信息安全等級保護(hù)制度的相關(guān)標(biāo)準(zhǔn)及其應(yīng)用

信息安全等級保護(hù)制度

的相關(guān)標(biāo)準(zhǔn)及其應(yīng)用目錄等級保護(hù)的國家標(biāo)準(zhǔn)等級保護(hù)的定級過程等級保護(hù)的建設(shè)整改交流與溝通目錄等級保護(hù)的國家標(biāo)準(zhǔn)等級保護(hù)的定級過程等級保護(hù)的建設(shè)整改交流與溝通什么是等級保護(hù)？信息系統(tǒng)安全等級保護(hù)是指對信息和信息系統(tǒng)劃分為五個安全保護(hù)和監(jiān)管等級，實(shí)行分等級保護(hù)?！耙粋€提高，四個有利于”

有效地提高我國信息安全建設(shè)的整體水平

有利于在信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相協(xié)調(diào)；有利于加強(qiáng)對涉及國家安全、經(jīng)濟(jì)秩序、社會穩(wěn)定和公共利益的信息系統(tǒng)的安全保護(hù)和管理監(jiān)督；為什么實(shí)行等級保護(hù)？

有利于明確國家、法人和其他組織、公民的安全責(zé)任，強(qiáng)化政府監(jiān)管職能，共同落實(shí)各項(xiàng)安全建設(shè)和安全管理措施；有利于提高安全保護(hù)的科學(xué)性、整體性、針對性，推動信息安全產(chǎn)業(yè)水平，逐步探索一條適應(yīng)社會主義市場經(jīng)濟(jì)發(fā)展的信息安全發(fā)展模式。為什么實(shí)行等級保護(hù)？相關(guān)標(biāo)準(zhǔn)制定環(huán)境----安全環(huán)境

近年來，黨中央、國務(wù)院高度重視，各有關(guān)方面協(xié)調(diào)配合、共同努力，我國信息安全保障工作取得了很大進(jìn)展。但是從總體上看，我國的信息安全保障工作尚處于起步階段，基礎(chǔ)薄弱，水平不高，存在以下突出問題：—偏重產(chǎn)品，忽視體系和管理。—重視外部攻擊與入侵，忽視內(nèi)部的非法行為—缺乏信息安全風(fēng)險意識，安全投入盲目—關(guān)鍵技術(shù)、產(chǎn)品受制于人—一勞永逸的錯誤觀念，忽視信息安全是個動態(tài)的過程c相關(guān)標(biāo)準(zhǔn)制定單位----問題產(chǎn)生的原因信息安全防范意識和能力薄弱;信息安全法律法規(guī)不完善，標(biāo)準(zhǔn)體系尚待完善;信息系統(tǒng)安全建設(shè)和管理缺乏體系化思想；現(xiàn)有標(biāo)準(zhǔn)雜、亂，安全建設(shè)無所適從；監(jiān)督管理缺乏依據(jù)和標(biāo)準(zhǔn)，監(jiān)管體系尚待完善。相關(guān)標(biāo)準(zhǔn)制定單位----我們的對策

美國及西方發(fā)達(dá)國家為了抵御信息網(wǎng)絡(luò)的脆弱性和安全威脅，制定了一系列強(qiáng)化信息網(wǎng)絡(luò)安全建設(shè)的政策和標(biāo)準(zhǔn)，其中一個很重要思想就是將不同重要程度的信息系統(tǒng)劃分不同的安全等級，以指導(dǎo)不同領(lǐng)域的信息安全工作。面對嚴(yán)峻的形勢和嚴(yán)重的問題，如何解決我國信息安全問題，是擺在我國政府、企業(yè)、公民面前的重大關(guān)鍵問題。經(jīng)過我國信息安全領(lǐng)域有關(guān)部門和專家學(xué)者的多年研究，在借鑒國外先進(jìn)經(jīng)驗(yàn)和結(jié)合我國國情的基礎(chǔ)上，提出了分等級保護(hù)的策略來解決我國信息安全問題：

信息安全等級保護(hù)制度等級保護(hù)標(biāo)準(zhǔn)制修訂背景

1994年，《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》的發(fā)布

1999年，《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》GB17859-1999發(fā)布

2001年，國家發(fā)改委“計算機(jī)信息系統(tǒng)安全保護(hù)等級評估體系及互聯(lián)網(wǎng)絡(luò)電子身份管理與安全保護(hù)平臺建設(shè)項(xiàng)目”（1110）工程實(shí)施

2003年，中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》，27號文第一項(xiàng)就是等級保護(hù)

2004年，四部委聯(lián)合簽發(fā)了《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》1994年國務(wù)院147號令

《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》

第9條規(guī)定：計算機(jī)信息系統(tǒng)實(shí)行安全等級保護(hù)。

1999年國家標(biāo)準(zhǔn)GB17859 《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》主要內(nèi)容來源于美國可信計算機(jī)系統(tǒng)評價準(zhǔn)則TCSEC

第一級用戶自主保護(hù)級 第二級系統(tǒng)審計保護(hù)級 第三級安全標(biāo)記保護(hù)級 第四級結(jié)構(gòu)化保護(hù)級 第五級訪問驗(yàn)證保護(hù)級

等級保護(hù)標(biāo)準(zhǔn)制修訂背景2001年國家標(biāo)準(zhǔn)GB/T18336《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》

參照CC即ISO/IEC154082003年中辦發(fā)17號文件提出實(shí)行信息安全等級保護(hù)的任務(wù)2004年公通字66號文件公安部、國家保密局、國家密碼管理委員會辦公室、國務(wù)院信息辦發(fā)布

《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》2006年公通字7號文件（已經(jīng)廢除）四部門發(fā)布《信息安全等級保護(hù)管理辦法》等級保護(hù)標(biāo)準(zhǔn)制修訂背景2006年國家標(biāo)準(zhǔn)發(fā)布《信息安全技術(shù)

信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）《信息安全技術(shù)

網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-2006）《信息安全技術(shù)

操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）《信息安全技術(shù)

數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）《信息安全技術(shù)

終端計算機(jī)系統(tǒng)安全等級技術(shù)要求》（GA/T671-2006）

2007年5月底的更新《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》《信息系統(tǒng)安全等級保護(hù)定級指南》《信息系統(tǒng)安全等級保護(hù)基本要求》200７年公通字４３號文件（6月27號發(fā)出）

《信息安全等級保護(hù)管理辦法》

公信安［２００７］８６１號《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》等級保護(hù)標(biāo)準(zhǔn)制修訂背景等級保護(hù)標(biāo)準(zhǔn)制修訂背景2003年9月中辦國辦頒發(fā)《關(guān)于加強(qiáng)信息安全保障工作的意見》中辦發(fā)[2003]27號2005年9月國信辦文件《關(guān)于轉(zhuǎn)發(fā)《電子政務(wù)信息安全等級保護(hù)實(shí)施指南》的通知》國信辦[2004]25號2006年1月四部委會簽《關(guān)于印發(fā)《信息安全等級保護(hù)管理辦法的通知》公通字[2006]7號2005年公安部標(biāo)準(zhǔn)《基本要求》《定級指南》《實(shí)施指南》《測評準(zhǔn)則》2004年11月四部委會簽《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》公通字[2004]66號云南云南省人民政府第130號令浙江浙江省人民政府令北京北京政府第9號令國家級政策文件國家級技術(shù)標(biāo)準(zhǔn)國家級政策文件地方政策文件安全控制定級指南過程方法確定系統(tǒng)等級啟動采購/開發(fā)實(shí)施運(yùn)行/維護(hù)廢棄確定安全需求設(shè)計安全方案安全建設(shè)安全測評監(jiān)督管理運(yùn)行維護(hù)暫不考慮特殊需求等級需求基本要求產(chǎn)品使用選型監(jiān)督管理測評準(zhǔn)則流程方法監(jiān)管流程應(yīng)急預(yù)案應(yīng)急響應(yīng)等級保護(hù)標(biāo)準(zhǔn)制修訂背景開展等級保護(hù)工作的環(huán)節(jié)一是：科學(xué)定級

二是：嚴(yán)格備案

三是：系統(tǒng)建設(shè)、整改

四是：等級測評

五是：信息安全監(jiān)管部門監(jiān)督檢查等級保護(hù)工作中用到的主要標(biāo)準(zhǔn)（一）基礎(chǔ)1、《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》GB17859-19992、《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》(國標(biāo)報批稿)（二）系統(tǒng)定級環(huán)節(jié)3、《信息系統(tǒng)安全保護(hù)等級定級指南》GB/T22240-2008（三）建設(shè)整改環(huán)節(jié)4、《信息系統(tǒng)安全等級保護(hù)基本要求》GB/T22239-2008（四）等級測評環(huán)節(jié)5、《信息系統(tǒng)安全等級保護(hù)測評要求》(國標(biāo)報批稿)6、《信息系統(tǒng)安全等級保護(hù)測評過程指南》(國標(biāo)報批稿)小結(jié)-等級保護(hù)主要政策和標(biāo)準(zhǔn)《信息安全等級保護(hù)管理辦法》（公通字[2007]43號，以下簡稱《管理辦法》）《計算機(jī)信息安全保護(hù)等級劃分準(zhǔn)則》（GB17859-1999，簡稱《劃分準(zhǔn)則》）《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》（簡稱《實(shí)施指南》）《信息系統(tǒng)安全保護(hù)等級定級指南》（GB/T22240-2008，簡稱《定級指南》）《信息系統(tǒng)安全等級保護(hù)基本要求》（GB/T22239-2008，簡稱《基本要求》）《信息系統(tǒng)安全等級保護(hù)測評要求》（簡稱《測評要求》）《信息系統(tǒng)安全等級保護(hù)測評過程指南》（簡稱《測評過程指南》）目錄等級保護(hù)的國家標(biāo)準(zhǔn)等級保護(hù)的定級過程等級保護(hù)的建設(shè)整改交流與溝通等級的概念首先出現(xiàn)在國家標(biāo)準(zhǔn)《劃分準(zhǔn)則》中從安全保護(hù)能力角度，根據(jù)安全功能的實(shí)現(xiàn)情況，將計算機(jī)信息系統(tǒng)安全保護(hù)能力劃分為五個級別用戶自主保護(hù)級系統(tǒng)審計保護(hù)級安全標(biāo)記保護(hù)級結(jié)構(gòu)化保護(hù)級訪問驗(yàn)證保護(hù)級系統(tǒng)定級-等級的概念系統(tǒng)定級-等級的概念-信息系統(tǒng)安全保護(hù)能力的等級《管理辦法》從信息系統(tǒng)重要程度及其社會屬性考慮，再次給出了信息系統(tǒng)五個級別的定義第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。系統(tǒng)定級-等級的概念-信息系統(tǒng)重要程度的等級系統(tǒng)定級-<定級指南>最終，依據(jù)《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》（國務(wù)院147號令）、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號）、《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》（公通字[2004]66號）和《信息安全等級保護(hù)管理辦法》（公通字[2007]43號），制定本標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)是信息安全等級保護(hù)相關(guān)系列標(biāo)準(zhǔn)之一。系統(tǒng)定級-<定級指南>-定級原理

系統(tǒng)定級-<定級指南>-定級流程

系統(tǒng)定級-<定級指南>-定級方法

確定定級對象；確定業(yè)務(wù)信息安全受到破壞時所侵害的客體；綜合評定業(yè)務(wù)信息安全被破壞對客體的侵害程度；得到業(yè)務(wù)信息安全等級；確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客體；綜合評定系統(tǒng)服務(wù)安全被破壞對客體的侵害程度；得到系統(tǒng)服務(wù)安全等級；由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級的較高者確定定級對象的安全保護(hù)等級。系統(tǒng)定級--<定級指南>-確定定級對象一、定級對象的三個條件具有唯一確定的安全責(zé)任單位作為定級對象的信息系統(tǒng)應(yīng)能夠唯一地確定其安全責(zé)任單位，這個安全責(zé)任單位就是負(fù)責(zé)等級保護(hù)工作部署、實(shí)施的單位，也是完成等級保護(hù)備案和接受監(jiān)督檢查的直接責(zé)任單位。滿足信息系統(tǒng)的基本要素作為定級對象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體。應(yīng)避免將某個單一的系統(tǒng)組件，如單臺的服務(wù)器、終端或網(wǎng)絡(luò)設(shè)備等作為定級對象。系統(tǒng)定級-<定級指南>-確定定級對象一、定級對象的三個條件承載相對獨(dú)立的業(yè)務(wù)應(yīng)用定級對象承載“相對獨(dú)立”的業(yè)務(wù)應(yīng)用是指其中的一個或多個業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程、部分業(yè)務(wù)功能獨(dú)立，同時與其他信息系統(tǒng)的業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換，定級對象可能會與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備。“相對獨(dú)立”的業(yè)務(wù)應(yīng)用并不意味著整個業(yè)務(wù)流程，可以是完整的業(yè)務(wù)流程的一部分。系統(tǒng)定級-<定級指南>-確定定級對象二、定級對象的識別和劃分可能使定級要素賦值不同因素可能涉及不同客體的系統(tǒng)?？赡軐腕w造成不同程度損害的系統(tǒng)。處理不同類型業(yè)務(wù)的系統(tǒng)。本身運(yùn)行在不同的網(wǎng)絡(luò)環(huán)境中的系統(tǒng)。分不開的系統(tǒng)，按照高級別保護(hù)。系統(tǒng)定級-<定級指南>-侵害程度

不同危害后果的三種危害程度描述如下：一般損害：工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的財產(chǎn)損失，有限的社會不良影響，對其他組織和個人造成較低損害。嚴(yán)重?fù)p害：工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行，出現(xiàn)較嚴(yán)重的法律問題，較高的財產(chǎn)損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴(yán)重?fù)p害。特別嚴(yán)重?fù)p害：工作職能受到特別嚴(yán)重影響或喪失行使能力，業(yè)務(wù)能力嚴(yán)重下降且或功能無法執(zhí)行，出現(xiàn)極其嚴(yán)重的法律問題，極高的財產(chǎn)損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴(yán)重?fù)p害。系統(tǒng)定級-<定級指南>-關(guān)于損害的詳述安全保護(hù)級別信息和信息系統(tǒng)受到破壞后的影響1自主保護(hù)級不會損害國家安全、社會秩序和公共利益。2指導(dǎo)保護(hù)級會對社會秩序和公共利益造成輕微損害，但不損害國家安全。3監(jiān)督保護(hù)級會對國家安全、社會秩序和公共利益造成損害。4強(qiáng)制保護(hù)級會對國家安全、社會秩序和公共利益造成嚴(yán)重?fù)p害。5?？乇Ｗo(hù)級會對國家安全、社會秩序和公共利益造成特別嚴(yán)重?fù)p害。系統(tǒng)定級-關(guān)于定級級別等級對象侵害客體侵害程度監(jiān)管強(qiáng)度第一級一般系統(tǒng)合法利益損害自主性保護(hù)第二級合法權(quán)益嚴(yán)重?fù)p害指導(dǎo)性保護(hù)社會秩序和公共利益損害第三級重要系統(tǒng)社會秩序和公共利益嚴(yán)重?fù)p害監(jiān)督性保護(hù)國家安全損害第四級社會秩序和公共利益特別嚴(yán)重?fù)p害強(qiáng)制性保護(hù)國家安全嚴(yán)重?fù)p害第五級極端重要系統(tǒng)國家安全特別嚴(yán)重?fù)p害?？匦员Ｗo(hù)系統(tǒng)所屬類型業(yè)務(wù)信息類別系統(tǒng)服務(wù)范圍業(yè)務(wù)依賴程度業(yè)務(wù)信息安全性業(yè)務(wù)服務(wù)保證性信息系統(tǒng)安全保護(hù)等級侵害的程度如何？（對客體造成侵害的程度）一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害受到破壞時侵害了什么？（客體）公民、法人社會秩序、公共利益國家安全四個主要因素決定等級

系統(tǒng)定級-關(guān)于等級變更

在信息系統(tǒng)的運(yùn)行過程中，安全保護(hù)等級應(yīng)隨著信息系統(tǒng)所處理的信息和業(yè)務(wù)狀態(tài)的變化進(jìn)行適當(dāng)?shù)淖兏?，尤其是?dāng)狀態(tài)變化可能導(dǎo)致業(yè)務(wù)信息安全或系統(tǒng)服務(wù)受到破壞后的受侵害客體和對客體的侵害程度有較大的變化，可能影響到系統(tǒng)的安全保護(hù)等級時，應(yīng)根據(jù)定級標(biāo)準(zhǔn)給出的定級方法重新定級目錄等級保護(hù)的國家標(biāo)準(zhǔn)等級保護(hù)的定級過程等級保護(hù)的建設(shè)整改交流與溝通建設(shè)整改-管理辦法要求《管理辦法》第十二條:在信息系統(tǒng)建設(shè)過程中，運(yùn)營、使用單位應(yīng)當(dāng)按照《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859-1999）、《信息系統(tǒng)安全等級保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn)，參照……等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級要求的信息安全設(shè)施。建設(shè)整改-《劃分準(zhǔn)則》和《基本要求》

《劃分準(zhǔn)則》以安全保護(hù)能力為基礎(chǔ)提出了各級系統(tǒng)應(yīng)該實(shí)現(xiàn)的安全功能，但是《劃分準(zhǔn)則》提出的主要是安全技術(shù)功能，信息系統(tǒng)安全保護(hù)能力實(shí)現(xiàn)需要通過安全技術(shù)措施和安全管理措施共同落實(shí)支撐。因此，在《劃分準(zhǔn)則》的基礎(chǔ)上，制定了《基本要求》標(biāo)準(zhǔn)，從技術(shù)和管理兩方面提出了相應(yīng)的措施。建設(shè)整改-《基本要求》是核心

《基本要求》是信息系統(tǒng)安全保護(hù)基本“標(biāo)尺”或達(dá)標(biāo)線，信息系統(tǒng)安全建設(shè)整改應(yīng)以落實(shí)《基本要求》為主要目標(biāo)，滿足《基本要求》意味著信息系統(tǒng)具有相應(yīng)等級的基本安全保護(hù)能力，達(dá)到了一種基本的安全狀態(tài)。建設(shè)整改-《基本要求》-主要組織方式建設(shè)整改-《基本要求》-主要組織方式7第三級基本要求7.1技術(shù)要求7.1.1物理安全（類）7.1.1.1物理位置的選擇（控制點(diǎn)）本項(xiàng)要求包括（具體要求）a)機(jī)房和辦公場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)；。。。。。。7.2管理要求7.2.1安全管理制度（類）7.2.1.1管理制度（控制點(diǎn)）本項(xiàng)要求包括：（具體要求）a)應(yīng)制定信息安全工作的總體方針和安全策略，說明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等；建設(shè)整改-《基本要求》-安全保護(hù)技術(shù)身份鑒別訪問控制安全審計數(shù)據(jù)完整性數(shù)據(jù)保密性數(shù)據(jù)可用性

病毒防范入侵檢測安全監(jiān)控備份與恢復(fù)密碼使用等等建設(shè)整改-《基本要求》-安全保護(hù)技術(shù)確定安全策略落實(shí)信息安全責(zé)任制建立安全組織機(jī)構(gòu)加強(qiáng)人員管理加強(qiáng)系統(tǒng)建設(shè)的安全管理加強(qiáng)運(yùn)行維護(hù)的安全管理等建設(shè)整改-《基本要求》-物理安全物理安全是指對信息系統(tǒng)所涉及到的主機(jī)房、輔助機(jī)房、辦公環(huán)境等進(jìn)行物理安全保護(hù)。具體關(guān)注內(nèi)容包括：物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等方面建設(shè)整改-《基本要求》-網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是指對信息系統(tǒng)所涉及的通信網(wǎng)絡(luò)、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)區(qū)域和網(wǎng)絡(luò)設(shè)備等進(jìn)行安全保護(hù)。具體關(guān)注內(nèi)容包括通信過程數(shù)據(jù)完整性、通信過程數(shù)據(jù)保密性、保證通信可靠性的設(shè)備和線路冗余、區(qū)域網(wǎng)絡(luò)的邊界保護(hù)、區(qū)域劃分、身份認(rèn)證、訪問控制、安全審計、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備自身保護(hù)和網(wǎng)絡(luò)的網(wǎng)絡(luò)管理等方面建設(shè)整改-《基本要求》-主機(jī)安全主機(jī)安全是指對信息系統(tǒng)涉及到的服務(wù)器和工作站進(jìn)行主機(jī)系統(tǒng)安全保護(hù)。具體關(guān)注內(nèi)容包括操作系統(tǒng)或數(shù)據(jù)庫管理系統(tǒng)的選擇、安裝和安全配置、主機(jī)入侵防范、惡意代碼防范、資源使用和運(yùn)行情況監(jiān)控等。其中，安全配置細(xì)分為身份鑒別、訪問控制、安全審計等方面的配置內(nèi)容建設(shè)整改-《基本要求》-應(yīng)用安全應(yīng)用安全是指對信息系統(tǒng)涉及到的應(yīng)用系統(tǒng)進(jìn)行安全保護(hù)。具體關(guān)注內(nèi)容包括應(yīng)用系統(tǒng)實(shí)現(xiàn)身份鑒別、訪問控制、安全審計、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯和資源控制等功能方面建設(shè)整改-《基本要求》-數(shù)據(jù)安全數(shù)據(jù)安全是指對信息系統(tǒng)中業(yè)務(wù)數(shù)據(jù)的傳輸、存儲和備份恢復(fù)進(jìn)行安全保護(hù)。具體關(guān)注內(nèi)容包括數(shù)據(jù)備份系統(tǒng)、