等級保護培訓課件

1、國家信息安全保障體系與信息安全等級保護制度實施 公安部信息安全等級保護評估中心內容摘要信息安全等級保護制度是什么信息安全等級保護制度要干什么如何開展信息安全等級保護工作引言 在當今社會中，信息已成為人類寶貴的資源，并且可以通過Internet為全球人類所使用與共享。 信息產業(yè)隨著互聯(lián)網技術的發(fā)展在一個國家國民經濟發(fā)展中所占的比重也越來越大。人類生活對Internet的依賴也越來越大。引言（續(xù)）信息技術發(fā)展引發(fā)的信息化革命 輔助作用 不完全依賴 支撐作用 完全依賴引言（續(xù)） 由互聯(lián)網的發(fā)展而帶來的信息安全問題正變得突出，網絡安全已成為關系國家安全的重大戰(zhàn)略問題。 保障網絡與信息系統(tǒng)安全，更好地維

2、護國家安全、經濟命脈和社會穩(wěn)定，已經成為信息化發(fā)展中迫切需要解決的重大問題。我國現(xiàn)狀 近年來，黨中央、國務院高度重視，各有關方面協(xié)調配合、共同努力，我國信息安全保障工作取得了很大進展。但是從總體上看，我國的信息安全保障工作尚處于起步階段，基礎薄弱，水平不高，存在以下突出問題： 存在的問題信息安全滯后于信息化發(fā)展；信息安全阻礙了信息化發(fā)展。存在的問題（續(xù)）大多數(shù)單位雖然采用防火墻作為內外網的邊界防護設備。重視外部攻擊與入侵，忽視內部的非法行為。偏重產品，忽視體系和管理。關鍵技術、產品受制于人。我們面對的威脅西方發(fā)達國家信息技術優(yōu)勢明顯，我國面臨信息強國的沖擊、挑戰(zhàn)和威脅，信息安全領域始終面臨信息

3、戰(zhàn)和網絡恐怖襲擊的威脅 ；敵對勢力的網上煽動、滲透和破壞活動愈加突出，針對信息系統(tǒng)進行的破壞活動日益嚴重，利用網絡實施的違法犯罪案件持續(xù)大幅上升。面對的威脅（續(xù)）受威脅的對象是操作系統(tǒng)、數(shù)據庫系統(tǒng)和信息系統(tǒng)，攻擊的目的是使系統(tǒng)癱瘓、信息被竊取、篡改毀壞。早期是能直接接觸計算機系統(tǒng)的人（單機、多用戶終端、局域網），現(xiàn)在攻擊者和方式發(fā)生了變化，廣域網、因特網使任何信息系統(tǒng)參與人都可能成為攻擊者。在參與人中，有正常使用的人，也有非正常使用的人，后者稱之為“攻擊者或黑客”。“攻擊者”分成幾類：有著不同目的的。面對的威脅（續(xù)）一般黑客有組織犯罪高層次深度打擊安全防護的重點系統(tǒng)防入侵網絡防攻擊信息防泄露內

4、容防篡改內部防越權網絡信息戰(zhàn)通過利用、改變和癱瘓敵方的信息、信息系統(tǒng)和以計算機為基礎的網絡應用，同時保護己方的信息、信息系統(tǒng)和以計算機為基礎的網絡應用不被敵方利用、改變和癱瘓，以獲取信息優(yōu)勢，而采取的各種作戰(zhàn)行動。信息戰(zhàn)是現(xiàn)代戰(zhàn)爭的一種新作戰(zhàn)形式。信息戰(zhàn)分為兩大類：一是國家級信息戰(zhàn)，也稱為戰(zhàn)略信息戰(zhàn)；二是戰(zhàn)場信息戰(zhàn)，也稱為指揮控制戰(zhàn)。 戰(zhàn)略信息戰(zhàn)戰(zhàn)略信息戰(zhàn)是利用非殺傷性技術而秘密實施的，不需要公開宣戰(zhàn)。它利用了國家力量的所有手段在國家戰(zhàn)略級形成可競爭的優(yōu)勢，把“戰(zhàn)爭”的范圍擴大到經濟、政治和社會的各個方面。這種信息戰(zhàn)無論在平時、危機時刻還是在戰(zhàn)爭狀態(tài)下都可能發(fā)生。這種信息戰(zhàn)必須有組織地進行，并

5、且要受最高政治機構的嚴格控制。 新戰(zhàn)爭理論學說新的戰(zhàn)略戰(zhàn)術思想新的戰(zhàn)場戰(zhàn)線特點新的武器裝備形式新的國防動員體制新的平戰(zhàn)結合模式新的軍民魚水關系當前信息安全形勢外部環(huán)境 各國在大力推進Internet與信息技術應用的同時，抓緊實施國家信息安全保障體系與國防的信息安全防御體系。 各國抓緊研究信息安全策略、制訂體系標準、法律法規(guī)，實施安全計劃。外部環(huán)境（續(xù)）2008年5月1日，美國防高級研究計劃局（DARPA）發(fā)布關于展開“國家網絡靶場”項目研發(fā)工作公告。美國認為，網絡空間是美國經濟、關鍵設施和國家安全的重要基礎，對于國家力量的影響至關重要。為此，美國高度重視研發(fā)以網絡為中心的C4ISR系統(tǒng)和網絡攻

6、防對抗裝備，推進網絡中心戰(zhàn)能力建設。 外部環(huán)境（續(xù)）2009年1月8日，美國總統(tǒng)布什簽署第54號國家安全總統(tǒng)令和第23號國土安全總統(tǒng)令，要求美國政府所有與安全有關的部門（包括國土安全部、國家安全局等）都參與實施“國家網絡安全綜合計劃”。這是一項長期計劃，將由多個部門參加并分步驟實施，其最終目的是保護美國的網絡安全，防止美國遭受敵對的電子攻擊，并能對敵方展開在線攻擊。 外部環(huán)境（續(xù)）美國總統(tǒng)奧巴馬2009年5月29日公布了一份由安全部門完成的網絡安全評估報告，表明來自網絡空間的威脅已經成為美國面臨的最嚴重的經濟和軍事威脅之一。 奧巴馬還表示：網絡空間以及它帶來的威脅都是真實的，保護網絡基礎設施將

7、是維護美國國家安全的第一要務。 外部環(huán)境（續(xù)）6月25日英國出臺首個國家網絡安全戰(zhàn)略政府將成立兩個網絡安全新部門 網絡安全辦公室和網絡安全行動中心計劃征召包括黑客在內的網絡精英護衛(wèi)網絡安全英國已經具備主動發(fā)起網絡攻擊的能力外部環(huán)境（續(xù)）臺灣加緊開展信息戰(zhàn)的準備 控制進入大陸的微機板卡、硬盤等。 專門搜集大陸民用網絡（電信、能源、交通、金融及政府等）的結構、路由以及設備情報。 積極研究網絡滲透與病毒植入和激活技術。產生問題的原因整體信息安全防范意識和能力薄弱;信息系統(tǒng)安全建設和管理缺乏體系化思想;信息安全法律法規(guī)不完善，標準體系尚待完善； 自主技術產品缺乏，信息技術產業(yè)未完全形成。 當前的要求與

8、原則總體要求:堅持積極防御、綜合防范的方針，全面提高信息安全防護能力，重點保護基礎網絡和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網絡環(huán)境，保障和促進信息化發(fā)展，保護公眾利益，維護國家安全。主要原則：立足國情，以我為主，堅持管理與技術并重；正確處理安全與發(fā)展的關系，以安全促發(fā)展，在發(fā)展中求安全；統(tǒng)籌規(guī)劃，突出重點，強化基礎性工作；明確國家、企業(yè)、個人的責任和義務，充分發(fā)揮各方面的積極性，共同構筑國家信息安全保障體系。當前的九項任務全面實行信息安全等級保護制度加強以密碼技術為基礎的信息保護和網絡信任體系建設建設和完善信息安全監(jiān)控體系重視信息安全應急處理工作加強信息安全技術研究開發(fā)，推進信息安全產業(yè)發(fā)展加強

9、信息安全法制建設標準化建設加快信息安全人才培養(yǎng)，增強全民信息安全意識保證信息安全資金加強對信息安全保障工作的領導，建立健全信息安全管理責任制摘要等級保護制度是什么等級保護制度要干什么如何開展等級保護工作等級保護制度根據信息系統(tǒng)在國家安全、經濟建設、社會生活中的重要程度；遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度；將信息系統(tǒng)劃分為不同的安全保護等級并對其實施不同的保護和監(jiān)管。 第一級信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產生損害，但不損害國家安全、社會秩序和公共利益。信息系統(tǒng)運營、使用單位依照國家有關管理規(guī)范和技術標準進行保護。 第二級信

10、息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害，但不損害國家安全。信息系統(tǒng)運營、使用單位應當依據國家有關管理規(guī)范和技術標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導第三級信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。信息系統(tǒng)運營、使用單位應當依據國家有關管理規(guī)范和技術標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查。第四級信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害 ,或者對國家安全造成嚴重損害。信息系統(tǒng)運營、使用單位應當依據國家有

11、關管理規(guī)范、技術標準和業(yè)務專門需求進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。第五級信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴重損害；信息系統(tǒng)運營、使用單位應當依據國家管理規(guī)范、技術標準和業(yè)務特殊安全需求進行保護。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、檢查。摘要等級保護制度是什么等級保護制度要干什么如何開展等級保護工作等級保護制度體現(xiàn)國家管理意志構建國家信息安全保障體系保障信息化發(fā)展和維護國家安全解決什么信息安全等級保護是手段，是為了構建國家信息安全保障體系。信息安全保障體系也是手段，是為了業(yè)務應用發(fā)展。信息安全等級保護是帶有很

12、強技術性的國家風險控制行為所謂風險安全風險管理的目的并不是保證沒有風險，而是要將信息系統(tǒng)帶來的業(yè)務風險控制在可接受的范圍內。 信息安全等級保護的關鍵所在正是基于信息系統(tǒng)所承載應用的重要性，以及該應用損毀后帶來的影響程度來判斷風險是否控制在可接受的范圍內。安全防護的重點系統(tǒng)防入侵網絡防攻擊信息防泄露內容防篡改內部防越權奧運安保的啟示1、對奧運的信息系統(tǒng)，開展定級工作2、第一次按照基本要求測評差距比較大，奧運系統(tǒng)進行了相應的整改。3、整改后、測評、再整改，能夠達到基本保護要求的大部分的要求4、對于奧運系統(tǒng)，達到一個基本安全狀態(tài)并不夠。因為基本要求是一個底線的要求。5、奧運是個特殊時期，奧運系統(tǒng)有許

13、多特殊需求6、針對特殊需求重點進行了外部滲透測試。奧運安保的啟示通過整改安全防護狀況有較大改進，絕大部分網站防SQL注入能力增強，能抵御一般黑客攻擊；網站放置在一個虛擬服務器的現(xiàn)象消失，數(shù)據庫與網站程序實施了分離；網站管理后臺采用了較多的安全設置。但仍有不少網站存在目錄列遍，敏感信息泄露、跨站被動攻擊和跨站請求偽造的漏洞；個別網站子站防護能力薄弱，無法抵御有組織犯罪攻擊，風險等級仍舊高危。奧運安保的啟示通過外部安全測試，能夠迅速從外部發(fā)現(xiàn)對外暴露的安全隱患和脆弱性，測試結果直觀，能夠引起對安全威脅的警覺和安全保障工作的高度重視。外部安全測試作為一種方法，雖不能體系性地根本消除對外暴露的安全隱患

14、，但作為查漏補缺，急用先上，特別是在特定敏感時期發(fā)現(xiàn)主要問題起到了重要作用。奧運安保的啟示大量的政務系統(tǒng)由于建設的時期，背景的不同；主管運營模式的不同，在安全防護能力上差異很大。僅依靠外部安全測試，只能治標，要體系化地根本解決安全問題，必須標本兼顧，堅持常態(tài)化的、基礎性的信息安全等級保護是必由之路。政務系統(tǒng)由于其特殊的政治背景，安全防護標準不同于一般商業(yè)系統(tǒng)，要想保障其安全，應該基于信息安全等級保護管理辦法和信息系統(tǒng)安全等級保護基本要求制定有針對性的管理規(guī)范和技術標準。等級保護制度的作用提出信息安全工作的思路劃定信息系統(tǒng)保護的基線發(fā)現(xiàn)信息系統(tǒng)的問題和差距明確信息系統(tǒng)安全保護的方向提升信息系統(tǒng)的

15、安全保護能力涉及層面管理層面：國家制定統(tǒng)一信息安全等級保護管理規(guī)范和技術標準，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護，對信息安全產品的使用分等級實行管理，對等級保護工作的實施進行監(jiān)督、指導。 用戶層面 ：公民、法人和其他組織應當按照國家有關等級保護的管理規(guī)范和技術標準開展等級保護工作，服從國家對信息安全等級保護工作的監(jiān)督、指導，保障信息系統(tǒng)安全。 社會層面 ：信息安全產品的研制、生產單位，信息系統(tǒng)的集成、等級測評、風險評估等安全服務機構，依據國家有關管理規(guī)定和技術標準，開展相應工作，并接受國家信息安全職能部門的監(jiān)督管理。摘要等級保護制度是什么等級保護制度要干什么如何開展等級保護工

16、作原則誰擁有誰負責、誰運行誰負責自主定級、自主保護、監(jiān)督指導主要流程一是：定級。二是：備案。三是：建設、整改。四是：等級測評。五是：定期開展監(jiān)督檢查安全保護等級確定信息系統(tǒng)運營、使用單位依據管理辦法和定級指南確定信息系統(tǒng)的安全保護等級。由主管部門的，應當經主管部門的審核批準?？缡』蛘呷珖y(tǒng)一聯(lián)網運行的可以由主管部門統(tǒng)一確定安全保護等級。對擬定為四級以上的應當請國家信息安全保護等級專家評審委員會評審。等級保護的備案管理信息系統(tǒng)運營、使用單位應當在其系統(tǒng)安全保護等級確定后，向當?shù)赝壒矙C關提請備案備案時應當?shù)絺浒笝C關填寫備案登記表并按要求提交相關資料。 備案登記表/系統(tǒng)體系/功能結構圖/系統(tǒng)安全

17、保護方案或措施/系統(tǒng)安全管理制度等等級保護的備案管理 信息系統(tǒng)備案信息是國家有關信息安全職能部門了解和掌握重要信息系統(tǒng)的安全保護基本狀況、分析總體安全形勢的基礎資料來源，也是下一步接受備案機關開展各項監(jiān)督檢查工作所必需的基本依據。 新建系統(tǒng)： 已有系統(tǒng)：環(huán)節(jié)間的關系定級是等級保護的首要環(huán)節(jié)分等級保護是等級保護的核心，建設整改是等級保護工作落實的關鍵等級測評是評價安全保護狀況的方法監(jiān)督檢查是保護能力不斷提高的保障定級指南安全保護等級 等級的確定是不依賴于安全保護措施的，具有一定的“客觀性”，即該系統(tǒng)在存在之初便由其自身所實現(xiàn)的使命決定了它的安全保護等級，而非由“后天”的安全保護措施決定。等級保護

18、工作核心關注點 承擔社會責任，關系國家安全的信息系統(tǒng)的安危重點保障 業(yè)務信息安全(S) 系統(tǒng)服務連續(xù)(A)等級保護的推進思想落實信息安全等級保護基本要求，確保系統(tǒng)基本安全；結合系統(tǒng)自身安全需求，力求系統(tǒng)相對安全。第一級信息系統(tǒng)能夠抵御來自個人的、擁有很少資源的攻擊，防范一般的自然災難、操作失誤、技術故障等對關鍵資源造成的損害，在系統(tǒng)遭到損害后，能夠恢復主要功能。第二級信息系統(tǒng)能夠抵御來自外部小型組織的、擁有一定資源的攻擊，防范一般的自然災難、內部人員惡意行為、操作失誤、技術故障等對重要資源造成的損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時間內恢復主要功能。第三級信息系

19、統(tǒng)能夠在統(tǒng)一安全策略下，抵御來自外部有組織的團體、擁有較為豐富資源的攻擊，防范較為嚴重的自然災難、內部人員惡意行為、操作失誤、技術故障等對主要資源造成的損害，能夠及時監(jiān)測發(fā)現(xiàn)安全漏洞和安全事件；具有一定的備份恢復能力，在系統(tǒng)遭到損害后，能夠較快恢復絕大部分功能。第四級信息系統(tǒng)能夠在統(tǒng)一安全策略下，抵御來自敵對組織的、擁有豐富資源的攻擊，防范嚴重的自然災難、內部人員惡意行為、操作失誤、技術故障等對資源造成的損害，能夠及時監(jiān)測發(fā)現(xiàn)安全漏洞、跟蹤處置安全事件；具有較強的備份恢復能力，在系統(tǒng)遭到損害后，能夠迅速恢復所有功能。等級保護的基本要求基本要求是什么？1、安全保護能力的一個基本“標尺”，是一個達

20、標線；2、滿足基本要求意味著信息系統(tǒng)具有相應等級的基本安全保護能力，達到了一種基本的安全狀態(tài)。3、基本要求是安全保護的出發(fā)點，不是終點。GB/T22239-2008信息系統(tǒng)安全等級保護基本要求貫徹落實黨中央、國務院關于節(jié)能減排工作部署，以實現(xiàn)重點污染物減排的目標指標為緊要任務 ，為實現(xiàn)節(jié)能減排和環(huán)境保護工作目標奠定基礎統(tǒng)計基礎能力數(shù)據傳輸能力數(shù)據共享能力數(shù)據應用能力指標體系監(jiān)測體系考核體系業(yè)務應用支撐能力總體目標項目目的分省建設目標（1）在項目實施過程中貫徹落實工程標準規(guī)范；（2）建設省環(huán)境保護廳（局）到地市環(huán)境保護局，地市環(huán)境保護局到區(qū)縣環(huán)境保護局，以及省環(huán)境保護廳（局）到省直屬機構、市環(huán)境

21、保護局到市直屬機構的網絡系統(tǒng)，并通過國家電子政務外網實現(xiàn)與環(huán)境保護部的連通；（直轄市為市、區(qū)縣兩級網絡）；（3）組織落實本?。ㄖ陛犑?、自治區(qū)）范圍內網絡安全體系的建設和省級CA系統(tǒng)的建設；（4）組織所轄各級機構接收部里統(tǒng)一下發(fā)的環(huán)境統(tǒng)計專項設備，保證專項專用；（5）準備機房環(huán)境，組織所轄各級機構接收并配合部署部里統(tǒng)一采購的服務器、存儲、網絡、安全等設備和系統(tǒng)軟件；分省建設目標（6）部署部里統(tǒng)一下發(fā)的省級綜合數(shù)據庫平臺和地理信息系統(tǒng)平臺；組織所轄市、區(qū)縣部署部里統(tǒng)一下發(fā)的數(shù)據傳輸與交換平臺，建立數(shù)據交換傳輸體系，實現(xiàn)國家、省、下轄市、區(qū)縣的數(shù)據交換與共享；（7）部署部里統(tǒng)一下發(fā)的省級減排應用系統(tǒng)

22、支撐平臺；在省級集中部署環(huán)境統(tǒng)計業(yè)務系統(tǒng)、建設項目管理系統(tǒng)、減排數(shù)據管理與綜合分析系統(tǒng)，按照需要集成已有六個應用系統(tǒng)；組織所轄市、區(qū)縣相關業(yè)務部門推廣應用環(huán)境統(tǒng)計業(yè)務系統(tǒng)和建設項目管理系統(tǒng)。（8）組織建立省及所轄市、區(qū)縣運維組織機構，健全運維制度，明確運維人員，部署部里統(tǒng)一下發(fā)的運行維護管理系統(tǒng)，建立省級運維管理平臺。省、自治區(qū)直轄市基本要求的定位基本要求中相應等級的要求是根據各等級系統(tǒng)需要對抗的威脅和應具備的能力而確定的。判斷基本要求是否達到應按此原則分析?；疽蠼o出了各級信息系統(tǒng)每一保護方面需達到的要求，但不是具體的安全建設整改方案或作業(yè)指導書，實現(xiàn)基本要求的措施或方式并不局限于基本要求

23、給出的內容，要結合系統(tǒng)自身的特點綜合考慮采取的措施來達到基本要求提出的保護能力基本要求定位舉例A點B點，500KM 5H飛機 OK火車 OK汽車 OK自行車 NO等級保護的基本要求內容與作用為信息系統(tǒng)主管和運營、使用單位提供技術指導為測評機構提供測評依據為監(jiān)管職能部門提供監(jiān)督檢查依據適用環(huán)節(jié)建設整改、驗收、測評、運維、檢查基本要求的描述模型控制點標注業(yè)務信息安全相關要求（標記為S）系統(tǒng)服務保證相關要求（標記為A）通用安全保護要求（標記為G） 技術要求（3種標注）管理要求（統(tǒng)屬G）系統(tǒng)基本保護要求的組合第一級 S1A1G1第二級 S1A2G2，S2A2G2，S2A1G2第三級 S1A3G3，S2

24、A3G3，S3A3G3，S3A2G3，S3A1G3第四級 S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4如何實現(xiàn)落實信息安全等級保護基本要求，確保系統(tǒng)基本安全；結合系統(tǒng)自身安全需求，力求系統(tǒng)相對安全?；疽蟮奈臋n結構物理安全技術要求管理要求基本要求網絡安全主機安全應用安全數(shù)據安全及備份恢復安全管理制度安全管理機構人員安全管理系統(tǒng)建設管理系統(tǒng)運維管理類安全建設基本流程信息系統(tǒng)安全管理建設信息系統(tǒng)安全技術建設開展信息系統(tǒng)安全自查和等級測評信息系統(tǒng)安全需求分析/相應級別的要求確定安全策略，制定安全建設方案物 理 安 全網 絡 安 全主 機 安 全應

25、 用 安 全數(shù) 據 安 全安全管理機構安全管理制度人員安全管理系統(tǒng)建設管理系統(tǒng)運行管理信息系統(tǒng)安全技術體系設計物理安全設計數(shù)據安全設計備份與恢復應用系統(tǒng)應用平臺其他安全設計機房辦公環(huán)境設備和介質網絡安全設計通信網絡區(qū)網邊界主機安全設計應用安全設計服務器工作站其他安全設計其他安全設計其他安全設計基本要求中的安全保護技術身份鑒別訪問控制安全審計數(shù)據完整性數(shù)據保密性數(shù)據可用性病毒防范入侵檢測安全監(jiān)控備份與恢復密碼使用等等基本要求中的安全保護技術確定安全策略落實信息安全責任制建立安全組織機構加強人員管理加強系統(tǒng)建設的安全管理加強運行維護的安全管理安全技術要求-物理安全物理安全是指對信息系統(tǒng)所涉及到的主

26、機房、輔助機房、辦公環(huán)境等進行物理安全保護。具體關注內容包括：物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應和電磁防護等方面安全技術要求-物理安全序號安全關注點一級二級三級四級1物理位置的選擇01222物理訪問控制1244+3防盜竊和防破壞256+64防雷擊12335防火11+3+36防水和防潮23447防靜電01238溫濕度控制11+119電力供應124410電磁防護0133+合計9193233安全技術要求-網絡安全網絡安全是指對信息系統(tǒng)所涉及的通信網絡、網絡邊界、網絡區(qū)域和網絡設備等進行安全保護。具體關注內容包括通信過程數(shù)據完整性、通信

27、過程數(shù)據保密性、保證通信可靠性的設備和線路冗余、區(qū)域網絡的邊界保護、區(qū)域劃分、身份認證、訪問控制、安全審計、入侵防范、惡意代碼防范、網絡設備自身保護和網絡的網絡管理等方面安全技術要求-網絡安全序號安全關注點一級二級三級四級1網絡結構安全34+772網絡訪問控制34+843網絡安全審計02464邊界完整性檢查01225網絡入侵防范0122+6惡意代碼防范00227網絡設備防護3689合計9183332安全技術要求-主機安全主機安全是指對信息系統(tǒng)涉及到的服務器和工作站進行主機系統(tǒng)安全保護。具體關注內容包括操作系統(tǒng)或數(shù)據庫管理系統(tǒng)的選擇、安裝和安全配置、主機入侵防范、惡意代碼防范、資源使用和運行情況

28、監(jiān)控等。其中，安全配置細分為身份鑒別、訪問控制、安全審計等方面的配置內容安全技術要求-主機安全序號安全關注點一級二級三級四級1身份鑒別15672安全標記00013訪問控制34764可信路徑00025安全審計046+7+6剩余信息保護00227入侵防范11338惡意代碼防范12339資源控制0355合計6193236安全技術要求-應用安全應用安全是指對信息系統(tǒng)涉及到的應用系統(tǒng)進行安全保護。具體關注內容包括應用系統(tǒng)實現(xiàn)身份鑒別、訪問控制、安全審計、剩余信息保護、通信完整性、通信保密性、抗抵賴、軟件容錯和資源控制等功能方面安全技術要求-應用安全序號安全關注點一級二級三級四級1身份鑒別34552安全標

29、記00013訪問控制24654可信路徑00025安全審計03456剩余信息保護00227通信完整性11+1+18通信保密性022+39抗抵賴002210軟件容錯122311資源控制0377合計7193136安全技術要求-數(shù)據安全數(shù)據安全是指對信息系統(tǒng)中業(yè)務數(shù)據的傳輸、存儲和備份恢復進行安全保護。具體關注內容包括數(shù)據備份系統(tǒng)、冗余備用設備以及備份恢復相關技術設施等方面安全技術要求-數(shù)據安全序號安全關注點一級二級三級四級1數(shù)據完整性11232數(shù)據保密性01233數(shù)據備份與恢復1245合計24811安全管理要求-安全管理機構安全管理結構是指明確領導機構和責任部門。設立或明確信息安全領導機構，明確主管

30、領導，落實責任部門，建立崗位和人員管理制度，根據職責分工，分別設置安全管理機構和崗位，明確每個崗位的職責與任務，落實安全管理責任制安全管理要求 -安全管理機構序號安全關注點一級二級三級四級1崗位設置12442人員配備12333授權和審批12444溝通和合作12555審核和檢查0144合計492020安全管理要求-安全管理制度安全管理制度是指確定安全管理策略，制定安全管理制度。確定安全管理目標和安全策略，針對信息系統(tǒng)的各類管理活動，制定人員安全管理制度、系統(tǒng)建設管理制度、系統(tǒng)運維管理制度、定期檢查制度等，規(guī)范安全管理人員或操作人員的操作規(guī)程等，形成安全管理體系安全管理要求 -安全管理制度序號安全關注點一級二級三級四級1管理制度13442制定和發(fā)布23563評審和修訂0124合計371114安全管理要求-人員安全管理人員安全管理是指加強人員的安全管理。規(guī)范人員錄用、離崗過程，關鍵崗位簽署保密協(xié)議，對各類人員進行安全意識教育、崗位技能培訓和相關安全技術培訓，對關鍵