《税务系统信息安全等级保护基本要求》培训教材解析.docVIP

信息安全等级保护培训教材 《税务系统信息安全等级保护基本要求》 税务总局等级保护项目组 2011年9月 目录 1 概述 3 1.1 背景介绍 3 1.2 主要作用及特点 3 1.3 与其他标准的关系 4 1.4 框架结构 4 2 描述模型 5 2.1 总体描述 5 2.2 保护对象 6 2.3 安全保护能力 6 2.4 安全要求 8 3 逐级增强的特点 9 3.1 增强原则 9 3.2 总体描述 10 3.3 控制点增加 11 3.4 要求项增加 11 3.5 控制强度增强 12 4 各级安全要求 13 4.1 技术要求 13 4.1.1 物理安全 13 4.1.2 网络安全 19 4.1.3 主机安全 24 4.1.4 应用安全 30 4.1.5 数据安全及备份恢复 36 4.2 管理要求 38 4.2.1 安全管理制度 38 4.2.2 安全管理机构 41 4.2.3 人员安全管理 44 4.2.4 系统建设管理 47 4.2.5 系统运维管理 52  《税务系统信息安全等级保护基本要求》根据公信安[2009]1429号（关于印送《关于开展信息安全等级保护安全建设整改工作的指导意见》的函）对于信息安全等级保护安全建设整改工作内容的要求，以信息安全等级保护关于信息系统五个安全保护等级划分为基础，以《税务信息系统安全保障体系框架》关于税务信息系统的安全保障要求为基本内容，按照《税务系统信息安全保护层次、区域和等级划分准则》和《税务系统信息安全保护层次、区域和等级划分指南》关于信息系统安全等级的划分，参照信息安全等级保护相关国家标准，结合税务信息系统信息安全等级保护的实际进行编制。以下将《税务系统信息安全等级保护基本要求》简称为《税务基本要求》；将《信息系统安全等级保护基本要求GBT 22239-2008》简称为《基本要求》。 注：为了突出显示《税务基本要求》与《基本要求》相对应部分之间的不同点，《税务基本要求》中多出部分用斜体表示； 概述 背景介绍 公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号 ）文件要求，在信息安全等级保护定级工作基础上，在2012年底前完成已定级信息系统安全建设整改工作。 税务系统信息安全等级保护工作是个庞大的系统工程，关系到税务信息化建设的方方面面，这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施。税务总局通过7个典型单位试点工作，不断的分析、总结、完善了具有税务系统特色的管理规范和技术标准体系，主要的包括《税务基本要求》、《税务系统信息安全等级保护测评准则》、《税务系统信息安全等级保护设计技术要求》、《税务系统信息安全等级保护实施指南》。《税务基本要求》作为税务系统信息等级保护最重要的标准之一，是等级保护测评的根本依据。 主要作用及特点 主要作用 《税务基本要求》对等级保护工作中的安全控制选择、调整、实施等提出规范性要求，根据使用对象不同，其主要作用分为三种： 为信息系统建设单位和运营、使用单位提供技术指导 在信息系统的安全保护等级确定后，《税务基本要求》为信息系统的建设单位和运营、使用单位如何对特定等级的信息系统进行保护提供技术指导。 为测评机构提供评估依据 《税务基本要求》为信息系统主管部门，信息系统运营、使用单位或专门的等级测评机构对信息系统安全保护等级的检测评估提供依据。 为职能监管部门提供监督检查依据 《税务基本要求》为监管部门的监督检查提供依据，用于判断一个特定等级的信息系统是否按照国家要求进行了基本的保护。 主要特点 《税务基本要求》是针对每个等级的信息系统提出相应安全保护要求，“基本”意味着这些要求是针对该等级的信息系统达到基本保护能力而提出的，也就是说，这些要求的实现能够保证系统达到相应等级的基本保护能力，但反过来说，系统达到相应等级的保护能力并不仅仅完全依靠这些安全保护要求。同时，《税务基本要求》强调的是“要求”，而不是具体实施方案或作业指导书，《税务基本要求》给出了系统每一保护方面需达到的要求，至于这种要求采取何种方式实现，不在《税务基本要求》的描述范围内。 按照《税务基本要求》进行保护后，信息系统达到一种安全状态，具备了相应等级的保护能力。 与其他标准的关系 从标准间的承接关系上讲： 《税务系统信息安全等级保护定级指南》确定出信息系统等级后，需要按照相应等级，根据《税务基本要求》选择相应等级的安全保护要求进行系统建设实施。 《税务系统信息安全等级保护设计技术要求》是以《税务信息系统安全保障体系框架》和《税务系统信息安全等级保护基本要求》关于税务信息系统的安全保障要求为基本内容，参照公信安[2009]1429号文对于信息安全等级保护安全建设整改工作内容的要求，以及信息安全等级保护相关国家标准，结合税务信息系统信息安全