《信息系统安全等级保护基本要求》使用介绍

?信息系统平安等级保护根本要求?

使用介绍目录使用时机和主要作用保护要求分级描述的主要思想各级系统保护的主要内容

一、使用时机和主要作用?管理方法?〞等级划分和保护“第八条?管理方法?〞等级保护的实施与管理“第十二条?管理方法?〞等级保护的实施与管理“第十三条?管理方法?〞等级保护的实施与管理“第十四条?管理方法?〞等级保护的实施与管理“第十四条信息系统运营、使用单位及其主管部门应当定期对信息系统平安状况、平安保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊平安需求进行自查。?管理方法?〞等级保护的实施与管理“第十四条经测评或者自查，信息系统平安状况未到达平安保护等级要求的，运营、使用单位应当制定方案进行整改。信息系统定级信息系统平安建设或改建平安状况到达等级保护要求的信息系统?信息平安等级保护管理方法??计算机信息系统平安保护等级划分准那么?〔GB17859-1999〕?信息系统平安等级保护实施指南??信息系统平安保护等级定级指南??信息系统平安等级保护根本要求??信息系统平安等级保护测评要求?等等?根本要求?的作用信息系统平安等级保护根本要求运营、使用单位〔平安效劳商〕主管部门〔等级测评机构〕平安保护测评检查?根本要求?的定位是系统平安保护、等级测评的一个根本“标尺〞，同样级别的系统使用统一的“标尺〞来衡量，保证权威性，是一个达标线；每个级别的信息系统按照根本要求进行保护后，信息系统具有相应等级的根本平安保护能力，到达一种根本的平安状态;是每个级别信息系统进行平安保护工作的一个根本出发点，更加贴切的保护可以通过需求分析对根本要求进行补充，参考其他有关等级保护或平安方面的标准来实现;?根本要求?的定位某级信息系统根本保护精确保护根本要求保护根本要求测评根本保护特殊需求补充措施二、保护要求分级描述的主要思想?根本要求?根本思路不同级别信息系统重要程度不同应对不同威胁的能力(威胁\弱点)具有不同的平安保护能力不同的根本要求不同级别的平安保护能力要求不同级别的平安保护能力要求各个要素之间的关系平安保护能力根本平安要求每个等级的信息系统根本管理措施具备包含包含满足满足实现?根本要求?核心思路某级系统管理要求根本要求建立平安管理体系具有某级平安保护能力的系统各级系统的保护要求差异〔宏观〕平安保护模型PPDRR

Protection防护

PolicyDetection策略

检测

Response响应

Recovery恢复各级系统的保护要求差异〔宏观〕一级系统二级系统三级系统四级系统防护防护/监测策略/防护/监测/恢复策略/防护/监测/恢复/响应各级系统的保护要求差异〔宏观〕成功的完成业务信息保障深度防御战略人操作防御网络与根底设施防御飞地边界防御计算环境支撑性根底设施平安保护模型IATF各级系统的保护要求差异〔宏观〕一级系统二级系统三级系统四级系统通信/边界〔根本〕通信/边界/内部〔关键设备〕通信/边界/内部〔主要设备〕通信/边界/内部/根底设施〔所有设备〕各级系统的保护要求差异〔宏观〕一级系统二级系统三级系统四级系统方案和跟踪〔主要制度〕方案和跟踪〔主要制度〕良好定义〔管理活动制度化〕持续改进〔管理活动制度化/及时改进〕各级系统的保护要求差异〔微观〕某级系统物理平安管理要求根本要求网络平安主机平安应用平安数据平安平安管理机构平安管理制度人员平安管理系统建设管理系统运维管理三、各级系统保护的主要内容各级系统的平安保护的核心某级系统管理要求根本要求建立平安管理体系具有某级平安保护能力的系统根本要求的主要内容根本要求的组织方式某级系统类管理要求根本要求类控制点具体要求控制点具体要求………………………………根本要求-组织方式某级系统物理平安管理要求根本要求网络平安主机平安应用平安数据平安平安管理机构平安管理制度人员平安管理系统建设管理系统运维管理根本要求-组织方式物理位置选择物理平安(四级)物理访问控制防盗窃和防破坏防雷击防水和防潮温湿度控制电力供给电磁防护根本要求-组织方式结构平安和网段划分网络平安(四级)网络访问控制拨号访问控制网络平安审计边界完整性检查网络入侵检测恶意代码防护网络设备防护根本要求-组织方式身份鉴别主机系统平安(四级)自主访问控制强制访问控制可信路径平安审计剩余信息保护入侵防范恶意代码防范系统资源控制系统自我保护根本要求-组织方式身份鉴别应用平安(四级)访问控制通信完整性通信保密性平安审计剩余信息保护抗抵赖软件容错资源控制代码平安根本要求-组织方式数据完整性数据平安(四级)数据保密性平安备份根本要求-组织方式岗位设置平安管理机构(四级)人员配备授权和审批沟通与合作审核和检查根本要求-组织方式管理制度平安管理制度(四级)制订和发布评审和修订根本要求-组织方式人员录用人员平安管理(四级)人员离岗人员考核平安意识教育和培训第三方人员访问管理根本要求-组织方式系统定级系统建设管理(四级)平安风险评估平安方案设计产品采购自行软件开发外包软件开发工程实施测试验收系统交付平安效劳商选择系统备案根本要求-组织方式环境管理系统运维管理(四级)资产管理设备管理介质管理运行维护和监控管理网络平安管理系统平安管理恶意代码防范管理变更管理密码管理系统备案备份和恢复管理平安事件处置应急方案管理根本要求标注方式三类要求之间的关系通用平安保护类要求〔G〕业务信息平安类〔S〕系统效劳保证类〔A平安要求根本要求的选择和使用平安保护和系统定级的关系安全等级信息系统保护要求的组合第一级S1A1G1第二级S1A2G2，S2A2G2，S2A1G2第三级S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四级S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4定级指南要求按照“业务信息〞和“系统效劳〞的需求确定整个系统的平安保护等级定级过程反映了信息系统的保护要求不同级别系统控制点的差异安全要求类层面一级二级三级四级技术要求物理安全7101010网络安全3677主机安全4679应用安全47911数据安全及备份恢复2333管理要求安全管理制度2333安全管理机构4555人员安全管理4555系统建设管理991111系统运维管理9121313合计/48667377级差//1874不同级别系统要求项的差异安全要求类层面一级二级三级四级技术要求物理安全9193233网络安全9183332主机安全6193236应用安全7193136数据安全及备份恢复24811管理要求安全管理制度371114安全管理机构492020人员安全管理7111618系统建设管理20284548系统运维管理18416270合计/85175290318级差//9011528各级系统平安保护要求-物理平安各级系统平安保护要求-物理平安控制点一级二级三级四级物理位置的选择***物理访问控制****防盗窃和防破坏****防雷击****防火****防水和防潮****防静电***温湿度控制****电力供应****电磁防护***合计7101010各级系统平安保护要求-物理平安各级系统平安保护要求-网络平安网络平安主要关注的方面包括：网络结构、网络边界以及网络设备自身平安等。具体的控制点包括：结构平安、访问控制、平安审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等七个控制点。各级系统平安保护要求-网络平安控制点一级二级三级四级结构安全****访问控制****安全审计***边界完整性检查***入侵防范***恶意代码防范**网络设备防护****合计3677各级系统平安保护要求-网络平安各级系统平安保护要求-主机平安主机系统平安是包括效劳器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的平安。终端/工作站是带外设的台式机与笔记本计算机，效劳器那么包括应用程序、网络、web、文件与通信等效劳器。主机系统是构成信息系统的主要局部，其上承载着各种应用。因此，主机系统平安是保护信息系统平安的中坚力量。主机系统平安涉及的控制点包括：身份鉴别、平安标记、访问控制、可信路径、平安审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等九个控制点。各级系统平安保护要求-主机平安控制点一级二级三级四级身份鉴别****安全标记*访问控制****可信路径*安全审计***剩余信息保护**入侵防范****恶意代码防范****资源控制***合计4679各级系统平安保护要求-主机平安各级系统平安保护要求-应用平安通过网络、主机系统的平安防护，最终应用平安成为信息系统整体防御的最后一道防线。在应用层面运行着信息系统的基于网络的应用以及特定业务应用。基于网络的应用是形成其他应用的根底，包括消息发送、web浏览等，可以说是根本的应用。业务应用采纳根本应用的功能以满足特定业务的要求，如电子商务、电子政务等。由于各种根本应用最终是为业务应用效劳的，因此对应用系统的平安保护最终就是如何保护系统的各种业务应用程序平安运行。应用平安主要涉及的平安控制点包括：身份鉴别、平安标记、访问控制、可信路径、平安审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等十一个控制点。各级系统平安保护要求-应用平安控制点一级二级三级四级身份鉴别****安全标记*访问控制****可信路经*安全审计***剩余信息保护**通信完整性****通信保密性***抗抵赖**软件容错****资源控制***合计47911各级系统平安保护要求-应用平安各级系统平安保护要求-数据平安及备份恢复信息系统处理的各种数据〔用户数据、系统数据、业务数据等〕在维持系统正常运行上起着至关重要的作用。一旦数据遭到破坏〔泄漏、修改、毁坏〕，都会在不同程度上造成影响，从而危害到系统的正常运行。由于信息系统的各个层面〔网络、主机、应用等〕都对各类数据进行传输、存储和处理等，因此，对数据的保护需要物理环境、网络、数据库和操作系统、应用程序等提供支持。各个“关口〞把好了，数据本身再具有一些防御和修复手段，必然将对数据造成的损害降至最小。另外，数据备份也是防止数据被破坏后无法恢复的重要手段，而硬件备份等更是保证系统可用的重要内容，在高级别的信息系统中采用异地适时备份会有效的防治灾难发生时可能造成的系统危害。保证数据平安和备份恢复主要从：数据完整性、数据保密性、备份和恢复等三个控制点考虑。各级系统平安保护要求-数据平安及备份恢复控制点一级二级三级四级数据完整性****数据保密性***备份和恢复****合计2333各级系统平安保护要求-数据平安及备份恢复一级数据平安及备份恢复要求：对数据完整性用户数据在传输过程提出要求，能够检测出数据完整性受到破坏；同时能够对重要信息进行备份。二级数据及备份恢复平安要求：对数据完整性的要求增强，范围扩大，要求鉴别信息和重要业务数据在传输过程中都要保证其完整性。对数据保密性要求实现鉴别信息存储保密性，数据备份增强，要求一定的硬件冗余。三级数据及备份恢复平安要求：对数据完整性的要求增强，范围扩大，增加了系统管理数据的传输完整性，不仅能够检测出数据受到破坏，并能进行恢复。对数据保密性要求范围扩大到实现系统管理数据、鉴别信息和重要业务数据的传输和存储的保密性，数据的备份不仅要求本地完全数据备份，还要求异地备份和冗余网络拓扑。四级数据及备份恢复平安要求：为进一步保证数据的完整性和保密性，提出使用专有的平安协议的要求。同时，备份方式增加了建立异地适时灾难备份中心，在灾难发生后系统能够自动切换和恢复。各级系统平安保护要求-平安管理制度各级系统平安保护要求-平安管理制度控制点一级二级三级四级管理制度****制定和发布****评审和修订***合计2333各级系统平安保护要求-平安管理制度一级平安管理制度要求：主要明确了制定日常常用的管理制度，并对管理制度的制定和发布提出根本要求。二级平安管理制度要求：在控制点上增加了评审和修订，管理制度增加了总体方针和平安策略，和对各类重要操作建立规程的要求，并且管理制度的制定和发布要求组织论证。三级平安管理制度要求：在二级要求的根底上，要求机构形成信息平安管理制度体系，对管理制度的制定要求和发布过程进一步严格和标准。对平安制度的评审和修订要求领导小组的负责。四级平安管理制度要求：在三级要求的根底上，主要考虑了对带有密级的管理制度的管理和管理制度的日常维护等。各级系统平安保护要求-平安管理机构平安管理，首先要建立一个健全、务实、有效、统一指挥、统一步调的完善的平安管理机构，明确机构成员的平安职责，这是信息平安管理得以实施、推广的根底。在单位的内部结构上必须建立一整套从单位最高管理层〔董事会〕到执行管理层以及业务运营层的管理结构来约束和保证各项平安管理措施的执行。其主要工作内容包括对机构内重要的信息平安工作进行授权和审批、内部相关业务部门和平安管理部门之间的沟通协调以及与机构外部各类单位的合作、定期对系统的平安措施落实情况进行检查，以发现问题进行改进。平安管理机构主要包括：岗位设置、人员配备、授权和审批、沟通和合作以及审核和检查等五个控制点。各级系统平安保护要求-平安管理机构控制点一级二级三级四级岗位设置****人员配备****授权和审批****沟通和合作****审核和检查***合计4555各级系统平安保护要求-平安管理机构一级平安管理机构要求：主要要求对开展信息平安工作的根本工作岗位进行配备，对机构重要的平安活动进行审批，加强对外的沟通和合作。二级平安管理机构要求：在控制点上增加了审核和检查，同时，在一级根底上，明确要求设立平安主管等重要岗位；人员配备方面提出平安管理员不可兼任其它岗位原那么；沟通与合作的范围增加与机构内部及与其他部门的合作和沟通。三级平安管理机构要求：对于岗位设置，不仅要求设置信息平安的职能部门，而且机构上层应有一定的领导小组全面负责机构的信息平安全局工作。授权审批方面加强了授权流程控制以及阶段性审查。沟通与合作方面加强了与外部组织的沟通和合作，并聘用平安参谋。同时对审核和检查工作进一步标准。四级平安管理机构要求：同三级要求。各级系统平安保护要求-人员平安管理人，是信息平安中最关键的因素，同时也是信息平安中最薄弱的环节。很多重要的信息系统平安问题都涉及到用户、设计人员、实施人员以及管理人员。如果这些与人员有关的平安问题没有得到很好的解决，任何一个信息系统都不可能到达真正的平安。只有对人员进行了正确完善的管理，才有可能降低人为错误、盗窃、诈骗和误用设备的风险，从而减小了信息系统遭受人员错误造成损失的概率。对人员平安的管理，主要涉及两方面：对内部人员的平安管理和对外部人员的平安管理。具体包括：人员录用、人员离岗、人员考核、平安意识教育和培训和外部人员访问管理等五个控制点。各级系统平安保护要求-人员平安管理控制点一级二级三级四级人员录用****人员离岗****人员考核***安全意识教育和培训****外部人员访问管理****合计4555各级系统平安保护要求-人员平安管理一级人员平安管理要求：对人员在机构的工作周期〔即，录用、日常培训、离岗〕的活动提出根本的管理要求。同时，对外部人员访问要求得到授权和审批。二级人员平安管理要求：在控制点上增加了人员考核，对人员的录用和离岗要求进一步增强，过程性要求增加，平安教育培训更正规化，对外部人员的访问活动约束其访问行为。三级人员平安管理要求：在二级要求的根底上，增强了对关键岗位人员的录用、离岗和考核要求，对人员的培训教育更具有针对性，外部人员访问要求更具体。四级人员平安管理要求：在三级要求的根底上，提出了保密要求和关键区域禁止外部人员访问的要求。各级系统平安保护要求-系统建设管理信息系统的平安管理贯穿系统的整个生命周期，系统建设管理主要关注的是生命周期中的前三个阶段〔即，初始、采购、实施〕中各项平安管理活动。系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑，具体包括：系统定级、平安方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和平安效劳商选择等十一个控制点。各级系统平安保护要求-系统建设管理控制点一级二级三级四级系统定级****安全方案设计****产品采购和使用****自行软件开发****外包软件开发****工程实施****测试验收****系统交付****系统备案***等级测评***安全服务商选择****合计991111各级系统平安保护要求-系统建设管理一级系统建设管理要求：对系统建设整体过程所涉及的各项活动进行根本的标准，如，先定级，方案准备、平安产品按要求采购，软件开发〔自行、外包〕的根本平安，实施的根本管理，建设后的平安性验收、交付等都进行要求。二级系统建设管理要求：在控制点上增加了系统备案和平安测评，增加了某些活动的文档化要求，如软件开发管理制度，工程实施应有实施方案要求等。同时，对平安方案、验收报告等增加了审定要求，产品的采购增加了密码产品的采购要求等。三级系统建设管理要求：对建设过程的各项活动都要求进行制度化标准，按照制度要求进行活动的开展。对建设前的平安方案设计提出体系化要求，并加强了对其的论证工作。四级系统建设管理要求：主要对软件开发活动进一步加强了要求，以保证软件开发的平安性。对工程实施过程提出了监理要求。各级系统平安保护要求-系统运维管理信息系统建设完成投入运行之后，接下来就是如何维护和管理信息系统了。系统运行涉及