第四节第五节 信息系统安全等级保护要求信息系统安全风险评估

《第四节第五节 信息系统安全等级保护要求信息系统安全风险评估》由会员分享，可在线阅读，更多相关《第四节第五节 信息系统安全等级保护要求信息系统安全风险评估（17页珍藏版）》请在装配图网上搜索。

1、信息系统安全等级保护基本要求福建省公安厅公共信息网络安全监察总队康仲生2.1.1 主要作用基本要求对等级保护工作中的安全控制选择、调整、实施等提出规范性要求，根据 使用对象不同，其主要作用分为三种：为信息系统建设单位和运营、使用单位提供技术指导在信息系统的安全保护等级确定 后，基本要求为信息系统的建设单位和运营、使用单位如何对特定等级的信息系统进行 保护提供技术指导。为测评机构提供评估依据基本要求为信息系统主管部门，信息系统运营、使用单位 或专门的等级测评机构对信息系统安全保护等级的检测评估提供依据。为职能监管部门提供监督检查依据基本要求为监管部门的监督检查提供依据，用于 判断一个特定等级的信

2、息系统是否按照国家要求进行了基本的保护。2.1.2 技术标准和管理规范的作用2.1.3 基本要求的定位是系统安全保护、等级测评的一个基本“标尺”，同样级别的系统使用统一的“标尺” 来衡量，保证权威性，是一个达标线；每个级别的信息系统按照基本要求进行保护后，信息 系统具有相应等级的基本安全保护能力，达到一种基本的安全状态；是每个级别信息系统进行安全保护工作的一个基本出发点，更加贴切的保护可以通过需求分析对基本要求进行补充，参考其他有关等级保护或安全方面的标准来实现；基本保沪补充带艶基本保护傑护 、V某级怡息系疏基恋翌求补充的安全措施17859-1999 通甲技术要求 安全管醸要求 莊级别射墓本要

3、求 号级保护其地祈准 安全方面桶关:际這 尊尊基.本委求2.2 框架结构基本要求在整体框架结构上以三种分类为支撑点，自上而下分别为：类、控制点和 项。其中，类表示：基本要求在整体上大的分类，其中技术部分分为：物理安全、网络 安全、主机安全、应用安全和数据安全及备份恢复等 5大类,管理部分分为:安全管理制度、 安全管理机构、人员安全管理、系统建设管理和系统运行管理等 5 大类,一共分为 10 大类。 控制点表示每个大类下的关键控制点，如物理安全大类中的“物理访问控制”作为一个控制 点。而项则是控制点下的具体要求项，如“机房出入应安排专人负责，控制、鉴别和记录进 入的人员。”2.2.1 结构人员安

4、全菅理2.2.2基本要求安全要求的分类安全要求从整体上分为技术和管理两大类，其中,技术类安全要求按其保护的侧重点不 同，将其下的控制点分为三类：信息安全类（S类）一-关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏 和免受未授权的修改。如: 自主访问控制，该控制点主要关注的是防止未授权的访问系统， 进而造成数据的修改或泄漏。至于对保证业务的正常连续运行并没有直接的影响。服务保证类（A类）一一关注的是保护系统连续正常的运行，避免因对系统的未授权修 改、破坏而导致系统不可用。如: 数据的备份和恢复，该控制点很好的体现了对业务正常运 行的保护。如通过对数据 进行备份,在发生安全事件后能够及时的

5、进行恢复，从而保证了业 务的正常运行。通用安全保护类（G类）一一既关注保护业务信息的安全性，同时也关注保护系统的连 续可用性。大多数技术类安全要求都属于此类，保护的重点既是为了保证业务能够正常运行， 同时数据要安全。如: 物理访问控制，该控制点主要是防止非授权人员物理访问系统主要工 作环境，由于进入工作环境可能导致的后果既可能包括系统无法正常运行（如，损坏某台重 要服务器），也可能窃取某些重要数据。因此，它保护的重点二者兼而有之。2.2.2基本要求安全要求的分类安全要求从整体上分为技术和管理两大类，其中,技术类安全要求按其保护的侧重点不同，将其下的控制点分为三类：信息安全类（S类）一-关注的是

6、保护数据在存储、传输、处理过程中不被泄漏、破坏 和免受未授权的修改。如: 自主访问控制，该控制点主要关注的是防止未授权的访问系统， 进而造成数据的修改或泄漏。至于对保证业务的正常连续运行并没有直接的 影响。服务保证类（A类）一一关注的是保护系统连续正常的运行，避免因对系统的未授权修 改、破坏而导致系统不可用。如: 数据的备份和恢复，该控制点很好的体现了对业务正常运 行的保护。如通过对数据 进行备份,在发生安全事件后能够及时的进行恢复，从而保证了业 务的正常运行。通用安全保护类（G类）一一既关注保护业务信息的安全性，同时也关注保护系统的连 续可用性。大多数技术类安全要求都属于此类，保护的重点既是

7、为了保证业务能够正常运行， 同时数据要安全。如: 物理访问控制，该控制点主要是防止非授权人员物理访问系统主要工 作环境，由于进入工作环境可能导致的后果既可能包括系统无法正常运行（如，损坏某台重 要服务器），也可能窃取某些重要数据。因此，它保护的重点二者兼而有之。技术安全要求按其保护的侧重点不同分为S、A、G三类，如果从另外一个角度考虑，根 据信息系统安全的整体结构来看，信息系统安全可从五个层面：物理、网络、主机系统、应 用系统和数据对系统进行保护，因此，技术类安全要求也相应的分为五个层面上的安全要求：1、物理层面安全要求: 主要是从外界环境、基础设施、运行硬件、介质等方面为信息 系统的安全运行

8、提供基本的后台支持和保证；2、网络层面安全要求：为信息系统能够在安全的网络环境中运行提供支持，确保网络 系统安全运行提供有效的网络服务；3、主机层面安全要求：在物理、网络层面安全的情况下， 提供安全的操作系统和安全的 数据库管理系统，以实现操作系统和数据库管理系统的安全运行；4、应用层面安全要求：在物理、网络、系统等层面安全的支持下，实现用户安全需求 所确定的安全目标；5、数据及备份恢复层面安全要求：全面关注信息系统中存储、传输、处理等过程的数 据的安全性。管理类安全要求主要是围绕信息系统整个生命周期全过程而提出的，均为G类要求。信 息系统的生命周期主要分为五个阶段：初始阶段、采购/开发阶段、

9、实施阶段、运行维护阶 段和废弃阶段。管理类安全要求正是针对这五个阶段的不同安全活动提出的，分为：安全管 理制度、安全管理机构、人员安全管理、系统建设管理和系统运行管理五个方面。2.2.3 逐级增强不同级别的信息系统，其应该具备的安全保护能力不同，也就是对抗能力和恢复能力不 同；安全保护能力不同意味着能够应对的威胁不同，较高级别的系统应该能够应对更多的威 胁；应对威胁将通过技术措施和管理措施来实现，应对同一威胁可以有不同强度和数量的措施，较高级别的系统应考虑更为周密的应对措施。主机安全一一入侵防范：(G2)操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务 器等方式保持

10、系统补丁及时得到更新。主机安全入侵防范： (G3)1、应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、 攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警；2、应能够对重要的程序完整性进行检测，并在检测到完整性受到破坏后具有恢复的施；3、操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服 务器等方式保持系统补丁及时得到更新。网络安全入侵防范： (G3)1、应在网络边界处监视以下攻击行为: 端口扫描、强力攻击、木马后门攻击、拒绝服 务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；2、当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的

11、、攻击时间，在发生严 重入侵事件时应提供报警。网络安全入侵防范： (G4)1、应在网络边界处监视以下攻击行为： 端口扫描、强力攻击、木马后门攻击、拒绝服 务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；2、当检测到攻击行为时，应记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生 严重入侵事件时应提供报警及自动采取相应动作。2.3.1 各级系统安全保护-物理安全物理安全保护的目的主要是使存放计算机、网络设备的机房以及信息系统的设备和存储 数据的介质等免受物理环境、自然灾难以及人为操作失误和恶意操作等各种威胁所产生的攻 击。物理安全是防护信息系统安全的最底层，缺乏物理安全，其他任何安全措施

12、都是毫无意 义的。物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃 防破坏等方面。具体包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防 火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等十个控制点。2.3.2 各级系统安全保护-网络安全网络安全为信息系统在网络环境的安全运行提供支持。一方面，确保网络设备的安全运行，提供有效的网络服务，另一方面，确保在网上传输数据的保密性、完整性和可用性等。 由于网络环境是抵御外部攻击的第一道防线，因此必须进行各方面的防护。对网络安全的保 护，主要关注两个方面：共享和安全。开放的网络环境便利了各种资源之间的流动、共

13、享， 但同时也打开了“罪恶”的大门。因此，必须在二者之间寻找恰当的平衡点，使得在尽可能 安全的情况下实现最大程度的资源共享，这是我们实现网络安全的理想目标。网络安全主要关注的方面包括：网络结构、网络边界以及网络设备自身安全等，具体的 控制点包括：结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、 网络设备防护等七个控制点。2.3.2.1 结构安全在对网络安全实现全方位保护之前，首先应关注整个网络的 资源分布、架构是否合理。只有结构安全了，才能在其上实现各 种技术功能，达到网络安全保护的目的。通常，一个机构是由多 个业务部门组成，各部门的地位、重要性不同，部门所要处理的 信息

14、重要性也不同，因此，需要对整个网络进行子网划分。该控制点主要从网段划分、资源（带宽、处理能力）保证、 优先处理等方面来要求。应保证网络设备的业务处理能力具备冗余空间，满足业务高峰期需要。应保证网络各部分的带宽满足业务高峰期需要。 应在业务终端与业务服务器之间进行路由控制建立安全的访 问路径。应绘制于当前运行情况相符的网络拓扑结构图，网络拓扑结 构的合理性。应根据各部门各系统的重要性，划分不同的子网和网段，应 避免将重要网段直接连接外部信息系统，重要网段与其他的网段 之间采取可靠的技术隔离手段。应根据业务服务的重要性指定带宽优先权。2.3.2.2 访问控制对于网络而言，最重要的一道安全防线就是边

15、界，边界上汇聚了所有流经网络的数据流， 必须对其进行有效的监视和控制。所谓边界即是采用不同安全策略的两个网络连接处，比如 用户网络和互联网之间的连接、和其它业务往来单位的网络连接、用户内部网络不同部门之 间的连接等。有连接，必有数据间的流动，因此在边界处，重要的就是对流经的数据（或者 称进出网络）进行严格的访问控制。按照一定的规则允许或拒绝数据的流入、流出。如果说，网络访问控制是从数据的角度对网络中流动的数据进行控制，那么，拨号访问 控制则是从用户的角度对远程访问网络的用户进行控制。对用户的访问控制，同样应按照一 定的控制规则来允许或拒绝用户的访问 .应在网络边界部署访问控制设备，启用访问控制

16、功能。应对进出网络的信息内容进行过滤，实现对应用层 HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制。应限制网络最大流量数和网络连接数。 应在会话处于非活跃一定时间或会话结束后终止网络连接。 应不开放远程拔号访问功能。2.3.2.3 安全审计如果将安全审计仅仅理解为“日志记录”功能，那么目前大多数的操作系统、网络设备 都有不同程度的日志功能。但是实际上仅这些日志根本不能保障系统的安全，也无法满足事 后的追踪取证。安全审计并非日志功能的简单改进，也并非等同于入侵检测。网络安全审计重点包括的方面：对网络流量监测以及对异常流量的识别和报警、网络设 备运行情况的监测等。通过对以上

17、方面的记录分析，形成报表，并在一定情况下发出报警、 阻断等动作。其次，对安全审计记录的管理也是其中的一方面。由于各个网络产品产生的安 全事件记录格式也不统一，难以进行综合分析，因此，集中审计已成为网络安全审计发展的 必然趋势。应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。 审计记录应包括：事件的日期时间、用户、事件类型、事件是否成功等相关信息。 应对审计跟踪极限的阀值，当存储空间接近极限时，能采取必要的措施，当存储空间消 耗尽时，终止可审计事件的发生。2.3.2.4 边界完整性检查虽然网络采取了防火墙、IDS等有效的技术手段对边界进行了防护，但如果内网用户在 边界处通过其

18、他手段接入内网（如无线网卡、双网卡、 modem 拨号上网），这些边界防御则 形同虚设。因此，必须在全网中对网络的连接状态进行监控，准确定位并能及时报警和阻断。对非授权设备私自联到内部网络的行为进行检查和准确定位。 对内部网络用户私自联到外部网络的行为进行检查和准确定 位。2.3.2.5 入侵防范网络访问控制在网络安全中起到大门警卫的作用，对进出的数据进行规则匹配，是网络 安全的第一道闸门。但其也有局限性，它只能对进出网络的数据进行分析，对网络内部发生 的事件则无能为力。基于网络的入侵检测，被认为是防火墙之后的第二道安全闸门，它主要 是监视所在网段内的各种数据包，对每一个数据包或可疑数据包进行

19、分析，如果数据包与内置的规则吻合，入侵检测系统就会记录事件的各种信息，并发出警报。应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻 击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重 入侵事件时应提供报警。2.3.2.6 恶意代码防范目前，对恶意代码的防范已是全方位、立体防护的概念。根据对恶意代码引入的源 头进行分析，可以得出，随着互联网的不断发展，从网络上引入到本地的恶意代码占绝 大多数。因此，在网络边界处对恶意代码进行防范是整个防范工作的重点。部署了相应的网 络防病毒产品后，并不代表“万

20、事大吉”了，根据统计，平均每个月有 300 种新的病毒 被发现,如果产品恶意代码库跟不上这一速度，其实际检测效率可能会大大降低，因此， 必须及时地、自动更新产品中的恶意代码定义。这种更新必须非常频繁，且对用户透明。2.3.2.7 网络设备防护对网络安全的防护，除了对网络结构、网络边界部署相应的安全措施外，另外一个重 要的方面就是对实现这些控制要求的网络设备的保护。通过登录网络设备对各种参数进行配 置、修改等，都直接影响网络安全功能的发挥。因此，网络设备的防护主要是对用户登录前 后的行为进行控制。1、应对登录网络设备的用户进行身份鉴别；2、应对网络设备的管理员登录地址进行限制；3、网络设备用户的

21、标识应唯一；4、主要网络设备应对同一用户选择两种或两种以上组合的 鉴别技术来进行身份鉴别；5、身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；6、网络设备用户的身份鉴别信息至少应有一种是不可伪造的；7、应具有登录失败处理功能，可采取结束会话、限制非法 登录次数和当网络登录连接超时自动退出等措施；8、当对网络设备进行远程管理时，应采取必要措施防止鉴 别信息在网络传输过程中被窃听；9、应实现设备特权用户的权限分离。2.3.3 各级系统安全保护-主机安全主机系统安全是包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系 统层面的安全。终端/工作站是带外设的台式机与笔记本计

22、算机, 服务器则包括应用程序、 网络、web、文件与通信等服务器。主机系统是构成信息系统的主要部分，其上承载着各种 应用。因此,主机系统安全是保护信息系统安全的中坚力量。主机系统安全涉及的控制点包括： 身份鉴别、安全标记、访问控制、可信路径、安全 审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等九个控制点。1. 身份鉴别为确保系统的安全，必须对系统中的每一用户或与之相连的服务器或终端设备进行有效 的标识与鉴别，只有通过鉴别的用户才能被赋予相应的权限，进入系统并在规定的权限内操 作。2. 安全标记在主机系统层面，在高级别系统中要实现强度较强的访问控制必须要增加安全标记，通 过对主体和客体进

23、行标记，主体不能随意更改权限，权限是由系统客观具有的属性以及用户 本身具有的属性决定的，因此，在很大程度上使非法访问受到限制，增加了访问控制的力度。3. 访问控制在系统中实施访问控制是为了保证系统资源（操作系统和数据库管理系统）受控合法地 使用。用户只能根据自己的权限大小来访问系统资源，不得越权访问。4. 可信路径在计算机系统中，用户一般并不直接与内核打交道，通过应用层作为接口进行会话。但 由于应用层并不是能完全信任的，因此在系统的安全功能中，提出了“可信路径”这一概念 （也是桔皮书 B2 级的安全要求）。5. 安全审计同网络安全审计相似，对主机进行安全审计，目的是为了保持对操作系统和数据库系

24、统 的运行情况以及系统用户行为的跟踪，以便事后追踪分析。主机安全审计主要涉及的方面包 括：用户登录情况、系统配置情况以及系统资源使用情况等。6. 剩余信息保护为保证存储在硬盘、内存或缓冲区中的信息不被非授权的访问，操作系统应对这些剩余 信息加以保护。用户的鉴别信息、文件、目录等资源所在的存储空间，操作系统将其完全清 除之后，才释放或重新分配给其他用户。7. 入侵防范 由于基于网络的入侵检测只是在被监测的网段内对网络非授权的访问、使用等情况进行防 范, 它无法防范网络内单台主机、服务器等被攻击的情况。基于主机的入侵检测，可以说是 基于网络的“补充”，补充检测那些出现在“授权”的数据流或其他遗漏的

25、数据流中的入侵 行为。8. 恶意代码防范 恶意代码一般通过两种方式造成各种破坏,一种是通过网络,另外一种就是通过主机。网 络边界处的恶意代码防范可以说是防范工作的“第一道门槛”，然而，如果恶意代码通过网 络进行蔓延，那么直接后果就是造成网络内的主机感染，所以说，网关处的恶意代码防范并 不是“一劳永逸”。另外，通过各种移动存储设备的接入主机，也可能造成该主机感染病毒， 而后通过网络感染其他主机。所以说，这两种方式是交叉发生的，必须在两处同时进行防范， 才能尽可能的保证安全。由于不同产商的恶意代码防范产品在恶意代码库的定义以及升级时机上都有所不同，因 此，如果主机和网络的防范产品出于不同厂家，那么

26、二者相互补充，在防范水平上会较同样 一种产品防范两处要高。因此，在三级要求系统能够采取两种产品防范的要求。由于信息系统具有网络层次多、节点多、覆盖地域广等特点，各部门对计算机的使用和 维护水平也不尽相同，这些均要求防恶意代码软件能够提供统一管理和集中监控，能够在恶 意代码监控中心的统一管理下，统一、自动升级，将潜在的恶意代码感染源清除在感染之前。 同时，也简化了系统维护工作，有利于防范恶意代码策略的有效实施。9. 资源控制操作系统是非常复杂的系统软件，其最主要的特点是并发性和共享性。在逻辑上多个任 务并发运行，处理器和外部设备能同时工作。多个任务共同使用系统资源，使其能被有效共 享，大大提高系

27、统的整体效率，这是操作系统的根本目标。通常计算机资源包括以下几类： 中央处理器、存储器、外部设备、信息（包括程序和数据），为保证这些资源有效共享和充 分利用，操作系统必须对资源的使用进行控制，包括限制单个用户的多重并发会话、限制最 大并发会话连接数、限制单个用户对系统资源的最大和最小使用限度、当登录终端的操作超 时或鉴别失败时进行锁定、根据服务优先级分配系统资源等。1 、应通过设定终端接入方式、网络地址范围等条件限制终端登录；2 、应根据安全策略设置登录终端的操作超时锁定；3、应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使 用情况；4、应限制单个用户对系统资源的最大

28、或最小使用限度；5、应能够对系统的服务水平降低到预先规定的最小值进行 检测和报警。2.3.4 各级系统安全保护-应用安全通过网络、主机系统的安全防护，最终应用安全成为信息系统整体防御的最后一道防 线。在应用层面运行着信息系统的基于网络的应用以及特定业务应用。基于网络的应用是形 成其他应用的基础，包括消息发送、 web 浏览等,可以说是基本的应用。业务应用采纳基本 应用的功能以满足特定业务的要求，如电子商务、电子政务等。由于各种基本应用最终是为 业务应用服务的，因此对应用系统的安全保护最终就是如何保护系统的各种业务应用程序安 全运行。应用安全主要涉及的安全控制点包括： 身份鉴别、安全标记、访问控

29、制、可信路径、 安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等十一 个控制点。1.身份鉴别 同主机系统的身份鉴别一样, 应用系统同样对登录的用户进行身份鉴别，以确保用户在规定的权限内进行操作 . 应提供专用的登录控制模块对登录用户进行身份标识和鉴别； 应对同一用户采用两种或两种以上组合的鉴别技术实现用户 身份鉴别，其中一种是不可伪造的；应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户 身份标识，身份鉴别信息不易被冒用；应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施； 应启用身份鉴别、用户身份标识唯一性检查、用户

30、身份鉴别信息复杂度检查以及登录失 败处理功能，并根据安全策略配置相关参数。2. 安全标记 在应用系统层面，在高级别系统中要实现强度较强的访问控制必须要增加安全标记，通 过对主体和客体进行标记，主体不能随意更改权限，权限是由系统客观具有的属性以及用户 本身具有的属性决定的，因此，在很大程度上使非法访问受到限制，增加了访问控制的力度。3. 访问控制 在应用系统中实施访问控制是为了保证应用系统受控合法地使用。用户只能根据自己的 权限大小来访问应用系统，不得越权访问。4. 可信路径 在计算机系统中，用户一般并不直接与内核打交道，通过应用层作为接口进行会话。但 由于应用层并不是能完全信任的，因此在系统的

31、安全功能中，提出了“可信路径”这一概念 （也是桔皮书 B2 级的安全要求）。在应用系统对用户进行身份鉴别时，应能够建立一条安全的信息传输路径。 在用户通过应用系统对资源进行访问时，应用系统应保证在被访问的资源与用户之间应 能够建立一条安全的信息传输路径。5. 安全审计 同主机安全审计相似，应用系统安全审计目的是为了保持对应用系统的运行情况以及系 统用户行为的跟踪，以便事后追踪分析。应用安全审计主要涉及的方面包括：用户登录情况、 系统功 能执行以及系统资源使用情况等。二级：要求对用户行为、安全事件等进行记录。 三级：要求对形成的记录能够统计、分析、并生成报表。 四级：要求根据系统统一安全策略，提

32、供集中审计接口6. 剩余信息保护 为保证存储在硬盘、内存或缓冲区中的信息不被非授权的访问，应用系统应对这些剩余 信息加以保护。用户的鉴别信息、文件、目录等资源所在的存储空间，应将其完全清除之后， 才释放或重新分配给其他用户。7. 通信完整性 许多应用程序通过网络与最终用户之间传递数据，此外还在中间应用程序节点之间传递 数据，这些数据由于与应用有关，多数带有机密性，如信用卡号码或银行交易明细数据等。 为了防止发生意外的信息泄漏，并保护数据免受传输时擅自修改，就必须确保通信点间的安 全性。安全的通信具有以下两个特点：完整性和保密性。8. 通信保密性 同通信完整性一样，通信保密性也是保证通信安全的重

33、要方面。它主要确保数据处于保 密状态，不被窃听。二级：要求对建立连接前初始化验证和通信过程敏感信息加密。 三级：要求对通信过程加密的范围扩大为整个报文或会话过程。 四级：在三级要求的基础上，对加解密运算要求设备化。9. 抗抵赖通信完整性和保密性并不能保证通信抗抵赖行为,即: 通信双方或不承认已发出的数 据，或不承认已接收到的数据，从而无法保证应用的正常进行。必须采取一定的抗抵赖手段， 从而防止双方否认数据所进行的交换。10. 软件容错 容错技术是提高整个系统可靠性的有效途径，通常在硬件配置上，采用了冗余备份的方 法，以便在资源上保证系统的可靠性。在软件设计上，则主要考虑应用程序对错误（故障）

34、的检测、处理能力。应对通过人机接口输入或通过通信接口输入的数据进行有效性检验； 应对通过人机接口方式进行的操作提供“回退”功能，即允许按照操作的序列进行回退； 应有状态监测能力，当故障发生时，能实时检测到故障状态并报警； 应有自动保护能力，当故障发生时，自动保护当前所有状态。11.资源控制 操作系统对同时的连接数量、打开文件数量、进程使用内存等进行了一定的资源控制， 保证资源合理有效的使用，以及防止系统资源被滥用而引发各种攻击。同样，应用程序也有 相应的资源控制措施，包括限制单个用户的多重并发会话、限制最大并发会话连接数、限制 单个用户对系统资源的最大和最小使用限度、当登录终端的操作超时或鉴别

35、失败时进行锁定 根据服务优先级分配系统资源等。二级：要求单个用户会话数量、最大并发会话数量的限制。 三级：增加了一段时间内的并发会话数量、单个账户或进程的资源配额、根据服务优先 级分配资源以及对系统最小服务进行监测和报警的要求。12.代码安全 应制定应用程序代码编写安全规范，要求开发人员参照规范编写代码； 应对应用程序代码进行代码复审，识别可能存在的恶意代码； 应对应用程序代码进行安全脆弱性分析；应对应用程序代码进行穿透性测试。2.3.5 各级系统安全保护 - 数据安全及备份恢复信息系统处理的各种数据（用户数据、系统数据、业务数据等）在维持系统正常运行上 起着至关重要的作用。一旦数据遭到破坏（

36、泄漏、修改、毁坏），都会在不同程度上造成影 响，从而危害到系统的正常运行。由于信息系统的各个层面（网络、主机、应用等）都对各 类数据进行传输、存储和处理等，因此，对数据的保护需要物理环境、网络、数据库和操作 系统、应用程序等提供支持。各个“关口”把好了，数据本身再具有一些防御和修复手段， 必然将对数据造成的损害降至最小。另外，数据备份也是防止数据被破坏后无法恢复的重要手段，而硬件备份等更是保证系 统可用的重要内容，在高级别的信息系统中采用异地适时备份会有效的防治灾难发生时可能 造成的系统危害。保证数据安全和备份恢复主要从：数据完整性、数据保密性、备份和恢复等三个控制点 考虑。2.3.5.1 数

37、据完整性数据完整性主要保证各种重要数据在存储和传输过程中免受未授权的破坏。这种保护包 括对完整性破坏的检测和恢复。一级：能够对用户数据在传输过程的完整性进行检测。二级：在一级要求的基础上，范围扩大，要求鉴别信息和重要业务数据在传输过程中都 要保证其完整性。三级：在二级要求的基础上，范围又扩大，增加了系统管理数据的传输完整性，不仅能 够检测出数据受到破坏，并能进行恢复。四级：除三级要求外，要求采用安全、专用的通信协议。2.3.5.2 数据保密性数据保密性主要从数据的传输和存储两方面保证各类敏感数据不被未授权的访问，以免 造成数据泄漏。二级：要求能够实现鉴别信息的存储保密性。三级：除二级要求外，范

38、围扩大到实现系统管理数据、鉴别信息和重要业务数据的传输 和存储的保密性。四级：除三级要求外，要求采用安全、专用的通信协议。2.3.5.3 数据备份和恢复所谓“防患于未然”，即使对数据进行了种种保护，但仍无法绝对保证数据的安全。对 数据进行备份，是防止数据遭到破坏后无法使用的最好方法。通过对数据采取不同的备份方式、备份形式等，保证系统重要数据在发生破坏后能够恢 复。硬件的不可用同样也是造成系统无法正常运行的主要原因。因此，有必要将一些重要的 设备（服务器、网络设备）设置冗余。当主设备不可用时，及时切换到备用设备上，从而保 证了系统的正常运行。如果有能力的话，对重要的系统也可实施备用系统，主应用系

39、统和备 用系统之间能实现平稳及时的切换。一级：能够对重要数据进行备份。二级：在一级要求的基础上，能够提供一定的硬件冗余。三级：除二级要求外，不仅要求本地完全数据备份，还要求 异地备份和冗余网络拓扑。四级：除三级要求外，增加了建立异地适时灾难备份中心，在灾难发生后系统能够自动 切换和恢复。应提供数据本地备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放； 应建立异地灾难备份中心，配备灾难恢复所需的通信线路、网络设备和数据处理设备， 提供业务应用的实时无缝切换；应提供异地实时备份功能，利用通信网络将数据实时备份至灾难备份中心；应采用冗余技术设计网络拓扑结构，避免存在网络单点故障；应提供主要

40、网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。2.3.6 各级系统安全保护-安全管理制度在信息安全中，最活跃的因素是人，对人的管理包括法律、法规与政策的约束、安全 指南的帮助、安全意识的提高、安全技能的培训、人力资源管理措施以及企业文化的熏陶， 这些功能的实现都是以完备的安全管理政策和制度为前提。这里所说的安全管理制度包括信 息安全工作的总体方针、策略、规范各种安全管理活动的管理制度以及管理人员或操作人员 日常操作的操作规程。安全管理制度主要包括：管理制度、制定和发布、评审和修订三个控制点。2.3.7 各级系统安全保护-安全管理机构安全管理，首先要建立一个健全、务实、有效、统

41、一指挥、统一步调的完善的安全管理 机构，明确机构成员的安全职责，这是信息安全管理得以实施、推广的基础。在单位的内部 结构上必须建立一整套从单位最高管理层（董事会）到执行管理层以及业务运营层的管理结 构来约束和保证各项安全管理措施的执行。其主要工作内容包括对机构内重要的信息安全工 作进行授权和审批、内部相关业务部门和安全管理部门之间的沟通协调以及与机构外部各类 单位的合作、定期对系统的安全措施落实情况进行检查，以发现问题进行改进。安全管理机构主要包括：岗位设置、人员配备、授权和审批、沟通和合作以及审核和检 查等五个控制点。2.3.8 各级系统安全保护-人员安全管理人，是信息安全中最关键的因素，同

42、时也是信息安全中最薄弱的环节。很多重要的信息 系统安全问题都涉及到用户、设计人员、实施人员以及管理人员。如果这些与人员有关的安 全问题没有得到很好的解决，任何一个信息系统都不可能达到真正的安全。只有对人员进行 了正确完善的管理，才有可能降低人为错误、盗窃、诈骗和误用设备的风险，从而减小了信 息系统遭受人员错误造成损失的概率。对人员安全的管理，主要涉及两方面：对内部人员的安全管理和对外部人员的安全管理。 具体包括：人员录用、人员离岗、人员考核、安全意识教育和培训和外部人员访问管理等五 个控制2.3.9 各级系统安全保护-系统建设管理信息系统的安全管理贯穿系统的整个生命周期，系统建设管理主要关注的

43、是生命周期中 的前三个阶段（即，初始、采购、实施）中各项安全管理活动。系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑，具体 包括：系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实 施、测试验收、系统交付、系统备案、等级测评和安全服务商选择等十一个控制点。2.3.10 各级系统安全保护-系统运维管理信息系统建设完成投入运行之后，接下来就是如何维护和管理信息系统了。系统运行涉 及到很多管理方面，例如对环境的管理、介质的管理、资产的管理等。同时，还要监控系统 由于一些原因发生的重大变化，安全措施也要进行相应的修改，以维护系统始终处于相应安全保护等级的安全状态中。系统运维管理主要包括：环境管理、资产管理、介质管理、设备管理、监控管理和安全 管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份 与恢复管理、安全事件处置、应急预案管理等十三个控制点。