收藏
下载资源

信息系统安全等级保护基本要求

上传人:汽*** 文档编号:486412366 上传时间:2023-03-28 格式:DOC 页数:141 大小:1.51MB
返回 下载 相关 举报
信息系统安全等级保护基本要求_第1页
第1页 / 共141页
信息系统安全等级保护基本要求_第2页
第2页 / 共141页
信息系统安全等级保护基本要求_第3页
第3页 / 共141页
信息系统安全等级保护基本要求_第4页
第4页 / 共141页
信息系统安全等级保护基本要求_第5页
第5页 / 共141页
点击查看更多>>
资源描述

《信息系统安全等级保护基本要求》由会员分享,可在线阅读,更多相关《信息系统安全等级保护基本要求(141页珍藏版)》请在金锄头文库上搜索。

1、信息系统安全等级保护基本要求Basic Requirements for Classified Security Protection of Information System(试用稿)公安部二五年十二月目 录1适用范围12规范性引用文件13术语和定义13.1.安全威胁 security threat13.2.安全目标 security objective13.3.安全保护能力 security protective ability14标记说明15基本概念25.1.信息系统概述25.2.信息系统的五个安全等级35.3.不同安全等级的安全保护能力35.4.技术要求和管理要求45.5.技术要求的

2、三种类型55.6.基本要求的选择56安全目标66.1.第1级安全目标66.1.1.技术目标76.1.2.管理目标76.2.第2级安全目标86.2.1.技术目标86.2.2.管理目标96.3.第3级安全目标116.3.1.技术目标116.3.2.管理目标136.4.第4级安全目标146.4.1.技术目标146.4.2.管理目标177第1级基本要求187.1.技术要求187.1.1.物理安全187.1.2.网络安全197.1.3.主机系统安全197.1.4.应用安全207.1.5.数据安全207.2.管理要求207.2.1.安全管理机构217.2.2.安全管理制度217.2.3.人员安全管理217

3、.2.4.系统建设管理227.2.5.系统运维管理238第2级基本要求258.1.技术要求258.1.1.物理安全258.1.2.网络安全268.1.3.主机系统安全278.1.4.应用安全298.1.5.数据安全308.2.管理要求318.2.1.安全管理机构318.2.2.安全管理制度328.2.3.人员安全管理328.2.4.系统建设管理338.2.5.系统运维管理359第3级基本要求389.1.技术要求389.1.1.物理安全389.1.2.网络安全409.1.3.主机系统安全429.1.4.应用安全449.1.5.数据安全469.2.管理要求479.2.1.安全管理机构479.2.2

4、.安全管理制度499.2.3.人员安全管理499.2.4.系统建设管理509.2.5.系统运维管理5310第4级基本要求5810.1.技术要求5810.1.1.物理安全5910.1.2.网络安全6010.1.3.主机系统安全6210.1.4.应用安全6510.1.5.数据安全6810.2.管理要求6910.2.1.安全管理机构6910.2.2.安全管理制度7010.2.3.人员安全管理7110.2.4.系统建设管理7210.2.5.系统运维管理7511第5级基本要求82A参考文献83B 威胁描述84B1.第1级对抗威胁84B2.第2级对抗威胁84B3.第3级对抗威胁86B4.第4级对抗威胁88

5、C 安全威胁与安全目标的关系91C1.一级91C2.二级93C3.三级95C4.四级98D 安全目标与基本要求的关系101D1.一级101D2.二级104D3.三级109D4.四级115E 基本要求与安全目标的关系122E1.一级122E2.二级124E3.三级127E4.四级132- II -1 适用范围本文件规定了信息系统安全等级保护的基本要求,包括基本技术要求和基本管理要求,适用于不同安全保护等级的信息系统的安全保护。2 规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据

6、本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准。GB17859-1999计算机信息系统安全保护等级划分准则GB/T XXX-XXX信息系统安全保护等级定级指南3 术语和定义GB 17859-1999的下列术语适用于本标准:a) 主体;b) 客体。GB/T XXX-XXXX信息系统安全保护等级定级指南的下列术语适用于本标准:a) 信息系统;b) 业务子系统;c) 业务信息安全性;d) 业务服务保证性。3.1. 安全威胁 security threat可能对信息系统造成损害的不希望的事故或事件的潜在原因。3.2. 安全目标 security o

7、bjective意在对抗确定的威胁,使信息系统达到特定安全保护等级的安全要求的简要陈述。3.3. 安全保护能力 security protective ability系统能够预防威胁并能够检测到威胁存在的能力和在遭到威胁破坏后,系统能够恢复之前各种状态(包括数据的各种属性、业务运行状态等)的能力。4 标记说明在第6章“安全目标”中对安全目标使用了标记,安全目标的标记包括三部分:标识、等级和序号,如下表所示。安全目标标记O1-1标识安全目标(O)等级1序号1O为安全目标标识;等级代表该目标对应的信息系统安全保护等级;序号是指该目标在该等级安全目标列表中的顺序编号。在第5章“基本概念”和后续的章节

8、中对安全基本要求使用了标记,标记如下表所示。安全标记S1A2G3关注方面业务信息安全性业务服务保证性通用安全保护安全等级123安全的关注方面包括业务信息安全性、业务服务保证性和通用安全保护等三个方面。其中业务信息安全性(简记为S)关注的是保护业务信息在存储、传输、处理过程中不被泄漏、破坏或未授权的修改;业务服务保证性(简记为A)关注的是保护系统连续正常的运行,免受对系统破坏或未授权的修改而导致系统不可用;通用安全保护(简记为G)既关注保护业务信息的安全,同时也关注保护系统的可用。标记中的等级对应于其所适用的信息系统的安全保护等级。在附录B“威胁描述”对安全威胁使用了标记,安全威胁的标记包括三部

9、分:标识、等级和序号,如下表所示。安全威胁标记T1-1标识安全威胁(T)等级1序号1T为安全威胁标识;等级是指需要对抗该威胁的信息系统安全保护等级;序号是指该威胁在该类威胁列表中的顺序编号。5 基本概念5.1. 信息系统概述信息系统是指基于计算机和计算机网络,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。信息系统是由软件、硬件、操作人员及系统所承载的信息等几部分组成。软件包括计算机系统软件、网络软件和应用软件等,这些软件对系统硬件进行管理并为按需求进行信息处理等应用提供必要的支持;硬件包括计算机硬件、网络硬件及其配套硬件设备等,它们是信息的载体,信息系统的基础

10、;人是信息系统最终使用者,也是在信息系统整个生命周期中,如规划设计、建设实施、运行维护等过程中的参与者和管理者,人的因素是保证信息系统正常工作不可缺少的重要部分。信息系统面临多种威胁,可能面临自然、环境和技术故障等非人为因素的威胁,也可能面临人员失误和恶意攻击等人为因素的威胁,威胁可能引起不希望的安全事件,对信息系统的业务信息安全性或业务服务保证性造成损害。不同的信息系统所承载的业务和处理的数据重要程度不同、不同的信息系统所处在位置和环境有所不同,对信息系统的保护要求也会不同。5.2. 信息系统的五个安全等级信息系统划分为以下五个安全等级:第一级为自主保护级,主要对象为一般的信息系统,其受到破

11、坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益。第二级为指导保护级,主要对象为一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害。第三级为监督保护级,主要对象为涉及国家安全、社会秩序、经济建设和公共利益的信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害。第四级为强制保护级,主要对象为涉及国家安全、社会秩序、经济建设和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成严重损害。第五级为专控保护级,主要

12、对象为涉及国家安全、社会秩序、经济建设和公共利益的重要信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。一个组织机构内可能运行一个或多个信息系统,这些信息系统完成不同使命、承载不同业务、处理不同数据,不同的信息系统可能具有相同的安全等级或不同的安全等级;一个组织机构拥有的、由相同安全等级或不同安全等级的多个信息系统互联构成了组织机构等级化的大型信息系统。5.3. 不同安全等级的安全保护能力不同级别的信息系统应具备不同的安全保护能力。不同级别的信息系统应具备的基本安全保护能力要求如下:1级安全保护能力:应具有能够对抗来自个人的、拥有很少资源(如利用公

13、开可获取的工具等)的威胁源发起的恶意攻击、一般的自然灾难(灾难发生的强度弱、持续时间很短、系统局部范围等)以及其他相当危害程度威胁的能力,并在威胁发生后,能够恢复部分功能。2级安全保护能力:应具有能够对抗来自小型组织的(如自发的三两人组成的黑客组织)、拥有少量资源(如个别人员能力、公开可获或特定开发的工具等)的威胁源发起的恶意攻击、一般的自然灾难(灾难发生的强度一般、持续时间短、覆盖范围小(局部性)等)以及其他相当危害程度(无意失误、设备故障等)威胁的能力,并在威胁发生后,能够在一段时间内恢复部分功能。3级安全保护能力:应具有能够对抗来自大型的、有组织的团体(如一个商业情报组织或犯罪组织等),

14、拥有较为丰富资源(包括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾难(灾难发生的强度较大、持续时间较长、覆盖范围较广(地区性)等)以及其他相当危害程度(内部人员的恶意威胁、设备的较严重故障等)威胁的能力,并在威胁发生后,能够较快恢复绝大部分功能。4级安全保护能力:应具有能够对抗来自敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难(灾难发生的强度大、持续时间长、覆盖范围广(多地区性)等)以及其他相当危害程度(内部人员的恶意威胁、设备的严重故障等)威胁的能力,并在威胁发生后,能够迅速恢复所有功能。上述对不同等级的信息系统的基本安全保护能力要求是一种整体和抽象的描述,本文件的其余大部分内容是对基本安全保护能力的具体化。每一级别的信息系统所应该具有的基本安全保护能力将通过体现基本安全保护能力的安全目标的提出以及实现安全目标的具体技术要求和管理要求的描述得到具体化。5.4. 技术要求和管理要求信息系统的安全等级保护是依据信息系统的安全等级情况保证它们具有相应等级的基本安全保护能力,不同安全等级的信息系统要求具有不同的安全保护能力。实现基本安全保护能力将通过选用合适

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 大杂烩/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号