计算机信息系统等级保护划分标准
计算机三级等保要求
计算机三级等保要求
计算机三级等保要求是指国家信息安全等级保护制度中的一项要求,是指对于计算机系统的安全保护要求达到三级等保标准。
这一标准是国家信息安全等级保护制度中的最高等级,也是目前国内最高的计算机安全保护标准之一。
计算机三级等保要求主要包括以下几个方面:
1. 安全管理要求:包括安全管理制度、安全管理组织、安全管理人员、安全管理培训等方面的要求。
这些要求主要是为了确保计算机系统的安全管理能够得到有效的实施和监督。
2. 安全技术要求:包括安全防护技术、安全检测技术、安全加密技术等方面的要求。
这些要求主要是为了确保计算机系统的安全技术能够达到一定的标准,从而有效地保护计算机系统的安全。
3. 安全保障要求:包括安全备份、安全恢复、安全审计等方面的要求。
这些要求主要是为了确保计算机系统在遭受攻击或者出现故障时,能够及时地进行备份、恢复和审计,从而保障计算机系统的安全。
计算机三级等保要求的实施,对于保障国家信息安全具有重要的意义。
在实施过程中,需要充分考虑计算机系统的特点和安全需求,采取科学合理的安全保护措施,确保计算机系统的安全性、可靠性和稳定性。
同时,还需要加强对计算机系统的监督和管理,及时发
现和处理安全问题,确保计算机系统的安全运行。
计算机三级等保要求是国家信息安全等级保护制度中的最高标准,是保障国家信息安全的重要措施之一。
在实施过程中,需要充分考虑计算机系统的特点和安全需求,采取科学合理的安全保护措施,确保计算机系统的安全性、可靠性和稳定性。
计算机信息系统安全等级保护数据库安全技术要求-全国信息安全标准化
《信息安全技术网络脆弱性扫描产品安全技术要求》修订说明1 工作简要过程1.1 任务来源近年来,随着黑客技术的不断发展以及网络非法入侵事件的激增,国内网络安全产品市场也呈现出良好的发展态势,各种品牌的防火墙产品、入侵检测产品等已经达到了相当可观的规模。
最近几年,网络脆弱性扫描产品的出现,为网络安全产品厂商提供了一个展现自身技术水平的更高层次舞台,市场上,各种实现脆弱性扫描功能的产品层出不穷,发展迅速,标准《GB/T 20278-2006 信息安全技术网络脆弱性扫描产品技术要求》已不能满足现在产品的发展需求,另一方面,为了更好地配合等级保护工作的开展,为系统等级保护在产品层面上的具体实施提供依据,需要对该标准进行合理的修订,通过对该标准的修订,将更加全面系统的阐述网络脆弱性扫描产品的安全技术要求,并对其进行合理的分级。
本标准编写计划由中国国家标准化管理委员会2010年下达,计划号20101497-T-469,由公安部第三研究所负责制定,具体修订工作由公安部计算机信息系统安全产品质量监督检验中心承担。
1.2 参考国内外标准情况该标准修订过程中,主要参考了:—GB 17859-1999 计算机信息系统安全保护等级划分准则—GB/T 20271-2006 信息安全技术信息系统安全通用技术要求—GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求—GB/T 18336.2-2008 信息技术安全技术信息技术安全性评估准则第二部分:安全功能要求—GB/T 18336.3-2008 信息技术安全技术信息技术安全性评估准则第三部分:安全保证要求—GA/T 404-2002 信息技术网络安全漏洞扫描产品技术要求—GB/T 20278-2006 信息安全技术网络脆弱性扫描产品技术要求—GB/T 20280-2006信息安全技术网络脆弱性扫描产品测试评价方法—MSTL_JGF_04-017 信息安全技术主机安全漏洞扫描产品检验规范1.3 主要工作过程1)成立修订组2010年11月在我中心成立了由顾建新具体负责的标准修订组,共由5人组成,包括俞优、顾建新、张笑笑、陆臻、顾健。
等级保护定级
过程 方法
确定 系统 等级
பைடு நூலகம்
启动
采购/开发
实施
运行/维护
废弃
信息系统安全等级保护定级指南
最终,依据《中华人民共和国计算机信息系统安全保护条例》 (国务院147号令),《国家信息化领导小组关于加强信息安全保 障工作的意见》(中办发[2003]27号),《关于信息安全等级保护 工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管 理办法》(公通字[2007]43号),制定本标准. 本标准是信息安全等级保护相关系列标准之一. 与本标准相关的系列标准包括: ——GB/T BBBBB-BBBB信息系统安全等级保护基本要求; ——GB/T CCCCC-CCCC信息系统安全等级保护实施指南; ——GB/T DDDDD-DDDD信息系统安全等级保护测评准则.
定级阶段-关于系统边界
信息系统的管理终端是与相应被管理设备相 对应的,服务器,网络设备及安全设备等属 于哪个系统,终端就应归在哪个信息系统中. 如果无法做到不同等级的信息系统使用不同 的终端设备,则应将终端设备划分为其他的 信息系统,并在服务器与内部用户终端之间 建立边界保护,对终端通过身份鉴别和访问 控制等措施加以控制. 处理涉密信息的终端必须划分到相应的信息 系统中,且不能与非涉密系统共用终端.
定级阶段-关于定级过程
识别单位基本信息
– 了解单位基本信息有助于判断单位的职能特点, 单位所在行业及单位在行业所处的地位和所用, 由此判断单位主要信息系统的宏观定位. 应重点了解定级对象信息系统中不同业务系统 提供的服务在影响履行单位职能方面具体方式 和程度,影响的区域范围,用户人数,业务量 的具体数据以及对本单位以外机构或个人的影 响等方面.这些具体数据即可以为主管部门制 定定级指导意见提供参照,也可以作为主管部 门审批定级结果的重要依据.
信息系统安全等级保护基本要求(一至四级)
S
技术要求 主机安全 访问控制
S
技术要求 主机安全 可信路径
S
技术要求 主机安全 安全审计
G
技术要求
主机安全
剩余信息 保护
S
技术要求 主机安全 入侵防范
G
技术要求
主机安全
恶意代码 防范
G
技术要求 主机安全 资源控制
A
技术要求 应用安全 身份鉴别
S
技术要求 应用安全 安全标记
S
技术要求 应用安全 访问控制
登记测评
G
管理要求
系统建设 管理
安全服务 商选择
G
管理要求
系统运维 管理
环境管理
G
管理要求
系统运维 管理
资产管理
G
管理要求
系统运维 管理
介质管理
G
管理要求
系统运维 管理
设备管理
G
管理要求
系统运维 管理
监控管理 和安全管
理中心
G
管理要求
系统运维 管理
网络安全 管理
G
管理要求
系统运维 管理
系统安全 管理
本项要求包括: a) 应保证网络设备的业务处理能力具备冗余空间,满足业务高峰 期需要; b) 应保证网络各个部分的带宽满足业务高峰期需要; c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问 路径; d) 应绘制与当前运行情况相符的网络拓扑结构图; e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等 因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子 网、网段分配地址段; f) 应避免将重要网段部署在网络边界处且直接连接外部信息系 统,重要网段与其他网段之间采取可靠的技术隔离手段; g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证 在网络发生拥堵的时候优先保护重要主机。
中华人民共和国计算机信息系统安全保护条例(2011版)
中华人民共和国计算机信息系统安全保护条例(1994年2月18日中华人民共和国国务院令第147号发布根据2011年1月8日《国务院关于废止和修改部分行政法规的决定》修订)第一章总则第一条为了保护计算机信息系统的安全,促进计算机的应用和发展,保障社会主义现代化建设的顺利进行,制定本条例。
第二条本条例所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第三条计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。
第四条计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
第五条中华人民共和国境内的计算机信息系统的安全保护,适用本条例。
未联网的微型计算机的安全保护办法,另行制定。
第六条公安部主管全国计算机信息系统安全保护工作。
国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。
第七条任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。
第二章安全保护制度第八条计算机信息系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定。
第九条计算机信息系统实行安全等级保护。
安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
第十条计算机机房应当符合国家标准和国家有关规定。
在计算机机房附近施工,不得危害计算机信息系统的安全。
第十一条进行国际联网的计算机信息系统,由计算机信息系统的使用单位报省级以上人民政府公安机关备案。
第十二条运输、携带、邮寄计算机信息媒体进出境的,应当如实向海关申报。
第十三条计算机信息系统的使用单位应当建立健全安全管理制度,负责本单位计算机信息系统的安全保护工作。
信息系统安全等级保护基本要求
信息系统安全等级保护基本要求1 三级基本要求.............................................. 错误!未定义书签。
技术要求................................................... 错误!未定义书签。
物理安全................................................... 错误!未定义书签。
物理位置的选择(G3)....................................... 错误!未定义书签。
物理访问控制(G3)......................................... 错误!未定义书签。
防盗窃和防破坏(G3)....................................... 错误!未定义书签。
防雷击(G3)............................................... 错误!未定义书签。
防火(G3)................................................. 错误!未定义书签。
防水和防潮(G3)........................................... 错误!未定义书签。
防静电(G3)............................................... 错误!未定义书签。
温湿度控制(G3)........................................... 错误!未定义书签。
电力供应(A3)............................................. 错误!未定义书签。
电磁防护(S3)............................................. 错误!未定义书签。
信息系统安全等级保护(三级)基本要求
27
安全审计(G3)
28 29
应用 安全
剩余信息保护 (S3) 通信完整性(S3)
a) 应对登录网络设备的用户进行身份鉴别; b) 应对网络设备的管理员登录地址进行限制; c) 网络设备用户的标识应唯一; d) 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴 别; e) 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换; f) 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连 接超时自动退出等措施; g) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中 被窃听; a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别; b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复 杂度要求并定期更换; c) 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措 施; d) 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中 被窃听; e) 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一 a) 应启用访问控制功能,依据安全策略控制用户对资源的访问; b) 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所 需的最小权限; c) 应实现操作系统和数据库系统特权用户的权限分离; d) 应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口 令; e) 应及时删除多余的、过期的帐户,避免共享帐户的存在。 f) 应对重要信息资源设置敏感标记; a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户; b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系 统内重要的安全相关事件; c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等; d) 应能够根据记录数据进行分析,并生成审计报表; e) 应保护审计进程,避免受到未预期的中断; f) 应保护审计记录,避免受到未预期的删除、修改或覆盖等。 a) 应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配 给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中; b) 应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新 分配给其他用户前得到完全清除。 a) 应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型 、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警; b) 应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的 措施; c) 操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升 级服务器等方式保持系统补丁及时得到更新。 a) 应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库; b) 主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库; c) 应支持防恶意代码的统一管理。 a) 应通过设定终端接入方式、网络地址范围等条件限制终端登录; b) 应根据安全策略设置登录终端的操作超时锁定; c) 应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的 使用情况; d) 应限制单个用户对系统资源的最大或最小使用限度; e) 应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。 a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别; b) 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别; c) 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重 复用户身份标识,身份鉴别信息不易被冒用; d) 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措 施; e) 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及 a) 应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问; b) 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作; c) 应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限; d) 应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制 约的关系。 e) 应具有对重要信息资源设置敏感标记的功能; f) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作; a) 应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计; b) 应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录; c) 审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果 等; a) 应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清 除,无论这些信息是存放在硬盘上还是在内存中; b) 应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分 配给其他用户前得到完全清除。 应采用密码技术保证通信过程中数据的完整性。
信息系统安全等级保护相关标准列表
信息系统安全等级保护相关标准列表标准类型子类型标准名称基础类标准计算机信息系统安全保护等级划分准则(GB17859-1999)应用类标准信息系统定级信息系统安全保护等级定级指南(GB/T22240-2008)等级保护实施信息系统安全等级保护实施指南(信安字[2007]10)信息系统安全建设信息系统安全等级保护基本要求(GB/T22239-2008)信息系统通用安全技术要求(GB/T20271-2006)信息系统等级保护安全设计技术要求(GB/T24856-2009)信息系统安全管理要求(GB/T20269-2006)信息系统安全工程管理要求(GB/T20282-2006)信息系统物理安全技术要求(GB/T21052-2007)网络基础安全技术要求(GB/T20270-2006)信息系统安全等级保护体系框架(GA/T708-2007)信息系统安全等级保护基本模型(GA/T709-2007)信息系统安全等级保护基本配置(GA/T710-2007)等级测评信息系统安全等级保护测评要求(报批稿)信息系统安全等级保护测评过程指南(报批稿)信息系统安全管理测评(GA/T713-2007)产品类标准操作系统操作系统安全技术要求(GB/T20272-2006)操作系统安全评估准则(GB/T20008-2005)数据库数据库管理系统安全技术要求(GB/T20273-2006)数据库管理系统安全评估准则(GB/T20009-2005)网络网络端设备隔离部件技术要求(GB/T20279-2006)网络端设备隔离部件测试评价方法(GB/T20277-2006)网络脆弱性扫描产品技术要求(GB/T20278-2006)网络脆弱性扫描产品测试评价方法(GB/T20280-2006)网络交换机安全技术要求(GA/T684-2007)虚拟专用网安全技术要求(GA/T686-2007)PKI 公钥基础设施安全技术要求(GA/T687-2007)PKI系统安全等级保护技术要求(GB/T21053-2007)网关网关安全技术要求(GA/T681-2007)服务器服务器安全技术要求(GB/T21028-2007)入侵检测入侵检测系统技术要求和检测方法(GB/T20275-2006)计算机网络入侵分级要求(GA/T700-2007)防火墙防火墙安全技术要求(GA/T683-2007)防火墙技术测评方法(报批稿)信息系统安全等级保护防火墙安全配置指南(报批稿)防火墙技术要求和测评方法(GB/T20281-2006)包过滤防火墙评估准则(GB/T20010-2005)路由器路由器安全技术要求(GB/T18018-2007)路由器安全评估准则(GB/T20011-2005)路由器安全测评要求(GA/T682-2007)交换机网络交换机安全技术要求(GB/T21050-2007)交换机安全测评要求(GA/T685-2007)其他产品终端计算机系统安全等级技术要求(GA/T671-2006)终端计算机系统测评方法(GA/T671-2006)审计产品技术要求和测评方法(GB/T20945-2006)虹膜特征识别技术要求(GB/T20979-2007)虚拟专网安全技术要求(GA/T686-2007)应用软件系统安全等级保护通用技术指南(GA/T711-2007)应用软件系统安全等级保护通用测试指南(GA/T712-2007)网络和终端设备隔离部件测试评价方法(GB/T20277-2006)网络脆弱性扫描产品测评方法(GB/T20280-2006)其他类标准风险评估信息安全风险评估规范(GB/T20984-2007)事件管理信息安全事件管理指南(GB/Z20985-2007)信息安全事件分类分级指南(GB/Z20986-2007)信息系统灾难恢复规范(GB/T20988-2007)。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机信息系统等级保护划分标准
在计算机信息系统领域,等级保护划分标准是一项非常重要的概念。
它不仅关乎着国家安全和信息安全,也对企业和个人在信息化时代的
安全保障提出了高要求。
在本文中,我将从多个角度对计算机信息系
统等级保护划分标准进行全面评估,并提出个人观点和理解。
一、计算机信息系统等级保护划分标准的定义和背景
计算机信息系统等级保护划分标准是指根据信息系统所处理的信息等级、对信息系统安全保护的要求和技术要求,将信息系统划分为不同
等级,并为每个等级确定相应的安全技术要求和安全保障措施的标准。
这一概念源自我国对信息安全的高度重视,为了更好地保障国家信息
安全,我国不断完善和提高信息系统等级保护划分标准,以适应不断
发展的信息技术和安全需求。
二、计算机信息系统等级保护划分标准的深度分析
1. 根据信息系统所处理的信息等级划分标准:根据信息的保密等级,
我国将信息系统分为4个等级,分别为一级、二级、三级和四级。
每
个等级对应着不同的信息保密等级,一级最高、四级最低。
而不同的
等级对应着不同的安全防护措施和技术要求。
2. 对信息系统安全保护的要求和技术要求划分标准:根据信息系统所
面临的威胁和风险,我国在《信息安全等级保护基本要求》中提出了相应的安全要求和技术要求,包括物理防护、技术防护、管理防护等多方面要求。
不同等级的信息系统需要满足对应等级的安全要求和技术要求。
3. 安全技术要求和安全保障措施的标准:对于不同等级的信息系统,我国提出了相应的安全技术要求和安全保障措施的标准,包括密码技术、网络安全技术、身份认证技术等多方面的技术要求和措施。
这些标准不仅体现了我国对信息安全的高度重视,也为信息系统的安全保障提供了技术支撑和指导。
三、对计算机信息系统等级保护划分标准的个人观点和理解
计算机信息系统等级保护划分标准是一项非常重要的工作,它为信息系统的安全提供了重要的技术支撑和指导。
在信息安全日益成为国家安全的重要组成部分的今天,加强对信息系统的安全保护已经成为当务之急。
我认为计算机信息系统等级保护划分标准的不断完善和提高对于保障国家信息安全和个人隐私安全都具有重要意义。
总结回顾
计算机信息系统等级保护划分标准在信息安全领域具有重要意义。
它不仅为信息系统的安全保障提供了技术支撑和指导,也为国家信息安全和个人隐私安全提供了重要保障。
在不断发展的信息技术和安全需求下,我国将继续完善和提高信息系统等级保护划分标准,以适应信
息安全的新形势和新挑战。
我个人深信,通过不懈努力,信息系统的安全保障一定能够得到更好的保障和提升。
在深度分析的基础上,我们可以进一步讨论计算机信息系统等级保护划分标准的具体应用和挑战。
信息系统等级保护划分标准不仅在国家安全领域具有重要意义,也在企业和个人信息安全保护中发挥着关键作用。
在国家层面,计算机信息系统等级保护划分标准直接涉及国家安全和机密信息的保护。
军事信息系统、国家关键信息基础设施等对信息安全的要求更为严格,需要满足更高级别的信息系统等级保护标准。
这不仅涉及到技术安全的要求,也包括管理层面的安全保障和监管。
在企业层面,随着信息化进程的加速推进,企业信息系统中涉及到的商业机密、客户数据等重要信息也需要得到有效的保护。
信息系统等级保护划分标准为企业提供了具体的技术和管理要求,帮助企业建立完善的信息安全管理体系,防范各种信息安全风险。
而在个人层面,个人隐私信息在信息系统中的泄露和被滥用是一个持续存在的问题。
信息系统等级保护划分标准的完善,可以为个人信息安全提供更加有力的保障。
在移动应用程序等个人信息系统中,对于个人隐私数据的保护需要符合特定的信息安全等级标准,从而保障个人信息不被非法获取和利用。
除了在各个层面的应用之外,信息系统等级保护划分标准也面临着一
些挑战和问题。
信息技术的快速发展和更新换代使得原有的标准不断需要适应新的技术要求。
信息系统的复杂性和开放性使得安全保障面临着更大的挑战,例如云计算、大数据等新兴技术对信息系统安全提出了更高的要求。
信息系统等级保护标准的推广和执行也需要相关法律法规的配套支持,以及相关行业的标准统一等工作。
计算机信息系统等级保护划分标准在信息安全领域具有重要的作用,在国家安全、企业信息安全和个人隐私安全上发挥着关键的作用。
随着信息技术的发展和安全需求的不断提升,信息系统等级保护划分标准将继续面临挑战,需要不断完善和提高。
只有通过综合运用技术手段、管理手段和法律手段,才能更好地保障信息系统的安全,维护国家安全和个人权益。