《信息系统安全等级保护基本要求》培训.pdfVIP

《信息系统安全等级保护基本要求》培训 信息安全等级爱护培训教材 《信息系统安全等级爱护差不多要求》 公安部 2007年7 月 名目 1 概述 4 1.1背景介绍 4 1.2要紧作用及特点 4 1.3与其他标准的关系 5 1.4框架结构 6 2 描述模型 6 2.1总体描述 6 2.2爱护对象 7 2.3安全爱护能力 7 2.4安全要求 10 3 逐级增强的特点 11 3.1增强原则 11 3.2总体描述 12 3.3操纵点增加 13 3.4要求项增加 13 3.5操纵强度增 14 4 各级安全要求 15 4.1技术要求 15 4.1.1 物理安全 15 4.1.2 网络安全 23 4.1.3 主机安全 30 4.1.4 应用安全 37 4.1.5 数据安全及备份复原 45 4.2治理要求 48 4.2.1 安全治理制度 48 4.2.2 安全治理机构 51 4.2.3 人员安全治理 55 4.2.4 系统建设治理 60 4.2.5 系统运维治理 67 本教材按照《信息系统安全等级爱护治理方法》公通字[2007]43号和 《关于开展全国重要信息系统安全等级爱护定级工作的通知》公信安[2007] 861号文件，围绕信息安全等级工作，介绍信息系统安全建设和改造过程中 使用的要紧标准之一《信息系统安全等级爱护差不多要求》（以下简称《差 不多要求》），描述《差不多要求》的技术要求分级思路、逐级增强特点以 及具体各级安全要求。通过培训，使得用户能够了解《差不多要求》在信 息系统安全等级爱护中的作用、差不多思路和要紧内容，以便正确选择合 适的安全要求进行信息系统爱护。 概述 背景介绍 2004年，66号文件中指出“信息安全等级爱护工作是个庞大的系统工 程，关系到国家信息化建设的方方面面，这就决定了这项工作的开展必须 分步骤、分时期、有打算的实施，信息安全等级爱护制度打算用三年左右 的时刻在全国范畴内分三个时期实施。”信息安全等级爱护工作第一时期为 预备时期，预备时期中重要工作之一是“加快制定、完善治理规范和技术 标准体系”。依据此要求，《差不多要求》列入了首批需完成的6个标准之 一。 要紧作用及特点 要紧作用 《差不多要求》对等级爱护工作中的安全操纵选择、调整、实施等提 出规范性要求，按照使用对象不同，其要紧作用分为三种： 为信息系统建设单位和运营、使用单位提供技术指导 在信息系统的安全爱护等级确定后，《差不多要求》为信息系统的建设 单位和运营、使用单位如何对特定等级的信息系统进行爱护提供技术指导。 为测评机构提供评估依据 《差不多要求》为信息系统主管部门，信息系统运营、使用单位或专 门的等级测评机构对信息系统安全爱护等级的检测评估提供依据。 为职能监管部门提供监督检查依据 《差不多要求》为监管部门的监督检查提供依据，用于判定一个特定 等级的信息系统是否按照国家要求进行了差不多的爱护。 要紧特点 《差不多要求》是针对每个等级的信息系统提出相应安全爱护要求， “差不多”意味着这些要求是针对该等级的信息系统达到差不多爱护能力 而提出的，也确实是讲，这些要求的实现能够保证系统达到相应等级的差 不多爱护能力，但反过来讲，系统达到相应等级的爱护能力并不仅仅完全 依靠这些安全爱护要求。同时，《差不多要求》强调的是“要求”，而不是 具体实施方案或作业指导书，《差不多要求》给出了系统每一爱护方面需达 到的要求，至于这种要求采取何种方式实现，不在《差不多要求》的描述 范畴内。 按照《差不多要求》进行爱护后，信息系统达到一种安全状态，具备 了相应等级的爱护能力。 与其他标准的关系 从标准间的承接关系上讲： 《信息系统安全等级爱护定级指南》确定出系统等级以及业务信息安 全性等级和系统服务安全等级后，需要按照相应等级，按照《差不多要求》 选择相应等级的安全爱护要求进行系统建设实施。 《信息系统安全等级爱护测评准则》是针对《差不多要求》的具体操 纵要求开发的测评要求，旨在强调系统按照《差不多要求》进行建设完毕 后，检验系统的各项爱护要求是否符合相应等级的差不多要求。 由上可见，《差不多要求》在整个标准体系中起着承上启下的作用。 从技术角度上讲：