1、等級等級保護(hù)保護(hù)信息系統(tǒng)安全信息系統(tǒng)安全測評測評管理體系不同管理體系不同等級保護(hù)之十大標(biāo)準(zhǔn)基礎(chǔ)類 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB 17859-1999 信息系統(tǒng)安全等級保護(hù)實施指南GB/T 25058-2010 應(yīng)用類 定級：信息系統(tǒng)安全保護(hù)等級定級指南GB/T 22240-2008 建設(shè)：信息系統(tǒng)安全等級保護(hù)基本要求GB/T 22239-2008 信息系統(tǒng)通用安全技術(shù)要求GB/T 20271-2006 信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求GB/T 25070-2010 測評：信息系統(tǒng)安全等級保護(hù)測評要求 信息系統(tǒng)安全等級保護(hù)測評過程指南 管理：信息系統(tǒng)安全管理要求GB/T 20269-2

2、006 信息系統(tǒng)安全工程管理要求GB/T 20282-2006 3等級保護(hù)標(biāo)準(zhǔn)系列的邏輯關(guān)系劃分準(zhǔn)則定級指南基本要求測評要求技術(shù)設(shè)計要求實施指南測評過程指南GB/T 20269 安全管理GB/T 20270 網(wǎng)絡(luò)基礎(chǔ)GB/T 20271 通用安全技術(shù)GB/T 20272 操作系統(tǒng)GB/T 20273 數(shù)據(jù)庫GB/T 20282 安全工程管理4GB/T 20984 風(fēng)險評估7、系統(tǒng)服務(wù)安全等級等級保護(hù)定級指南GB/T 22240保護(hù)對象受到破壞時受侵害的客體保護(hù)對象受到破壞時受侵害的客體對客體的侵害程度對客體的侵害程度一般損害一般損害嚴(yán)重?fù)p害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的

3、合法權(quán)益公民、法人和其他組織的合法權(quán)益第一級第一級第二級第二級第二級第二級社會秩序、公共利益社會秩序、公共利益第二級第二級第三級第三級第四級第四級國家安全國家安全第三級第三級第四級第四級第五級第五級等級保護(hù)定級方法等級保護(hù)定級方法保護(hù)對象保護(hù)對象對客體的侵害程度對客體的侵害程度客體：社會關(guān)系客體：社會關(guān)系受侵害的客體受侵害的客體信息系統(tǒng)安全信息系統(tǒng)安全系統(tǒng)服務(wù)安全系統(tǒng)服務(wù)安全業(yè)務(wù)信息安全業(yè)務(wù)信息安全3、綜合評定對客體的侵害程度2、確定業(yè)務(wù)信息安全受到破壞時所侵害的客體6、綜合評定對客體的侵害程度5、確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客體4、業(yè)務(wù)信息安全等級8、定級對象的安全保護(hù)等級8MAX（4

4、，7）1、確定定級對象（系統(tǒng)邊界）一般流程一般流程等級確定等級確定5安全保護(hù)等級安全保護(hù)等級信息系統(tǒng)定級結(jié)果的組合信息系統(tǒng)定級結(jié)果的組合第一級第一級S1A1G1第二級第二級S1A2G2，S2A2G2，S2A1G2第三級第三級S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級第四級S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4第五級第五級S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A4G5，S5A3G5，S5A2G5，S5A1G5基本保護(hù)要求（最低）保護(hù)能力對抗能力恢復(fù)能力技術(shù)要求管理要求物理、網(wǎng)絡(luò)、主機(jī)、

5、應(yīng)用、數(shù)據(jù)制度、機(jī)構(gòu)、人員、建設(shè)、運維縱深防御、互補關(guān)聯(lián)、強(qiáng)度一致、 平臺統(tǒng)一、集中安管業(yè)務(wù)信息安全類要求 S系統(tǒng)服務(wù)保證類要求 A通用安全保護(hù)類要求 G整體安全保護(hù)能力關(guān)鍵控制點安全類具體要求項控制強(qiáng)度基本保護(hù)要求（最低）保護(hù)能力對抗能力恢復(fù)能力物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)制度、機(jī)構(gòu)、人員、建設(shè)、運維縱深防御、互補關(guān)聯(lián)、強(qiáng)度一致、 平臺統(tǒng)一、集中安管通用安全保護(hù)類要求 G關(guān)鍵控制點安全類安全要求類安全要求類層面層面一級一級二級二級三級三級四級四級技術(shù)要求技術(shù)要求物理安全物理安全7 7101010101010網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全3 36 67 77 7主機(jī)安全主機(jī)安全4 46 67 79 9應(yīng)用安

6、全應(yīng)用安全4 47 79 911 11數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)安全及備份恢復(fù)2 23 33 33 3管理要求管理要求安全管理制度安全管理制度2 23 33 33 3安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)4 45 55 55 5人員安全管理人員安全管理4 45 55 55 5系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理9 99 911 1111 11系統(tǒng)運維管理系統(tǒng)運維管理9 9121213131313合計合計/ /4848666673737777級差級差/ / /18187 74 4安全要求類安全要求類層面層面一級一級二級二級三級三級四級四級技術(shù)要求技術(shù)要求物理安全物理安全9 9191932323333網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全9 918

7、1833333232主機(jī)安全主機(jī)安全6 6191932323636應(yīng)用安全應(yīng)用安全7 7191931313636數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)安全及備份恢復(fù)2 24 48 811 11管理要求管理要求安全管理制度安全管理制度3 37 711 111414安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)4 49 920202020人員安全管理人員安全管理7 711 1116161818系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理2020282845454848系統(tǒng)運維管理系統(tǒng)運維管理1818414162627070合計合計/ /8585175175290290318318級差級差/ / /90901151152828控制項8基本要求基本要求GB/

8、T 22239GB/T 22239等級保護(hù)相關(guān)的等級保護(hù)相關(guān)的主要方法主要方法安全域（第3級）安全域（第2級）監(jiān)督保護(hù)級網(wǎng)絡(luò)監(jiān)督保護(hù)級網(wǎng)絡(luò)安全域（第3級）安全域（第2級）安全域（第2級） 禁止高敏感級信息由高等級安全域流向低等級安全域分域分級防護(hù)示意主要防護(hù)措施主要防護(hù)措施n 防火墻系統(tǒng)防火墻系統(tǒng)n 隔離與交換系統(tǒng)隔離與交換系統(tǒng)n 網(wǎng)絡(luò)入侵防御系統(tǒng)網(wǎng)絡(luò)入侵防御系統(tǒng)n 主頁防篡改系統(tǒng)主頁防篡改系統(tǒng)n 防病毒網(wǎng)關(guān)防病毒網(wǎng)關(guān)n 抗抗DDosDDos系統(tǒng)系統(tǒng)n VPN VPN網(wǎng)關(guān)網(wǎng)關(guān)n 安全認(rèn)證網(wǎng)關(guān)安全認(rèn)證網(wǎng)關(guān)n 主機(jī)、服務(wù)器安全加固主機(jī)、服務(wù)器安全加固n 文件安全系統(tǒng)文件安全系統(tǒng)n 電子郵件安全等等

9、電子郵件安全等等安全管理平臺安全管理平臺n 主機(jī)監(jiān)控與審計系統(tǒng)主機(jī)監(jiān)控與審計系統(tǒng)n 網(wǎng)絡(luò)安全審計系統(tǒng)網(wǎng)絡(luò)安全審計系統(tǒng)n 綜合安全管理平臺綜合安全管理平臺n 數(shù)字證書頒發(fā)和管理平臺數(shù)字證書頒發(fā)和管理平臺n 。 各級安全管理中心對管轄網(wǎng)絡(luò)實施各級安全管理中心對管轄網(wǎng)絡(luò)實施安全集中管理。安全集中管理。等級保護(hù)要求等級保護(hù)要求（技術(shù)（技術(shù)&管理）管理）物理位置的選擇物理位置的選擇基本防護(hù)能力高層、地下室高層、地下室物理訪問控制物理訪問控制基本出入控制分區(qū)域管理分區(qū)域管理在機(jī)房中的活動電子門禁電子門禁防盜竊和防破壞防盜竊和防破壞存放位置、標(biāo)記標(biāo)識監(jiān)控報警系統(tǒng)監(jiān)控報警系統(tǒng)防雷擊防雷擊建筑防雷、機(jī)房

10、接地設(shè)備防雷設(shè)備防雷防火防火滅火設(shè)備、自動報警自動消防系統(tǒng)自動消防系統(tǒng)區(qū)域隔離措施區(qū)域隔離措施防防靜電靜電關(guān)鍵設(shè)備主要設(shè)備主要設(shè)備防靜電地板防靜電地板電力供應(yīng)電力供應(yīng)穩(wěn)定電壓、短期供應(yīng)主要設(shè)備主要設(shè)備冗余冗余/并行線路并行線路備用供電系統(tǒng)備用供電系統(tǒng)電磁防護(hù)電磁防護(hù)線纜隔離接地防干擾接地防干擾電磁屏蔽電磁屏蔽防水和防潮防水和防潮溫濕度控制溫濕度控制物理安全的整改要點結(jié)構(gòu)安全結(jié)構(gòu)安全關(guān)鍵設(shè)備冗余空間主要設(shè)備冗余空間主要設(shè)備冗余空間訪問控制訪問控制訪問控制設(shè)備（用戶、網(wǎng)段）應(yīng)用層協(xié)議過濾應(yīng)用層協(xié)議過濾撥號訪問限制會話終止會話終止安全審計安全審計日志記錄審計報表審計報表邊界完整性檢查邊界完整性檢查內(nèi)

11、部的非法聯(lián)出非授權(quán)設(shè)備私自外聯(lián)非授權(quán)設(shè)備私自外聯(lián)網(wǎng)絡(luò)安全的整改要點子網(wǎng)/網(wǎng)段控制核心網(wǎng)絡(luò)帶寬整體網(wǎng)絡(luò)帶寬整體網(wǎng)絡(luò)帶寬重要網(wǎng)段部署重要網(wǎng)段部署路由控制路由控制帶寬分配優(yōu)先級帶寬分配優(yōu)先級端口控制端口控制最大流量數(shù)及最大連接數(shù)最大流量數(shù)及最大連接數(shù)防止地址欺騙防止地址欺騙審計記錄的保護(hù)審計記錄的保護(hù)定位及阻斷定位及阻斷入侵防范入侵防范檢測常見攻擊記錄、報警記錄、報警惡意代碼防范惡意代碼防范網(wǎng)絡(luò)邊界處防范網(wǎng)絡(luò)邊界處防范網(wǎng)絡(luò)設(shè)備防護(hù)網(wǎng)絡(luò)設(shè)備防護(hù)基本的登錄鑒別組合鑒別技術(shù)組合鑒別技術(shù)特權(quán)用戶的權(quán)限分離特權(quán)用戶的權(quán)限分離身份鑒別身份鑒別基本的身份鑒別訪問控制訪問控制安全策略管理用戶的權(quán)限分離管理用戶的權(quán)限

12、分離特權(quán)用戶的權(quán)限分離安全審計安全審計服務(wù)器基本運行情況審計審計報表審計報表剩余信息保護(hù)剩余信息保護(hù)空間釋放及信息清除主機(jī)安全的整改要點組合鑒別技術(shù)組合鑒別技術(shù)敏感標(biāo)記的設(shè)置及操作審計記錄的保護(hù)審計記錄的保護(hù)入侵防范入侵防范最小安裝原則重要服務(wù)器：檢測、記錄、報警重要服務(wù)器：檢測、記錄、報警惡意代碼防范惡意代碼防范主機(jī)與網(wǎng)絡(luò)的防范產(chǎn)品不同主機(jī)與網(wǎng)絡(luò)的防范產(chǎn)品不同資源控制資源控制監(jiān)視重要服務(wù)器監(jiān)視重要服務(wù)器最小服務(wù)水平的檢測及報警最小服務(wù)水平的檢測及報警重要客戶端的審計重要客戶端的審計升級服務(wù)器重要程序完整性重要程序完整性防惡意代碼軟件、代碼庫統(tǒng)一管理對用戶會話數(shù)及終端登錄的限制身份鑒別身份鑒別基本的身份鑒別訪問控制訪問控制安全策略最小授權(quán)原則安全審計安全審計運行情況審計（用戶級）審計報表審計報表剩余信息保護(hù)剩余信息保護(hù)空間釋放及信息清除應(yīng)用安全的整改要點組合鑒別技術(shù)組合鑒別技術(shù)敏感標(biāo)記的設(shè)置及操作審計過程的保護(hù)審計過程的保護(hù)通信完整性通信完整性校驗碼技術(shù)密碼技術(shù)密碼技術(shù)軟件容錯軟件容錯自動保護(hù)功能資源控制資源控制資源分配限制、資源分配優(yōu)先級資源分配限制、資源分配優(yōu)先級最小服務(wù)水平的檢測及報警最小服務(wù)水平的檢測及報警數(shù)據(jù)有效性檢驗、部分運行保護(hù)對用戶會話數(shù)及 系統(tǒng)最大并發(fā)會話數(shù)的限制審計記錄的保護(hù)通信保密性通信保密性初始化驗證整個報文及會話過程加密整