等級保護綜述（三級）2013.11等級保護綜述2013.11樹形結(jié)構(gòu)是為了將一個部門或行業(yè)通過網(wǎng)絡(luò)將中央到省、地、縣等各級機關(guān)連接成一個“自己內(nèi)部的”虛擬網(wǎng)絡(luò)?；ミB結(jié)構(gòu)則是為了將一個部門或行業(yè)，與其它部門或行業(yè)，或與社會各種利益團體虛擬連接起來，以便開展業(yè)務(wù)合作或?qū)崿F(xiàn)政府管理或指導(dǎo)職能，。

電子政務(wù)網(wǎng)絡(luò)系統(tǒng)概述網(wǎng)絡(luò)平臺所依托的網(wǎng)絡(luò)平臺，大體都是由虛擬專網(wǎng)或租用專網(wǎng)構(gòu)成網(wǎng)絡(luò)結(jié)構(gòu)呈現(xiàn)出垂直向下的樹形層次結(jié)構(gòu)和同層子網(wǎng)的互連結(jié)構(gòu)互連的虛擬網(wǎng)絡(luò)體“內(nèi)部”各種子網(wǎng)的安全策略各不相同，因而它們分屬于不同的安全管理域樹形結(jié)構(gòu)是為了將一個部門或行業(yè)通過網(wǎng)絡(luò)將中央到省、電子政務(wù)網(wǎng)電子政務(wù)系統(tǒng)網(wǎng)絡(luò)層次結(jié)構(gòu)示意電子政務(wù)系統(tǒng)網(wǎng)絡(luò)層次結(jié)構(gòu)示意信息系統(tǒng)安全測評：等級保護與分級保護等級保護分級保護管理體系不同公安機關(guān)國家保密工作部門標準體系不同國家標準（GB、GB/T）國家保密標準（BMB，強制執(zhí)行）保護對象不同各種信息系統(tǒng)國家涉密信息系統(tǒng)級別劃分不同第一級：自主保護級第二級：指導(dǎo)保護級第三級：監(jiān)督保護級第四級：強制保護級第五級：專控保護級秘密級機密級絕密級評估隊伍不同各級等級保護測評機構(gòu)和部門測評中心、技術(shù)檢查中心、資質(zhì)單位、自身力量信息系統(tǒng)安全測評：等級保護與分級保護等級保護分級保護管理體系信息系統(tǒng)的測評標準選擇適用的方法：電子政務(wù)外網(wǎng)：等級保護標準電子政務(wù)內(nèi)網(wǎng)（涉密）：分級保護要求信息網(wǎng)絡(luò)系統(tǒng)應(yīng)根據(jù)信息安全等級保護標準，采取相應(yīng)等級的信息安全保障措施進行安全防護對于集中處理工作秘密的信息系統(tǒng)，可參照秘密級信息系統(tǒng)保護的要求進行保護和管理。信息系統(tǒng)的測評標準選擇適用的方法：信息網(wǎng)絡(luò)系統(tǒng)應(yīng)根據(jù)信息安全等級保護之十大標準基礎(chǔ)類《計算機信息系統(tǒng)安全保護等級劃分準則》GB17859-1999《信息系統(tǒng)安全等級保護實施指南》GB/T25058-2010

應(yīng)用類定級：《信息系統(tǒng)安全保護等級定級指南》GB/T22240-2008

建設(shè)：《信息系統(tǒng)安全等級保護基本要求》GB/T22239-2008

《信息系統(tǒng)通用安全技術(shù)要求》GB/T20271-2006

《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》GB/T25070-2010

測評：《信息系統(tǒng)安全等級保護測評要求《信息系統(tǒng)安全等級保護測評過程指南》管理：《信息系統(tǒng)安全管理要求》GB/T20269-2006

《信息系統(tǒng)安全工程管理要求》GB/T20282-2006

6等級保護之十大標準基礎(chǔ)類6等級保護之相關(guān)標準技術(shù)類GB/T21052-2007

信息安全技術(shù)

信息系統(tǒng)物理安全技術(shù)要求GB/T20270-2006

信息安全技術(shù)

網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T20271-2006

信息安全技術(shù)

信息系統(tǒng)通用安全技術(shù)要求GB/T20272-2006

信息安全技術(shù)

操作系統(tǒng)安全技術(shù)要求GB/T20273-2006

信息安全技術(shù)

數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求其他信息產(chǎn)品、信息安全產(chǎn)品等。。。其他類GB/T20984-2007

信息安全技術(shù)

信息安全風(fēng)險評估規(guī)范GB/T20285-2007

信息安全技術(shù)

信息安全事件管理指南GB/Z20986-2007

信息安全技術(shù)

信息安全事件分類分級指南GB/T20988-2007

信息安全技術(shù)

信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范

7等級保護之相關(guān)標準技術(shù)類7等級保護標準系列的邏輯關(guān)系劃分準則定級指南基本要求測評要求技術(shù)設(shè)計要求實施指南測評過程指南GB/T20269安全管理GB/T20270網(wǎng)絡(luò)基礎(chǔ)GB/T20271通用安全技術(shù)GB/T20272操作系統(tǒng)GB/T20273數(shù)據(jù)庫GB/T20282安全工程管理等級保護8GB/T20984風(fēng)險評估等級保護標準系列的邏輯關(guān)系劃分準則定級指南基本要求測評要求技實施指南－－GB/T25058-2010等級保護實施過程基本原則主要過程及其活動角色、職責(zé)基本流程等級變更局部調(diào)整信息系統(tǒng)定級總體安全規(guī)劃安全設(shè)計與實施安全運行維護信息系統(tǒng)終止國家管理部門（4家）信息系統(tǒng)主管部門信息系統(tǒng)運營、使用單位信息安全服務(wù)機構(gòu)信息安全等級測評機構(gòu)信息安全產(chǎn)品供應(yīng)商9實施指南－－GB/T25058-2010等級保護實施過程基7、系統(tǒng)服務(wù)安全等級等級保護定級指南－－GB/T22240保護對象受到破壞時受侵害的客體對客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級等級保護定級方法保護對象對客體的侵害程度客體：社會關(guān)系受侵害的客體信息系統(tǒng)安全系統(tǒng)服務(wù)安全業(yè)務(wù)信息安全3、綜合評定對客體的侵害程度2、確定業(yè)務(wù)信息安全受到破壞時所侵害的客體6、綜合評定對客體的侵害程度5、確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客體4、業(yè)務(wù)信息安全等級8、定級對象的安全保護等級8＝MAX（4，7）1、確定定級對象（系統(tǒng)邊界）一般流程等級確定107、系統(tǒng)服務(wù)安全等級等級保護定級指南－－GB/T22240安全保護等級信息系統(tǒng)定級結(jié)果的組合第一級S1A1G1第二級S1A2G2，S2A2G2，S2A1G2第三級S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4第五級S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A4G5，S5A3G5，S5A2G5，S5A1G5基本保護要求（最低）保護能力對抗能力＋恢復(fù)能力技術(shù)要求＋管理要求物理、網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)制度、機構(gòu)、人員、建設(shè)、運維縱深防御、互補關(guān)聯(lián)、強度一致、

平臺統(tǒng)一、集中安管業(yè)務(wù)信息安全類要求S系統(tǒng)服務(wù)保證類要求A通用安全保護類要求G整體安全保護能力關(guān)鍵控制點安全類具體要求項控制強度基本要求－－GB/T22239安全保護等級信息系統(tǒng)定級結(jié)果的組合第一級S1A1G1第二級S安全要求類層面一級二級三級四級技術(shù)要求物理安全7101010網(wǎng)絡(luò)安全3677主機安全4679應(yīng)用安全47911數(shù)據(jù)安全及備份恢復(fù)2333管理要求安全管理制度2333安全管理機構(gòu)4555人員安全管理4555系統(tǒng)建設(shè)管理991111系統(tǒng)運維管理9121313合計/48667377級差//1874控制點基本要求－－GB/T22239安全要求類層面一級二級三級四級技術(shù)要求物理安全7101010安全要求類層面一級二級三級四級技術(shù)要求物理安全9193233網(wǎng)絡(luò)安全9183332主機安全6193236應(yīng)用安全7193136數(shù)據(jù)安全及備份恢復(fù)24811管理要求安全管理制度371114安全管理機構(gòu)492020人員安全管理7111618系統(tǒng)建設(shè)管理20284548系統(tǒng)運維管理18416270合計/85175290318級差//9011528控制項13基本要求－－GB/T22239安全要求類層面一級二級三級四級技術(shù)要求物理安全9193233設(shè)計技術(shù)要求（示意）安全計算環(huán)境用戶身份鑒別操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等自主訪問控制用戶數(shù)據(jù)完整性保護惡意代碼防范主機防病毒軟件*等安全區(qū)域邊界區(qū)域邊界包過濾防火墻、網(wǎng)關(guān)等區(qū)域邊界惡意代碼防范防病毒網(wǎng)關(guān)*等安全通信網(wǎng)絡(luò)網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護路由器等第一級系統(tǒng)使用范圍安全功能產(chǎn)品類型安全計算環(huán)境用戶身份鑒別操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、安全審計系統(tǒng)*、身份鑒別系統(tǒng)等自主訪問控制系統(tǒng)安全審計用戶數(shù)據(jù)完整性保護用戶數(shù)據(jù)保密性保護客體安全重用惡意代碼防范主機防病毒軟件*等安全區(qū)域邊界區(qū)域邊界協(xié)議過濾防火墻、網(wǎng)關(guān)等區(qū)域邊界安全審計區(qū)域邊界惡意代碼防范防病毒網(wǎng)關(guān)*等區(qū)域邊界完整性保護防非法外聯(lián)系統(tǒng)、入侵檢測系統(tǒng)等安全通信網(wǎng)絡(luò)網(wǎng)絡(luò)安全審計VPN、加密機*、路由器等網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護安全管理中心系統(tǒng)管理安全管理平臺審計管理第二級系統(tǒng)安全保護環(huán)境主要產(chǎn)品類型及功能設(shè)計技術(shù)要求（示意）安全計算環(huán)境用戶身份鑒別操作系統(tǒng)、數(shù)據(jù)庫設(shè)計技術(shù)要求（示意）第三級系統(tǒng)安全保護環(huán)境主要產(chǎn)品類型及功能使用范圍安全功能產(chǎn)品類型安全計算環(huán)境用戶身份鑒別操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、安全審計系統(tǒng)*、終端安全管理*、身份鑒別系統(tǒng)等自主訪問控制標記與強制訪問控制系統(tǒng)安全審計用戶數(shù)據(jù)完整性保護用戶數(shù)據(jù)保密性保護客體安全重用系統(tǒng)可執(zhí)行程序保護操作系統(tǒng)等安全區(qū)域邊界區(qū)域邊界訪問控制安全隔離與信息交換系統(tǒng)、

安全網(wǎng)關(guān)等區(qū)域邊界協(xié)議過濾區(qū)域邊界安全審計區(qū)域邊界完整性保護安全通信網(wǎng)絡(luò)網(wǎng)絡(luò)安全審計VPN、加密機*、路由器等網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護網(wǎng)絡(luò)可信接入安全管理中心系統(tǒng)管理安全管理平臺安全管理審計管理設(shè)計技術(shù)要求（示意）第三級系統(tǒng)安全保護環(huán)境主要產(chǎn)品類型及功能二級、三級等級保護要求比較等級保護要求（技術(shù)&管理）2級VS

3級

二級、三級等級保護要求比較等級保護要求2級VS3級等級保護相關(guān)的主要方法等級保護相關(guān)的公共通信網(wǎng)EA3ells業(yè)務(wù)處理用戶SEC公共服務(wù)區(qū)SEC市級機關(guān)市級機關(guān)省級機關(guān)業(yè)務(wù)理用戶部門內(nèi)部應(yīng)用部門對外應(yīng)用部門對外應(yīng)用部門內(nèi)部應(yīng)用安全管理監(jiān)控區(qū)安全管理監(jiān)控區(qū)公共服務(wù)區(qū)E-mailwwwApp.入侵檢測入侵檢測InternetInternet兩級網(wǎng)絡(luò)的安全方案總成公共通信網(wǎng)EA3ells業(yè)務(wù)處理用戶SEC公共服務(wù)區(qū)SEC市基于信息流的風(fēng)險識別、控制方法資產(chǎn)——脆弱性——威脅九大區(qū)域分層基于信息流的資源分布模型研究基于信息流的風(fēng)險識別、控制方法資產(chǎn)——脆弱性——威脅九大區(qū)合理分域，準確定級信息系統(tǒng)等級（分級）保護以系統(tǒng)所處理信息的最高重要程度來確定安全等級

在合理劃分安全域邊界安全可控的情況下，各安全域可根據(jù)信息的最高重要程度單獨定級，實施“分域分級防護”的策略，從而降低系統(tǒng)建設(shè)成本和管理風(fēng)險信息系統(tǒng)安全域之間的邊界應(yīng)劃分明確，安全域與安全域之間的所有數(shù)據(jù)通信都應(yīng)安全可控

對于不同等級的安全域間通信，應(yīng)實施有效的訪問控制策略和機制，禁止高密級信息由高等級安全域流向低等級安全域。合理分域，準確定級信息系統(tǒng)等級（分級）保護以系統(tǒng)所處理信

⑴對于敏感程度層次分明、地域縱橫分布的黨政部門“電子政務(wù)廣域網(wǎng)信息系統(tǒng)”，可根據(jù)行政級別、信息敏感程度和系統(tǒng)重要性劃分不同的安全域。首先可根據(jù)行政級別將業(yè)務(wù)體系內(nèi)的“電子政務(wù)廣域網(wǎng)信息系統(tǒng)”劃分為中央、省、市（地）和縣四個安全域，然后再根據(jù)各個安全域的所處理信息的最高信息敏感程度單獨確定保護等級和防護措施，例如按照第5級（中央）、第4級（?。?、第3級（市、地）和第1級（縣）“四層三級”的架構(gòu)進行分域分級防護。

樹形結(jié)構(gòu)網(wǎng)絡(luò)的安全域劃分與定級示例⑴對于敏感程度層次分明、地域縱橫分布的黨政部門“電子政務(wù)⑵為了實現(xiàn)最高敏感級信息系統(tǒng)的最小化，控制敏感信息的知曉范圍，降低失泄密的風(fēng)險，對于使用范圍集中的局域網(wǎng)敏感型信息系統(tǒng)，可根據(jù)業(yè)務(wù)部門和信息敏感級劃分不同的安全域。首先通過使用VLAN、防火墻等技術(shù)劃分不同的安全域，對不同部門的業(yè)務(wù)進行分割；然后，在同一部門內(nèi)可再根據(jù)信息敏感級，將處理、存儲不同敏感級信息的服務(wù)器和用戶終端劃分到不同的安全域。例如，可將一個第4級局域網(wǎng)劃分為若干個第4級和第3級安全域，進行分級分域管理，實現(xiàn)多邊安全控制，保障系統(tǒng)的總體安全。

綜合局域網(wǎng)信息系統(tǒng)的安全域劃分與定級示例⑵為了實現(xiàn)最高敏感級信息系統(tǒng)的最小化，控制敏感信息的知曉范外網(wǎng)節(jié)點網(wǎng)管中心（監(jiān)督保護級）私有數(shù)據(jù)可通過VPN跨域傳輸接入網(wǎng)絡(luò)（指導(dǎo)保護級）安全域等級防護設(shè)計示意外網(wǎng)節(jié)點網(wǎng)管中心私有數(shù)據(jù)可通過VPN跨域傳輸接入網(wǎng)絡(luò)安全域等安全域（第3級）安全域（第2級）監(jiān)督保護級網(wǎng)絡(luò)安全域（第3級）安全域（第2級）安全域（第2級）禁止高敏感級信息由高等級安全域流向低等級安全域分域分級防護示意安全域安全域監(jiān)督保護級網(wǎng)絡(luò)安全域安全域安全域禁止高敏感級主要防護措施防火墻系統(tǒng)隔離與交換系統(tǒng)網(wǎng)絡(luò)入侵防御系統(tǒng)主頁防篡改系統(tǒng)防病毒網(wǎng)關(guān)抗DDos系統(tǒng)VPN網(wǎng)關(guān)安全認證網(wǎng)關(guān)主機、服務(wù)器安全加固文件安全系統(tǒng)電子郵件安全等等主要防護措施防火墻系統(tǒng)安全管理平臺主機監(jiān)控與審計系統(tǒng)網(wǎng)絡(luò)安全審計系統(tǒng)綜合安全管理平臺數(shù)字證書頒發(fā)和管理平臺。。。各級安全管理中心對管轄網(wǎng)絡(luò)實施安全集中管理。安全管理平臺主機監(jiān)控與審計系統(tǒng)各級安全管理中物理位置的選擇基本防護能力高層、地下室物理訪問控制基本出入控制分區(qū)域管理在機房中的活動電子門禁防盜竊和防破壞存放位置、標記標識監(jiān)控報警系統(tǒng)防雷擊建筑防雷、機房接地設(shè)備防雷防火滅火設(shè)備、自動報警自動消防系統(tǒng)區(qū)域隔離措施防靜電關(guān)鍵設(shè)備主要設(shè)備防靜電地板電力供應(yīng)穩(wěn)定電壓、短期供應(yīng)主要設(shè)備冗余/并行線路備用供電系統(tǒng)電磁防護線纜隔離接地防干擾電磁屏蔽防水和防潮溫濕度控制物理安全的整改要點物理位置的選擇基本防護能力高層、地下室物理訪問控制基本出入控結(jié)構(gòu)安全關(guān)鍵設(shè)備冗余空間主要設(shè)備冗余空間訪問控制訪問控制設(shè)備（用戶、網(wǎng)段）應(yīng)用層協(xié)議過濾撥號訪問限制會話終止安全審計日志記錄審計報表邊界完整性檢查內(nèi)部的非法聯(lián)出非授權(quán)設(shè)備私自外聯(lián)網(wǎng)絡(luò)安全的整改要點子網(wǎng)/網(wǎng)段控制核心網(wǎng)絡(luò)帶寬整體網(wǎng)絡(luò)帶寬重要網(wǎng)段部署路由控制帶寬分配優(yōu)先級端口控制最大流量數(shù)及最大連接數(shù)防止地址欺騙審計記錄的保護定位及阻斷入侵防范檢測常見攻擊記錄、報警惡意代碼防范網(wǎng)絡(luò)邊界處防范網(wǎng)絡(luò)設(shè)備防護基本的登錄鑒別組合鑒別技術(shù)特權(quán)用戶的權(quán)限分離結(jié)構(gòu)安全關(guān)鍵設(shè)備冗余空間主要設(shè)備冗余空間訪問控制訪問控制設(shè)備身份鑒別基本的身份鑒別訪問控制安全策略管理用戶的權(quán)限分離特權(quán)用戶的權(quán)限分離安全審計服務(wù)器基本運行情況審計審計報表剩余信息保護空間釋放及信息清除主機安全的整改要點組合鑒別技術(shù)敏感標記的設(shè)置及操作審計記錄的保護入侵防范最小安裝原則重要服務(wù)器：檢測、記錄、報警惡意代碼防范主機與網(wǎng)絡(luò)的防范產(chǎn)品不同資源控制監(jiān)視重要服務(wù)器最小服務(wù)水平的檢測及報警重要客戶端的審計升級服務(wù)器重要程序完整性防惡意代碼軟件、代碼庫統(tǒng)一管理對用戶會話數(shù)及終端登錄的限制身份鑒別基本的身份鑒別訪問控制安全策略管理用戶的權(quán)限分離特權(quán)身份鑒別基本的身份鑒別訪問控制安全策略最小授權(quán)原則安全審計運行情況審計（用戶級）審計報表剩余信息保護空間釋放及信息清除應(yīng)用安全的整改要點組合鑒別技術(shù)敏感標記的設(shè)置及操作審計過程的保護通信完整性校驗碼技術(shù)密碼技術(shù)軟件容錯自動保護功能資源控制資源分配限制、資源分配優(yōu)先級最小服務(wù)水平的檢測及報警數(shù)據(jù)有效性檢驗、部分運行保護對用戶會話數(shù)及系統(tǒng)最大并發(fā)會話數(shù)的限制審計記錄的保護通信保密性初始化驗證整個報文及會話過程加密敏感信息加密抗抵賴身份鑒別基本的身份鑒別訪問控制安全策略最小授權(quán)原則安全審計運數(shù)據(jù)完整性鑒別數(shù)據(jù)傳輸?shù)耐暾詡浞莺突謴?fù)重要數(shù)據(jù)的備份數(shù)據(jù)安全及備份恢復(fù)的整改要點各類數(shù)據(jù)傳輸及存儲異地備份網(wǎng)絡(luò)冗余、硬件冗余本地完全備份硬件冗余檢測和恢復(fù)數(shù)據(jù)保密性鑒別數(shù)據(jù)存儲的保密性各類數(shù)據(jù)的傳輸及存儲每天1次備份介質(zhì)場外存放數(shù)據(jù)完整性鑒別數(shù)據(jù)傳輸?shù)耐暾詡浞莺突謴?fù)重要數(shù)據(jù)的備份數(shù)據(jù)安技術(shù)整改措施示意第3級技第3級管理整改措施示意第3級管第3級應(yīng)堅持的基本原則上網(wǎng)的機器不觸“敏”怎么能保證上網(wǎng)機未觸及敏感信息觸“敏”的機器不上網(wǎng)或者嚴控上網(wǎng)怎么能保證觸“敏”機安全連接外部網(wǎng)絡(luò)嚴禁介質(zhì)交叉使用如何嚴控一般介質(zhì)插入觸敏機使用如何嚴控敏感介質(zhì)插入一般機使用應(yīng)堅持的基本原則上網(wǎng)的機器不觸“敏”對安全保障的感想基于主動防御的思想，保護信息資產(chǎn)基于信息流的資產(chǎn)、風(fēng)險全程識別與控制正視現(xiàn)實，按照等級保護的要求制定適宜安全策略重視殘余風(fēng)險的識別與控制綜合、專業(yè)的安全運維和管理人、安全意識核心對安全保障的感想基于主動防御的思想，保護信息資產(chǎn)人、安全謝謝。謝謝。等級保護基本要求概述等級保護基本要求控制點一級二級三級四級物理位置的選擇***物理訪問控制****防盜竊和防破壞****防雷擊****防火****防水和防潮****防靜電***溫濕度控制****電力供應(yīng)－A****電磁防護－S***合計7101010物理安全環(huán)境設(shè)備、介質(zhì)38基本要求－－GB/T22239控制點一級二級三級四級物理位置的選擇***物理訪問控制***網(wǎng)絡(luò)安全控制點一級二級三級四級結(jié)構(gòu)安全****訪問控制****安全審計***邊界完整性檢查－S***入侵防范***惡意代碼防范**網(wǎng)絡(luò)設(shè)備防護****合計3677結(jié)構(gòu)邊界設(shè)備39基本要求－－GB/T22239網(wǎng)絡(luò)安全控制點一級二級三級四級結(jié)構(gòu)安全****訪問控制***主機安全控制點一級二級三級四級身份鑒別－S****安全標記－S*訪問控制－S****可信路徑－S*安全審計***剩余信息保護－S**入侵防范****惡意代碼防范****資源控制－A***合計4679服務(wù)器；終端/工作站On操作系統(tǒng)；數(shù)據(jù)庫系統(tǒng)40基本要求－－GB/T22239主機安全控制點一級二級三級四級身份鑒別－S****安全標記－應(yīng)用安全控制點一級二級三級四級身份鑒別－S****安全標記－S*訪問控制－S****可信路經(jīng)－S*安全審計***剩余信息保護－S**通信完整性－S****通信保密性－S***抗抵賴**軟件容錯－A****資源控制－A***合計47911基本應(yīng)用業(yè)務(wù)應(yīng)用41基本要求－－GB/T22239應(yīng)用安全控制點一級二級三級四級身份鑒別－S****安全標記－數(shù)據(jù)安全及備份恢復(fù)控制點一級二級三級四級數(shù)據(jù)完整性－S****數(shù)據(jù)保密性－S***備份和恢復(fù)－A****合計2333用戶數(shù)據(jù)系統(tǒng)數(shù)據(jù)業(yè)務(wù)數(shù)據(jù)＋數(shù)據(jù)備份硬件冗余異地實時備份42基本要求－－GB/T22239數(shù)據(jù)安全及控制點一級二級三級四級數(shù)據(jù)完整性－S****數(shù)據(jù)保管理制度總體方針策略管理制度操作規(guī)程控制點一級二級三級四級管理制度****制定和發(fā)布****評審和修訂***合計233343基本要求－－GB/T22239管理制度總體方針控制點一級二級三級四級管理制度****制定和管理機構(gòu)最高管理層執(zhí)行管理層業(yè)務(wù)運營層控制點一級二級三級四級崗位設(shè)置****人員配備****授權(quán)和審批****溝通和合作****審核和檢查***合計455544基本要求－－GB/T22239管理機構(gòu)最高管理層控制點一級二級三級四級崗位設(shè)置****人員人員安全內(nèi)部人員外部人員控制點一級二級三級四級人員錄用****人員離崗****人員考核***安全意識教育和培訓(xùn)****外部人員訪問管理****合計455545基本要求－－GB/T22239人員安全內(nèi)部人員控制點一級二級三級四級人員錄用****人員離建設(shè)管理定級、設(shè)計建設(shè)實施驗收交付測評控制點一級二級三級四級系統(tǒng)定級****安全方案設(shè)計****產(chǎn)品采購和使用****自行軟件開發(fā)****外包軟件開發(fā)****工程實施****測試驗收****系統(tǒng)交付****系統(tǒng)備案***等級測評***安全服務(wù)商選擇****合計99111146基本要求－－GB/T22239建設(shè)管理定級、設(shè)計控制點一級二級三級四級系統(tǒng)定級****安全運維管理日常/應(yīng)急/變更制度化管理監(jiān)管、安管中心控制點一級二級三級四級環(huán)境管理****資產(chǎn)管理****介質(zhì)管理****設(shè)備管理****監(jiān)控管理和安全管理中心****網(wǎng)絡(luò)安全管理****系統(tǒng)安全管理****惡意代碼防范管理****密碼管理***變更管理***備份與恢復(fù)管理****安全事件處置****應(yīng)急預(yù)案管理***合計1013131347基本要求－－GB/T22239運維管理日常/應(yīng)急/變更控制點一級二級三級四級環(huán)境管理***等級保護綜述（三級）2013.11等級保護綜述2013.11樹形結(jié)構(gòu)是為了將一個部門或行業(yè)通過網(wǎng)絡(luò)將中央到省、地、縣等各級機關(guān)連接成一個“自己內(nèi)部的”虛擬網(wǎng)絡(luò)?；ミB結(jié)構(gòu)則是為了將一個部門或行業(yè)，與其它部門或行業(yè)，或與社會各種利益團體虛擬連接起來，以便開展業(yè)務(wù)合作或?qū)崿F(xiàn)政府管理或指導(dǎo)職能，。

電子政務(wù)網(wǎng)絡(luò)系統(tǒng)概述網(wǎng)絡(luò)平臺所依托的網(wǎng)絡(luò)平臺，大體都是由虛擬專網(wǎng)或租用專網(wǎng)構(gòu)成網(wǎng)絡(luò)結(jié)構(gòu)呈現(xiàn)出垂直向下的樹形層次結(jié)構(gòu)和同層子網(wǎng)的互連結(jié)構(gòu)互連的虛擬網(wǎng)絡(luò)體“內(nèi)部”各種子網(wǎng)的安全策略各不相同，因而它們分屬于不同的安全管理域樹形結(jié)構(gòu)是為了將一個部門或行業(yè)通過網(wǎng)絡(luò)將中央到省、電子政務(wù)網(wǎng)電子政務(wù)系統(tǒng)網(wǎng)絡(luò)層次結(jié)構(gòu)示意電子政務(wù)系統(tǒng)網(wǎng)絡(luò)層次結(jié)構(gòu)示意信息系統(tǒng)安全測評：等級保護與分級保護等級保護分級保護管理體系不同公安機關(guān)國家保密工作部門標準體系不同國家標準（GB、GB/T）國家保密標準（BMB，強制執(zhí)行）保護對象不同各種信息系統(tǒng)國家涉密信息系統(tǒng)級別劃分不同第一級：自主保護級第二級：指導(dǎo)保護級第三級：監(jiān)督保護級第四級：強制保護級第五級：?？乇Ｗo級秘密級機密級絕密級評估隊伍不同各級等級保護測評機構(gòu)和部門測評中心、技術(shù)檢查中心、資質(zhì)單位、自身力量信息系統(tǒng)安全測評：等級保護與分級保護等級保護分級保護管理體系信息系統(tǒng)的測評標準選擇適用的方法：電子政務(wù)外網(wǎng)：等級保護標準電子政務(wù)內(nèi)網(wǎng)（涉密）：分級保護要求信息網(wǎng)絡(luò)系統(tǒng)應(yīng)根據(jù)信息安全等級保護標準，采取相應(yīng)等級的信息安全保障措施進行安全防護對于集中處理工作秘密的信息系統(tǒng)，可參照秘密級信息系統(tǒng)保護的要求進行保護和管理。信息系統(tǒng)的測評標準選擇適用的方法：信息網(wǎng)絡(luò)系統(tǒng)應(yīng)根據(jù)信息安全等級保護之十大標準基礎(chǔ)類《計算機信息系統(tǒng)安全保護等級劃分準則》GB17859-1999《信息系統(tǒng)安全等級保護實施指南》GB/T25058-2010

應(yīng)用類定級：《信息系統(tǒng)安全保護等級定級指南》GB/T22240-2008

建設(shè)：《信息系統(tǒng)安全等級保護基本要求》GB/T22239-2008

《信息系統(tǒng)通用安全技術(shù)要求》GB/T20271-2006

《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》GB/T25070-2010

測評：《信息系統(tǒng)安全等級保護測評要求《信息系統(tǒng)安全等級保護測評過程指南》管理：《信息系統(tǒng)安全管理要求》GB/T20269-2006

《信息系統(tǒng)安全工程管理要求》GB/T20282-2006

53等級保護之十大標準基礎(chǔ)類6等級保護之相關(guān)標準技術(shù)類GB/T21052-2007

信息安全技術(shù)

信息系統(tǒng)物理安全技術(shù)要求GB/T20270-2006

信息安全技術(shù)

網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T20271-2006

信息安全技術(shù)

信息系統(tǒng)通用安全技術(shù)要求GB/T20272-2006

信息安全技術(shù)

操作系統(tǒng)安全技術(shù)要求GB/T20273-2006

信息安全技術(shù)

數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求其他信息產(chǎn)品、信息安全產(chǎn)品等。。。其他類GB/T20984-2007

信息安全技術(shù)

信息安全風(fēng)險評估規(guī)范GB/T20285-2007

信息安全技術(shù)

信息安全事件管理指南GB/Z20986-2007

信息安全技術(shù)

信息安全事件分類分級指南GB/T20988-2007

信息安全技術(shù)

信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范

54等級保護之相關(guān)標準技術(shù)類7等級保護標準系列的邏輯關(guān)系劃分準則定級指南基本要求測評要求技術(shù)設(shè)計要求實施指南測評過程指南GB/T20269安全管理GB/T20270網(wǎng)絡(luò)基礎(chǔ)GB/T20271通用安全技術(shù)GB/T20272操作系統(tǒng)GB/T20273數(shù)據(jù)庫GB/T20282安全工程管理等級保護55GB/T20984風(fēng)險評估等級保護標準系列的邏輯關(guān)系劃分準則定級指南基本要求測評要求技實施指南－－GB/T25058-2010等級保護實施過程基本原則主要過程及其活動角色、職責(zé)基本流程等級變更局部調(diào)整信息系統(tǒng)定級總體安全規(guī)劃安全設(shè)計與實施安全運行維護信息系統(tǒng)終止國家管理部門（4家）信息系統(tǒng)主管部門信息系統(tǒng)運營、使用單位信息安全服務(wù)機構(gòu)信息安全等級測評機構(gòu)信息安全產(chǎn)品供應(yīng)商56實施指南－－GB/T25058-2010等級保護實施過程基7、系統(tǒng)服務(wù)安全等級等級保護定級指南－－GB/T22240保護對象受到破壞時受侵害的客體對客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級等級保護定級方法保護對象對客體的侵害程度客體：社會關(guān)系受侵害的客體信息系統(tǒng)安全系統(tǒng)服務(wù)安全業(yè)務(wù)信息安全3、綜合評定對客體的侵害程度2、確定業(yè)務(wù)信息安全受到破壞時所侵害的客體6、綜合評定對客體的侵害程度5、確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客體4、業(yè)務(wù)信息安全等級8、定級對象的安全保護等級8＝MAX（4，7）1、確定定級對象（系統(tǒng)邊界）一般流程等級確定577、系統(tǒng)服務(wù)安全等級等級保護定級指南－－GB/T22240安全保護等級信息系統(tǒng)定級結(jié)果的組合第一級S1A1G1第二級S1A2G2，S2A2G2，S2A1G2第三級S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4第五級S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A4G5，S5A3G5，S5A2G5，S5A1G5基本保護要求（最低）保護能力對抗能力＋恢復(fù)能力技術(shù)要求＋管理要求物理、網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)制度、機構(gòu)、人員、建設(shè)、運維縱深防御、互補關(guān)聯(lián)、強度一致、

平臺統(tǒng)一、集中安管業(yè)務(wù)信息安全類要求S系統(tǒng)服務(wù)保證類要求A通用安全保護類要求G整體安全保護能力關(guān)鍵控制點安全類具體要求項控制強度基本要求－－GB/T22239安全保護等級信息系統(tǒng)定級結(jié)果的組合第一級S1A1G1第二級S安全要求類層面一級二級三級四級技術(shù)要求物理安全7101010網(wǎng)絡(luò)安全3677主機安全4679應(yīng)用安全47911數(shù)據(jù)安全及備份恢復(fù)2333管理要求安全管理制度2333安全管理機構(gòu)4555人員安全管理4555系統(tǒng)建設(shè)管理991111系統(tǒng)運維管理9121313合計/48667377級差//1874控制點基本要求－－GB/T22239安全要求類層面一級二級三級四級技術(shù)要求物理安全7101010安全要求類層面一級二級三級四級技術(shù)要求物理安全9193233網(wǎng)絡(luò)安全9183332主機安全6193236應(yīng)用安全7193136數(shù)據(jù)安全及備份恢復(fù)24811管理要求安全管理制度371114安全管理機構(gòu)492020人員安全管理7111618系統(tǒng)建設(shè)管理20284548系統(tǒng)運維管理18416270合計/85175290318級差//9011528控制項60基本要求－－GB/T22239安全要求類層面一級二級三級四級技術(shù)要求物理安全9193233設(shè)計技術(shù)要求（示意）安全計算環(huán)境用戶身份鑒別操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等自主訪問控制用戶數(shù)據(jù)完整性保護惡意代碼防范主機防病毒軟件*等安全區(qū)域邊界區(qū)域邊界包過濾防火墻、網(wǎng)關(guān)等區(qū)域邊界惡意代碼防范防病毒網(wǎng)關(guān)*等安全通信網(wǎng)絡(luò)網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護路由器等第一級系統(tǒng)使用范圍安全功能產(chǎn)品類型安全計算環(huán)境用戶身份鑒別操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、安全審計系統(tǒng)*、身份鑒別系統(tǒng)等自主訪問控制系統(tǒng)安全審計用戶數(shù)據(jù)完整性保護用戶數(shù)據(jù)保密性保護客體安全重用惡意代碼防范主機防病毒軟件*等安全區(qū)域邊界區(qū)域邊界協(xié)議過濾防火墻、網(wǎng)關(guān)等區(qū)域邊界安全審計區(qū)域邊界惡意代碼防范防病毒網(wǎng)關(guān)*等區(qū)域邊界完整性保護防非法外聯(lián)系統(tǒng)、入侵檢測系統(tǒng)等安全通信網(wǎng)絡(luò)網(wǎng)絡(luò)安全審計VPN、加密機*、路由器等網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護安全管理中心系統(tǒng)管理安全管理平臺審計管理第二級系統(tǒng)安全保護環(huán)境主要產(chǎn)品類型及功能設(shè)計技術(shù)要求（示意）安全計算環(huán)境用戶身份鑒別操作系統(tǒng)、數(shù)據(jù)庫設(shè)計技術(shù)要求（示意）第三級系統(tǒng)安全保護環(huán)境主要產(chǎn)品類型及功能使用范圍安全功能產(chǎn)品類型安全計算環(huán)境用戶身份鑒別操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、安全審計系統(tǒng)*、終端安全管理*、身份鑒別系統(tǒng)等自主訪問控制標記與強制訪問控制系統(tǒng)安全審計用戶數(shù)據(jù)完整性保護用戶數(shù)據(jù)保密性保護客體安全重用系統(tǒng)可執(zhí)行程序保護操作系統(tǒng)等安全區(qū)域邊界區(qū)域邊界訪問控制安全隔離與信息交換系統(tǒng)、

安全網(wǎng)關(guān)等區(qū)域邊界協(xié)議過濾區(qū)域邊界安全審計區(qū)域邊界完整性保護安全通信網(wǎng)絡(luò)網(wǎng)絡(luò)安全審計VPN、加密機*、路由器等網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護網(wǎng)絡(luò)可信接入安全管理中心系統(tǒng)管理安全管理平臺安全管理審計管理設(shè)計技術(shù)要求（示意）第三級系統(tǒng)安全保護環(huán)境主要產(chǎn)品類型及功能二級、三級等級保護要求比較等級保護要求（技術(shù)&管理）2級VS

3級

二級、三級等級保護要求比較等級保護要求2級VS3級等級保護相關(guān)的主要方法等級保護相關(guān)的公共通信網(wǎng)EA3ells業(yè)務(wù)處理用戶SEC公共服務(wù)區(qū)SEC市級機關(guān)市級機關(guān)省級機關(guān)業(yè)務(wù)理用戶部門內(nèi)部應(yīng)用部門對外應(yīng)用部門對外應(yīng)用部門內(nèi)部應(yīng)用安全管理監(jiān)控區(qū)安全管理監(jiān)控區(qū)公共服務(wù)區(qū)E-mailwwwApp.入侵檢測入侵檢測InternetInternet兩級網(wǎng)絡(luò)的安全方案總成公共通信網(wǎng)EA3ells業(yè)務(wù)處理用戶SEC公共服務(wù)區(qū)SEC市基于信息流的風(fēng)險識別、控制方法資產(chǎn)——脆弱性——威脅九大區(qū)域分層基于信息流的資源分布模型研究基于信息流的風(fēng)險識別、控制方法資產(chǎn)——脆弱性——威脅九大區(qū)合理分域，準確定級信息系統(tǒng)等級（分級）保護以系統(tǒng)所處理信息的最高重要程度來確定安全等級

在合理劃分安全域邊界安全可控的情況下，各安全域可根據(jù)信息的最高重要程度單獨定級，實施“分域分級防護”的策略，從而降低系統(tǒng)建設(shè)成本和管理風(fēng)險信息系統(tǒng)安全域之間的邊界應(yīng)劃分明確，安全域與安全域之間的所有數(shù)據(jù)通信都應(yīng)安全可控

對于不同等級的安全域間通信，應(yīng)實施有效的訪問控制策略和機制，禁止高密級信息由高等級安全域流向低等級安全域。合理分域，準確定級信息系統(tǒng)等級（分級）保護以系統(tǒng)所處理信

⑴對于敏感程度層次分明、地域縱橫分布的黨政部門“電子政務(wù)廣域網(wǎng)信息系統(tǒng)”，可根據(jù)行政級別、信息敏感程度和系統(tǒng)重要性劃分不同的安全域。首先可根據(jù)行政級別將業(yè)務(wù)體系內(nèi)的“電子政務(wù)廣域網(wǎng)信息系統(tǒng)”劃分為中央、省、市（地）和縣四個安全域，然后再根據(jù)各個安全域的所處理信息的最高信息敏感程度單獨確定保護等級和防護措施，例如按照第5級（中央）、第4級（?。?、第3級（市、地）和第1級（縣）“四層三級”的架構(gòu)進行分域分級防護。

樹形結(jié)構(gòu)網(wǎng)絡(luò)的安全域劃分與定級示例⑴對于敏感程度層次分明、地域縱橫分布的黨政部門“電子政務(wù)⑵為了實現(xiàn)最高敏感級信息系統(tǒng)的最小化，控制敏感信息的知曉范圍，降低失泄密的風(fēng)險，對于使用范圍集中的局域網(wǎng)敏感型信息系統(tǒng)，可根據(jù)業(yè)務(wù)部門和信息敏感級劃分不同的安全域。首先通過使用VLAN、防火墻等技術(shù)劃分不同的安全域，對不同部門的業(yè)務(wù)進行分割；然后，在同一部門內(nèi)可再根據(jù)信息敏感級，將處理、存儲不同敏感級信息的服務(wù)器和用戶終端劃分到不同的安全域。例如，可將一個第4級局域網(wǎng)劃分為若干個第4級和第3級安全域，進行分級分域管理，實現(xiàn)多邊安全控制，保障系統(tǒng)的總體安全。

綜合局域網(wǎng)信息系統(tǒng)的安全域劃分與定級示例⑵為了實現(xiàn)最高敏感級信息系統(tǒng)的最小化，控制敏感信息的知曉范外網(wǎng)節(jié)點網(wǎng)管中心（監(jiān)督保護級）私有數(shù)據(jù)可通過VPN跨域傳輸接入網(wǎng)絡(luò)（指導(dǎo)保護級）安全域等級防護設(shè)計示意外網(wǎng)節(jié)點網(wǎng)管中心私有數(shù)據(jù)可通過VPN跨域傳輸接入網(wǎng)絡(luò)安全域等安全域（第3級）安全域（第2級）監(jiān)督保護級網(wǎng)絡(luò)安全域（第3級）安全域（第2級）安全域（第2級）禁止高敏感級信息由高等級安全域流向低等級安全域分域分級防護示意安全域安全域監(jiān)督保護級網(wǎng)絡(luò)安全域安全域安全域禁止高敏感級主要防護措施防火墻系統(tǒng)隔離與交換系統(tǒng)網(wǎng)絡(luò)入侵防御系統(tǒng)主頁防篡改系統(tǒng)防病毒網(wǎng)關(guān)抗DDos系統(tǒng)VPN網(wǎng)關(guān)安全認證網(wǎng)關(guān)主機、服務(wù)器安全加固文件安全系統(tǒng)電子郵件安全等等主要防護措施防火墻系統(tǒng)安全管理平臺主機監(jiān)控與審計系統(tǒng)網(wǎng)絡(luò)安全審計系統(tǒng)綜合安全管理平臺數(shù)字證書頒發(fā)和管理平臺。。。各級安全管理中心對管轄網(wǎng)絡(luò)實施安全集中管理。安全管理平臺主機監(jiān)控與審計系統(tǒng)各級安全管理中物理位置的選擇基本防護能力高層、地下室物理訪問控制基本出入控制分區(qū)域管理在機房中的活動電子門禁防盜竊和防破壞存放位置、標記標識監(jiān)控報警系統(tǒng)防雷擊建筑防雷、機房接地設(shè)備防雷防火滅火設(shè)備、自動報警自動消防系統(tǒng)區(qū)域隔離措施防靜電關(guān)鍵設(shè)備主要設(shè)備防靜電地板電力供應(yīng)穩(wěn)定電壓、短期供應(yīng)主要設(shè)備冗余/并行線路備用供電系統(tǒng)電磁防護線纜隔離接地防干擾電磁屏蔽防水和防潮溫濕度控制物理安全的整改要點物理位置的選擇基本防護能力高層、地下室物理訪問控制基本出入控結(jié)構(gòu)安全關(guān)鍵設(shè)備冗余空間主要設(shè)備冗余空間訪問控制訪問控制設(shè)備（用戶、網(wǎng)段）應(yīng)用層協(xié)議過濾撥號訪問限制會話終止安全審計日志記錄審計報表邊界完整性檢查內(nèi)部的非法聯(lián)出非授權(quán)設(shè)備私自外聯(lián)網(wǎng)絡(luò)安全的整改要點子網(wǎng)/網(wǎng)段控制核心網(wǎng)絡(luò)帶寬整體網(wǎng)絡(luò)帶寬重要網(wǎng)段部署路由控制帶寬分配優(yōu)先級端口控制最大流量數(shù)及最大連接數(shù)防止地址欺騙審計記錄的保護定位及阻斷入侵防范檢測常見攻擊記錄、報警惡意代碼防范網(wǎng)絡(luò)邊界處防范網(wǎng)絡(luò)設(shè)備防護基本的登錄鑒別組合鑒別技術(shù)特權(quán)用戶的權(quán)限分離結(jié)構(gòu)安全關(guān)鍵設(shè)備冗余空間主要設(shè)備冗余空間訪問控制訪問控制設(shè)備身份鑒別基本的身份鑒別訪問控制安全策略管理用戶的權(quán)限分離特權(quán)用戶的權(quán)限分離安全審計服務(wù)器基本運行情況審計審計報表剩余信息保護空間釋放及信息清除主機安全的整改要點組合鑒別技術(shù)敏感標記的設(shè)置及操作審計記錄的保護入侵防范最小安裝原則重要服務(wù)器：檢測、記錄、報警惡意代碼防范主機與網(wǎng)絡(luò)的防范產(chǎn)品不同資源控制監(jiān)視重要服務(wù)器最小服務(wù)水平的檢測及報警重要客戶端的審計升級服務(wù)器重要程序完整性防惡意代碼軟件、代碼庫統(tǒng)一管理對用戶會話數(shù)及終端登錄的限制身份鑒別基本的身份鑒別訪問控制安全策略管理用戶的權(quán)限分離特權(quán)身份鑒別基本的身份鑒別訪問控制安全策略最小授權(quán)原則安全審計運行情況審計（用戶級）審計報表剩余信息保護空間釋放及信息清除應(yīng)用安全的整改要點組合鑒別技術(shù)敏感標記的設(shè)置及操作審計過程的保護通信完整性校驗碼技術(shù)密碼技術(shù)軟件容錯自動保護功能資源控制資源分配限制、資源分配優(yōu)先級最小服務(wù)水平的檢測及報警數(shù)據(jù)有效性檢驗、部分運行保護對用戶會話數(shù)及系統(tǒng)最大并發(fā)會話數(shù)的限制審計記錄的保護通信保密性初始化驗證整個報文及會話過程加密敏感信息加密抗抵賴身份鑒別基本的身份鑒別訪問控制安全策略最小授權(quán)原則安全審計運數(shù)據(jù)完整性鑒別數(shù)據(jù)傳輸?shù)耐暾詡浞莺突謴?fù)重要數(shù)據(jù)的備份數(shù)據(jù)安全及備份恢復(fù)的整改要點各類數(shù)據(jù)傳輸及存儲異地備份網(wǎng)絡(luò)冗余、硬件冗余本地完全備份硬件冗余檢測和恢復(fù)數(shù)據(jù)保密性鑒別數(shù)據(jù)存儲的保密性各類數(shù)據(jù)的傳輸及存儲每天1次備份介質(zhì)場外存放數(shù)據(jù)完整性鑒別數(shù)據(jù)傳輸?shù)耐暾詡浞莺突謴?fù)重要數(shù)據(jù)的備份數(shù)據(jù)安技術(shù)整改措施示意第3級技第3級管理整改措施示意第3級管第3級應(yīng)堅持的基本原則上網(wǎng)的機器不觸“敏”怎么能保證上網(wǎng)機未觸及敏感信息觸“敏”的機器不上網(wǎng)或者嚴控上網(wǎng)怎么能保證觸“敏”機安全連接外部網(wǎng)絡(luò)嚴禁介質(zhì)交叉使用如何嚴控一般介質(zhì)插入觸敏機使用如何嚴控敏感介質(zhì)插入一般機使用應(yīng)堅持的基本原則上網(wǎng)的機器不觸“敏”對安全保障的感想基于主動防御的思想，保護信息資產(chǎn)基于信息流的資產(chǎn)、風(fēng)險全程識別與控制正視現(xiàn)實，按照等級保護的要求制定適宜安全策略重視殘余風(fēng)險的識別與控制綜合、專業(yè)的安全運維和管理人、安全意識核心對安全保障的感想基于主動防御的思想，保護信息資產(chǎn)人、安全謝謝。謝謝。等級保護基本要求概述等級保護基本要求控制點一級二級三級四級物理位置的選擇***物理訪問控制****防盜竊和防破壞****防雷擊****防火****防水和防潮****防靜電***溫濕度控制****電力供應(yīng)－A****電磁