信息系统安全等级培训教材

信息安全等级保护培训教材《信息系统安全等级保护基本要求》公安部2007年7月 描述模型 5总体描述 5保护对象 6安全保护能力 6安全要求 8的特点 9增强原则 9总体描述 10控制点增加 11要求项增加 11控制强度增强 12各级安全要求 13技术要求 131物理安全 132网络安全 193主机安全 244应用安全 305数据安全及备份恢复 36管理要求 381安全管理制度 382安全管理机构 413人员安全管理 444系统建设管理 475系统运维管理 52重要信息系统安全等级保护定级工作的通知》公信安[2007]861号文件，围绕信息安全等级工求分级思路、逐级增强特点以中的作用、基本思路和主要内容，以便正确选择合适的安全要求进行信息系统保护。1概述景介绍息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。”信息安全等级保护工作第一阶段为准备阶段，准备阶段中重要工作之一是“加快制定、完善管理规范和技作用及特点使用对象不同，其主要作用分为三种：a、使用单位提供技术指导单位如何对特定等级的信息系统进行保护提供技术指导。b依据信息系统安全保护等级的检测评估提供依据。c查依据按照国家要求进行了基本的保护。这些要方式实现，不在《基本要求》的描述范围内。力。与其他标准的关系《信息系统安全等级保护定级指南》确定出系统等级以及业务信息安全性等级和保护要求进行系统建设实施。求是否符合相应等级的基本要求。从技术角度上讲：GB据完整性、自主访问控制、强制访问控制、审计、客体重用(改为剩余信息保护)标记、可层和数据层。《基本要求》的技术部分弱化了在信息系统中实现安全机制结构化设计及安全机制可全管理方面的标准，尽量做到全方位的安全管理。结构全、主机安全、应用安全和数据安全及备份恢复等5大类，管理部分分为：安全管理制度、而项则是控制点下的具体要求项，如“机房出入应安排专人负责，控制、鉴别和记录进入的具体框架结构如图所示：第一级基本第二级基本第四级基本第五级基本第一级基本第二级基本第四级基本第五级基本求物理安全网络安全主机安全应用安全安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理基本求及2描述模型2.1总体描述来的损失。安全保护能力。复能力，以对抗不同的威胁和能够在不同的时间内恢复系统原有的状态。的保障。护能力施全要求护能力施全要求安全等五个层面的基本安全技术措施和包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的基本安全管理措施来实现和保证。下图表明了《基本要求》的描述模型。具备级信息系统实现施2.2保护对象损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。全造成损害。家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。2.3安全保护能力1.定义a)对抗能力抗的威胁主要从威胁源(自然、环境、系统、人为)动机(不可抗外力、无意、有意)范围 (局部、全局)能力(工具、技术、资源等)四个要素来考虑。在对威胁进行级别划分前，我们首先解释以上几个要素：威胁源——是指任何能够导致非预期的不利事件发生的因素，通常分为自然(如自然灾害)环境(如电力故障)IT系统(如系统故障)和人员(如心怀不满的员工)四类。的动机，通常可分为不可抗外力(如自然灾害)无意的(如员工的疏忽大意)和故意的(如情报机构的信息收集活动)。以在网络中以惊人的速度迅速扩散并导致整个网络瘫痪。力主要体现在威胁源占有的计算资源的多少、工具的先进程度、人力资源(包括经验)等方面。通过对威胁主要因素的分析，我们可以组合得到不同等级的威胁：第一级：本等级的威胁是1)危害范围为局部的环境或者设备故障、2)无意的员工失误以及3)低能力的渗透攻击等威胁情景。典型情况如灰尘超标(环境)单个非重要工作站 (设备)崩溃等。第二级：本等级的威胁主要是1)危害局部的较严重的自然事件、2)具备中等能力、有预设目标的威胁情景。典型情况如有组织的情报搜集等。第三级：本等级的威胁主要是1)危害整体的自然事件、2)具备较高能力、大范围的、有预设目标的渗透攻击。典型情况如较严重的自然灾害、大型情报组织的情报搜集等。第四级：本等级的威胁主要是1)危害整体的严重的自然事件、2)国家级渗透攻击。国家收集机密信息等。b)恢复能力复能力越高。部分功能。统功能。全保护能力坏的可能性越大，遭到破坏后的后果越严重，因此需要提高相应的安全保护能力。不同等级信息系统所具有的保护能力如下：到损害后，能够恢复部分功能。发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，恢复绝大部分功能。略下防护系统免受来自国家级别的、敌对组所有功能。2.4安全要求首先介绍《基本要求》的安全要求的分类。安全要求从整体上分为技术和管理两大类，其中，技术类安全要求按其保护的侧重点不同，将其下的控制点分为三类：信息安全类(S类)——关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改。如，自主访问控制，该控制点主要关注的是防止未授权的访问系统，进而造成数据的修改或泄漏。至于对保证业务的正常连续运行并没有直接的影响。服务保证类(A类)——关注的是保护系统连续正常的运行，避免因对系统的未授权修改、破坏而导致系统不可用。如，数据的备份和恢复，该控制点很好的体现了对业务正常运行的保护。通过对数据进行备份，在发生安全事件后能够及时的进行恢复，从而保证了业务的正常运行。通用安全保护类(G类)——既关注保护业务信息的安全性，同时也关注保护系统的连续可用性。境，由于进入工作环境可能导致的后果既可能包括系统无法正常运行(如，损坏某台重要服务器)，也可能窃取某些重要数据。因此，它保护的重点二者兼而有之。根据信息系统安全的整体结构来看，信息系统安全可从五个层面：物理、网络、主机系统、求：系统的安全运行提供基本的后台支持和保证；系统安全运行，提供有效的网络服务；的数据库管理系统，以实现操作系统和数据库管理系统的安全运行；所确定的安全目标；据的安全性。管理类安全要求主要是围绕信息系统整个生命周期全过程而提出的，均为G类要求。信息系统的生命周期主要分为五个阶段：初始阶段、采购/开发阶段、实施阶段、运行维护管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五个方面。3逐级增强的特点.1增强原则措施，较高级别的系统应考虑更为周密的应对措施。不同级别的信息系统基本安全要求的考虑思路和增强原则如下图所示：PPDRR模型深层防御模型威胁GB17859有组织的团体攻击行PPDRR模型深层防御模型威胁GB17859有组织的团体攻击行为内部人员攻击人员失误设备故障\快速恢复大部分较严重自然灾难\环境威胁三级系统能力成熟模型能力成熟模型身份鉴别数据完整性自主访问控制国家级别的攻击行为内部国家级别的攻击行为内部人员攻击人员失误设备故障\快速恢复所有 严重自然灾难\环境威胁安全审计剩余信息保护通信\通信\边界\内部\基础设施(全部设备)持续改进策略\防护持续改进策略\防护\监测\恢复\响应四级系统策略\防护\监测\恢复通信\边界\内部(主要设备)良好定义身份鉴别数据完整性自主访问控制强制访问控制安全审计剩余信息保护身份鉴别通信身份鉴别通信\边界\内部人员失误 防护\监 防护\监测(关键设备)计划和跟踪安全审计二级系统一般的自二级系统个人攻击行为人员失误身份鉴别一般的自然灾难\环境威胁一般的自然灾难\环境威胁防护通信\边界(基本)非正式执行自主访问控制一级系统3.2总体描述的安全要求逐级增强，表现为：一级基本要求的基础上，技术方面，二级要求在控制点上增加了安置的各种安全功能发挥其应有的作用。：在二级基本要求的基础上，技术方面，在控制点上增加了网络恶意代加强了质量管理。的基础上，技术方面，在控制点上增加了安全标记、记录和字段级，建立异地灾难备份中心等，对部分功能进行了限制(如禁止拨号访问控制)。求项增加，强度增强。要求项增加、同一要求项强度增强。3控制点增加出的控制点增加，如，二级控制点增加了安全审计，三级控制点增加了剩余信息保护。每级系统在每一层面上控制点的分布见下表：求类求全736774679479数据安全及备份2333求理制度2333理机构4555全管理4555999///74二级在控制点上的增加较为显著。.4要求项增加由于控制点是有限的，特别在高级别上，如三、四级安全要求(两者之间控制点的变化只有一处)，单靠控制点增加来体现安全要求逐级增强的特点是很难的。必须将控制点之下的安全要求项目考虑其中。要求项目的增加，就可以很好的体现了逐级增强的特点。点的强度得到增强。每级系统在每一层面上要求项的分布见下表：求类求全9967数据安全及备份248求理制度37理机构49全管理7///。5控制强度增强同控制点类似，安全要求项目也不能无限制的增加，对于同一安全要求项(这里的“同样也能够反映出级别的差异。安全项目强度的增强表现为：围应覆盖到服为“审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；“。覆盖范围不再仅指服务器，而是扩大到服务器和重要客户终端了，表明了该要求项强度的增强。“应制定安全三级在对培训计划进行了进一步的细化并要求应有书面文件，为“应对定期安全教育和培位际需要。二级要求则将控制粒度细化，为“控制粒度为单个用户”。由“用户组”到“单个用级差。4各级安全要求4.1技术要求全义的。物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等十个控制点。不同等级的基本要求在物理安全方面所体现的不同如第3.1节和3.2节所描述的一样，在三个方面都有所体现。安全能够对自然威胁进行基本的防护，电力则要求提供供电电压的正常。方面进行防护。方面，要求采用一定的防护设备进行防护，如静电消除装置等。下表表明了物理安全在控制点上逐级变化的特点：物理安全层面控制点的逐级变化置的选择***问控制**********************************7注：*代表此类控制点在该级物理安全中有要求，空格则表示无此类要求。(以下同)另外两个特点(要求项增加和要求项强度增强)将在以下控制点描述时具体展开。必须考虑周遭的整体环境以及具体楼宇的物理位置是否能够为信息系统的运行提供物理上的基本保证。该控制点在不同级别主要表现为：一级：无此方面要求。二级：要求选择时主要考虑建筑物具有基本防护自然条件的能力。三级：除二级要求外，对建筑物的楼层以及周围环境也提出了要求。四级：与三级要求相同。N/Aa)a)—b)a)—b)0122物理访问控制主要是对内部授权人员和临时外部外部人员进出系统主要物理工作环境员对系统进行本地恶意操作的重要防护措施。该控制点在不同级别主要表现为：一级：要求对进出机房时进行基本的出入控制。二级：除一级要求外，对人员进入机房后的活动也应进行控制。，并对机房分区域管理。四级：除三级要求外，进一步强化了进出机房的控制，要求两道电子设备监控。a)a)—b)a)—d)a)—d)*124注：“*”代表该要求项同上级相比，在强度上增强，“+”代表此级的要求项在强度上较上一级增强(以下同)。级的两道电子门禁系统。因此，三级、四级虽在要求项目数量上是相同的(同为4项)，但强度上得到了增强，为4+。的保护。该控制点在不同级别主要表现为：一级：主要从设备的存放位置和设备本身两方面考虑。二级：不仅考虑了设备、还考虑通信线缆和介质及主机房的防盗报警方面的防护要求。三级：除二级要求外，主要加强了机房内的监控报警要求。四级：与三级要求相同。a)－b)a)－e)a)－e)*f)a)－f)256其中，在三级，e)项相对于二级的e)项在强度上增强，即，明确强调了采用光电等控制装置监控机房内情况。的经济损失。雷电对设备的破坏主要有两类：直击雷破坏，即雷电直击在建筑物或设备上，设有防直击雷的措施－避雷装置，因此，防雷击主要集中在防感应雷。该控制点在不同级别主要表现为：一级：主要考虑建筑防雷。二级：除一级要求外，增加了接地防感应雷措施。三级：除二级要求外，增加了具体设备防感应雷措施。四级：与三级要求相同。a)a)－b)a)－c)a)－c)1233灭火、建筑材料防火和区域隔离防火等方面考虑。该控制点在不同级别主要表现为：一级：主要要求基本的设备灭火。二级：除一级要求外，要求能够自动报警火灾发生。三级：除二级要求外，增加了从建筑材料、区域隔离等方面考虑的防火措施。四级：与三级要求相同。a)a)*a)*b)－c)a)b)－c)13a增强，要求设备能够自动检测、报警和灭火。因和三级都分别为a)*。同时，也是控制室内湿度的较好措施。该控制点在不同级别主要表现为：一级：主要从室内水管、墙壁、屋顶等方面考虑防水防潮。过。三级：除二级要求外，增加了对室内的防水检测报警要求。四级：与三级相同。a)－b)a)*—c)a)—d)a)—d)244机房的水管使用套管的要求，所以对于a)项，增强了要求，为a)*。伤害。大量静电如果积聚在设备上，会导致磁盘读写错误、损坏磁头、对CMOS静电电路随着这种效应的累加，最终造成设备的严重损坏。温湿度的控制，也是防止静电产生的较好措施(具体将在以下介绍)。该控制点在不同级别主要表现为：一级：无此要求。二级：要求基本的接地防静电措施。三级：除二级要求外，对地板材料做出了防静电要求。四级：除三级要求外，要求采用专门设置防静电装置。N/Aa)a)*—b)a)*—c)01其中，在二级，要求“关键设备“接地防静电，三级，要求“主要设备”，四级要求“设备”，所以对于a)项，在三级和四级都增强了要求，都为a)*。都会对设备产生不利影响。理想的空气湿度范围被定义在40％－70％，高的湿度可能会在％的低湿度增加了静电产生的危害。温度控制在20摄氏度左右是设备正常工作的良好温度条件。该控制点在不同级别主要表现为：一级：要求做到基本的温湿度控制。二级：在一级基础上，要求温湿度控制的力度做到自动调控。三级：与二级要求相同。四级：与三级要求相同。a)a)*a)a)111其中，对二级要求温湿度能够自动调节，因此a)应为a)*。在10％以内的波动范围。采用稳压器和过电压保护装置是很好的控制电力波动的措施。保证充足短期电力供应措施是可配备不间断电源(UPS)，重要系统可配备备份供电系统，以备不时之需。该控制点在不同级别主要表现为：一级：要求能够提供稳定的电压供应。二级：除一级要求外，要求能够提供短期的电力供应。三级：除二级要求外，加强电力供应保障，能够长时间供电和备用供电线路。四级：除三级要求外，短期备用供电范围增大。a)a)－b)a)b)*—d)a)b)*—d)12级中要求满足的是“关键设备”，三级要求“主要设备”，四级备”，满足的范围逐渐增大，因此，第三级和第四级的b都是b)*。保护，确保用户信息在使用和传输过程中的安全性。电磁防护手段从线缆物理距离上隔离、设备接地、到设备的电磁屏蔽等方面。该控制点在不同级别主要表现为：一级：无此要求。二级：要求具有基本的电磁防护能力，如线缆隔离。三级：除二级要求外，增强了防护能力，要求设备接地并能够做到部分电磁屏蔽。四级：在三级要求的基础上，要求屏蔽范围扩展到机房关键区域。N/Aa)a)—c)a)—c)*013屏蔽，范围增加了，因此c)为c)*。网络安全运行，提供有效的网络服务，另一方面，确保在网上传输数据的保密性、完整性和可用性等。护，主要关注两个方面：共享和安全。开放的网络环境便利了各种资源之间的流动、共享，全的情况下实现最大程度的资源共享，这是我们实现网络安全的理想目标。的网络设备防护等七个控制点。所体现的不同如3.1节和3.2节所描述的一样，在三个方面都有所体现。务运行需要，网络边界处对进出的数据包头进行基本过滤等访问控制措施。限于简单的身份鉴别，同时对标识和鉴别信息都有了相应的要求。护手段要求两种身份鉴别技术综合使用。两种技术外，其中一种鉴别技术必须是不可伪造的，进一步加强了对网络设备的防护。下表表明了网络安全在控制点逐级变化的特点：4网络安全层面控制点的逐级变化********计***整性检查************3677另外两个特点(要求项增加和要求项强度增强)将在以下控制点描述时具体展开。在对网络安全实现全方位保护之前，首先应关注整个网络的资源分布、架构是否合理。因此，需要对整个网络进行子网划分。该控制点主要从网段划分、资源(带宽、处理能力)保证、优先处理等方面来要求。其在不同级别主要表现为：一级：要求网络资源方面能够为网络的正常运行提供基本的保障。式分隔不同部门的系统。三级：除二级要求外，增加了“处理优先级”考虑，以保证重要主机能够正常运行。四级：与三级要求基本相同。a)－c)a)*b)*-d)a)*b)*c)*—g)a)*—g)3在二级，a)b)控制点在网络资源(设备处理能力、带宽)加强了力度，不仅要求满足基本的业务需要，更应满足业务高峰时的网络正常运行。因此，a)b)项在强度上都有所增强。上都有所增强。a)项在强度上有所增强。间的连接等。有连接，必有数据间的流动，因此在边界处，重要的就是对流经的数据(或者称进出网络)进行严格的访问控制。按照一定的规则允许或拒绝数据的流入、流出。定的控制规则来允许或拒绝用户的访问。该控制点在不同级别主要表现为：一级：主要在网络边界处对经过的数据进行包头信息的过滤，以控制数据的进出网络，对用户进行基本的访问控制。粒度进一步细化，由用户组到单个用户，同时限制拨号访问的用户数量。三级：在二级要求的基础上，将过滤的力度扩展到应用层，即根据应用的不同而过滤，对设备接入网络进行了一定的限制。过，并禁止远程拨号访问。a)b)c)a)b)c)*-d)a)b)*—h)a)—d)34减了其他要求。对用户访问粒度的变化(由用户组到单个用户)是该要求项的主要特点。其次，随着级级，虽要求项减少，但强度已达最高。的追踪取证。安全审计并非日志功能的简单改进，也并非等同于入侵检测。设备运行情况的监测等。通过对以上方面的记录分析，形成报表，并在一定情况下发出报警、必然趋势。该控制点在不同级别主要表现为：一级：无此要求。二级：要求对网络设备运行、网络流量等基本情况进行记录。保护要求。四级：除三级要求外，要求设置审计跟踪极限阈值，并做到集中审计。N/Aa)b)a)—d)a)－f)0246检查DS边界处通过其他手段接入内网(如无线网卡、双网卡、modem拨号上网)，这些边界防御则该控制点在不同级别主要表现为：一级：无此要求。二级：能够检测到内部的非法联出情况。三级：在二级的基础上，能检测到非授权设备私自外联，而且能够准确定位并阻断。四级：与三级要求相同。N/Aa)a)—b)*a)－b)012在三级，b)项是二级中的增强项，要求不但能够检测到，而且能够准确定位并阻断。络置的规则吻合，入侵检测系统就会记录事件的各种信息，并发出警报。该控制点在不同级别主要表现为：一级：无此要求。二级：能够检测常见攻击的发生。三级：在二级要求的基础上，不仅能够检测，并能发出报警。断等。N/Aa)a)—b)a)－b)*012够自动采取相应动作，这对入侵检测系统的要求就比较高。范行分析，可以得出，随着互联网的不断发展，从网络上引入到本地的恶意代码占绝大多数。果产更新产品中的恶意代码定义。这种更新必须非常频繁，且对用户透明。该控制点在不同级别主要表现为：一级：无此要求。二级：无此要求。三级：要求能够在网络边界处防范恶意代码，并保持代码库的及时更新。四级：与三级要求相同。N/AN/Aa)－b)a)－b)0022防护行为进行控制。该控制点在不同级别主要表现为：一级：对网络设备要求基本的登录鉴别措施。二级：对登录要求进一步增强，提出了鉴别标识唯一、鉴别信息复杂等要求。出了特权用户权限分离。四级：在三级要求的基础上，要求其中一种鉴别技术为是不可伪造的。a)－c)a)－f)a)－h)a)－i)3689安全主机系统安全是包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。终端/工作站是带外设的台式机与笔记本计算机，服务器则包括应用程序、应用。因此，主机系统安全是保护信息系统安全的中坚力量。计、剩余信息保护、入侵防范、恶意代码防范和资源控制等九个控制点。主机系统安全方面所体现的不同如3.1节和3.2节所描述的一样，在三个方面都有所体现。度的访问控制以及重要主机能够进行恶意代码防范。了细化等，恶意代码增加了统一管理等。务水平的监测和报警等。控制的力度实现，安全审计能够做到统一集中审计等。下表表明了主机系统安全在控制点上逐级变化的特点：主机系统安全层面控制点的逐级变化****记******计***息保护*************4679另外两个特点(要求项增加和要求项强度增强)将在以下控制点描述时具体展开。作。该控制点在不同级别主要表现为：一级：主要强调了该功能的使能性，即，能够进行简单的身份鉴别。复杂等要求。三级：在二级要求的基础上，提出了两种以上鉴别技术的组合来实现身份鉴别。鉴别警示信息的要求。a)a)－e)a)—f)a)—g)*156其中，四级中g)是在三级的基础上要求其中一种鉴别技术为是不可伪造的，所以是增强要求。该控制点在不同级别主要表现为：一级：无此要求。二级：无此要求。三级：无此要求。四级：要求对所有主体和客体设置敏感标记。N/AN/AN/Aa)0001在系统中实施访问控制是为了保证系统资源(操作系统和数据库管理系统)受控合法地使用。用户只能根据自己的权限大小来访问系统资源，不得越权访问。该控制点在不同级别主要表现为：一级：要求根据一定的控制策略来限制用户对系统资源的访问，控制粒度较粗。二级：在一级要求的基础上，实现不同系统用户的权限分离。信息资源设置敏感标记。级或进程级，客体为文件、数据库表、记录和字段级。a)－c)a)-d)a)—g)a)*—f)347其中，在四级，去掉了三级中的f)和g)同时对a)要求依据安全策略和所有主体和客体设置的敏感标记控制主体对客体的访问访问，增强了要求，所以是a)*，同时在四级中增加了b)，主要是增强了控制粒度，所以尽管四级的要求项减少了，但实际要求增强了。径由于应用层并不是能完全信任的，因此在系统的安全功能中，提出了“可信路径”这一概念 (也是桔皮书B2级的安全要求)。该控制点在不同级别主要表现为：一级：无此要求。二级：无此要求。三级：无此要求。四级：要求在用户进行身份鉴别和访问时，提供用户与系统之间可信的安全通信路径。N/AN/AN/Aa)–b)0002括：用户登录情况、系统配置情况以及系统资源使用情况等。该控制点在不同级别主要表现为：一级：无此要求。务器用户。保护要求。另外，审计覆盖范围扩大，由二级的服务器扩展到客户端。四级：除三级要求外，要求做到集中审计。N/Aa)－d)a)*—f)a)—g)047计的力度增强，所以是a)*。除之后，才释放或重新分配给其他用户。该控制点在不同级别主要表现为：一级：无此要求。二级：无此要求。三级：要求对存放鉴别信息、文件、记录等存储空间进行重新使用前的清除。四级：与三级要求相同。N/AN/Aa)－b)a)－b)0022为。该控制点在不同级别主要表现为：一级：基本的防范要求，要求安装应遵循最小授权原则，并及时更新。二级：在一级的基础上要求设置升级服务器方式及时更新。重要程序完整性进行检测并恢复。四级：同三级要求。a)a)*a)－c)a)－c)133恶意代码一般通过两种方式造成各种破坏，一种是通过网络，另外一种就是通过主机。毒，才能尽可能的保证安全。该控制点在不同级别主要表现为：一级：重要主机应安装一定的防范产品。二级：在一级要求的基础上，要求对恶意代码进行统一管理。三级：除二级要求外，要求主机与网络处的防范产品不同。四级：与三级要求相同。a)－b)a)－c)a)－c)1233一种产品防范两处要高。因此，在三级要求系统能够采取两种产品防范的要求。同时，也极大的简化了系统维护工作，有利于防范恶意代码策略的有效实施。享，大大提高系统的整体效率，这是操作系统的根本目标。通常计算机资源包括以下几类：中央处理器、存储器、外部设备、信息(包括程序和数据)，为保证这些资源有效共享和充时或鉴别失败时进行锁定、根据服务优先级分配系统资源等。该控制点在不同级别主要表现为：一级：无此要求。二级：要求对单个用户的会话数量以及终端登录进行限制。三级：除二级要求外，增加了监视服务器和对系统最小服务进行监测和报警的要求。四级：与三级要求相同。N/Aa)－e)a)－e)0355安全web行。控制点。所体现的不同如3.1节和3.2节所描述的一样，在三个方面都有所体现。控制以及数据有效性检验等基本防护。要求进一步增强，软件容错能力增强。软件自身的安全要求进一步增强，软件容错能力增强，增加了自动保护功能。供集中审计接口等，软件应具有自动恢复的能力等。下表表明了应用系统安全在控制点上逐级变化的特点：应用安全层面控制点的逐级变化****记******计***息保护**整性****密性************479另外两个特点(要求项增加和要求项强度增强)将在以下控制点描述时具体展开。规定的权限内进行操作。该控制点在不同级别主要表现为：一级：主要强调了该功能的使能性，即，能够进行简单的身份鉴别。复杂等要求。三级：在二级要求的基础上，提出了两种以上鉴别技术的组合来实现身份鉴别。四级：在三级要求的基础上，要求其中一种鉴别技术为是不可伪造的。a)－c)a)－d)*a)—e)a)b)*—e)35其中，二级中，d)增加了鉴别标志唯一、鉴别信息复杂要求，是增强要求；四级中，b)增加了其中一种鉴别技术为是不可伪造的要求。该控制点在不同级别主要表现为：一级：无此要求。二级：无此要求。三级：无此要求。四级：要求为主体和客体设置安全标记的功能并在安装后启用。N/AN/AN/Aa)0001权限大小来访问应用系统，不得越权访问。该控制点在不同级别主要表现为：一级：要求根据一定的控制策略来限制用户对系统资源的访问，控制粒度较粗。则，使得用户的权限最小化。三级：在二级要求的基础上，增加了对重要信息设置敏感标记，并控制对其的操作。四级：除三级要求外，提出以标记的方式进行应用系统访问的控制。a)－b)a)*－d)a)—f)a)b)c)*—e)27其中，在二级，a)增加了依据安全策略控制访问；四级中，去掉了三级中的e)和f)，提出以标记的方式进行应用系统访问的控制，c)增加了禁止默认账户的访问，所以尽管比三级要求项减少了，但是强度增强了。径由于应用层并不是能完全信任的，因此在系统的安全功能中，提出了“可信路径”这一概念 (也是桔皮书B2级的安全要求)。该控制点在不同级别主要表现为：一级：无此要求。二级：无此要求。三级：无此要求。四级：要求在用户进行身份鉴别和访问时，提供用户与系统之间可信的安全通信路径。N/AN/AN/Aa)–b)0002系统功能执行以及系统资源使用情况等。该控制点在不同级别主要表现为：一级：无此要求。二级：要求对用户行为、安全事件等进行记录。三级：除二级要求外，要求对形成的记录能够统计、分析、并生成报表。四级：除三级要求外，要求根据系统统一安全策略，提供集中审计接口。N/Aa)－c)a)b)*—d)a)—e)035其中，三级中，b)增加了无法单独中断审计进程要求，所以强度增加。才释放或重新分配给其他用户。该控制点在不同级别主要表现为：一级：无此要求。二级：无此要求。三级：要求对存放鉴别信息、文件、记录等存储空间进行重新使用前的清除。四级：与三级要求相同。N/AN/Aa)－b)a)－b)0022数据，这些数据由于与应用有关，多数带有机密性，如信用卡号码或银行交易明细数据等。全性。安全的通信具有以下两个特点：完整性和保密性。我们首先了解通信完整性。该控制点在不同级别主要表现为：一级：要求通信双方确定一定的会话方式，从而判断数据的完整性。二级：要求通信双方利用单向校验码技术来判断数据的完整性。三级：要求通信双方利用密码技术来判断数据的完整性。四级：与三级要求相同。a)a)*a)*a)11密状态，不被窃听。该控制点在不同级别主要表现为：一级：无此要求。二级：要求对建立连接前初始化验证和通信过程敏感信息加密。三级：在二级要求的基础上，要求对通信过程加密的范围扩大为整个报文或会话过程。四级：在三级要求的基础上，对加解密运算要求设备化。N/Aa)—b)a)—b)*a)—c)023强。而防止双方否认数据所进行的交换。该控制点在不同级别主要表现为：一级：无此要求。二级：无此要求。三级：要求具有通信双方提供原发接收或发送数据的功能。四级：与三级要求相同。N/AN/Aa)—b)a)—b)0022法，以便在资源上保证系统的可靠性。在软件设计上，则主要考虑应用程序对错误(故障)的检测、处理能力。该控制点在不同级别主要表现为：一级：要求具有基本的数据校验功能。二级：在一级要求的基础上，要求故障发生时能够继续运行部分功能。三级：在二级要求的基础上，要求具有自动保护功能。四级：在三级要求的基础上，要求具有自动恢复功能。a)a)－b)a)—b)*a)—c)123三级中，b)项要求在二级的基础上，提出具有自动保护功能的要求，所以强度增加。操作系统对同时的连接数量、打开文件数量、进程使用内存等进行了一定的资源控制，根据服务优先级分配系统资源等。该控制点在不同级别主要表现为：一级：无此要求。二级：要求单个用户会话数量、最大并发会话数量的限制。根据服务优先级分配资源以及对系统最小服务进行监测和报警的要求。四级：与三级要求相同。N/Aa)－g)a)－g)0377及备份恢复信息系统处理的各种数据(用户数据、系统数据、业务数据等)在维持系统正常运行上起着至关重要的作用。一旦数据遭到破坏(泄漏、修改、毁坏)，都会在不同程度上造成影响，从而危害到系统的正常运行。由于信息系统的各个层面(网络、主机、应用等)都对各然将对数据造成的损害降至最小。造成的系统危害。考虑。所体现的不同如3.1节和3.2节所描述的一样，在三个方面都有所体现。出数据完整性受到破坏；同时能够对重要信息进行备份。要业务数据在传输过程中都要保证其完整性。对数据保密性要求实现鉴别信息存储保密性，数据备份增强，要求一定的硬件冗余。要求本地完全数据备份，还要求异地备份和冗余网络拓扑。自动切换和恢复。下表表明了数据安全在控制点上逐级变化的特点：数据安全层面控制点的逐级变化整性****密性*******2333另外两个特点(要求项增加和要求项强度增强)将在以下控制点描述时具体展开。括对完整性破坏的检测和恢复。该控制点在不同级别主要表现为：一级：能够对用户数据在传输过程的完整性进行检测。要保证其完整性。够检测出数据受到破坏，并能进行恢复。四级：除三级要求外，要求采用安全、专用的通信协议。a)a)*a)*－b)a)－c)13在二级，a)范围增加了重要业务数据的传输完整性；在三级，a)增加了系统管理数据的传输完整性。造成数据泄漏。该控制点在不同级别主要表现为：一级：无此要求。二级：要求能够实现鉴别信息的存储保密性。和存储的保密性。四级：除三级要求外，要求采用安全、专用的通信协议。N/Aa)a)－b)*a)－c)013在三级，b)增加了系统管理数据的传输保密性。据进行备份，是防止数据遭到破坏后无法使用的最好方法。设备(服务器、网络设备)设置冗余。当主设备不可用时，及时切换到备用设备上，从而保用系统之间能实现平稳及时的切换。该控制点在不同级别主要表现为：一级：能够对重要数据进行备份。二级：在一级要求的基础上，能够提供一定的硬件冗余。三级：除二级要求外，不仅要求本地完全数据备份，还要求异地备份和冗余网络拓扑。切换和恢复。a)－b)a)－d)a)b)c)*－e)124在四级，c)增加了适时备份功能。4.2管理要求制度常操作的操作规程。所体现的不同如3.1节和3.2节所描述的一样，在三个方面都有所体现。发布提出基本要求。全策略，和对各类重要操作建立规程的要求，并且管理制度的制定和发布要求组织论证。组的负责。理和管理制度的日常维护等。下表表明了安全管理制度在控制点上逐级变化的特点：安全管理制度控制点的逐级变化度****发布*******2333另外两个特点(要求项增加和要求项强度增强)将在以下控制点描述时具体展开。度体内，为保证安全管理活动中的各类管理内容的有效执行而制定的具体的信息安全实施规则，了机构进行信息安全管理所需的各类文件化指导。该控制点在不同级别主要表现为：一级：要求制定日常常用的管理制度。操作规程的要求。三级：在二级要求的基础上，提出了建立信息安全管理制度体系的要求。四级：与三级要求相同。a)a)b)*－c)a)b)*－d)a)－d)14其中，二级b)要求除了一级的日常管理制度外增加了对重要管理内容都要建立管理制度；三级b)增加要求，要健全各类管理制度。分了解机构的业务特征(包括业务内容、性质、目标及其价值)，只有这样才能发现并分析管理人员参与制定过程，有利于：1)制定的信息安全政策与单位的业务目标一致；2)制定的安全方针政策、制度可以在机构上下得到有效的贯彻；3)可以得到有效的资源保障，比管理人员来推动。该控制点在不同级别主要表现为：一级：要求有人员负责安全管理制度的制定，相关人员能够了解管理制度。布前要组织论证。三级：在二级要求的基础上，对制度的制定格式、发布范围、发式等进行了控制。四级：除三级要求外，侧重对有密级的安全制度的管理。a)－b)a)－e)a)－f)256二级要求增加了专门的部门或人员负责安全管理制定的制定。并进行持续改进，尤其当发生重大安全事故、出现新的漏洞以及技术基础结构发生变更时。制措施和信息安全政策与制度持续改进，使之在理论上、标准上及方法上与时俱进。该控制点在不同级别主要表现为：一级：无此要求。二级：要求对安全管理制度定期评审和修订。和修订的时机做了要求。四级：除三级要求外，侧重对有密级的安全制度的修订和制度的日常维护等。N/Aa)a)－b)*a)－d)014三级中，b)要求增加了要不定期评审和修订。机构结构上必须建立一整套从单位最高管理层(董事会)到执行管理层以及业务运营层的管理结单位的合作、定期对系统的安全措施落实情况进行检查，以发现问题进行改进。后三个则是具体介绍机构的主要职责和工作。安全管理机构方面所体现的不同如3.1节和3.2节所描述的一样，在三个方面都有所体现。构重要的安全活动进行审批，加强对外的沟通和合作。合作的范围增加与机构内部及与其他部门的合作和沟通。控制以及阶段性审查。沟通与合作方面加强了与外部组织的沟通和合作，并聘用安全顾问。同时对审核和检查工作进一步规范。下表表明了安全管理机构在控制点上逐级变化的特点：安全管理机构控制点的逐级变化****备****授权和审批***********4555另外两个特点(要求项增加和要求项强度增强)将在以下控制点描述时具体展开。 (包括安全设备)的正确配置等工作。因此，应对各种岗位的职责进行明确的定义。和决策。因此，需设立信息安全领导小组来负责信息安全工作的总体走向和未来发展。该控制点在不同级别主要表现为：一级：要求设置基本的工作岗位。三级：除二级要求外，提出设置信息安全的职能部门和上层领导小组的要求。四级：与三级要求相同。a)a)－b)a)*－d)a)－d)124三级中a)增加了设置信息安全的职能部门的要求，所以是增强要求。该控制点在不同级别主要表现为：一级：要求配备一定数量的基本岗位工作人员。二级：在一级要求的基础上，提出安全管理员不可兼任其它岗位的原则。求外，明确提出设专职安全员，并且加强了对关键事务的管理要求四级：同三级要求。a)a)－b)a)－c)a)－c)12335.授权和审批之中。由于关键活动(如对系统重要资源的访问)对整个系统的安全性有很大影响，因此，必须通过授权和审批的形式，允许或拒绝关键活动的发生。该控制点在不同级别主要表现为：一级：要求明确授权和审批职责对关键活动进行审批。二级：在一级要求的基础上，增加了对审批形式的要求。三级：除二级要求外，增强了审批制度、程序、审查、记录等方面的要求。四级：与三级要求相同。a)a)－b)a)*－d)a)－d)124三级中a)项增加了应该明确授权审批事项。联系，加强与信息服务提供机构、业界专家、专业的安全公司、安全组织的合作与沟通。该控制点在不同级别主要表现为：一级：主要要求加强对外的沟通和合作。二级：在一级要求的基础上，增加了与机构内部及与其他部门的沟通和合作要求。三级：在二级要求的基础上，扩大了与外界组织沟通的范围。四级：与三级要求相同。a)a)－b)a)*－e)a)－e)125三级中，a)增加了要定期或不定期召开协调会议的要求。，情况等。该控制点在不同级别主要表现为：一级：无此要求。二级：提出了定期进行安全检查和检查的基本内容要求。三级：在二级要求的基础上，增强了对检查内容的要求，增加了对检查制度、负责人、检查流程、检查结果处理等的要求。四级：与三级要求相同。N/Aa)a)－d)a)－d)0144管理息系统遭受人员错误造成损失的概率。个控制点。人员安全管理方面所体现的不同如3.1节和3.2节所描述的一样，在三个方面都有所体现。一级人员安全管理要求：对人员在机构的工作周期(即，录用、日常培训、离岗)的活动提出基本的管理要求。同时，对外部人员访问要求得到授权和审批。增强，过程性要求增加，安全教育培训更正规化，对外部人员的访问活动约束其访问行为。考核要求，对人员的培训教育更具有针对性，外部人员访问要求更具体。员访问的要求。下表表明了人员安全管理在控制点上逐级变化的特点：人员安全管理控制点的逐级变化用****岗****核***识教育和培训****员访问管理****4555另外两个特点(要求项增加和要求项强度增强)将在以下控制点描述时具体展开。些实践证明精干、忠实、可靠、认真负责、保守秘密的人员。该控制点在不同级别主要表现为：一级：要求负责部门或人员对录用人员身份、专业等进行基本的审查。密协议的形式约束其职责。部员工签署保密协议。四级：与三级要求相同。a)－b)a)b)*－c)a)b)*－d)a)－d)24其中，二级中b)增加了审查内容并要求考核；三级中b)更加规范了录用过程。对人员离岗的管理要求，同样非常重要。在离岗时，主要从硬件归还(设备、设施)和权限撤销两方面考虑要求。该控制点在不同级别主要表现为：一级：要求对离岗人员进行设备归还和权限中止。二级：在一级要求的基础上，增加了规范离岗过程的要求。三级：与二级要求的基础上，增加了关键岗位人员离岗的要求。四级：在三级要求的基础上，增加了制度化规范的要求。a)－b)ac*a)*－c)2其中，二级a)增加了规范离岗过程的要求；三级中a)严格规范离岗过程，c)增加了关键岗位人员离岗的要求；四级中，a)增加了制定管理制度的要求。该控制点在不同级别主要表现为：一级：无此要求。二级：要求对人员定期进行技能考核。三级：在二级要求的基础上，增加考核结果处理和对关键岗位的考核要求。四级：在三级要求的基础上，增加保密制度和保密检查要求。N/Aa)a)－d)0134育和培训利害关系，并支持机构的信息安全方针，应根据安全教育和培训计划对所有员工进行培训，求、法律责任和惩戒措施等。该控制点在不同级别主要表现为：一级：对人员进行基本的安全意识和责任教育。二级：除一级要求外，增强了对安全教育培训的正规化管理。三级：在二级要求的基础上，侧重于不同岗位的安全教育培训和制度化要求。四级：与三级要求相同。a)－b)a)*b)*－c)a)b)*c)*－d)a)－d)24其中，二级a)增加了培训内容要求，b)增加了惩戒要求；三级中，b)增加了安全责任和惩戒的制度化要求，c)增加了培训的制度化要求和对不同岗位制定不同的培训计划要求。当的进行临时管理，对于信息系统的核心部分应不允许外部人员的访问，以确保其安全性。该控制点在不同级别主要表现为：一级：对外部人员访问要得到授权和审批。二级：除一级要求外，增加了对外部人员的访问的监督、备案等过程管理要求。问管理。四级：除三级要求外，要求外部人员禁止访问关键区域。a)a)*a)*－b)13其中，二级中，a)增加了对外部人员的访问的监督、备案等过程管理要求。三级中，a)增加了访问书面申请，增加了访问书面申请。设管理的前三个阶段(即，初始、采购、实施)中各项安全管理活动。施、测试验收、系统交付、系统备案、等级测评和安全服务商选择等十一个控制点。系统建设管理方面所体现的不同如3.1节和3.2节所描述的一样，在三个方面都有所体现。先定级，方案准备、安全产品按要求采购，软件开发(自行、外包)的基本安全，实施的基本管理，建设后的安全性验收、交付等都进行要求。了密码产品的采购要求等。出体系化要求，并加强了对其的论证工作。全性。对工程实施过程提出了监理要求。下表表明了系统建设管理在控制点上逐级变化的特点：系统建设管理控制点的逐级变化****案设计****用********件开发****施**************评**务商选择****99另外两个特点(要求项增加和要求项强度增强)将在以下控制点描述时具体展开。全等级保护的基础。机构应根据系统实际情况，确定系统的安全保护等级。该控制点在不同级别主要表现为：求。二级：与一级要求相同。三级：在二级要求的基础上，增加对定级结果的论证。四级：与三级要求相同。a)－d)a)－d)3344设计要求、设计目标、性能要求、接口要求、资源如何分配等。该控制点在不同级别主要表现为：一级：要求形成书面的安全方案和详细设计方案。二级：在一级要求的基础上，增加了对设计方案的论证和批准。系的论证和修订。四级：与三级要求相同。a)－d)a)－d)*e)a)－e)345其中，三级d)增加了安全保障体系的配套文件要求；下，满足系统的需要。该控制点在不同级别主要表现为：一级：要求产品使用符合国家规定。二级：在一级要求的基础上，增加了对密码产品采购和使用的要求。三级：在二级要求的基础上，提出了将产品的选型测试等采购要求。四级：在三级要求的基础上，提出了对重要产品专项测试的要求。a)a)－d)a)－e)1345自行软件开发关注开发后的技术支持工作。该控制点在不同级别主要表现为：一级：主要对开发环境做出了要求。二级：在一级要求的基础上，增加了对软件开发制度化的要求。三级：在二级要求的基础上，加强了软件开发的制度化和过程的管理。四级：在三级要求的基础上，进一步加强了开发人员的要求。a)－b)a)*－e)a)－f)26其中，二级c)增加了软件设计文档要求，三级a)增加了开发过程人员控制要求。该控制点在不同级别主要表现为：一级：主要对软件质量和设计文档进行了要求。二级：在一级要求的基础上，增加了对软件开发后的审查等要求。三级：同二级要求。四级：在三级要求的基础上，增加了对软件隐蔽信道的检测要求。a)－d)a)－d)a)－d)*344项目的实施过程。该控制点在不同级别主要表现为：一级：主要对工程实施负责部门或人员对实施进行基本的管理。二级：在一级要求的基础上，增加了制定实施方案进行实施的要求。三级：在二级要求的基础上，增加了对工程实施制度化管理的要求。四级：在三级要求的基础上，增加了工程监理的安全要求。a)a)－b)a)b)*－c)a)－d)124其中，三级b)增加了对工程实施单位的要求。正的第三方测试单位对系统进行测试。该控制点在不同级别主要表现为：一级：主要对测试验收前、验收过程中以及验收后进行基本的文档要求。二级：在一级要求的基础上，增加了对验收报告的审定等要求。委托测试的要求。四级：与三级要求相同。a)－b)a)－c)a)*－e)a)－f)236其中，三级a)增加了第三方委托测试的要求。建方都应按照委托协议或其他协议而形成的交接清单进行交付工作，保证交付工作能够按照开发等都是由建设方来负责的，而委托方在此方面较为生疏，而它却是系统的主要使用者，因此，在交付后，建设方需承担一段时间的技术支持工作(如培训、维护等服务)，保证委托方能够熟练、顺利的对系统进行日后的运行维护。该控制点在不同级别主要表现为：一级：主要对系统交付过程、文档及培训进行基本的要求。二级：同一级要求。三级：在二级要求的基础上，增加了对交付工作制度化管理的要求。四级：与三级要求相同。a)－d)a)*－e)a)－e)345三级a)增加了交付清单的详细要求。管理办法》)，三级以上控制点的级别差异。对信息系统进行等级测评，主要分为两种情况：系统发生重大变更时系统运行过程中进行改正。该控制点在不同级别主要表现为：一级：无此要求。二级：无此要求。三级：主要对测评时机、测评方资质、测评后结果处理及测评工作的管理等提出要求。四级：与三级要求相同。N/AN/Aa)－d)a)－d)0044素。为了减少或者杜绝这些服务可能带来的新的安全问题，应使用可信的安全服务，因此，要时签订服务合同等。维管理全保护等级的安全状态中。与恢复管理、安全事件处置、应急预案管理等十三个控制点。系统运维管理方面所体现的不同如3.1节和3.2节所描述的一样，在三个方面都有所体现。护使用管理等方面提出基本管理要求，使得系统在这些方面的管理下能够基本运行正常。理；对系统内发生的安全事件进行分类、分级等。预案的演练和审查等。计划的制定等。下表表明了系统运维管理在控制点上逐级变化的特点：系统运维管理控制点的逐级变化理********理********监控管理和安全管************管理**********理****件处置*******另外两个特点(要求项增加和要求项强度增强)将在以下控制点描述时具体展开。这里所说的环境包括计算机、