信息安全技术信息系统安全等级保护基本要求

信息安全技术信息系统安全等级保护基本要求内容摘要：

独立，又互相关联，在一些情况下，技术和管理 能够发挥它们各自的作用； 在 另一些 情况下，需要同时使用技术和管理两种 手段 ，实现 安全控制或 更强的 安全 控制 ；大多数情况下 ，技术和管理 要求 互相提供支撑 以 确保各自功能的正确实现。 . 技术要求的三种类型 技术 类安全要求提出了信息系统应提供的 技术 安全机制，这些安全机制将 通过 在信息系统中 部署软硬件 并正确的配置其安全功能 来实现。 根据安全机制的保护侧重点， 技术类安全要求 又进一步细分为 业务信息 安全类（简记为 S）、业务 服务保证 类（简记为 A 类）和通用安全保护 类（简记为 G 类）三类。 业务信息 安全类（ S 类 ） 安全要求 关注的是保护数据在存储、传输、处理过程中不被泄漏 、 破坏 和 免受 未授权的 修改 ； 业务 服务保证 类（ A 类） 安全要求 关注的是保护系统连续正常的 运行，免受对系统的 未授权 修改、破坏而导致系统不可用； 通用安全保护类（ G 类） 安全要求 是没有明显的侧重， 既关注保护 业务信息 的安全性，同时也关注保护系统的 连续 可用性。 . 基本要求的选择 信息系统由于承载的业务不同，对其的安全关注点会有所不同 ，有的更关注 数据的安全性 ，即 更关注对盗窃、搭线窃听、假冒用户等可能导致信息泄密、非法篡改等威胁的对抗；有的更关注业务 的 连续性，即更关注保证 系统连续正常的 运行，免受对系统 未授权的 修改、破坏而导致系统不可用 引起业务中断。 不同安全等级的信息系统 ， 其 对 业务信息 的 安全 性 要求 和 业务 服务 的 连续性要求 是 有差异的 ； 即使相同安全等级的信息系统， 其 对 业务信息 的 安全性 要求 和业务 服务 的 连续性 要求也有差异。 信息 系统的安全等级由各个业务子系统的 业务信息安全性 等级和 业务服务保证性等级 较高者决定（参见《 信息系统 安全 保护 等级 定级指南》），因此 ， 对某一个定级后的信息系统的保护要求可以有多种组合。 不同 安全 等级的 信息系统 可以选择 的 保护要求组合 如下表所示： 6 表 １ ： 各等级 信息系统 保护要求组合 安全等级 信息系统 保护要求的组合 第一级 S1A1G1 第二级 S1A2G2， S2A2G2， S2A1G2 第三级 S1A3G3， S2A3G3， S3A3G3， S3A2G3， S3A1G3 第四级 S1A4G4， S2A4G4， S3A4G4， S4A4G4， S4A3G4， S4A2G4， S4A1G4 本文件 的每一个 安全等级 的基本要求按照 业务信息安全性 等级和 业务服务保证性 等级相同的情况组织，也就是每一个 安全等级 的基本要求针对 S1A1G S2A2G S3A3G3 和S4A4G4 情 况给出。 对基本要求进行 选择 的过程如下： 首先， 基本要求的选择由信息系统的安全等级确定 ，基本要求包括技术要求和管理要求。 一级系统应 该 选择第一级的基本要求， 二 级系统应 该 选择第 二 级的基本要求 ，三级系统应 该选择第三级的基本要求，四级系统应 该 选择第四级的基本要求。 其次， 可以 根据信息系统 保护要求 的 组合 对技术要求进行调整。 对 业务信息安全性 等级高于 业务服务保证性 等级的系统， 业务 服务保证 类（ A 类 ） 技术要求 可以根据 业务服务保证性 等级选择相应等级的 业务 服务保证 类（ A 类 ） 技术要求 ； 对 业务服务保证性 等级 高于 业务信息安全性 等级的系 统， 业务信息 安全 类（ S 类 ） 技术要求 可以根据 业务信息安全性 等级选择相应等级的 业务信息 安全 类（ S 类 ） 技术要求。 最后， 由于各种原因 对基本要求 项 有调整需求的，应 针对需要调整的基本要求 项逐项进行风险分析， 在 保证不降低整体安全保护强度 的前提下 ， 对基本要求项进行调整， 并形成书面的调整理由 进行说明。 对于涉密的信息系统，在确定 安全等级 后， 除应按照 本文件 规定的相应安全等级的基本要求进行保护外，还应按照 国家保密工作部门和国家密码管理部门的相关规定进行要求和保护。 6 安全目标 . 第 1级安全目标 第一级信息系统应实现以下目标。 . 技术 目标 O11. 应具有防雷击的能力 7 O12. 应具有防水和防潮的能力 O13. 应具有灭火的能力 O14. 应具有温湿度检测和控制的能力 O15. 应具有防止电压波动的能力 O16. 应具有对传输和存储数据进行完整性检测的能力 O17. 应具有系统软件、应用软件容错的能力 O18. 应具有合理使用和控制系统资源的能力 O19. 应具有设计合理、安全网络结构的能力 O110. 应具有控制机房进出的能力 O111. 应具有防止设备、介质等丢失的能力 O112. 应具有控制接触重要设备、介质的能力 O113. 应具有发现网络协议、操作系统、应用系统等重要漏洞并及时修补的能力 O114. 应具有对网络、系统和应用的访问进行控制的能力 O115. 应具有对数据、文件或其他资源 的访问进行控制的能力 O116. 应具有对用户进行标识和鉴别的能力 O117. 应具有保证鉴别数据传输和存储 保密性 的能力 O118. 应具有对 恶意代码 的检测、阻止和清除能力 O119. 应具有重要数据恢复的能力 . 管理目标 O120. 应确保配备了足够数量的管理人员，支持信息系统的管理工作 O121. 应确保建立了基本的安全管理制度，并保证安全管理制度的有效性 O122. 应确保对信息系统 进行 合理定级 O123. 应确保能控制信息安全相关事件的授权与审批 O124. 应确保建立恰当可靠的联络渠道，以便安全事件发生时能得到支持 O125. 应确保对人员的行为进行控制 O126. 应确保安全产品的可信度和产品质量 O127. 应确保自行开发过程和工程实施 过程中的安全 O128. 应确保能顺利地接管和维护信息系统 O129. 应确保安全工程的实施质量和安全功能的准确实现 O130. 应确保机房具有良好的运行环境 8 O131. 应确保对信息资产进行安全管理 O132. 应确保 对 各种软硬件设备的选型、采购、发放、使用和保管等过程 进行 控制 O133. 应确保对网络、操作系统、数据库管理系统和应用系统进行安全管理 O134. 应确保用户具有鉴别信息使用的安全意识 O135. 应确保定期地对 通信线 路 进行检查和维护 O136. 应确保硬件设备、存储介质存放环境安全 ，并对其的使用进行控制和保护 O137. 应确保对支撑设施、硬件设备、存储介质进行日常维护和管理 O138. 应确保系统中使用的硬件、软件产 品的质量 O139. 应确保各类人员具有与其岗位相适应的技术能力 O140. 应确保对各类人员进行相关的技术培训 O141. 应确保提供的足够的使用手册、维护指南等资料 O142. 应确保内部人员具有安全方面的常识和意识 O143. 应确保对信息安全事件进行报告和处置 . 第 2级安全目标 第二级信息系统应实现以下目标。 . 技术目标 O21. 应具有抵抗一般强度地震、台风等自然灾难造成破坏的能力 O22. 应具有防止雷击事件导致重要设备被破坏的能力 O23. 应具有防水和防潮的能力 O24. 应具有灭火的能力 O25. 应具有检测火灾和报警的能力 O26. 应具有温湿度自动检测和控制的能力 O27. 应具有防止电压波动的能力 O28. 应具有对抗短时间 断电的能力 O29. 应具有防止静电导致重要设备被破坏的能力 O210. 具有基本的抗电磁干扰能力 O211. 应具有对传输和存储数据进行完整性检测的能力 O212. 应具有对硬件故障产品进行替换的能力 O213. 应具有系统软件、应用软件容错的能力 O214. 应具有软件故障分析的能力 9 O215. 应具有合理使用和控制系统资源的能力 O216. 应具有记录用户操作行为的能力 O217. 应具有对用户的误操作行为进行检测和报警的能力 O218. 应具有控制机房进出的能力 O219. 应具有防止设备、介质等丢失的能力 O220. 应具有控制机房内人员活动的能力 O221. 应具有控制接触重要设备、介质的能力 O222. 应具有对传输和存储中的信息进行 保密性 保护的能力 O223. 应具 有对通信线路进行物理保护的能力 O224. 应具有限制网络、操作系统和应用系统资源使用的能力 O225. 应具有能够检测对网络的各种攻击并记录其活动的能力 O226. 应具有发现所有已知漏洞并及时修补的能力 O227. 应具有对网络、系统和应用的访问进行控制的能力 O228. 应具有对数据、文件或其他资源的访问进行控制的能力 O229. 应具有对资源访问的行为进行记录的能力 O230. 应具有对用户进行唯一标识的能力 O231. 应具有对用户产生复杂鉴别信息并进行鉴别的能力 O232. 应具有对恶意代码的检测、阻止和清除能力 O233. 应具有防止恶意代码在网络中扩散的能力 O234. 应具有对恶意代码库和搜索引擎及时更新的能力 O235. 应 具有保证鉴别数据传输和存储 保密性 的能力 O236. 应具有对存储介质中的残余信息进行删除的能力 O237. 应具有非活动状态一段时间后自动切断连接的能力 O238. 应具有网络边界完整性检测能力 O239. 应具有重要数据恢复的能力 . 管理目标 O240. 应确保建立了安全职能部门，配备了安全管理人员，支持信息安全管理工作 O241. 应确保配备了足够数量的管理人员，对系统进行运行维护 O242. 应确保对主要的管理活动进行了制度化管理 O243. 应确保 建立并 不断完善、健全安全管理制 度 10 O244. 应确保能协调信息安全工作在各功能部门的实施 O245. 应确保能控制信息安全相关事件的授权与审批 O246. 应确保建立恰当可靠的联络渠道， 以便安全事件发生时能得到支持 O247. 应确保对人员的行为进行控制 O248. 应确保对人员的管理活动进行了指导 O249. 应确保安全策略的正确性和安全措施的合理性 O250. 应确保对信息系统进行合理定级 O251. 应确保安全产品的可信度和产品质量 O252. 应确保自行开发过程和工程实施过程中的安全 O253. 应确保能顺利地接管和维护信息系统 O254. 应确保安全工程的实施质量和安全功能的准确实现 O255. 应确保机房具有良好的运行环境 O256. 应确保对信息资产进行标识管理 O257. 应确保对各种软硬件设备的选型、采购、发放、使用和保管等过程进行控制 O258. 应确保各种网络设备、服务器正确使用和维护 O259. 应确保对网络、操作系统 、数据库管理系统和应用系统 进 行安全管理 O260. 应确保用户具有鉴别信息使用的安全意识 O261. 应确保定期地对 通信线路 进行检查和维护 O262. 应确保硬件设备、存储介质存放环境安全，并对其的使用进行控制和保护 O263. 应确保对支撑设施、硬件设备、存储介质进行日常维护和管理 O264. 应确保系统中使用的硬件、软件产品的质量 O265. 应确保各类人员具有与其岗位相适应的技术能力 O266. 应确保对各类人员进行相关的技术培训 O267. 应确保提供的足够的使用手册、维护指南等资料 O268. 应确保内部人员具有安全方面的常识和意识 O269. 应确保具有设计合理、安全网络结构的能力 O270. 应确保密码算法和密钥的使用符合 国家有关法律、法规的规定 O271. 应确保 任何变更控制 和设备重用要 申报和审批 ，并对其实行制度化的管理 O272. 应确保在事件发生后能采取积极、有效的应急策略和措施 O273. 应确保信息安全事件实行分等级响应、处置 11 . 第 3级安全目标 第三级信息系统应实现以下目标。 . 技术目标 O31. 应具有 对抗 中等强度地震、台风等自然灾难造成破坏的能力 O32. 应具有防止雷击事件导致大面积设备被破坏的能力 O33. 应具有防水和防潮的能力 O34. 应具有对水患检测和报警的能力 O35. 应具有自动灭火的能力 O36. 应具有检测火灾和报警的能力 O37. 应具有防止火灾蔓延的能力 O38. 应具有温湿度自动检测和控制的能力 O39. 应具有 防止电压波动的能力 O310. 应具有对抗 较 长时间断电的能力。