等级保护工作中的重点和难点课件

等级保护工作中的重点和难点

马力公安部信息安全等级保护评估中心信息安全等级保护培训信息安全等级保护培训目录

等级保护的工作环节和技术标准等级保护系统定级中的技术难点等级保护建设整改中的技术难点目录等级保护的工作环节和技术标准等级保护

根据信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；将信息系统划分为不同的安全保护等级并对其实施不同的保护和监管。

等级保护根据信息系统在国家安全、经济建设、社会生《警察法》规定：警察履行“监督管理计算机信息系统的安全保护工作”的职责。国务院令第147号规定：“公安部主管全国计算机信息系统安全保护工作”，“等级保护的具体办法，由公安部会同有关部门制定”。2008年国务院三定方案，公安部新增职能：“监督、检查、指导信息安全等级保护工作”。公安机关组织开展等级保护工作的依据《警察法》规定：警察履行“监督管理计算机信息系统的安全保护工职能部门：制定管理规范和技术标准，组织实施，开展监督、检查、指导。行业主管部门：督促、检查、指导本行业、本部门开展等级保护工作。运营使用单位：开展信息系统定级、备案、建设整改、等级测评、自查等工作，落实等级保护制度的各项要求。安全服务机构：开展技术支持、服务等工作，并接受监管部门的监督管理。相关部门的责任和义务职能部门：制定管理规范和技术标准，组织实施，开展监督、检查等级保护主要工作一是：定级备案二是：建设整改三是：等级测评四是：监督检查等级保护主要工作一是：定级备案

近几年，公安部根据国务院147号令的授权，会同国家保密局、国家密码管理局、发改委、原国务院信息办出台了一些文件，公安部对有些具体工作出台了一些指导意见和规范，构成了信息安全等级保护政策体系。汇集成《信息安全等级保护政策汇编》供有关单位、部门使用。等级保护政策体系近几年，公安部根据国务院147号令的授权，会同国家在安全建设整改工作中的作用

等级保护有关政策在安全建设整改工作中的作用1、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）2、《信息安全等级保护管理办法》公通字[2007]43号）3、《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字[2007]861号）4、《信息安全等级保护备案实施细则》（公信安[2007]1360号）5、《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安[2009]1429号）等级保护政策体系1、《关于信息安全等级保护工作的实施意见》（公通字[20046、《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号）7、《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号）。8、《关于印发〈信息系统安全等级测评报告模版（试行）〉的通知》（公信安[2009]1487号）9、《公安机关信息安全等级保护检查工作规范》（公信安[2008]736号）等级保护政策体系6、《关于加强国家电子政务工程建设项目信息安全风险评估工作的

多年来，在有关部门支持下，在国内有关专家、企业的共同努力下，全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准，形成了比较完整的信息安全等级保护标准体系。汇集成《信息安全等级保护标准汇编》供有关单位、部门使用。

等级保护标准体系多年来，在有关部门支持下，在国内有关专家在安全建设整改工作中的作用

等级保护有关标准在安全建设整改工作中的作用等级保护工作中用到的主要标准（一）基础1、《计算机信息系统安全保护等级划分准则》GB17859-19992、《信息系统安全等级保护实施指南》GB/T25058-2010（二）系统定级环节3、《信息系统安全保护等级定级指南》GB/T22240-2008（三）建设整改环节4、《信息系统安全等级保护基本要求》GB/T22239-2008（四）等级测评环节5、《信息系统安全等级保护测评要求》(国标报批稿)6、《信息系统安全等级保护测评过程指南》(国标报批稿)等级保护工作中用到的主要标准（一）基础小结-等级保护主要政策和标准《信息安全等级保护管理办法》（公通字[2007]43号，以下简称《管理办法》）《计算机信息安全保护等级划分准则》（GB17859-1999，简称《划分准则》）《信息系统安全等级保护实施指南》GB/T25058-2010（简称《实施指南》）《信息系统安全保护等级定级指南》（GB/T22240-2008，简称《定级指南》）《信息系统安全等级保护基本要求》（GB/T22239-2008，简称《基本要求》）《信息系统安全等级保护测评要求》（简称《测评要求》）《信息系统安全等级保护测评过程指南》（简称《测评过程指南》）小结-等级保护主要政策和标准《信息安全等级保护管理办法》（公目录

等级保护的工作环节和技术标准

等级保护系统定级中的技术难点等级保护建设整改中的技术难点目录等级保护的工作环节和技术标准目录

等级保护系统定级中的技术难点等级的概念定级对象的确定影响及后果的判断目录等级保护系统定级中的技术难点系统定级-工作的部署2007年《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字[2007]861号）全国重要信息系统安全等级保护定级工作开展以来，各地区、各部门高度重视，按照定级工作的要求，认真组织落实，到2009年,基本完成了定级工作任务。系统定级-工作的部署2007年《关于开展全国重要信息系统安全系统定级-等级的概念先后在《划分准则》、《基本要求》等技术标准和《管理办法》等文件中出现了多个有关等级的概念系统定级-等级的概念先后在《划分准则》、《基本要求》等技术标系统定级-等级的概念等级的概念首先出现在国家标准《划分准则》中从安全保护能力角度，根据安全功能的实现情况，将计算机信息系统安全保护能力划分为五个级别用户自主保护级系统审计保护级安全标记保护级结构化保护级访问验证保护级系统定级-等级的概念等级的概念首先出现在国家标准《划分准则》系统定级-等级的概念该标准仅明确了信息系统安全保护能力的五个等级的划分，但是没有考虑“信息系统重要程度”这个属性，在等级保护的推进过程中，难以依据该标准开展信息安全等级保护定级工作系统定级-等级的概念该标准仅明确了信息系统安全保护能力的五个系统定级-等级的概念-信息系统重要程度的等级在《管理办法》中，明确了“信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定”系统定级-等级的概念-信息系统重要程度的等级在《管理办法》系统定级-等级的概念-信息系统重要程度的等级《管理办法》从信息系统重要程度及其社会属性考虑，再次给出了信息系统五个级别的定义第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。系统定级-等级的概念-信息系统重要程度的等级《管理办法》从系统定级-等级的概念-信息系统安全保护能力的等级《划分准则》级别安全功能要求用户自主保护级自主访问控制、身份鉴别、数据完整性保护系统审计保护级自主访问控制、身份鉴别、客体重用、安全审计、数据完整性保护安全标记保护级自主访问控制、强制访问控制、安全标记、身份鉴别、客体重用、安全审计、数据完整性保护结构化保护级自主访问控制、强制访问控制、安全标记、身份鉴别、客体重用、安全审计、数据完整性保护、隐蔽信道分析、可信路径访问验证保护级自主访问控制、强制访问控制、安全标记、身份鉴别、客体重用、安全审计、数据完整性保护、隐蔽信道分析、可信路径、可信恢复系统定级-等级的概念-信息系统安全保护能力的等级《划分准则》系统定级-等级的概念–信息系统安全保护能力的等级为了保证不同级别的系统通过安全保护具有《划分准则》提出的安全保护能力，考虑到《划分准则》对安全保护能力描述的抽象性和概括性，《基本要求》重新诠释了《划分准则》的安全保护能力，给出了安全保护能力的新定义系统定级-等级的概念–信息系统安全保护能力的等级为了保证不系统定级-等级的概念–信息系统安全保护能力的等级安全保护能力的级别：一级安全保护能力：二级安全保护能力：三级安全保护能力：四级安全保护能力；五级安全保护能力；（未公布）系统定级-等级的概念–信息系统安全保护能力的等级系统定级-等级的概念–信息系统安全保护能力的等级三级安全保护能力：应具有能够对抗来自大型的、有组织的团体（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严重的自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较广（地区性）等）以及其他相当危害程度（内部人员的恶意威胁、设备的较严重故障等）威胁的能力，并在威胁发生后，能够较快恢复绝大部分功能。系统定级-等级的概念–信息系统安全保护能力的等级三级安全保系统定级-等级的概念–信息系统安全保护能力的等级为了便于指导信息系统的安全建设整改工作，落实各项安全管理和技术措施，在有关信息系统建设整改的工作指南中，对上述安全保护能力给出了更加通俗的描述系统定级-等级的概念–信息系统安全保护能力的等级为了便于指系统定级-等级的概念–信息系统安全保护能力的等级第三级信息系统安全保护能力：信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力，抵抗较为严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵行为的能力；具有对安全事件进行响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的系统，应能快速恢复正常运行状态；具有对系统资源、用户、安全机制等进行集中控管的能力系统定级-等级的概念–信息系统安全保护能力的等级第三级信息系统定级-等级概念的相互关系-重要性等级是等级的核心《管理办法》中信息系统重要程度的等级的概念，是信息安全等级保护工作中的系统定级和备案、安全建设整改、等级测评和监督检查等工作的依据系统定级-等级概念的相互关系-重要性等级是等级的核心《管理办系统定级-等级概念的相互关系-重要性等级和监督管理强度的等级信息系统级别信息系统重要性监督管理强度等级第一级一般信息系统自主保护级第二级一般信息系统指导保护级第三级重要信息系统监督保护级第四级重要信息系统强制保护级第五级重要信息系统专控保护级系统定级-等级概念的相互关系-重要性等级和监督管理强度的等级系统定级-等级概念的相互关系-重要性等级和安全保护能力等级信息系统重要程度不同意味着外部威胁源的兴趣点也不同，较高级别的系统可能面临更多的威胁或更强能力的威胁，因此级别更高的系统需要具备更强的安全保护能力才能实现基本安全系统定级-等级概念的相互关系-重要性等级和安全保护能力等级信系统定级-等级概念的相互关系-重要性等级和安全保护能力等级信息系统级别重要性安全保护能力级别第一级一般信息系统一级安全保护能力第二级一般信息系统二级安全保护能力第三级重要信息系统三级安全保护能力第四级重要信息系统四级安全保护能力第五级重要信息系统未公布系统定级-等级概念的相互关系-重要性等级和安全保护能力等级信系统定级-等级概念的相互关系最后，为了保证三级系统具备或实现三级的安全保护能力目标，三级信息系统应按照《划分准则》和《基本要求》等技术标准落实三级系统的各项安全管理和技术措施系统定级-等级概念的相互关系最后，为了保证三级系统具备或实现<定级指南>标准的结构正文由6个章节构成1.范围2.规范性引用文件3.术语定义4.定级原理5.定级方法6.级别变更<定级指南>标准的结构正文由6个章节构成<定级指南>-定级原理受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级<定级指南>-定级原理受侵害的客体对客体的侵害程度一般损害严<定级指南>-定级流程3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体7、系统服务安全等级4、业务信息安全等级8、定级对象的安全保护等级1、确定定级对象<定级指南>-定级流程3、综合评定对客体的侵害程度2、确定业<定级指南>-定级方法确定定级对象；确定业务信息安全受到破坏时所侵害的客体；综合评定业务信息安全被破坏对客体的侵害程度；得到业务信息安全等级；确定系统服务安全受到破坏时所侵害的客体；综合评定系统服务安全被破坏对客体的侵害程度；得到系统服务安全等级；由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。<定级指南>-定级方法确定定级对象；定级对象的三个条件具有唯一确定的安全责任单位作为定级对象的信息系统应能够唯一地确定其安全责任单位，这个安全责任单位就是负责等级保护工作部署、实施的单位，也是完成等级保护备案和接受监督检查的直接责任单位。满足信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如单台的服务器、终端或网络设备等作为定级对象。定级阶段-关于定级对象确定定级对象的三个条件定级阶段-关于定级对象确定承载相对独立的业务应用定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流程、部分业务功能独立，同时与其他信息系统的业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程，可以使完整的业务流程的一部分。定级阶段-关于定级对象确定承载相对独立的业务应用定级阶段-关于定级对象确定定级阶段-定级对象举例某期货交易所办公系统生产系统交易系统清算系统网站系统定级阶段-定级对象举例某期货交易所定级阶段-定级对象举例定级对象结果1办公信息系统生产信息系统定级对象结果2办公信息系统生产信息系统交易信息系统清算信息系统网站信息系统定级阶段-定级对象举例定级对象结果1定级阶段-定级对象举例证券公司集中交易系统公司总部数据中心各个营业部柜台委托自助委托电话委托网上委托定级阶段-定级对象举例证券公司集中交易系统定级阶段-定级对象举例交易系统行情系统清算系统客户管理系统等定级阶段-定级对象举例交易系统定级阶段-定级对象举例定级对象结果1总部信息系统营业部信息系统定级对象结果2总部数据中心系统(平台)外部委托系统(平台)营业部外部委托系统(平台)定级阶段-定级对象举例定级对象结果1定级阶段-定级对象举例定级对象结果3总部交易系统行情系统清算系统客户管理系统营业部交易系统行情系统客户管理系统定级阶段-定级对象举例定级对象结果3定级阶段-定级对象举例某电力集团公司公司本部供电局(分公司)电力调度系统综合信息系统定级阶段-定级对象举例某电力集团公司定级阶段-定级对象举例骨干网城域网数据中心局域网大楼用户局域网供电所局域网三产公司局域网等定级阶段-定级对象举例骨干网定级阶段-定级对象举例电力营销系统生产管理系统工程管理系统物资管理系统财务管理系统OA系统EAI/EIP系统等定级阶段-定级对象举例电力营销系统定级阶段-定级对象举例定级对象结果1本部信息系统供电局信息系统定级对象结果2本部电力调度系统综合信息系统营业部电力调度系统综合信息系统定级阶段-定级对象举例定级对象结果1定级阶段-定级对象举例定级对象结果3本部数据中心系统用户局域网系统骨干网系统供电局数据中心系统用户局域网系统城域网系统定级阶段-定级对象举例定级对象结果3定级阶段-定级对象举例定级对象结果4电力营销系统生产管理系统工程管理系统物资管理系统财务管理系统OA系统EAI/EIP系统定级阶段-定级对象举例定级对象结果4处理不同类型业务的系统。本身运行在不同的网络环境中的系统。分不开的系统，按照高级别保护。定级阶段-关于定级对象确定处理不同类型业务的系统。定级阶段-关于定级对象确定系统边界不应出现在服务器内部，服务器共用的系统一般归入同一个信息系统，因此不同信息系统的共用设备一般是网络/边界设备或终端设备。两个信息系统边界存在共用设备时，共用设备的安全保护等级按两个信息系统安全保护等级较高者确定。例如，一个2级系统和一个3级系统之间有一个防火墙或两个系统共用一个核心交换机，此时防火墙和交换机可以作为两个系统的边界设备，但应满足3级系统的要求。定级阶段-关于系统边界系统边界不应出现在服务器内部，服务器共用的系统一般归入同一个信息系统的管理终端是与相应被管理设备相对应的，服务器、网络设备及安全设备等属于哪个系统，终端就应归在哪个信息系统中。如果无法做到不同等级的信息系统使用不同的终端设备，则应将终端设备划分为其他的信息系统，并在服务器与内部用户终端之间建立边界保护，对终端通过身份鉴别和访问控制等措施加以控制。定级阶段-关于系统边界信息系统的管理终端是与相应被管理设备相对应的，服务器、网络设业务信息业务系统处理的不同类型的数据系统服务业务系统的服务范围业务系统的服务对象业务系统的服务人数业务系统的服务时间要求定级阶段-关于业务信息和系统服务的确定业务信息定级阶段-关于业务信息和系统服务的确定

国家安全体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全等方面利益。社会秩序和公共利益包括政治、经济、生产、生活、科研、工作等各方面的正常秩序和社会公众生产、生活、教育、卫生等方面的利益。合法权益是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益，定级阶段-关于影响和后果 国家安全定级阶段-关于影响和后果关于国家安全重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等；广播、电视、网络等重要新闻媒体的发布或播出系统，其受到非法控制可能引发影响国家统一、民族团结和社会安定的重大事件；尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信息系统，以及电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统等。定级阶段-关于影响和后果关于国家安全定级阶段-关于影响和后果关于社会秩序各级政府机构的社会管理和公共服务系统，如财政、金融、工商、税务、公检法、海关、社保等领域的信息系统，也包括教育、科研机构的工作系统，以及所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统。定级阶段-关于影响和后果关于社会秩序定级阶段-关于影响和后果关于公共利益借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方面，例如：公共通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施、公共服务设施等。公共利益与社会秩序密切相关，社会秩序的破坏一般会造成对公共利益的损害。定级阶段-关于影响和后果关于公共利益定级阶段-关于影响和后果直接的结果和间接的影响按照国家安全—社会秩序和公共利益---公民、法人和组织的合法利益的顺序考虑定级阶段-关于影响和后果定级阶段-关于影响和后果可能的系统级别第一级S1A1G1第二级S1A2G2，S2A2G2，S2A1G2第三级S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四级S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4可能的系统级别第一级S1A1G1目录

等级保护的工作环节和技术标准等级保护系统定级中的技术难点

等级保护建设整改中的技术难点目录等级保护的工作环节和技术标准目录

等级保护建设整改中的技术难点标准的理解方案的设计产品的使用目录等级保护建设整改中的技术难点建设整改-工作的部署2009年，《关于印送<关于开展信息安全等级保护安全建设整改工作的指导意见>的函》（公信安[2009]1429号），标志着等级保护建设整改工作的启动。、全国已定级信息系统安全建设整改工作总体上用三年时间完成。建设整改-工作的部署2009年，《关于印送<关于开展信息安全安全建设整改技术安全建设整改过程是一个工程过程，通过使用工程技术方法落实各项技术措施和管理措施安全建设整改可以分为安全管理建设整改和安全技术建设整改两个部分进行安全建设整改技术安全建设整改过程是一个工程过程，通过使用工程安全建设整改技术详细的工作流程和工作内容说明可参见公安部印发的《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）及其附件：《信息安全等级保护安全建设整改工作指南》安全建设整改技术详细的工作流程和工作内容说明可参见公安部印发安全建设整改基本流程信息系统安全管理建设信息系统安全技术建设开展信息系统安全自查和等级测评信息系统安全保护现状分析信息系统安全建设整改工作规划和工作部署确定安全策略，制定安全建设整改方案物理安全网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运行管理安全建设整改基本流程信息系统安全管理建设信息系统安全技术建设建设整改-管理办法要求《管理办法》第十二条:在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要求》等技术标准，参照……等技术标准同步建设符合该等级要求的信息安全设施。建设整改-管理办法要求《管理办法》第十二条:建设整改用到的主要标准《计算机信息系统安全保护等级划分准则》GB17859-1999《信息系统安全等级保护基本要求》

GB/T22239-2008《信息系统等级保护安全设计技术要求》

GB/T25070-2010建设整改用到的主要标准《计算机信息系统安全保护等级划分准则》标准的编制思路门槛合理对每个级别的信息系统安全要求设置合理，按照基本要求建设后，确实达到期望的安全保护能力内容完整综合技术、管理各个方面的要求，安全要求内容考虑全面、完整，覆盖信息系统生命周期便于使用安全要求分类方式合理，便于安全保护、检测评估、监督检查实施各方的灵活使用70标准的编制思路门槛合理7071描述模型不同级别信息系统不同级别安全威胁不同级别能力目标不同级别基本要求系统重要程度不同应对71描述模型不同级别信息系统不同级别安全威胁不同级别能力目标72基本安全保护能力对抗能力和恢复能力共同构成了信息系统的安全保护能力。安全保护能力主要表现为信息系统应对威胁的能力，称为对抗能力，但当信息系统无法阻挡威胁对自身的破坏时，信息系统的恢复能力使系统在一定时间内恢复到原有状态，从而降低负面影响。72基本安全保护能力对抗能力和恢复能力共同构成了信息系统的安73能力目标第三级安全保护能力应具有能够对抗来自大型的、有组织的团体（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严重的自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较广（地区性）等）以及其他相当危害程度（内部人员的恶意威胁、设备的较严重故障等）威胁的能力，并在威胁发生后，能够较快恢复绝大部分功能。73能力目标第三级安全保护能力74描述结构某级系统类技术要求管理要求基本要求类控制点要求项控制点要求项………………………………74描述结构某级系统类技术要求管理要求基本要求类控制点要求项75安全类物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全及备份恢复安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理类75安全类物理安全技术要求管理要求基本要求网络安全主机安全应76示例7第三级基本要求7.1

技术要求7.1.1物理安全7.1.1.1物理位置的选择本项要求包括

a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内

b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。。。。。。。类要求项控制点76示例7第三级基本要求类要求项控制点77控制点标注业务信息安全相关要求（标记为S）系统服务保证相关要求（标记为A）通用安全保护要求（标记为G）技术要求（3种标注）管理要求（统属G）77控制点标注业务信息安全相关要求（标记为S）78描述模型业务信息安全相关要求（S）电磁防护访问控制数据完整性数据保密性系统服务保证相关要求（A）电力供应软件容错备份与恢复资源控制通用安全保护要求（G）管理要求和大部分技术要求78描述模型业务信息安全相关要求（S）79逐级增强的特点控制点增加要求项增加要求项增强范围增大要求细化要求粒度细化79逐级增强的特点控制点增加80逐级增强的特点-控制点增加三级基本要求：在二级基本要求的基础上，技术方面，在控制点上增加了网络恶意代码防范、剩余信息保护、软件容错、