信息安全基礎(chǔ)知識培訓(xùn)課件

信息安全基礎(chǔ)知識培訓(xùn)

2010年7月15日信息安全基礎(chǔ)知識培訓(xùn)

2010年7月15日10/11/20222目錄一、信息安全基礎(chǔ)知識二、證券行業(yè)面臨的安全威脅

三、公司安全防護(hù)體系四、公司信息安全標(biāo)準(zhǔn)10/10/20222目錄一、信息安全基礎(chǔ)知識一、信息安全基礎(chǔ)知識信息安全發(fā)展史信息安全的內(nèi)涵信息系統(tǒng)安全保障體系的基本內(nèi)容等級保護(hù)有關(guān)背景情況介紹10/11/20223一、信息安全基礎(chǔ)知識信息安全發(fā)展史10/10/20223信息安全發(fā)展史初級階段：通信保密階段上世紀(jì)八十年代前，人們認(rèn)為信息安全就是通信保密，采用的保障措施就是加密和基于計(jì)算機(jī)規(guī)則的訪問控制中級階段：計(jì)算機(jī)系統(tǒng)安全階段(靜態(tài)信息防護(hù))本世紀(jì)前，對主機(jī)安全的關(guān)注及網(wǎng)絡(luò)攻擊的防護(hù)是信息安全的核心內(nèi)容現(xiàn)階段：信息安全保障階段人們關(guān)心的是信息及信息系統(tǒng)的保障，如何建立完整的保障體系，以便保障信息及信息系統(tǒng)的正常運(yùn)行10/11/20224信息安全發(fā)展史初級階段：通信保密階段10/10/20224初級階段——通信保密40～70年代重點(diǎn)是通過密碼技術(shù)解決通信保密，保證數(shù)據(jù)的保密性與完整性主要安全威脅是搭線竊聽、密碼學(xué)分析主要保護(hù)措施是加密重要標(biāo)志：1949年shannon發(fā)表的《保密通信的信息原理》1977年美國國家標(biāo)準(zhǔn)局公布的數(shù)據(jù)加密標(biāo)準(zhǔn)（DES），對稱算法1976年由Diffie、Hellman提出公鑰密碼體制，非對稱算法10/11/20225初級階段——通信保密40～70年代10/10/20225中級階段——計(jì)算機(jī)系統(tǒng)安全70～80年代重點(diǎn)是確保計(jì)算機(jī)系統(tǒng)中硬件、軟件及正在處理、存儲、傳輸信息的機(jī)密性、完整性和可控性主要安全威脅擴(kuò)展到非法訪問、惡意代碼、弱口令等主要保護(hù)措施是安全操作系統(tǒng)涉及技術(shù)（TCB）主要標(biāo)志1985年美國國防部公布的可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則（TCSEC)10/11/20226中級階段——計(jì)算機(jī)系統(tǒng)安全70～80年代10/10/2022TCSEC標(biāo)準(zhǔn)系列TCSEC系列標(biāo)準(zhǔn) 需要采取的各類硬件、軟件本身具備一定的安全強(qiáng)度需要由軟硬件組成的系統(tǒng)具備一定的安全程度 為了評價對“信息的安全”的保護(hù)程度，需要對產(chǎn)品的安全強(qiáng)度、系統(tǒng)的安全強(qiáng)度進(jìn)行評估。主要表現(xiàn)為：產(chǎn)品安全強(qiáng)度分級：A1B1B2B3C1C2D110/11/20227TCSEC標(biāo)準(zhǔn)系列TCSEC系列標(biāo)準(zhǔn)10/10/20227現(xiàn)階段——信息安全保障重點(diǎn)需要保護(hù)信息，確保信息在產(chǎn)生、存儲、處理、傳輸過程中及信息系統(tǒng)不被破壞，確保合法用戶的服務(wù)和限制非授權(quán)用戶的服務(wù)，以及必要的防御攻擊的措施。強(qiáng)調(diào)信息的保密性、完整性、可用性主要安全威脅是人為破壞、網(wǎng)絡(luò)入侵、病毒破壞、信息對抗主要保護(hù)措施包括防火墻、防病毒軟件、漏洞掃描、入侵檢測、PKI、VPN等特點(diǎn)：涉及與信息系統(tǒng)相關(guān)的各類要素。10/11/20228現(xiàn)階段——信息安全保障重點(diǎn)需要保護(hù)信息，確保信息在產(chǎn)生、存儲現(xiàn)階段——信息安全保障提出了“信息安全保障”的概念和要求，是一種立體的保障10/11/20229現(xiàn)階段——信息安全保障提出了“信息安全保障”的概念和要求，是信息安全的內(nèi)涵信息安全經(jīng)典模型（CIA模型）C保密性ConfidentialityI完整性IntegrityA可用性Availability10/11/202210信息安全的內(nèi)涵信息安全經(jīng)典模型（CIA模型）C保密性I完整性信息安全的內(nèi)涵保密性（C）保證沒有經(jīng)過授權(quán)的用戶、實(shí)體或進(jìn)程無法竊取信息泄密的表現(xiàn)形式組織信息給未授權(quán)的人獲取系統(tǒng)被未授權(quán)的人進(jìn)入個人信息被不相關(guān)的人獲知10/11/202211信息安全的內(nèi)涵保密性（C）10/10/202211信息安全的內(nèi)涵完整性（I）保證沒有經(jīng)過授權(quán)的用戶不能改變或者刪除信息，從而信息在傳送的過程中不會被偶然或故意破壞，保持信息的完整、統(tǒng)一保護(hù)信息及處理方法的準(zhǔn)確性和完備性；不因人為的因素改變原有的內(nèi)容，保證不被非法改動和銷毀。分成系統(tǒng)完整性數(shù)據(jù)完整性10/11/202212信息安全的內(nèi)涵完整性（I）10/10/202212信息安全的內(nèi)涵可用性（A）保證合法用戶的正常請求能及時、正確、安全地得到服務(wù)或回應(yīng),確保授權(quán)使用者需要時能夠訪問信息及相關(guān)資產(chǎn)當(dāng)授權(quán)用戶要求時，即可使用信息和相關(guān)資產(chǎn)不因系統(tǒng)故障或誤操作使資源丟失對響應(yīng)時間有一定要求，并且在局部故障下實(shí)現(xiàn)持續(xù)運(yùn)行分成系統(tǒng)通信可用性系統(tǒng)的可用性數(shù)據(jù)的可用性10/11/202213信息安全的內(nèi)涵可用性（A）10/10/202213信息安全的內(nèi)涵隨著信息技術(shù)、安全技術(shù)以及信息化應(yīng)用的不斷發(fā)展，信息安全的定義在某些領(lǐng)域已有所拓展，在原來三性的基礎(chǔ)上，增加了：可控性和不可否認(rèn)性可控性：對信息和信息系統(tǒng)實(shí)施安全監(jiān)控管理，防止為非法者所用。規(guī)模較大的信息系統(tǒng)已建成或著手建設(shè)實(shí)現(xiàn)“大集中”安全管理方式的安全監(jiān)管中心不可否認(rèn)性：保證信息行為人不能否認(rèn)自己的行為，比較常見的應(yīng)用是：使用數(shù)字簽名實(shí)現(xiàn)交易操作的抗抵賴（不可否認(rèn)）10/11/202214信息安全的內(nèi)涵隨著信息技術(shù)、安全技術(shù)以及信息化應(yīng)用的不斷發(fā)展信息安全指保護(hù)信息和信息系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄露、中斷、修改和破壞，為信息和信息系統(tǒng)提供保密性、完整性、可用性、可控性和不可否認(rèn)性。信息安全保障是保證信息與信息系統(tǒng)的保密性、完整性、可用性、可控性和不可否認(rèn)性的信息安全保護(hù)和防御過程。它要求加強(qiáng)對信息和信息系統(tǒng)的保護(hù)，加強(qiáng)對信息安全事件和各種脆弱性的檢測，提高應(yīng)急反應(yīng)能力和系統(tǒng)恢復(fù)能力。信息安全保障體系是實(shí)施信息安全保障的法制、組織管理和技術(shù)等層面有機(jī)結(jié)合的整體，是信息社會國家安全的基本組成部分，是保證國家信息化順利進(jìn)行的基礎(chǔ)。幾個基本概念10/11/202215信息安全指保護(hù)信息和信息系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄露、信息系統(tǒng)安全保障體系的基本內(nèi)容10/11/202216信息系統(tǒng)安全保障體系的基本內(nèi)容10/10/202216

信息安全保障中的幾個概念信息技術(shù)系統(tǒng)： 作為信息系統(tǒng)一部分的執(zhí)行組織機(jī)構(gòu)信息功能的用于采集、創(chuàng)建、通信、計(jì)算、分發(fā)、處理、存儲和/或控制數(shù)據(jù)或信息的計(jì)算機(jī)硬件、軟件和/或固件的任何組合。信息系統(tǒng)信息系統(tǒng)用于采集、處理、存儲、傳輸、分發(fā)和部署信息的整個基礎(chǔ)設(shè)施、組織結(jié)構(gòu)、人員和組件的總和。信息系統(tǒng)是在信息技術(shù)系統(tǒng)的基礎(chǔ)上，綜合考慮了人員、管理等系統(tǒng)綜合運(yùn)行環(huán)境的一個整體。10/11/202217信息安全保障中的幾個概念信息技術(shù)系統(tǒng)：10/10/2022信息安全保障的含義信息安全保障的對象：

整個信息系統(tǒng)！10/11/202218信息安全保障的含義信息安全保障的對象：10/10/20221信息系統(tǒng)安全保障模型Pt代表防護(hù)時間；或者理解為入侵者攻擊安全目標(biāo)所花費(fèi)的時間。Dt代表從入侵者開始發(fā)動入侵開始，系統(tǒng)能夠檢測到入侵行為所花費(fèi)的時間。Rt代表從發(fā)現(xiàn)入侵行為開始，系統(tǒng)能夠做出足夠的響應(yīng)。公式：Pt>Dt+Rt。重點(diǎn)：防護(hù)時間大于檢測時間加上響應(yīng)時間，那么系統(tǒng)是安全的。P2DR模型10/11/202219信息系統(tǒng)安全保障模型Pt代表防護(hù)時間；或者理解為入侵者攻擊安信息系統(tǒng)安全保障模型實(shí)時監(jiān)測安全策略安全防護(hù)應(yīng)急響應(yīng)災(zāi)難恢復(fù)風(fēng)險評估P2DR3模型10/11/202220信息系統(tǒng)安全保障模型實(shí)時監(jiān)測安全策略安全防護(hù)應(yīng)急響應(yīng)災(zāi)難恢復(fù)信息系統(tǒng)安全保障模型要素之一安全策略根據(jù)風(fēng)險評估的結(jié)果來設(shè)計(jì)系統(tǒng)安全的整體保障方案按照等級保護(hù)的要求，確定系統(tǒng)的防護(hù)等級根據(jù)信息安全保障強(qiáng)度，合理劃分網(wǎng)絡(luò)與系統(tǒng)中不同的信息安全域按照分級、分域、分層的思想確定相應(yīng)的防護(hù)措施10/11/202221信息系統(tǒng)安全保障模型要素之一安全策略10/10/202221安全策略的重要性

ISO9000質(zhì)量管理ISO27000安全管理10/11/202222安全策略的重要性ISO9000質(zhì)量管理安全策略各種細(xì)化的安全策略1、身份鑒別策略 5、安全管理策略2、訪問控制策略 6、安全傳輸策略3、數(shù)據(jù)加密策略 7、備份恢復(fù)策略4、安全審計(jì)策略 等等。。。10/11/202223安全策略各種細(xì)化的安全策略10/10/202223信息系統(tǒng)安全保障模型要素之二安全防護(hù)在統(tǒng)一的安全策略的指導(dǎo)下，進(jìn)行有針對性的防護(hù)：使用網(wǎng)閘進(jìn)行物理隔離使用防火墻對外部進(jìn)行訪問控制使用入侵檢測分析網(wǎng)內(nèi)的數(shù)據(jù)包使用安全審計(jì)監(jiān)控記錄用戶的行為操作采用認(rèn)證技術(shù)對用戶進(jìn)行身份鑒別（PKI）部署防病毒軟件來防范惡意代碼的傳播使用漏洞掃描技術(shù)對系統(tǒng)進(jìn)行安全加固使用防水墻防止內(nèi)部信息的泄漏采用防篡改軟件保障網(wǎng)頁安全采用容錯軟件來保障系統(tǒng)的高可用性10/11/202224信息系統(tǒng)安全保障模型要素之二安全防護(hù)10/10/202224防火墻防火墻技術(shù)的基本功能控制信息的出入保護(hù)內(nèi)部網(wǎng)絡(luò)免遭某些基于路由的攻擊對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)防止內(nèi)部網(wǎng)絡(luò)信息的泄漏防火墻技術(shù)的其他功能強(qiáng)化網(wǎng)絡(luò)安全策略隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)細(xì)節(jié)保密通信功能10/11/202225防火墻防火墻技術(shù)的基本功能10/10/202225身份鑒別身份驗(yàn)證（Identification）是用戶向系統(tǒng)出示自己身份證明的過程?？诹钫J(rèn)證、數(shù)字證書認(rèn)證是比較普遍采用的身份驗(yàn)證方式提供的內(nèi)容：你有什么？你知道什么？你是什么？一是只有該主體了解的秘密，如口令、密鑰二是主體攜帶的物品，如智能卡和令牌卡三是只有該主體具有的獨(dú)一無二的特征或能力，如指紋、聲音、視網(wǎng)膜或簽字等鑒別的方式：口令、數(shù)字證書、Keberos、動態(tài)密碼10/11/202226身份鑒別身份驗(yàn)證（Identification）是用戶向系統(tǒng)身份鑒別兩種高安全強(qiáng)度的鑒別機(jī)制智能卡：訪問不但需要口令，也需要使用物理智能卡。在允許其進(jìn)入系統(tǒng)之前檢查是否允許其訪問系統(tǒng)智能卡大小形如信用卡，一般由微處理器、存儲器及輸入、輸出設(shè)施構(gòu)成。微處理器可計(jì)算該卡的一個唯一數(shù)（ID）和其它數(shù)據(jù)的加密形式為防止智能卡遺失或被竊，許多系統(tǒng)需要卡和身份識別碼（PIN）同時使用生物特征鑒別：利用個人特征進(jìn)行鑒別，具有很高的安全性。目前已有的設(shè)備包括：視網(wǎng)膜掃描儀、聲音驗(yàn)證設(shè)備、手型識別器10/11/202227身份鑒別兩種高安全強(qiáng)度的鑒別機(jī)制10/10/202227安全審計(jì)根據(jù)審計(jì)對象，安全審計(jì)可以分成三個層次網(wǎng)絡(luò)層安全審計(jì)系統(tǒng)安全審計(jì)信息內(nèi)容安全審計(jì)，屬高層審計(jì)安全審計(jì)的主要功能通過事后的安全審計(jì)來檢測和調(diào)查安全策略執(zhí)行的情況以及安全遭到破壞的情況監(jiān)督可疑用戶，取消可疑用戶的權(quán)限，調(diào)用更強(qiáng)的保護(hù)機(jī)制，去掉或修復(fù)故障網(wǎng)絡(luò)以及系統(tǒng)的某個或某些失效部件10/11/202228安全審計(jì)根據(jù)審計(jì)對象，安全審計(jì)可以分成三個層次10/10/2安全審計(jì)網(wǎng)絡(luò)的安全審計(jì)在網(wǎng)絡(luò)的邊界設(shè)置信息審計(jì)系統(tǒng)，通過對進(jìn)出網(wǎng)絡(luò)通信內(nèi)容的還原、備份與審計(jì)，可在一定程度上防止網(wǎng)內(nèi)機(jī)密信息的流出和網(wǎng)外不良信息的流入，并為網(wǎng)上泄密事件的追查提供有力的技術(shù)手段同時根據(jù)系統(tǒng)設(shè)定的規(guī)則，對違規(guī)行為進(jìn)行智能分析和判斷并對其采取相應(yīng)的動作例如：防火墻、入侵檢測的審計(jì)功能。10/11/202229安全審計(jì)網(wǎng)絡(luò)的安全審計(jì)10/10/202229安全審計(jì)系統(tǒng)的安全審計(jì)：主要是利用各種操作系統(tǒng)和應(yīng)用軟件系統(tǒng)的審計(jì)功能實(shí)現(xiàn)。包括用戶訪問時間操作記錄系統(tǒng)運(yùn)行信息資源占用系統(tǒng)事件10/11/202230安全審計(jì)系統(tǒng)的安全審計(jì)：主要是利用各種操作系統(tǒng)和應(yīng)用軟件系統(tǒng)安全審計(jì)內(nèi)容的安全審計(jì)通過定義的審計(jì)規(guī)則，如關(guān)鍵字、語句等，對信息的內(nèi)容進(jìn)行審核根據(jù)審計(jì)規(guī)則，監(jiān)視、記錄或阻斷通信的內(nèi)容如郵件審查，對所有郵件及附件內(nèi)容進(jìn)行控制。10/11/202231安全審計(jì)內(nèi)容的安全審計(jì)10/10/202231PKI公共密鑰體系公共密鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure）是應(yīng)用公鑰概念和公鑰密碼技術(shù)提供信息安全及信任服務(wù)的基礎(chǔ)設(shè)施利用PKI/CA可以實(shí)現(xiàn)加密傳輸數(shù)字認(rèn)證數(shù)字簽名抗抵賴基于非對稱算法10/11/202232PKI公共密鑰體系公共密鑰基礎(chǔ)設(shè)施（PublicKeyIPKI公共密鑰體系功能認(rèn)證（鑒別）我不認(rèn)識你！－－你是誰？我怎么相信你就是你？－－要是別人冒充你怎么辦授權(quán)我能干什么？－－我有什么權(quán)利？你能干這個，不能干那個。保密性我與你說話時，別人能不能偷聽？完整性收到的傳真不太清楚？傳送過程中別人篡改過沒有？抗抵賴我收到貨后，不想付款，想抵賴，怎么樣？我將錢寄給你后，你不給發(fā)貨，想抵賴，如何？10/11/202233PKI公共密鑰體系功能10/10/202233PKI公共密鑰體系數(shù)字證書：用戶身份的表征數(shù)字證書：內(nèi)容包括用戶的公鑰，用戶姓名及用戶的其他信息數(shù)字證書解決了公鑰發(fā)放問題，公鑰的擁有者是身份的象征，對方可以據(jù)此驗(yàn)證身份CA中心對含有公鑰的證書進(jìn)行數(shù)字簽名，使證書無法偽造10/11/202234PKI公共密鑰體系數(shù)字證書：用戶身份的表征10/10/202PKI公共密鑰體系驗(yàn)證數(shù)字證書的合法性證書目錄服務(wù)B的證書有效性檢查數(shù)字簽名驗(yàn)證10/11/202235PKI公共密鑰體系驗(yàn)證數(shù)字證書的合法性證書目錄服務(wù)B的證書有防病毒計(jì)算機(jī)病毒：編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼計(jì)算機(jī)病毒的特點(diǎn)影響面廣、危害大。病毒產(chǎn)生速度快（已經(jīng)出現(xiàn)病毒制造機(jī)）數(shù)量巨大（已經(jīng)達(dá)到數(shù)萬種）傳播速度快（通過Internet）技術(shù)手段越來越先進(jìn)10/11/202236防病毒計(jì)算機(jī)病毒：編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能漏洞掃描漏洞掃描，就是對重要網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中可能被攻擊者利用的漏洞。系統(tǒng)安全漏洞掃描是一種事先檢查型安全工具掃描設(shè)定網(wǎng)絡(luò)內(nèi)的服務(wù)器、路由器、交換機(jī)、防火墻等安全設(shè)備的漏洞，并可設(shè)定模擬攻擊，以測試系統(tǒng)的防御能力從操作系統(tǒng)的角度監(jiān)視專用主機(jī)的整個安全性。如password文件，目錄和文件權(quán)限，共享文件系統(tǒng)，敏感服務(wù)，軟件，系統(tǒng)漏洞等10/11/202237漏洞掃描漏洞掃描，就是對重要網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中可信息系統(tǒng)安全保障模型要素之三實(shí)時監(jiān)測安全防護(hù)無法百分之百有效網(wǎng)絡(luò)與信息系統(tǒng)架構(gòu)和應(yīng)用不斷變化新的技術(shù)和威脅不斷出現(xiàn)實(shí)時監(jiān)測和及時整改才能保障防護(hù)措施的長期有效眾多“點(diǎn)”上的實(shí)時監(jiān)測信息為“面”上的預(yù)警提供信息渠道10/11/202238信息系統(tǒng)安全保障模型要素之三實(shí)時監(jiān)測10/10/202238入侵檢測IDS（IntrusionDetectionSystem）就是入侵檢測系統(tǒng)，它通過抓取網(wǎng)絡(luò)上的所有報文，分析處理后，報告異常和重要的數(shù)據(jù)模式和行為模式，使網(wǎng)絡(luò)安全管理員清楚地了解網(wǎng)絡(luò)上發(fā)生的事件，并能夠采取行動阻止可能的破壞入侵檢測的功能監(jiān)視、分析用戶和系統(tǒng)的行為識別攻擊行為對異常行為進(jìn)行統(tǒng)計(jì)進(jìn)行審計(jì)跟蹤、識別違反安全法規(guī)的行為監(jiān)視、審計(jì)、評估系統(tǒng)10/11/202239入侵檢測IDS（IntrusionDetection入侵檢測入侵檢測系統(tǒng)基本組成Sensor：收集系統(tǒng)中表示可能導(dǎo)致資源誤用、不正當(dāng)訪問和惡意活動的信息,如如抓獲網(wǎng)絡(luò)中的所有數(shù)據(jù)包Scanner：收集系統(tǒng)的靜態(tài)配置信息中可能包括的惡意代碼、訪問控制配置、服務(wù)配置、授權(quán)配置、帳號策略和已知脆弱性Analyzer：分析器接受傳感器和/掃描器收集的數(shù)據(jù)，進(jìn)行信息分析處理，導(dǎo)出有關(guān)潛在的、過去的或?qū)淼娜肭中袨樾畔?0/11/202240入侵檢測入侵檢測系統(tǒng)基本組成Sensor：Scanner：A信息系統(tǒng)安全保障模型要素之四應(yīng)急響應(yīng)一旦在實(shí)時監(jiān)測中發(fā)現(xiàn)重大問題要進(jìn)行應(yīng)急響應(yīng)及時啟動預(yù)案協(xié)調(diào)相關(guān)資源進(jìn)行有針對性地的響應(yīng)措施：如事件定性、故障或事件定位、及時隔離、阻斷、甚至對抗等必要時請求外部協(xié)助，如專業(yè)服務(wù)廠商、信息安全測評中心、計(jì)算機(jī)病毒防范服務(wù)中心、9682000熱線等第三方服務(wù)機(jī)構(gòu)直至啟用備份系統(tǒng)10/11/202241信息系統(tǒng)安全保障模型要素之四應(yīng)急響應(yīng)10/10/202241信息系統(tǒng)安全保障模型要素之五災(zāi)難恢復(fù)信息安全保障閉環(huán)的最后一道閘門實(shí)在不行了啟用備份數(shù)據(jù)或備用系統(tǒng)各單位要建立多層次立體的災(zāi)難恢復(fù)體系根據(jù)系統(tǒng)的重要程度、系統(tǒng)中斷的容忍時間和費(fèi)效比選取恰當(dāng)?shù)臑?zāi)難恢復(fù)等級在消除單點(diǎn)故障和保障高可用性的基礎(chǔ)上，配置數(shù)據(jù)恢復(fù)手段，并進(jìn)行異地的災(zāi)難備份根據(jù)系統(tǒng)的災(zāi)難恢復(fù)級別要求，選取市里提供的介質(zhì)異地存放、數(shù)據(jù)備份、應(yīng)用備份等服務(wù)方式系統(tǒng)恢復(fù)后應(yīng)及時對系統(tǒng)實(shí)施風(fēng)險評估10/11/202242信息系統(tǒng)安全保障模型要素之五災(zāi)難恢復(fù)10/10/202242信息系統(tǒng)安全保障模型要素之六風(fēng)險評估：資產(chǎn)+威脅+弱點(diǎn)=風(fēng)險資產(chǎn)：確定重要資產(chǎn)-CIA三性取向威脅：發(fā)生可能性、可能后果弱點(diǎn)：利用難度、可能后果10/11/202243信息系統(tǒng)安全保障模型要素之六10/10/202243等級保護(hù)基本知識介紹10/11/202244等級保護(hù)基本知識介紹10/10/202244等級保護(hù)有關(guān)背景情況介紹等級保護(hù)的政策依據(jù)等級保護(hù)的關(guān)鍵環(huán)節(jié)（流程）等級保護(hù)的現(xiàn)實(shí)意義等級保護(hù)的相關(guān)標(biāo)準(zhǔn)《基本要求》核心思想解讀10/11/202245等級保護(hù)有關(guān)背景情況介紹等級保護(hù)的政策依據(jù)10/10/202等級保護(hù)政策依據(jù)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號）公安部、國家保密局、國家密碼管理委員會辦公室、國務(wù)院信息化工作辦公室聯(lián)合下發(fā)的《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》（公通字[2004]66號）公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室聯(lián)合下發(fā)的《信息安全等級保護(hù)管理辦法》（試行）（公通字[2006]7號）《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》（公信安[2007]861號）關(guān)于印發(fā)《信息安全等級保護(hù)管理辦法》的通知（公通字[2007]43號）10/11/202246等級保護(hù)政策依據(jù)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作等級保護(hù)政策依據(jù)中辦發(fā)[2003]27號文明確指出“實(shí)行信息安全等級保護(hù)”?！耙攸c(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護(hù)制度，制定信息安全等級保護(hù)的管理辦法和技術(shù)指南”。10/11/202247等級保護(hù)政策依據(jù)中辦發(fā)[2003]27號文10/10/202等級保護(hù)政策依據(jù)公通字[2004]66號文進(jìn)一步明確了信息安全等級保護(hù)制度的基本內(nèi)容：一是根據(jù)信息和信息系統(tǒng)在國家安全、社會秩序、公共利益、社會生活中的重要程度；遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度；針對信息的保密性、完整性和可用性要求及信息系統(tǒng)必須要達(dá)到的基本的安全保護(hù)水平等因素，確定信息和信息系統(tǒng)的安全保護(hù)等級，共分五級。二是國家通過制定統(tǒng)一的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織行政機(jī)關(guān)、公民、法人和其他組織根據(jù)信息和信息系統(tǒng)的不同重要程度開展有針對性的保護(hù)工作。國家對不同安全保護(hù)級別的信息和信息系統(tǒng)實(shí)行不同強(qiáng)度的監(jiān)管政策。三是國家對信息安全產(chǎn)品的使用實(shí)行分等級管理。四是信息安全事件實(shí)行分等級響應(yīng)、處置的制度。10/11/202248等級保護(hù)政策依據(jù)公通字[2004]66號文10/10/202等級保護(hù)政策依據(jù)公通字[2006]7號文明確了信息安全等級保護(hù)的具體要求。為推廣和實(shí)施信息安全等級保護(hù)提供法律保障。公信安[2007]861號標(biāo)志著等級保護(hù)工作正式推向?qū)嵤╇A段。10/11/202249等級保護(hù)政策依據(jù)公通字[2006]7號文10/10/2022等級保護(hù)政策依據(jù)公通字[2007]43號文2007.6.22明確主管單位：公安機(jī)關(guān)負(fù)責(zé)信息安全等級保護(hù)工作的監(jiān)督、檢查、指導(dǎo)。國家保密部門負(fù)責(zé)等保中保密工作的監(jiān)督、檢查、指導(dǎo)。國家密碼管理部門負(fù)責(zé)等保中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。確定5個等級，但去掉了[20067號文]“自主保護(hù)”、“指導(dǎo)保護(hù)”、“監(jiān)督保護(hù)”等稱為。10/11/202250等級保護(hù)政策依據(jù)公通字[2007]43號文2007.6.2等級保護(hù)政策依據(jù)公通字[2007]43號文五個等級的基本情況第一級：運(yùn)營、使用單位根據(jù)國家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)自主防護(hù)。第二級：運(yùn)營、使用單位根據(jù)國家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)自主防護(hù)。國家有關(guān)部門進(jìn)行指導(dǎo)。第三級：自主防護(hù)。國家有關(guān)部門進(jìn)行監(jiān)督、檢查。第四級：運(yùn)營、使用單位根據(jù)國家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行保護(hù)，國家有關(guān)部門進(jìn)行強(qiáng)制監(jiān)督、檢查。第五級：（略）。10/11/202251等級保護(hù)政策依據(jù)公通字[2007]43號文10/10/202等級保護(hù)政策依據(jù)公通字[2007]43號文測評周期要求第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評；第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級測評；第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級測評。自查周期要求第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查；第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查；第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行自查。根據(jù)測評、自查情況制定整改方案并實(shí)施。10/11/202252等級保護(hù)政策依據(jù)公通字[2007]43號文10/10/202等級保護(hù)政策依據(jù)公通字[2007]43號文檢查周期要求受理備案的公安機(jī)關(guān)應(yīng)當(dāng)對第三級、第四級信息系統(tǒng)的運(yùn)營、使用單位的信息安全等級保護(hù)工作情況進(jìn)行檢查。對第三級信息系統(tǒng)每年至少檢查一次；對第四級信息系統(tǒng)每半年至少檢查一次。對第五級信息系統(tǒng)，應(yīng)當(dāng)由國家指定的專門部門進(jìn)行檢查。10/11/202253等級保護(hù)政策依據(jù)公通字[2007]43號文10/10/202等級保護(hù)政策依據(jù)公通字[2007]43號文等級保護(hù)的檢查內(nèi)容（一）信息系統(tǒng)安全需求是否發(fā)生變化，原定保護(hù)等級是否準(zhǔn)確；（二）運(yùn)營、使用單位安全管理制度、措施的落實(shí)情況；（三）運(yùn)營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查情況；（四）系統(tǒng)安全等級測評是否符合要求；（五）信息安全產(chǎn)品使用是否符合要求；（六）信息系統(tǒng)安全整改情況；（七）備案材料與運(yùn)營、使用單位、信息系統(tǒng)的符合情況；（八）其他應(yīng)當(dāng)進(jìn)行監(jiān)督檢查的事項(xiàng)。10/11/202254等級保護(hù)政策依據(jù)公通字[2007]43號文10/10/202等級保護(hù)政策依據(jù)公通字[2007]43號文第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的信息安全產(chǎn)品：（一）產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民共和國境內(nèi)具有獨(dú)立的法人資格；（二）產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán)；（三）產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；（四）產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能；（五）對國家安全、社會秩序、公共利益不構(gòu)成危害；（六）對已列入信息安全產(chǎn)品認(rèn)證目錄的，應(yīng)當(dāng)取得國家信息安全產(chǎn)品認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證證書。10/11/202255等級保護(hù)政策依據(jù)公通字[2007]43號文10/10/202等級保護(hù)政策依據(jù)公通字[2007]43號文第三級以上信息系統(tǒng)的安全測評機(jī)構(gòu)應(yīng)具備的條件：（一）在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）；（二）由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）；（三）從事相關(guān)檢測評估工作兩年以上，無違法記錄；（四）工作人員僅限于中國公民；（五）法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；（六）使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合本辦法對信息安全產(chǎn)品的要求；（七）具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度；（八）對國家安全、社會秩序、公共利益不構(gòu)成威脅。10/11/202256等級保護(hù)政策依據(jù)公通字[2007]43號文10/10/202等級保護(hù)政策依據(jù)公通字[2007]43號文其他：（一）涉密系統(tǒng)根據(jù)BMB17建設(shè)，根據(jù)BMB22測評；（二）秘密、機(jī)密、絕密對應(yīng)第三、四、五等級。（三）密碼管理根據(jù)《商用秘密管理?xiàng)l例》執(zhí)行。10/11/202257等級保護(hù)政策依據(jù)公通字[2007]43號文10/10/202等級保護(hù)工作的主要流程一是定級。二是備案（二級以上信息系統(tǒng)）。三是系統(tǒng)建設(shè)、整改（按條件選擇產(chǎn)品）。四是開展等級測評（按條件選擇測評機(jī)構(gòu)）。五是信息安全監(jiān)管部門定期開展監(jiān)督檢查。10/11/202258等級保護(hù)工作的主要流程一是定級。10/10/202258等級保護(hù)現(xiàn)實(shí)意義確保重點(diǎn)：需要通過國家政策、制度來保障有關(guān)國計(jì)民生、大型活動（如奧運(yùn)、世博）信息系統(tǒng)的安全。適度防護(hù)：由于資金投入、人力資源是有限的，因此要根據(jù)不同等級的安全需求進(jìn)行安全建設(shè)與管理，避免過度投入造成的浪費(fèi)。普及經(jīng)驗(yàn)：信息安全工作到底怎樣做，多數(shù)單位缺乏辦法、經(jīng)驗(yàn)、底數(shù)。因此，等級保護(hù)吸取了我國多年信息安全技術(shù)、管理成敗經(jīng)驗(yàn)教訓(xùn)，科學(xué)的規(guī)范了信息安全工作的開展。10/11/202259等級保護(hù)現(xiàn)實(shí)意義確保重點(diǎn)：需要通過國家政策、制度來保障有關(guān)國等級保護(hù)相關(guān)標(biāo)準(zhǔn)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859-1999）《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-2006）《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》GB/T20271-2006）《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）《信息安全等級保護(hù)基本要求》（GB/T22239-2008）《信息安全等級保護(hù)定級指南》（GB/T22240-2008）《信息安全等級保護(hù)測評要求》（送審稿）《信息安全技術(shù)信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求》（征求意見）10/11/202260等級保護(hù)相關(guān)標(biāo)準(zhǔn)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB等級保護(hù)核心標(biāo)準(zhǔn)關(guān)系的說明系統(tǒng)建設(shè)：《信息系統(tǒng)安全等級保護(hù)定級指南》確定出系統(tǒng)等級以及業(yè)務(wù)信息安全性等級和系統(tǒng)服務(wù)安全等級后，需要按照相應(yīng)等級，根據(jù)《信息安全等級保護(hù)基本要求》選擇相應(yīng)等級的安全保護(hù)要求進(jìn)行系統(tǒng)建設(shè)實(shí)施。系統(tǒng)測評：《信息系統(tǒng)安全等級保護(hù)測評要求》是針對《信息安全等級保護(hù)基本要求》的具體控制要求開發(fā)的測評要求，旨在強(qiáng)調(diào)系統(tǒng)按照《信息安全等級保護(hù)基本要求》進(jìn)行建設(shè)完畢后，檢驗(yàn)系統(tǒng)的各項(xiàng)保護(hù)要求是否符合相應(yīng)等級的基本要求。由上可見，《信息安全等級保護(hù)基本要求》在整個標(biāo)準(zhǔn)體系中起著承上啟下的作用。相關(guān)技術(shù)要求可以作為《信息安全等級保護(hù)基本要求》的補(bǔ)充和詳細(xì)指導(dǎo)標(biāo)準(zhǔn)。10/11/202261等級保護(hù)核心標(biāo)準(zhǔn)關(guān)系的說明系統(tǒng)建設(shè)：《信息系統(tǒng)安全等級保護(hù)定《基本要求》的主要思想及作用

信息系統(tǒng)的定級10/11/202262《基本要求》的主要思想及作用

信息系統(tǒng)的定級10/10/20各級系統(tǒng)的保護(hù)要求差異一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)防護(hù)防護(hù)/監(jiān)測策略/防護(hù)/監(jiān)測/恢復(fù)策略/防護(hù)/監(jiān)測/恢復(fù)/響應(yīng)10/11/202263各級系統(tǒng)的保護(hù)要求差異一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)防護(hù)防各級系統(tǒng)的保護(hù)要求差異一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)通信/邊界（基本）通信/邊界/內(nèi)部（關(guān)鍵設(shè)備）通信/邊界/內(nèi)部（主要設(shè)備）通信/邊界/內(nèi)部/基礎(chǔ)設(shè)施（所有設(shè)備）10/11/202264各級系統(tǒng)的保護(hù)要求差異一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)通信/各級系統(tǒng)的保護(hù)要求差異一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)計(jì)劃和跟蹤（主要制度）計(jì)劃和跟蹤（主要制度）良好定義（管理活動制度化）持續(xù)改進(jìn)（管理活動制度化/及時改進(jìn)）10/11/202265各級系統(tǒng)的保護(hù)要求差異一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)計(jì)劃和構(gòu)建系統(tǒng)模型_技術(shù)模型10/11/202266構(gòu)建系統(tǒng)模型_技術(shù)模型10/10/202266構(gòu)建系統(tǒng)模型_管理模型10/11/202267構(gòu)建系統(tǒng)模型_管理模型10/10/20226710/11/202268目錄一、信息安全基礎(chǔ)知識二、證券行業(yè)面臨的安全威脅

三、公司安全防護(hù)體系四、公司信息安全標(biāo)準(zhǔn)10/10/202268目錄一、信息安全基礎(chǔ)知識二證券行業(yè)面臨的安全威脅證券盜買盜賣蠕蟲、病毒和木馬惡意攻擊DDoSSQL注入域名攻擊跨站腳本釣魚網(wǎng)站，網(wǎng)絡(luò)欺詐……10/11/202269違背公司安全策略非法外聯(lián)和內(nèi)聯(lián)安裝盜版軟件未授權(quán)訪問卸載指定殺毒軟件訪問掛馬網(wǎng)站口令明文傳輸……源程序包含惡意代碼和后門數(shù)據(jù)無完整性保護(hù)文件傳輸和保存不能抗抵賴……二證券行業(yè)面臨的安全威脅證券盜買盜賣10/10/2022610/11/202270目錄一、信息安全基礎(chǔ)知識二、證券行業(yè)面臨的安全威脅

三、公司安全防護(hù)體系四、公司信息安全標(biāo)準(zhǔn)10/10/202270目錄一、信息安全基礎(chǔ)知識10/11/202271原因建設(shè)安全體系的必要性和迫切性證券行業(yè)信息安全工作是國家信息安全戰(zhàn)略的一個重要組成部分監(jiān)管部門已將業(yè)務(wù)資格、分類評價和證券公司信息安全水平已形成掛鉤聯(lián)動機(jī)制互聯(lián)網(wǎng)安全威脅增加，攻擊技術(shù)不斷更新，金融網(wǎng)絡(luò)犯罪呈團(tuán)伙化的趨勢公司業(yè)務(wù)規(guī)模擴(kuò)大，系統(tǒng)持續(xù)擴(kuò)容，創(chuàng)新業(yè)務(wù)不斷推出，現(xiàn)有安全防護(hù)體系力不從心公司信息化程度不斷提高，業(yè)務(wù)部門高度依賴信息技術(shù)，遵循統(tǒng)一的信息安全標(biāo)準(zhǔn)是系統(tǒng)開發(fā)和運(yùn)維的需要信息安全專業(yè)人員占比較低，與其他券商有差距，不符合等保三級對專職安全管理員的要求10/11/20227110/10/202271原因建設(shè)安全體系的必要性和迫切性1010/11/202272目標(biāo)與原則安全防護(hù)體系建設(shè)目標(biāo)在保證公司信息系統(tǒng)符合國家有關(guān)部門和監(jiān)管部門要求的前提下，確保公司信息系統(tǒng)可以在3-5年內(nèi)可以抵御黑客、病毒、惡意代碼等各種形式對系統(tǒng)發(fā)起的惡意破壞，特別是能夠?qū)勾笮偷?、有組織的團(tuán)體發(fā)起的惡意攻擊，并在威脅發(fā)生后的短時間內(nèi)恢復(fù)絕大部分功能，保障公司業(yè)務(wù)的正常平穩(wěn)運(yùn)行。安全防護(hù)體系建設(shè)原則積極防御，綜合防范立足實(shí)際，適度安全安全防護(hù)體系建設(shè)思路行業(yè)監(jiān)管要求等級保護(hù)策略10/11/20227210/10/202272目標(biāo)與原則安全防護(hù)體系建設(shè)目標(biāo)10/10/11/202273安全防護(hù)體系建設(shè)框架–

要素安全防護(hù)體系四要素安全專項(xiàng)資金安全專業(yè)隊(duì)伍安全管理制度安全技術(shù)體系10/11/20227310/10/202273安全防護(hù)體系建設(shè)框架–要素安全防安全防護(hù)體系建設(shè)內(nèi)容–組織架構(gòu)安全管理領(lǐng)導(dǎo)機(jī)構(gòu)信息安全領(lǐng)導(dǎo)小組組長：馮國榮；副組長：杜平；成員：李靜、顧百儉、姜建勤、張磊、陳躍華、談偉軍、郭怡峰安全管理執(zhí)行機(jī)構(gòu)信息安全辦公室主任：郭怡峰；副主任：周姍、陸中兵成員：沈永剛、陸儉、于敬兢、鄭煒、邵斌、崔石、李海文、施華安全防護(hù)體系建設(shè)內(nèi)容–組織架構(gòu)安全管理領(lǐng)導(dǎo)機(jī)構(gòu)10/11/202275安全防護(hù)體系建設(shè)內(nèi)容–安全技術(shù)

安全標(biāo)準(zhǔn)安全技術(shù)：物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)安全管理：人員、組織、制度、系統(tǒng)建設(shè)、系統(tǒng)運(yùn)維安全指標(biāo)體系量化公司信息系統(tǒng)現(xiàn)狀考核信息安全工作落實(shí)情況完善防范、監(jiān)控和應(yīng)急手段事前防范：漏洞掃描、安全測試、網(wǎng)關(guān)防毒等事中監(jiān)控：安全事件管理中心、入侵檢測、抗DDoS、安全審計(jì)等事后應(yīng)急：操作系統(tǒng)應(yīng)急預(yù)案、網(wǎng)絡(luò)攻擊應(yīng)急預(yù)案、防病毒應(yīng)急預(yù)案10/10/202275安全防護(hù)體系建設(shè)內(nèi)容–安全技術(shù) 10/11/202276安全防護(hù)體系建設(shè)內(nèi)容–安全管理信息安全標(biāo)準(zhǔn)（紅皮書）崗位安全職責(zé)詳細(xì)的操作流程簡潔清晰的報告路徑定期應(yīng)急演練系統(tǒng)建設(shè)過程審核系統(tǒng)運(yùn)維合規(guī)審核崗位考核和責(zé)任追究安全知識宣傳和培訓(xùn)安全指標(biāo)體系10/10/202276安全防護(hù)體系建設(shè)內(nèi)容–安全管理信息安全防護(hù)體系建設(shè)內(nèi)容–安全制度梳理后的制度框架《信息技術(shù)系統(tǒng)管理辦法》《電腦類項(xiàng)目管理實(shí)施細(xì)則》《電腦軟件管理實(shí)施細(xì)則》《電腦機(jī)房建設(shè)與運(yùn)行管理實(shí)施細(xì)則》《電腦設(shè)備管理實(shí)施細(xì)則》《電子數(shù)據(jù)管理實(shí)施細(xì)則》《網(wǎng)絡(luò)通訊管理實(shí)施細(xì)則》《信息技術(shù)系統(tǒng)安全管理實(shí)施細(xì)則》《技術(shù)應(yīng)急指揮分中心突發(fā)事件應(yīng)急處置預(yù)案》《互聯(lián)網(wǎng)域名規(guī)劃管理辦法》《營業(yè)部電腦人員管理辦法》《營業(yè)部電腦人員上崗證及日常考核管理辦法》《信托產(chǎn)品“交易系統(tǒng)接入”技術(shù)管理暫行辦法》《境外客戶FIX系統(tǒng)對接技術(shù)管理辦法》《滬港專線管理辦法》安全防護(hù)體系建設(shè)內(nèi)容–安全制度梳理后的制度框架安全防護(hù)體系建設(shè)內(nèi)容–技術(shù)標(biāo)準(zhǔn)技術(shù)標(biāo)準(zhǔn)與操作規(guī)程《技術(shù)白皮書》《技術(shù)黃皮書》《技術(shù)紅皮書》《技術(shù)藍(lán)皮書》《技術(shù)綠皮書》安全防護(hù)體系建設(shè)內(nèi)容–技術(shù)標(biāo)準(zhǔn)技術(shù)標(biāo)準(zhǔn)與操作規(guī)程10/11/202279目錄一、信息安全基礎(chǔ)知識二、證券行業(yè)面臨的安全威脅

三、公司安全防護(hù)體系四、公司信息安全標(biāo)準(zhǔn)（紅皮書）10/10/202279目錄一、信息安全基礎(chǔ)知識主要內(nèi)容申銀萬國信息系統(tǒng)物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理10/11/202280主要內(nèi)容申銀萬國信息系統(tǒng)物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)不同級別系統(tǒng)控制點(diǎn)的差異安全要求類層面一級二級三級四級技術(shù)要求物理安全7101010網(wǎng)絡(luò)安全3677主機(jī)安全4679應(yīng)用安全47911數(shù)據(jù)安全及備份恢復(fù)2333管理要求安全管理制度2333安全管理機(jī)構(gòu)4555人員安全管理4555系統(tǒng)建設(shè)管理991111系統(tǒng)運(yùn)維管理9121313合計(jì)/48667377級差//187410/11/202281不同級別系統(tǒng)控制點(diǎn)的差異安全要求類層面一級二級三級四級技術(shù)要不同級別系統(tǒng)要求項(xiàng)的差異安全要求類層面一級二級三級四級技術(shù)要求物理安全9193233網(wǎng)絡(luò)安全9183332主機(jī)安全6193236應(yīng)用安全7193136數(shù)據(jù)安全及備份恢復(fù)24811管理要求安全管理制度371114安全管理機(jī)構(gòu)492020人員安全管理7111618系統(tǒng)建設(shè)管理20284548系統(tǒng)運(yùn)維管理18416270合計(jì)/85175290318級差//901152810/11/202282不同級別系統(tǒng)要求項(xiàng)的差異安全要求類層面一級二級三級四級技術(shù)要等級保護(hù)基本要求的具體介紹10/11/202283等級保護(hù)基本要求的具體介紹10/10/202283等級保護(hù)物理安全具體要求控制點(diǎn)一級二級三級四級物理位置的選擇***物理訪問控制****防盜竊和防破壞****防雷擊****防火****防水和防潮****防靜電***溫濕度控制****電力供應(yīng)****電磁防護(hù)***合計(jì)710101010/11/202284等級保護(hù)物理安全具體要求控制點(diǎn)一級二級三級四級物理位置的選擇www.shtec.等級保護(hù)物理安全具體要求（一）物理位置選擇機(jī)房防震、防風(fēng)和防雨應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。10/11/202285等級保護(hù)物理安全具體要求（一www.shtec.等級保護(hù)物理安全具體要求（二）物理訪問控制專人值守申請和審批劃分區(qū)域進(jìn)行管理配置電子門禁10/11/202286等級保護(hù)物理安全具體要求（二www.shtec.等級保護(hù)物理安全具體要求（三）防盜竊和防破壞設(shè)備或主要部件進(jìn)行固定設(shè)置標(biāo)記（不易去除）。通信線纜鋪設(shè)鋪設(shè)在地下或管道中防盜報警10/11/202287等級保護(hù)物理安全具體要求（三www.shtec.等級保護(hù)物理安全具體要求（四）防雷擊設(shè)置避雷裝置；防雷保安器，防止感應(yīng)雷；設(shè)置交流電源地線。10/11/202288等級保護(hù)物理安全具體要求（四www.shtec.等級保護(hù)物理安全具體要求（五）防火火災(zāi)自動消防系統(tǒng)；采用耐火建筑材料；區(qū)域隔離防火措施.10/11/202289等級保護(hù)物理安全具體要求（五www.shtec.等級保護(hù)物理安全具體要求（六）防水和防潮水管不穿過機(jī)房屋頂和活動地板下；防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透；防止機(jī)房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透；對機(jī)房進(jìn)行防水檢測和報警。10/11/202290等級保護(hù)物理安全具體要求（六www.shtec.等級保護(hù)物理安全具體要求（七）防靜電防靜電地板。10/11/202291等級保護(hù)物理安全具體要求（七www.shtec.等級保護(hù)物理安全具體要求（八）溫濕度控制應(yīng)設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)（大型的精密空調(diào)）10/11/202292等級保護(hù)物理安全具體要求（八www.shtec.等級保護(hù)物理安全具體要求（九）電力供應(yīng)供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備；提供短期的備用電力供應(yīng)（UPS設(shè)備）；設(shè)置并行電力線路為計(jì)算機(jī)系統(tǒng)供電（2路供電）；應(yīng)建立備用供電系統(tǒng)（發(fā)電機(jī)）。10/11/202293等級保護(hù)物理安全具體要求（九www.shtec.等級保護(hù)物理安全具體要求（十）電磁防護(hù)電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾；對關(guān)鍵設(shè)備（泄露）和磁介質(zhì)（損壞）實(shí)施電磁屏蔽。10/11/202294等級保護(hù)物理安全具體要求（十www.shtec.等級保護(hù)網(wǎng)絡(luò)安全具體要求控制點(diǎn)一級二級三級四級結(jié)構(gòu)安全****訪問控制****安全審計(jì)***邊界完整性檢查***入侵防范***惡意代碼防范**網(wǎng)絡(luò)設(shè)備防護(hù)****合計(jì)367710/11/202295等級保護(hù)網(wǎng)絡(luò)安全具體要求控制等級保護(hù)網(wǎng)絡(luò)安全具體要求（一）結(jié)構(gòu)安全主要網(wǎng)絡(luò)設(shè)備處理能力具備冗余空間（CPU；MEM；I/O）；網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要；安全訪問路徑（可控路由；靜態(tài)路由）；網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖(與當(dāng)前運(yùn)行情況相符)；劃分子網(wǎng)或網(wǎng)段；重要網(wǎng)段與其他網(wǎng)段之間技術(shù)隔離；確定服務(wù)重要次序指定帶寬分配優(yōu)先級別。（很難，除非協(xié)議不同）10/11/202296等級保護(hù)網(wǎng)絡(luò)安全具體要求（一）結(jié)構(gòu)安全10/10/20229www.shtec.等級保護(hù)網(wǎng)絡(luò)安全具體要求（二）訪問控制邊界部署訪問控制設(shè)備（FW）數(shù)據(jù)流控制粒度為端口級；實(shí)現(xiàn)命令級（ftp、telnet）的控制；會話終止（非活躍一定時間）；限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙（MAC地址邦定）；限制具有撥號訪問權(quán)限的用戶數(shù)量10/11/202297等級保護(hù)網(wǎng)絡(luò)安全具體要求（二www.shtec.等級保護(hù)網(wǎng)絡(luò)安全具體要求（三）安全審計(jì)記錄網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；記錄應(yīng)包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報表；審計(jì)記錄保護(hù)，避免刪除、修改或覆蓋等10/11/202298等級保護(hù)網(wǎng)絡(luò)安全具體要求（三www.shtec.等級保護(hù)網(wǎng)絡(luò)安全具體要求（四）邊界完整性檢查對非授權(quán)設(shè)備進(jìn)行有效阻斷；外聯(lián)監(jiān)控10/11/202299等級保護(hù)網(wǎng)絡(luò)安全具體要求（四www.shtec.等級保護(hù)網(wǎng)絡(luò)安全具體要求（五）入侵防范在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴(yán)重入侵事件時應(yīng)提供報警。10/11/2022100等級保護(hù)網(wǎng)絡(luò)安全具體要求（五www.shtec.等級保護(hù)網(wǎng)絡(luò)安全具體要求（六）惡意代碼防范在網(wǎng)絡(luò)邊界處對惡意代碼進(jìn)行檢測和清除；惡意代碼庫的升級和檢測系統(tǒng)的更新。10/11/2022101等級保護(hù)網(wǎng)絡(luò)安全具體要求（六www.shtec.等級保護(hù)網(wǎng)絡(luò)安全具體要求（七）網(wǎng)絡(luò)設(shè)備防護(hù)管理員登錄地址限制兩種或兩種以上組合的鑒別技術(shù)口令應(yīng)有復(fù)雜度要求并定期更換登錄失敗處理功能遠(yuǎn)程管理加密鑒別信息設(shè)備特權(quán)用戶的權(quán)限分離10/11/2022102等級保護(hù)網(wǎng)絡(luò)安全具體要求（七www.shtec.等級保護(hù)主機(jī)安全具體要求控制點(diǎn)一級二級三級四級身份鑒別****安全標(biāo)記*訪問控制****可信路徑*安全審計(jì)***剩余信息保護(hù)**入侵防范****惡意代碼防范****資源控制***合計(jì)467910/11/2022103等級保護(hù)主機(jī)安全具體要求控制www.shtec.等級保護(hù)主機(jī)安全具體要求（一）身份鑒別口令應(yīng)有復(fù)雜度要求并定期更換；登錄失敗處理遠(yuǎn)程管理時，加密鑒別信息用戶名具有唯一性（避免多人使用相同帳號）兩種或兩種以上組合的鑒別技術(shù)10/11/2022104等級保護(hù)主機(jī)安全具體要求（一www.shtec.等級保護(hù)主機(jī)安全具體要求（二）訪問控制角色分配，最小授權(quán)原則；特權(quán)用戶的權(quán)限分離（系統(tǒng)管理員、安全員、審計(jì)員）；重命名默認(rèn)帳戶，修改默認(rèn)口令；刪除多余的、過期的帳戶。設(shè)置敏感標(biāo)記10/11/2022105等級保護(hù)主機(jī)安全具體要求（二www.shtec.等級保護(hù)主機(jī)安全具體要求（三）安全審計(jì)范圍覆蓋到每個用戶；審計(jì)內(nèi)容包括重要用戶管理、登錄/登出、非授權(quán)訪問等安全相關(guān)事件；記錄包括日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等；根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報表；保護(hù)審計(jì)記錄，避免刪除、修改或覆蓋等。10/11/2022106等級保護(hù)主機(jī)安全具體要求（三www.shtec.等級保護(hù)主機(jī)安全具體要求（四）剩余信息保護(hù)鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除；系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。10/11/2022107等級保護(hù)主機(jī)安全具體要求（四www.shtec.等級保護(hù)主機(jī)安全具體要求（五）入侵防范檢測到對重要服務(wù)器進(jìn)行入侵的行為，記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴(yán)重入侵事件時提供報警；對重要程序的完整性進(jìn)行檢測，檢測+恢復(fù)措施；遵循最小安裝的原則+保持系統(tǒng)補(bǔ)丁及時得到更新。10/11/2022108等級保護(hù)主機(jī)安全具體要求（五www.shtec.等級保護(hù)主機(jī)安全具體要求（六）惡意代碼防范安裝防惡意代碼軟件+更新惡意代碼庫；與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫；統(tǒng)一管理（網(wǎng)絡(luò)版）。10/11/2022109等級保護(hù)主機(jī)安全具體要求（六www.shtec.等級保護(hù)主機(jī)安全具體要求（七）資源控制設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍操作超時鎖定；監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源限制單個用戶對系統(tǒng)資源的最大或最小使用限度；對系統(tǒng)的服務(wù)水平（CPU、內(nèi)存、硬盤、I/O）降低到預(yù)定最小值進(jìn)行檢測報警。10/11/2022110等級保護(hù)主機(jī)安全具體要求（七www.shtec.等級保護(hù)應(yīng)用安全具體要求控制點(diǎn)一級二級三級四級身份鑒別****安全標(biāo)記*訪問控制****可信路經(jīng)*安全審計(jì)***剩余信息保護(hù)**通信完整性****通信保密性***抗抵賴**軟件容錯****資源控制***合計(jì)4791110/11/2022111等級保護(hù)應(yīng)用安全具體要求控制www.shtec.等級保護(hù)應(yīng)用安全具體要求（一）身份鑒別采用兩種或兩種以上組合的鑒別技術(shù)身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出10/11/2022112等級保護(hù)應(yīng)用安全具體要求（一www.shtec.等級保護(hù)應(yīng)用安全具體要求（二）訪問控制訪問控制涵蓋主體、客體、操作限制默認(rèn)賬戶/角色的訪問權(quán)限最小授權(quán)，相互制約-系統(tǒng)管理員、系統(tǒng)安全員、系統(tǒng)審計(jì)員三權(quán)分立敏感標(biāo)記-介于自主訪問控制與強(qiáng)制訪問控制之間的控制要求10/11/2022113等級保護(hù)應(yīng)用安全具體要求（二www.shtec.等級保護(hù)應(yīng)用安全具體要求（三）安全審計(jì)審計(jì)涵蓋每個用戶，包括管理員等特權(quán)用戶審計(jì)功能不能單獨(dú)中斷審計(jì)日志不能單條刪除、修改審計(jì)日志可讀性強(qiáng)，便于分析統(tǒng)計(jì)10/11/2022114等級保護(hù)應(yīng)用安全具體要求（三www.shtec.等級保護(hù)應(yīng)用安全具體要求（四）剩余信息保護(hù)鑒別信息的存儲空間被釋放或再分配給其他用戶前得到完全清除，主要是存在硬盤、內(nèi)存（cookie等）文件、目錄和數(shù)據(jù)庫記錄等資源的存儲空間被釋放或重新分配給其他用戶前得到完全清除（臨時文件等）10/11/2022115等級保護(hù)應(yīng)用安全具體要求（四www.shtec.等級保護(hù)應(yīng)用安全具體要求（五）通信完整性采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。（用HASH算法等保證數(shù)據(jù)的完整性，但是不符合國密局要求，國產(chǎn)算法連算法也保密）10/11/2022116等級保護(hù)應(yīng)用安全具體要求（五www.shtec.等級保護(hù)應(yīng)用安全具體要求（六）通信保密性應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會話初始化驗(yàn)證（雙向驗(yàn)證）強(qiáng)調(diào)對整個報文或會話過程進(jìn)行加密（一般網(wǎng)絡(luò)加密可能存在后端明文傳輸?shù)那闆r）加密卡網(wǎng)絡(luò)加密機(jī)服務(wù)器用戶加密信道明文傳輸10/11/2022117等級保護(hù)應(yīng)用安全具體要求（六www.shtec.等級保護(hù)應(yīng)用安全具體要求（七）抗抵賴提供原發(fā)證據(jù)提供接受證據(jù)10/11/2022118等級保護(hù)應(yīng)用安全具體要求（七www.shtec.等級保護(hù)應(yīng)用安全具體要求（八）軟件容錯人機(jī)接口輸入格式化要求（如身份證一定是數(shù)字，15或18位）應(yīng)提供自動保護(hù)功能，當(dāng)故障發(fā)生時自動保護(hù)當(dāng)前所有狀態(tài)，保證系統(tǒng)能夠進(jìn)行恢復(fù)。（手工恢復(fù)）10/11/2022119等級保護(hù)應(yīng)用安全具體要求（八www.shtec.等級保護(hù)應(yīng)用安全具體要求（九）資源控制一段時間內(nèi)未作任何操作，應(yīng)能夠自動結(jié)束會話；（防止應(yīng)用D.D.O.S.）限制系統(tǒng)最大并發(fā)會話連接數(shù)限制一個時間段內(nèi)可能的并發(fā)會話連接數(shù)限制單個帳戶的多重并發(fā)會話對系統(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報警根據(jù)優(yōu)先級分配系統(tǒng)資源（查詢、處理沖突時）10/11/2022120等級保護(hù)應(yīng)用安全具體要求（九www.shtec.等級保護(hù)數(shù)據(jù)安全具體要求控制點(diǎn)一級二級三級四級數(shù)據(jù)完整性****數(shù)據(jù)保密性***備份和恢復(fù)****合計(jì)233310/11/2022121等級保護(hù)數(shù)據(jù)安全具體要求控制www.shtec.等級保護(hù)數(shù)據(jù)安全的具體要求（一）數(shù)據(jù)完整性系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸和存儲過程中都要進(jìn)行完整性檢驗(yàn)及必要的恢復(fù)措施。系統(tǒng)管理數(shù)據(jù)：配置數(shù)據(jù)鑒別信息：用于用戶身份鑒別的信息恢復(fù)措施：可用手工完成10/11/2022122等級保護(hù)數(shù)據(jù)安全的具體要求（www.shtec.等級保護(hù)數(shù)據(jù)安全的具體要求（二）數(shù)據(jù)保密性系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸和存儲過程中都要采取加密或其他措施。10/11/2022123等級保護(hù)數(shù)據(jù)安全的具體要求（www.shtec.等級保護(hù)數(shù)據(jù)安全的具體要求（三）備份和恢復(fù)完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場外存放；應(yīng)提供異地數(shù)據(jù)備份功能；采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障；應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。10/11/2022124等級保護(hù)數(shù)據(jù)安全的具體要求（等級保護(hù)管理要求中涉及系統(tǒng)開發(fā)的具體要求

方案設(shè)計(jì)軟件開發(fā)工程實(shí)施測試驗(yàn)收10/11/2022125等級保護(hù)管理要求中涉及系統(tǒng)開發(fā)的具體要求

方案設(shè)計(jì)10/1www.shtec.等級保護(hù)開發(fā)安全的具體要求（一）方案設(shè)計(jì)文檔1：系統(tǒng)建設(shè)方案、詳細(xì)設(shè)計(jì)方案要求1：方案中提到安全要求文檔2：近期和遠(yuǎn)期的安全建設(shè)計(jì)劃要求2：每個系統(tǒng)均有安全建設(shè)計(jì)劃10/11/2022126等級保護(hù)開發(fā)安全的具體要求（www.shtec.等級保護(hù)開發(fā)安全的具體要求（二）自行軟件開發(fā)文檔1：軟件開發(fā)管理制度文檔2：代碼編寫規(guī)范文檔3：軟件設(shè)計(jì)相關(guān)文檔和使用指南要求3：包括《項(xiàng)目立項(xiàng)申請表》、《項(xiàng)目開發(fā)任務(wù)書》，《需求分析說明書》、《系統(tǒng)設(shè)計(jì)說明書》、《系統(tǒng)測試計(jì)劃》、《系統(tǒng)測試報告》、《項(xiàng)目投產(chǎn)方案》、《系統(tǒng)操作手冊》等。文檔4：源代碼修改、更新、發(fā)布的授權(quán)審批記錄10/11/2022127等級保護(hù)開發(fā)安全的具體要求（www.shtec.等級保護(hù)開發(fā)安全的具體要求（三）外包軟件開發(fā)文檔1：軟件開發(fā)安全協(xié)議（包含保密協(xié)議）文檔2：驗(yàn)收檢測報告要求2：包含功能測試、性能測試、源代碼惡意代碼檢查。文檔3：需求分析說明書、軟件設(shè)計(jì)說明書、軟件操作手冊、用戶培訓(xùn)計(jì)劃、用戶培訓(xùn)記錄10/11/2022128等級保護(hù)開發(fā)安全的具體要求（www.shtec.等級保護(hù)開發(fā)安全的具體要求（四）工程實(shí)施文檔1：信息系統(tǒng)工程安全建設(shè)方案要求1：項(xiàng)目建設(shè)方案（項(xiàng)目管理計(jì)劃）其中明確實(shí)施方責(zé)任、項(xiàng)目時間進(jìn)度、任務(wù)要求、質(zhì)量控制等。文檔2：工程實(shí)施管理制度要求2：針對項(xiàng)目集成單位的管理制度。文檔3：階段性工作報告要求3：項(xiàng)目管理過程中周報、月報、項(xiàng)目總結(jié)等。10/11/2022129等級保護(hù)開發(fā)安全的具體要求（www.shtec.等級保護(hù)開發(fā)安全的具體要求（五）測試驗(yàn)收及系統(tǒng)交付文檔1：系統(tǒng)測試方案、測試記錄、測試報告、驗(yàn)收測試管理制度、驗(yàn)收報告要求1：系統(tǒng)測試包括業(yè)務(wù)功能測試、性能測試、安全性測試等。文檔2：系統(tǒng)交付管理制度、系統(tǒng)交付清單、運(yùn)維技術(shù)人員培訓(xùn)記錄要求2：開發(fā)廠商或交通銀行開發(fā)部人員，對業(yè)務(wù)用戶、運(yùn)維管理人員的培訓(xùn)。10/11/2022130等級保護(hù)開發(fā)安全的具體要求（等級保護(hù)管理要求中涉及系統(tǒng)運(yùn)維的具體要求

環(huán)境管理 資產(chǎn)管理介質(zhì)管理設(shè)備管理監(jiān)控管理網(wǎng)絡(luò)安全管理系統(tǒng)安全管理惡意代碼防范密碼管理變更管理備份恢復(fù)安全事件處置應(yīng)急預(yù)案管理10/11/2022131等級保護(hù)管理要求中涉及系統(tǒng)運(yùn)維的具體要求

環(huán)境管理 系統(tǒng)安全www.shtec.等級保護(hù)運(yùn)維安全的具體要求（一）環(huán)境管理文檔1：機(jī)房安全管理制度要求1：包括機(jī)房物理訪問、物品出入、機(jī)房環(huán)境安全等方面。文檔2：機(jī)房供配電系統(tǒng)、空調(diào)設(shè)備、溫濕度控制的維護(hù)記錄10/11/2022132等級保護(hù)運(yùn)維安全的具體要求（www.shtec.等級保護(hù)運(yùn)維安全的具體要求（二）資產(chǎn)管理文檔1：資產(chǎn)安全管理制度要求1：包括資產(chǎn)管理的責(zé)任部門、信息分類和資產(chǎn)標(biāo)識的方法，信息的使用、存儲、傳輸?shù)确矫?。文檔2：與信息系統(tǒng)相關(guān)的資產(chǎn)清單要求2：資產(chǎn)名稱責(zé)任部門、重要程度、所處位置等10/11/2022133等級保護(hù)運(yùn)維安全的具體要求（www.shtec.等級保護(hù)運(yùn)維安全的具體要求（三）介質(zhì)管理文檔1：介質(zhì)安全管理制度要求1：包括對介