【正文】 數(shù)據(jù)安全 安全管理機構(gòu) 安全管理制度 人員安全管理 系統(tǒng)建設(shè)管理 系統(tǒng)運維管理 24 各級系統(tǒng)安全保護要求 物理安全 控制點 一級 二級 三級 四級 物理位置的選擇 * * * 物理訪問控制 * * * * 防盜竊和防破壞 * * * * 防雷擊 * * * * 防火 * * * * 防水和防潮 * * * * 防靜電 * * * 溫濕度控制 * * * * 電力供應(yīng) * * * * 電磁防護 * * * 合計 7 10 10 10 25 各級系統(tǒng)安全保護要求 物理安全 一級物理安全要求 ：主要要求對物理環(huán)境進行基本的防護，對出入進行基本控制，環(huán)境安全能夠?qū)ψ匀煌{進行基本的防護，電力則要求提供供電電壓的正常。 三級物理安全要求 ：對出入加強了控制，做到人、電子設(shè)備共同監(jiān)控；物理環(huán)境方面，進一步采取各種控制措施來進行防護。 四級物理安全要求 ：對機房出入的要求進一步增強，要求多道電子設(shè)備監(jiān)控；物理環(huán)境方面，要求采用一定的防護設(shè)備進行防護，如靜電消除裝置等。 二級網(wǎng)絡(luò)安全要求 ：不僅要滿足網(wǎng)絡(luò)安全運行的基本保障，同時還要考慮網(wǎng)絡(luò)處理能力要滿足業(yè)務(wù)極限時的需要。同時，加強了網(wǎng)絡(luò)邊界的防護，增加了 安全審計、邊界完整性檢查、入侵防范 等控制點。 三級網(wǎng)絡(luò)安全要求 ：對網(wǎng)絡(luò)處理能力增加了“優(yōu)先級”考慮，保證重要主機能夠在網(wǎng)絡(luò)擁堵時仍能夠正常運行；網(wǎng)絡(luò)邊界的訪問控制擴展到應(yīng)用層，網(wǎng)絡(luò)邊界的其他防護措施進一步增強，不僅能夠被動的“防”，還應(yīng)能夠主動發(fā)出一些動作，如報警、阻斷等。 四級網(wǎng)絡(luò)安全要求 ：對網(wǎng)絡(luò)邊界的訪問控制做出了更為嚴格的要求，禁止遠程撥號訪問，不允許數(shù)據(jù)帶通用協(xié)議通過；邊界的其他防護措施也加強了要求。網(wǎng)絡(luò)設(shè)備的防護，在身份鑒別手段上除要求兩種技術(shù)外，其中一種鑒別技術(shù)必須是不可偽造的，進一步加強了對網(wǎng)絡(luò)設(shè)備的防護。（其中要求 發(fā)出報警、阻斷工作 ） 29 網(wǎng)絡(luò)安全程度說明 邊界完整性檢查： 2級檢測到內(nèi)部的非法聯(lián)出情況； 3級能夠 準確定位并阻斷 ； 4級同 3級 入侵防范 ： 2級能夠檢測常見攻擊的發(fā)生； 3級能發(fā)出報警； 4級自動采取相應(yīng) 動作阻斷 惡意代碼防范 ： 3級、 4級在網(wǎng)絡(luò)邊界處防范惡意代碼，并保持代碼庫的及時更新 網(wǎng)絡(luò)設(shè)備防護 ： 1級基本的登錄鑒別 ； 2級鑒別標識唯一、鑒別信息復(fù)雜 ； 3級兩種以上鑒別技術(shù)，特權(quán)用戶權(quán)限分離； 4級其中一種鑒別技術(shù)為是不可偽造的 30 各級系統(tǒng)安全保護要求 主機安全 控制點 一級 二級 三級 四級 身份鑒別 * * * * 安全標記 * 訪問控制 * * * * 可信路徑 * 安全審計 * * * 剩余信息保護 * * 入侵防范 * * * * 惡意代碼防范 * * * * 資源控制 * * * 合計 4 6 7 9 31 各級系統(tǒng)安全保護要求 主機安全 一級主機系統(tǒng)安全要求： 對主機進行基本的防護，要求主機做到簡單的身份鑒別，粗粒度的訪問控制以及重要主機能夠進行惡意代碼防范。同時，對身份鑒別和訪問控制都進一步加強，鑒別的標識、信息等都提出了具體的要求；訪問控制的粒度進行了細化等，惡意代碼增加了統(tǒng)一管理等。同樣，身份鑒別的力度進一步增強，要求兩種以上鑒別技術(shù)同時使用。對惡意代碼的防范綜合考慮網(wǎng)絡(luò)上的防范措施，做到二者相互補充。 四級主機系統(tǒng)安全要求 ：在控制點上增加了 安全標記和可信路徑 ，其他控制點在強度上也分別增強，如，身份鑒別要求使用不可偽造的鑒別技術(shù)，訪問控制要求部分按照強制訪問控制的力度實現(xiàn)，安全審計能夠做到統(tǒng)一集中審計等。 二級應(yīng)用安全要求： 在控制點上增加了 安全審計、通信保密性和資源控制 等。訪問控制的粒度進行了細化，對通信過程的完整性保護提出了特定的校驗碼技術(shù)。 三級應(yīng)用安全要求 ：在控制點上增加了 剩余信息保護和抗抵賴等 。對通信過程的完整性保護提出了特定的密碼技術(shù)。 四級應(yīng)用安全要求 ：在控制點上增加了 安全標記和可信路徑等 。 34 各級系統(tǒng)安全保護要求 數(shù)據(jù)安全及備份恢復(fù) 控制點 一級 二級 三級 四級 數(shù)據(jù)完整性 * * * * 數(shù)據(jù)保密性 * * * 備份和恢復(fù) * * * * 合計 2 3 3 3 35 各級系統(tǒng)安全保護要求 數(shù)據(jù)安全及備份恢復(fù) 一級數(shù)據(jù)安全及備份恢復(fù)要求 ：對數(shù)據(jù)完整性用戶數(shù)據(jù)在傳輸過程提出要求，能夠檢測出數(shù)據(jù)完整性受到破壞；同時能夠?qū)χ匾畔⑦M行備份。對數(shù)據(jù)保密性要求實現(xiàn)鑒別信息存儲保密性，數(shù)據(jù)備份增強，要求一定的硬件冗余。對數(shù)據(jù)保密性要求范圍擴大到實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)的傳輸和存儲的保密性，數(shù)據(jù)的備份不僅要求本地完全數(shù)據(jù)備份，還要求異地備份和冗余網(wǎng)絡(luò)拓撲。同時，備份方式增加了建立異地適時災(zāi)難備份中心，在災(zāi)難發(fā)生后系統(tǒng)能夠自動切換和恢復(fù)。 二級安全管理制度要求 ：在控制點上增加了 評審和修訂 ，管理制度增加了總體方針和安全策略，和對各類重要操作建立規(guī)程的要求，并且管理制度的制定和發(fā)布要求組織論證。對安全制度的評審和修訂要求領(lǐng)導(dǎo)小組的負責。 38 各級系統(tǒng)安全保護要求 安全管理機構(gòu) 安全管理，首先要建立一個健全、務(wù)實、有效、統(tǒng)一指揮、統(tǒng)一步調(diào)的完善的安全管理機構(gòu)，明確機構(gòu)成員的安全職責，這是信息安全管理得以實施、推廣的基礎(chǔ)。其主要工作內(nèi)容包括對機構(gòu)內(nèi)重要的信息安全工作進行授權(quán)和審批、內(nèi)部相關(guān)業(yè)務(wù)部門和安全管理部門之間的溝通協(xié)調(diào)以及與機構(gòu)外部各類單位的合作、定期對系統(tǒng)的安全措施落實情況進行檢查，以發(fā)現(xiàn)問題進行改進。 39 各級系統(tǒng)安全保護要求 安全管理機構(gòu) 控制點 一級 二級 三級 四級 崗位設(shè)置 * * * * 人員配備 * * * * 授權(quán)和審批 * * * * 溝通和合作 * * * * 審核和檢查 * * * 合計 4 5 5 5 40 各級系統(tǒng)安全保護要求 安全管理機構(gòu) 一級安全管理機構(gòu)要求 ：主