附录:
信息安全等级保护主要标准简要说明
为推动我国信息安全等级保护工作的开展,十多年来,在公安部的领导和支持下,在国内有关专家、企业的共同努力下,全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准,形成了比较完整的信息安全等级保护标准体系,为开展信息安全等级保护工作奠定了基础。
为便于各有关单位全面、准确了解掌握信息安全等级保护有关标准,更好地指导等级保护工作,在总结近年来等级保护工作实践基础上,公安部组织专家和标准起草单位编写了信息安全等级保护主要标准简要说明,第一部分梳理了与等级保护工作相关的标准,第二部分从标准的主要用途、主要内容和使用说明三方面进行阐述,供有关单位和部门在工作中参考。
1 信息安全等级保护相关标准体系
信息安全等级保护相关标准大致可以分为四类:基础类、应用类、产品类和其他类。
1.1基础类标准
《计算机信息系统安全保护等级划分准则》(GB17859-1999)
《信息系统安全等级保护基本要求》(GB/T 22239-2008)。
1.2 应用类标准
1.2.1 信息系统定级
《信息系统安全保护等级定级指南》(GB/T 22240-2008)
1.2.2 等级保护实施
《信息系统安全等级保护实施指南》(信安字[2007]10号)
1.2.3 信息系统安全建设
《信息系统通用安全技术要求》(GB/T 20271-2006)
《信息系统等级保护安全设计技术要求》(信安秘字[2009]059号)
《信息系统安全管理要求》(GB/T 20269-2006)
《信息系统安全工程管理要求》(GB/T 20282-2006)
《信息系统物理安全技术要求》(GB/T 21052-2007)
《网络基础安全技术要求》(GB/T 20270-2006)
《信息系统安全等级保护体系框架》(GA/T 708-2007)
《信息系统安全等级保护基本模型》(GA/T 709-2007)
《信息系统安全等级保护基本配置》(GA/T 710-2007)
1.2.4 等级测评
《信息系统安全等级保护测评要求》(报批稿)
《信息系统安全等级保护测评过程指南》(报批稿)
《信息系统安全管理测评》(GA/T 713-2007)
1.3 产品类标准
1.3.1 操作系统
《操作系统安全技术要求》(GB/T 20272-2006)
《操作系统安全评估准则》(GB/T 20008-2005)
1.3.2 数据库
《数据库管理系统安全技术要求》(GB/T 20273-2006)
《数据库管理系统安全评估准则》(GB/T 20009-2005)
1.3.3 网络
《网络端设备隔离部件技术要求》(GB/T 20279-2006)
《网络端设备隔离部件测试评价方法》(GB/T 20277-2006)
《网络脆弱性扫描产品技术要求》(GB/T 20278-2006)
《网络脆弱性扫描产品测试评价方法》(GB/T 20280-2006)
《网络交换机安全技术要求》(GA/T 684-2007)
《虚拟专用网安全技术要求》(GA/T 686-2007)
1.3.4 PKI
《公钥基础设施安全技术要求》(GA/T 687-2007)
《PKI系统安全等级保护技术要求》(GB/T 21053-2007)
1.3.5 网关
《网关安全技术要求》(GA/T 681-2007)
1.3.6 服务器
《服务器安全技术要求》(GB/T 21028-2007)
1.3.7 入侵检测
《入侵检测系统技术要求和检测方法》(GB/T 20275-2006)
《计算机网络入侵分级要求》(GA/T 700-2007)
1.3.8 防火墙
《防火墙安全技术要求》(GA/T 683-2007)
《防火墙技术测评方法》(报批稿)
《信息系统安全等级保护防火墙安全配置指南》(报批稿)
《防火墙技术要求和测评方法》(GB/T 20281-2006)
《包过滤防火墙评估准则》(GB/T 20010-2005)
1.3.9 路由器
《路由器安全技术要求》(GB/T 18018-2007)
《路由器安全评估准则》(GB/T 20011-2005)
《路由器安全测评要求》(GA/T 682-2007)
1.3.10 交换机
《网络交换机安全技术要求》(GB/T 21050-2007)
《交换机安全测评要求》(GA/T 685-2007)
1.3.11 其他产品
《终端计算机系统安全等级技术要求》(GA/T 671-2006)
《终端计算机系统测评方法》(GA/T 671-2006)
《审计产品技术要求和测评方法》(GB/T 20945-2006)
《虹膜特征识别技术要求》(GB/T 20979-2007)
《虚拟专网安全技术要求》(GA/T 686-2007)
《应用软件系统安全等级保护通用技术指南》(GA/T 711-2007)
《应用软件系统安全等级保护通用测试指南》(GA/T 712-2007)
《网络和终端设备隔离部件测试评价方法》(GB/T 20277-2006)
《网络脆弱性扫描产品测评方法》(GB/T 20280-2006)
1.4 其他类标准
1.4.1 风险评估
《信息安全风险评估规范》(GB/T 20984-2007)
1.4.2 事件管理
《信息安全事件管理指南》(GB/Z 20985-2007)
《信息安全事件分类分级指南》(GB/Z 20986-2007)
《信息系统灾难恢复规范》(GB/T 20988-2007)
各类标准在等级保护各工作环节中的关系如图1所示:
图1:信息安全等级保护相关标准体系(略)
2 信息安全等级保护主要标准简要说明
现将信息安全等级保护标准体系中比较重要的《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护定级指南》、《信息系统安全管理要求》、《信息系统通用安全技术要求》、《信息系统等级保护安全设计技术要求》、《信息系统安全工程管理要求》、《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》等十个标准作一简要说明。
2.1 《计算机信息系统安全保护等级划分准则》(GB17859-1999)
2.1.1 主要用途
本标准对计算机信息系统的安全保护能力划分了五个等级,并明确了各个保护级别的技术保护措施要求。本标准是国家强制性技术规范,其主要用途包括:一是用于规范和指导计算机信息系统安全保护有关标准的制定;二是为安全产品的研究开发提供技术支持;三是为计算机信息系统安全法规的制定和执法部门的监督检查提供依据。
2.1.2 主要内容
本标准界定了计算机信息系统的基本概念:计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的、按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
信息系统安全保护能力五级划分。信息系统按照安全保护能力划分为五个等级:第一级用户自主保护级,第二级系统审计保护级,第三级安全标记保护级,第四级结构化保护级,第五级访问验证保护级。
从自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复等十个方面,采取逐级增强的方式提出了计算机信息系统的安全保护技术要求。
2.1.3 使用说明
本标准是等级保护的基础性标准,其提出的某些安全保护技术要求受限于当前技术水平尚难以实现,但其构造的安全保护体系应随着科学技术的发展逐步落实。
2.2 《信息系统安全等级保护基本要求》(GB/T22239-2008)
2.2.1 主要用途
根据《
信息安全等级保护管理办法》的规定,信息系统按照重要性和被破坏后对国家安全、社会秩序、公共利益的危害性分为五个安全保护等级。不同安全保护等级的信息系统有着不同的安全需求,为此,针对不同等级的信息系统提出了相应的基本安全保护要求,各个级别信息系统的安全保护要求构成了《信息系统安全等级保护基本要求》(以下简称《基本要求》)。《基本要求》以《计算机信息系统安全保护等级划分准则》(GB17859-1999)为基础研究制定,提出了各级信息系统应当具备的安全保护能力,并从技术和管理两方面提出了相应的措施,为信息系统建设单位和运营使用单位在系统安全建设中提供参照。
