信息系统安全等级保护基本要求和建设.ppt

2021
信息系统安全等级保护基本要求和建设
不同等级的安全保护能力
第三级
应能够在统一安全策略下防护系统免受来自外部有组织的团体(如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包括人员能力、计算能力等)的威胁源发起的恶意攻击
2021
信息系统安全等级保护基本要求和建设
不同等级的安全保护能力
第三级
应能够在统一安全策略下防护系统免受来自外部有组织的团体(如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾难(灾难发生的强度较大、持续时间较长、覆盖范围较广等)以及其他相当危害程度的威胁(内部人员的恶意威胁、无意失误、较严重的技术故障等)所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。
第四级
应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难(灾难发生的强度大、持续时间长、覆盖范围广等)以及其他相当危害程度的威胁(内部人员的恶意威胁、无意失误、严重的技术故障等)所造成的资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够迅速恢复所有功能。
不同等级的安全保护能力
能力
等级
抵御攻击
病毒和恶意代码防范
抵抗自然灾害
入侵检测
系统恢复
安全事件响应和责任追踪
资源控制
第一级
一般性攻击
常见病毒和恶意代码
无要求
无要求
恢复系统主要功能
无要求
无要求
第二级
小规模、较弱强度攻击
一般性计算机病毒和恶意代码
一般自然灾害
检测常见的攻击行为,并对安全事件进行记录
恢复系统正常运行状态
无要求
无要求
第三级
大规模、较强恶意攻击
病毒和恶意代码
较为严重的自然灾害
检测、发现、报警、记录入侵行为
快速恢复正常运行状态
响应处置,能够追踪安全责任
集中控管
第四级
统一的安全保护策略下具有抵御敌对势力有组
织的大规模攻击
病毒和恶意代码
严重自然灾害
检测、发现、报警、记录入侵行为
立即恢复正常运行状态
快速响应处置,并能够追踪安全责任
集中控管
基本要求的组织方式
„基本要求的组织方式
基本要求的主要内容
„基本技术要求的主要内容
第四部分——基本要求的主要内容
„基本管理要求的主要内容
第四部分——基本要求的主要内容
„基本技术要求的三种类型
根据保护侧重点的不同,技术类安全要求进一步细分为:
保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);
保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);
通用安全保护类要求(简记为G)。
第三部分第三部分——基本要求的应用要点
„信息系统定级后,不同安全保护等级的信息系统可能形成的定级结果组合如下:
第四级
第三级
第二级
第一级
第五部分——基本要求的级差
安全要求类
层面
一级
二级
三级
四级
技术要求
物理安全
7
10
10
10
网络安全
3
6
7
7
主机安全
4
6
7
9
应用安全
4
7
9
11
数据安全及备份恢复
2
3
3
3
管理要求
安全管理制度
2
3
3
3
安全管理机构
4
5
5
5
人员安全管理
4
5
5
5
系统建设管理
9
9
11
11
系统运维管理
9
12
13
13
合计
/
48
66
73
77
级差
/
/
18
7
4
控制点的分布
第五部分——基本要求的级差
安全要求类
层面
一级
二级
三级
四级
技术要求
物理安全
9
19
32
33
网络安全
9
18
33
32
主机安全
6
19
32
36
应用安全
7
19
31
36
数据安全及备份恢复
2
4
8
11
管理要求
安全管理制度
3
7
11
14
安全管理机构
4
9
20
20
人员安全管理
7
11
16
18
系统建设管理
20
28
45
48
系统运维管理
18
42
62
70
合计
/
85
175
290
318
级差
/
/
90
115
28
控制项的分布
三级基本技术要求及设计指南
设计目标
„第三级系统安全保护环境的设计目标是:按照GB17859-1999对第三级系统的安全保护要求,在第二级系统安全保护环境的基础上,通过实现基于安