信息系统安全等级保护基本要求（试用稿）

点击下载    《信息系统安全等级保护基本要求（试用稿）》

信息安全技术信息系统安全等级保护基本要求

 范围
本文件规定了信息系统安全等级保护的基本要求，包括基本技术要求和基本管理要求，适用于不同安全等级的信息系统的安全保护。

 规范性引用文件
下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。
GB17859-1999《计算机信息系统安全保护等级划分准则》
GB/T XXXA-XXX《信息系统安全保护等级定级指南》

目 录
目 录........................................................................ I
1 范围..................................................................... 1
2 规范性引用文件........................................................... 1
3 术语和定义............................................................... 1
4 标记说明................................................................. 1
5 基本概念................................................................. 2
5.1. 信息系统概述......................................................... 2
5.2. 信息系统的五个安全等级............................................... 3
5.3. 不同安全等级的安全保护能力........................................... 3
5.4. 技术要求和管理要求................................................... 4
5.5. 技术要求的三种类型................................................... 5
5.6. 基本要求的选择....................................................... 5
6 安全目标................................................................. 6
6.1. 第1 级安全目标....................................................... 6
6.1.1. 技术目标......................................................... 6
6.1.2. 管理目标......................................................... 7
6.2. 第2 级安全目标....................................................... 8
6.2.1. 技术目标......................................................... 8
6.2.2. 管理目标......................................................... 9
6.3. 第3 级安全目标...................................................... 11
6.3.1. 技术目标........................................................ 11
6.3.2. 管理目标........................................................ 13
6.4. 第4 级安全目标...................................................... 14
6.4.1. 技术目标........................................................ 14
6.4.2. 管理目标........................................................ 17
7 第1 级基本要求.......................................................... 18
7.1. 技术要求............................................................ 18
7.1.1. 物理安全........................................................ 18
7.1.2. 网络安全........................................................ 19
7.1.3. 主机系统安全.................................................... 19
7.1.4. 应用安全........................................................ 20
7.1.5. 数据安全........................................................ 20
7.2. 管理要求............................................................ 20
7.2.1. 安全管理机构.................................................... 21
7.2.2. 安全管理制度.................................................... 21
7.2.3. 人员安全管理.................................................... 21
7.2.4. 系统建设管理.................................................... 22
7.2.5. 系统运维管理.................................................... 23
8 第2 级基本要求.......................................................... 25
8.1. 技术要求............................................................ 25
8.1.1. 物理安全........................................................ 25
8.1.2. 网络安全........................................................ 26
8.1.3. 主机系统安全.................................................... 27
8.1.4. 应用安全........................................................ 29
8.1.5. 数据安全........................................................ 30
8.2. 管理要求............................................................ 31
8.2.1. 安全管理机构.................................................... 31
8.2.2. 安全管理制度.................................................... 32
8.2.3. 人员安全管理.................................................... 32
8.2.4. 系统建设管理.................................................... 33
8.2.5. 系统运维管理.................................................... 35
9 第3 级基本要求.......................................................... 38
9.1. 技术要求............................................................ 38
9.1.1. 物理安全........................................................ 38
9.1.2. 网络安全........................................................ 40
9.1.3. 主机系统安全.................................................... 42
9.1.4. 应用安全........................................................ 44
9.1.5. 数据安全........................................................ 46
9.2. 管理要求............................................................ 47
9.2.1. 安全管理机构.................................................... 47
9.2.2. 安全管理制度.................................................... 49
9.2.3. 人员安全管理.................................................... 49
9.2.4. 系统建设管理.................................................... 50
9.2.5. 系统运维管理.................................................... 53
10 第4 级基本要求........................................................ 58
10.1. 技术要求.......................................................... 58
10.1.1. 物理安全........................................................ 59
10.1.2. 网络安全........................................................ 60
10.1.3. 主机系统安全.................................................... 62
10.1.4. 应用安全........................................................ 65
10.1.5. 数据安全........................................................ 68
10.2. 管理要求.......................................................... 69
10.2.1. 安全管理机构.................................................... 69
10.2.2. 安全管理制度.................................................... 70
10.2.3. 人员安全管理.................................................... 71
10.2.4. 系统建设管理.................................................... 72
10.2.5. 系统运维管理.................................................... 75
11 第5 级基本要求........................................................ 81
附录A 威胁描述............................................................. 82
A1.第1 级对抗威胁......................................................... 82
A2.第2 级对抗威胁......................................................... 82
A3.第3 级对抗威胁......................................................... 84
A4.第4 级对抗威胁......................................................... 86
附录B 安全威胁与安全目标的关系.............................................. 89
B1.一级................................................................... 89
B2.二级................................................................... 90
B3.三级................................................................... 92
B4.四级................................................................... 94
附录C 安全目标与基本要求的关系............................................. 98
C1.一级................................................................... 98
C2.二级.................................................................. 100
C3.三级.................................................................. 104
C4.四级.................................................................. 110
附录D 基本要求与安全目标的关系............................................ 117
D1.一级.................................................................. 117
D2.二级.................................................................. 119
D3.三级.................................................................. 122
D4.四级.................................................................. 125
参考文献................................................................... 129