对国家登记管理局安全等级说明20101116.docVIP

关于《信息系统安全等级》的说明 一、信息系统安全等级的确定 1、标准中等级的定义 《GBT-22240-2008信息安全技术 信息系统安全等级定级指南 定级原理》标准中规定：信息系统的安全保护等级分为以下五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 2、等级的确定 依据表2和表3，根据系统服务安全被破坏时所侵害的客体及信息系统的安全，暂定安全保护等级为第二级。 第二级 信息系统遭受破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不影响国家安全。第二级为指导保护级，主要对象为一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害；本级系统在信息安全监管职能部门指导下依照国家管理规范和技术标准进行自主保护。 表2 业务信息安全保护等级矩阵表 业务信息安全被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据表2系统服务安全保护等级矩阵表，即可得到系统服务安全保护等级。 表3 系统服务安全保护等级矩阵 系统服务安全被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二 级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。 二、信息系统安全等级的技术及相关实施要求 对信息系统安全等级从标准和实际两部分来说明。 从实际运行角度安全部署主要为以下几点： 数据库安全：利用数据备份与恢复技术，对意外丢失的数据进行安 全恢复，减少损失。 将数据库中需要保护的部分与其他部分相隔。 采用授权规则，如账户、口令和权限控制等访问控制方法。 对数据进行加密后存储于数据库。 病毒防控及入侵检测系统 病毒防控：集中部署网络防病毒及安全防护软件，定期更新、集 中监控及病毒报警、范围性网络传播抑制、云安全病毒技术， 智能补丁及安全策略自动部署应用。 入侵检测：分析网络行为、HYPERLINK /view/41451.htm \t _blank安全日志、审计数据、其它HYPERLINK /view/3487.htm \t _blank网络上 可以获得的HYPERLINK /view/1527.htm \t _blank信息以及HYPERLINK /view/1130583.htm \t _blank计算机系统中若干关键点的信息，检查网络 或系统中是否存在违反HYPERLINK /view/160028.htm \t _blank安全策略的行为和被攻击的迹象。入侵检 测作为一种积极主动地安全防护技术，提供了对内部攻击、外 部攻击和误操作的实时保护，在网络系统受到危害之前HYPERLINK /view/278161.htm \t _blank拦截 和响应入侵。 服务器架设安全 采用身份认证技术和访问控制技术、关闭无关端口、应用程序目 录权限设置、系统用户口令、域控管理、服务安全配置策略检 查、日志检查 数据库存储及网络交换设备安全（采用身份认证技术和访问控制技术、还要安装必要的服务器端杀毒软件） 存储设备：采用身份认证技术和访问控制技术以检查访问的合法 性，连接管理、RAID管理、hotspare热冗余、容量管理、镜像 管理。 网络设备： 网络接入端配置防火墙及冗余备份，端口映射、内容审查、带宽管理； 关键路径网络交换机安全配置策略应考虑和周边网络设备的连接的兼容性、安全性、可靠性和可变性； 关键路径网络交换机安全配置策略应尽量减少不必要的限定以保证合理的通信能力。 漏洞扫描系统：实时漏洞扫描、端口检测、定期更新和自动补丁。 标准要求分为技术安全及管理安全两部分，见下表： 技术及管理要求 具体表现 技术要求 物理安全 物理