等級保護政策與標準體系

等級保護政策與標準體系胡斌1培訓議程信息安全等級保護概述1等級保護政策和標準體系介紹2等級保護主要政策和標準介紹342什么是信息安全等級保護《信息安全等級保護管理辦法》指出信息安全等級保護是以信息為核心的、根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度；遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度；針對信息的保密性、完整性和可用性要求及信息系統(tǒng)必須達到的基本的安全保護水平等因素，對最核心的信息和信息系統(tǒng)劃分為五個安全保護和監(jiān)管等級，實行分級保護。3為什么實行等級保護實施信息安全等級保護，可以有效地提高我國信息安全建設的整體水平；有利于在信息化建設過程中同步建設信息安全設施，保障信息安全與信息化建設相協(xié)調(diào)；有利于加強對涉及國家安全、經(jīng)濟秩序、社會穩(wěn)定和公共利益的信息系統(tǒng)的安全保護和管理監(jiān)督；有利于明確國家、法人和其他組織、公民的安全責任，強化政府監(jiān)管職能，共同落實各項安全建設和安全管理措施；有利于提高安全保護的科學性、整體性、針對性，推動信息安全產(chǎn)業(yè)水平，逐步探索一條適應社會主義市場經(jīng)濟發(fā)展的信息安全發(fā)展模式。4國家戰(zhàn)略國家強制實施信息安全等級保護制度的原因：維護國家安全的需要：基礎信息網(wǎng)絡與重要信息系統(tǒng)已經(jīng)成為國家的關鍵基礎設施；信息安全是國家安全的重要組成部分；信息安全形勢嚴峻：敵對勢力的入侵、攻擊、破壞；針對基礎信息網(wǎng)絡

和重要信息系統(tǒng)的

違法犯罪持續(xù)上升；

基礎信息網(wǎng)絡和重

要信息系統(tǒng)安全隱

患嚴重；5信息安全是國家安全的重要組成隨著信息化建設的深入發(fā)展，網(wǎng)絡和信息系統(tǒng)已成為承載國家運轉(zhuǎn)、社會運行的重要基礎設施；信息網(wǎng)絡已成為我們?nèi)粘９ぷ骱蜕钪斜夭豢缮俚闹匾M成部分；一些關乎國計民生的重點行業(yè)，如金融、證券、電力、水利、運營商、民航、鐵路、黨政機關、企業(yè)等的生產(chǎn)經(jīng)營、指揮調(diào)度等工作已經(jīng)高度依賴信息網(wǎng)絡；6信息安全是國家安全的重要組成十八大報告指出“貫徹新時期積極防御軍事戰(zhàn)略方針，與時俱進加強軍事戰(zhàn)略指導，高度關注海洋、太空、網(wǎng)絡空間安全......”。說明網(wǎng)絡空間安全已經(jīng)成為繼陸、海、空、太空之后的第五大國家安全；習近平總書記指出：“沒有網(wǎng)絡安全，就沒有國家安全”；我國信息網(wǎng)絡安全面臨的形勢非常嚴峻和復雜。

7西方大國的戰(zhàn)略威脅美國等西方國家不斷推出網(wǎng)絡空間國際戰(zhàn)略和行動戰(zhàn)略，并將其作為在網(wǎng)絡空間的行動指南和國際宣言，謀求網(wǎng)絡空間主導權、控制權、話語權甚至霸權，全面加強對我網(wǎng)絡遏制策略，對未來網(wǎng)絡空間的戰(zhàn)略格局影響深遠；美國加緊網(wǎng)絡備戰(zhàn)，將分批組建40支網(wǎng)絡作戰(zhàn)部隊，公布了包括電腦病毒在內(nèi)的網(wǎng)絡武器和工具清單。美從指揮體系、作戰(zhàn)隊伍以及網(wǎng)絡戰(zhàn)武器等方面已構建完備，隨時可以發(fā)動網(wǎng)絡戰(zhàn)；8西方大國的戰(zhàn)略威脅炒作中國黑客攻擊，起訴中國61398部隊5名軍人，為對其實施攻擊尋找借口，成為我國網(wǎng)絡安全最主要的威脅；目前全球已有46個國家組建了網(wǎng)絡戰(zhàn)部隊：英國已研發(fā)了用于網(wǎng)絡戰(zhàn)的武器并加入武器庫；俄羅斯組建網(wǎng)絡作戰(zhàn)隊伍、研發(fā)進攻性網(wǎng)絡武器、在全球構建大規(guī)模僵尸網(wǎng)絡，以色列-批準耗資3.2億美元的網(wǎng)絡戰(zhàn)計劃...；美國政府、軍方、智庫、安全企業(yè)和媒體將美受到的網(wǎng)絡攻擊、入侵竊密等強加至中國黑客，將中國塑造為美國網(wǎng)絡安全面臨的頭號敵人；9西方大國的戰(zhàn)略威脅日本、越南、菲律賓等國與我國存在領土、領海爭端，美不斷助長日、越、菲等國與我制造緊張局面，一旦發(fā)生突發(fā)事件，極易發(fā)生大規(guī)模網(wǎng)絡攻擊；從媒體連續(xù)披露的“棱鏡”項目等多個政府情報監(jiān)聽計劃中，可以看到中國已經(jīng)成為美網(wǎng)絡監(jiān)聽和攻擊的主要目標。10敵對勢力和黑客組織的威脅近年來藏獨、疆獨、法輪功等敵對勢力、敵對組織，通過互聯(lián)網(wǎng)對我政府網(wǎng)站、基礎信息網(wǎng)絡、重要信息系統(tǒng)和國家網(wǎng)絡關防等進行入侵攻擊、控制和突破?！胺垂埠诳吐?lián)盟”自2012年5月起，每3天攻擊一個我政府網(wǎng)站，篡改網(wǎng)頁張貼反共標語，謾罵和組織“推翻”我黨。11敵對勢力和黑客組織的威脅今年2月土耳其極端組織連續(xù)攻擊了我國10個網(wǎng)站，并上傳了大量涉及新疆“7.5”事件的恐怖視頻和照片。昆明“3.01”暴恐事件發(fā)生后，該組織在其網(wǎng)站登載了相關新聞并表示支持恐怖活動，3月2日攻擊了我596個網(wǎng)站?！澳涿摺焙诳徒M織在全球擁有60萬成員，該組織號召力極強，具備實施大規(guī)模網(wǎng)絡攻擊的能力，曾多次攻擊我政府網(wǎng)站和重要系統(tǒng)。12省內(nèi)多家重要網(wǎng)站遭攻擊、篡改13互聯(lián)網(wǎng)的快速發(fā)展帶來的挑戰(zhàn)2013年，我國互聯(lián)網(wǎng)飛速發(fā)展，網(wǎng)站總數(shù)370萬個，網(wǎng)民規(guī)模突破6億，手機網(wǎng)民占80%，手機用戶超過12億，信息消費達到2.2萬億，電子商務交易規(guī)模突破10萬億。病毒、木馬等惡意程序激增，危害范圍更廣、速度更快：2013年二季度比一季度，發(fā)現(xiàn)新增惡意程序樣本就達到5.27億個,同比增長12.5%,環(huán)比增長32.4%，惡意程序樣本量的快速增長態(tài)勢令人擔憂。同時，利用“火焰、高斯、紅色十號病毒等實施的高級、可持續(xù)攻擊活動更為頻繁。14互聯(lián)網(wǎng)的快速發(fā)展帶來的挑戰(zhàn)境外約有7.3萬個木馬或僵尸網(wǎng)絡控制服務器控制了我國境內(nèi)1400余萬臺主機，新增安全漏洞應接不暇，安全隱患嚴重：2012年，國家信息安全漏洞共享平臺共收集安全漏洞6824個，較2011年增長了23%，每月新增漏洞數(shù)量平均超過550個，其中高危漏洞2440個，較2011年增長了12.8%。15網(wǎng)絡違法犯罪活動帶來的影響一些傳統(tǒng)的犯罪類型也更多地利用和針對互聯(lián)網(wǎng)實施，網(wǎng)絡竊密、網(wǎng)絡賭博、網(wǎng)絡詐騙、網(wǎng)上盜竊等違法犯罪活動日益猖獗。不法分子利用各種手段竊取、販賣公民個人信息，從事各種違法犯罪活動，被竊取販賣或泄漏的信息涉及金融、電信、公安、交通、教育、醫(yī)療、國土、工商、房產(chǎn)、物業(yè)、保險、快遞等重要部門和行業(yè)。

16網(wǎng)絡新技術新應用帶來新挑戰(zhàn)基于IPv6下一代互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)等新技術正在加快應用到電力、石油、交通等重要行業(yè)，逐步實現(xiàn)“智能電網(wǎng)”、“智能油田”和“智慧城市”，推動著我國技術進步和經(jīng)濟發(fā)展。與此同時，隨著新技術新應用的到來，關系國計民生的信息網(wǎng)絡以及大數(shù)據(jù)更易成為網(wǎng)絡攻擊的目標。17國家領導高度重視信息網(wǎng)絡安全十八大報告：建設下一代信息基礎設施，發(fā)展現(xiàn)代信息技術產(chǎn)業(yè)體系，健全信息安全保障體系，推進信息網(wǎng)絡技術廣泛運用；高度關注海洋、太空、網(wǎng)絡空間安全，積極運籌和平時期軍事力量運用，不斷拓展和深化軍事斗爭準備，提高以打贏信息化條件下局部戰(zhàn)爭能力為核心的完成多樣化軍事任務能力。

18國家領導高度重視信息網(wǎng)絡安全新一屆領導：習近平訪美關注網(wǎng)絡安全與頁巖氣兩大焦點：/2013-05-31/154720620.html；習近平見美國特使就朝鮮形勢網(wǎng)絡安全交換意見；/13/0319/16/8QBFDHD10001124J.html習近平同奧巴馬通話談網(wǎng)絡安全：/o/2013-03-16/101926549804.shtml；習近平主席闡述了中方原則立場,表示當前網(wǎng)絡安全問題日益突出,已成為各國普遍關切的綜合安全挑戰(zhàn)。維護網(wǎng)絡空間的和平、安全、開放、合作,符合中美在內(nèi)的國際社會共同利益。中方堅決反對任何形式的黑客活動。中方愿同美方以建設性方式就網(wǎng)絡安全問題保持溝通。國家成立網(wǎng)信辦、網(wǎng)絡安全立法……19等級保護工作的地位等級保護是國家在信息安全領域強制實施的一項基本制度、基本國策，是開展信息安全工作的基本方法，是促進信息化、維護國家信息安全的根本保障；等級保護工作的性質(zhì)：信息

安全等級保護工作是國家信

息安全保障工作中的一項保

障性、基礎性、制度性和長

效性工作，是提升國家信息

安全保障水平和能力的重要

舉措；其核心是“明確重點、突出

重點、保護重點”,提高重要

信息系統(tǒng)的安全防護水平和

管理水平。20培訓議程等級保護政策和標準體系介紹2信息安全等級保護概述1等級保護主要政策和標準介紹3421信息安全等級保護的提出信息安全等級保護制度的提出：國家對等級保護制度的要求從法律、政策等方面明確了實行等級保護制度是我國信息安全保障工作的一項基本、重要制度和措施；《中華人民共和國計算機信息系統(tǒng)安全保護條例》國務院[1994]147號《國家信息化領導小組關于加強信息安全保障工作的意見》中辦發(fā)[2003]27號2008年國務院“三定”方案中，增加了公安機關的職能：監(jiān)督、檢查、指導信息安全等級保護工作。22政策推進過程2003年9月中辦國辦頒發(fā)《關于加強信息安全保障工作的意見》中辦發(fā)[2003]27號2004年11月四部委會簽《關于信息安全等級保護工作的實施意見》公通字[2004]66號2006年1月四部委會簽《信息安全等級保護管理辦法（試行）》（公通字[2006]7號）

2007年6月四部委會簽《信息安全等級保護管理辦法》公通字[2007]43號1994年國務院頒布《中華人民共和國計算機信息系統(tǒng)安全保護條例》國務院[1994]147號《信息系統(tǒng)安全等級保護定級指南》《信息系統(tǒng)安全等級保護基本要求》《信息系統(tǒng)安全等級保護實施指南

》《信息系統(tǒng)安全等級保護測評要求》《信息安全技術信息系統(tǒng)通用安全技術要求》（GB/T20271-2006）《信息安全技術網(wǎng)絡基礎安全技術要求》（GB/T20270-2006）《信息安全技術操作系統(tǒng)安全技術要求》（GB/T20272-2006）《信息安全技術數(shù)據(jù)庫管理系統(tǒng)安全技術要求》（GB/T20273-2006）。。。。。。GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準則23等級保護工作的職責分工等級保護協(xié)調(diào)（領導）小組：國家層面、各省、各地市成立了以公安機關牽頭的協(xié)調(diào)（領導）小組：負責信息安全等級保護工作的組織領導，制定本地區(qū)、本行業(yè)開展信息安全等級保護的工作部署和實施方案；督促有關單位落實、研究、協(xié)調(diào)解決等級保護工作中的重要工作事項，及時通報或報告等級保護實施工作的有關情況；24等級保護工作的職責分工信息安全職能部門：公安機關負責等級保護工作的監(jiān)督、檢查、指導，是等保工作的牽頭部門；國家保密部門負責等保工作中有關保密工作的監(jiān)督、檢查、指導；國家密碼管理部門負責等保工作中有關密碼工作的監(jiān)督、檢查、指導；工業(yè)和信息化部門負責等級保護工作中的部門間協(xié)調(diào)。25等級保護工作的職責分工涉及國家秘密的信息系統(tǒng)，由國家保密局負責-分級保護；其他信息系統(tǒng)，由公安機關統(tǒng)一進行監(jiān)督、管理；信息系統(tǒng)運營使用單位及其業(yè)務主管部門：信息系統(tǒng)運營使用單位按照等級保護工作的管理規(guī)范和技術標準，開展信息系統(tǒng)定級、備案、等級測評、安全建設整改、自查等工作，并接受公安機關等部門的監(jiān)督、指導；26等級保護工作的職責分工有業(yè)務主管部門的，主管部門要督促、檢查、指導本行業(yè)、本部門信息系統(tǒng)運營使用單位開展信息安全等級保護工作；安全服務企業(yè)：信息安全企業(yè)、信息系統(tǒng)安全集成商等安全服務機構，依據(jù)國家有關管理規(guī)定和技術標準，開展技術支持、服務等工作，并接受監(jiān)管部門的監(jiān)督管理；專家組：配合公安機關開展等級保護工作，對各單位等級保護工作中具體環(huán)節(jié)、內(nèi)容提供技術支持、指導。27信息安全等級保護政策體系信息安全等級保護的法律和政策依據(jù)：1994年頒布《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務院147號令）；《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）；總體方面的政策文件：《關于信息安全等級保護工作的實施意見》（公通字[2004]66號）；《信息安全等級保護管理辦法》（公通字[2007]43號）；28信息安全等級保護政策體系具體環(huán)節(jié)的政策文件：定級環(huán)節(jié)：《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》(公通字[2007]861號；備案環(huán)節(jié)：《信息安全等級保護備案實施細則》(公信安[2007]1360號)安全建設整改環(huán)節(jié)：《關于開展信息系統(tǒng)等級保護安全建設整改工作的指導意見》(公信安12009)1429號)；《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》(發(fā)改高技[2008]207l號)。等級測評環(huán)節(jié)：《關于推動信息安全等級保護測評體系建設和開展等級測訐工作的通知》(公信安[20101303號)；關于印發(fā)《信息系統(tǒng)安全等級測評報告模版(試行)》的通知(公信安[2009]1487號)。安全檢查環(huán)節(jié)：《公安機關信息安全等級保護檢查工作規(guī)范(試行)》(公信安[2008]736號)。29信息系統(tǒng)安全等級保護基本要求計算機信息系統(tǒng)安全保護等級劃分準則（GB17859）信息系統(tǒng)通用安全技術要求信息系統(tǒng)物理安全技術要求技術類其他技術類標準信息系統(tǒng)安全管理要求信息系統(tǒng)安全工程管理要求其他管理類標準信息系統(tǒng)安全等級保護定級指南信息系統(tǒng)安全等級保護基本要求的行業(yè)細則信息系統(tǒng)安全等級保護測評過程指南信息系統(tǒng)安全等級保護測評要求信息系統(tǒng)等級保護安全設計技術要求管理類產(chǎn)品類數(shù)據(jù)庫管理系統(tǒng)安全技術要求其他產(chǎn)品類標準信息系統(tǒng)安全等級保護行業(yè)定級細則操作系統(tǒng)安全技術要求信息系統(tǒng)安全等級保護建設整改網(wǎng)絡基礎安全技術要求網(wǎng)絡和終端設備隔離部件技術要求安全定級基本要求狀態(tài)分析方法指導信息系統(tǒng)安全等級保護實施指南30信息安全等級保護標準體系30等級保護標準體系-主要標準（一）基礎《計算機信息系統(tǒng)安全保護等級劃分準則》GB17859-1999《信息系統(tǒng)安全等級保護實施指南》GB/T25058-2010（二）系統(tǒng)定級環(huán)節(jié)《信息系統(tǒng)安全保護等級定級指南》GB/T22240-2008（三）建設整改環(huán)節(jié)《信息系統(tǒng)安全等級保護基本要求》GB/T22239-2008（四）等級測評環(huán)節(jié)《信息系統(tǒng)安全等級保護測評要求》GB/T28448-2012《信息系統(tǒng)安全等級保護測評過程指南》GB/T28449-201231培訓議程等級保護主要政策和標準介紹3信息安全等級保護概述1等級保護政策和標準體系介紹232管理辦法（簡稱43號文）《管理辦法》第八條:信息系統(tǒng)運營、使用單位依據(jù)本辦法和相關技術標準對信息系統(tǒng)進行保護，國家有關信息安全職能部門對其信息安全等級保護工作進行監(jiān)督管理。33管理辦法（簡稱43號文）《管理辦法》第九條:信息系統(tǒng)運營、使用單位應當按照《信息系統(tǒng)安全等級保護實施指南》具體實施等級保護工作。34管理辦法（簡稱43號文）《管理辦法》第十條:信息系統(tǒng)運營、使用單位應當依據(jù)本辦法和《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)的安全保護等級。有主管部門的，應當經(jīng)主管部門審核批準。35管理辦法（簡稱43號文）《管理辦法》第十二條:在信息系統(tǒng)建設過程中，運營、使用單位應當按照《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）、《信息系統(tǒng)安全等級保護基本要求》等技術標準，參照……等技術標準同步建設符合該等級要求的信息安全設施。36管理辦法（簡稱43號文）《管理辦法》第十三條:運營、使用單位應當參照《信息安全技術信息系統(tǒng)安全管理要求》（GB/T20269-2006）、《信息安全技術信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）、《信息系統(tǒng)安全等級保護基本要求》等管理規(guī)范，制定并落實符合本系統(tǒng)安全保護等級要求的安全管理制度。

37管理辦法（簡稱43號文）《管理辦法》第十四條:信息系統(tǒng)建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦法規(guī)定條件的測評單位，依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術標準，定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應當每年至少進行一次等級測評，第四級信息系統(tǒng)應當每半年至少進行一次等級測評，第五級信息系統(tǒng)應當依據(jù)特殊安全需求進行等級測評。38實施指南（GB/T25058-2010）介紹和描述了實施信息系統(tǒng)等級保護過程中涉及的階段、過程和需要完成的活動，通過對過程和活動的介紹，使大家了解對信息系統(tǒng)實施等級保護的流程方法，以及不同的角色在不同階段的作用等。39實施指南（GB/T25058-2010）等級變更局部調(diào)整信息系統(tǒng)定級總體安全規(guī)劃安全設計與實施安全運行維護信息系統(tǒng)終止40實施指南的主要思路以信息系統(tǒng)安全等級保護建設為主要線索，定義信息系統(tǒng)等級保護實施的主要階段和過程對每個階段介紹和描述主要的過程和實施活動對每個活動說明實施主體、主要活動內(nèi)容和輸入輸出等41實施指南標準的結構正文由9個章節(jié)1個附錄構成1.范圍2.規(guī)范性引用文件3.術語定義4.等級保護實施概述5.信息系統(tǒng)定級6.總體安全規(guī)劃7.安全設計/實施8.安全運行維護9.信息系統(tǒng)終止附錄A主要過程及其輸出42實施指南特點階段過程活動子活動例如:信息系統(tǒng)定級信息系統(tǒng)分析系統(tǒng)識別和描繪識別信息系統(tǒng)的基本信息識別信息系統(tǒng)的管理框架…信息系統(tǒng)劃分43系統(tǒng)定級階段-實施流程主要輸入主要輸出過程系統(tǒng)立項文檔系統(tǒng)建設文檔系統(tǒng)管理文檔信息系統(tǒng)分析系統(tǒng)總體描述文件系統(tǒng)詳細描述文件安全保護等級確定系統(tǒng)總體描述文件系統(tǒng)詳細描述文件系統(tǒng)安全保護等級定級建議書44定級指南（GB/T22240-2008）安全保護等級等級的確定是不依賴于安全保護措施的，具有一定的“客觀性”，即該系統(tǒng)在存在之初便由其自身所實現(xiàn)的使命決定了它的安全保護等級，而非由“后天”的安全保護措施決定。45為什么首先要定級？46<定級指南>-定級三條件具有唯一確定的安全責任單位一般是使用或運營單位滿足信息系統(tǒng)的基本要素單機和純局域網(wǎng)不定級承載相對獨立的業(yè)務應用含多個業(yè)務應用的綜合系統(tǒng)盡量劃分47<定級指南>標準的結構正文由6個章節(jié)構成1.范圍2.規(guī)范性引用文件3.術語定義4.定級原理5.定級方法6.級別變更48等級與侵害客體、侵害程度關系49<定級指南>-定級原理50<定級指南>-定級維度等級保護對象受到破壞時所侵害的客體對客體造成侵害的程度51兩類信息安全等級信息系統(tǒng)中保存的信息保密性、完整性一般簡稱為S級信息系統(tǒng)服務連續(xù)性一般簡稱為A級52<定級指南>-可能的系統(tǒng)級別第一級S1A1G1第二級S1A2G2，S2A2G2，S2A1G2第三級S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G453<定級指南>-定級流程54<定級指南>-定級的時機新建信息系統(tǒng)等級保護實施流程已建信息系統(tǒng)等級保護實施流程不通過不通過等級保護定級是實施等級保護工作的第一步！55常見等級保護定級誤區(qū)信息系統(tǒng)是上級部門部署的，不需要定級56常見等級保護定級誤區(qū)信息系統(tǒng)是上級部門部署的，不需要定級由系統(tǒng)運營使用維護單位負責定級跨省跨市信息系統(tǒng)，只要在本地有分支服務器提供業(yè)務服務同樣需要定級備案57常見等級保護定級誤區(qū)信息系統(tǒng)等級根據(jù)《等級保護基本要求》確定，現(xiàn)在安全措施沒有就是一級58常見等級保護定級誤區(qū)信息系統(tǒng)等級根據(jù)《等級保護基本要求》確定，現(xiàn)在安全措施沒有就是一級根據(jù)《定級指南》和《行業(yè)定級細則》確定等級以業(yè)務信息和系統(tǒng)服務確定等級《基本要求》確定每個級別需要達到什么保護措施59基本要求（GB/T22239-2008）信息系統(tǒng)安全等級保護基本要求60<基本要求>-標準背景03年，27號文件進一步明確信息安全等級保護制度04年，66號文件要求“盡快制定、完善法律法規(guī)和標準體系”編制歷程04年10月，接受公安部的標準編制任務05年6月，完成初稿，廣泛征求安全領域?qū)＜液托袠I(yè)用戶意見；05年10月，征求意見稿第一稿，國信辦、安標委評審05年11月，征求意見稿第三稿06年6月，試點工作07年04月，征求意見稿第四稿，安標委專家評審07年05月，形成報批稿08年6月19日，正式發(fā)布，08年11月1日正式實施。61<基本要求>-標準定位GB17859-1999的細化和發(fā)展吸收安全機制并擴展到不同層面增加安全管理方面的內(nèi)容借鑒PDR、CMM、17799關注可操作性最佳實踐當前技術的發(fā)展機制要求（目標/要求）62信息系統(tǒng)安全等級保護基本要求計算機信息系統(tǒng)安全保護等級劃分準則（GB17859）信息系統(tǒng)通用安全技術要求信息系統(tǒng)物理安全技術要求技術類其他技術類標準信息系統(tǒng)安全管理要求信息系統(tǒng)安全工程管理要求其他管理類標準信息系統(tǒng)安全等級保護定級指南信息系統(tǒng)安全等級保護基本要求的行業(yè)細則信息系統(tǒng)安全等級保護測評過程指南信息系統(tǒng)安全等級保護測評要求信息系統(tǒng)等級保護安全設計技術要求管理類產(chǎn)品類數(shù)據(jù)庫管理系統(tǒng)安全技術要求其他產(chǎn)品類標準信息系統(tǒng)安全等級保護行業(yè)定級細則操作系統(tǒng)安全技術要求信息系統(tǒng)安全等級保護建設整改網(wǎng)絡基礎安全技術要求網(wǎng)絡和終端設備隔離部件技術要求安全定級基本要求狀態(tài)分析方法指導信息系統(tǒng)安全等級保護實施指南63基本要求地位63<基本要求>-與其他標準的關系GB17859-1999是基礎性標準，《基本要求》17859基礎上的進一步細化和擴展?！抖壷改稀反_定出系統(tǒng)等級以及業(yè)務信息安全性等級和業(yè)務服務保證性等級后，需要按照相應等級，根據(jù)《基本要求》選擇相應等級的安全保護要求進行系統(tǒng)建設實施?！稖y評要求》是依據(jù)《基本要求》檢驗系統(tǒng)的各項保護措施是否達到相應等級的基本要求所規(guī)定的保護能力。64<基本要求>-標準適用范圍用戶范圍信息系統(tǒng)的主管部門及運營使用單位測評機構安全服務機構（系統(tǒng)集成商，軟件開發(fā)商）信息安全監(jiān)管職能部門適用環(huán)節(jié)需求分析方案設計、系統(tǒng)建設與驗收運行維護、等級測評、自查65<基本要求>-標準的編制思路門檻合理對每個級別的信息系統(tǒng)安全要求設置合理，按照基本要求建設后，確實達到期望的安全保護能力內(nèi)容完整綜合技術、管理各個方面的要求，安全要求內(nèi)容考慮全面、完整，覆蓋信息系統(tǒng)生命周期便于使用安全要求分類方式合理，便于安全保護、檢測評估、監(jiān)督檢查實施各方的靈活使用66<基本要求>-描述模型67不同級別信息系統(tǒng)不同級別安全威脅不同級別能力目標不同級別基本要求系統(tǒng)重要程度不同應對67<基本要求>-基本安全保護能力對抗能力和恢復能力共同構成了信息系統(tǒng)的安全保護能力。安全保護能力主要表現(xiàn)為信息系統(tǒng)應對威脅的能力，稱為對抗能力，但當信息系統(tǒng)無法阻擋威脅對自身的破壞時，信息系統(tǒng)的恢復能力使系統(tǒng)在一定時間內(nèi)恢復到原有狀態(tài)，從而降低負面影響。68<基本要求>-能力目標第一級安全保護能力應具有能夠?qū)箒碜詡€人的、擁有很少資源（如利用公開可獲取的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災難（災難發(fā)生的強度弱、持續(xù)時間很短、系統(tǒng)局部范圍等）、以及其他相當危害程度的威脅所造成的關鍵資源損害，并在威脅發(fā)生后，能夠恢復部分功能。69<基本要求>-能力目標第二級安全保護能力應具有能夠?qū)箒碜孕⌒徒M織的（如自發(fā)的三兩人組成的黑客組織）、擁有少量資源（如個別人員能力、公開可獲或特定開發(fā)的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災難（災難發(fā)生的強度一般、持續(xù)時間短、覆蓋范圍?。ň植啃裕┑龋?、以及其他相當危害程度（無意失誤、設備故障等）的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時間內(nèi)恢復部分功能。70<基本要求>-能力目標第三級安全保護能力應具有能夠?qū)箒碜源笮偷?、有組織的團體（如一個商業(yè)情報組織或犯罪組織等），擁有較為豐富資源（包括人員能力、計算能力等）的威脅源發(fā)起的惡意攻擊、較為嚴重的自然災難（災難發(fā)生的強度較大、持續(xù)時間較長、覆蓋范圍較廣（地區(qū)性）等）以及其他相當危害程度（內(nèi)部人員的惡意威脅、設備的較嚴重故障等）威脅的能力，并在威脅發(fā)生后，能夠較快恢復絕大部分功能。71<基本要求>-能力目標第四級安全保護能力應具有能夠?qū)箒碜試壹墑e的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴重的自然災難（災難發(fā)生的強度大、持續(xù)時間長、覆蓋范圍廣（多地區(qū)性）等）以及其他相當危害程度（內(nèi)部人員的惡意威脅、設備的嚴重故障等）威脅的能力，并在威脅發(fā)生后，能夠迅速恢復所有功能。72<基本要求>-描述模型一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)防護防護/檢測策略/防護/檢測/恢復策略/防護/檢測/恢復/響應四級系統(tǒng)技術要求特點73<基本要求>-描述模型一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)管理要求特點一般執(zhí)行（部分活動建制度）計劃實施（主要過程建制度）統(tǒng)一策略（管理制度體系化）持續(xù)改進（管理制度體系化/驗證/改進）74<基本要求>-描述模型一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)覆蓋范圍特點通信/邊界（關鍵資源）通信/邊界/內(nèi)部（重要設備）通信/邊界/內(nèi)部（主要設備）通信/邊界/內(nèi)部/基礎設施（所有設備）75<基本要求>-描述結構某級系統(tǒng)類技術要求管理要求基本要求類控制點要求項控制點要求項………………………………76<基本要求>-安全類物理安全技術要求管理要求基本要求網(wǎng)絡安全主機安全應用安全數(shù)據(jù)安全及備份恢復安全管理制度安全管理機構人員安全管理系統(tǒng)建設管理系統(tǒng)運維管理類77<基本要求>-示例7第三級基本要求7.1技術要求7.1.1物理安全物理位置的選擇本項要求包括a)機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內(nèi)b)機房場地應避免設在建筑物的高層或地下室，以及用水設備的下層或隔壁。。。。。。。類要求項控制點78<基本要求>-控制點標注業(yè)務信息安全相關要求（標記為S）系統(tǒng)服務保證相關要求（標記為A）通用安全保護要求（標記為G）技術要求（3種標注）管理要求（統(tǒng)屬G）79<基本要求>-描述模型業(yè)務信息安全相關要求（S）電磁防護訪問控制數(shù)據(jù)完整性數(shù)據(jù)保密性系統(tǒng)服務保證相關要求（A）電力供應軟件容錯備份與恢復資源控制通用安全保護要求（G）管理要求和大部分技術要求80<基本要求>-逐級增強的特點控制點增加要求項增加要求項增強范圍增大要求細化要求粒度細化81逐級增強的特點-控制點增加三級基本要求：在二級基本要求的基礎上，技術方面，在控制點上增加了網(wǎng)絡惡意代碼防范、剩余信息保護、軟件容錯、抗抵賴等。管理方面，增加了系統(tǒng)備案、安全測評、監(jiān)控管理和安全管理中心等控制點。四級基本要求：在三級基本要求的基礎上，技術方面，在系統(tǒng)和應用層面控制點上增加了安全標記、可信路徑，82不同級別系統(tǒng)控制點的差異匯總83逐級增強的特點-要求項增加要求項增多，如，對“身份鑒別”，一級要求“進行身份標識和鑒別”，二級增加要求“口令復雜度、登錄失敗保護等”；而三級則