信息安全等級(jí)保護(hù)安全建設(shè)整改簡(jiǎn)介課件

信息安全等級(jí)保護(hù)

安全建設(shè)整改簡(jiǎn)介信息安全等級(jí)保護(hù)

安全建設(shè)整改簡(jiǎn)介1一、信息安全等級(jí)保護(hù)安全建設(shè)整改簡(jiǎn)介二、案例分享目錄一、信息安全等級(jí)保護(hù)安全建設(shè)整改簡(jiǎn)介二、案例分享目錄2信息安全等級(jí)保護(hù)建設(shè)整改工作目的：

信息系統(tǒng)運(yùn)營(yíng)使用單位在做好信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)備案工作基礎(chǔ)上，按照國(guó)家有關(guān)規(guī)定和標(biāo)準(zhǔn)規(guī)范要求，開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作。通過落實(shí)安全責(zé)任制，開展管理制度建設(shè)、技術(shù)措施建設(shè)，落實(shí)等級(jí)保護(hù)制度的各項(xiàng)要求，使信息系統(tǒng)安全管理水平明顯提高，安全保護(hù)能力明顯增強(qiáng)，安全隱患和安全事故明顯減少，有效保障信息化健康發(fā)展，維護(hù)國(guó)家安全、社會(huì)秩序和公共利益。信息安全等級(jí)保護(hù)建設(shè)整改工作目的：3信息系統(tǒng)安全管理建設(shè)信息系統(tǒng)安全技術(shù)建設(shè)開展信息系統(tǒng)安全自查和等級(jí)測(cè)評(píng)信息系統(tǒng)安全保護(hù)現(xiàn)狀分析信息系統(tǒng)安全建設(shè)整改工作規(guī)劃和工作部署確定安全策略，制定安全建設(shè)整改方案物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理工作流程規(guī)劃和部署分析現(xiàn)狀編寫方案開展整改工作安全自查和等級(jí)測(cè)評(píng)信息系統(tǒng)安全管理建設(shè)信息系統(tǒng)安全技術(shù)建設(shè)開展信息系統(tǒng)安全自查4

選擇基本安全措施評(píng)估特殊風(fēng)險(xiǎn)

安全保

護(hù)等級(jí)信息系統(tǒng)基本保護(hù)要求的組合第一級(jí)S1A1G1第二級(jí)S1A2G2，S2A2G2，S2A1G2第三級(jí)S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級(jí)S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4第五級(jí)S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A5G5，S5A4G5，S5A3G5，S5A2G5，S5A1G5工具掃描人工分析滲透測(cè)試調(diào)研訪談?wù){(diào)查現(xiàn)狀，分析風(fēng)險(xiǎn)和差距規(guī)劃和部署分析現(xiàn)狀編寫方案開展整改工作安全自查和等級(jí)測(cè)評(píng)選擇基本安全措施評(píng)估特殊風(fēng)險(xiǎn)安全保護(hù)等級(jí)信息系統(tǒng)基本5電力供應(yīng)電磁防護(hù)物理機(jī)房Internet互聯(lián)網(wǎng)區(qū)應(yīng)用存儲(chǔ)區(qū)辦公網(wǎng)區(qū)辦公終端應(yīng)用存儲(chǔ)服務(wù)器互聯(lián)網(wǎng)服務(wù)器郵件網(wǎng)站信息服務(wù)決策支持安全審計(jì)身份鑒別訪問控制結(jié)構(gòu)安全訪問控制身份鑒別安全審計(jì)訪問控制入侵防范存儲(chǔ)數(shù)據(jù)傳輸數(shù)據(jù)處理數(shù)據(jù)備份和恢復(fù)完整性保密性調(diào)查現(xiàn)狀，分析風(fēng)險(xiǎn)和差距電力供應(yīng)電磁防護(hù)物理機(jī)房Internet互聯(lián)網(wǎng)區(qū)應(yīng)用存儲(chǔ)區(qū)辦6應(yīng)用層SQL注入身份冒用溢出攻擊數(shù)據(jù)竊取傳輸竊聽數(shù)據(jù)重放主機(jī)層弱口令系統(tǒng)漏洞病毒入侵資源占用黑客攻擊網(wǎng)絡(luò)層帶寬資源濫用非法接入非法外聯(lián)區(qū)域混亂協(xié)議攻擊中間人攻擊信息泄露物理層斷電物理攻擊非法進(jìn)出盜竊火災(zāi)數(shù)據(jù)層篡改非法訪問丟失泄露不可用計(jì)算環(huán)境區(qū)域邊界網(wǎng)絡(luò)通信安全管理缺乏組織缺乏流程人員安全意識(shí)不足缺乏過程控制缺乏專業(yè)技能缺乏安全監(jiān)控管理不到位調(diào)查現(xiàn)狀，分析風(fēng)險(xiǎn)和差距應(yīng)用層SQL注入身份溢出數(shù)據(jù)竊取傳輸數(shù)據(jù)重放主機(jī)層弱口令系統(tǒng)7方案概述背景、編寫依據(jù)、定位和目標(biāo)、設(shè)計(jì)思路、技術(shù)路線信息系統(tǒng)定級(jí)及基本情況信息系統(tǒng)情況、等級(jí)情況、網(wǎng)絡(luò)及安全措施情況信息與網(wǎng)絡(luò)安全需求分析風(fēng)險(xiǎn)分析、等保差距分析、總體安全需求安全保障體系框架保護(hù)對(duì)象與安全域、安全保障體系框架總體安全方針和策略信息安全方針、總體安全策略安全管理體系設(shè)計(jì)組織、制度、人員安全建設(shè)安全技術(shù)體系設(shè)計(jì)物理、安全區(qū)域邊界、安全網(wǎng)絡(luò)通信、安全計(jì)算環(huán)境安全運(yùn)行體系設(shè)計(jì)建設(shè)安全管理、運(yùn)維安全管理安全管理中心設(shè)計(jì)安全工作管理、安全運(yùn)維管理、統(tǒng)一技術(shù)管理、三員管理項(xiàng)目實(shí)施總體計(jì)劃第一階段、第二階段、本期實(shí)施產(chǎn)品及總體拓?fù)浯_定框架，制定整改方案規(guī)劃和部署分析現(xiàn)狀編寫方案開展整改工作安全自查和等級(jí)測(cè)評(píng)方案概述背景、編寫依據(jù)、定位和目標(biāo)、設(shè)計(jì)思路、技術(shù)路線信息系8結(jié)合實(shí)際，部署實(shí)施安全措施規(guī)劃和部署分析現(xiàn)狀編寫開展整改工作測(cè)評(píng)結(jié)合實(shí)際，部署實(shí)施安全措施規(guī)劃和部署分析現(xiàn)狀編寫開展整改工作9等級(jí)?；疽笈c安全產(chǎn)品對(duì)應(yīng)關(guān)系等級(jí)保護(hù)要求控制要求等保三級(jí)所需產(chǎn)品實(shí)現(xiàn)機(jī)制物理安全位置、物理訪問控制、防盜、防破壞、防雷擊、防火、防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)門禁監(jiān)控報(bào)警系統(tǒng)避雷裝置消防水敏感檢測(cè)儀防靜電設(shè)施雙路供電電磁屏蔽機(jī)房建設(shè)物理安全策略網(wǎng)絡(luò)安全結(jié)構(gòu)安全帶寬管理、SSLVPN/IPSecVPN路由器、交換機(jī)、負(fù)載均衡

網(wǎng)絡(luò)、安全集成

安全域網(wǎng)絡(luò)安全策略

網(wǎng)絡(luò)安全配置實(shí)施（限制IP地址）訪問控制防火墻、IPS/IDS安全審計(jì)網(wǎng)絡(luò)安全審計(jì)日志審計(jì)邊界完整性檢查終端安全管理

入侵防范IDS

惡意代碼防范防病毒系統(tǒng)、防病毒網(wǎng)關(guān)

網(wǎng)絡(luò)設(shè)備防護(hù)

網(wǎng)絡(luò)設(shè)備安全配置參考安全產(chǎn)品對(duì)照（參考）等級(jí)?；疽笈c安全產(chǎn)品對(duì)應(yīng)關(guān)系等級(jí)保護(hù)要求控制要求等保三級(jí)10等級(jí)?；疽笈c安全產(chǎn)品對(duì)應(yīng)關(guān)系等級(jí)保護(hù)要求控制要求等保三級(jí)所需產(chǎn)品實(shí)現(xiàn)機(jī)制主機(jī)安全身份鑒別主機(jī)核心防護(hù)

包括數(shù)據(jù)庫(kù)安全訪問控制主機(jī)核心防護(hù)主機(jī)、數(shù)據(jù)庫(kù)安全加固安全審計(jì)

終端、服務(wù)器、數(shù)據(jù)審計(jì)系統(tǒng)

剩余信息保護(hù)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)入侵防范

主機(jī)核心防護(hù)、主機(jī)入侵檢測(cè)

惡意代碼防范

防病毒資源控制網(wǎng)管系統(tǒng)應(yīng)用安全身份鑒別動(dòng)態(tài)令牌、CA應(yīng)用開發(fā)編碼規(guī)范、安全編碼應(yīng)用安全功能

安全審計(jì)應(yīng)用系統(tǒng)日志審計(jì)訪問控制、剩余信息保護(hù)通信完整性、通信保密性、抗抵賴、軟件容錯(cuò)、資源控制主要功能需要應(yīng)用系統(tǒng)開發(fā)商解決數(shù)據(jù)與備份安全數(shù)據(jù)完整性防篡改異地備份和恢復(fù)策略數(shù)據(jù)保密性

SSH、VPN、MD5等備份和恢復(fù)

異地備份參考安全產(chǎn)品對(duì)照（參考）等級(jí)保基本要求與安全產(chǎn)品對(duì)應(yīng)關(guān)系等級(jí)保護(hù)要求控制要求等保三級(jí)11信息安全領(lǐng)導(dǎo)小組信息安全主管（部門）安全管理員安全審計(jì)員系統(tǒng)管理員網(wǎng)絡(luò)管理員數(shù)據(jù)庫(kù)管理員決策、監(jiān)督應(yīng)用系統(tǒng)管理員管理執(zhí)行落實(shí)信息安全責(zé)任制建立安全組織（舉例）信息安全領(lǐng)導(dǎo)小組信息安全主管（部門）安全管理員安全審計(jì)員系統(tǒng)12方針策略信息安全工作的綱領(lǐng)性文件。

制度辦法在安全策略的指導(dǎo)下，制定的各項(xiàng)安全管理和技術(shù)制度、辦法和準(zhǔn)則，用來規(guī)范各部門處室安全管理工作。流程細(xì)則細(xì)化的實(shí)施細(xì)則、管理技術(shù)標(biāo)準(zhǔn)等內(nèi)容，用來支撐第二層對(duì)應(yīng)的制度與管理辦法的有效實(shí)施。記錄表單記錄活動(dòng)實(shí)行以符合等級(jí)1,2,和3的文件要求的客觀證據(jù)，闡明所取得的結(jié)果或提供完成活動(dòng)的證據(jù)運(yùn)行記錄方針策略實(shí)施細(xì)則與流程制度與管理辦法編寫安全管理制度方針策略制度辦法流程細(xì)則記錄表單運(yùn)行記錄方針實(shí)施細(xì)則與流程制13信息安全體系框架信息安全管理體系信息安全技術(shù)體系信息安全運(yùn)行體系組織機(jī)構(gòu)人員安全制度標(biāo)準(zhǔn)抗抵賴標(biāo)識(shí)鑒別審計(jì)訪問控制通信保護(hù)威脅檢測(cè)弱點(diǎn)加固備份恢復(fù)數(shù)據(jù)保護(hù)密碼技術(shù)決策-管理-執(zhí)行-監(jiān)督資源管理狀態(tài)檢測(cè)防惡技術(shù)物理技術(shù)意識(shí)-技能-職稱-培訓(xùn)-考核方針策略-制度規(guī)范-流程表單監(jiān)控監(jiān)測(cè)內(nèi)容安全日常運(yùn)行管理配置管理變更管理問題管理事件管理風(fēng)險(xiǎn)管理監(jiān)督檢查介質(zhì)管理環(huán)境管理應(yīng)急響應(yīng)運(yùn)行監(jiān)控審計(jì)安全管理中心制定發(fā)布評(píng)審修訂錄用離崗考核教育人員授權(quán)溝通檢查崗位物理網(wǎng)絡(luò)主機(jī)應(yīng)用數(shù)據(jù)系統(tǒng)建設(shè)系統(tǒng)運(yùn)維安全計(jì)算環(huán)境安全區(qū)域邊界安全網(wǎng)絡(luò)通信安全工作管理安全保護(hù)對(duì)象定級(jí)備案設(shè)計(jì)開發(fā)實(shí)施測(cè)試驗(yàn)收交付服務(wù)商信息安全體系安全目標(biāo)、總體安全策略抗抵賴標(biāo)識(shí)鑒別弱點(diǎn)加固密碼技術(shù)狀態(tài)檢測(cè)防惡技術(shù)監(jiān)控監(jiān)測(cè)內(nèi)容安全測(cè)評(píng)檢查統(tǒng)一技術(shù)管理安全運(yùn)維管理系統(tǒng)管理安全管理審計(jì)管理信息安全體系框架信息安全管理體系信息安全技術(shù)體系信息安全運(yùn)行14三級(jí)系統(tǒng)整改示例案例分享三級(jí)系統(tǒng)整改示例案例分享15基礎(chǔ)類《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》GB17859-1999《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》GB/TCCCC-CCCC報(bào)批稿

應(yīng)用類定級(jí)：《信息系統(tǒng)安全保護(hù)定級(jí)指南》GB/T22240-2008建設(shè)：《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》GB/T22239-2008

《信息系統(tǒng)通用安全技術(shù)要求》GB/T20271-2006《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》測(cè)評(píng)：《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》GB/TDDDD-DDDD報(bào)批稿

《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》管理：《信息系統(tǒng)安全管理要求》GB/T20269-2006《信息系統(tǒng)安全工程管理要求》GB/T20282-2006等級(jí)保護(hù)標(biāo)準(zhǔn)基礎(chǔ)類等級(jí)保護(hù)標(biāo)準(zhǔn)16等級(jí)保護(hù)－－實(shí)施過程信息系統(tǒng)定級(jí)安全總體規(guī)劃安全設(shè)計(jì)與實(shí)施安全運(yùn)行維護(hù)信息系統(tǒng)終止安全等級(jí)測(cè)評(píng)安全整改設(shè)計(jì)安全要求整改安全等級(jí)整改局部調(diào)整等級(jí)變更等級(jí)保護(hù)－－實(shí)施過程信息系統(tǒng)定級(jí)安全總體規(guī)劃安全設(shè)計(jì)與實(shí)施安17能力、措施和要求安全保護(hù)能力基本安全要求等保3級(jí)的信息系統(tǒng)基本技術(shù)措施基本管理措施具備包含包含滿足滿足實(shí)現(xiàn)能力、措施和要求安全保護(hù)能力基本安全要求等保3級(jí)的信息系統(tǒng)基18等級(jí)保護(hù)基本安全要求某級(jí)系統(tǒng)物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理等級(jí)保護(hù)基本安全要求某級(jí)系統(tǒng)物理安全技術(shù)要求管理要求基本要求19三級(jí)系統(tǒng)的控制點(diǎn)及要求項(xiàng)指標(biāo)類技術(shù)/管理層面類數(shù)量項(xiàng)數(shù)量S類(3級(jí))A類(3級(jí))G類(3級(jí))小計(jì)小計(jì)安全技術(shù)物理安全1181032網(wǎng)絡(luò)安全106733主機(jī)安全313732應(yīng)用安全522931數(shù)據(jù)安全21038安全管理安全管理制度N/A311安全管理機(jī)構(gòu)520人員安全管理516系統(tǒng)建設(shè)管理1145系統(tǒng)運(yùn)維管理1360合

計(jì)73（類）290（項(xiàng)）三級(jí)系統(tǒng)的控制點(diǎn)及要求項(xiàng)指標(biāo)類技術(shù)/管理層面類數(shù)量項(xiàng)數(shù)量S類20三級(jí)系統(tǒng)安全保護(hù)要求—物理安全物理安全主要涉及的方面包括環(huán)境安全（防火、防水、防雷擊等）設(shè)備和介質(zhì)的防盜竊防破壞等方面。物理安全具體包括：10個(gè)控制點(diǎn)物理位置的選擇（G）、物理訪問控制（G）、防盜竊和防破壞（G）、防雷擊（G)、防火（G）、防水和防潮（G）、防靜電（G）、溫濕度控制（G）、電力供應(yīng)（A）、電磁防護(hù)（S）三級(jí)系統(tǒng)安全保護(hù)要求—物理安全物理安全主要涉及的方面包括環(huán)境21物理位置的選擇基本防護(hù)能力高層、地下室物理訪問控制基本出入控制分區(qū)域管理在機(jī)房中的活動(dòng)電子門禁防盜竊和防破壞存放位置、標(biāo)記標(biāo)識(shí)監(jiān)控報(bào)警系統(tǒng)防雷擊建筑防雷、機(jī)房接地設(shè)備防雷防火滅火設(shè)備、自動(dòng)報(bào)警自動(dòng)消防系統(tǒng)區(qū)域隔離措施防靜電關(guān)鍵設(shè)備主要設(shè)備防靜電地板電力供應(yīng)穩(wěn)定電壓、短期供應(yīng)主要設(shè)備冗余/并行線路備用供電系統(tǒng)電磁防護(hù)線纜隔離接地防干擾電磁屏蔽防水和防潮溫濕度控制物理安全的整改要點(diǎn)物理位置的選擇基本防護(hù)能力高層、地下室物理訪問控制基本出入控22物理位置選擇物理訪問控制防盜竊和防破壞防雷擊、防火、防水和防潮、防靜電、溫濕度控制電力供應(yīng)電磁防護(hù)物理位置選擇物理訪問控制防盜竊和防破壞防雷擊、防火、防水和防23三級(jí)系統(tǒng)安全保護(hù)要求—網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全主要關(guān)注的方面包括：網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界以及網(wǎng)絡(luò)設(shè)備自身安全等。網(wǎng)絡(luò)安全具體包括：7個(gè)控制點(diǎn)

結(jié)構(gòu)安全(G)、訪問控制(G)、安全審計(jì)(G)、邊界完整性檢查(A)、入侵防范(G)、惡意代碼防范(G)、網(wǎng)絡(luò)設(shè)備防護(hù)(G)三級(jí)系統(tǒng)安全保護(hù)要求—網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全主要關(guān)注的方面包括：網(wǎng)24結(jié)構(gòu)安全關(guān)鍵設(shè)備冗余空間主要設(shè)備冗余空間訪問控制訪問控制設(shè)備（用戶、網(wǎng)段）應(yīng)用層協(xié)議過濾撥號(hào)訪問限制會(huì)話終止安全審計(jì)日志記錄審計(jì)報(bào)表邊界完整性檢查內(nèi)部的非法聯(lián)出非授權(quán)設(shè)備私自外聯(lián)網(wǎng)絡(luò)安全的整改要點(diǎn)子網(wǎng)/網(wǎng)段控制核心網(wǎng)絡(luò)帶寬整體網(wǎng)絡(luò)帶寬重要網(wǎng)段部署路由控制帶寬分配優(yōu)先級(jí)端口控制最大流量數(shù)及最大連接數(shù)防止地址欺騙審計(jì)記錄的保護(hù)定位及阻斷入侵防范檢測(cè)常見攻擊記錄、報(bào)警惡意代碼防范網(wǎng)絡(luò)邊界處防范網(wǎng)絡(luò)設(shè)備防護(hù)基本的登錄鑒別組合鑒別技術(shù)特權(quán)用戶的權(quán)限分離結(jié)構(gòu)安全關(guān)鍵設(shè)備冗余空間主要設(shè)備冗余空間訪問控制訪問控制設(shè)備25結(jié)構(gòu)安全訪問控制安全審計(jì)增加違規(guī)外聯(lián)檢測(cè)阻斷產(chǎn)品邊界完整性檢查入侵防范增加網(wǎng)關(guān)型防毒墻產(chǎn)品惡意代碼防范網(wǎng)絡(luò)設(shè)備特別配置服務(wù)網(wǎng)絡(luò)設(shè)備防護(hù)增加網(wǎng)絡(luò)安全審計(jì)產(chǎn)品結(jié)構(gòu)安全訪問控制安全審計(jì)增加違規(guī)外聯(lián)檢測(cè)阻斷產(chǎn)品邊界完整性檢26三級(jí)系統(tǒng)安全保護(hù)要求—主機(jī)安全主機(jī)系統(tǒng)安全是包括服務(wù)器、終端/工作站等在內(nèi)的計(jì)算機(jī)設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)層面的安全。主機(jī)安全具體包括：7個(gè)控制點(diǎn)身份鑒別(S)、訪問控制(S)、安全審計(jì)(G)、剩余信息保護(hù)(S)、入侵防范(G)、惡意代碼防范(G)、資源控制(A)三級(jí)系統(tǒng)安全保護(hù)要求—主機(jī)安全主機(jī)系統(tǒng)安全是包括服務(wù)器、終端27身份鑒別基本的身份鑒別訪問控制安全策略管理用戶的權(quán)限分離特權(quán)用戶的權(quán)限分離安全審計(jì)服務(wù)器基本運(yùn)行情況審計(jì)審計(jì)報(bào)表剩余信息保護(hù)空間釋放及信息清除主機(jī)安全的整改要點(diǎn)組合鑒別技術(shù)敏感標(biāo)記的設(shè)置及操作審計(jì)記錄的保護(hù)入侵防范最小安裝原則重要服務(wù)器：檢測(cè)、記錄、報(bào)警惡意代碼防范主機(jī)與網(wǎng)絡(luò)的防范產(chǎn)品不同資源控制監(jiān)視重要服務(wù)器最小服務(wù)水平的檢測(cè)及報(bào)警重要客戶端的審計(jì)升級(jí)服務(wù)器重要程序完整性防惡意代碼軟件、代碼庫(kù)統(tǒng)一管理對(duì)用戶會(huì)話數(shù)及終端登錄的限制身份鑒別基本的身份鑒別訪問控制安全策略管理用戶的權(quán)限分離特權(quán)28身份鑒別訪問控制安全審計(jì)增加身份認(rèn)證系統(tǒng)剩余信息保護(hù)入侵防范訪問控制策略配置服務(wù)主機(jī)入侵防范策略配置服務(wù)惡意代碼防范資源控制網(wǎng)管軟件和主機(jī)配置服務(wù)身份鑒別訪問控制安全審計(jì)增加身份認(rèn)證系統(tǒng)剩余信息保護(hù)入侵防范29三級(jí)系統(tǒng)安全保護(hù)要求—應(yīng)用安全應(yīng)用系統(tǒng)的安全就是保護(hù)系統(tǒng)的各種應(yīng)用程序安全運(yùn)行。包括基本應(yīng)用，如：消息發(fā)送、web瀏覽等；業(yè)務(wù)應(yīng)用，如：電子商務(wù)、電子政務(wù)等。應(yīng)用安全具體包括：9個(gè)控制點(diǎn)身份鑒別（S）、訪問控制（S）、安全審計(jì)（G）、剩余信息保護(hù)（S）、通信完整性（S）、通信保密性（S）、抗抵賴（G）、軟件容錯(cuò)（A）、資源控制（A）三級(jí)系統(tǒng)安全保護(hù)要求—應(yīng)用安全應(yīng)用系統(tǒng)的安全就是保護(hù)系統(tǒng)的各30身份鑒別基本的身份鑒別訪問控制安全策略最小授權(quán)原則安全審計(jì)運(yùn)行情況審計(jì)（用戶級(jí)）審計(jì)報(bào)表剩余信息保護(hù)空間釋放及信息清除應(yīng)用安全的整改要點(diǎn)組合鑒別技術(shù)敏感標(biāo)記的設(shè)置及操作審計(jì)過程的保護(hù)通信完整性校驗(yàn)碼技術(shù)密碼技術(shù)軟件容錯(cuò)自動(dòng)保護(hù)功能資源控制資源分配限制、資源分配優(yōu)先級(jí)最小服務(wù)水平的檢測(cè)及報(bào)警數(shù)據(jù)有效性檢驗(yàn)、部分運(yùn)行保護(hù)對(duì)用戶會(huì)話數(shù)及系統(tǒng)最大并發(fā)會(huì)話數(shù)的限制審計(jì)記錄的保護(hù)通信保密性初始化驗(yàn)證整個(gè)報(bào)文及會(huì)話過程加密敏感信息加密抗抵賴身份鑒別基本的身份鑒別訪問控制安全策略最小授權(quán)原則安全審計(jì)運(yùn)31身份鑒別訪問控制安全審計(jì)應(yīng)用軟件本身配置或升級(jí)剩余信息保護(hù)通信完整性訪問控制策略配置服務(wù)通信保密性抗抵賴軟件容錯(cuò)資源控制系統(tǒng)審計(jì)配置服務(wù)增加通訊加密手段建立統(tǒng)一的CA中心可通過配置服務(wù)達(dá)到部分要求身份鑒別訪問控制安全審計(jì)應(yīng)用軟件本身配置或升級(jí)剩余信息保護(hù)通32三級(jí)系統(tǒng)安全保護(hù)要求—數(shù)據(jù)安全與備份恢復(fù)數(shù)據(jù)安全主要是保護(hù)用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)的保護(hù)。將對(duì)數(shù)據(jù)造成的損害降至最小。備份恢復(fù)也是防止數(shù)據(jù)被破壞后無法恢復(fù)的重要手段，主要包括數(shù)據(jù)備份、硬件冗余和異地實(shí)時(shí)備份。數(shù)據(jù)安全和備份恢復(fù)具體包括：3個(gè)控制點(diǎn)

數(shù)據(jù)完整性（S）、數(shù)據(jù)保密性（S）、備份和恢復(fù)（A）三級(jí)系統(tǒng)安全保護(hù)要求—數(shù)據(jù)安全與備份恢復(fù)數(shù)據(jù)安全主要是保護(hù)用33數(shù)據(jù)完整性鑒別數(shù)據(jù)傳輸?shù)耐暾詡浞莺突謴?fù)重要數(shù)據(jù)的備份數(shù)據(jù)安全及備份恢復(fù)的整改要點(diǎn)各類數(shù)據(jù)傳輸及存儲(chǔ)異地備份網(wǎng)絡(luò)冗余、硬件冗余本地完全備份硬件冗余檢測(cè)和恢復(fù)數(shù)據(jù)保密性鑒別數(shù)據(jù)存儲(chǔ)的保密性各類數(shù)據(jù)的傳輸及存儲(chǔ)每天1次備份介質(zhì)場(chǎng)外存放數(shù)據(jù)完整性鑒別數(shù)據(jù)傳輸?shù)耐暾詡浞莺突謴?fù)重要數(shù)據(jù)的備份數(shù)據(jù)安34數(shù)據(jù)完整性數(shù)據(jù)保密性備份與恢復(fù)建立統(tǒng)一的CA中心增加通訊加密手段數(shù)據(jù)完整性數(shù)據(jù)保密性備份與恢復(fù)建立統(tǒng)一的CA中心增加通訊加密35管理要求方面的整改36管理制度管理機(jī)構(gòu)人員管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理信息系統(tǒng)管理要求方面的整改36管理制度管理機(jī)構(gòu)人員管理系統(tǒng)建設(shè)管理系三級(jí)系統(tǒng)安全保護(hù)要求—安全管理制度安全管理制度包括信息安全工作的總體方針、策略、規(guī)范各種安全管理活動(dòng)的管理制度以及管理人員或操作人員日常操作的操作規(guī)程。安全管理制度具體包括：3個(gè)控制點(diǎn)

管理制度、制定和發(fā)布、評(píng)審和修訂整改要點(diǎn)：形成信息安全管理制度體系、統(tǒng)一發(fā)布、定期修訂等三級(jí)系統(tǒng)安全保護(hù)要求—安全管理制度安全管理制度包括信息安全工37三級(jí)系統(tǒng)安全保護(hù)要求—安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)主要是在單位的內(nèi)部結(jié)構(gòu)上建立一整套從單位最高管理層（董事會(huì)）到執(zhí)行管理層以及業(yè)務(wù)運(yùn)營(yíng)層的管理結(jié)構(gòu)來約束和保證各項(xiàng)安全管理措施的執(zhí)行。安全管理機(jī)構(gòu)具體包括：5個(gè)控制點(diǎn)崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查整改要點(diǎn)：信息安全領(lǐng)導(dǎo)小組與職能部門、專職安全員、定期全面安全檢查、定期協(xié)調(diào)會(huì)議、外部溝通與合作等三級(jí)系統(tǒng)安全保護(hù)要求—安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)主要是在單位的38三級(jí)系統(tǒng)安全保護(hù)要求—人員安全管理對(duì)人員安全的管理