1、 47 -信息安全等級(jí)保護(hù)安全建設(shè)整改工作培訓(xùn)材料之一信息安全等級(jí)保保護(hù)安全建設(shè)設(shè)整改技術(shù)工工作主要內(nèi)容及相關(guān)關(guān)標(biāo)準(zhǔn)應(yīng)用公安部信息安全全等級(jí)保護(hù)評(píng)評(píng)估中心二九年十一一月目 錄TOC o 1-3 h z u HYPERLINK l _Toc246399253 1概述（11） HYPERLINK l _Toc246399254 1.1信息系統(tǒng)統(tǒng)安全建設(shè)整整改的目的（1） HYPERLINK l _Toc246399255 1.2安全建設(shè)設(shè)整改在落實(shí)實(shí)等級(jí)保護(hù)工工作中的作用用（1） HYPERLINK l _Toc246399256 2安全建設(shè)整整改依據(jù)的標(biāo)準(zhǔn)（2） HYPERLINK l _Toc

2、246399257 2.1相關(guān)標(biāo)準(zhǔn)準(zhǔn)在等級(jí)保護(hù)護(hù)各階段工作作中的作用（2） HYPERLINK l _Toc246399258 2.2安全建設(shè)設(shè)整改工作依依據(jù)的標(biāo)準(zhǔn)（5） HYPERLINK l _Toc246399259 2.2.1基基本要求作作用（5） HYPERLINK l _Toc246399260 2.2.2基基本要求框框架結(jié)構(gòu)（5） HYPERLINK l _Toc246399261 2.2.3安全全保護(hù)能力（6） HYPERLINK l _Toc246399262 2.2.4基基本要求的的選擇和使用用說明（8） HYPERLINK l _Toc246399263 3安全管理建建設(shè)

3、整改工作的內(nèi)容容和方法（10） HYPERLINK l _Toc246399264 3.1落實(shí)信息息安全責(zé)任制（11） HYPERLINK l _Toc246399265 3.2信息系統(tǒng)統(tǒng)安全管理現(xiàn)狀狀分析（12） HYPERLINK l _Toc246399266 3.3確定安全全管理策略，制制定安全管理理制度（12） HYPERLINK l _Toc246399267 3.4落實(shí)安全全管理措施（13） HYPERLINK l _Toc246399268 3.4.1人員員安全管理（13） HYPERLINK l _Toc246399269 3.4.2系統(tǒng)統(tǒng)運(yùn)維管理（14） HYPERLINK

4、 l _Toc246399270 3.4.3系統(tǒng)統(tǒng)建設(shè)管理（16） HYPERLINK l _Toc246399271 3.5安全自查查與調(diào)整（17） HYPERLINK l _Toc246399272 4安全技術(shù)建建設(shè)整改工作作的內(nèi)容和方方法（17） HYPERLINK l _Toc246399273 4.1信息系統(tǒng)統(tǒng)安全保護(hù)技技術(shù)現(xiàn)狀分析析（18） HYPERLINK l _Toc246399274 4.2信息系統(tǒng)統(tǒng)安全技術(shù)建建設(shè)整改方案案設(shè)計(jì)（19） HYPERLINK l _Toc246399275 4.2.1確定定安全技術(shù)策策略，設(shè)計(jì)總總體技術(shù)方案案（19） HYPERLINK l

5、_Toc246399276 4.2.2安全全技術(shù)方案詳詳細(xì)設(shè)計(jì)（21） HYPERLINK l _Toc246399277 4.2.3建設(shè)設(shè)經(jīng)費(fèi)預(yù)算和和工程實(shí)施計(jì)計(jì)劃（25） HYPERLINK l _Toc246399278 4.2.4方案案論證和備案案（25） HYPERLINK l _Toc246399279 4.3安全建設(shè)設(shè)整改工程實(shí)實(shí)施和管理（26） HYPERLINK l _Toc246399280 4.3.1工程程實(shí)施和管理理（26） HYPERLINK l _Toc246399281 4.3.2工程程監(jiān)理和驗(yàn)收收（26） HYPERLINK l _Toc246399282 5安

6、全等級(jí)測測評(píng)（27） HYPERLINK l _Toc246399283 5.1等級(jí)測評(píng)評(píng)依據(jù)的標(biāo)準(zhǔn)準(zhǔn)（27） HYPERLINK l _Toc246399284 5.1.1測評(píng)評(píng)要求（27） HYPERLINK l _Toc246399285 5.1.2測評(píng)評(píng)過程指南（28） HYPERLINK l _Toc246399286 5.2等級(jí)測評(píng)評(píng)的工作流程程和工作內(nèi)容容（29） HYPERLINK l _Toc246399287 5.3等級(jí)測評(píng)評(píng)工作中的風(fēng)風(fēng)險(xiǎn)控制（31） HYPERLINK l _Toc246399288 5.3.1存在在的風(fēng)險(xiǎn)（31） HYPERLINK l _Toc246

7、399289 5.3.2風(fēng)險(xiǎn)險(xiǎn)的規(guī)避（31） HYPERLINK l _Toc246399290 5.4等級(jí)測評(píng)評(píng)報(bào)告的主要要內(nèi)容（33） HYPERLINK l _Toc246399291 6信息系統(tǒng)安安全建設(shè)整改改方案要素（34） HYPERLINK l _Toc246399292 6.1項(xiàng)目背景景（34） HYPERLINK l _Toc246399293 6.2開展信息息系統(tǒng)安全建建設(shè)整改的法法規(guī)政策和技技術(shù)依據(jù)（34） HYPERLINK l _Toc246399294 6.3信息系統(tǒng)統(tǒng)安全建設(shè)整整改安全需求求分析（34） HYPERLINK l _Toc246399295 6.4信

8、息系統(tǒng)統(tǒng)安全等級(jí)保保護(hù)建設(shè)整改改技術(shù)方案設(shè)設(shè)計(jì)（35） HYPERLINK l _Toc246399296 6.5信息系統(tǒng)統(tǒng)安全等級(jí)保保護(hù)建設(shè)整改改管理體系設(shè)設(shè)計(jì)（35） HYPERLINK l _Toc246399297 6.6信息系統(tǒng)統(tǒng)安全產(chǎn)品選選型及技術(shù)指指標(biāo)（35） HYPERLINK l _Toc246399298 6.7安全建設(shè)設(shè)整改后信息息系統(tǒng)殘余風(fēng)風(fēng)險(xiǎn)分析（35） HYPERLINK l _Toc246399299 6.8信息系統(tǒng)統(tǒng)安全等級(jí)保保護(hù)整改項(xiàng)目目實(shí)施計(jì)劃（35） HYPERLINK l _Toc246399300 6.9信息系統(tǒng)統(tǒng)安全等級(jí)保保護(hù)項(xiàng)目預(yù)算算（35）概述信

9、息系統(tǒng)安全建建設(shè)整改的目目的在已定級(jí)的信息息系統(tǒng)中，大大多數(shù)信息系系統(tǒng)在建設(shè)之之初還沒有將將等級(jí)保護(hù)要要求作為安全全需求加以考考慮，因此所所構(gòu)建的信息息系統(tǒng)安全保保障體系或采采取的安全保保護(hù)措施是以以滿足本部門門、本單位的的安全需求為為出發(fā)點(diǎn)的。隨隨著等級(jí)保護(hù)護(hù)工作的逐步步展開，尤其其是在信息系系統(tǒng)確定了安安全保護(hù)定級(jí)級(jí)之后，重新新審視現(xiàn)有信信息系統(tǒng)的安安全保護(hù)狀況況，由于建設(shè)設(shè)年代不同、所所在地域差異異、設(shè)計(jì)人員員和實(shí)施人員員的水平差距距等都會(huì)造成成其信息系統(tǒng)統(tǒng)的保護(hù)水平平參差不齊。通過開展等級(jí)保保護(hù)工作，使使信息系統(tǒng)可可以按照等級(jí)級(jí)保護(hù)相應(yīng)等等級(jí)的要求進(jìn)進(jìn)行設(shè)計(jì)、規(guī)規(guī)劃和實(shí)施，將將國家的政

10、策策標(biāo)準(zhǔn)要求、機(jī)機(jī)構(gòu)的使命性性要求、系統(tǒng)統(tǒng)可能面臨的的環(huán)境和影響響以及機(jī)構(gòu)自自身的需求相相結(jié)合作為信信息系統(tǒng)的安安全需求，使使具有相同安安全保護(hù)等級(jí)級(jí)的信息系統(tǒng)統(tǒng)能夠達(dá)到相相應(yīng)等級(jí)的基基本保護(hù)水平平和保護(hù)能力力。安全建設(shè)整改在在落實(shí)等級(jí)保保護(hù)工作中的的作用根據(jù)等級(jí)保護(hù)管管理辦法，等等級(jí)保護(hù)工作作主要分為五五個(gè)環(huán)節(jié)，定定級(jí)、備案、建建設(shè)整改、等等級(jí)測評(píng)和監(jiān)監(jiān)督檢查。其其中定級(jí)/備備案是信息安安全等級(jí)保護(hù)護(hù)的首要環(huán)節(jié)節(jié)，可以梳理理各行業(yè)、各各部門、各單單位的信息系系統(tǒng)類型、重重要程度和數(shù)數(shù)量等，確定定信息安全保保護(hù)的重點(diǎn)。而而安全建設(shè)整整改是信息安安全等級(jí)保護(hù)護(hù)工作落實(shí)的的關(guān)鍵，通過過建設(shè)整改使使

11、具有不同等等級(jí)的信息系系統(tǒng)達(dá)到相應(yīng)應(yīng)等級(jí)的基本本保護(hù)能力，從從而提高我國國基礎(chǔ)網(wǎng)絡(luò)和和重要信息系系統(tǒng)整體防護(hù)護(hù)能力。等級(jí)級(jí)測評(píng)工作的的主體是第三三方測評(píng)機(jī)構(gòu)構(gòu)，工作目的的是檢驗(yàn)和評(píng)評(píng)價(jià)信息系統(tǒng)統(tǒng)的安全建設(shè)設(shè)整改工作的的成效，判斷斷安全保護(hù)能能力是否達(dá)到到相關(guān)要求，監(jiān)監(jiān)督檢查工作作的主體是信信息安全職能能管理部門，通通過定期的監(jiān)監(jiān)督、檢查和和指導(dǎo)，保障障重要信息系系統(tǒng)安全保護(hù)護(hù)能力不斷提提高。安全建設(shè)整改依依據(jù)的標(biāo)準(zhǔn)相關(guān)標(biāo)準(zhǔn)在等級(jí)級(jí)保護(hù)各階段段工作中的作作用GB178599-19999計(jì)算機(jī)信息息系統(tǒng)安全保保護(hù)等級(jí)劃分分準(zhǔn)則是基礎(chǔ)性標(biāo)標(biāo)準(zhǔn)， GBB/T202271-20006信息系統(tǒng)通通用安全技

12、術(shù)術(shù)要求、GB/TT202700-20066網(wǎng)絡(luò)基礎(chǔ)安安全技術(shù)要求求、GB/TT210522-20077信息系統(tǒng)物物理安全技術(shù)術(shù)要求等技術(shù)要求求類標(biāo)準(zhǔn)和GGB/T200269-22006信息系統(tǒng)安安全管理要求求、GB/TT202822-20066信息系統(tǒng)安安全工程管理理要求等管理要求求類標(biāo)準(zhǔn)是在在GB178859-19999基礎(chǔ)上上的進(jìn)一步細(xì)細(xì)化和擴(kuò)展。GB/T222239-20008信息系統(tǒng)安安全等級(jí)保護(hù)護(hù)基本要求（以下簡稱稱基本要求求）技術(shù)部部分吸收和借借鑒了GB 178599-19999及相關(guān)標(biāo)準(zhǔn)準(zhǔn)，采納其中中的身份鑒別別、數(shù)據(jù)完整整性、自主訪訪問控制、強(qiáng)強(qiáng)制訪問控制制、審計(jì)、客客體重用

13、（改改為剩余信息息保護(hù)）標(biāo)記記、可信路徑徑等8個(gè)安全全機(jī)制，并將將這些機(jī)制根根據(jù)各級(jí)的安安全目標(biāo)，擴(kuò)擴(kuò)展到網(wǎng)絡(luò)層層、主機(jī)系統(tǒng)統(tǒng)層、應(yīng)用層層和數(shù)據(jù)層，基基本要求管管理部分充分分借鑒了ISSO/IECC 177999:20005等國際上上流行的信息息安全管理方方面的標(biāo)準(zhǔn)。根根據(jù)現(xiàn)有技術(shù)術(shù)的發(fā)展水平平，基本要要求提出和和規(guī)定了不同同安全保護(hù)等等級(jí)信息系統(tǒng)統(tǒng)的最低保護(hù)護(hù)要求。行業(yè)業(yè)主管部門可可以依據(jù)基基本要求，結(jié)結(jié)合行業(yè)特點(diǎn)點(diǎn)和信息系統(tǒng)統(tǒng)實(shí)際出臺(tái)行行業(yè)細(xì)則，行行業(yè)細(xì)則的要要求應(yīng)不低于于基本要求求。GB/T222240-20008信息系統(tǒng)安安全等級(jí)保護(hù)護(hù)定級(jí)指南（以下簡稱稱定級(jí)指南南）為信息息系統(tǒng)運(yùn)營使

14、使用單位確定定信息系統(tǒng)安安全保護(hù)等級(jí)級(jí)的工作提供供指導(dǎo)，行業(yè)業(yè)主管部門可可以依據(jù)定定級(jí)指南，結(jié)結(jié)合行業(yè)特點(diǎn)點(diǎn)和信息系統(tǒng)統(tǒng)實(shí)際出臺(tái)行行業(yè)定級(jí)細(xì)則則，保證行業(yè)業(yè)內(nèi)信息系統(tǒng)統(tǒng)在不同地區(qū)區(qū)等級(jí)的一致致性，以指導(dǎo)導(dǎo)本行業(yè)信息息系統(tǒng)定級(jí)工工作的開展。等級(jí)測評(píng)是評(píng)價(jià)價(jià)信息系統(tǒng)安安全保護(hù)狀況況的重要方法法，也是等級(jí)級(jí)保護(hù)工作的的重要環(huán)節(jié)之之一，測評(píng)結(jié)結(jié)果可作為向向監(jiān)管機(jī)構(gòu)提提交的等級(jí)測測評(píng)報(bào)告。信信息系統(tǒng)安全全等級(jí)保護(hù)測測評(píng)要求為為等級(jí)測評(píng)機(jī)機(jī)構(gòu)開展等級(jí)級(jí)測評(píng)活動(dòng)提提供了測評(píng)方方法和綜合評(píng)評(píng)價(jià)方法。信信息系統(tǒng)安全全等級(jí)保護(hù)測測評(píng)過程指南南對(duì)等級(jí)測測評(píng)活動(dòng)提出出規(guī)范性要求求，以保證測測評(píng)結(jié)論的準(zhǔn)準(zhǔn)確性和可靠靠性

15、。信息系統(tǒng)安全全等級(jí)保護(hù)實(shí)實(shí)施指南是是信息系統(tǒng)安安全等級(jí)保護(hù)護(hù)建設(shè)實(shí)施的的過程控制標(biāo)標(biāo)準(zhǔn)，用于指指導(dǎo)信息系統(tǒng)統(tǒng)運(yùn)營使用單單位了解和掌掌握信息安全全等級(jí)保護(hù)工工作的方法、主主要工作內(nèi)容容以及不同的的角色在不同同階段的作用用。信息系系統(tǒng)等級(jí)保護(hù)護(hù)安全設(shè)計(jì)技技術(shù)要求對(duì)對(duì)信息系統(tǒng)安安全建設(shè)的技技術(shù)設(shè)計(jì)活動(dòng)動(dòng)提供指導(dǎo)，是是實(shí)現(xiàn)基本本要求中技技術(shù)要求的方方法之一。各標(biāo)準(zhǔn)間相互關(guān)關(guān)系如下圖簡簡要說明。信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息系統(tǒng)安全等級(jí)保護(hù)基本要求計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859）信息系統(tǒng)通用安全技術(shù)要求信息系統(tǒng)物理安全技術(shù)要求技術(shù)類其他技術(shù)類標(biāo)準(zhǔn)信息系統(tǒng)安全管理要求信息系統(tǒng)安全工

16、程管理要求其他管理類標(biāo)準(zhǔn)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南信息系統(tǒng)安全等級(jí)保護(hù)基本要求的行業(yè)細(xì)則信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)過程指南信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)要求信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求管理類產(chǎn)品類數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求其他產(chǎn)品類標(biāo)準(zhǔn)信息系統(tǒng)安全等級(jí)保護(hù)行業(yè)定級(jí)細(xì)則操作系統(tǒng)安全技術(shù)要求信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)整改網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求網(wǎng)絡(luò)和終端設(shè)備隔離部件技術(shù)要求安全定級(jí)基線要求狀態(tài)分析方法指導(dǎo)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南圖1 等級(jí)保護(hù)護(hù)標(biāo)準(zhǔn)間相互互關(guān)系安全建設(shè)整改工工作依據(jù)的標(biāo)標(biāo)準(zhǔn)基本要求作作用基本要求是是針對(duì)每個(gè)等等級(jí)的信息系系統(tǒng)提出相應(yīng)應(yīng)安全保護(hù)要要求，“基本”意味著這些些要求是針對(duì)對(duì)該等

17、級(jí)的信信息系統(tǒng)達(dá)到到基本保護(hù)能能力而提出的的，也就是說說，這些要求求的實(shí)現(xiàn)能夠夠保證系統(tǒng)達(dá)達(dá)到相應(yīng)等級(jí)級(jí)的基本保護(hù)護(hù)能力。信息息系統(tǒng)安全建建設(shè)整改應(yīng)以以落實(shí)基本本要求為主主要目標(biāo)。信信息系統(tǒng)運(yùn)營營使用單位應(yīng)應(yīng)根據(jù)信息系系統(tǒng)安全保護(hù)護(hù)等級(jí)選擇基基本要求中中相應(yīng)級(jí)別的的安全保護(hù)要要求作為信息息系統(tǒng)的基本本安全需求。當(dāng)當(dāng)信息系統(tǒng)有有更高安全需需求時(shí)，可參參考基本要要求中較高高級(jí)別保護(hù)要要求或信息息系統(tǒng)通用安安全技術(shù)要求求、信息息系統(tǒng)安全管管理要求等等其他標(biāo)準(zhǔn)。行行業(yè)主管部門門可以結(jié)合行行業(yè)特點(diǎn)和信信息系統(tǒng)實(shí)際際出臺(tái)行業(yè)細(xì)細(xì)則，行業(yè)細(xì)細(xì)則的要求應(yīng)應(yīng)不低于基基本要求。但基本要求提提出的是“要求”，而不是

18、具具體實(shí)施方案案或作業(yè)指導(dǎo)導(dǎo)書，基本本要求給出出了系統(tǒng)每一一保護(hù)方面需需達(dá)到的要求求，至于這種種要求采取何何種方式實(shí)現(xiàn)現(xiàn)，不在基基本要求的的描述范圍內(nèi)內(nèi)。基本要求為為以下工作提提供依據(jù)：為信息系統(tǒng)建設(shè)設(shè)單位和運(yùn)營營、使用單位位的信息系統(tǒng)統(tǒng)建設(shè)和整改改工作提供依依據(jù)；為測評(píng)機(jī)構(gòu)提供供信息系統(tǒng)的的等級(jí)測評(píng)依依據(jù)；為職能監(jiān)管部門門提供監(jiān)督檢檢查依據(jù)?；疽罂蚩蚣芙Y(jié)構(gòu)基本要求在在整體框架結(jié)結(jié)構(gòu)上以三種種分類為支撐撐點(diǎn)，自上而而下分別為：類、控制點(diǎn)點(diǎn)和項(xiàng)。其中中，類表示基基本要求在在整體上大的的分類，其中中技術(shù)部分分分為：物理安安全、網(wǎng)絡(luò)安安全、主機(jī)系系統(tǒng)安全、應(yīng)應(yīng)用安全和數(shù)數(shù)據(jù)安全等55大類，管理理

19、部分分為：安全管理機(jī)機(jī)構(gòu)、安全管管理制度、人人員安全管理理、系統(tǒng)建設(shè)設(shè)管理和系統(tǒng)統(tǒng)運(yùn)維管理等等5大類，一一共分為100大類?？刂浦泣c(diǎn)表示每個(gè)個(gè)大類下的關(guān)關(guān)鍵控制點(diǎn)，如如物理安全大大類中的“物理訪問控控制”作為一個(gè)控控制點(diǎn)。而項(xiàng)項(xiàng)則是控制點(diǎn)點(diǎn)下的具體要要求項(xiàng)，如“機(jī)房出入應(yīng)應(yīng)有專人負(fù)責(zé)責(zé)，進(jìn)入的人人員登記在案案。”具體框架結(jié)構(gòu)如如圖所示：第三級(jí)基本要求第三級(jí)基本要求物理安全網(wǎng)絡(luò)安全主機(jī)系統(tǒng)安全應(yīng)用安全第一級(jí)基本要求第二級(jí)基本要求第四級(jí)基本要求第五級(jí)基本要求數(shù)據(jù)安全及備份恢復(fù)技術(shù)要求管理要求安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理圖2 基本要要求的框架架結(jié)構(gòu) 安全保護(hù)能力力對(duì)信

20、息系統(tǒng)采取取安全措施是是為了使信息息系統(tǒng)具備一一定的安全保保護(hù)能力，這這種安全保護(hù)護(hù)能力主要表表現(xiàn)為能夠應(yīng)應(yīng)對(duì)威脅的能能力，稱為對(duì)對(duì)抗能力。但但在某些情況況下，信息系系統(tǒng)無法阻擋擋威脅對(duì)自身身的破壞時(shí)，如如果信息系統(tǒng)統(tǒng)具有很好的的恢復(fù)能力，那那么即使遭到到破壞，也能能在很短的時(shí)時(shí)間內(nèi)恢復(fù)系系統(tǒng)原有的狀狀態(tài)。能夠在在一定時(shí)間內(nèi)內(nèi)恢復(fù)系統(tǒng)原原有狀態(tài)的能能力構(gòu)成了信信息系統(tǒng)的另另一種安全保保護(hù)能力恢復(fù)能力。對(duì)對(duì)抗能力和恢恢復(fù)能力共同同構(gòu)成了信息息系統(tǒng)的安全全保護(hù)能力。將“能力”分級(jí)級(jí)，是基于系系統(tǒng)的保護(hù)對(duì)對(duì)象不同，其其重要程度也也不相同，重重要程度決定定了系統(tǒng)所具具有的能力也也就有所不同同。一般來說

21、說，信息系統(tǒng)統(tǒng)越重要，應(yīng)應(yīng)具有的保護(hù)護(hù)能力就越高高。因?yàn)橄到y(tǒng)統(tǒng)越重要，其其所伴隨的遭遭到破壞的可可能性越大，遭遭到破壞后的的后果越嚴(yán)重重，因此需要要提高相應(yīng)的的安全保護(hù)能能力。根據(jù)不同級(jí)別信信息系統(tǒng)的重重要程度，提提出不同強(qiáng)度度的對(duì)抗能力力和恢復(fù)能力力，將這些能能力細(xì)化成安安全目標(biāo)，而而基本要求就就是為滿足這這些安全目標(biāo)標(biāo)而提出的安安全保護(hù)要求求。下圖給出了不同同等級(jí)信息系系統(tǒng)的安全保保護(hù)能力、安安全目標(biāo)與安安全要求之間間映射關(guān)系。一級(jí)信息系統(tǒng)一級(jí)信息系統(tǒng)對(duì)抗能力1恢復(fù)能力1第1級(jí)安全目標(biāo)第1級(jí)基本要求二級(jí)信息系統(tǒng)對(duì)抗能力2恢復(fù)能力2第2級(jí)安全目標(biāo)第2級(jí)基本要求三級(jí)信息系統(tǒng)對(duì)抗能力3恢復(fù)能力3

22、第3級(jí)安全目標(biāo)第3級(jí)基本要求四級(jí)信息系統(tǒng)對(duì)抗能力4恢復(fù)能力4第4級(jí)安全目標(biāo)第4級(jí)基本要求圖3 基本要要求的描述述模型不同等級(jí)信息系系統(tǒng)所具有的的保護(hù)能力如如下：第一級(jí)信息系統(tǒng)統(tǒng)：經(jīng)過安全全建設(shè)整改，信信息系統(tǒng)具有有抵御一般性性攻擊的能力力，防范常見見計(jì)算機(jī)病毒毒和惡意代碼碼危害的能力力；系統(tǒng)遭到到損害后，具具有恢復(fù)系統(tǒng)統(tǒng)主要功能的的能力。第二級(jí)信息系統(tǒng)統(tǒng)：經(jīng)過安全全建設(shè)整改，信信息系統(tǒng)具有有抵御小規(guī)模模、較弱強(qiáng)度度惡意攻擊的的能力，抵抗抗一般的自然然災(zāi)害的能力力，防范一般般性計(jì)算機(jī)病病毒和惡意代代碼危害的能能力；具有檢檢測常見的攻攻擊行為，并并對(duì)安全事件件進(jìn)行記錄的的能力；系統(tǒng)統(tǒng)遭到損害后后，

23、具有恢復(fù)復(fù)系統(tǒng)正常運(yùn)運(yùn)行狀態(tài)的能能力。第三級(jí)信息系統(tǒng)統(tǒng)：經(jīng)過安全全建設(shè)整改，信信息系統(tǒng)在統(tǒng)統(tǒng)一的安全保保護(hù)策略下具具有抵御大規(guī)規(guī)模、較強(qiáng)惡惡意攻擊的能能力，抵抗較較為嚴(yán)重的自自然災(zāi)害的能能力，防范計(jì)計(jì)算機(jī)病毒和和惡意代碼危危害的能力；具有檢測、發(fā)發(fā)現(xiàn)、報(bào)警、記記錄入侵行為為的能力；具具有對(duì)安全事事件進(jìn)行響應(yīng)應(yīng)處置，并能能夠追蹤安全全責(zé)任的能力力；在系統(tǒng)遭遭到損害后，具具有能夠較快快恢復(fù)正常運(yùn)運(yùn)行狀態(tài)的能能力；對(duì)于服服務(wù)保障性要要求高的系統(tǒng)統(tǒng)，應(yīng)能快速速恢復(fù)正常運(yùn)運(yùn)行狀態(tài)；具具有對(duì)系統(tǒng)資資源、用戶、安安全機(jī)制等進(jìn)進(jìn)行集中控管管的能力。第四級(jí)信息系統(tǒng)統(tǒng)：經(jīng)過安全全建設(shè)整改，信信息系統(tǒng)在統(tǒng)統(tǒng)一的安全

24、保保護(hù)策略下具具有抵御敵對(duì)對(duì)勢(shì)力有組織織的大規(guī)模攻攻擊的能力，抵抵抗嚴(yán)重的自自然災(zāi)害的能能力，防范計(jì)計(jì)算機(jī)病毒和和惡意代碼危危害的能力；具有檢測、發(fā)發(fā)現(xiàn)、報(bào)警、記記錄入侵行為為的能力；具具有對(duì)安全事事件進(jìn)行快速速響應(yīng)處置，并并能夠追蹤安安全責(zé)任的能能力；在系統(tǒng)統(tǒng)遭到損害后后，具有能夠夠較快恢復(fù)正正常運(yùn)行狀態(tài)態(tài)的能力；對(duì)對(duì)于服務(wù)保障障性要求高的的系統(tǒng)，應(yīng)能能立即恢復(fù)正正常運(yùn)行狀態(tài)態(tài)；具有對(duì)系系統(tǒng)資源、用用戶、安全機(jī)機(jī)制等進(jìn)行集集中控管的能能力?；疽蟮牡倪x擇和使用用說明安全要求從整體體上分為技術(shù)術(shù)和管理兩大大類，其中，技技術(shù)類安全要要求按其保護(hù)護(hù)的側(cè)重點(diǎn)不不同，將其下下的控制點(diǎn)分分為三類：業(yè)務(wù)

25、信息安全全類（S類）關(guān)注的是保護(hù)數(shù)據(jù)在存儲(chǔ)、傳輸、處理過程中不被泄漏、破壞和免受未授權(quán)的修改。如，訪問控制，該該控制點(diǎn)主要要關(guān)注的是防防止未授權(quán)的的訪問系統(tǒng)，進(jìn)進(jìn)而造成數(shù)據(jù)據(jù)的修改或泄泄漏。至于對(duì)對(duì)保證業(yè)務(wù)的的正常連續(xù)運(yùn)運(yùn)行并沒有直直接的影響。系統(tǒng)服務(wù)安全全類（A類）關(guān)注的是保護(hù)系統(tǒng)連續(xù)正常的運(yùn)行，避免因?qū)ο到y(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用。如，資源控制，該該控制點(diǎn)很好好的體現(xiàn)了對(duì)對(duì)業(yè)務(wù)正常運(yùn)運(yùn)行的保護(hù)。通通過對(duì)資源的的使用限制、監(jiān)監(jiān)視和預(yù)警等等控制，保證證了重要業(yè)務(wù)務(wù)的正常運(yùn)行行。通用安全保護(hù)護(hù)類（G類）既關(guān)注保護(hù)業(yè)務(wù)信息的安全性，同時(shí)也關(guān)注保護(hù)系統(tǒng)的連續(xù)可用性。大多數(shù)技術(shù)類安安全要求都

26、屬屬于此類，保保護(hù)的重點(diǎn)既既是為了保證證業(yè)務(wù)能夠正正常運(yùn)行，同同時(shí)數(shù)據(jù)要安安全。如，物物理訪問控制制，該控制點(diǎn)點(diǎn)主要是防止止非授權(quán)人員員物理訪問系系統(tǒng)主要工作作環(huán)境，由于于進(jìn)入工作環(huán)環(huán)境可能導(dǎo)致致的后果既可可能包括系統(tǒng)統(tǒng)無法正常運(yùn)運(yùn)行（如，損損壞某臺(tái)重要要服務(wù)器），也也可能竊取某某些重要數(shù)據(jù)據(jù)。因此，它它保護(hù)的重點(diǎn)點(diǎn)二者兼而有有之。因此，在使用基基本要求時(shí)時(shí)，應(yīng)該從信信息系統(tǒng)的安安全關(guān)注點(diǎn)出出發(fā)，而信息息系統(tǒng)的安全全關(guān)注點(diǎn)可以以從信息系統(tǒng)統(tǒng)的定級(jí)結(jié)果果中得到。有有了定級(jí)結(jié)果果，就可以選擇和和使用基本安安全要求。舉例來說，某信信息系統(tǒng)定級(jí)級(jí)結(jié)果為三級(jí)級(jí)S1A3G3 ，在選擇和和使用基本安安全要求

27、時(shí)應(yīng)應(yīng)選擇三級(jí)管管理要求和SS1A3G3的技術(shù)術(shù)要求，可以以分為以下過過程：1、選擇基本本要求中的的第7章第三三級(jí)基本要求求，包括管理理要求和技術(shù)術(shù)要求；2、根據(jù)定級(jí)結(jié)結(jié)果S1A3G3進(jìn)行調(diào)調(diào)整。信息系系統(tǒng)的業(yè)務(wù)信信息安全保護(hù)護(hù)等級(jí)為1級(jí)級(jí)，系統(tǒng)服務(wù)務(wù)安全保護(hù)等等級(jí)為3級(jí)，因因此，將第三三級(jí)技術(shù)要求求中的S類要要求調(diào)整為第第一級(jí)基本要要求中的S類類要求，第11步驟中已選選擇的A類和和G類基本要要求保持不變變；3、根據(jù)行業(yè)要要求或系統(tǒng)自自身特點(diǎn)，分分析需要增強(qiáng)強(qiáng)的安全保護(hù)護(hù)能力，需要要增強(qiáng)業(yè)務(wù)信信息安全保護(hù)護(hù)能力的從22、3、4級(jí)級(jí)的S類基本本要求中選擇擇，需要增強(qiáng)強(qiáng)系統(tǒng)服務(wù)安安全保護(hù)能力力的從

28、4級(jí)的的A類基本要要求中選擇，整整體需要增強(qiáng)強(qiáng)的，則從44級(jí)G類基本本要求中選擇擇。在現(xiàn)有技技術(shù)條件下，基基本要求中的的某些要求可可能無法實(shí)現(xiàn)現(xiàn)，如“對(duì)信息資源源設(shè)置敏感標(biāo)標(biāo)記”，信息系統(tǒng)統(tǒng)運(yùn)營、使用用單位可以對(duì)對(duì)基本要求進(jìn)進(jìn)行調(diào)整，但但是不能降低低整體安全保保護(hù)能力。此外，在為信息息系統(tǒng)選擇和和使用基本要要求時(shí)，出發(fā)發(fā)點(diǎn)是保證信信息系統(tǒng)具有有相應(yīng)等級(jí)的的基本安全保保護(hù)能力。但但用戶在進(jìn)行行信息系統(tǒng)安安全建設(shè)整改改時(shí)，可以在在基本要求求中的各級(jí)級(jí)要求基礎(chǔ)上上，參考其他他標(biāo)準(zhǔn)、行業(yè)業(yè)要求和系統(tǒng)統(tǒng)實(shí)際，提出出特殊安全要要求，開展安全建建設(shè)整改。 基本要求給給出了各級(jí)信信息系統(tǒng)每一一保護(hù)方面需需達(dá)到

29、的要求求，但不是具具體的安全建建設(shè)整改方案案或作業(yè)指導(dǎo)導(dǎo)書，實(shí)現(xiàn)基基本要求的措措施或方式并并不局限于基基本要求給給出的內(nèi)容，要要結(jié)合系統(tǒng)自自身特點(diǎn)綜合合考慮采取的的措施來達(dá)到到基本要求提提出的保護(hù)能能力?；疽笾兄胁话踩O(shè)計(jì)和工程程實(shí)施等內(nèi)容容，因此，在在系統(tǒng)安全建建設(shè)整改中，可可以參照信信息系統(tǒng)安全全等級(jí)保護(hù)實(shí)實(shí)施指南、信信息系統(tǒng)等級(jí)級(jí)保護(hù)安全設(shè)設(shè)計(jì)技術(shù)要求求和信息息系統(tǒng)安全工工程管理要求求進(jìn)行?；疽缶C綜合了信息息系統(tǒng)物理安安全技術(shù)要求求、信息息系統(tǒng)通用安安全技術(shù)要求求和信息息系統(tǒng)安全管管理要求的的有關(guān)內(nèi)容，在在進(jìn)行系統(tǒng)安安全建設(shè)整改改方案設(shè)計(jì)時(shí)時(shí)可進(jìn)一步參參考后三個(gè)標(biāo)標(biāo)準(zhǔn)。信息

30、系統(tǒng)運(yùn)營使使用單位在根根據(jù)基本要要求進(jìn)行安安全建設(shè)整改改方案設(shè)計(jì)時(shí)時(shí)，要按照整整體安全的原原則，綜合考考慮安全保護(hù)護(hù)措施，建立立并完善系統(tǒng)統(tǒng)安全保障體體系，提高系系統(tǒng)的整體安安全防護(hù)能力力。安全管理建設(shè)整整改工作的內(nèi)內(nèi)容和方法按照國家有關(guān)規(guī)規(guī)定，依據(jù)信信息系統(tǒng)安全全等級(jí)保護(hù)基基本要求，參參照信息系系統(tǒng)安全管理理要求等標(biāo)標(biāo)準(zhǔn)規(guī)范要求求，開展信息息系統(tǒng)安全管管理建設(shè)整改改工作（工作作流程見圖44）。明確主管領(lǐng)導(dǎo)、落實(shí)責(zé)任部門明確主管領(lǐng)導(dǎo)、落實(shí)責(zé)任部門落實(shí)安全崗位和人員信息系統(tǒng)安全管理現(xiàn)狀分析掛項(xiàng)目實(shí)施方案詳細(xì)設(shè)計(jì)確定安全管理策略、制定安全管理制度安全自查和調(diào)整系統(tǒng)建設(shè)管理落實(shí)安全管理措施人員安全管

31、理環(huán)境和資產(chǎn)管理設(shè)備和介質(zhì)管理日常運(yùn)行維護(hù)集中安全管理事件處置和應(yīng)急響應(yīng)災(zāi)難備份安全監(jiān)測。系統(tǒng)運(yùn)維管理圖4：信息系統(tǒng)統(tǒng)安全管理建建設(shè)整改工作作流程圖4中的安全管管理措施是按按照一般工作作順序排列的的，因此與基基本要求安安全管理要求求部分的分類類層次有所不不同，但內(nèi)容容是一致的。落實(shí)信息安全責(zé)責(zé)任制信息系統(tǒng)的運(yùn)營營使用單位可可以建立統(tǒng)一一的信息安全全領(lǐng)導(dǎo)機(jī)構(gòu)對(duì)對(duì)本單位信息息系統(tǒng)進(jìn)行決決策和管理，明明確信息安全全的主管領(lǐng)導(dǎo)導(dǎo)，落實(shí)安全全管理責(zé)任部部門。如果單單位內(nèi)不同信信息系統(tǒng)由不不同的部門負(fù)負(fù)責(zé)運(yùn)行和維維護(hù)，各信息息系統(tǒng)應(yīng)分別別設(shè)立運(yùn)行維維護(hù)崗位并建建立相關(guān)的人人員管理制度度，明確每個(gè)個(gè)崗位和人

32、員員的職責(zé)與任任務(wù)。落實(shí)安全責(zé)任制制的具體措施施還應(yīng)參照?qǐng)?zhí)執(zhí)行相關(guān)管理理規(guī)定，例如如在黨政機(jī)關(guān)關(guān)信息系統(tǒng)應(yīng)應(yīng)執(zhí)行關(guān)于于加強(qiáng)黨政機(jī)機(jī)關(guān)計(jì)算機(jī)信信息系統(tǒng)安全全和保密管理理的若干規(guī)定定，其中要要求“各級(jí)應(yīng)當(dāng)明明確一名主要要領(lǐng)導(dǎo)負(fù)責(zé)計(jì)計(jì)算機(jī)信息系系統(tǒng)安全和保保密工作，指指定一個(gè)工作作機(jī)構(gòu)具體負(fù)負(fù)責(zé)計(jì)算機(jī)信信息系統(tǒng)安全全和保密綜合合管理。各部部門內(nèi)設(shè)機(jī)構(gòu)構(gòu)應(yīng)當(dāng)指定一一名信息安全全保密員”。信息系統(tǒng)安全管管理現(xiàn)狀分析析在開展信息系統(tǒng)統(tǒng)安全管理建建設(shè)整改之前前，通過開展展信息系統(tǒng)安安全管理現(xiàn)狀狀分析，查找找信息系統(tǒng)安安全管理建設(shè)設(shè)整改需要解解決的問題，明明確信息系統(tǒng)統(tǒng)安全管理建建設(shè)整改的需需求?？蓞⒖伎家韵?/p>

33、步驟進(jìn)進(jìn)行：（一）分析信息息系統(tǒng)現(xiàn)有安安全管理體系系了解信息系統(tǒng)的的安全組織管管理架構(gòu)、管管理策略，安安全管理部門門設(shè)置情況，安安全崗位和人人員情況，安安全管理制度度的制定和落落實(shí)情況等，掌掌握信息系統(tǒng)統(tǒng)現(xiàn)有安全管管理體系現(xiàn)狀狀。（二）分析信息息系統(tǒng)安全管管理差距在開展信息系統(tǒng)統(tǒng)安全管理建建設(shè)整改之前前，采取對(duì)照照檢查、風(fēng)險(xiǎn)險(xiǎn)評(píng)估、等級(jí)級(jí)測評(píng)等方法法，分析判斷斷目前所采取取的安全管理理措施與等級(jí)級(jí)保護(hù)標(biāo)準(zhǔn)要要求之間的差差距，分析系系統(tǒng)已發(fā)生的的事件或事故故，分析安全全管理方面存存在的問題，形形成安全管理理建設(shè)整改的的需求。開展信息系統(tǒng)安安全管理差距距分析工作，主主要依據(jù)基基本要求、信信息系統(tǒng)安

34、全全等級(jí)保護(hù)測測評(píng)要求和和信息系統(tǒng)統(tǒng)安全等級(jí)保保護(hù)測評(píng)過程程指南。（三）論證和確確定安全管理理需求對(duì)安全管理建設(shè)設(shè)整改需求進(jìn)進(jìn)行評(píng)審論證證，該項(xiàng)工作作可與安全技技術(shù)需求論證證工作一并進(jìn)進(jìn)行。確定安全管理策策略，制定安安全管理制度度根據(jù)安全管理需需求，確定安安全管理目標(biāo)標(biāo)和安全策略略，針對(duì)信息息系統(tǒng)的各類類管理活動(dòng)，制制定人員安全全管理制度，明明確人員錄用用、離崗、考考核、教育培培訓(xùn)等管理內(nèi)內(nèi)容；制定系系統(tǒng)建設(shè)管理理制度，明確確系統(tǒng)定級(jí)備備案、方案設(shè)設(shè)計(jì)、產(chǎn)品采采購使用、密密碼使用、軟軟件開發(fā)、工工程實(shí)施、驗(yàn)驗(yàn)收交付、等等級(jí)測評(píng)、安安全服務(wù)等管管理內(nèi)容；制制定系統(tǒng)運(yùn)維維管理制度，明明確機(jī)房環(huán)境境

35、安全、存儲(chǔ)儲(chǔ)介質(zhì)安全、設(shè)設(shè)備設(shè)施安全全、安全監(jiān)控控、網(wǎng)絡(luò)安全全、系統(tǒng)安全全、惡意代碼碼防范、密碼碼保護(hù)、備份份與恢復(fù)、事事件處置、應(yīng)應(yīng)急預(yù)案等管管理內(nèi)容；制制定定期檢查查制度，明確確檢查的內(nèi)容容、方式、要要求等，檢查查各項(xiàng)制度、措措施的落實(shí)情情況，并不斷斷完善。規(guī)范范安全管理人人員或操作人人員的操作規(guī)規(guī)程等，形成成安全管理體體系（如圖55所示）。安全管理體系安全管理體系安全管理目標(biāo)和安全策略各類安全管理制度各類安全操作規(guī)程各類操作過程記錄表格圖5 安全管理理體系安全管理體系規(guī)規(guī)劃的核心思思想是調(diào)整原原有管理模式式和管理策略略，既從全局局高度考慮為為整個(gè)信息系系統(tǒng)制定安全全管理目標(biāo)和和統(tǒng)一的安全

36、全管理策略，又又要從每個(gè)定定級(jí)系統(tǒng)的實(shí)實(shí)際等級(jí)、實(shí)實(shí)際需求出發(fā)發(fā)，選擇和調(diào)調(diào)整具體的安安全管理措施施，最后形成成統(tǒng)一的系統(tǒng)統(tǒng)整體安全管管理體系。落實(shí)安全管理措措施人員安全管理人員安全管理主主要包括人員員錄用、離崗崗、考核、教教育培訓(xùn)等內(nèi)內(nèi)容。一般單位都有統(tǒng)統(tǒng)一的人事管管理部門負(fù)責(zé)責(zé)人員管理，這這里的人員安安全管理主要要指對(duì)關(guān)鍵崗崗位人員進(jìn)行行的以安全為為核心的管理理，例如對(duì)關(guān)關(guān)鍵崗位的人人員采取在錄錄用或上崗前前進(jìn)行全面、嚴(yán)嚴(yán)格的安全審審查和技能考考核，與關(guān)鍵鍵崗位人員簽簽署保密協(xié)議議，對(duì)離崗人人員撤銷系統(tǒng)統(tǒng)帳戶和相關(guān)關(guān)權(quán)限等措施施。只有注重對(duì)安全全管理人員的的培養(yǎng)，提高高其安全防范范意識(shí)，才

37、能能做到安全有有效的防范，因因此需要對(duì)各各類人員進(jìn)行行安全意識(shí)教教育、崗位技技能培訓(xùn)和相相關(guān)安全技術(shù)術(shù)培訓(xùn)。培訓(xùn)訓(xùn)的內(nèi)容包括括單位的信息息安全方針、信信息安全方面面的基礎(chǔ)知識(shí)識(shí)、安全技術(shù)術(shù)、安全標(biāo)準(zhǔn)準(zhǔn)、崗位操作作規(guī)程、最新新的工作流程程、相關(guān)的安安全責(zé)任要求求、法律責(zé)任任和懲戒措施施等。具體依據(jù)標(biāo)準(zhǔn)基基本要求中中人員安全管管理，同時(shí)可可以參照信信息系統(tǒng)安全全管理要求等等。系統(tǒng)運(yùn)維管理1、環(huán)境和資產(chǎn)產(chǎn)安全管理環(huán)境包括計(jì)算機(jī)機(jī)、網(wǎng)絡(luò)機(jī)房房環(huán)境以及設(shè)設(shè)置有網(wǎng)絡(luò)終終端的辦公環(huán)環(huán)境，明確環(huán)環(huán)境安全管理理的責(zé)任部門門或責(zé)任人，加加強(qiáng)對(duì)人員出出入、來訪人人員的控制，對(duì)對(duì)有關(guān)物理訪訪問、物品進(jìn)進(jìn)出和環(huán)境安安全

38、等方面作作出規(guī)定。對(duì)對(duì)重要區(qū)域設(shè)設(shè)置門禁控制制手段，或使使用視頻監(jiān)控控等措施。資產(chǎn)包括介質(zhì)、設(shè)設(shè)備、設(shè)施、數(shù)數(shù)據(jù)、軟件、文文檔等，資產(chǎn)產(chǎn)管理不等同同于設(shè)備物資資管理，而是是從安全和信信息系統(tǒng)角度度對(duì)資產(chǎn)進(jìn)行行管理，將資資產(chǎn)作為信息息系統(tǒng)的組成成部分，按其其在信息系統(tǒng)統(tǒng)中的作用進(jìn)進(jìn)行管理。應(yīng)應(yīng)明確資產(chǎn)安安全管理的責(zé)責(zé)任部門或責(zé)責(zé)任人，對(duì)資資產(chǎn)進(jìn)行分類類、標(biāo)識(shí)，編編制與信息系系統(tǒng)相關(guān)的軟軟件資產(chǎn)、硬硬件資產(chǎn)等資資產(chǎn)清單。具體依據(jù)標(biāo)準(zhǔn)基基本要求中中系統(tǒng)運(yùn)維管管理，同時(shí)可可以參照信信息系統(tǒng)安全全管理要求等等。2、設(shè)備和介質(zhì)質(zhì)安全管理明確配套設(shè)施、軟軟硬件設(shè)備管管理、維護(hù)的的責(zé)任部門或或責(zé)任人，對(duì)對(duì)信息

39、系統(tǒng)的的各種軟硬件件設(shè)備采購、發(fā)發(fā)放、領(lǐng)用、維維護(hù)和維修等等過程進(jìn)行控控制，對(duì)介質(zhì)質(zhì)的存放、使使用、維護(hù)和和銷毀等方面面作出規(guī)定，加加強(qiáng)對(duì)涉外維維修、敏感數(shù)數(shù)據(jù)銷毀等過過程的監(jiān)督控控制。具體依據(jù)標(biāo)準(zhǔn)基基本要求中中系統(tǒng)運(yùn)維管管理，同時(shí)可可以參照信信息系統(tǒng)安全全管理要求等等。3、日常運(yùn)行維維護(hù)明確網(wǎng)絡(luò)、系統(tǒng)統(tǒng)日常運(yùn)行維維護(hù)的責(zé)任部部門或責(zé)任人人，對(duì)運(yùn)行管管理中的日常常操作、賬號(hào)號(hào)管理、安全全配置、日志志管理、補(bǔ)丁丁升級(jí)、口令令更新等過程程進(jìn)行控制和和管理；制訂訂設(shè)備操作管管理、業(yè)務(wù)應(yīng)應(yīng)用操作管理理、變更控制制和重用管理理、信息交換換管理相應(yīng)的的管理制度；制定與信息息系統(tǒng)安全管管理相配套的的規(guī)范和操

40、作作規(guī)程并落實(shí)實(shí)執(zhí)行；正確確實(shí)施為信息息系統(tǒng)可靠運(yùn)運(yùn)行而采取的的各種檢測、監(jiān)監(jiān)控、審計(jì)、分分析、備份及及容錯(cuò)等方法法和措施，對(duì)對(duì)運(yùn)行安全進(jìn)進(jìn)行監(jiān)督檢查查。具體依據(jù)標(biāo)準(zhǔn)基基本要求中中系統(tǒng)運(yùn)維管管理，同時(shí)可可以參照信信息系統(tǒng)安全全管理要求等等。4、集中安全管管理第三級(jí)以上信息息系統(tǒng)應(yīng)按照照統(tǒng)一的安全全策略、安全全管理要求，統(tǒng)統(tǒng)一管理信息息系統(tǒng)的安全全運(yùn)行，進(jìn)行行安全機(jī)制的的配置與管理理，對(duì)設(shè)備安安全配置、惡惡意代碼、補(bǔ)補(bǔ)丁升級(jí)、安安全審計(jì)等進(jìn)進(jìn)行管理，對(duì)對(duì)與安全有關(guān)關(guān)的信息進(jìn)行行匯集與分析析，對(duì)安全機(jī)機(jī)制進(jìn)行集中中管理。具體依據(jù)標(biāo)準(zhǔn)基基本要求中中系統(tǒng)運(yùn)維管管理，同時(shí)可可以參照信信息系統(tǒng)等級(jí)級(jí)保護(hù)安

41、全設(shè)設(shè)計(jì)技術(shù)要求求和信息息系統(tǒng)安全管管理要求等等。5、事件處置與與應(yīng)急響應(yīng)按照國家有關(guān)標(biāo)標(biāo)準(zhǔn)規(guī)定，確確定信息安全全事件的等級(jí)級(jí)。結(jié)合信息息系統(tǒng)安全保保護(hù)等級(jí)，制制定信息安全全事件分級(jí)應(yīng)應(yīng)急處置預(yù)案案，明確應(yīng)急急處置策略，落落實(shí)應(yīng)急指揮揮部門、執(zhí)行行部門和技術(shù)術(shù)支撐部門，建建立應(yīng)急協(xié)調(diào)調(diào)機(jī)制。落實(shí)實(shí)安全事件報(bào)報(bào)告制度，第第三級(jí)以上信信息系統(tǒng)發(fā)生生較大、重大大、特別重大大安全事件時(shí)時(shí)，運(yùn)營使用用單位按照相相應(yīng)預(yù)案開展展應(yīng)急處置，并并及時(shí)向受理理備案的公安安機(jī)關(guān)報(bào)告。組組織應(yīng)急技術(shù)術(shù)支撐力量和和專家隊(duì)伍，按按照應(yīng)急預(yù)案案定期組織開開展應(yīng)急演練練。具體依據(jù)標(biāo)準(zhǔn)基基本要求中中系統(tǒng)運(yùn)維管管理，同時(shí)可可以參

42、照信信息安全事件件分類分級(jí)指指南和信信息安全事件件管理指南等等。6、災(zāi)難備份要對(duì)第三級(jí)以上上信息系統(tǒng)采采取災(zāi)難備份份措施，防止止重大事故、事事件發(fā)生。識(shí)識(shí)別需要定期期備份的重要要業(yè)務(wù)信息、系系統(tǒng)數(shù)據(jù)及軟軟件系統(tǒng)等，制制定數(shù)據(jù)的備備份策略和恢恢復(fù)策略，建建立備份與恢恢復(fù)管理相關(guān)關(guān)的安全管理理制度。具體依據(jù)標(biāo)準(zhǔn)基基本要求中中系統(tǒng)運(yùn)維管管理和信息息系統(tǒng)災(zāi)難恢恢復(fù)規(guī)范。7、安全監(jiān)測開展信息系統(tǒng)實(shí)實(shí)時(shí)安全監(jiān)測測，實(shí)現(xiàn)對(duì)物物理環(huán)境、通通信線路、主主機(jī)、網(wǎng)絡(luò)設(shè)設(shè)備、用戶行行為和業(yè)務(wù)應(yīng)應(yīng)用等的監(jiān)測測和報(bào)警，及及時(shí)發(fā)現(xiàn)設(shè)備備故障、病毒毒入侵、黑客客攻擊、誤用用和誤操作等等安全事件，以以便及時(shí)對(duì)安安全事件進(jìn)行行響

43、應(yīng)與處置置。具體依據(jù)標(biāo)準(zhǔn)基基本要求中中系統(tǒng)運(yùn)維管管理。8、其他對(duì)系統(tǒng)運(yùn)行維護(hù)護(hù)過程中的其其它活動(dòng)，如如系統(tǒng)變更、密密碼使用等進(jìn)進(jìn)行控制和管管理。按國家家密碼管理部部門的規(guī)定，對(duì)對(duì)信息系統(tǒng)中中密碼算法和和密鑰的使用用進(jìn)行分級(jí)管管理。 系統(tǒng)建設(shè)管理理系統(tǒng)建設(shè)管理的的重點(diǎn)是與系系統(tǒng)建設(shè)活動(dòng)動(dòng)相關(guān)的過程程管理，由于于主要的建設(shè)設(shè)活動(dòng)是由服服務(wù)方，如集集成方、開發(fā)發(fā)方、測評(píng)方方、安全服務(wù)務(wù)方等完成，運(yùn)運(yùn)營使用單位位人員的主要要工作是對(duì)之之進(jìn)行管理，應(yīng)應(yīng)制定系統(tǒng)建建設(shè)相關(guān)的管管理制度，明明確系統(tǒng)定級(jí)級(jí)備案、方案案設(shè)計(jì)、產(chǎn)品品采購使用、軟軟件開發(fā)、工工程實(shí)施、驗(yàn)驗(yàn)收交付、等等級(jí)測評(píng)、安安全服務(wù)等活活動(dòng)的管理

44、責(zé)責(zé)任部門、具具體的管理內(nèi)內(nèi)容和控制方方法，并按照照管理制度落落實(shí)各項(xiàng)管理理措施，完整整保存相關(guān)的的管理記錄和和過程文檔。具體依據(jù)標(biāo)準(zhǔn)基基本要求中中系統(tǒng)建設(shè)管管理。安全自查與調(diào)整整制定安全檢查制制度，明確檢檢查的內(nèi)容、方方式、要求等等，檢查各項(xiàng)項(xiàng)制度、措施施的落實(shí)情況況，并不斷完完善。定期對(duì)對(duì)信息系統(tǒng)安安全狀況進(jìn)行行自查，第三三級(jí)信息系統(tǒng)統(tǒng)每年自查一一次，第四級(jí)級(jí)信息系統(tǒng)每每半年自查一一次。經(jīng)自查查，信息系統(tǒng)統(tǒng)安全狀況未未達(dá)到安全保保護(hù)等級(jí)要求求的，應(yīng)當(dāng)進(jìn)進(jìn)一步開展整整改。具體依據(jù)標(biāo)準(zhǔn)基本要求中安全管理機(jī)構(gòu)，同時(shí)可以參照信息系統(tǒng)安全管理要求等。安全技術(shù)建設(shè)整整改工作的內(nèi)內(nèi)容和方法按照國家有關(guān)規(guī)

45、規(guī)定，依據(jù)基本要求，參照信息系統(tǒng)通用安全技術(shù)要求、信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求等標(biāo)準(zhǔn)規(guī)范要求，開展信息系統(tǒng)安全技術(shù)建設(shè)整改工作（工作流程見圖6）。信息系統(tǒng)安全保護(hù)技術(shù)現(xiàn)狀分析信息系統(tǒng)安全保護(hù)技術(shù)現(xiàn)狀分析開展建設(shè)整改技術(shù)方案詳細(xì)設(shè)計(jì)工程實(shí)施及驗(yàn)收項(xiàng)目實(shí)施方案詳細(xì)設(shè)計(jì)等級(jí)測評(píng)不符合標(biāo)準(zhǔn)要求開展建設(shè)整改技術(shù)方案論證和評(píng)審確定安全策略，開展建設(shè)整改技術(shù)方案總體設(shè)計(jì)通信網(wǎng)絡(luò)安全物理安全.項(xiàng)目實(shí)施方案詳細(xì)設(shè)計(jì)應(yīng)用系統(tǒng)安全區(qū)域邊界安全主機(jī)系統(tǒng)安全備份和恢復(fù)建設(shè)并落實(shí)安全技術(shù)措施圖6：信息系統(tǒng)統(tǒng)安全技術(shù)建建設(shè)整改工作作流程信息系統(tǒng)安全技技術(shù)整改建設(shè)設(shè)的工作流程程包含了一般般信息系統(tǒng)建建設(shè)的普遍流流程，即從

46、設(shè)設(shè)計(jì)、建設(shè)實(shí)實(shí)施到驗(yàn)收測測評(píng)的過程。以以下各節(jié)順序序描述各階段段的工作內(nèi)容容。信息系統(tǒng)安全保保護(hù)技術(shù)現(xiàn)狀狀分析了解掌握信息系系統(tǒng)現(xiàn)狀，分分析信息系統(tǒng)統(tǒng)的安全保護(hù)護(hù)狀況，明確確信息系統(tǒng)安安全技術(shù)建設(shè)設(shè)整改需求，為為安全建設(shè)整整改技術(shù)方案案設(shè)計(jì)提供依依據(jù)。（一）信息系統(tǒng)統(tǒng)現(xiàn)狀分析了解掌握信息系系統(tǒng)的數(shù)量和和等級(jí)、所處處的網(wǎng)絡(luò)區(qū)域域以及信息系系統(tǒng)所承載的的業(yè)務(wù)應(yīng)用情情況，分析信信息系統(tǒng)的邊邊界、構(gòu)成和和相互關(guān)聯(lián)情情況，分析網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)、內(nèi)內(nèi)部區(qū)域、區(qū)區(qū)域邊界以及及軟、硬件資資源等。具體體可參照信信息系統(tǒng)安全全等級(jí)保護(hù)實(shí)實(shí)施指南中中“信息系統(tǒng)分分析”的內(nèi)容。（二）信息系統(tǒng)統(tǒng)安全保護(hù)技技術(shù)現(xiàn)狀分析析在開

47、展信息系統(tǒng)統(tǒng)安全技術(shù)建建設(shè)整改之前前，應(yīng)通過開開展信息系統(tǒng)統(tǒng)安全保護(hù)技技術(shù)現(xiàn)狀分析析，查找信息息系統(tǒng)安全保保護(hù)技術(shù)建設(shè)設(shè)整改需要解解決的問題，明明確信息系統(tǒng)統(tǒng)安全保護(hù)技技術(shù)建設(shè)整改改的需求?？刹扇?duì)照檢查查、風(fēng)險(xiǎn)評(píng)估估、等級(jí)測評(píng)評(píng)等方法，分分析判斷目前前所采取的安安全技術(shù)措施施與等級(jí)保護(hù)護(hù)標(biāo)準(zhǔn)要求之之間的差距，分分析系統(tǒng)已發(fā)發(fā)生的事件或或事故，分析析安全技術(shù)方方面存在的問問題，形成安安全技術(shù)建設(shè)設(shè)整改的基本本安全需求。在在滿足基本要要求基礎(chǔ)上，可可以結(jié)合行業(yè)業(yè)特點(diǎn)和信息息系統(tǒng)安全保保護(hù)的特殊要要求，提出特特殊安全需求求。具體可參照基本要求、信息系系統(tǒng)安全等級(jí)級(jí)保護(hù)測評(píng)要要求和信信息系統(tǒng)安全全等

48、級(jí)保護(hù)測測評(píng)過程指南南等標(biāo)準(zhǔn)。（三）安全需求求論證和確定定安全需求分析工工作完成后，將將信息系統(tǒng)的的安全管理需需求與安全技技術(shù)需求綜合合形成安全需需求報(bào)告。組組織專家對(duì)安安全需求進(jìn)行行評(píng)審論證，形形成評(píng)審論證證意見。信息系統(tǒng)安全技技術(shù)建設(shè)整改改方案設(shè)計(jì)在安全需求分析析的基礎(chǔ)上，開開展信息系統(tǒng)統(tǒng)安全建設(shè)整整改方案設(shè)計(jì)計(jì)，包括總體體設(shè)計(jì)和詳細(xì)細(xì)設(shè)計(jì)，制定定工程預(yù)算和和工程實(shí)施計(jì)計(jì)劃等，為后后續(xù)安全建設(shè)設(shè)整改工程實(shí)實(shí)施提供依據(jù)據(jù)。確定安全技術(shù)策策略，設(shè)計(jì)總總體技術(shù)方案案安全技術(shù)策略是是基于安全需需求分析形成成的綱領(lǐng)性的的安全文件，包包括安全工作作的總體原則則、安全策略略等，用于指指導(dǎo)信息系統(tǒng)統(tǒng)安全技

49、術(shù)體體系和安全管管理體系的構(gòu)構(gòu)建?？傮w原原則應(yīng)該闡明明安全工作的的任務(wù)和總體體目標(biāo)，規(guī)定定信息安全責(zé)責(zé)任機(jī)構(gòu)和職職責(zé)，規(guī)定安安全工作運(yùn)行行模式等。安安全工作策略略應(yīng)說明安全全組織機(jī)構(gòu)設(shè)設(shè)置策略、業(yè)業(yè)務(wù)系統(tǒng)分級(jí)級(jí)策略、數(shù)據(jù)據(jù)信息分級(jí)策策略、子系統(tǒng)統(tǒng)互連策略、信信息流控制策策略等。在進(jìn)行信息系統(tǒng)統(tǒng)安全建設(shè)整整改技術(shù)方案案設(shè)計(jì)時(shí)，以以安全需求為為驅(qū)動(dòng)，采用用的安全技術(shù)術(shù)措施、以及及配套的安全全管理措施等等均應(yīng)滿足信信息系統(tǒng)的基基本安全需求求為目的，缺缺什么補(bǔ)什么么。由于安全全措施不是完完全獨(dú)立存在在的，彼此間間存在互補(bǔ)、增增強(qiáng)的作用，應(yīng)應(yīng)通過結(jié)構(gòu)化化的設(shè)計(jì)形成成有機(jī)的安全全保護(hù)體系，最最大程度發(fā)揮揮

50、安全措施的的保護(hù)能力。當(dāng)當(dāng)信息系統(tǒng)包包含多個(gè)不同同安全保護(hù)等等級(jí)的子系統(tǒng)統(tǒng)時(shí)，各個(gè)子子系統(tǒng)應(yīng)按照照其級(jí)別實(shí)施施保護(hù)，當(dāng)將將多個(gè)級(jí)別的的子系統(tǒng)作為為一個(gè)對(duì)象進(jìn)進(jìn)行保護(hù)時(shí)，應(yīng)應(yīng)按照其中的的最高級(jí)別要要求進(jìn)行保護(hù)護(hù)。在進(jìn)行信息系統(tǒng)統(tǒng)安全建設(shè)整整改技術(shù)方案案設(shè)計(jì)時(shí),可可以采取不同同的技術(shù)思路路，最終達(dá)到到等級(jí)保護(hù)基基本要求。具具體操作時(shí)，既既可以針對(duì)安安全現(xiàn)狀分析析發(fā)現(xiàn)的問題題進(jìn)行加固改改造，缺什么么補(bǔ)什么；也也可以進(jìn)行總總體的安全技技術(shù)設(shè)計(jì)，將將不同區(qū)域、不不同層面的安安全保護(hù)措施施形成有機(jī)的的安全保護(hù)體體系，最大程程度發(fā)揮安全全措施的保護(hù)護(hù)能力。如果需要進(jìn)行總總體安全技術(shù)術(shù)設(shè)計(jì)中，既既可以參照基本

51、要求，從從物理安全、網(wǎng)網(wǎng)絡(luò)安全、主主機(jī)安全、應(yīng)應(yīng)用安全和數(shù)數(shù)據(jù)安全等方方面進(jìn)行設(shè)計(jì)計(jì)。也可以參參考信息系統(tǒng)等等級(jí)保護(hù)安全全設(shè)計(jì)技術(shù)要要求，從安全計(jì)計(jì)算環(huán)境、安安全區(qū)域邊界界、安全通信信網(wǎng)絡(luò)和安全全管理中心等等方面進(jìn)行安安全技術(shù)設(shè)計(jì)計(jì)。具體實(shí)現(xiàn)現(xiàn)時(shí)還需要根根據(jù)局域網(wǎng)之之間的互連情情況設(shè)計(jì)通信信網(wǎng)絡(luò)的安全全保護(hù)技術(shù)措措施；根據(jù)每每個(gè)局域網(wǎng)內(nèi)內(nèi)部子系統(tǒng)的的安全等級(jí)規(guī)規(guī)定局域網(wǎng)內(nèi)內(nèi)部的網(wǎng)絡(luò)區(qū)區(qū)域劃分和子子系統(tǒng)對(duì)應(yīng)規(guī)規(guī)則；根據(jù)每每個(gè)局域網(wǎng)內(nèi)內(nèi)部子系統(tǒng)的的互連情況規(guī)規(guī)定不同安全全等級(jí)子系統(tǒng)統(tǒng)的互連規(guī)則則和子系統(tǒng)之之間邊界保護(hù)護(hù)技術(shù)措施；根據(jù)每個(gè)子子系統(tǒng)的級(jí)別別設(shè)計(jì)子系統(tǒng)統(tǒng)內(nèi)部主機(jī)系系統(tǒng)和應(yīng)用系系統(tǒng)的安全保

52、保護(hù)技術(shù)措施施?？傮w安全技術(shù)設(shè)設(shè)計(jì)不限于上上述兩種方法法，無論采取取什么設(shè)計(jì)方方法，都要以以基本要求為為安全目標(biāo)。圖3 安全技術(shù)體系設(shè)計(jì)實(shí)例數(shù)據(jù)安全設(shè)計(jì)安全技術(shù)方案詳詳細(xì)設(shè)計(jì)圖3 安全技術(shù)體系設(shè)計(jì)實(shí)例數(shù)據(jù)安全設(shè)計(jì)1、物理安全設(shè)設(shè)計(jì)可以從安全技術(shù)術(shù)設(shè)施和安全全技術(shù)措施兩兩方面對(duì)信息息系統(tǒng)所涉及及到的主機(jī)房房、輔助機(jī)房房和辦公環(huán)境境等進(jìn)行物理理安全設(shè)計(jì)，設(shè)設(shè)計(jì)內(nèi)容包括括防震、防雷雷、防火、防防水、防盜竊竊、防破壞、溫溫濕度控制、電電力供應(yīng)、電電磁防護(hù)等方方面。物理安安全設(shè)計(jì)應(yīng)對(duì)對(duì)采用的安全全技術(shù)設(shè)施或或安全技術(shù)措措施的物理部部署、物理尺尺寸、功能指指標(biāo)、性能指指標(biāo)等內(nèi)容提提出具體設(shè)計(jì)計(jì)參數(shù)。對(duì)于于

53、不同安全保保護(hù)等級(jí)子系系統(tǒng)各自獨(dú)立立使用機(jī)房或或獨(dú)立使用某某個(gè)部分（區(qū)區(qū)域）的情況況，其獨(dú)立部部分可根據(jù)不不同安全保護(hù)護(hù)等級(jí)的要求求和需求獨(dú)立立設(shè)計(jì)。對(duì)于于不同安全保保護(hù)等級(jí)子系系統(tǒng)共用機(jī)房房或共用某些些部分（區(qū)域域）的情況，其其共用部分按按照最高原則則進(jìn)行設(shè)計(jì)，即即按照最高級(jí)級(jí)別的信息系系統(tǒng)的要求和和需求進(jìn)行設(shè)設(shè)計(jì)。具體依據(jù)標(biāo)準(zhǔn)基本要求中的物理安全，同時(shí)可以參照信息系統(tǒng)物理安全技術(shù)要求等。2、通信網(wǎng)絡(luò)安安全設(shè)計(jì)對(duì)信息系統(tǒng)所涉涉及的通信網(wǎng)網(wǎng)絡(luò)，包括骨骨干網(wǎng)絡(luò)、城城域網(wǎng)絡(luò)和其其他通信網(wǎng)絡(luò)絡(luò)（租用線路路）等進(jìn)行安安全設(shè)計(jì)，設(shè)設(shè)計(jì)內(nèi)容包括括通信過程數(shù)數(shù)據(jù)完整性、數(shù)數(shù)據(jù)保密性、保保證通信可靠靠性的設(shè)備

54、和和線路冗余、通通信網(wǎng)絡(luò)的網(wǎng)網(wǎng)絡(luò)管理等方方面。通信網(wǎng)絡(luò)安全設(shè)設(shè)計(jì)應(yīng)關(guān)注保保障通信完整整性、保密性性和可靠性所所需采用的安安全技術(shù)機(jī)制制或安全技術(shù)術(shù)措施的設(shè)計(jì)計(jì)，例如如何何借助設(shè)備或或軟件實(shí)現(xiàn)校校驗(yàn)機(jī)制、加加密機(jī)制或冗冗余機(jī)制等。對(duì)對(duì)構(gòu)成通信網(wǎng)網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)設(shè)備、安全設(shè)設(shè)備等的網(wǎng)絡(luò)絡(luò)管理機(jī)制進(jìn)進(jìn)行設(shè)計(jì)，并并對(duì)采用的安安全技術(shù)機(jī)制制或安全技術(shù)術(shù)措施的技術(shù)術(shù)實(shí)現(xiàn)機(jī)制、產(chǎn)產(chǎn)品形態(tài)、具具體部署形式式、功能指標(biāo)標(biāo)、性能指標(biāo)標(biāo)和配置參數(shù)數(shù)等提出具體體設(shè)計(jì)細(xì)節(jié)。對(duì)于不同安全保保護(hù)等級(jí)子系系統(tǒng)各自獨(dú)立立使用通信網(wǎng)網(wǎng)絡(luò)的情況，其其獨(dú)立部分可可根據(jù)不同安安全保護(hù)等級(jí)級(jí)的要求和需需求獨(dú)立設(shè)計(jì)計(jì)；對(duì)于不同同安全保護(hù)等等級(jí)

55、子系統(tǒng)共共用通信網(wǎng)絡(luò)絡(luò)或共用部分分通信網(wǎng)絡(luò)的的情況，其共共用部分按照照最高原則進(jìn)進(jìn)行設(shè)計(jì)，即即按照最高級(jí)級(jí)別的系統(tǒng)的的要求和需求求進(jìn)行設(shè)計(jì)。對(duì)對(duì)于通信網(wǎng)絡(luò)絡(luò)是租用線路路的情況，應(yīng)應(yīng)將通信網(wǎng)絡(luò)絡(luò)的安全保護(hù)護(hù)需求告知服服務(wù)方，由服服務(wù)方提供通通信網(wǎng)絡(luò)安全全保護(hù)所需的的安全技術(shù)機(jī)機(jī)制或安全技技術(shù)措施。具體依據(jù)標(biāo)準(zhǔn)基本要求中“網(wǎng)絡(luò)安全”，同時(shí)可以參照網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求等。3、區(qū)域邊界安安全設(shè)計(jì)對(duì)信息系統(tǒng)所涉涉及的各個(gè)局局域網(wǎng)絡(luò)及局局域網(wǎng)內(nèi)各區(qū)區(qū)域進(jìn)行安全全設(shè)計(jì)，設(shè)計(jì)計(jì)內(nèi)容包括對(duì)對(duì)區(qū)域劃分、區(qū)區(qū)域邊界保護(hù)護(hù)、身份認(rèn)證證、訪問控制制、安全審計(jì)計(jì)、入侵防范范、惡意代碼碼防范和網(wǎng)絡(luò)絡(luò)設(shè)備自身保保護(hù)等方面。區(qū)

56、域邊界安全設(shè)設(shè)計(jì)需要關(guān)注注實(shí)現(xiàn)區(qū)域劃劃分、邊界保保護(hù)、訪問控控制、安全審審計(jì)、入侵防防范、惡意代代碼防范等所所需采用的安安全技術(shù)機(jī)制制或安全技術(shù)術(shù)措施的設(shè)計(jì)計(jì)，例如如何何采用防火墻墻或路由器等等實(shí)現(xiàn)邊界保保護(hù)，如何使使用防火墻或或交換機(jī)等實(shí)實(shí)現(xiàn)區(qū)域劃分分，如何部署署設(shè)備和軟件件實(shí)現(xiàn)入侵防防范、惡意代代碼防范等，應(yīng)應(yīng)設(shè)計(jì)局域網(wǎng)網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)設(shè)備、安全設(shè)設(shè)備等的安全全管理機(jī)制。區(qū)域邊界安全設(shè)設(shè)計(jì)可對(duì)所采采用的安全技技術(shù)機(jī)制或安安全技術(shù)措施施，如防火墻墻、入侵檢測測系統(tǒng)、惡意意代碼防范系系統(tǒng)、安全管管理中心等的的技術(shù)實(shí)現(xiàn)機(jī)機(jī)制、產(chǎn)品形形態(tài)、具體部部署形式、功功能指標(biāo)、性性能指標(biāo)和配配置策略和參參數(shù)等提

57、出具具體設(shè)計(jì)細(xì)節(jié)節(jié)。對(duì)于區(qū)域內(nèi)只有有一個(gè)級(jí)別定定級(jí)系統(tǒng)的情情況，應(yīng)根據(jù)據(jù)其級(jí)別進(jìn)行行區(qū)域邊界設(shè)設(shè)計(jì)；對(duì)于不不同安全保護(hù)護(hù)等級(jí)定級(jí)系系統(tǒng)共存于一一個(gè)區(qū)域邊界界的情況，應(yīng)應(yīng)對(duì)區(qū)域邊界界的安全設(shè)計(jì)計(jì)進(jìn)行整體考考慮?？蓪⒕钟蚓W(wǎng)劃分分成不同的安安全區(qū)域，盡盡量將不同安安全保護(hù)等級(jí)級(jí)定級(jí)系統(tǒng)涉涉及到的設(shè)備備，如服務(wù)器器、工作站等等獨(dú)立劃分在在不同的網(wǎng)絡(luò)絡(luò)安全區(qū)域內(nèi)內(nèi)。不同的網(wǎng)絡(luò)安全全區(qū)域根據(jù)其其中定級(jí)系統(tǒng)統(tǒng)的級(jí)別采用用不同的安全全保護(hù)措施，不不同的網(wǎng)絡(luò)安安全區(qū)域之間間應(yīng)考慮邊界界保護(hù)設(shè)計(jì)，根根據(jù)各個(gè)網(wǎng)絡(luò)絡(luò)安全區(qū)域中中的定級(jí)系統(tǒng)統(tǒng)級(jí)別，考慮慮采用防火墻墻、交換機(jī)或或其他安全技技術(shù)措施實(shí)現(xiàn)現(xiàn)區(qū)域之間的的隔離保

58、護(hù)。在無法將不同安安全保護(hù)等級(jí)級(jí)定級(jí)系統(tǒng)所所涉及的設(shè)備備進(jìn)行劃分時(shí)時(shí)，即不同安安全保護(hù)等級(jí)級(jí)定級(jí)系統(tǒng)共共用大量設(shè)備備（包括服務(wù)務(wù)器、交換機(jī)機(jī)等）時(shí)，對(duì)對(duì)局域網(wǎng)絡(luò)可可采用縱深防防御的思想設(shè)設(shè)計(jì)內(nèi)層和外外層，盡量將將級(jí)別較高的的定級(jí)系統(tǒng)劃劃分在內(nèi)層網(wǎng)網(wǎng)絡(luò)安全區(qū)域域內(nèi)，外層網(wǎng)網(wǎng)絡(luò)安全區(qū)域域是級(jí)別較低低的定級(jí)系統(tǒng)統(tǒng)。外層和內(nèi)層網(wǎng)絡(luò)絡(luò)安全區(qū)域，各各自根據(jù)其中中定級(jí)系統(tǒng)的的級(jí)別，按照照最高原則進(jìn)進(jìn)行設(shè)計(jì)。外外層網(wǎng)絡(luò)安全全區(qū)域應(yīng)根據(jù)據(jù)其中定級(jí)系系統(tǒng)的最高級(jí)級(jí)別，設(shè)計(jì)對(duì)對(duì)外界的邊界界防護(hù)措施；內(nèi)層網(wǎng)絡(luò)安安全區(qū)域應(yīng)根根據(jù)其中定級(jí)級(jí)系統(tǒng)的最高高級(jí)別，設(shè)計(jì)計(jì)對(duì)外層網(wǎng)絡(luò)絡(luò)安全區(qū)域的的邊界防護(hù)措措施；應(yīng)確保保外界對(duì)內(nèi)層

59、層網(wǎng)絡(luò)安全區(qū)區(qū)域的訪問通通過外層網(wǎng)絡(luò)絡(luò)區(qū)域的過渡渡。具體依據(jù)標(biāo)準(zhǔn)基本要求中的“網(wǎng)絡(luò)安全”，同時(shí)可以參照信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求、網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求等。4、主機(jī)系統(tǒng)安安全設(shè)計(jì)對(duì)信息系統(tǒng)涉及及到的服務(wù)器器和工作站進(jìn)進(jìn)行主機(jī)系統(tǒng)統(tǒng)安全設(shè)計(jì)，內(nèi)內(nèi)容包括操作作系統(tǒng)或數(shù)據(jù)據(jù)庫管理系統(tǒng)統(tǒng)的選擇、安安裝和安全配配置，主機(jī)入入侵防范、惡惡意代碼防范范、資源使用用情況監(jiān)控等等。其中，安安全配置細(xì)分分為身份鑒別別、訪問控制制、安全審計(jì)計(jì)等方面的配配置內(nèi)容。主機(jī)系統(tǒng)安全設(shè)設(shè)計(jì)需要明確確規(guī)定操作系系統(tǒng)與數(shù)據(jù)庫庫管理系統(tǒng)的的名稱與版本本、應(yīng)安裝的的最小化組件件與必要補(bǔ)丁丁、基本的安安全配置規(guī)范范，以及主機(jī)機(jī)層面

60、實(shí)現(xiàn)惡惡意代碼防范范、入侵檢測測以及資源監(jiān)監(jiān)控等所使用用的產(chǎn)品形態(tài)態(tài)以及配置形形式。依據(jù)相關(guān)標(biāo)準(zhǔn)的的要求對(duì)主機(jī)機(jī)設(shè)備的操作作系統(tǒng)和數(shù)據(jù)據(jù)庫管理系統(tǒng)統(tǒng)進(jìn)行產(chǎn)品選選型，避免出出現(xiàn)由于產(chǎn)品品本身不具有有/不支持某某項(xiàng)必要的安安全功能導(dǎo)致致信息系統(tǒng)在在主機(jī)層面無無法滿足安全全需求。合理的安全配置置是確保主機(jī)機(jī)系統(tǒng)具備的的安全功能在在業(yè)務(wù)環(huán)境中中充分、有效效對(duì)抗威脅的的保證，其主主要配置內(nèi)容容應(yīng)包括身份份鑒別（鑒別別方式、強(qiáng)度度、失敗處理理）、訪問控控制（控制范范圍、嚴(yán)格程程度以及實(shí)現(xiàn)現(xiàn)方式）、安安全審計(jì)（實(shí)實(shí)現(xiàn)方式、對(duì)對(duì)象和項(xiàng)目的的選擇、日志志存儲(chǔ)與保護(hù)護(hù)、數(shù)據(jù)查詢?cè)兣c報(bào)警）等等。主機(jī)系統(tǒng)的惡意意代碼