《信息系统安全等级保护基本要求》培训教材.docx

精品文档 精品文档 PAGE PAGE77 精品文档 PAGE 《信息系统安全等级保护基本要求》 培训教材 本教材围绕标准《信息系统安全等级保护基本要求》 （以下简称《基本要求》 ），介绍其 描绘模型、逐级增强特点以及详细各级安全要求。 经过培训，使得用户能够认识《基本要求》 的基本思路和主要内容，正确选择合适的安全要求进行信息系统保护。 1 概括 1.1 背景介绍 2004年，66号文件中指出“信息安全等级保护工作是个庞大的系统工程， 关系到国家 信息化建设的方方面面，这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施， 信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。 ”信息安全等 级保护工作第一阶段为准备阶段， 准备阶段中重要工作之一是 “加快拟订、完善管理规范和 技术标准体系”。依据此要求，《基本要求》列入了首批需达成的 6个标准之一。 1.2 主要作用及特点 主要作用 《基本要求》平等级保护工作中的安全控制选择、 调整、实施等提出规范性要求， 根据 使用对象不同，其主要作用分为三种： 为信息系统建设单位和营运、使用单位提供技术指导 在信息系统的安全保护等级确定后，《基本要求》为信息系统的建设单位和营运、使用 单位怎样对特定等级的信息系统进行保护提供技术指导。 为评估机构提供评估依据 《基本要求》为信息系统主管部门， 信息系统营运、使用单位或特意的安全评估机构对 信息系统安全保护等级的检测评估提供依据。 为职能监管部门提供监察检查依据 1 《基本要求》为监管部门的监察检查提供依据， 用于判断一个特定等级的信息系统是否 按照国家要求进行了基本的保护。 2. 主要特点 《基本要求》是针对每个等级的信息系统提出相应安全保护要求， “基本”意味着这些 要求是针对该等级的信息系统达到基本保护能力而提出的， 也就是说，这些要求的实现能够 保证系统达到相应等级的基本保护能力， 但反过来说，系统达到相应等级的保护能力并不单 仅完全依靠这些安全保护要求。同时， 《基本要求》强调的是“要求” ，而不是详细实施方案 或作业指导书，《基本要求》给出了系统每一保护方面需达到的要求，至于这种要求采取何 种方式实现，不在《基本要求》的描绘范围内。 按照《基本要求》进行保护后， 信息系统达到一种安全状态， 具备了相应等级的保护能 力。 1.3 与其他标准的关系 从标准间的承接关系上讲 ： 《信息系统安全等级保护定级指南》 确定出系统等级以及业务信息安全性等级和系 统服务安全等级后， 需要按照相应等级， 根据《基本要求》选择相应等级的安全保 护要求进行系统建设实施。 《信息系统安全等级保护测评准则》 是针对《基本要求》的详细控制要求开发的测 评要求，旨在强调系统按照《基本要求》 进行建设完成后，查验系统的各项保护要 求是否切合相应等级的基本要求。 由上可见，《基本要求》在整个标准体系中起着承前启后的作用。 从技术角度上讲： 《基本要求》的技术部分吸收和借鉴了 GB17859:1999 标准，采纳其中的身份鉴识、 数据完整性、自主接见控制、强制接见控制、审计、客体重用（改为剩余信息保护）标记、 可信路径等 8个安全体制的部分或全部内容，并将这些体制扩展到网络层、主机系统层、 应用层和数据层。 2 《基本要求》的技术部分弱化了在信息系统中实现安全体制构造化设计及安全体制可信 性方面的要求，比如没有提出信息系统的可信恢复，但在 4级系统提出了灾难备份与恢复 的要求，保证业务连续运行。 《基本要求》没有对隐蔽通道剖析的安全体制提出要求。 其他，《基本要求》的管理部分充分借鉴了 ISO/IEC17799:2005 等国际上流行的信息 安全管理方面的标准，尽量做到全方位的安全管理。 1.4 框架构造 《基本要求》在整体框架构造上以三种分类为支撑点，自上而下分别为：类、 控制点和 项。其中，类表示《基本要求》在整体上大的分类，其中技术部分分为：物理安全、网络安 全、主机安全、应用安全和数据安全及备份恢复等 5大类，管理部分分为：安全管理制度、 安全管理机构、人员安全管理、系统建设管理和系统运维管理等 5大类，一共分为 10大类。 控制点表示每个大类下的重点控制点， 如物理安全大类中的 “物理接见控制” 作为一个控制 点。而项则是控制点下的详细要求项，如“机房出入应安排专人负责，控制、鉴识和记录进 入的人员。” 详细框架构造如下图： 第一级基本 第二级基本 第三级基本 第四级基本 第五级基本 要求 要求 要求 要求 要求 技术要求 管理要求 物 网 主 应 数据 安 安 人 系 系 理 络 机 用 安全 全 全 员 统 统 安 安 安 安 及 管 管 安 建 运 全 全 全 全 备份 理 理 全 设 维 恢复 制 机 管 管 管 度 构 理