【正文】 要思想 《基本要求》基本思路 不同級別 信息系統(tǒng) 重要程度不同 應(yīng)對不同威脅的能力 (威脅 \弱點 ) 具有不同的安全保護(hù)能力 不同的基本要求 不同級別的安全保護(hù)能力要求 ? 第一級安全保護(hù)能力 – 應(yīng)能夠防護(hù)系統(tǒng)免受來自個人的、擁有很少資源（如利用公開可獲取的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度弱、持續(xù)時間很短等）以及其他相當(dāng)危害程度的威脅（無意失誤、技術(shù)故障等）所造成的關(guān)鍵資源損害，在系統(tǒng)遭到損害后，能夠恢復(fù)部分功能。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行自查。 《管理辦法》”等級保護(hù)的實施與管理“第十三條 ? 運(yùn)營、使用單位應(yīng)當(dāng) 參照 《信息安全技術(shù)信息系統(tǒng)安全管理要求》（ GB/T202692023）、《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》（ GB/T202822023）、《信息系統(tǒng)安全等級保護(hù)基本要求》等管理規(guī)范，制定并落實符合本系統(tǒng)安全保護(hù)等級要求的 安全管理制度 。對外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等進(jìn)行控制 序號 安全關(guān)注點 一級 二級 三級 四級 1 人員錄用 2 3+ 4+ 4 2 人員離崗 2 3 3+ 3+ 3 人員考核 0 1 3 4 4 安全意識教育和培訓(xùn) 2 3+ 4 4 5 外部人員訪問管理 1 1 2 3 合計 7 11 16 18 ? 系統(tǒng)建設(shè)管理是指 加強(qiáng)系統(tǒng)建設(shè)過程的管理 。確定安全管理目標(biāo)和安全策略，針對信息系統(tǒng)的各類管理活動，制定人員安全管理制度、系統(tǒng)建設(shè)管理制度、系統(tǒng)運(yùn)維管理制度、定期檢查制度等，規(guī)范安全管理人員或操作人員的操作規(guī)程等，形成安全管理體系 序號 安全關(guān)注點 一級 二級 三級 四級 1 管理制度 1 3 4 4 2 制定和發(fā)布 2 3 5 6 3 評審和修訂 0 1 2 4 合計 3 7 11 14 ? 人員安全管理是指 加強(qiáng)人員的安全管理 。其中，安全配置細(xì)分為身份鑒別、訪問控制、安全審計等方面的配置內(nèi)容 序號 安全關(guān)注點 一級 二級 三級 四級 1 身份鑒別 1 5 6 7 2 安全標(biāo)記 0 0 0 1 3 訪問控制 3 4 7 6 4 可信路徑 0 0 0 2 5 安全審計 0 4 6+ 7+ 6 剩余信息保護(hù) 0 0 2 2 7 入侵防范 1 1 3 3 8 惡意代碼防范 1 2 3 3 9 資源控制 0 3 5 5 合計 6 19 32 36 ? 應(yīng)用安全是指對信息系統(tǒng)涉及到的 應(yīng)用系統(tǒng) 進(jìn)行安全保護(hù)。 物理安全 技術(shù)要求 管理要求 基本要求 網(wǎng)絡(luò)安全 主機(jī)安全 應(yīng)用安全 數(shù)據(jù)安全及備份恢復(fù) 安全管理制度 安全管理機(jī)構(gòu) 人員安全管理 系統(tǒng)建設(shè)管理 系統(tǒng)運(yùn)維管理 類 安全建設(shè)基本流程 信息系統(tǒng)安全管理建設(shè) 信息系統(tǒng)安全技術(shù)建設(shè) 開展信息系統(tǒng)安全自查和等級測評 信息系統(tǒng)安全需求分析 /相應(yīng)級別的要求 確定安全策略，制定安全建設(shè)方案 物 理 安 全 網(wǎng) 絡(luò) 安 全 主 機(jī) 安 全 應(yīng) 用 安 全 數(shù) 據(jù) 安 全 安全管理機(jī)構(gòu) 安全管理制度 人員安全管理 系統(tǒng)建設(shè)管理 系統(tǒng)運(yùn)行管理 信息系統(tǒng)安全技術(shù)體系設(shè)計 物理安全設(shè)計 數(shù)據(jù)安全設(shè)計 備份與恢復(fù) 應(yīng)用系統(tǒng) 應(yīng)用平臺 其他安全設(shè)計 機(jī)房 辦公環(huán)境 設(shè)備和介質(zhì) 網(wǎng)絡(luò)安全設(shè)計 通信網(wǎng)絡(luò) 區(qū)網(wǎng)邊界 主機(jī)安全設(shè)計 應(yīng)用安全設(shè)計 服務(wù)器 工作站 其他安全設(shè)計 其他安全設(shè)計 其他安全設(shè)計 ? 身份鑒別 ? 訪問控制 ? 安全審計 ? 數(shù)據(jù)完整性 ? 數(shù)據(jù)保密性 ? 數(shù)據(jù)可用性 ? 病毒防范 ? 入侵檢測 ? 安全監(jiān)控 ? 備份與恢復(fù) ? 密碼使用 ? 等等 ? 確定安全策略 ? 落實信息安全責(zé)任制 ? 建立安全組織機(jī)構(gòu) ? 加強(qiáng)人員管理 ? 加強(qiáng)系統(tǒng)建設(shè)的安全管理 ? 加強(qiáng)運(yùn)行維護(hù)的安全管理 ? 物理安全是指對信息系統(tǒng)所涉及到的 主機(jī)房、輔助機(jī)房、辦公環(huán)境 等進(jìn)行物理安全保護(hù)。 （ 8）組織建立省及所轄市、區(qū)縣運(yùn)維組織機(jī)構(gòu)，健全運(yùn)維制度，明確運(yùn)維人員，部署部里統(tǒng)一下發(fā)的運(yùn)行維護(hù)管理系統(tǒng)，建立省級運(yùn)維管理平臺。 省、自治 區(qū) 直 轄 市 ? 《基本要求》中相應(yīng)等級的要求是根據(jù)各等級系統(tǒng)需要對抗的威脅和應(yīng)具備的能力而確定的。具體關(guān)注內(nèi)容包括：物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等方面 序號 安全關(guān)注點 一級 二級 三級 四級 1 物理位置的選擇 0 1 2 2 2 物理訪問控制 1 2 4 4+ 3 防盜竊和防破壞 2 5 6+ 6 4 防雷擊 1 2 3 3 5 防火 1 1+ 3+ 3 6 防水和防潮 2 3 4 4 7 防靜電 0 1 2 3 8 溫濕度控制 1 1+ 1 1 9 電力供應(yīng) 1 2 4 4 10 電磁防護(hù) 0 1 3 3+ 合計 9 19 32 33 ? 網(wǎng)絡(luò)安全是指對信息系統(tǒng)所涉及的 通信網(wǎng)絡(luò)、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)區(qū)域和網(wǎng)絡(luò)設(shè)備 等進(jìn)行安全保護(hù)。具體關(guān)注內(nèi)容包括應(yīng)用系統(tǒng)實現(xiàn)身份鑒別、訪問控制、安全審計、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯和資源控制等功能方面 序號 安全關(guān)注點 一級 二級 三級 四級 1 身份鑒別 3 4 5 5 2 安全標(biāo)記 0 0 0 1 3 訪問控制 2 4 6 5 4 可信路徑 0 0 0 2 5 安全審計 0 3 4 5 6 剩余信息保護(hù) 0 0 2 2 7 通信完整性 1 1+ 1+ 1 8 通信保密性 0 2 2+ 3 9 抗抵賴 0 0 2 2 10 軟件容錯 1 2 2 3 11 資源控制 0 3 7 7 合計 7 19 31 36 ? 數(shù)據(jù)安全是指對信息系統(tǒng)中 業(yè)務(wù)數(shù)據(jù)的傳輸、存儲和備份恢復(fù) 進(jìn)行安全保護(hù)。規(guī)范人員錄用、離崗過程，關(guān)鍵崗位簽署保密協(xié)議，對各類人員進(jìn)行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)，對關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核。制定系統(tǒng)建設(shè)相關(guān)的管理制度，明確系統(tǒng)定級備案、方案設(shè)計、產(chǎn)品采購使用、軟件開發(fā)、工程實施、驗收交付、等級測評、安全服務(wù)等內(nèi)容的管理責(zé)任部門、具體管理內(nèi)容和控制方法，并按照管理制度落實各項管理措施 序號 安全關(guān)注點 一級 二級 三級 四級 1 系統(tǒng)定級 3 3 4 4 2 安全方案設(shè)計 3 4 5 5 3 產(chǎn)品采購 1 3 4 5 4 自行軟件開發(fā) 2 3 5 6 5 外包軟件開發(fā) 3 4 4 4 6 工程實施 1 2 3+ 4 7 測試驗收 2 3 4+ 4 8 系統(tǒng)交付 2 3 5 5 9 系統(tǒng)備案 0 0 3 3 10 安全測評 0 0 4 4+ 11 安全服務(wù)商選擇 2 3 3 3 合計 20 28 45 48 ? 系統(tǒng)運(yùn)維管理是指 加強(qiáng)系統(tǒng)運(yùn)維過程的管理 。 《管理辦法》”等級保護(hù)的實施與管理“第十四條 ? 信息系統(tǒng)建設(shè)完成后，運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評單位，依據(jù)《信息系統(tǒng)安全等級保護(hù)測評要求》等技術(shù)標(biāo)準(zhǔn)， 定期 對信息系統(tǒng)安全等級狀況 開展等級測評 。 《管理辦法》”等級保護(hù)的實施與管理“第十四條 ? 經(jīng)測評或者自查， 信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級要求的 ，運(yùn)營、使用單位應(yīng)當(dāng)制定方案 進(jìn)行整改 。 ? 第二級安全保護(hù)能力 – 應(yīng)能夠防護(hù)系統(tǒng)免受來自外部小型組織的（如自發(fā)的三兩人組成的黑客組織）、擁有少量資源（如個別人員能力、公開可獲或特定開發(fā)的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度一般、持續(xù)時間短、覆蓋范圍小等）以及其他相當(dāng)危害程度的威脅（無意失誤、技術(shù)故障等）所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時間內(nèi)恢復(fù)部分功能。 ? 第 2步 : – 要求中標(biāo)注為 S類和 G類的不變 。 各級系統(tǒng)安全保護(hù)要求 物理安全 控制點 一級 二級 三級 四級 物理位置的選擇 * * * 物理訪問控制 * * * * 防盜竊和防破壞 * * * * 防雷擊 * * * * 防火 * * * * 防水和防潮 * * * * 防靜電 * * * 溫濕度控制 * * * * 電力供應(yīng) * * * * 電磁防護(hù) * * * 合計 7 10 10 10 各級系統(tǒng)安全保護(hù)要求 物理安全 ? 一級物理安全要求 ：主要要求對物理環(huán)境進(jìn)行基本的防護(hù)，對出入進(jìn)行基本控制，環(huán)境安全能夠?qū)ψ匀煌{進(jìn)行基本的防護(hù)，電力則要求提供供電電壓的正常。 ? 四級物理安全要求 ：對機(jī)房出入的要求進(jìn)一步增強(qiáng)，要求多道電子設(shè)備監(jiān)控；物理環(huán)境方面，要求采用一定的防護(hù)設(shè)備進(jìn)行防護(hù)，如靜電消除裝置等。 ? 二級網(wǎng)絡(luò)安全要求 ：不僅要滿足網(wǎng)絡(luò)安全運(yùn)行的基本保障，同時還要考慮網(wǎng)絡(luò)處理能力要滿足業(yè)務(wù)極限時的需要。 ? 三級網(wǎng)絡(luò)安全要求 ：對網(wǎng)絡(luò)處理能力增加了“優(yōu)先級”考慮，保證重要主機(jī)能夠在網(wǎng)絡(luò)擁堵時仍能夠正常運(yùn)行；網(wǎng)絡(luò)邊界的訪問控制擴(kuò)展到應(yīng)用層，網(wǎng)絡(luò)邊界的其他防護(hù)措施進(jìn)一步增強(qiáng)，不僅能夠被動的“防”，還應(yīng)能夠主動發(fā)出一些動作，如報警、阻斷等。網(wǎng)絡(luò)設(shè)備的防護(hù)，在身份鑒別手段上除要求兩種技術(shù)外，其中一種鑒別技術(shù)必須是不可偽造的，進(jìn)一步加強(qiáng)了對網(wǎng)絡(luò)設(shè)備的防護(hù)。因此，主機(jī)系統(tǒng)安全是保護(hù)信息系統(tǒng)安全的中堅力量。同時，對身份鑒別和訪問控制都進(jìn)一步加強(qiáng)，鑒別的標(biāo)識、信息等都提出了具體的要求；訪問控制的粒度進(jìn)行了細(xì)化等，惡意代碼增加了統(tǒng)一管理等。對惡意代碼的防范綜合考慮網(wǎng)絡(luò)上的防范措施，做到二者相互補(bǔ)充。在應(yīng)用層面運(yùn)行著信息系統(tǒng)的基于網(wǎng)絡(luò)的應(yīng)用以及特定業(yè)務(wù)應(yīng)用。 ? 應(yīng)用安全主要涉及的安全控制點包括： 身份鑒別、安全標(biāo)記、訪問控制、可信路徑、安全審計、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制 等十一個控制點。訪問控制的粒度進(jìn)行了細(xì)化，對通信過程的完整性保護(hù)提出了特定的校驗碼技術(shù)。對通信過程的完整性保護(hù)提出了特定的密碼技術(shù)。 各級系統(tǒng)安全保護(hù)要求 數(shù)據(jù)安全及備份恢復(fù) ? 信息系統(tǒng)處理的各種數(shù)據(jù)（用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等）在維持系統(tǒng)正常運(yùn)行上起著至關(guān)重要的作用。 ? 另外，數(shù)據(jù)備份也是防止數(shù)據(jù)被破壞后無法恢復(fù)的重要手段，而硬件備份等更是保證系統(tǒng)可用的重要內(nèi)容，在高級別的信息系統(tǒng)中采用異地適時備份會有效的防治災(zāi)難發(fā)生時可能造成的系統(tǒng)危害。對數(shù)據(jù)保密性要求實現(xiàn)鑒別信息存儲保密性，數(shù)據(jù)備份增強(qiáng)，要求一定的硬件冗余。同時，備份方式增加了建立異地適時災(zāi)難備份中心，在災(zāi)難發(fā)生后系統(tǒng)能夠自動切換和恢復(fù)。 各級系統(tǒng)安全保護(hù)要求 安全管理制度 控制點 一級 二級 三級 四級 管理制度 * * * * 制定和發(fā)布 * * * * 評審和修訂 * * * 合計 2 3 3 3 各級系統(tǒng)安全保護(hù)要求 安全管理制度 ? 一級安全管理制度要求 ：主要明確了制定日常常用的管理制度，并對管理制度的制定和發(fā)布提出基本要求。 ? 四級安全管理制度要求 ：在三級要求的基礎(chǔ)上，主要考慮了對帶有密級的管理制度的管理和管理制度的日常維護(hù)等。 ? 安全管理機(jī)構(gòu)主要包括： 崗位設(shè)置、人員配備、授權(quán)和審批、溝通