文章目录
网络安全等级保护的基本要求
一、等级保护基本要求的作用
根据《基本要求》可以指导以下三个单位对信息系统的安全保护、检测评估、监督检查。
二丶等级保护的基本保护能力
不同级别的信息系统,根据《基本要求》实施测评和保护,达到国家要求的标准线,拥有所属等级的基本保护能力。
第一级安全保护力
应具有能够对抗来自个人的,拥有很少资源(如利用公开可获取的工具等)的威胁源发起的恶意攻击,一般的自然灾难(灾难发生的强度弱,持续时间很短,系统局部范围等),以及其他相当危害程度的威胁所造成的关键资源损害,并在威胁发生后,能够恢复部分功能。
第二级安全保护力
应具有能够对抗来自小型组织的(如自发的三两人组成的黑客组织),拥有很少资源(如个别人员能力,公开可获取或特定开发的工具等)的威胁源发起的恶意攻击,一般的自然灾难(灾难发生的强度一般,持续时间短,覆盖范围小(局部性)等),以及其他相当危害程度(无意识失误,设备故障等)的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。
第三级安全保护力
应具有能够对抗来自大型的,有组织的团体(如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包括人员能力,计算能力等)的威胁源发起的恶意攻击,较为严重的自然灾难(灾难发生的强度较大,持续时间较长,覆盖范围广(地区性)等),以及其他相当危害程度(内部人员的恶意威胁,设备的较严重故障等)的威胁能力,并在威胁发生后,能够较快恢复绝大部分功能。
第四级安全保护力
应具有能够对抗来自国家级别的,敌对组织的,拥有丰富资源的威胁源发起的恶意攻击,严重的自然灾难(灾难发生的强度大,持续时间长,覆盖范围广(多地区性)等),以及其他相当危害程度(内部人员的恶意威胁,设备的严重故障等)威胁的能力,并在威胁发生后,能够迅速恢复所有功能。
三丶等级保护基本要求的架构
例如
四、等级保护各级基本要求架构
1.安全技术
(1)物理安全
(2)网络安全
(3)主机安全
(4)应用安全
(5)数据安全
2.安全管理
(1)安全管理制度
(2)安全管理机构
(3)人员安全管理
(4)系统建设管理
(5)系统运维管理
五、等级保护基本要求逐级增强的特点
1.控制点增加
二级基本要求:
在一级的基本要求的基础上,
技术方面,二级要求在控制点上增加了物理位置的选择,防静电,电磁防护,网络安全审计,网络入侵防范,边界完整性检查,主机安全审计,主机资源控制,应用资源控制,应用安全审计,通信保密性以及数据保密性等。
管理方面,增加了审核和检查,管理制度的评审和修订,人员考核,密码管理,变更管理和应急预案管理等控制点。
三级基本要求:
在二级基本要求的基础上,
技术方面,在控制点上增加了网络恶意代码防范,剩余信息保护,软件容错,抗抵赖等。
管理方面,增加了系统备案,安全测评,监控管理和安全管理中心等控制点。
四级基本要求:
在三级基本要求的基础上,
技术方面,在系统和应用层面控制点上增加了安全标记,可信路径。
2.要求项增强
要求项增强的三种方式:
- 范围增大
- 要求细化
- 粒度细化
- 要求细化
范围增大
如,对物理安全的“防静电”,二级只要求 “关键设备应采用必要的接地防静电措施”;而三级则在对象的范围上发生了变化,为 “主要设备应采用必要的接地防静电措施”。范围的扩大,表明了该要求项强度的增强。
要求细化
如,人员安全管理中的“安全意识教育和培训”,二级要求 “应制定安全教育和培训计划,对信息安全基础知识,岗位操作规程等进行培训”,而三级在对培训计划进行了进一步的细化,为 “应针对不同岗位制定不同培训计划”,培训计划有了针对性,更符合各个岗位人员的实际需要。
粒度细化
如,网络安全中的“访问控制”,二级要求 “控制粒度为网段级”,而三级要求则将控制粒度细化,为 “控制粒度为端口级”。由“网段级”到“端口级”,粒度上的细化,同样也增强了要求的强度。