蚂蚁文库
换一换
首页 蚂蚁文库 > 资源分类 > PDF文档下载
 

《信息系统安全等级保护基本要求》培训教材

  • 资源ID:55550095       资源大小:2.63MB        全文页数:59页
  • 资源格式: PDF        下载权限:游客/注册会员    下载费用:10积分 【人民币10元】
快捷注册下载 游客一键下载
会员登录下载
三方登录下载: 微信快捷登录 QQ登录  
下载资源需要10积分 【人民币10元】
邮箱/手机:
温馨提示:
支付成功后,系统会自动生成账号(用户名和密码都是您填写的邮箱或者手机号),方便下次登录下载和查询订单;
支付方式: 微信支付    支付宝   
验证码:   换一换

 
友情提示
2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,既可以正常下载了。
3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰   

《信息系统安全等级保护基本要求》培训教材

1 信息安全等级保护培训教材 信息系统安全等级保护基本要求 公安部 2007 年 7 月 2 目录 1 概述 3 1.1 背景介绍 . 3 1.2 主要作用及特点 . 3 1.3 与其他标准的关系 . 4 1.4 框架结构 . 4 2 描述模型 5 2.1 总体描述 . 5 2.2 保护对象 . 6 2.3 安全保护能力 . 6 2.4 安全要求 . 8 3 逐级增强的特点 9 3.1 增强原则 . 9 3.2 总体描述 10 3.3 控制点增加 11 3.4 要求项增加 11 3.5 控制强度增强 12 4 各级安全要求 . 13 4.1 技术要求 13 4.1.1 物理安全 13 4.1.2 网络安全 19 4.1.3 主机安全 24 4.1.4 应用安全 30 4.1.5 数据安全及备份恢复 36 4.2 管理要求 38 4.2.1 安全管理制度 38 4.2.2 安全管理机构 41 4.2.3 人员安全管理 44 4.2.4 系统建设管理 47 4.2.5 系统运维管理 52 3 本教材根据信息系统安全等级保护管理办法公通字[2007]43 号和关于开展全国 重要信息系统安全等级保护定级工作的通知公信安[2007]861 号文件,围绕信息安全等级 工作, 介绍信息系统安全建设和改造过程中使用的主要标准之一 信息系统安全等级保护基 本要求 (以下简称基本要求 ) ,描述基本要求的技术要求分级思路、逐级增强特点 以及具体各级安全要求。通过培训,使得用户能够了解基本要求在信息系统安全等级保 护中的作用、基本思路和主要内容,以便正确选择合适的安全要求进行信息系统保护。 1 概述 1.1 背景介绍 2004 年,66 号文件中指出“信息安全等级保护工作是个庞大的系统工程,关系到国家 信息化建设的方方面面,这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施, 信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。 ”信息安全等 级保护工作第一阶段为准备阶段,准备阶段中重要工作之一是“加快制定、完善管理规范和 技术标准体系” 。依据此要求, 基本要求列入了首批需完成的 6 个标准之一。 1.2 主要作用及特点 1. 主要作用 基本要求对等级保护工作中的安全控制选择、调整、实施等提出规范性要求,根据 使用对象不同,其主要作用分为三种 a 为信息系统建设单位和运营、使用单位提供技术指导 在信息系统的安全保护等级确定后, 基本要求为信息系统的建设单位和运营、使用 单位如何对特定等级的信息系统进行保护提供技术指导。 b 为测评机构提供评估依据 基本要求为信息系统主管部门,信息系统运营、使用单位或专门的等级测评机构对 信息系统安全保护等级的检测评估提供依据。 c 为职能监管部门提供监督检查依据 基本要求 为监管部门的监督检查提供依据, 用于判断一个特定等级的信息系统是否 按照国家要求进行了基本的保护。 2. 主要特点 基本要求 是针对每个等级的信息系统提出相应安全保护要求, “基本”意味着这些 要求是针对该等级的信息系统达到基本保护能力而提出的, 也就是说, 这些要求的实现能够 保证系统达到相应等级的基本保护能力, 但反过来说, 系统达到相应等级的保护能力并不仅 仅完全依靠这些安全保护要求。同时, 基本要求强调的是“要求” ,而不是具体实施方案 或作业指导书, 基本要求给出了系统每一保护方面需达到的要求,至于这种要求采取何 4 种方式实现,不在基本要求的描述范围内。 按照基本要求进行保护后,信息系统达到一种安全状态,具备了相应等级的保护能 力。 1.3 与其他标准的关系 从标准间的承接关系上讲  信息系统安全等级保护定级指南确定出系统等级以及业务信息安全性等级和 系统服务安全等级后,需要按照相应等级,根据基本要求选择相应等级的安全 保护要求进行系统建设实施。  信息系统安全等级保护测评准则是针对基本要求的具体控制要求开发的 测评要求,旨在强调系统按照基本要求进行建设完毕后,检验系统的各项保护 要求是否符合相应等级的基本要求。 由上可见, 基本要求在整个标准体系中起着承上启下的作用。 从技术角度上讲 基本要求的技术部分吸收和借鉴了 GB 178591999 标准,采纳其中的身份鉴别、数 据完整性、自主访问控制、强制访问控制、审计、客体重用(改为剩余信息保护)标记、可 信路径等 8 个安全机制的部分或全部内容,并将这些机制扩展到网络层、主机系统层、应用 层和数据层。 基本要求 的技术部分弱化了在信息系统中实现安全机制结构化设计及安全机制可信 性方面的要求, 例如没有提出信息系统的可信恢复, 但在 4 级系统提出了灾难备份与恢复的 要求,保证业务连续运行。 基本要求没有对隐蔽通道分析的安全机制提出要求。 此外, 基本要求的管理部分充分借鉴了 ISO/IEC 177992005 等国际上流行的信息安 全管理方面的标准,尽量做到全方位的安全管理。 1.4 框架结构 基本要求在整体框架结构上以三种分类为支撑点,自上而下分别为类、控制点和 项。其中,类表示基本要求在整体上大的分类,其中技术部分分为物理安全、网络安 全、主机安全、应用安全和数据安全及备份恢复等 5 大类,管理部分分为安全管理制度、 安全管理机构、人员安全管理、系统建设管理和系统运维管理等 5 大类,一共分为 10 大类。 控制点表示每个大类下的关键控制点,如物理安全大类中的“物理访问控制”作为一个控制 点。而项则是控制点下的具体要求项,如“机房出入应安排专人负责,控制、鉴别和记录进 入的人员。 ” 具体框架结构如图所示 5 图1-1 基本要求的框架结构 2 描述模型 2.1 总体描述 信息系统是颇受诱惑力的被攻击目标。 它们抵抗着来自各方面威胁实体的攻击。 对信息 系统实行安全保护的目的就是要对抗系统面临的各种威胁, 从而尽量降低由于威胁给系统带 来的损失。 能够应对威胁的能力构成了系统的安全保护能力之一对抗能力。但在某些情况下, 信息系统无法阻挡威胁对自身的破坏时, 如果系统具有很好的恢复能力, 那么即使遭到破坏, 也能在很短的时间内恢复系统原有的状态。 能够在一定时间内恢复系统原有状态的能力构成 了系统的另一种安全保护能力恢复能力。 对抗能力和恢复能力共同形成了信息系统的安 全保护能力。 不同级别的信息系统应具备相应等级的安全保护能力, 即应该具备不同的对抗能力和恢 复能力,以对抗不同的威胁和能够在不同的时间内恢复系统原有的状态。 针对各等级系统应当对抗的安全威胁和应具有的恢复能力, 基本要求提出各等级的 基本安全要求。 基本安全要求包括了基本技术要求和基本管理要求, 基本技术要求主要用于 对抗威胁和实现技术能力,基本管理要求主要为安全技术实现提供组织、人员、程序等方面 的保障。 各等级的基本安全要求,由包括物理安全、网络安全、主机系统安全、应用安全和数据 安全等五个层面的基本安全技术措施和包括安全管理机构、安全管理制度、人员安全管理、 第三级基本 要求 物 理 安 全

注意事项

本文(《信息系统安全等级保护基本要求》培训教材)为本站会员(zxj4123)主动上传,蚂蚁文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知蚂蚁文库(发送邮件至2303240369@qq.com或直接QQ联系客服),我们立即给予删除!

温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们


网站客服QQ:2303240369

copyright@ 2017-2027 mayiwenku.com 

网站版权所有  智慧蚂蚁网络

经营许可证号:ICP备2024020385号



收起
展开