【文章內(nèi)容簡介】 獨(dú)立，又互相關(guān)聯(lián)，在一些情況下，技術(shù)和管理 能夠發(fā)揮它們各自的作用； 在 另一些 情況下，需要同時使用技術(shù)和管理兩種 手段 ，實(shí)現(xiàn) 安全控制或 更強(qiáng)的 安全 控制 ；大多數(shù)情況下 ，技術(shù)和管理 要求 互相提供支撐 以 確保各自功能的正確實(shí)現(xiàn)。 . 技術(shù)要求的三種類型 技術(shù) 類安全要求提出了信息系統(tǒng)應(yīng)提供的 技術(shù) 安全機(jī)制，這些安全機(jī)制將 通過 在信息系統(tǒng)中 部署軟硬件 并正確的配置其安全功能 來實(shí)現(xiàn) 。根據(jù)安全機(jī)制的保護(hù)側(cè)重點(diǎn)， 技術(shù)類安全要求 又進(jìn)一步細(xì)分為 業(yè)務(wù)信息 安全類（簡記為 S）、業(yè)務(wù) 服務(wù)保證 類（簡記為 A 類）和通用安全保護(hù) 類（簡記為 G 類）三類。 業(yè)務(wù)信息 安全類（ S 類 ） 安全要求 關(guān)注的是保護(hù)數(shù)據(jù)在存儲、傳輸、處理過程中不被泄漏 、 破壞 和 免受 未授權(quán)的 修改 ； 業(yè)務(wù) 服務(wù)保證 類（ A 類） 安全要求 關(guān)注的是保護(hù)系統(tǒng)連續(xù)正常的 運(yùn)行，免受對系統(tǒng)的 未授權(quán) 修改、破壞而導(dǎo)致系統(tǒng)不可用； 通用安全保護(hù)類（ G 類） 安全要求 是沒有明顯的側(cè)重， 既關(guān)注保護(hù) 業(yè)務(wù)信息 的安全性，同時也關(guān)注保護(hù)系統(tǒng)的 連續(xù) 可用性 。 . 基本要求的選擇 信息系統(tǒng)由于承載的業(yè)務(wù)不同，對其的安全關(guān)注點(diǎn)會有所不同 ，有的更關(guān)注 數(shù)據(jù)的安全性 ，即 更關(guān)注對盜竊、搭線竊聽、假冒用戶等可能導(dǎo)致信息泄密、非法篡改等威脅的對抗；有的更關(guān)注業(yè)務(wù) 的 連續(xù)性，即更關(guān)注保證 系統(tǒng)連續(xù)正常的 運(yùn)行，免受對系統(tǒng) 未授權(quán)的 修改、破壞而導(dǎo)致系統(tǒng)不可用 引起業(yè)務(wù)中斷。 不同安全等級的信息系統(tǒng) ， 其 對 業(yè)務(wù)信息 的 安全 性 要求 和 業(yè)務(wù) 服務(wù) 的 連續(xù)性要求 是 有差異的 ； 即使相同安全等級的信息系統(tǒng)， 其 對 業(yè)務(wù)信息 的 安全性 要求 和業(yè)務(wù) 服務(wù) 的 連續(xù)性 要求也有差異。 信息 系統(tǒng)的安全等級由各個業(yè)務(wù)子系統(tǒng)的 業(yè)務(wù)信息安全性 等級和 業(yè)務(wù)服務(wù)保證性等級 較高者決定（參見《 信息系統(tǒng) 安全 保護(hù) 等級 定級指南》），因此 ， 對某一個定級后的信息系統(tǒng)的保護(hù)要求可以有多種組合 。 不同 安全 等級的 信息系統(tǒng) 可以選擇 的 保護(hù)要求組合 如下表所示： 6 表 １ ： 各等級 信息系統(tǒng) 保護(hù)要求組合 安全等級 信息系統(tǒng) 保護(hù)要求的組合 第一級 S1A1G1 第二級 S1A2G2， S2A2G2， S2A1G2 第三級 S1A3G3， S2A3G3， S3A3G3， S3A2G3， S3A1G3 第四級 S1A4G4， S2A4G4， S3A4G4， S4A4G4， S4A3G4， S4A2G4， S4A1G4 本文件 的每一個 安全等級 的基本要求按照 業(yè)務(wù)信息安全性 等級和 業(yè)務(wù)服務(wù)保證性 等級相同的情況組織，也就是每一個 安全等級 的基本要求針對 S1A1G S2A2G S3A3G3 和S4A4G4 情 況給出 。 對基本要求進(jìn)行 選擇 的過程如下： 首先， 基本要求的選擇由信息系統(tǒng)的安全等級確定 ，基本要求包括技術(shù)要求和管理要求 。一級系統(tǒng)應(yīng) 該 選擇第一級的基本要求， 二 級系統(tǒng)應(yīng) 該 選擇第 二 級的基本要求 ，三級系統(tǒng)應(yīng) 該選擇第三級的基本要求，四級系統(tǒng)應(yīng) 該 選擇第四級的基本要求。 其次， 可以 根據(jù)信息系統(tǒng) 保護(hù)要求 的 組合 對技術(shù)要求進(jìn)行調(diào)整。對 業(yè)務(wù)信息安全性 等級高于 業(yè)務(wù)服務(wù)保證性 等級的系統(tǒng)， 業(yè)務(wù) 服務(wù)保證 類（ A 類 ） 技術(shù)要求 可以根據(jù) 業(yè)務(wù)服務(wù)保證性 等級選擇相應(yīng)等級的 業(yè)務(wù) 服務(wù)保證 類（ A 類 ） 技術(shù)要求 ； 對 業(yè)務(wù)服務(wù)保證性 等級 高于 業(yè)務(wù)信息安全性 等級的系 統(tǒng)， 業(yè)務(wù)信息 安全 類（ S 類 ） 技術(shù)要求 可以根據(jù) 業(yè)務(wù)信息安全性 等級選擇相應(yīng)等級的 業(yè)務(wù)信息 安全 類（ S 類 ） 技術(shù)要求 。 最后， 由于各種原因 對基本要求 項(xiàng) 有調(diào)整需求的，應(yīng) 針對需要調(diào)整的基本要求 項(xiàng)逐項(xiàng)進(jìn)行風(fēng)險分析， 在 保證不降低整體安全保護(hù)強(qiáng)度 的前提下 ， 對基本要求項(xiàng)進(jìn)行調(diào)整， 并形成書面的調(diào)整理由 進(jìn)行說明。 對于涉密的信息系統(tǒng)，在確定 安全等級 后， 除應(yīng)按照 本文件 規(guī)定的相應(yīng)安全等級的基本要求進(jìn)行保護(hù)外，還應(yīng)按照 國家保密工作部門和國家密碼管理部門的相關(guān)規(guī)定進(jìn)行要求和保護(hù)。 6 安全目標(biāo) . 第 1級安全目標(biāo) 第一級信息系統(tǒng)應(yīng)實(shí)現(xiàn)以下目標(biāo)。 . 技術(shù) 目標(biāo) O11. 應(yīng)具有防雷擊的能力 7 O12. 應(yīng)具有防水和防潮的能力 O13. 應(yīng)具有滅火的能力 O14. 應(yīng)具有溫濕度檢測和控制的能力 O15. 應(yīng)具有防止電壓波動的能力 O16. 應(yīng)具有對傳輸和存儲數(shù)據(jù)進(jìn)行完整性檢測的能力 O17. 應(yīng)具有系統(tǒng)軟件、應(yīng)用軟件容錯的能力 O18. 應(yīng)具有合理使用和控制系統(tǒng)資源的能力 O19. 應(yīng)具有設(shè)計(jì)合理、安全網(wǎng)絡(luò)結(jié)構(gòu)的能力 O110. 應(yīng)具有控制機(jī)房進(jìn)出的能力 O111. 應(yīng)具有防止設(shè)備、介質(zhì)等丟失的能力 O112. 應(yīng)具有控制接觸重要設(shè)備、介質(zhì)的能力 O113. 應(yīng)具有發(fā)現(xiàn)網(wǎng)絡(luò)協(xié)議、操作系統(tǒng)、應(yīng)用系統(tǒng)等重要漏洞并及時修補(bǔ)的能力 O114. 應(yīng)具有對網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問進(jìn)行控制的能力 O115. 應(yīng)具有對數(shù)據(jù)、文件或其他資源 的訪問進(jìn)行控制的能力 O116. 應(yīng)具有對用戶進(jìn)行標(biāo)識和鑒別的能力 O117. 應(yīng)具有保證鑒別數(shù)據(jù)傳輸和存儲 保密性 的能力 O118. 應(yīng)具有對 惡意代碼 的檢測、阻止和清除能力 O119. 應(yīng)具有重要數(shù)據(jù)恢復(fù)的能力 . 管理目標(biāo) O120. 應(yīng)確保配備了足夠數(shù)量的管理人員，支持信息系統(tǒng)的管理工作 O121. 應(yīng)確保建立了基本的安全管理制度，并保證安全管理制度的有效性 O122. 應(yīng)確保對信息系統(tǒng) 進(jìn)行 合理定級 O123. 應(yīng)確保能控制信息安全相關(guān)事件的授權(quán)與審批 O124. 應(yīng)確保建立恰當(dāng)可靠的聯(lián)絡(luò)渠道，以便安全事件發(fā)生時能得到支持 O125. 應(yīng)確保對人員的行為進(jìn)行控制 O126. 應(yīng)確保安全產(chǎn)品的可信度和產(chǎn)品質(zhì)量 O127. 應(yīng)確保自行開發(fā)過程和工程實(shí)施 過程中的安全 O128. 應(yīng)確保能順利地接管和維護(hù)信息系統(tǒng) O129. 應(yīng)確保安全工程的實(shí)施質(zhì)量和安全功能的準(zhǔn)確實(shí)現(xiàn) O130. 應(yīng)確保機(jī)房具有良好的運(yùn)行環(huán)境 8 O131. 應(yīng)確保對信息資產(chǎn)進(jìn)行安全管理 O132. 應(yīng)確保 對 各種軟硬件設(shè)備的選型、采購、發(fā)放、使用和保管等過程 進(jìn)行 控制 O133. 應(yīng)確保對網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應(yīng)用系統(tǒng)進(jìn)行安全管理 O134. 應(yīng)確保用戶具有鑒別信息使用的安全意識 O135. 應(yīng)確保定期地對 通信線 路 進(jìn)行檢查和維護(hù) O136. 應(yīng)確保硬件設(shè)備、存儲介質(zhì)存放環(huán)境安全 ，并對其的使用進(jìn)行控制和保護(hù) O137. 應(yīng)確保對支撐設(shè)施、硬件設(shè)備、存儲介質(zhì)進(jìn)行日常維護(hù)和管理 O138. 應(yīng)確保系統(tǒng)中使用的硬件、軟件產(chǎn) 品的質(zhì)量 O139. 應(yīng)確保各類人員具有與其崗位相適應(yīng)的技術(shù)能力 O140. 應(yīng)確保對各類人員進(jìn)行相關(guān)的技術(shù)培訓(xùn) O141. 應(yīng)確保提供的足夠的使用手冊、維護(hù)指南等資料 O142. 應(yīng)確保內(nèi)部人員具有安全方面的常識和意識 O143. 應(yīng)確保對信息安全事件進(jìn)行報(bào)告和處置 . 第 2級安全目標(biāo) 第二級信息系統(tǒng)應(yīng)實(shí)現(xiàn)以下目標(biāo)。 . 技術(shù)目標(biāo) O21. 應(yīng)具有抵抗一般強(qiáng)度地震、臺風(fēng)等自然災(zāi)難造成破壞的能力 O22. 應(yīng)具有防止雷擊事件導(dǎo)致重要設(shè)備被破壞的能力 O23. 應(yīng)具有防水和防潮的能力 O24. 應(yīng)具有滅火的能力 O25. 應(yīng)具有檢測火災(zāi)和報(bào)警的能力 O26. 應(yīng)具有溫濕度自動檢測和控制的能力 O27. 應(yīng)具有防止電壓波動的能力 O28. 應(yīng)具有對抗短時間 斷電的能力 O29. 應(yīng)具有防止靜電導(dǎo)致重要設(shè)備被破壞的能力 O210. 具有基本的抗電磁干擾能力 O211. 應(yīng)具有對傳輸和存儲數(shù)據(jù)進(jìn)行完整性檢測的能力 O212. 應(yīng)具有對硬件故障產(chǎn)品進(jìn)行替換的能力 O213. 應(yīng)具有系統(tǒng)軟件、應(yīng)用軟件容錯的能力 O214. 應(yīng)具有軟件故障分析的能力 9 O215. 應(yīng)具有合理使用和控制系統(tǒng)資源的能力 O216. 應(yīng)具有記錄用戶操作行為的能力 O217. 應(yīng)具有對用戶的誤操作行為進(jìn)行檢測和報(bào)警的能力 O218. 應(yīng)具有控制機(jī)房進(jìn)出的能力 O219. 應(yīng)具有防止設(shè)備、介質(zhì)等丟失的能力 O220. 應(yīng)具有控制機(jī)房內(nèi)人員活動的能力 O221. 應(yīng)具有控制接觸重要設(shè)備、介質(zhì)的能力 O222. 應(yīng)具有對傳輸和存儲中的信息進(jìn)行 保密性 保護(hù)的能力 O223. 應(yīng)具 有對通信線路進(jìn)行物理保護(hù)的能力 O224. 應(yīng)具有限制網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用系統(tǒng)資源使用的能力 O225. 應(yīng)具有能夠檢測對網(wǎng)絡(luò)的各種攻擊并記錄其活動的能力 O226. 應(yīng)具有發(fā)現(xiàn)所有已知漏洞并及時修補(bǔ)的能力 O227. 應(yīng)具有對網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問進(jìn)行控制的能力 O228. 應(yīng)具有對數(shù)據(jù)、文件或其他資源的訪問進(jìn)行控制的能力 O229. 應(yīng)具有對資源訪問的行為進(jìn)行記錄的能力 O230. 應(yīng)具有對用戶進(jìn)行唯一標(biāo)識的能力 O231. 應(yīng)具有對用戶產(chǎn)生復(fù)雜鑒別信息并進(jìn)行鑒別的能力 O232. 應(yīng)具有對惡意代碼的檢測、阻止和清除能力 O233. 應(yīng)具有防止惡意代碼在網(wǎng)絡(luò)中擴(kuò)散的能力 O234. 應(yīng)具有對惡意代碼庫和搜索引擎及時更新的能力 O235. 應(yīng) 具有保證鑒別數(shù)據(jù)傳輸和存儲 保密性 的能力 O236. 應(yīng)具有對存儲介質(zhì)中的殘余信息進(jìn)行刪除的能力 O237. 應(yīng)具有非活動狀態(tài)一段時間后自動切斷連接的能力 O238. 應(yīng)具有網(wǎng)絡(luò)邊界完整性檢測能力 O239. 應(yīng)具有重要數(shù)據(jù)恢復(fù)的能力 . 管理目標(biāo) O240. 應(yīng)確保建立了安全職能部門，配備了安全管理人員，支持信息安全管理工作 O241. 應(yīng)確保配備了足夠數(shù)量的管理人員，對系統(tǒng)進(jìn)行運(yùn)行維護(hù) O242. 應(yīng)確保對主要的管理活動進(jìn)行了制度化管理 O243. 應(yīng)確保 建立并 不斷完善、健全安全管理制 度 10 O244. 應(yīng)確保能協(xié)調(diào)信息安全工作在各功能部門的實(shí)施 O245. 應(yīng)確保能控制信息安全相關(guān)事件的授權(quán)與審批 O246. 應(yīng)確保建立恰當(dāng)可靠的聯(lián)絡(luò)渠道， 以便安全事件發(fā)生時能得到支持 O247. 應(yīng)確保對人員的行為進(jìn)行控制 O248. 應(yīng)確保對人員的管理活動進(jìn)行了指導(dǎo) O249. 應(yīng)確保安全策略的正確性和安全措施的合理性 O250. 應(yīng)確保對信息系統(tǒng)進(jìn)行合理定級 O251. 應(yīng)確保安全產(chǎn)品的可信度和產(chǎn)品質(zhì)量 O252. 應(yīng)確保自行開發(fā)過程和工程實(shí)施過程中的安全 O253. 應(yīng)確保能順利地接管和維護(hù)信息系統(tǒng) O254. 應(yīng)確保安全工程的實(shí)施質(zhì)量和安全功能的準(zhǔn)確實(shí)現(xiàn) O255. 應(yīng)確保機(jī)房具有良好的運(yùn)行環(huán)境 O256. 應(yīng)確保對信息資產(chǎn)進(jìn)行標(biāo)識管理 O257. 應(yīng)確保對各種軟硬件設(shè)備的選型、采購、發(fā)放、使用和保管等過程進(jìn)行控制 O258. 應(yīng)確保各種網(wǎng)絡(luò)設(shè)備、服務(wù)器正確使用和維護(hù) O259. 應(yīng)確保對網(wǎng)絡(luò)、操作系統(tǒng) 、數(shù)據(jù)庫管理系統(tǒng)和應(yīng)用系統(tǒng) 進(jìn) 行安全管理 O260. 應(yīng)確保用戶具有鑒別信息使用的安全意識 O261. 應(yīng)確保定期地對 通信線路 進(jìn)行檢查和維護(hù) O262. 應(yīng)確保硬件設(shè)備、存儲介質(zhì)存放環(huán)境安全，并對其的使用進(jìn)行控制和保護(hù) O263. 應(yīng)確保對支撐設(shè)施、硬件設(shè)備、存儲介質(zhì)進(jìn)行日常維護(hù)和管理 O264. 應(yīng)確保系統(tǒng)中使用的硬件、軟件產(chǎn)品的質(zhì)量 O265. 應(yīng)確保各類人員具有與其崗位相適應(yīng)的技術(shù)能力 O266. 應(yīng)確保對各類人員進(jìn)行相關(guān)的技術(shù)培訓(xùn) O267. 應(yīng)確保提供的足夠的使用手冊、維護(hù)指南等資料 O268. 應(yīng)確保內(nèi)部人員具有安全方面的常識和意識 O269. 應(yīng)確保具有設(shè)計(jì)合理、安全網(wǎng)絡(luò)結(jié)構(gòu)的能力 O270. 應(yīng)確保密碼算法和密鑰的使用符合 國家有關(guān)法律、法規(guī)的規(guī)定 O271. 應(yīng)確保 任何變更控制 和設(shè)備重用要 申報(bào)和審批 ，并對其實(shí)行制度化的管理 O272. 應(yīng)確保在事件發(fā)生后能采取積極、有效的應(yīng)急策略和措施 O273. 應(yīng)確保信息安全事件實(shí)行分等級響應(yīng)、處置 11 . 第 3級安全目標(biāo) 第三級信息系統(tǒng)應(yīng)實(shí)現(xiàn)以下目標(biāo)。 . 技術(shù)目標(biāo) O31. 應(yīng)具有 對抗 中等強(qiáng)度地震、臺風(fēng)等自然災(zāi)難造成破壞的能力 O32. 應(yīng)具有防止雷擊事件導(dǎo)致大面積設(shè)備被破壞的能力 O33. 應(yīng)具有防水和防潮的能力 O34. 應(yīng)具有對水患檢測和報(bào)警的能力 O35. 應(yīng)具有自動滅火的能力 O36. 應(yīng)具有檢測火災(zāi)和報(bào)警的能力 O37. 應(yīng)具有防止火災(zāi)蔓延的能力 O38. 應(yīng)具有溫濕度自動檢測和控制的能力 O39. 應(yīng)具有 防止電壓波動的能力 O310. 應(yīng)具有對抗 較 長時間斷電的能力