《資訊系統安全等級保護基本要求》培訓

資訊保安等級保護培訓教材

公安部2023年7月

目錄1 概述 3

1.1 背景介紹 3

1.2 主要作用及特點 3

1.3 與其他標準的關係 4

1.4 框架結構 4

2 描述模型 5

2.1 總體描述 5

2.2 保護物件 6

2.3 安全保護能力 6

2.4 安全要求 8

3 逐級增強的特點 9

3.1 增強原則 9

3.2 總體描述 10

3.3 控制點增加 11

3.4 要求項增加 11

3.5 控制強度增強 12

4 各級安全要求 13

4.1 技術要求 13

4.1.1 物理安全 13

4.1.2 網路安全 19

4.1.3 主機安全 24

4.1.4 應用安全 30

4.1.5 資料安全及備份恢復 36

4.2 管理要求 38

4.2.1 安全管理制度 38

4.2.2 安全管理機構 41

4.2.3 人員安全管理 44

4.2.4 系統建設管理 47

4.2.5 系統運維管理 52

本教材根據《資訊系統安全等級保護管理辦法》公通字[2007]43號和《關於開展全國重要資訊系統安全等級保護定級工作的通知》公信安[2007]861號檔案，圍繞資訊保安等級工作，介紹資訊系統安全建設和改造過程中使用的主要標準之一《資訊系統安全等級保護基本要求》（以下簡稱《基本要求》），描述《基本要求》的技術要求分級思路、逐級增強特點以及具體各級安全要求。通過培訓，使得使用者能夠了解《基本要求》在資訊系統安全等級保護中的作用、基本思路和主要內容，以便正確選擇合適的安全要求進行資訊系統保護。

2023年，66號檔案中指出「資訊保安等級保護工作是個龐大的系統工程，關係到國家資訊化建設的方方面面，這就決定了這項工作的開展必須分步驟、分階段、有計畫的實施，資訊保安等級保護制度計畫用三年左右的時間在全國範圍內分三個階段實施。」資訊保安等級保護工作第一階段為準備階段，準備階段中重要工作之一是「加快制定、完善管理規範和技術標準體系」。依據此要求，《基本要求》列入了首批需完成的6個標準之一。

1. 主要作用

《基本要求》對等級保護工作中的安全控制選擇、調整、實施等提出規範性要求，根據使用物件不同，其主要作用分為三種：

a) 為資訊系統建設單位和運營、使用單位提供技術指導

在資訊系統的安全保護等級確定後，《基本要求》為資訊系統的建設單位和運營、使用單位如何對特定等級的資訊系統進行保護提供技術指導。

b) 為測評機構提供評估依據

《基本要求》為資訊系統主管部門，資訊系統運營、使用單位或專門的等級測評機構對資訊系統安全保護等級的檢測評估提供依據。

c) 為職能監管部門提供監督檢查依據

《基本要求》為監管部門的監督檢查提供依據，用於判斷乙個特定等級的資訊系統是否按照國家要求進行了基本的保護。

2. 主要特點

《基本要求》是針對每個等級的資訊系統提出相應安全保護要求，「基本」意味著這些要求是針對該等級的資訊系統達到基本保護能力而提出的，也就是說，這些要求的實現能夠保證系統達到相應等級的基本保護能力，但反過來說，系統達到相應等級的保護能力並不僅僅完全依靠這些安全保護要求。同時，《基本要求》強調的是「要求」，而不是具體實施方案或作業指導書，《基本要求》給出了系統每一保護方面需達到的要求，至於這種要求採取何種方式實現，不在《基本要求》的描述範圍內。

按照《基本要求》進行保護後，資訊系統達到一種安全狀態，具備了相應等級的保護能力。

從標準間的承接關係上講：

● 《資訊系統安全等級保護定級指南》確定出系統等級以及業務資訊安全性等級和系統服務安全等級後，需要按照相應等級，根據《基本要求》選擇相應等級的安全保護要求進行系統建設實施。

● 《資訊系統安全等級保護測評準則》是針對《基本要求》的具體控制要求開發的測評要求，旨在強調系統按照《基本要求》進行建設完畢後，檢驗系統的各項保護要求是否符合相應等級的基本要求。

由上可見，《基本要求》在整個標準體系中起著承上啟下的作用。

從技術角度上講：

《基本要求》的技術部分吸收和借鑑了gb 17859:1999標準，採納其中的身份鑑別、資料完整性、自主訪問控制、強制訪問控制、審計、客體重用（改為剩餘資訊保護）標記、可信路徑等8個安全機制的部分或全部內容，並將這些機制擴充套件到網路層、主機系統層、應用層和資料層。

《基本要求》的技術部分弱化了在資訊系統中實現安全機制結構化設計及安全機制可信性方面的要求，例如沒有提出資訊系統的可信恢復，但在4級系統提出了災難備份與恢復的要求，保證業務連續執行。《基本要求》沒有對隱蔽通道分析的安全機制提出要求。

此外，《基本要求》的管理部分充分借鑑了iso/iec 17799:2005等國際上流行的資訊保安管理方面的標準，盡量做到全方位的安全管理。

《基本要求》在整體框架結構上以三種分類為支撐點，自上而下分別為：類、控制點和項。其中，類表示《基本要求》在整體上大的分類，其中技術部分分為：

物理安全、網路安全、主機安全、應用安全和資料安全及備份恢復等5大類，管理部分分為：安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理等5大類，一共分為10大類。控制點表示每個大類下的關鍵控制點，如物理安全大類中的「物理訪問控制」作為乙個控制點。

而項則是控制點下的具體要求項，如「機房出入應安排專人負責，控制、鑑別和記錄進入的人員。」

具體框架結構如圖所示：

圖1-1 《基本要求》的框架結構

資訊系統是頗受**力的被攻擊目標。它們抵抗著來自各方面威脅實體的攻擊。對資訊系統實行安全保護的目的就是要對抗系統面臨的各種威脅，從而盡量降低由於威脅給系統帶來的損失。

能夠應對威脅的能力構成了系統的安全保護能力之一——對抗能力。但在某些情況下，資訊系統無法阻擋威脅對自身的破壞時，如果系統具有很好的恢復能力，那麼即使遭到破壞，也能在很短的時間內恢復系統原有的狀態。能夠在一定時間內恢復系統原有狀態的能力構成了系統的另一種安全保護能力——恢復能力。

對抗能力和恢復能力共同形成了資訊系統的安全保護能力。

不同級別的資訊系統應具備相應等級的安全保護能力，即應該具備不同的對抗能力和恢復能力，以對抗不同的威脅和能夠在不同的時間內恢復系統原有的狀態。

針對各等級系統應當對抗的安全威脅和應具有的恢復能力，《基本要求》提出各等級的基本安全要求。基本安全要求包括了基本技術要求和基本管理要求，基本技術要求主要用於對抗威脅和實現技術能力，基本管理要求主要為安全技術實現提供組織、人員、程式等方面的保障。

各等級的基本安全要求，由包括物理安全、網路安全、主機系統安全、應用安全和資料安全等五個層面的基本安全技術措施和包括安全管理機構、安全管理制度、人員安全管理、系統建設管理和系統運維管理等五個方面的基本安全管理措施來實現和保證。

下圖表明了《基本要求》的描述模型。

圖1-2《基本要求》的描述模型

作為保護物件，《管理辦法》中將資訊系統分為五級，分別為：

第一級，資訊系統受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害****、社會秩序和公共利益。

第二級，資訊系統受到破壞後，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害****。

第**，資訊系統受到破壞後，會對社會秩序和公共利益造成嚴重損害，或者對****造成損害。

第四級，資訊系統受到破壞後，會對社會秩序和公共利益造成特別嚴重損害，或者對****造成嚴重損害。

第五級，資訊系統受到破壞後，會對****造成特別嚴重損害。

1. 定義

a) 對抗能力

能夠應對威脅的能力構成了系統的安全保護能力之一—對抗能力。不同等級系統所應對抗的威脅主要從威脅源（自然、環境、系統、人為）動機（不可抗外力、無意、有意）範圍（區域性、全域性）能力（工具、技術、資源等）四個要素來考慮。

在對威脅進行級別劃分前，我們首先解釋以上幾個要素：

● 威脅源——是指任何能夠導致非預期的不利事件發生的因素，通常分為自然（如自然災害）環境（如電力故障）it系統（如系統故障）和人員（如心懷不滿的員工）四類。

● 動機——與威脅源和目標有著密切的聯絡，不同的威脅源對應不同的目標有著不同的動機，通常可分為不可抗外力（如自然災害）無意的（如員工的疏忽大意）和故意的（如情報機構的資訊收集活動）。

● 範圍——是指威脅潛在的危害範疇，分為區域性和整體兩種情況；如病毒威脅，有些計算機病毒的傳染性較弱，危害範圍是有限的；但是蠕蟲類病毒則相反，它們可以在網路中以驚人的速度迅速擴散並導致整個網路癱瘓。

《資訊系統安全等級保護基本要求》培訓

電力行業資訊系統安全等級保護基本要求二級

西安市資訊系統安全等級保護

《資訊系統安全等級保護定級報告》模版

《資訊系統安全等級保護基本要求》培訓

電力行業資訊系統安全等級保護基本要求 二級

西安市資訊系統安全等級保護

《資訊系統安全等級保護定級報告》模版

相關推薦

電力行業資訊系統安全等級保護基本要求二級