等級(jí)保護(hù)政策與標(biāo)準(zhǔn)體系

等級(jí)保護(hù)政策與標(biāo)準(zhǔn)體系胡斌1培訓(xùn)議程信息安全等級(jí)保護(hù)概述1等級(jí)保護(hù)政策和標(biāo)準(zhǔn)體系介紹2等級(jí)保護(hù)主要政策和標(biāo)準(zhǔn)介紹342什么是信息安全等級(jí)保護(hù)《信息安全等級(jí)保護(hù)管理辦法》指出信息安全等級(jí)保護(hù)是以信息為核心的、根據(jù)信息和信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度；遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度；針對(duì)信息的保密性、完整性和可用性要求及信息系統(tǒng)必須達(dá)到的基本的安全保護(hù)水平等因素，對(duì)最核心的信息和信息系統(tǒng)劃分為五個(gè)安全保護(hù)和監(jiān)管等級(jí)，實(shí)行分級(jí)保護(hù)。3為什么實(shí)行等級(jí)保護(hù)實(shí)施信息安全等級(jí)保護(hù)，可以有效地提高我國(guó)信息安全建設(shè)的整體水平；有利于在信息化建設(shè)過(guò)程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相協(xié)調(diào)；有利于加強(qiáng)對(duì)涉及國(guó)家安全、經(jīng)濟(jì)秩序、社會(huì)穩(wěn)定和公共利益的信息系統(tǒng)的安全保護(hù)和管理監(jiān)督；有利于明確國(guó)家、法人和其他組織、公民的安全責(zé)任，強(qiáng)化政府監(jiān)管職能，共同落實(shí)各項(xiàng)安全建設(shè)和安全管理措施；有利于提高安全保護(hù)的科學(xué)性、整體性、針對(duì)性，推動(dòng)信息安全產(chǎn)業(yè)水平，逐步探索一條適應(yīng)社會(huì)主義市場(chǎng)經(jīng)濟(jì)發(fā)展的信息安全發(fā)展模式。4國(guó)家戰(zhàn)略國(guó)家強(qiáng)制實(shí)施信息安全等級(jí)保護(hù)制度的原因：維護(hù)國(guó)家安全的需要：基礎(chǔ)信息網(wǎng)絡(luò)與重要信息系統(tǒng)已經(jīng)成為國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施；信息安全是國(guó)家安全的重要組成部分；信息安全形勢(shì)嚴(yán)峻：敵對(duì)勢(shì)力的入侵、攻擊、破壞；針對(duì)基礎(chǔ)信息網(wǎng)絡(luò)

和重要信息系統(tǒng)的

違法犯罪持續(xù)上升；

基礎(chǔ)信息網(wǎng)絡(luò)和重

要信息系統(tǒng)安全隱

患嚴(yán)重；5信息安全是國(guó)家安全的重要組成隨著信息化建設(shè)的深入發(fā)展，網(wǎng)絡(luò)和信息系統(tǒng)已成為承載國(guó)家運(yùn)轉(zhuǎn)、社會(huì)運(yùn)行的重要基礎(chǔ)設(shè)施；信息網(wǎng)絡(luò)已成為我們?nèi)粘９ぷ骱蜕钪斜夭豢缮俚闹匾M成部分；一些關(guān)乎國(guó)計(jì)民生的重點(diǎn)行業(yè)，如金融、證券、電力、水利、運(yùn)營(yíng)商、民航、鐵路、黨政機(jī)關(guān)、企業(yè)等的生產(chǎn)經(jīng)營(yíng)、指揮調(diào)度等工作已經(jīng)高度依賴信息網(wǎng)絡(luò)；6信息安全是國(guó)家安全的重要組成十八大報(bào)告指出“貫徹新時(shí)期積極防御軍事戰(zhàn)略方針，與時(shí)俱進(jìn)加強(qiáng)軍事戰(zhàn)略指導(dǎo)，高度關(guān)注海洋、太空、網(wǎng)絡(luò)空間安全......”。說(shuō)明網(wǎng)絡(luò)空間安全已經(jīng)成為繼陸、海、空、太空之后的第五大國(guó)家安全；習(xí)近平總書記指出：“沒(méi)有網(wǎng)絡(luò)安全，就沒(méi)有國(guó)家安全”；我國(guó)信息網(wǎng)絡(luò)安全面臨的形勢(shì)非常嚴(yán)峻和復(fù)雜。

7西方大國(guó)的戰(zhàn)略威脅美國(guó)等西方國(guó)家不斷推出網(wǎng)絡(luò)空間國(guó)際戰(zhàn)略和行動(dòng)戰(zhàn)略，并將其作為在網(wǎng)絡(luò)空間的行動(dòng)指南和國(guó)際宣言，謀求網(wǎng)絡(luò)空間主導(dǎo)權(quán)、控制權(quán)、話語(yǔ)權(quán)甚至霸權(quán)，全面加強(qiáng)對(duì)我網(wǎng)絡(luò)遏制策略，對(duì)未來(lái)網(wǎng)絡(luò)空間的戰(zhàn)略格局影響深遠(yuǎn)；美國(guó)加緊網(wǎng)絡(luò)備戰(zhàn)，將分批組建40支網(wǎng)絡(luò)作戰(zhàn)部隊(duì)，公布了包括電腦病毒在內(nèi)的網(wǎng)絡(luò)武器和工具清單。美從指揮體系、作戰(zhàn)隊(duì)伍以及網(wǎng)絡(luò)戰(zhàn)武器等方面已構(gòu)建完備，隨時(shí)可以發(fā)動(dòng)網(wǎng)絡(luò)戰(zhàn)；8西方大國(guó)的戰(zhàn)略威脅炒作中國(guó)黑客攻擊，起訴中國(guó)61398部隊(duì)5名軍人，為對(duì)其實(shí)施攻擊尋找借口，成為我國(guó)網(wǎng)絡(luò)安全最主要的威脅；目前全球已有46個(gè)國(guó)家組建了網(wǎng)絡(luò)戰(zhàn)部隊(duì)：英國(guó)已研發(fā)了用于網(wǎng)絡(luò)戰(zhàn)的武器并加入武器庫(kù)；俄羅斯組建網(wǎng)絡(luò)作戰(zhàn)隊(duì)伍、研發(fā)進(jìn)攻性網(wǎng)絡(luò)武器、在全球構(gòu)建大規(guī)模僵尸網(wǎng)絡(luò)，以色列-批準(zhǔn)耗資3.2億美元的網(wǎng)絡(luò)戰(zhàn)計(jì)劃...；美國(guó)政府、軍方、智庫(kù)、安全企業(yè)和媒體將美受到的網(wǎng)絡(luò)攻擊、入侵竊密等強(qiáng)加至中國(guó)黑客，將中國(guó)塑造為美國(guó)網(wǎng)絡(luò)安全面臨的頭號(hào)敵人；9西方大國(guó)的戰(zhàn)略威脅日本、越南、菲律賓等國(guó)與我國(guó)存在領(lǐng)土、領(lǐng)海爭(zhēng)端，美不斷助長(zhǎng)日、越、菲等國(guó)與我制造緊張局面，一旦發(fā)生突發(fā)事件，極易發(fā)生大規(guī)模網(wǎng)絡(luò)攻擊；從媒體連續(xù)披露的“棱鏡”項(xiàng)目等多個(gè)政府情報(bào)監(jiān)聽計(jì)劃中，可以看到中國(guó)已經(jīng)成為美網(wǎng)絡(luò)監(jiān)聽和攻擊的主要目標(biāo)。10敵對(duì)勢(shì)力和黑客組織的威脅近年來(lái)藏獨(dú)、疆獨(dú)、法輪功等敵對(duì)勢(shì)力、敵對(duì)組織，通過(guò)互聯(lián)網(wǎng)對(duì)我政府網(wǎng)站、基礎(chǔ)信息網(wǎng)絡(luò)、重要信息系統(tǒng)和國(guó)家網(wǎng)絡(luò)關(guān)防等進(jìn)行入侵攻擊、控制和突破?！胺垂埠诳吐?lián)盟”自2012年5月起，每3天攻擊一個(gè)我政府網(wǎng)站，篡改網(wǎng)頁(yè)張貼反共標(biāo)語(yǔ)，謾罵和組織“推翻”我黨。11敵對(duì)勢(shì)力和黑客組織的威脅今年2月土耳其極端組織連續(xù)攻擊了我國(guó)10個(gè)網(wǎng)站，并上傳了大量涉及新疆“7.5”事件的恐怖視頻和照片。昆明“3.01”暴恐事件發(fā)生后，該組織在其網(wǎng)站登載了相關(guān)新聞并表示支持恐怖活動(dòng)，3月2日攻擊了我596個(gè)網(wǎng)站?！澳涿摺焙诳徒M織在全球擁有60萬(wàn)成員，該組織號(hào)召力極強(qiáng)，具備實(shí)施大規(guī)模網(wǎng)絡(luò)攻擊的能力，曾多次攻擊我政府網(wǎng)站和重要系統(tǒng)。12省內(nèi)多家重要網(wǎng)站遭攻擊、篡改13互聯(lián)網(wǎng)的快速發(fā)展帶來(lái)的挑戰(zhàn)2013年，我國(guó)互聯(lián)網(wǎng)飛速發(fā)展，網(wǎng)站總數(shù)370萬(wàn)個(gè)，網(wǎng)民規(guī)模突破6億，手機(jī)網(wǎng)民占80%，手機(jī)用戶超過(guò)12億，信息消費(fèi)達(dá)到2.2萬(wàn)億，電子商務(wù)交易規(guī)模突破10萬(wàn)億。病毒、木馬等惡意程序激增，危害范圍更廣、速度更快：2013年二季度比一季度，發(fā)現(xiàn)新增惡意程序樣本就達(dá)到5.27億個(gè),同比增長(zhǎng)12.5%,環(huán)比增長(zhǎng)32.4%，惡意程序樣本量的快速增長(zhǎng)態(tài)勢(shì)令人擔(dān)憂。同時(shí)，利用“火焰、高斯、紅色十號(hào)病毒等實(shí)施的高級(jí)、可持續(xù)攻擊活動(dòng)更為頻繁。14互聯(lián)網(wǎng)的快速發(fā)展帶來(lái)的挑戰(zhàn)境外約有7.3萬(wàn)個(gè)木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器控制了我國(guó)境內(nèi)1400余萬(wàn)臺(tái)主機(jī)，新增安全漏洞應(yīng)接不暇，安全隱患嚴(yán)重：2012年，國(guó)家信息安全漏洞共享平臺(tái)共收集安全漏洞6824個(gè)，較2011年增長(zhǎng)了23%，每月新增漏洞數(shù)量平均超過(guò)550個(gè)，其中高危漏洞2440個(gè)，較2011年增長(zhǎng)了12.8%。15網(wǎng)絡(luò)違法犯罪活動(dòng)帶來(lái)的影響一些傳統(tǒng)的犯罪類型也更多地利用和針對(duì)互聯(lián)網(wǎng)實(shí)施，網(wǎng)絡(luò)竊密、網(wǎng)絡(luò)賭博、網(wǎng)絡(luò)詐騙、網(wǎng)上盜竊等違法犯罪活動(dòng)日益猖獗。不法分子利用各種手段竊取、販賣公民個(gè)人信息，從事各種違法犯罪活動(dòng)，被竊取販賣或泄漏的信息涉及金融、電信、公安、交通、教育、醫(yī)療、國(guó)土、工商、房產(chǎn)、物業(yè)、保險(xiǎn)、快遞等重要部門和行業(yè)。

16網(wǎng)絡(luò)新技術(shù)新應(yīng)用帶來(lái)新挑戰(zhàn)基于IPv6下一代互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)正在加快應(yīng)用到電力、石油、交通等重要行業(yè)，逐步實(shí)現(xiàn)“智能電網(wǎng)”、“智能油田”和“智慧城市”，推動(dòng)著我國(guó)技術(shù)進(jìn)步和經(jīng)濟(jì)發(fā)展。與此同時(shí)，隨著新技術(shù)新應(yīng)用的到來(lái)，關(guān)系國(guó)計(jì)民生的信息網(wǎng)絡(luò)以及大數(shù)據(jù)更易成為網(wǎng)絡(luò)攻擊的目標(biāo)。17國(guó)家領(lǐng)導(dǎo)高度重視信息網(wǎng)絡(luò)安全十八大報(bào)告：建設(shè)下一代信息基礎(chǔ)設(shè)施，發(fā)展現(xiàn)代信息技術(shù)產(chǎn)業(yè)體系，健全信息安全保障體系，推進(jìn)信息網(wǎng)絡(luò)技術(shù)廣泛運(yùn)用；高度關(guān)注海洋、太空、網(wǎng)絡(luò)空間安全，積極運(yùn)籌和平時(shí)期軍事力量運(yùn)用，不斷拓展和深化軍事斗爭(zhēng)準(zhǔn)備，提高以打贏信息化條件下局部戰(zhàn)爭(zhēng)能力為核心的完成多樣化軍事任務(wù)能力。

18國(guó)家領(lǐng)導(dǎo)高度重視信息網(wǎng)絡(luò)安全新一屆領(lǐng)導(dǎo)：習(xí)近平訪美關(guān)注網(wǎng)絡(luò)安全與頁(yè)巖氣兩大焦點(diǎn)：/2013-05-31/154720620.html；習(xí)近平見美國(guó)特使就朝鮮形勢(shì)網(wǎng)絡(luò)安全交換意見；/13/0319/16/8QBFDHD10001124J.html習(xí)近平同奧巴馬通話談網(wǎng)絡(luò)安全：/o/2013-03-16/101926549804.shtml；習(xí)近平主席闡述了中方原則立場(chǎng),表示當(dāng)前網(wǎng)絡(luò)安全問(wèn)題日益突出,已成為各國(guó)普遍關(guān)切的綜合安全挑戰(zhàn)。維護(hù)網(wǎng)絡(luò)空間的和平、安全、開放、合作,符合中美在內(nèi)的國(guó)際社會(huì)共同利益。中方堅(jiān)決反對(duì)任何形式的黑客活動(dòng)。中方愿同美方以建設(shè)性方式就網(wǎng)絡(luò)安全問(wèn)題保持溝通。國(guó)家成立網(wǎng)信辦、網(wǎng)絡(luò)安全立法……19等級(jí)保護(hù)工作的地位等級(jí)保護(hù)是國(guó)家在信息安全領(lǐng)域強(qiáng)制實(shí)施的一項(xiàng)基本制度、基本國(guó)策，是開展信息安全工作的基本方法，是促進(jìn)信息化、維護(hù)國(guó)家信息安全的根本保障；等級(jí)保護(hù)工作的性質(zhì)：信息

安全等級(jí)保護(hù)工作是國(guó)家信

息安全保障工作中的一項(xiàng)保

障性、基礎(chǔ)性、制度性和長(zhǎng)

效性工作，是提升國(guó)家信息

安全保障水平和能力的重要

舉措；其核心是“明確重點(diǎn)、突出

重點(diǎn)、保護(hù)重點(diǎn)”,提高重要

信息系統(tǒng)的安全防護(hù)水平和

管理水平。20培訓(xùn)議程等級(jí)保護(hù)政策和標(biāo)準(zhǔn)體系介紹2信息安全等級(jí)保護(hù)概述1等級(jí)保護(hù)主要政策和標(biāo)準(zhǔn)介紹3421信息安全等級(jí)保護(hù)的提出信息安全等級(jí)保護(hù)制度的提出：國(guó)家對(duì)等級(jí)保護(hù)制度的要求從法律、政策等方面明確了實(shí)行等級(jí)保護(hù)制度是我國(guó)信息安全保障工作的一項(xiàng)基本、重要制度和措施；《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》國(guó)務(wù)院[1994]147號(hào)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》中辦發(fā)[2003]27號(hào)2008年國(guó)務(wù)院“三定”方案中，增加了公安機(jī)關(guān)的職能：監(jiān)督、檢查、指導(dǎo)信息安全等級(jí)保護(hù)工作。22政策推進(jìn)過(guò)程2003年9月中辦國(guó)辦頒發(fā)《關(guān)于加強(qiáng)信息安全保障工作的意見》中辦發(fā)[2003]27號(hào)2004年11月四部委會(huì)簽《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》公通字[2004]66號(hào)2006年1月四部委會(huì)簽《信息安全等級(jí)保護(hù)管理辦法（試行）》（公通字[2006]7號(hào)）

2007年6月四部委會(huì)簽《信息安全等級(jí)保護(hù)管理辦法》公通字[2007]43號(hào)1994年國(guó)務(wù)院頒布《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》國(guó)務(wù)院[1994]147號(hào)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南

》《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-2006）《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）《信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）。。。。。。GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則23等級(jí)保護(hù)工作的職責(zé)分工等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）小組：國(guó)家層面、各省、各地市成立了以公安機(jī)關(guān)牽頭的協(xié)調(diào)（領(lǐng)導(dǎo)）小組：負(fù)責(zé)信息安全等級(jí)保護(hù)工作的組織領(lǐng)導(dǎo)，制定本地區(qū)、本行業(yè)開展信息安全等級(jí)保護(hù)的工作部署和實(shí)施方案；督促有關(guān)單位落實(shí)、研究、協(xié)調(diào)解決等級(jí)保護(hù)工作中的重要工作事項(xiàng)，及時(shí)通報(bào)或報(bào)告等級(jí)保護(hù)實(shí)施工作的有關(guān)情況；24等級(jí)保護(hù)工作的職責(zé)分工信息安全職能部門：公安機(jī)關(guān)負(fù)責(zé)等級(jí)保護(hù)工作的監(jiān)督、檢查、指導(dǎo)，是等保工作的牽頭部門；國(guó)家保密部門負(fù)責(zé)等保工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)；國(guó)家密碼管理部門負(fù)責(zé)等保工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)；工業(yè)和信息化部門負(fù)責(zé)等級(jí)保護(hù)工作中的部門間協(xié)調(diào)。25等級(jí)保護(hù)工作的職責(zé)分工涉及國(guó)家秘密的信息系統(tǒng)，由國(guó)家保密局負(fù)責(zé)-分級(jí)保護(hù)；其他信息系統(tǒng)，由公安機(jī)關(guān)統(tǒng)一進(jìn)行監(jiān)督、管理；信息系統(tǒng)運(yùn)營(yíng)使用單位及其業(yè)務(wù)主管部門：信息系統(tǒng)運(yùn)營(yíng)使用單位按照等級(jí)保護(hù)工作的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，開展信息系統(tǒng)定級(jí)、備案、等級(jí)測(cè)評(píng)、安全建設(shè)整改、自查等工作，并接受公安機(jī)關(guān)等部門的監(jiān)督、指導(dǎo)；26等級(jí)保護(hù)工作的職責(zé)分工有業(yè)務(wù)主管部門的，主管部門要督促、檢查、指導(dǎo)本行業(yè)、本部門信息系統(tǒng)運(yùn)營(yíng)使用單位開展信息安全等級(jí)保護(hù)工作；安全服務(wù)企業(yè)：信息安全企業(yè)、信息系統(tǒng)安全集成商等安全服務(wù)機(jī)構(gòu)，依據(jù)國(guó)家有關(guān)管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，開展技術(shù)支持、服務(wù)等工作，并接受監(jiān)管部門的監(jiān)督管理；專家組：配合公安機(jī)關(guān)開展等級(jí)保護(hù)工作，對(duì)各單位等級(jí)保護(hù)工作中具體環(huán)節(jié)、內(nèi)容提供技術(shù)支持、指導(dǎo)。27信息安全等級(jí)保護(hù)政策體系信息安全等級(jí)保護(hù)的法律和政策依據(jù)：1994年頒布《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國(guó)務(wù)院147號(hào)令）；《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號(hào)）；總體方面的政策文件：《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》（公通字[2004]66號(hào)）；《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）；28信息安全等級(jí)保護(hù)政策體系具體環(huán)節(jié)的政策文件：定級(jí)環(huán)節(jié)：《關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》(公通字[2007]861號(hào)；備案環(huán)節(jié)：《信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則》(公信安[2007]1360號(hào))安全建設(shè)整改環(huán)節(jié)：《關(guān)于開展信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》(公信安12009)1429號(hào))；《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》(發(fā)改高技[2008]207l號(hào))。等級(jí)測(cè)評(píng)環(huán)節(jié)：《關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開展等級(jí)測(cè)訐工作的通知》(公信安[20101303號(hào))；關(guān)于印發(fā)《信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模版(試行)》的通知(公信安[2009]1487號(hào))。安全檢查環(huán)節(jié)：《公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī)范(試行)》(公信安[2008]736號(hào))。29信息系統(tǒng)安全等級(jí)保護(hù)基本要求計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859）信息系統(tǒng)通用安全技術(shù)要求信息系統(tǒng)物理安全技術(shù)要求技術(shù)類其他技術(shù)類標(biāo)準(zhǔn)信息系統(tǒng)安全管理要求信息系統(tǒng)安全工程管理要求其他管理類標(biāo)準(zhǔn)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南信息系統(tǒng)安全等級(jí)保護(hù)基本要求的行業(yè)細(xì)則信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求管理類產(chǎn)品類數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求其他產(chǎn)品類標(biāo)準(zhǔn)信息系統(tǒng)安全等級(jí)保護(hù)行業(yè)定級(jí)細(xì)則操作系統(tǒng)安全技術(shù)要求信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)整改網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求網(wǎng)絡(luò)和終端設(shè)備隔離部件技術(shù)要求安全定級(jí)基本要求狀態(tài)分析方法指導(dǎo)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南30信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系30等級(jí)保護(hù)標(biāo)準(zhǔn)體系-主要標(biāo)準(zhǔn)（一）基礎(chǔ)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》GB17859-1999《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》GB/T25058-2010（二）系統(tǒng)定級(jí)環(huán)節(jié)《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》GB/T22240-2008（三）建設(shè)整改環(huán)節(jié)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》GB/T22239-2008（四）等級(jí)測(cè)評(píng)環(huán)節(jié)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》GB/T28448-2012《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》GB/T28449-201231培訓(xùn)議程等級(jí)保護(hù)主要政策和標(biāo)準(zhǔn)介紹3信息安全等級(jí)保護(hù)概述1等級(jí)保護(hù)政策和標(biāo)準(zhǔn)體系介紹232管理辦法（簡(jiǎn)稱43號(hào)文）《管理辦法》第八條:信息系統(tǒng)運(yùn)營(yíng)、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行保護(hù)，國(guó)家有關(guān)信息安全職能部門對(duì)其信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督管理。33管理辦法（簡(jiǎn)稱43號(hào)文）《管理辦法》第九條:信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》具體實(shí)施等級(jí)保護(hù)工作。34管理辦法（簡(jiǎn)稱43號(hào)文）《管理辦法》第十條:信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)本辦法和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》確定信息系統(tǒng)的安全保護(hù)等級(jí)。有主管部門的，應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)。35管理辦法（簡(jiǎn)稱43號(hào)文）《管理辦法》第十二條:在信息系統(tǒng)建設(shè)過(guò)程中，運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999）、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn)，參照……等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級(jí)要求的信息安全設(shè)施。36管理辦法（簡(jiǎn)稱43號(hào)文）《管理辦法》第十三條:運(yùn)營(yíng)、使用單位應(yīng)當(dāng)參照《信息安全技術(shù)信息系統(tǒng)安全管理要求》（GB/T20269-2006）、《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等管理規(guī)范，制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級(jí)要求的安全管理制度。

37管理辦法（簡(jiǎn)稱43號(hào)文）《管理辦法》第十四條:信息系統(tǒng)建設(shè)完成后，運(yùn)營(yíng)、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測(cè)評(píng)單位，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn)，定期對(duì)信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測(cè)評(píng)。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)。38實(shí)施指南（GB/T25058-2010）介紹和描述了實(shí)施信息系統(tǒng)等級(jí)保護(hù)過(guò)程中涉及的階段、過(guò)程和需要完成的活動(dòng)，通過(guò)對(duì)過(guò)程和活動(dòng)的介紹，使大家了解對(duì)信息系統(tǒng)實(shí)施等級(jí)保護(hù)的流程方法，以及不同的角色在不同階段的作用等。39實(shí)施指南（GB/T25058-2010）等級(jí)變更局部調(diào)整信息系統(tǒng)定級(jí)總體安全規(guī)劃安全設(shè)計(jì)與實(shí)施安全運(yùn)行維護(hù)信息系統(tǒng)終止40實(shí)施指南的主要思路以信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)為主要線索，定義信息系統(tǒng)等級(jí)保護(hù)實(shí)施的主要階段和過(guò)程對(duì)每個(gè)階段介紹和描述主要的過(guò)程和實(shí)施活動(dòng)對(duì)每個(gè)活動(dòng)說(shuō)明實(shí)施主體、主要活動(dòng)內(nèi)容和輸入輸出等41實(shí)施指南標(biāo)準(zhǔn)的結(jié)構(gòu)正文由9個(gè)章節(jié)1個(gè)附錄構(gòu)成1.范圍2.規(guī)范性引用文件3.術(shù)語(yǔ)定義4.等級(jí)保護(hù)實(shí)施概述5.信息系統(tǒng)定級(jí)6.總體安全規(guī)劃7.安全設(shè)計(jì)/實(shí)施8.安全運(yùn)行維護(hù)9.信息系統(tǒng)終止附錄A主要過(guò)程及其輸出42實(shí)施指南特點(diǎn)階段過(guò)程活動(dòng)子活動(dòng)例如:信息系統(tǒng)定級(jí)信息系統(tǒng)分析系統(tǒng)識(shí)別和描繪識(shí)別信息系統(tǒng)的基本信息識(shí)別信息系統(tǒng)的管理框架…信息系統(tǒng)劃分43系統(tǒng)定級(jí)階段-實(shí)施流程主要輸入主要輸出過(guò)程系統(tǒng)立項(xiàng)文檔系統(tǒng)建設(shè)文檔系統(tǒng)管理文檔信息系統(tǒng)分析系統(tǒng)總體描述文件系統(tǒng)詳細(xì)描述文件安全保護(hù)等級(jí)確定系統(tǒng)總體描述文件系統(tǒng)詳細(xì)描述文件系統(tǒng)安全保護(hù)等級(jí)定級(jí)建議書44定級(jí)指南（GB/T22240-2008）安全保護(hù)等級(jí)等級(jí)的確定是不依賴于安全保護(hù)措施的，具有一定的“客觀性”，即該系統(tǒng)在存在之初便由其自身所實(shí)現(xiàn)的使命決定了它的安全保護(hù)等級(jí)，而非由“后天”的安全保護(hù)措施決定。45為什么首先要定級(jí)？46<定級(jí)指南>-定級(jí)三條件具有唯一確定的安全責(zé)任單位一般是使用或運(yùn)營(yíng)單位滿足信息系統(tǒng)的基本要素單機(jī)和純局域網(wǎng)不定級(jí)承載相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用含多個(gè)業(yè)務(wù)應(yīng)用的綜合系統(tǒng)盡量劃分47<定級(jí)指南>標(biāo)準(zhǔn)的結(jié)構(gòu)正文由6個(gè)章節(jié)構(gòu)成1.范圍2.規(guī)范性引用文件3.術(shù)語(yǔ)定義4.定級(jí)原理5.定級(jí)方法6.級(jí)別變更48等級(jí)與侵害客體、侵害程度關(guān)系49<定級(jí)指南>-定級(jí)原理50<定級(jí)指南>-定級(jí)維度等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體對(duì)客體造成侵害的程度51兩類信息安全等級(jí)信息系統(tǒng)中保存的信息保密性、完整性一般簡(jiǎn)稱為S級(jí)信息系統(tǒng)服務(wù)連續(xù)性一般簡(jiǎn)稱為A級(jí)52<定級(jí)指南>-可能的系統(tǒng)級(jí)別第一級(jí)S1A1G1第二級(jí)S1A2G2，S2A2G2，S2A1G2第三級(jí)S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級(jí)S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G453<定級(jí)指南>-定級(jí)流程54<定級(jí)指南>-定級(jí)的時(shí)機(jī)新建信息系統(tǒng)等級(jí)保護(hù)實(shí)施流程已建信息系統(tǒng)等級(jí)保護(hù)實(shí)施流程不通過(guò)不通過(guò)等級(jí)保護(hù)定級(jí)是實(shí)施等級(jí)保護(hù)工作的第一步！55常見等級(jí)保護(hù)定級(jí)誤區(qū)信息系統(tǒng)是上級(jí)部門部署的，不需要定級(jí)56常見等級(jí)保護(hù)定級(jí)誤區(qū)信息系統(tǒng)是上級(jí)部門部署的，不需要定級(jí)由系統(tǒng)運(yùn)營(yíng)使用維護(hù)單位負(fù)責(zé)定級(jí)跨省跨市信息系統(tǒng)，只要在本地有分支服務(wù)器提供業(yè)務(wù)服務(wù)同樣需要定級(jí)備案57常見等級(jí)保護(hù)定級(jí)誤區(qū)信息系統(tǒng)等級(jí)根據(jù)《等級(jí)保護(hù)基本要求》確定，現(xiàn)在安全措施沒(méi)有就是一級(jí)58常見等級(jí)保護(hù)定級(jí)誤區(qū)信息系統(tǒng)等級(jí)根據(jù)《等級(jí)保護(hù)基本要求》確定，現(xiàn)在安全措施沒(méi)有就是一級(jí)根據(jù)《定級(jí)指南》和《行業(yè)定級(jí)細(xì)則》確定等級(jí)以業(yè)務(wù)信息和系統(tǒng)服務(wù)確定等級(jí)《基本要求》確定每個(gè)級(jí)別需要達(dá)到什么保護(hù)措施59基本要求（GB/T22239-2008）信息系統(tǒng)安全等級(jí)保護(hù)基本要求60<基本要求>-標(biāo)準(zhǔn)背景03年，27號(hào)文件進(jìn)一步明確信息安全等級(jí)保護(hù)制度04年，66號(hào)文件要求“盡快制定、完善法律法規(guī)和標(biāo)準(zhǔn)體系”編制歷程04年10月，接受公安部的標(biāo)準(zhǔn)編制任務(wù)05年6月，完成初稿，廣泛征求安全領(lǐng)域?qū)＜液托袠I(yè)用戶意見；05年10月，征求意見稿第一稿，國(guó)信辦、安標(biāo)委評(píng)審05年11月，征求意見稿第三稿06年6月，試點(diǎn)工作07年04月，征求意見稿第四稿，安標(biāo)委專家評(píng)審07年05月，形成報(bào)批稿08年6月19日，正式發(fā)布，08年11月1日正式實(shí)施。61<基本要求>-標(biāo)準(zhǔn)定位GB17859-1999的細(xì)化和發(fā)展吸收安全機(jī)制并擴(kuò)展到不同層面增加安全管理方面的內(nèi)容借鑒PDR、CMM、17799關(guān)注可操作性最佳實(shí)踐當(dāng)前技術(shù)的發(fā)展機(jī)制要求（目標(biāo)/要求）62信息系統(tǒng)安全等級(jí)保護(hù)基本要求計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859）信息系統(tǒng)通用安全技術(shù)要求信息系統(tǒng)物理安全技術(shù)要求技術(shù)類其他技術(shù)類標(biāo)準(zhǔn)信息系統(tǒng)安全管理要求信息系統(tǒng)安全工程管理要求其他管理類標(biāo)準(zhǔn)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南信息系統(tǒng)安全等級(jí)保護(hù)基本要求的行業(yè)細(xì)則信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求管理類產(chǎn)品類數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求其他產(chǎn)品類標(biāo)準(zhǔn)信息系統(tǒng)安全等級(jí)保護(hù)行業(yè)定級(jí)細(xì)則操作系統(tǒng)安全技術(shù)要求信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)整改網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求網(wǎng)絡(luò)和終端設(shè)備隔離部件技術(shù)要求安全定級(jí)基本要求狀態(tài)分析方法指導(dǎo)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南63基本要求地位63<基本要求>-與其他標(biāo)準(zhǔn)的關(guān)系GB17859-1999是基礎(chǔ)性標(biāo)準(zhǔn)，《基本要求》17859基礎(chǔ)上的進(jìn)一步細(xì)化和擴(kuò)展?！抖?jí)指南》確定出系統(tǒng)等級(jí)以及業(yè)務(wù)信息安全性等級(jí)和業(yè)務(wù)服務(wù)保證性等級(jí)后，需要按照相應(yīng)等級(jí)，根據(jù)《基本要求》選擇相應(yīng)等級(jí)的安全保護(hù)要求進(jìn)行系統(tǒng)建設(shè)實(shí)施。《測(cè)評(píng)要求》是依據(jù)《基本要求》檢驗(yàn)系統(tǒng)的各項(xiàng)保護(hù)措施是否達(dá)到相應(yīng)等級(jí)的基本要求所規(guī)定的保護(hù)能力。64<基本要求>-標(biāo)準(zhǔn)適用范圍用戶范圍信息系統(tǒng)的主管部門及運(yùn)營(yíng)使用單位測(cè)評(píng)機(jī)構(gòu)安全服務(wù)機(jī)構(gòu)（系統(tǒng)集成商，軟件開發(fā)商）信息安全監(jiān)管職能部門適用環(huán)節(jié)需求分析方案設(shè)計(jì)、系統(tǒng)建設(shè)與驗(yàn)收運(yùn)行維護(hù)、等級(jí)測(cè)評(píng)、自查65<基本要求>-標(biāo)準(zhǔn)的編制思路門檻合理對(duì)每個(gè)級(jí)別的信息系統(tǒng)安全要求設(shè)置合理，按照基本要求建設(shè)后，確實(shí)達(dá)到期望的安全保護(hù)能力內(nèi)容完整綜合技術(shù)、管理各個(gè)方面的要求，安全要求內(nèi)容考慮全面、完整，覆蓋信息系統(tǒng)生命周期便于使用安全要求分類方式合理，便于安全保護(hù)、檢測(cè)評(píng)估、監(jiān)督檢查實(shí)施各方的靈活使用66<基本要求>-描述模型67不同級(jí)別信息系統(tǒng)不同級(jí)別安全威脅不同級(jí)別能力目標(biāo)不同級(jí)別基本要求系統(tǒng)重要程度不同應(yīng)對(duì)67<基本要求>-基本安全保護(hù)能力對(duì)抗能力和恢復(fù)能力共同構(gòu)成了信息系統(tǒng)的安全保護(hù)能力。安全保護(hù)能力主要表現(xiàn)為信息系統(tǒng)應(yīng)對(duì)威脅的能力，稱為對(duì)抗能力，但當(dāng)信息系統(tǒng)無(wú)法阻擋威脅對(duì)自身的破壞時(shí)，信息系統(tǒng)的恢復(fù)能力使系統(tǒng)在一定時(shí)間內(nèi)恢復(fù)到原有狀態(tài)，從而降低負(fù)面影響。68<基本要求>-能力目標(biāo)第一級(jí)安全保護(hù)能力應(yīng)具有能夠?qū)箒?lái)自個(gè)人的、擁有很少資源（如利用公開可獲取的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度弱、持續(xù)時(shí)間很短、系統(tǒng)局部范圍等）、以及其他相當(dāng)危害程度的威脅所造成的關(guān)鍵資源損害，并在威脅發(fā)生后，能夠恢復(fù)部分功能。69<基本要求>-能力目標(biāo)第二級(jí)安全保護(hù)能力應(yīng)具有能夠?qū)箒?lái)自小型組織的（如自發(fā)的三兩人組成的黑客組織）、擁有少量資源（如個(gè)別人員能力、公開可獲或特定開發(fā)的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度一般、持續(xù)時(shí)間短、覆蓋范圍?。ň植啃裕┑龋?、以及其他相當(dāng)危害程度（無(wú)意失誤、設(shè)備故障等）的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時(shí)間內(nèi)恢復(fù)部分功能。70<基本要求>-能力目標(biāo)第三級(jí)安全保護(hù)能力應(yīng)具有能夠?qū)箒?lái)自大型的、有組織的團(tuán)體（如一個(gè)商業(yè)情報(bào)組織或犯罪組織等），擁有較為豐富資源（包括人員能力、計(jì)算能力等）的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度較大、持續(xù)時(shí)間較長(zhǎng)、覆蓋范圍較廣（地區(qū)性）等）以及其他相當(dāng)危害程度（內(nèi)部人員的惡意威脅、設(shè)備的較嚴(yán)重故障等）威脅的能力，并在威脅發(fā)生后，能夠較快恢復(fù)絕大部分功能。71<基本要求>-能力目標(biāo)第四級(jí)安全保護(hù)能力應(yīng)具有能夠?qū)箒?lái)自國(guó)家級(jí)別的、敵對(duì)組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度大、持續(xù)時(shí)間長(zhǎng)、覆蓋范圍廣（多地區(qū)性）等）以及其他相當(dāng)危害程度（內(nèi)部人員的惡意威脅、設(shè)備的嚴(yán)重故障等）威脅的能力，并在威脅發(fā)生后，能夠迅速恢復(fù)所有功能。72<基本要求>-描述模型一級(jí)系統(tǒng)二級(jí)系統(tǒng)三級(jí)系統(tǒng)防護(hù)防護(hù)/檢測(cè)策略/防護(hù)/檢測(cè)/恢復(fù)策略/防護(hù)/檢測(cè)/恢復(fù)/響應(yīng)四級(jí)系統(tǒng)技術(shù)要求特點(diǎn)73<基本要求>-描述模型一級(jí)系統(tǒng)二級(jí)系統(tǒng)三級(jí)系統(tǒng)四級(jí)系統(tǒng)管理要求特點(diǎn)一般執(zhí)行（部分活動(dòng)建制度）計(jì)劃實(shí)施（主要過(guò)程建制度）統(tǒng)一策略（管理制度體系化）持續(xù)改進(jìn)（管理制度體系化/驗(yàn)證/改進(jìn)）74<基本要求>-描述模型一級(jí)系統(tǒng)二級(jí)系統(tǒng)三級(jí)系統(tǒng)四級(jí)系統(tǒng)覆蓋范圍特點(diǎn)通信/邊界（關(guān)鍵資源）通信/邊界/內(nèi)部（重要設(shè)備）通信/邊界/內(nèi)部（主要設(shè)備）通信/邊界/內(nèi)部/基礎(chǔ)設(shè)施（所有設(shè)備）75<基本要求>-描述結(jié)構(gòu)某級(jí)系統(tǒng)類技術(shù)要求管理要求基本要求類控制點(diǎn)要求項(xiàng)控制點(diǎn)要求項(xiàng)………………………………76<基本要求>-安全類物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全及備份恢復(fù)安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理類77<基本要求>-示例7第三級(jí)基本要求7.1技術(shù)要求7.1.1物理安全物理位置的選擇本項(xiàng)要求包括a)機(jī)房和辦公場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)b)機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。。。。。。。類要求項(xiàng)控制點(diǎn)78<基本要求>-控制點(diǎn)標(biāo)注業(yè)務(wù)信息安全相關(guān)要求（標(biāo)記為S）系統(tǒng)服務(wù)保證相關(guān)要求（標(biāo)記為A）通用安全保護(hù)要求（標(biāo)記為G）技術(shù)要求（3種標(biāo)注）管理要求（統(tǒng)屬G）79<基本要求>-描述模型業(yè)務(wù)信息安全相關(guān)要求（S）電磁防護(hù)訪問(wèn)控制數(shù)據(jù)完整性數(shù)據(jù)保密性系統(tǒng)服務(wù)保證相關(guān)要求（A）電力供應(yīng)軟件容錯(cuò)備份與恢復(fù)資源控制通用安全保護(hù)要求（G）管理要求和大部分技術(shù)要求80<基本要求>-逐級(jí)增強(qiáng)的特點(diǎn)控制點(diǎn)增加要求項(xiàng)增加要求項(xiàng)增強(qiáng)范圍增大要求細(xì)化要求粒度細(xì)化81逐級(jí)增強(qiáng)的特點(diǎn)-控制點(diǎn)增加三級(jí)基本要求：在二級(jí)基本要求的基礎(chǔ)上，技術(shù)方面，在控制點(diǎn)上增加了網(wǎng)絡(luò)惡意代碼防范、剩余信息保護(hù)、軟件容錯(cuò)、抗抵賴等。管理方面，增加了系統(tǒng)備案、安全測(cè)評(píng)、監(jiān)控管理和安全管理中心等控制點(diǎn)。四級(jí)基本要求：在三級(jí)基本要求的基礎(chǔ)上，技術(shù)方面，在系統(tǒng)和應(yīng)用層面控制點(diǎn)上增加了安全標(biāo)記、可信路徑，82不同級(jí)別系統(tǒng)控制點(diǎn)的差異匯總83逐級(jí)增強(qiáng)的特點(diǎn)-要求項(xiàng)增加要求項(xiàng)增多，如，對(duì)“身份鑒別”，一級(jí)要求“進(jìn)行身份標(biāo)識(shí)和鑒別”，二級(jí)增加要求“口令復(fù)雜度、登錄失敗保護(hù)等”；而三級(jí)則