计算机信息安全等级保护工作指南.docx

《计算机信息安全等级保护工作指南.docx》由会员分享，可在线阅读，更多相关《计算机信息安全等级保护工作指南.docx（37页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 信息安全等级保护安全 建设整改工作指南 中华人民共和国公安部 二九年十月 前 言 目 录 1 总则(1) 1.1 工作目标(1) 1.2 工作内容(1) 1.3 工作流程(2) 1.4 标准应用(3) 1.5 安全保护能力目标(5) 2 安全管理制度建设(6) 2.1 落实信息安全责任制(7) 2.2 信息系统安全管理现状分析(7) 2.3 确定安全管理策略，制定安全管理制度(8) 2.4 落实安全管理措施(8) 2.4.1 人员安全管理(8) 2.4.2 系统运维管理(8) 2.4.2.1 环境和资产安全管理(8) 2.4.2.2 设备和介质安全管理(9) 2.4.2.3 日常运行维护(9

2、) 2.4.2.4 集中安全管理(9) 2.4.2.5 事件处置与应急响应(9) 2.4.2.6 灾难备份(9) 2.4.2.7 安全监测 (10) 2.4.2.8 其他安全管理 (10) 2.5 系统建设管理 (10) 2.6 安全自查与调整 (10) 3 安全技术措施建设 (10) 3.1 信息系统安全保护技术现状分析 (11) 3.1.1 信息系统现状分析 (11) 3.1.2 信息系统安全保护技术现状分析 (12) 3.1.3 安全需求论证和确定 (12) 3.2 信息系统安全技术建设整改方案设计 (12) 3.2.1 确定安全技术策略，设计总体技术方案 (12) 3.2.1.1 确定

3、安全技术策略 (12) 3.2.1.2 设计总体技术方案 (12) 3.2.2 安全技术方案详细设计 (13) 3.2.2.1 物理安全设计 (13) 3.2.2.2 通信网络安全设计 (13) 3.2.2.3 区域边界安全设计 (13) 3.2.2.4 主机系统安全设计 (13) 3.2.2.5 应用系统安全设计 (14) 3.2.2.6 备份和恢复安全设计 (14) 3.2.3 建设经费预算和工程实施计划 (14) 3.2.3.1 建设经费预算 (14) 3.2.3.2 工程实施计划 (14) 3.2.4 方案论证和备案 (15) 3.3 安全建设整改工程实施和管理 (15) 3.3.1

4、工程实施和管理 (15) 3.3.2 工程监理和验收 (15) 3.3.3 安全等级测评 (15) 附录：信息安全等级保护主要标准简要说明 (17) 1 总则 1.1 工作目标 信息系统运营使用单位在做好信息系统安全等级保护定级备案工作基础上，按照国家有关规定和标准规范要求，开展信息安全等级保护安全建设整改工作。通过落实安全责任制，开展管理制度建设、技术措施建设，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全保护能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益。 1.2 工作内容 信息系统运营使用单位在开展信息安全等级保护安全

5、建设整改工作中，应按照国家有关规定和标准规范要求，坚持管理和技术并重的原则，将技术措施和管理措施有机结合，建立信息系统综合防护体系，提高信息系统整体安全保护能力。要依据信息系统安全等级保护基本要求（以下简称基本要求），落实信息安全责任制，建立并落实各类安全管理制度，开展人员安全管理、系统建设管理和系统运维管理等工作，落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施，具体内容如图1所示。 图1：信息系统安全建设整改主要内容 需要说明的是：不同级别信息系统安全建设整改的具体内容应根据信息系统定级时的业务信息安全等级和系统服务安全等级，以及信息系统安全保护现状确定。信息系统安全

6、建设整改工作具体实施可以根据实际情况，将安全管理和安全技术整改内容一并实施，或分步实施。 1.3 工作流程 信息系统安全建设整改工作分五步进行。第一步：制定信息系统安全建设整改工作规划，对信息系统安全建设整改工作进行总体部署；第二步：开展信息系统安全保护现状分析，从管理和技术两个方面确定信息系统安全建设整改需求；第三步：确定安全保护策略，制定信息系统安全建设整改方案；第四步：开展信息系统安全建设整改工作，建立并落实安全管理制度，落实安全责任制，建设安全设施，落实安全措施；第五步：开展安全自查和等级测评，及时发现信息系统中存在安全隐患和威胁，进一步开展安全建设整改工作。该流程如图2所示。 图2：

7、信息系统安全建设整改工作基本流程 1.4 标准应用 信息系统安全建设整改工作应依据基本要求，并在不同阶段、针对不同技术活动参照相应的标准规范进行。等级保护有关标准在信息系统安全建设整改工作中的作用如图3所示。 图3：等级保护相关标准间的关系 需要说明的是，（一）计算机信息系统安全保护等级划分准则及配套标准是基本要求的基础。计算机信息系统安全保护等级划分准则（GB17859，以下简称划分准则）是等级保护的基础性标准，信息系统通用安全技术要求等技术类标准、信息系统安全管理要求等管理类标准和操作系统安全技术要求等产品类标准是在划分准则基础上研究制定的。基本要求以技术类标准和管理类标准为基础，根据现有

8、技术发展水平，从技术和管理两方面提出并确定了不同安全保护等级信息系统的最低保护要求，即基线要求。（二）基本要求是信息系统安全建设整改的依据。信息系统安全建设整改应以落实基本要求为主要目标。信息系统运营使用单位应根据信息系统安全保护等级选择基本要求中相应级别的安全保护要求作为信息系统的基本安全需求。当信息系统有更高安全需求时，可参考基本要求中较高级别保护要求或信息系统通用安全技术要求、信息系统安全管理要求等其他标准。行业主管部门可以依据基本要求，结合行业特点和信息系统实际出台行业细则，行业细则的要求应不低于基本要求。（三）定级指南为定级工作提供指导。信息系统安全等级保护定级指南为信息系统定级工作

9、提供了技术支持。行业主管部门可以根据定级指南，结合行业特点和信息系统实际情况，出台本行业的定级细则，保证行业内信息系统在不同地区等级的一致性，以指导本行业信息系统定级工作的开展。（四）测评要求等标准规范等级测评活动。等级测评是评价信息系统安全保护状况的重要方法。信息系统安全等级保护测评要求为等级测评机构开展等级测评活动提供了测评方法和综合评价方法。信息系统安全等级保护测评过程指南对等级测评活动提出规范性要求，以保证测评结论的准确性和可靠性。（五）实施指南等标准指导等级保护建设。信息系统安全等级保护实施指南是信息系统安全等级保护建设实施的过程控制标准，用于指导信息系统运营使用单位了解和掌握信息安

10、全等级保护工作的方法、主要工作内容以及不同的角色在不同阶段的作用。信息系统等级保护安全设计技术要求对信息系统安全建设的技术设计活动提供指导，是实现基本要求的方法之一。 1.5 安全保护能力目标 各级信息系统应通过安全建设整改分别达到以下安全保护能力目标： 第一级信息系统：经过安全建设整改，信息系统具有抵御一般性攻击的能力，防范常见计算机病毒和恶意代码危害的能力；系统遭到损害后，具有恢复系统主要功能的能力。 第二级信息系统：经过安全建设整改，信息系统具有抵御小规模、较弱强度恶意攻击的能力，抵抗一般的自然灾害的能力，防范一般性计算机病毒和恶意代码危害的能力；具有检测常见的攻击行为，并对安全事件进行

11、记录的能力；系统遭到损害后，具有恢复系统正常运行状态的能力。 第三级信息系统：经过安全建设整改，信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力，抵抗较为严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵行为的能力；具有对安全事件进行响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的系统，应能快速恢复正常运行状态；具有对系统资源、用户、安全机制等进行集中控管的能力。 第四级信息系统：经过安全建设整改，信息系统在统一的安全保护策略下具有抵御敌对势力有组织的大规模攻击的能力，抵抗严重

12、的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵行为的能力；具有对安全事件进行快速响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的系统，应能立即恢复正常运行状态；具有对系统资源、用户、安全机制等进行集中控管的能力。 2 安全管理制度建设 按照国家有关规定，依据基本要求，参照信息系统安全管理要求等标准规范要求，开展信息系统等级保护安全管理制度建设工作。工作流程见图4。 图4：信息系统安全管理建设整改工作流程 2.1 落实信息安全责任制 明确领导机构和责任部门，设立或明确信息安全领导机构，明确主管领

13、导，落实责任部门。建立岗位和人员管理制度，根据职责分工，分别设置安全管理机构和岗位，明确每个岗位的职责与任务，落实安全管理责任制。建立安全教育和培训制度，对信息系统运维人员、管理人员、使用人员等定期进行培训和考核，提高相关人员的安全意识和操作水平。具体依据基本要求中的“安全管理机构”内容，同时可以参照信息系统安全管理要求等。 2.2 信息系统安全管理现状分析 在开展信息系统安全管理建设整改之前，通过开展信息系统安全管理现状分析，查找信息系统安全管理建设整改需要解决的问题，明确信息系统安全管理建设整改的需求。 可以依据基本要求等标准，采取对照检查、风险评估、等级测评等方法，分析判断目前所采取的安

14、全管理措施与等级保护标准要求之间的差距，分析系统已发生的事件或事故，分析安全管理方面存在的问题，形成安全管理建设整改的需求并论证。 2.3 确定安全管理策略，制定安全管理制度 根据安全管理需求，确定安全管理目标和安全策略，针对信息系统的各类管理活动，制定人员安全管理制度、系统建设管理制度、系统运维管理制度、定期检查制度等，规范安全管理人员或操作人员的操作规程等，形成安全管理体系。具体依据基本要求中的“安全管理制度”内容，同时可以参照信息系统安全管理要求等。 2.4 落实安全管理措施 2.4.1 人员安全管理 人员安全管理主要包括人员录用、离岗、考核、教育培训等内容。规范人员录用、离岗、过程，关

15、键岗位签署保密协议，对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训，对关键岗位的人员进行全面、严格的安全审查和技能考核。对外部人员允许访问的区域、系统、设备、信息等进行控制。具体依据基本要求中的“人员安全管理”内容，同时可以参照信息系统安全管理要求等。 2.4.2 系统运维管理 2.4.2.1 环境和资产安全管理 明确环境（包括主机房、辅机房、办公环境等）安全管理的责任部门或责任人，加强对人员出入、来访人员的控制，对有关物理访问、物品进出和环境安全等方面作出规定。对重要区域设置门禁控制手段，或使用视频监控等措施。明确资产（包括介质、设备、设施、数据和信息等）安全管理的责任部门或责任

16、人，对资产进行分类、标识，编制与信息系统相关的软件资产、硬件资产等资产清单。具体依据基本要求中的“系统运维管理”内容，同时可以参照信息系统安全管理要求等。 2.4.2.2 设备和介质安全管理 明确配套设施、软硬件设备管理、维护的责任部门或责任人，对信息系统的各种软硬件设备采购、发放、领用、维护和维修等过程进行控制，对介质的存放、使用、维护和销毁等方面作出规定，加强对涉外维修、敏感数据销毁等过程的监督控制。具体依据基本要求中的“系统运维管理”内容，同时可以参照信息系统安全管理要求等。 2.4.2.3 日常运行维护 明确网络、系统日常运行维护的责任部门或责任人，对运行管理中的日常操作、账号管理、安

17、全配置、日志管理、补丁升级、口令更新等过程进行控制和管理，制订相应的管理制度和操作规程并落实执行。具体依据基本要求中的“系统运维管理”内容，同时可以参照信息系统安全管理要求等。 2.4.2.4 集中安全管理 第三级（含）以上信息系统应按照统一的安全策略、安全管理要求，统一管理信息系统的安全运行，进行安全机制的配置与管理，对设备安全配置、恶意代码、补丁升级、安全审计等进行管理，对与安全有关的信息进行汇集与分析，对安全机制进行集中管理。具体依据基本要求中的“系统运维管理”内容，同时可以参照信息系统等级保护安全设计技术要求和信息系统安全管理要求等。 2.4.2.5 事件处置与应急响应 按照国家有关标

18、准规定，确定信息安全事件的等级。结合信息系统安全保护等级，制定信息安全事件分级应急处置预案，明确应急处置策略，落实应急指挥部门、执行部门和技术支撑部门，建立应急协调机制。落实安全事件报告制度，第三级（含）以上信息系统发生较大、重大、特别重大安全事件时，运营使用单位按照相应预案开展应急处置，并及时向受理备案的公安机关报告。组织应急技术支撑力量和专家队伍，按照应急预案定期组织开展应急演练。具体依据基本要求中的“系统运维管理”内容，同时可以参照信息安全事件分类分级指南和信息安全事件管理指南等。 2.4.2.6 灾难备份 要对第三级（含）以上信息系统采取灾难备份措施，防止重大事故、事件发生。识别需要定

19、期备份的重要业务信息、系统数据及软件系统等，制定数据的备份策略和恢复策略，建立备份与恢复管理相关的安全管理制度。具体依据基本要求中的“系统运维管理”内容和信息系统灾难恢复规范。 2.4.2.7 安全监测 开展信息系统实时安全监测，实现对物理环境、通信线路、主机、网络设备、用户行为和业务应用等的监测和报警，及时发现设备故障、病毒入侵、黑客攻击、误用和误操作等安全事件，以便及时对安全事件进行响应与处置。具体依据基本要求中的“系统运维管理”。 2.4.2.8 其他安全管理 对系统运行维护过程中的其它活动，如系统变更、密码使用等进行控制和管理。按国家密码管理部门的规定，对信息系统中密码算法和密钥的使用

20、进行分级管理。 2.5 系统建设管理 制定系统建设相关的管理制度，明确系统定级备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等内容的管理责任部门、具体管理内容和控制方法，并按照管理制度落实各项管理措施。具体依据基本要求中的“系统建设管理”内容。 2.6 安全自查与调整 制定安全检查制度，明确检查的内容、方式、要求等，检查各项制度、措施的落实情况，并不断完善。定期对信息系统安全状况进行自查，第三级信息系统每年自查一次，第四级信息系统每半年自查一次。经自查，信息系统安全状况未达到安全保护等级要求的，应当进一步开展整改。具体依据基本要求中的“安全管理机构”内容，同时可

21、以参照信息系统安全管理要求等。信息系统安全管理建设整改工作完成后，安全管理方面的等级测评与安全技术方面的测评工作一并进行。 3 安全技术措施建设 按照国家有关规定，依据基本要求，参照信息系统通用安全技术要求、信息系统等级保护安全设计技术要求等标准规范要求，开展信息系统安全技术建设整改工作。工作流程见图5。 图5：信息系统安全技术建设整改工作流程 3.1 信息系统安全保护技术现状分析 了解掌握信息系统现状，分析信息系统的安全保护状况，明确信息系统安全技术建设整改需求，为安全建设整改技术方案设计提供依据。 3.1.1 信息系统现状分析 了解掌握信息系统的数量和等级、所处的网络区域以及信息系统所承载

22、的业务应用情况，分析信息系统的边界、构成和相互关联情况，分析网络结构、内部区域、区域边界以及软、硬件资源等。具体可参照信息系统安全等级保护实施指南中“信息系统分析”的内容。 3.1.2 信息系统安全保护技术现状分析 在开展信息系统安全技术建设整改之前，应通过开展信息系统安全保护技术现状分析，查找信息系统安全保护技术建设整改需要解决的问题，明确信息系统安全保护技术建设整改的需求。 可采取对照检查、风险评估、等级测评等方法，分析判断目前所采取的安全技术措施与等级保护标准要求之间的差距，分析系统已发生的事件或事故，分析安全技术方面存在的问题，形成安全技术建设整改的基本安全需求。在满足信息系统安全等级

23、保护基本要求基础上，可以结合行业特点和信息系统安全保护的特殊要求，提出特殊安全需求。具体可参照基本要求、信息系统安全等级保护测评要求和信息系统安全等级保护测评过程指南等标准。 3.1.3 安全需求论证和确定 安全需求分析工作完成后，将信息系统的安全管理需求与安全技术需求综合形成安全需求报告。组织专家对安全需求进行评审论证。 3.2 信息系统安全技术建设整改方案设计 在安全需求分析的基础上，开展信息系统安全建设整改方案设计，包括总体设计和详细设计，制定工程预算和工程实施计划等，为后续安全建设整改工程实施提供依据。 3.2.1 确定安全技术策略，设计总体技术方案 3.2.1.1 确定安全技术策略

24、根据安全需求分析，确定安全技术策略，包括业务系统分级策略、数据信息分级策略、区域互连策略和信息流控制策略等，用以指导系统安全技术体系结构设计。 3.2.1.2 设计总体技术方案 在进行信息系统安全建设整改技术方案设计时，应以基本要求为基本目标，可以针对安全现状分析发现的问题进行加固改造，缺什么补什么；也可以进行总体的安全技术设计，将不同区域、不同层面的安全保护措施形成有机的安全保护体系，落实物理安全、网络安全、主机安全、应用安全和数据安全等方面基本要求，最大程度发挥安全措施的保护能力。在进行安全技术设计时，可参考信息系统等级保护安全设计技术要求，从安全计算环境、安全区域边界、安全通信网络和安全

25、管理中心等方面落实安全保护技术要求。 3.2.2 安全技术方案详细设计 图3 安全技术体系设计实例 数据安全设计 3.2.2.1 物理安全设计 从安全技术设施和安全技术措施两方面对信息系统所涉及到的主机房、辅助机房和办公环境等进行物理安全设计，设计内容包括防震、防雷、防火、防水、防盗窃、防破坏、温湿度控制、电力供应、电磁防护等方面。物理安全设计是对采用的安全技术设施或安全技术措施的物理部署、物理尺寸、功能指标、性能指标等内容提出具体设计参数。具体依据基本要求中的“物理安全”内容，同时可以参照信息系统物理安全技术要求等。 3.2.2.2 通信网络安全设计 对信息系统所涉及的通信网络，包括骨干网络

26、、城域网络和其他通信网络（租用线路）等进行安全设计，设计内容包括通信过程数据完整性、数据保密性、保证通信可靠性的设备和线路冗余、通信网络的网络管理等方面。 通信网络安全设计涉及所需采用的安全技术机制或安全技术措施的设计，对技术实现机制、产品形态、具体部署形式、功能指标、性能指标和配置参数等提出具体设计细节。具体依据基本要求中“网络安全”内容，同时可以参照网络基础安全技术要求等。 3.2.2.3 区域边界安全设计 对信息系统所涉及的区域网络边界进行安全设计，内容包括对区域网络的边界保护、区域划分、身份认证、访问控制、安全审计、入侵防范、恶意代码防范和网络设备自身保护等方面。 区域边界安全设计涉及

27、所需采用的安全技术机制或安全技术措施的设计，对技术实现机制、产品形态、具体部署形式、功能指标、性能指标和配置策略和参数等提出具体设计细节。具体依据基本要求中的“网络安全”内容，同时可以参照信息系统等级保护安全设计技术要求、网络基础安全技术要求等。 3.2.2.4 主机系统安全设计 对信息系统涉及到的服务器和工作站进行主机系统安全设计，内容包括操作系统或数据库管理系统的选择、安装和安全配置，主机入侵防范、恶意代码防范、资源使用情况监控等。其中，安全配置细分为身份鉴别、访问控制、安全审计等方面的配置内容。具体依据基本要求中的“主机安全”内容，同时可以参照信息系统等级保护安全设计技术要求、信息系统通

28、用安全技术要求等。 3.2.2.5 应用系统安全设计 对信息系统涉及到的应用系统软件（含应用/中间件平台）进行安全设计，设计内容包括身份鉴别、访问控制、安全标记、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等。具体依据基本要求中的“应用安全”内容，同时可以参照信息系统等级保护安全设计技术要求、信息系统通用安全技术要求等。 3.2.2.6 备份和恢复安全设计 针对信息系统的业务数据安全和系统服务连续性进行安全设计，设计内容包括数据备份系统、备用基础设施以及相关技术设施。针对业务数据安全的数据备份系统可考虑数据备份的范围、时间间隔、实现技术与介质以及数据备份

29、线路的速率以及相关通信设备的规格和要求；针对信息系统服务连续性的安全设计可考虑连续性保证方式（设备冗余、系统级冗余直至远程集群支持）与实现细节，包括相关的基础设施支持、冗余/集群机制的选择、硬件设备的功能/性能指标以及软硬件的部署形式与参数配置等。具体依据基本要求中的“数据安全和备份恢复”内容，同时可以参照信息系统灾难恢复规范等。 3.2.3 建设经费预算和工程实施计划 3.2.3.1 建设经费预算 根据信息系统的安全建设整改内容提出详细的经费预算，包括产品名称、型号、配置、数量、单价、总价和合计等，同时应包括集成费用、等级测评费用、服务费用和管理费用等。对于跨年度的安全建设整改或安全改建，提

30、供分年度的经费预算。 3.2.3.2 工程实施计划 根据信息系统的安全建设整改内容提出详细的工程实施计划，包括建设内容、工程组织、阶段划分、项目分解、时间计划和进度安排等。对于跨年度的安全建设整改或安全改建，要对安全建设整改方案明确的主要安全建设整改内容进行适当的项目分解，比如分解成机房安全改造项目、网络安全建设整改项目、系统平台和应用平台安全建设整改项目等，分别制定中期和短期的实施计划，短期内主要解决目前急迫和关键的问题。 3.2.4 方案论证和备案 将信息系统安全建设整改技术方案与安全管理体系规划共同形成安全建设整改方案。组织专家对安全建设整改方案进行评审论证，形成评审意见。第三级（含）以

31、上信息系统安全建设整改方案应报公安机关备案，并组织实施安全建设整改工程。 3.3 安全建设整改工程实施和管理 3.3.1 工程实施和管理 安全建设整改工程实施的组织管理工作包括落实安全建设整改的责任部门和人员，保证建设资金足额到位，选择符合要求的安全建设整改服务商，采购符合要求的信息安全产品，管理和控制安全功能开发、集成过程的质量等方面。 按照信息系统安全工程管理要求中有关资格保障和组织保障等要求组织管理等级保护安全建设整改工程。实施流程管理、进度规划控制和工程质量控制可参照信息系统安全工程管理要求中第8、9、10章提出的工程实施、项目实施和安全工程流程控制要求，实现相应等级的工程目标和要求。

32、 3.3.2 工程监理和验收 为保证建设工程的安全和质量，第二级（含）以上信息系统安全建设整改工程可以实施监理。监理内容包括对工程实施前期安全性、采购外包安全性、工程实施过程安全性、系统环境安全性等方面的核查。 工程验收的内容包括全面检验工程项目所实现的安全功能、设备部署、安全配置等是否满足设计要求，工程施工质量是否达到预期指标，工程档案资料是否齐全等方面。在通过安全测评或测试的基础上，组织相应信息安全专家进行工程验收。具体参照信息系统安全工程管理要求。 3.3.3 安全等级测评 信息系统安全建设整改完成后要进行等级测评，在工程预算中应当包括等级测评费用。对第三级（含）以上信息系统每年要进行等

33、级测评，并对测评费用做出预算。 在公安部备案的信息系统，备案单位应选择国家信息安全等级保护工作协调小组办公室推荐的等级测评机构实施等级测评；在省（区、市）、地市级公安机关备案的信息系统，备案单位应选择本省（区、市）信息安全等级保护工作协调小组办公室或国家信息安全等级保护工作协调小组办公室推荐的等级测评机构实施等级测评。 附录： 信息安全等级保护主要标准简要说明 为推动我国信息安全等级保护工作的开展，十多年来，在公安部的领导和支持下，在国内有关专家、企业的共同努力下，全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准，形成了比较完整的信

34、息安全等级保护标准体系，为开展信息安全等级保护工作奠定了基础。 为便于各有关单位全面、准确了解掌握信息安全等级保护有关标准，更好地指导等级保护工作，在总结近年来等级保护工作实践基础上，公安部组织专家和标准起草单位编写了信息安全等级保护主要标准简要说明，第一部分梳理了与等级保护工作相关的标准，第二部分从标准的主要用途、主要内容和使用说明三方面进行阐述，供有关单位和部门在工作中参考。 1 信息安全等级保护相关标准体系 信息安全等级保护相关标准大致可以分为四类：基础类、应用类、产品类和其他类。 1.1基础类标准 计算机信息系统安全保护等级划分准则（GB17859-1999） 信息系统安全等级保护基本

35、要求（GB/T 22239-2008）。 1.2 应用类标准 1.2.1 信息系统定级 信息系统安全保护等级定级指南（GB/T 22240-2008） 1.2.2 等级保护实施 信息系统安全等级保护实施指南（信安字200710号） 1.2.3 信息系统安全建设 信息系统通用安全技术要求（GB/T 20271-2006） 信息系统等级保护安全设计技术要求（信安秘字2009059号） 信息系统安全管理要求（GB/T 20269-2006） 信息系统安全工程管理要求（GB/T 20282-2006） 信息系统物理安全技术要求（GB/T 21052-2007） 网络基础安全技术要求（GB/T 2027

36、0-2006） 信息系统安全等级保护体系框架（GA/T 708-2007） 信息系统安全等级保护基本模型（GA/T 709-2007） 信息系统安全等级保护基本配置（GA/T 710-2007） 1.2.4 等级测评 信息系统安全等级保护测评要求（报批稿） 信息系统安全等级保护测评过程指南（报批稿） 信息系统安全管理测评（GA/T 713-2007） 1.3 产品类标准 1.3.1 操作系统 操作系统安全技术要求（GB/T 20272-2006） 操作系统安全评估准则（GB/T 20008-2005） 1.3.2 数据库 数据库管理系统安全技术要求（GB/T 20273-2006） 数据库管理

37、系统安全评估准则（GB/T 20009-2005） 1.3.3 网络 网络端设备隔离部件技术要求（GB/T 20279-2006） 网络端设备隔离部件测试评价方法（GB/T 20277-2006） 网络脆弱性扫描产品技术要求（GB/T 20278-2006） 网络脆弱性扫描产品测试评价方法（GB/T 20280-2006） 网络交换机安全技术要求（GA/T 684-2007） 虚拟专用网安全技术要求（GA/T 686-2007） 1.3.4 PKI 公钥基础设施安全技术要求（GA/T 687-2007） PKI系统安全等级保护技术要求（GB/T 21053-2007） 1.3.5 网关 网关安

38、全技术要求（GA/T 681-2007） 1.3.6 服务器 服务器安全技术要求（GB/T 21028-2007） 1.3.7 入侵检测 入侵检测系统技术要求和检测方法（GB/T 20275-2006） 计算机网络入侵分级要求（GA/T 700-2007） 1.3.8 防火墙 防火墙安全技术要求（GA/T 683-2007） 防火墙技术测评方法（报批稿） 信息系统安全等级保护防火墙安全配置指南（报批稿） 防火墙技术要求和测评方法（GB/T 20281-2006） 包过滤防火墙评估准则（GB/T 20010-2005） 1.3.9 路由器 路由器安全技术要求（GB/T 18018-2007） 路

39、由器安全评估准则（GB/T 20011-2005） 路由器安全测评要求（GA/T 682-2007） 1.3.10 交换机 网络交换机安全技术要求（GB/T 21050-2007） 交换机安全测评要求（GA/T 685-2007） 1.3.11 其他产品 终端计算机系统安全等级技术要求（GA/T 671-2006） 终端计算机系统测评方法（GA/T 671-2006） 审计产品技术要求和测评方法（GB/T 20945-2006） 虹膜特征识别技术要求（GB/T 20979-2007） 虚拟专网安全技术要求（GA/T 686-2007） 应用软件系统安全等级保护通用技术指南（GA/T 711-2

40、007） 应用软件系统安全等级保护通用测试指南（GA/T 712-2007） 网络和终端设备隔离部件测试评价方法（GB/T 20277-2006） 网络脆弱性扫描产品测评方法（GB/T 20280-2006） 1.4其他类标准 1.4.1 风险评估 信息安全风险评估规范（GB/T 20984-2007） 1.4.2 事件管理 信息安全事件管理指南（GB/Z 20985-2007） 信息安全事件分类分级指南（GB/Z 20986-2007） 信息系统灾难恢复规范（GB/T 20988-2007） 各类标准在等级保护各工作环节中的关系如图1所示： 产品 测评 建设 定级 数据库管理系统安全技术要求

41、 网络和终端设备隔离部件技术要求 其他产品类标准 操作系统安全技术要求 信息系统安全等级保护实施指南 信息系统安全等级保护测评过程指南 信息系统安全等级保护测评要求 信息系统安全管理要求 信息系统通用安全技术要求 信息系统物理安全技术要求 信息系统安全工程管理要求 网络基础安全技术要求 基本要求的行业细则 信息系统安全等级保护基本要求 信息系统等级保护安全设计技术要求 计算机信息系统安全保护等级划分准则 信息系统安全等级保护定级指南 行业信息系统安全等级保护定级细则 图1：信息安全等级保护相关标准体系 2 信息安全等级保护主要标准简要说明 现将信息安全等级保护标准体系中比较重要的计算机信息系统

42、安全保护等级划分准则、信息系统安全等级保护基本要求、信息系统安全等级保护实施指南、信息系统安全等级保护定级指南、信息系统安全管理要求、信息系统通用安全技术要求、信息系统等级保护安全设计技术要求、信息系统安全工程管理要求、信息系统安全等级保护测评要求、信息系统安全等级保护测评过程指南等十个标准作一简要说明。 2.1 计算机信息系统安全保护等级划分准则（GB17859-1999） 2.1.1 主要用途 本标准对计算机信息系统的安全保护能力划分了五个等级，并明确了各个保护级别的技术保护措施要求。本标准是国家强制性技术规范，其主要用途包括：一是用于规范和指导计算机信息系统安全保护有关标准的制定；二是为安全产品的研究开发提供技术支持；三是为计算机信息系统安全法规的制定和执法部门的监督检查提供依据。 2.1.2 主要内容 本标准界定了计算机信息系统的基本概念：计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的、按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 信息系统安全保护能力五级划分。信息系统按照安全保护能力划分为五个等级：第一级用户自主保护级，第二级系统审计保护级，第三级安全标记保护级，第四级结构化保护级，第五级访问验证保护级。 从自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、