文档介绍:信息系统安全等级保护基本要求
包括基本技术要求和基本管理要求, 适
凡是注日期的引用文件, 其随后所有 鼓励根据本标准达成协议的各方研究
本标准规定了不同安全保护等级信息系统的基本保护要求, 用于指导分等级的信息系统的安全建设和监督管理。
规性引用文件
下列文件中的条款通过在本标准的引用而成为本标准的条款。 的修改单(不包括勘误的容)或修订版均不适用于本标准,然而, 是否使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T 信息技术词汇第8部分:安全
GB17859-1999计算机信息系统安全保护等级划分准则
GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南
术语和定义
GB/T 17859-1999确立的以及下列术语和定义适用于本标准。
安全保护能力 security protect ion ability
系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。
信息系统安全等级保护概述
信息系统安全保护等级
信息系统根据其在国家安全、经济建设、 社会生活中的重要程度,遭到破坏后对国家安全、社会秩
序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高划分为五级, 五级定义见
GB/T AAAA-AAAA 。
不同等级的安全保护能力
不同等级的信息系统应具备的基本安全保护能力如下:
第一级安全保护能力:应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、
一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害, 在系统遭到损害后,能够恢复
部分功能。
第二级安全保护能力:应能够防护系统免受来自外部小型组织的、 拥有少量资源的威胁源发起的恶
意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害, 能够发现重要的安全
漏洞和安全事件,在系统遭到损害后,能够在一段时间恢复部分功能。
第三级安全保护能力: 应能够在统一安全策略下防护系统免受来自外部有组织的团体、 拥有较为丰
富资源的威胁源发起的恶意攻击、 较为严重的自然灾难、 以及其他相当危害程度的威胁所造成的主要资 源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。 第四级安全保护能力: 应能够在统一安全策略下防护系统免受来自国家级别的、 敌对组织的、 拥有 丰富资源的威胁源发起的恶意攻击、 严重的自然灾难、 以及其他相当危害程度的威胁所造成的资源损害, 能够发现安全漏洞和安全事件,在系统遭到损害后,能够迅速恢复所有功能。
第五级安全保护能力:(略)。
基本技术要求和基本管理要求 信息系统安全等级保护应依据信息系统的安全保护等级情况保证它们具有相应等级的基本安全保
护能力,不同安全保护等级的信息系统要求具有不同的安全保护能力。 基本安全要针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求, 根据实 现方式的不同, 基本安全要求分为基本技术要求和基本管理要求两大类。 技术类安全要求与信息系统提 供的技术安全机制有关, 主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现; 管理类安
全要求与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规、流 程以及记录等方面做出规定来实现。
基本技术要求从物理安全、网络安全、主机安全、 应用安全和数据安全几个层面提出;基本管理要 求从安全管理制度、 安全管理机构、 人员安全管理、系统建设管理和系统运维管理几个方面提出,基本 技术要求和基本管理要确保信息系统安全不可分割的两个部分。
基本安全要求从各个层面或方面提出了系统的每个组件应该满足的安全要求, 信息系统具有的整体 安全保护能力通过不同组件实现基本安全要求来保证。除了保证系统的每个组件满足基本安全要求外, 还要考虑组件之间的相互关系, 来保证信息系统的整体安全保护能力。 关于信息系统整体安全保护能力 的说明见附录 A 。
对于涉及国家秘密的信息系统, 应按照国家工作部门的相关规定和标准进行保护。 对于涉及密码的 使用和管理,应按照国家密码管理的相关规定和标准实施。
基本技术要求的三种类型 根据保护侧重点的不同, 技术类安全要求进一步细分为: 保护数据在存储、 传输、 处理过程中不被
泄漏、破坏和免受未授权的修改的信息安全类要求(简记为 S);保护系统连续正常的运行,免受对系
统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为 A);通用安全保护类要求(简记
为 G)。
本标准中对基本安全要求使用了标记, 其中的字母表示安全要求的类型, 数字表示适用的