等级保护标准体系介绍.pptVIP

* 逐级增强的特点-要求项增强 要求细化：如，人员安全管理中的“安全意识教育和培训”，二级要求“应制定安全教育和培训计划，对信息安全基础知识、岗位操作规程等进行培训”，而三级在对培训计划进行了进一步的细化，为“应针对不同岗位制定不同培训计划”，培训计划有了针对性，更符合各个岗位人员的实际需要。 * 逐级增强的特点-要求项增强 粒度细化：如，网络安全中的“访问控制”，二级要求“控制粒度为网段级”，而三级要求则将控制粒度细化，为“控制粒度为端口级”。由“网段级”到“端口级”，粒度上的细化，同样也增强了要求的强度。 * 《基本要求》文档结构 由9个章节2个附录构成 1.适用范围 2.规范性引用文件 3.术语定义 4.信息系统安全等级保护概述 5.6.7.8.9五个等级的基本要求 附录A 关于信息系统整体安全保护能力的要求 附录B 基本安全要求的选择和使用 * 各级的要求-物理安全 物理位置选择 物理安全 物理访问控制 防盗窃和防破坏 防 雷 击 防火 防 水 和 防 潮 电力供应 电磁防护 防 静 电 温 湿 度 控 制 * 等级要求-物理安全 物理安全要求主要由机房（包括主、辅机房、介质存放间等）所部署的设备设施和采取的安全技术措施两方面提供的功能来满足。 部分物理安全要求涉及到终端所在的办公场地。 控制点 一级 二级 三级 四级 物理位置的选择 * * * 物理访问控制 * * * * 防盗窃和防破坏 * * * * 防雷击 * * * * 防火 * * * * 防水和防潮 * * * * 防静电 * * * 温湿度控制 * * * * 电力供应 * * * * 电磁防护 * * * 合计 7 10 10 10 * * 各级的要求-网络安全 网络安全 结构安全 网络访问控制 网络安全审计 边界完整性检查 网络入侵检测 恶意代码防护 网络设备防护 * 等级要求-网络安全 网络安全要求中对广域网络、城域网络等通信网络的要求由构成通信网络的网络设备、安全设备等的网络管理机制提供的功能来满足。 对局域网安全的要求主要通过采用、防火墙、入侵检测系统、恶意代码防范系统、安全管理中心等设备提供的安全功能来满足。 控制点 一级 二级 三级 四级 结构安全（G） * * * * 访问控制（G） * * * * 安全审计（G） * * * 边界完整性检查（S） * * * 入侵防范（G） * * * 恶意代码防范（G） * * 网络设备防护（G） * * * * 合计 3 6 7 7 * * 各级的要求-主机安全 主机安全 身份鉴别 访问控制 可信路径 安全审计 剩余信息保护 入侵防范 恶意代码防范 资源控制 安全标记 * 等级要求-主机安全 主机包括应用服务器、数据库服务器、安全软件所安装的服务器及管理终端、业务终端、办公终端等。 主机安全要求通过操作系统、数据库管理系统及其他安全软件（包括防病毒、防入侵、木马检测等软件）实现的安全功能来满足。 控制点 一级 二级 三级 四级 身份鉴别（S） * * * * 安全标记（S） * 访问控制（S） * * * * 可信路径（S） * 安全审计（G） * * * 剩余信息保护（S） * * 入侵防范（G） * * * * 恶意代码防范（G） * * * * 资源控制（A） * * * 合计 4 6 7 9 * * 各级的要求-应用安全 应用安全 身份鉴别 访问控制 通信完整性 通信保密性 安全审计 剩余信息保护 抗抵赖 软件容错 资源控制 代码安全 * 等级要求-应用安全 应用安全要求通过应用系统、应用平台系统等实现的安全功能来满足。 如果应用系统是多层结构的，一般不同层的应用都需要实现同样强度的身份鉴别、访问控制、安全审计、剩余信息保护及资源控制等。 通信保密性、完整性一般在一个层面实现。 * 各级的要求-数据安全及备份和恢复 数据安全 数据完整性 数据保密性 备份和恢复 控制点 一级 二级 三级 四级 数据完整性 * * * * 数据保密性 * * * 备份和恢复 * * * * 合计 2 3 3 3 * * 各级的要求-安全管理 管理要求 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 * 各级的要求-安全管理机构 岗位设置 安全管理机构 人员配备 授权和审批 沟通与合作 审核和检查 控制点 一级 二级 三级 四级 岗位设置 * * * * 人员配备 * * * * 授权和审批 * * * * 沟通和合作 * * * * 审核和检查 * * * 合计 4 5 5 5 * * 各级的要求-安全管理制度 管理制度 安全管理制度 制定和发布 评审和修订 控制点 一级 二级 三级 四级 管理制度 * * * * 制定和发布 * * * * 评审和修订 * * * 合计 2 3 3