网络安全等级保护基本要求

文章目录

  • 网络安全等级保护的基本要求
    • 一、等级保护基本要求的作用
    • 二丶等级保护的基本保护能力
    • 三丶等级保护基本要求的架构
    • 四、等级保护各级基本要求架构
      • 1.安全技术
        • (1)物理安全
        • (2)网络安全
        • (3)主机安全
        • (4)应用安全
        • (5)数据安全
      • 2.安全管理
        • (1)安全管理制度
        • (2)安全管理机构
        • (3)人员安全管理
        • (4)系统建设管理
        • (5)系统运维管理
    • 五、等级保护基本要求逐级增强的特点
      • 1.控制点增加
      • 2.要求项增强

网络安全等级保护的基本要求

一、等级保护基本要求的作用

根据《基本要求》可以指导以下三个单位对信息系统的安全保护、检测评估、监督检查。

信息系统安全等级保护基本要求
信息系统安全等级保护基本要求
信息系统安全等级保护基本要求
信息系统安全等级保护基本要求
安全保护
检测评估
监督检查

二丶等级保护的基本保护能力

不同级别的信息系统,根据《基本要求》实施测评和保护,达到国家要求的标准线,拥有所属等级的基本保护能力。

不同级别信息系统
不同级别安全威胁
不同级别能力目标
不同级别基本要求

第一级安全保护力
应具有能够对抗来自个人的,拥有很少资源(如利用公开可获取的工具等)的威胁源发起的恶意攻击,一般的自然灾难(灾难发生的强度弱,持续时间很短,系统局部范围等),以及其他相当危害程度的威胁所造成的关键资源损害,并在威胁发生后,能够恢复部分功能。

第二级安全保护力
应具有能够对抗来自小型组织的(如自发的三两人组成的黑客组织),拥有很少资源(如个别人员能力,公开可获取或特定开发的工具等)的威胁源发起的恶意攻击,一般的自然灾难(灾难发生的强度一般,持续时间短,覆盖范围小(局部性)等),以及其他相当危害程度(无意识失误,设备故障等)的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。

第三级安全保护力
应具有能够对抗来自大型的,有组织的团体(如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包括人员能力,计算能力等)的威胁源发起的恶意攻击,较为严重的自然灾难(灾难发生的强度较大,持续时间较长,覆盖范围广(地区性)等),以及其他相当危害程度(内部人员的恶意威胁,设备的较严重故障等)的威胁能力,并在威胁发生后,能够较快恢复绝大部分功能。

第四级安全保护力
应具有能够对抗来自国家级别的,敌对组织的,拥有丰富资源的威胁源发起的恶意攻击,严重的自然灾难(灾难发生的强度大,持续时间长,覆盖范围广(多地区性)等),以及其他相当危害程度(内部人员的恶意威胁,设备的严重故障等)威胁的能力,并在威胁发生后,能够迅速恢复所有功能。

三丶等级保护基本要求的架构

某系统
基本要求
技术要求
管理要求
控制点
要求项
控制点
要求项

例如

网络安全等级保护基本要求_第1张图片

某系统
基本要求
技术要求
管理要求
安全管理制度
安全管理机构
人员安全管理
系统建设管理
系统运维管理
物理安全
网络安全
主机安全
应用安全
数据安全及备份恢复

四、等级保护各级基本要求架构

1.安全技术

安全技术
物理安全
网络安全
主机安全
应用安全
数据安全及备份恢复

(1)物理安全

物理安全
物理位置选择
物理访问控制
防盗窃和防破坏
防静电
防雷击
防火
防水和防潮
温湿度控制
电力供应
电磁防护

(2)网络安全

网络安全
结构安全和网段划分
网络访问控制
网络安全审计
网络安全
边界完整性检查
网络入侵检测
恶意代码保护
网络设备防护

(3)主机安全

主机安全
身份鉴别
访问控制
可信路径
安全审计
主机安全
剩余信息保护
入侵防范
恶意代码防范
资源控制
安全标记

(4)应用安全

应用安全
身份鉴别
访问控制
通信完整性
安全审计
剩余信息保护
应用安全
软件容错
代码安全
资源控制
抗抵赖
通信保密性

(5)数据安全

数据安全
数据完整性
数据保密性
数据备份和恢复

2.安全管理

管理要求
安全管理机构
安全管理制度
人员安全管理
系统建设管理
系统运维管理

(1)安全管理制度

安全管理制度
管理制度
制定和发布
评审和修订

(2)安全管理机构

安全管理机构
岗位设置
人员配备
授权和审批
沟通与合作
审核和检查

(3)人员安全管理

人员安全管理
人员录用
人员离岗
人员考核
安全意识教育和培训
外部人员访问管理

(4)系统建设管理

系统建设管理
系统定级
安全方案设计
产品采购
自行软件开发
外包软件开发
系统建设管理
工程实施
测试验收
系统交付
安全测评
安全服务商选择
系统备案

(5)系统运维管理

系统运维管理
环境管理
资产管理
设备管理
介质管理
监控管理和管理中心
系统运维管理
网络安全管理
系统安全管理
恶意代码防范管理
变更管理
密码管理
系统运维管理
备份和恢复管理
安全事件处置
应急预案管理

五、等级保护基本要求逐级增强的特点

1.控制点增加

二级基本要求:
在一级的基本要求的基础上,
技术方面,二级要求在控制点上增加了物理位置的选择,防静电,电磁防护,网络安全审计,网络入侵防范,边界完整性检查,主机安全审计,主机资源控制,应用资源控制,应用安全审计,通信保密性以及数据保密性等。
管理方面,增加了审核和检查,管理制度的评审和修订,人员考核,密码管理,变更管理和应急预案管理等控制点。

三级基本要求:
在二级基本要求的基础上,
技术方面,在控制点上增加了网络恶意代码防范,剩余信息保护,软件容错,抗抵赖等。
管理方面,增加了系统备案,安全测评,监控管理和安全管理中心等控制点。

四级基本要求:
在三级基本要求的基础上,
技术方面,在系统和应用层面控制点上增加了安全标记,可信路径

2.要求项增强

要求项增强的三种方式:

  • 范围增大
    • 要求细化
      • 粒度细化

范围增大
如,对物理安全的“防静电”,二级只要求 “关键设备应采用必要的接地防静电措施”;而三级则在对象的范围上发生了变化,为 “主要设备应采用必要的接地防静电措施”。范围的扩大,表明了该要求项强度的增强。

要求细化
如,人员安全管理中的“安全意识教育和培训”,二级要求 “应制定安全教育和培训计划,对信息安全基础知识,岗位操作规程等进行培训”,而三级在对培训计划进行了进一步的细化,为 “应针对不同岗位制定不同培训计划”,培训计划有了针对性,更符合各个岗位人员的实际需要。

粒度细化
如,网络安全中的“访问控制”,二级要求 “控制粒度为网段级”,而三级要求则将控制粒度细化,为 “控制粒度为端口级”。由“网段级”到“端口级”,粒度上的细化,同样也增强了要求的强度。

你可能感兴趣的:(安全)