02-信息系统安全等级保护基本要求

1、信息系统安全等级保护基本要求湖北教育信息化发展中心2011年12月信息系统安全等级保护基本要求主要内容引言第一部分：标准术语与定义第二部分：基本要求概述第三部分：基本要求的应用范围第四部分：基本要求的主要内容第五部分：基本要求的分类与组合第六部分：基本要求的级差第七部分：基本要求的具体内容基本要求引言依据如下相关文件，制定（实施指南）标准：-中华人民共和国计算机信息系统安全保护条例 国务院147号令-国家信息化领导小组关于加强信息安全保障工作的意见 中办发200327号-关于信息安全等级保护工作的实施意见 公通字200466号-信息安全等级保护管理办法 公通字200743号本标准是信息安全等级

2、保护相关系列标准之一；相关的系列标准包括： - 信息安全技术 信息系统安全等级保护定级指南； （GB/T22240-2008） - 信息安全技术 信息系统安全等级保护基本要求； （GB/T22239-2008） - 信息安全技术 信息系统安全等级保护测评准则； （送审稿） 在对信息系统实施信息安全等级保护的过程中，除使用本标准外，在不同的阶段，还应参照其他有关信息安全等级保护的标准开展工作，本课程将对信息系统安全等级保护基本要求的重点进行讲述。基本要求第一部分 标准术语与定义1、计算机信息系统可信计算基 trusted computing base of computer informatio

3、n system ：计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。2、客体 object ：信息的载体。 3、主体 subject ：引起信息在客体之间流动的人、进程或设备等。 4、敏感标记 sensitivity label ：表示客体安全级别并描述客体数据敏感性的一组信息，可信计算基中把敏感标记作为强制访问控制决策的依据。 5、安全策略 security policy ：有关管理、保护和发布敏感信息的法律、规定和实施细则。 6、信道 channel ：系统内的信息传输路径。 7、隐蔽信道 c

4、overt channel ：允许进程以危害系统安全策略的方式传输信息的通信信道。8、安全保护能力 security protection ability：系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。基本要求第一部分 标准术语与定义1 自主访问控制计算机信息系统可信计算基定义并控制系统中命名用户对命名客体的访问。实施机制（例如：访问控制表）允许命名用户和（或）以用户组的身份规定并控制客体的共享；阻止非授权用户读取敏感信息。并控制访问权限扩散。自主访问控制机制根据用户指定方式或默认方式，阻止非授权用户访问客体。访问控制的粒度是单个用户。访问控制能够为每个命名客体指

5、定命名用户和用户组，并规定他们对客体的访问模式。没有存取权的用户只允许由授权用户指定对客体的访问权。2 强制访问控制计算机信息系统可信计算基对外部主体能够直接或间接访问的所有资源（例如：主体、存储客体和输入输出资源）实施强制访问控制。为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的依据。计算机信息系统可信计算基支持两种或两种以上成分组成的安全级。计算机信息系统可信计算基外部的所有主体对客体的直接或间接的访问应满足：仅当主体安全级中的等级分类高于或等于客体安全级中的等级分类，且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别，主体才能读客体；

6、仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类，且主体安全级中的非等级类别包含于客体安全级中的非等级类别，主体才能写一个客体。计算机信息系统可信计算基使用身份和鉴别数据，鉴别用户的身份，保证用户创建的计算机信息系统可信计算基外部主体的安全级和授权受该用户的安全级和授权的控制。基本要求第一部分 标准术语与定义3 标记计算机信息系统可信计算基维护与可被外部主体直接或间接访问到计算机信息系统资源（例如：主体、存储客体、只读存储器）相关的敏感标记。这些标记是实施强制访问的基础。为了输入未加安全标记的数据，计算机信息系统可信计算基向授权用户要求并接受这些数据的安全级别，且可由计算机信息系统可

7、信计算基审计。4 身份鉴别计算机信息系统可信计算基初始执行时，首先要求用户标识自己的身份，而且，计算机信息系统可信计算基维护用户身份识别数据并确定用户访问权及授权数据。计算机信息系统可信计算基使用这些数据，鉴别用户身份，并使用保护机制（例如：口令）来鉴别用户的身份；阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识，计算机信息系统可信计算基能够使用户对自己的行为负责。计算机信息系统可信计算基还具备将身份标识与该用户所有可审计行为相关联的能力。5 客体重用在计算机信息系统可信计算基的空闲存储客体空间中，对客体初始指定、分配或再分配一个主体之前，撤销客体所含信息的所有授权。当主体获得对一个

8、已被释放的客体的访问权时，当前主体不能获得原主体活动所产生的任何信息。基本要求第一部分 标准术语与定义6 审计计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录，并能阻止非授权的用户对它访问或破坏。计算机信息系统可信计算基能记录下述事件：使用身份鉴别机制；将客体引入用户地址空间（例如：打开文件、程序初始化）；删除客体；由操作员、系统管理员或（和）系统安全管理员实施的动作，以及其他与系统安全有关的事件。对于每一事件，其审计记录包括：事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件，审计记录包含请求的来源（例如：终端标识符）；对于客体引入用户地址空间的事件及客体删除事

9、件，审计记录包含客体名及客体的安全级别。此外，计算机信息系统可信计算基具有审计更改可读输出记号的能力。对不能由计算机信息系统可信计算基独立分辨的审计事件，审计机制提供审计记录接口，可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记录。计算机信息系统可信计算基能够审计利用隐蔽存储信道时可能被使用的事件。计算机信息系统可信计算基包含能够监控可审计安全事件发生与积累的机制，当超过阈值时，能够立即向安全管理员发出报警。并且，如果这些与安全相关的事件继续发生或积累，系统应以最小的代价中止它们。基本要求第一部分 标准术语与定义7 数据完整性计算机信息系统可信计算基通过自主和强制完

10、整性策略，阻止非授权用户修改或破坏敏感信息。在网络环境中，使用完整性敏感标记来确信信息在传送中未受损。8 隐蔽信道分析系统开发者应彻底搜索隐蔽信道，并根据实际测量或工程估算确定每一个被标识信道的最大带宽。9 可信路径当连接用户时（如注册、更改主体安全级），计算机信息系统可信计算基提供它与用户之间的可信通信路径。可信路径上的通信只能由该用户或计算机信息系统可信计算基激活，且在逻辑上与其他路径上的通信相隔离，且能正确地加以区分。基本要求第二部分 概述信息系统安全保护等级信息系统根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权

11、益的危害程度等，由低到高划分成五级。五级定义见GB/T 22240-2008。基本要求第二部分 概述不同等级的安全保护能力第一级应能够防护系统免受来自个人的、拥有很少资源（如利用公开可获取的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度弱、持续时间很短等）以及其他相当危害程度的威胁（无意失误、技术故障等）所造成的关键资源损害，在系统遭到损害后，能够恢复部分功能。第二级应能够防护系统免受来自外部小型组织的（如自发的三两人组成的黑客组织）、拥有少量资源（如个别人员能力、公开可获或特定开发的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度一般、持续时间短、覆盖范围小等）

12、以及其他相当危害程度的威胁（无意失误、技术故障等）所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。基本要求第二部分 概述第三级应能够在统一安全策略下防护系统免受来自外部有组织的团体（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严重的自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较广等）以及其他相当危害程度的威胁（内部人员的恶意威胁、无意失误、较严重的技术故障等）所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。 第四级应能够在统

13、一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难（灾难发生的强度大、持续时间长、覆盖范围广等）以及其他相当危害程度的威胁（内部人员的恶意威胁、无意失误、严重的技术故障等）所造成的资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够迅速恢复所有功能。 。基本要求第二部分 概述等级保护的基本思想不同级别信息系统重要程度不同应对不同威胁的能力(威胁弱点)具有不同的安全保护能力不同的基本要求基本要求第二部分 概述基本技术要求和基本管理要求基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求，根据实现方式的不同，

14、基本安全要求分为基本技术要求和基本管理要求两大类。基本要求第二部分 概述建立安全技术体系建立安全管理体系具有某级安全保护能力的系统XX级信息系统基本要求技术要求管理要求等级保护的核心要求基本要求第二部分 概述基本技术措施基本管理措施安全保护能力每一个等级的信息系统基本安全要求满足具备实现基本要求的模型描述基本要求第三部分 应用范围信息系统安全等级保护基本要求运营、使用单位（安全服务商）安全保护主管部门（等级测评机构）测评检查基本要求使用单位使用方法基本要求的作用基本要求第三部分 应用范围是系统安全保护、等级测评的一个基本“标尺”，同样级别的系统使用统一的“标尺”来衡量，保证权威性，是一个达标线

15、；每个级别的信息系统按照基本要求进行保护后，信息系统具有相应等级的基本安全保护能力，达到一种基本的安全状态；是每个级别信息系统进行安全保护工作的一个基本出发点，更加贴切的保护可以通过需求分析对基本要求进行补充，参考其他有关等级保护或安全方面的标准来实现。基本要求的定位基本要求第三部分 应用范围某等级信息系统基本保护精确保护基本要求保护测评补充的安全措施GB17859-1999通用技术要求安全管理要求高级别的基本要求等级保护其他标准安全方面相关标准等等基本保护特殊需求补充措施基本要求的定位基本要求基本要求第四部分 主要内容基本技术要求技术类安全要求与信息系统提供的技术安全机制有关，主要通过在信息

16、系统中部署软硬件并正确的配置其安全功能来实现。基本技术要求 物理安全网络安全主机安全应用安全数据安全基本技术要求的主要内容物理安全物理位置选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应电磁防护网络安全结构安全和网段划分网络访问控制网络安全审计边界完整性检查网络入侵检测恶意代码防护网络设备防护主机系统安全身份鉴别安全标记访问控制可信路径安全审计剩余信息保护入侵防范恶意代码防范系统资源控制应用安全身份鉴别安全标记访问控制可信路径安全审计剩余信息保护通信完整性通信保密性抗抵赖软件容错资源控制数据安全数据完整性数据保密性备份和恢复基本要求第四部分 主要内容基本要求第四部分

17、主要内容基本技术要求的三种类型根据保护侧重点的不同，技术类安全要求进一步细分为：保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求（简记为S）；保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求（简记为A）；通用安全保护类要求（简记为G）。基本要求第四部分 主要内容基本管理要求管理类安全要求与信息系统中各种角色参与的活动有关，主要通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。基本管理要求 安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理基本要求第四部分 主要内容安全管理制度管理制度制度和

18、发表评审和修订安全管理机构岗位设置人员配备授权和审批沟通和合作审核和检查人员安全管理人员录用人员离岗人员考核安全意识教育和培训外部访问人员管理系统建设管理系统定级安全方案设计产品采购和使用自行软件开发外包软件开发工程实践测试验收系统交付系统备案等级测评安全服务商选择系统运维管理环境管理资产管理介质管理设备管理监控管理和安全管理中心网络安全管理系统安全管理恶意代码防范管理密码管理变更管理备份与恢复管理安全事件处置应急预案管理基本管理要求的主要内容基本要求第四部分 主要内容基本要求的组织方式基本要求第五部分 选择和使用信息系统的差异和安全保护等级不同安全保护等级的信息系统，其对业务信息的安全性要求

19、和系统服务的连续性要求是有差异的。相同安全保护等级的信息系统，其对业务信息的安全性要求和系统服务的连续性要求也是有差异的。信息系统的安全保护等级由业务信息安全性等级和系统服务保证性等级的较高者决定。基本要求第五部分 选择和使用信息系统定级后，不同安全保护等级的信息系统可能形成的定级结果组合如下S1A1G1S1A2G2，S2A2G2，S2A1G2S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4第一级第二级第三级第四级1、明确信息系统应该具有的安全保护能力，根据信息系统的安全保护等级

20、选择基本安全要求，包括技术要求和管理要求。简单的方法是根据本标准，一级系统选择第一级基本安全要求，二级系统选择第二级基本安全要求，三级系统选择第三级基本安全要求，四级系统选择第四级基本安全要求，以此作为出发点。2、根据信息系统的定级结果对基本安全要求进行调整。根据系统服务保证性等级选择相应等级的系统服务保证类（A类）基本安全要求；根据业务信息安全性等级选择相应等级的业务信息安全类（S类）基本安全要求。3、针对不同行业或不同系统特点，分析可能在某些方面的特殊安全保护能力要求，选择较高级别的基本安全要求或补充基本安全要求。对于本标准中提出的基本安全要求无法实现或有更加有效的安全措施可以替代的，可以

21、对基本安全要求进行调整，调整的原则是保证不降低整体安全保护能力。选择和使用的步骤基本要求第五部分 选择和使用基本要求第六部分 级差等级等级保护保护级别（GB17859)实施与管理一级自主保护自主访问主管部门审批自定二级指导审计（自主访问）主管部门审批公安部门备案三级监督检查标记（强制访问）主管部门审批每年一次测评检查四级强制监督检查结构化保证专家委评审半年一次测评检查五级专门监督检查实时监控专家委评审专门检查等级保护与GB17859基本要求第六部分 级差从PDRR的角度分析：防护防护/监测策略/防护/监测/恢复策略/防护/监测/恢复/响应一级系统二级系统三级系统四级系统等级保护的要求：PDR原

22、则基本要求第六部分 级差从IATF的层面分析通信/边界（基本）通信/边界/内部（关键设备）通信/边界/内部（主要设备）通信/边界/内部/基础设施（所有设备）一级系统二级系统三级系统四级系统分级保护的要求：纵深防护基本要求第六部分 级差从PDCA的角度分析计划和跟踪（主要制度）计划和跟踪（主要制度）良好定义（管理活动制度化）持续改进（管理活动制度化/及时改进）一级系统二级系统三级系统四级系统分级保护的要求：持续改进基本要求第六部分 级差安全要求类层面一级二级三级四级技术要求物理安全7101010网络安全3677主机安全4679应用安全47911数据安全及备份恢复2333管理要求安全管理制度233

23、3安全管理机构4555人员安全管理4555系统建设管理991111系统运维管理9121313合计/48667377级差/1874控制点的分布基本要求第六部分 级差安全要求类层面一级二级三级四级技术要求物理安全9193233网络安全9183332主机安全6193236应用安全7193136数据安全及备份恢复24811管理要求安全管理制度371114安全管理机构492020人员安全管理7111618系统建设管理20284548系统运维管理18416270合计/85175290318级差/9011528控制项的分布物理安全类基本要求第七部分 具体内容基本要求第七部分 具体内容技术要求第一级第二级第三

24、级第四级物理环境基本防护进一步防护增强控制扩大防护范围人员控制对基本出入行为进行控制对进入后的活动也要进行控制对出入加强了控制，做到人、电子设备共同监控要求多道电子设备监控物理环境进行基本防护要求更加细致，加强了各方面的防护进一步采取各种控制措施来进行防护要求采用一定的防护设备进行防护物理安全类基本要求第七部分 具体内容网络安全类网络安全类技术要求第一级第二级第三级第四级网络处理能力提供基本保障满足业务极限时的要求保证重要主机的优先级同第三级访问控制粒度对用户组的数据包头进行基本过滤对单个用户的会话信息进行过滤应用层过滤，设备的接入做一定的限制限制通用协议，根据敏感标记进行过滤，禁止远程拨号访

25、问边界防护能力进行基本防护非法外联；入侵检测；非法外联的定位、阻断；入侵检测并报警；恶意代码防范；入侵检测、报警并阻断；与内网异构的恶意代码防范；审计能力无要求设备运行网络流量对形成的记录进行分析、形成报表；对审计系统进行保护设计审计系统的跟踪极限阀值；集中审计身份鉴别基本的登录鉴别措施鉴别标示唯一，鉴别信息复杂两种以上鉴别技术；特权用户分离至少一种鉴别信息为不可伪造的基本要求第七部分 具体内容基本要求第七部分 具体内容主机安全类基本要求第七部分 具体内容主机安全类技术要求第一级第二级第三级第四级资源控制无要求单个用户的会话数量和终端登录监视服务器；对系统最小服务进行监测和报警同第三级访问控制

26、粗粒度的控制策略不同系统用户的权限分离最小授权原则强制访问控制，控制力度为用户、进程、文件、数据库表、记录和字段安全防护进行基本防护非法外联；入侵检测；非法外联的定位、阻断；入侵检测并报警；恶意代码防范；入侵检测、报警并阻断；与内网异构的恶意代码防范；审计能力无要求审计服务器中的用户行为和系统异常对形成的记录进行分析、形成报表；对审计系统进行保护；审计范围扩展到客户端集中审计身份鉴别简答的身份鉴别措施鉴别标示唯一，鉴别信息复杂两种以上鉴别技术至少一种鉴别信息为不可伪造的；设置鉴别警示信息基本要求第七部分 具体内容应用安全类应用安全类技术要求第一级第二级第三级第四级资源控制无要求单个用户的会话数

27、量和终端登录时间段内的会话数量；根据优先级分配资源；对系统最小服务进行监测和报警同第三级访问控制粗粒度的控制策略细化控制力度；最小授权原则对重要信息设置敏感标记，并控制对其操作以标记的方式软件安全进行基本防护操作系统及时更新剩余信息保护；抗抵赖安全标记和可信路径通信安全确定的会话方式单项校验码；初始化验证；敏感信息加密；利用密码技术来判断数据的完整性；整个报文或会话过程加密来保证通信的保密性加解密运算要求设备化审计能力无要求用户行为安全事件对形成的记录进行分析、形成报表；对审计系统进行保护；集中审计接口身份鉴别简答的身份鉴别措施鉴别标示唯一；鉴别信息复杂两种以上鉴别技术至少一种鉴别信息为不可伪

28、造的；基本要求第七部分 具体内容基本要求第七部分 具体内容数据安全及备份恢复类基本要求第七部分 具体内容数据安全及备份恢复类技术要求第一级第二级第三级第四级数据完整性数据传输过程进行完整性检测鉴别信息和重要业务数据在传输过程中都要保证其完整性系统管理数据的传输完整性，不仅能够检测出数据受到破坏，并能进行恢复采用安全、专用的通信协议数据保密性无要求能够实现鉴别信息的存储保密性实现系统管理数据、鉴别信息和重要业务数据的传输和存储的保密性采用安全、专用的通信协议备份和恢复对重要数据进行备份提供一定的硬件冗余本地完全数据备份；异地备份和冗余网络拓扑建立异地适时灾难备份中心，在灾难发生后系统能够自动切换

29、和恢复基本要求第七部分 具体内容安全管理制度类基本要求第七部分 具体内容安全管理制度类技术要求第一级第二级第三级第四级管理制度制定日常常用的管理制度管理制度要求更高，并总体方针和安全策略，重要操作规程的要求建立信息安全管理制度体系同第三级制定和发布有人员负责安全管理制度的制定，相关人员能够了解管理制度有专门部门或人员负责安全管理制定的制定，并且发布前要组织论证制度的制定格式、发布范围、发式等进行了控制侧重对有密级的安全制度的管理评审和修订无要求对安全管理制度评审和修订安全领导小组负责组织定期和不定期的评审和修订侧重对有密级的安全制度的修订和制度的日常维护基本要求第七部分 具体内容安全管理机构类

30、基本要求第七部分 具体内容安全管理机构类技术要求第一级第二级第三级第四级岗位设置设置基本的工作岗位安全主管，安全管理各个方面的负责人等岗位要求设置信息安全的职能部门和上层领导小组同第三级人员配备配备一定数量的基本岗位工作人员安全管理员不可兼任其它岗位设专职安全员，并且加强对关键事务的管理同第三级授权和审批明确授权和审批职责对关键活动进行审批对审批形式增强要求增强审批制度、程序、审查、记录等方面的要求同第三级沟通和合作加强对外的沟通和合作与机构内部及与其他部门的沟通和合作扩大与外界组织沟通的范围同第三级审核和检查无要求定期进行安全检查和检查的基本内容增强对检查内容、检查制度、负责人、检查流程、检

31、查结果处理等的要求同第三级基本要求第七部分 具体内容人员安全管理类基本要求第七部分 具体内容人员安全管理类技术要求第一级第二级第三级第四级人员录用负责部门或人员对录用人员身份、专业等进行基本的审查对录用人员技能的考核，并与关键岗位人员签署保密协议的形式约束其职责从事关键岗位人员更加严格的录用，并与全部员工签署保密协议同第三级人员离岗对离岗人员进行设备归还和权限中止规范离岗过程关键岗位人员离岗制度化规范人员考核无要求对人员定期进行技能考核。考核结果处理和对关键岗位的考核保密制度和保密检查安全意识教育和培训对人员进行基本的安全意识和责任教育。对安全教育培训的正规化管理侧重于不同岗位的安全教育培训和制度化要求同第三级外部人员访问管理对外部人员访问要得到授权和审批。对外部人员的访问的监督、备案等过程管理访问书面申请，访问制度等，更加严格外部人员访问管理要求外部人员禁止访问关键区域基本要求第七部分 具体内容系统建设管理类基本要求第七部分 具体内容系统建设管理类技术要求第一级第二级第三级第四级定级与方案确定系统边界和等级，并得到相关部门的批准；形成书面的安全方案和详细设计方案对设计方案的论证和批准；增加对密码产品采购和使用的要求对定级结果的论证；系统建设的总体规划，安全保障体系，并