等級(jí)保護(hù)基本要求培訓(xùn)_第1頁(yè)
等級(jí)保護(hù)基本要求培訓(xùn)_第2頁(yè)
等級(jí)保護(hù)基本要求培訓(xùn)_第3頁(yè)
等級(jí)保護(hù)基本要求培訓(xùn)_第4頁(yè)
等級(jí)保護(hù)基本要求培訓(xùn)_第5頁(yè)
已閱讀5頁(yè),還剩89頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、廣東計(jì)安信息網(wǎng)絡(luò)培訓(xùn)中心廣東計(jì)安信息網(wǎng)絡(luò)培訓(xùn)中心信息系統(tǒng)安全等級(jí)保護(hù)基本要求付欲華目錄等級(jí)保護(hù)等級(jí)等級(jí)保護(hù)重要標(biāo)準(zhǔn) GB 17859-1999 計(jì)算機(jī)信息系統(tǒng) 安全保護(hù)等級(jí)劃分準(zhǔn)則 GB/T 222392008 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 GB/T 222402008 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南(國(guó)標(biāo)報(bào)批稿) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求(國(guó)標(biāo)報(bào)批稿) GB/T 25058-2010信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 GB/T 25070-2010信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)GA/T 708-2007 信息系統(tǒng)安全等級(jí)保護(hù)體系框架GA/T 7

2、092007 信息系統(tǒng)安全等級(jí)保護(hù)基本模型GA/T 710-2007 信息系統(tǒng)安全等級(jí)保護(hù)基本配置GA/T 711-2007 應(yīng)用軟件系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)指南GA/T 7122007 應(yīng)用軟件系統(tǒng)安全等級(jí)保護(hù)通用測(cè)試指南GA/T 713-2007 信息系統(tǒng)安全管理測(cè)評(píng)GB/T 180182007 路由器安全技術(shù)要求GB/T 202692006 信息系統(tǒng)安全管理要求GB/T 202702006 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T 202712006 信息系統(tǒng)安全通用技術(shù)要求GB/T 202722006 操作系統(tǒng)安全技術(shù)要求GB/T 202732006 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求GB/T 20275

3、2006 入侵檢測(cè)系統(tǒng)技術(shù)要求和測(cè)試評(píng)價(jià)方法GB/T 202782006 網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求GB/T 202792006 網(wǎng)絡(luò)和終端設(shè)備隔離部件安全技術(shù)要求GB/T 202812006 防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法GB/T 202822006 信息系統(tǒng)安全工程管理要求GB/T 209792007 虹膜識(shí)別系統(tǒng)技術(shù)要求GB/T 209842007 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB/T 209882007 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范GB/T 210282007 服務(wù)器安全技術(shù)要求GB/T 210522007 信息系統(tǒng)物理安全技術(shù)要求GB/T 210532007 公鑰基礎(chǔ)設(shè)施 PKI系統(tǒng)安全等級(jí)保護(hù)技術(shù)要

4、求GB/Z 209852007 信息安全事件管理指南 YD/TGB/Z 209862007 信息安全事件分類(lèi)分級(jí)指南定級(jí)流程G=MAX(S,A)SA安全保護(hù)和系統(tǒng)定級(jí)的關(guān)系安全等級(jí)安全等級(jí)信息系統(tǒng)保護(hù)要求的組合信息系統(tǒng)保護(hù)要求的組合第一級(jí)第一級(jí)S1A1G1S1A1G1第二級(jí)第二級(jí)S1A2G2S1A2G2,S2A2G2S2A2G2,S2A1G2S2A1G2第三級(jí)第三級(jí)S1A3G3S1A3G3,S2A3G3S2A3G3,S3A3G3S3A3G3,S3A2G3S3A2G3,S3A1G3S3A1G3第四級(jí)第四級(jí)S1A4G4S1A4G4,S2A4G4S2A4G4,S3A4G4S3A4G4,S4A4G4S

5、4A4G4,S4A3G4S4A3G4,S4A2G4S4A2G4,S4A1G4S4A1G4目錄等級(jí)保護(hù)基本要求作用管理辦法”等級(jí)劃分和保護(hù)“第八條信息系統(tǒng)運(yùn)營(yíng)、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行保護(hù),國(guó)家有關(guān)信息安全職能部門(mén)對(duì)其信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督管理。管理辦法”等級(jí)保護(hù)的實(shí)施與管理“第十二條在信息系統(tǒng)建設(shè)過(guò)程中,運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則(GB17859-1999)、信息系統(tǒng)安全等級(jí)保護(hù)基本要求等技術(shù)標(biāo)準(zhǔn),參照等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級(jí)要求的信息安全設(shè)施。管理辦法”等級(jí)保護(hù)的實(shí)施與管理“第十三條 運(yùn)營(yíng)、使用單位應(yīng)當(dāng)參照信息安全技術(shù)信息系統(tǒng)安全

6、管理要求(GB/T20269-2006)、信息安全技術(shù)信息系統(tǒng)安全工程管理要求(GB/T20282-2006)、信息系統(tǒng)安全等級(jí)保護(hù)基本要求等管理規(guī)范,制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級(jí)要求的安全管理制度。 管理辦法”等級(jí)保護(hù)的實(shí)施與管理“第十四條信息系統(tǒng)建設(shè)完成后,運(yùn)營(yíng)、使用單位或者其主管部門(mén)應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測(cè)評(píng)單位,依據(jù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求等技術(shù)標(biāo)準(zhǔn),定期對(duì)信息系統(tǒng)安全等級(jí)狀況開(kāi)展等級(jí)測(cè)評(píng)。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng),第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng),第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)。管理辦法”等級(jí)保護(hù)的實(shí)施與管理“第十四條 信息

7、系統(tǒng)運(yùn)營(yíng)、使用單位及其主管部門(mén)應(yīng)當(dāng)定期對(duì)信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查,第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查,第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行自查。管理辦法”等級(jí)保護(hù)的實(shí)施與管理“第十四條 經(jīng)測(cè)評(píng)或者自查,信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級(jí)要求的,運(yùn)營(yíng)、使用單位應(yīng)當(dāng)制定方案進(jìn)行整改。技術(shù)標(biāo)準(zhǔn)和管理規(guī)范的作用技術(shù)標(biāo)準(zhǔn)和管理規(guī)范信息系統(tǒng)定級(jí)信息系統(tǒng)安全建設(shè)或改建安全狀況達(dá)到等級(jí)保護(hù)要求的信息系統(tǒng)基本要求的定位 是系統(tǒng)安全保護(hù)、等級(jí)測(cè)評(píng)的一個(gè)基本“標(biāo)尺”,同樣級(jí)別的系統(tǒng)使用統(tǒng)一的“標(biāo)尺”來(lái)衡量,保證權(quán)威性,是一個(gè)達(dá)標(biāo)線; 每個(gè)

8、級(jí)別的信息系統(tǒng)按照基本要求進(jìn)行保護(hù)后,信息系統(tǒng)具有相應(yīng)等級(jí)的基本安全保護(hù)能力,達(dá)到一種基本的安全狀態(tài); 是每個(gè)級(jí)別信息系統(tǒng)進(jìn)行安全保護(hù)工作的一個(gè)基本出發(fā)點(diǎn),更加貼切的保護(hù)可以通過(guò)需求分析對(duì)基本要求進(jìn)行補(bǔ)充,參考其他有關(guān)等級(jí)保護(hù)或安全方面的標(biāo)準(zhǔn)來(lái)實(shí)現(xiàn);基本要求和其他標(biāo)準(zhǔn)關(guān)系等級(jí)保護(hù)基本要求效果0246810物理安全網(wǎng)絡(luò)安全數(shù)據(jù)安全主機(jī)安全應(yīng)用安全基本要求的定位某級(jí)信息系統(tǒng)基本保護(hù)精確保護(hù)基本要求保護(hù)基本要求測(cè)評(píng)補(bǔ)充的安全措施GB17859-1999通用技術(shù)要求安全管理要求高級(jí)別的基本要求等級(jí)保護(hù)其他標(biāo)準(zhǔn)安全方面相關(guān)標(biāo)準(zhǔn)等等基本保護(hù)特殊需求補(bǔ)充措施目錄基本要求基本思路不同級(jí)別的安全保護(hù)能力要求 第

9、一級(jí)安全保護(hù)能力第一級(jí)安全保護(hù)能力 應(yīng)能夠防護(hù)系統(tǒng)免受來(lái)自應(yīng)能夠防護(hù)系統(tǒng)免受來(lái)自個(gè)人的、擁有很少資源個(gè)人的、擁有很少資源(如利用公開(kāi)可獲?。ㄈ缋霉_(kāi)可獲取的工具等)的威脅源發(fā)起的惡意攻擊、的工具等)的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難一般的自然災(zāi)難(災(zāi)難發(fā)生的(災(zāi)難發(fā)生的強(qiáng)度弱、持續(xù)時(shí)間很短等)以及其他相當(dāng)危害程度的威脅(無(wú)意失誤、強(qiáng)度弱、持續(xù)時(shí)間很短等)以及其他相當(dāng)危害程度的威脅(無(wú)意失誤、技術(shù)故障等)所造成的技術(shù)故障等)所造成的關(guān)鍵資源關(guān)鍵資源損害,在系統(tǒng)遭到損害后,能夠損害,在系統(tǒng)遭到損害后,能夠恢復(fù)恢復(fù)部分功能部分功能。 第二級(jí)安全保護(hù)能力第二級(jí)安全保護(hù)能力應(yīng)能夠防護(hù)系統(tǒng)免受來(lái)自應(yīng)

10、能夠防護(hù)系統(tǒng)免受來(lái)自外部小型組織外部小型組織的(如自發(fā)的三兩人組成的黑客組織)、的(如自發(fā)的三兩人組成的黑客組織)、擁有少量資源(如個(gè)別人員能力、公開(kāi)可獲或特定開(kāi)發(fā)的工具等)的威脅源發(fā)擁有少量資源(如個(gè)別人員能力、公開(kāi)可獲或特定開(kāi)發(fā)的工具等)的威脅源發(fā)起的惡意攻擊、起的惡意攻擊、一般的自然災(zāi)難一般的自然災(zāi)難(災(zāi)難發(fā)生的強(qiáng)度一般、持續(xù)時(shí)間短、覆蓋范(災(zāi)難發(fā)生的強(qiáng)度一般、持續(xù)時(shí)間短、覆蓋范圍小等)以及其他相當(dāng)危害程度的威脅(無(wú)意失誤、技術(shù)故障等)所造成的圍小等)以及其他相當(dāng)危害程度的威脅(無(wú)意失誤、技術(shù)故障等)所造成的重重要資源要資源損害,損害,能夠發(fā)現(xiàn)重要的安全漏洞和安全事件能夠發(fā)現(xiàn)重要的安全漏

11、洞和安全事件,在系統(tǒng)遭到損害后,在系統(tǒng)遭到損害后,能夠能夠在一段時(shí)間內(nèi)恢復(fù)部分功能在一段時(shí)間內(nèi)恢復(fù)部分功能。不同級(jí)別的安全保護(hù)能力要求 第三級(jí)安全保護(hù)能力第三級(jí)安全保護(hù)能力 應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來(lái)應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來(lái)自外部有組織的團(tuán)體自外部有組織的團(tuán)體(如一個(gè)(如一個(gè)商業(yè)情報(bào)組織或犯罪組織等),擁有較為豐富資源(包括人員能力、計(jì)商業(yè)情報(bào)組織或犯罪組織等),擁有較為豐富資源(包括人員能力、計(jì)算能力等)的威脅源發(fā)起的惡意攻擊、算能力等)的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難較為嚴(yán)重的自然災(zāi)難(災(zāi)難發(fā)生(災(zāi)難發(fā)生的強(qiáng)度較大、持續(xù)時(shí)間較長(zhǎng)、覆蓋范圍較廣等)以及其他相當(dāng)

12、危害程度的強(qiáng)度較大、持續(xù)時(shí)間較長(zhǎng)、覆蓋范圍較廣等)以及其他相當(dāng)危害程度的威脅(的威脅(內(nèi)部人員的惡意威脅內(nèi)部人員的惡意威脅、無(wú)意失誤、較嚴(yán)重的技術(shù)故障等)所造、無(wú)意失誤、較嚴(yán)重的技術(shù)故障等)所造成的主要資源損害,能夠發(fā)現(xiàn)安全漏洞和安全事件,在系統(tǒng)遭到損害后,成的主要資源損害,能夠發(fā)現(xiàn)安全漏洞和安全事件,在系統(tǒng)遭到損害后,能夠較快恢復(fù)絕大部分功能能夠較快恢復(fù)絕大部分功能。 第四級(jí)安全保護(hù)能力第四級(jí)安全保護(hù)能力 應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來(lái)自應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來(lái)自國(guó)家級(jí)別的、敵對(duì)組織國(guó)家級(jí)別的、敵對(duì)組織的、的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、擁有豐富資源的威脅源發(fā)起的惡

13、意攻擊、嚴(yán)重的自然災(zāi)難嚴(yán)重的自然災(zāi)難(災(zāi)難發(fā)生的(災(zāi)難發(fā)生的強(qiáng)度大、持續(xù)時(shí)間長(zhǎng)、覆蓋范圍廣等)以及其他相當(dāng)危害程度的威脅強(qiáng)度大、持續(xù)時(shí)間長(zhǎng)、覆蓋范圍廣等)以及其他相當(dāng)危害程度的威脅(內(nèi)部人員的惡意威脅、無(wú)意失誤、嚴(yán)重的技術(shù)故障等)所造成的資源(內(nèi)部人員的惡意威脅、無(wú)意失誤、嚴(yán)重的技術(shù)故障等)所造成的資源損害,能夠發(fā)現(xiàn)安全漏洞和安全事件,在系統(tǒng)遭到損害后,損害,能夠發(fā)現(xiàn)安全漏洞和安全事件,在系統(tǒng)遭到損害后,能夠迅速恢能夠迅速恢復(fù)所有功能復(fù)所有功能。 各個(gè)要素之間的關(guān)系安全保護(hù)能力基本安全要求每個(gè)等級(jí)的信息系統(tǒng)基本技術(shù)措施基本管理措施具備包含包含滿足滿足實(shí)現(xiàn)基本要求核心思路某級(jí)系統(tǒng)技術(shù)要求管理要求

14、基本要求建立安全技術(shù)體系建立安全管理體系具有某級(jí)安全保護(hù)能力的系統(tǒng)各級(jí)系統(tǒng)的保護(hù)要求差異(宏觀) 安全保護(hù)模型PPDRR Recovery恢復(fù)恢復(fù)各級(jí)系統(tǒng)的保護(hù)要求差異(宏觀)一級(jí)系統(tǒng)二級(jí)系統(tǒng)三級(jí)系統(tǒng)四級(jí)系統(tǒng)防護(hù)防護(hù)/監(jiān)測(cè)策略/防護(hù)/監(jiān)測(cè)/恢復(fù)策略/防護(hù)/監(jiān)測(cè)/恢復(fù)/響應(yīng)各級(jí)系統(tǒng)的保護(hù)要求差異(宏觀)成功的完成業(yè)務(wù)成功的完成業(yè)務(wù)信息保障信息保障人人技術(shù)技術(shù)操作操作防御網(wǎng)絡(luò)與基礎(chǔ)設(shè)施防御飛地邊界防御計(jì)算環(huán)境支撐性基礎(chǔ)設(shè)施安全保護(hù)模型IATF各級(jí)系統(tǒng)的保護(hù)要求差異(宏觀)一級(jí)系統(tǒng)二級(jí)系統(tǒng)三級(jí)系統(tǒng)四級(jí)系統(tǒng)通信/邊界(基本)通信/邊界/內(nèi)部(關(guān)鍵設(shè)備)通信/邊界/內(nèi)部(主要設(shè)備)通信/邊界/內(nèi)部/基礎(chǔ)

15、設(shè)施(所有設(shè)備)能力成熟度模型CMM各級(jí)系統(tǒng)的保護(hù)要求差異(宏觀)一級(jí)系統(tǒng)二級(jí)系統(tǒng)三級(jí)系統(tǒng)四級(jí)系統(tǒng)計(jì)劃和跟蹤(主要制度)計(jì)劃和跟蹤(主要制度)良好定義(管理活動(dòng)制度化)持續(xù)改進(jìn)(管理活動(dòng)制度化/及時(shí)改進(jìn))各級(jí)系統(tǒng)的保護(hù)要求差異(微觀)某級(jí)系統(tǒng)物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理目錄基本要求的主要內(nèi)容 由由9個(gè)章節(jié)個(gè)章節(jié)2個(gè)附錄構(gòu)成個(gè)附錄構(gòu)成 1.適用范圍適用范圍 2.規(guī)范性引用文件規(guī)范性引用文件 3術(shù)語(yǔ)和定義術(shù)語(yǔ)和定義 4.等級(jí)保護(hù)概述等級(jí)保護(hù)概述 5. 基本要求基本要求 附錄附錄A 關(guān)于信息

16、系統(tǒng)整體安全保護(hù)能力的要求關(guān)于信息系統(tǒng)整體安全保護(hù)能力的要求 附錄附錄B 基本安全要求的選擇和使用基本安全要求的選擇和使用基本要求的組織方式某級(jí)系統(tǒng)類(lèi)技術(shù)要求管理要求基本要求類(lèi)控制點(diǎn)具體要求控制點(diǎn)具體要求基本要求舉例 技術(shù)要求 網(wǎng)絡(luò)安全(類(lèi)) 訪問(wèn)控制(G2) (控制點(diǎn)) 本項(xiàng)要求包括: (具體要求)a) 應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備,啟用訪問(wèn)控制功能; b) 應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力拒絕訪問(wèn)的能力,控制粒度為網(wǎng)段級(jí)??刂屏6葹榫W(wǎng)段級(jí)。c) 應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)則,決定允許或拒絕用戶對(duì)受控系統(tǒng)

17、進(jìn)行資源訪問(wèn),控制粒度為單個(gè)用戶; d) 應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量。應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量?;疽笈e例技術(shù)要求 網(wǎng)絡(luò)安全(類(lèi)) 訪問(wèn)控制(G3)本項(xiàng)要求包括: a) 應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備,啟用訪問(wèn)控制功能; b) 應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力,控制粒度為端口級(jí)端口級(jí); c) c) 應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾, ,實(shí)現(xiàn)對(duì)應(yīng)用層實(shí)現(xiàn)對(duì)應(yīng)用層 HTTPHTTP、FTPFTP、TELNETTELNET、SMTPSMTP、POP3POP3等協(xié)議命令級(jí)的控制等協(xié)議命令級(jí)的控制; ; d) d) 應(yīng)在會(huì)

18、話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接; ; e) e) 應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù); ; f) f) 重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙; ; g) 應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)則,決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn),控制粒度為單個(gè)用戶; h) h) 應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量。應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量?;疽髽?biāo)注方式 基本要求基本要求 技術(shù)要求技術(shù)要求 管理要求管理要求 要求標(biāo)注要求標(biāo)注 業(yè)務(wù)信息安全類(lèi)要求(標(biāo)記為業(yè)務(wù)信息安全類(lèi)要求(標(biāo)記為

19、S類(lèi))類(lèi)) 系統(tǒng)服務(wù)保證類(lèi)要求(標(biāo)記為系統(tǒng)服務(wù)保證類(lèi)要求(標(biāo)記為A類(lèi))類(lèi)) 通用安全保護(hù)類(lèi)要求(標(biāo)記為通用安全保護(hù)類(lèi)要求(標(biāo)記為G類(lèi))類(lèi)) 三類(lèi)要求之間的關(guān)系通用安全保護(hù)類(lèi)要求(G)業(yè)務(wù)信息安全類(lèi)(S)系統(tǒng)服務(wù)保證類(lèi)(A安全要求安全要求基本要求的選擇和使用 一個(gè)3級(jí)系統(tǒng),定級(jí)結(jié)果為S3A2,保護(hù)類(lèi)型應(yīng)該是S3A2G3 第1步: 選擇標(biāo)準(zhǔn)中3級(jí)基本要求的技術(shù)要求和管理要求; 第2步: 要求中標(biāo)注為S類(lèi)和G類(lèi)的不變; 標(biāo)注為A類(lèi)的要求可以選用2級(jí)基本要求中的A類(lèi)作為基本要求;安全保護(hù)和系統(tǒng)定級(jí)的關(guān)系安全等級(jí)安全等級(jí)信息系統(tǒng)保護(hù)要求的組合信息系統(tǒng)保護(hù)要求的組合第一級(jí)第一級(jí)S1A1G1第二級(jí)第二級(jí)S1

20、A2G2,S2A2G2,S2A1G2第三級(jí)第三級(jí)S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3第四級(jí)第四級(jí)S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4l定級(jí)指南要求按照定級(jí)指南要求按照“業(yè)務(wù)信息業(yè)務(wù)信息”和和“系統(tǒng)服務(wù)系統(tǒng)服務(wù)”的需求確定整個(gè)系統(tǒng)的安全保護(hù)等級(jí)的需求確定整個(gè)系統(tǒng)的安全保護(hù)等級(jí)l定級(jí)過(guò)程反映了信息系統(tǒng)的保護(hù)要求定級(jí)過(guò)程反映了信息系統(tǒng)的保護(hù)要求電力控制(A): 一級(jí):計(jì)算機(jī)系統(tǒng)供電應(yīng)與其他供電分開(kāi);應(yīng)設(shè)置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備 。 二級(jí):應(yīng)提供短期的備用電力供應(yīng)(如:UPS設(shè)備)。 三級(jí):應(yīng)具備冗余或并行的電

21、力電纜線路;備用供電系統(tǒng)(如備用發(fā)電機(jī)) 。 四級(jí):與三級(jí)要求相同。電磁防護(hù)(S) 一級(jí):無(wú)此要求。 二級(jí):要求具有基本的電磁防護(hù)能力,如電源線和通信線纜應(yīng)隔離鋪設(shè)等。 三級(jí):除二級(jí)要求外,增強(qiáng)了防護(hù)能力,要求能夠做到關(guān)鍵設(shè)備和磁介質(zhì)的電磁屏蔽。 四級(jí):在三級(jí)要求的基礎(chǔ)上,要求屏蔽范圍擴(kuò)展關(guān)鍵區(qū)不同級(jí)別系統(tǒng)控制點(diǎn)的差異安全要求類(lèi)安全要求類(lèi)層面層面一級(jí)一級(jí)二級(jí)二級(jí)三級(jí)三級(jí)四級(jí)四級(jí)技術(shù)要求物理安全7101010網(wǎng)絡(luò)安全3677主機(jī)安全4679應(yīng)用安全47911數(shù)據(jù)安全及備份恢復(fù)2333管理要求安全管理制度2333安全管理機(jī)構(gòu)4555人員安全管理4555系統(tǒng)建設(shè)管理991111系統(tǒng)運(yùn)維管理91213

22、13合計(jì)/48667377級(jí)差/1874不同級(jí)別系統(tǒng)要求項(xiàng)的差異安全要求類(lèi)安全要求類(lèi)層面層面一級(jí)一級(jí)二級(jí)二級(jí)三級(jí)三級(jí)四級(jí)四級(jí)技術(shù)要求物理安全9193233網(wǎng)絡(luò)安全9183332主機(jī)安全6193236應(yīng)用安全7193136數(shù)據(jù)安全及備份恢復(fù)24811管理要求安全管理制度371114安全管理機(jī)構(gòu)492021人員安全管理7111618系統(tǒng)建設(shè)管理20284548系統(tǒng)運(yùn)維管理18416270合計(jì)/85175290319級(jí)差/9011529基本要求組織方式基本要求-組織方式某級(jí)系統(tǒng)物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理

23、技術(shù)要求-物理安全技術(shù)要求-網(wǎng)絡(luò)安全技術(shù)要求-主機(jī)安全技術(shù)要求-應(yīng)用安全技術(shù)要求-數(shù)據(jù)安全基本要求-組織方式某級(jí)系統(tǒng)物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理管理要求-安全管理機(jī)構(gòu)崗位設(shè)置人員配備授權(quán)和審批溝通和合作審核和檢查管理要求安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理基本要求-安全管理制度管理制度制訂和發(fā)布評(píng)審和修訂管理要求安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理基本要求-人員安全管理人員錄用人員離崗人員考核安全意識(shí)教育和培訓(xùn)外部人員訪問(wèn)管理管理要求安全管理機(jī)構(gòu)安全管

24、理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理基本要求-系統(tǒng)建設(shè)管理系統(tǒng)定級(jí)等級(jí)測(cè)評(píng)安全方案設(shè)計(jì)產(chǎn)品采購(gòu)和使用自行軟件開(kāi)發(fā)外包軟件開(kāi)發(fā)工程實(shí)施測(cè)試驗(yàn)收系統(tǒng)交付系統(tǒng)備案安全服務(wù)商選擇管理要求安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理基本要求-系統(tǒng)運(yùn)維管理環(huán)境管理資產(chǎn)管理介質(zhì)管理設(shè)備管理監(jiān)控管理和安全管理中心網(wǎng)絡(luò)安全管理系統(tǒng)安全管理惡意代碼防范管理密碼管理變更管理備份與恢復(fù)管理安全事件處置應(yīng)急預(yù)案管理管理要求安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理各級(jí)系統(tǒng)安全保護(hù)要求-物理安全 物理安全主要涉及的方面包括環(huán)境安全(防火、防水、防雷擊等)設(shè)備和介質(zhì)的防盜竊防破壞等方

25、面。 具體包括:物理位置的選擇、物理訪問(wèn)控制、防物理位置的選擇、物理訪問(wèn)控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等十個(gè)靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等十個(gè)控制點(diǎn)??刂泣c(diǎn)。各級(jí)系統(tǒng)安全保護(hù)要求-物理安全控制點(diǎn)控制點(diǎn)一級(jí)一級(jí)二級(jí)二級(jí)三級(jí)三級(jí)四級(jí)四級(jí)物理位置的選擇G*物理訪問(wèn)控制G*防盜竊和防破壞G*防雷擊G*防火G*防水和防潮G*防靜電G*溫濕度控制G*電力供應(yīng)A*電磁防護(hù)S*合計(jì)7101010各級(jí)系統(tǒng)安全保護(hù)要求-物理安全 一級(jí)物理安全要求一級(jí)物理安全要求:主要要求對(duì)物理環(huán)境進(jìn)行基本的防護(hù),對(duì)出入進(jìn)行基

26、本控制,環(huán)境安全能夠?qū)ψ匀煌{進(jìn)行基本的防護(hù),電力則要求提供供電電壓的正常。 二級(jí)物理安全要求二級(jí)物理安全要求:對(duì)物理安全進(jìn)行了進(jìn)一步的防護(hù),不僅對(duì)出入進(jìn)行基本的控制,對(duì)進(jìn)入后的活動(dòng)也要進(jìn)行控制;物理環(huán)境方面,則加強(qiáng)了各方面的防護(hù),采取更細(xì)的要求來(lái)多方面進(jìn)行防護(hù)。 三級(jí)物理安全要求三級(jí)物理安全要求:對(duì)出入加強(qiáng)了控制,做到人、電子設(shè)備共同監(jiān)控;物理環(huán)境方面,進(jìn)一步采取各種控制措施來(lái)進(jìn)行防護(hù)。如,防火要求,不僅要求自動(dòng)消防系統(tǒng),而且要求區(qū)域隔離防火,建筑材料防火等方面,將防火的范圍增大,從而使火災(zāi)發(fā)生的幾率和損失降低。 四級(jí)物理安全要求四級(jí)物理安全要求:對(duì)機(jī)房出入的要求進(jìn)一步增強(qiáng),要求多道電子設(shè)備

27、監(jiān)控;物理環(huán)境方面,要求采用一定的防護(hù)設(shè)備進(jìn)行防護(hù),如靜電消除裝置等。 各級(jí)系統(tǒng)安全保護(hù)要求-網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全主要關(guān)注的方面包括:網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界以及網(wǎng)絡(luò)設(shè)備自身安全等。 具體的控制點(diǎn)包括:結(jié)構(gòu)安全、訪問(wèn)控制、結(jié)構(gòu)安全、訪問(wèn)控制、安全審計(jì)、邊界完整性檢查、入侵防范、安全審計(jì)、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等七個(gè)控制惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等七個(gè)控制點(diǎn)。點(diǎn)。各級(jí)系統(tǒng)安全保護(hù)要求-網(wǎng)絡(luò)安全控制點(diǎn)控制點(diǎn)一級(jí)一級(jí)二級(jí)二級(jí)三級(jí)三級(jí)四級(jí)四級(jí)結(jié)構(gòu)安全G*訪問(wèn)控制G*安全審計(jì)G*邊界完整性檢查S*入侵防范G*惡意代碼防范G*網(wǎng)絡(luò)設(shè)備防護(hù)G*合計(jì)3677各級(jí)系統(tǒng)安全保護(hù)要求-網(wǎng)絡(luò)安全

28、一級(jí)網(wǎng)絡(luò)安全要求一級(jí)網(wǎng)絡(luò)安全要求:主要提供網(wǎng)絡(luò)安全運(yùn)行的基本保障,包括網(wǎng)絡(luò)結(jié)構(gòu)能夠基本滿足業(yè)務(wù)運(yùn)行需要,網(wǎng)絡(luò)邊界處對(duì)進(jìn)出的數(shù)據(jù)包頭進(jìn)行基本過(guò)濾等訪問(wèn)控制措施。二級(jí)網(wǎng)絡(luò)安全要求二級(jí)網(wǎng)絡(luò)安全要求:不僅要滿足網(wǎng)絡(luò)安全運(yùn)行的基本保障,同時(shí)還要考慮網(wǎng)絡(luò)處理能力要滿足業(yè)務(wù)極限時(shí)的需要。對(duì)網(wǎng)絡(luò)邊界的訪問(wèn)控制粒度進(jìn)一步增強(qiáng)。同時(shí),加強(qiáng)了網(wǎng)絡(luò)邊界的防護(hù),增加了安全審計(jì)、邊界完整性檢查、入侵防范安全審計(jì)、邊界完整性檢查、入侵防范等控制點(diǎn)。對(duì)網(wǎng)絡(luò)設(shè)備的防護(hù)不僅局限于簡(jiǎn)單的身份鑒別,同時(shí)對(duì)標(biāo)識(shí)和鑒別信息都有了相應(yīng)的要求。三級(jí)網(wǎng)絡(luò)安全要求三級(jí)網(wǎng)絡(luò)安全要求:對(duì)網(wǎng)絡(luò)處理能力增加了“優(yōu)先級(jí)”考慮,保證重要主機(jī)能夠在網(wǎng)絡(luò)擁堵時(shí)

29、仍能夠正常運(yùn)行;網(wǎng)絡(luò)邊界的訪問(wèn)控制擴(kuò)展到應(yīng)用層,網(wǎng)絡(luò)邊界的其他防護(hù)措施進(jìn)一步增強(qiáng),不僅能夠被動(dòng)的“防”,還應(yīng)能夠主動(dòng)發(fā)出一些動(dòng)作,如報(bào)警、阻斷等。網(wǎng)絡(luò)設(shè)備的防護(hù)手段要求兩種身份鑒別技術(shù)綜合使用。四級(jí)網(wǎng)絡(luò)安全要求四級(jí)網(wǎng)絡(luò)安全要求:對(duì)網(wǎng)絡(luò)邊界的訪問(wèn)控制做出了更為嚴(yán)格的要求,禁止遠(yuǎn)程撥號(hào)訪問(wèn),不允許數(shù)據(jù)帶通用協(xié)議通過(guò);邊界的其他防護(hù)措施也加強(qiáng)了要求。網(wǎng)絡(luò)安全審計(jì)著眼于全局,做到集中審計(jì)分析,以便得到更多的綜合信息。網(wǎng)絡(luò)設(shè)備的防護(hù),在身份鑒別手段上除要求兩種技術(shù)外,其中一種鑒別技術(shù)必須是不可偽造的,進(jìn)一步加強(qiáng)了對(duì)網(wǎng)絡(luò)設(shè)備的防護(hù)。各級(jí)系統(tǒng)安全保護(hù)要求-主機(jī)安全 主機(jī)系統(tǒng)安全是包括服務(wù)器、終端/工作站等在

30、內(nèi)的計(jì)算機(jī)設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)層面的安全。終端/工作站是帶外設(shè)的臺(tái)式機(jī)與筆記本計(jì)算機(jī),服務(wù)器則包括應(yīng)用程序、網(wǎng)絡(luò)、web、文件與通信等服務(wù)器。主機(jī)系統(tǒng)是構(gòu)成信息系統(tǒng)的主要部分,其上承載著各種應(yīng)用。因此,主機(jī)系統(tǒng)安全是保護(hù)信息系統(tǒng)安全的中堅(jiān)力量。 主機(jī)系統(tǒng)安全涉及的控制點(diǎn)包括:身份鑒別、安身份鑒別、安全標(biāo)記、訪問(wèn)控制、可信路徑、安全審計(jì)、剩余全標(biāo)記、訪問(wèn)控制、可信路徑、安全審計(jì)、剩余信息保護(hù)、入侵防范、惡意代碼防范和資源控制信息保護(hù)、入侵防范、惡意代碼防范和資源控制等九個(gè)控制點(diǎn)。等九個(gè)控制點(diǎn)。 各級(jí)系統(tǒng)安全保護(hù)要求-主機(jī)安全控制點(diǎn)控制點(diǎn)一級(jí)一級(jí)二級(jí)二級(jí)三級(jí)三級(jí)四級(jí)四級(jí)身份鑒別S*安全標(biāo)記S

31、*訪問(wèn)控制G*可信路徑S*安全審計(jì)G*剩余信息保護(hù)S*入侵防范G*惡意代碼防范G*資源控制A*合計(jì)4679各級(jí)系統(tǒng)安全保護(hù)要求-主機(jī)安全 一級(jí)主機(jī)系統(tǒng)安全要求:一級(jí)主機(jī)系統(tǒng)安全要求:對(duì)主機(jī)進(jìn)行基本的防護(hù),要求主機(jī)做到簡(jiǎn)單的身份鑒別,粗粒度的訪問(wèn)控制以及重要主機(jī)能夠進(jìn)行惡意代碼防范。 二級(jí)主機(jī)系統(tǒng)安全要求:二級(jí)主機(jī)系統(tǒng)安全要求:在控制點(diǎn)上增加了安全審計(jì)和資安全審計(jì)和資源控制源控制等。同時(shí),對(duì)身份鑒別和訪問(wèn)控制都進(jìn)一步加強(qiáng),鑒別的標(biāo)識(shí)、信息等都提出了具體的要求;訪問(wèn)控制的粒度進(jìn)行了細(xì)化等,惡意代碼增加了統(tǒng)一管理等。 三級(jí)主機(jī)系統(tǒng)安全要求三級(jí)主機(jī)系統(tǒng)安全要求:在控制點(diǎn)上增加了剩余信息保護(hù)剩余信息保護(hù)

32、,即,訪問(wèn)控制增加了設(shè)置敏感標(biāo)記等,力度變強(qiáng)。同樣,身份鑒別的力度進(jìn)一步增強(qiáng),要求兩種以上鑒別技術(shù)同時(shí)使用。安全審計(jì)已不滿足于對(duì)安全事件的記錄,而要進(jìn)行分析、生成報(bào)表。對(duì)惡意代碼的防范綜合考慮網(wǎng)絡(luò)上的防范措施,做到二者相互補(bǔ)充。對(duì)資源控制的增加了對(duì)服務(wù)器的監(jiān)視和最小服務(wù)水平的監(jiān)測(cè)和報(bào)警等。 四級(jí)主機(jī)系統(tǒng)安全要求四級(jí)主機(jī)系統(tǒng)安全要求:在控制點(diǎn)上增加了安全標(biāo)記和可安全標(biāo)記和可信路徑信路徑,其他控制點(diǎn)在強(qiáng)度上也分別增強(qiáng),如,身份鑒別要求使用不可偽造的鑒別技術(shù),訪問(wèn)控制要求部分按照強(qiáng)制訪問(wèn)控制的力度實(shí)現(xiàn),安全審計(jì)能夠做到統(tǒng)一集中審計(jì)等。各級(jí)系統(tǒng)安全保護(hù)要求-應(yīng)用安全 通過(guò)網(wǎng)絡(luò)、主機(jī)系統(tǒng)的安全防護(hù),最終

33、應(yīng)用安全成為信息系統(tǒng)整體防御的最后一道防線。在應(yīng)用層面運(yùn)行著信息系統(tǒng)的基于網(wǎng)絡(luò)的應(yīng)用以及特定業(yè)務(wù)應(yīng)用?;诰W(wǎng)絡(luò)的應(yīng)用是形成其他應(yīng)用的基礎(chǔ),包括消息發(fā)送、web瀏覽等,可以說(shuō)是基本的應(yīng)用。業(yè)務(wù)應(yīng)用采納基本應(yīng)用的功能以滿足特定業(yè)務(wù)的要求,如電子商務(wù)、電子政務(wù)等。由于各種基本應(yīng)用最終是為業(yè)務(wù)應(yīng)用服務(wù)的,因此對(duì)應(yīng)用系統(tǒng)的安全保護(hù)最終就是如何保護(hù)系統(tǒng)的各種業(yè)務(wù)應(yīng)用程序安全運(yùn)行。 應(yīng)用安全主要涉及的安全控制點(diǎn)包括:身份鑒別、安全標(biāo)身份鑒別、安全標(biāo)記、訪問(wèn)控制、可信路徑、安全審計(jì)、剩余信息保護(hù)、通記、訪問(wèn)控制、可信路徑、安全審計(jì)、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯(cuò)、資源控制信完整性、通信

34、保密性、抗抵賴、軟件容錯(cuò)、資源控制等十一個(gè)控制點(diǎn)。各級(jí)系統(tǒng)安全保護(hù)要求-應(yīng)用安全控制點(diǎn)控制點(diǎn)一級(jí)一級(jí)二級(jí)二級(jí)三級(jí)三級(jí)四級(jí)四級(jí)身份鑒別S*安全標(biāo)記S*訪問(wèn)控制S*可信路經(jīng)S*安全審計(jì)G*剩余信息保護(hù)S*通信完整性S*通信保密性S*抗抵賴G*軟件容錯(cuò)A*資源控制A*合計(jì)47911各級(jí)系統(tǒng)安全保護(hù)要求-應(yīng)用安全一級(jí)應(yīng)用安全要求:一級(jí)應(yīng)用安全要求:對(duì)應(yīng)用進(jìn)行基本的防護(hù),要求做到簡(jiǎn)單的身份鑒別,粗粒度的訪問(wèn)控制以及數(shù)據(jù)有效性檢驗(yàn)等基本防護(hù)。二級(jí)應(yīng)用安全要求:二級(jí)應(yīng)用安全要求:在控制點(diǎn)上增加了安全審計(jì)、通信保密性和資源安全審計(jì)、通信保密性和資源控制控制等。同時(shí),對(duì)身份鑒別和訪問(wèn)控制都進(jìn)一步加強(qiáng),鑒別的標(biāo)識(shí)

35、、信息等都提出了具體的要求。訪問(wèn)控制的粒度進(jìn)行了細(xì)化,對(duì)通信過(guò)程的完整性保護(hù)提出了特定的校驗(yàn)碼技術(shù)。應(yīng)用軟件自身的安全要求進(jìn)一步增強(qiáng),軟件容錯(cuò)能力增強(qiáng)。三級(jí)應(yīng)用安全要求三級(jí)應(yīng)用安全要求:在控制點(diǎn)上增加了剩余信息保護(hù)和抗抵賴等剩余信息保護(hù)和抗抵賴等。同時(shí),身份鑒別的力度進(jìn)一步增強(qiáng),要求組合鑒別技術(shù),訪問(wèn)控制增加了敏感標(biāo)記功能,安全審計(jì)已不滿足于對(duì)安全事件的記錄,而要進(jìn)行分析等。對(duì)通信過(guò)程的完整性保護(hù)提出了特定的密碼技術(shù)。應(yīng)用軟件自身的安全要求進(jìn)一步增強(qiáng),軟件容錯(cuò)能力增強(qiáng),增加了自動(dòng)保護(hù)功能。四級(jí)應(yīng)用安全要求四級(jí)應(yīng)用安全要求:在控制點(diǎn)上增加了安全標(biāo)記和可信路徑等安全標(biāo)記和可信路徑等。部分控制點(diǎn)在強(qiáng)

36、度上進(jìn)一步增強(qiáng),如,身份鑒別要求使用不可偽造的鑒別技術(shù),安全審計(jì)能夠做到統(tǒng)一安全策略提供集中審計(jì)接口等,軟件應(yīng)具有自動(dòng)恢復(fù)的能力等。各級(jí)系統(tǒng)安全保護(hù)要求-數(shù)據(jù)安全及備份恢復(fù)信息系統(tǒng)處理的各種數(shù)據(jù)(用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等)在維持系統(tǒng)正常運(yùn)行上起著至關(guān)重要的作用。一旦數(shù)據(jù)遭到破壞(泄漏、修改、毀壞),都會(huì)在不同程度上造成影響,從而危害到系統(tǒng)的正常運(yùn)行。由于信息系統(tǒng)的各個(gè)層面(網(wǎng)絡(luò)、主機(jī)、應(yīng)用等)都對(duì)各類(lèi)數(shù)據(jù)進(jìn)行傳輸、存儲(chǔ)和處理等,因此,對(duì)數(shù)據(jù)的保護(hù)需要物理環(huán)境、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)和操作系統(tǒng)、應(yīng)用程序等提供支持。各個(gè)“關(guān)口”把好了,數(shù)據(jù)本身再具有一些防御和修復(fù)手段,必然將對(duì)數(shù)據(jù)造成的損害降至最小。

37、另外,數(shù)據(jù)備份也是防止數(shù)據(jù)被破壞后無(wú)法恢復(fù)的重要手段,而硬件備份等更是保證系統(tǒng)可用的重要內(nèi)容,在高級(jí)別的信息系統(tǒng)中采用異地適時(shí)備份會(huì)有效的防治災(zāi)難發(fā)生時(shí)可能造成的系統(tǒng)危害。保證數(shù)據(jù)安全和備份恢復(fù)主要從:數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)恢復(fù)等三個(gè)控制點(diǎn)考慮。各級(jí)系統(tǒng)安全保護(hù)要求-數(shù)據(jù)安全及備份恢復(fù)控制點(diǎn)控制點(diǎn)一級(jí)一級(jí)二級(jí)二級(jí)三級(jí)三級(jí)四級(jí)四級(jí)數(shù)據(jù)完整性S*數(shù)據(jù)保密性S*備份和恢復(fù)A*合計(jì)2333各級(jí)系統(tǒng)安全保護(hù)要求-數(shù)據(jù)安全及備份恢復(fù) 一級(jí)數(shù)據(jù)安全及備份恢復(fù)要求一級(jí)數(shù)據(jù)安全及備份恢復(fù)要求:對(duì)數(shù)據(jù)完整性用戶數(shù)據(jù)在傳輸過(guò)程提出要求,能夠檢測(cè)出數(shù)據(jù)完整性受到破壞;同時(shí)能夠

38、對(duì)重要信息進(jìn)行備份。 二級(jí)數(shù)據(jù)及備份恢復(fù)安全要求二級(jí)數(shù)據(jù)及備份恢復(fù)安全要求:對(duì)數(shù)據(jù)完整性的要求增強(qiáng),范圍擴(kuò)大,要求鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中都要保證其完整性。對(duì)數(shù)據(jù)保密性要求實(shí)現(xiàn)鑒別信息存儲(chǔ)保密性,數(shù)據(jù)備份增強(qiáng),要求一定的硬件冗余。 三級(jí)數(shù)據(jù)及備份恢復(fù)安全要求三級(jí)數(shù)據(jù)及備份恢復(fù)安全要求:對(duì)數(shù)據(jù)完整性的要求增強(qiáng),范圍擴(kuò)大,增加了系統(tǒng)管理數(shù)據(jù)的傳輸完整性,不僅能夠檢測(cè)出數(shù)據(jù)受到破壞,并能進(jìn)行恢復(fù)。對(duì)數(shù)據(jù)保密性要求范圍擴(kuò)大到實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)的傳輸和存儲(chǔ)的保密性,數(shù)據(jù)的備份不僅要求本地完全數(shù)據(jù)備份,還要求異地備份和冗余網(wǎng)絡(luò)拓?fù)洹?四級(jí)數(shù)據(jù)及備份恢復(fù)安全要求四級(jí)數(shù)據(jù)及備份

39、恢復(fù)安全要求:為進(jìn)一步保證數(shù)據(jù)的完整性和保密性,提出使用專有的安全協(xié)議的要求。同時(shí),備份方式增加了建立異地適時(shí)災(zāi)難備份中心,在災(zāi)難發(fā)生后系統(tǒng)能夠自動(dòng)切換和恢復(fù)。各級(jí)系統(tǒng)安全保護(hù)要求-安全管理制度 在信息安全中,最活躍的因素是人,對(duì)人的管理包括法律、法規(guī)與政策的約束、安全指南的幫助、安全意識(shí)的提高、安全技能的培訓(xùn)、人力資源管理措施以及企業(yè)文化的熏陶,這些功能的實(shí)現(xiàn)都是以完備的安全管理政策和制度為前提。這里所說(shuō)的安全管理制度包括信息安全工作的總體方針、策略、規(guī)范各種安全管理活動(dòng)的管理制度以及管理人員或操作人員日常操作的操作規(guī)程。 安全管理制度主要包括:管理制度、制定和發(fā)布、評(píng)審和管理制度、制定和發(fā)

40、布、評(píng)審和修訂修訂三個(gè)控制點(diǎn)。各級(jí)系統(tǒng)安全保護(hù)要求-安全管理制度控制點(diǎn)控制點(diǎn)一級(jí)一級(jí)二級(jí)二級(jí)三級(jí)三級(jí)四級(jí)四級(jí)管理制度*制定和發(fā)布*評(píng)審和修訂*合計(jì)2333各級(jí)系統(tǒng)安全保護(hù)要求-安全管理制度 一級(jí)安全管理制度要求一級(jí)安全管理制度要求:主要明確了制定日常常用的管理制度,并對(duì)管理制度的制定和發(fā)布提出基本要求。 二級(jí)安全管理制度要求二級(jí)安全管理制度要求:在控制點(diǎn)上增加了評(píng)審和修訂評(píng)審和修訂,管理制度增加了總體方針和安全策略,和對(duì)各類(lèi)重要操作建立規(guī)程的要求,并且管理制度的制定和發(fā)布要求組織論證。 三級(jí)安全管理制度要求三級(jí)安全管理制度要求:在二級(jí)要求的基礎(chǔ)上,要求機(jī)構(gòu)形成信息安全管理制度體系,對(duì)管理制度的

41、制定要求和發(fā)布過(guò)程進(jìn)一步嚴(yán)格和規(guī)范。對(duì)安全制度的評(píng)審和修訂要求領(lǐng)導(dǎo)小組的負(fù)責(zé)。 四級(jí)安全管理制度要求四級(jí)安全管理制度要求:在三級(jí)要求的基礎(chǔ)上,主要考慮了對(duì)帶有密級(jí)的管理制度的管理和管理制度的日常維護(hù)等。各級(jí)系統(tǒng)安全保護(hù)要求-安全管理機(jī)構(gòu) 安全管理,首先要建立一個(gè)健全、務(wù)實(shí)、有效、統(tǒng)一指揮、統(tǒng)一步調(diào)的完善的安全管理機(jī)構(gòu),明確機(jī)構(gòu)成員的安全職責(zé),這是信息安全管理得以實(shí)施、推廣的基礎(chǔ)。在單位的內(nèi)部結(jié)構(gòu)上必須建立一整套從單位最高管理層(董事會(huì))到執(zhí)行管理層以及業(yè)務(wù)運(yùn)營(yíng)層的管理結(jié)構(gòu)來(lái)約束和保證各項(xiàng)安全管理措施的執(zhí)行。其主要工作內(nèi)容包括對(duì)機(jī)構(gòu)內(nèi)重要的信息安全工作進(jìn)行授權(quán)和審批、內(nèi)部相關(guān)業(yè)務(wù)部門(mén)和安全管理部

42、門(mén)之間的溝通協(xié)調(diào)以及與機(jī)構(gòu)外部各類(lèi)單位的合作、定期對(duì)系統(tǒng)的安全措施落實(shí)情況進(jìn)行檢查,以發(fā)現(xiàn)問(wèn)題進(jìn)行改進(jìn)。 安全管理機(jī)構(gòu)主要包括:崗位設(shè)置、人員配備、授權(quán)和審崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作以及審核和檢查批、溝通和合作以及審核和檢查等五個(gè)控制點(diǎn)。各級(jí)系統(tǒng)安全保護(hù)要求-安全管理機(jī)構(gòu)控制點(diǎn)控制點(diǎn)一級(jí)一級(jí)二級(jí)二級(jí)三級(jí)三級(jí)四級(jí)四級(jí)崗位設(shè)置*人員配備*授權(quán)和審批*溝通和合作*審核和檢查*合計(jì)4555各級(jí)系統(tǒng)安全保護(hù)要求-安全管理機(jī)構(gòu) 一級(jí)安全管理機(jī)構(gòu)要求一級(jí)安全管理機(jī)構(gòu)要求:主要要求對(duì)開(kāi)展信息安全工作的基本工作崗位進(jìn)行配備,對(duì)機(jī)構(gòu)重要的安全活動(dòng)進(jìn)行審批,加強(qiáng)對(duì)外的溝通和合作。 二級(jí)安全管理機(jī)構(gòu)要

43、求:二級(jí)安全管理機(jī)構(gòu)要求:在控制點(diǎn)上增加了審核和檢查審核和檢查,同時(shí),在一級(jí)基礎(chǔ)上,明確要求設(shè)立安全主管等重要崗位;人員配備方面提出安全管理員不可兼任其它崗位原則;溝通與合作的范圍增加與機(jī)構(gòu)內(nèi)部及與其他部門(mén)的合作和溝通。 三級(jí)安全管理機(jī)構(gòu)要求三級(jí)安全管理機(jī)構(gòu)要求:對(duì)于崗位設(shè)置,不僅要求設(shè)置信息安全的職能部門(mén),而且機(jī)構(gòu)上層應(yīng)有一定的領(lǐng)導(dǎo)小組全面負(fù)責(zé)機(jī)構(gòu)的信息安全全局工作。授權(quán)審批方面加強(qiáng)了授權(quán)流程控制以及階段性審查。溝通與合作方面加強(qiáng)了與外部組織的溝通和合作,并聘用安全顧問(wèn)。同時(shí)對(duì)審核和檢查工作進(jìn)一步規(guī)范。 四級(jí)安全管理機(jī)構(gòu)要求四級(jí)安全管理機(jī)構(gòu)要求:同三級(jí)要求。各級(jí)系統(tǒng)安全保護(hù)要求-人員安全管理

44、 人,是信息安全中最關(guān)鍵的因素,同時(shí)也是信息安全中最薄弱的環(huán)節(jié)。很多重要的信息系統(tǒng)安全問(wèn)題都涉及到用戶、設(shè)計(jì)人員、實(shí)施人員以及管理人員。如果這些與人員有關(guān)的安全問(wèn)題沒(méi)有得到很好的解決,任何一個(gè)信息系統(tǒng)都不可能達(dá)到真正的安全。只有對(duì)人員進(jìn)行了正確完善的管理,才有可能降低人為錯(cuò)誤、盜竊、詐騙和誤用設(shè)備的風(fēng)險(xiǎn),從而減小了信息系統(tǒng)遭受人員錯(cuò)誤造成損失的概率。 對(duì)人員安全的管理,主要涉及兩方面:對(duì)內(nèi)部人員的安全管理和對(duì)外部人員的安全管理。具體包括:人員錄用、人人員錄用、人員離崗、人員考核、安全意識(shí)教育和培訓(xùn)和外部人員訪問(wèn)員離崗、人員考核、安全意識(shí)教育和培訓(xùn)和外部人員訪問(wèn)管理管理等五個(gè)控制點(diǎn)。各級(jí)系統(tǒng)安全

45、保護(hù)要求-人員安全管理控制點(diǎn)控制點(diǎn)一級(jí)一級(jí)二級(jí)二級(jí)三級(jí)三級(jí)四級(jí)四級(jí)人員錄用*人員離崗*人員考核*安全意識(shí)教育和培訓(xùn)*外部人員訪問(wèn)管理*合計(jì)4555各級(jí)系統(tǒng)安全保護(hù)要求-人員安全管理 一級(jí)人員安全管理要求一級(jí)人員安全管理要求:對(duì)人員在機(jī)構(gòu)的工作周期(即,錄用、日常培訓(xùn)、離崗)的活動(dòng)提出基本的管理要求。同時(shí),對(duì)外部人員訪問(wèn)要求得到授權(quán)和審批。 二級(jí)人員安全管理要求二級(jí)人員安全管理要求:在控制點(diǎn)上增加了人員考核人員考核,對(duì)人員的錄用和離崗要求進(jìn)一步增強(qiáng),過(guò)程性要求增加,安全教育培訓(xùn)更正規(guī)化,對(duì)外部人員的訪問(wèn)活動(dòng)約束其訪問(wèn)行為。 三級(jí)人員安全管理要求三級(jí)人員安全管理要求:在二級(jí)要求的基礎(chǔ)上,增強(qiáng)了對(duì)關(guān)

46、鍵崗位人員的錄用、離崗和考核要求,對(duì)人員的培訓(xùn)教育更具有針對(duì)性,外部人員訪問(wèn)要求更具體。 四級(jí)人員安全管理要求四級(jí)人員安全管理要求:在三級(jí)要求的基礎(chǔ)上,提出了保密要求和關(guān)鍵區(qū)域禁止外部人員訪問(wèn)的要求。各級(jí)系統(tǒng)安全保護(hù)要求-系統(tǒng)建設(shè)管理 信息系統(tǒng)的安全管理貫穿系統(tǒng)的整個(gè)生命周期,系統(tǒng)建設(shè)管理主要關(guān)注的是生命周期中的前三個(gè)階段(即,初始、采購(gòu)、實(shí)施)中各項(xiàng)安全管理活動(dòng)。 系統(tǒng)建設(shè)管理分別從工程實(shí)施建設(shè)前、建設(shè)過(guò)程以及建設(shè)完畢交付等三方面考慮,具體包括:系系統(tǒng)定級(jí)、安全方案設(shè)計(jì)、產(chǎn)品采購(gòu)和使用、自行統(tǒng)定級(jí)、安全方案設(shè)計(jì)、產(chǎn)品采購(gòu)和使用、自行軟件開(kāi)發(fā)、外包軟件開(kāi)發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、軟件開(kāi)發(fā)、外包軟

47、件開(kāi)發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、系統(tǒng)備案、等級(jí)測(cè)評(píng)和安全服務(wù)商選系統(tǒng)交付、系統(tǒng)備案、等級(jí)測(cè)評(píng)和安全服務(wù)商選擇擇等十一個(gè)控制點(diǎn)。各級(jí)系統(tǒng)安全保護(hù)要求-系統(tǒng)建設(shè)管理控制點(diǎn)控制點(diǎn)一級(jí)一級(jí)二級(jí)二級(jí)三級(jí)三級(jí)四級(jí)四級(jí)系統(tǒng)定級(jí)*安全方案設(shè)計(jì)*產(chǎn)品采購(gòu)和使用*自行軟件開(kāi)發(fā)*外包軟件開(kāi)發(fā)*工程實(shí)施*測(cè)試驗(yàn)收*系統(tǒng)交付*系統(tǒng)備案*等級(jí)測(cè)評(píng)*安全服務(wù)商選擇*合計(jì)991111各級(jí)系統(tǒng)安全保護(hù)要求-系統(tǒng)建設(shè)管理 一級(jí)系統(tǒng)建設(shè)管理要求一級(jí)系統(tǒng)建設(shè)管理要求:對(duì)系統(tǒng)建設(shè)整體過(guò)程所涉及的各項(xiàng)活動(dòng)進(jìn)行基本的規(guī)范,如,先定級(jí),方案準(zhǔn)備、安全產(chǎn)品按要求采購(gòu),軟件開(kāi)發(fā)(自行、外包)的基本安全,實(shí)施的基本管理,建設(shè)后的安全性驗(yàn)收、

48、交付等都進(jìn)行要求。 二級(jí)系統(tǒng)建設(shè)管理要求二級(jí)系統(tǒng)建設(shè)管理要求:在控制點(diǎn)上增加了系統(tǒng)備案和安系統(tǒng)備案和安全測(cè)評(píng)全測(cè)評(píng),增加了某些活動(dòng)的文檔化要求,如軟件開(kāi)發(fā)管理制度,工程實(shí)施應(yīng)有實(shí)施方案要求等。同時(shí),對(duì)安全方案、驗(yàn)收?qǐng)?bào)告等增加了審定要求,產(chǎn)品的采購(gòu)增加了密碼產(chǎn)品的采購(gòu)要求等。 三級(jí)系統(tǒng)建設(shè)管理要求三級(jí)系統(tǒng)建設(shè)管理要求:對(duì)建設(shè)過(guò)程的各項(xiàng)活動(dòng)都要求進(jìn)行制度化規(guī)范,按照制度要求進(jìn)行活動(dòng)的開(kāi)展。對(duì)建設(shè)前的安全方案設(shè)計(jì)提出體系化要求,并加強(qiáng)了對(duì)其的論證工作。 四級(jí)系統(tǒng)建設(shè)管理要求四級(jí)系統(tǒng)建設(shè)管理要求:主要對(duì)軟件開(kāi)發(fā)活動(dòng)進(jìn)一步加強(qiáng)了要求,以保證軟件開(kāi)發(fā)的安全性。對(duì)工程實(shí)施過(guò)程提出了監(jiān)理要求。各級(jí)系統(tǒng)安全保護(hù)要求-系統(tǒng)運(yùn)維管理 信息系統(tǒng)建設(shè)完成投入運(yùn)行之后,接下來(lái)就是如何維護(hù)和管理信息系統(tǒng)了。系統(tǒng)運(yùn)行涉及到很多

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論