1、國(guó)家信息安全保障體系與國(guó)家信息安全保障體系與信息安全等級(jí)保護(hù)制度實(shí)施信息安全等級(jí)保護(hù)制度實(shí)施 公安部信息安全等級(jí)保護(hù)評(píng)估中心公安部信息安全等級(jí)保護(hù)評(píng)估中心o 信息安全等級(jí)保護(hù)制度是什么信息安全等級(jí)保護(hù)制度是什么o 信息安全等級(jí)保護(hù)制度要干什么信息安全等級(jí)保護(hù)制度要干什么o 如何開展信息安全等級(jí)保護(hù)工作如何開展信息安全等級(jí)保護(hù)工作 在當(dāng)今社會(huì)中，信息已成為人類寶貴的資在當(dāng)今社會(huì)中，信息已成為人類寶貴的資源，并且可以通過(guò)源，并且可以通過(guò)InternetInternet為全球人類所使為全球人類所使用與共享。用與共享。 信息產(chǎn)業(yè)隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展在一個(gè)國(guó)信息產(chǎn)業(yè)隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展在一個(gè)國(guó)家國(guó)民經(jīng)濟(jì)

2、發(fā)展中所占的比重也越來(lái)越大。家國(guó)民經(jīng)濟(jì)發(fā)展中所占的比重也越來(lái)越大。人類生活對(duì)人類生活對(duì)InternetInternet的依賴也越來(lái)越大。的依賴也越來(lái)越大。信息技術(shù)發(fā)展引發(fā)的信息化革命信息技術(shù)發(fā)展引發(fā)的信息化革命o 輔助作用輔助作用 不完全依賴不完全依賴o 支撐作用支撐作用 完全依賴完全依賴 由互聯(lián)網(wǎng)的發(fā)展而帶來(lái)的信息安全問(wèn)題由互聯(lián)網(wǎng)的發(fā)展而帶來(lái)的信息安全問(wèn)題正變得突出，網(wǎng)絡(luò)安全已成為關(guān)系國(guó)家安正變得突出，網(wǎng)絡(luò)安全已成為關(guān)系國(guó)家安全的重大戰(zhàn)略問(wèn)題。全的重大戰(zhàn)略問(wèn)題。 保障網(wǎng)絡(luò)與信息系統(tǒng)安全，更好地維護(hù)保障網(wǎng)絡(luò)與信息系統(tǒng)安全，更好地維護(hù)國(guó)家安全、經(jīng)濟(jì)命脈和社會(huì)穩(wěn)定，已經(jīng)成國(guó)家安全、經(jīng)濟(jì)命脈和社會(huì)穩(wěn)

3、定，已經(jīng)成為信息化發(fā)展中迫切需要解決的重大問(wèn)題。為信息化發(fā)展中迫切需要解決的重大問(wèn)題。 近年來(lái)，黨中央、國(guó)務(wù)院高度重視，各有近年來(lái)，黨中央、國(guó)務(wù)院高度重視，各有關(guān)方面協(xié)調(diào)配合、共同努力，我國(guó)信息安全保關(guān)方面協(xié)調(diào)配合、共同努力，我國(guó)信息安全保障工作取得了很大進(jìn)展。但是從總體上看，我障工作取得了很大進(jìn)展。但是從總體上看，我國(guó)的信息安全保障工作尚處于起步階段，基礎(chǔ)國(guó)的信息安全保障工作尚處于起步階段，基礎(chǔ)薄弱，水平不高，存在以下突出問(wèn)題：薄弱，水平不高，存在以下突出問(wèn)題： 信息安全滯后于信息化發(fā)展；信息安全滯后于信息化發(fā)展； 信息安全阻礙了信息化發(fā)展信息安全阻礙了信息化發(fā)展。大多數(shù)單位雖然采用防火墻作

4、為內(nèi)外網(wǎng)的邊界大多數(shù)單位雖然采用防火墻作為內(nèi)外網(wǎng)的邊界防護(hù)設(shè)備。防護(hù)設(shè)備。重視外部攻擊與入侵，忽視內(nèi)部的非法行為。重視外部攻擊與入侵，忽視內(nèi)部的非法行為。偏重產(chǎn)品，忽視體系和管理。偏重產(chǎn)品，忽視體系和管理。關(guān)鍵技術(shù)、產(chǎn)品受制于人關(guān)鍵技術(shù)、產(chǎn)品受制于人。 西方發(fā)達(dá)國(guó)家信息技術(shù)優(yōu)勢(shì)明顯，我國(guó)面西方發(fā)達(dá)國(guó)家信息技術(shù)優(yōu)勢(shì)明顯，我國(guó)面臨信息強(qiáng)國(guó)的沖擊、挑戰(zhàn)和威脅，信息安臨信息強(qiáng)國(guó)的沖擊、挑戰(zhàn)和威脅，信息安全領(lǐng)域始終面臨信息戰(zhàn)和網(wǎng)絡(luò)恐怖襲擊的全領(lǐng)域始終面臨信息戰(zhàn)和網(wǎng)絡(luò)恐怖襲擊的威脅威脅 ； 敵對(duì)勢(shì)力的網(wǎng)上煽動(dòng)、滲透和破壞活動(dòng)愈敵對(duì)勢(shì)力的網(wǎng)上煽動(dòng)、滲透和破壞活動(dòng)愈加突出，針對(duì)信息系統(tǒng)進(jìn)行的破壞活動(dòng)日加突出，

5、針對(duì)信息系統(tǒng)進(jìn)行的破壞活動(dòng)日益嚴(yán)重，利用網(wǎng)絡(luò)實(shí)施的違法犯罪案件持益嚴(yán)重，利用網(wǎng)絡(luò)實(shí)施的違法犯罪案件持續(xù)大幅上升。續(xù)大幅上升。受威脅的對(duì)象是操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和信息系受威脅的對(duì)象是操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和信息系統(tǒng)，攻擊的目的是使系統(tǒng)癱瘓、信息被竊取、篡改統(tǒng)，攻擊的目的是使系統(tǒng)癱瘓、信息被竊取、篡改毀壞。早期是能直接接觸計(jì)算機(jī)系統(tǒng)的人（單機(jī)、毀壞。早期是能直接接觸計(jì)算機(jī)系統(tǒng)的人（單機(jī)、多用戶終端、局域網(wǎng)），現(xiàn)在攻擊者和方式發(fā)生了多用戶終端、局域網(wǎng)），現(xiàn)在攻擊者和方式發(fā)生了變化，廣域網(wǎng)、因特網(wǎng)使任何信息系統(tǒng)參與人都可變化，廣域網(wǎng)、因特網(wǎng)使任何信息系統(tǒng)參與人都可能成為攻擊者。在參與人中，有正常使用的人

6、，也能成為攻擊者。在參與人中，有正常使用的人，也有非正常使用的人，后者稱之為有非正常使用的人，后者稱之為“攻擊者或黑客攻擊者或黑客”。“攻擊者攻擊者”分成幾類：有著不同目的的。分成幾類：有著不同目的的。o一般黑客一般黑客o有組織犯罪有組織犯罪o高層次深度打擊高層次深度打擊o 系統(tǒng)防入侵系統(tǒng)防入侵o 網(wǎng)絡(luò)防攻擊網(wǎng)絡(luò)防攻擊o 信息防泄露信息防泄露o 內(nèi)容防篡改內(nèi)容防篡改o 內(nèi)部防越權(quán)內(nèi)部防越權(quán) 通過(guò)利用、改變和癱瘓敵方的信息、信息系統(tǒng)通過(guò)利用、改變和癱瘓敵方的信息、信息系統(tǒng)和以計(jì)算機(jī)為基礎(chǔ)的網(wǎng)絡(luò)應(yīng)用，同時(shí)保護(hù)己方和以計(jì)算機(jī)為基礎(chǔ)的網(wǎng)絡(luò)應(yīng)用，同時(shí)保護(hù)己方的信息、信息系統(tǒng)和以計(jì)算機(jī)為基礎(chǔ)的網(wǎng)絡(luò)應(yīng)的信息

7、、信息系統(tǒng)和以計(jì)算機(jī)為基礎(chǔ)的網(wǎng)絡(luò)應(yīng)用不被敵方利用、改變和癱瘓，以獲取信息優(yōu)用不被敵方利用、改變和癱瘓，以獲取信息優(yōu)勢(shì)，而采取的各種作戰(zhàn)行動(dòng)。勢(shì)，而采取的各種作戰(zhàn)行動(dòng)。 信息戰(zhàn)是現(xiàn)代戰(zhàn)爭(zhēng)的一種新作戰(zhàn)形式。信息戰(zhàn)信息戰(zhàn)是現(xiàn)代戰(zhàn)爭(zhēng)的一種新作戰(zhàn)形式。信息戰(zhàn)分為兩大類：分為兩大類：一是國(guó)家級(jí)信息戰(zhàn)，也稱為戰(zhàn)略一是國(guó)家級(jí)信息戰(zhàn)，也稱為戰(zhàn)略信息戰(zhàn)；二是戰(zhàn)場(chǎng)信息戰(zhàn)，也稱為指揮控制戰(zhàn)。信息戰(zhàn)；二是戰(zhàn)場(chǎng)信息戰(zhàn)，也稱為指揮控制戰(zhàn)。 戰(zhàn)略信息戰(zhàn)是利用非殺傷性技術(shù)而秘密實(shí)戰(zhàn)略信息戰(zhàn)是利用非殺傷性技術(shù)而秘密實(shí)施的，不需要公開宣戰(zhàn)。它利用了國(guó)家力施的，不需要公開宣戰(zhàn)。它利用了國(guó)家力量的所有手段在國(guó)家戰(zhàn)略級(jí)形成可競(jìng)爭(zhēng)的量的所

8、有手段在國(guó)家戰(zhàn)略級(jí)形成可競(jìng)爭(zhēng)的優(yōu)勢(shì)，優(yōu)勢(shì)，把把“戰(zhàn)爭(zhēng)戰(zhàn)爭(zhēng)”的范圍擴(kuò)大到經(jīng)濟(jì)、政的范圍擴(kuò)大到經(jīng)濟(jì)、政治和社會(huì)的各個(gè)方面治和社會(huì)的各個(gè)方面。這種信息戰(zhàn)無(wú)論在。這種信息戰(zhàn)無(wú)論在平時(shí)、危機(jī)時(shí)刻還是在戰(zhàn)爭(zhēng)狀態(tài)下都可能平時(shí)、危機(jī)時(shí)刻還是在戰(zhàn)爭(zhēng)狀態(tài)下都可能發(fā)生。這種信息戰(zhàn)必須有組織地進(jìn)行，并發(fā)生。這種信息戰(zhàn)必須有組織地進(jìn)行，并且要受最高政治機(jī)構(gòu)的嚴(yán)格控制。且要受最高政治機(jī)構(gòu)的嚴(yán)格控制。 新的戰(zhàn)略戰(zhàn)術(shù)思想新的戰(zhàn)略戰(zhàn)術(shù)思想 新的戰(zhàn)場(chǎng)戰(zhàn)線特點(diǎn)新的戰(zhàn)場(chǎng)戰(zhàn)線特點(diǎn) 新的武器裝備形式新的武器裝備形式 新的國(guó)防動(dòng)員體制新的國(guó)防動(dòng)員體制 新的平戰(zhàn)結(jié)合模式新的平戰(zhàn)結(jié)合模式 新的軍民魚水關(guān)系新的軍民魚水關(guān)系o 外部環(huán)境外部環(huán)境

9、各國(guó)在大力推進(jìn)各國(guó)在大力推進(jìn)InternetInternet與信息技術(shù)應(yīng)與信息技術(shù)應(yīng)用的同時(shí)，抓緊實(shí)施國(guó)家信息安全保障體用的同時(shí)，抓緊實(shí)施國(guó)家信息安全保障體系與國(guó)防的信息安全防御體系。系與國(guó)防的信息安全防御體系。 各國(guó)抓緊研究信息安全策略、制訂體各國(guó)抓緊研究信息安全策略、制訂體系標(biāo)準(zhǔn)、法律法規(guī)，實(shí)施安全計(jì)劃。系標(biāo)準(zhǔn)、法律法規(guī)，實(shí)施安全計(jì)劃。o 20082008年年5 5月月1 1日，美國(guó)防高級(jí)研究計(jì)劃局（日，美國(guó)防高級(jí)研究計(jì)劃局（DARPADARPA）發(fā)布關(guān)于展開發(fā)布關(guān)于展開“國(guó)家網(wǎng)絡(luò)靶場(chǎng)國(guó)家網(wǎng)絡(luò)靶場(chǎng)”項(xiàng)目研發(fā)工作項(xiàng)目研發(fā)工作公告。公告。o 美國(guó)認(rèn)為，網(wǎng)絡(luò)空間是美國(guó)經(jīng)濟(jì)、關(guān)鍵設(shè)施和美國(guó)認(rèn)為，網(wǎng)

10、絡(luò)空間是美國(guó)經(jīng)濟(jì)、關(guān)鍵設(shè)施和國(guó)家安全的重要基礎(chǔ)，對(duì)于國(guó)家力量的影響至國(guó)家安全的重要基礎(chǔ)，對(duì)于國(guó)家力量的影響至關(guān)重要。為此，美國(guó)高度重視研發(fā)以網(wǎng)絡(luò)為中關(guān)重要。為此，美國(guó)高度重視研發(fā)以網(wǎng)絡(luò)為中心的心的C4ISRC4ISR系統(tǒng)和網(wǎng)絡(luò)攻防對(duì)抗裝備系統(tǒng)和網(wǎng)絡(luò)攻防對(duì)抗裝備，推進(jìn)網(wǎng)絡(luò)，推進(jìn)網(wǎng)絡(luò)中心戰(zhàn)能力建設(shè)。中心戰(zhàn)能力建設(shè)。 o 20092009年年1 1月月8 8日，美國(guó)總統(tǒng)布什簽署日，美國(guó)總統(tǒng)布什簽署第第5454號(hào)國(guó)家號(hào)國(guó)家安全總統(tǒng)令和第安全總統(tǒng)令和第2323號(hào)國(guó)土安全總統(tǒng)令號(hào)國(guó)土安全總統(tǒng)令，要求美，要求美國(guó)政府所有與安全有關(guān)的部門（包括國(guó)土安全國(guó)政府所有與安全有關(guān)的部門（包括國(guó)土安全部、國(guó)家安全局等）

11、都參與實(shí)施部、國(guó)家安全局等）都參與實(shí)施“國(guó)家網(wǎng)絡(luò)安國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃全綜合計(jì)劃”。這是一項(xiàng)長(zhǎng)期計(jì)劃，將由多個(gè)。這是一項(xiàng)長(zhǎng)期計(jì)劃，將由多個(gè)部門參加并分步驟實(shí)施，其最終目的是保護(hù)美部門參加并分步驟實(shí)施，其最終目的是保護(hù)美國(guó)的網(wǎng)絡(luò)安全，防止美國(guó)遭受敵對(duì)的電子攻擊，國(guó)的網(wǎng)絡(luò)安全，防止美國(guó)遭受敵對(duì)的電子攻擊，并能對(duì)敵方展開在線攻擊。并能對(duì)敵方展開在線攻擊。 o 美國(guó)總統(tǒng)奧巴馬美國(guó)總統(tǒng)奧巴馬20092009年年5 5月月2929日公布了一份由安日公布了一份由安全部門完成的網(wǎng)絡(luò)安全評(píng)估報(bào)告，表明全部門完成的網(wǎng)絡(luò)安全評(píng)估報(bào)告，表明來(lái)自網(wǎng)來(lái)自網(wǎng)絡(luò)空間的威脅已經(jīng)成為美國(guó)面臨的最嚴(yán)重的經(jīng)絡(luò)空間的威脅已經(jīng)成為美國(guó)面

12、臨的最嚴(yán)重的經(jīng)濟(jì)和軍事威脅之一。濟(jì)和軍事威脅之一。 o 奧巴馬還表示奧巴馬還表示：網(wǎng)絡(luò)空間以及它帶來(lái)的威脅都：網(wǎng)絡(luò)空間以及它帶來(lái)的威脅都是真實(shí)的，保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施將是維護(hù)美國(guó)國(guó)是真實(shí)的，保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施將是維護(hù)美國(guó)國(guó)家安全的第一要?jiǎng)?wù)。家安全的第一要?jiǎng)?wù)。 o 6 6月月2525日英國(guó)出臺(tái)首個(gè)國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略日英國(guó)出臺(tái)首個(gè)國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略o 政府將成立兩個(gè)網(wǎng)絡(luò)安全新部門政府將成立兩個(gè)網(wǎng)絡(luò)安全新部門 網(wǎng)絡(luò)安全辦公室和網(wǎng)絡(luò)安全行動(dòng)中心網(wǎng)絡(luò)安全辦公室和網(wǎng)絡(luò)安全行動(dòng)中心o 計(jì)劃征召包括黑客在內(nèi)的網(wǎng)絡(luò)精英護(hù)衛(wèi)網(wǎng)絡(luò)安全計(jì)劃征召包括黑客在內(nèi)的網(wǎng)絡(luò)精英護(hù)衛(wèi)網(wǎng)絡(luò)安全o 英國(guó)已經(jīng)具備主動(dòng)發(fā)起網(wǎng)絡(luò)攻擊的能力英國(guó)已經(jīng)具備

13、主動(dòng)發(fā)起網(wǎng)絡(luò)攻擊的能力o 臺(tái)灣加緊開展信息戰(zhàn)的準(zhǔn)備臺(tái)灣加緊開展信息戰(zhàn)的準(zhǔn)備 控制進(jìn)入大陸的微機(jī)板卡、硬盤等。控制進(jìn)入大陸的微機(jī)板卡、硬盤等。 專門搜集大陸民用網(wǎng)絡(luò)（電信、能源、交通、專門搜集大陸民用網(wǎng)絡(luò)（電信、能源、交通、金融及政府等）的結(jié)構(gòu)、路由以及設(shè)備情報(bào)。金融及政府等）的結(jié)構(gòu)、路由以及設(shè)備情報(bào)。 積極研究網(wǎng)絡(luò)滲透與病毒植入和激活技術(shù)。積極研究網(wǎng)絡(luò)滲透與病毒植入和激活技術(shù)。 整體信息安全防范整體信息安全防范意識(shí)意識(shí)和和能力能力薄弱薄弱; ; 信息系統(tǒng)安全建設(shè)和管理缺乏體系化思想信息系統(tǒng)安全建設(shè)和管理缺乏體系化思想; ; 信息安全法律法規(guī)不完善，標(biāo)準(zhǔn)體系尚待完善；信息安全法律法規(guī)不完善，標(biāo)準(zhǔn)

14、體系尚待完善； 自主技術(shù)產(chǎn)品缺乏，信息技術(shù)產(chǎn)業(yè)未完全形成。自主技術(shù)產(chǎn)品缺乏，信息技術(shù)產(chǎn)業(yè)未完全形成。 總體要求總體要求: :堅(jiān)持堅(jiān)持積極防御、綜合防范積極防御、綜合防范的方針，的方針，全面提高信息安全防護(hù)能力，重點(diǎn)保護(hù)基礎(chǔ)全面提高信息安全防護(hù)能力，重點(diǎn)保護(hù)基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進(jìn)信息化發(fā)展，保護(hù)公網(wǎng)絡(luò)環(huán)境，保障和促進(jìn)信息化發(fā)展，保護(hù)公眾利益，維護(hù)國(guó)家安全。眾利益，維護(hù)國(guó)家安全。主要原則：立足國(guó)情，以我為主，堅(jiān)持管理主要原則：立足國(guó)情，以我為主，堅(jiān)持管理與技術(shù)并重；正確處理安全與發(fā)展的關(guān)系，與技術(shù)并重；正確處理安全與發(fā)展

15、的關(guān)系，以安全促發(fā)展，在發(fā)展中求安全以安全促發(fā)展，在發(fā)展中求安全；統(tǒng)籌規(guī)劃，統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)性工作；明確國(guó)家、企突出重點(diǎn)，強(qiáng)化基礎(chǔ)性工作；明確國(guó)家、企業(yè)、個(gè)人的責(zé)任和義務(wù)，充分發(fā)揮各方面的業(yè)、個(gè)人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國(guó)家信息安全保障體系。積極性，共同構(gòu)筑國(guó)家信息安全保障體系。全面實(shí)行信息安全等級(jí)保護(hù)制度全面實(shí)行信息安全等級(jí)保護(hù)制度加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系建設(shè)加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系建設(shè)建設(shè)和完善信息安全監(jiān)控體系建設(shè)和完善信息安全監(jiān)控體系重視信息安全應(yīng)急處理工作重視信息安全應(yīng)急處理工作加強(qiáng)信息安全技術(shù)研究開發(fā)，推進(jìn)信息

16、安全產(chǎn)業(yè)發(fā)展加強(qiáng)信息安全技術(shù)研究開發(fā)，推進(jìn)信息安全產(chǎn)業(yè)發(fā)展加強(qiáng)信息安全法制建設(shè)標(biāo)準(zhǔn)化建設(shè)加強(qiáng)信息安全法制建設(shè)標(biāo)準(zhǔn)化建設(shè)加快信息安全人才培養(yǎng)，增強(qiáng)全民信息安全意識(shí)加快信息安全人才培養(yǎng)，增強(qiáng)全民信息安全意識(shí)保證信息安全資金保證信息安全資金加強(qiáng)對(duì)信息安全保障工作的領(lǐng)導(dǎo)，建立健全信息安全管加強(qiáng)對(duì)信息安全保障工作的領(lǐng)導(dǎo)，建立健全信息安全管理責(zé)任制理責(zé)任制o 等級(jí)保護(hù)制度是什么等級(jí)保護(hù)制度是什么o 等級(jí)保護(hù)制度要干什么等級(jí)保護(hù)制度要干什么o 如何開展等級(jí)保護(hù)工作如何開展等級(jí)保護(hù)工作根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度；遭到破壞后對(duì)國(guó)家安全、社會(huì)生活中

17、的重要程度；遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度；將信息系統(tǒng)權(quán)益的危害程度；將信息系統(tǒng)劃分為不同的安全保劃分為不同的安全保護(hù)等級(jí)護(hù)等級(jí)并對(duì)其實(shí)施不同的并對(duì)其實(shí)施不同的保護(hù)保護(hù)和和監(jiān)管監(jiān)管。 信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生損害，但不損和其他組織的合法權(quán)益產(chǎn)生損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。害國(guó)家安全、社會(huì)秩序和公共利益。 信息系統(tǒng)運(yùn)營(yíng)、使用單位依照國(guó)家有關(guān)信息系統(tǒng)運(yùn)營(yíng)、使用單位依照國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。管理規(guī)范和技術(shù)標(biāo)

18、準(zhǔn)進(jìn)行保護(hù)。 信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害, ,或者對(duì)社會(huì)秩序和或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。公共利益造成損害，但不損害國(guó)家安全。 信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行指導(dǎo)門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行指導(dǎo) 信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)

19、重?fù)p害共利益造成嚴(yán)重?fù)p害, ,或者對(duì)國(guó)家安全造成損或者對(duì)國(guó)家安全造成損害。害。 信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查。工作進(jìn)行監(jiān)督、檢查。 信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害共利益造成特別嚴(yán)重?fù)p害 , ,或者對(duì)國(guó)家安全或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。造成嚴(yán)重?fù)p害。 信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依

20、據(jù)國(guó)家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查查。 信息系統(tǒng)受到破壞后信息系統(tǒng)受到破壞后, ,會(huì)對(duì)國(guó)家安全造成特會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害；別嚴(yán)重?fù)p害； 信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家管信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)。國(guó)家指定專門部門對(duì)該級(jí)信息系統(tǒng)信保護(hù)。國(guó)家指定專門部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行專門監(jiān)

21、督、檢查。息安全等級(jí)保護(hù)工作進(jìn)行專門監(jiān)督、檢查。o 等級(jí)保護(hù)制度是什么等級(jí)保護(hù)制度是什么o 等級(jí)保護(hù)制度要干什么等級(jí)保護(hù)制度要干什么o 如何開展等級(jí)保護(hù)工作如何開展等級(jí)保護(hù)工作o 體現(xiàn)國(guó)家管理意志體現(xiàn)國(guó)家管理意志o 構(gòu)建國(guó)家信息安全保障體系構(gòu)建國(guó)家信息安全保障體系o 保障信息化發(fā)展和維護(hù)國(guó)家安全保障信息化發(fā)展和維護(hù)國(guó)家安全o 信息安全等級(jí)保護(hù)是手段，是為了構(gòu)建信息安全等級(jí)保護(hù)是手段，是為了構(gòu)建國(guó)家信息安全保障體系。國(guó)家信息安全保障體系。o 信息安全保障體系也是手段，是為了業(yè)信息安全保障體系也是手段，是為了業(yè)務(wù)應(yīng)用發(fā)展。務(wù)應(yīng)用發(fā)展。o 信息安全等級(jí)保護(hù)是帶有很強(qiáng)技術(shù)性的信息安全等級(jí)保護(hù)是帶有很強(qiáng)

22、技術(shù)性的國(guó)家風(fēng)險(xiǎn)控制行為國(guó)家風(fēng)險(xiǎn)控制行為o 安全風(fēng)險(xiǎn)管理的目的并不是保證沒(méi)有風(fēng)險(xiǎn)，而安全風(fēng)險(xiǎn)管理的目的并不是保證沒(méi)有風(fēng)險(xiǎn)，而是要將信息系統(tǒng)帶來(lái)的業(yè)務(wù)風(fēng)險(xiǎn)控制在可接受是要將信息系統(tǒng)帶來(lái)的業(yè)務(wù)風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)。的范圍內(nèi)。 o 信息安全等級(jí)保護(hù)的關(guān)鍵所在正是基于信息系信息安全等級(jí)保護(hù)的關(guān)鍵所在正是基于信息系統(tǒng)所承載應(yīng)用的重要性，以及該應(yīng)用損毀后帶統(tǒng)所承載應(yīng)用的重要性，以及該應(yīng)用損毀后帶來(lái)的影響程度來(lái)判斷風(fēng)險(xiǎn)是否控制在可接受的來(lái)的影響程度來(lái)判斷風(fēng)險(xiǎn)是否控制在可接受的范圍內(nèi)。范圍內(nèi)。o 系統(tǒng)防入侵系統(tǒng)防入侵o 網(wǎng)絡(luò)防攻擊網(wǎng)絡(luò)防攻擊o 信息防泄露信息防泄露o 內(nèi)容防篡改內(nèi)容防篡改o 內(nèi)部防越權(quán)內(nèi)部

23、防越權(quán)1 1、對(duì)奧運(yùn)的信息系統(tǒng)，開展定級(jí)工作、對(duì)奧運(yùn)的信息系統(tǒng)，開展定級(jí)工作2 2、第一次按照基本要求測(cè)評(píng)差距比較大，奧運(yùn)系、第一次按照基本要求測(cè)評(píng)差距比較大，奧運(yùn)系統(tǒng)進(jìn)行了相應(yīng)的整改。統(tǒng)進(jìn)行了相應(yīng)的整改。3 3、整改后、測(cè)評(píng)、再整改，能夠達(dá)到基本保護(hù)要、整改后、測(cè)評(píng)、再整改，能夠達(dá)到基本保護(hù)要求的大部分的要求求的大部分的要求4 4、對(duì)于奧運(yùn)系統(tǒng)，達(dá)到一個(gè)基本安全狀態(tài)并不夠、對(duì)于奧運(yùn)系統(tǒng)，達(dá)到一個(gè)基本安全狀態(tài)并不夠。因?yàn)榛疽笫且粋€(gè)底線的要求。因?yàn)榛疽笫且粋€(gè)底線的要求。5 5、奧運(yùn)是個(gè)特殊時(shí)期，奧運(yùn)系統(tǒng)有許多特殊需求、奧運(yùn)是個(gè)特殊時(shí)期，奧運(yùn)系統(tǒng)有許多特殊需求6 6、針對(duì)特殊需求重點(diǎn)進(jìn)行了

24、外部滲透測(cè)試。、針對(duì)特殊需求重點(diǎn)進(jìn)行了外部滲透測(cè)試。o 通過(guò)整改安全防護(hù)狀況有較大改進(jìn)，絕大部分網(wǎng)站通過(guò)整改安全防護(hù)狀況有較大改進(jìn)，絕大部分網(wǎng)站防防SQLSQL注入能力增強(qiáng)，能抵御一般黑客攻擊；網(wǎng)站注入能力增強(qiáng)，能抵御一般黑客攻擊；網(wǎng)站放置在一個(gè)虛擬服務(wù)器的現(xiàn)象消失，數(shù)據(jù)庫(kù)與網(wǎng)站放置在一個(gè)虛擬服務(wù)器的現(xiàn)象消失，數(shù)據(jù)庫(kù)與網(wǎng)站程序?qū)嵤┝朔蛛x；網(wǎng)站管理后臺(tái)采用了較多的安全程序?qū)嵤┝朔蛛x；網(wǎng)站管理后臺(tái)采用了較多的安全設(shè)置。設(shè)置。o 但仍有不少網(wǎng)站存在目錄列遍，敏感信息泄露、跨但仍有不少網(wǎng)站存在目錄列遍，敏感信息泄露、跨站被動(dòng)攻擊和跨站請(qǐng)求偽造的漏洞；個(gè)別網(wǎng)站子站站被動(dòng)攻擊和跨站請(qǐng)求偽造的漏洞；個(gè)別網(wǎng)站

25、子站防護(hù)能力薄弱，無(wú)法抵御有組織犯罪攻擊，風(fēng)險(xiǎn)等防護(hù)能力薄弱，無(wú)法抵御有組織犯罪攻擊，風(fēng)險(xiǎn)等級(jí)仍舊高危。級(jí)仍舊高危。o 通過(guò)外部安全測(cè)試，能夠迅速?gòu)耐獠堪l(fā)現(xiàn)對(duì)外暴通過(guò)外部安全測(cè)試，能夠迅速?gòu)耐獠堪l(fā)現(xiàn)對(duì)外暴露的安全隱患和脆弱性，測(cè)試結(jié)果直觀，能夠引露的安全隱患和脆弱性，測(cè)試結(jié)果直觀，能夠引起對(duì)安全威脅的警覺(jué)和安全保障工作的高度重視起對(duì)安全威脅的警覺(jué)和安全保障工作的高度重視。o 外部安全測(cè)試作為一種方法，雖不能體系性地根外部安全測(cè)試作為一種方法，雖不能體系性地根本消除對(duì)外暴露的安全隱患，但作為查漏補(bǔ)缺，本消除對(duì)外暴露的安全隱患，但作為查漏補(bǔ)缺，急用先上，特別是在特定敏感時(shí)期發(fā)現(xiàn)主要問(wèn)題急用先上，特

26、別是在特定敏感時(shí)期發(fā)現(xiàn)主要問(wèn)題起到了重要作用。起到了重要作用。o 大量的政務(wù)系統(tǒng)由于建設(shè)的時(shí)期，背景的不同；大量的政務(wù)系統(tǒng)由于建設(shè)的時(shí)期，背景的不同；主管運(yùn)營(yíng)模式的不同，在安全防護(hù)能力上差異很主管運(yùn)營(yíng)模式的不同，在安全防護(hù)能力上差異很大。僅依靠外部安全測(cè)試，只能治標(biāo)，要體系化大。僅依靠外部安全測(cè)試，只能治標(biāo)，要體系化地根本解決安全問(wèn)題，必須標(biāo)本兼顧，堅(jiān)持常態(tài)地根本解決安全問(wèn)題，必須標(biāo)本兼顧，堅(jiān)持常態(tài)化的、基礎(chǔ)性的信息安全等級(jí)保護(hù)是必由之路。化的、基礎(chǔ)性的信息安全等級(jí)保護(hù)是必由之路。o 政務(wù)系統(tǒng)由于其特殊的政治背景，安全防護(hù)標(biāo)準(zhǔn)政務(wù)系統(tǒng)由于其特殊的政治背景，安全防護(hù)標(biāo)準(zhǔn)不同于一般商業(yè)系統(tǒng)，要想保

27、障其安全，應(yīng)該基不同于一般商業(yè)系統(tǒng)，要想保障其安全，應(yīng)該基于于信息安全等級(jí)保護(hù)管理辦法信息安全等級(jí)保護(hù)管理辦法和和信息系統(tǒng)信息系統(tǒng)安全等級(jí)保護(hù)基本要求安全等級(jí)保護(hù)基本要求制定有針對(duì)性的管理規(guī)制定有針對(duì)性的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)。范和技術(shù)標(biāo)準(zhǔn)。o提出信息安全工作的提出信息安全工作的思路思路o劃定信息系統(tǒng)保護(hù)的劃定信息系統(tǒng)保護(hù)的基線基線o發(fā)現(xiàn)信息系統(tǒng)的發(fā)現(xiàn)信息系統(tǒng)的問(wèn)題和差距問(wèn)題和差距o明確信息系統(tǒng)安全保護(hù)的明確信息系統(tǒng)安全保護(hù)的方向方向o提升信息系統(tǒng)的安全保護(hù)提升信息系統(tǒng)的安全保護(hù)能力能力o 管理層面：國(guó)家制定統(tǒng)一信息安全等級(jí)保護(hù)管管理層面：國(guó)家制定統(tǒng)一信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、

28、法人和其他組理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息安織對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息安全產(chǎn)品的使用分等級(jí)實(shí)行管理，對(duì)等級(jí)保護(hù)工全產(chǎn)品的使用分等級(jí)實(shí)行管理，對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、指導(dǎo)。作的實(shí)施進(jìn)行監(jiān)督、指導(dǎo)。 o 用戶層面用戶層面 ：公民、法人和其他組織應(yīng)當(dāng)按：公民、法人和其他組織應(yīng)當(dāng)按照國(guó)家有關(guān)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)照國(guó)家有關(guān)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)開展等級(jí)保護(hù)工作，服從國(guó)家對(duì)信息安準(zhǔn)開展等級(jí)保護(hù)工作，服從國(guó)家對(duì)信息安全等級(jí)保護(hù)工作的監(jiān)督、指導(dǎo)，保障信息全等級(jí)保護(hù)工作的監(jiān)督、指導(dǎo)，保障信息系統(tǒng)安全。系統(tǒng)安全。 o 社會(huì)層面社會(huì)層面

29、：信息安全產(chǎn)品的研制、生產(chǎn)單：信息安全產(chǎn)品的研制、生產(chǎn)單位，信息系統(tǒng)的集成、等級(jí)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)位，信息系統(tǒng)的集成、等級(jí)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估等安全服務(wù)機(jī)構(gòu)，依據(jù)國(guó)家有關(guān)管理規(guī)估等安全服務(wù)機(jī)構(gòu)，依據(jù)國(guó)家有關(guān)管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，開展相應(yīng)工作，并接受國(guó)定和技術(shù)標(biāo)準(zhǔn)，開展相應(yīng)工作，并接受國(guó)家信息安全職能部門的監(jiān)督管理。家信息安全職能部門的監(jiān)督管理。o 等級(jí)保護(hù)制度是什么等級(jí)保護(hù)制度是什么o 等級(jí)保護(hù)制度要干什么等級(jí)保護(hù)制度要干什么o 如何開展等級(jí)保護(hù)工作如何開展等級(jí)保護(hù)工作o 誰(shuí)擁有誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)誰(shuí)擁有誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)o 自主定級(jí)、自主保護(hù)、監(jiān)督指導(dǎo)自主定級(jí)、自主保護(hù)、監(jiān)督指導(dǎo)一是：定級(jí)。一是：定級(jí)。

30、二是：備案。二是：備案。三是：建設(shè)、整改。三是：建設(shè)、整改。四是：等級(jí)測(cè)評(píng)。四是：等級(jí)測(cè)評(píng)。五是：定期開展監(jiān)督檢查五是：定期開展監(jiān)督檢查o 信息系統(tǒng)運(yùn)營(yíng)、使用單位依據(jù)信息系統(tǒng)運(yùn)營(yíng)、使用單位依據(jù)管理辦法管理辦法和和定級(jí)指南定級(jí)指南確定信息系統(tǒng)的安全保護(hù)確定信息系統(tǒng)的安全保護(hù)等級(jí)。由主管部門的，應(yīng)當(dāng)經(jīng)主管部門的等級(jí)。由主管部門的，應(yīng)當(dāng)經(jīng)主管部門的審核批準(zhǔn)。審核批準(zhǔn)。o 跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的可以由主管跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的可以由主管部門統(tǒng)一確定安全保護(hù)等級(jí)。部門統(tǒng)一確定安全保護(hù)等級(jí)。o 對(duì)擬定為四級(jí)以上的應(yīng)當(dāng)請(qǐng)國(guó)家信息安全對(duì)擬定為四級(jí)以上的應(yīng)當(dāng)請(qǐng)國(guó)家信息安全保護(hù)等級(jí)專家評(píng)審委員會(huì)評(píng)審。保護(hù)

31、等級(jí)專家評(píng)審委員會(huì)評(píng)審。o 信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)在其系統(tǒng)安信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)在其系統(tǒng)安全保護(hù)等級(jí)確定后，向當(dāng)?shù)赝?jí)公安機(jī)關(guān)全保護(hù)等級(jí)確定后，向當(dāng)?shù)赝?jí)公安機(jī)關(guān)提請(qǐng)備案提請(qǐng)備案o 備案時(shí)應(yīng)當(dāng)?shù)絺浒笝C(jī)關(guān)填寫備案登記表并備案時(shí)應(yīng)當(dāng)?shù)絺浒笝C(jī)關(guān)填寫備案登記表并按要求提交相關(guān)資料。按要求提交相關(guān)資料。 備案登記表備案登記表/ /系統(tǒng)體系系統(tǒng)體系/ /功能結(jié)構(gòu)圖功能結(jié)構(gòu)圖/ /系統(tǒng)系統(tǒng)安全保護(hù)方案或措施安全保護(hù)方案或措施/ /系統(tǒng)安全管理制度等系統(tǒng)安全管理制度等 信息系統(tǒng)備案信息是國(guó)家有關(guān)信息安全信息系統(tǒng)備案信息是國(guó)家有關(guān)信息安全職能部門了解和掌握重要信息系統(tǒng)的安全職能部門了解和掌握重要信息系

32、統(tǒng)的安全保護(hù)基本狀況、分析總體安全形勢(shì)的基礎(chǔ)保護(hù)基本狀況、分析總體安全形勢(shì)的基礎(chǔ)資料來(lái)源，也是下一步接受備案機(jī)關(guān)開展資料來(lái)源，也是下一步接受備案機(jī)關(guān)開展各項(xiàng)監(jiān)督檢查工作所必需的基本依據(jù)。各項(xiàng)監(jiān)督檢查工作所必需的基本依據(jù)。 新建系統(tǒng)：新建系統(tǒng)： 已有系統(tǒng)：已有系統(tǒng)：o定級(jí)是等級(jí)保護(hù)的定級(jí)是等級(jí)保護(hù)的首要環(huán)節(jié)首要環(huán)節(jié)o分等級(jí)保護(hù)是等級(jí)保護(hù)的分等級(jí)保護(hù)是等級(jí)保護(hù)的核心核心，o建設(shè)整改是等級(jí)保護(hù)工作落實(shí)的建設(shè)整改是等級(jí)保護(hù)工作落實(shí)的關(guān)鍵關(guān)鍵o等級(jí)測(cè)評(píng)是評(píng)價(jià)安全保護(hù)狀況的等級(jí)測(cè)評(píng)是評(píng)價(jià)安全保護(hù)狀況的方法方法o監(jiān)督檢查是保護(hù)能力不斷提高的監(jiān)督檢查是保護(hù)能力不斷提高的保障保障o 安全保護(hù)等級(jí)安全保護(hù)等級(jí) 等

33、級(jí)的確定是不依賴于安全保護(hù)措施的，具有等級(jí)的確定是不依賴于安全保護(hù)措施的，具有一定的一定的“客觀性客觀性”，即該系統(tǒng)在存在之初便由，即該系統(tǒng)在存在之初便由其自身所實(shí)現(xiàn)的使命決定了它的安全保護(hù)等級(jí)，其自身所實(shí)現(xiàn)的使命決定了它的安全保護(hù)等級(jí)，而非由而非由“后天后天”的安全保護(hù)措施決定。的安全保護(hù)措施決定。o關(guān)注點(diǎn)關(guān)注點(diǎn) 承擔(dān)社會(huì)責(zé)任，關(guān)系國(guó)家安全的信息系統(tǒng)的安危承擔(dān)社會(huì)責(zé)任，關(guān)系國(guó)家安全的信息系統(tǒng)的安危o重點(diǎn)保障重點(diǎn)保障 業(yè)務(wù)信息安全業(yè)務(wù)信息安全(S)(S) 系統(tǒng)服務(wù)連續(xù)系統(tǒng)服務(wù)連續(xù)(A)(A)o落實(shí)信息安全等級(jí)保護(hù)基本要求，確落實(shí)信息安全等級(jí)保護(hù)基本要求，確保系統(tǒng)保系統(tǒng)基本安全基本安全；o結(jié)合系

34、統(tǒng)自身安全需求，力求系統(tǒng)結(jié)合系統(tǒng)自身安全需求，力求系統(tǒng)相相對(duì)安全對(duì)安全。o 能夠抵御來(lái)自個(gè)人的、擁有很少資源的能夠抵御來(lái)自個(gè)人的、擁有很少資源的攻擊，防范一般的自然災(zāi)難、操作失誤、攻擊，防范一般的自然災(zāi)難、操作失誤、技術(shù)故障等對(duì)技術(shù)故障等對(duì)關(guān)鍵資源關(guān)鍵資源造成的損害，在造成的損害，在系統(tǒng)遭到損害后，能夠系統(tǒng)遭到損害后，能夠恢復(fù)主要功能恢復(fù)主要功能。o 能夠抵御來(lái)自外部小型組織的、擁有一定能夠抵御來(lái)自外部小型組織的、擁有一定資源的攻擊，防范一般的自然災(zāi)難、內(nèi)部資源的攻擊，防范一般的自然災(zāi)難、內(nèi)部人員惡意行為、操作失誤、技術(shù)故障等人員惡意行為、操作失誤、技術(shù)故障等對(duì)對(duì)重要資源重要資源造成的損害，能

35、夠發(fā)現(xiàn)重要的安造成的損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠能夠在一段時(shí)間內(nèi)恢復(fù)主要功能在一段時(shí)間內(nèi)恢復(fù)主要功能。o 能夠在統(tǒng)一安全策略下，抵御來(lái)自外部有能夠在統(tǒng)一安全策略下，抵御來(lái)自外部有組織的團(tuán)體、擁有較為豐富資源的攻擊，組織的團(tuán)體、擁有較為豐富資源的攻擊，防范較為嚴(yán)重的自然災(zāi)難、內(nèi)部人員惡意防范較為嚴(yán)重的自然災(zāi)難、內(nèi)部人員惡意行為、操作失誤、技術(shù)故障等對(duì)行為、操作失誤、技術(shù)故障等對(duì)主要資源主要資源造成的損害，能夠及時(shí)監(jiān)測(cè)發(fā)現(xiàn)安全漏洞造成的損害，能夠及時(shí)監(jiān)測(cè)發(fā)現(xiàn)安全漏洞和安全事件；具有一定的備份恢復(fù)能力，和安全事件；具有一定的備份恢

36、復(fù)能力，在系統(tǒng)遭到損害后，能夠在系統(tǒng)遭到損害后，能夠較快恢復(fù)絕大部較快恢復(fù)絕大部分功能分功能。o 能夠在統(tǒng)一安全策略下，抵御來(lái)自敵對(duì)組織能夠在統(tǒng)一安全策略下，抵御來(lái)自敵對(duì)組織的、擁有豐富資源的攻擊，防范嚴(yán)重的自然的、擁有豐富資源的攻擊，防范嚴(yán)重的自然災(zāi)難、內(nèi)部人員惡意行為、操作失誤、技術(shù)災(zāi)難、內(nèi)部人員惡意行為、操作失誤、技術(shù)故障等對(duì)故障等對(duì)資源資源造成的損害，能夠及時(shí)監(jiān)測(cè)發(fā)造成的損害，能夠及時(shí)監(jiān)測(cè)發(fā)現(xiàn)安全漏洞、跟蹤處置安全事件；具有較強(qiáng)現(xiàn)安全漏洞、跟蹤處置安全事件；具有較強(qiáng)的備份恢復(fù)能力，在系統(tǒng)遭到損害后，能夠的備份恢復(fù)能力，在系統(tǒng)遭到損害后，能夠迅速恢復(fù)所有功能迅速恢復(fù)所有功能?；疽笫鞘?/p>

37、么？基本要求是什么？1 1、安全保護(hù)能力的一個(gè)基本、安全保護(hù)能力的一個(gè)基本“標(biāo)尺標(biāo)尺”，是一個(gè)達(dá)，是一個(gè)達(dá)標(biāo)線；標(biāo)線；2 2、滿足基本要求意味著信息系統(tǒng)具有相應(yīng)等級(jí)的、滿足基本要求意味著信息系統(tǒng)具有相應(yīng)等級(jí)的基本安全保護(hù)能力，達(dá)到了一種基本的安全狀基本安全保護(hù)能力，達(dá)到了一種基本的安全狀態(tài)。態(tài)。3 3、基本要求是安全保護(hù)的出發(fā)點(diǎn)，不是終點(diǎn)。、基本要求是安全保護(hù)的出發(fā)點(diǎn)，不是終點(diǎn)。o信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息系統(tǒng)安全等級(jí)保護(hù)基本要求貫徹落實(shí)黨中央、國(guó)務(wù)院關(guān)于節(jié)能減貫徹落實(shí)黨中央、國(guó)務(wù)院關(guān)于節(jié)能減排工作部署，以實(shí)現(xiàn)重點(diǎn)污染物減排排工作部署，以實(shí)現(xiàn)重點(diǎn)污染物減排的目標(biāo)指標(biāo)為緊要任務(wù)的目標(biāo)指標(biāo)為

38、緊要任務(wù) ，為實(shí)現(xiàn)節(jié)能，為實(shí)現(xiàn)節(jié)能減排和環(huán)境保護(hù)工作目標(biāo)奠定基礎(chǔ)減排和環(huán)境保護(hù)工作目標(biāo)奠定基礎(chǔ)統(tǒng)計(jì)統(tǒng)計(jì)基基礎(chǔ)礎(chǔ)能力能力數(shù)數(shù)據(jù)據(jù)傳輸傳輸能能力力數(shù)數(shù)據(jù)共享能力據(jù)共享能力數(shù)數(shù)據(jù)據(jù)應(yīng)應(yīng)用能力用能力指指標(biāo)標(biāo)體系體系監(jiān)測(cè)監(jiān)測(cè)體系體系考核體系考核體系業(yè)務(wù)應(yīng)業(yè)務(wù)應(yīng)用支撐能力用支撐能力總總體目體目標(biāo)標(biāo)項(xiàng)項(xiàng)目目的目目的（1 1）在項(xiàng)目實(shí)施過(guò)程中貫徹落實(shí)工程標(biāo)準(zhǔn)規(guī)范；）在項(xiàng)目實(shí)施過(guò)程中貫徹落實(shí)工程標(biāo)準(zhǔn)規(guī)范；（2 2）建設(shè)省環(huán)境保護(hù)廳（局）到地市環(huán)境保護(hù)局，地市環(huán)境保護(hù)局到）建設(shè)省環(huán)境保護(hù)廳（局）到地市環(huán)境保護(hù)局，地市環(huán)境保護(hù)局到區(qū)縣環(huán)境保護(hù)局，以及省環(huán)境保護(hù)廳（局）到省直屬機(jī)構(gòu)、市環(huán)境保區(qū)縣環(huán)境保護(hù)局，以及省環(huán)境

39、保護(hù)廳（局）到省直屬機(jī)構(gòu)、市環(huán)境保護(hù)局到市直屬機(jī)構(gòu)的網(wǎng)絡(luò)系統(tǒng)，并通過(guò)國(guó)家電子政務(wù)外網(wǎng)實(shí)現(xiàn)與環(huán)境護(hù)局到市直屬機(jī)構(gòu)的網(wǎng)絡(luò)系統(tǒng)，并通過(guò)國(guó)家電子政務(wù)外網(wǎng)實(shí)現(xiàn)與環(huán)境保護(hù)部的連通；（直轄市為市、區(qū)縣兩級(jí)網(wǎng)絡(luò)）；保護(hù)部的連通；（直轄市為市、區(qū)縣兩級(jí)網(wǎng)絡(luò)）；（3 3）組織落實(shí)本?。ㄖ陛犑?、自治區(qū)）范圍內(nèi)網(wǎng)絡(luò)安全體系的建設(shè)和）組織落實(shí)本省（直轄市、自治區(qū)）范圍內(nèi)網(wǎng)絡(luò)安全體系的建設(shè)和省級(jí)省級(jí)CACA系統(tǒng)的建設(shè)；系統(tǒng)的建設(shè)；（4 4）組織所轄各級(jí)機(jī)構(gòu)接收部里統(tǒng)一下發(fā)的環(huán)境統(tǒng)計(jì)專項(xiàng)設(shè)備，保證）組織所轄各級(jí)機(jī)構(gòu)接收部里統(tǒng)一下發(fā)的環(huán)境統(tǒng)計(jì)專項(xiàng)設(shè)備，保證專項(xiàng)專用；專項(xiàng)專用；（5 5）準(zhǔn)備機(jī)房環(huán)境，組織所轄各級(jí)機(jī)構(gòu)接收并配合

40、部署部里統(tǒng)一采購(gòu)）準(zhǔn)備機(jī)房環(huán)境，組織所轄各級(jí)機(jī)構(gòu)接收并配合部署部里統(tǒng)一采購(gòu)的服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)、安全等設(shè)備和系統(tǒng)軟件；的服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)、安全等設(shè)備和系統(tǒng)軟件；（6 6）部署部里統(tǒng)一下發(fā)的省級(jí)綜合數(shù)據(jù)庫(kù)平臺(tái)和地理信息系統(tǒng)平臺(tái)；）部署部里統(tǒng)一下發(fā)的省級(jí)綜合數(shù)據(jù)庫(kù)平臺(tái)和地理信息系統(tǒng)平臺(tái)；組織所轄市、區(qū)縣部署部里統(tǒng)一下發(fā)的數(shù)據(jù)傳輸與交換平臺(tái)，建立組織所轄市、區(qū)縣部署部里統(tǒng)一下發(fā)的數(shù)據(jù)傳輸與交換平臺(tái)，建立數(shù)據(jù)交換傳輸體系，實(shí)現(xiàn)國(guó)家、省、下轄市、區(qū)縣的數(shù)據(jù)交換與共數(shù)據(jù)交換傳輸體系，實(shí)現(xiàn)國(guó)家、省、下轄市、區(qū)縣的數(shù)據(jù)交換與共享；享；（7 7）部署部里統(tǒng)一下發(fā)的省級(jí)減排應(yīng)用系統(tǒng)支撐平臺(tái)；在省級(jí)集中部）部署部

41、里統(tǒng)一下發(fā)的省級(jí)減排應(yīng)用系統(tǒng)支撐平臺(tái)；在省級(jí)集中部署環(huán)境統(tǒng)計(jì)業(yè)務(wù)系統(tǒng)、建設(shè)項(xiàng)目管理系統(tǒng)、減排數(shù)據(jù)管理與綜合分署環(huán)境統(tǒng)計(jì)業(yè)務(wù)系統(tǒng)、建設(shè)項(xiàng)目管理系統(tǒng)、減排數(shù)據(jù)管理與綜合分析系統(tǒng)，按照需要集成已有六個(gè)應(yīng)用系統(tǒng)；組織所轄市、區(qū)縣相關(guān)析系統(tǒng)，按照需要集成已有六個(gè)應(yīng)用系統(tǒng)；組織所轄市、區(qū)縣相關(guān)業(yè)務(wù)部門推廣應(yīng)用環(huán)境統(tǒng)計(jì)業(yè)務(wù)系統(tǒng)和建設(shè)項(xiàng)目管理系統(tǒng)。業(yè)務(wù)部門推廣應(yīng)用環(huán)境統(tǒng)計(jì)業(yè)務(wù)系統(tǒng)和建設(shè)項(xiàng)目管理系統(tǒng)。（8 8）組織建立省及所轄市、區(qū)縣運(yùn)維組織機(jī)構(gòu)，健全運(yùn)維制度，明確）組織建立省及所轄市、區(qū)縣運(yùn)維組織機(jī)構(gòu)，健全運(yùn)維制度，明確運(yùn)維人員，部署部里統(tǒng)一下發(fā)的運(yùn)行維護(hù)管理系統(tǒng)，建立省級(jí)運(yùn)維運(yùn)維人員，部署部里統(tǒng)一下發(fā)的運(yùn)行

42、維護(hù)管理系統(tǒng)，建立省級(jí)運(yùn)維管理平臺(tái)。管理平臺(tái)。省、自治省、自治區(qū)區(qū)直直轄轄市市o基本要求基本要求中相應(yīng)等級(jí)的要求是根據(jù)各等級(jí)系統(tǒng)需中相應(yīng)等級(jí)的要求是根據(jù)各等級(jí)系統(tǒng)需要對(duì)抗的威脅和應(yīng)具備的能力而確定的。判斷基本要要對(duì)抗的威脅和應(yīng)具備的能力而確定的。判斷基本要求是否達(dá)到應(yīng)按此原則分析。求是否達(dá)到應(yīng)按此原則分析。o基本要求基本要求給出了各級(jí)信息系統(tǒng)每一保護(hù)方面需達(dá)給出了各級(jí)信息系統(tǒng)每一保護(hù)方面需達(dá)到的要求，但不是具體的安全建設(shè)整改方案或作業(yè)指到的要求，但不是具體的安全建設(shè)整改方案或作業(yè)指導(dǎo)書，實(shí)現(xiàn)基本要求的措施或方式并不局限于導(dǎo)書，實(shí)現(xiàn)基本要求的措施或方式并不局限于基本基本要求要求給出的內(nèi)容，要結(jié)合

43、系統(tǒng)自身的特點(diǎn)綜合考慮給出的內(nèi)容，要結(jié)合系統(tǒng)自身的特點(diǎn)綜合考慮采取的措施來(lái)達(dá)到基本要求提出的保護(hù)能力采取的措施來(lái)達(dá)到基本要求提出的保護(hù)能力oA A點(diǎn)點(diǎn)B B點(diǎn)，點(diǎn)，500KM 5H500KM 5Ho 飛機(jī)飛機(jī) OKOKo 火車火車 OKOKo 汽車汽車 OKOKo 自行車自行車 NONOo 內(nèi)容與作用內(nèi)容與作用n為信息系統(tǒng)主管和運(yùn)營(yíng)、使用單位提供為信息系統(tǒng)主管和運(yùn)營(yíng)、使用單位提供技術(shù)指導(dǎo)技術(shù)指導(dǎo)n為測(cè)評(píng)機(jī)構(gòu)提供為測(cè)評(píng)機(jī)構(gòu)提供測(cè)評(píng)依據(jù)測(cè)評(píng)依據(jù)n為監(jiān)管職能部門提供為監(jiān)管職能部門提供監(jiān)督檢查依據(jù)監(jiān)督檢查依據(jù)o 適用環(huán)節(jié)適用環(huán)節(jié)n建設(shè)整改、驗(yàn)收、測(cè)評(píng)、運(yùn)維、檢查建設(shè)整改、驗(yàn)收、測(cè)評(píng)、運(yùn)維、檢查o 控制

44、點(diǎn)標(biāo)注控制點(diǎn)標(biāo)注n 業(yè)務(wù)信息安全相關(guān)要求（標(biāo)記為業(yè)務(wù)信息安全相關(guān)要求（標(biāo)記為S S）n 系統(tǒng)服務(wù)保證相關(guān)要求（標(biāo)記為系統(tǒng)服務(wù)保證相關(guān)要求（標(biāo)記為A A）n 通用安全保護(hù)要求（標(biāo)記為通用安全保護(hù)要求（標(biāo)記為G G） n 技術(shù)要求（技術(shù)要求（3 3種標(biāo)注）種標(biāo)注）n 管理要求（統(tǒng)屬管理要求（統(tǒng)屬G G）o 第一級(jí)第一級(jí) S1A1G1S1A1G1o 第二級(jí)第二級(jí) S1A2G2S1A2G2，S2A2G2S2A2G2，S2A1G2S2A1G2o 第三級(jí)第三級(jí) S1A3G3S1A3G3，S2A3G3S2A3G3，S3A3G3S3A3G3，S3A2G3S3A2G3，S3A1G3S3A1G3o 第四級(jí)第四級(jí)

45、S1A4G4S1A4G4，S2A4G4S2A4G4，S3A4G4S3A4G4，S4A4G4S4A4G4，S4A3G4S4A3G4，S4A2G4S4A2G4，S4A1G4S4A1G4o落實(shí)信息安全等級(jí)保護(hù)基本要求，確落實(shí)信息安全等級(jí)保護(hù)基本要求，確保系統(tǒng)保系統(tǒng)基本安全基本安全；o結(jié)合系統(tǒng)自身安全需求，力求系統(tǒng)結(jié)合系統(tǒng)自身安全需求，力求系統(tǒng)相相對(duì)安全對(duì)安全。物理安全物理安全技術(shù)要求技術(shù)要求管理要求管理要求基本要求基本要求網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全主機(jī)安全主機(jī)安全應(yīng)用安全應(yīng)用安全數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)安全及備份恢復(fù)安全管理安全管理制度制度安全管理安全管理機(jī)構(gòu)機(jī)構(gòu)人員安全管理人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理

46、系統(tǒng)運(yùn)維管理系統(tǒng)運(yùn)維管理類類信息系統(tǒng)安全管理建設(shè)信息系統(tǒng)安全管理建設(shè)信息系統(tǒng)安全技術(shù)建設(shè)信息系統(tǒng)安全技術(shù)建設(shè)開展信息系統(tǒng)安全自查和等級(jí)測(cè)評(píng)開展信息系統(tǒng)安全自查和等級(jí)測(cè)評(píng)信息系統(tǒng)安全需求分析信息系統(tǒng)安全需求分析/ /相應(yīng)級(jí)別的要求相應(yīng)級(jí)別的要求確定安全策略，制定安全建設(shè)方案確定安全策略，制定安全建設(shè)方案物物 理理 安安 全全網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全主主 機(jī)機(jī) 安安 全全應(yīng)應(yīng) 用用 安安 全全數(shù)數(shù) 據(jù)據(jù) 安安 全全安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)安全管理制度安全管理制度人員安全管理人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)行管理系統(tǒng)運(yùn)行管理信息系統(tǒng)安全技術(shù)體系設(shè)計(jì)信息系統(tǒng)安全技術(shù)體系設(shè)計(jì)物理安全設(shè)計(jì)物理安全

47、設(shè)計(jì)數(shù)據(jù)安全設(shè)計(jì)數(shù)據(jù)安全設(shè)計(jì)備份與恢復(fù)備份與恢復(fù)應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)應(yīng)用平臺(tái)應(yīng)用平臺(tái)其他安全設(shè)計(jì)其他安全設(shè)計(jì)機(jī)房機(jī)房辦公環(huán)境辦公環(huán)境設(shè)備和介質(zhì)設(shè)備和介質(zhì)網(wǎng)絡(luò)安全設(shè)計(jì)網(wǎng)絡(luò)安全設(shè)計(jì)通信網(wǎng)絡(luò)通信網(wǎng)絡(luò)區(qū)網(wǎng)邊界區(qū)網(wǎng)邊界主機(jī)安全設(shè)計(jì)主機(jī)安全設(shè)計(jì)應(yīng)用安全設(shè)計(jì)應(yīng)用安全設(shè)計(jì)服務(wù)器服務(wù)器工作站工作站其他安全設(shè)計(jì)其他安全設(shè)計(jì)其他安全設(shè)計(jì)其他安全設(shè)計(jì)其他安全設(shè)計(jì)其他安全設(shè)計(jì)o 身份鑒別身份鑒別o 訪問(wèn)控制訪問(wèn)控制o 安全審計(jì)安全審計(jì)o 數(shù)據(jù)完整性數(shù)據(jù)完整性o 數(shù)據(jù)保密性數(shù)據(jù)保密性o 數(shù)據(jù)可用性數(shù)據(jù)可用性o 病毒防范病毒防范o 入侵檢測(cè)入侵檢測(cè)o 安全監(jiān)控安全監(jiān)控o 備份與恢復(fù)備份與恢復(fù)o 密碼使用密碼使用o 等等等等o

48、確定安全策略確定安全策略o 落實(shí)信息安全責(zé)任制落實(shí)信息安全責(zé)任制o 建立安全組織機(jī)構(gòu)建立安全組織機(jī)構(gòu)o 加強(qiáng)人員管理加強(qiáng)人員管理o 加強(qiáng)加強(qiáng)系統(tǒng)建設(shè)系統(tǒng)建設(shè)的安全管理的安全管理o 加強(qiáng)加強(qiáng)運(yùn)行維護(hù)的安全管理運(yùn)行維護(hù)的安全管理o 物理安全是指對(duì)信息系統(tǒng)所涉及到的物理安全是指對(duì)信息系統(tǒng)所涉及到的主機(jī)房、主機(jī)房、輔助機(jī)房、辦公環(huán)境輔助機(jī)房、辦公環(huán)境等進(jìn)行物理安全保護(hù)。具等進(jìn)行物理安全保護(hù)。具體關(guān)注內(nèi)容包括：物理位置的選擇、物理訪問(wèn)體關(guān)注內(nèi)容包括：物理位置的選擇、物理訪問(wèn)控制、防盜竊和防破壞、防雷擊、防火、防水控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電和防潮、防靜

49、電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等方面磁防護(hù)等方面序號(hào)安全關(guān)注點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)1物理位置的選擇01222物理訪問(wèn)控制1244+3防盜竊和防破壞256+64防雷擊12335防火11+3+36防水和防潮23447防靜電01238溫濕度控制11+119電力供應(yīng)124410電磁防護(hù)0133+合計(jì)9193233o 網(wǎng)絡(luò)安全是指對(duì)信息系統(tǒng)所涉及的網(wǎng)絡(luò)安全是指對(duì)信息系統(tǒng)所涉及的通信網(wǎng)絡(luò)、網(wǎng)絡(luò)通信網(wǎng)絡(luò)、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)區(qū)域和網(wǎng)絡(luò)設(shè)備邊界、網(wǎng)絡(luò)區(qū)域和網(wǎng)絡(luò)設(shè)備等進(jìn)行安全保護(hù)。具體等進(jìn)行安全保護(hù)。具體關(guān)注內(nèi)容包括通信過(guò)程數(shù)據(jù)完整性、通信過(guò)程數(shù)據(jù)關(guān)注內(nèi)容包括通信過(guò)程數(shù)據(jù)完整性、通信過(guò)程數(shù)據(jù)保密性、保證通信可靠性的設(shè)

50、備和線路冗余、區(qū)域保密性、保證通信可靠性的設(shè)備和線路冗余、區(qū)域網(wǎng)絡(luò)的邊界保護(hù)、區(qū)域劃分、身份認(rèn)證、訪問(wèn)控制網(wǎng)絡(luò)的邊界保護(hù)、區(qū)域劃分、身份認(rèn)證、訪問(wèn)控制、安全審計(jì)、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備、安全審計(jì)、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備自身保護(hù)和網(wǎng)絡(luò)的網(wǎng)絡(luò)管理等方面自身保護(hù)和網(wǎng)絡(luò)的網(wǎng)絡(luò)管理等方面序號(hào)安全關(guān)注點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)1網(wǎng)絡(luò)結(jié)構(gòu)安全34+772網(wǎng)絡(luò)訪問(wèn)控制34+843網(wǎng)絡(luò)安全審計(jì)02464邊界完整性檢查01225網(wǎng)絡(luò)入侵防范0122+6惡意代碼防范00227網(wǎng)絡(luò)設(shè)備防護(hù)3689合計(jì)9183332o 主機(jī)安全是指對(duì)信息系統(tǒng)涉及到的主機(jī)安全是指對(duì)信息系統(tǒng)涉及到的服務(wù)器和工服務(wù)器和工作站作站

51、進(jìn)行主機(jī)系統(tǒng)安全保護(hù)。具體關(guān)注內(nèi)容包進(jìn)行主機(jī)系統(tǒng)安全保護(hù)。具體關(guān)注內(nèi)容包括操作系統(tǒng)或數(shù)據(jù)庫(kù)管理系統(tǒng)的選擇、安裝和括操作系統(tǒng)或數(shù)據(jù)庫(kù)管理系統(tǒng)的選擇、安裝和安全配置、主機(jī)入侵防范、惡意代碼防范、資安全配置、主機(jī)入侵防范、惡意代碼防范、資源使用和運(yùn)行情況監(jiān)控等。其中，安全配置細(xì)源使用和運(yùn)行情況監(jiān)控等。其中，安全配置細(xì)分為身份鑒別、訪問(wèn)控制、安全審計(jì)等方面的分為身份鑒別、訪問(wèn)控制、安全審計(jì)等方面的配置內(nèi)容配置內(nèi)容序號(hào)安全關(guān)注點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)1身份鑒別15672安全標(biāo)記00013訪問(wèn)控制34764可信路徑00025安全審計(jì)046+7+6剩余信息保護(hù)00227入侵防范11338惡意代碼防范12339資源

52、控制0355合計(jì)6193236o 應(yīng)用安全是指對(duì)信息系統(tǒng)涉及到的應(yīng)用安全是指對(duì)信息系統(tǒng)涉及到的應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)進(jìn)進(jìn)行安全保護(hù)。具體關(guān)注內(nèi)容包括應(yīng)用系統(tǒng)實(shí)現(xiàn)行安全保護(hù)。具體關(guān)注內(nèi)容包括應(yīng)用系統(tǒng)實(shí)現(xiàn)身份鑒別、訪問(wèn)控制、安全審計(jì)、剩余信息保身份鑒別、訪問(wèn)控制、安全審計(jì)、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯(cuò)和資源控制等功能方面容錯(cuò)和資源控制等功能方面序號(hào)安全關(guān)注點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)1身份鑒別34552安全標(biāo)記00013訪問(wèn)控制24654可信路徑00025安全審計(jì)03456剩余信息保護(hù)00227通信完整性11+1+18通信保密性022+39抗抵賴0

53、02210軟件容錯(cuò)122311資源控制0377合計(jì)7193136o 數(shù)據(jù)安全是指對(duì)信息系統(tǒng)中業(yè)務(wù)數(shù)據(jù)的傳輸、存儲(chǔ)和備份恢復(fù)進(jìn)行安全保護(hù)。具體關(guān)注內(nèi)容包括數(shù)據(jù)備份系統(tǒng)、冗余備用設(shè)備以及備份恢復(fù)相關(guān)技術(shù)設(shè)施等方面序號(hào)安全關(guān)注點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)1數(shù)據(jù)完整性11232數(shù)據(jù)保密性01233數(shù)據(jù)備份與恢復(fù)1245合計(jì)24811o 安全管理結(jié)構(gòu)是指安全管理結(jié)構(gòu)是指明確領(lǐng)導(dǎo)機(jī)構(gòu)和責(zé)任部門明確領(lǐng)導(dǎo)機(jī)構(gòu)和責(zé)任部門。設(shè)立或明確信息安全領(lǐng)導(dǎo)機(jī)構(gòu)，明確主管領(lǐng)導(dǎo)設(shè)立或明確信息安全領(lǐng)導(dǎo)機(jī)構(gòu)，明確主管領(lǐng)導(dǎo)，落實(shí)責(zé)任部門，建立崗位和人員管理制度，落實(shí)責(zé)任部門，建立崗位和人員管理制度，根據(jù)職責(zé)分工，分別設(shè)置安全管理機(jī)構(gòu)和崗位根據(jù)職責(zé)分工，分別設(shè)置安全管理機(jī)構(gòu)和崗位，明確每個(gè)崗位的職責(zé)與任務(wù)，落實(shí)安全管理，明確每個(gè)崗位的職責(zé)與任務(wù)，落實(shí)安全管理責(zé)任制責(zé)任制序號(hào)安全關(guān)注點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)1崗位設(shè)置12442人員配備12333授權(quán)和審批12444溝通和合作12555審核和檢查0144合計(jì)492020o 安全管理制度是指安全管理制度是指確定安