信息安全技术_信息系统安全等级保护基本要求.pdf-得力文库

资源描述

《信息安全技术_信息系统安全等级保护基本要求.pdf》由会员分享，可在线阅读，更多相关《信息安全技术_信息系统安全等级保护基本要求.pdf（133页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、信息安全技术信息系统安全等级保护基本要求 Informat ion Secur ity Technology-Basic Requ i rements for ClassifiedSecur ity Protect ion of Information System（试用稿一修订版 VI.1）目录目录.I1 范围.12 规范性引用文件.13 术语和定义.14 标记说明.15 基本概念.25.1.信息系统概述.25.2.信息系统的五个安全等级.35.3.不同安全等级

2、的安全保护能力.35.4.技术要求和管理要求.45.5.技术要求的三种类型.55.6.基本要求的选择.56 安全目标.66.1.第 1级安全目标.66.1.1.技术目标.66.1.2.管理目标.76.2.第 2 级安全目标.86.2.1.技术目标.86.2.2.管理目标.96.3.第 3 级安全目标.116.3.1.技术目标.116.3.2.管理目标.136.4.第 4 级安全目标.146.4.1.技术目标.146.4.2.管理目标.177 第 1级基

3、本要求.187.1.技术要求.187.1.1.物理安全.187.1.2.网络安全.197.1.3.主机系统安全.197.1.4.应用安全.207.1.5.数据安全.207.2.管理要求.207.2.1.安全管理机构.217.2.2.安全管理制度.217.2.3.人员安全管理.217.2.4.系统建设管理.227.2.5.系统运维管理.23-1-8 第 2级基本要求.258.1.技术要求.258.1.1.物理安全.258.1.2.网络安全.268.1.3.主机系统

4、安全.278.1.4.应用安全.298.1.5.数据安全.308.2.管理要求.318.2.1.安全管理机构.318.2.2.安全管理制度.328.2.3.人员安全管理.328.2.4.系统建设管理.338.2.5.系统运维管理.359 第 3 级基本要求.389.1.技术要求.389.1.1.物理安全.389.1.2.网络安全.409.1.3.主机系统安全.429.1.4.应用安全.449.1.5.数据安全.469.2.管理要求.479.2.1.安全管理机构

5、.479.2.2.安全管理制度.499.2.3.人员安全管理.499.2.4.系统建设管理.509.2.5.系统运维管理.5310 第 4 级基本要求.5810.1.技术要求.5810.1.1.物理安全.5910.1.2.网络安全.6010.1.3.主机系统安全.6210.1.4.应用安全.6510.1.5.数据安全.6810.2.管理要求.691 0.2.1.安全管理机构.691 0.2.2.安全管理制度.701 0.2.3.人员安全管理.711 0.2.4.系统建

6、设管理.721 0.2.5.系统运维管理.7511 第 5 级基本要求.81附录 A 威胁描述.82-II-A l.第 1级对抗威胁.82A2.第 2 级对抗威胁.82A3.第 3 级对抗威胁.84A4.第 4 级对抗威胁.86附录 B安全威胁与安全目标的关系.89BL 一级.89B2.二级.90B3.三级.92B4.四级.94附录 C 安全目标与基本要求的关系.98C L-级.98C2.二级.100C3.三级.104C4.四级.110附录 D 基本要求与安

7、全目标的关系.117D1.一级.117D2.二级.119D3.三级.1221)4四级.125参考文献.129-III-信息安全技术信息系统安全等级保护基本要求 1 范围本文件规定了信息系统安全等级保护的基本要求，包括基本技术要求和基本管理要求，适用于不同安全等级的信息系统的安全保护。2 规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是

8、注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。GB17859-1999 计算机信息系统安全保护等级划分准则 GB/TXXXA-XXX 信息系统安全保护等级定级指南 3 术语和定义 GB 17859-1999和 GB/

9、TXXX-XXXX 信息系统安全保护等级定级指南确立的以及下列术语和定义适用于本标准。3.1安全威胁 security threat可能对信息系统造成损害的不希望的事故或事件的潜在原因。3.2安全目标 security objective意在对抗确定的威胁，使信息系统达到特定安全等级的安全要求的简要陈述。3.3安全保护能力 security protective ability系统能够预防威

10、胁并能够检测到威胁存在的能力和在遭到威胁破坏后，系统能够恢复之前各种状态（包括数据的各种属性、业务运行状态等）的能力。4 标记说明在第 6 章“安全目标”中对安全目标使用了标记，安全目标的标记包括三部分：标识、等级和序号，如卜.表所示。安全目标标记 01-1标识安全目标（0）等级 1序号 1。为安全目标标识：等级代表该目标对应的信息系统安全等级；序号

11、是指该目标在该等级安全目标列表中的顺序编号。在第 5 章“基本概念”和后续的章节中对安全基本要求使用了标记，标记如下表所示。安全标记 S1 A2 G3关注方面业务信息安全性业务服务保证性通用安全保护安全等级 1 2 3安全的关注方面包括业务信息安全性、业务服务保证性和通用安全保护等三个方面。其中业务信息安全性（简记为 S）关注的是保护业务信

12、息在存储、传输、处理过程中不被泄漏、破坏或未授权的修改：业务服务保证性（简记为 A）关注的是保护系统连续正常的运行，免受对系统破坏或未授权的修改而导致系统不可用；通用安全保护（简记为 G）既关注保护业务信息的安全，同时也关注保护系统的可用。标记中的等级对应于其所适用的信息系统的安全等级。在附录 B“威胁描述”对安全威胁使用了标记，安全威

13、胁的标记包括三部分：标识、等级和序号，如下表所示。安全威胁标记 T1-1标识安全威胁，（T）等级 1序号 1T 为安全威胁标识；等级是指需要对抗该威胁的信息系统安全等级；序号是指该威胁在该类威胁列表中的顺序编号。5 基本概念 5.1.信息系统概述信息系统是指基于计算机和计算机网络，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理

14、的人机系统。信息系统是由软件、硬件、操作人员及系统所承载的信息等几部分组成。软件包括计算机系统软件、网络软件和应用软件等，这些软件对系统硬件进行管理并为按需求进行信息处理等应用提供必耍的支持；硬件包括计算机硬件、网络硬件及其配套硬件设备等，它们是信息的载体，信息系统的基础；人是信息系统最终使用者，也是在信息系统整个生命周期

15、中，如规划设计、建设实施、运行维护等过程中的参与者和管理者，人的因素是保证信息系统正常工作不可缺少的重要部分。-2-信息系统面临多种威胁，可能面临自然、环境和技术故障等非人为因素的威胁，也可能面临人员失误和恶意攻击等人为因素的威胁，威胁可能引起不希望的安全事件，对信息系统的业务信息安全性或业务服务保证性造成损害。不同的信息系

16、统所承载的业务和处理的数据重要程度不同、不同的信息系统所处在位置和环境有所不同，对信息系统的保护要求也会不同。5.2.信息系统的五个安全等级信息系统划分为以下五个安全等级：第一级为自主保护级，主要对象为一般的信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序和公共利益。第二级为指导保

17、护级，主要对象为一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全。第三级为监督保护级，主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成损害。第四级为强制保护级，主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对

18、国家安全、社会秩序和公共利益造成严重损害。第五级为专控保护级，主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重损害。一个组织机构内可能运行一个或多个信息系统，这些信息系统完成不同使命、承载不同业务、处理不同数据，不同的信息系统可能具有相同的安全

19、等级或不同的安全等级；一个组织机构拥有的、山相同安全等级或不同安全等级的多个信息系统互联构成了组织机构等级化的大型信息系统。5.3.不同安全等级的安全保护能力不同级别的信息系统应具备不同的安全保护能力。不同级别的信息系统应具备的基本安全保护能力要求如下：1 级安全保护能力：应具有能够对抗来自个人的、拥有很少资源（如利用公

20、开可获取的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度弱、持续时间很短、系统局部范围等）以及其他相当危害程度威胁的能力，并在威胁发生后，能够恢复部分功能。2 级安全保护能力：应具有能够对抗来自小型组织的（如自发的三两人组成的黑客组织）、拥有少量资源（如个别人员能力、公开可获或特定开发的工具等）的威胁源发起的恶意攻

21、击、一般的自然灾难（灾难发生的强度一般、持续时间短、覆盖范围小（局部性）等）以及其他相当危害程度（无意失误、设备故障等）威胁的能力，并在威胁发生后，能够在一段时间内恢复部分功能。3 级安全保护能力：应具有能够对抗来自大型的、有组织的团体（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严

22、重的自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较广（地区性）等）以及其他相当危害程度（内部人员的恶意威胁、设备的较严重故障等）威胁的能力，并在威胁发生后，能够较快恢复绝大部分功能。4级安全保护能力：应具有能够对抗来自敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难（灾难发生的强度大、持续时间长、覆盖范围广（多地区

23、性）等）以及其他相当危害程度（内部人员的恶意威胁、设备的严重故障等）威胁的能力，并在威胁发生后，能够迅速恢复所有功能。上述对不同等级的信息系统的基本安全保护能力要求是一种整体和抽象的描述，本文件的其余大部分内容是对基本安全保护能力的具体化。每一级别的信息系统所应该具有的基本安全保护能力将通过体现基本安全保护能力的安全 R标

24、的提出以及实现安全目标的具体技术要求和管理要求的描述得到具体化。5.4.技术要求和管理要求信息系统的安全等级保护是依据信息系统的安全等级情况保证它们具有相应等级的基本安全保护能力，不同安全等级的信息系统要求具有不同的安全保护能力。实现基本安全保护能力将通过选用合适的安全措施或安全控制来保证，在本文件中可以使用的

25、安全措施或安全控制表现为安全基本要求，依据实现方式的不同，信息系统等级保护的安全基本要求分为技术要求和管理要求两大类。技术类安全要求通常与信息系统提供的技术安全机制有关，主要是通过在信息系统中部署软硬件并正确的配置其安全功能来实现；管理类安全要求通常与信息系统中各种角色参与的活动有关，主要是通过控制各种角色的活

26、动，从政策、制度、规范、流程以及记录等方面做出规定来实现。基本技术要求从物理安全、网络安全、主机系统安全、应用安全和数据安全几个层面提出安全要求；基本管理要求从安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理几个方面提出安全要求。在本文件中，物理安全是指包括支撑设施、硬件设备、存储介质等在内的信息系统相关支持环

27、境的安全；网络安全是指包括路由器、交换机、通信线路等在内的信息系统网络环境-4-的安全；主机系统安全是指包括服务器、终端/工作站以及安全设备/系统在内的计算机设备在操作系统及数据库系统数据库管理系统层面的安全：应用安全是指支持业务处理的业务应用系统的安全：数据安全是指信息系统中数据的采集、传输、处理和存储过程中的安全。此外，在本

28、文件的数据安全部分将包括在信息系统遭到破坏时能够恢复数据以及业务系统运行的内容。技术要求与管理要求是确保信息系统安全不可分割的两个部分，两者之间既互相独立，又互相关联，在一些情况下，技术和管理能够发挥它们各自的作用：在另一些情况下，需耍同时使用技术和管理两种手段，实现安全控制或更强的安全控制；大多数情况下，技术和管理要

29、求互相提供支撑以确保各自功能的正确实现。5.5.技术要求的三种类型技术类安全要求提出了信息系统应提供的技术安全机制，这些安全机制将通过在信息系统中部署软硬件并正确的配置其安全功能来实现。根据安全机制的保护侧重点，技术类安全要求又进一步细分为业务信息安全类（简记为 S）、业务服务保证类（简记为 A 类）和通用安全保护类（简记为 G

30、类）三类。业务信息安全类（S类）安全要求关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改；业务服务保证类（A 类）安全要求关注的是保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用；通用安全保护类（G 类）安全要求是没有明显的侧重，既关注保护业务信息的安全性，同时也关注保护系统的连续可用性。5.6.基本

31、要求的选择信息系统由于承载的业务不同，对其的安全关注点会有所不同，有的更关注数据的安全性，即更关注对盗窃、搭线窃听、假冒用户等可能导致信息泄密、非法篡改等威胁的对抗；有的更关注业务的连续性，即更关注保证系统连续正常的运行，免受对系统未授权的修改、破坏而导致系统不可用引起业务中断。不同安全等级的信息系统，其对业务信息的安全性

32、要求和业务服务的连续性要求是有差异的：即使相同安全等级的信息系统，其对业务信息的安全性要求和业务服务的连续性要求也有差异。信息系统的安全等级由各个业务子系统的业务信息安全性等级和业务服务保证性等级较高者决定（参见信息系统安全保护等级定级指南），因此，对某个定级后的信息系统的保护要求可以有多种组合。不同安全等级的信

33、息系统可以选择的保护要求组合如下表所示:-5-表 1:各等级信息系统保护要求组合安全等级信息系统保护要求的组合第一级 S1A1G1第二级 S1A2G2,S2A2G2,S2A1G2第三级 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3第四级 S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4本文件的每一个安全等级的基本要求按照业务信息安全性等级和业务服务保证

34、性等级相同的情况组织，也就是每一个安全等级的基本要求针对 S1A1GK S2A2G2,S3A3G3 和 S4A4G4 情况给出。对基本要求进行选择的过程如下：首先，基本要求的选择由信息系统的安全等级确定，基本要求包括技术要求和管理要求。一级系统应该选择第一级的基本要求，：:级系统应该选择第二级的基本要求，三级系统应该选择第三级的基本要求，四级系统应该

35、选择第四级的基本要求。其次，可以根据信息系统保护要求的组合对技术要求进行调整。对业务信息安全性等级高于业务服务保证性等级的系统，业务服务保证类（A 类）技术要求可以根据业务服务保证性等级选择相应等级的业务服务保证类（A 类）技术要求；对业务服务保证性等级高于业务信息安全性等级的系统，业务信息安全类（S 类）技术要求可以根据业务信

36、息安全性等级选择相应等级的业务信息安全类（S 类）技术要求。最后，由于各种原因对基本要求项有调整需求的，应针对需要调整的基本要求项逐项进行风脸分析，在保证不降低整体安全保护强度的前提下，对基本要求项进行调整，并形成书面的调整理由进行说明。对于涉密的信息系统，在确定安全等级后，除应按照本文件规定的相应安全等级的基本要求进行保

37、护外，还应按照国家保密工作部门和国家密码管理部门的相关规定进行要求和保护。6 安全目标 6.1.第 1级安全目标第一级信息系统应实现以下目标。6.1.1.技术目标 01-1.应具有防雷击的能力-6-01-2.应具有防水和防潮的能力 01-3.应具有灭火的能力 01-4.应具有温湿度检测和控制的能力 01-5.应具有防止电压波动的能力 01-6.应具有对传输和存储数

38、据进行完整性检测的能力 01-7.应具有系统软件、应用软件容错的能力 01-8.应具有合理使用和控制系统资源的能力 01-9.应具有设计合理、安全网络结构的能力 0 1-1 0.应具有控制机房进出的能力 0 1-1 1.应具有防止设备、介质等丢失的能力 0 1-1 2.应具有控制接触重要设备、介质的能力 0 1-1 3.应具有发现网络协议、操作系统、应用系统等重要漏洞并及

39、时修补的能力 0 1-1 4.应具有对网络、系统和应用的访问进行控制的能力 0 1-1 5.应具有对数据、文件或其他资源的访问进行控制的能力 0 1-1 6.应具有对用户进行标识和鉴别的能力 0 1-1 7.应具有保证鉴别数据传输和存储保密性的能力 0 1-1 8.应具有对恶意代码的检测、阻止和清除能力 0 1-1 9.应具有重要数据恢复的能力 6.1.2.管理目标 0 1-2

40、 0.应确保配备了足够数量的管理人员，支持信息系统的管理工作 0 1-2 1.应确保建立了基本的安全管理制度，并保证安全管理制度的有效性 0 1-2 2.应确保对信息系统进行合理定级 0 1-2 3.应确保能控制信息安全相关事件的授权与审批 0 1-2 4.应确保建立恰当可靠的联络渠道，以便安全事件发生时能得到支持 0 1-2 5.应确保对人员的行为进行控制

41、 0 1-2 6.应确保安全产品的可信度和产品质量 0 1-2 7.应确保自行开发过程和工程实施过程中的安全 0 1-2 8.应确保能顺利地接管和维护信息系统 0 1-2 9.应确保安全工程的实施质量和安全功能的准确实现 0 1-3 0.应确保机房具有良好的运行环境-7-0 1-3 1.应确保对信息资产进行安全管理 0 1-3 2.应确保对各种软硬件设备的选型、采购、发放、使

42、用和保管等过程进行控制 0 1-3 3.应确保对网络、操作系统、数据库管理系统和应用系统进行安全管理 0 1-3 4.应确保用户具有鉴别信息使用的安全意识 0 1-3 5.应确保定期地对通信线路进行检查和维护 0 1-3 6.应确保硬件设备、存储介质存放环境安全，并对其的使用进行控制和保护 0 1-3 7.应确保对支撑设施、硬件设备、存储介质进行日常维护和管理

43、 0 1-3 8.应确保系统中使用的硬件、软件产品的质量 0 1-3 9.应确保各类人员具有与其岗位相适应的技术能力 0 1-4 0.应确保对各类人员进行相关的技术培训 0 1-4 1.应确保提供的足够的使用手册、维护指南等资料 0 1-4 2.应确保内部人员具有安全方面的常识和意识 0 1-4 3.应确保对信息安全事件进行报告和处置 6.2.第 2级安全目标第：级信息系

44、统应实现以卜.目标。6.2.1.技术目标 02-1.应具有抵抗一般强度地震、台风等自然灾难造成破坏的能力 02-2.应具有防止雷击事件导致重要设备被破坏的能力 02-3.应具有防水和防潮的能力 02-4.应具有灭火的能力 02-5.应具有检测火灾和报警的能力 02-6.应具有温湿度自动检测和控制的能力 02-7.应具有防止电压波动的能力 02-8.应具有对抗短时间断

45、电的能力 02-9.应具有防止静电导致重要设备被破坏的能力 02-10.具有基本的抗电磁干扰能力 02-11.应具有对传输和存储数据进行完整性检测的能力 02-12.应具有对硬件故障产品进行替换的能力 02-13.应具有系统软件、应用软件容错的能力 02-14.应具有软件故障分析的能力-8-0 2-1 5.应具有合理使用和控制系统资源的能力 0 2-1 6.应具有记录用

46、户操作行为的能力 0 2-1 7.应具有对用户的误操作行为进行检测和报警的能力 0 2-1 8.应具有控制机房进出的能力 0 2-1 9.应具有防止设备、介质等丢失的能力 0 2-2 0.应具有控制机房内人员活动的能力 0 2-2 1.应具有控制接触重要设备、介质的能力 0 2-2 2.应具有对传输和存储中的信息进行保密性保护的能力 0 2-2 3.应具有对通信线路进行物

47、理保护的能力 0 2-2 4.应具有限制网络、操作系统和应用系统资源使用的能力 0 2-2 5.应具有能够检测对网络的各种攻击并记录其活动的能力 0 2-2 6.应具有发现所有已知漏洞并及时修补的能力 0 2-2 7.应具有对网络、系统和应用的访问进行控制的能力 0 2-2 8.应具有对数据、文件或其他资源的访问进行控制的能力 0 2-2 9.应具有对资源访问的行

48、为进行记录的能力 0 2-3 0.应具有对用户进行唯一标识的能力 0 2-3 1.应具有对用户产生复杂鉴别信息并进行鉴别的能力 0 2-3 2.应具有对恶意代码的检测、阻止和清除能力 0 2-3 3.应具有防止恶意代码在网络中扩散的能力 0 2-3 4.应具有对恶意代码库和搜索引擎及时更新的能力 0 2-3 5.应具有保证鉴别数据传输和存储保密性的能力 0 2-3 6

49、.应具有对存储介质中的残余信息进行删除的能力 0 2-3 7.应具有非活动状态一段时间后自动切断连接的能力 0 2-3 8.应具有网络边界完整性检测能力 0 2-3 9.应具有重要数据恢复的能力 6.2.2.管理目标 0 2-4 0.应确保建立了安全职能部门，配备了安全管理人员，支持信息安全管理工作 0 2-4 1.应确保配备了足够数量的管理人员，对系统进行运行维

50、护 0 2-4 2.应确保对主要的管理活动进行了制度化管理 0 2-4 3.应确保建立并不断完善、健全安全管理制度-9-0 2-4 4.应确保能协调信息安全工作在各功能部门的实施 0 2-4 5.应确保能控制信息安全相关事件的授权与审批 0 2-4 6.应确保建立恰当可靠的联络渠道，以便安全事件发生时能得到支持 0 2-4 7.应确保对人员的行为进行控制 0 2-4 8.应

展开阅读全文