《信息系统安全等级保护基本要求》培训资料
信息安全等级爱护培训教材
《信息系统安全等级爱护差不多要求》
公安部
2007年7月
名目
1 概述 ............................................................ 3
1.1 1.2 1.3 1.4
背景介绍 ........................................................... 3 要紧作用及特点 ..................................................... 3 与其他标准的关系 ................................................... 4 框架结构 ........................................................... 4
2 描述模型 ........................................................ 5
2.1 2.2 2.3 2.4
总体描述 ........................................................... 5 爱护对象 ........................................................... 6 安全爱护能力 ....................................................... 6 安全要求 ........................................................... 8
3 逐级增强的特点 .................................................. 9
3.1 3.2 3.3 3.4 3.5
增强原则 ........................................................... 9 总体描述 .......................................................... 10 操纵点增加 ........................................................ 11 要求项增加 ........................................................ 11 操纵强度增强 ...................................................... 12
4 各级安全要求 ................................................... 13
4.1
技术要求 .......................................................... 13 4.1.1 物理安全 .................................................... 13 4.1.2 网络安全 .................................................... 19 4.1.3 主机安全 .................................................... 24 4.1.4 应用安全 .................................................... 29 4.1.5 数据安全及备份复原 .......................................... 35 4.2
治理要求 .......................................................... 38 4.2.1 安全治理制度 ................................................ 38 4.2.2 安全治理机构 ................................................ 40 4.2.3 人员安全治理 ................................................ 43 4.2.4 系统建设治理 ................................................ 47 4.2.5 系统运维治理 ................................................ 52
本教材依照《信息系统安全等级爱护治理方法》公通字[2007]43号和《关于开展全国重要信息系统安全等级爱护定级工作的通知》公信安[2007]861号文件,围绕信息安全等级工作,介绍信息系统安全建设和改造过程中使用的要紧标准之一《信息系统安全等级爱护差不多要求》(以下简称《差不多要求》),描述《差不多要求》的技术要求分级思路、逐级增强特点以及具体各级安全要求。通过培训,使得用户能够了解《差不多要求》在信息系统安全等级爱护中的作用、差不多思路和要紧内容,以便正确选择合适的安全要求进行信息系统爱护。
1 概述
1.1 背景介绍
2004年,66号文件中指出“信息安全等级爱护工作是个庞大的系统工程,关系到国家信息化建设的方方面面,这就决定了这项工作的开展必须分步骤、分时期、有打算的实施,信息安全等级爱护制度打算用三年左右的时刻在全国范畴内分三个时期实施。”信息安全等级爱护工作第一时期为预备时期,预备时期中重要工作之一是“加快制定、完善治理规范和技术标准体系”。依据此要求,《差不多要求》列入了首批需完成的6个标准之一。
1.2 要紧作用及特点
1. 要紧作用
《差不多要求》对等级爱护工作中的安全操纵选择、调整、实施等提出规范性要求,依照使用对象不同,其要紧作用分为三种:
a) 为信息系统建设单位和运营、使用单位提供技术指导
在信息系统的安全爱护等级确定后,《差不多要求》为信息系统的建设单位和运营、使用单位如何对特定等级的信息系统进行爱护提供技术指导。 b) 为测评机构提供评估依据
《差不多要求》为信息系统主管部门,信息系统运营、使用单位或专门的等级测评机构对信息系统安全爱护等级的检测评估提供依据。 c) 为职能监管部门提供监督检查依据
《差不多要求》为监管部门的监督检查提供依据,用于判定一个特定等级的信息系统是否按照国家要求进行了差不多的爱护。 2. 要紧特点
《差不多要求》是针对每个等级的信息系统提出相应安全爱护要求,“差不多”意味着这些要求是针对该等级的信息系统达到差不多爱护能力而提出的,也确实是说,这些要求的实现能够保证系统达到相应等级的差不多爱护能力,但反过来说,系统达到相应等级的爱护能力并不仅仅完全依靠这些安全爱护要求。同时,《差不多要求》强调的是“要求”,而不是