【正文】 付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)；b)　 系統(tǒng)交付（G1）本項(xiàng)要求包括：a)　 工程實(shí)施（G1）應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實(shí)施過(guò)程的管理。 應(yīng)確保軟件設(shè)計(jì)相關(guān)文檔由專人負(fù)責(zé)保管。 應(yīng)確保開(kāi)發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開(kāi)；b)　 自行軟件開(kāi)發(fā)（G1）本項(xiàng)要求包括：a) 應(yīng)對(duì)安全方案進(jìn)行細(xì)化，形成能指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采購(gòu)和使用的詳細(xì)設(shè)計(jì)方案。 應(yīng)以書面的形式描述對(duì)系統(tǒng)的安全保護(hù)要求和策略、安全措施等內(nèi)容，形成系統(tǒng)的安全方案；c) 應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等級(jí)選擇基本安全措施，依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施；b)　 安全方案設(shè)計(jì)（G1）本項(xiàng)要求包括：a)　 外部人員訪問(wèn)管理（G1）應(yīng)確保在外部人員訪問(wèn)受控區(qū)域前得到授權(quán)或?qū)徟?應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備。 應(yīng)立即終止由于各種原因離崗員工的所有訪問(wèn)權(quán)限；b)　 人員離崗（G1）本項(xiàng)要求包括：a)　 溝通和合作（G1）應(yīng)加強(qiáng)與兄弟單位、公安機(jī)關(guān)、電信公司的合作與溝通。　 人員配備（G1）應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等。 應(yīng)將安全管理制度以某種方式發(fā)布到相關(guān)人員手中。 應(yīng)指定或授權(quán)專門的人員負(fù)責(zé)安全管理制度的制定；b)　 制定和發(fā)布（G1）本項(xiàng)要求包括：a)　 備份和恢復(fù)（A1）應(yīng)能夠?qū)χ匾畔⑦M(jìn)行備份和恢復(fù)?！?軟件容錯(cuò)（A1）應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求。 應(yīng)由授權(quán)主體配置訪問(wèn)控制策略，并嚴(yán)格限制默認(rèn)用戶的訪問(wèn)權(quán)限。 應(yīng)提供訪問(wèn)控制功能控制用戶組/用戶對(duì)系統(tǒng)功能和用戶數(shù)據(jù)的訪問(wèn)；b)　 訪問(wèn)控制（S1）本項(xiàng)要求包括：a)　 惡意代碼防范（G1）應(yīng)安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù)。 應(yīng)及時(shí)刪除多余的、過(guò)期的帳戶，避免共享帳戶的存在。 應(yīng)限制默認(rèn)帳戶的訪問(wèn)權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令；c) 應(yīng)啟用訪問(wèn)控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪問(wèn)；b)　 訪問(wèn)控制（S1）本項(xiàng)要求包括：a) 當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)。 應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；c) 應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；b)　 網(wǎng)絡(luò)設(shè)備防護(hù)（G1）本項(xiàng)要求包括：a) 應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。 應(yīng)保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬滿足基本業(yè)務(wù)需要；c) 應(yīng)保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足基本業(yè)務(wù)需要；b)　 網(wǎng)絡(luò)安全　 結(jié)構(gòu)安全（G1）本項(xiàng)要求包括：a)　 溫濕度控制（G1）機(jī)房應(yīng)設(shè)置必要的溫、濕度控制設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)?！?防火（G1）機(jī)房應(yīng)設(shè)置滅火設(shè)備。 應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記。 應(yīng)將主要設(shè)備放置在機(jī)房?jī)?nèi)；b)　 防盜竊和防破壞（G1）本項(xiàng)要求包括：a)5　 第一級(jí)基本要求本標(biāo)準(zhǔn)中對(duì)基本安全要求使用了標(biāo)記，其中的字母表示安全要求的類型，數(shù)字表示適用的安全保護(hù)等級(jí)。對(duì)于涉及密碼的使用和管理，應(yīng)按照國(guó)家密碼管理的相關(guān)規(guī)定和標(biāo)準(zhǔn)實(shí)施。關(guān)于信息系統(tǒng)整體安全保護(hù)能力的說(shuō)明見(jiàn)附錄A。基 本安全要求從各個(gè)層面或方面提出了系統(tǒng)的每個(gè)組件應(yīng)該滿足的安全要求，信息系統(tǒng)具有的整體安全保護(hù)能力通過(guò)不同組件實(shí)現(xiàn)基本安全要求來(lái)保證。技術(shù)類安全要求與信息系統(tǒng)提供的技術(shù)安全機(jī)制有關(guān)，主要通過(guò)在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來(lái)實(shí)現(xiàn)；管理類安全要求與信息系統(tǒng)中各 種角色參與的活動(dòng)有關(guān)，主要通過(guò)控制各種角色的活動(dòng)，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來(lái)實(shí)現(xiàn)?！?基本技術(shù)要求和基本管理要求信息系統(tǒng)安全等級(jí)保護(hù)應(yīng)依據(jù)信息系統(tǒng)的安全保護(hù)等級(jí)情況保證它們具有相應(yīng)等級(jí)的基本安全保護(hù)能力，不同安全保護(hù)等級(jí)的信息系統(tǒng)要求具有不同的安全保護(hù)能力。第四級(jí)安全保護(hù)能力：應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來(lái)自國(guó)家級(jí)別的、敵對(duì)組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠迅速恢復(fù)所有功能。第二級(jí)安全保護(hù)能力：應(yīng)能夠防護(hù)系統(tǒng)免受來(lái)自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時(shí)間內(nèi)恢復(fù)部分功能。4　 信息系統(tǒng)安全等級(jí)保護(hù)概述　 信息系統(tǒng)安全保護(hù)等級(jí)信息系統(tǒng)根據(jù)其在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等，由低到高劃分為五級(jí)，五級(jí)定義見(jiàn)GB/T AAAAAAAA。　 GB/T 凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否使用這些文件的最新版本。信息系統(tǒng)安全等級(jí)保護(hù)基本要求1　 范圍本標(biāo)準(zhǔn)規(guī)定了不同安全保護(hù)等級(jí)信息系統(tǒng)的基本保護(hù)要求，包括基本技術(shù)要求和基本管理要求，適用于指導(dǎo)分等級(jí)的信息系統(tǒng)的安全建設(shè)和監(jiān)督管理。在本標(biāo)準(zhǔn)文本中，黑體字表示較低等級(jí)中沒(méi)有出現(xiàn)或增強(qiáng)的要求。其中GB178591999是基礎(chǔ)性標(biāo)準(zhǔn)，本標(biāo)準(zhǔn)、GB/T20269200GB/T20270200GB/T202712006等是在GB178591999基礎(chǔ)上的進(jìn)一步細(xì)化和擴(kuò)展。202702006 、GB/T202692006與本標(biāo)準(zhǔn)相關(guān)的系列標(biāo)準(zhǔn)包括：——GB/T AAAAAAAA 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南；——GB/T CCCCCCCC 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南。言依據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全 保護(hù)條例》（國(guó)務(wù)院147號(hào)令）、《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）、《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí) 施意見(jiàn)》（公通字[2004]66號(hào)）和《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)），制定本標(biāo)準(zhǔn)。藍(lán)色部分是操作系統(tǒng)安全等級(jí)劃分，紅色部分是四級(jí)操作系統(tǒng)關(guān)于網(wǎng)絡(luò)部分的要求:）《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB/T 222392008引本標(biāo)準(zhǔn)是信息安全等級(jí)保護(hù)相關(guān)系列標(biāo)準(zhǔn)之一。本標(biāo)準(zhǔn)與GB17859199GB/T、GB/T202712006 等標(biāo)準(zhǔn)共同構(gòu)成了信息系統(tǒng)安全等級(jí)保護(hù)的相關(guān)配套標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)在GB17859199GB/T20269200GB/T20270200GB/T202712006等技術(shù)類標(biāo)準(zhǔn)的基礎(chǔ)上，根據(jù)現(xiàn)有技術(shù)的發(fā)展水平，提出和規(guī)定了不同安全保護(hù)等級(jí)信息系統(tǒng)的最低保護(hù)要求，即基本安全要求，基本安全要求包括基本技術(shù)要求和基本管理要求，本標(biāo)準(zhǔn)適用于指導(dǎo)不同安全保護(hù)等級(jí)信息系統(tǒng)的安全建設(shè)和監(jiān)督管理。2　 規(guī)范性引用文件下列文件中的條款通過(guò)在本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是不注明日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。信息技術(shù) 詞匯 第8部分：安全GB178591999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB/T AAAAAAAA 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南3　 術(shù)語(yǔ)和定義GB/T 178591999確立的以及下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。安全保護(hù)能力 security protection ability系統(tǒng)能夠抵御威脅、發(fā)現(xiàn)安全事件以及在系統(tǒng)遭到損害后能夠恢復(fù)先前狀態(tài)等的程度?！?不同等級(jí)的安全保護(hù)能力不同等級(jí)的信息系統(tǒng)應(yīng)具備的基本安全保護(hù)能力如下：第一級(jí)安全保護(hù)能力：應(yīng)能夠防護(hù)系統(tǒng)免受來(lái)自個(gè)人的、擁有很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的關(guān)鍵資源損害，在系統(tǒng)遭到損害后，能夠恢復(fù)部分功能。第三級(jí)安全保護(hù)能力：應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來(lái)自外部有組織的團(tuán)體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的主要資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠較快恢復(fù)絕大部分功能。第五級(jí)安全保護(hù)能力：（略）。基 本安全要求是針對(duì)不同安全保護(hù)等級(jí)信息系統(tǒng)應(yīng)該具有的基本安全保護(hù)能力提出的安全要求，根據(jù)實(shí)現(xiàn)方式的不同，基本安全要求分為基本技術(shù)要求和基本管理要求 兩大類?；炯夹g(shù)要求從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全幾個(gè)層面提出；基本管理要求從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理幾個(gè)方面提出，基本技術(shù)要求和基本管理要求是確保信息系統(tǒng)安全不可分割的兩個(gè)部分。除了保證系統(tǒng) 的每個(gè)組件滿足基本安全要求外，還要考慮組件之間的相互關(guān)系，來(lái)保證信息系統(tǒng)的整體安全保護(hù)能力。對(duì)于涉及國(guó)家秘密的信息系統(tǒng)，應(yīng)按照國(guó)家保密工作部門的相關(guān)規(guī)定和標(biāo)準(zhǔn)進(jìn)行保護(hù)?！?基本技術(shù)要求的三種類型根據(jù)保護(hù)側(cè)重點(diǎn)的不同，技術(shù)類安全要求進(jìn)一步細(xì)分為：保護(hù)數(shù)據(jù)在存儲(chǔ)、傳輸、處理過(guò)程中不被泄漏、破壞和免受未授權(quán)的修改的信息安全類要求（簡(jiǎn)記為S）；保護(hù)系統(tǒng)連續(xù)正常的運(yùn)行，免受對(duì)系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用的服務(wù)保證類要求（簡(jiǎn)記為A）；通用安全保護(hù)類要求（簡(jiǎn)記為G）。關(guān)于各類安全要求的選擇和使用見(jiàn)附錄B?！?技術(shù)要求　 物理安全　 物理訪問(wèn)控制（G1）機(jī)房出入應(yīng)安排專人負(fù)責(zé)，控制、鑒別和記錄進(jìn)入的人員?！?防雷擊（G1）機(jī)房建筑應(yīng)設(shè)置避雷裝置?！?防水和防潮（G1）本項(xiàng)要求包括：a) 應(yīng)對(duì)穿過(guò)機(jī)房墻壁和樓板的水管增加必要的保護(hù)措施；b) 應(yīng)采取措施防止雨水通過(guò)機(jī)房窗戶、屋頂和墻壁滲透。　 電力供應(yīng)（A1）應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備?！?訪問(wèn)控制（G1）本項(xiàng)要求包括：a) 應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能；b) 應(yīng)根據(jù)訪問(wèn)控制列表對(duì)源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒絕數(shù)據(jù)包出入；c) 應(yīng)通過(guò)訪問(wèn)控制列表對(duì)系統(tǒng)資源實(shí)現(xiàn)允許或拒絕用戶訪問(wèn)，控制粒度至少為用戶組?！?主機(jī)安全　 身份鑒別（S1）應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別?！?入侵防范（G1）操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并保持系統(tǒng)補(bǔ)丁及時(shí)得到更新?！?應(yīng)用安全　 身份鑒別（S1）本項(xiàng)要求包括：a) 應(yīng)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別；b) 應(yīng)提供登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；c) 應(yīng)啟用身份鑒別和登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。　 通信完整性（S1）應(yīng)采用約定通信會(huì)話方式的方法保證通信過(guò)程中數(shù)據(jù)的完整性?！?數(shù)據(jù)安全及備份恢復(fù)　 數(shù)據(jù)完整性（S1）應(yīng)能夠檢測(cè)到重要用戶數(shù)據(jù)在傳輸過(guò)程中完整性受到破壞?！?管理要求　 安全管理制度　 管理制度（G1）應(yīng)建立日常管理活動(dòng)中常用的安全管理制度?！?安全管理機(jī)構(gòu)　 崗位設(shè)置（G1）應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個(gè)工作崗位的職責(zé)?！?授權(quán)和審批（G1）應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批部門及批準(zhǔn)人，對(duì)系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問(wèn)等關(guān)鍵活動(dòng)進(jìn)行審批?！?人員安全管理　 人員錄用（G1）本項(xiàng)要求包括：a) 應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用；b) 應(yīng)對(duì)被錄用人員的身份和專業(yè)資格等進(jìn)行審查，并確保其具有基本的專業(yè)技術(shù)水平和安全管理知識(shí)?！?安全意識(shí)教育和培訓(xùn)（G1）本項(xiàng)要求包括：a) 應(yīng)對(duì)各類人員進(jìn)行安全意識(shí)教育和崗位技能培訓(xùn)；b) 應(yīng)告知人員相關(guān)的安全責(zé)任和懲戒措施?！?系統(tǒng)建設(shè)管理　 系統(tǒng)定級(jí)（G1）本項(xiàng)要求包括：a) 應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)；b) 應(yīng)以書面的形式說(shuō)明信息系統(tǒng)確定為某個(gè)安全保護(hù)等級(jí)的方法和理由；c) 應(yīng)確保信息系統(tǒng)的定級(jí)結(jié)果經(jīng)過(guò)相關(guān)部門的批準(zhǔn)?！?產(chǎn)品采購(gòu)和使用（G1）應(yīng)確保安全產(chǎn)品采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定。　 外包軟件開(kāi)發(fā)（G1）本項(xiàng)要求包括：a) 應(yīng)根據(jù)開(kāi)發(fā)要求檢測(cè)軟件質(zhì)量；b) 應(yīng)在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼；c) 應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南。　 測(cè)試驗(yàn)收（G1）本項(xiàng)要求包括：a) 應(yīng)對(duì)系統(tǒng)進(jìn)行安全性測(cè)試驗(yàn)收；b) 在測(cè)試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制訂測(cè)試驗(yàn)收方案，在測(cè)試驗(yàn)收過(guò)程中應(yīng)詳細(xì)記錄測(cè)試驗(yàn)收結(jié)果，并形成測(cè)試驗(yàn)收?qǐng)?bào)告?！?安全服務(wù)商選擇（G1）本項(xiàng)要求包括：a) 應(yīng)確保安全服務(wù)商的選擇符合國(guó)家的有關(guān)規(guī)定；b) 應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任?！?資產(chǎn)管理（G1）應(yīng)編制與信息系統(tǒng)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容?！?設(shè)備管理（G1）本項(xiàng)要求包括：a) 應(yīng)對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備、線路等指定專門的部門或人員定期進(jìn)行維護(hù)管理；b) 應(yīng)建立基于申報(bào)、審批和專人負(fù)責(zé)的設(shè)備安全管理制度，對(duì)信息系統(tǒng)的各種軟硬件設(shè)