【正文】 系統(tǒng)服務(wù)安全等級(jí) 定級(jí)指南－－ GB/T 222402023 保護(hù)對(duì)象受到破壞時(shí)受侵害的客體 對(duì)客體的侵害程度 一般損害 嚴(yán)重?fù)p害 特別嚴(yán)重?fù)p害 公民、法人和其他組織的合法權(quán)益 第一級(jí) 第二級(jí) 第二級(jí) 社會(huì)秩序、公共利益 第二級(jí) 第三級(jí) 第四級(jí) 國家安全 第三級(jí) 第四級(jí) 第五級(jí) 等級(jí)保護(hù)定級(jí)方法 保護(hù)對(duì)象 對(duì)客體的侵害程度 客體： 社會(huì)關(guān)系 受侵害的客體 信息系統(tǒng)安全 系統(tǒng)服務(wù)安全 業(yè)務(wù)信息安全 綜合評(píng)定對(duì)客體的侵害程度 確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體 綜合評(píng)定對(duì)客體的侵害程度 確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體 業(yè)務(wù)信息安全等級(jí) 定級(jí)對(duì)象的安全保護(hù)等級(jí) 8＝ MAX（ 4， 7） 確定定級(jí)對(duì)象 （系統(tǒng)邊界） 一般流程 等級(jí)確定 92 控制點(diǎn) 控制項(xiàng) 安全要求類 層面 一級(jí) 二級(jí) 三級(jí) 四級(jí) 一級(jí) 二級(jí) 三級(jí) 四級(jí) 技術(shù)要求 物理安全 7 10 10 10 9 19 32 33 網(wǎng)絡(luò)安全 3 6 7 7 9 18 33 32 主機(jī)安全 4 6 7 9 6 19 32 36 應(yīng)用安全 4 7 9 11 7 19 31 36 數(shù)據(jù)安全及備份恢復(fù) 2 3 3 3 2 4 8 11 管理要求 安全管理制度 2 3 3 3 3 7 11 14 安全管理機(jī)構(gòu) 4 5 5 5 4 9 20 20 人員安全管理 4 5 5 5 7 11 16 18 系統(tǒng)建設(shè)管理 9 9 11 11 20 28 45 48 系統(tǒng)運(yùn)維管理 9 12 13 13 18 41 62 70 合計(jì) / 48 66 73 77 85 175 290 318 級(jí)差 / / 18 7 4 / 90 115 28 基本要求－－ GB/T 222392023 93 實(shí)施指南－－ GB/T 250582023 等級(jí)變更 局部調(diào)整 信息系統(tǒng)定級(jí) 總體安全規(guī)劃 安全設(shè)計(jì)與實(shí)施 安全運(yùn)行維護(hù) 信息系統(tǒng)終止 國家管理部門（ 4家） 信息系統(tǒng)主管部門 信息系統(tǒng)運(yùn)營、使用單位 信息安全服務(wù)機(jī)構(gòu) 信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu) 信息安全產(chǎn)品供應(yīng)商 94 測(cè)評(píng)要求 GB/T 284482023 測(cè)評(píng)強(qiáng)度 信息系統(tǒng)安全等級(jí) 第一級(jí) 第二級(jí) 第三級(jí) 第四級(jí) 訪談 廣度 種類和數(shù)量上抽樣，種類和數(shù)量都較少 種類和數(shù)量上抽樣，種類和數(shù)量都較多 數(shù)量上抽樣，基本覆蓋 數(shù)量上抽樣，基本覆蓋 深度 簡要 充分 較全面 全面 檢查 廣度 種類和數(shù)量上抽樣，種類和數(shù)量都較少 種類和數(shù)量上抽樣，種類和數(shù)量都較多 數(shù)量上抽樣，基本覆蓋 數(shù)量上抽樣，基本覆蓋 深度 簡要 充分 較全面 全面 測(cè)試 廣度 種類和數(shù)量、范圍上抽樣，種類和數(shù)量都較少，范圍小 種類和數(shù)量、范圍上抽樣，種類和數(shù)量都較多 ,范圍大 數(shù)量、范圍上抽樣，基本覆蓋 數(shù)量、范圍上抽樣，基本覆蓋 深度 功能測(cè)試 /性能測(cè)試 功能測(cè)試 /性能測(cè)試 功能測(cè)試 /性能測(cè)試，滲透測(cè)試 功能測(cè)試 /性能測(cè)試，滲透測(cè)試 95 測(cè)評(píng)過程指南 GB/T 284492023 方案編制 測(cè)評(píng)準(zhǔn)備 分析與報(bào)告編制 現(xiàn)場(chǎng)測(cè)評(píng) 項(xiàng)目啟動(dòng)、信息收集和分析、工具和表單準(zhǔn)備 測(cè)評(píng)對(duì)象確定、測(cè)評(píng)指標(biāo)確定、測(cè)試工具接入點(diǎn)確定、測(cè)評(píng)內(nèi)容確定、測(cè)評(píng)實(shí)施手冊(cè)開發(fā)、測(cè)評(píng)方案編制 現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備（一般包括：訪談、文檔審查、配置檢查、工具測(cè)試和實(shí)地察看）、現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄、結(jié)果確認(rèn)和資料歸還 單項(xiàng)測(cè)評(píng)結(jié)果判定、單元測(cè)評(píng)結(jié)果判定、整體測(cè)評(píng)、風(fēng)險(xiǎn)分析、等級(jí)測(cè)評(píng)結(jié)論形成、測(cè)評(píng)報(bào)告編制 96 文檔 RR 國際信息安全標(biāo)準(zhǔn)體系框架 97 國際信息安全標(biāo)準(zhǔn)體系 信息安全管理體系標(biāo)準(zhǔn) 密碼技術(shù)與安全機(jī)制 標(biāo)準(zhǔn) 安全評(píng)價(jià)準(zhǔn)則 標(biāo)準(zhǔn) 安全控制與服務(wù) 標(biāo)準(zhǔn) 身份管理與隱私保護(hù)技術(shù) 標(biāo)準(zhǔn) 詞匯標(biāo)準(zhǔn) 要求標(biāo)準(zhǔn) 指南標(biāo)準(zhǔn) 相關(guān)標(biāo)準(zhǔn) 為實(shí)現(xiàn)保密性、完整性和可用性而開發(fā)的各種安全機(jī)制標(biāo)準(zhǔn) 安全評(píng)價(jià)標(biāo)準(zhǔn) 安全功能和保證規(guī)范 針對(duì)潛在 /顯現(xiàn)信息安全問題 的標(biāo)準(zhǔn) 針對(duì) 已知 信息安全問題的標(biāo)準(zhǔn) 針對(duì)信息安全違反和損害 的標(biāo)準(zhǔn) 身份管理相關(guān)標(biāo)準(zhǔn) 生物識(shí)別相關(guān)標(biāo)準(zhǔn) 隱私保護(hù)相關(guān)標(biāo)準(zhǔn) ISO 27000 ISO 27001 ISO 27006 ISO 27002 ISO 27003 ISO 18033 ISO 19772 ... ISO 15408 ISO 18045 ... ISO 19790 ISO 24759 ... ISO 27032 ISO 27033 ISO 27037 ISO 24760 ISO 29144 ISO 29100 知識(shí)域：我國信息安全典型標(biāo)準(zhǔn)介紹 ?知識(shí)子域：基礎(chǔ)標(biāo)準(zhǔn) ? 了解已發(fā)布的基礎(chǔ)標(biāo)準(zhǔn)及其適用范圍 ?知識(shí)子域：技術(shù)與機(jī)制標(biāo)準(zhǔn) ? 了解已發(fā)布的技術(shù)與機(jī)制標(biāo)準(zhǔn)及其適用范圍 ?知識(shí)子域：管理標(biāo)準(zhǔn) ? 了解已發(fā)布的管理標(biāo)準(zhǔn)及其適用范圍 98 知識(shí)域：我國信息安全典型標(biāo)準(zhǔn)介紹 ?知識(shí)子域：測(cè)評(píng)標(biāo)準(zhǔn) ? 了解已發(fā)布的測(cè)評(píng)標(biāo)準(zhǔn)及其適用范圍 ? 了解 《 信息技術(shù)安全性評(píng)估準(zhǔn)則 》 的結(jié)構(gòu) ? 理解相關(guān)概念（ TOE、 PP、 ST、 EAL） ? 了解 《 信息系統(tǒng)安全保障評(píng)估框架 》 的意義和結(jié)構(gòu) ?知識(shí)子域：密碼技術(shù)標(biāo)準(zhǔn) ? 了解已發(fā)布的密碼技術(shù)標(biāo)準(zhǔn)及其適用范圍 99 基礎(chǔ)標(biāo)準(zhǔn) ?GB/T 25069– 2023《 信息安全技術(shù) 術(shù)語 》 ? 定義 信息安全領(lǐng)域相關(guān)術(shù)語 ? 分為一般概念術(shù)語、信息安全技術(shù)術(shù)語、信息安全管理術(shù)語三類 ?GB/T 《信息技術(shù) 開放系統(tǒng)互連 基本參考模型 第 1部分：基本模型》 ? idt ISO/IEC 74981:1994 ?GB/T 《信息處理系統(tǒng) 開放系統(tǒng)互連 基本參考模型 第 2部分：安全體系結(jié)構(gòu)》 ? idt ISO 74982:1989 ? 解決開放系統(tǒng)互聯(lián)中安全問題的一致性方法 100 技術(shù)與機(jī)制標(biāo)準(zhǔn) ? GB/T 284552023《引入可信第三方的實(shí)體鑒別及接入架構(gòu)規(guī)范》 ? 標(biāo)識(shí)與鑒別標(biāo)準(zhǔn) ? 提出一套適用于網(wǎng)絡(luò)訪問控制和身份管理，并具有普遍適用性的實(shí)體鑒別與安全接入的協(xié)議和結(jié)構(gòu) ? GB/T 284472023《電子認(rèn)證服務(wù)機(jī)構(gòu)運(yùn)營管理規(guī)范》 ? 授權(quán)與訪問控制標(biāo)準(zhǔn) ? 規(guī)定了電子認(rèn)證服務(wù)機(jī)構(gòu)在業(yè)務(wù)運(yùn)營、認(rèn)證系統(tǒng)運(yùn)行、物理環(huán)境與設(shè)施安全、業(yè)務(wù)連續(xù)性、審計(jì)與改進(jìn)等方面應(yīng)遵循的要求 ? GB/T 210522023《信息系統(tǒng)物理安全技術(shù)要求》 ? 物理安全標(biāo)準(zhǔn) ? 將 物理安全 按照 五個(gè)不同級(jí)別 分別描述要求 ? GB 《信息技術(shù)設(shè)備 安全 第 1部分：通用要求》 ? 物理安全標(biāo)準(zhǔn) ? 旨在減小設(shè)備在安裝、操作和維修時(shí)的危險(xiǎn) 101 管理標(biāo)準(zhǔn) ?GB/T 220802023《信息安全管理體系 要求》 ? idt ISO/IEC 27001:2023 ? 為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn) ISMS進(jìn)行了規(guī)范 ?GB/Z 243642023《信息安全風(fēng)險(xiǎn)管理指南》 ? 規(guī)范信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程 ? 為信息系統(tǒng)生命周期不同階段的信息安全風(fēng)險(xiǎn)管理提供指導(dǎo) ?GB/T 202822023《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求》 ? 對(duì)信息系統(tǒng)安全工程中所涉及到的需求方、實(shí)施方與第三方工程實(shí)施的指導(dǎo)，各方可以此為依據(jù)建立安全工程管理體系 ? 按照 GB 178591999劃分的五個(gè)安全保護(hù)等級(jí)，規(guī)定了信息系統(tǒng)安全工程管理的不同要求 102 測(cè)評(píng)標(biāo)準(zhǔn) ?GB/T18336《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則》 ? 為 信息技術(shù)產(chǎn)品和系統(tǒng) 敵 安全功能及其保證措施 的 安全評(píng)估提出了 通用要求 ? 可 作為評(píng)估 IT產(chǎn)品和系統(tǒng)安全性的基礎(chǔ)準(zhǔn)則 ? 適用于對(duì)于用戶、開發(fā)者和評(píng)估者 ?GB/T 20274《信息系統(tǒng)安全保障評(píng)估框架》 ? 用于 描述 和 評(píng)估信息系統(tǒng)安全保障內(nèi)容 、 能力的通用框架 ? 信息系統(tǒng)作為評(píng)估對(duì)象， 從技術(shù)、 管理、工程等 多個(gè) 方面 描述 103 GB/T18336《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則》 ?分三部分 ? GB/《第 1部分：簡介和一般模型》 ? ISO/IEC 154081:2023 ? 定義了 IT安全性評(píng)估的一般概念和原理，并提出了評(píng)估的一般模型 ? GB/《第 2部分：安全功能要求》 ? ISO/IEC 154082:2023 ? 規(guī)定了一系列功能組件族和類，作為表達(dá)評(píng)估對(duì)象（ TOE）功能要求的標(biāo)準(zhǔn)方法 ? GB/《第 3部分：安全保證要求》 ? ISO/IEC 154083:2023 ? 規(guī)定了一系列保證組件族和類，作為表達(dá) TOE保證要求的標(biāo)準(zhǔn)方法 ? 定義了保護(hù)輪廓（ PP）和安全目標(biāo)（ ST）的評(píng)估準(zhǔn)則，提出了評(píng)估保證級(jí)別（ Evaluation Assurance Level， EAL） 104 《 信息技術(shù)安全性評(píng)估準(zhǔn)則 》 的發(fā)展 105 ITSEC 1991 CC 1996 ISO15408 1999 CC 1998 GB/T 18336 2023 CD 1997 GB 17859 1999 ISO15408 2023 TCSEC 1985 FC 1992 CTCPEC 1993 GB/T 18336 2023 FCD 1998 對(duì) 《 信息技術(shù)安全性評(píng)估準(zhǔn)則 》 的理解 ?發(fā)展 ? 國際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)則的努力結(jié)果 ? 1999年正式成為國際標(biāo)準(zhǔn) ISO/IEC 15408 ?特點(diǎn) ? 定義了“保護(hù)輪廓”和“安全目標(biāo)” ? 將評(píng)估過程分“功能”和“保證”兩部分 ? 基于風(fēng)險(xiǎn)管理理論，對(duì)安全模型、安全概念和安全功能進(jìn)行了全面系統(tǒng)描繪，強(qiáng)化了保證 評(píng)估 ?優(yōu)點(diǎn) ? 通用的表達(dá)方式，便于理解 ? 是目前最全面的評(píng)價(jià)準(zhǔn)則 ? 一種評(píng)估方法，其評(píng)估結(jié)果國際互認(rèn) 106 《 信息技術(shù)安全性評(píng)估準(zhǔn)則 》 術(shù)語 —— TOE ?評(píng)估對(duì)象（ TOE） ? Target of Evaluation ? 評(píng)估對(duì)象（即被評(píng)估的產(chǎn)品或系統(tǒng)） ? 用于安全評(píng)估的信息技術(shù)產(chǎn)品、系統(tǒng)或子系統(tǒng)（如防火墻、計(jì)算機(jī)網(wǎng)絡(luò)、密碼模塊等），包括相關(guān)的管理員指南、用戶指南、設(shè)計(jì)方案等文檔 107 《 信息技術(shù)安全性評(píng)估準(zhǔn)則 》 術(shù)語 —— PP ?保護(hù)輪廓（ PP） ? Protection Profile ? 為了滿足安全目標(biāo)而提出的一整套相對(duì)應(yīng)的功能和保證需求 ? 是滿足用戶需要的、與實(shí)現(xiàn)無關(guān)的安全需求 ? PP與某個(gè)具體的 TOE無關(guān)，它定義的是用戶對(duì)這類TOE的安全需求 ? 主要內(nèi)容：需保護(hù)的對(duì)象；確定安全環(huán)境； TOE的安全目的； IT安全要求；基本原理 ? 在標(biāo)準(zhǔn)體系中 PP相當(dāng)于產(chǎn)品標(biāo)準(zhǔn) ? 如： 《 包過濾防火墻安全技術(shù)要求 》 108 《 信息技術(shù)安全性評(píng)估準(zhǔn)則 》 術(shù)語 —— ST ?安全目標(biāo)（ ST） ? Security Target ? 針對(duì)具體 TOE而言，是某一款產(chǎn)品對(duì)某一 PP要求的具體實(shí)現(xiàn) ? 包括該 TOE的安全要求和用于滿足安全要求的特定安全功能和保證措施 ? ST包括的技術(shù)要求和保證措施可以直接引用該 TOE所屬產(chǎn)品或系統(tǒng)類的 PP ? ST相當(dāng)于產(chǎn)品和系統(tǒng)的實(shí)現(xiàn)方案 109 TOE、 PP、 ST三者關(guān)系 TOE ? 產(chǎn)品或系統(tǒng)本身 ST ? 廠商聲稱提供的東西 PP ? 用戶想要的東西 110 《 信息技術(shù)安全性評(píng)估準(zhǔn)則 》 術(shù)語 —— EAL ?評(píng)估保證級(jí)（ EAL） ? Evaluation Assurance Level ? 定義了劃分 TOE保證等級(jí)的預(yù)定義的評(píng)估尺度 ? 一個(gè)保證等級(jí)（ EAL）是評(píng)估保證要求的一個(gè)基線集合 —— 保證包 ? 每一評(píng)估保證級(jí)定義一套一致的保證要求，合起來構(gòu)成一個(gè)預(yù)定義 CC保證級(jí)尺度 ? 定義了 7個(gè)遞增的評(píng)估保證等級(jí)（ EAL1～ EAL7 ） 111 密碼技術(shù)標(biāo)準(zhǔn) ?GB/T 250562023《信息安全技術(shù) 證書認(rèn)證系統(tǒng)密碼及其