等级保护二级与三级差别.pdf

等级保护二级系统与三级系统 比较分析报告 2012 年4 月24 号 1 目录 1. 二级系统与三级系统的界定3 2. 二级系统与三级系统要求的防护能力差别3 3. 二级系统与三级系统的测评力度差别4 4. 二级系统与三级系统的强制测评周期区别4 5. 二级系统与三级系统的测评模型差别5 6. 二级系统与三级系统的测评指标的差别及问题解决方案（技术为例）7 7. 二级系统与三级系统定级出现偏差的风险分析11 2 1.二级系统与三级系统的界定 《信息系统安全等级保护定级指南》中规定： 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重 损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对 国家安全造成损害。 业务信息安全被破坏时所侵害的客 对相应客体的侵害程度 体 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 2.二级系统与三级系统要求的防护能力差别 第二级系统应达到的安全保护能力： 应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻 击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能 够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段事件内恢复 部分功能。 第三级系统应达到的安全保护能力： 应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资 源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威 胁所造成的主要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损 害后，能够较快恢复绝大部分功能。 3 3.二级系统与三级系统的测评力度差别 信息系统安全等级 测评力度 第一级 第二级 第三级 第四级 测评对象在 测评对象在 测评对象在 测评对象在 种类和数量 种类和数量 数量上抽样， 数量上抽样， 广度 访谈 上抽样，种类 上抽样，种类 在种类上基 在种类上全 和数量较少 和数量较多 本覆盖 部覆盖 深度 简要 充分 较全面 全面 测评对象在 测评对象在 测评对象在 测评对象在 种类和数量 种类和数量 数量上抽样， 数量上抽样， 广度 检测