身份鑒別動態(tài)令牌、CASecSSL3600安全審計應(yīng)用系統(tǒng)日志審計SecFox-NBASecFox-LAS訪問控制、剩余信息保護通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制主要功能需要應(yīng)用系統(tǒng)開發(fā)商解決數(shù)據(jù)與備份安全

23、數(shù)據(jù)完整性網(wǎng)頁防篡改SecWAF3600數(shù)據(jù)保密性 SSH、VPN、MD5等備份和恢復(fù)異地備份等保三級整改方案網(wǎng)神安全產(chǎn)品編寫安全管理制度第一級 方針策略信息安全工作的綱領(lǐng)性文件。 第二級 在安全策略的指導(dǎo)下，制定的各項安全管理和技術(shù)制度、辦法和準則，用來規(guī)范各部門處室安全管理工作。第三級 細化的實施細則、管理技術(shù)標準等內(nèi)容，用來支撐第二層對應(yīng)的制度與管理辦法的有效實施。第四級 記錄活動實行以符合等級1,2,和3的文件要求的客觀證據(jù)，闡明所取得的結(jié)果或提供完成活動的證據(jù) 運行記錄方針策略實施細則與標準制度與管理辦法安全制度體系建設(shè)信息安全方針信息安全主策略信息安全管理制度和規(guī)定安全工作流程（支

24、撐安全管理制度）安全記錄單（支撐流程）信息安全技術(shù)規(guī)范和標準安全操作流程（支撐安全技術(shù)規(guī)范）安全記錄單（操作規(guī)程）總體方針制度和規(guī)范操作流程和規(guī)程記錄安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理共計約13個管理制度安全產(chǎn)品配置、運維規(guī)范共計約6個技術(shù)規(guī)范相關(guān)配套表格約30個安全要求類/層面一級二級三級四級技術(shù)要求物理安全9193233網(wǎng)絡(luò)安全9183332主機安全6193236應(yīng)用安全7193136數(shù)據(jù)安全及備份恢復(fù)24811管理要求安全管理制度371114安全管理機構(gòu)492020人員安全管理7111618系統(tǒng)建設(shè)管理20284548系統(tǒng)運維管理18416270合計/8

25、5175290318級差/9011528基本要求的要求項物理安全一級物理安全要求：主要要求對物理環(huán)境進行基本的防護，對出入進行基本控制，環(huán)境安全能夠?qū)ψ匀煌{進行基本的防護，電力則要求提供供電電壓的正常。二級物理安全要求：對物理安全進行了進一步的防護，不僅對出入進行基本的控制，對進入后的活動也要進行控制；物理環(huán)境方面，則加強了各方面的防護，采取更細的要求來多方面進行防護。三級物理安全要求：對出入加強了控制，做到人、電子設(shè)備共同監(jiān)控；物理環(huán)境方面，進一步采取各種控制措施來進行防護。如，防火要求，不僅要求自動消防系統(tǒng)，而且要求區(qū)域隔離防火，建筑材料防火等方面，將防火的范圍增大，從而使火災(zāi)發(fā)生的幾率

26、和損失降低。四級物理安全要求：對機房出入的要求進一步增強，要求多道電子設(shè)備監(jiān)控；物理環(huán)境方面，要求采用一定的防護設(shè)備進行防護，如靜電消除裝置等。網(wǎng)絡(luò)安全一級網(wǎng)絡(luò)安全要求：主要提供網(wǎng)絡(luò)安全運行的基本保障，包括網(wǎng)絡(luò)結(jié)構(gòu)能夠基本滿足業(yè)務(wù)運行需要，網(wǎng)絡(luò)邊界處對進出的數(shù)據(jù)包頭進行基本過濾等訪問控制措施。二級網(wǎng)絡(luò)安全要求：不僅要滿足網(wǎng)絡(luò)安全運行的基本保障，同時還要考慮網(wǎng)絡(luò)處理能力要滿足業(yè)務(wù)極限時的需要。對網(wǎng)絡(luò)邊界的訪問控制粒度進一步增強。同時，加強了網(wǎng)絡(luò)邊界的防護，增加了安全審計、邊界完整性檢查、入侵防范等控制點。對網(wǎng)絡(luò)設(shè)備的防護不僅局限于簡單的身份鑒別，同時對標識和鑒別信息都有了相應(yīng)的要求。三級網(wǎng)絡(luò)安全

27、要求：對網(wǎng)絡(luò)處理能力增加了“優(yōu)先級”考慮，保證重要主機能夠在網(wǎng)絡(luò)擁堵時仍能夠正常運行；網(wǎng)絡(luò)邊界的訪問控制擴展到應(yīng)用層，網(wǎng)絡(luò)邊界的其他防護措施進一步增強，不僅能夠被動的“防”，還應(yīng)能夠主動發(fā)出一些動作，如報警、阻斷等。網(wǎng)絡(luò)設(shè)備的防護手段要求兩種身份鑒別技術(shù)綜合使用。四級網(wǎng)絡(luò)安全要求：對網(wǎng)絡(luò)邊界的訪問控制做出了更為嚴格的要求，禁止遠程撥號訪問，不允許數(shù)據(jù)帶通用協(xié)議通過；邊界的其他防護措施也加強了要求。網(wǎng)絡(luò)安全審計著眼于全局，做到集中審計分析，以便得到更多的綜合信息。網(wǎng)絡(luò)設(shè)備的防護，在身份鑒別手段上除要求兩種技術(shù)外，其中一種鑒別技術(shù)必須是不可偽造的，進一步加強了對網(wǎng)絡(luò)設(shè)備的防護。 主機安全一級主機系

28、統(tǒng)安全要求：對主機進行基本的防護，要求主機做到簡單的身份鑒別，粗粒度的訪問控制以及重要主機能夠進行惡意代碼防范。二級主機系統(tǒng)安全要求：在控制點上增加了安全審計和資源控制等。同時，對身份鑒別和訪問控制都進一步加強，鑒別的標識、信息等都提出了具體的要求；訪問控制的粒度進行了細化等，惡意代碼增加了統(tǒng)一管理等。三級主機系統(tǒng)安全要求：在控制點上增加了剩余信息保護，訪問控制增加了設(shè)置敏感標記等，力度變強。同樣，身份鑒別的力度進一步增強，要求兩種以上鑒別技術(shù)同時使用。安全審計已不滿足于對安全事件的記錄，而要進行分析、生成報表。對惡意代碼的防范綜合考慮網(wǎng)絡(luò)上的防范措施，做到二者相互補充。對資源控制的增加了對服

29、務(wù)器的監(jiān)視和最小服務(wù)水平的監(jiān)測和報警等。四級主機系統(tǒng)安全要求：在控制點上增加了安全標記和可信路徑，其他控制點在強度上也分別增強，如，身份鑒別要求使用不可偽造的鑒別技術(shù)，訪問控制要求部分按照強制訪問控制的力度實現(xiàn)，安全審計能夠做到統(tǒng)一集中審計等。 應(yīng)用安全一級應(yīng)用安全要求：對應(yīng)用進行基本的防護，要求做到簡單的身份鑒別，粗粒度的訪問控制以及數(shù)據(jù)有效性檢驗等基本防護。二級應(yīng)用安全要求：在控制點上增加了安全審計、通信保密性和資源控制等。同時，對身份鑒別和訪問控制都進一步加強，鑒別的標識、信息等都提出了具體的要求。訪問控制的粒度進行了細化，對通信過程的完整性保護提出了特定的校驗碼技術(shù)。應(yīng)用軟件自身的安全

30、要求進一步增強，軟件容錯能力增強。三級應(yīng)用安全要求：在控制點上增加了剩余信息保護和抗抵賴等。同時，身份鑒別的力度進一步增強，要求組合鑒別技術(shù)，訪問控制增加了敏感標記功能，安全審計已不滿足于對安全事件的記錄，而要進行分析等。對通信過程的完整性保護提出了特定的密碼技術(shù)。應(yīng)用軟件自身的安全要求進一步增強，軟件容錯能力增強，增加了自動保護功能。四級應(yīng)用安全要求：在控制點上增加了安全標記和可信路徑等。部分控制點在強度上進一步增強，如，身份鑒別要求使用不可偽造的鑒別技術(shù)，安全審計能夠做到統(tǒng)一安全策略提供集中審計接口等，軟件應(yīng)具有自動恢復(fù)的能力等。數(shù)據(jù)安全及備份恢復(fù)一級數(shù)據(jù)安全及備份恢復(fù)要求：對數(shù)據(jù)完整性用

31、戶數(shù)據(jù)在傳輸過程提出要求，能夠檢測出數(shù)據(jù)完整性受到破壞；同時能夠?qū)χ匾畔⑦M行備份。二級數(shù)據(jù)安全備份恢復(fù)要求：對數(shù)據(jù)完整性的要求增強，范圍擴大，要求鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中都要保證其完整性。對數(shù)據(jù)保密性要求實現(xiàn)鑒別信息存儲保密性，數(shù)據(jù)備份增強，要求一定的硬件冗余。三級數(shù)據(jù)安全備份恢復(fù)要求：對數(shù)據(jù)完整性的要求增強，范圍擴大，增加了系統(tǒng)管理數(shù)據(jù)的傳輸完整性，不僅能夠檢測出數(shù)據(jù)受到破壞，并能進行恢復(fù)。對數(shù)據(jù)保密性要求范圍擴大到實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)的傳輸和存儲的保密性，數(shù)據(jù)的備份不僅要求本地完全數(shù)據(jù)備份，還要求異地備份和冗余網(wǎng)絡(luò)拓撲。四級數(shù)據(jù)安全備份恢復(fù)要求：為進一步保證

32、數(shù)據(jù)的完整性和保密性，提出使用專有的安全協(xié)議的要求。同時，備份方式增加了建立異地適時災(zāi)難備份中心，在災(zāi)難發(fā)生后系統(tǒng)能夠自動切換和恢復(fù)。安全管理制度 一級安全管理制度要求：主要明確了制定日常常用的管理制度，并對管理制度的制定和發(fā)布提出基本要求。二級安全管理制度要求：在控制點上增加了評審和修訂，管理制度增加了總體方針和安全策略，和對各類重要操作建立規(guī)程的要求，并且管理制度的制定和發(fā)布要求組織論證。三級安全管理制度要求：在二級要求的基礎(chǔ)上，要求機構(gòu)形成信息安全管理制度體系，對管理制度的制定要求和發(fā)布過程進一步嚴格和規(guī)范。對安全制度的評審和修訂要求領(lǐng)導(dǎo)小組的負責。四級安全管理制度要求：在三級要求的基礎(chǔ)

33、上，主要考慮了對帶有密級的管理制度的管理和管理制度的日常維護等。安全管理機構(gòu)一級安全管理機構(gòu)要求：主要要求對開展信息安全工作的基本工作崗位進行配備，對機構(gòu)重要的安全活動進行審批，加強對外的溝通和合作。二級安全管理機構(gòu)要求：在控制點上增加了審核和檢查，同時，在一級基礎(chǔ)上，明確要求設(shè)立安全主管等重要崗位；人員配備方面提出安全管理員不可兼任其它崗位原則；溝通與合作的范圍增加與機構(gòu)內(nèi)部及與其他部門的合作和溝通。三級安全管理機構(gòu)要求：對于崗位設(shè)置，不僅要求設(shè)置信息安全的職能部門，而且機構(gòu)上層應(yīng)有一定的領(lǐng)導(dǎo)小組全面負責機構(gòu)的信息安全全局工作。授權(quán)審批方面加強了授權(quán)流程控制以及階段性審查。溝通與合作方面加強了與外部組織的溝通和合