|
|
知识路径: > 法律法规和标准规范 > 系统集成常用技术标准 >
|
|
相关知识点:115个
|
|
|
|
|
《GB/T 22239—2008信息安全技术信息系统安全等级保护基本要求》包含以下重点内容。
|
|
|
|
|
|
信息系统根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高划分为五级。
|
|
|
|
第一级安全保护能力:应能够防护系统免受来自个人的、拥有很少资源的威胁发起的恶意攻击,一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,并且在系统遭到损害后,能够恢复部分功能。
|
|
|
|
第二级安全保护能力:应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁发起的恶意攻击,一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。
|
|
|
|
第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富的资源资源的威胁发起的恶意攻击,较为严重的自然灾难,以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。
|
|
|
|
第四级安全保护能力:应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁发起的恶意攻击,严重的自然灾难,以及其他相当危害程度的威胁所造成的资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够迅速恢复所有功能。
|
|
|
|
|
|
|
|
基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的基本要求。根据实现方式不同,基本安全要求分为基本技术要求和基本管理要求。技术类安全要求与信息系统管理提供的技术安全机制相关,主要通过在信息系统中部署软硬件并正确配置其安全功能来实现;管理类安全要求与信息系统中各种角色参与的活动相关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。
|
|
|
|
基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出;基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出。基本技术要求和基本管理要求是信息安全不可分割的两个方面。
|
|
|
|
根据保护侧重点不同,技术类安全要求进一步细分为:保护数据存储、传输、处理过程中不被泄露、破坏和免受未授权的修改的信息安全类要求(简记为S);保护系统连续正常运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);通用安全保护类要求(简记为G)。
|
|
|
