11-信息安全技术 公共基础设施 PKI系统安全等级保护技术要求
关键信息基础设施安全保护 技术要求
关键信息基础设施安全保护技术要求摘要随着信息技术的迅速发展和普及,关键信息基础设施的安全保护变得愈发重要。
本文将探讨关键信息基础设施安全保护的技术要求,包括网络安全、数据安全、物理安全等方面,并提出相应的保护措施和建议。
引言关键信息基础设施包括国家安全、经济社会发展和人民生活等方面的信息系统和网络设施。
其安全保护直接关系到国家安全和社会稳定,因此具有极其重要的战略意义。
随着网络攻击和信息泄露事件的不断增多,关键信息基础设施安全保护迫在眉睫。
建立科学有效的安全保护技术要求,对于维护国家安全和社会稳定具有重要的意义。
一、网络安全的技术要求1.1 网络防火墙技术网络防火墙是关键信息基础设施安全保护的第一道防线,其技术要求包括实时监测网络流量、识别危险数据包、实施访问控制等。
网络防火墙还需要不断更新防护规则,以应对不断变化的网络攻击。
1.2 入侵检测系统技术入侵检测系统可以实时监测网络中的异常行为和攻击行为,及时发现攻击行为并采取相应的防御措施。
其技术要求包括高效的攻击检测算法、实时告警和响应机制等。
1.3 安全接入控制技术安全接入控制技术可以有效防止非法入侵和未授权访问,其技术要求包括身份认证机制、访问控制策略和加密传输机制等。
二、数据安全的技术要求2.1 数据加密技术数据加密技术是保障关键信息基础设施数据安全的重要手段,其技术要求包括密钥管理机制、加密算法的安全性和性能要求等。
2.2 数据备份与恢复技术数据备份与恢复技术可以保证在数据丢失或损坏时能够及时恢复数据,其技术要求包括备份策略、备份存储介质的安全性和恢复性能等。
2.3 数据访问控制技术数据访问控制技术可以限制用户对关键信息基础设施的敏感数据的访问权限,其技术要求包括权限管理、审计跟踪和访问日志记录等。
三、物理安全的技术要求3.1 门禁与监控技术门禁与监控技术可以对关键信息基础设施的物理进入进行控制和监测,其技术要求包括视频监控系统、出入记录管理和访客管理系统等。
信息系统安全等级保护基本要求
目次前言 (IX)引言 (X)1 范围 (11)2规范性引用文件 (11)3术语和定义 (11)4信息系统安全等级保护概述 (11)4.1 信息系统安全保护等级 (11)4.2 不同等级的安全保护能力 (11)4.3 基本技术要求和基本管理要求 (12)4.4 基本技术要求的三种类型 (12)5第一级基本要求 (12)5.1 技术要求 (12)5.1.1物理安全 (12)5.1.1.1 物理访问控制(G1) (12)5.1.1.2 防盗窃和防破坏(G1) (12)5.1.1.3 防雷击(G1) (13)5.1.1.4 防火(G1) (13)5.1.1.5 防水和防潮(G1) (13)5.1.1.6 温湿度控制(G1) (13)5.1.1.7 电力供应(A1) (13)5.1.2网络安全 (13)5.1.2.1 结构安全(G1) (13)5.1.2.2 访问控制(G1) (13)5.1.2.3 网络设备防护(G1) (13)5.1.3主机安全 (13)5.1.3.1 身份鉴别(S1) (13)5.1.3.2 访问控制(S1) (13)5.1.3.3 入侵防范(G1) (14)5.1.3.4 恶意代码防范(G1) (14)5.1.4应用安全 (14)5.1.4.1 身份鉴别(S1) (14)5.1.4.2 访问控制(S1) (14)5.1.4.3 通信完整性(S1) (14)5.1.4.4 软件容错(A1) (14)5.1.5数据安全及备份恢复 (14)5.1.5.1 数据完整性(S1) (14)5.1.5.2 备份和恢复(A1) (14)5.2 管理要求 (14)5.2.1安全管理制度 (14)5.2.1.1 管理制度(G1) (14)5.2.1.2 制定和发布(G1) (14)5.2.2安全管理机构 (14)I5.2.2.1 岗位设置(G1) (14)5.2.2.2 人员配备(G1) (14)5.2.2.3 授权和审批(G1) (14)5.2.2.4 沟通和合作(G1) (15)5.2.3人员安全管理 (15)5.2.3.1 人员录用(G1) (15)5.2.3.2 人员离岗(G1) (15)5.2.3.3 安全意识教育和培训(G1) (15)5.2.3.4 外部人员访问管理(G1) (15)5.2.4系统建设管理 (15)5.2.4.1 系统定级(G1) (15)5.2.4.2 安全方案设计(G1) (15)5.2.4.3 产品采购和使用(G1) (15)5.2.4.4 自行软件开发(G1) (15)5.2.4.5 外包软件开发(G1) (15)5.2.4.6 工程实施(G1) (16)5.2.4.7 测试验收(G1) (16)5.2.4.8 系统交付(G1) (16)5.2.4.9 安全服务商选择(G1) (16)5.2.5系统运维管理 (16)5.2.5.1 环境管理(G1) (16)5.2.5.2 资产管理(G1) (16)5.2.5.3 介质管理(G1) (16)5.2.5.4 设备管理(G1) (16)5.2.5.5 网络安全管理(G1) (17)5.2.5.6 系统安全管理(G1) (17)5.2.5.7 恶意代码防范管理(G1) (17)5.2.5.8 备份与恢复管理(G1) (17)5.2.5.9 安全事件处置(G1) (17)6第二级基本要求 (17)6.1 技术要求 (17)6.1.1物理安全 (17)6.1.1.1 物理位置的选择(G2) (17)6.1.1.2 物理访问控制(G2) (17)6.1.1.3 防盗窃和防破坏(G2) (17)6.1.1.4 防雷击(G2) (18)6.1.1.5 防火(G2) (18)6.1.1.6 防水和防潮(G2) (18)6.1.1.7 防静电(G2) (18)6.1.1.8 温湿度控制(G2) (18)6.1.1.9 电力供应(A2) (18)6.1.1.10 电磁防护(S2) (18)6.1.2网络安全 (18)6.1.2.1 结构安全(G2) (18)II6.1.2.2 访问控制(G2) (18)6.1.2.3 安全审计(G2) (19)6.1.2.4 边界完整性检查(S2) (19)6.1.2.5 入侵防范(G2) (19)6.1.2.6 网络设备防护(G2) (19)6.1.3主机安全 (19)6.1.3.1 身份鉴别(S2) (19)6.1.3.2 访问控制(S2) (19)6.1.3.3 安全审计(G2) (19)6.1.3.4 入侵防范(G2) (20)6.1.3.5 恶意代码防范(G2) (20)6.1.3.6 资源控制(A2) (20)6.1.4应用安全 (20)6.1.4.1 身份鉴别(S2) (20)6.1.4.2 访问控制(S2) (20)6.1.4.3 安全审计(G2) (20)6.1.4.4 通信完整性(S2) (20)6.1.4.5 通信保密性(S2) (20)6.1.4.6 软件容错(A2) (21)6.1.4.7 资源控制(A2) (21)6.1.5数据安全及备份恢复 (21)6.1.5.1 数据完整性(S2) (21)6.1.5.2 数据保密性(S2) (21)6.1.5.3 备份和恢复(A2) (21)6.2 管理要求 (21)6.2.1安全管理制度 (21)6.2.1.1 管理制度(G2) (21)6.2.1.2 制定和发布(G2) (21)6.2.1.3 评审和修订(G2) (21)6.2.2安全管理机构 (21)6.2.2.1 岗位设置(G2) (21)6.2.2.2 人员配备(G2) (22)6.2.2.3 授权和审批(G2) (22)6.2.2.4 沟通和合作(G2) (22)6.2.2.5 审核和检查(G2) (22)6.2.3人员安全管理 (22)6.2.3.1 人员录用(G2) (22)6.2.3.2 人员离岗(G2) (22)6.2.3.3 人员考核(G2) (22)6.2.3.4 安全意识教育和培训(G2) (22)6.2.3.5 外部人员访问管理(G2) (22)6.2.4系统建设管理 (23)6.2.4.1 系统定级(G2) (23)6.2.4.2 安全方案设计(G2) (23)III6.2.4.3 产品采购和使用(G2) (23)6.2.4.4 自行软件开发(G2) (23)6.2.4.5 外包软件开发(G2) (23)6.2.4.6 工程实施(G2) (23)6.2.4.7 测试验收(G2) (23)6.2.4.8 系统交付(G2) (24)6.2.4.9 安全服务商选择(G2) (24)6.2.5系统运维管理 (24)6.2.5.1 环境管理(G2) (24)6.2.5.2 资产管理(G2) (24)6.2.5.3 介质管理(G2) (24)6.2.5.4 设备管理(G2) (24)6.2.5.5 网络安全管理(G2) (25)6.2.5.6 系统安全管理(G2) (25)6.2.5.7 恶意代码防范管理(G2) (25)6.2.5.8 密码管理(G2) (25)6.2.5.9 变更管理(G2) (25)6.2.5.10 备份与恢复管理(G2) (26)6.2.5.11 安全事件处置(G2) (26)6.2.5.12 应急预案管理(G2) (26)7第三级基本要求 (26)7.1 技术要求 (26)7.1.1物理安全 (26)7.1.1.1 物理位置的选择(G3) (26)7.1.1.2 物理访问控制(G3) (26)7.1.1.3 防盗窃和防破坏(G3) (26)7.1.1.4 防雷击(G3) (27)7.1.1.5 防火(G3) (27)7.1.1.6 防水和防潮(G3) (27)7.1.1.7 防静电(G3) (27)7.1.1.8 温湿度控制(G3) (27)7.1.1.9 电力供应(A3) (27)7.1.1.10 电磁防护(S3) (27)7.1.2网络安全 (28)7.1.2.1 结构安全(G3) (28)7.1.2.2 访问控制(G3) (28)7.1.2.3 安全审计(G3) (28)7.1.2.4 边界完整性检查(S3) (28)7.1.2.5 入侵防范(G3) (29)7.1.2.6 恶意代码防范(G3) (29)7.1.2.7 网络设备防护(G3) (29)7.1.3主机安全 (29)7.1.3.1 身份鉴别(S3) (29)7.1.3.2 访问控制(S3) (29)IV7.1.3.3 安全审计(G3) (30)7.1.3.4 剩余信息保护(S3) (30)7.1.3.5 入侵防范(G3) (30)7.1.3.6 恶意代码防范(G3) (30)7.1.3.7 资源控制(A3) (30)7.1.4应用安全 (30)7.1.4.1 身份鉴别(S3) (31)7.1.4.2 访问控制(S3) (31)7.1.4.3 安全审计(G3) (31)7.1.4.4 剩余信息保护(S3) (31)7.1.4.5 通信完整性(S3) (31)7.1.4.6 通信保密性(S3) (31)7.1.4.7 抗抵赖(G3) (31)7.1.4.8 软件容错(A3) (32)7.1.4.9 资源控制(A3) (32)7.1.5数据安全及备份恢复 (32)7.1.5.1 数据完整性(S3) (32)7.1.5.2 数据保密性(S3) (32)7.1.5.3 备份和恢复(A3) (32)7.2 管理要求 (32)7.2.1安全管理制度 (32)7.2.1.1 管理制度(G3) (32)7.2.1.2 制定和发布(G3) (33)7.2.1.3 评审和修订(G3) (33)7.2.2安全管理机构 (33)7.2.2.1 岗位设置(G3) (33)7.2.2.2 人员配备(G3) (33)7.2.2.3 授权和审批(G3) (33)7.2.2.4 沟通和合作(G3) (34)7.2.2.5 审核和检查(G3) (34)7.2.3人员安全管理 (34)7.2.3.1 人员录用(G3) (34)7.2.3.2 人员离岗(G3) (34)7.2.3.3 人员考核(G3) (34)7.2.3.4 安全意识教育和培训(G3) (34)7.2.3.5 外部人员访问管理(G3) (35)7.2.4系统建设管理 (35)7.2.4.1 系统定级(G3) (35)7.2.4.2 安全方案设计(G3) (35)7.2.4.3 产品采购和使用(G3) (35)7.2.4.4 自行软件开发(G3) (35)7.2.4.5 外包软件开发(G3) (36)7.2.4.6 工程实施(G3) (36)7.2.4.7 测试验收(G3) (36)V7.2.4.8 系统交付(G3) (36)7.2.4.9 系统备案(G3) (36)7.2.4.10 等级测评(G3) (37)7.2.4.11 安全服务商选择(G3) (37)7.2.5系统运维管理 (37)7.2.5.1 环境管理(G3) (37)7.2.5.2 资产管理(G3) (37)7.2.5.3 介质管理(G3) (37)7.2.5.4 设备管理(G3) (38)7.2.5.5 监控管理和安全管理中心(G3) (38)7.2.5.6 网络安全管理(G3) (38)7.2.5.7 系统安全管理(G3) (39)7.2.5.8 恶意代码防范管理(G3) (39)7.2.5.9 密码管理(G3) (39)7.2.5.10 变更管理(G3) (39)7.2.5.11 备份与恢复管理(G3) (39)7.2.5.12 安全事件处置(G3) (40)7.2.5.13 应急预案管理(G3) (40)8第四级基本要求.......................................................错误!未定义书签。
信息系统安全等级保护基本要求
蓝色部分是操作系统安全等级划分,红色部分是四级操作系统关于网络部分的要求:)《信息系统安全等级保护基本要求》中华人民共和国国家标准GB/T 22239-2008引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南;——GB/T CCCC-CCCC 信息安全技术信息系统安全等级保护实施指南。
本标准与GB17859-1999、GB/T 20269-2006 、GB/T 20270-2006 、GB/T 20271-2006等标准共同构成了信息系统安全等级保护的相关配套标准。
其中GB17859-1999是基础性标准,本标准、GB/T20269-2006、GB/T20270-2006、GB/T20271-2006等是在GB17859-1999基础上的进一步细化和扩展。
本标准在GB17859-1999、GB/T20269-2006、GB/T20270-2006、GB/T20271-2006等技术类标准的基础上,根据现有技术的发展水平,提出和规定了不同安全保护等级信息系统的最低保护要求,即基本安全要求,基本安全要求包括基本技术要求和基本管理要求,本标准适用于指导不同安全保护等级信息系统的安全建设和监督管理。
在本标准文本中,黑体字表示较低等级中没有出现或增强的要求。
信息系统安全等级保护基本要求1范围本标准规定了不同安全保护等级信息系统的基本保护要求,包括基本技术要求和基本管理要求,适用于指导分等级的信息系统的安全建设和监督管理。
2规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。
信息安全技术HCIASecurity第十一章PKI证书体系课件
公钥信息 (Subject Public Key Info)
扩展信息 (Extensions)
签名 (Signature)
第4页
证书格式
设备支持三种文件格式保存证书。
格式
描述
PKCS#12
以二进制格式保存证书,可以包含私钥,也可以不包 含私钥。常用的后缀有:.P12和.PFX。
DER
以二进制格式保存证书,不包含私钥。常用的后缀 有:.DER、.CER和.CRT。
PEM
以ASCII码格式保存证书,可以包含私钥,也可以不包 含私钥。常用的后缀有:.PEM、.CER和.CRT。
第5页
目录
1. 数字证书 2. PKI体系架构 3. PKI工作机制
第6页
PKI必要性
丙
甲
乙
明文传输
问题: 甲与乙之间的信息易被丙窃取 和篡改。
加密传输 (对称密钥加密) 问题: 安全通信前需找到分发密钥的方法, 确保其他人无法得到密钥。在传输过 程中,任何截取了密钥的人都可以窃 取和篡改加密的消息。而且 n个用户的团体就需要协商n*(n-1)/ 2个不同的密钥,管理复杂。
表示有RA时的操作RA是CA的窗 口,可以不独立存在。
第9页
PKI生命周期
PKI的核心技术就围绕着本地证书 的申请、颁发、存储、下载、安 装、验证、更新和撤销的整个生 命周期进行展开。
申请 颁发 储存 使用 验证 更新 注销 第11页
证书申请
通常情况下PKI实体会生成一对公私钥,公钥和自己的身份信 息(包含在证书注册请求消息中)被发送给CA用来生成本地 证书,私钥PKI实体自己保存用来数字签名和解密对端实体发 送过来的密文。
第3页
证书结构
计算机信息系统安全等级保护通用技术要求
计算机信息系统安全等级保护通用技术要求
计算机信息系统安全等级保护通用技术要求(以下简称《通用技术要求》)是中国国家信息安全等级保护测评中用于计算机信息系统安全等级保护测评的技术要求标准。
该标准由中华人民共和国公安部发布,是针对计算机信息系统的安全性进行评估和测试的技术规范。
《通用技术要求》主要从安全需求分析和评估、系统安全设计、系统安全实施与配置、系统安全管理和维护等方面提出了具体要求。
下面是《通用技术要求》的一些主要内容:
1. 安全需求分析和评估:要求对计算机信息系统的安全需求进行全面评估,并根据评估结果确定相应的安全等级。
2. 系统安全设计:要求根据安全等级要求进行系统的安全设计,包括系统边界的划定、安全策略的制定、访问控制的实施等。
3. 系统安全实施与配置:要求在系统实施和配置过程中,采取相应的安全措施,确保系统组件和设备的安全性,同时对系统进行安全审计。
4. 系统安全管理和维护:要求建立完善的系统安全管理和维护机制,包括系统安全管理组织机构的建立、用户管理、安全事件管理等。
《通用技术要求》还提出了具体的技术要求和测试方法,以保证计算机信息系统在不同安全等级下的安全性。
同时,根据具
体的系统类型和安全等级要求,还可以参考其他相关技术规范进行细化和补充。
总之,计算机信息系统安全等级保护通用技术要求是对计算机信息系统安全进行评估和测试的技术标准,通过满足这些要求,可以确保计算机信息系统在不同安全等级下的安全性。
信息系统安全等级保护等级保护基本要求
技术要求-网络安全
合计3 6 7 7 网络设备防护* * * * 恶意代码防范* * 入边侵界防完范 整性*控*检制* 查点*一*级* 二级三级四级 安全审计* * * 访问控制* * * * 结构安全* * * *
技术要求-主机安全
合计4 6 7 9 资源控制* * * 恶意代码防范* * * * 入侵防范* * * * 剩安余全信审息 计保*控*护制* *点*一级二级三级四级 可信路径* 访问控制* * * * 安全标记* 身份鉴别* * * *
《基本要求》定位举例
• A点——B点,500KM 5H
• 飞机 OK
• 火车 OK
• 汽车 OK
• 自行车 NO
等级保护的基本要求
• 内容与作用
– 为信息系统主管和运营、使用单位提供技术指导 – 为测评机构提供测评依据 – 为监管职能部门提供监督检查依据
• 适用环节
– 建设整改、验收、测评、运维、检查
安全要素与安全保护等级的关系
国家安全特别严重损害第五级极端重要系统 专门监督检查 国家安全严重损害 第四级强制监督检查 社会秩序和特别严重损害 公共利益 国家安全一般损害 监督检查 重要系统 第三级 社会秩序和严重损害 公共利益 社会秩序和一般损害 公共利益 第二级指导保护 严重损害 自主保护 一般系统 一般损害第一级 合法权益 侵害客体侵害程度等级对象监管强度
技术要求-物理安全
控制点一级二级三级四级
合计7 10 10 10 电磁防护* * * 电力供应* * * * 温湿度控制* * * * 防静电* * * 防水和防潮* * * * 防火* * * * 防雷击* * * * 防盗窃和防破坏* * * * 物理访问控制* * * * 物理位置的选择* * *
信息安全技术信息系统安全等级保护测评要求
信息安全技术信息系统安全等级保护基本要求引言依据《中华人民XX国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息系统安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)等有关文件要求,制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南;——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求;——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护实施指南。
一般来说,信息系统需要靠多种安全措施进行综合防X以降低其面临的安全风险。
本标准针对信息系统中的单项安全措施和多个安全措施的综合防X,对应地提出单元测评和整体测评的技术要求,用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。
单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。
整体测评根据安全控制点间、层面间和区域间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。
本标准给出了等级测评结论中应包括的主要内容,未规定给出测评结论的具体方法和量化指标。
如果没有特殊指定,本标准中的信息系统主要指计算机信息系统。
在本标准文本中,黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。
信息系统安全等级保护测评要求1 X围本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求,包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测评要求。
本标准略去对第五级信息系统进行单元测评的具体内容要求。
本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。
信息系统安全等级保护基本要求
——物理安全要求比较
技术要求
技术要求项
二级等保
三级等保
物Байду номын сангаас安全
物理位置的选择G
1)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内..
1)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;
2)机房场地应避免设在建筑物的高层或地下室;以及用水设备的下层或隔壁;
1)机房应设置恒温恒湿系统;使机房温、湿度的变化在设备运行所允许的范围之内..
电力供应A
1)应在机房供电线路上配置稳压器和过电压防护设备;
2)应提供短期的备用电力供应;至少满足关键设备在断电情况下的正常运行要求..
1)应在机房供电线路上配置稳压器和过电压防护设备;
2)应提供短期的备用电力供应;至少满足关键设备在断电情况下的正常运行要求;
4)应对重要区域配置电子门禁系统;控制、鉴别和记录进入的人员..
防盗窃和防破坏G
1)应将主要设备放置在机房内;
2)应将设备或主要部件进行固定;并设置明显的不易除去的标记;
3)应将通信线缆铺设在隐蔽处;可铺设在地下或管道中等;
4)应对介质分类标识;存储在介质库或档案室中;
5)主机房应安装必要的防盗报警设施..
1)应将主要设备放置在机房内;
2)应将设备或主要部件进行固定;并设置明显的无法除去的标记;
3)应将通信线缆铺设在隐蔽处;可铺设在地下或管道中等;
4)应对介质分类标识;存储在介质库或档案室中;
5)设备或存储介质携带出工作环境时;应受到监控和内容加密;
6)应利用光、电等技术设置机房的防盗报警系统;
7)应对机房设置监控报警系统..
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1 ICS 35.040 L 80
中华人民共和国国家标准 GB/T 21053—2007
信息安全技术 公钥基础设施 PKI系统安全等级保护技术要求
Information security techniques - Public key infrastructure - Technology requirement for security classification protection of PKI system
2007-08-23发布 2008-01-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会 发布 GB/T 21053—2007 I 目 次 前 言 ............................................................................... IV 引 言 ................................................................................ V 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语和定义 .......................................................................... 1 4 缩略语 .............................................................................. 2 5 安全等级保护技术要求 ................................................................ 2 5.1 第一级 ............................................................................. 2 5.1.1 概述 ............................................................................. 2 5.1.2 物理安全 ......................................................................... 2 5.1.3 角色与责任 ....................................................................... 2 5.1.4 访问控制 ......................................................................... 3 5.1.5 标识与鉴别 ....................................................................... 4 5.1.6 数据输入输出 ..................................................................... 4 5.1.7 密钥管理 ......................................................................... 4 5.1.8 轮廓管理 ......................................................................... 5 5.1.9 证书管理 ......................................................................... 6 5.1.10 配置管理 ........................................................................ 7 5.1.11 分发和操作 ...................................................................... 7 5.1.12 开发 ............................................................................ 7 5.1.13 指导性文档 ...................................................................... 7 5.1.14 生命周期支持 .................................................................... 8 5.1.15 测试 ............................................................................ 8 5.2 第二级 ............................................................................. 8 5.2.1 概述 ............................................................................. 8 5.2.2 物理安全 ......................................................................... 8 5.2.3 角色与责任 ....................................................................... 8 5.2.4 访问控制 ......................................................................... 9 5.2.5 标识与鉴别 ...................................................................... 10 5.2.6 审计 ............................................................................ 10 5.2.7 数据输入输出 .................................................................... 12 5.2.8 备份与恢复 ...................................................................... 12 5.2.9 密钥管理 ........................................................................ 12 5.2.10 轮廓管理 ....................................................................... 13 5.2.11 证书管理 ....................................................................... 14 5.2.12 配置管理 ....................................................................... 15 5.2.13 分发和操作 ..................................................................... 15 5.2.14 开发 ........................................................................... 16 5.2.15 指导性文档 ..................................................................... 16 GB/T 21053—2007 II 5.2.16 生命周期支持 ................................................................... 16 5.2.17 测试 ........................................................................... 16 5.2.18 脆弱性评定 ..................................................................... 17 5.3 第三级 ............................................................................ 17 5.3.1 概述 ............................................................................ 17 5.3.2 物理安全 ........................................................................ 17 5.3.3 角色与责任 ...................................................................... 17 5.3.4 访问控制 ........................................................................ 18 5.3.5 标识与鉴别 ...................................................................... 20 5.3.6 审计 ............................................................................ 21 5.3.7 数据输入输出 .................................................................... 22 5.3.8 备份与恢复 ...................................................................... 23 5.3.9 密钥管理 ........................................................................ 23 5.3.10 轮廓管理 ....................................................................... 26 5.3.11 证书管理 ....................................................................... 27 5.3.12 配置管理 ....................................................................... 28 5.3.13 分发和操作 ..................................................................... 28 5.3.14 开发 ........................................................................... 29 5.3.15 指导性文档 ..................................................................... 29 5.3.16 生命周期支持 ................................................................... 30 5.3.17 测试 ........................................................................... 30 5.3.18 脆弱性评定 ..................................................................... 30 5.4 第四级 ............................................................................ 31 5.4.1 概述 ............................................................................ 31 5.4.2 物理安全 ........................................................................ 31 5.4.3 角色与责任 ...................................................................... 31 5.4.4 访问控制 ........................................................................ 32 5.4.5 标识与鉴别 ...................................................................... 33 5.4.6 审计 ............................................................................ 34 5.4.7 数据输入输出 .................................................................... 36 5.4.8 备份与恢复 ...................................................................... 37 5.4.9 密钥管理 ........................................................................ 37 5.4.10 轮廓管理 ....................................................................... 40 5.4.11 证书管理 ....................................................................... 41 5.4.12 配置管理 ....................................................................... 42 5.4.13 分发和操作 ..................................................................... 43 5.4.14 开发 ........................................................................... 43 5.4.15 指导性文档 ..................................................................... 44 5.4.16 生命周期支持 ................................................................... 44 5.4.17 测试 ........................................................................... 45 5.4.18 脆弱性评定 ..................................................................... 45 5.5 第五级 ............................................................................ 45 5.5.1 概述 ............................................................................ 45 5.5.2 物理安全 ........................................................................ 45