【正文】 系統(tǒng)服務安全等級 定級指南－－ GB/T 222402023 保護對象受到破壞時受侵害的客體 對客體的侵害程度 一般損害 嚴重損害 特別嚴重損害 公民、法人和其他組織的合法權益 第一級 第二級 第二級 社會秩序、公共利益 第二級 第三級 第四級 國家安全 第三級 第四級 第五級 等級保護定級方法 保護對象 對客體的侵害程度 客體： 社會關系 受侵害的客體 信息系統(tǒng)安全 系統(tǒng)服務安全 業(yè)務信息安全 綜合評定對客體的侵害程度 確定業(yè)務信息安全受到破壞時所侵害的客體 綜合評定對客體的侵害程度 確定系統(tǒng)服務安全受到破壞時所侵害的客體 業(yè)務信息安全等級 定級對象的安全保護等級 8＝ MAX（ 4， 7） 確定定級對象 （系統(tǒng)邊界） 一般流程 等級確定 92 控制點 控制項 安全要求類 層面 一級 二級 三級 四級 一級 二級 三級 四級 技術要求 物理安全 7 10 10 10 9 19 32 33 網(wǎng)絡安全 3 6 7 7 9 18 33 32 主機安全 4 6 7 9 6 19 32 36 應用安全 4 7 9 11 7 19 31 36 數(shù)據(jù)安全及備份恢復 2 3 3 3 2 4 8 11 管理要求 安全管理制度 2 3 3 3 3 7 11 14 安全管理機構 4 5 5 5 4 9 20 20 人員安全管理 4 5 5 5 7 11 16 18 系統(tǒng)建設管理 9 9 11 11 20 28 45 48 系統(tǒng)運維管理 9 12 13 13 18 41 62 70 合計 / 48 66 73 77 85 175 290 318 級差 / / 18 7 4 / 90 115 28 基本要求－－ GB/T 222392023 93 實施指南－－ GB/T 250582023 等級變更 局部調(diào)整 信息系統(tǒng)定級 總體安全規(guī)劃 安全設計與實施 安全運行維護 信息系統(tǒng)終止 國家管理部門（ 4家） 信息系統(tǒng)主管部門 信息系統(tǒng)運營、使用單位 信息安全服務機構 信息安全等級測評機構 信息安全產(chǎn)品供應商 94 測評要求 GB/T 284482023 測評強度 信息系統(tǒng)安全等級 第一級 第二級 第三級 第四級 訪談 廣度 種類和數(shù)量上抽樣，種類和數(shù)量都較少 種類和數(shù)量上抽樣，種類和數(shù)量都較多 數(shù)量上抽樣，基本覆蓋 數(shù)量上抽樣，基本覆蓋 深度 簡要 充分 較全面 全面 檢查 廣度 種類和數(shù)量上抽樣，種類和數(shù)量都較少 種類和數(shù)量上抽樣，種類和數(shù)量都較多 數(shù)量上抽樣，基本覆蓋 數(shù)量上抽樣，基本覆蓋 深度 簡要 充分 較全面 全面 測試 廣度 種類和數(shù)量、范圍上抽樣，種類和數(shù)量都較少，范圍小 種類和數(shù)量、范圍上抽樣，種類和數(shù)量都較多 ,范圍大 數(shù)量、范圍上抽樣，基本覆蓋 數(shù)量、范圍上抽樣，基本覆蓋 深度 功能測試 /性能測試 功能測試 /性能測試 功能測試 /性能測試，滲透測試 功能測試 /性能測試，滲透測試 95 測評過程指南 GB/T 284492023 方案編制 測評準備 分析與報告編制 現(xiàn)場測評 項目啟動、信息收集和分析、工具和表單準備 測評對象確定、測評指標確定、測試工具接入點確定、測評內(nèi)容確定、測評實施手冊開發(fā)、測評方案編制 現(xiàn)場測評準備（一般包括：訪談、文檔審查、配置檢查、工具測試和實地察看）、現(xiàn)場測評和結果記錄、結果確認和資料歸還 單項測評結果判定、單元測評結果判定、整體測評、風險分析、等級測評結論形成、測評報告編制 96 文檔 RR 國際信息安全標準體系框架 97 國際信息安全標準體系 信息安全管理體系標準 密碼技術與安全機制 標準 安全評價準則 標準 安全控制與服務 標準 身份管理與隱私保護技術 標準 詞匯標準 要求標準 指南標準 相關標準 為實現(xiàn)保密性、完整性和可用性而開發(fā)的各種安全機制標準 安全評價標準 安全功能和保證規(guī)范 針對潛在 /顯現(xiàn)信息安全問題 的標準 針對 已知 信息安全問題的標準 針對信息安全違反和損害 的標準 身份管理相關標準 生物識別相關標準 隱私保護相關標準 ISO 27000 ISO 27001 ISO 27006 ISO 27002 ISO 27003 ISO 18033 ISO 19772 ... ISO 15408 ISO 18045 ... ISO 19790 ISO 24759 ... ISO 27032 ISO 27033 ISO 27037 ISO 24760 ISO 29144 ISO 29100 知識域：我國信息安全典型標準介紹 ?知識子域：基礎標準 ? 了解已發(fā)布的基礎標準及其適用范圍 ?知識子域：技術與機制標準 ? 了解已發(fā)布的技術與機制標準及其適用范圍 ?知識子域：管理標準 ? 了解已發(fā)布的管理標準及其適用范圍 98 知識域：我國信息安全典型標準介紹 ?知識子域：測評標準 ? 了解已發(fā)布的測評標準及其適用范圍 ? 了解 《 信息技術安全性評估準則 》 的結構 ? 理解相關概念（ TOE、 PP、 ST、 EAL） ? 了解 《 信息系統(tǒng)安全保障評估框架 》 的意義和結構 ?知識子域：密碼技術標準 ? 了解已發(fā)布的密碼技術標準及其適用范圍 99 基礎標準 ?GB/T 25069– 2023《 信息安全技術 術語 》 ? 定義 信息安全領域相關術語 ? 分為一般概念術語、信息安全技術術語、信息安全管理術語三類 ?GB/T 《信息技術 開放系統(tǒng)互連 基本參考模型 第 1部分：基本模型》 ? idt ISO/IEC 74981:1994 ?GB/T 《信息處理系統(tǒng) 開放系統(tǒng)互連 基本參考模型 第 2部分：安全體系結構》 ? idt ISO 74982:1989 ? 解決開放系統(tǒng)互聯(lián)中安全問題的一致性方法 100 技術與機制標準 ? GB/T 284552023《引入可信第三方的實體鑒別及接入架構規(guī)范》 ? 標識與鑒別標準 ? 提出一套適用于網(wǎng)絡訪問控制和身份管理，并具有普遍適用性的實體鑒別與安全接入的協(xié)議和結構 ? GB/T 284472023《電子認證服務機構運營管理規(guī)范》 ? 授權與訪問控制標準 ? 規(guī)定了電子認證服務機構在業(yè)務運營、認證系統(tǒng)運行、物理環(huán)境與設施安全、業(yè)務連續(xù)性、審計與改進等方面應遵循的要求 ? GB/T 210522023《信息系統(tǒng)物理安全技術要求》 ? 物理安全標準 ? 將 物理安全 按照 五個不同級別 分別描述要求 ? GB 《信息技術設備 安全 第 1部分：通用要求》 ? 物理安全標準 ? 旨在減小設備在安裝、操作和維修時的危險 101 管理標準 ?GB/T 220802023《信息安全管理體系 要求》 ? idt ISO/IEC 27001:2023 ? 為建立、實施、運行、監(jiān)視、評審、保持和改進 ISMS進行了規(guī)范 ?GB/Z 243642023《信息安全風險管理指南》 ? 規(guī)范信息安全風險管理的內(nèi)容和過程 ? 為信息系統(tǒng)生命周期不同階段的信息安全風險管理提供指導 ?GB/T 202822023《信息安全技術 信息系統(tǒng)安全工程管理要求》 ? 對信息系統(tǒng)安全工程中所涉及到的需求方、實施方與第三方工程實施的指導，各方可以此為依據(jù)建立安全工程管理體系 ? 按照 GB 178591999劃分的五個安全保護等級，規(guī)定了信息系統(tǒng)安全工程管理的不同要求 102 測評標準 ?GB/T18336《信息技術 安全技術 信息技術安全性評估準則》 ? 為 信息技術產(chǎn)品和系統(tǒng) 敵 安全功能及其保證措施 的 安全評估提出了 通用要求 ? 可 作為評估 IT產(chǎn)品和系統(tǒng)安全性的基礎準則 ? 適用于對于用戶、開發(fā)者和評估者 ?GB/T 20274《信息系統(tǒng)安全保障評估框架》 ? 用于 描述 和 評估信息系統(tǒng)安全保障內(nèi)容 、 能力的通用框架 ? 信息系統(tǒng)作為評估對象， 從技術、 管理、工程等 多個 方面 描述 103 GB/T18336《信息技術 安全技術 信息技術安全性評估準則》 ?分三部分 ? GB/《第 1部分：簡介和一般模型》 ? ISO/IEC 154081:2023 ? 定義了 IT安全性評估的一般概念和原理，并提出了評估的一般模型 ? GB/《第 2部分：安全功能要求》 ? ISO/IEC 154082:2023 ? 規(guī)定了一系列功能組件族和類，作為表達評估對象（ TOE）功能要求的標準方法 ? GB/《第 3部分：安全保證要求》 ? ISO/IEC 154083:2023 ? 規(guī)定了一系列保證組件族和類，作為表達 TOE保證要求的標準方法 ? 定義了保護輪廓（ PP）和安全目標（ ST）的評估準則，提出了評估保證級別（ Evaluation Assurance Level， EAL） 104 《 信息技術安全性評估準則 》 的發(fā)展 105 ITSEC 1991 CC 1996 ISO15408 1999 CC 1998 GB/T 18336 2023 CD 1997 GB 17859 1999 ISO15408 2023 TCSEC 1985 FC 1992 CTCPEC 1993 GB/T 18336 2023 FCD 1998 對 《 信息技術安全性評估準則 》 的理解 ?發(fā)展 ? 國際標準化組織統(tǒng)一現(xiàn)有多種準則的努力結果 ? 1999年正式成為國際標準 ISO/IEC 15408 ?特點 ? 定義了“保護輪廓”和“安全目標” ? 將評估過程分“功能”和“保證”兩部分 ? 基于風險管理理論，對安全模型、安全概念和安全功能進行了全面系統(tǒng)描繪，強化了保證 評估 ?優(yōu)點 ? 通用的表達方式，便于理解 ? 是目前最全面的評價準則 ? 一種評估方法，其評估結果國際互認 106 《 信息技術安全性評估準則 》 術語 —— TOE ?評估對象（ TOE） ? Target of Evaluation ? 評估對象（即被評估的產(chǎn)品或系統(tǒng)） ? 用于安全評估的信息技術產(chǎn)品、系統(tǒng)或子系統(tǒng)（如防火墻、計算機網(wǎng)絡、密碼模塊等），包括相關的管理員指南、用戶指南、設計方案等文檔 107 《 信息技術安全性評估準則 》 術語 —— PP ?保護輪廓（ PP） ? Protection Profile ? 為了滿足安全目標而提出的一整套相對應的功能和保證需求 ? 是滿足用戶需要的、與實現(xiàn)無關的安全需求 ? PP與某個具體的 TOE無關，它定義的是用戶對這類TOE的安全需求 ? 主要內(nèi)容：需保護的對象；確定安全環(huán)境； TOE的安全目的； IT安全要求；基本原理 ? 在標準體系中 PP相當于產(chǎn)品標準 ? 如： 《 包過濾防火墻安全技術要求 》 108 《 信息技術安全性評估準則 》 術語 —— ST ?安全目標（ ST） ? Security Target ? 針對具體 TOE而言，是某一款產(chǎn)品對某一 PP要求的具體實現(xiàn) ? 包括該 TOE的安全要求和用于滿足安全要求的特定安全功能和保證措施 ? ST包括的技術要求和保證措施可以直接引用該 TOE所屬產(chǎn)品或系統(tǒng)類的 PP ? ST相當于產(chǎn)品和系統(tǒng)的實現(xiàn)方案 109 TOE、 PP、 ST三者關系 TOE ? 產(chǎn)品或系統(tǒng)本身 ST ? 廠商聲稱提供的東西 PP ? 用戶想要的東西 110 《 信息技術安全性評估準則 》 術語 —— EAL ?評估保證級（ EAL） ? Evaluation Assurance Level ? 定義了劃分 TOE保證等級的預定義的評估尺度 ? 一個保證等級（ EAL）是評估保證要求的一個基線集合 —— 保證包 ? 每一評估保證級定義一套一致的保證要求，合起來構成一個預定義 CC保證級尺度 ? 定義了 7個遞增的評估保證等級（ EAL1～ EAL7 ） 111 密碼技術標準 ?GB/T 250562023《信息安全技術 證書認證系統(tǒng)密碼及其