信息安全等級(jí)保護(hù)技術(shù)交流材料

信息安全等級(jí)保護(hù)技術(shù)交流材料1第一頁，共五十八頁，編輯于2023年，星期六2提綱等級(jí)保護(hù)總體介紹2等級(jí)保護(hù)定級(jí)介紹1等級(jí)保護(hù)設(shè)計(jì)實(shí)施3等級(jí)保護(hù)系統(tǒng)測評(píng)42第二頁，共五十八頁，編輯于2023年，星期六什么是信息安全等級(jí)保護(hù)信息安全等級(jí)保護(hù)，是指對(duì)國家秘密信息及公民、法人和其他組織的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。

－－《信息安全等級(jí)保護(hù)管理辦法（試行）》

3第三頁，共五十八頁，編輯于2023年，星期六等級(jí)保護(hù)的政策法規(guī)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（1994年）其中規(guī)定，“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)，安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門制定”

信息系統(tǒng)安全等級(jí)保護(hù)的政策法規(guī)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號(hào)）《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》（公通字[2004]66號(hào)）《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）《關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（公信安[2007]861號(hào)）《關(guān)于印發(fā)北京市開展信息安全等級(jí)保護(hù)工作的實(shí)施方案的通知》(京公網(wǎng)監(jiān)字[2007]788號(hào))

4第四頁，共五十八頁，編輯于2023年，星期六等級(jí)保護(hù)的技術(shù)標(biāo)準(zhǔn)和管理規(guī)范基礎(chǔ)標(biāo)準(zhǔn)：《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則》（GB17859）基線標(biāo)準(zhǔn)：《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（國標(biāo)報(bào)批稿）輔助標(biāo)準(zhǔn)：《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（國標(biāo)報(bào)批稿）《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（國標(biāo)報(bào)批稿）《信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)要求》（國標(biāo)報(bào)批稿）目標(biāo)標(biāo)準(zhǔn)：《信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271）《網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270）《操作系統(tǒng)安全技術(shù)要求》（GB/T20272）《數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273）《終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》（GA/T671）《信息系統(tǒng)安全管理要求》（GB/T20269）《信息系統(tǒng)安全工程管理要求》（GB/T20282）5第五頁，共五十八頁，編輯于2023年，星期六技術(shù)標(biāo)準(zhǔn)和管理規(guī)范的作用技術(shù)標(biāo)準(zhǔn)和管理規(guī)范信息系統(tǒng)定級(jí)信息系統(tǒng)安全建設(shè)或改建安全狀況達(dá)到等級(jí)保護(hù)要求的信息系統(tǒng)6第六頁，共五十八頁，編輯于2023年，星期六等級(jí)變更局部調(diào)整信息系統(tǒng)定級(jí)總體安全規(guī)劃安全設(shè)計(jì)與實(shí)施安全運(yùn)行維護(hù)信息系統(tǒng)終止信息系統(tǒng)安全等級(jí)保護(hù)流程安全等級(jí)評(píng)測7第七頁，共五十八頁，編輯于2023年，星期六標(biāo)準(zhǔn)規(guī)范在等級(jí)保護(hù)流程中的作用安全控制定級(jí)指南過程方法確定系統(tǒng)等級(jí)啟動(dòng)采購/開發(fā)實(shí)施運(yùn)行/維護(hù)廢棄確定安全需求設(shè)計(jì)安全方案安全建設(shè)安全測評(píng)監(jiān)督管理運(yùn)行維護(hù)暫不考慮特殊需求等級(jí)需求基本要求產(chǎn)品使用選型監(jiān)督管理測評(píng)準(zhǔn)則流程方法監(jiān)管流程應(yīng)急預(yù)案應(yīng)急響應(yīng)8第八頁，共五十八頁，編輯于2023年，星期六三種受侵害的客體體現(xiàn)了三種不同層次、不同覆蓋范圍的社會(huì)關(guān)系國家安全體現(xiàn)了國家層面、與全局相關(guān)的國家政治安全、軍事安全、經(jīng)濟(jì)安全、社會(huì)安全、科技安全和資源環(huán)境安全等方面利益。社會(huì)秩序和公共利益包括社會(huì)的政治、經(jīng)濟(jì)、生產(chǎn)、生活、科研、工作等各方面的正常秩序。公共利益是指不特定的社會(huì)成員所共同享有的，維持其生產(chǎn)、生活、教育、衛(wèi)生等方面的利益。合法權(quán)益是法律確認(rèn)的并受法律保護(hù)的公民、法人和其他組織所享有的一定的社會(huì)權(quán)利和利益，三類受侵害客體9第九頁，共五十八頁，編輯于2023年，星期六定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系受侵害的客體對(duì)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國家安全第三級(jí)第四級(jí)第五級(jí)10第十頁，共五十八頁，編輯于2023年，星期六安全保護(hù)等級(jí)的劃分

11第十一頁，共五十八頁，編輯于2023年，星期六12提綱等級(jí)保護(hù)總體介紹1等級(jí)保護(hù)定級(jí)介紹等級(jí)保護(hù)設(shè)計(jì)實(shí)施32等級(jí)保護(hù)系統(tǒng)測評(píng)412第十二頁，共五十八頁，編輯于2023年，星期六信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)原則等級(jí)確定原則和要求“自主定級(jí)、自主保護(hù)”與國家監(jiān)管相統(tǒng)一原則“誰主管誰負(fù)責(zé)，誰運(yùn)營誰負(fù)責(zé)”的原則定級(jí)工作的要求加強(qiáng)領(lǐng)導(dǎo)，落實(shí)保障明確責(zé)任，密切配合動(dòng)員部署，開展培訓(xùn)及時(shí)總結(jié)，提出建議13第十三頁，共五十八頁，編輯于2023年，星期六S類—業(yè)務(wù)信息安全保護(hù)類，關(guān)注的是保護(hù)數(shù)據(jù)在存儲(chǔ)、傳輸、處理過程中不被泄漏、破壞和免受未授權(quán)的修改A類—系統(tǒng)服務(wù)安全保護(hù)類，關(guān)注的是保護(hù)系統(tǒng)連續(xù)正常的運(yùn)行，避免因?qū)ο到y(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用G類—通用安全保護(hù)類，既關(guān)注保護(hù)業(yè)務(wù)信息的安全性，同時(shí)也關(guān)注保護(hù)系統(tǒng)的連續(xù)可用性

例如，以S2表示2級(jí)的業(yè)務(wù)信息安全保護(hù)類要求，A3表示3級(jí)的系統(tǒng)服務(wù)安全保護(hù)類要求。信息系統(tǒng)三類要求14第十四頁，共五十八頁，編輯于2023年，星期六信息系統(tǒng)三類要求之間的關(guān)系通用安全保護(hù)類要求（G）業(yè)務(wù)信息安全類（S）系統(tǒng)服務(wù)保證類（A）安全要求15第十五頁，共五十八頁，編輯于2023年，星期六信息系統(tǒng)安全保護(hù)等級(jí)的確定1、確定定級(jí)對(duì)象3、綜合評(píng)定對(duì)客體的侵害程度2、確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體4、業(yè)務(wù)信息安全等級(jí)6、綜合評(píng)定對(duì)客體的侵害程度5、確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體7、系統(tǒng)服務(wù)安全等級(jí)8、定級(jí)對(duì)象的安全保護(hù)等級(jí)16第十六頁，共五十八頁，編輯于2023年，星期六安全保護(hù)和系統(tǒng)定級(jí)的關(guān)系安全等級(jí)信息系統(tǒng)保護(hù)要求的組合第一級(jí)S1A1G1第二級(jí)S1A2G2，S2A2G2，S2A1G2第三級(jí)S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級(jí)S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4定級(jí)指南要求按照“業(yè)務(wù)信息”和“系統(tǒng)服務(wù)”的需求確定整個(gè)系統(tǒng)的安全保護(hù)等級(jí)系統(tǒng)的安全保護(hù)等級(jí)=L(信息等級(jí)，服務(wù)等級(jí)) =Max(信息等級(jí)，服務(wù)等級(jí)）

例如：L(3,1)=L(3,2)=L(3,3)=L(1,3)=L(2,3)=317第十七頁，共五十八頁，編輯于2023年，星期六18提綱等級(jí)保護(hù)總體介紹1等級(jí)保護(hù)定級(jí)介紹等級(jí)保護(hù)設(shè)計(jì)實(shí)施23等級(jí)保護(hù)系統(tǒng)測評(píng)418第十八頁，共五十八頁，編輯于2023年，星期六《基本要求》的作用安全保護(hù)能力基本安全要求每個(gè)等級(jí)的信息系統(tǒng)基本技術(shù)措施基本管理措施具備包含包含滿足滿足實(shí)現(xiàn)19第十九頁，共五十八頁，編輯于2023年，星期六《基本要求》核心思路信息系統(tǒng)技術(shù)要求管理要求基本要求建立安全技術(shù)體系建立安全管理體系具有某級(jí)安全保護(hù)能力的系統(tǒng)20第二十頁，共五十八頁，編輯于2023年，星期六各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀）一級(jí)系統(tǒng)二級(jí)系統(tǒng)三級(jí)系統(tǒng)四級(jí)系統(tǒng)防護(hù)防護(hù)/監(jiān)測策略/防護(hù)/監(jiān)測/恢復(fù)策略/防護(hù)/監(jiān)測/恢復(fù)/響應(yīng)21第二十一頁，共五十八頁，編輯于2023年，星期六各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀）一級(jí)系統(tǒng)二級(jí)系統(tǒng)三級(jí)系統(tǒng)四級(jí)系統(tǒng)通信/邊界（基本）通信/邊界/內(nèi)部（關(guān)鍵設(shè)備）通信/邊界/內(nèi)部（主要設(shè)備）通信/邊界/內(nèi)部/基礎(chǔ)設(shè)施（所有設(shè)備）22第二十二頁，共五十八頁，編輯于2023年，星期六各級(jí)系統(tǒng)的保護(hù)管理要求差異（宏觀）一級(jí)系統(tǒng)二級(jí)系統(tǒng)三級(jí)系統(tǒng)四級(jí)系統(tǒng)計(jì)劃和跟蹤（主要制度）計(jì)劃和跟蹤（主要制度）良好定義（管理活動(dòng)制度化）持續(xù)改進(jìn)（管理活動(dòng)制度化/及時(shí)改進(jìn)）23第二十三頁，共五十八頁，編輯于2023年，星期六各級(jí)系統(tǒng)的保護(hù)要求差異（微觀）信息系統(tǒng)物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理24第二十四頁，共五十八頁，編輯于2023年，星期六各級(jí)系統(tǒng)安全保護(hù)要求-物理安全控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)物理位置的選擇***物理訪問控制****防盜竊和防破壞****防雷擊****防火****防水和防潮****防靜電***溫濕度控制****電力供應(yīng)****電磁防護(hù)***合計(jì)710101025第二十五頁，共五十八頁，編輯于2023年，星期六各級(jí)系統(tǒng)安全保護(hù)要求-物理安全一級(jí)物理安全要求：主要要求對(duì)物理環(huán)境進(jìn)行基本的防護(hù)，對(duì)出入進(jìn)行基本控制，環(huán)境安全能夠?qū)ψ匀煌{進(jìn)行基本的防護(hù)，電力則要求提供供電電壓的正常。二級(jí)物理安全要求：對(duì)物理安全進(jìn)行了進(jìn)一步的防護(hù)，不僅對(duì)出入進(jìn)行基本的控制，對(duì)進(jìn)入后的活動(dòng)也要進(jìn)行控制；物理環(huán)境方面，則加強(qiáng)了各方面的防護(hù)，采取更細(xì)的要求來多方面進(jìn)行防護(hù)。三級(jí)物理安全要求：對(duì)出入加強(qiáng)了控制，做到人、電子設(shè)備共同監(jiān)控；物理環(huán)境方面，進(jìn)一步采取各種控制措施來進(jìn)行防護(hù)。如，防火要求，不僅要求自動(dòng)消防系統(tǒng)，而且要求區(qū)域隔離防火，建筑材料防火等方面，將防火的范圍增大，從而使火災(zāi)發(fā)生的幾率和損失降低。四級(jí)物理安全要求：對(duì)機(jī)房出入的要求進(jìn)一步增強(qiáng)，要求多道電子設(shè)備監(jiān)控；物理環(huán)境方面，要求采用一定的防護(hù)設(shè)備進(jìn)行防護(hù)，如靜電消除裝置等。26第二十六頁，共五十八頁，編輯于2023年，星期六各級(jí)系統(tǒng)安全保護(hù)要求-網(wǎng)絡(luò)安全控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)結(jié)構(gòu)安全****訪問控制****安全審計(jì)***邊界完整性檢查***入侵防范***惡意代碼防范**網(wǎng)絡(luò)設(shè)備防護(hù)****合計(jì)367727第二十七頁，共五十八頁，編輯于2023年，星期六各級(jí)系統(tǒng)安全保護(hù)要求-網(wǎng)絡(luò)安全一級(jí)網(wǎng)絡(luò)安全要求：主要提供網(wǎng)絡(luò)安全運(yùn)行的基本保障，包括網(wǎng)絡(luò)結(jié)構(gòu)能夠基本滿足業(yè)務(wù)運(yùn)行需要，網(wǎng)絡(luò)邊界處對(duì)進(jìn)出的數(shù)據(jù)包頭進(jìn)行基本過濾等訪問控制措施。二級(jí)網(wǎng)絡(luò)安全要求：不僅要滿足網(wǎng)絡(luò)安全運(yùn)行的基本保障，同時(shí)還要考慮網(wǎng)絡(luò)處理能力要滿足業(yè)務(wù)極限時(shí)的需要。對(duì)網(wǎng)絡(luò)邊界的訪問控制粒度進(jìn)一步增強(qiáng)。同時(shí)，加強(qiáng)了網(wǎng)絡(luò)邊界的防護(hù)，增加了安全審計(jì)、邊界完整性檢查、入侵防范等控制點(diǎn)。對(duì)網(wǎng)絡(luò)設(shè)備的防護(hù)不僅局限于簡單的身份鑒別，同時(shí)對(duì)標(biāo)識(shí)和鑒別信息都有了相應(yīng)的要求。三級(jí)網(wǎng)絡(luò)安全要求：對(duì)網(wǎng)絡(luò)處理能力增加了“優(yōu)先級(jí)”考慮，保證重要主機(jī)能夠在網(wǎng)絡(luò)擁堵時(shí)仍能夠正常運(yùn)行；網(wǎng)絡(luò)邊界的訪問控制擴(kuò)展到應(yīng)用層，網(wǎng)絡(luò)邊界的其他防護(hù)措施進(jìn)一步增強(qiáng)，不僅能夠被動(dòng)的“防”，還應(yīng)能夠主動(dòng)發(fā)出一些動(dòng)作，如報(bào)警、阻斷等。網(wǎng)絡(luò)設(shè)備的防護(hù)手段要求兩種身份鑒別技術(shù)綜合使用。四級(jí)網(wǎng)絡(luò)安全要求：對(duì)網(wǎng)絡(luò)邊界的訪問控制做出了更為嚴(yán)格的要求，禁止遠(yuǎn)程撥號(hào)訪問，不允許數(shù)據(jù)帶通用協(xié)議通過；邊界的其他防護(hù)措施也加強(qiáng)了要求。網(wǎng)絡(luò)安全審計(jì)著眼于全局，做到集中審計(jì)分析，以便得到更多的綜合信息。網(wǎng)絡(luò)設(shè)備的防護(hù)，在身份鑒別手段上除要求兩種技術(shù)外，其中一種鑒別技術(shù)必須是不可偽造的，進(jìn)一步加強(qiáng)了對(duì)網(wǎng)絡(luò)設(shè)備的防護(hù)。28第二十八頁，共五十八頁，編輯于2023年，星期六網(wǎng)絡(luò)安全程度說明結(jié)構(gòu)安全：1級(jí)提供基本保障；2級(jí)要滿足高峰需要并以網(wǎng)段形式分隔；3級(jí)增加優(yōu)先級(jí)保障重要主機(jī)；4級(jí)同3級(jí)訪問控制：1級(jí)進(jìn)行包頭信息的過濾；2級(jí)根據(jù)會(huì)話過濾、粒度細(xì)化、限制訪問用戶數(shù)量；3級(jí)過濾粒度擴(kuò)展到了應(yīng)用層，對(duì)設(shè)備接入網(wǎng)絡(luò)進(jìn)行控制；4級(jí)對(duì)數(shù)據(jù)協(xié)議以及敏感標(biāo)記進(jìn)行控制，禁止遠(yuǎn)程撥號(hào)訪問安全審計(jì)：2級(jí)記錄設(shè)備運(yùn)行和網(wǎng)絡(luò)流量；3級(jí)要求分析形成報(bào)表、保護(hù)審計(jì)記錄；4級(jí)設(shè)置審計(jì)跟蹤極限閾值，做到集中審計(jì)。（其中要求發(fā)出報(bào)警、阻斷工作）29第二十九頁，共五十八頁，編輯于2023年，星期六網(wǎng)絡(luò)安全程度說明邊界完整性檢查：2級(jí)檢測到內(nèi)部的非法聯(lián)出情況；3級(jí)能夠準(zhǔn)確定位并阻斷；4級(jí)同3級(jí)入侵防范：2級(jí)能夠檢測常見攻擊的發(fā)生；3級(jí)能發(fā)出報(bào)警；4級(jí)自動(dòng)采取相應(yīng)動(dòng)作阻斷

惡意代碼防范：3級(jí)、4級(jí)在網(wǎng)絡(luò)邊界處防范惡意代碼，并保持代碼庫的及時(shí)更新網(wǎng)絡(luò)設(shè)備防護(hù)：1級(jí)基本的登錄鑒別；2級(jí)鑒別標(biāo)識(shí)唯一、鑒別信息復(fù)雜；3級(jí)兩種以上鑒別技術(shù)，特權(quán)用戶權(quán)限分離；4級(jí)其中一種鑒別技術(shù)為是不可偽造的30第三十頁，共五十八頁，編輯于2023年，星期六各級(jí)系統(tǒng)安全保護(hù)要求-主機(jī)安全控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)身份鑒別****安全標(biāo)記*訪問控制****可信路徑*安全審計(jì)***剩余信息保護(hù)**入侵防范****惡意代碼防范****資源控制***合計(jì)467931第三十一頁，共五十八頁，編輯于2023年，星期六各級(jí)系統(tǒng)安全保護(hù)要求-主機(jī)安全一級(jí)主機(jī)系統(tǒng)安全要求：對(duì)主機(jī)進(jìn)行基本的防護(hù)，要求主機(jī)做到簡單的身份鑒別，粗粒度的訪問控制以及重要主機(jī)能夠進(jìn)行惡意代碼防范。二級(jí)主機(jī)系統(tǒng)安全要求：在控制點(diǎn)上增加了安全審計(jì)和資源控制等。同時(shí)，對(duì)身份鑒別和訪問控制都進(jìn)一步加強(qiáng)，鑒別的標(biāo)識(shí)、信息等都提出了具體的要求；訪問控制的粒度進(jìn)行了細(xì)化等，惡意代碼增加了統(tǒng)一管理等。三級(jí)主機(jī)系統(tǒng)安全要求：在控制點(diǎn)上增加了剩余信息保護(hù)，即，訪問控制增加了設(shè)置敏感標(biāo)記等，力度變強(qiáng)。同樣，身份鑒別的力度進(jìn)一步增強(qiáng)，要求兩種以上鑒別技術(shù)同時(shí)使用。安全審計(jì)已不滿足于對(duì)安全事件的記錄，而要進(jìn)行分析、生成報(bào)表。對(duì)惡意代碼的防范綜合考慮網(wǎng)絡(luò)上的防范措施，做到二者相互補(bǔ)充。對(duì)資源控制的增加了對(duì)服務(wù)器的監(jiān)視和最小服務(wù)水平的監(jiān)測和報(bào)警等。四級(jí)主機(jī)系統(tǒng)安全要求：在控制點(diǎn)上增加了安全標(biāo)記和可信路徑，其他控制點(diǎn)在強(qiáng)度上也分別增強(qiáng)，如，身份鑒別要求使用不可偽造的鑒別技術(shù)，訪問控制要求部分按照強(qiáng)制訪問控制的力度實(shí)現(xiàn)，安全審計(jì)能夠做到統(tǒng)一集中審計(jì)等。32第三十二頁，共五十八頁，編輯于2023年，星期六各級(jí)系統(tǒng)安全保護(hù)要求-應(yīng)用安全控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)身份鑒別****安全標(biāo)記*訪問控制****可信路經(jīng)*安全審計(jì)***剩余信息保護(hù)**通信完整性****通信保密性***抗抵賴**軟件容錯(cuò)****資源控制***合計(jì)4791133第三十三頁，共五十八頁，編輯于2023年，星期六各級(jí)系統(tǒng)安全保護(hù)要求-應(yīng)用安全一級(jí)應(yīng)用安全要求：對(duì)應(yīng)用進(jìn)行基本的防護(hù)，要求做到簡單的身份鑒別，粗粒度的訪問控制以及數(shù)據(jù)有效性檢驗(yàn)等基本防護(hù)。二級(jí)應(yīng)用安全要求：在控制點(diǎn)上增加了安全審計(jì)、通信保密性和資源控制等。同時(shí)，對(duì)身份鑒別和訪問控制都進(jìn)一步加強(qiáng)，鑒別的標(biāo)識(shí)、信息等都提出了具體的要求。訪問控制的粒度進(jìn)行了細(xì)化，對(duì)通信過程的完整性保護(hù)提出了特定的校驗(yàn)碼技術(shù)。應(yīng)用軟件自身的安全要求進(jìn)一步增強(qiáng)，軟件容錯(cuò)能力增強(qiáng)。三級(jí)應(yīng)用安全要求：在控制點(diǎn)上增加了剩余信息保護(hù)和抗抵賴等。同時(shí)，身份鑒別的力度進(jìn)一步增強(qiáng)，要求組合鑒別技術(shù)，訪問控制增加了敏感標(biāo)記功能，安全審計(jì)已不滿足于對(duì)安全事件的記錄，而要進(jìn)行分析等。對(duì)通信過程的完整性保護(hù)提出了特定的密碼技術(shù)。應(yīng)用軟件自身的安全要求進(jìn)一步增強(qiáng)，軟件容錯(cuò)能力增強(qiáng)，增加了自動(dòng)保護(hù)功能。四級(jí)應(yīng)用安全要求：在控制點(diǎn)上增加了安全標(biāo)記和可信路徑等。部分控制點(diǎn)在強(qiáng)度上進(jìn)一步增強(qiáng)，如，身份鑒別要求使用不可偽造的鑒別技術(shù)，安全審計(jì)能夠做到統(tǒng)一安全策略提供集中審計(jì)接口等，軟件應(yīng)具有自動(dòng)恢復(fù)的能力等。34第三十四頁，共五十八頁，編輯于2023年，星期六各級(jí)系統(tǒng)安全保護(hù)要求-數(shù)據(jù)安全及備份恢復(fù)控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)數(shù)據(jù)完整性****數(shù)據(jù)保密性***備份和恢復(fù)****合計(jì)233335第三十五頁，共五十八頁，編輯于2023年，星期六各級(jí)系統(tǒng)安全保護(hù)要求-數(shù)據(jù)安全及備份恢復(fù)一級(jí)數(shù)據(jù)安全及備份恢復(fù)要求：對(duì)數(shù)據(jù)完整性用戶數(shù)據(jù)在傳輸過程提出要求，能夠檢測出數(shù)據(jù)完整性受到破壞；同時(shí)能夠?qū)χ匾畔⑦M(jìn)行備份。二級(jí)數(shù)據(jù)及備份恢復(fù)安全要求：對(duì)數(shù)據(jù)完整性的要求增強(qiáng)，范圍擴(kuò)大，要求鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中都要保證其完整性。對(duì)數(shù)據(jù)保密性要求實(shí)現(xiàn)鑒別信息存儲(chǔ)保密性，數(shù)據(jù)備份增強(qiáng)，要求一定的硬件冗余。三級(jí)數(shù)據(jù)及備份恢復(fù)安全要求：對(duì)數(shù)據(jù)完整性的要求增強(qiáng)，范圍擴(kuò)大，增加了系統(tǒng)管理數(shù)據(jù)的傳輸完整性，不僅能夠檢測出數(shù)據(jù)受到破壞，并能進(jìn)行恢復(fù)。對(duì)數(shù)據(jù)保密性要求范圍擴(kuò)大到實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)的傳輸和存儲(chǔ)的保密性，數(shù)據(jù)的備份不僅要求本地完全數(shù)據(jù)備份，還要求異地備份和冗余網(wǎng)絡(luò)拓?fù)?。四?jí)數(shù)據(jù)及備份恢復(fù)安全要求：為進(jìn)一步保證數(shù)據(jù)的完整性和保密性，提出使用專有的安全協(xié)議的要求。同時(shí)，備份方式增加了建立異地適時(shí)災(zāi)難備份中心，在災(zāi)難發(fā)生后系統(tǒng)能夠自動(dòng)切換和恢復(fù)。36第三十六頁，共五十八頁，編輯于2023年，星期六各級(jí)系統(tǒng)安全保護(hù)要求-安全管理制度控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)管理制度****制定和發(fā)布****評(píng)審和修訂***合計(jì)233337第三十七頁，共五十八頁，編輯于2023年，星期六各級(jí)系統(tǒng)安全保護(hù)要求-安全管理制度一級(jí)安全管理制度要求：主要明確了制定日常常用的管理制度，并對(duì)管理制度的制定和發(fā)布提出基本要求。二級(jí)安全管理制度要求：在控制點(diǎn)上增加了評(píng)審和修訂，管理制度增加了總體方針和安全策略，和對(duì)各類重要操作建立規(guī)程的要求，并且管理制度的制定和發(fā)布要求組織論證。三級(jí)安全管理制度要求：在二級(jí)要求的基礎(chǔ)上，要求機(jī)構(gòu)形成信息安全管理制度體系，對(duì)管理制度的制定要求和發(fā)布過程進(jìn)一步嚴(yán)格和規(guī)范。對(duì)安全制度的評(píng)審和修訂要求領(lǐng)導(dǎo)小組的負(fù)責(zé)。四級(jí)安全管理制度要求：在三級(jí)要求的基礎(chǔ)上，主要考慮了對(duì)帶有密級(jí)的管理制度的管理和管理制度的日常維護(hù)等。38第三十八頁，共五十八頁，編輯于2023年，星期六各級(jí)系統(tǒng)安全保護(hù)要求-安全管理機(jī)構(gòu)安全管理，首先要建立一個(gè)健全、務(wù)實(shí)、有效、統(tǒng)一指揮、統(tǒng)一步調(diào)的完善的安全管理機(jī)構(gòu)，明確機(jī)構(gòu)成員的安全職責(zé)，這是信息安全管理得以實(shí)施、推廣的基礎(chǔ)。在單位的內(nèi)部結(jié)構(gòu)上必須建立一整套從單位最高管理層（董事會(huì)）到執(zhí)行管理層以及業(yè)務(wù)運(yùn)營層的管理結(jié)構(gòu)來約束和保證各項(xiàng)安全管理措施的執(zhí)行。其主要工作內(nèi)容包括對(duì)機(jī)構(gòu)內(nèi)重要的信息安全工作進(jìn)行授權(quán)和審批、內(nèi)部相關(guān)業(yè)務(wù)部門和安全管理部門之間的溝通協(xié)調(diào)以及與機(jī)構(gòu)外部各類單位的合作、定期對(duì)系統(tǒng)的安全措施落實(shí)情況進(jìn)行檢查，以發(fā)現(xiàn)問題進(jìn)行改進(jìn)。安全管理機(jī)構(gòu)主要包括：崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作以及審核和檢查等五個(gè)控制點(diǎn)。39第三十九頁，共五十八頁，編輯于2023年，星期六各級(jí)系統(tǒng)安全保護(hù)要求-安全管理機(jī)構(gòu)控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)崗位設(shè)置****人員配備****授權(quán)和審批****溝通和合作****審核和檢查***合計(jì)455540第四十頁，共五十八頁，編輯于2023年，星期六各級(jí)系統(tǒng)安全保護(hù)要求-安全管理機(jī)構(gòu)一級(jí)安全管理機(jī)構(gòu)要求：主要要求對(duì)開展信息安全工作的基本工作崗位進(jìn)行配備，對(duì)機(jī)構(gòu)重要的安全活動(dòng)進(jìn)行審批，加強(qiáng)對(duì)外的溝通和合作。二級(jí)安全管理機(jī)構(gòu)要求：在控制點(diǎn)上增加了審核和檢查，同時(shí)，在一級(jí)基礎(chǔ)上，明確要求設(shè)立安全主管等重要崗位；人員配備方面提出安全管理員不可兼任其它崗位原則；溝通與合作的范圍增加與機(jī)構(gòu)內(nèi)部及與其他部門的合作和溝通。三級(jí)安全管理機(jī)構(gòu)要求：對(duì)于崗位設(shè)置，不僅要求設(shè)置信息安全的職能部門，而且機(jī)構(gòu)上層應(yīng)有一定的領(lǐng)導(dǎo)小組全面負(fù)責(zé)機(jī)構(gòu)的信息安全全局工作。授權(quán)審批方面加強(qiáng)了授權(quán)流程控制以及階段性審查。溝通與合作方面加強(qiáng)了與外部組織的溝通和合作，并聘用安全顧問。同時(shí)對(duì)審核和檢查工作進(jìn)一步規(guī)范。四級(jí)安全管理機(jī)構(gòu)要求：同三級(jí)要求。41第四十一頁，共五十八頁，編輯于2023年，星期六各級(jí)系統(tǒng)安全保護(hù)要求-人員安全管理控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)人員錄用****人員離崗****人員考核***安全意識(shí)教育和培訓(xùn)****外部人員訪問管理****合計(jì)455542第四十二頁，共五十八頁，編輯于2023年，星期六各級(jí)系統(tǒng)安全保護(hù)要求-人員安全管理一級(jí)人員安全管理要求：對(duì)人員在機(jī)構(gòu)的工作周期（即，錄用、日常培訓(xùn)、離崗）的活動(dòng)提出基本的管理要求。同時(shí)，對(duì)外部人員訪問要求得到授權(quán)和審批。二級(jí)人員安全管理要求：在控制點(diǎn)上增加了人員考核，對(duì)人員的錄用和離崗要求進(jìn)一步增強(qiáng)，過程性要求增加，安全教育培訓(xùn)更正規(guī)化，對(duì)外部人員的訪問活動(dòng)約束其訪問行為。三級(jí)人員安全管理要求：在二級(jí)要求的基礎(chǔ)上，增強(qiáng)了對(duì)關(guān)鍵崗位人員的錄用、離崗和考核要求，對(duì)人員的培訓(xùn)教育更具有針對(duì)性，外部人員訪問要求更具體。四級(jí)人員安全管理要求：在三級(jí)要求的基礎(chǔ)上，提出了保密要求和關(guān)鍵區(qū)域禁止外部人員訪問的要求。43第四十三頁，共五十八頁，編輯于2023年，星期六各級(jí)系統(tǒng)安全保護(hù)要求-系統(tǒng)建設(shè)管理控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)系統(tǒng)定級(jí)****安全方案設(shè)計(jì)****產(chǎn)品采購和使用****自行軟件開發(fā)****外包軟件開發(fā)****工程實(shí)施****測試驗(yàn)收****系統(tǒng)交付****系統(tǒng)備案***等級(jí)測評(píng)***安全服務(wù)商選擇****合計(jì)99111144第四十四頁，共五十八頁，編輯于2023年，星期六各級(jí)系統(tǒng)安全保護(hù)要求-系統(tǒng)建設(shè)管理一級(jí)系統(tǒng)建設(shè)管理要求：對(duì)系統(tǒng)建設(shè)整體過程所涉及的各項(xiàng)活動(dòng)進(jìn)行基本的規(guī)范，如，先定級(jí)，方案準(zhǔn)備、安全產(chǎn)品按要求采購，軟件開發(fā)（自行、外包）的基本安全，實(shí)施的基本管理，建設(shè)后的安全性驗(yàn)收、交付等都進(jìn)行要求。二級(jí)系統(tǒng)建設(shè)管理要求：在控制點(diǎn)上增加了系統(tǒng)備案和安全測評(píng)，增加了某些活動(dòng)的文檔化要求，如軟件開發(fā)管理制度，工程實(shí)施應(yīng)有實(shí)施方案要求等。同時(shí)，對(duì)安全方案、驗(yàn)收?qǐng)?bào)告等增加了審定要求，產(chǎn)品的采購增加了密碼產(chǎn)品的采購要求等。三級(jí)系統(tǒng)建設(shè)管理要求：對(duì)建設(shè)過程的各項(xiàng)活動(dòng)都要求進(jìn)行制度化規(guī)范，按照制度要求進(jìn)行活動(dòng)的開展。對(duì)建設(shè)前的安全方案設(shè)計(jì)提出體系化要求，并加強(qiáng)了對(duì)其的論證工作。四級(jí)系統(tǒng)建設(shè)管理要求：主要對(duì)軟件開發(fā)活動(dòng)進(jìn)一步加強(qiáng)了要求，以保證軟件開發(fā)的安全性。對(duì)工程實(shí)施過程提出了監(jiān)理要求。45第四十五頁，共五十八頁，編輯于2023年，星期六各級(jí)系統(tǒng)安全保護(hù)要求-系統(tǒng)運(yùn)維管理控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)環(huán)境管理****資產(chǎn)管理****介質(zhì)管理****設(shè)備管理****監(jiān)控管理和安全管理中心****網(wǎng)絡(luò)安全管理****系統(tǒng)安全管理****惡意代碼防范管理****密碼管理***變更管理***備份與恢復(fù)管理****安全事件處置****應(yīng)急預(yù)案管理***合計(jì)1013131346第四十六頁，共五十八頁，編輯于2023年，星期六各級(jí)系統(tǒng)安全保護(hù)要求-系統(tǒng)運(yùn)維管理一級(jí)系統(tǒng)運(yùn)維管理要求：主要對(duì)機(jī)房運(yùn)行環(huán)境、資產(chǎn)的隸屬管理、介質(zhì)的保存、設(shè)備維護(hù)使用管理等方面提出基本管理要求，使得系統(tǒng)在這些方面的管理下能夠基本運(yùn)行正常。二級(jí)系統(tǒng)運(yùn)維管理要求：在控制點(diǎn)上增加了密碼管理、變更管理、應(yīng)急預(yù)案管理，同時(shí)加強(qiáng)了其他各方面的要求，主要表現(xiàn)在：對(duì)環(huán)境的關(guān)注擴(kuò)展到辦公環(huán)境的保密性管理；同時(shí)提出資產(chǎn)標(biāo)識(shí)管理；對(duì)介質(zhì)和設(shè)備的出入使用加強(qiáng)控制；網(wǎng)絡(luò)和系統(tǒng)安全方面進(jìn)行制度化管理；對(duì)系統(tǒng)內(nèi)發(fā)生的安全事件進(jìn)行分類、分級(jí)等。三級(jí)系統(tǒng)運(yùn)維管理要求：在控制點(diǎn)上增加了監(jiān)控管理和安全管理中心，對(duì)介質(zhì)、設(shè)備、密碼、變更、備份與恢復(fù)等都采用制度化管理，并更加注意過程管理的控制，其中對(duì)介質(zhì)的管理重點(diǎn)關(guān)注了介質(zhì)保密性和可用性管理；安全事件根據(jù)等級(jí)分級(jí)響應(yīng)，同時(shí)加強(qiáng)了對(duì)應(yīng)急預(yù)案的演練和審查等。四級(jí)系統(tǒng)運(yùn)維管理要求：將機(jī)房環(huán)境管理和辦公環(huán)境管理提到同等重要的程度，二者統(tǒng)一管理；對(duì)介質(zhì)的管理主要關(guān)注了對(duì)介質(zhì)銷毀時(shí)的保密管理；應(yīng)急響應(yīng)重點(diǎn)關(guān)注了災(zāi)難恢復(fù)計(jì)劃的制定等。47第四十七頁，共五十八頁，編輯于2023年，星期六等級(jí)保護(hù)的設(shè)計(jì)實(shí)施運(yùn)營、使用單位/安全服務(wù)商安全規(guī)劃設(shè)計(jì)技術(shù)體系設(shè)計(jì)管理體系設(shè)計(jì)分期/分步安全實(shí)施物理環(huán)境安全建設(shè)機(jī)房、辦公環(huán)境安全建設(shè)網(wǎng)絡(luò)安全建設(shè)安全域劃分、邊界設(shè)備設(shè)置、邊界訪問控制、邊界數(shù)據(jù)過濾網(wǎng)絡(luò)傳輸加密、網(wǎng)絡(luò)協(xié)議保護(hù)、網(wǎng)絡(luò)防病毒等主機(jī)安全防護(hù)操作系統(tǒng)配置和加固、桌面保護(hù)等應(yīng)用系統(tǒng)安全開發(fā)或改造身份鑒別、訪問控制、安全審計(jì)、傳輸加密等48第四十八頁，共五十八頁，編輯于2023年，星期六實(shí)施方案的設(shè)計(jì)過程包括結(jié)構(gòu)框架設(shè)計(jì)功能要求設(shè)計(jì)性能要求設(shè)計(jì)部署方案設(shè)計(jì)制定安全策略實(shí)現(xiàn)計(jì)劃管理措施實(shí)現(xiàn)內(nèi)容設(shè)計(jì)形成系統(tǒng)建設(shè)的安全實(shí)施方案等級(jí)保護(hù)實(shí)施方案49第四十九頁，共五十八頁，編輯于2023年，星期六系統(tǒng)建設(shè)的安全實(shí)施方案包含以下內(nèi)容本期建設(shè)目標(biāo)和建設(shè)內(nèi)容技術(shù)實(shí)現(xiàn)框架信息安全產(chǎn)品或組件功能及性能信息安全產(chǎn)品或組件部署安全策略和配置配套的安全管理建設(shè)內(nèi)容工程實(shí)施計(jì)劃項(xiàng)目投資概算。安全實(shí)施方案內(nèi)容50第五十頁，共五十八頁，編輯于2023年，星期六51提綱等級(jí)保護(hù)總體介紹1等級(jí)保護(hù)定級(jí)介紹等級(jí)保護(hù)設(shè)計(jì)實(shí)施2等級(jí)保護(hù)系統(tǒng)測評(píng)