信息系統(tǒng)等級保護培訓

1、信息系統(tǒng)等級保護信息系統(tǒng)等級保護第二十六屆世界大學生夏季運動會網(wǎng)絡(luò)信息安全技術(shù)支撐單位一、信息系統(tǒng)等級保護概述一、信息系統(tǒng)等級保護概述二、如何實施等級保護工作二、如何實施等級保護工作培訓內(nèi)容培訓內(nèi)容（一）什么是信息安全等級保護工作？（二）什么是信息系統(tǒng)？（三）等級保護的國家政策與標準規(guī)范（四）等級保護的工作內(nèi)容（五）等級保護的建設(shè)流程（六）等級保護各參與部門的角色定位 信息系統(tǒng)等級保護概述信息系統(tǒng)等級保護概述 信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息

2、系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。信息安全等級保護工作定義信息安全等級保護工作定義信息系統(tǒng)定義信息系統(tǒng)定義 信息系統(tǒng)（ Information System ）是一個由人、計算機及其他外圍設(shè)備等組成的能進行信息的收集、傳遞、存貯、加工、維護和使用的系統(tǒng)。 例如：門戶網(wǎng)站、OA系統(tǒng)、短信平臺、教務(wù)管理系統(tǒng)等等。等級保護的國家政策等級保護的國家政策頒布時間頒布時間文件名稱文件名稱文號文號內(nèi)容及意義內(nèi)容及意義1994年2月18日中華人民共和國計算機信息系統(tǒng)安全保護條例國務(wù)院147號令第一次第一次提出信息系統(tǒng)要實行等級保護，并確定了等級保護的職責單位。2003年9月7日國家信息化領(lǐng)導(dǎo)小組關(guān)于加

3、強信息安全保障工作的意見中辦國辦發(fā)【2003】27號等級保護工作的開展必須分步驟、分階段、有計劃的實施。明確了信息安全等級保護制度的基本內(nèi)容基本內(nèi)容。2004年9月15日關(guān)于信息安全等級保護工作的實施意見公通字【2004】66號將等級保護從計算機信息系統(tǒng)安全保護的一項制度提升到國家信息安全保障的一項基本制度基本制度。2007年6月22日信息安全等級保護管理辦法公通字200743號明確了信息安全等級保護制度的基基本內(nèi)容、流程及工作要求本內(nèi)容、流程及工作要求，明確了信息系統(tǒng)運營使用單位和主管部門、監(jiān)管部門在信息安全等級保護工作中的職責、任務(wù)職責、任務(wù)。2007年7月16日關(guān)于開展全國重要信息系統(tǒng)安

4、全等級保護定級工作的通知公信安2007861號就定級范圍、定級工作主要內(nèi)容、定級范圍、定級工作主要內(nèi)容、定級工作要求定級工作要求等事項進行了通知。GB17859-1999 計算機信息系統(tǒng)安全保護等級劃分準則GB/T20269-2006 信息系統(tǒng)安全管理要求GB/T20282-2006 信息安全技術(shù) 信息系統(tǒng)安全工程管理要求GB/T 20270-2006信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T 20271-2006信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求GB/T 20272-2006信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求GB/T 20273-2006信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)通用安全技術(shù)要求GB/

5、T22239-2008信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求GB/T 22240-2008信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南GB/T 25070-2010信息安全技術(shù) 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求GB/T 25058-2010信息安全技術(shù) 信息系統(tǒng)安全等級保護實施指南GB/T20009-2005信息安全技術(shù) 操作系統(tǒng)安全評估準則國家已出臺70多個國標、行標以及報批標準，從基礎(chǔ)、設(shè)計、實施、管理、制度等各個方面對等保系統(tǒng)提出了要求和建議。等級保護技術(shù)標準規(guī)范等級保護技術(shù)標準規(guī)范計算機信息系統(tǒng)安全保護等級劃分準則（GB 17859-1999） 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求

6、 （GB/T 20271-2006） 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求 （GB/T 20272-2006）信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求（GB/T 22239-2008）信息安全技術(shù) 信息系統(tǒng)安全等級保護設(shè)計技術(shù)要求（ GB/T 25070-2010 ） 面向評估者技術(shù)標準：面向評估者技術(shù)標準： 面向建設(shè)者技術(shù)標準：面向建設(shè)者技術(shù)標準：等級保護技術(shù)標準規(guī)范等級保護技術(shù)標準規(guī)范信息安全技術(shù) 信息系統(tǒng)安全工程管理要求（GB/T 20282-2006）信息系統(tǒng)安全管理體系標準（ISO/IEC 27001） 信息安全技術(shù) 信息系統(tǒng)安全等級保護實施指南（ GB/T 25058-2010 ）

7、 管理類標準：管理類標準：等保方案類標準：等保方案類標準：系統(tǒng)定級類標準：系統(tǒng)定級類標準：信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南（GB/T 22240-2008） 等級保護技術(shù)標準規(guī)范等級保護技術(shù)標準規(guī)范信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求（GB/T 22239-2008）信息安全技術(shù) 信息系統(tǒng)安全等級保護設(shè)計技術(shù)要求（ GB/T 25070-2010 ）計算機信息系統(tǒng)安全保護等級劃分準則（GB 17859-1999） 國家已出臺約70余個標準，重點需要了解的有：信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南（GB/T 22240-2008） 等級保護技術(shù)標準規(guī)范等級保護技術(shù)標準規(guī)范等級

8、保護思路等級保護思路不同級別信息系統(tǒng)重要程度不同應(yīng)對威脅的能力（威脅弱點）具有不同的安全保護能力不同的基本要求 某級信息系統(tǒng)技術(shù)要求管理要求基本要求建立安全技術(shù)體系建立安全管理體系具有某級安全保護能力的系統(tǒng)等級保護建設(shè)目標等級保護建設(shè)目標物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機安全應(yīng)用安全數(shù)據(jù)安全安全管理機構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理等級保護建設(shè)要求等級保護建設(shè)要求環(huán)境安全防其他自然災(zāi)害機房與設(shè)施安全環(huán)境與人員安全設(shè)備安全防止電磁泄露發(fā)射防盜與防毀防電磁干擾介質(zhì)安全介質(zhì)的管理介質(zhì)的分類介質(zhì)的防護物理安全等級保護建設(shè)要求等級保護建設(shè)要求 網(wǎng)絡(luò)安全1. 網(wǎng)絡(luò)結(jié)構(gòu)安全2.

9、網(wǎng)絡(luò)訪問控制3. 網(wǎng)絡(luò)安全審計4. 邊界完整性檢查5. 網(wǎng)絡(luò)入侵防范6. 惡意代碼防護7. 網(wǎng)絡(luò)防護設(shè)備 主機安全身份鑒別強制訪問控制系統(tǒng)安全審計4. 剩余信息保護5. 入侵防范6. 惡意代碼防范7. 資源控制 應(yīng)用安全 1.身份認證 2. 安全審計 3. 剩余信息保護 4. 通信完整性和機密性保護 數(shù)據(jù)安全1.數(shù)據(jù)機密性保護 2.數(shù)據(jù)完整性保護 5.控制軟件容錯； 6.嚴格的訪問； 7. 自動保護功能； 8. 資源控制；等級保護建設(shè)要求等級保護建設(shè)要求滿足政策要求滿足標準要求滿足用戶自身要求安全現(xiàn)狀差異性分析基本要求等級保護建設(shè)模式等級保護建設(shè)模式通信網(wǎng)絡(luò)區(qū)域邊界計算環(huán)境安全管理中心等級保護

10、體系架構(gòu)等級保護體系架構(gòu)構(gòu)筑由安全管理中心統(tǒng)一管理下的計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防御體系。安全區(qū)域邊界安全通信網(wǎng)絡(luò)等級保護技術(shù)實現(xiàn)依據(jù)等級保護技術(shù)實現(xiàn)依據(jù)一、信息安全等級保護工作概述一、信息安全等級保護工作概述二、如何實施等級保護工作二、如何實施等級保護工作培訓內(nèi)容培訓內(nèi)容（一）實施流程（一）實施流程（二）工作要求（二）工作要求二、如何實施等級保護工作二、如何實施等級保護工作重大變更2、安全規(guī)劃設(shè)計3、安全實施/實現(xiàn)4、安全運行管理1、系統(tǒng)定級局部調(diào)整5、系統(tǒng)終止（一）實施流程（一）實施流程1、系統(tǒng)定級（首要環(huán)節(jié)）2、安全規(guī)劃設(shè)計 安全建設(shè)3、安全實施/實現(xiàn)4、安全運行管理5、系統(tǒng)終止（

11、一）實施流程（一）實施流程第一步第一步 開展信息系統(tǒng)基本情況的摸底調(diào)查開展信息系統(tǒng)基本情況的摸底調(diào)查第二步第二步 初步確定信息系統(tǒng)安全保護等級初步確定信息系統(tǒng)安全保護等級第三步第三步 專家評審與審批專家評審與審批 1 1、系統(tǒng)定級、系統(tǒng)定級 正確劃分定級對象： 信息系統(tǒng)運營使用單位或主管部門按如下原則確定定級對象： 一是承載相對獨立或單一業(yè)務(wù)的信息系統(tǒng)； 二是信息系統(tǒng)的信息安全由本單位主管； 三是具有信息系統(tǒng)的基本要素。 起支撐作用的網(wǎng)絡(luò)可以作為定級對象；應(yīng)用類的信息系統(tǒng)以應(yīng)用種類劃分定級對象。第一步第一步 開展信息系統(tǒng)基本情況的摸底調(diào)查開展信息系統(tǒng)基本情況的摸底調(diào)查 一是承載相對獨立或單一業(yè)

12、務(wù)的信息系統(tǒng)： 定級對象承載“相對獨立”的業(yè)務(wù)應(yīng)用是指其中的一個或多個業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程、部分業(yè)務(wù)功能獨立，同時與其他信息系統(tǒng)的業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換，定級對象可能會與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備?！跋鄬Κ毩ⅰ钡臉I(yè)務(wù)應(yīng)用并不意味著整個業(yè)務(wù)流程，可以是完整的業(yè)務(wù)流程的一部分。第一步第一步 開展信息系統(tǒng)基本情況的摸底調(diào)查開展信息系統(tǒng)基本情況的摸底調(diào)查 二是信息系統(tǒng)的信息安全由本單位主管： 作為定級對象的信息系統(tǒng)應(yīng)能夠唯一地確定其安全責任單位，這個安全責任單位就是負責等級保護工作部署、實施的單位，也是完成等級保護備案和接受監(jiān)督檢查的直接責任單位。 第一步第一步 開展信息系統(tǒng)基本

13、情況的摸底調(diào)查開展信息系統(tǒng)基本情況的摸底調(diào)查 三是具有信息系統(tǒng)的基本要素： 作為定級對象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標和規(guī)則組合而成的有形實體。應(yīng)避免將某個單一的系統(tǒng)組件，如單臺的服務(wù)器、終端或網(wǎng)絡(luò)設(shè)備等作為定級對象。 第一步第一步 開展信息系統(tǒng)基本情況的摸底調(diào)查開展信息系統(tǒng)基本情況的摸底調(diào)查第一步第一步 開展信息系統(tǒng)基本情況的摸底調(diào)查開展信息系統(tǒng)基本情況的摸底調(diào)查第二步第二步 初步確定信息系統(tǒng)安全保護等級初步確定信息系統(tǒng)安全保護等級第三步第三步 專家評審與審批專家評審與審批 1 1、系統(tǒng)定級、系統(tǒng)定級 信息系統(tǒng)的安全保護等級是信息系統(tǒng)的客觀屬性，不以已采取或采取

14、什么安全保護措施為依據(jù)，而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對國家安全、社會穩(wěn)定、人民群眾合法權(quán)益等損害客體的危害程度為依據(jù)，確定信息系統(tǒng)的安全等級。 第二步第二步 初步確定信息系統(tǒng)安全保護等級初步確定信息系統(tǒng)安全保護等級 （一）信息系統(tǒng)的安全保護等級由兩個定級要素決定： 1、等級保護對象受到破壞時所侵害的客體 2、受到破壞時對客體造成侵害的程度第二步第二步 初步確定信息系統(tǒng)安全保護等級初步確定信息系統(tǒng)安全保護等級 1、等級保護對象受到破壞時所侵害的客體： A、國家安全 B、社會秩序、公共利益 C、公民、法人和其他組織的合法權(quán)益第二步第二步 初步確定信息系統(tǒng)安全保護等級初步確定信息系統(tǒng)安

15、全保護等級 A、 國家安全利益體現(xiàn)了國家層面、與全局相關(guān)的國家政治安全、軍事安全、經(jīng)濟安全、社會安全、科技安全和資源環(huán)境安全等方面利益。 重要的國家事務(wù)處理系統(tǒng)、國防工業(yè)生產(chǎn)系統(tǒng)和國防設(shè)施的控制系統(tǒng)等屬于影響國家政權(quán)穩(wěn)固和國防實力的信息系統(tǒng)；廣播、電視、網(wǎng)絡(luò)等重要新聞媒體的發(fā)布或播出系統(tǒng)，其受到非法控制可能引發(fā)影響國家統(tǒng)一、民族團結(jié)和社會安定的重大事件；處理國家對外活動信息的信息系統(tǒng)；處理國家重要安全保衛(wèi)工作信息的信息系統(tǒng)和重大刑事案件的偵查系統(tǒng)；尖端科技領(lǐng)域的研發(fā)、生產(chǎn)系統(tǒng)等影響國家經(jīng)濟競爭力和科技實力的信息系統(tǒng)，以及電力、通信、能源、交通運輸、金融等國家重要基礎(chǔ)設(shè)施的生產(chǎn)、控制、管理系統(tǒng)等

16、。第二步第二步 初步確定信息系統(tǒng)安全保護等級初步確定信息系統(tǒng)安全保護等級 B、社會秩序包括社會的政治、經(jīng)濟、生產(chǎn)、生活、科研、工作等各方面的正常秩序。公共利益是指不特定的社會成員所共同享有的，維持其生產(chǎn)、生活、教育、衛(wèi)生等方面的利益。 各級政府機構(gòu)的社會管理和公共服務(wù)系統(tǒng)，如財政、金融、工商、稅務(wù)、公檢法、海關(guān)、社保等領(lǐng)域的信息系統(tǒng)，也包括教育、科研機構(gòu)的工作系統(tǒng)，以及所有為公眾提供醫(yī)療衛(wèi)生、應(yīng)急服務(wù)、供水、供電、郵政等必要服務(wù)的生產(chǎn)系統(tǒng)或管理系統(tǒng)。第二步第二步 初步確定信息系統(tǒng)安全保護等級初步確定信息系統(tǒng)安全保護等級 C、合法權(quán)益是法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社

17、會權(quán)利和利益。 借助信息化手段為社會成員提供使用的公共設(shè)施和通過信息系統(tǒng)對公共設(shè)施進行進行管理控制都應(yīng)當是要考慮的方面，例如：公共通信設(shè)施、公共衛(wèi)生設(shè)施、公共休閑娛樂設(shè)施、公共管理設(shè)施、公共服務(wù)設(shè)施等。 公共利益與社會秩序密切相關(guān)，社會秩序的破壞一般會造成對公共利益的損害。 第二步第二步 初步確定信息系統(tǒng)安全保護等級初步確定信息系統(tǒng)安全保護等級 2、對客體造成侵害的程度 A、造成一般損害 B、造成嚴重損害 C、造成特別嚴重損害第二步第二步 初步確定信息系統(tǒng)安全保護等級初步確定信息系統(tǒng)安全保護等級 不同危害后果的三種危害程度描述如下： 一般損害：工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要

18、功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的資產(chǎn)損失，有限的社會不良影響，對其他組織和個人造成較低損害。 第二步第二步 初步確定信息系統(tǒng)安全保護等級初步確定信息系統(tǒng)安全保護等級 嚴重損害：工作職能受到嚴重影響，業(yè)務(wù)能力顯著下降且嚴重影響主要功能執(zhí)行，出現(xiàn)較嚴重的法律問題，較高的資產(chǎn)損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴重損害。 第二步第二步 初步確定信息系統(tǒng)安全保護等級初步確定信息系統(tǒng)安全保護等級 特別嚴重損害：工作職能受到特別嚴重影響或喪失行使能力，業(yè)務(wù)能力嚴重下降且或功能無法執(zhí)行，出現(xiàn)極其嚴重的法律問題，極高的資產(chǎn)損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴重損害。 第

19、二步第二步 初步確定信息系統(tǒng)安全保護等級初步確定信息系統(tǒng)安全保護等級 1、影響行使工作職能工作職能包括國家管理職能、公共管理職能、公共服務(wù)職能等國家或社會方面的職能。 2、導(dǎo)致業(yè)務(wù)能力下降下降的表現(xiàn)形式可能包括業(yè)務(wù)范圍的減少、業(yè)務(wù)處理性能的下降、可服務(wù)的用戶數(shù)量的下降以及其他各種業(yè)務(wù)指標的下降，每個行業(yè)務(wù)都有本行業(yè)關(guān)注的業(yè)務(wù)指標。例如電力行業(yè)關(guān)注發(fā)電量和用電量，稅務(wù)行業(yè)關(guān)注稅費收入，銀行業(yè)關(guān)注存款額、貸款額、交易量等，證券經(jīng)紀行業(yè)關(guān)注股民數(shù)和交易額。 3、引起法律糾紛是比較嚴重的影響，在較輕的程度時可能表現(xiàn)為投訴、索賠、媒體曝光等形式。 4、導(dǎo)致財產(chǎn)損失包括系統(tǒng)資產(chǎn)被破壞的直接損失、業(yè)務(wù)量下降

20、帶來的損失、直接的資金損失、為客戶索賠所支付的資金等，以及由于信譽下降、單位形象降低、客戶關(guān)系損失等導(dǎo)致的間接經(jīng)濟損失。直接造成人員傷亡，例如醫(yī)療服務(wù)系統(tǒng)，公安行業(yè)的某些系統(tǒng)等。 5、造成社會不良影響包括在社會風氣、執(zhí)政信心等方面的影響。第二步第二步 初步確定信息系統(tǒng)安全保護等級初步確定信息系統(tǒng)安全保護等級 （二）定級的一般流程： 信息系統(tǒng)的安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，保護等級由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級的較高者決定。 第二步第二步 初步確定信息系統(tǒng)安全保護等級初步確定信息系統(tǒng)安全保護等級 3、綜合評定對客體的侵害程度2、確定業(yè)務(wù)信息安全受到破壞時所侵害的客體6、綜合評定對客體

21、的侵害程度5、確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客體7、系統(tǒng)服務(wù)安全等級4、業(yè)務(wù)信息安全等級8、定級對象的安全保護等級依據(jù)表1依據(jù)表21、確定定級對象第二步第二步 初步確定信息系統(tǒng)安全保護等級初步確定信息系統(tǒng)安全保護等級 表1：業(yè)務(wù)信息安全等級矩陣表：業(yè)務(wù)信息安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級第二步第二步 初步確定信息系統(tǒng)安全保護等級初步確定信息系統(tǒng)安全保護等級表表2 2：系統(tǒng)：系統(tǒng)服務(wù)安全等級矩陣表：服務(wù)安全等級矩陣表：系統(tǒng)服務(wù)安全被破壞時所侵害

22、的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級第二步第二步 初步確定信息系統(tǒng)安全保護等級初步確定信息系統(tǒng)安全保護等級 綜合判定侵害程度： 業(yè)務(wù)信息安全被破壞導(dǎo)致的財物損失可以從直接的資金損失大小、間接的信息恢復(fù)費用等方面進行確定。 系統(tǒng)服務(wù)安全被破壞導(dǎo)致業(yè)務(wù)能力下降的程度可以從信息系統(tǒng)服務(wù)覆蓋的區(qū)域范圍、用戶人數(shù)或業(yè)務(wù)量等不同方面確定。第二步第二步 初步確定信息系統(tǒng)安全保護等級初步確定信息系統(tǒng)安全保護等級第一步第一步 開展信息系統(tǒng)基本情況的摸底調(diào)查開展信息系統(tǒng)基本情況的摸底調(diào)查

23、第二步第二步 初步確定信息系統(tǒng)安全保護等級初步確定信息系統(tǒng)安全保護等級第三步第三步 專家評審與審批專家評審與審批 1 1、系統(tǒng)定級、系統(tǒng)定級 信息系統(tǒng)等級評審： 在信息系統(tǒng)安全保護等級確定過程中，可以聘請專家進行咨詢評審，并出具定級評審意見。 對擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主管部門應(yīng)當邀請國家信息安全保護等級專家評審委員會評審，出具評審意見。 第三步第三步 專家評審與審批專家評審與審批 信息系統(tǒng)等級的最終確定與審批： 信息系統(tǒng)運營使用單位參考專家定級評審意見，最終確定信息系統(tǒng)等級，形成信息系統(tǒng)安全等級保護定級報告。 如果專家評審意見與運營使用單位意見不一致時，由運營使用單位

24、自主決定系統(tǒng)等級。 信息系統(tǒng)運營使用單位有上級主管部門的，應(yīng)當經(jīng)上級主管部門對安全保護等級進行審核批準。 第三步第三步 專家評審與審批專家評審與審批1、系統(tǒng)定級（首要環(huán)節(jié)）2、安全規(guī)劃設(shè)計 安全建設(shè)3、安全實施/實現(xiàn)4、安全運行管理5、系統(tǒng)終止（一）實施流程（一）實施流程信息安全等級保護管理辦法第十一條規(guī)定，信息系統(tǒng)的安全保護等級確定后，運營、使用單位應(yīng)當按照國家信息安全等級保護管理規(guī)范和技術(shù)標準，使用符合國家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護等級需求的信息技術(shù)產(chǎn)品，開展信息系統(tǒng)安全建設(shè)和改建工作。2 2、安全建設(shè)、安全建設(shè)第十二條規(guī)定，在信息系統(tǒng)建設(shè)過程中，運營、使用單位應(yīng)當按照計算機信息系統(tǒng)安

25、全保護等級劃分準則、信息系統(tǒng)安全等級保護基本要求等技術(shù)標準，參照信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求、信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求、信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求、信息安全技術(shù) 服務(wù)器技術(shù)要求、信息安全技術(shù) 終端計算機系統(tǒng)安全等級技術(shù)要求等技術(shù)標準同步建設(shè)符合該等級要求的信息安全設(shè)施。2 2、安全建設(shè)、安全建設(shè)第十三條規(guī)定，運營、使用單位應(yīng)當參照信息安全技術(shù) 信息系統(tǒng)安全管理要求 、信息安全技術(shù) 信息系統(tǒng)安全工程管理要求、信息系統(tǒng)安全等級保護基本要求等管理規(guī)范，制定并落實符合本系統(tǒng)安全保護等級要求的安全管理制度。2 2、安全建設(shè)、安全建設(shè) 信息系統(tǒng)安全建設(shè)通過由包括物理安全、

26、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)等五個層面的基本安全技術(shù)措施和安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等五個方面的基本安全管理措施來實現(xiàn)和保證。2 2、安全建設(shè)、安全建設(shè) 基本安全技術(shù)措施主要包括以下幾方面：物理安全主要是使存在計算機、網(wǎng)絡(luò)設(shè)備的機房以及信息系統(tǒng)的設(shè)備和存儲數(shù)據(jù)的介質(zhì)免受物理環(huán)境、自然災(zāi)害以及人為操作失誤和惡意操作等各種威脅所產(chǎn)生的攻擊。具體包括：物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防火等十個控制點。網(wǎng)絡(luò)安全一方面，確定網(wǎng)絡(luò)設(shè)備的安全運行，提供有效的網(wǎng)絡(luò)服務(wù)，另一方

27、面，確保在網(wǎng)上傳輸數(shù)據(jù)的保密性、完整性和可用性等。具體包括：結(jié)構(gòu)安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護等七個控制點。主機安全是包括服務(wù)器、終端/工作站等在內(nèi)的計算機設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全。具體包括：身份鑒別、安全標記、訪問控制、可信途徑、安全審計、剩余信息保護、入侵防范、惡意代碼防范和資源控制等九個控制點。（1 1）基本安全技術(shù)措施）基本安全技術(shù)措施應(yīng)用安全對應(yīng)用系統(tǒng)的安全保護最終就是如何保護系統(tǒng)的各種業(yè)務(wù)應(yīng)用程序安全運行。具體包括：身份鑒別、安全標記、訪問控制、可信路徑、安全審計、剩余信息保護、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制等十一個控制點。數(shù)據(jù)安全及備份恢復(fù)保證數(shù)據(jù)安全和備份恢復(fù)主要從：數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)等三個控制點考慮。（1 1）基本安全技術(shù)措施）基本安全技術(shù)措施基本安全管理措施主要包括以下幾方面：基本安全管理措