【文档说明】第4章信息安全工程与等级保护.pptx，共(233)页，1.022 MB，由精品优选上传

转载请保留链接：https://www.ichengzhen.cn/view-291571.html

以下为本文档部分文字说明：

1第4章信息安全工程与等级保护第4章信息安全工程与等级保护4.1概述4.2等级保护的发展4.3等级保护与信息保障各环节的关系4.4实行信息安全等级保护的意义4.5信息系统安全等级保护的4.6信息系统的安全保护等级4.7信息系统安全等级保护体系4.8有关部门信息安

全等级保护工作经验本章小结2第4章信息安全工程与等级保护信息系统安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应

、处置。4.1概述3第4章信息安全工程与等级保护信息系统安全等级保护的核心观念是保护重点、适度安全，即分级别、按需要重点保护重要信息系统，综合平衡安全成本和风险，提高保护成效。信息安全等级保护是国际通行的做法，其思想源头可以追溯到美国的军事保密制度。自20世纪60年代以来，这一思想不断发展，日益完

善。等级保护原本是美军的文件保密制度，即著名的“多级安全”MLS(MultilevelSecurity)体系，即人员授权和文件都分为绝密、机密、秘密和公开4个从高到低的安全等级，低安全等级的操作人员不能获取高安全等级的文件。4第

4章信息安全工程与等级保护20世纪60年代，正在大力进行信息化的美军发现，使用计算机系统无法实现这一真实世界中的体系，当不同安全等级的数据存放于同一个计算机系统中时，低密级的人员总能找到办法获取高密级的文件。原因在于计算机系统的分时性(Time-Sha

ring)，因为从计算角度来看，使用多道程序(Multi-Programming)意味着多个作业同时驻留在计算机的内存中，而从存储方面看，各用户的数据都存储在同一个计算机中，因此一个用户的作业有可能会读

取其他用户的信息。5第4章信息安全工程与等级保护1970年，兰德公司W·威尔(W.Ware)指出，要把真实世界的等级保护体系映射到计算机中，在计算机系统中建立等级保护体系，必须重新设计现有的计算机系统。1973年，数学家D.E.Bell和L.J.LaPadula提出第一个形式化的安全模型—Be

ll-LaPadula模型(简称BLP模型)，从数学上证明在计算机中实现等级保护是可行的。基于BLP模型，美国霍尼韦尔(Honeywell)公司开发出了第一个完全符合BLP模型的安全信息系统—SCOMP多级保密系统。实践证明该系统可以

建立起符合等级保护要求的工作环境。6第4章信息安全工程与等级保护自此以后，世界各国在信息安全等级保护方面开始投入巨大的精力，并对信息安全技术的发展产生了深远的影响。作为信息安全领域的重要内容之一，信息安全工程同样置于等级

保护制度的指导之下。等级保护与信息安全的评估，以及建立在此基础上的信息安全测评认证制度密切相关。等级保护首先在信息安全的测评、评估方面得到了快速发展。7第4章信息安全工程与等级保护4.2.1信息安全评估准则的发展1.《可信计算

机系统评估准则》TCSECTCSEC是计算机系统安全评估的第一个正式标准，它的制定确立了计算机安全的概念，对其后的信息安全的发展具有划时代的意义。4.2等级保护的发展8第4章信息安全工程与等级保护该准则于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部作为国防部标准(Do

D5200.28)公布(由于采用了橘色封皮书，人们通常称其为“橘皮书”)。TCSEC将计算机系统的安全划分为4个等级、7个级别，如表4-1所示，由低到高分别为D、C1、C2、B1、B2、B3和A1。9第4章信息安全工程与等级保护表4

-1TCSEC的安全级别类别级别名称主要特征AA1验证设计按正式的设计规范来分析系统，并有核对技术确保设计规范B3安全区域很强的监视委托管理访问能力和抗干扰能力B2结构化保护可信任运算基础体制、面向安全的体系结构、隐通道约束BB1标记安全保护强制访问控制，具有灵敏

度安全标记C2受控访问控制单独的可追究性、广泛的审计踪迹，加强了可调的审慎控制CC1自主安全保护基本的自主访问控制，所有文档具有相同的保密性DD低级保护本地操作系统，或是一个完全没有保护的网络10第4章信息安全工程与等级保护随着安全等级的升高，系统要提供更多的安全功

能，每个高等级的需求都是建立在低等级的需求基础上。在7个级别中，B1级与B1级以下的安全测评级别，其安全策略模型是非形式化定义的，从B2级开始，则为更加严格的形式化定义，甚至引用形式化验证方法。TCSEC最初只是军

用标准，后来延至民用领域。第一个通过A1级测评的信息系统是SCOMP，此后有数十个信息系统通过测评。通过这些信息系统的开发，11第4章信息安全工程与等级保护访问控制、身份鉴别、安全审计、可信路径、可信恢复和客体重用

等安全机制的研究取得了巨大进展，结构化、层次化及信息隐藏等先进的软件工程设计理念也得到极大的推动，今天所使用的Windows、Linux、Oracle与DB2等软件都从中受益。但当时也存在限制TCSEC及其测评产品发展的因素，例如：·美国对信息安全产品出口的限制影响了这些产品的

市场拓展。12第4章信息安全工程与等级保护·为了达到高安全目标，这些信息系统不得不在性能、兼容性和易用性等方面做出牺牲。·TCSEC自身不够完备，它主要是从主机的需求出发，不针对网络安全要求。尽管美国此后又推出了包括TCSEC面向可

信网络解释(TNI，TrustedNetworkInterpretation)、可信数据库解释(TDI，TrustedDatabaseInterpretation)等30多个补充解释性文件，但仍不能很好地测评网络应用安全软件。此外，该标准偏重于测评安

全功能，不重视安全保证。13第4章信息安全工程与等级保护2.《信息技术安全评估准则》ITSEC1990年，由德国信息安全局(GISA，GermanyInformationSecurityAgency)发出号召，由英国、德国、法国和荷兰等国共同制定了

欧洲统一的安全评估标准—《信息技术安全评估准则》(ITSEC，InformationTechnologySecurityEvaluationCriteria)，较美国军方制定的TCSEC准则，在功能的灵活性和有关评估技术方面均有很大的进步。ITSEC是

欧洲多国安全评价方法的综合产物，应用于军队、政府和商业等领域。该标准将安全概念分为功能与评估两部分。14第4章信息安全工程与等级保护功能准则从F1至F10共分10级。1～5级对应于TCSEC的D到A，F6至F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以

及网络安全的保密性和完整性。与TCSEC不同，ITSEC并不把保密措施直接与计算机功能相联系，而是只叙述技术安全的要求，把保密作为安全增强功能。另外，TCSEC把保密作为安全的重点，而ITSEC则把完整性、可用性与保密性作为同等重要的因素。ITSEC定

义了从E0级(不满足品质)到E6级(形式化验证)的7个安全等级，对于每个系统，安全功能可分别定义。15第4章信息安全工程与等级保护在相同的时期，加拿大也制定了《加拿大计算机产品评估准则》第一版(CTCPEC，CanadianTrust

edComputerProductEvaluationCriteria)，第三版于1993年公布，它吸取了ITSEC和TCSEC的长处。此外，美国政府也进一步发展了对评估标准的研究，于1991年公布了《信息技术安全性评价

组合联邦准则》的1.0版草案(FC)，其目的是提供TCSEC的升级版本，它只是一个过渡标准。FC的主要贡献是定义了保护框架(PP，ProtectionProfile)和安全目标(ST，SecurityTarget)，16第4章信

息安全工程与等级保护用户负责书写保护框架，以详细说明其系统的保护需求，而产品厂商定义产品的安全目标，阐述产品安全功能及信任度，并与用户的保护框架相对比，以证明该产品满足用户的需要。于是在FC的架构下，安全目标成为评价的基础。安全目标必须用具体的语言和有力的证据来说明保护框架中的抽象描述是

如何逐条地在所评价的产品中得到满足的。17第4章信息安全工程与等级保护3.《信息技术安全评价通用准则》CC1993年6月，美国政府同加拿大及欧共体共同起草单一的通用准则(CC标准)并将其推到国际标准。制定CC标准的

目的是建立一个各国都能接受的通用信息安全产品和系统的安全性评估准则。在美国的TCSEC、欧洲的ITSEC、加拿大的CTCPEC、美国的FC等信息安全准则的基础上，由6个国家7方(美国国家安全局和国家技术标准研究所、加、英、法、德、荷)共

同提出了《信息技术安全评价通用准则》(CC，TheCommonCriteriaforInformationTechnologysecurityEvaluation)，它综合了已有的信息安全准则和标准，形成了一个更全面的框架。18第4章信息安全工程与等级保护CC标准是信息技术

安全性评估的标准，主要用来评估信息系统、信息产品的安全性。CC标准的评估分为两个方面：安全功能需求和安全保证需求，这两个方面分别继承了TCSEC和ITSEC的特征。CC标准根据安全保证要求的不同，建立了从功能性测试到形式化验证设计和

测试的7级评估体系。从等级保护的思想上来说，CC标准比TCSEC更认同实现安全渠道的多样性，从而扩充了测评的范围。19第4章信息安全工程与等级保护TCSEC对各类信息系统规定统一的安全要求，认为必须具备若干功能的系统才算得上某个等级的可信系统，而CC标准则

承认各类信息系统具有灵活多样的信息安全解决方案，安全产品无需具备很多的功能，而只需证明自己确实能够提供某种功能即可。1996年CC标准1.0版本出版，2.0版本在1998年正式公行。1999年12月CC2.0版被ISO批准为国际

标准，即ISO/IEC15408《信息产品通用测评准则》。我国于2001年将CC标准等同采用为国家标准，即GB/T18336《信息技术安全性评估准则》。20第4章信息安全工程与等级保护图4-1信息安全评估准则的国际发展21第4章信息安全工程与等级保护目

前已经有17个国家签署了互认协议，即一个产品在英国通过CC评估之后，在美国就不需要再进行评估了，反之亦然。我国目前尚未加入互认协议。在用户的安全需求和安全技术、管理安全及架构安全各方面进步的推动下，等

级保护思想不断丰富和完善，等级保护体系迎来了一个新的综合时代。2003年12月，美国通过了《联邦信息和信息系统安全分类标准》(FIPS199)，描述了如何确定一个信息系统的安全类别。22第4章信息安全工程与等级保护这里安全类别就是一个等级保

护概念，其定义建立在事件的发生对机构产生潜在影响的基础上，分为高、中、低3个影响等级，并按照系统所处理、传输和存储的信息的重要性确定系统的级别。为配合FIPS199的实施，NIST分别于2004年6月推出

了SP800-60第一、第二部分《将信息和信息系统映射到安全类别的指南》及其附件，详细介绍了联邦信息系统中可能运行的所有信息类型，针对每一种信息类型，介绍了如何去选择其影响级别，并给出了推荐采用的级别。23第4章信息安全工程与等级保护信息系统的

保护等级确定后，需要有一整套的标准和指南规定如何为其选择相应的安全措施。NIST的SP800-53《联邦信息系统推荐安全控制》为不同级别的系统推荐了不同强度的安全控制集(包括管理、技术和运行类)。SP800-53还提出了3类安全控制(包括管理、技

术和运行)，它汇集了美国各方面的控制措施的要求，包括FISCAM《联邦信息系统控制审计手册》、SP800-26《信息技术系统安全自评估指南》和ISO17799《信息系统安全管理实践准则》等等。24第4章信息安全工程与等级保护无论从思想上、架构上还是行

文上，SP800系列标准都对我国《信息系统安全等级保护基本要求》(GB/T22239—2008)等标准有直接的影响。25第4章信息安全工程与等级保护4.2.2中国等级保护的发展表4-2给出了我国开展信息安全等级保护工作的简要历程。26第4章信息安全工程与等

级保护表4-2开展信息安全等级保护工作的国家政策和依据颁布时间文件名称文号颁布机构内容及意义1994年2月18日《中华人民共和国计算机信息系统安全保护条例》国务院147号令国务院第一次提出信息系统要实行等级保护，并确定了等级保护的职责单位，并成为等级

保护的法律基础1999年9月13日《计算机信息系统安全保护等级划分准则》GB17859—1999国家质量技术监督局将我国计算机信息系统安全保护划分为五个等级，这成为等级保护的技术基础和依据2003年9月7日《国家信息化领导小组关于加强信息安全保障工作的意见》中

办发[2003]27号中共中央办公厅、国务院办公厅明确指出“实行信息安全等级保护”，并确定了信息安全等级保护制度的基本内容2004年9月15日《关于信息安全等级保护工作的实施意见》公通字[2004]66号将等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障的一项基本制度

2007年6月22日《信息安全等级保护管理办法》公通字[2007]43号公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室明确了信息安全等级保护制度的基本内容、流程及工作要求，明确了信息系统运营使用单位和主

管部门、监管部门在信息安全等级保护工作中的职责、任务2009年10月27日《关于开展信息安全等级保护安全建设整改工作的指导意见》公信安[2009]1429号公安部指导各地区、部门在等级保护定级工作基础上，开展已定级系统(除涉国家机密)的安全整改工作27第4章信息安全工程与等级保护199

4年2月18日，国务院发布的《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。这份条例被视为我国实施等级保护的法律基础

，标志着我国的信息安全建设开始走上规范化、法制化的道路。1999年9月13日，国家质量技术监督局发布了强制性国家标准GB17859—1999：《计算机信息系统安全保护等级划分准则》，28第4章信息安全工程与等级保护将我国

计算机信息系统安全保护划分为5个等级。这是我国等级保护的技术基础和依据，它参照TCSEC，取消了D级和A1级，保留5个定级，保留TCSEC的全部安全功能，并增加了少量有关数据完整性和网络信息传输的要求。与TCSEC一样，GB17859用于对计算机信息系统安全保护技术能力等级的划分，安全保护

能力随着安全保护等级的增高逐渐增强，构成金字塔结构，低等级要求是高等级要求的真子集。29第4章信息安全工程与等级保护如上节所述，2001年我国引入CC2.0的ISO/IEC15408，并作为国家标准，即《信息技术安全性评估准则》(GB/

T18336—2001)。已经有一些测评中心使用该标准测评信息系统。此外，一批参照国外安全管理标准制定的标准相继出台。2003年9月7日，中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行

信息安全等级保护”，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。30第4章信息安全工程与等级保护2004年9月15日，由公安部、国

家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)，明确了实施等级保护的基本做法。2007年6月22日，上述四单位又联合下发了《信息安全等级保护管理办法》(公通字[2007]43号)，规范了信息安全等级保护

的管理，并于同年7月20日，在北京联合召开“全国重要信息系统安全等级保护定级工作电视电话会议”，31第4章信息安全工程与等级保护开始部署在全国范围内开展重要信息系统安全等级保护定级工作，中国信息安全等级保护建设进入一个新阶段。作为一个标志性的国标，《信息系统安全等级保护基本要求》(

GB/T22239—2008)的发布为信息安全等级测评提供了具体的标尺，是等级保护的一个路标。该标准以信息安全的5个属性为基本内容，从实现信息安全的5个层面，按照信息安全5个等级的不同要求，分别对安全信息系统的构建过程、测评

过程和运行过程进行控制和管理，实现对不同信息类别按不同要求进行分等级安全保护的总体目标。GB/T22239结构清晰，要点清楚，可操作性强，32第4章信息安全工程与等级保护为标准的实施打下了良好基础。这也表明，中国的等级保护思想已经从信息产品的安全性和可信度测评转向信息系统的安全保护

能力测评，这是一个包含物理环境、安全技术、安全管理和人员安全等各个方面的全面、综合、动态的测评。与GB/T22239配套国家标准还有《信息系统安全保护等级定级指南》(GB/T22240—2008)、《信息系统等级保护安全设计技术要求》(GB/T25070—2010)等。

经过多年的发展，中国的等级保护相关标准体系已蔚为大观。33第4章信息安全工程与等级保护2009年10月27日，由公安部发出了《关于开展信息安全等级保护安全建设整改工作的指导意见》的函件(公信安[2009]1429号)，进一步贯彻落实了国家信息安全等级保护制度，指导各地区、各部门在

信息安全等级保护定级工作基础上，开展已定级信息系统(不包括涉及国家秘密信息系统)安全建设整改工作。目前，我国计算机信息系统安全等级保护建设工作已全面展开，得到了长足的发展，34第4章信息安全工程与等级保护等级保护制度已初步得到确立。在立足本国国情，引进CC方法学

，与国际先进标准接轨的过程中，正在加强理论研究，吸收TCSEC、ITSEC等方法学，大胆创新，走适合于中国国情的道路。35第4章信息安全工程与等级保护等级保护，以及风险评估、应急处理和灾难恢复是信息安全保障的主要环节，对等于PDRR安全模型中的保护

、检测、响应和恢复等要素。各环节前后连接、融为一体。4.3等级保护与信息保障各环节的关系36第4章信息安全工程与等级保护等级保护是以制度的方式确定保护对象的重要程度和要求，风险评估是检测评估是否达到保护要求的量度工具，应急处理是将剩余风险因突发事件引起

的损失降低到可接受程度的对应手段，而灾难恢复是针对发生灾难性破坏时所采取的由备份进行恢复的措施。它们都是为使一个确定的保护对象的资产少受或不受损失所进行的各个保障环节，缺一不可，必须从总体进行统一部署和保障。等级保护应根据信息系统的综合价值和综合能力保

证的要求不同以及安全性破坏造成的损失大小来确定其相应的保护等级。37第4章信息安全工程与等级保护等级保护并不是信息安全保障的唯一环节。等级保护、风险评估、应急处理和灾难恢复在信息安全保障的风险管理中一个都不能少，它们对确保信息安全都有至关重要的意义。科学合理地确定安全保

护等级是实施全程的风险管理的需求和目标，而其他环节是为信息系统提供有效的风险管理手段。等级保护不仅是对信息安全产品或系统的检测、评估以及定级，更重要的是，等级保护是围绕信息安全保障全过程的一项基础性的管理制度，是一项基础性和制度性的工作，它是贯穿于信息安全保障各环节工作的大过程，而不是一个具体

的措施。38第4章信息安全工程与等级保护信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息安全等级保护工作是实现国家对重要信息系统重点保护的重大措施。通过开展信息安全等级保护工作，可以有效解决我国信息安全面临的威胁和存在的主要问题，4.4实行信息安全等级保护的意义39

第4章信息安全工程与等级保护充分体现“适度安全、保护重点”的目的，将有限的财力、物力、人力投入到重要的信息系统安全保护中，按标准建设安全保护措施，建立安全保护制度，落实安全责任，有效地保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全，有

效提高我国信息安全保障工作的整体水平。信息安全等级保护是当今发达国家保护关键信息基础设施，保障信息安全的通行做法，也是我国多年来信息安全工作经验的总结。实施信息安全等级保护，有以下重要的意义：40第4章信息安全工程与等级保护(1)有利于在信息化建设过程中同

步建设信息安全设施，保障信息安全与信息化建设相协调。(2)有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务。(3)有利于优化信息安全资源的配置，对信息系统分级实施保护，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息

系统的安全。(4)有利于明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理。41第4章信息安全工程与等级保护(5)有利于推动信息安全产业的发展，逐步探索出一条适应社会主义市场经济发展的信息安全模式。

42第4章信息安全工程与等级保护4.5.1等级保护的基本原理实现信息系统安全等级保护的基本原理是：根据信息系统所承载的业务应用的不同安全需求，采用不同的安全保护等级，对不同的信息系统或同一信息系统中的不同安全域进行不同程度的安全保护，以实现对信息系统及其所存储、传输和处理的数据信息在

安全保护方面，达到确保重点，照顾一般，适度保护，合理共享的目标。4.5信息系统安全等级保护的基本原理和方法43第4章信息安全工程与等级保护4.5.2等级保护的基本方法1.分区域分等级安全保护对于一个庞大而复杂的信息系统，其中所存储、传输和处理的数据信息会有不同的安全保护需求，因而不能采用单一等级的

安全保护机制实现全系统的安全保护，应分区域分等级进行安全保护。分区域分等级保护体现了信息安全等级保护的核心思想。分区域分等级安全保护的基本思想是：对于信息系统中具有不同安全保护需求的信息，在对其实现按保

护要求相对集中地进行存储、传输和处理的基础上，通过划分保护区域，实现不同区域不同等级的安全保护。44第4章信息安全工程与等级保护这些安全区域并存于一个信息系统之中，可以相互独立，也可以相互嵌套(较高等级的安全域嵌套于较低等级

的安全域中)。每一个安全域是一个相对独立的运行和使用环境，同时又是信息系统的不可缺少的组成部分。安全域之间按照确定的规则实现互操作和信息交换。图4-2和图4-3分别给出了安全域之间相互嵌套关系的两种极端情况的表示。45第4章信息安全工程与等级保护图

4-2五级完全嵌套的安全域关系46第4章信息安全工程与等级保护图4-3五级全不嵌套的完全并列的安全域关系47第4章信息安全工程与等级保护图4-2是具有全嵌套关系安全域的极端情况。这只是一种理论上的表示，实际系统可能会只有一层嵌套或两层

嵌套，或者几个嵌套并存。比如在我国，因为当前安全技术发展的水平限制，还不能满足信息化发展需要的实际情况，在这样的条件下，对四级和五级安全域可采用与较低级安全域实行安全隔离的措施，以弥补技术措施的不足。图4-3是具有全并列关系安全域的极端情况，是各个级别安全

域不具有任何嵌套关系的示意图。实际系统存在只有其中的部分安全域的情况。48第4章信息安全工程与等级保护在一个具体的信息系统中，实际情况可能千变万化，可能只有并列安全域，也可能只有嵌套安全域，或者既有嵌套安全域也有并列安

全域。49第4章信息安全工程与等级保护2.内部保护和边界保护边界是一个十分宽泛的概念。首先，每一个信息系统都有一个外部边界(也称为大边界)，其边界防护就是对经过该边界进/出该信息系统的信息进行控制。如果把我

国国内的所有公共网络上运行的信息处理系统看成是一个庞大的信息系统，其边界就是对国外的网络连接接口。为了国家的利益，需要在这些边界上进行信息安全的控制，遵照我国有关法律和政策、法规的规定，允许某些信息的进/出，阻止某些信息

的进/出。这种网络世界虚拟边界的控制与现实社会中海关的进/出口控制基本思想是完全一样的。50第4章信息安全工程与等级保护其次，在信息系统内部，每一个安全域都有一个需要进行保护的边界(也称为小边界)。其边界防护

就是对经过该边界进/出该安全域的信息进行控制。按照所确定的安全需求，允许某些信息进/出该安全域，阻止某些信息进/出该安全域。按照层层防护的思想，信息安全系统的安全包括内部安全和边界防护。边界防护又分为外部边界(大边界)防护

和内部边界(小边界)防护。大/小边界通过必要的安全隔离和控制措施对连接部位进行安全防护。由于采用了必要的安全隔离和控制措施，这种边界可以认为是安全的。51第4章信息安全工程与等级保护内部保护和边界防护体现层层防护的思

想。无论是整个信息系统还是其中的安全域，都可以从内部保护和边界防护两方面来考虑其安全保护问题。尽管许多安全机制既适用于内部保护也适用于边界防护，但由于内部和边界之间的相对关系，对于整个信息系统来讲是内部保护的机制，对于一个安全域来讲可能就是边界防护，例如：·典型的边界防护可采用防火墙、信息过滤

、信息交换控制等。它们既可以用于信息系统的最外部边界防护，也可以用于信息系统内部各个安全域的边界防护。52第4章信息安全工程与等级保护·入侵检测、病毒防杀既可以用于边界防护也可以用于内部保护。·身份鉴别、访问控制、安全审计、数据存储保护、数据传输保护等是内部保护常用的

安全机制，也可用做对用户和信息进/出边界的安全控制。53第4章信息安全工程与等级保护3.网络安全保护网络安全保护是信息系统安全保护的重要组成部分。在由多个服务器组成的安全局域计算环境和多个终端计算机连接组成的安全用户环境中，实现服务器之间连接/终端计算机之间

连接的网络通常是称为局域网的计算机网络。这些局域网担负着服务器之间/端计算机之间数据交换的任务，其安全性对于确保相应的安全局域计算环境和安全用户环境达到所要求的安全性目标具有十分重要的作用。54第4章信息安全工程与等级保护可以说，一个

安全局域计算环境是由组成该计算环境的安全服务器及实现这些服务器连接的安全局域网共同组成的，而一个安全用户环境则由组成该用户环境的安全终端计算机及实现这些终端计算机连接的安全局域网共同组成。按照安全域的安全一致性原理，由相同安全等级的服务器组成的安全局域计算环境需要相应安全等级的局域网实现连接，由相

同安全等级的终端计算机组成的安全用户环境需要相应安全等级的局域网实现连接。55第4章信息安全工程与等级保护对于一个由多个安全局域计算环境和多个安全用户环境组成的安全信息系统，实现安全局域计算环境之间、安全局域计

算环境与安全用户环境之间连接的网络通常是称为广域网的计算机网络。这些广域网担负着安全局域计算环境之间及安全局域计算环境与安全用户环境之间数据交换的任务，其安全性对于确保相应安全信息系统达到所要求的安全性目标具有十分重要

的作用。可以说，一个安全的信息系统是由组成该信息系统的各个安全局域计算环境和安全用户环境及实现这些安全局域计算环境和安全用户环境连接的安全广域网共同组成的。56第4章信息安全工程与等级保护一个信息系统可能会由多个不同安全等级的安全局域计算

环境和安全用户环境组成，于是，实现其连接的广域网就需要提供不同的安全性支持。这种对同一网络环境的不同安全要求通常通过采用构建虚拟网络的形式来实现。57第4章信息安全工程与等级保护4.5.3关于安全域安全域是从安全

的角度对信息系统进行的划分。按照信息安全等级保护关于保护重点的基本思想，需要根据信息系统中信息和服务的不同安全需求，将信息系统进一步划分安全域。安全域的基本特征是安全域应有明确的边界。安全域的划分可以是物理的，也可以是逻辑的，从而安全域的边界也可以是物理的或是逻辑

的。一个复杂信息系统，根据其安全保护要求的不同，可以划分为多个不同的安全域。58第4章信息安全工程与等级保护安全域是信息系统中实施相同安全保护策略的单元，域内不同的实体可以重新组合成子域或交叉域。一个网络系统的安全域

划分示例如图4-4所示。59第4章信息安全工程与等级保护图4-4一个网络系统的安全域划分数据库服务应用服务Web服务外部用户域核心处理域一般服务域文件服务邮件服务开发服务打印服务证书服务Scanner路由器Firewall路由器内部用户域管理员用户域IDSAnti-VirusInt

ernet一般网络设备域安全设备域内部域外部域交换机FirewallFirewall60第4章信息安全工程与等级保护安全域的划分以业务应用为基本依据，以数据信息保护为中心。一个业务信息系统/子系统，如果具有相同的安全保护要求，则可以将其划分为一个安全域；如果具

有不同的安全保护要求，则可以将其划分为多个安全域。例如，一个数据集中存储的事务处理系统，往往集中存储和处理数据的中心主机/服务器具有比终端计算机更高的安全保护要求。这时，可以根据需要将这个系统划分为两个或多个进行不同安全保护

的安全域。61第4章信息安全工程与等级保护根据以上关于安全域的概念和划分方法，一个信息系统可以是单一安全域(通常是小型的简单的信息系统)，也可以是多安全域(通常是大型的复杂的信息系统)。本章以安全域为基础来描述信息系统的分等级安全保护。在实施等级保护等信息系统中，安全域可以映射为整个信息系统(整个

信息系统是一个安全域)，也可以映射为信息系统的子系统(多个子系统构成多个安全域)。62第4章信息安全工程与等级保护4.6.1安全保护等级的划分根据GB17859《计算机信息系统安全保护等级划分准则》，我国计算机信息系统安全保护划分

为以下5个等级。4.6信息系统的安全保护等级63第4章信息安全工程与等级保护第一级：用户自主保护级。具有第一级安全的信息系统，一般是运行在单一计算机环境或网络平台上的信息系统，需要依照国家相关的管理规定和技术标准，自主进行适当的安全控制，重点防止来自外部的攻击。技术方面的安全控制，重点保护

系统和信息的完整性、可用性不受破坏，同时为用户提供基本的自主信息保护能力；管理方面的安全控制包括从人员、法规、机构、制度、规程等方面采用基本的管理措施，确保技术的安全控制达到预期的目标。64第4章信息安全工程与等级保护按照GB17859中4

.1的要求，从组成信息系统安全的五个方面对信息系统进行安全控制，既要保护系统的安全性，又要保护信息的安全性，采用“身份鉴别”、“自主访问控制”、“数据完整性”等安全技术，提供每一个用户具有对自身所创建的数据信息进行安全控制的能力。首先，用户自己应能以各种方式访问这些数据信息。其次，

用户应有权将这些数据信息的访问权转让给别的用户，并阻止非授权的用户访问数据信息。65第4章信息安全工程与等级保护在系统安全方面，要求提供基本的系统安全运行保证，以提供必要的系统服务。在信息安全方面，重点是保护数据信息和系统信

息的完整性不受破坏，同时为用户提供基本的自主信息保护能力。在安全性保证方面，要求安全机制具有基本的自身安全保护，以及安全功能的设计、实现及管理方面的基本要求。在安全管理方面，应进行基本的安全管理，建立必要的规章和制度，做到分工明确，责任落实，确保系统所设置的各种安全功

能发挥其应有的作用。66第4章信息安全工程与等级保护根据公信安[2009]1429号文件，第一级信息系统经过安全建设后，应具有抵御一般性攻击的能力，防范常见计算机病毒和恶意代码危害的能力；系统遭到损害后，具有恢复系统主要功能的能力。67第4章信息安

全工程与等级保护第二级：系统审计保护级。具有第二级安全的信息系统，一般是运行于计算机网络平台上的信息系统，需要在信息安全监管职能部门指导下，依照国家相关的管理规定和技术标准进行一定的安全保护，重点防止来自外部的攻击。技术方面的安全控制包括采用一定的信息安全技术，对信息系

统的运行进行一定的控制和对信息系统中所存储、传输和处理的信息进行一定的安全控制，以提供系统和信息一定强度的保密性、完整性和可用性；管理方面的安全控制包括从人员、法规、机构、制度、规程等方面采取一定的管理措施，确保技术的安全控制达到预期的目标。68第4章信息安

全工程与等级保护按照GB17859中4.2的要求，从组成信息系统安全的五个方面对信息系统进行安全控制，既要保护系统的安全性，又要保护信息的安全性。在第一级安全的基础上，该级增加了“审计”与“客体重用”等安全要求，要求在系统的整个生命周期进行身份鉴别，每一个用户具有唯一标识，使用户要对自己的行

为负责，具有可查性。同时，要求自主访问控制具有更细的访问控制力度。在系统安全方面，要求能提供一定程度的系统安全运行保证，以提供必要的系统服务。69第4章信息安全工程与等级保护在信息安全方面，对数据信息和系统信息在保密性、完整性和可用性方面

均有一定的安全保护。在安全性保证方面，要求安全机制具有一定的自身安全保护，以及对安全功能的设计、实现及管理方面的一定要求。在安全管理方面，要求具有一定的安全管理措施，健全各项安全管理的规章制度，对各类人员进行不同层次要求的安全

培训等，确保系统所设置的各种安全功能发挥其应有的作用。70第4章信息安全工程与等级保护根据公信安[2009]1429号文件，第二级信息系统经过安全建设后，应具有抵御小规模、较弱强度恶意攻击的能力，抵抗一般自然灾害的能力，防范一般性计算机病毒和恶意代码危害的能力；具有检测常见的攻击行为，

并对安全事件进行记录的能力；系统遭到损害后，具有恢复系统正常运行状态的能力。71第4章信息安全工程与等级保护第三级：安全标记保护级。具有第三级安全的信息系统，一般是运行于计算机网络平台上的信息系统，需要依照国家相关的

管理规定和技术标准，在信息安全监管职能部门的监督、检查、指导下进行较严格的安全控制，防止来自内部和外部的攻击。技术方面的安全控制包括采用必要的信息安全技术，对信息系统的运行进行较严格的控制和对信息系统中存储、传输和处理的信息进行较严格的安全控制，以提供系统和信息

的较高强度保密性、完整性和可用性；72第4章信息安全工程与等级保护管理方面的安全控制包括从人员、法规、机构、制度、规程等方面采取较严格的管理措施，确保技术的安全控制达到预期的目标。按照GB17859中4.3的要求，从组成信息系统

安全的五个方面对信息系统进行安全控制，既要保护系统安全性，又要保护信息的安全性。在第二级安全的基础上，该级增加了“标记”和“强制访问控制”要求，从保密性保护和完整性保护两方面实施强制访问控制安全策略，73第

4章信息安全工程与等级保护增强了特权用户管理，要求对系统管理员、系统安全员和系统审计员的权限进行分离和限制。同时，对身份鉴别、审计、数据完整性、数据保密性和可用性等安全功能均有更进一步的要求。要求使用完整性敏感标记

，确保信息在网络传输中的完整性。在系统安全方面，要求有较高程度的系统安全运行保证，以提供必要的系统服务。在信息安全方面，对数据信息和系统信息在保密性、完整性和可用性方面均有较高的安全保护，应有较高强度的密

码支持的保密性、完整性和可用性机制。在安全性保证方面，要求安全机制具有较高程度的自身安全保护，74第4章信息安全工程与等级保护以及对安全功能的设计、实现及管理的较严格要求。在安全管理方面，要求具有较严格的安全管理措施，设置安全管理中心，建立必要的安全管理机构，按

要求配备各类管理人员，健全各项安全管理的规章制度，对各类人员进行不同层次要求的安全培训等，确保系统所设置的各种安全功能发挥其应有的作用。根据公信安[2009]1429号文件，第三级信息系统经过安全建设后，应具有在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力，抵抗较为严重自然灾害的能力

，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵行为的能力；75第4章信息安全工程与等级保护具有对安全事件进行响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务

保障性要求高的系统，应能快速恢复正常运行状态；具有对系统资源、用户、安全机制等进行集中管控的能力。第四级：结构化保护级。具有第四级安全的信息系统，一般是运行在限定的计算机网络平台上的信息系统，应依照国家相关的管理规定和技术标准

，在信息安全监管职能部门的强制监督、检查、指导下进行严格的安全控制，重点防止来自内部的越权访问等攻击。76第4章信息安全工程与等级保护技术方面的安全控制包括采用有效的信息安全技术，对信息网络系统的运行进行严格的控制

和对信息网络系统中存储、传输和处理的信息进行严格的安全控制，保证系统和信息具有高强度的保密性、完整性和可用性；管理方面的安全控制包括从人员、法规、机构、制度、规程等方面采取严格的管理措施，确保技术的安全控

制达到预期的目标，并弥补技术方面安全控制的不足。按照GB17859中4.4的要求，从组成信息系统安全的五个方面对信息系统进行安全控制，既要保护系统的安全性，又要保护信息的安全性。77第4章信息安全工程与等级保护在第三级安全的基础上，该级要求将自主访问控制和强制访问控制扩展到系统的所有主体与客

体，并包括对输入、输出数据信息的控制，相应地其他安全要求，如数据存储保护和传输保护也应有所增强，对用户初始登录和鉴别则要求提供安全机制与登录用户之间的“可信路径”。本级强调通过结构化设计方法和采用“存储隐蔽信道”分析等技术，使系统设计与实现能获得更充分的测试和更完整的复审，具有更高的安全强

度和相当的抗渗透能力。78第4章信息安全工程与等级保护在系统安全方面，要求有更高程度的系统安全运行保证，以提供必要的系统服务。在信息安全方面，对数据信息和系统信息在保密性、完整性和可用性方面要有更高的安全保护，应有更高强度的密码或其他具有相当安全强度的

安全技术支持的保密性、完整性和可用性机制。在安全性保证方面，要求安全机制具有更高的自身安全保护，以及对安全功能的设计、实现及管理的更高要求。在安全管理方面，要求具有更严格的安全管理措施，设置安全管理中心，建立必要的安全管理机构，79第4章信息安全工程与等级保护按要求配

备各类管理人员，健全各项安全管理的规章制度，对各类人员进行不同层次要求的安全审查和培训等，确保系统所设置的各种安全功能发挥其应有的作用。对于某些从技术上还不能实现的安全要求，可以通过增强安全管理的方法或通过物理隔离的方法实现。根据公信安[2009]1

429号文件，第四级信息系统经过安全建设后，应具有在统一的安全保护策略下具有抵御敌对势力有组织的大规模攻击的能力，抵抗严重自然灾害的能力，防范计算机病毒和恶意代码危害的能力；80第4章信息安全工程与等级保护具有检测、发现、报警、记录入侵行为的能力；具有对安全事件进行快速响应处置，并能

够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的系统，应能立即恢复正常运行状态；具有对系统资源、用户、安全机制等进行集中管控的能力。第五级：访问验证保护级。具有第五级安全的信息系统，一般是运行在限定的局域网环境内的计算机网络平台

上的信息系统，需要依照国家相关的管理规定和技术标准，在国家指定的专门部门、专门机构的专门监督下进行最严格的安全控制，81第4章信息安全工程与等级保护重点防止来自内外勾结的集团性攻击。技术方面的安全控制包括采用当前最有效的信息安全技术，以及采用非技术措施，

对信息系统的运行进行最严格的控制和对信息系统中存储、传输和处理的信息进行最严格的安全保护，以提供系统和信息的最高强度保密性、完整性和可用性；管理方面的安全控制包括从人员、法规、机构、制度、规程等方面采取最

严格的管理措施，确保技术的安全控制达到预期的目标，并弥补技术方面安全控制的不足。82第4章信息安全工程与等级保护按照GB17859中4.5的要求，从组成信息系统安全的五个方面对信息系统进行安全控制，既要保护系统安全

性，又要保护信息的安全性。在第四级安全的基础上，该级提出了“可信恢复”的要求，以及要求在用户登录时建立安全机制与用户之间的“可信路径”，并在逻辑上与其他通信路径相隔离。本级重点强调“访问监控器”本身的可验证

性；要求访问监控器仲裁主体对客体的所有访问；要求访问监控器本身是抗篡改的，应足够小，能够分析和测试，并在设计和实现时，从系统工程角度将其复杂性降低到最小程度。83第4章信息安全工程与等级保护系统安全方面，要求有最高程度的系统安全运行保证，以提供必要的系统服务。在信息安全方面，对数据信息和系统信息

在保密性、完整性和可用性方面均有最高的安全保护，应有最高强度的密码或其他具有相当安全强度的安全技术支持的保密性、完整性和可用性机制。在安全性保证方面，要求安全机制具有最高的自身安全保护，以及对安全功能的设计、实现及管理的最高要求。在

安全管理方面，要求具有最严格的安全管理措施，84第4章信息安全工程与等级保护设置安全管理中心，建立必要的安全管理机构，按要求配备各类管理人员，健全各项安全管理的规章制度，对各类人员进行不同层次要求的安全审查和培训等，确保系统所设置的各种安全功能发挥其应有的作用。综合上述，GB17859中

各级提出的安全要求可归纳为10个安全要素：自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐藏信道分析、可信路径、可信恢复。在所有的安全评估标准中，不同安全等级的差异均体现在两个方面：各级间安全要素要求的有无和要求的强弱，在

GB17859中也不例外。表4-3给出了GB17859中10个要素与安全等级的关系。85第4章信息安全工程与等级保护表4-3GB17859中10个要素与安全等级的关系安全等级安全要素第一级用户自主保护级第二级系统审计

保护级第三级安全标记保护级第四级结构化保护级第五级访问验证保护级自主访问控制***********强制访问控制******标记*****身份鉴别*************客体重用****审计**********数据完整性******

*******隐藏信道分析**可信路径***可信恢复***********86第4章信息安全工程与等级保护4.6.2安全保护等级的确定1.按信息资源的重要性及损害程度确定信息系统的总体安全需求等级按照一个单位的信息系统所承载的业务应用软件系统所管理

和控制的相关资源(含信息资源和其他资源)涉及的客体的重要性，根据公通字[2004]66号文件的规定，可以定性地对该单位的信息系统应具有的总体安全保护要求进行评估，确定目标信息系统需要进行保护的等级。66号文件所规定的安全等级的划分，是在假定安全

威胁相同的情况下，从国家利益出发，考虑到信息系统的资产价值(重要性)提出的安全需求。87第4章信息安全工程与等级保护在具体进行安全需求等级的确定时，还应充分考虑该单位自身的安全要求。对信息系统的总体安全

需求等级进行划分的基本原则是：(1)一级安全适用于一般的信息和信息系统，其保密性、完整性和可用性受到破坏后，会对公民、法人和其他组织的合法权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。该类信息系统所存储、传输和处理的信息从总体上被认为是公开信息。88第4章信息安全工程与等级保

护(2)二级安全适用于一定程度上涉及公民、法人和其他组织的合法权益，以及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其保密性、完整性和可用性受到破坏后，会对社会秩序、经济建设和公共利益造成一般损害，或对公民、法人和其他组织的合法权益造成严重或特别严重损害。该类信息系统所

存储、传输和处理的信息从总体上被认为是一般信息。(3)三级安全适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其保密性、完整性和可用性受到破坏后，89第4章信息安全工程与等级保护会对国家安全造成一般损害，或对社会秩序、经济建设和公共利益造成严重损害。该类信息系统

所存储、传输和处理的信息从总体上被认为是重要信息。(4)四级安全适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统，其保密性、完整性和可用性受到破坏后，会对国家安全造成严重损害，或对社会秩序、经济建设和公共利益造成特别严重的损害。该类信息系统所存储

、传输和处理的信息从总体上被认为是关键信息。90第4章信息安全工程与等级保护(5)五级安全适用于涉及国家安全的重要信息和信息系统的核心子系统，其保密性、完整性和可用性受到破坏后，会对国家安全造成特别严重的损害。该类信息系统所存储、传输和处理的信息从总体上被认为是与国家利益有关的核心信息。91第4章

信息安全工程与等级保护表4-4按信息资源涉及客体的重要性及损害程度确定系统等级对客体的损害程度信息资源涉及的客体一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、经济建设和公共利益第二级第三级第四级国家安全第三级第四级第五级92第4章信息安全工程与等级保护例如

，某省电力集团公司的省级电力实时监控系统，主要运行调度自动化控制系统和能量管理系统(SCADA/EMS)DDZDH，负责省级超高压输电变电站的调度控制和数据采集。系统实时性要求极高，达到秒级。电力系统是国

家重要基础设施，省级DDZDH系统负责全省范围内的电力调度，调度控制指令或调度程序被修改，可能造成的停电事故会影响几乎所有行业的正常生产和工作，其所侵害的客体为社会秩序和公共利益；93第4章信息安全工程与等级保护调度控制指令或调度程序被修

改可能造成全省范围大面积停电、人员伤亡和巨额财产损失，同时对其他行业的生产和工作造成非常严重的影响，因此对社会秩序和公共利益的侵害程度为特别严重损害。查表知DDZDH系统的业务信息安全保护等级为第四级。94第4章信息安全工程与等级保护2.按资产价值和威胁确定

信息系统的安全保护等级在按上述的原则确定信息系统总体安全需求等级的基础上，为了实施具体的安全保护，需要进一步确定信息系统的安全保护等级。以下是可供参考的对信息系统的安全保护等级进行划分的方法和步骤：第一步，根据确定信息系统的总体安全需求等级

过程中对信息和信息系统安全保护需求的分析，明确信息系统的安全保护需求是否需要进一步划分安全域。95第4章信息安全工程与等级保护如果不需要划分安全域，则以下的工作以信息系统为基本单元进行，如果需要划分安全域，则以下的工作在划分和确定安全域以后，以安全域为基本单元进行。第二

步，对目标信息系统(安全域)及其相关设施的资产价值及该信息系统(安全域)可能受到的威胁进行评估，确定其相应的资产价值级别和威胁级别，并据此确定目标信息系统(安全域)应具有的安全保护等级。第三步，按照确定的安全保护等级，96第4章信息安全工程与等级保护从等级保护的相关标准中选取

对应等级的安全措施(包括技术措施和管理措施)，用系统化方法设计具有相应安全保护等级的安全子系统，并对设计好的安全子系统的脆弱性进行评估。第四步，用风险分析的方法对已经设计好安全子系统的目标信息系统(安全域)的资产价值、安全威胁和脆弱性进行评估

，确定该信息系统(安全域)具有的剩余风险。如果其剩余风险从总体上是可接受的，则所确定的信息系统(安全域)的安全保护等级即为该信息系统(安全域)最终的安全保护等级，并可按照所设计的安全子系统进行目标信息系统的安全建设。97第4章信息安全工程与等级保护如果其剩余风险是不可接受的，或者

有些安全措施明显的超过保护需求，则应对安全子系统的相关安全措施进行调整，再对调整后的信息系统(安全域)的脆弱性进行评估，得到新的剩余风险。如此循环，直至剩余风险可接受为止。第五步，根据安全措施的调整情况，

对照等级保护的相关标准中不同安全保护等级的安全技术和安全管理的要求，确定目标信息系统(安全域)的最终安全保护等级。对于一个大型的复杂信息系统，通常在不同的范围，需要有不同的安全保护，从而需要引进安全域的概念。要注意的是，在资产价值级别和威胁级别明

确的前提下，确定信息系统(安全域)安全保护等级的基本思想是：98第4章信息安全工程与等级保护在资产价值级别与威胁级别相同的情况下，该级别则为信息系统(安全域)的安全保护等级；在资产价值级别大于威胁级别

的情况下，以威胁级别作为信息系统(安全域)的安全保护等级；在资产价值级别小于威胁级别的情况下，以资产价值级别作为信息系统(安全域)的安全保护等级。99第4章信息安全工程与等级保护信息系统安全等级保护体系的内容如图4-5所

示。4.7信息系统安全等级保护体系100第4章信息安全工程与等级保护图4-5信息系统安全等级保护体系的内容101第4章信息安全工程与等级保护1.信息系统安全等级保护法律、法规和政策依据信息系统安全等级保

护相关的法律、法规和政策是信息系统安全等级保护的基本依据和出发点。2.信息系统安全等级保护标准体系信息系统安全等级保护标准是信息安全等级保护在信息系统安全技术和安全管理方面的规范化表示，是从技术和管理方面，以标准的

形式，对信息安全等级保护的法律、法规、政策的规定进行的规范化描述。102第4章信息安全工程与等级保护3.信息系统安全等级保护管理体系信息系统安全等级保护管理体系是对实现信息系统安全等级保护所采用的安全管理措施的描述，涉及信息

系统的安全工程管理分等级要求、信息系统的安全运行管理分等级要求、信息系统的安全监督检查和管理、信息系统等级保护安全管理制度建设等方面。103第4章信息安全工程与等级保护4.信息系统安全等级保护技术体系信息系统安全等级保护技术体系是对实

现信息系统安全等级保护所采用的安全技术的描述，涉及信息系统安全的组成与相互关系、信息系统安全等级保护技术的基本框架、信息系统安全等级保护基本技术、信息系统安全等级保护支撑平台、等级化安全信息系统构建技术、安全技术措施建设等方面。104第

4章信息安全工程与等级保护4.7.1信息系统安全等级保护法律、法规和政策依据1.法律法规和政策分类信息系统安全等级保护的法律法规和政策是对信息系统实施安全等级保护的基本依据，对信息系统实施安全等级保护所需要的法律法

规和政策包括：(1)有关信息安全等级保护的全国性法律。(2)有关信息安全等级保护的全国性政策、法规。(3)有关信息安全等级保护的地区性政策、法规。105第4章信息安全工程与等级保护2.信息系统等级保护的现有政策法

规当前，已经发布的有关对信息系统实施安全等级保护的政策法规有：(1)1994年2月18日国务院发布的国务院147号令《中华人民共和国计算机信息系统安全保护条例》。(2)2003年8月26日发布的中办发[2003]27号文件《国家信息

化领导小组关于加强信息安全保障工作的意见》。(3)2004年9月15日发布的公通字[2004]66号文件《关于信息安全等级保护工作的实施意见》。(4)2005年12月28日发布的公信安[2005]1431号文件《关于开展信息系统安全等级保护基础

调查工作的通知》。106第4章信息安全工程与等级保护(5)2006年2月23日发布的国办发[2006]11号文件《国务院办公厅转发国家网络与信息安全协调小组关于网络信任体系若干意见的通知》。(6)2009年10月27日发布的公信安[2009]1429号文件

《关于印送<关于开展信息安全等级保护安全建设整改工作的指导意见>的函》。(7)其他与信息安全等级保护相关的政策法规。107第4章信息安全工程与等级保护4.7.2信息系统安全等级保护标准体系信息安全等级保护相关标准大致可以分为四

类：基础类、应用类、产品类和其他类。1.基础类标准《计算机信息系统安全保护等级划分准则》(GB17859—1999)《信息系统安全等级保护基本要求》(GB/T22239—2008)108第4章信息安全工程与等级保护2.应用类标准(1)信息系统定级：《信息系统安全保护等级定级指南》(GB/T22

240—2008)109第4章信息安全工程与等级保护(2)等级保护实施：《信息系统安全等级保护实施指南》(GB/T25058—2010)(3)信息系统安全建设：《信息系统通用安全技术要求》(GB/T20271—2006)《信息系统等级保护安全设计技术要求》(GB/T2

5070—2010)《信息系统安全管理要求》(GB/T20269—2006)《信息系统安全工程管理要求》(GB/T20282—2006)《信息技术—安全技术—信息安全管理体系要求》(GB/T22080—2008)110第4章信息安全工程与等级保护《信息技术—安全技术—信息安全

管理实用规则》(GB/T22081—2008)《信息系统物理安全技术要求》(GB/T21052—2007)《网络基础安全技术要求》(GB/T20270—2006)《信息系统安全等级保护体系框架》(GA/T708—2007)《信息系统安全

等级保护基本模型》(GA/T709—2007)《信息系统安全等级保护基本配置》(GA/T710—2007)111第4章信息安全工程与等级保护(4)等级测评：《信息系统安全等级保护测评要求》(报批稿)《信息系统安全等级保护测评过程指南》(报批稿)《信息系统安全等级保护

测评准则》(送审稿)《信息系统安全管理测评》(GA/T713—2007)112第4章信息安全工程与等级保护3.产品类标准(1)操作系统：《操作系统安全技术要求》(GB/T20272—2006)《操作系统安全评估准则》(GB/T20008—2005)(2)数据库：《数据库管理系统安

全技术要求》(GB/T20273—2006)《数据库管理系统安全评估准则》(GB/T20009—2005)(3)网络：《网络和终端设备隔离部件技术要求》(GB/T20279—2006)113第4章信息安全工程与等级保护《网络

和终端设备隔离部件测试评价方法》(GB/T20277—2006)《网络脆弱性扫描产品技术要求》(GB/T20278—2006)《网络脆弱性扫描产品测试评价方法》(GB/T20280—2006)《网络交换机安全技术要求》(GA/T684—20

07)《虚拟专用网安全技术要求》(GA/T686—2007)114第4章信息安全工程与等级保护(4)PKI：《公钥基础设施安全技术要求》(GA/T687—2007)《PKI系统安全等级保护技术要求》(GB/T21053—2007)《PKI系统安全等级保护评估准则》(GB/T21054—2

007)(5)网关：《网关安全技术要求》(GA/T681—2007)(6)服务器：《服务器安全测评要求》(GB/T25063—2010)《服务器安全技术要求》(GB/T21028—2007)115第4章信息安全工程与等级保护(7)入侵检测：《入侵检测系统技术要求和检测方法》(GB/

T20275—2006)《计算机网络入侵分级要求》(GA/T700—2007)(8)防火墙：《防火墙安全技术要求》(GA/T683—2007)《防火墙技术测评方法》(报批稿)《信息系统安全等级保护防火

墙安全配置指南》(报批稿)116第4章信息安全工程与等级保护《防火墙技术要求和测评方法》(GB/T20281—2006)《包过滤防火墙评估准则》(GB/T20010—2005)(9)路由器：《路由器安全技术要求》(GB/T18018—20

07)《路由器安全评估准则》(GB/T20011—2005)《路由器安全测评要求》(GA/T682—2007)(10)交换机：《网络交换机安全技术要求》(GB/T21050—2007)《交换机安全测评要求》(GA/T685—2007)117第4章信息安全工程与等级保护

(11)其他产品：《终端计算机系统安全等级技术要求》(GA/T671—2006)《终端计算机系统安全等级评估准则》(GA/T672—2006)《审计产品技术要求和测评方法》(GB/T20945—2006)《虹膜特征识别技术要求》(GB/T20979—2007)《虚拟专网

安全技术要求》(GA/T686—2007)《应用软件系统安全等级保护通用技术指南》118第4章信息安全工程与等级保护(GA/T711—2007)《应用软件系统安全等级保护通用测试指南》(GA/T712—2007)《网络和终端设备隔离部件测试评价方法》(GB/T20277—2006)《

网络脆弱性扫描产品测评方法》(GB/T20280—2006)119第4章信息安全工程与等级保护4.其他类标准(1)风险评估：《信息安全风险评估规范》(GB/T20984—2007)《信息安全风险管理指南

》(GB/Z24364—2009)(2)事件管理：《信息安全事件管理指南》(GB/Z20985—2007)《信息安全事件分类分级指南》(GB/Z20986—2007)《信息系统灾难恢复规范》(GB/T20988—2007)120第4章信息安全工程

与等级保护5.等级保护标准涉及的内容图4-6给出了信息系统安全等级保护标准体系所涉及的内容。由图中可以看出，信息系统安全等级保护标准应包括五个保护等级、五个安全组成部分以及构建过程控制、结果控制、执行过程控制等方面的内容。这也是整个信息系统安全

等级保护所涉及的内容。121第4章信息安全工程与等级保护图4-6信息系统安全等级保护标准体系所涉及的内容122第4章信息安全工程与等级保护图4-6中的保护等级是指由GB17859所规定的五个安全保护等级。按照公通字[20

07]43号文件的规定，国家有关信息安全监管部门应对信息安全等级保护工作进行监督管理，具体要求是：对二级系统进行指导，对三级系统进行监督、检查，对四级系统进行强制监督、检查，对五级系统进行专门监督、检查。信息系统安

全的五个组成部分是指应从物理安全、系统安全、网络安全、应用安全和安全管理等五个方面考虑信息系统安全标准的内容。这五个组成部分的具体内容和相互关系可参见本章4.7.4小节的内容。123第4章信息安全工程与等级保护构建过程控制主要是指应从安全系统建设、安

全产品开发的过程控制方面制定相应的技术和管理要求标准。结果控制主要是指应从安全系统建设、安全产品开发的结果控制方面制定相应的技术和管理测评标准。执行过程控制主要是指应从政府部门的监督检查和指导方面制定相应的标准。124第4章信息安全工程与等级保护6.等级保护标准的应用在我国，信息安全工程实施是

基于等级保护制度，信息系统安全建设是根据《信息系统安全等级保护基本要求》(GB/T22239—2008)，在不同阶段、针对不同技术活动参照相应的标准规范进行。等级保护相关标准在信息系统安全建设工作中的应用如图4-7所示。对于图4-7说明如下：(1)《计算机信息系统安全保护等级划分准则》(

以下简称《划分准则》)及配套标准是《信息系统安全等级保护基本要求》(以下简称《基本要求》)的基础。《划分准则》是等级保护的基础性标准，125第4章信息安全工程与等级保护《信息系统通用安全技术要求》等技

术类标准、《信息系统安全管理要求》等管理类标准和《操作系统安全技术要求》等产品类标准是在《划分准则》基础上研究制定的。《基本要求》以技术类标准和管理类标准为基础，根据现有技术发展水平，从技术和管理两方面提出并确定了不同安全保护等级信息系统的最低保护

要求，即基线要求。126第4章信息安全工程与等级保护图4-7等级保护相关标准间的应用关系127第4章信息安全工程与等级保护(2)《基本要求》是信息系统安全建设的依据。信息系统安全建设应以落实《基本要求》为主要目标。信息系统建

设和使用单位应根据信息系统安全保护等级选择《基本要求》中相应级别的安全保护要求作为信息系统的基本安全需求。当信息系统有更高安全需求时，可参考《基本要求》中较高级别保护要求或《信息系统通用安全技术要求》、《信息系统安全管理要求》等其

他标准。行业主管部门可以依据《基本要求》，结合行业特点和信息系统实际出台不低于《基本要求》的行业细则，如《民用航空信息系统安全等级保护管理规范》(MH/T0025—2005)、《海关信息系统安全等级保护通用技术要求》(HS/T20.1

—2006)等。128第4章信息安全工程与等级保护(3)《信息系统安全等级保护定级指南》(以下简称《定级指南》)为定级工作提供指导。《定级指南》为信息系统定级工作提供技术支持。行业主管部门可以根据《定级指南》，结合行业特点和信息系统实际情况，

出台本行业的定级细则，保证行业内信息系统在不同地区等级的一致性，以指导本行业信息系统定级工作的开展，如《烟草行业信息系统安全等级保护与信息安全事件的定级准则》(YC/T389-2011)等。(4)《信息系统安全等级保护测评要求》(以下简称《测评要求》)等标准用来规范等级测评活动。12

9第4章信息安全工程与等级保护等级测评是评价信息系统安全保护状况的重要方法。《测评要求》为等级测评机构开展等级测评活动提供了测评方法和综合评价方法。《信息系统安全等级保护测评过程指南》对等级测评活动提出规范性要求，以

保证测评结论的准确性和可靠性。(5)《信息系统安全等级保护实施指南》(以下简称《实施指南》)等标准指导等级保护建设。《实施指南》是信息系统安全等级保护建设实施的过程控制标准，130第4章信息安全工程与等级保护用

于指导信息系统建设和使用单位了解和掌握信息安全等级保护工作的方法、主要工作内容以及不同的角色在不同阶段的作用。《信息系统等级保护安全设计技术要求》对信息系统安全建设的技术设计活动提供指导，是实现《基本要求》的方法之

一。131第4章信息安全工程与等级保护4.7.3信息系统安全等级保护管理体系1.信息系统的安全工程管理分等级要求信息系统的安全工程管理的目标是，对按照等级保护要求开发的信息安全系统的整个开发过程实施管理，确保所开发的安全系统达到预期的安全要求。信息系统安全工程的管理者应根据等级保护的总体要

求，制定工程实施计划，并采取必要的行政措施和技术措施，确保工程实施按计划进行。当信息系统安全的开发与信息系统的开发同步进行时，安全系统的工程管理应与信息系统的工程管理综合考虑并同步进行。132第4章信

息安全工程与等级保护当信息系统安全的开发是在已有的信息系统之上采用加固的方法实现时，安全系统的工程管理应独立进行。无论是哪种情况，安全系统的工程管理都应根据对安全系统开发的具体要求采取必要的措施，以保证所开发的安全系统的安全性达到所要求的目标。信息系统的安全工程管理分等级要求包含以

下内容：(1)工程管理计划。133第4章信息安全工程与等级保护信息安全系统开发的工程管理者，应根据不同安全等级的安全需求，制定不同安全等级的安全系统开发的工程管理计划，并以文档形式说明工程管理计划的详细内容。(2)工程资格保障。信息安全系统开发的工程管理者，应根据不同安全等级的安全需求，从以

下方面确保工程资格保障达到相应安全等级的要求：·对工程建设的合法性要求。·对承建单位及协作单位的资质要求。134第4章信息安全工程与等级保护·对承建单位人员及协作单位人员的资质要求。·对商业化产品的要求。·对工程监理的要求。·对密码管理方面的要求。

·以文档形式说明工程资格保障的详细内容。(3)工程组织保障。信息安全系统开发的工程管理者，应根据不同安全等级的安全需求，从以下方面确保工程的组织保障达到相应安全等级的要求：135第4章信息安全工程与等级保护·对组织过程的要求。·对系列产品的要求。·对工程支持环境的要求。·对相关人员的管

理要求。·对与安全产品供应商的协调要求。·以文档形式说明工程组织保障的详细内容。(4)工程实施管理。信息安全系统开发的工程管理者，应根据不同安全等级的安全需求，从以下方面确保工程的实施管理达到相应安全等级的要求：136第4章信息安全工程与等级保护·对预期的系统安全特性的控制。·对与系统

安全有关的影响(运行、商务和任务能力)的识别与评估。·对与系统运行相关的安全风险的评估。·对来自人为的、自然的威胁评估。·对整个系统脆弱性的评估。·对建立保证论据、协调安全关系、监视安全态势、提供安全输入、指定安全要求

及验证和证实安全性等方面的要求。·以文档形式说明工程实施管理的详细内容。137第4章信息安全工程与等级保护(5)项目实施管理。信息安全系统开发的工程管理者，应根据不同安全等级的安全需求，从以下方面确保项目的实施

管理达到相应安全等级的要求：·对项目质量保证的要求。·对项目配置管理的要求。·对项目风险管理的要求。·对项目技术活动计划的要求。·对项目技术活动监控的要求。·以文档形式说明项目实施管理的详细内容。138第4章信息

安全工程与等级保护2.信息系统的安全运行管理分等级要求信息系统的安全运行管理的目标是，通过对按照等级保护要求开发的信息安全系统的运行过程，按照相应的安全保护等级的要求实施安全管理，确保其在运行过程中所提供的安全功能达到预期的安全要求。安全系统运行管理的要求是在安全系统设

计和实现过程中，根据下列需要产生的：(1)作为实现安全系统某一安全功能或某些安全功能技术手段的保证措施。139第4章信息安全工程与等级保护(2)作为实现安全系统某一安全功能或某些安全功能的非技术手段。安

全系统的设计者应以文档形式说明对安全系统的运行如何进行管理，并详细描述每一项管理措施对系统安全性所起的作用。安全系统的运行是与信息系统的运行密不可分的。这里所描述的系统安全管理仅包含与安全系统的安全功能相关的管理，并非与信息系统运

行相关的所有管理。140第4章信息安全工程与等级保护信息系统的安全运行管理分等级要求包含以下内容：(1)系统安全管理计划。信息安全系统运行的管理者，应根据不同安全等级的需要，制定不同安全等级的安全系统运行管理计划，并以文档形式说明运行

管理计划的详细内容。(2)管理机构和人员配置。信息安全系统的设计者，应根据不同安全等级的需要，明确不同安全等级的管理机构与人员配备的要求，设置管理机构，141第4章信息安全工程与等级保护配备安全管理人员，明确各类人员的职责，

并以文档形式对管理机构设置和人员配备要求进行详细说明。信息安全系统的运行管理者，应按照文档的要求，建立管理机构，配备管理人员。(3)规章制度。信息安全系统的设计者，应根据不同安全等级的需要，明确不同安全等级的规章制度的要求

，从机房人员出/入管理、机房内部管理、操作规程、安全管理中心管理、应急计划和应急处理等方面，以文档形式对建立规章制度的要求进行详细说明。信息安全系统的运行管理者，应按照文档的要求，建立相应的规章制度。142第4章信息安全工程与等级保护(4)人员审查与管理。信息

安全系统的设计者，应根据不同安全等级的需要，明确不同安全等级的人员审查与管理的要求，从对各类人员(一般用户、系统管理员、系统安全员、系统审计员等)的审查、明确各类人员的岗位职责等方面，以文档形式对人员审查与管理的要求进行详细说明。信息安全系统的运行管理者，应按照文档的要求，明确相应的人

员审查与管理要求，并贯彻执行。143第4章信息安全工程与等级保护(5)人员培训、考核与操作管理。信息安全系统的设计者，应根据不同安全等级的需要，明确不同安全等级的培训、考核与操作管理要求，从对人员的培训、考核及操作管理等方面，以文档形式进行详细说明。

信息安全系统的运行管理者，应按照文档的要求，对相关人员进行严格的培训、考核与操作管理。144第4章信息安全工程与等级保护(6)安全管理中心。信息安全系统的设计者，应根据不同安全等级的需要，明确不同安全等级的安全管理中心的要求，从安全管理中心的建立和明确安全管理

中心的任务等方面，以文档形式对安全管理中心的要求进行详细说明。信息安全系统的运行管理者，应按照文档的要求，建立安全管理中心，并按照所规定的任务发挥安全管理中心的作用。145第4章信息安全工程与等级保护(7)风险管理。信息安全系统的设计者，应根据不同安全等级的需要，明确不同安全等级的风险管理的要求

，从信息收集和信息分析等方面，以文档形式对风险管理的要求进行详细说明。信息安全系统的运行管理者，应按照文档的要求，进行风险管理。146第4章信息安全工程与等级保护(8)密码管理。信息安全系统的设计者，应根据不同安全等级的需要，以文档形式对密码管理要求进行详细说明。信息安全

系统的运行管理者，应按照文档的要求，进行密码管理。147第4章信息安全工程与等级保护3.信息系统的安全监督检查和管理信息系统的安全监督检查和管理包含以下内容：(1)安全产品的监督检查和管理。通过对安全产品进行测评，并实行市

场准入许可证制度等，确保安全产品的安全性和质量要求达到规定的目标。(2)安全系统的监督检查和管理。由国家指定的信息安全监管职能部门，通过备案、指导、检查、督促整改等方式，对重要信息和信息系统的信息安全保护工作

进行指导监督。148第4章信息安全工程与等级保护(3)长效持续的监督检查和管理。信息系统安全监督检查和管理是一项长期的持续性工作，需要制定相应的管理制度与实施规程，以确保在人员和机构等发生变化的情况下，仍能以规范化的要求开展工作。149第4章信息安全工程与等

级保护4.信息系统等级保护安全管理制度建设信息系统等级保护安全管理制度的建设应该根据《基本要求》，参照《信息系统安全管理要求》等标准规范要求开展工作，其流程如图4-8所示。150第4章信息安全工程与等级保护图4-8信息系统等级保护安全管理制度建设的流程151

第4章信息安全工程与等级保护(1)落实信息安全责任制。明确领导机构和责任部门，设立或明确信息安全领导机构，明确主管领导，落实责任部门。建立岗位和人员管理制度，根据职责分工，分别设置安全管理机构和岗位，明确每个岗位的职责与任务，

落实安全管理责任制。建立安全教育和培训制度，对信息系统运维人员、管理人员、使用人员等定期进行培训和考核，提高相关人员的安全意识和操作水平。落实过程要依据《基本要求》中的“安全管理机构”内容，同时可以参照《信息系统安全管理要求》等。152第4

章信息安全工程与等级保护(2)信息系统安全管理现状分析。在开展信息系统安全管理建设之前，通过开展信息系统安全管理现状分析，查找信息系统安全管理建设整改需要解决的问题，明确信息系统安全管理建设的需求。分析过程可依据《基本要求》等

标准，采取对照检查、风险评估、等级测评等方法，分析判断目前所采取的安全管理措施与等级保护标准要求之间的差距，分析系统已发生的事件或事故，分析安全管理方面存在的问题，形成安全管理建设整改的需求并论证。153第4章信息安全工程与等级保护(3)确定安全管理策略，制定安全管理制度。根据安全管理需

求，确定安全管理目标和安全策略，针对信息系统的各类管理活动，制定人员安全管理制度、系统建设管理制度、系统运行与维护管理制度、定期检查制度等，规范安全管理人员或操作人员的操作规程等，形成安全管理体系。制定过程要依据《基本要求》中的“安全管理制度”

内容，同时可以参照《信息系统安全管理要求》等。154第4章信息安全工程与等级保护(4)落实安全管理措施。第一是人员安全管理，主要包括人员录用、离岗、考核、教育培训等内容。要依据《基本要求》中的“人员安全管理”内容，同时可以参照《信息系统安全管理要求》等，规范人员录用、离岗、过程，关键

岗位签署保密协议，对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训，对关键岗位的人员进行全面、严格的安全审查和技能考核。对外部人员允许访问的区域、系统、设备、信息等进行控制。第二是系统运行与维护管理，155第4章信息安全工程与等级保护主要包括环境和资产安全管理、设备和介质安全管理、日常运

行维护、集中安全管理、事件处置与应急响应、灾难备份、安全监测等内容。要依据《基本要求》中的“系统运维管理”内容，同时可以参照《信息系统安全管理要求》等来落实。第三是系统建设管理，主要包括制定系统建设相关的管理制度，明确系统定级

备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等内容的管理责任部门、具体管理内容和控制方法，要依据《基本要求》中的“系统建设管理”内容来落实各项管理制度措施。156第4章信息安全工程与等级保

护(5)安全自查与调整。依据《基本要求》中的“安全管理机构”内容，同时可以参照《信息系统安全管理要求》等，制定安全检查制度，明确检查的内容、方式、要求等，检查各项制度、措施的落实情况，并不断完善。定期对信息系统安全状况进

行自查，如第三级信息系统每年自查一次，第四级信息系统每半年自查一次。经自查，信息系统安全状况未达到安全保护等级要求的，应当进一步开展安全管理制度建设的整改工作。157第4章信息安全工程与等级保护4.7.4信息系统安全等级保护技术体系1.信息系统安全的组成与

相互关系信息系统通常是一个庞大而复杂的系统。一个典型的信息系统由支持软件系统运行的硬件系统(包括计算机硬件和网络硬件及其所在的环境)、对系统硬件进行管理并提供应用支持的计算机系统软件和网络系统软件、按照应用需要进行信息处理的应用软件等部分组成。这些

硬件和软件共同构成一个完整的信息系统，通过对数据信息进行存储、传输和处理，提供确定的功能，完成所规定的应用。信息系统安全是围绕信息系统的组成及其所实现的功能，对信息系统的运行及其所存储、传输和处理的信息进行安全保护所采取的措施。1

58第4章信息安全工程与等级保护根据上述信息系统的组成与功能，按照五个安全组成部分进行的安全描述，将有助于全面、准确地理解信息系统安全所涉及的内容。如4.7.2小节所述，信息系统安全的五个安全组成部分分别从物理安全、系统安全、网络安全、应用安全和安全管理等方面对信

息系统的安全进行保障。这五个安全组成部分所涉及的内容及相互关系如图4-9所示。159第4章信息安全工程与等级保护图4-9信息系统的五个安全部分的组成及相互关系160第4章信息安全工程与等级保护(1)物理安全。物理安全为信息系统的安全运行和信息的安全保护提供基本的计算机、网络硬件设备、设施、

介质及其环境等方面的安全支持。(2)系统安全。系统安全是指在计算机硬件及其环境安全的基础上，提供安全的操作系统和安全的数据库管理系统，以实现操作系统和数据库管理系统的安全运行以及对操作系统和数据库管理系统所存储、传输和处理数据的安全保护。(3)网络安全。网络安全

是指在网络硬件及其环境安全的基础上，提供安全的网络软件、安全的网络协议，为信息系统在网络环境的安全运行提供支持。161第4章信息安全工程与等级保护一方面，确保网络系统的安全运行，提供有效的网络服务，另一方面，确保在网上传输数据的保密性、完整性、可用性等。(4)应用安全。应用安全是在物

理安全、系统安全、网络安全等安全环境的支持下，实现业务应用的安全目标。应用安全主要体现在应用软件系统的安全。应用软件系统是在硬件系统、操作系统、网络系统和数据库管理系统的支持下运行的。安全的应用软件系统对数据信息

所进行的存储、传输和处理需要有相应的安全措施，这些安全措施可以在应用软件系统层实现，也可以在支持其安全运行的物理安全、网络安全、操作系统安全和数据库管理系统安全中实现。162第4章信息安全工程与等级保护(5

)安全管理。信息系统的安全管理是指对组成信息系统安全的物理安全、系统安全、网络安全和应用安全的管理，是保证这些安全达到其确定目标在管理方面所采取的措施的总称。安全管理通过对信息安全系统工程的管理和信息安全系统运行的管理来实现。163第4章信息安全工程与等级保护2.

信息系统安全等级保护技术的基本框架按照网络环境的不同，信息系统及其安全防护的总体框架如图4-10所示。164第4章信息安全工程与等级保护图4-10信息系统安全保护的基本框架165第4章信息安全工程与等级保护一个安全的信息系统由安全局域计算环境群及其边界防护、安全注册用户群及其边界防护、非注册用

户及其安全隔离、安全网络系统等部分组成。其中，注册用户作为系统的可信组成部分，需要进行边界防护，非注册用户是系统的不可信组成部分，需要进行安全隔离。安全隔离通常采用物理的或逻辑的隔离措施，对来自外部的攻击和

破坏进行防护，防止内部数据非法流出，必要时也可以采用物理上断开连接的方法进行安全保护。安全网络系统是信息系统进行数据安全传输的重要组成部分，确保网上数据传输的保密性、完整性、可用性等。166第4章信息安全工程与等级

保护3.信息系统安全等级保护基本技术(1)标识与鉴别技术。标识是区别实体身份的方法，用户标识通常由用户名和用户标识符(UID)表示，设备标识通常由设备名和设备号表示。用户标识确保系统中标识用户的唯一性，这种唯一性要求在信息系统的整个生存周期起作用，从而支持系统安全事件的可审计性；

设备标识确保连接到系统中的设备的可管理性。鉴别是确认实体真实性的方法。用户鉴别可用来确认试图进入系统的用户身份的真实性，防止攻击者假冒合法用户进入系统；167第4章信息安全工程与等级保护设备鉴别可用来

确认接入系统的设备身份的真实性，防止设备的非法接入。鉴别的主要特点是鉴别信息的隐藏性和难以伪造。常见的鉴别技术有：①口令鉴别。口令鉴别是长期以来主要使用的用户身份鉴别方法。但简单的口令容易被猜测，复杂的口令用户又难以记忆。②生物特征

鉴别。生物特征鉴别主要用于用户身份真实性鉴别，包括以指纹特征信息为鉴别信息的用户身份鉴别，以虹膜特征信息为鉴别信息的用户身份鉴别，它们具有唯一性和难伪造等优点。168第4章信息安全工程与等级保护③数字证书

鉴别。以数字形式表示的用于鉴别实体身份的证书信息，以一定的格式存放在证书载体之中，系统通过检验证书载体中的证书信息，实现对实体身份鉴别的目的。证书信息的隐藏性通常是由密码支持的安全机制实现的，也可以由其他安全机制，如采用信息隐藏技术安

全机制实现。数字证书鉴别既可以用于用户身份的真实性鉴别，也可以用于设备身份的真实性鉴别。169第4章信息安全工程与等级保护(2)访问控制技术。访问控制是通过对信息系统中主、客体之间的访问关系进行控制，实现对主体行

为进行限制、对客体安全性进行保护的技术。访问控制是以授权管理为基础实现的。由系统按照统一的规则进行授权管理所实现的访问控制称为强制访问控制；由用户按照个人意愿自主进行授权管理所实现的访问控制称为自主访问控制。①自主访问控制。这种控制是一种提供由用户对自身所创建的客体的访问权限进行控制的安全机

制。170第4章信息安全工程与等级保护这些访问权限包括允许或拒绝其他用户对该用户所创建的客体进行读、写、执行、修改、删除操作，以及授权转移等。自主访问控制的主要特点是由用户自主进行授权管理。目前常见的实

现自主访问控制的方法是各种形式的访问控制表(ACL)，目录表访问控制、访问控制矩阵、能力表等。②强制访问控制。这种控制是一种提供由系统按确定的规则对每一个用户所创建的客体的访问权限进行控制的安全机制。此种访问权限包括主体对客体的读、写、修改、删除等操作。

171第4章信息安全工程与等级保护强制访问控制的主要特点是由系统安全员统一进行授权管理。强制访问控制安全策略，通过对主体访问客体的访问操作的控制，实现对客体的保密性保护和完整性保护。目前常见的强制访问控制有基于多级安全模型的

访问控制和基于角色的访问控制(RBAC)。在多级安全模型中，Bell-LaPadula信息保密性模型是实现保密性保护的安全策略，Biba信息完整性模型是实现完整性保护安全策略。而基于角色的访问控制(RB

AC)则是既可以实现保密性保护，也可以实现完整性保护的安全策略。强制访问控制通常需要按照最小授权原则，对系统管理员、系统安全员和系统审计员的权限进行合理的分配和严格的管理。172第4章信息安全工程与等级

保护(3)存储和传输的数据完整性保护技术。完整性保护是对因各种原因引起的数据信息和系统破坏进行对抗的安全保护技术，包括传输数据的完整性保护和存储数据的完整性保护。由于系统的破坏实际上是对系统中的软件和数据信息的破坏，所以系统破坏可以归结为信息破坏。实现完整性保护的安全

技术和机制包括一般的校验码机制(例如奇偶校验、海明校验等)、密码系统支持的校验机制、隐藏信息技术支持的纠错机制等。访问控制、身份鉴别、边界隔离与防护等实际上也都是与完整性保护有关的安全技术和机制。173

第4章信息安全工程与等级保护(4)存储和传输的数据保密性保护技术。保密性保护是对因各种原因引起的信息和系统的非法泄露进行对抗的安全保护技术，包括数据传输的保密性保护、数据存储的保密性保护。由于系统的非法泄露实际上是对系统中的软件

和数据信息的泄露，所以系统泄露同样可以归结为信息泄露。实现保密性保护的安全技术和机制主要包括密码系统支持的加密机制、隐藏信息技术支持的信息保护机制等。访问控制、身份鉴别、边界隔离与防护等实际上也都是与保密性保护有关的安全技术和机制。174第4章信息安全工程与等级保护(5)边界隔离与防护

技术。边界隔离与防护是一种适用于信息系统边界(也称网络边界)安全防护的安全技术，主要包括防火墙、入侵检测、防病毒网关、非法外连检测、网闸、逻辑隔离、物理隔离、信息过滤等，用于阻止来自外部网络的各种攻击行为。使用边界隔离与防护技术进行安全防护首先要有明确的边界，包括整个

信息系统的外部边界和信息系统中各个安全域的内部边界。175第4章信息安全工程与等级保护(6)系统安全运行及可用性保护技术。为了确保信息系统的安全运行，确保信息系统中的信息及信息系统所提供的安全功能达到应有的可用性要求，还应提供以下安全技术：①安全审计技术。对信息

安全系统运行过程中的每一个安全相关事件，应提供审计支持。审计机制应能及时发现并记录各种与安全事件有关的行为(成功的或失败的)并根据不同安全等级的要求，对发现的安全事件做出不同的处理。176第4章信息安全工程与等

级保护②安全性检测分析技术。对运行中的信息系统，应定期或不定期进行信息系统安全性检测分析，发现存在的问题和漏洞。信息系统安全性检测分析机制应提供对信息系统的各个重要组成部分，如硬件系统、操作系统、数据库管理系统、应用软件系统、网络系统的各关键设备、设施，以及电磁泄露发射等，提供安全性检测

分析功能。高安全等级的信息系统应由安全机制管理控制中心集中管理系统安全性检测分析功能。177第4章信息安全工程与等级保护③系统安全监控技术。对运行中的信息系统，应实时地进行安全监控，及时发现并处理各种攻击和

入侵。信息系统安全监控机制应通过设置分布式探测机制监测并截获与攻击和入侵有关的信息，在信息系统安全机制管理控制中心设置安全监控集中管理机制，汇集由探测机制截获的信息，并在综合分析的基础上对攻击和入侵事件做出处理。④信息系统容错备

份与故障恢复技术。确保信息系统不间断运行和对故障的快速处理与恢复，是提供信息和信息系统功能可用性的基础和前提。178第4章信息安全工程与等级保护信息系统容错、备份与故障恢复，要求对信息系统的各个重要组成部分应提供复算、热备份等容错机制，使可能出现的某些错误消除在

内部，对上层应用透明；应提供信息备份与故障恢复、系统备份与故障恢复等机制，对出现的某些故障通过备份所提供的支持实现恢复。对于重要的信息系统，通过设置主机系统的异地备份，当主机系统发生灾难性故障中断运行时，能在较短时

间内启动，替代主机系统工作，使系统不间断运行，以确保业务应用的连续性。179第4章信息安全工程与等级保护(7)密码技术。应根据信息系统安全保护的要求配置国家批准的相应密码技术。密码技术包含对称密钥密码、非对称密钥密码和单向函数。密码技

术可用于实现数据加密、数字签名、身份认证、权限验证、数据完整性验证等安全需求的场合。180第4章信息安全工程与等级保护4.信息系统安全等级保护支撑平台(1)信息系统密码基础设施平台。信息系统密码基础设施平台由密码技术所构成的密码基础设施平台

，由基于公钥基础设施(PKI)、授权管理基础设施(PMI)、密钥管理基础设施(KMI)等密码安全机制和授权管理机制等组成，它为安全信息系统实现保密性、完整性、真实性、抗抵赖、访问控制等安全机制提供支持，其提供的

功能要求包括：数据加/解密；数字签名/验证；数字证书签发/验证；数字信封封装/解封；数据摘要/完整性验证；会话密钥生成、存储、发送与接收；分等级安全支持等。181第4章信息安全工程与等级保护(2)信息系统应用安全支撑平台。利用密码基础设施平台提供的基于PKI/PMI/KMI技术的安全服

务，采用安全中间件及一站式服务理论和技术，支持面向业务应用的各种应用软件系统安全机制的设计，实现包括真实性鉴别、访问控制、信息安全交换、数据安全传输以及数据的保密性、完整性保护等应用软件系统的安全功能，是应用软件系统安全支撑平台的设计目标，其提供的功能

要求包括：·安全服务要求182第4章信息安全工程与等级保护应用安全支撑平台提供的安全服务主要有：—支持服务器端的服务。采用中间件技术，构建安全中间件模块和安全中间件系统，实现以PKI为核心的安全技术的跨平台分布式应用。—支持客户端的服务。按照称为安全客户端套件的轻量级中间件模式，采用层次结构，按

设备层、硬件接口层、驱动层、底层接口层和高层接口层，构成客户端安全的核心模块，通过密码设备驱动访问所连接的各类终端密码设备。·分等级要求根据不同安全等级的应用对安全支撑平台的不同要求，安全支撑平台应提供不同安全强度/等级的安全支持。183第4章信息安全工程与等级保护(3)信息系统灾难备份与恢

复平台。信息系统灾难备份与恢复平台包括：·灾难备份灾难备份是在信息系统正常运行的情况下，为确保信息系统发生灾难性故障中断运行后恢复运行所做的一系列技术准备工作。灾难备份主要有：—数据备份：用来确保系统恢复运行后原有的数据信息不丢失或少丢失。—处理系统备份：用来确保当信息系统中断运行后能在

规定的时间范围内替代原系统运行，并确保提供所需要的信息处理能力。184第4章信息安全工程与等级保护—本地备份：是指对组成信息系统的主机/服务器，通过设置本地备份机制，实现对数据备份和处理系统备份。—异地备份：是指对组成信息系统的主机/服务器，通过设置异地备份机制，实现对数据和处理系统的异地

备份；异地备份能对付那些由地震、水灾、战争破坏等重大破坏性灾害所引起的灾难性故障。—网络备份：是指对组成信息系统的网络系统，通过设置备份路由或备份线路来确保当网络系统的某些部位发生故障中断运行时，备份网络能替代故障部分实现所需要的网络数据交换。185第4章信息安全工程与等级保护·

灾难恢复灾难恢复是在信息系统发生灾难性故障中断运行后所采取的一系列恢复措施。如果说灾难备份更多的是技术措施的话，灾难恢复活动则更多的是管理措施。灾难恢复的要求主要有：—制定明确的灾难恢复策略。—制定实施灾难恢复的预案。—灾难恢复策略应与灾难备份技

术支持密切结合，或者说灾难备份所提供的技术支持是根据灾难恢复的总体策略确定的。186第4章信息安全工程与等级保护—设置相应的机构和人员，并明确其相应的职责。—灾难恢复预案应进行常规的管理和维护，对相关人员进行培训，并定期进行必要的演练。·分等级要求根据信息系统所承载的业务

应用的连续性的不同要求，灾难备份和恢复需要有不同等级的支持。灾难备份和恢复的等级与目标信息系统的安全保护等级是两个不同的概念，但是要求在实施灾难备份与恢复的过程中，应按照目标信息系统安全保护等级的要求，对所涉及的数据信息进行相应的安全保护。187第4章信息

安全工程与等级保护(4)信息系统安全事件应急响应与管理平台。应急响应通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。信息系统安全事件应急响应的对象是指针对信息系统所存储、传输、处理的信息

的安全事件。事件的主体可能来自自然界、系统自身故障、组织内部或外部的人为攻击等。按照信息系统安全的三个特性，可以把安全事件定义为破坏信息或信息处理系统的行为，即破坏保密性的安全事件、破坏完整性的安全事件和破坏可用性的安全事件等。信息系统安全

事件应急响应与管理平台主要包括以下方面：188第4章信息安全工程与等级保护·应急响应与管理应急管理是指在紧急事件发生后为了维持和恢复关键的信息系统服务所进行的范围广泛的活动。从广义的范围讲，所讨论的应急响应与管理，包括业务连续性计划(BCP)、业务恢复计划(BRP)、操作连续性计划(C

OOP)、危机通信计划、计算机事件响应计划、灾难恢复计划(DRP)、场所紧急计划(OEP)等在内的活动与计划等，统称为应急计划。通过预防及恢复措施的使用，把信息系统因灾难或安全失效的停顿降到可接受的程度。189第4章信息安全工程与等级保护·应急计划应通过分析灾难、安全失效及服务停

顿的影响，制订及实施应急计划来保证系统能够在规定时间内恢复。计划应经常修改及测试和演练，并最终变成管理过程的不可分割部分。应急计划的制定应考虑：角色和职责，应急计划所涉及的平台和机构功能的类型范围，机构所面临的风险、风险发生的概率及影响，资源需求，培训需求，测

试和演练进度表，以及计划维护进度表等。在应急计划的制定中，应该与包括物理安全、人力资源、系统操作和紧急事件等在内的相关方面协调一致。应经常测试应急计划的每个部分，以确保计划可以在真实环境中实施。190第4

章信息安全工程与等级保护应急计划的定期检查和更新是至关重要的，应该作为机构变化管理过程的一部分，以确保新的信息能够被添加进来，以及应急措施能够根据需要被修订。·联动要求应急响应与管理不单是一个单位或部门的事，而是各个相关的单位和部门

的联动活动。为了加强我国网络安全水平建设，增强安全事件处理能力，国内成立了“国家计算机网络应急技术处理协调中心”(CNCERT/CC，NationalComputernetworkEmergencyResponsetechnicalTeam/Co

ordinationCenterofChina)，191第4章信息安全工程与等级保护由信息产业部互联网应急处理小组协调办公室直接领导，为各行业、部门和公司的应急响应小组协调和交流提供便利条件，同时为政府等重要部门提供应急响应服务。192第4章信息安全工程与等级保护·标准化要求应急响应的标准化工

作就是为应急响应组织自身及相互协调提供信息交互的标准接口，并且为这种协调机制的成功运转提供保证。要建立信息系统应急响应与管理体系平台，应急响应标准化工作就变得十分重要，它是互联网应急响应体系通信协调机制的基础，同时也是应急响应联动系

统正常运作的基础。这方面国际上已经做了很多工作。我国在这方面的工作则刚刚起步，还有许多事情需要做。可以参考国外的相关标准，制定出适合具体情况的信息系统安全事件应急响应与管理国家标准。193第4章信息安全工程与等级保护(5)信息系统安全管理平台。以信息系统安全

综合监控管理中心为核心的安全管理平台，是对信息系统的各种安全机制进行管理使其发挥应有安全作用的重要环节。除了进行信息系统自身的安全机制的管理外，信息系统安全管理平台应按照统一的要求向上级安全主管部门报告情况，与相关单位交流信息

。信息系统安全管理平台既是一个管理机构，又具有强烈的技术特色，应按要求配备必要的专业人员，明确分管职责，并有统一的领导协调各方面的工作。194第4章信息安全工程与等级保护对于大型复杂的信息系统，各种安全机制广泛地分布于信息系统的各个组成部分。安全管理平台担负着对这些

安全机制进行集中控制、统一配置管理和收集各类与安全有关信息的责任，并对收集到的与安全有关的信息进行汇集、分析和风险评估，发现系统运行中与安全有关的问题，做相应处理。必要时，可以在确定的安全域设置安全管理分中心

，形成多层结构的安全管理平台，共同完成对信息安全系统的管理控制。信息系统安全综合监控管理中心通过对各种信息安全设备、安全软件、人员角色等进行集中监控与管理，195第4章信息安全工程与等级保护把原本分离的各种信息资源联系成一个有机协作的整体，实现信息安全管理过程中的实时状态监测与风险评

估、动态策略调整、综合安全审计、数据关联处理，以及恰当及时的威胁响应，从而有效地提升信息系统的安全保障能力和用户的管理水平。196第4章信息安全工程与等级保护图4-11单层的信息系统安全综合监控管理中心的架构管理客户端动态监测通

知公告系统管理综合审计安全策略Web服务其他服务接口通信FirewallIDSScannerAnti-virus数据库其他系统Others风险评估197第4章信息安全工程与等级保护5.等级化安全信息系统构建技术等级化安全信息系统是指由不同安全保护等级的

安全域组成的安全信息系统。等级化安全信息系统的构建包括：(1)等级化安全信息系统的设计与实现。等级化安全信息系统的设计和实现，应按照本章4.5节信息系统安全等级保护的基本原理和方法，确定安全域的划分，实施信息系统及安全域的内部保

护、边界防护和网络系统的安全保护；按照本章4.6.2节安全保护等级的确定所描述的方法和过程，确定信息系统(安全域)的安全保护等级；根据所确定的安全保护等级，198第4章信息安全工程与等级保护以信息系统安全等级保护相关的安全技术和安全产品标准为依据，选择相应等级的安全技

术和安全产品，按系统化的设计要求，采用集成化的方法，设计和实现满足信息系统安全等级保护要求的安全信息系统。设计和实现过程还应按照系统安全工程管理的有关标准的要求，对整个工程过程进行安全管理。199第4章信息安全工程与等级保护(2)等级化安全信息系统的测试与评估。等

级化安全信息系统的测试与评估应按照相关标准的要求进行。系统的测试与评估应以技术和产品的测试与评估为基础，首先应对构成等级化信息系统的安全技术和产品分别进行考察/测评。考察的目的是确认其是否通过相应安全等级的测评。在信息安全等级保护工作初期阶段，按照等级标准的要求对产品进行测试与评估还有

一个过程，所以必要时可以对所使用的安全技术和安全产品进行测试与评估，确定其是否具有所需要的安全保护等级。在技术和产品达到安全等级要求的基础上应重点从系统角度对各安全技术、产品之间的接口及连接关系，200第4章信息安全

工程与等级保护以及系统各组成部分之间安全的一致性和关联互补等所形成的系统整体安全性进行测试与评估，确定信息系统(安全域)整体上是否达到确定的安全等级的设计目标要求。201第4章信息安全工程与等级保护6.信息系统等级保护安全技术措施建设信息系统等级保护

安全技术措施的建设应该根据《基本要求》，参照《信息系统通用安全技术要求》、《信息系统等级保护安全设计技术要求》等标准规范要求，开展工作，其流程如图4-12所示。202第4章信息安全工程与等级保护图4-12信息系统等级保护安全技术措施建设的流程203第4章信息安全工程与等级保护(1)

信息系统安全保护现状分析。了解掌握信息系统现状，分析信息系统的安全保护状况，明确信息系统安全技术建设的需求，可以为安全建设技术方案设计提供必要的依据。·信息系统现状分析了解掌握信息系统的数量和等级、所处的网络区域以及信息系统所承载的业务应用情况，分析信息系统的边界、构成和相互关

联情况，分析网络结构、内部区域、区域边界以及软、硬件资源等，可参照《信息系统安全等级保护实施指南》中“信息系统分析”的内容。204第4章信息安全工程与等级保护·信息系统安全保护现状分析在开展信息系统安全技术建设之前，应通过开展

信息系统安全保护技术现状分析，查找信息系统安全保护技术建设中需要解决的问题，明确信息系统安全保护技术建设的需求。可采取对照检查、风险评估、等级测评等方法，分析判断目前所采取的安全技术措施与等级保护标准要求

之间的差距，分析系统已发生的事件或事故，分析安全技术方面存在的问题，形成安全技术建设的基本安全需求。205第4章信息安全工程与等级保护在满足信息系统安全等级保护基本要求的基础上，可结合行业特点和信息系统安全保护

的特殊要求，提出特殊安全需求，可参照《基本要求》、《信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》等标准。·安全需求论证和确定安全需求分析工作完成后，将信息系统的安全管理需求与安全技术需求综合形成安全需求报告。组织专家对安全需求进行评审论证

。206第4章信息安全工程与等级保护(2)确定安全策略以及安全技术建设总体设计。·确定安全技术策略根据安全需求分析，确定安全技术策略，包括业务系统分级策略、数据信息分级策略、区域互连策略和信息流控制策略等，用以指导系

统安全技术体系结构设计。·设计总体技术方案在进行信息系统安全技术建设方案设计时，应以《基本要求》为基本目标，可以针对安全现状分析发现的问题进行加固改造，缺什么补什么；207第4章信息安全工程与等级保护也可以进行总体的安全技术设计，将不同区域、不同层面的安全保护措施形成有机的安全保护体系

，落实物理安全、网络安全、主机安全、应用安全和数据安全等方面基本要求，最大程度发挥安全措施的保护能力。在进行安全技术设计时，可参考《信息系统等级保护安全设计技术要求》，从安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面落实安全保护技术要求。208第4

章信息安全工程与等级保护(3)安全技术方案详细设计。·物理安全设计从安全技术设施和安全技术措施两方面对信息系统所涉及到的主机房、辅助机房和办公环境等进行物理安全设计，设计内容包括防震、防雷、防火、防水、防盗窃、防破坏、温湿度控制、电力供应、电磁防护等

方面。物理安全设计是对采用的安全技术设施或安全技术措施的物理部署、物理尺寸、功能指标、性能指标等内容提出具体设计参数。具体依据《基本要求》中的“物理安全”内容，同时可以参照《信息系统物理安全技术要求》等。209第4

章信息安全工程与等级保护·通信网络安全设计对信息系统所涉及的通信网络，包括骨干网络、城域网络和其他通信网络(租用线路)等进行安全设计，设计内容包括通信过程数据完整性、数据保密性、保证通信可靠性的设备和线路冗余、通信网络的网络管理等方面。通信网络安全设计涉及所需采

用的安全技术机制或安全技术措施的设计，对技术实现机制、产品形态、具体部署形式、功能指标、性能指标和配置参数等提出具体设计细节。具体依据《基本要求》中“网络安全”内容，同时可以参照《网络基础安全技术要求》等。210第4章信息安全工程与等级保护·区域边界安全设计对信息系统所涉

及的区域网络边界进行安全设计，内容包括对区域网络的边界保护、区域划分、身份认证、访问控制、安全审计、入侵防范、恶意代码防范和网络设备自身保护等方面。区域边界安全设计涉及所需采用的安全技术机制或安全技术措施的设计，对技术实现机制、产品形态、具体部署形式、

功能指标、性能指标和配置策略和参数等提出具体设计细节。具体依据《基本要求》中的“网络安全”内容，同时可以参照《信息系统等级保护安全设计技术要求》、《网络基础安全技术要求》等。211第4章信息安全工程与等级保护·主机系统安全设计对信息系统涉及到的服务器和工作站进行主机系统安全

设计，内容包括操作系统或数据库管理系统的选择、安装和安全配置，以及主机入侵防范、恶意代码防范、资源使用情况监控等。其中，安全配置细分为身份鉴别、访问控制、安全审计等方面的配置内容。具体依据《基本要求》中的“主机安全”内容，同时可以参

照《信息系统等级保护安全设计技术要求》、《信息系统通用安全技术要求》等。212第4章信息安全工程与等级保护·应用系统安全设计对信息系统涉及到的应用系统软件(含应用/中间件平台)进行安全设计，设计内容包括身份鉴别、访问控制、安全标记、可信路径、安全审计、剩余信息保护、通信完整

性、通信保密性、抗抵赖、软件容错和资源控制等。具体依据《基本要求》中的“应用安全”内容，同时可以参照《信息系统等级保护安全设计技术要求》、《信息系统通用安全技术要求》等。213第4章信息安全工程与等级保护·备份和恢复安全设计针对信息系统的业务数据安全和系统服务连续性进行安全设计

，设计内容包括数据备份系统、备用基础设施以及相关技术设施。针对业务数据安全的数据备份系统可考虑数据备份的范围、时间间隔、实现技术与介质、数据备份线路的速率以及相关通信设备的规格和要求；针对信息系统服务连续性的安全设计可考虑连续性保证方式(设备冗余、系统级冗余直至远程集群支持

)与实现细节，214第4章信息安全工程与等级保护包括相关的基础设施支持、冗余/集群机制的选择、硬件设备的功能/性能指标以及软硬件的部署形式与参数配置等。具体依据《基本要求》中的“数据安全和备份恢复”内容，同时可以参照《信息系统灾难恢复规范》等。(4)

技术建设方案论证与评审。将信息系统安全建设技术方案与安全管理体系规划共同形成安全建设方案。组织专家对安全建设方案进行评审论证，形成评审意见。第三级(含)以上信息系统安全建设方案应报公安机关备案，并组织实施安全建设工程

。215第4章信息安全工程与等级保护(5)工程实施、监理及验收。·工程实施和管理安全建设工程实施的组织管理工作包括落实安全建设的责任部门和人员，保证建设资金足额到位，选择符合要求的安全建设服务商，采购符合要求的信息安全产品，管理和控制安

全功能开发、集成过程的质量等方面。按照《信息系统安全工程管理要求》中有关资格保障和组织保障等要求组织管理等级保护安全建设工程。实施流程管理、进度规划控制和工程质量控制可参照《信息系统安全工程管理要求》中第8、9、10章提出的工程实施、项目实施和安全工程流程控制要求，实现相应等级的工程目

标和要求。216第4章信息安全工程与等级保护·工程监理和验收为保证建设工程的安全和质量，第二级(含)以上信息系统安全建设工程可以实施监理。监理内容包括对工程实施前期安全性、采购外包安全性、工程实施过程安全性、系统环境安全

性等方面的核查。工程验收的内容包括全面检验工程项目所实现的安全功能、设备部署、安全配置等是否满足设计要求，工程施工质量是否达到预期指标，工程档案资料是否齐全等方面。在通过安全测评或测试的基础上，组织相应信息安全专家进行工程验收。具体参照《信息系统安全工程管理要求》。217第4章信息安全工程与等级保

护(6)安全等级测评。信息系统安全建设完成后要进行等级测评，测评结果不符合标准的，要对建设内容进行整改工作。在工程预算中应当包括等级测评费用。对第三级(含)以上信息系统每年要进行等级测评，并对测评费用做出预算。在公安部备案的信息系统，备

案单位应选择国家信息安全等级保护工作协调小组办公室推荐的等级测评机构实施等级测评；在省(区、市)、地市级公安机关备案的信息系统，备案单位应选择本省(区、市)信息安全等级保护工作协调小组办公室或国家信息安全等级保护工作协调小组办公室推荐的等级测评机构实施等

级测评。218第4章信息安全工程与等级保护2009年10月27日，公安部发出的《关于开展信息安全等级保护安全建设整改工作的指导意见》的函件(公信安[2009]1429号)，强调各地区、各部门依据信息安全等级保护有关政策和标准，4.8有关部门信息安全等级保护工作经验219第4章信息安全

工程与等级保护在信息安全等级保护定级工作基础上，通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全防范能力明显增强，安

全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益，力争在2012年底前完成已定级信息系统安全建设整改工作。为深入推动信息安全等级保护工作，加强对中央和国家机关各部门信息安全等级

保护工作的监督、检查和指导，2010年11月至12月，220第4章信息安全工程与等级保护公安部和北京市公安局成立了“等级保护工作联合检查组”，对中央和国家机关75个部门的信息安全等级保护工作开展情况进行了监督检查。通过检查，发现了许多单位开展等

级保护工作的典型经验和有效措施值得借鉴。(1)铁道部按照国家信息安全等级保护制度要求，不断加强信息安全管理制度建设和技术措施建设，认真组织开展行业培训和检查，使铁路网络和信息系统的安全防范能力不断增强，有效保障了铁

路运输生产安全。总结经验，主要体现在以下4点：221第4章信息安全工程与等级保护·高度重视等级保护工作，与铁路信息化工作同步推进。铁道部成立了铁路信息安全等级保护工作协调领导小组，多次组织会议研究具体工作，并每年将等级保护工作列入全国铁路信息

化工作要点，提出明确要求，重点督促落实。·以行业规章形式，明确要求铁路系统落实等级保护制度。在铁道部新修订的《铁路技术管理规程》中规定铁路信息系统实行等级保护。在即将印发的《铁路电子支付管理暂行办法》、《铁路信息

系统技术审查管理规定》等规章中明确提出落实等级保护要求。222第4章信息安全工程与等级保护·深入研究铁路网络与信息系统技术方案，加强技术措施建设。铁道部将铁路网络与信息安全等级保护技术方案研究作为部里的重点科研项目，多次组织专家进行评审。同时，对新建、改建信息系统严格把关，确保等级保护

与信息系统的建设同步实施，并要求新建重要信息系统上线前开展安全性测试，确定系统安全稳定后再上线运行。223第4章信息安全工程与等级保护·开展行业检查，加强应急演练。铁道部每年在全路开展一次全面的网络与信息安全大检查，在铁路春运、暑运和重要节假日、重要活动前，组织对运输生

产相关的信息系统开展专项安全检查。同时，铁道部每年组织有关专家结合信息系统运行情况，对应急预案进行修订，并组织不定期的应急演练，有力地促进了铁路网络与信息系统安全。(2)证监会将信息安全等级保护工作作为推动行业信息安全工作

的重要抓手，全面加强行业的信息安全等级保护工作，224第4章信息安全工程与等级保护不断提升行业信息系统安全保障的整体水平，同时，打防结合，积极协调配合公安机关打击针对证券期货业的网络违法犯罪，各项工作取

得了明显的成效。总结经验，主要体现在以下4点：·领导高度重视，组织机构健全。建立了统一领导的信息安全组织保障体系，成立了行业信息化工作领导小组和专家委员会，组建了应急处置技术专家队伍。·建立了证监部门与公安机关的分级协调配合机制。证

监会与公安部，各地证监局与省级公安网安部门建立了对口联系机制。225第4章信息安全工程与等级保护通过加强沟通，联合发文等形式，使证券系统的垂直监管体制与公安部门的属地管理体制有机融合。·有序开展等级保护各项工作。制定下发了《关于进一步做好证券期货业重要信息系统安全等级保护定级备案工作的通知》

，明确了定级标准、定级范围和审核流程，确保了全行业系统定级工作的顺利开展。根据国家标准，制定了《证券期货业信息系统安全等级保护基本要求》，研究起草了行业开展等级保护安全建设整改工作的指导意见，对行业开展等级测评和安全建设整改工作提出了明确要求。226第4章信息安全工程与等级保护·成效显著，行业

信息安全保障水平显著提高。不断加大信息安全经费和人员投入，以开展等级保护工作为抓手，全方位的开展行业信息安全工作，使全行业的信息安全保障能力明显增强。同时，与有关部门密切配合全力打击证券期货市场的网络违法犯罪行为，不断加强网络漏洞扫描与监测，保

障投资者的网上交易安全。(3)海关总署将信息安全等级保护工作作为保障海关信息系统安全与信息化建设同步发展的必要手段和优化信息安全资源配置、保障海关核心系统运行安全的重大举措，采取了一系列措施推动全国海关贯彻落实等级保护制度，主要体现在以下4点：22

7第4章信息安全工程与等级保护·设立了领导机构，明确了责任部门。海关总署成立了由主管副署长任组长，办公厅、监管司、科技发展司、信息中心、数据中心负责同志组成的等级保护工作领导小组，明确了科技发展司负责组织开展

海关系统的等级保护工作。·立足全局，制定全国海关系统等级保护安全建设整改工作规划。海关总署根据等级保护的相关政策和标准，在海关系统内部下发了《海关总署关于做好全国海关信息安全等级保护安全建设整改工作的通知》，228第4章信息安全工程与等级保护确定了全国海关等级保护整改工作

的时间阶段划分和具体工作内容。·分析比对，剖析全国海关系统安全保护状况。海关总署依托测评机构和行业专家，根据等级保护相关标准和海关系统的特殊需求，确定了海关二级、三级系统测评适用项目，并通过开展等级测评，了解掌握了海关信息系统的安全保护状况

，进一步完善了全国海关信息系统安全防御体系，制定了《全国海关信息系统安全等级保护整改建设指导方案》。229第4章信息安全工程与等级保护·完善海关等级保护体系，形成长效机制。按照“突出核心、纵深防御；区域隔离、等级

保护；统一管理、两级运维”的总体策略，根据等级保护相关政策和标准，从管理和技术两方面对海关信息系统进行整改。同时，加强等级保护相关政策和标准的宣传、培训，定期开展行业自查，形成等级保护工作长效机制。230第4章信息安全

工程与等级保护信息安全等级保护的核心观念是保护重点、适度安全，即分级别、按需要重点保护重要信息系统，综合平衡安全成本和风险，提高保护成效。等级保护源于多级安全模型(MLS)。Bell-LaPadula(BLP)模型从

数学上证明了在计算机中实现等级保护是可行的。本章小结231第4章信息安全工程与等级保护CC标准是信息技术安全性评估标准，用来评估信息系统、信息产品的安全性。CC标准的评估分为两个方面：安全功能需求和安全保证需求，这两个方面分别继承了TCSEC和ITSEC的特征。CC

标准根据安全保证要求的不同，建立了从功能性测试到形式化验证设计和测试的7级评估体系。1999年12月CC2.0版被ISO批准为国际标准ISO/IEC15408，我国于2001年将CC标准等同采用为国家标准《信息技术安全性评估准则》(GB

/T18336)。232第4章信息安全工程与等级保护等级保护以及风险评估、应急处理和灾难恢复是信息安全保障的主要环节，对等于PDRR安全模型中的保护、检测、响应和恢复等要素。其基本原理是，根据信息系统所承载的业务的不同安全需求，采用不同的安全保护等级，对不同的信息系统或同一信息系统中

的不同安全域进行不同程度的安全保护，以实现对信息系统及其所存储、传输和处理的数据信息在安全保护方面，达到确保重点，照顾一般，适度保护，合理共享的目标。在等级保护的基本方法中要注意分区域分等级安全保护、内部保护和边界保护及网络安全保护。233第4章信息安全工程与等级保护根据GB1

7859《计算机信息系统安全保护等级划分准则》，我国计算机信息系统安全保护划分为5个等级。一般来说，可以按部门重要性确定信息系统的总体安全需求等级，并且按资产价值和威胁确定信息系统的安全保护等级。信息系统安全等级

保护体系包括信息系统安全等级保护法律法规和政策依据、信息系统安全等级保护标准体系、信息系统安全等级保护管理体系和信息系统安全等级保护技术体系等内容。在信息系统安全等级保护建设中，一定要按照《信息系统安全等级保护基本要求

》，参照相关标准和规范要求开展工作。