【正文】 ematics Services 內(nèi)容采集商 內(nèi)容整合商 終端廠商 通信運營商 Telematics 服務(wù)提供商 汽車廠商 客戶 Telematics發(fā)展 《信息系統(tǒng)安全等級保護(hù)基本要求》 使用介紹 公安部信息安全等級保護(hù)評估中心 馬力 目錄 ? 使用時機和主要作用 ? 保護(hù)要求分級描述的主要思想 ? 各級系統(tǒng)保護(hù)的主要內(nèi)容 ? 一、使用時機和主要作用 《管理辦法》”等級劃分和保護(hù)“第八條 ? 信息系統(tǒng)運營、使用單位依據(jù) 本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn) 對信息系統(tǒng)進(jìn)行保護(hù)，國家有關(guān)信息安全職能部門對其信息安全等級保護(hù)工作進(jìn)行監(jiān)督管理。 《管理辦法》”等級保護(hù)的實施與管理“第十三條 ? 運營、使用單位應(yīng)當(dāng) 參照 《信息安全技術(shù)信息系統(tǒng)安全管理要求》（ GB/T202692023）、《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》（ GB/T202822023）、《信息系統(tǒng)安全等級保護(hù)基本要求》等管理規(guī)范，制定并落實符合本系統(tǒng)安全保護(hù)等級要求的 安全管理制度 。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級測評，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級測評。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行自查。 技術(shù)標(biāo)準(zhǔn)和管理規(guī)范的作用 技術(shù)標(biāo)準(zhǔn)和管理規(guī)范 信息系統(tǒng)定級 信息系統(tǒng)安全建設(shè)或改建 安全狀況達(dá)到等級保護(hù)要求的信息系統(tǒng) 涉及的管理規(guī)范和技術(shù)標(biāo)準(zhǔn) ? 《信息安全等級保護(hù)管理辦法》公通字 [2023]43號 ? 《計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（ GB178591999） ? 《信息安全等級保護(hù)實施指南》 ? 《信息安全等級保護(hù)定級指南》 ? 《信息安全等級保護(hù)基本要求》 ? 《信息安全等級保護(hù)測評要求》 ? 《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（ GB/T202702023） ? 《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》GB/T202712023） ? 《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》（ GB/T202722023） ? 《信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（ GB/T202732023） 涉及的管理規(guī)范和技術(shù)標(biāo)準(zhǔn) ? 《信息安全技術(shù) 信息系統(tǒng)安全管理要求》（ GB/T202692023） ? 《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求》（ GB/T202822023） ? 《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求》（ GB/T202822023） 整體要求的管理規(guī)范和技術(shù)標(biāo)準(zhǔn) ? 《信息安全等級保護(hù)管理辦法》 ? 《計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（ GB178591999） ? 《信息系統(tǒng)安全等級保護(hù)實施指南》 ? 《信息系統(tǒng)安全保護(hù)等級定級指南》 ? 《信息系統(tǒng)安全等級保護(hù)基本要求》 ? 《信息系統(tǒng)安全等級保護(hù)測評要求》 ? 等等 《基本要求》的作用 信息系統(tǒng)安全等級保護(hù)基本要求 運營、使用單位 （安全服務(wù)商） 主管部門 （等級測評機構(gòu)） 安全保護(hù) 測評檢查 《基本要求》的定位 ? 是系統(tǒng)安全保護(hù)、等級測評的一個基本“標(biāo)尺”，同樣級別的系統(tǒng)使用統(tǒng)一的“標(biāo)尺”來衡量，保證權(quán)威性，是 一個達(dá)標(biāo)線 ； ? 每個級別的信息系統(tǒng)按照基本要求進(jìn)行保護(hù)后，信息系統(tǒng)具有相應(yīng)等級的基本安全保護(hù)能力， 達(dá)到一種基本的安全狀態(tài) 。 《基本要求》的定位 某級信息系統(tǒng) 基本保護(hù) 精確保護(hù) 基本要求 保護(hù) 基本要求 測評 補充的安全措施 GB178591999 通用技術(shù)要求 安全管理要求 高級別的基本要求 等級保護(hù)其他標(biāo)準(zhǔn) 安全方面相關(guān)標(biāo)準(zhǔn) 等等 基本保護(hù) 特殊需求 補充措施 二、 保護(hù)要求分級描述的主要思想 《基本要求》基本思路 不同級別 信息系統(tǒng) 重要程度不同 應(yīng)對不同威脅的能力 (威脅 \弱點 ) 具有不同的安全保護(hù)能力 不同的基本要求 不同級別的安全保護(hù)能力要求 ? 第一級安全保護(hù)能力 – 應(yīng)能夠防護(hù)系統(tǒng)免受來自個人的、擁有很少資源（如利用公開可獲取的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難（災(zāi)難發(fā)生的強度弱、持續(xù)時間很短等）以及其他相當(dāng)危害程度的威脅（無意失誤、技術(shù)故障等）所造成的關(guān)鍵資源損害，在系統(tǒng)遭到損害后，能夠恢復(fù)部分功能。 不同級別的安全保護(hù)能力要求 ? 第三級安全保護(hù)能力 – 應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自外部有組織的團(tuán)體（如一個商業(yè)情報組織或犯罪組織等），擁有較為豐富資源（包括人員能力、計算能力等）的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難（災(zāi)難發(fā)生的強度較大、持續(xù)時間較長、覆蓋范圍較廣等）以及其他相當(dāng)危害程度的威脅（內(nèi)部人員的惡意威脅、無意失誤、較嚴(yán)重的技術(shù)故障等）所造成的主要資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠較快恢復(fù)絕大部分功能。 各個要素之間的關(guān)系 安全保護(hù)能力 基本安全要求 每個等級的信息系統(tǒng) 基本技術(shù)措施 基本管理措施 具備 包含 包含 滿足 滿足 實現(xiàn) 《基本要求》核心思路 某級系統(tǒng) 技術(shù)要求 管理要求 基本要求 建立安全技術(shù)體系 建立安全管理體系 具有某級安全保護(hù)能力的系統(tǒng) 各級系統(tǒng)的保護(hù)要求差異（宏觀） ? 安全保護(hù)模型 PPDRR Protection防護(hù) Policy Detection 策略 檢測 Response 響應(yīng) Recovery 恢復(fù) 各級系統(tǒng)的保護(hù)要求差異（宏觀） 一級系統(tǒng) 二級系統(tǒng) 三級系統(tǒng) 四級系統(tǒng) 防護(hù) 防護(hù) /監(jiān)測 策略 /防護(hù) /監(jiān)測 /恢復(fù) 策略 /防護(hù) /監(jiān)測 /恢復(fù) /響應(yīng) 各級系統(tǒng)的保護(hù)要求差異（宏觀） 成功的完成業(yè)務(wù) 信息保障 人 技術(shù) 操作 防御網(wǎng)絡(luò)與基礎(chǔ)設(shè)施 防御飛地邊界 防御計算環(huán)境 支撐性基礎(chǔ)設(shè)施 ?安全保護(hù)模型 IATF 各級系統(tǒng)的保護(hù)要求差異（宏觀） 一級系統(tǒng) 二級系統(tǒng) 三級系統(tǒng) 四級系統(tǒng) 通信 /邊界（基本） 通信 /邊界 /內(nèi)部（關(guān)鍵設(shè)備） 通信 /邊界 /內(nèi)部（主要設(shè)備） 通信 /邊界 /內(nèi)部 /基礎(chǔ)設(shè)施（所有設(shè)備） 各級系統(tǒng)的保護(hù)要求差異（宏觀） 一級系統(tǒng) 二級系統(tǒng) 三級系統(tǒng) 四級系統(tǒng) 計劃和跟蹤（主要制度） 計劃和跟蹤（主要制度） 良好定義（管理活動制度化） 持續(xù)改進(jìn)（管理活動制度化 /及時改進(jìn)） 各級系統(tǒng)的保護(hù)要求差異（微觀） 某級系統(tǒng) 物理安全 技術(shù)要求 管理要求 基本要求 網(wǎng)絡(luò)安全 主機安全 應(yīng)用安全 數(shù)據(jù)安全 安全管理機構(gòu) 安全管理制度 人員安全管理 系統(tǒng)建設(shè)管理 系統(tǒng)運維管理 三、 各級系統(tǒng)保護(hù)的主要內(nèi)容 各級系統(tǒng)的安全保護(hù)的核心 某級系統(tǒng) 技術(shù)要求 管理要求 基本要求 建立安全技術(shù)體系 建立安全管理體系 具有某級安全保護(hù)能力的系統(tǒng) 基本要求的主要內(nèi)容 ? 由 9個章節(jié) 2個附錄構(gòu)成 – – – 3術(shù)語定義 – – 5. – 附錄 A 關(guān)于信息系統(tǒng)整體安全保護(hù)能力的要求 – 附錄 B 基本安全要求的選擇和使用 基本要求的組織方式 某級系統(tǒng) 類 技術(shù)要求 管理要求 基本要求 類 控制點 具體要求 控制點 具體要求 …… …… …… …… …… …… 基本要求 組織方式 某級系統(tǒng) 物理安全 技術(shù)要求 管理要求 基本要求 網(wǎng)絡(luò)安全 主機安全 應(yīng)用安全 數(shù)據(jù)安全 安全管理機構(gòu) 安全管理制度 人員安全管理 系統(tǒng)建設(shè)管理 系統(tǒng)運維管理 基本要求 組織方式 物理位置選擇 物理安全 (四級 ) 物理訪問控制 防盜竊和防破壞 防雷擊 防火 防水和防潮 溫濕度控制 電力供應(yīng) 電磁防護(hù) 基本要求 組織方式 結(jié)構(gòu)安全和網(wǎng)段劃分 網(wǎng)絡(luò)安全 (四級 ) 網(wǎng)絡(luò)訪問控制 撥號訪問控制 網(wǎng)絡(luò)安全審計 邊界完整性檢查 網(wǎng)絡(luò)入侵檢測 惡意代碼防護(hù) 網(wǎng)絡(luò)設(shè)備防護(hù) 基本要求 組織方式 身份鑒別 主機系統(tǒng)安全 (四級 ) 自主訪問控制 強制訪問控制 可信路徑 安全審計 剩余信息保護(hù) 入侵防范 惡意代碼防范 系統(tǒng)資源控制 系統(tǒng)自我保護(hù) 基本要求 組織方式 身份鑒別 應(yīng)用安全 (四級 ) 訪問控制 通信完整性 通信保密性 安全審計 剩余信息保護(hù) 抗抵賴 軟件容錯 資源控制 代碼安全 基本要求 組織方式 數(shù)據(jù)完整性 數(shù)據(jù)安全 (四級 ) 數(shù)據(jù)保密性 安全備份 基本要求 組織方式 崗位設(shè)置 安全管理機構(gòu) (四級 ) 人員配備 授權(quán)和審批 溝通與合作 審核和檢查 基本要求 組織方式 管理制度 安全管理制度 (四級 ) 制訂和發(fā)布 評審和修訂 基本要求 組織方式 人員錄用 人員安全管理 (四級 ) 人員離崗 人員考核 安全意識教育和培訓(xùn) 第三方人員訪問管理 基本要求 組織方式 系統(tǒng)定級 系統(tǒng)建設(shè)管理 (四級 ) 安全風(fēng)險評估 安全方案設(shè)計 產(chǎn)品采購 自行軟件開發(fā) 外包軟件開發(fā) 工程實施 測試驗收 系統(tǒng)交付 安全服務(wù)商選擇 系統(tǒng)備案 基本要求 組織方式 環(huán)境管理 系統(tǒng)運維管理 (四級 ) 資產(chǎn)管理 設(shè)備管理 介質(zhì)管理 運行維護(hù)和監(jiān)控管理 網(wǎng)絡(luò)安全管理 系統(tǒng)安全管理 惡意代碼防范管理 變更管理 密碼管理 系統(tǒng)備案 備份和恢復(fù)管理 安全事件處置 應(yīng)急計劃管理 基本要求標(biāo)注方式 ? 基本要求 – 技術(shù)要求 – 管理要求 ? 要求標(biāo)注 – 業(yè)務(wù)信息安全類要求（標(biāo)記為 S類） – 系統(tǒng)服務(wù)保證類要求（標(biāo)記為 A類） – 通用安全保護(hù)類要求（標(biāo)記為 G類） 三類要求之間的關(guān)系 通用安全保護(hù)類要求（ G） 業(yè)務(wù)信息安全類（S） 系統(tǒng)服務(wù)保證類（A 安全要求 基本要求的選擇和使用 ? 一個 3級系統(tǒng) ,定級結(jié)果為 S3A2，保護(hù)類型應(yīng)該是 S3A2G3 ? 第 1步 : – 選擇標(biāo)準(zhǔn)中 3級基本要求的技術(shù)要求和管理要求 。 – 標(biāo)注為 A類的要求可以選用 2級基本要求中的 A類作為基本要求 。 ? 具體包括： 物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水