信息安全等級保護(hù)技術(shù)

11提綱等級保護(hù)總體介紹2等級保護(hù)定級介紹1等級保護(hù)設(shè)計實施3等級保護(hù)系統(tǒng)測評42什么是信息安全等級保護(hù)信息安全等級保護(hù)，是指對國家秘密信息及公民、法人和其他組織的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。

－－《信息安全等級保護(hù)管理辦法（試行）》

3等級保護(hù)的政策法規(guī)《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》（1994年）其中規(guī)定，“計算機信息系統(tǒng)實行安全等級保護(hù)，安全等級的劃分標(biāo)準(zhǔn)和安全等級保護(hù)的具體辦法，由公安部會同有關(guān)部門制定”

信息系統(tǒng)安全等級保護(hù)的政策法規(guī)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）《關(guān)于信息安全等級保護(hù)工作的實施意見》（公通字[2004]66號）《信息安全等級保護(hù)管理辦法》（公通字[2007]43號）《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》（公信安[2007]861號）《關(guān)于印發(fā)北京市開展信息安全等級保護(hù)工作的實施方案的通知》(京公網(wǎng)監(jiān)字[2007]788號)

4等級保護(hù)的技術(shù)標(biāo)準(zhǔn)和管理規(guī)范基礎(chǔ)標(biāo)準(zhǔn)：《計算機信息系統(tǒng)安全等級保護(hù)劃分準(zhǔn)則》（GB17859）基線標(biāo)準(zhǔn)：《信息系統(tǒng)安全等級保護(hù)基本要求》（國標(biāo)報批稿）輔助標(biāo)準(zhǔn)：《信息系統(tǒng)安全等級保護(hù)定級指南》（國標(biāo)報批稿）《信息系統(tǒng)安全等級保護(hù)實施指南》（國標(biāo)報批稿）《信息系統(tǒng)安全等級保護(hù)測評要求》（國標(biāo)報批稿）目標(biāo)標(biāo)準(zhǔn)：《信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271）《網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270）《操作系統(tǒng)安全技術(shù)要求》（GB/T20272）《數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273）《終端計算機系統(tǒng)安全等級技術(shù)要求》（GA/T671）《信息系統(tǒng)安全管理要求》（GB/T20269）《信息系統(tǒng)安全工程管理要求》（GB/T20282）5技術(shù)標(biāo)準(zhǔn)和管理規(guī)范的作用技術(shù)標(biāo)準(zhǔn)和管理規(guī)范信息系統(tǒng)定級信息系統(tǒng)安全建設(shè)或改建安全狀況達(dá)到等級保護(hù)要求的信息系統(tǒng)6等級變更局部調(diào)整信息系統(tǒng)定級總體安全規(guī)劃安全設(shè)計與實施安全運行維護(hù)信息系統(tǒng)終止信息系統(tǒng)安全等級保護(hù)流程安全等級評測7標(biāo)準(zhǔn)規(guī)范在等級保護(hù)流程中的作用安全控制定級指南過程方法確定系統(tǒng)等級啟動采購/開發(fā)實施運行/維護(hù)廢棄確定安全需求設(shè)計安全方案安全建設(shè)安全測評監(jiān)督管理運行維護(hù)暫不考慮特殊需求等級需求基本要求產(chǎn)品使用選型監(jiān)督管理測評準(zhǔn)則流程方法監(jiān)管流程應(yīng)急預(yù)案應(yīng)急響應(yīng)8三種受侵害的客體體現(xiàn)了三種不同層次、不同覆蓋范圍的社會關(guān)系國家安全體現(xiàn)了國家層面、與全局相關(guān)的國家政治安全、軍事安全、經(jīng)濟安全、社會安全、科技安全和資源環(huán)境安全等方面利益。社會秩序和公共利益包括社會的政治、經(jīng)濟、生產(chǎn)、生活、科研、工作等各方面的正常秩序。公共利益是指不特定的社會成員所共同享有的，維持其生產(chǎn)、生活、教育、衛(wèi)生等方面的利益。合法權(quán)益是法律確認(rèn)的并受法律保護(hù)的公民、法人和其他組織所享有的一定的社會權(quán)利和利益，三類受侵害客體9定級要素與安全保護(hù)等級的關(guān)系受侵害的客體對客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級10安全全保保護(hù)護(hù)等等級級的的劃劃分分1111提綱綱等級級保保護(hù)護(hù)總總體體介介紹紹1等級級保保護(hù)護(hù)定定級級介介紹紹等級級保保護(hù)護(hù)設(shè)設(shè)計計實實施施32等級級保保護(hù)護(hù)系系統(tǒng)統(tǒng)測測評評412信息息系系統(tǒng)統(tǒng)安安全全保保護(hù)護(hù)等等級級定定級級原原則則等級級確確定定原原則則和和要要求求“自主主定定級級、、自自主主保保護(hù)護(hù)”與與國家家監(jiān)監(jiān)管管相統(tǒng)統(tǒng)一一原原則則“誰主主管管誰誰負(fù)負(fù)責(zé)責(zé)，，誰誰運運營營誰誰負(fù)負(fù)責(zé)責(zé)”的的原原則則定級級工工作作的的要要求求加強強領(lǐng)領(lǐng)導(dǎo)導(dǎo)，，落落實實保保障障明確確責(zé)責(zé)任任，，密密切切配配合合動員員部部署署，，開開展展培培訓(xùn)訓(xùn)及時時總總結(jié)結(jié)，，提提出出建建議議13S類—業(yè)務(wù)務(wù)信信息息安安全全保保護(hù)護(hù)類類，關(guān)關(guān)注注的的是是保保護(hù)護(hù)數(shù)數(shù)據(jù)據(jù)在在存存儲儲、、傳傳輸輸、、處處理理過過程程中中不不被被泄泄漏漏、、破破壞壞和和免免受受未未授授權(quán)權(quán)的的修修改改A類—系統(tǒng)統(tǒng)服服務(wù)務(wù)安安全全保保護(hù)護(hù)類類，關(guān)關(guān)注注的的是是保保護(hù)護(hù)系系統(tǒng)統(tǒng)連連續(xù)續(xù)正正常常的的運運行行，，避避免免因因?qū)ο迪到y(tǒng)統(tǒng)的的未未授授權(quán)權(quán)修修改改、、破破壞壞而而導(dǎo)導(dǎo)致致系系統(tǒng)統(tǒng)不不可可用用G類—通用用安安全全保保護(hù)護(hù)類類，既既關(guān)關(guān)注注保保護(hù)護(hù)業(yè)業(yè)務(wù)務(wù)信信息息的的安安全全性性，，同同時時也也關(guān)關(guān)注注保保護(hù)護(hù)系系統(tǒng)統(tǒng)的的連連續(xù)續(xù)可可用用性性例如如，，以以S2表示示2級的的業(yè)業(yè)務(wù)務(wù)信信息息安安全全保保護(hù)護(hù)類類要要求求，，A3表示示3級的的系系統(tǒng)統(tǒng)服服務(wù)務(wù)安安全全保保護(hù)護(hù)類類要要求求。。信息系統(tǒng)三類類要求14信息系統(tǒng)三類類要求之間的的關(guān)系通用安全保護(hù)護(hù)類要求（G）業(yè)務(wù)信息安全全類（S）系統(tǒng)服務(wù)保證證類（A）安全要求15信息系統(tǒng)安全全保護(hù)等級的的確定1、確定定級對對象3、綜合評定對對客體的侵害害程度2、確定業(yè)務(wù)信信息安全受到到破壞時所侵侵害的客體4、業(yè)務(wù)信息安安全等級6、綜合評定對對客體的侵害害程度5、確定系統(tǒng)服服務(wù)安全受到到破壞時所侵侵害的客體7、系統(tǒng)服務(wù)安安全等級8、定級對象的的安全保護(hù)等等級16安全保護(hù)和系系統(tǒng)定級的關(guān)關(guān)系安全等級信息系統(tǒng)保護(hù)要求的組合第一級S1A1G1第二級S1A2G2，S2A2G2，S2A1G2第三級S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4定級指南要求求按照“業(yè)務(wù)務(wù)信息”和““系統(tǒng)服務(wù)””的需求確定定整個系統(tǒng)的的安全保護(hù)等等級系統(tǒng)的安全保保護(hù)等級=L(信息等級，服服務(wù)等級)=Max(信息等級，服服務(wù)等級）例如：L(3,1)=L(3,2)=L(3,3)=L(1,3)=L(2,3)=31717提綱等級保護(hù)總體體介紹1等級保護(hù)定級級介紹等級保護(hù)設(shè)計計實施23等級保護(hù)系統(tǒng)統(tǒng)測評418《基本要求》》的作用安全保護(hù)能力力基本安全要求求每個等級的信信息系統(tǒng)基本技術(shù)措施施基本管理措施施具備包含包含滿足滿足實現(xiàn)19《基本要求》核心思路信息系統(tǒng)技術(shù)要求管理要求基本要求建立安全技術(shù)術(shù)體系建立安全管理理體系具有某級安全全保護(hù)能力的的系統(tǒng)20各級系統(tǒng)的保保護(hù)要求差異異（宏觀）一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)防護(hù)防護(hù)/監(jiān)測策略/防護(hù)/監(jiān)測/恢復(fù)策略/防護(hù)/監(jiān)測/恢復(fù)/響應(yīng)21各級系統(tǒng)的保保護(hù)要求差異異（宏觀）一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)通信/邊界（基本））通信/邊界/內(nèi)部（關(guān)鍵設(shè)設(shè)備）通信/邊界/內(nèi)部（主要設(shè)設(shè)備）通信/邊界/內(nèi)部/基礎(chǔ)設(shè)施（所所有設(shè)備）22各級系統(tǒng)的保保護(hù)管理要求求差異（宏觀觀）一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)計劃和跟蹤（（主要制度））計劃和跟蹤（（主要制度））良好定義（管管理活動制度度化）持續(xù)改進(jìn)（管管理活動制度度化/及時改進(jìn)）23各級系統(tǒng)的保保護(hù)要求差異異（微觀）信息系統(tǒng)物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機安全應(yīng)用安全數(shù)據(jù)安全安全管理機構(gòu)構(gòu)安全管理制度度人員安全管理理系統(tǒng)建設(shè)管理理系統(tǒng)運維管理理24各級系統(tǒng)安全全保護(hù)要求-物理安全控制點一級二級三級四級物理位置的選擇***物理訪問控制****防盜竊和防破壞****防雷擊****防火****防水和防潮****防靜電***溫濕度控制****電力供應(yīng)****電磁防護(hù)***合計710101025各級系統(tǒng)安全全保護(hù)要求-物理安全一級物理安全全要求：主要要求對對物理環(huán)境進(jìn)進(jìn)行基本的防防護(hù)，對出入入進(jìn)行基本控控制，環(huán)境安安全能夠?qū)ψ宰匀煌{進(jìn)行行基本的防護(hù)護(hù)，電力則要要求提供供電電電壓的正常常。二級物理安全全要求：對物理安全全進(jìn)行了進(jìn)一一步的防護(hù)，，不僅對出入入進(jìn)行基本的的控制，對進(jìn)進(jìn)入后的活動動也要進(jìn)行控控制；物理環(huán)環(huán)境方面，則則加強了各方方面的防護(hù)，，采取更細(xì)的的要求來多方方面進(jìn)行防護(hù)護(hù)。三級物理安全全要求：對出入加強強了控制，做做到人、電子子設(shè)備共同監(jiān)監(jiān)控；物理環(huán)環(huán)境方面，進(jìn)進(jìn)一步采取各各種控制措施施來進(jìn)行防護(hù)護(hù)。如，防火火要求，不僅僅要求自動消消防系統(tǒng)，而而且要求區(qū)域域隔離防火，，建筑材料防防火等方面，，將防火的范范圍增大，從從而使火災(zāi)發(fā)發(fā)生的幾率和和損失降低。。四級物理安全全要求：對機房出入入的要求進(jìn)一一步增強，要要求多道電子子設(shè)備監(jiān)控；；物理環(huán)境方方面，要求采采用一定的防防護(hù)設(shè)備進(jìn)行行防護(hù)，如靜靜電消除裝置置等。26各級系統(tǒng)安全全保護(hù)要求-網(wǎng)絡(luò)安全控制點一級二級三級四級結(jié)構(gòu)安全****訪問控制****安全審計***邊界完整性檢查***入侵防范***惡意代碼防范**網(wǎng)絡(luò)設(shè)備防護(hù)****合計367727各級系統(tǒng)安全全保護(hù)要求-網(wǎng)絡(luò)安全一級網(wǎng)絡(luò)安全全要求：主要提供網(wǎng)網(wǎng)絡(luò)安全運行行的基本保障障，包括網(wǎng)絡(luò)絡(luò)結(jié)構(gòu)能夠基基本滿足業(yè)務(wù)務(wù)運行需要，，網(wǎng)絡(luò)邊界處處對進(jìn)出的數(shù)數(shù)據(jù)包頭進(jìn)行行基本過濾等等訪問控制措措施。二級網(wǎng)絡(luò)安全全要求：不僅要滿足足網(wǎng)絡(luò)安全運運行的基本保保障，同時還還要考慮網(wǎng)絡(luò)絡(luò)處理能力要要滿足業(yè)務(wù)極極限時的需要要。對網(wǎng)絡(luò)邊邊界的訪問控控制粒度進(jìn)一一步增強。同同時，加強了了網(wǎng)絡(luò)邊界的的防護(hù)，增加加了安全審計、邊邊界完整性檢檢查、入侵防防范等控制點。對對網(wǎng)絡(luò)設(shè)備的的防護(hù)不僅局局限于簡單的的身份鑒別，，同時對標(biāo)識識和鑒別信息息都有了相應(yīng)應(yīng)的要求。三級網(wǎng)絡(luò)安全全要求：對網(wǎng)絡(luò)處理理能力增加了了“優(yōu)先級””考慮，保證證重要主機能能夠在網(wǎng)絡(luò)擁擁堵時仍能夠夠正常運行；；網(wǎng)絡(luò)邊界的的訪問控制擴擴展到應(yīng)用層層，網(wǎng)絡(luò)邊界界的其他防護(hù)護(hù)措施進(jìn)一步步增強，不僅僅能夠被動的的“防”，還還應(yīng)能夠主動動發(fā)出一些動動作，如報警警、阻斷等。。網(wǎng)絡(luò)設(shè)備的的防護(hù)手段要要求兩種身份份鑒別技術(shù)綜綜合使用。四級網(wǎng)絡(luò)安全全要求：對網(wǎng)絡(luò)邊界界的訪問控制制做出了更為為嚴(yán)格的要求求，禁止遠(yuǎn)程程撥號訪問，，不允許數(shù)據(jù)據(jù)帶通用協(xié)議議通過；邊界界的其他防護(hù)護(hù)措施也加強強了要求。網(wǎng)網(wǎng)絡(luò)安全審計計著眼于全局局，做到集中中審計分析，，以便得到更更多的綜合信信息。網(wǎng)絡(luò)設(shè)設(shè)備的防護(hù)，，在身份鑒別別手段上除要要求兩種技術(shù)術(shù)外，其中一一種鑒別技術(shù)術(shù)必須是不可可偽造的，進(jìn)進(jìn)一步加強了了對網(wǎng)絡(luò)設(shè)備備的防護(hù)。28網(wǎng)絡(luò)安全程度度說明結(jié)構(gòu)安全：1級提供基本保保障；2級要滿足高峰峰需要并以網(wǎng)網(wǎng)段形式分隔隔；3級增加優(yōu)先級保障重要主機機；4級同3級訪問控制：1級進(jìn)行包頭信信息的過濾；；2級根據(jù)會話過過濾、粒度細(xì)細(xì)化、限制訪訪問用戶數(shù)量量；3級過濾粒度擴擴展到了應(yīng)用用層，對設(shè)備備接入網(wǎng)絡(luò)進(jìn)進(jìn)行控制；4級對數(shù)據(jù)協(xié)議以及及敏感標(biāo)記進(jìn)進(jìn)行控制，禁止遠(yuǎn)程撥撥號訪問安全審計：2級記錄設(shè)備運運行和網(wǎng)絡(luò)流流量；3級要求分析形形成報表、保保護(hù)審計記錄錄；4級設(shè)置審計跟跟蹤極限閾值值，做到集中中審計。（其其中要求發(fā)出報警、阻阻斷工作）29網(wǎng)絡(luò)安全程度度說明邊界完整性檢檢查：2級檢測到內(nèi)部部的非法聯(lián)出出情況；3級能夠準(zhǔn)確定位并阻阻斷；4級同3級入侵防范：2級能夠檢測常常見攻擊的發(fā)發(fā)生；3級能發(fā)出報警警；4級自動采取相相應(yīng)動作阻斷惡意代碼防范范：3級、4級在網(wǎng)絡(luò)邊界界處防范惡意意代碼，并保保持代碼庫的的及時更新網(wǎng)絡(luò)設(shè)備防護(hù)護(hù)：1級基本的登錄錄鑒別；2級鑒別標(biāo)識唯唯一、鑒別信信息復(fù)雜；；3級兩種以上鑒鑒別技術(shù)，特特權(quán)用戶權(quán)限限分離；4級其中一種鑒鑒別技術(shù)為是是不可偽造的的30各級系統(tǒng)安全全保護(hù)要求-主機安全控制點一級二級三級四級身份鑒別****安全標(biāo)記*訪問控制****可信路徑*安全審計***剩余信息保護(hù)**入侵防范****惡意代碼防范****資源控制***合計467931各級系統(tǒng)安全全保護(hù)要求-主機安全一級主機系統(tǒng)統(tǒng)安全要求：：對主機進(jìn)行基基本的防護(hù)，，要求主機做做到簡單的身身份鑒別，粗粗粒度的訪問問控制以及重重要主機能夠夠進(jìn)行惡意代代碼防范。二級主機系統(tǒng)統(tǒng)安全要求：：在控制點上增增加了安全審計和資資源控制等。同時，對對身份鑒別和和訪問控制都都進(jìn)一步加強強，鑒別的標(biāo)標(biāo)識、信息等等都提出了具具體的要求；；訪問控制的的粒度進(jìn)行了了細(xì)化等，惡惡意代碼增加加了統(tǒng)一管理理等。三級主機系統(tǒng)統(tǒng)安全要求：在控制點上上增加了剩余信息保護(hù)護(hù)，即，訪問控控制增加了設(shè)設(shè)置敏感標(biāo)記記等，力度變變強。同樣，，身份鑒別的的力度進(jìn)一步步增強，要求求兩種以上鑒鑒別技術(shù)同時時使用。安全全審計已不滿滿足于對安全全事件的記錄錄，而要進(jìn)行行分析、生成成報表。對惡惡意代碼的防防范綜合考慮慮網(wǎng)絡(luò)上的防防范措施，做做到二者相互互補充。對資資源控制的增增加了對服務(wù)務(wù)器的監(jiān)視和和最小服務(wù)水水平的監(jiān)測和和報警等。四級主機系統(tǒng)統(tǒng)安全要求：在控制點上上增加了安全標(biāo)記和可可信路徑，其他控制點點在強度上也也分別增強，，如，身份鑒鑒別要求使用用不可偽造的的鑒別技術(shù)，，訪問控制要要求部分按照照強制訪問控控制的力度實實現(xiàn)，安全審審計能夠做到到統(tǒng)一集中審審計等。32各級系統(tǒng)安全全保護(hù)要求-應(yīng)用安全控制點一級二級三級四級身份鑒別****安全標(biāo)記*訪問控制****可信路經(jīng)*安全審計***剩余信息保護(hù)**通信完整性****通信保密性***抗抵賴**軟件容錯****資源控制***合計4791133各級系統(tǒng)安全全保護(hù)要求-應(yīng)用安全一級應(yīng)用安全全要求：對應(yīng)用進(jìn)行基基本的防護(hù)，，要求做到簡簡單的身份鑒鑒別，粗粒度度的訪問控制制以及數(shù)據(jù)有有效性檢驗等等基本防護(hù)。。二級應(yīng)用安全全要求：在控制點上增增加了安全審計、通通信保密性和和資源控制等。同時，對對身份鑒別和和訪問控制都都進(jìn)一步加強強，鑒別的標(biāo)標(biāo)識、信息等等都提出了具具體的要求。。訪問控制的的粒度進(jìn)行了了細(xì)化，對通通信過程的完完整性保護(hù)提提出了特定的的校驗碼技術(shù)術(shù)。應(yīng)用軟件件自身的安全全要求進(jìn)一步步增強，軟件件容錯能力增增強。三級應(yīng)用安全全要求：在控制點上上增加了剩余信息保護(hù)護(hù)和抗抵賴等等。同時，身份份鑒別的力度度進(jìn)一步增強強，要求組合合鑒別技術(shù)，，訪問控制增增加了敏感標(biāo)標(biāo)記功能，安安全審計已不不滿足于對安安全事件的記記錄，而要進(jìn)進(jìn)行分析等。。對通信過程程的完整性保保護(hù)提出了特特定的密碼技技術(shù)。應(yīng)用軟軟件自身的安安全要求進(jìn)一一步增強，軟軟件容錯能力力增強，增加加了自動保護(hù)護(hù)功能。四級應(yīng)用安全全要求：在控制點上上增加了安全標(biāo)記和可可信路徑等。部分控制點點在強度上進(jìn)進(jìn)一步增強，，如，身份鑒鑒別要求使用用不可偽造的的鑒別技術(shù)，，安全審計能能夠做到統(tǒng)一一安全策略提提供集中審計計接口等，軟軟件應(yīng)具有自自動恢復(fù)的能能力等。34各級系統(tǒng)安全全保護(hù)要求-數(shù)據(jù)安全及備備份恢復(fù)控制點一級二級三級四級數(shù)據(jù)完整性****數(shù)據(jù)保密性***備份和恢復(fù)****合計233335各級系統(tǒng)安全全保護(hù)要求-數(shù)據(jù)安全及備備份恢復(fù)一級數(shù)據(jù)安全全及備份恢復(fù)復(fù)要求：對數(shù)據(jù)完整整性用戶數(shù)據(jù)據(jù)在傳輸過程程提出要求，，能夠檢測出出數(shù)據(jù)完整性性受到破壞；；同時能夠?qū)χ匾畔⑦M(jìn)進(jìn)行備份。二級數(shù)據(jù)及備備份恢復(fù)安全全要求：對數(shù)據(jù)完整整性的要求增增強，范圍擴擴大，要求鑒鑒別信息和重重要業(yè)務(wù)數(shù)據(jù)據(jù)在傳輸過程程中都要保證證其完整性。。對數(shù)據(jù)保密密性要求實現(xiàn)現(xiàn)鑒別信息存存儲保密性，，數(shù)據(jù)備份增增強，要求一一定的硬件冗冗余。三級數(shù)據(jù)及備備份恢復(fù)安全全要求：對數(shù)據(jù)完整整性的要求增增強，范圍擴擴大，增加了了系統(tǒng)管理數(shù)數(shù)據(jù)的傳輸完完整性，不僅僅能夠檢測出出數(shù)據(jù)受到破破壞，并能進(jìn)進(jìn)行恢復(fù)。對對數(shù)據(jù)保密性性要求范圍擴擴大到實現(xiàn)系系統(tǒng)管理數(shù)據(jù)據(jù)、鑒別信息息和重要業(yè)務(wù)務(wù)數(shù)據(jù)的傳輸輸和存儲的保保密性，數(shù)據(jù)據(jù)的備份不僅僅要求本地完完全數(shù)據(jù)備份份，還要求異異地備份和冗冗余網(wǎng)絡(luò)拓?fù)鋼?。四級?shù)數(shù)據(jù)及及備份份恢復(fù)復(fù)安全全要求求：為進(jìn)進(jìn)一步步保證證數(shù)據(jù)據(jù)的完完整性性和保保密性性，提提出使使用專專有的的安全全協(xié)議議的要要求。。同時時，備備份方方式增增加了了建立立異地地適時時災(zāi)難難備份份中心心，在在災(zāi)難難發(fā)生生后系系統(tǒng)能能夠自自動切切換和和恢復(fù)復(fù)。36各級系系統(tǒng)安安全保保護(hù)要要求-安全管管理制制度控制點一級二級三級四級管理制度****制定和發(fā)布****評審和修訂***合計233337各級系系統(tǒng)安安全保保護(hù)要要求-安全管管理制制度一級安安全管管理制制度要要求：主要要明確確了制制定日日常常常用的的管理理制度度，并并對管管理制制度的的制定定和發(fā)發(fā)布提提出基基本要要求。。二級安安全管管理制制度要要求：在控控制點點上增增加了了評審和和修訂訂，管理理制度度增加加了總總體方方針和和安全全策略略，和和對各各類重重要操操作建建立規(guī)規(guī)程的的要求求，并并且管管理制制度的的制定定和發(fā)發(fā)布要要求組組織論論證。。三級安安全管管理制制度要要求：在二二級要要求的的基礎(chǔ)礎(chǔ)上，，要求求機構(gòu)構(gòu)形成成信息息安全全管理理制度度體系系，對對管理理制度度的制制定要要求和和發(fā)布布過程程進(jìn)一一步嚴(yán)嚴(yán)格和和規(guī)范范。對對安全全制度度的評評審和和修訂訂要求求領(lǐng)導(dǎo)導(dǎo)小組組的負(fù)負(fù)責(zé)。。四級安安全管管理制制度要要求：在三三級要要求的的基礎(chǔ)礎(chǔ)上，，主要要考慮慮了對對帶有有密級級的管管理制制度的的管理理和管管理制制度的的日常常維護(hù)護(hù)等。。38各級系系統(tǒng)安安全保保護(hù)要要求-安全管管理機機構(gòu)安全管管理，，首先先要建建立一一個健健全、、務(wù)實實、有有效、、統(tǒng)一一指揮揮、統(tǒng)統(tǒng)一步步調(diào)的的完善善的安安全管管理機機構(gòu)，，明確確機構(gòu)構(gòu)成員員的安安全職職責(zé)，，這是是信息息安全全管理理得以以實施施、推推廣的的基礎(chǔ)礎(chǔ)。在在單位位的內(nèi)內(nèi)部結(jié)結(jié)構(gòu)上上必須須建立立一整整套從從單位位最高高管理理層（（董事事會））到執(zhí)執(zhí)行管管理層層以及及業(yè)務(wù)務(wù)運營營層的的管理理結(jié)構(gòu)構(gòu)來約約束和和保證證各項項安全全管理理措施施的執(zhí)執(zhí)行。。其主主要工工作內(nèi)內(nèi)容包包括對對機構(gòu)構(gòu)內(nèi)重重要的的信息息安全全工作作進(jìn)行行授權(quán)權(quán)和審審批、、內(nèi)部部相關(guān)關(guān)業(yè)務(wù)務(wù)部門門和安安全管管理部部門之之間的的溝通通協(xié)調(diào)調(diào)以及及與機機構(gòu)外外部各各類單單位的的合作作、定定期對對系統(tǒng)統(tǒng)的安安全措措施落落實情情況進(jìn)進(jìn)行檢檢查，，以發(fā)發(fā)現(xiàn)問問題進(jìn)進(jìn)行改改進(jìn)。。安全管管理機機構(gòu)主主要包包括：：崗位設(shè)設(shè)置、、人員員配備備、授授權(quán)和和審批批、溝溝通和和合作作以及及審核核和檢檢查等五個個控制制點。。39各級系系統(tǒng)安安全保保護(hù)要要求-安全管管理機機構(gòu)控制點一級二級三級四級崗位設(shè)置****人員配備****授權(quán)和審批****溝通和合作****審核和檢查***合計455540各級系系統(tǒng)安安全保保護(hù)要要求-安全管管理機機構(gòu)一級安安全管管理機機構(gòu)要要求：主要要要求求對開開展信信息安安全工工作的的基本本工作作崗位位進(jìn)行行配備備，對對機構(gòu)構(gòu)重要要的安安全活活動進(jìn)進(jìn)行審審批，，加強強對外外的溝溝通和和合作作。二級安安全管管理機機構(gòu)要要求：：在控制制點上上增加加了審核和和檢查查，同時時，在在一級級基礎(chǔ)礎(chǔ)上，，明確確要求求設(shè)立立安全全主管管等重重要崗崗位；；人員員配備備方面面提出出安全全管理理員不不可兼兼任其其它崗崗位原原則；；溝通通與合合作的的范圍圍增加加與機機構(gòu)內(nèi)內(nèi)部及及與其其他部部門的的合作作和溝溝通。。三級安安全管管理機機構(gòu)要要求：對于于崗位位設(shè)置置，不不僅要要求設(shè)設(shè)置信信息安安全的的職能能部門門，而而且機機構(gòu)上上層應(yīng)應(yīng)有一一定的的領(lǐng)導(dǎo)導(dǎo)小組組全面面負(fù)責(zé)責(zé)機構(gòu)構(gòu)的信信息安安全全全局工工作。。授權(quán)權(quán)審批批方面面加強強了授授權(quán)流流程控控制以以及階階段性性審查查。溝溝通與與合作作方面面加強強了與與外部部組織織的溝溝通和和合作作，并并聘用用安全全顧問問。同同時對對審核核和檢檢查工工作進(jìn)進(jìn)一步步規(guī)范范。四級安安全管管理機機構(gòu)要要求：同三三級要要求。。41各級系系統(tǒng)安安全保保護(hù)要要求-人員安安全管管理控制點一級二級三級四級人員錄用****人員離崗****人員考核***安全意識教育和培訓(xùn)****外部人員訪問管理****合計455542各級系系統(tǒng)安安全保保護(hù)要要求-人員安安全管管理一級人人員安安全管管理要要求：對人人員在在機構(gòu)構(gòu)的工工作周周期（（即，，錄用用、日日常培培訓(xùn)、、離崗崗）的的活動動提出出基本本的管管理要要求。。同時時，對對外部部人員員訪問問要求求得到到授權(quán)權(quán)和審審批。。二級人人員安安全管管理要要求：在控控制點點上增增加了了人員考考核，對人人員的的錄用用和離離崗要要求進(jìn)進(jìn)一步步增強強，過過程性性要求求增加加，安安全教教育培培訓(xùn)更更正規(guī)規(guī)化，，對外外部人人員的的訪問問活動動約束束其訪訪問行行為。。三級人人員安安全管管理要要求：在二二級要要求的的基礎(chǔ)礎(chǔ)上，，增強強了對對關(guān)鍵鍵崗位位人員員的錄錄用、、離崗崗和考考核要要求，，對人人員的的培訓(xùn)訓(xùn)教育育更具具有針針對性性，外外部人人員訪訪問要要求更更具體體。四級人人員安安全管管理要要求：在三三級要要求的的基礎(chǔ)礎(chǔ)上，，提出出了保保密要要求和和關(guān)鍵鍵區(qū)域域禁止止外部部人員員訪問問的要要求。。43各級系系統(tǒng)安安全保保護(hù)要要求-系統(tǒng)建建設(shè)管管理控制點一級二級三級四級系統(tǒng)定級****安全方案設(shè)計****產(chǎn)品采購和使用****自行軟件開發(fā)****外包軟件開發(fā)****工程實施****測試驗收****系統(tǒng)交付****系統(tǒng)備案***等級測評***安全服務(wù)商選擇****合計99111144各級系系統(tǒng)安安全保保護(hù)要要求-系統(tǒng)建建設(shè)管管理一級系系統(tǒng)建建設(shè)管管理要要求：對系系統(tǒng)建建設(shè)整整體過過程所所涉及及的各各項活活動進(jìn)進(jìn)行基基本的的規(guī)范范，如如，先先定級級，方方案準(zhǔn)準(zhǔn)備、、安全全產(chǎn)品品按要要求采采購，，軟件件開發(fā)發(fā)（自自行、、外包包）的的基本本安全全，實實施的的基本本管理理，建建設(shè)后后的安安全性性驗收收、交交付等等都進(jìn)進(jìn)行要要求。。二級系系統(tǒng)建建設(shè)管管理要要求：在控控制點點上增增加了了系統(tǒng)備備案和和安全全測評評，增加加了某某些活活動的的文檔檔化要要求，，如軟軟件開開發(fā)管管理制制度，，工程程實施施應(yīng)有有實施施方案案要求求等。。同時時，對對安全全方案案、驗驗收報報告等等增加加了審審定要要求，，產(chǎn)品品的采采購增增加了了密碼碼產(chǎn)品品的采采購要要求等等。三級級系系統(tǒng)統(tǒng)建建設(shè)設(shè)管管理理要要求求：對對建建設(shè)設(shè)過過程程的的各各項項活活動動都都要要求求進(jìn)進(jìn)行行制制度度化化規(guī)規(guī)范范，，按按照照制制度度要要求求進(jìn)進(jìn)行行活活動動的的開開展展。。對對建建設(shè)設(shè)前前的的安安全全方方案案設(shè)設(shè)計計提提出出體體系系化化要要求求，，并并加加強強了了對對其其的的論論證證工工作作。。四級級系系統(tǒng)統(tǒng)建建設(shè)設(shè)管管理理要要求求：主主要要對對軟軟件件開開發(fā)發(fā)活活動動進(jìn)進(jìn)一一步步加加強強了了要要求求，，以以保保證證軟軟件件開開發(fā)發(fā)的的安安全全性性。。對對工工程程實實施施過過程程提提出出了了監(jiān)監(jiān)理理要要求求。。45各級級系系統(tǒng)統(tǒng)安安全全保保護(hù)護(hù)要要求求-系統(tǒng)統(tǒng)運運維維管管理理控制點一級二級三級四級環(huán)境管理****資產(chǎn)管理****介質(zhì)管理****設(shè)備管理****監(jiān)控管理和安全管理中心****網(wǎng)絡(luò)安全管理****系統(tǒng)安全管理****惡意代碼防范管理****密碼管理***變更管理***備份與恢復(fù)管理****安全事件處置****應(yīng)急預(yù)案管理***合計1013131346各級級系系統(tǒng)統(tǒng)安安全全保保護(hù)護(hù)要要求求-系統(tǒng)統(tǒng)運運維維管管理理一級級系系統(tǒng)統(tǒng)運運維維管管理理要要求求：：主要要對對機機房房運運行行環(huán)環(huán)境境、、資資產(chǎn)產(chǎn)的的隸隸屬屬管管理理、、介介質(zhì)質(zhì)的的保保存存、、設(shè)設(shè)備備維維護(hù)護(hù)使使用用管管理理等等方方面面提提出出基基本本管管理理要要求求，，使使得得系系統(tǒng)統(tǒng)在在這這些些方方面面的的管管理理下下能能夠夠基基本本運運行行正正常常。。二級級系系統(tǒng)統(tǒng)運運維維管管理理要要求求：：在控控制制點點上上增增加加了了密碼碼管管理理、、變變更更管管理理、、應(yīng)應(yīng)急急預(yù)預(yù)案案管管理理，同同時時加加強強了了其其他他各各方方面面的的要要求求，，主主要要表表現(xiàn)現(xiàn)在在：：對對環(huán)環(huán)境境的的關(guān)關(guān)注注擴擴展展到到辦辦公公環(huán)環(huán)境境的的保保密密性性管管理理；；同同時時提提出出資資產(chǎn)產(chǎn)標(biāo)標(biāo)識識管管理理；；對對介介質(zhì)質(zhì)和和設(shè)設(shè)備備的的出出入入使使用用加加強強控控制制；；網(wǎng)網(wǎng)絡(luò)絡(luò)和和系系統(tǒng)統(tǒng)安安全全方方面面進(jìn)進(jìn)行行制制度度化化管管理理；；對對系系統(tǒng)統(tǒng)內(nèi)內(nèi)發(fā)發(fā)生生的的安安全全事事件件進(jìn)進(jìn)行行分分類類、、分分級級等等。。三級級系系統(tǒng)統(tǒng)運運維維管管理理要要求求：：在控控制制點點上上增增加加了了監(jiān)控控管管理理和和安安全全管管理理中中心心，對對介介質(zhì)質(zhì)、、設(shè)設(shè)備備、、密密碼碼、、變變更更、、備備份份與與恢恢復(fù)復(fù)等等都都采采用用制制度度化化管管理理，，并并更更加加注注意意過過程程管管理理的的控控制制，，其其中中對對介介質(zhì)質(zhì)的的管管理理重重點點關(guān)關(guān)注注了了介介質(zhì)質(zhì)保保密密性性和和可可用用性性管管理理；；安安全全事事件件根根據(jù)據(jù)等等級級分分級級響響應(yīng)應(yīng)，，同同時時加加強強了了對對應(yīng)應(yīng)急急預(yù)預(yù)案案的的演演練練和和審審查查等等。。四級級系系統(tǒng)統(tǒng)運運維維管管理理要要求求：：將機機房房環(huán)環(huán)境境管管理理和和辦辦公公環(huán)環(huán)境境管管理理提提到到同同等等重重要要的的程程度度，，二二者者統(tǒng)統(tǒng)一一管管理理；；對對介介質(zhì)質(zhì)的的管管理理主主要要關(guān)關(guān)注注了了對對介介質(zhì)質(zhì)銷銷毀毀時時的的保保密密管管理理；；應(yīng)應(yīng)急急響響應(yīng)應(yīng)重重點點關(guān)關(guān)注注了了災(zāi)災(zāi)難難恢恢復(fù)復(fù)計計劃劃的的制制定定等等。。47等級級保保護(hù)護(hù)的的設(shè)設(shè)計計實實施施運營營、、使使用用單單位位/安全全服服務(wù)務(wù)商商安全全規(guī)規(guī)劃劃設(shè)設(shè)計計技術(shù)術(shù)體體系系設(shè)設(shè)計計管理理體體系系設(shè)設(shè)計計分期期/分步步安安全全實實施施物理理環(huán)環(huán)境境安安全全建建設(shè)設(shè)機房房、、辦辦公公環(huán)環(huán)境境安安全全建建設(shè)設(shè)網(wǎng)絡(luò)絡(luò)安安全全建建設(shè)設(shè)安全全域域劃劃分分、、邊邊界界設(shè)設(shè)備備設(shè)設(shè)置置、、邊邊界界訪訪問問控控制制、、邊邊界界數(shù)數(shù)據(jù)據(jù)過過濾濾網(wǎng)絡(luò)絡(luò)傳傳輸輸加加密密、、網(wǎng)網(wǎng)絡(luò)絡(luò)協(xié)協(xié)議議保保護(hù)護(hù)、、網(wǎng)網(wǎng)絡(luò)絡(luò)防防病病毒毒等等主機機安安全全防防護(hù)護(hù)操作作系系統(tǒng)統(tǒng)配配置置和和加加固固、、桌桌面面保保護(hù)護(hù)等等應(yīng)用用系系統(tǒng)統(tǒng)安安全全開開發(fā)發(fā)或或改改造造身份份鑒鑒別別、、訪訪問問控控制制、、安安全全審審計計、、傳傳輸輸加加密密等等48實施施方方案案的的設(shè)設(shè)計計過過程程包包括括結(jié)構(gòu)構(gòu)框框架架設(shè)設(shè)計計功能能要要求求設(shè)設(shè)計計性能能要要求求設(shè)設(shè)計計部署署方方案案設(shè)設(shè)計計制定定安安全全策策略略實實現(xiàn)現(xiàn)計計劃劃管理理措措施施實實現(xiàn)現(xiàn)內(nèi)內(nèi)容容設(shè)設(shè)計計形成成系系統(tǒng)統(tǒng)建建設(shè)設(shè)的的安安全全實實施施方方案案等級級保保護(hù)護(hù)實實施施方方案案49系統(tǒng)統(tǒng)建建設(shè)設(shè)的的安安全全實實施施方方案案包包含含以以下下內(nèi)內(nèi)容容本期期建建設(shè)設(shè)目目標(biāo)標(biāo)和和建建設(shè)設(shè)內(nèi)內(nèi)容容技術(shù)術(shù)實實現(xiàn)現(xiàn)框框架架信息息安安全全產(chǎn)產(chǎn)品品或或組組件件功功能能及及性性能能信息息安安全全產(chǎn)產(chǎn)品品或或組組件件部部署署安全全策策略略和和配配置置配套套的的安安全全管管理理建建設(shè)設(shè)內(nèi)內(nèi)容容工程程實實施施計計劃劃項目目投投資資概概算算。。安全全實實施施方方案案內(nèi)內(nèi)容容5050提綱綱等級級保保護(hù)護(hù)總總體體介介紹紹1等級級保保護(hù)護(hù)定定級級介介紹紹等級級保保護(hù)護(hù)設(shè)設(shè)計計實實施施2等級級保保護(hù)護(hù)系系統(tǒng)統(tǒng)測測評評4351測評評原原則則客觀觀性性和和公公證證性性原原則則經(jīng)濟濟性性和和可可重重用用性性原原則則可重重復(fù)復(fù)性性和和可可再再現(xiàn)現(xiàn)性性原原則則結(jié)果果完完善善性性原原則則52測評評內(nèi)內(nèi)容容安全全控控制制測測評評主要要測測評評信信息息安安全全等等級級保保護(hù)護(hù)要要求求的的基基本本安安全全控控制制在在信信息息系系統(tǒng)統(tǒng)中中的的實實施施配配置置情情況況采用用工工作作單單元元方方式式安全全技技術(shù)術(shù)評評測測和和安安全全管管理理評評測測系統(tǒng)統(tǒng)整