【正文】 級保護(hù)基本要求 運(yùn)營、使用單位 （安全服務(wù)商） 安全保護(hù) 主管部門 （等級測評機(jī)構(gòu)） 測評檢查 《 基本要求 》 的作用 教育部教育管理信息中心信息安全測評部 湖北教育信息化發(fā)展中心 基本要求 — 第三部分 應(yīng)用范圍 ? 是系統(tǒng)安全保護(hù)、等級測評的一個基本“標(biāo)尺”，同樣級別的系統(tǒng)使用統(tǒng)一的“標(biāo)尺”來衡量，保證權(quán)威性，是一個達(dá)標(biāo)線； ? 每個級別的信息系統(tǒng)按照基本要求進(jìn)行保護(hù)后，信息系統(tǒng)具有相應(yīng)等級的基本安全保護(hù)能力，達(dá)到一種基本的安全狀態(tài)； ? 是每個級別信息系統(tǒng)進(jìn)行安全保護(hù)工作的一個基本出發(fā)點(diǎn)，更加貼切的保護(hù)可以通過需求分析對基本要求進(jìn)行補(bǔ)充，參考其他有關(guān)等級保護(hù)或安全方面的標(biāo)準(zhǔn)來實(shí)現(xiàn)。 。 教育部教育管理信息中心信息安全測評部 湖北教育信息化發(fā)展中心 基本要求 — 第二部分 概述 ? 第三級 應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自外部有組織的團(tuán)體（如一個商業(yè)情報組織或犯罪組織等），擁有較為豐富資源（包括人員能力、計算能力等）的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度較大、持續(xù)時間較長、覆蓋范圍較廣等）以及其他相當(dāng)危害程度的威脅（內(nèi)部人員的惡意威脅、無意失誤、較嚴(yán)重的技術(shù)故障等）所造成的主要資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠較快恢復(fù)絕大部分功能。 教育部教育管理信息中心信息安全測評部 湖北教育信息化發(fā)展中心 基本要求 — 第二部分 概述 ?不同等級的安全保護(hù)能力 ? 第一級 應(yīng)能夠防護(hù)系統(tǒng)免受來自個人的、擁有很少資源（如利用公開可獲取的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度弱、持續(xù)時間很短等）以及其他相當(dāng)危害程度的威脅（無意失誤、技術(shù)故障等）所造成的關(guān)鍵資源損害，在系統(tǒng)遭到損害后，能夠恢復(fù)部分功能。 教育部教育管理信息中心信息安全測評部 湖北教育信息化發(fā)展中心 基本要求 — 第二部分 概述 ?信息系統(tǒng)安全保護(hù)等級 信息系統(tǒng)根據(jù)其在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等，由低到高劃分成五級。 ? 9 可信路徑 當(dāng)連接用戶時（如注冊、更改主體安全級），計算機(jī)信息系統(tǒng)可信計算基提供它與用戶之間的可信通信路徑。在網(wǎng)絡(luò)環(huán)境中，使用完整性敏感標(biāo)記來確信信息在傳送中未受損。 并且 ， 如果這些與安全相關(guān)的事件繼續(xù)發(fā)生或積累 ， 系統(tǒng)應(yīng)以最小的代價中止它們 。 計算機(jī)信息系統(tǒng)可信計算基能夠?qū)徲嬂秒[蔽存儲信道時可能被使用的事件 。 對不能由計算機(jī)信息系統(tǒng)可信計算基獨(dú)立分辨的審計事件 ， 審計機(jī)制提供審計記錄接口 ， 可由授權(quán)主體調(diào)用 。 對于身份鑒別事件 ， 審計記錄包含請求的來源（ 例如：終端標(biāo)識符 ） ；對于客體引入用戶地址空間的事件及客體刪除事件 ，審計記錄包含客體名及客體的安全級別 。 計算機(jī)信息系統(tǒng)可信計算基能記錄下述事件：使用身份鑒別機(jī)制；將客體引入用戶地址空間 （ 例如：打開文件 、 程序初始化 ） ；刪除客體；由操作員 、 系統(tǒng)管理員或 （ 和 ） 系統(tǒng)安全管理員實(shí)施的動作 ， 以及其他與系統(tǒng)安全有關(guān)的事件 。 當(dāng)主體獲得對一個已被釋放的客體的訪問權(quán)時 ， 當(dāng)前主體不能獲得原主體活動所產(chǎn)生的任何信息 。計算機(jī)信息系統(tǒng)可信計算基還具備將身份標(biāo)識與該用戶所有可審計行為相關(guān)聯(lián)的能力。計算機(jī)信息系統(tǒng)可信計算基使用這些數(shù)據(jù)，鑒別用戶身份，并使用保護(hù)機(jī)制（例如：口令）來鑒別用戶的身份；阻止非授權(quán)用戶訪問用戶身份鑒別數(shù)據(jù)。為了輸入未加安全標(biāo)記的數(shù)據(jù)，計算機(jī)信息系統(tǒng)可信計算基向授權(quán)用戶要求并接受這些數(shù)據(jù)的安全級別，且可由計算機(jī)信息系統(tǒng)可信計算基審計。 教育部教育管理信息中心信息安全測評部 湖北教育信息化發(fā)展中心 基本要求 — 第一部分 標(biāo)準(zhǔn)術(shù)語與定義 ? 3 標(biāo)記 計算機(jī)信息系統(tǒng)可信計算基維護(hù)與可被外部主體直接或間接訪問到計算機(jī)信息系統(tǒng)資源（例如：主體、存儲客體、只讀存儲器）相關(guān)的敏感標(biāo)記。 計算機(jī)信息系統(tǒng)可信計算基外部的所有主體對客體的直接或間接的訪問應(yīng)滿足：僅當(dāng)主體安全級中的等級分類高于或等于客體安全級中的等級分類 ， 且主體安全級中的非等級類別包含了客體安全級中的全部非等級類別 ， 主體才能讀客體；僅當(dāng)主體安全級中的等級分類低于或等于客體安全級中的等級分類 ， 且主體安全級中的非等級類別包含于客體安全級中的非等級類別 ， 主體才能寫一個客體 。 為這些主體及客體指定敏感標(biāo)記 ， 這些標(biāo)記是等級分類和非等級類別的組合 ， 它們是實(shí)施強(qiáng)制訪問控制的依據(jù) 。 沒有存取權(quán)的用戶只允許由授權(quán)用戶指定對客體的訪問權(quán) 。 訪問控制的粒度是單個用戶 。 并控制訪問權(quán)限擴(kuò)散 。 教育部教育管理信息中心信息安全測評部 湖北教育信息化發(fā)展中心 基本要求 — 第一部分 標(biāo)準(zhǔn)術(shù)語與定義 ? 1 自主訪問控制 計算機(jī)信息系統(tǒng)可信計算基定義并控制系統(tǒng)中命名用戶對命名客體的訪問 。 隱蔽信道 covert channel ：允許進(jìn)程以危害系統(tǒng)安全策略的方式傳輸信息的通信信道。 安全策略 security policy ：有關(guān)管理、保護(hù)和發(fā)布敏感信息的法律、規(guī)定和實(shí)施細(xì)則。 主體 subject ：引起信息在客體之間流動的人、進(jìn)程或設(shè)備等。它建立了一個基本的保護(hù)環(huán)境并提供一個可信計算系統(tǒng)所要求的附加用戶服務(wù)。信息系統(tǒng)安全等級保護(hù)基本要求 湖北教育信息化發(fā)展中心 2023年 12月 教育部教育管理信息中心信息安全測評部 湖北教育信息化發(fā)展中心 信息系統(tǒng)安全等級保護(hù)基本要求 主要內(nèi)容 引言 第一部分：標(biāo)準(zhǔn)術(shù)語與定義 第二部分：基本要求概述 第三部分：基本要求的應(yīng)用范圍 第四部分：基本要求的主要內(nèi)容 第五部分：基本要求的分類與組合 第六部分：基本要求的級差 第七部分：基本要求的具體內(nèi)容 教育部教育管理信息中心信息安全測評部 湖北教育信息化發(fā)展中心 基本要求 — 引言 依據(jù)如下相關(guān)文件，制定（實(shí)施指南）標(biāo)準(zhǔn)： 《 中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例 》 國務(wù)院 147號令 《 國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見 》 中辦發(fā) [2023]27號 《 關(guān)于信息安全等級保護(hù)工作的實(shí)施意見 》 公通字 [2023]66號 《 信息安全等級保護(hù)管理辦法 》 公通字 [2023]43號 本標(biāo)準(zhǔn)是信息安全等級保護(hù)相關(guān)系列標(biāo)準(zhǔn)之一；相關(guān)的系列標(biāo)準(zhǔn)包括： 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)定級指南； （ GB/T222402023） 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求； （ GB/T222392023） 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則； （送審稿） 在對信息系統(tǒng)實(shí)施信息安全等級保護(hù)的過程中，除使用本標(biāo)準(zhǔn)外，在不同的階 段，還應(yīng)參照其他有關(guān)信息安全等級保護(hù)的標(biāo)準(zhǔn)開展工作，本課程將對信息系統(tǒng)安全等級保護(hù) 基本要求 的重點(diǎn)進(jìn)行講述。 教育部教育管理信息中心信息安全測評部 湖北教育信息化發(fā)展中心 基本要求 — 第一部分 標(biāo)準(zhǔn)術(shù)語與定義 計算機(jī)信息系統(tǒng)可信計算基 trusted puting base of puter information system ：計算機(jī)系統(tǒng)內(nèi)保護(hù)裝臵的總體，包括硬件、固件、軟件和負(fù)責(zé)執(zhí)行安全策略的組合體。 客體 object ：信息的載體。 敏感標(biāo)記 sensitivity label ：表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息，可信計算基中把敏感標(biāo)記作為強(qiáng)制訪問控制決策的依據(jù)。 信道 channel ：系統(tǒng)內(nèi)的信息傳輸路徑。 安全保護(hù)能力 security protection ability：系統(tǒng)能夠抵御威脅、發(fā)現(xiàn)安全事件