【文章內(nèi)容簡(jiǎn)介】 保護(hù) 基本要求 測(cè)評(píng) 補(bǔ)充的安全措施 GB178591999 通用技術(shù)要求 安全管理要求 高級(jí)別的基本要求 等級(jí)保護(hù)其他標(biāo)準(zhǔn) 安全方面相關(guān)標(biāo)準(zhǔn) 等等 基本保護(hù) 特殊需求 補(bǔ)充措施 二、 保護(hù)要求分級(jí)描述的主要思想 《基本要求》基本思路 不同級(jí)別 信息系統(tǒng) 重要程度不同 應(yīng)對(duì)不同威脅的能力 (威脅 \弱點(diǎn) ) 具有不同的安全保護(hù)能力 不同的基本要求 不同級(jí)別的安全保護(hù)能力要求 ? 第一級(jí)安全保護(hù)能力 – 應(yīng)能夠防護(hù)系統(tǒng)免受來(lái)自個(gè)人的、擁有很少資源（如利用公開(kāi)可獲取的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度弱、持續(xù)時(shí)間很短等）以及其他相當(dāng)危害程度的威脅（無(wú)意失誤、技術(shù)故障等）所造成的關(guān)鍵資源損害，在系統(tǒng)遭到損害后，能夠恢復(fù)部分功能。 ? 第二級(jí)安全保護(hù)能力 – 應(yīng)能夠防護(hù)系統(tǒng)免受來(lái)自外部小型組織的（如自發(fā)的三兩人組成的黑客組織）、擁有少量資源（如個(gè)別人員能力、公開(kāi)可獲或特定開(kāi)發(fā)的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度一般、持續(xù)時(shí)間短、覆蓋范圍小等）以及其他相當(dāng)危害程度的威脅（無(wú)意失誤、技術(shù)故障等）所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時(shí)間內(nèi)恢復(fù)部分功能。 不同級(jí)別的安全保護(hù)能力要求 ? 第三級(jí)安全保護(hù)能力 – 應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來(lái)自外部有組織的團(tuán)體（如一個(gè)商業(yè)情報(bào)組織或犯罪組織等），擁有較為豐富資源（包括人員能力、計(jì)算能力等）的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度較大、持續(xù)時(shí)間較長(zhǎng)、覆蓋范圍較廣等）以及其他相當(dāng)危害程度的威脅（內(nèi)部人員的惡意威脅、無(wú)意失誤、較嚴(yán)重的技術(shù)故障等）所造成的主要資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠較快恢復(fù)絕大部分功能。 ? 第四級(jí)安全保護(hù)能力 – 應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來(lái)自國(guó)家級(jí)別的、敵對(duì)組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度大、持續(xù)時(shí)間長(zhǎng)、覆蓋范圍廣等）以及其他相當(dāng)危害程度的威脅（內(nèi)部人員的惡意威脅、無(wú)意失誤、嚴(yán)重的技術(shù)故障等）所造成的資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠迅速恢復(fù)所有功能。 各個(gè)要素之間的關(guān)系 安全保護(hù)能力 基本安全要求 每個(gè)等級(jí)的信息系統(tǒng) 基本技術(shù)措施 基本管理措施 具備 包含 包含 滿(mǎn)足 滿(mǎn)足 實(shí)現(xiàn) 《基本要求》核心思路 某級(jí)系統(tǒng) 技術(shù)要求 管理要求 基本要求 建立安全技術(shù)體系 建立安全管理體系 具有某級(jí)安全保護(hù)能力的系統(tǒng) 各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀） ? 安全保護(hù)模型 PPDRR Protection防護(hù) Policy Detection 策略 檢測(cè) Response 響應(yīng) Recovery 恢復(fù) 各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀） 一級(jí)系統(tǒng) 二級(jí)系統(tǒng) 三級(jí)系統(tǒng) 四級(jí)系統(tǒng) 防護(hù) 防護(hù) /監(jiān)測(cè) 策略 /防護(hù) /監(jiān)測(cè) /恢復(fù) 策略 /防護(hù) /監(jiān)測(cè) /恢復(fù) /響應(yīng) 各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀） 成功的完成業(yè)務(wù) 信息保障 人 技術(shù) 操作 防御網(wǎng)絡(luò)與基礎(chǔ)設(shè)施 防御飛地邊界 防御計(jì)算環(huán)境 支撐性基礎(chǔ)設(shè)施 ?安全保護(hù)模型 IATF 各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀） 一級(jí)系統(tǒng) 二級(jí)系統(tǒng) 三級(jí)系統(tǒng) 四級(jí)系統(tǒng) 通信 /邊界（基本） 通信 /邊界 /內(nèi)部（關(guān)鍵設(shè)備） 通信 /邊界 /內(nèi)部（主要設(shè)備） 通信 /邊界 /內(nèi)部 /基礎(chǔ)設(shè)施（所有設(shè)備） 各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀） 一級(jí)系統(tǒng) 二級(jí)系統(tǒng) 三級(jí)系統(tǒng) 四級(jí)系統(tǒng) 計(jì)劃和跟蹤（主要制度） 計(jì)劃和跟蹤（主要制度） 良好定義（管理活動(dòng)制度化） 持續(xù)改進(jìn)（管理活動(dòng)制度化 /及時(shí)改進(jìn)） 各級(jí)系統(tǒng)的保護(hù)要求差異（微觀） 某級(jí)系統(tǒng) 物理安全 技術(shù)要求 管理要求 基本要求 網(wǎng)絡(luò)安全 主機(jī)安全 應(yīng)用安全 數(shù)據(jù)安全 安全管理機(jī)構(gòu) 安全管理制度 人員安全管理 系統(tǒng)建設(shè)管理 系統(tǒng)運(yùn)維管理 三、 各級(jí)系統(tǒng)保護(hù)的主要內(nèi)容 各級(jí)系統(tǒng)的安全保護(hù)的核心 某級(jí)系統(tǒng) 技術(shù)要求 管理要求 基本要求 建立安全技術(shù)體系 建立安全管理體系 具有某級(jí)安全保護(hù)能力的系統(tǒng) 基本要求的主要內(nèi)容 ? 由 9個(gè)章節(jié) 2個(gè)附錄構(gòu)成 – – – 3術(shù)語(yǔ)定義 – – 5. – 附錄 A 關(guān)于信息系統(tǒng)整體安全保護(hù)能力的要求 – 附錄 B 基本安全要求的選擇和使用 基本要求的組織方式 某級(jí)系統(tǒng) 類(lèi) 技術(shù)要求 管理要求 基本要求 類(lèi) 控制點(diǎn) 具體要求 控制點(diǎn) 具體要求 …… …… …… …… …… …… 基本要求 組織方式 某級(jí)系統(tǒng) 物理安全 技術(shù)要求 管理要求 基本要求 網(wǎng)絡(luò)安全 主機(jī)安全 應(yīng)用安全 數(shù)據(jù)安全 安全管理機(jī)構(gòu) 安全管理制度 人員安全管理 系統(tǒng)建設(shè)管理 系統(tǒng)運(yùn)維管理 基本要求 組織方式 物理位置選擇 物理安全 (四級(jí) ) 物理訪問(wèn)控制 防盜竊和防破壞 防雷擊 防火 防水和防潮 溫濕度控制 電力供應(yīng) 電磁防護(hù) 基本要求 組織方式 結(jié)構(gòu)安全和網(wǎng)段劃分 網(wǎng)絡(luò)安全 (四級(jí) ) 網(wǎng)絡(luò)訪問(wèn)控制 撥號(hào)訪問(wèn)控制 網(wǎng)絡(luò)安全審計(jì) 邊界完整性檢查 網(wǎng)絡(luò)入侵檢測(cè) 惡意代碼防護(hù) 網(wǎng)絡(luò)設(shè)備防護(hù) 基本要求 組織方式 身份鑒別 主機(jī)系統(tǒng)安全 (四級(jí) ) 自主訪問(wèn)控制 強(qiáng)制訪問(wèn)控制 可信路徑 安全審計(jì) 剩余信息保護(hù) 入侵防范 惡意代碼防范 系統(tǒng)資源控制 系統(tǒng)自我保護(hù) 基本要求 組織方式 身份鑒別 應(yīng)用安全 (四級(jí) ) 訪問(wèn)控制 通信完整性 通信保密性 安全審計(jì) 剩余信息保護(hù) 抗抵賴(lài) 軟件容錯(cuò) 資源控制 代碼安全 基本要求 組織方式 數(shù)據(jù)完整性 數(shù)據(jù)安全 (四級(jí) ) 數(shù)據(jù)保密性 安全備份 基本要求 組織方式 崗位設(shè)置 安全管理機(jī)構(gòu) (四級(jí) ) 人員配備 授權(quán)和審批 溝通與合作 審核和檢查 基本要求 組織方式 管理制度 安全管理制度 (四級(jí) ) 制訂和發(fā)布 評(píng)審和修訂 基本要求 組織方式 人員錄用 人員安全管理 (四級(jí) ) 人員離崗 人員考核 安全意識(shí)教育和培訓(xùn) 第三方人員訪問(wèn)管理 基本要求 組織方式 系統(tǒng)定級(jí) 系統(tǒng)建設(shè)管理 (四級(jí) ) 安全風(fēng)險(xiǎn)評(píng)估 安全方案設(shè)計(jì) 產(chǎn)品采購(gòu) 自行軟件開(kāi)發(fā) 外包軟件開(kāi)發(fā) 工程實(shí)施 測(cè)試驗(yàn)收 系統(tǒng)交付 安全服務(wù)商選擇 系統(tǒng)備案 基本要求 組織方式 環(huán)境管理 系統(tǒng)運(yùn)維管理 (四級(jí) ) 資產(chǎn)管理 設(shè)備管理 介質(zhì)管理 運(yùn)行維護(hù)和監(jiān)控管理 網(wǎng)絡(luò)安全管理 系統(tǒng)安全管理 惡意代碼防范管理 變更管理 密碼管理 系統(tǒng)備案 備份和恢復(fù)管理 安全事件處置 應(yīng)急計(jì)劃管理 基本要求標(biāo)注方式 ? 基本要求 – 技術(shù)要求 – 管理要求 ? 要求標(biāo)注 – 業(yè)務(wù)信息安全類(lèi)要求（標(biāo)記為 S類(lèi)） – 系統(tǒng)服務(wù)保證類(lèi)要求（標(biāo)記為 A類(lèi)） – 通用安全保護(hù)類(lèi)要求（標(biāo)記為 G類(lèi)） 三類(lèi)要求之間的關(guān)系 通用安全保護(hù)類(lèi)要求（ G） 業(yè)務(wù)信息安全類(lèi)（S） 系統(tǒng)服務(wù)保證類(lèi)（A 安全要求 基本要求的選擇和使用 ? 一個(gè) 3級(jí)系統(tǒng) ,定級(jí)結(jié)果為 S3A2，保護(hù)類(lèi)型應(yīng)該是 S3A2G3 ? 第 1步 : – 選擇標(biāo)準(zhǔn)中 3級(jí)基本要求的技術(shù)要求和管理要求 。 ? 第 2步 : – 要求中標(biāo)注為 S類(lèi)和 G類(lèi)的不變 。 – 標(biāo)注為 A類(lèi)的要求可以選用 2級(jí)基本要求中的 A類(lèi)作為基本要求 。 安全保護(hù)和系統(tǒng)定級(jí)的關(guān)系 安全等級(jí) 信息系統(tǒng)保護(hù)要求的組合 第一級(jí) S1A1G1 第二級(jí) S1A2G2， S2A2G2， S2A1G2 第三級(jí) S1A3G3， S2A3G3， S3A3G3， S3A2G3， S3A1G3 第四級(jí) S1A4G4， S2A4G4， S3A4G4， S4A4G4， S4A3G4，S4A2G4， S4A1G4 ? 定級(jí)指南要求按照“業(yè)務(wù)信息”和“系統(tǒng)服務(wù)”的需求確定整個(gè)系統(tǒng)的安全保護(hù)等級(jí) ? 定級(jí)過(guò)程反映了信息系統(tǒng)的保護(hù)要求 不同級(jí)別系統(tǒng)控制點(diǎn)的差異 安全要求類(lèi) 層面 一級(jí) 二級(jí) 三級(jí) 四級(jí) 技術(shù)要求 物理安全 7 10 10 10 網(wǎng)絡(luò)安全 3 6 7 7 主機(jī)安全 4 6 7 9 應(yīng)用安全 4 7 9 11 數(shù)據(jù)安全及備份恢復(fù) 2 3 3 3 管理要求 安全管理制度 2 3 3 3 安全管理機(jī)構(gòu) 4 5 5 5 人員安全管理 4 5 5 5 系統(tǒng)建設(shè)管理 9 9 11 11 系統(tǒng)運(yùn)維管理 9 12 13 13 合計(jì) / 48 66 73 77 級(jí)差 / / 18 7 4 不同級(jí)別系統(tǒng)要求項(xiàng)的差異 安全要求類(lèi) 層面 一級(jí) 二級(jí) 三級(jí) 四級(jí) 技術(shù)要求 物理安全 9 19 32 33 網(wǎng)絡(luò)安全 9 18 33 32 主機(jī)安全 6 19 32 36 應(yīng)用安全 7 19 31 36 數(shù)據(jù)安全及備份恢復(fù) 2 4 8 11 管理要求 安全管理制度 3 7 11 14 安全管理機(jī)構(gòu) 4 9 20 20 人員安全管理 7 11 16 18 系統(tǒng)建設(shè)管理 20 28 45 48 系統(tǒng)運(yùn)維管理 18 41 62 70 合計(jì) / 85 175 290 318 級(jí)差 / / 90 115 28 各級(jí)系統(tǒng)安全保護(hù)要求 物理安全 ? 物理安全主要涉及的方面包括環(huán)境安全（防火、防水、防雷擊等）設(shè)備和介質(zhì)的防盜竊防破壞等方面。 ? 具體包括： 物理位置的選擇、物理訪問(wèn)控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等十個(gè)控制點(diǎn)。 各級(jí)系統(tǒng)安全保護(hù)要求 物理安全 控制點(diǎn) 一級(jí) 二級(jí) 三級(jí) 四級(jí) 物理位置的選擇 * * * 物理訪問(wèn)控制 * * * * 防盜竊和防破壞 * * * * 防雷擊 * * * * 防火 * * * * 防水和防潮 * * * * 防靜電 * * * 溫濕度控制 * * * * 電力供應(yīng) * * * * 電磁防護(hù) * * * 合計(jì) 7 10 10 10 各級(jí)系統(tǒng)安全保護(hù)要求 物理安全 ? 一級(jí)物理安全要求 ：主要要求對(duì)物理環(huán)境進(jìn)行基本的防護(hù)，對(duì)出入進(jìn)行基本控制，環(huán)境安全能夠?qū)ψ匀煌{進(jìn)行基本的防護(hù)，電力則要求提供