版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
信息安全等級保護(hù)安全建設(shè)整改工作指南中華人民共和國公安部二OO九年十月1總則??????????????????????????????(1)工作目標(biāo),,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,(1)工作內(nèi)容,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,(1)工作流程,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,(2)標(biāo)準(zhǔn)應(yīng)用””””””””””””””””””””””,,,(3)安全保護(hù)能力目標(biāo)””””””””””””””””””,,,(5)安全管理制度建設(shè)”””””””””””””””””””””,,,(6)2.1落實信息安全責(zé)任制”””””””””””””””””,,,(7)2.2信息系統(tǒng)安全管理現(xiàn)狀分析””””””””””””””,,,(7)2.3確定安全管理策略,制定安全管理制度”””””””””,,,(8)2.4落實安全管理措施””””””””””””””””””,,,(8)人員安全管理”””””””””””””””””,,,(8)系統(tǒng)運維管理”””””””””””””””””,,,(8)2.4.2.1環(huán)境和資產(chǎn)安全管理”””””””””””,,,(8)2.4.2.2設(shè)備和介質(zhì)安全管理”””””””””””,,,(9)日常運行維護(hù)””””””””””””””,,,(9)集中安全管理””””””””””””””,,,(9)2.4.2.5事件處置與應(yīng)急響應(yīng),,,,,,,,,,,,,,(9)災(zāi)難備份””,”,,,,,,,,,,,,,,,(9)安全監(jiān)測””””,,,,,,,,,,,,,,(10)其他安全管理”””””,,,,,,,,,,,(10)系統(tǒng)建設(shè)管理,””””,,,,,,,,,,,,,,,,,(10)安全自查與調(diào)整”””,,,,,,,,,,,,,,,,,,(10)安全技術(shù)措施建設(shè),”””,,,,,,,,,,,,,,,,,,,(10)3.1信息系統(tǒng)安全保護(hù)技術(shù)現(xiàn)狀分析”””””,,,,,,,,,(11)3.1.1信息系統(tǒng)現(xiàn)狀分析”””””,,,,,,,,,,,,(11)3.1.2信息系統(tǒng)安全保護(hù)技術(shù)現(xiàn)狀分析”””””,,,,,,(12)3.1.3安全需求論證和確定”,”,”,,,,,,,,,,,(12)3.2信息系統(tǒng)安全技術(shù)建設(shè)整改方案設(shè)計”,””,,,,,,,,(12)3.2.1確定安全技術(shù)策略,設(shè)計總體技術(shù)方案”””,,,,,(12)確定安全技術(shù)策略””,,,,,,,,,,,,(12)設(shè)計總體技術(shù)方案”””””,,,,,,,,,(12)3.2.2安全技術(shù)方案詳細(xì)設(shè)計””,”,,,,,,,,,,,(13)物理安全設(shè)計””””,,,,,,,,,,,,(13)通信網(wǎng)絡(luò)安全設(shè)計””””,,,,,,,,,,(13)3.2.2.3區(qū)域邊界安全設(shè)計??????????????(13)3.2.2.43.2.2.5主機(jī)系統(tǒng)安全設(shè)計應(yīng)用系統(tǒng)安全設(shè)計???????????????????????????(13)?(14)備份和恢復(fù)安全設(shè)計,,,,,,,,,,,,,,,,,,,,,,,,,,(14)3.2.3建設(shè)經(jīng)費預(yù)算和工程實施計劃,,,,,,,,,,,,,,,,,,,,(14)3.2.3.1建設(shè)經(jīng)費預(yù)算3.2.3.2工程實施計劃,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,(14),(14)3.2.4方案論證和備案,,,,,,,,,,,,,,,,,,3.2.3.1建設(shè)經(jīng)費預(yù)算3.2.3.2工程實施計劃,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,(14),(14)3.2.4方案論證和備案,,,,,,,,,,,,,,,,,,(15)3.3安全建設(shè)整改工程實施和管理,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,(15)3.3.1工程實施和管理,,,,,,,,,,,,,,,,,,(15)3.3.2工程監(jiān)理和驗收,,,,,,,,,,,,,,,,,,(15)3.3.3安全等級測評3.3.1工程實施和管理,,,,,,,,,,,,,,,,,,(15)3.3.2工程監(jiān)理和驗收,,,,,,,,,,,,,,,,,,(15)3.3.3安全等級測評,,,,,,,,,,,,,,,,,,,(15)附錄:信息安全等級保護(hù)主要標(biāo)準(zhǔn)簡要說明”””””””,,,,(17)1總則1.1工作目標(biāo)信息系統(tǒng)運營使用單位在做好信息系統(tǒng)安全等級保護(hù)定級備案工作基礎(chǔ)上,按照國家有關(guān)規(guī)定和標(biāo)準(zhǔn)規(guī)范要求,開展信息安全等級保護(hù)安全建設(shè)整改工作。通過落實安全責(zé)任制,開展管理制度建設(shè)、技術(shù)措施建設(shè),落實等級保護(hù)制度的各項要求,使信息系統(tǒng)安全管理水平明顯提高,安全保護(hù)能力明顯增強(qiáng),安全隱患和安全事故明顯減少,有效保障信息化健康發(fā)展,維護(hù)國家安全、社會秩序和公共利益。1.2工作內(nèi)容信息系統(tǒng)運營使用單位在開展信息安全等級保護(hù)安全建設(shè)整改工作中,應(yīng)按照國家有關(guān)規(guī)定和標(biāo)準(zhǔn)規(guī)范要求,堅持管理和技術(shù)并重的原則,將技術(shù)措施和管理措施有機(jī)結(jié)合,建立信息系統(tǒng)綜合防護(hù)體系,提高信息系統(tǒng)整體安全保護(hù)能力。要依據(jù)《信息系統(tǒng)安全等級保護(hù)基本要求》(以下簡稱《基本要求》),落實信息安全責(zé)任制,建立并落實各類安全管理制度,開展人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等工作,落實物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等安全保護(hù)技術(shù)措施,具體內(nèi)容如圖1所示。圖1:信息系統(tǒng)安全建設(shè)整改主要內(nèi)容需要說明的是:不同級別信息系統(tǒng)安全建設(shè)整改的具體內(nèi)容應(yīng)根據(jù)信息系統(tǒng)定級時的業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級,以及信息系統(tǒng)安全保護(hù)現(xiàn)狀確定。信息系統(tǒng)安全建設(shè)整改工作具體實施可以根據(jù)實際情況,將安全管理和安全技術(shù)整改內(nèi)容一并實施,或分步實施。1.3工作流程信息系統(tǒng)安全建設(shè)整改工作分五步進(jìn)行。第一步:制定信息系統(tǒng)安全建設(shè)整改工作規(guī)劃,對信息系統(tǒng)安全建設(shè)整改工作進(jìn)行總體部署;第二步:開展信息系統(tǒng)安全保護(hù)現(xiàn)狀分析,從管理和技術(shù)兩個方面確定信息系統(tǒng)安全建設(shè)整改需求;第三步:確定安全保護(hù)策略,制定信息系統(tǒng)安全建設(shè)整改方案;第四步:開展信息系統(tǒng)安全建設(shè)整改工作,建立并落實安全管理制度,落實安全責(zé)任制,建設(shè)安全設(shè)施,落實安全措施;第五步:開展安全自查和等級測評,及
時發(fā)現(xiàn)信息系統(tǒng)中存在安全隱患和威脅,進(jìn)一步開展安全建設(shè)整改工作。該流程如圖2所示。信息系統(tǒng)安全建設(shè)整改工作規(guī)劃初工作部署信息系統(tǒng)安全保護(hù)現(xiàn)狀分析>確定安全策略.制定定全建設(shè)整成方案信息系統(tǒng)安全管鯉建設(shè)信息系統(tǒng)安全技術(shù)建沒安全管理機(jī)構(gòu)安全t理制度人員安全管理系統(tǒng)建沒管理系統(tǒng)遠(yuǎn)維管理物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全>確定安全策略.制定定全建設(shè)整成方案信息系統(tǒng)安全管鯉建設(shè)信息系統(tǒng)安全技術(shù)建沒安全管理機(jī)構(gòu)安全t理制度人員安全管理系統(tǒng)建沒管理系統(tǒng)遠(yuǎn)維管理物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全圖2:信息系統(tǒng)安全建設(shè)整改工作基本流程5r―111111信息系統(tǒng)通用安全技術(shù)要求i111111信息系統(tǒng)安全管理要求操作系統(tǒng)安全技術(shù)要求i信息系統(tǒng)物理安全技術(shù)要求11111i1信息系統(tǒng)安全工程管理要求數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求i網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求11111ii其他管理類板準(zhǔn)網(wǎng)絡(luò)和終端設(shè)備隔離部件技術(shù)要求I其他技術(shù)類標(biāo)準(zhǔn)111i其他產(chǎn)品類標(biāo)準(zhǔn)11iTT計算機(jī)信慰,系統(tǒng)安全保護(hù)等級劃分推則fGEJl7859)圖3:等級保護(hù)相關(guān)標(biāo)準(zhǔn)間的關(guān)系需要說明的是,(一)《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》及配套標(biāo)準(zhǔn)是《基本要求》的基礎(chǔ)?!队嬎銠C(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(GB17859,以下簡稱《劃分準(zhǔn)則》)是等級保護(hù)的基礎(chǔ)性標(biāo)準(zhǔn),《信息系統(tǒng)通用安全技術(shù)要求》等技術(shù)類標(biāo)準(zhǔn)、《信息系統(tǒng)安全管理要求》等管理類標(biāo)準(zhǔn)和《操作系統(tǒng)安全技術(shù)要求》等產(chǎn)品類標(biāo)準(zhǔn)是在《劃分準(zhǔn)則》基礎(chǔ)上研究制定的。《基本要求》以技術(shù)類標(biāo)準(zhǔn)和管理類標(biāo)準(zhǔn)為基礎(chǔ),根據(jù)現(xiàn)有技術(shù)發(fā)展水平,從技術(shù)和管理兩方面提出并確定了不同安全保護(hù)等級信息系統(tǒng)的最低保護(hù)要求,即基線要求。(二)《基本要求》是信息系統(tǒng)安全建設(shè)整改的依據(jù)。信息系統(tǒng)安全建設(shè)整改應(yīng)以落實《基本要求》為主要目標(biāo)。信息系統(tǒng)運營使用單位應(yīng)根據(jù)信息系統(tǒng)安全保護(hù)等級選擇《基本要求》中相應(yīng)級別的安全保護(hù)要求作為信息系統(tǒng)的基本安全需求。當(dāng)信息系統(tǒng)有更高安全需求時,可參考《基本要求》中較高級別保護(hù)要求或《信息系統(tǒng)通用安全技術(shù)要求》、《信息系統(tǒng)安全管理要求》等其他標(biāo)準(zhǔn)。行業(yè)主管部門可以依據(jù)《基本要求》,結(jié)合行業(yè)特點和信息系統(tǒng)實際出臺行業(yè)細(xì)則,行業(yè)細(xì)則的要求應(yīng)不低于《基本要求》。(三)《定級指南》為定級工作提供指導(dǎo)。《信息系統(tǒng)安全等級保護(hù)定級指南》為信息系統(tǒng)定級工作提供了技術(shù)支持。行業(yè)主管部門可以根據(jù)《定級指南》,結(jié)合行業(yè)特點和信息系統(tǒng)實際情況,出臺本行業(yè)的定級細(xì)則,保證行業(yè)內(nèi)信息系統(tǒng)在不同地區(qū)等級的一致性,以指導(dǎo)本行業(yè)信息系統(tǒng)定級工作的開展。(四)《測評要求》等標(biāo)準(zhǔn)規(guī)范等級測評活動。等級測評是評價信息系統(tǒng)安全保護(hù)狀況的重要方法?!缎畔⑾到y(tǒng)安全等級保護(hù)測評要求》為等級測評機(jī)構(gòu)開展等級測評活動提供了測評方法和綜合評價方法?!缎畔⑾到y(tǒng)安全等級保護(hù)測評過程指南》對等級測評活動提出規(guī)范性要求,以保證測評結(jié)論的準(zhǔn)確性和可靠性。(五)《實施指南》等標(biāo)準(zhǔn)指導(dǎo)等級保護(hù)建設(shè)?!缎畔⑾到y(tǒng)安全等級保護(hù)實施指南》是信息系統(tǒng)安全等級保護(hù)建設(shè)實施的過程控制標(biāo)準(zhǔn),用于指導(dǎo)信息系統(tǒng)運營使用單位了解和掌握信息安全等級保護(hù)工作的方法、主要工作內(nèi)容以及不同的角色在不同階段的作用。《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》對信息系統(tǒng)安全建設(shè)的技術(shù)設(shè)計活動提供指導(dǎo),是實現(xiàn)《基本要求》的方法之一。1.5安全保護(hù)能力目標(biāo)各級信息系統(tǒng)應(yīng)通過安全建設(shè)整改分別達(dá)到以下安全保護(hù)能力目標(biāo):第一級信息系統(tǒng):經(jīng)過安全建設(shè)整改,信息系統(tǒng)具有抵御一般性攻擊的能力,防范常見計算機(jī)病毒和惡意代碼危害的能力;系統(tǒng)遭到損害后,具有恢復(fù)系統(tǒng)主要功能的能力。第二級信息系統(tǒng):經(jīng)過安全建設(shè)整改,信息系統(tǒng)具有抵御小規(guī)模、較弱強(qiáng)度惡意攻擊的能力,抵抗一般的自然災(zāi)害的能力,防范一般性計算機(jī)病毒和惡意代碼危害的能力;具有檢測常見的攻擊行為,并對安全事件進(jìn)行記錄的能力;系統(tǒng)遭到損害后,具有恢復(fù)系統(tǒng)正常運行狀態(tài)的能力。第三級信息系統(tǒng):經(jīng)過安全建設(shè)整改,信息系統(tǒng)在統(tǒng)一的安全保護(hù)策略下具有抵御大規(guī)模、較強(qiáng)惡意攻擊的能力,抵抗較為嚴(yán)重的自然災(zāi)害的能力,防范計算機(jī)病毒和惡意代碼危害的能力;具有檢測、發(fā)現(xiàn)、報警、記錄入侵行為的能力;具有對安全事件進(jìn)行響應(yīng)處置,并能夠追蹤安全責(zé)任的能力;在系統(tǒng)遭到損害后,具有能夠較快恢復(fù)正常運行狀態(tài)的能力;對于服務(wù)保障性要求高的系統(tǒng),應(yīng)能快速恢復(fù)正常運行狀態(tài);具有對系統(tǒng)資源、用戶、安全機(jī)制等進(jìn)行集中控管的能力。第四級信息系統(tǒng):經(jīng)過安全建設(shè)整改,信息系統(tǒng)在統(tǒng)一的安全保護(hù)策略下具有抵御敵對勢力有組織的大規(guī)模攻擊的能力,抵抗嚴(yán)重的自然災(zāi)害的能力,防范計算機(jī)病毒和惡意代碼危害的能力;具有檢測、發(fā)現(xiàn)、報警、記錄入侵行為的能力;具有對安全事件進(jìn)行快速響應(yīng)處置,并能夠追蹤安全責(zé)任的能力;在系統(tǒng)遭到損害后,具有能夠較快恢復(fù)正常運行狀態(tài)的能力;對于服務(wù)保障性要求高的系統(tǒng),應(yīng)能立即恢復(fù)正常運行狀態(tài);具有對系統(tǒng)資源、用戶、安全機(jī)制等進(jìn)行集中控管的能力。2安全管理制度建設(shè)按照國家有關(guān)規(guī)定,依據(jù)《基本要求》,參照《信息系統(tǒng)安全管理要求》等標(biāo)準(zhǔn)規(guī)范要求,開展信息系統(tǒng)等級保護(hù)安全管理制度建設(shè)工作。工作流程見圖4。
圖4:信息系統(tǒng)安全管理建設(shè)整改工作流程2.1落實信息安全責(zé)任制明確領(lǐng)導(dǎo)機(jī)構(gòu)和責(zé)任部門,設(shè)立或明確信息安全領(lǐng)導(dǎo)機(jī)構(gòu),明確主管領(lǐng)導(dǎo),落實責(zé)任部門。建立崗位和人員管理制度,根據(jù)職責(zé)分工,分別設(shè)置安全管理機(jī)構(gòu)和崗位,明確每個崗位的職責(zé)與任務(wù),落實安全管理責(zé)任制。建立安全教育和培訓(xùn)制度,對信息系統(tǒng)運維人員、管理人員、使用人員等定期進(jìn)行培訓(xùn)和考核,提高相關(guān)人員的安全意識和操作水平。具體依據(jù)《基本要求》中的“安全管理機(jī)構(gòu)”內(nèi)容,同時可以參照《信息系統(tǒng)安全管理要求》等。2.2信息系統(tǒng)安全管理現(xiàn)狀分析在開展信息系統(tǒng)安全管理建設(shè)整改之前,通過開展信息系統(tǒng)安全管理現(xiàn)狀分析,查找信息系統(tǒng)安全管理建設(shè)整改需要解決的問題,明確信息系統(tǒng)安全管理建設(shè)整改的需求。可以依據(jù)《基本要求》等標(biāo)準(zhǔn),采取對照檢查、風(fēng)險評估、等級測評等方法,分析判斷目前所采取的安全管理措施與等級保護(hù)標(biāo)準(zhǔn)要求之間的差距,分析系統(tǒng)已發(fā)生的事件或事故,分析安全管理方面存在的問題,形成安全管理建設(shè)整改的需求并論證。2.3確定安全管理策略,制定安全管理制度根據(jù)安全管理需求,確定安全管理目標(biāo)和安全策略,針對信息系統(tǒng)的各類管理活動,制定人員安全管理制度、系統(tǒng)建設(shè)管理制度、系統(tǒng)運維管理制度、定期檢查制度等,規(guī)范安全管理人員或操作人員的操作規(guī)程等,形成安全管理體系。具體依據(jù)《基本要求》中的'安全管理制度”內(nèi)容,同時可以參照《信息系統(tǒng)安全管理要求》等。2.4落實安全管理措施2.4.1人員安全管理人員安全管理主要包括人員錄用、離崗、考核、教育培訓(xùn)等內(nèi)容。規(guī)范人員錄用、離崗、過程,關(guān)鍵崗位簽署保密協(xié)議,對各類人員進(jìn)行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn),對關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核。對外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等進(jìn)行控制。具體依據(jù)《基本要求》中的'人員安全管理”內(nèi)容,同時可以參照《信息系統(tǒng)安全管理要求》等。系統(tǒng)運維管理2.4.2.1環(huán)境和資產(chǎn)安全管理明確環(huán)境(包括主機(jī)房、輔機(jī)房、辦公環(huán)境等)安全管理的責(zé)任部門或責(zé)任人,加強(qiáng)對人員出入、來訪人員的控制,對有關(guān)物理訪問、物品進(jìn)出和環(huán)境安全等方面作出規(guī)定。對重要區(qū)域設(shè)置門禁控制手段,或使用視頻監(jiān)控等措施。明確資產(chǎn)(包括介質(zhì)、設(shè)備、設(shè)施、數(shù)據(jù)和信息等)安全管理的責(zé)任部門或責(zé)任人,對資產(chǎn)進(jìn)行分類、標(biāo)識,編制與信息系統(tǒng)相關(guān)的軟件資產(chǎn)、硬件資產(chǎn)等資產(chǎn)清單。具體依據(jù)《基本要求》中的'系統(tǒng)運維管理”內(nèi)容,同時可以參照《信息系統(tǒng)安全管理要求》等。2.4.2.2設(shè)備和介質(zhì)安全管理明確配套設(shè)施、軟硬件設(shè)備管理、維護(hù)的責(zé)任部門或責(zé)任人,對信息系統(tǒng)的各種軟硬件設(shè)備采購、發(fā)放、領(lǐng)用、維護(hù)和維修等過程進(jìn)行控制,對介質(zhì)的存放、使用、維護(hù)和銷毀等方面作出規(guī)定,加強(qiáng)對涉外維修、敏感數(shù)據(jù)銷毀等過程的監(jiān)督控制。具體依據(jù)《基本要求》中的,系統(tǒng)運維管理”內(nèi)容,同時可以參照《信息系統(tǒng)安全管理要求》等。2.4.2.3日常運行維護(hù)明確網(wǎng)絡(luò)、系統(tǒng)日常運行維護(hù)的責(zé)任部門或責(zé)任人,對運行管理中的日常操作、賬號管理、安全配置、日志管理、補(bǔ)丁升級、口令更新等過程進(jìn)行控制和管理,制訂相應(yīng)的管理制度和操作規(guī)程并落實執(zhí)行。具體依據(jù)《基本要求》中的“系統(tǒng)運維管理”內(nèi)容,同時可以參照《信息系統(tǒng)安全管理要求》等。2.4.2.4集中安全管理第三級(含)以上信息系統(tǒng)應(yīng)按照統(tǒng)一的安全策略、安全管理要求,統(tǒng)一管理信息系統(tǒng)的安全運行,進(jìn)行安全機(jī)制的配置與管理,對設(shè)備安全配置、惡意代碼、補(bǔ)丁升級、安全審計等進(jìn)行管理,對與安全有關(guān)的信息進(jìn)行匯集與分析,對安全機(jī)制進(jìn)行集中管理。具體依據(jù)《基本要求》中的系統(tǒng)運維管理”內(nèi)容,同時可以參照《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》和《信息系統(tǒng)安全管理要求》等。2.4.2.5事件處置與應(yīng)急響應(yīng)按照國家有關(guān)標(biāo)準(zhǔn)規(guī)定,確定信息安全事件的等級。結(jié)合信息系統(tǒng)安全保護(hù)等級,制定信息安全事件分級應(yīng)急處置預(yù)案,明確應(yīng)急處置策略,落實應(yīng)急指揮部門、執(zhí)行部門和技術(shù)支撐部門,建立應(yīng)急協(xié)調(diào)機(jī)制。落實安全事件報告制度,第三級(含)以上信息系統(tǒng)發(fā)生較大、重大、特別重大安全事件時,運營使用單位按照相應(yīng)預(yù)案開展應(yīng)急處置,并及時向受理備案的公安機(jī)關(guān)報告。組織應(yīng)急技術(shù)支撐力量和專家隊伍,按照應(yīng)急預(yù)案定期組織開展應(yīng)急演練。具體依據(jù)《基本要求》中的'系統(tǒng)運維管理”內(nèi)容,同時可以參照《信息安全事件分類分級指南》和《信息安全事件管理指南》等。2.4.2.6災(zāi)難備份要對第三級(含)以上信息系統(tǒng)采取災(zāi)難備份措施,防止重大事故、事件發(fā)生。識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等,制定數(shù)據(jù)的備份策略和恢復(fù)策略,建立備份與恢復(fù)管理相關(guān)的安全管理制度。具體依據(jù)《基本要求》中的“系統(tǒng)運維管理”內(nèi)容和《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》。2.4.2.7安全監(jiān)測開展信息系統(tǒng)實時安全監(jiān)測,實現(xiàn)對物理環(huán)境、通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備、用戶行為和業(yè)務(wù)應(yīng)用等的監(jiān)測和報警,及時發(fā)現(xiàn)設(shè)備故障、病毒入侵、黑客攻擊、誤用和誤操作等安全事件,以便及時對安全事件進(jìn)行響應(yīng)與處置。具體依據(jù)《基本要求》中的“系統(tǒng)運維管理”。2.4.2.8其他安全管理對系統(tǒng)運行維護(hù)過程中的其它活動,如系統(tǒng)變更、密碼使用等進(jìn)行控制和管理。按國家密碼管理部門的規(guī)定,對信息系統(tǒng)中密碼算法和密鑰的使用進(jìn)行分級管理。2.5系統(tǒng)建設(shè)管理制定系統(tǒng)建設(shè)相關(guān)的管理制度,明確系統(tǒng)定級備案、方案設(shè)計、產(chǎn)品采購使用、軟件開發(fā)、工程實施、驗收交付、等級測評、安全服務(wù)等內(nèi)容的管理責(zé)任部門、具體管理內(nèi)容和控制方法,并按照管理制度落實各項管理措施。具體依據(jù)《基本要求》中的“系統(tǒng)建設(shè)管理”內(nèi)容。2.6安全自查與調(diào)整制定安全檢查制度,明確檢查的內(nèi)容、方式、要求等,檢查各項制度、措施的落實情況,并不斷完善。定期對信息系統(tǒng)安全狀況進(jìn)行自查,第三級信息系統(tǒng)每年自查一次,第四級信息系統(tǒng)每半年自查一次。經(jīng)自查,信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級要求的,應(yīng)當(dāng)進(jìn)一步開展整改。具體依據(jù)《基本要求》中的“安全管理機(jī)構(gòu)”內(nèi)容,同時可以參照《信息系統(tǒng)安全管理要求》等。信息系統(tǒng)安全管理建設(shè)整改工作完成后,安全管理方面的等級測評與安全技術(shù)方面的測評工作一并進(jìn)行。3安全技術(shù)措施建設(shè)按照國家有關(guān)規(guī)定,依據(jù)《基本要求》,參照《信息系統(tǒng)通用安全技術(shù)要求》、《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》等標(biāo)準(zhǔn)規(guī)范要求,開展信息系統(tǒng)安全技術(shù)建設(shè)整改工作。工作流程見圖5。
m5=信扃莫綠專全柘術(shù)建詣帖西丁作浦程圖5:信息系統(tǒng)安全技術(shù)建設(shè)整改工作流程3.1信息系統(tǒng)安全保護(hù)技術(shù)現(xiàn)狀分析了解掌握信息系統(tǒng)現(xiàn)狀,分析信息系統(tǒng)的安全保護(hù)狀況,明確信息系統(tǒng)安全技術(shù)建設(shè)整改需求,為安全建設(shè)整改技術(shù)方案設(shè)計提供依據(jù)。3.1.1信息系統(tǒng)現(xiàn)狀分析了解掌握信息系統(tǒng)的數(shù)量和等級、所處的網(wǎng)絡(luò)區(qū)域以及信息系統(tǒng)所承載的業(yè)務(wù)應(yīng)用情況,分析信息系統(tǒng)的邊界、構(gòu)成和相互關(guān)聯(lián)情況,分析網(wǎng)絡(luò)結(jié)構(gòu)、內(nèi)部區(qū)域、區(qū)域邊界以及軟、硬件資源等。具體可參照《信息系統(tǒng)安全等級保護(hù)實施指南》中“信息系統(tǒng)分析”的內(nèi)容。3.1.2信息系統(tǒng)安全保護(hù)技術(shù)現(xiàn)狀分析在開展信息系統(tǒng)安全技術(shù)建設(shè)整改之前,應(yīng)通過開展信息系統(tǒng)安全保護(hù)技術(shù)現(xiàn)狀分析,查找信息系統(tǒng)安全保護(hù)技術(shù)建設(shè)整改需要解決的問題,明確信息系統(tǒng)安全保護(hù)技術(shù)建設(shè)整改的需求??刹扇φ諜z查、風(fēng)險評估、等級測評等方法,分析判斷目前所采取的安全技術(shù)措施與等級保護(hù)標(biāo)準(zhǔn)要求之間的差距,分析系統(tǒng)已發(fā)生的事件或事故,分析安全技術(shù)方面存在的問題,形成安全技術(shù)建設(shè)整改的基本安全需求。在滿足信息系統(tǒng)安全等級保護(hù)基本要求基礎(chǔ)上,可以結(jié)合行業(yè)特點和信息系統(tǒng)安全保護(hù)的特殊要求,提出特殊安全需求。具體可參照《基本要求》、《信息系統(tǒng)安全等級保護(hù)測評要求》和《信息系統(tǒng)安全等級保護(hù)測評過程指南》等標(biāo)準(zhǔn)。3.1.3安全需求論證和確定安全需求分析工作完成后,將信息系統(tǒng)的安全管理需求與安全技術(shù)需求綜合形成安全需求報告。組織專家對安全需求進(jìn)行評審論證。3.2信息系統(tǒng)安全技術(shù)建設(shè)整改方案設(shè)計在安全需求分析的基礎(chǔ)上,開展信息系統(tǒng)安全建設(shè)整改方案設(shè)計,包括總體設(shè)計和詳細(xì)設(shè)計,制定工程預(yù)算和工程實施計劃等,為后續(xù)安全建設(shè)整改工程實施提供依據(jù)。3.2.1確定安全技術(shù)策略,設(shè)計總體技術(shù)方案3.2.1.1確定安全技術(shù)策略根據(jù)安全需求分析,確定安全技術(shù)策略,包括業(yè)務(wù)系統(tǒng)分級策略、數(shù)據(jù)信息分級策略、區(qū)域互連策略和信息流控制策略等,用以指導(dǎo)系統(tǒng)安全技術(shù)體系結(jié)構(gòu)設(shè)計。3.2.1.2設(shè)計總體技術(shù)方案在進(jìn)行信息系統(tǒng)安全建設(shè)整改技術(shù)方案設(shè)計時,應(yīng)以《基本要求》為基本目標(biāo),可以針對安全現(xiàn)狀分析發(fā)現(xiàn)的問題進(jìn)行加固改造,缺什么補(bǔ)什么;也可以進(jìn)行總體的安全技術(shù)設(shè)計,將不同區(qū)域、不同層面的安全保護(hù)措施形成有機(jī)的安全保護(hù)體系,落實物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等方面基本要求,最大程度發(fā)揮安全措施的保護(hù)能力。在進(jìn)行安全技術(shù)設(shè)計時,可參考《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》,從安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心等方面落實安全保護(hù)技術(shù)要求。安全技術(shù)方案詳細(xì)設(shè)計圖3安全技術(shù)體系設(shè)計實例數(shù)據(jù)安全設(shè)計物理安全設(shè)計從安全技術(shù)設(shè)施和安全技術(shù)措施兩方面對信息系統(tǒng)所涉及到的主機(jī)房、輔助機(jī)房和辦公環(huán)境等進(jìn)行物理安全設(shè)計,設(shè)計內(nèi)容包括防震、防雷、防火、防水、防盜竊、防破壞、溫濕度控制、電力供應(yīng)、電磁防護(hù)等方面。物理安全設(shè)計是對采用的安全技術(shù)設(shè)施或安全技術(shù)措施的物理部署、物理尺寸、功能指標(biāo)、性能指標(biāo)等內(nèi)容提出具體設(shè)計參數(shù)。具體依據(jù)《基本要求》中的“物理安全”內(nèi)容,同時可以參照《信息系統(tǒng)物理安全技術(shù)要求》等。通信網(wǎng)絡(luò)安全設(shè)計對信息系統(tǒng)所涉及的通信網(wǎng)絡(luò),包括骨干網(wǎng)絡(luò)、城域網(wǎng)絡(luò)和其他通信網(wǎng)絡(luò)(租用線路)等進(jìn)行安全設(shè)計,設(shè)計內(nèi)容包括通信過程數(shù)據(jù)完整性、數(shù)據(jù)保密性、保證通信可靠性的設(shè)備和線路冗余、通信網(wǎng)絡(luò)的網(wǎng)絡(luò)管理等方面。通信網(wǎng)絡(luò)安全設(shè)計涉及所需采用的安全技術(shù)機(jī)制或安全技術(shù)措施的設(shè)計,對技術(shù)實現(xiàn)機(jī)制、產(chǎn)品形態(tài)、具體部署形式、功能指標(biāo)、性能指標(biāo)和配置參數(shù)等提出具體設(shè)計細(xì)節(jié)。具體依據(jù)《基本要求》中'網(wǎng)絡(luò)安全”內(nèi)容,同時可以參照《網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》等。3.2.2.3區(qū)域邊界安全設(shè)計對信息系統(tǒng)所涉及的區(qū)域網(wǎng)絡(luò)邊界進(jìn)行安全設(shè)計,內(nèi)容包括對區(qū)域網(wǎng)絡(luò)的邊界保護(hù)、區(qū)域劃分、身份認(rèn)證、訪問控制、安全審計、入侵防范、惡意代碼防范和網(wǎng)絡(luò)設(shè)備自身保護(hù)等方面。區(qū)域邊界安全設(shè)計涉及所需采用的安全技術(shù)機(jī)制或安全技術(shù)措施的設(shè)計,對技術(shù)實現(xiàn)機(jī)制、產(chǎn)品形態(tài)、具體部署形式、功能指標(biāo)、性能指標(biāo)和配置策略和參數(shù)等提出具體設(shè)計細(xì)節(jié)。具體依據(jù)《基本要求》中的'網(wǎng)絡(luò)安全”內(nèi)容,同時可以參照《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》、《網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》等。3.2.2.4主機(jī)系統(tǒng)安全設(shè)計對信息系統(tǒng)涉及到的服務(wù)器和工作站進(jìn)行主機(jī)系統(tǒng)安全設(shè)計,內(nèi)容包括操作系統(tǒng)或數(shù)據(jù)庫管理系統(tǒng)的選擇、安裝和安全配置,主機(jī)入侵防范、惡意代碼防范、資源使用情況監(jiān)控等。其中,安全配置細(xì)分為身份鑒別、訪問控制、安全審計等方面的配置內(nèi)容。具體依據(jù)《基本要求》中的'主機(jī)安全”內(nèi)容,同時可以參照《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》、《信息系統(tǒng)通用安全技術(shù)要求》等。3.2.2.5應(yīng)用系統(tǒng)安全設(shè)計對信息系統(tǒng)涉及到的應(yīng)用系統(tǒng)軟件(含應(yīng)用/中間件平臺)進(jìn)行安全設(shè)計,設(shè)計內(nèi)容包括身份鑒別、訪問控制、安全標(biāo)記、可信路徑、安全審計、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯和資源控制等。具體依據(jù)《基本要求》中的'應(yīng)用安全”內(nèi)容,同時可以參照《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》、《信息系統(tǒng)通用安全技術(shù)要求》等。3.2.2.6備份和恢復(fù)安全設(shè)計針對信息系統(tǒng)的業(yè)務(wù)數(shù)據(jù)安全和系統(tǒng)服務(wù)連續(xù)性進(jìn)行安全設(shè)計,設(shè)計內(nèi)容包括數(shù)據(jù)備份系統(tǒng)、備用基礎(chǔ)設(shè)施以及相關(guān)技術(shù)設(shè)施。針對業(yè)務(wù)數(shù)據(jù)安全的數(shù)據(jù)備份系統(tǒng)可考慮數(shù)據(jù)備份的范圍、時間間隔、實現(xiàn)技術(shù)與介質(zhì)以及數(shù)據(jù)備份線路的速率以及相關(guān)通信設(shè)備的規(guī)格和要求;針對信息系統(tǒng)服務(wù)連續(xù)性的安全設(shè)計可考慮連續(xù)性保證方式(設(shè)備冗余、系統(tǒng)級冗余直至遠(yuǎn)程集群支持)與實現(xiàn)細(xì)節(jié),包括相關(guān)的基礎(chǔ)設(shè)施支持、冗余/集群機(jī)制的選擇、硬件設(shè)備的功能/性能指標(biāo)以及軟硬件的部署形式與參數(shù)配置等。具體依據(jù)《基本要求》中的“數(shù)據(jù)安全和備份恢復(fù)”內(nèi)容,同時可以參照《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》等。3.2.3建設(shè)經(jīng)費預(yù)算和工程實施計劃3.2.3.1建設(shè)經(jīng)費預(yù)算根據(jù)信息系統(tǒng)的安全建設(shè)整改內(nèi)容提出詳細(xì)的經(jīng)費預(yù)算,包括產(chǎn)品名稱、型號、配置、數(shù)量、單價、總價和合計等,同時應(yīng)包括集成費用、等級測評費用、服務(wù)費用和管理費用等。對于跨年度的安全建設(shè)整改或安全改建,提供分年度的經(jīng)費預(yù)算。3.2.3.2工程實施計劃根據(jù)信息系統(tǒng)的安全建設(shè)整改內(nèi)容提出詳細(xì)的工程實施計劃,包括建設(shè)內(nèi)容、工程組織、階段劃分、項目分解、時間計劃和進(jìn)度安排等。對于跨年度的安全建設(shè)整改或安全改建,要對安全建設(shè)整改方案明確的主要安全建設(shè)整改內(nèi)容進(jìn)行適當(dāng)?shù)捻椖糠纸猓热绶纸獬蓹C(jī)房安全改造項目、網(wǎng)絡(luò)安全建設(shè)整改項目、系統(tǒng)平臺和應(yīng)用平臺安全建設(shè)整改項目等,分別制定中期和短期的實施計劃,短期內(nèi)主要解決目前急迫和關(guān)鍵的問題。3.2.4方案論證和備案將信息系統(tǒng)安全建設(shè)整改技術(shù)方案與安全管理體系規(guī)劃共同形成安全建設(shè)整改方案。組織專家對安全建設(shè)整改方案進(jìn)行評審論證,形成評審意見。第三級(含)以上信息系統(tǒng)安全建設(shè)整改方案應(yīng)報公安機(jī)關(guān)備案,并組織實施安全建設(shè)整改工程。3.3安全建設(shè)整改工程實施和管理3.3.1工程實施和管理安全建設(shè)整改工程實施的組織管理工作包括落實安全建設(shè)整改的責(zé)任部門和人員,保證建設(shè)資金足額到位,選擇符合要求的安全建設(shè)整改服務(wù)商,采購符合要求的信息安全產(chǎn)品,管理和控制安全功能開發(fā)、集成過程的質(zhì)量等方面。按照《信息系統(tǒng)安全工程管理要求》中有關(guān)資格保障和組織保障等要求組織管理等級保護(hù)安全建設(shè)整改工程。實施流程管理、進(jìn)度規(guī)劃控制和工程質(zhì)量控制可參照《信息系統(tǒng)安全工程管理要求》中第8、9、10章提出的工程實施、項目實施和安全工程流程控制要求,實現(xiàn)相應(yīng)等級的工程目標(biāo)和要求。3.3.2工程監(jiān)理和驗收為保證建設(shè)工程的安全和質(zhì)量,第二級(含)以上信息系統(tǒng)安全建設(shè)整改工程可以實施監(jiān)理。監(jiān)理內(nèi)容包括對工程實施前期安全性、采購?fù)獍踩?、工程實施過程安全性、系統(tǒng)環(huán)境安全性等方面的核查。工程驗收的內(nèi)容包括全面檢驗工程項目所實現(xiàn)的安全功能、設(shè)備部署、安全配置等是否滿足設(shè)計要求,工程施工質(zhì)量是否達(dá)到預(yù)期指標(biāo),工程檔案資料是否齊全等方面。在通過安全測評或測試的基礎(chǔ)上,組織相應(yīng)信息安全專家進(jìn)行工程驗收。具體參照《信息系統(tǒng)安全工程管理要求》。3.3.3安全等級測評信息系統(tǒng)安全建設(shè)整改完成后要進(jìn)行等級測評,在工程預(yù)算中應(yīng)當(dāng)包括等級測評費用。對第三級(含)以上信息系統(tǒng)每年要進(jìn)行等級測評,并對測評費用做出預(yù)算。在公安部備案的信息系統(tǒng),備案單位應(yīng)選擇國家信息安全等級保護(hù)工作協(xié)調(diào)小組辦公室推薦的等級測評機(jī)構(gòu)實施等級測評;在?。▍^(qū)、市)、地市級公安機(jī)關(guān)備案的信息系統(tǒng),備案單位應(yīng)選擇本省(區(qū)、市)信息安全等級保護(hù)工作協(xié)調(diào)小組辦公室或國家信息安全等級保護(hù)工作協(xié)調(diào)小組辦公室推薦的等級測評機(jī)構(gòu)實施等級測評。附錄:信息安全等級保護(hù)主要標(biāo)準(zhǔn)簡要說明為推動我國信息安全等級保護(hù)工作的開展,十多年來,在公安部的領(lǐng)導(dǎo)和支持下,在國內(nèi)有關(guān)專家、企業(yè)的共同努力下,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會和公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會組織制訂了信息安全等級保護(hù)工作需要的一系列標(biāo)準(zhǔn),形成了比較完整的信息安全等級保護(hù)標(biāo)準(zhǔn)體系,為開展信息安全等級保護(hù)工作奠定了基礎(chǔ)。為便于各有關(guān)單位全面、準(zhǔn)確了解掌握信息安全等級保護(hù)有關(guān)標(biāo)準(zhǔn),更好地指導(dǎo)等級保護(hù)工作,在總結(jié)近年來等級保護(hù)工作實踐基礎(chǔ)上,公安部組織專家和標(biāo)準(zhǔn)起草單位編寫了信息安全等級保護(hù)主要標(biāo)準(zhǔn)簡要說明,第一部分梳理了與等級保護(hù)工作相關(guān)的標(biāo)準(zhǔn),第二部分從標(biāo)準(zhǔn)的主要用途、主要內(nèi)容和使用說明三方面進(jìn)行闡述,供有關(guān)單位和部門在工作中參考。1信息安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)體系信息安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)大致可以分為四類:基礎(chǔ)類、應(yīng)用類、產(chǎn)品類和其他類。1.1基礎(chǔ)類標(biāo)準(zhǔn)《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(GB17859-1999)《信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T22239-2008)。1.2應(yīng)用類標(biāo)準(zhǔn)1.2.1信息系統(tǒng)定級《信息系統(tǒng)安全保護(hù)等級定級指南》(GB/T22240-2008)1.2.2等級保護(hù)實施《信息系統(tǒng)安全等級保護(hù)實施指南》(信安字[2007]10號)1.2.3信息系統(tǒng)安全建設(shè)《信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》(信安秘字[2009]059號)《信息系統(tǒng)安全管理要求》(GB/T20269-2006)《信息系統(tǒng)安全工程管理要求》(GB/T20282-2006)《信息系統(tǒng)物理安全技術(shù)要求》(GB/T21052-2007)《網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270-2006)《信息系統(tǒng)安全等級保護(hù)體系框架》(GA/T708-2007)《信息系統(tǒng)安全等級保護(hù)基本模型》(GA/T709-2007)《信息系統(tǒng)安全等級保護(hù)基本配置》(GA/T710-2007)1.2.4等級測評《信息系統(tǒng)安全等級保護(hù)測評要求》(報批稿)《信息系統(tǒng)安全等級保護(hù)測評過程指南》(報批稿)《信息系統(tǒng)安全管理測評》(GA/T713-2007)產(chǎn)品類標(biāo)準(zhǔn)1.3.1操作系統(tǒng)《操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2006)《操作系統(tǒng)安全評估準(zhǔn)則》(GB/T20008-2005)1.3.2數(shù)據(jù)庫《數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》(GB/T20273-2006)《數(shù)據(jù)庫管理系統(tǒng)安全評估準(zhǔn)則》(GB/T20009-2005)網(wǎng)絡(luò)《網(wǎng)絡(luò)端設(shè)備隔離部件技術(shù)要求》(GB/T20279-2006)《網(wǎng)絡(luò)端設(shè)備隔離部件測試評價方法》(GB/T20277-2006)《網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求》(GB/T20278-2006)《網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測試評價方法》(GB/T20280-2006)《網(wǎng)絡(luò)交換機(jī)安全技術(shù)要求》(GA/T684-2007)《虛擬專用網(wǎng)安全技術(shù)要求》(GA/T686-2007)PKI《公鑰基礎(chǔ)設(shè)施安全技術(shù)要求》(GA/T687-2007)《PKI系統(tǒng)安全等級保護(hù)技術(shù)要求》(GB/T21053-2007)1.3.5網(wǎng)關(guān)《網(wǎng)關(guān)安全技術(shù)要求》(GA/T681-2007)1.3.6服務(wù)器《服務(wù)器安全技術(shù)要求》(GB/T21028-2007)1.3.7入侵檢測《入侵檢測系統(tǒng)技術(shù)要求和檢測方法》(GB/T20275-2006)《計算機(jī)網(wǎng)絡(luò)入侵分級要求》(GA/T700-2007)1.3.8防火墻《防火墻安全技術(shù)要求》(GA/T683-2007)《防火墻技術(shù)測評方法》(報批稿)《信息系統(tǒng)安全等級保護(hù)防火墻安全配置指南》(報批稿)《防火墻技術(shù)要求和測評方法》(GB/T20281-2006)《包過濾防火墻評估準(zhǔn)則》(GB/T20010-2005)1.3.9路由器《路由器安全技術(shù)要求》(GB/T18018-2007)《路由器安全評估準(zhǔn)則》(GB/T20011-2005)《路由器安全測評要求》(GA/T682-2007)1.3.10交換機(jī)《網(wǎng)絡(luò)交換機(jī)安全技術(shù)要求》(GB/T21050-2007)《交換機(jī)安全測評要求》(GA/T685-2007)1.3.11其他產(chǎn)品《終端計算機(jī)系統(tǒng)安全等級技術(shù)要求》(GA/T671-2006)《終端計算機(jī)系統(tǒng)測評方法》(GA/T671-2006)《審計產(chǎn)品技術(shù)要求和測評方法》(GB/T20945-2006)《虹膜特征識別技術(shù)要求》(GB/T20979-2007)《虛擬專網(wǎng)安全技術(shù)要求》(GA/T686-2007)《應(yīng)用軟件系統(tǒng)安全等級保護(hù)通用技術(shù)指南》(GA/T711-2007)《應(yīng)用軟件系統(tǒng)安全等級保護(hù)通用測試指南》(GA/T712-2007)《網(wǎng)絡(luò)和終端設(shè)備隔離部件測試評價方法》(GB/T20277-2006)《網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測評方法》(GB/T20280-2006)1.4其他類標(biāo)準(zhǔn)1.4.1風(fēng)險評估《信息安全風(fēng)險評估規(guī)范》(GB/T20984-2007)1.4.2事件管理《信息安全事件管理指南》(GB/Z20985-2007)《信息安全事件分類分級指南》(GB/Z20986-2007)《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》(GB/T20988-2007)各類標(biāo)準(zhǔn)在等級保護(hù)各工作環(huán)節(jié)中的關(guān)系如圖1所示:產(chǎn)品測評建設(shè)定級LIII數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求網(wǎng)絡(luò)和終端設(shè)備隔離部件技術(shù)要求其他產(chǎn)品類標(biāo)準(zhǔn)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求網(wǎng)絡(luò)和終端設(shè)濟(jì)隔離*技未要求其他產(chǎn)品類標(biāo)準(zhǔn)信息系統(tǒng)安全等級保護(hù)實施指南一信息系統(tǒng)安全等級保護(hù)測評過程指南信息系統(tǒng)安全等級保護(hù)測評要求信息系統(tǒng)安全管理要求信息系統(tǒng)通用安全技術(shù)要求信息系統(tǒng)物理安全技術(shù)要求信息系統(tǒng)安全工程管理要求信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則信息系統(tǒng)安全等級保護(hù)定級指南行業(yè)信息系統(tǒng)安全等級保護(hù)定級細(xì)則信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求信息系統(tǒng)安全快理要求信息系統(tǒng)通用安全技術(shù)要求-信息系統(tǒng)安全等級保護(hù)測評要求一信息系統(tǒng)安全等級保護(hù)實施指南信息系統(tǒng)物理安全技術(shù)要求信息系統(tǒng)安全工程管理要求網(wǎng)絡(luò)基祉安全技術(shù)要求信息系統(tǒng)安全等級保護(hù)測評過程指南基本要求的行業(yè)細(xì)則圖1:信息安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)體系2信息安全等級保護(hù)主要標(biāo)準(zhǔn)簡要說明現(xiàn)將信息安全等級保護(hù)標(biāo)準(zhǔn)體系中比較重要的《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》、《信息系統(tǒng)安全等級保護(hù)基本要求》、《信息系統(tǒng)安全等級保護(hù)實施指南》、《信息系統(tǒng)安全等級保護(hù)定級指南》、《信息系統(tǒng)安全管理要求》、《信息系統(tǒng)通用安全技術(shù)要求》、《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》、《信息系統(tǒng)安全工程管理要求》、《信息系統(tǒng)安全等級保護(hù)測評要求》、《信息系統(tǒng)安全等級保護(hù)測評過程指南》等十個標(biāo)準(zhǔn)作一簡要說明。2.1《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(GB17859-1999)2.1.1主要用途本標(biāo)準(zhǔn)對計算機(jī)信息系統(tǒng)的安全保護(hù)能力劃分了五個等級,并明確了各個保護(hù)級別的技術(shù)保護(hù)措施要求。本標(biāo)準(zhǔn)是國家強(qiáng)制性技術(shù)規(guī)范,其主要用途包括:一是用于規(guī)范和指導(dǎo)計算機(jī)信息系統(tǒng)安全保護(hù)有關(guān)標(biāo)準(zhǔn)的制定;二是為安全產(chǎn)品的研究開發(fā)提供技術(shù)支持;三是為計算機(jī)信息系統(tǒng)安全法規(guī)的制定和執(zhí)法部門的監(jiān)督檢查提供依據(jù)。2.1.2主要內(nèi)容本標(biāo)準(zhǔn)界定了計算機(jī)信息系統(tǒng)的基本概念:計算機(jī)信息系統(tǒng)是由計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的、按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)。信息系統(tǒng)安全保護(hù)能力五級劃分。信息系統(tǒng)按照安全保護(hù)能力劃分為五個等級:第一級用戶自主保護(hù)級,第二級系統(tǒng)審計保護(hù)級,第三級安全標(biāo)記保護(hù)級,第四級結(jié)構(gòu)化保護(hù)級,第五級訪問驗證保護(hù)級。從自主訪問控制、強(qiáng)制訪問控制、標(biāo)記、身份鑒別、客體重用、審計、數(shù)據(jù)完整性、隱蔽信道分析、可信路徑、可信恢復(fù)等十個方面,采取逐級增強(qiáng)的方式提出了計算機(jī)信息系統(tǒng)的安全保護(hù)技術(shù)要求。2.1.3使用說明本標(biāo)準(zhǔn)是等級保護(hù)的基礎(chǔ)性標(biāo)準(zhǔn),其提出的某些安全保護(hù)技術(shù)要求受限于當(dāng)前技術(shù)水平尚難以實現(xiàn),但其構(gòu)造的安全保護(hù)體系應(yīng)隨著科學(xué)技術(shù)的發(fā)展逐步落實。2.2《信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T22239-2008)2.2.1主要用途根據(jù)《信息安全等級保護(hù)管理辦法》的規(guī)定,信息系統(tǒng)按照重要性和被破壞后對國家安全、社會秩序、公共利益的危害性分為五個安全保護(hù)等級。不同安全保護(hù)等級的信息系統(tǒng)有著不同的安全需求,為此,針對不同等級的信息系統(tǒng)提出了相應(yīng)的基本安全保護(hù)要求,各個級別信息系統(tǒng)的安全保護(hù)要求構(gòu)成了《信息系統(tǒng)安全等級保護(hù)基本要求》(以下簡稱《基本要求》)?!痘疽蟆芬浴队嬎銠C(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(GB17859-1999)為基礎(chǔ)研究制定,提出了各級信息系統(tǒng)應(yīng)當(dāng)具備的安全保護(hù)能力,并從技術(shù)和管理兩方面提出了相應(yīng)的措施,為信息系統(tǒng)建設(shè)單位和運營使用單位在系統(tǒng)安全建設(shè)中提供參照。2.2.2主要內(nèi)容1總體框架《基本要求》分為基本技術(shù)要求和基本管理要求兩大類,其中技術(shù)要求又分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及其備份恢復(fù)五個方面,管理要求又分為安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運行維護(hù)管理五個方面。技術(shù)要求主要包括身份鑒別、自主訪問控制、強(qiáng)制訪問控制、安全審計、完整性和保密性保護(hù)、邊界防護(hù)、惡意代碼防范、密碼技術(shù)應(yīng)用等,以及物理環(huán)境和設(shè)施安全保護(hù)要求。管理要求主要包括確定安全策略,落實信息安全責(zé)任制,建立安全組織機(jī)構(gòu),加強(qiáng)人員管理、系統(tǒng)建設(shè)和運行維護(hù)的安全管理。提出了機(jī)房安全管理、網(wǎng)絡(luò)安全管理、系統(tǒng)運行維護(hù)管理、系統(tǒng)安全風(fēng)險管理、資產(chǎn)和設(shè)備管理、數(shù)據(jù)及信息安全管理、用戶管理、安全監(jiān)測、備份與恢復(fù)管理、應(yīng)急處置管理、密碼管理、安全審計管理等基本安全管理制度要求,提出了建立崗位和人員管理制度、安全教育培訓(xùn)制度、安全建設(shè)整改的監(jiān)理制度、自行檢查制度等要求。2.2.2.2保護(hù)要求的分級方法由于信息系統(tǒng)分為五個安全保護(hù)等級,其安全保護(hù)能力逐級增高,相應(yīng)的安全保護(hù)要求和措施逐級增強(qiáng),體現(xiàn)在兩個方面:一是隨著信息系統(tǒng)安全級別提高,安全要求的項數(shù)增加;二是隨著信息系統(tǒng)安全級別的提高,同一項安全要求的強(qiáng)度有所增加。例如,三級信息系統(tǒng)基本要求是在二級基本要求的基礎(chǔ)上,在技術(shù)方面增加了網(wǎng)絡(luò)惡意代碼防范、剩余信息保護(hù)、抗抵賴等三項要求。同時,對身份鑒別、訪問控制、安全審計、數(shù)據(jù)完整性及保密性方面的要求在強(qiáng)度上有所增加;在管理方面增加了監(jiān)控管理和安全管理中心等兩項要求,同時對安全管理制度評審、人員安全和系統(tǒng)建設(shè)過程管理提出了進(jìn)一步要求。安全要求的項數(shù)和強(qiáng)度的不同,綜合體現(xiàn)出不同等級信息系統(tǒng)安全要求的級差。2.2.2.3保護(hù)措施分類技術(shù)類安全要求與信息系統(tǒng)提供的技術(shù)安全機(jī)制有關(guān),主要通過在信息系統(tǒng)中部署軟硬件并正確配置其安全功能來實現(xiàn)。根據(jù)保護(hù)側(cè)重點的不同,技術(shù)類安全要求進(jìn)一步細(xì)分為信息安全類要求(簡記為S)、服務(wù)保證類要求(簡記為A)和通用安全保護(hù)類要求(簡記為G)。信息安全類要求是指保護(hù)數(shù)據(jù)在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權(quán)的修改;服務(wù)保證類要求是指保護(hù)系統(tǒng)連續(xù)正常的運行,免受對系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用。管理類安全要求與信息系統(tǒng)中各種角色參與的活動有關(guān),主要通過控制各種角色的活動,從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實現(xiàn)。2.2.3使用說明《基本要求》對第一級信息系統(tǒng)的基本要求僅供用戶參考,按照自主保護(hù)的原則采取必要的安全技術(shù)和管理措施。用戶在進(jìn)行信息系統(tǒng)安全建設(shè)整改時,可以在《基本要求》基礎(chǔ)上,根據(jù)行業(yè)和系統(tǒng)實際,提出特殊安全要求,開展安全建設(shè)整改。《基本要求》給出了各級信息系統(tǒng)每一保護(hù)方面需達(dá)到的要求,不是具體的安全建設(shè)整改方案或作業(yè)指導(dǎo)書,所以,實現(xiàn)基本要求的措施或方式并不局限于《基本要求》給出的內(nèi)容,要結(jié)合系統(tǒng)自身的特點綜合考慮采取的措施來達(dá)到基本要求提出的保護(hù)能力。《基本要求》中不包含安全設(shè)計和工程實施等內(nèi)容,因此,在系統(tǒng)安全建設(shè)整改中,可以參照《信息系統(tǒng)安全等級保護(hù)實施指南》、《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》和《信息系統(tǒng)安全工程管理要求》進(jìn)行?!痘疽蟆肥切畔⑾到y(tǒng)安全建設(shè)整改的目標(biāo),《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》是實現(xiàn)該目標(biāo)的方法和途徑之一?!痘疽蟆肪C合了《信息系統(tǒng)物理安全技術(shù)要求》、《信息系統(tǒng)通用安全技術(shù)要求》和《信息系統(tǒng)安全管理要求》的有關(guān)內(nèi)容,在進(jìn)行系統(tǒng)安全建設(shè)整改方案設(shè)計時可進(jìn)一步參考后三個標(biāo)準(zhǔn)。由于系統(tǒng)定級時是根據(jù)業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級確定的系統(tǒng)安全等級,因此,在進(jìn)行系統(tǒng)安全建設(shè)時,應(yīng)根據(jù)業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級確定《基本要求》中相應(yīng)的安全保護(hù)要求,而通用安全保護(hù)要求要與系統(tǒng)等級對應(yīng)。信息系統(tǒng)運營使用單位在根據(jù)《基本要求》進(jìn)行安全建設(shè)整改方案設(shè)計時,要按照整體安全的原則,綜合考慮安全保護(hù)措施,建立并完善系統(tǒng)安全保障體系,提高系統(tǒng)的整體安全防護(hù)能力。對于《基本要求》中提出的基本安全要求無法實現(xiàn)或有更加有效的安全措施可以替代的,可以對基本安全要求進(jìn)行調(diào)整,調(diào)整的原則是保證不降低整體安全保護(hù)能力。2.3《信息系統(tǒng)安全等級保護(hù)實施指南》(信安字[2007]10號)2.3.1主要用途《信息安全等級保護(hù)管理辦法》(公通字[2007]43號)第九條規(guī)定,信息系統(tǒng)運營、使用單位應(yīng)當(dāng)按照《信息系統(tǒng)安全等級保護(hù)實施指南》具體實施等級保護(hù)工作。信息系統(tǒng)從規(guī)劃設(shè)計到終止運行要經(jīng)歷幾個階段,《信息系統(tǒng)安全等級保護(hù)實施指南》(以下簡稱《實施指南》)用于指導(dǎo)信息系統(tǒng)運營使用單位,在信息系統(tǒng)從規(guī)劃設(shè)計到終止運行的過程中如何按照信息安全等級保護(hù)政策、標(biāo)準(zhǔn)要求實施等級保護(hù)工作。主要內(nèi)容1總體框架《實施指南》正文由9個章節(jié)構(gòu)成:第一、二和三章定義了標(biāo)準(zhǔn)范圍、規(guī)范性引用文件和術(shù)語定義。第四章介紹了等級保護(hù)實施的基本原則、參與角色和幾個主要工作階段。第五章至第九章對于信息系統(tǒng)定級、總體安全規(guī)劃、安全設(shè)計與實施、安全運行與維護(hù)和信息系統(tǒng)終止五個工作階段進(jìn)行了詳細(xì)描述和說明。本標(biāo)準(zhǔn)以信息系統(tǒng)安全等級保護(hù)建設(shè)為主要線索,定義信息系統(tǒng)等級保護(hù)實施的主要階段和過程,包括信息系統(tǒng)定級、總體安全規(guī)劃、安全設(shè)計與實施、安全運行與維護(hù)、信息系統(tǒng)終止等五個階段,對于每一個階段,介紹了主要的工作過程和相關(guān)活動的目標(biāo)、參與角色、輸入條件、活動內(nèi)容、輸出結(jié)果等。2.3.2.2實施等級保護(hù)基本流程對信息系統(tǒng)實施等級保護(hù)的基本流程見圖2。局部調(diào)整圖2信息系統(tǒng)安全等級保護(hù)實施的基本流程等級變更信息系統(tǒng)定級階段內(nèi)容。用于指導(dǎo)信息系統(tǒng)運營使用單位按照國家有關(guān)管理規(guī)范和《信息系統(tǒng)安全等級保護(hù)定級指南》,確定信息系統(tǒng)的安全保護(hù)等級。總體安全規(guī)劃階段內(nèi)容。用于指導(dǎo)信息系統(tǒng)運營使用單位根據(jù)信息系統(tǒng)定級情況,在分析信息系統(tǒng)安全需求基礎(chǔ)上,設(shè)計出科學(xué)、合理的信息系統(tǒng)總體安全方案,并確定安全建設(shè)項目規(guī)劃,以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程實施。局部調(diào)整圖2信息系統(tǒng)安全等級保護(hù)實施的基本流程等級變更安全設(shè)計與實施階段內(nèi)容。用于指導(dǎo)信息系統(tǒng)運營使用單位按照信息系統(tǒng)安全總體方案的要求,結(jié)合信息系統(tǒng)安全建設(shè)項目計劃,進(jìn)行安全方案詳細(xì)設(shè)計,實施安全建設(shè)工程,落實安全保護(hù)技術(shù)措施和安全管理措施。安全運行與維護(hù)階段內(nèi)容。用于指導(dǎo)信息系統(tǒng)運營使用單位通過實施操作管理和控制、變更管理和控制、安全狀態(tài)監(jiān)控、安全事件處置和應(yīng)急預(yù)案、安全評估和持續(xù)改進(jìn)、等級測評以及監(jiān)督檢查等活動,進(jìn)行系統(tǒng)運行的動態(tài)管理。信息系統(tǒng)終止階段內(nèi)容。用于指導(dǎo)信息系統(tǒng)運營使用單位在信息系統(tǒng)被轉(zhuǎn)移、終止或廢棄時,正確處理系統(tǒng)內(nèi)的重要信息,確保信息資產(chǎn)的安全。另外,在安全運行與維護(hù)階段,信息系統(tǒng)因需求變化等原因?qū)е戮植空{(diào)整,而系統(tǒng)的安全保護(hù)等級并未改變,應(yīng)從安全運行與維護(hù)階段進(jìn)入安全設(shè)計與實施階段,重新設(shè)計、調(diào)整和實施安全保護(hù)措施,確保滿足等級保護(hù)的要求;當(dāng)信息系統(tǒng)發(fā)生重大變更導(dǎo)致系統(tǒng)安全保護(hù)等級變化時,應(yīng)從安全運行與維護(hù)階段進(jìn)入信息系統(tǒng)定級階段,開始新一輪信息安全等級保護(hù)的實施過程。2.3.3使用說明本標(biāo)準(zhǔn)屬于指南性標(biāo)準(zhǔn),讀者可通過該標(biāo)準(zhǔn)了解信息系統(tǒng)實施等級保護(hù)的過程、主要內(nèi)容和脈絡(luò),不同角色在不同階段的作用,不同活動的參與角色、活動內(nèi)容等。在實施等級保護(hù)的過程中除了參考本標(biāo)準(zhǔn)外,在不同階段和環(huán)節(jié)中還需要參考和依據(jù)其他相關(guān)標(biāo)準(zhǔn)。例如在定級環(huán)節(jié)可參考《信息系統(tǒng)安全等級保護(hù)定級指南》。在系統(tǒng)建設(shè)環(huán)節(jié)可參考《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》、《信息系統(tǒng)安全等級保護(hù)基本要求》、《信息系統(tǒng)通用安全技術(shù)要求》、《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》等。在等級測評環(huán)節(jié)可參照《信息系統(tǒng)安全等級保護(hù)測評要求》、《信息系統(tǒng)安全等級保護(hù)測評過程指南》等。2.4《信息系統(tǒng)安全等級保護(hù)定級指南》(GB/T22240-2008)2.4.1主要用途《信息安全等級保護(hù)管理辦法》(以下簡稱《管理辦法》)對信息系統(tǒng)的安全保護(hù)等級給出了明確定義。信息系統(tǒng)定級是等級保護(hù)工作的首要環(huán)節(jié),是開展信息系統(tǒng)安全建設(shè)整改、等級測評、監(jiān)督檢查等后續(xù)工作的重要基礎(chǔ)。《信息系統(tǒng)安全等級保護(hù)定級指南》(以下簡稱《定級指南》)依據(jù)《管理辦法》,從信息系統(tǒng)對國家安全、經(jīng)濟(jì)建設(shè)、社會生活的重要作用,信息系統(tǒng)承載業(yè)務(wù)的重要性以及業(yè)務(wù)對信息系統(tǒng)的依賴程度等方面,提出確定信息系統(tǒng)安全保護(hù)等級的方法。主要內(nèi)容《定級指南》包括了定級原理、定級方法以及等級變更等內(nèi)容。2.4.2.1定級原理給出了信息系統(tǒng)五個安全保護(hù)等級的具體定義,將信息系統(tǒng)受到破壞時所侵害的客體和對客體造成侵害的程度等兩方面因素作為信息系統(tǒng)的定級要素,并給出了定級要素與信息系統(tǒng)安全保護(hù)等級的對應(yīng)關(guān)系。2.4.2.2定級方法信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全,與之相關(guān)的受侵害客體和對客體的侵害程度可能不同,因此,信息系統(tǒng)定級可以分別確定業(yè)務(wù)信息安全保護(hù)等級和系統(tǒng)服務(wù)安全保護(hù)等級,并取二者中的較高者為信息系統(tǒng)的安全保護(hù)等級。具體定級方法見圖3:圖3信息系統(tǒng)定級方法2.4.2.3等級變更信息系統(tǒng)的安全保護(hù)等級會隨著信息系統(tǒng)所處理信息或業(yè)務(wù)狀態(tài)的變化而變化,當(dāng)信息系統(tǒng)發(fā)生變化時應(yīng)重新定級并備案。2.4.3使用說明應(yīng)根據(jù)《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》(公信安[2007]861號)要求,參照《定級指南》開展定級工作。2.4.3.1定級工作流程可以參照以下步驟進(jìn)行:(1)摸底調(diào)查,掌握信息系統(tǒng)底數(shù);(2)確定定級對象;(3)初步確定信息系統(tǒng)等級;(4)專家評審;(5)上級主管部門審批;(6)到公安機(jī)關(guān)備案。2.4.3.2定級范圍新建信息系統(tǒng)和已經(jīng)投入運行的信息系統(tǒng)(包括網(wǎng)絡(luò))都要定級。新建信息系統(tǒng)應(yīng)在規(guī)劃設(shè)計階段定級,同步建設(shè)安全設(shè)施、落實安全保護(hù)措施。2.4.3.3等級確定第一、二級信息系統(tǒng)為一般信息系統(tǒng),第三、四、五級信息系統(tǒng)為重要信息系統(tǒng)。重要信息系統(tǒng)是國家和各部門保護(hù)的重點,國家在項目、經(jīng)費、科研等方面將給予重點支持。信息系統(tǒng)的安全保護(hù)等級是信息系統(tǒng)的客觀屬性,在定級時,應(yīng)站在維護(hù)國家信息安全的高度,綜合考慮信息系統(tǒng)遭到破壞后對社會穩(wěn)定的影響,確定信息系統(tǒng)安全保護(hù)等級。具體可參考《信息安全等級保護(hù)工作簡報》第22期。2.4.3.4定級工作指導(dǎo)行業(yè)主管部門可以根據(jù)《定級指南》,結(jié)合行業(yè)特點和信息系統(tǒng)實際情況,出臺定級指導(dǎo)意見,保證同行業(yè)信息系統(tǒng)在不同地區(qū)等級的一致性,指導(dǎo)本行業(yè)信息系統(tǒng)定級工作的開展。2.5《信息系統(tǒng)安全管理要求》(GB/T20269-2006)2.5.1主要用途《信息安全等級保護(hù)管理辦法》明確規(guī)定,信息系統(tǒng)運營使用單位應(yīng)當(dāng)參照《信息系統(tǒng)安全管理要求》、《信息系統(tǒng)安全工程管理要求》、《信息系統(tǒng)安全等級保護(hù)基本要求》等管理規(guī)范,制定并落實符合本系統(tǒng)安全保護(hù)等級要求的安全管理制度。不同安全保護(hù)等級的信息系統(tǒng)有著不同的安全管理需求,為此,針對不同安全等級的信息系統(tǒng)提出了相應(yīng)的安全管理要求。各個等級的安全管理要求構(gòu)成了《信息系統(tǒng)安全管理要求》(以下簡稱“《安全管理要求》”)的基本內(nèi)容?!栋踩芾硪蟆窞樾畔⑾到y(tǒng)運營使用單位的信息系統(tǒng)安全管理策略制定、信息系統(tǒng)安全管理組織體系建設(shè)、信息系統(tǒng)安全管理制度體系建設(shè)、信息系統(tǒng)運維及規(guī)劃建設(shè)管理、信息系統(tǒng)安全管理監(jiān)督檢查、信息系統(tǒng)安全管理體系建立和完善等提供指導(dǎo)和參考。在信息系統(tǒng)安全整改階段進(jìn)行信息系統(tǒng)等級保護(hù)安全管理方案設(shè)計的過程中,也可按照《安全管理要求》所規(guī)定的各個安全保護(hù)等級的安全管理要求,作為建立信息安全管理體系和制定相關(guān)信息安全管理制度、措施的基本依據(jù)。2.5.2主要內(nèi)容1總體框架《安全管理要求》對當(dāng)前信息系統(tǒng)安全普遍適用的安全管理進(jìn)行了全面的描述,對信息和信息系統(tǒng)的安全保護(hù)提出了分等級安全管理的要求,闡述了安全管理要素及其強(qiáng)度,并將管理要求落實到信息安全等級保護(hù)所規(guī)定的五個等級上。《安全管理要求》具體主要由6章和2個附錄組成,其核心內(nèi)容主要從以下八個方面描述:信息系統(tǒng)安全管理文檔體系的建設(shè)要求;信息安全管理的組織保證,規(guī)定了信息安全管理的領(lǐng)導(dǎo)層、管理層以及執(zhí)行機(jī)構(gòu)的要求;信息系統(tǒng)安全管理中的風(fēng)險管理要求;信息系統(tǒng)的環(huán)境和資源管理要求;信息系統(tǒng)的運行和維護(hù)管理要求;信息系統(tǒng)的業(yè)務(wù)連續(xù)性管理要求,提出備份與恢復(fù)、應(yīng)急處理、安全事件處理的要求;信息系統(tǒng)的監(jiān)督和檢查管理要求;系統(tǒng)生存周期管理要求。2.5.2.2安全管理要求的分級描述方式根據(jù)信息系統(tǒng)的五個安全保護(hù)等級的劃分,隨著信息系統(tǒng)安全保護(hù)能力逐級增高,相應(yīng)的安全管理要求也逐級增強(qiáng),體現(xiàn)在管理要素數(shù)量的增加和管理強(qiáng)度的增強(qiáng)兩方面。例如,在描述信息系統(tǒng)安全管理要素“建立安全管理機(jī)構(gòu)”時,在該安全管理要素的標(biāo)題之下,首先簡要說明本要素的作用,然后分列a)配備安全管理人員、b)建立安全職能部門、c)成立安全領(lǐng)導(dǎo)小組、d)主要負(fù)責(zé)人出任領(lǐng)導(dǎo)、e)建立信息安全部門為小標(biāo)題的五個不同強(qiáng)度的管理要求,而且在小標(biāo)題之下還有更細(xì)化的描述。由a)至e)強(qiáng)度逐步提高,并明確規(guī)定不同安全等級應(yīng)有選擇地滿足這些要求的一項。在具體描述時,有些管理要素的管理強(qiáng)度要求在前一強(qiáng)度基礎(chǔ)之上繼續(xù)完成的,會明確指出,如“在a)的基礎(chǔ)上,,疽'。2.5.2.3安全管理要素《安全管理要求》以安全管理要素作為描述安全管理要求的基本組件。信息系統(tǒng)安全管理要素是指,為實現(xiàn)信息系統(tǒng)安全等級保護(hù)所規(guī)定的安全要求,從管理角度應(yīng)采取的控制點,即實施的方法和措施。根據(jù)GB17859對安全保護(hù)等級的劃分,不同的安全保護(hù)等級會有不同的安全管理要求,具體體現(xiàn)在管理要素數(shù)量的增加和管理強(qiáng)度的增強(qiáng)兩方面。這些安全管理要素構(gòu)成信息系統(tǒng)安全管理的基本組件庫,為提出分等級管理要求奠定了基礎(chǔ)。安全管理要素的結(jié)構(gòu)分為三個層次,為便于說明將第一層稱為類,第二層稱為族,第三層為具體的安全管理要素,共計8個類,30個族,98個要素,對于每個管理要素,根據(jù)特定情況分別列出不同的管理強(qiáng)度,最多分為5級,最少可不分級。對信息系統(tǒng)安全管理要素分類劃分為信息系統(tǒng)安全管理的日常措施、監(jiān)督措施和保證措施等相互關(guān)聯(lián)相互制約的三個方面。信息系統(tǒng)安全管理的日常措施方面,包括環(huán)境和資源管理、運行和維護(hù)管理、業(yè)務(wù)連續(xù)性管理等3個類的安全管理要素;監(jiān)督措施方面,包括風(fēng)險管理、監(jiān)督和檢查管理、生存周期管理等3個類的安全管理要素;保證措施方面,包括策略和制度、機(jī)構(gòu)和人員管理等2個類的安全管理要素?!栋踩芾硪蟆穼τ诿總€管理要素冠以不同編碼和標(biāo)題,以便在保護(hù)等級分解描述時引用方便;在安全管理要素的不同強(qiáng)度的標(biāo)題之后,進(jìn)行具體的描述。2.5.2.4安全管理分等級要求《安全管理要求》表述了信息系統(tǒng)安全管理分等級要求,依據(jù)GB17859劃分的五個安全等級,分別對五個安全等級提出了信息系統(tǒng)安全管理要求?!栋踩芾硪蟆芬孕畔⑾到y(tǒng)安全管理的政策和制度、機(jī)構(gòu)和人員管理、風(fēng)險管理、環(huán)境和資源管理、操作和維護(hù)管理、應(yīng)急和備份管理、業(yè)務(wù)連續(xù)性管理、監(jiān)督和檢查管理、生命周期管理等安全管理要素為基礎(chǔ),對每一個安全保護(hù)等級的信息系統(tǒng)的安全管理進(jìn)行全面描述。還說明了信息系統(tǒng)安全管理要素及其強(qiáng)度與信息系統(tǒng)安全管理分等級要求的對應(yīng)關(guān)系。2.5.3使用說明《安全管理要求》主要供下列三類人員使用。信息系統(tǒng)高層管理人員、信息系統(tǒng)使用管理人員和信息系統(tǒng)安全服務(wù)人員。信息系統(tǒng)安全管理制度的制定。信息系統(tǒng)安全管理制度的制定要從實際出發(fā),不要生搬硬套,而是遵循其思想和原則。信息系統(tǒng)安全管理的評估和檢查?!栋踩芾硪蟆房勺鳛樾畔⑾到y(tǒng)安全管理的評估和檢查的依據(jù),具體評估和檢查的實施方法,可進(jìn)一步參考公安行標(biāo)《信息安全技術(shù)信息系統(tǒng)安全管理測評》(GA/T713-2007)。對于《安全管理要求》中提出的一些要求,從目前人員設(shè)置及組織機(jī)構(gòu)的發(fā)展?fàn)顩r來看暫時還難以實現(xiàn)或者需要花費過高管理成本才能實現(xiàn)的安全管理要求,可以采取一些其他的變通方法加以實現(xiàn),但總的原則是保證不降低信息系統(tǒng)的整體安全保護(hù)能力。2.6《信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)2.6.1主要用途不同安全保護(hù)等級的信息系統(tǒng)具有相應(yīng)的安全技術(shù)要求,各個等級的安全技術(shù)要求構(gòu)成了《信息系統(tǒng)通用安全技術(shù)要求》的基本內(nèi)容。本標(biāo)準(zhǔn)涉及組成各類信息系統(tǒng)的計算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、應(yīng)用軟件系統(tǒng)及其所使用的信息技術(shù)產(chǎn)品和信息安全產(chǎn)品中所涉及的安全技術(shù),其主要用途:一是為信息系統(tǒng)選擇安全技術(shù)產(chǎn)品和設(shè)置安全設(shè)備的相應(yīng)安全機(jī)制提供指導(dǎo);二是為這些產(chǎn)品和設(shè)備的相關(guān)安全標(biāo)準(zhǔn)的制定提供參考。2.6.2主要內(nèi)容2.6.2.1總體框架本標(biāo)準(zhǔn)以《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(GB17859-1999)為基礎(chǔ)研究制定,按安全技術(shù)要素,提出了與各個安全保護(hù)等級信息系統(tǒng)相對應(yīng)的安全技術(shù)要素的安全性要求,并從安全功能和安全保證兩方面,對各安全技術(shù)要素應(yīng)具有的安全性提出了要求。本標(biāo)準(zhǔn)由6章和3個附錄組成。在第1章范圍、第2章規(guī)范性引用文件以及第3章術(shù)語、定義和縮略語之后,第4章安全功能技術(shù)要求、第5章安全保證技術(shù)要求和第6章信息系統(tǒng)安全技術(shù)分等級要求,分別對相關(guān)內(nèi)容進(jìn)行描述,共涉及40個安全技術(shù)要素。其中,安全功能技術(shù)要素23個,安全保證技術(shù)要素17個。2.6.2.2內(nèi)容說明安全功能技術(shù)要求。安全功能技術(shù)是指為使安全功能的達(dá)到確定的安全目標(biāo)應(yīng)采取的技術(shù)措施。本標(biāo)準(zhǔn)第4章分別從物理安全、運行安全和數(shù)據(jù)安全等方面對所涉及的安全功能要素的安全技術(shù)要求進(jìn)行了全面描述。安全保證技術(shù)要求。安全保證技術(shù)是指為保證安全功能達(dá)到其安全性要求,從設(shè)計、管理等方面所采取的技術(shù)措施。本標(biāo)準(zhǔn)第5章分別從安全子系統(tǒng)(SSOIS)自身安全保護(hù)、安全子系統(tǒng)設(shè)計和實現(xiàn)、安全子系統(tǒng)安全管理等方面對所涉及的安全保證要素的安全技術(shù)要求進(jìn)行了全面描述。安全技術(shù)分等級要求。按照五個安全保護(hù)等級的劃分,在上述安全功能技術(shù)要求和安全保證技術(shù)要求的基礎(chǔ)上,本標(biāo)準(zhǔn)第6章對第一級到第五級應(yīng)達(dá)到的安全功能技術(shù)要求和安全保證技術(shù)要求分別進(jìn)行了描述。為了便于讀者了解較高一級與前一級的差別,對安全功能技術(shù)要求和安全保證技術(shù)要求的安全要素的增加和安全性的增強(qiáng)部分用“宋體加粗”表示。2.6.3使用說明在開展信息系統(tǒng)等級保護(hù)安全建設(shè)整改工作中,應(yīng)以《信息系統(tǒng)安全等級保護(hù)基本要求》為主,參照本標(biāo)準(zhǔn)落實安全管理制度和安全保護(hù)技術(shù)措施。本標(biāo)準(zhǔn)按安全技術(shù)要素闡述了不同安全等級的安全技術(shù)要求,為信息系統(tǒng)安全設(shè)計時選取相應(yīng)安全等級的安全技術(shù)和安全產(chǎn)品提供參考,并不包含如何按照這些安全技術(shù)要求進(jìn)行等級化信息系統(tǒng)安全設(shè)計、實現(xiàn)和工程實施等方面的內(nèi)容,也不包括與信息系統(tǒng)安全運行管理相關(guān)的內(nèi)容。對于本標(biāo)準(zhǔn)中提出的暫時還難以實現(xiàn)或需要花費過高代價才能實現(xiàn)的安全技術(shù)要求,可以采取一些其他的變通方法加以實現(xiàn),以達(dá)到信息系統(tǒng)所確定的安全保護(hù)要求,但總的原則是保證不降低信息系統(tǒng)的整體安全保護(hù)能力。2.7《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》(信安秘字[2009]059號)2.7.1主要用途本標(biāo)準(zhǔn)依據(jù)《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(GB17859-1999)規(guī)定的信息系統(tǒng)安全保護(hù)能力等級,以及配套系列標(biāo)準(zhǔn)的安全等級保護(hù)技術(shù)要求,給出了五個級別信息系統(tǒng)安全保護(hù)設(shè)計的技術(shù)要求,用于指導(dǎo)信息系統(tǒng)運營使用單位、信息安全企業(yè)、信息安全服務(wù)機(jī)構(gòu)等開展信息系統(tǒng)等級保護(hù)安全技術(shù)設(shè)計。主要內(nèi)容本標(biāo)準(zhǔn)提出了信息系統(tǒng)等級保護(hù)安全設(shè)計的技術(shù)要求,包括第一級至第五級信息系統(tǒng)安全保護(hù)環(huán)境的安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心等方面的設(shè)計技術(shù)要求,以及定級系統(tǒng)互聯(lián)的設(shè)計技術(shù)要求,明確了體現(xiàn)定級系統(tǒng)安全保護(hù)能力的整體控制機(jī)制。1總體框架本標(biāo)準(zhǔn)第4章信息系統(tǒng)等級保護(hù)安全技術(shù)設(shè)計概述,以圖示方式給出了信息系統(tǒng)等級保護(hù)安全技術(shù)設(shè)計框架。第5章到第10章,分別對第一級至第五級系統(tǒng)安全保護(hù)環(huán)境設(shè)計和定級系統(tǒng)互聯(lián)設(shè)計,從設(shè)計目標(biāo)、設(shè)計策略和設(shè)計技術(shù)要求等方面進(jìn)行了描述。附錄A是對訪問控制機(jī)制設(shè)計的描述,附錄B是對第三級系統(tǒng)安全保護(hù)環(huán)境設(shè)計示例的描述。2.7.2.2定級系統(tǒng)安全保護(hù)環(huán)境設(shè)計主要內(nèi)容定級系統(tǒng)進(jìn)行安全保護(hù)的環(huán)境由安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和(或)安全管理中心構(gòu)成。安全計算環(huán)境。安全計算環(huán)境是對定級系統(tǒng)的信息進(jìn)行存儲、處理及實施安全策略的相關(guān)部件。安全計算環(huán)境按照保護(hù)能力劃分為第一級安全計算環(huán)境、第二級安全計算環(huán)境、第三級安全計算環(huán)境、第四級安全計算環(huán)境和第五級安全計算環(huán)境。第三級安全計算環(huán)境從以下方面進(jìn)行安全設(shè)計:用戶身份鑒別、自主訪問控制、標(biāo)記和強(qiáng)制訪問控制、系統(tǒng)安全審計、用戶數(shù)據(jù)完整性保護(hù)、用戶數(shù)據(jù)保密性保護(hù)、客體安全重用、程序可信執(zhí)行保護(hù)。安全區(qū)域邊界。安全區(qū)域邊界是對定級系統(tǒng)的安全計算環(huán)境邊界,以及安全計算環(huán)境與安全通信網(wǎng)絡(luò)之間實現(xiàn)連接并實施安全策略的相關(guān)部件。安全區(qū)域邊界按照保護(hù)能力劃分為第一級安全區(qū)域邊界、第二級安全區(qū)域邊界、第三級安全區(qū)域邊界、第四級安全區(qū)域邊界和第五級安全區(qū)域邊界。第三級安全區(qū)域邊界從以下方面進(jìn)行安全設(shè)計:區(qū)域邊界訪問控制、區(qū)域邊界包過濾、區(qū)域邊界安全審計、區(qū)域邊界完整性保護(hù)。安全通信網(wǎng)絡(luò)。安全通信網(wǎng)絡(luò)是對定級系統(tǒng)安全計算環(huán)境之間進(jìn)行信息傳輸及實施安全策略的相關(guān)部件。安全通信網(wǎng)絡(luò)按照保護(hù)能力劃分第一級安全通信網(wǎng)絡(luò)、第二級安全通信網(wǎng)絡(luò)、第三級安全通信網(wǎng)絡(luò)、第四級安全通信網(wǎng)絡(luò)和第五級安全通信網(wǎng)絡(luò)。第三級安全通信網(wǎng)絡(luò)從以下方面進(jìn)行安全設(shè)計:通信網(wǎng)絡(luò)安全審計、通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)、通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)、通信網(wǎng)絡(luò)可信接入保護(hù)。安全管理中心。安全管理中心是對定級系統(tǒng)的安全策略及安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)上的安全機(jī)制實施統(tǒng)一管理的平臺。第三級(含)以上的定級系統(tǒng)安全保護(hù)環(huán)境需要設(shè)置安全管理中心,分別稱為第三級安全管理中心、第四級安全管理中心和第五級安全管理中心。第二級信息系統(tǒng)可以選擇配置第二級安全管理中心。安全管理中心設(shè)計主要從系統(tǒng)管理、安全管理和審計管理三方面考慮??缍壪到y(tǒng)安全管理中心??缍壪到y(tǒng)安全管理中心是對相同或不同等級的定級系統(tǒng)之間互聯(lián)的安全策略及安全互聯(lián)部件上的安全機(jī)制實施統(tǒng)一管理的平臺??缍壪到y(tǒng)安全管理中心設(shè)計技術(shù)要求:應(yīng)通過安全通信網(wǎng)絡(luò)部件與各定級系統(tǒng)安全保護(hù)環(huán)境中的安全管理中心相連,主要實施跨定級系統(tǒng)的系統(tǒng)管理、安全管理和審計管理。2.7.3使用說明本標(biāo)準(zhǔn)突出從“計算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡(luò)安全和安全管理中心”四方面對信息系統(tǒng)進(jìn)行安全技術(shù)設(shè)計。在安全設(shè)計中應(yīng)注意各安全技術(shù)和機(jī)制之間的相互關(guān)聯(lián),通過對安全技術(shù)、機(jī)制和產(chǎn)品的有機(jī)集成,使信息系統(tǒng)安全保護(hù)技術(shù)能力符合其安全等級的保護(hù)要求。本標(biāo)準(zhǔn)不包括信息系統(tǒng)物理安全、安全管理、安全運維等方面的安全要求,所以,在進(jìn)行信息系統(tǒng)安全建設(shè)整改方案設(shè)計時,應(yīng)與《信息系統(tǒng)安全等級保護(hù)基本要求》等標(biāo)準(zhǔn)配合使用。信息系統(tǒng)安全建設(shè)整改的管理和技術(shù)目標(biāo)是落實《信息系統(tǒng)安全等級保護(hù)基本要求》,而利用本標(biāo)準(zhǔn)進(jìn)行信息系統(tǒng)安全技術(shù)設(shè)計是實現(xiàn)目標(biāo)的方法之一。2.8《信息系統(tǒng)安全工程管理要求》(GB/T20282-2006)2.8.1主要用途不同安全保護(hù)等級的信息系統(tǒng)有著不同的安全工程管理需求,安全工程由安全等級、保證與實施要求兩個維度組成,不同等級要求的安全工程對應(yīng)不同的保證與實施要求。為此,針對不同等級信息系統(tǒng)的具體要求構(gòu)成了安全工程管理要求體系。保證要求、實施要求、安全工程管理分等級要求和安全工程流程與安全工程要求構(gòu)成了《信息系統(tǒng)安全工程管理要求》(以下簡稱《工程管理要求》)。《工程管理要求》以《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》為基礎(chǔ)研究制定,規(guī)定了信息系統(tǒng)安全工程管理的不同要求,為信息系統(tǒng)建設(shè)的需求方、實施方與第三方工程實施在系統(tǒng)安全建設(shè)中提供參照,各方可以此為依據(jù)建立安全工程管理體系。2.8.2主要內(nèi)容2.8.2.1總體框架《工程管理要求》分為保證要求和實施要求兩大類,其中保證要求是由資格保證要求和組織保證要求構(gòu)成,實施要求是由工程實施要求和項目實施要求構(gòu)成。資格保證要求包括系統(tǒng)集成資質(zhì)、人員資質(zhì)、第三方服務(wù)資質(zhì)、安全產(chǎn)品資質(zhì)、工程監(jiān)理資質(zhì)、法律法規(guī)政策符合性要求;組織保證要求包括定義組織的系統(tǒng)工程過程、改進(jìn)組織的系統(tǒng)工程過程、過量系列產(chǎn)品演化、管理系統(tǒng)工程支持環(huán)境、培訓(xùn)、與供應(yīng)商協(xié)調(diào)。工程實施要求包括管理安全控制、評估影響、評估安全風(fēng)險、評估威脅、評估脆弱性、建立保證論據(jù)、協(xié)調(diào)安全、監(jiān)視安全態(tài)勢、提供安全輸入、指定安全要求、驗證和確認(rèn)安全性;項目實施要求包括質(zhì)量保證、管理配置、管理項目風(fēng)險、監(jiān)視技術(shù)活動、計劃及時活動。2.8.2.2基本關(guān)系安全工程由安全等級、保證與實施要求兩個維度組成,不同等級要求的安全工程對應(yīng)不同的保證與實施要求。資格保證要求表示信息安全工程中對應(yīng)具備一定能力級別的實施方或與工程相關(guān)第三方資質(zhì)的要求;組織保證要求表示信息安全工程過程要求中對需求方組織保證的要求;工程實施要求表示信息安全工程中對安全實施過程的要求;項目實施要求表示信息安全工程中對項目實施過程的要求。2.8.2.3保護(hù)要求的分級方法由于信息系統(tǒng)分為五個安全保護(hù)等級,其安全保護(hù)能力逐級增高,相應(yīng)的安全工程管理要求逐級增強(qiáng),體現(xiàn)在隨著信息系統(tǒng)安全級別的提高,同一項安全工程管理要求的強(qiáng)度有所增加。例如,三級信息系統(tǒng)安全工程管理要求是在二級安全工程管理要求的基礎(chǔ)上,在資格保證、組織保證、工程實施和項目實施的要求強(qiáng)度上都有所增加。在資格保證方面增加了對安全工程監(jiān)理管理制度的要求;在組織保證方面增加了收集過程資產(chǎn)、確保關(guān)鍵組件的可用性等的要求;在工程實施方面增加了評估安全風(fēng)險和威脅的可能性等的要求;在項目實施方面增加了溝通配置狀況和分析項目問題等的要求。安全工程管理要求的強(qiáng)度的不同,綜合體現(xiàn)出不同等級信息系統(tǒng)安全工程管理要求的級差。2.8.2.4安全工程流程與安全工程要求信息系統(tǒng)安全工程的全部流程可被劃分為5個階段,即:起始、設(shè)計、建設(shè)、運行和維護(hù)、廢棄。安全保護(hù)的各級安全工程要求體現(xiàn)在安全過程的部分或全部階段中,在全部安全工程要求中,組織保證要求和項目實施要求貫穿于項目實施的各個階段,而資格保證要求和工程實施要求則與具體的一個或多個項目實施階段有較強(qiáng)的聯(lián)系。2.8.3使用說明《工程管理要求》不適用于涉密信息系統(tǒng)安全工程建設(shè),對第一級信息系統(tǒng)的安全工程管理要求僅供用戶參考,按照自主保護(hù)的原則制定安全工程管理體系。《工程管理要求》給出了各級信息系統(tǒng)建設(shè)時在安全工程管理每一方面需達(dá)到的要求,不是具體的安全工程管理體系,所以,實現(xiàn)安全工程管理要求的管理體系并不局限于《工程管理要求》給出的內(nèi)容,要結(jié)合系統(tǒng)建設(shè)的特點綜合考慮安全管理體系來達(dá)到安全工程管理要求提出的保障能
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 廣東省江門市重點中學(xué)2025屆高考數(shù)學(xué)三模試卷含解析
- 河南省商丘名校2025屆高三3月份模擬考試英語試題含解析
- 山東省沂水縣2025屆高三適應(yīng)性調(diào)研考試英語試題含解析
- 深圳高級中學(xué)2025屆高三第三次模擬考試英語試卷含解析
- 現(xiàn)代學(xué)徒制課題:現(xiàn)場工程師專項培養(yǎng)計劃政策保障研究(附:研究思路模板、可修改技術(shù)路線圖)
- 四川省峨眉第二中學(xué)2025屆高三第四次模擬考試英語試卷含解析
- 新疆石河子高級中學(xué)2025屆高考數(shù)學(xué)倒計時模擬卷含解析
- 陜西省西安高中2025屆高三沖刺模擬數(shù)學(xué)試卷含解析
- 廣東省佛山市普通高中2025屆高三壓軸卷英語試卷含解析
- 2025屆云南省曲靖市西南名校高三第六次模擬考試數(shù)學(xué)試卷含解析
- 2022年北京語言大學(xué)各單位新編長聘人員招聘需求筆試備考題庫及答案解析
- 《蛋糕裱花必修技術(shù)》PPT完整版
- SHT39032017監(jiān)理規(guī)范表格(中文版)
- 鈴蘭花節(jié)專題講座
- 社會組織服務(wù)管理工作的思考
- 完整解讀中華人民共和國政府信息公開條例課件
- 收款賬戶確認(rèn)書四篇
- 浙江高考語文材料作文分類訓(xùn)練:傳統(tǒng)美德類
- GB/T 4336-2016碳素鋼和中低合金鋼多元素含量的測定火花放電原子發(fā)射光譜法(常規(guī)法)
- 理性作文600字合集九篇
- 傳感器與檢測系統(tǒng)信號處理技術(shù)
評論
0/150
提交評論