【正文】 信息安全等級保護培訓教材《信息系統(tǒng)安全等級保護基本要求》公安部2007年7月目錄1 概述 3 背景介紹 3 主要作用及特點 3 與其他標準的關(guān)系 4 框架結(jié)構(gòu) 42 描述模型 5 總體描述 5 保護對象 6 安全保護能力 6 安全要求 83 逐級增強的特點 9 增強原則 9 總體描述 10 控制點增加 11 要求項增加 11 控制強度增強 124 各級安全要求 13 技術(shù)要求 13 物理安全 13 網(wǎng)絡安全 19 主機安全 24 應用安全 30 數(shù)據(jù)安全及備份恢復 36 管理要求 38 安全管理制度 38 安全管理機構(gòu) 41 人員安全管理 44 系統(tǒng)建設(shè)管理 47 系統(tǒng)運維管理 52本教材根據(jù)《信息系統(tǒng)安全等級保護管理辦法》公通字[2007]43號和《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》公信安[2007]861號文件，圍繞信息安全等級工作，介紹信息系統(tǒng)安全建設(shè)和改造過程中使用的主要標準之一《信息系統(tǒng)安全等級保護基本要求》（以下簡稱《基本要求》），描述《基本要求》的技術(shù)要求分級思路、逐級增強特點以及具體各級安全要求。通過培訓，使得用戶能夠了解《基本要求》在信息系統(tǒng)安全等級保護中的作用、基本思路和主要內(nèi)容，以便正確選擇合適的安全要求進行信息系統(tǒng)保護。1 概述 背景介紹2004年，66號文件中指出“信息安全等級保護工作是個龐大的系統(tǒng)工程，關(guān)系到國家信息化建設(shè)的方方面面，這就決定了這項工作的開展必須分步驟、分階段、有計劃的實施，信息安全等級保護制度計劃用三年左右的時間在全國范圍內(nèi)分三個階段實施?！毙畔踩燃壉Ｗo工作第一階段為準備階段，準備階段中重要工作之一是“加快制定、完善管理規(guī)范和技術(shù)標準體系”。依據(jù)此要求，《基本要求》列入了首批需完成的6個標準之一。 主要作用及特點1. 主要作用《基本要求》對等級保護工作中的安全控制選擇、調(diào)整、實施等提出規(guī)范性要求，根據(jù)使用對象不同，其主要作用分為三種：a) 為信息系統(tǒng)建設(shè)單位和運營、使用單位提供技術(shù)指導在信息系統(tǒng)的安全保護等級確定后，《基本要求》為信息系統(tǒng)的建設(shè)單位和運營、使用單位如何對特定等級的信息系統(tǒng)進行保護提供技術(shù)指導。b) 為測評機構(gòu)提供評估依據(jù)《基本要求》為信息系統(tǒng)主管部門，信息系統(tǒng)運營、使用單位或?qū)ｉT的等級測評機構(gòu)對信息系統(tǒng)安全保護等級的檢測評估提供依據(jù)。c) 為職能監(jiān)管部門提供監(jiān)督檢查依據(jù)《基本要求》為監(jiān)管部門的監(jiān)督檢查提供依據(jù)，用于判斷一個特定等級的信息系統(tǒng)是否按照國家要求進行了基本的保護。2. 主要特點《基本要求》是針對每個等級的信息系統(tǒng)提出相應安全保護要求，“基本”意味著這些要求是針對該等級的信息系統(tǒng)達到基本保護能力而提出的，也就是說，這些要求的實現(xiàn)能夠保證系統(tǒng)達到相應等級的基本保護能力，但反過來說，系統(tǒng)達到相應等級的保護能力并不僅僅完全依靠這些安全保護要求。同時，《基本要求》強調(diào)的是“要求”，而不是具體實施方案或作業(yè)指導書，《基本要求》給出了系統(tǒng)每一保護方面需達到的要求，至于這種要求采取何種方式實現(xiàn)，不在《基本要求》的描述范圍內(nèi)。按照《基本要求》進行保護后，信息系統(tǒng)達到一種安全狀態(tài)，具備了相應等級的保護能力。 與其他標準的關(guān)系 從標準間的承接關(guān)系上講：l 《信息系統(tǒng)安全等級保護定級指南》確定出系統(tǒng)等級以及業(yè)務信息安全性等級和系統(tǒng)服務安全等級后，需要按照相應等級，根據(jù)《基本要求》選擇相應等級的安全保護要求進行系統(tǒng)建設(shè)實施。l 《信息系統(tǒng)安全等級保護測評準則》是針對《基本要求》的具體控制要求開發(fā)的測評要求，旨在強調(diào)系統(tǒng)按照《基本要求》進行建設(shè)完畢后，檢驗系統(tǒng)的各項保護要求是否符合相應等級的基本要求。由上可見，《基本要求》在整個標準體系中起著承上啟下的作用。 從技術(shù)角度上講：《基本要求》的技術(shù)部分吸收和借鑒了GB 17859:1999標準，采納其中的身份鑒別、數(shù)據(jù)完整性、自主訪問控制、強制訪問控制、審計、客體重用（改為剩余信息保護）標記、可信路徑等8個安全機制的部分或全部內(nèi)容，并將這些機制擴展到網(wǎng)絡層、主機系統(tǒng)層、應用層和數(shù)據(jù)層?！痘疽蟆返募夹g(shù)部分弱化了在信息系統(tǒng)中實現(xiàn)安全機制結(jié)構(gòu)化設(shè)計及安全機制可信性方面的要求，例如沒有提出信息系統(tǒng)的可信恢復，但在4級系統(tǒng)提出了災難備份與恢復的要求，保證業(yè)務連續(xù)運行?！痘疽蟆窙]有對隱蔽通道分析的安全機制提出要求。此外，《基本要求》的管理部分充分借鑒了ISO/IEC 17799:2005等國際上流行的信息安全管理方面的標準，盡量做到全方位的安全管理。 框架結(jié)構(gòu)《基本要求》在整體框架結(jié)構(gòu)上以三種分類為支撐點，自上而下分別為：類、控制點和項。其中，類表示《基本要求》在整體上大的分類，其中技術(shù)部分分為：物理安全、網(wǎng)絡安全、主機安全、應用安全和數(shù)據(jù)安全及備份恢復等5大類，管理部分分為：安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等5大類，一共分為10大類?？刂泣c表示每個大類下的關(guān)鍵控制點，如物理安全大類中的“物理訪問控制”作為一個控制點。而項則是控制點下的具體要求項，如“機房出入應安排專人負責，控制、鑒別和記錄進入的人員?！本唧w框架結(jié)構(gòu)如圖所示：第三級基本要求物理安全網(wǎng)絡安全主機安全應用安全第一級基本要求第二級基本要求第四級基本要求第五級基本要求數(shù)據(jù)安全及備份恢復技術(shù)要求管理要求安全管理制度安全管理機構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理圖11 《基本要求》的框架結(jié)構(gòu)2 描述模型 總體描述信息系統(tǒng)是頗受誘惑力的被攻擊目標。它們抵抗著來自各方面威脅實體的攻擊。對信息系統(tǒng)實行安全保護的目的就是要對抗系統(tǒng)面臨的各種威脅，從而盡量降低由于威脅給系統(tǒng)帶來的損失。能夠應對威脅的能力構(gòu)成了系統(tǒng)的安全保護能力之一——對抗能力。但在某些情況下，信息系統(tǒng)無法阻擋威脅對自身的破壞時，如果系統(tǒng)具有很好的恢復能力，那么即使遭到破壞，也能在很短的時間內(nèi)恢復系統(tǒng)原有的狀態(tài)。能夠在一定時間內(nèi)恢復系統(tǒng)原有狀態(tài)的能力構(gòu)成了系統(tǒng)的另一種安全保護能力——恢復能力。對抗能力和恢復能力共同形成了信息系統(tǒng)的安全保護能力。不同級別的信息系統(tǒng)應具備相應等級的安全保護能力，即應該具備不同的對抗能力和恢復能力，以對抗不同的威脅和能夠在不同的時間內(nèi)恢復系統(tǒng)原有的狀態(tài)。針對各等級系統(tǒng)應當對抗的安全威脅和應具有的恢復能力，《基本要求》提出各等級的基本安全要求。基本安全要求包括了基本技術(shù)要求和基本管理要求，基本技術(shù)要求主要用于對抗威脅和實現(xiàn)技術(shù)能力，基本管理要求主要為安全技術(shù)實現(xiàn)提供組織、人員、程序等方面的保障。各等級的基本安全要求，由包括物理安全、網(wǎng)絡安全、主機系統(tǒng)安全、應用安全和數(shù)據(jù)安全等五個層面的基本安全技術(shù)措施和包括安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等五個方面的基本安全管理措施來實現(xiàn)和保證。下圖表明了《基本要求》的描述模型。每一等級信息系統(tǒng)安全保護能力技術(shù)措施管理措施包含具備基本安全要求滿足包含滿足實現(xiàn)圖12《基本要求》的描述模型 保護對象作為保護對象，《管理辦法》中將信息系統(tǒng)分為五級，分別為：第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。 第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。 安全保護能力1. 定義a) 對抗能力能夠應對威脅的能力構(gòu)成了系統(tǒng)的安全保護能力之一—對抗能力。不同等級系統(tǒng)所應對抗的威脅主要從威脅源（自然、環(huán)境、系統(tǒng)、人為）動機（不可抗外力、無意、有意）范圍（局部、全局）能力（工具、技術(shù)、資源等）四個要素來考慮。在對威脅進行級別劃分前，我們首先解釋以上幾個要素：l 威脅源——是指任何能夠?qū)е路穷A期的不利事件發(fā)生的因素，通常分為自然（如自然災害）環(huán)境（如電力故障）IT系統(tǒng)（如系統(tǒng)故障）和人員（如心懷不滿的員工）四類。l 動機——與威脅源和目標有著密切的聯(lián)系，不同的威脅源對應不同的目標有著不同的動機，通?？煞譃椴豢煽雇饬Γㄈ缱匀粸暮Γo意的（如員工的疏忽大意）和故意的（如情報機構(gòu)的信息收集活動）。l 范圍——是指威脅潛在的危害范疇，分為局部和整體兩種情況；如病毒威脅，有些計算機病毒的傳染性較弱，危害范圍是有限的；但是蠕蟲類病毒則相反，它們可以在網(wǎng)絡中以驚人的速度迅速擴散并導致整個網(wǎng)絡癱瘓。l 能力——主要是針對威脅源為人的情況，它是衡量攻擊成功可能性的主要因素。能力主要體現(xiàn)在威脅源占有的計算資源的多少、工具的先進程度、人力資源（包括經(jīng)驗）等方面。通過對威脅主要因素的分析，我們可以組合得到不同等級的威脅：第一級：本等級的威脅是1）危害范圍為局部的環(huán)境或者設(shè)備故障、2）無意的員工失誤以及3）低能力的滲透攻擊等威脅情景。典型情況如灰塵超標（環(huán)境）單個非重要工作站（設(shè)備）崩潰等。第二級：本等級的威脅主要是1）危害局部的較嚴重的自然事件、2）具備中等能力、有預設(shè)目標的威脅情景。典型情況如有組織的情報搜集等。第三級：本等級的威脅主要是1）危害整體的自然事件、2）具備較高能力、大范圍的、有預設(shè)目標的滲透攻擊。典型情況如較嚴重的自然災害、大型情報組織的情報搜集等。第四級：本等級的威脅主要是1）危害整體的嚴重的自然事件、2）國家級滲透攻擊。典型情況如國家經(jīng)營，組織精良，有很好的財政資助，從其他具有經(jīng)濟、軍事或政治優(yōu)勢的國家收集機密信息等。b) 恢復能力但在某些情況下，信息系統(tǒng)無法阻擋威脅對自身的破壞時，如果系統(tǒng)具有很好的恢復能力，那么即使遭到破壞，也能在很短的時間內(nèi)恢復系統(tǒng)原有的狀態(tài)。能夠在一定時間內(nèi)恢復系統(tǒng)原有狀態(tài)的能力構(gòu)成了另一種安全保護能力——恢復能力?；謴湍芰χ饕獜幕謴蜁r間和恢復程度上來衡量其不同級別?；謴蜁r間越短、恢復程度越接近系統(tǒng)正常運行狀態(tài)，表明恢復能力越高。第一級：系統(tǒng)具有基本的數(shù)據(jù)備份功能，在遭到破壞后能夠不限時的恢復部分系統(tǒng)功能。第二級：系統(tǒng)具有一定的數(shù)據(jù)備份功能，在遭到破壞后能夠在一段時間內(nèi)恢復部分功能。第三級：系統(tǒng)具有較高的數(shù)據(jù)備份和系統(tǒng)備份功能，在遭到破壞后能夠較快的恢復絕大部分功能。第四級：系統(tǒng)具有極高的數(shù)據(jù)備份和系統(tǒng)備份功能，在遭到破壞后能夠迅速恢復所有系統(tǒng)功能。2. 不同等級的安全保護能力信息系統(tǒng)的安全保護能力包括對抗能力和恢復能力。不同級別的信息系統(tǒng)應具備相應等級的安全保護能力，即應該具備不同的對抗能力和恢復能力。將“能力”分級，是基于系統(tǒng)的保護對象不同，其重要程度也不相同，重要程度決定了系統(tǒng)所具有的能力也就有所不同。一般來說，信息系統(tǒng)越重要，應具有的保護能力就越高。因為系統(tǒng)越重要，其所伴隨的遭到破壞的可能性越大，遭到破壞后的后果越嚴重，因此需要提高相應的安全保護能力。不同等級信息系統(tǒng)所具有的保護能力如下：一級安全保護能力：應能夠防護系統(tǒng)免受來自個人的、擁有很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災難、以及其他相當危害程度的威脅所造成的關(guān)鍵資源損害，在系統(tǒng)遭到損害后，能夠恢復部分功能。二級安全保護能力：應能夠防護系統(tǒng)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災難、以及其他相當危害程度的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時間內(nèi)恢復部分功能。三級安全保護能力：應能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自外部有組織的團體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴重的自然災難、以及其他相當危害程度的威脅所造成的主要資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠較快恢復絕大部分功能。四級安全保護能力：應能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴重的自然災難、以及其他相當危害程度的威脅所造成的資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠迅速恢復所有功能。 安全要求首先介紹《基本要求》的安全要求的分類。安全要求從整體上分為技術(shù)和管理兩大類，其中，技術(shù)類安全要求按其保護的側(cè)重點不同，將其下的控制點分為三類： 信息安全類（S類）——關(guān)注的是保護數(shù)據(jù)在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權(quán)的修改。如，自主訪問控制，該控制點主要關(guān)注的是防止未授權(quán)的訪問系統(tǒng)，進而造成數(shù)據(jù)的 修改或泄漏。至于對保證業(yè)務的正常連續(xù)運行并沒有直接的影響。 服務保證類（A類）——關(guān)注的是保護系統(tǒng)連續(xù)正常的運行，避免因?qū)ο到y(tǒng)的未授權(quán)修改、破壞而導致系統(tǒng)不可用。如，數(shù)據(jù)的備份和恢復，該控制點很好的體現(xiàn)了對業(yè)務正常運行的保護。通過對數(shù)據(jù) 進行備份，在發(fā)生安全事件后能夠及時的進行恢復，從而保證了業(yè)務的正常運行。 通用安全保護類（G類）——既關(guān)注保護業(yè)務信息的安全性，同時也關(guān)注保護系統(tǒng)的 連續(xù)可用性。大多數(shù)技術(shù)類安全要求都屬于此類，保護的重點既是為了保證業(yè)務能夠正常運行，同時數(shù)據(jù)要安全。如，物理訪問控制，該控制點主要是防止非授權(quán)人員物理訪問系統(tǒng)主要工作環(huán)境，由于進入工作環(huán)境可能導致的后果既可能包括系統(tǒng)無法正常運行（如，損壞某臺重要服務器），也可能竊取某些重要數(shù)據(jù)。因此，它保護的重點二者兼而有之。技術(shù)安全要求按其保護的側(cè)重點不同分為S、A、G三類，如果從另外一個角度考慮，根據(jù)信息系統(tǒng)安全的整體結(jié)構(gòu)來看，信息系統(tǒng)安全可從五個層面：物理、網(wǎng)絡、主機系統(tǒng)、應用系統(tǒng)和數(shù)據(jù)對系統(tǒng)進行保護，因此，技術(shù)類安全要求也相應的分為五個層面上的安全要求：——物理層面安全要求：主要是從外界環(huán)境、