信息安全等級(jí)保護(hù)技術(shù)交流材料

信息安全等級(jí)保護(hù)技術(shù)

11提綱等級(jí)保護(hù)總體介紹2等級(jí)保護(hù)定級(jí)介紹1等級(jí)保護(hù)設(shè)計(jì)實(shí)施3等級(jí)保護(hù)系統(tǒng)測(cè)評(píng)42什么是信息安全等級(jí)保護(hù)信息安全等級(jí)保護(hù)，是指對(duì)國(guó)家秘密信息及公民、法人和其他組織的專有信息以及公開(kāi)信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。

－－《信息安全等級(jí)保護(hù)管理辦法（試行）》

3等級(jí)保護(hù)的政策法規(guī)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（1994年）其中規(guī)定，“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)，安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門制定”

信息系統(tǒng)安全等級(jí)保護(hù)的政策法規(guī)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（公通字[2004]66號(hào)）《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（公信安[2007]861號(hào)）《關(guān)于印發(fā)北京市開(kāi)展信息安全等級(jí)保護(hù)工作的實(shí)施方案的通知》(京公網(wǎng)監(jiān)字[2007]788號(hào))

4等級(jí)保護(hù)的技術(shù)標(biāo)準(zhǔn)和管理規(guī)范基礎(chǔ)標(biāo)準(zhǔn)：《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則》（GB17859）基線標(biāo)準(zhǔn)：《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（國(guó)標(biāo)報(bào)批稿）輔助標(biāo)準(zhǔn)：《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（國(guó)標(biāo)報(bào)批稿）《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（國(guó)標(biāo)報(bào)批稿）《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》（國(guó)標(biāo)報(bào)批稿）目標(biāo)標(biāo)準(zhǔn)：《信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271）《網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270）《操作系統(tǒng)安全技術(shù)要求》（GB/T20272）《數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》（GB/T20273）《終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》（GA/T671）《信息系統(tǒng)安全管理要求》（GB/T20269）《信息系統(tǒng)安全工程管理要求》（GB/T20282）5技術(shù)標(biāo)準(zhǔn)和管理規(guī)范的作用技術(shù)標(biāo)準(zhǔn)和管理規(guī)范信息系統(tǒng)定級(jí)信息系統(tǒng)安全建設(shè)或改建安全狀況達(dá)到等級(jí)保護(hù)要求的信息系統(tǒng)6等級(jí)變更局部調(diào)整信息系統(tǒng)定級(jí)總體安全規(guī)劃安全設(shè)計(jì)與實(shí)施安全運(yùn)行維護(hù)信息系統(tǒng)終止信息系統(tǒng)安全等級(jí)保護(hù)流程安全等級(jí)評(píng)測(cè)7標(biāo)準(zhǔn)規(guī)范在等級(jí)保護(hù)流程中的作用安全控制定級(jí)指南過(guò)程方法確定系統(tǒng)等級(jí)啟動(dòng)采購(gòu)/開(kāi)發(fā)實(shí)施運(yùn)行/維護(hù)廢棄確定安全需求設(shè)計(jì)安全方案安全建設(shè)安全測(cè)評(píng)監(jiān)督管理運(yùn)行維護(hù)暫不考慮特殊需求等級(jí)需求基本要求產(chǎn)品使用選型監(jiān)督管理測(cè)評(píng)準(zhǔn)則流程方法監(jiān)管流程應(yīng)急預(yù)案應(yīng)急響應(yīng)8三種受侵害的客體體現(xiàn)了三種不同層次、不同覆蓋范圍的社會(huì)關(guān)系國(guó)家安全體現(xiàn)了國(guó)家層面、與全局相關(guān)的國(guó)家政治安全、軍事安全、經(jīng)濟(jì)安全、社會(huì)安全、科技安全和資源環(huán)境安全等方面利益。社會(huì)秩序和公共利益包括社會(huì)的政治、經(jīng)濟(jì)、生產(chǎn)、生活、科研、工作等各方面的正常秩序。公共利益是指不特定的社會(huì)成員所共同享有的，維持其生產(chǎn)、生活、教育、衛(wèi)生等方面的利益。合法權(quán)益是法律確認(rèn)的并受法律保護(hù)的公民、法人和其他組織所享有的一定的社會(huì)權(quán)利和利益，三類受侵害客體9定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系受侵害的客體對(duì)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)10安全全保保護(hù)護(hù)等等級(jí)級(jí)的的劃劃分分1111提綱等級(jí)保護(hù)護(hù)總體介介紹1等級(jí)保護(hù)護(hù)定級(jí)介介紹等級(jí)保護(hù)護(hù)設(shè)計(jì)實(shí)實(shí)施32等級(jí)保護(hù)護(hù)系統(tǒng)測(cè)測(cè)評(píng)412信息系統(tǒng)統(tǒng)安全保保護(hù)等級(jí)級(jí)定級(jí)原原則等級(jí)確定定原則和和要求“自主定級(jí)級(jí)、自主主保護(hù)”與國(guó)家監(jiān)管管相統(tǒng)一原原則“誰(shuí)主管誰(shuí)誰(shuí)負(fù)責(zé)，，誰(shuí)運(yùn)營(yíng)營(yíng)誰(shuí)負(fù)責(zé)責(zé)”的原則則定級(jí)工作作的要求求加強(qiáng)領(lǐng)導(dǎo)導(dǎo)，落實(shí)實(shí)保障明確責(zé)任任，密切切配合動(dòng)員部署署，開(kāi)展展培訓(xùn)及時(shí)總結(jié)結(jié)，提出出建議13S類—業(yè)務(wù)信息息安全保保護(hù)類，關(guān)注的的是保護(hù)護(hù)數(shù)據(jù)在在存儲(chǔ)、、傳輸、、處理過(guò)過(guò)程中不不被泄漏漏、破壞壞和免受受未授權(quán)權(quán)的修改改A類—系統(tǒng)服務(wù)務(wù)安全保保護(hù)類，關(guān)注的的是保護(hù)護(hù)系統(tǒng)連連續(xù)正常常的運(yùn)行行，避免免因?qū)ο迪到y(tǒng)的未未授權(quán)修修改、破破壞而導(dǎo)導(dǎo)致系統(tǒng)統(tǒng)不可用用G類—通用安全全保護(hù)類類，既關(guān)注注保護(hù)業(yè)業(yè)務(wù)信息息的安全全性，同同時(shí)也關(guān)關(guān)注保護(hù)護(hù)系統(tǒng)的的連續(xù)可可用性例如，以以S2表示2級(jí)的業(yè)務(wù)務(wù)信息安安全保護(hù)護(hù)類要求求，A3表示3級(jí)的系統(tǒng)統(tǒng)服務(wù)安安全保護(hù)護(hù)類要求求。信息系統(tǒng)統(tǒng)三類要要求14信息系統(tǒng)統(tǒng)三類要要求之間間的關(guān)系系通用安全全保護(hù)類類要求（（G）業(yè)務(wù)信息息安全類類（S）系統(tǒng)服務(wù)務(wù)保證類類（A）安全要求求15信息系統(tǒng)統(tǒng)安全保保護(hù)等級(jí)級(jí)的確定定1、確定定定級(jí)對(duì)象象3、綜合評(píng)評(píng)定對(duì)客客體的侵侵害程度度2、確定業(yè)業(yè)務(wù)信息息安全受受到破壞壞時(shí)所侵侵害的客客體4、業(yè)務(wù)信信息安全全等級(jí)6、綜合評(píng)評(píng)定對(duì)客5、確定系系統(tǒng)服務(wù)務(wù)安全受7、系統(tǒng)服服務(wù)安全全等級(jí)8、定級(jí)對(duì)對(duì)象的安安全保護(hù)護(hù)等級(jí)16安全保護(hù)護(hù)和系統(tǒng)統(tǒng)定級(jí)的的關(guān)系安全等級(jí)信息系統(tǒng)保護(hù)要求的組合第一級(jí)S1A1G1第二級(jí)S1A2G2，S2A2G2，S2A1G2第三級(jí)S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級(jí)S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4定級(jí)指南南要求按按照“業(yè)業(yè)務(wù)信息息”和““系統(tǒng)服服務(wù)”的的需求確確定整個(gè)個(gè)系統(tǒng)的的安全保保護(hù)等級(jí)級(jí)系統(tǒng)的安安全保護(hù)護(hù)等級(jí)=L(信息等級(jí)級(jí)，服務(wù)務(wù)等級(jí))=Max(信息等級(jí)級(jí)，服務(wù)務(wù)等級(jí)））例如：L(3,1)=L(3,2)=L(3,3)=L(1,3)=L(2,3)=31717提綱等級(jí)保護(hù)護(hù)總體介介紹1等級(jí)保護(hù)護(hù)定級(jí)介介紹等級(jí)保護(hù)護(hù)設(shè)計(jì)實(shí)實(shí)施23等級(jí)保護(hù)護(hù)系統(tǒng)測(cè)測(cè)評(píng)418《基本要要求》的的作用安全保護(hù)護(hù)能力基本安全全要求每個(gè)等級(jí)級(jí)的信息息系統(tǒng)基本技術(shù)術(shù)措施基本管理理措施具備包含包含滿足滿足實(shí)現(xiàn)19《基本要求求》核心思路路信息系統(tǒng)統(tǒng)技術(shù)要求求管理要求求基本要求求建立安全全技術(shù)體體系建立安全全管理體體系具有某級(jí)級(jí)安全保保護(hù)能力力的系統(tǒng)統(tǒng)20各級(jí)系統(tǒng)統(tǒng)的保護(hù)護(hù)要求差差異（宏宏觀）一級(jí)系統(tǒng)統(tǒng)二級(jí)系統(tǒng)統(tǒng)三級(jí)系統(tǒng)統(tǒng)四級(jí)系統(tǒng)統(tǒng)防護(hù)防護(hù)/監(jiān)測(cè)策略/防護(hù)/監(jiān)測(cè)/恢復(fù)策略/防護(hù)/監(jiān)測(cè)/恢復(fù)/響應(yīng)21各級(jí)系統(tǒng)統(tǒng)的保護(hù)護(hù)要求差差異（宏宏觀）一級(jí)系統(tǒng)統(tǒng)二級(jí)系統(tǒng)統(tǒng)三級(jí)系統(tǒng)統(tǒng)四級(jí)系統(tǒng)統(tǒng)通信/邊界（基基本）通信/邊界/內(nèi)部（關(guān)關(guān)鍵設(shè)備備）通信/邊界/內(nèi)部（主主要設(shè)備備）通信/邊界/內(nèi)部/基礎(chǔ)設(shè)施施（所有有設(shè)備））22各級(jí)系統(tǒng)統(tǒng)的保護(hù)護(hù)管理要要求差異異（宏觀觀）一級(jí)系統(tǒng)統(tǒng)二級(jí)系統(tǒng)統(tǒng)三級(jí)系統(tǒng)統(tǒng)四級(jí)系統(tǒng)統(tǒng)計(jì)劃和跟跟蹤（主主要制度度）計(jì)劃和跟蹤蹤（主要制制度）良好定義（（管理活動(dòng)動(dòng)制度化））持續(xù)改進(jìn)（（管理活動(dòng)動(dòng)制度化/及時(shí)改進(jìn)））23各級(jí)系統(tǒng)的的保護(hù)要求求差異（微微觀）信息系統(tǒng)物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)機(jī)構(gòu)安全管理制制度人員安全管管理系統(tǒng)建設(shè)管管理系統(tǒng)運(yùn)維管管理24各級(jí)系統(tǒng)安安全保護(hù)要要求-物理安全控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)物理位置的選擇***物理訪問(wèn)控制****防盜竊和防破壞****防雷擊****防火****防水和防潮****防靜電***溫濕度控制****電力供應(yīng)****電磁防護(hù)***合計(jì)710101025各級(jí)系統(tǒng)安安全保護(hù)要要求-物理安全一級(jí)物理安安全要求：主要要求求對(duì)物理環(huán)環(huán)境進(jìn)行基基本的防護(hù)護(hù)，對(duì)出入入進(jìn)行基本本控制，環(huán)環(huán)境安全能能夠?qū)ψ匀蝗煌{進(jìn)行行基本的防防護(hù)，電力力則要求提提供供電電電壓的正常常。二級(jí)物理安安全要求：對(duì)物理安安全進(jìn)行了了進(jìn)一步的的防護(hù)，不不僅對(duì)出入入進(jìn)行基本本的控制，，對(duì)進(jìn)入后后的活動(dòng)也也要進(jìn)行控控制；物理理環(huán)境方面面，則加強(qiáng)強(qiáng)了各方面面的防護(hù)，，采取更細(xì)細(xì)的要求來(lái)來(lái)多方面進(jìn)進(jìn)行防護(hù)。。三級(jí)物理安安全要求：對(duì)出入加加強(qiáng)了控制制，做到人人、電子設(shè)設(shè)備共同監(jiān)監(jiān)控；物理理環(huán)境方面面，進(jìn)一步步采取各種種控制措施施來(lái)進(jìn)行防防護(hù)。如，，防火要求求，不僅要要求自動(dòng)消消防系統(tǒng)，，而且要求求區(qū)域隔離離防火，建建筑材料防防火等方面面，將防火火的范圍增增大，從而而使火災(zāi)發(fā)發(fā)生的幾率率和損失降降低。四級(jí)物理安安全要求：對(duì)機(jī)房出出入的要求求進(jìn)一步增增強(qiáng)，要求求多道電子子設(shè)備監(jiān)控控；物理環(huán)環(huán)境方面，，要求采用用一定的防防護(hù)設(shè)備進(jìn)進(jìn)行防護(hù)，，如靜電消消除裝置等等。26各級(jí)系統(tǒng)安安全保護(hù)要要求-網(wǎng)絡(luò)安全控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)結(jié)構(gòu)安全****訪問(wèn)控制****安全審計(jì)***邊界完整性檢查***入侵防范***惡意代碼防范**網(wǎng)絡(luò)設(shè)備防護(hù)****合計(jì)367727各級(jí)系統(tǒng)安安全保護(hù)要要求-網(wǎng)絡(luò)安全一級(jí)網(wǎng)絡(luò)安安全要求：主要提供供網(wǎng)絡(luò)安全全運(yùn)行的基基本保障，，包括網(wǎng)絡(luò)絡(luò)結(jié)構(gòu)能夠夠基本滿足足業(yè)務(wù)運(yùn)行行需要，網(wǎng)網(wǎng)絡(luò)邊界處處對(duì)進(jìn)出的的數(shù)據(jù)包頭頭進(jìn)行基本本過(guò)濾等訪訪問(wèn)控制措措施。二級(jí)網(wǎng)絡(luò)安安全要求：不僅要滿滿足網(wǎng)絡(luò)安安全運(yùn)行的的基本保障障，同時(shí)還還要考慮網(wǎng)網(wǎng)絡(luò)處理能能力要滿足足業(yè)務(wù)極限限時(shí)的需要要。對(duì)網(wǎng)絡(luò)絡(luò)邊界的訪訪問(wèn)控制粒粒度進(jìn)一步步增強(qiáng)。同同時(shí)，加強(qiáng)強(qiáng)了網(wǎng)絡(luò)邊邊界的防護(hù)護(hù)，增加了了安全審計(jì)、、邊界完整整性檢查、、入侵防范范等控制點(diǎn)。。對(duì)網(wǎng)絡(luò)設(shè)設(shè)備的防護(hù)護(hù)不僅局限限于簡(jiǎn)單的的身份鑒別別，同時(shí)對(duì)對(duì)標(biāo)識(shí)和鑒鑒別信息都都有了相應(yīng)應(yīng)的要求。。三級(jí)網(wǎng)絡(luò)安安全要求：對(duì)網(wǎng)絡(luò)處處理能力增增加了“優(yōu)優(yōu)先級(jí)”考考慮，保證證重要主機(jī)機(jī)能夠在網(wǎng)網(wǎng)絡(luò)擁堵時(shí)時(shí)仍能夠正正常運(yùn)行；；網(wǎng)絡(luò)邊界界的訪問(wèn)控控制擴(kuò)展到到應(yīng)用層，，網(wǎng)絡(luò)邊界界的其他防防護(hù)措施進(jìn)進(jìn)一步增強(qiáng)強(qiáng)，不僅能能夠被動(dòng)的的“防”，，還應(yīng)能夠夠主動(dòng)發(fā)出出一些動(dòng)作作，如報(bào)警警、阻斷等等。網(wǎng)絡(luò)設(shè)設(shè)備的防護(hù)護(hù)手段要求求兩種身份份鑒別技術(shù)術(shù)綜合使用用。四級(jí)網(wǎng)絡(luò)安安全要求：對(duì)網(wǎng)絡(luò)邊邊界的訪問(wèn)問(wèn)控制做出出了更為嚴(yán)嚴(yán)格的要求求，禁止遠(yuǎn)遠(yuǎn)程撥號(hào)訪訪問(wèn)，不允允許數(shù)據(jù)帶帶通用協(xié)議議通過(guò)；邊邊界的其他他防護(hù)措施施也加強(qiáng)了了要求。網(wǎng)網(wǎng)絡(luò)安全審審計(jì)著眼于于全局，做做到集中審審計(jì)分析，，以便得到到更多的綜綜合信息。。網(wǎng)絡(luò)設(shè)備備的防護(hù)，，在身份鑒鑒別手段上上除要求兩兩種技術(shù)外外，其中一一種鑒別技技術(shù)必須是是不可偽造造的，進(jìn)一一步加強(qiáng)了了對(duì)網(wǎng)絡(luò)設(shè)設(shè)備的防護(hù)護(hù)。28網(wǎng)絡(luò)安全程程度說(shuō)明結(jié)構(gòu)安全：：1級(jí)提供基本本保障；2級(jí)要滿足高高峰需要并并以網(wǎng)段形形式分隔；；3級(jí)增加優(yōu)先級(jí)保障重要主主機(jī)；4級(jí)同3級(jí)訪問(wèn)控制：：1級(jí)進(jìn)行包頭頭信息的過(guò)過(guò)濾；2級(jí)根據(jù)會(huì)話話過(guò)濾、粒粒度細(xì)化、、限制訪問(wèn)問(wèn)用戶數(shù)量量；3級(jí)過(guò)濾粒度度擴(kuò)展到了了應(yīng)用層，，對(duì)設(shè)備接接入網(wǎng)絡(luò)進(jìn)進(jìn)行控制；；4級(jí)對(duì)數(shù)據(jù)協(xié)議以以及敏感標(biāo)標(biāo)記進(jìn)行控控制，禁止遠(yuǎn)程程撥號(hào)訪問(wèn)問(wèn)安全全審審計(jì)計(jì)：：2級(jí)記記錄錄設(shè)設(shè)備備運(yùn)運(yùn)行行和和網(wǎng)網(wǎng)絡(luò)絡(luò)流流量量；；3級(jí)要要求求分分析析形形成成報(bào)報(bào)表表、、保保護(hù)護(hù)審審計(jì)計(jì)記記錄錄；；4級(jí)設(shè)設(shè)置置審審計(jì)計(jì)跟跟蹤蹤極極限限閾閾值值，，做做到到集集中中審審計(jì)計(jì)。。（（其其中中要要求求發(fā)出報(bào)警、阻阻斷工作）29網(wǎng)絡(luò)安全程度度說(shuō)明邊界完整性檢檢查：2級(jí)檢測(cè)到內(nèi)部部的非法聯(lián)出出情況；3級(jí)能夠準(zhǔn)確定位并阻阻斷；4級(jí)同3級(jí)入侵防范：2級(jí)能夠檢測(cè)常常見(jiàn)攻擊的發(fā)發(fā)生；3級(jí)能發(fā)出報(bào)警警；4級(jí)自動(dòng)采取相相應(yīng)動(dòng)作阻斷惡意代碼防范范：3級(jí)、4級(jí)在網(wǎng)絡(luò)邊界界處防范惡意意代碼，并保保持代碼庫(kù)的的及時(shí)更新網(wǎng)絡(luò)設(shè)備防護(hù)護(hù)：1級(jí)基本的登錄錄鑒別；2級(jí)鑒別標(biāo)識(shí)唯唯一、鑒別信信息復(fù)雜；；3級(jí)兩種以上鑒鑒別技術(shù)，特特權(quán)用戶權(quán)限限分離；4級(jí)其中一種鑒鑒別技術(shù)為是是不可偽造的的30各級(jí)系統(tǒng)安全全保護(hù)要求-主機(jī)安全控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)身份鑒別****安全標(biāo)記*訪問(wèn)控制****可信路徑*安全審計(jì)***剩余信息保護(hù)**入侵防范****惡意代碼防范****資源控制***合計(jì)467931各級(jí)系統(tǒng)安全全保護(hù)要求-主機(jī)安全一級(jí)主機(jī)系統(tǒng)統(tǒng)安全要求：：對(duì)主機(jī)進(jìn)行基基本的防護(hù)，，要求主機(jī)做做到簡(jiǎn)單的身身份鑒別，粗粗粒度的訪問(wèn)問(wèn)控制以及重重要主機(jī)能夠夠進(jìn)行惡意代代碼防范。二級(jí)主機(jī)系統(tǒng)統(tǒng)安全要求：：在控制點(diǎn)上增增加了安全審計(jì)和資資源控制等。同時(shí)，對(duì)對(duì)身份鑒別和和訪問(wèn)控制都都進(jìn)一步加強(qiáng)強(qiáng)，鑒別的標(biāo)標(biāo)識(shí)、信息等等都提出了具具體的要求；；訪問(wèn)控制的的粒度進(jìn)行了了細(xì)化等，惡惡意代碼增加加了統(tǒng)一管理理等。三級(jí)主機(jī)系統(tǒng)統(tǒng)安全要求：在控制點(diǎn)上上增加了剩余信息保護(hù)護(hù)，即，訪問(wèn)控控制增加了設(shè)設(shè)置敏感標(biāo)記記等，力度變變強(qiáng)。同樣，，身份鑒別的的力度進(jìn)一步步增強(qiáng)，要求求兩種以上鑒鑒別技術(shù)同時(shí)時(shí)使用。安全全審計(jì)已不滿滿足于對(duì)安全全事件的記錄錄，而要進(jìn)行行分析、生成成報(bào)表。對(duì)惡惡意代碼的防防范綜合考慮慮網(wǎng)絡(luò)上的防防范措施，做做到二者相互互補(bǔ)充。對(duì)資資源控制的增增加了對(duì)服務(wù)務(wù)器的監(jiān)視和和最小服務(wù)水水平的監(jiān)測(cè)和和報(bào)警等。四級(jí)主機(jī)系統(tǒng)統(tǒng)安全要求：在控制點(diǎn)上上增加了安全標(biāo)記和可可信路徑，其他控制點(diǎn)點(diǎn)在強(qiáng)度上也也分別增強(qiáng)，，如，身份鑒鑒別要求使用用不可偽造的的鑒別技術(shù)，，訪問(wèn)控制要要求部分按照照強(qiáng)制訪問(wèn)控控制的力度實(shí)實(shí)現(xiàn)，安全審審計(jì)能夠做到到統(tǒng)一集中審審計(jì)等。32各級(jí)系統(tǒng)安全全保護(hù)要求-應(yīng)用安全控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)身份鑒別****安全標(biāo)記*訪問(wèn)控制****可信路經(jīng)*安全審計(jì)***剩余信息保護(hù)**通信完整性****通信保密性***抗抵賴**軟件容錯(cuò)****資源控制***合計(jì)4791133各級(jí)系統(tǒng)安全全保護(hù)要求-應(yīng)用安全一級(jí)應(yīng)用安全全要求：對(duì)應(yīng)用進(jìn)行基基本的防護(hù)，，要求做到簡(jiǎn)簡(jiǎn)單的身份鑒鑒別，粗粒度度的訪問(wèn)控制制以及數(shù)據(jù)有有效性檢驗(yàn)等等基本防護(hù)。。二級(jí)應(yīng)用安全全要求：在控制點(diǎn)上增增加了安全審計(jì)、通通信保密性和和資源控制等。同時(shí)，對(duì)對(duì)身份鑒別和和訪問(wèn)控制都都進(jìn)一步加強(qiáng)強(qiáng)，鑒別的標(biāo)標(biāo)識(shí)、信息等等都提出了具具體的要求。。訪問(wèn)控制的的粒度進(jìn)行了了細(xì)化，對(duì)通通信過(guò)程的完完整性保護(hù)提提出了特定的的校驗(yàn)碼技術(shù)術(shù)。應(yīng)用軟件件自身的安全全要求進(jìn)一步步增強(qiáng)，軟件件容錯(cuò)能力增增強(qiáng)。三級(jí)應(yīng)用安全全要求：在控制點(diǎn)上上增加了剩余信息保護(hù)護(hù)和抗抵賴等等。同時(shí)，身份份鑒別的力度度進(jìn)一步增強(qiáng)強(qiáng)，要求組合合鑒別技術(shù)，，訪問(wèn)控制增增加了敏感標(biāo)標(biāo)記功能，安安全審計(jì)已不不滿足于對(duì)安安全事件的記記錄，而要進(jìn)進(jìn)行分析等。。對(duì)通信過(guò)程程的完整性保保護(hù)提出了特特定的密碼技技術(shù)。應(yīng)用軟軟件自身的安安全要求進(jìn)一一步增強(qiáng)，軟軟件容錯(cuò)能力力增強(qiáng)，增加加了自動(dòng)保護(hù)護(hù)功能。四級(jí)應(yīng)用安全全要求：在控制點(diǎn)上上增加了安全標(biāo)記和可可信路徑等。部分控制點(diǎn)點(diǎn)在強(qiáng)度上進(jìn)進(jìn)一步增強(qiáng)，，如，身份鑒鑒別要求使用用不可偽造的的鑒別技術(shù)，，安全審計(jì)能能夠做到統(tǒng)一一安全策略提提供集中審計(jì)計(jì)接口等，軟軟件應(yīng)具有自自動(dòng)恢復(fù)的能能力等。34各級(jí)系統(tǒng)安全全保護(hù)要求-數(shù)據(jù)安全及備備份恢復(fù)控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)數(shù)據(jù)完整性****數(shù)據(jù)保密性***備份和恢復(fù)****合計(jì)233335各級(jí)系統(tǒng)安全全保護(hù)要求-數(shù)據(jù)安全及備備份恢復(fù)一級(jí)數(shù)據(jù)安全全及備份恢復(fù)復(fù)要求：對(duì)數(shù)據(jù)完整整性用戶數(shù)據(jù)據(jù)在傳輸過(guò)程程提出要求，，能夠檢測(cè)出出數(shù)據(jù)完整性性受到破壞；；同時(shí)能夠?qū)?duì)重要信息進(jìn)進(jìn)行備份。二級(jí)數(shù)據(jù)及備備份恢復(fù)安全全要求：對(duì)數(shù)據(jù)完整整性的要求增增強(qiáng)，范圍擴(kuò)擴(kuò)大，要求鑒鑒別信息和重重要業(yè)務(wù)數(shù)據(jù)據(jù)在傳輸過(guò)程程中都要保證證其完整性。。對(duì)數(shù)據(jù)保密密性要求實(shí)現(xiàn)現(xiàn)鑒別信息存存儲(chǔ)保密性，，數(shù)據(jù)備份增增強(qiáng)，要求一一定的硬件冗冗余。三級(jí)數(shù)據(jù)及備備份恢復(fù)安全全要求：對(duì)數(shù)據(jù)完整整性的要求增增強(qiáng)，范圍擴(kuò)擴(kuò)大，增加了了系統(tǒng)管理數(shù)數(shù)據(jù)的傳輸完完整性，不僅僅能夠檢測(cè)出出數(shù)據(jù)受到破破壞，并能進(jìn)進(jìn)行恢復(fù)。對(duì)對(duì)數(shù)據(jù)保密性性要求范圍擴(kuò)擴(kuò)大到實(shí)現(xiàn)系系統(tǒng)管理數(shù)據(jù)據(jù)、鑒別信息息和重要業(yè)務(wù)務(wù)數(shù)據(jù)的傳輸輸和存儲(chǔ)的保保密性，數(shù)據(jù)據(jù)的備份不僅僅要求本地完完全數(shù)據(jù)備份份，還要求異異地備份和冗冗余網(wǎng)絡(luò)拓?fù)鋼?。四?jí)數(shù)據(jù)及備備份恢復(fù)安全全要求：為進(jìn)一步保保證數(shù)據(jù)的完完整性和保密密性，提出使使用專有的安安全協(xié)議的要要求。同時(shí)，，備份方式增增加了建立異異地適時(shí)災(zāi)難難備份中心，，在災(zāi)難發(fā)生生后系統(tǒng)能夠夠自動(dòng)切換和和恢復(fù)。36各級(jí)系統(tǒng)安全全保護(hù)要求-安全管理制度度控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)管理制度****制定和發(fā)布****評(píng)審和修訂***合計(jì)233337各級(jí)系統(tǒng)安全全保護(hù)要求-安全管理制度度一級(jí)安全管理理制度要求：主要明確了了制定日常常常用的管理制制度，并對(duì)管管理制度的制制定和發(fā)布提提出基本要求求。二級(jí)安全管理理制度要求：在控制點(diǎn)上上增加了評(píng)審和修訂，管理制度增增加了總體方方針和安全策策略，和對(duì)各各類重要操作作建立規(guī)程的的要求，并且且管理制度的的制定和發(fā)布布要求組織論論證。三級(jí)安全管理理制度要求：在二級(jí)要求求的基礎(chǔ)上，，要求機(jī)構(gòu)形形成信息安全全管理制度體體系，對(duì)管理理制度的制定定要求和發(fā)布布過(guò)程進(jìn)一步步嚴(yán)格和規(guī)范范。對(duì)安全制制度的評(píng)審和和修訂要求領(lǐng)領(lǐng)導(dǎo)小組的負(fù)負(fù)責(zé)。四級(jí)安全管理理制度要求：在三級(jí)要求求的基礎(chǔ)上，，主要考慮了了對(duì)帶有密級(jí)級(jí)的管理制度度的管理和管管理制度的日日常維護(hù)等。。38各級(jí)系統(tǒng)安全全保護(hù)要求-安全管理機(jī)構(gòu)構(gòu)安全管理，首首先要建立一一個(gè)健全、務(wù)務(wù)實(shí)、有效、、統(tǒng)一指揮、、統(tǒng)一步調(diào)的的完善的安全全管理機(jī)構(gòu)，，明確機(jī)構(gòu)成成員的安全職職責(zé)，這是信信息安全管理理得以實(shí)施、、推廣的基礎(chǔ)礎(chǔ)。在單位的的內(nèi)部結(jié)構(gòu)上上必須建立一一整套從單位位最高管理層層（董事會(huì)））到執(zhí)行管理理層以及業(yè)務(wù)務(wù)運(yùn)營(yíng)層的管管理結(jié)構(gòu)來(lái)約約束和保證各各項(xiàng)安全管理理措施的執(zhí)行行。其主要工工作內(nèi)容包括括對(duì)機(jī)構(gòu)內(nèi)重重要的信息安安全工作進(jìn)行行授權(quán)和審批批、內(nèi)部相關(guān)關(guān)業(yè)務(wù)部門和和安全管理部部門之間的溝溝通協(xié)調(diào)以及及與機(jī)構(gòu)外部部各類單位的的合作、定期期對(duì)系統(tǒng)的安安全措施落實(shí)實(shí)情況進(jìn)行檢檢查，以發(fā)現(xiàn)現(xiàn)問(wèn)題進(jìn)行改改進(jìn)。安全管理機(jī)構(gòu)構(gòu)主要包括：：崗位設(shè)置、人人員配備、授授權(quán)和審批、、溝通和合作作以及審核和和檢查等五個(gè)控制點(diǎn)點(diǎn)。39各級(jí)系統(tǒng)安全全保護(hù)要求-安全管理機(jī)構(gòu)構(gòu)控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)崗位設(shè)置****人員配備****授權(quán)和審批****溝通和合作****審核和檢查***合計(jì)455540各級(jí)系統(tǒng)安全全保護(hù)要求-安全管理機(jī)構(gòu)構(gòu)一級(jí)安全管理理機(jī)構(gòu)要求：主要要求對(duì)對(duì)開(kāi)展信息安安全工作的基基本工作崗位位進(jìn)行配備，，對(duì)機(jī)構(gòu)重要要的安全活動(dòng)動(dòng)進(jìn)行審批，，加強(qiáng)對(duì)外的的溝通和合作作。二級(jí)安全管理理機(jī)構(gòu)要求：：在控制點(diǎn)上增增加了審核和檢查，同時(shí)，在一一級(jí)基礎(chǔ)上，，明確要求設(shè)設(shè)立安全主管管等重要崗位位；人員配備備方面提出安安全管理員不不可兼任其它它崗位原則；；溝通與合作作的范圍增加加與機(jī)構(gòu)內(nèi)部部及與其他部部門的合作和和溝通。三級(jí)安全管理理機(jī)構(gòu)要求：對(duì)于崗位設(shè)設(shè)置，不僅要要求設(shè)置信息息安全的職能能部門，而且且機(jī)構(gòu)上層應(yīng)應(yīng)有一定的領(lǐng)領(lǐng)導(dǎo)小組全面面負(fù)責(zé)機(jī)構(gòu)的的信息安全全全局工作。授授權(quán)審批方面面加強(qiáng)了授權(quán)權(quán)流程控制以以及階段性審審查。溝通與與合作方面加加強(qiáng)了與外部部組織的溝通通和合作，并并聘用安全顧顧問(wèn)。同時(shí)對(duì)對(duì)審核和檢查查工作進(jìn)一步步規(guī)范。四級(jí)安全管理理機(jī)構(gòu)要求：同三級(jí)要求求。41各級(jí)系統(tǒng)安全全保護(hù)要求-人員安全管理理控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)人員錄用****人員離崗****人員考核***安全意識(shí)教育和培訓(xùn)****外部人員訪問(wèn)管理****合計(jì)455542各級(jí)系統(tǒng)安全全保護(hù)要求-人員安全管理理一級(jí)人員安全全管理要求：對(duì)人員在機(jī)機(jī)構(gòu)的工作周周期（即，錄錄用、日常培培訓(xùn)、離崗））的活動(dòng)提出出基本的管理理要求。同時(shí)時(shí)，對(duì)外部人人員訪問(wèn)要求求得到授權(quán)和和審批。二級(jí)人員安全全管理要求：在控制點(diǎn)上上增加了人員考核，對(duì)人員的錄錄用和離崗要要求進(jìn)一步增增強(qiáng)，過(guò)程性性要求增加，，安全教育培培訓(xùn)更正規(guī)化化，對(duì)外部人人員的訪問(wèn)活活動(dòng)約束其訪訪問(wèn)行為。三級(jí)人員安全全管理要求：在二級(jí)要求求的基礎(chǔ)上，，增強(qiáng)了對(duì)關(guān)關(guān)鍵崗位人員員的錄用、離離崗和考核要要求，對(duì)人員員的培訓(xùn)教育育更具有針對(duì)對(duì)性，外部人人員訪問(wèn)要求求更具體。四級(jí)人員安全全管理要求：在三級(jí)要求求的基礎(chǔ)上，，提出了保密密要求和關(guān)鍵鍵區(qū)域禁止外外部人員訪問(wèn)問(wèn)的要求。43各級(jí)系統(tǒng)安全全保護(hù)要求-系統(tǒng)建設(shè)管理理控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)系統(tǒng)定級(jí)****安全方案設(shè)計(jì)****產(chǎn)品采購(gòu)和使用****自行軟件開(kāi)發(fā)****外包軟件開(kāi)發(fā)****工程實(shí)施****測(cè)試驗(yàn)收****系統(tǒng)交付****系統(tǒng)備案***等級(jí)測(cè)評(píng)***安全服務(wù)商選擇****合計(jì)99111144各級(jí)系統(tǒng)安全全保護(hù)要求-系統(tǒng)建設(shè)管理理一級(jí)系統(tǒng)建設(shè)設(shè)管理要求：對(duì)系統(tǒng)建設(shè)設(shè)整體過(guò)程所所涉及的各項(xiàng)項(xiàng)活動(dòng)進(jìn)行基基本的規(guī)范，，如，先定級(jí)級(jí)，方案準(zhǔn)備備、安全產(chǎn)品品按要求采購(gòu)購(gòu)，軟件開(kāi)發(fā)發(fā)（自行、外外包）的基本本安全，實(shí)施施的基本管理理，建設(shè)后的的安全性驗(yàn)收收、交付等都都進(jìn)行要求。。二級(jí)系統(tǒng)建設(shè)設(shè)管理要求：在控制點(diǎn)上上增加了系統(tǒng)備案和安安全測(cè)評(píng)，增加了某些些活動(dòng)的文檔檔化要求，如如軟件開(kāi)發(fā)管管理制度，工工程實(shí)施應(yīng)有有實(shí)施方案要要求等。同時(shí)時(shí)，對(duì)安全方方案、驗(yàn)收?qǐng)?bào)報(bào)告等增加了了審定要求，，產(chǎn)品的采購(gòu)購(gòu)增加了密碼碼產(chǎn)品的采購(gòu)購(gòu)要求等。三級(jí)系統(tǒng)建設(shè)設(shè)管理要求：對(duì)建設(shè)過(guò)程程的各項(xiàng)活動(dòng)動(dòng)都要求進(jìn)行行制度化規(guī)范范，按照制度度要求進(jìn)行活活動(dòng)的開(kāi)展。。對(duì)建設(shè)前的的安全方案設(shè)設(shè)計(jì)提出體系系化要求，并并加強(qiáng)了對(duì)其其的論證工作作。四級(jí)系統(tǒng)建設(shè)設(shè)管理要求：主要對(duì)軟件件開(kāi)發(fā)活動(dòng)進(jìn)進(jìn)一步加強(qiáng)了了要求，以保保證軟件開(kāi)發(fā)發(fā)的安全性。。對(duì)工程實(shí)施施過(guò)程提出了了監(jiān)理要求。。45各級(jí)系統(tǒng)安全全保護(hù)要求-系統(tǒng)運(yùn)維管理理控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)環(huán)境管理****資產(chǎn)管理****介質(zhì)管理****設(shè)備管理****監(jiān)控管理和安全管理中心****網(wǎng)絡(luò)安全管理****系統(tǒng)安全管理****惡意代碼防范管理****密碼管理***變更管理***備份與恢復(fù)管理****安全事件處置****應(yīng)急預(yù)案管理***合計(jì)1013131346各級(jí)系統(tǒng)安全全保護(hù)要求-系統(tǒng)運(yùn)維管理理一級(jí)系統(tǒng)運(yùn)維維管理要求：：主要對(duì)機(jī)房運(yùn)運(yùn)行環(huán)境、資資產(chǎn)的隸屬管管理、介質(zhì)的的保存、設(shè)備備維護(hù)使用管管理等方面提提出基本管理理要求，使得得系統(tǒng)在這些些方面的管理理下能夠基本本運(yùn)行正常。。二級(jí)系統(tǒng)運(yùn)維維管理要求：：在控制點(diǎn)上增增加了密碼管理、變變更管理、應(yīng)應(yīng)急預(yù)案管理理，同時(shí)加強(qiáng)了了其他各方面面的要求，主主要表現(xiàn)在：：對(duì)環(huán)境的關(guān)關(guān)注擴(kuò)展到辦辦公環(huán)境的保保密性管理；；同時(shí)提出資資產(chǎn)標(biāo)識(shí)管理理；對(duì)介質(zhì)和和設(shè)備的出入入使用加強(qiáng)控控制；網(wǎng)絡(luò)和和系統(tǒng)安全方方面進(jìn)行制度度化管理；對(duì)對(duì)系統(tǒng)內(nèi)發(fā)生生的安全事件件進(jìn)行分類、、分級(jí)等。三級(jí)系系統(tǒng)運(yùn)運(yùn)維管管理要要求：：在控制制點(diǎn)上上增加加了監(jiān)控管管理和和安全全管理理中心心，對(duì)介介質(zhì)、、設(shè)備備、密密碼、、變更更、備備份與與恢復(fù)復(fù)等都都采用用制度度化管管理，，并更更加注注意過(guò)過(guò)程管管理的的控制制，其其中對(duì)對(duì)介質(zhì)質(zhì)的管管理重重點(diǎn)關(guān)關(guān)注了了介質(zhì)質(zhì)保密密性和和可用用性管管理；；安全全事件件根據(jù)據(jù)等級(jí)級(jí)分級(jí)級(jí)響應(yīng)應(yīng)，同同時(shí)加加強(qiáng)了了對(duì)應(yīng)應(yīng)急預(yù)預(yù)案的的演練練和審審查等等。四級(jí)系系統(tǒng)運(yùn)運(yùn)維管管理要要求：：將機(jī)房房環(huán)境境管理理和辦辦公環(huán)環(huán)境管管理提提到同同等重重要的的程度度，二二者統(tǒng)統(tǒng)一管管理；；對(duì)介介質(zhì)的的管理理主要要關(guān)注注了對(duì)對(duì)介質(zhì)質(zhì)銷毀毀時(shí)的的保密密管理理；應(yīng)應(yīng)急響響應(yīng)重重點(diǎn)關(guān)關(guān)注了了災(zāi)難難恢復(fù)復(fù)計(jì)劃劃的制制定等等。47等級(jí)保保護(hù)的的設(shè)計(jì)計(jì)實(shí)施施運(yùn)營(yíng)、、使用用單位位/安全服服務(wù)商商安全規(guī)規(guī)劃設(shè)設(shè)計(jì)技術(shù)體體系設(shè)設(shè)計(jì)管理體體系設(shè)設(shè)計(jì)分期/分步安安全實(shí)實(shí)施物理環(huán)環(huán)境安安全建建設(shè)機(jī)房、、辦公公環(huán)境境安全全建設(shè)設(shè)網(wǎng)絡(luò)安安全建建設(shè)安全全域域劃劃分分、、邊邊界界設(shè)設(shè)備備設(shè)設(shè)置置、、邊邊界界訪訪問(wèn)問(wèn)控控制制、、邊邊界界數(shù)數(shù)據(jù)據(jù)過(guò)過(guò)濾濾網(wǎng)絡(luò)絡(luò)傳傳輸輸加加密密、、網(wǎng)網(wǎng)絡(luò)絡(luò)協(xié)協(xié)議議保保護(hù)護(hù)、、網(wǎng)網(wǎng)絡(luò)絡(luò)防防病病毒毒等等主機(jī)機(jī)安安全全防防護(hù)護(hù)操作作系系統(tǒng)統(tǒng)配配置置和和加加固固、、桌桌面面保保護(hù)護(hù)等等應(yīng)用用系系統(tǒng)統(tǒng)安安全全開(kāi)開(kāi)發(fā)發(fā)或或改改造造身份份鑒鑒別別、、訪訪問(wèn)問(wèn)控控制制、、安安全全審審計(jì)計(jì)、、傳傳輸輸加加密密等等48實(shí)施施方方案案的的設(shè)設(shè)計(jì)計(jì)過(guò)過(guò)程程包包括括結(jié)構(gòu)構(gòu)框框架架設(shè)設(shè)計(jì)計(jì)功能能要要求求設(shè)設(shè)計(jì)計(jì)性能能要要求求設(shè)設(shè)計(jì)計(jì)部署署方方案案設(shè)設(shè)計(jì)計(jì)制定定安安全全策策略略實(shí)實(shí)現(xiàn)現(xiàn)計(jì)計(jì)劃劃管理理措措施施實(shí)實(shí)現(xiàn)現(xiàn)內(nèi)內(nèi)容容設(shè)設(shè)計(jì)計(jì)形成成系系統(tǒng)統(tǒng)建建設(shè)設(shè)的的安安全全實(shí)實(shí)施施方方案案等級(jí)級(jí)保保護(hù)護(hù)實(shí)實(shí)施施方方案案49系統(tǒng)統(tǒng)建建設(shè)設(shè)的的安安全全實(shí)實(shí)施施方方案案包包含含以以下下內(nèi)內(nèi)容容本期期建建設(shè)設(shè)目目標(biāo)標(biāo)和和建建設(shè)設(shè)內(nèi)內(nèi)容容技術(shù)術(shù)實(shí)實(shí)現(xiàn)現(xiàn)框框架架信息息安安全全產(chǎn)產(chǎn)品品或或組組件件功功能能及及性性能能信息安全全產(chǎn)品或或組件部部署安全策略略和配置置配套的安安全管理理建設(shè)內(nèi)內(nèi)容工程實(shí)施施計(jì)劃項(xiàng)目投資資概算。。安全實(shí)施施方案內(nèi)內(nèi)容5050提綱等級(jí)保護(hù)護(hù)總體介介紹1等級(jí)保護(hù)護(hù)定級(jí)介介紹等級(jí)保護(hù)護(hù)設(shè)計(jì)實(shí)實(shí)施2等級(jí)保護(hù)護(hù)系統(tǒng)測(cè)測(cè)評(píng)4351測(cè)評(píng)原則則客觀性和和公證性性原則經(jīng)濟(jì)性和和可重用用性原則則可重復(fù)性性和可再再現(xiàn)性原原則結(jié)果完善善性原則則52測(cè)評(píng)內(nèi)容容安全控制制測(cè)評(píng)主要測(cè)評(píng)評(píng)信息安安全等級(jí)級(jí)保護(hù)要要求的基基本安全全控制在在信息系系統(tǒng)中的的實(shí)施配配置情況況采