信息安全等级保护技术交流材料

信息安全等级保护技术

11提纲等级保护总体介绍2等级保护定级介绍1等级保护设计实施3等级保护系统测评42什么是信息安全等级保护信息安全等级保护，是指对国家秘密信息及公民、法人和其他组织的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

－－《信息安全等级保护管理办法（试行）》

3等级保护的政策法规《中华人民共和国计算机信息系统安全保护条例》（1994年）其中规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”

信息系统安全等级保护的政策法规《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）《信息安全等级保护管理办法》（公通字[2007]43号）《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）《关于印发北京市开展信息安全等级保护工作的实施方案的通知》(京公网监字[2007]788号)

4等级保护的技术标准和管理规范基础标准：《计算机信息系统安全等级保护划分准则》（GB17859）基线标准：《信息系统安全等级保护基本要求》（国标报批稿）辅助标准：《信息系统安全等级保护定级指南》（国标报批稿）《信息系统安全等级保护实施指南》（国标报批稿）《信息系统安全等级保护测评要求》（国标报批稿）目标标准：《信息系统通用安全技术要求》（GB/T20271）《网络基础安全技术要求》（GB/T20270）《操作系统安全技术要求》（GB/T20272）《数据库管理系统安全技术要求》（GB/T20273）《终端计算机系统安全等级技术要求》（GA/T671）《信息系统安全管理要求》（GB/T20269）《信息系统安全工程管理要求》（GB/T20282）5技术标准和管理规范的作用技术标准和管理规范信息系统定级信息系统安全建设或改建安全状况达到等级保护要求的信息系统6等级变更局部调整信息系统定级总体安全规划安全设计与实施安全运行维护信息系统终止信息系统安全等级保护流程安全等级评测7标准规范在等级保护流程中的作用安全控制定级指南过程方法确定系统等级启动采购/开发实施运行/维护废弃确定安全需求设计安全方案安全建设安全测评监督管理运行维护暂不考虑特殊需求等级需求基本要求产品使用选型监督管理测评准则流程方法监管流程应急预案应急响应8三种受侵害的客体体现了三种不同层次、不同覆盖范围的社会关系国家安全体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全和资源环境安全等方面利益。社会秩序和公共利益包括社会的政治、经济、生产、生活、科研、工作等各方面的正常秩序。公共利益是指不特定的社会成员所共同享有的，维持其生产、生活、教育、卫生等方面的利益。合法权益是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益，三类受侵害客体9定级要素与安全保护等级的关系受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级10安全全保保护护等等级级的的划划分分1111提纲纲等级级保保护护总总体体介介绍绍1等级级保保护护定定级级介介绍绍等级级保保护护设设计计实实施施32等级级保保护护系系统统测测评评412信息息系系统统安安全全保保护护等等级级定定级级原原则则等级级确确定定原原则则和和要要求求“自主主定定级级、、自自主主保保护护”与与国家家监监管管相统统一一原原则则“谁主主管管谁谁负负责责，，谁谁运运营营谁谁负负责责”的的原原则则定级级工工作作的的要要求求加强强领领导导，，落落实实保保障障明确确责责任任，，密密切切配配合合动员员部部署署，，开开展展培培训训及时时总总结结，，提提出出建建议议13S类—业务务信信息息安安全全保保护护类类，关关注注的的是是保保护护数数据据在在存存储储、、传传输输、、处处理理过过程程中中不不被被泄泄漏漏、、破破坏坏和和免免受受未未授授权权的的修修改改A类—系统统服服务务安安全全保保护护类类，关关注注的的是是保保护护系系统统连连续续正正常常的的运运行行，，避避免免因因对对系系统统的的未未授授权权修修改改、、破破坏坏而而导导致致系系统统不不可可用用G类—通用用安安全全保保护护类类，既既关关注注保保护护业业务务信信息息的的安安全全性性，，同同时时也也关关注注保保护护系系统统的的连连续续可可用用性性例如如，，以以S2表示示2级的的业业务务信信息息安安全全保保护护类类要要求求，，A3表示示3级的的系系统统服服务务安安全全保保护护类类要要求求。。信息系统三类类要求14信息系统三类类要求之间的的关系通用安全保护护类要求（G）业务信息安全全类（S）系统服务保证证类（A）安全要求15信息系统安全全保护等级的的确定1、确定定级对对象3、综合评定对对客体的侵害害程度2、确定业务信信息安全受到到破坏时所侵侵害的客体4、业务信息安安全等级6、综合评定对对客体的侵害害程度5、确定系统服服务安全受到到破坏时所侵侵害的客体7、系统服务安安全等级8、定级对象的的安全保护等等级16安全保护和系系统定级的关关系安全等级信息系统保护要求的组合第一级S1A1G1第二级S1A2G2，S2A2G2，S2A1G2第三级S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四级S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4定级指南要求求按照“业务务信息”和““系统服务””的需求确定定整个系统的的安全保护等等级系统的安全保保护等级=L(信息等级，服服务等级)=Max(信息等级，服服务等级）例如：L(3,1)=L(3,2)=L(3,3)=L(1,3)=L(2,3)=31717提纲等级保护总体体介绍1等级保护定级级介绍等级保护设计计实施23等级保护系统统测评418《基本要求》》的作用安全保护能力力基本安全要求求每个等级的信信息系统基本技术措施施基本管理措施施具备包含包含满足满足实现19《基本要求》核心思路信息系统技术要求管理要求基本要求建立安全技术术体系建立安全管理理体系具有某级安全全保护能力的的系统20各级系统的保保护要求差异异（宏观）一级系统二级系统三级系统四级系统防护防护/监测策略/防护/监测/恢复策略/防护/监测/恢复/响应21各级系统的保保护要求差异异（宏观）一级系统二级系统三级系统四级系统通信/边界（基本））通信/边界/内部（关键设设备）通信/边界/内部（主要设设备）通信/边界/内部/基础设施（所所有设备）22各级系统的保保护管理要求求差异（宏观观）一级系统二级系统三级系统四级系统计划和跟踪（（主要制度））计划和跟踪（（主要制度））良好定义（管管理活动制度度化）持续改进（管管理活动制度度化/及时改进）23各级系统的保保护要求差异异（微观）信息系统物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构构安全管理制度度人员安全管理理系统建设管理理系统运维管理理24各级系统安全全保护要求-物理安全控制点一级二级三级四级物理位置的选择***物理访问控制****防盗窃和防破坏****防雷击****防火****防水和防潮****防静电***温湿度控制****电力供应****电磁防护***合计710101025各级系统安全全保护要求-物理安全一级物理安全全要求：主要要求对对物理环境进进行基本的防防护，对出入入进行基本控控制，环境安安全能够对自自然威胁进行行基本的防护护，电力则要要求提供供电电电压的正常常。二级物理安全全要求：对物理安全全进行了进一一步的防护，，不仅对出入入进行基本的的控制，对进进入后的活动动也要进行控控制；物理环环境方面，则则加强了各方方面的防护，，采取更细的的要求来多方方面进行防护护。三级物理安全全要求：对出入加强强了控制，做做到人、电子子设备共同监监控；物理环环境方面，进进一步采取各各种控制措施施来进行防护护。如，防火火要求，不仅仅要求自动消消防系统，而而且要求区域域隔离防火，，建筑材料防防火等方面，，将防火的范范围增大，从从而使火灾发发生的几率和和损失降低。。四级物理安全全要求：对机房出入入的要求进一一步增强，要要求多道电子子设备监控；；物理环境方方面，要求采采用一定的防防护设备进行行防护，如静静电消除装置置等。26各级系统安全全保护要求-网络安全控制点一级二级三级四级结构安全****访问控制****安全审计***边界完整性检查***入侵防范***恶意代码防范**网络设备防护****合计367727各级系统安全全保护要求-网络安全一级网络安全全要求：主要提供网网络安全运行行的基本保障障，包括网络络结构能够基基本满足业务务运行需要，，网络边界处处对进出的数数据包头进行行基本过滤等等访问控制措措施。二级网络安全全要求：不仅要满足足网络安全运运行的基本保保障，同时还还要考虑网络络处理能力要要满足业务极极限时的需要要。对网络边边界的访问控控制粒度进一一步增强。同同时，加强了了网络边界的的防护，增加加了安全审计、边边界完整性检检查、入侵防防范等控制点。对对网络设备的的防护不仅局局限于简单的的身份鉴别，，同时对标识识和鉴别信息息都有了相应应的要求。三级网络安全全要求：对网络处理理能力增加了了“优先级””考虑，保证证重要主机能能够在网络拥拥堵时仍能够够正常运行；；网络边界的的访问控制扩扩展到应用层层，网络边界界的其他防护护措施进一步步增强，不仅仅能够被动的的“防”，还还应能够主动动发出一些动动作，如报警警、阻断等。。网络设备的的防护手段要要求两种身份份鉴别技术综综合使用。四级网络安全全要求：对网络边界界的访问控制制做出了更为为严格的要求求，禁止远程程拨号访问，，不允许数据据带通用协议议通过；边界界的其他防护护措施也加强强了要求。网网络安全审计计着眼于全局局，做到集中中审计分析，，以便得到更更多的综合信信息。网络设设备的防护，，在身份鉴别别手段上除要要求两种技术术外，其中一一种鉴别技术术必须是不可可伪造的，进进一步加强了了对网络设备备的防护。28网络安全程度度说明结构安全：1级提供基本保保障；2级要满足高峰峰需要并以网网段形式分隔隔；3级增加优先级保障重要主机机；4级同3级访问控制：1级进行包头信信息的过滤；；2级根据会话过过滤、粒度细细化、限制访访问用户数量量；3级过滤粒度扩扩展到了应用用层，对设备备接入网络进进行控制；4级对数据协议以及及敏感标记进进行控制，禁止远程拨拨号访问安全审计：2级记录设备运运行和网络流流量；3级要求分析形形成报表、保保护审计记录录；4级设置审计跟跟踪极限阈值值，做到集中中审计。（其其中要求发出报警、阻阻断工作）29网络安全程度度说明边界完整性检检查：2级检测到内部部的非法联出出情况；3级能够准确定位并阻阻断；4级同3级入侵防范：2级能够检测常常见攻击的发发生；3级能发出报警警；4级自动采取相相应动作阻断恶意代码防范范：3级、4级在网络边界界处防范恶意意代码，并保保持代码库的的及时更新网络设备防护护：1级基本的登录录鉴别；2级鉴别标识唯唯一、鉴别信信息复杂；；3级两种以上鉴鉴别技术，特特权用户权限限分离；4级其中一种鉴鉴别技术为是是不可伪造的的30各级系统安全全保护要求-主机安全控制点一级二级三级四级身份鉴别****安全标记*访问控制****可信路径*安全审计***剩余信息保护**入侵防范****恶意代码防范****资源控制***合计467931各级系统安全全保护要求-主机安全一级主机系统统安全要求：：对主机进行基基本的防护，，要求主机做做到简单的身身份鉴别，粗粗粒度的访问问控制以及重重要主机能够够进行恶意代代码防范。二级主机系统统安全要求：：在控制点上增增加了安全审计和资资源控制等。同时，对对身份鉴别和和访问控制都都进一步加强强，鉴别的标标识、信息等等都提出了具具体的要求；；访问控制的的粒度进行了了细化等，恶恶意代码增加加了统一管理理等。三级主机系统统安全要求：在控制点上上增加了剩余信息保护护，即，访问控控制增加了设设置敏感标记记等，力度变变强。同样，，身份鉴别的的力度进一步步增强，要求求两种以上鉴鉴别技术同时时使用。安全全审计已不满满足于对安全全事件的记录录，而要进行行分析、生成成报表。对恶恶意代码的防防范综合考虑虑网络上的防防范措施，做做到二者相互互补充。对资资源控制的增增加了对服务务器的监视和和最小服务水水平的监测和和报警等。四级主机系统统安全要求：在控制点上上增加了安全标记和可可信路径，其他控制点点在强度上也也分别增强，，如，身份鉴鉴别要求使用用不可伪造的的鉴别技术，，访问控制要要求部分按照照强制访问控控制的力度实实现，安全审审计能够做到到统一集中审审计等。32各级系统安全全保护要求-应用安全控制点一级二级三级四级身份鉴别****安全标记*访问控制****可信路经*安全审计***剩余信息保护**通信完整性****通信保密性***抗抵赖**软件容错****资源控制***合计4791133各级系统安全全保护要求-应用安全一级应用安全全要求：对应用进行基基本的防护，，要求做到简简单的身份鉴鉴别，粗粒度度的访问控制制以及数据有有效性检验等等基本防护。。二级应用安全全要求：在控制点上增增加了安全审计、通通信保密性和和资源控制等。同时，对对身份鉴别和和访问控制都都进一步加强强，鉴别的标标识、信息等等都提出了具具体的要求。。访问控制的的粒度进行了了细化，对通通信过程的完完整性保护提提出了特定的的校验码技术术。应用软件件自身的安全全要求进一步步增强，软件件容错能力增增强。三级应用安全全要求：在控制点上上增加了剩余信息保护护和抗抵赖等等。同时，身份份鉴别的力度度进一步增强强，要求组合合鉴别技术，，访问控制增增加了敏感标标记功能，安安全审计已不不满足于对安安全事件的记记录，而要进进行分析等。。对通信过程程的完整性保保护提出了特特定的密码技技术。应用软软件自身的安安全要求进一一步增强，软软件容错能力力增强，增加加了自动保护护功能。四级应用安全全要求：在控制点上上增加了安全标记和可可信路径等。部分控制点点在强度上进进一步增强，，如，身份鉴鉴别要求使用用不可伪造的的鉴别技术，，安全审计能能够做到统一一安全策略提提供集中审计计接口等，软软件应具有自自动恢复的能能力等。34各级系统安全全保护要求-数据安全及备备份恢复控制点一级二级三级四级数据完整性****数据保密性***备份和恢复****合计233335各级系统安全全保护要求-数据安全及备备份恢复一级数据安全全及备份恢复复要求：对数据完整整性用户数据据在传输过程程提出要求，，能够检测出出数据完整性性受到破坏；；同时能够对对重要信息进进行备份。二级数据及备备份恢复安全全要求：对数据完整整性的要求增增强，范围扩扩大，要求鉴鉴别信息和重重要业务数据据在传输过程程中都要保证证其完整性。。对数据保密密性要求实现现鉴别信息存存储保密性，，数据备份增增强，要求一一定的硬件冗冗余。三级数据及备备份恢复安全全要求：对数据完整整性的要求增增强，范围扩扩大，增加了了系统管理数数据的传输完完整性，不仅仅能够检测出出数据受到破破坏，并能进进行恢复。对对数据保密性性要求范围扩扩大到实现系系统管理数据据、鉴别信息息和重要业务务数据的传输输和存储的保保密性，数据据的备份不仅仅要求本地完完全数据备份份，还要求异异地备份和冗冗余网络拓扑扑。四级数数据及及备份份恢复复安全全要求求：为进进一步步保证证数据据的完完整性性和保保密性性，提提出使使用专专有的的安全全协议议的要要求。。同时时，备备份方方式增增加了了建立立异地地适时时灾难难备份份中心心，在在灾难难发生生后系系统能能够自自动切切换和和恢复复。36各级系系统安安全保保护要要求-安全管管理制制度控制点一级二级三级四级管理制度****制定和发布****评审和修订***合计233337各级系系统安安全保保护要要求-安全管管理制制度一级安安全管管理制制度要要求：主要要明确确了制制定日日常常常用的的管理理制度度，并并对管管理制制度的的制定定和发发布提提出基基本要要求。。二级安安全管管理制制度要要求：在控控制点点上增增加了了评审和和修订订，管理理制度度增加加了总总体方方针和和安全全策略略，和和对各各类重重要操操作建建立规规程的的要求求，并并且管管理制制度的的制定定和发发布要要求组组织论论证。。三级安安全管管理制制度要要求：在二二级要要求的的基础础上，，要求求机构构形成成信息息安全全管理理制度度体系系，对对管理理制度度的制制定要要求和和发布布过程程进一一步严严格和和规范范。对对安全全制度度的评评审和和修订订要求求领导导小组组的负负责。。四级安安全管管理制制度要要求：在三三级要要求的的基础础上，，主要要考虑虑了对对带有有密级级的管管理制制度的的管理理和管管理制制度的的日常常维护护等。。38各级系系统安安全保保护要要求-安全管管理机机构安全管管理，，首先先要建建立一一个健健全、、务实实、有有效、、统一一指挥挥、统统一步步调的的完善善的安安全管管理机机构，，明确确机构构成员员的安安全职职责，，这是是信息息安全全管理理得以以实施施、推推广的的基础础。在在单位位的内内部结结构上上必须须建立立一整整套从从单位位最高高管理理层（（董事事会））到执执行管管理层层以及及业务务运营营层的的管理理结构构来约约束和和保证证各项项安全全管理理措施施的执执行。。其主主要工工作内内容包包括对对机构构内重重要的的信息息安全全工作作进行行授权权和审审批、、内部部相关关业务务部门门和安安全管管理部部门之之间的的沟通通协调调以及及与机机构外外部各各类单单位的的合作作、定定期对对系统统的安安全措措施落落实情情况进进行检检查，，以发发现问问题进进行改改进。。安全管管理机机构主主要包包括：：岗位设设置、、人员员配备备、授授权和和审批批、沟沟通和和合作作以及及审核核和检检查等五个个控制制点。。39各级系系统安安全保保护要要求-安全管管理机机构控制点一级二级三级四级岗位设置****人员配备****授权和审批****沟通和合作****审核和检查***合计455540各级系系统安安全保保护要要求-安全管管理机机构一级安安全管管理机机构要要求：主要要要求求对开开展信信息安安全工工作的的基本本工作作岗位位进行行配备备，对对机构构重要要的安安全活活动进进行审审批，，加强强对外外的沟沟通和和合作作。二级安安全管管理机机构要要求：：在控制制点上上增加加了审核和和检查查，同时时，在在一级级基础础上，，明确确要求求设立立安全全主管管等重重要岗岗位；；人员员配备备方面面提出出安全全管理理员不不可兼兼任其其它岗岗位原原则；；沟通通与合合作的的范围围增加加与机机构内内部及及与其其他部部门的的合作作和沟沟通。。三级安安全管管理机机构要要求：对于于岗位位设置置，不不仅要要求设设置信信息安安全的的职能能部门门，而而且机机构上上层应应有一一定的的领导导小组组全面面负责责机构构的信信息安安全全全局工工作。。授权权审批批方面面加强强了授授权流流程控控制以以及阶阶段性性审查查。沟沟通与与合作作方面面加强强了与与外部部组织织的沟沟通和和合作作，并并聘用用安全全顾问问。同同时对对审核核和检检查工工作进进一步步规范范。四级安安全管管理机机构要要求：同三三级要要求。。41各级系系统安安全保保护要要求-人员安安全管管理控制点一级二级三级四级人员录用****人员离岗****人员考核***安全意识教育和培训****外部人员访问管理****合计455542各级系系统安安全保保护要要求-人员安安全管管理一级人人员安安全管管理要要求：对人人员在在机构构的工工作周周期（（即，，录用用、日日常培培训、、离岗岗）的的活动动提出出基本本的管管理要要求。。同时时，对对外部部人员员访问问要求求得到到授权权和审审批。。二级人人员安安全管管理要要求：在控控制点点上增增加了了人员考考核，对人人员的的录用用和离离岗要要求进进一步步增强强，过过程性性要求求增加加，安安全教教育培培训更更正规规化，，对外外部人人员的的访问问活动动约束束其访访问行行为。。三级人人员安安全管管理要要求：在二二级要要求的的基础础上，，增强强了对对关键键岗位位人员员的录录用、、离岗岗和考考核要要求，，对人人员的的培训训教育育更具具有针针对性性，外外部人人员访访问要要求更更具体体。四级人人员安安全管管理要要求：在三三级要要求的的基础础上，，提出出了保保密要要求和和关键键区域域禁止止外部部人员员访问问的要要求。。43各级系系统安安全保保护要要求-系统建建设管管理控制点一级二级三级四级系统定级****安全方案设计****产品采购和使用****自行软件开发****外包软件开发****工程实施****测试验收****系统交付****系统备案***等级测评***安全服务商选择****合计99111144各级系系统安安全保保护要要求-系统建建设管管理一级系系统建建设管管理要要求：对系系统建建设整整体过过程所所涉及及的各各项活活动进进行基基本的的规范范，如如，先先定级级，方方案准准备、、安全全产品品按要要求采采购，，软件件开发发（自自行、、外包包）的的基本本安全全，实实施的的基本本管理理，建建设后后的安安全性性验收收、交交付等等都进进行要要求。。二级系系统建建设管管理要要求：在控控制点点上增增加了了系统备备案和和安全全测评评，增加加了某某些活活动的的文档档化要要求，，如软软件开开发管管理制制度，，工程程实施施应有有实施施方案案要求求等。。同时时，对对安全全方案案、验验收报报告等等增加加了审审定要要求，，产品品的采采购增增加了了密码码产品品的采采购要要求等等。三级级系系统统建建设设管管理理要要求求：对对建建设设过过程程的的各各项项活活动动都都要要求求进进行行制制度度化化规规范范，，按按照照制制度度要要求求进进行行活活动动的的开开展展。。对对建建设设前前的的安安全全方方案案设设计计提提出出体体系系化化要要求求，，并并加加强强了了对对其其的的论论证证工工作作。。四级级系系统统建建设设管管理理要要求求：主主要要对对软软件件开开发发活活动动进进一一步步加加强强了了要要求求，，以以保保证证软软件件开开发发的的安安全全性性。。对对工工程程实实施施过过程程提提出出了了监监理理要要求求。。45各级级系系统统安安全全保保护护要要求求-系统统运运维维管管理理控制点一级二级三级四级环境管理****资产管理****介质管理****设备管理****监控管理和安全管理中心****网络安全管理****系统安全管理****恶意代码防范管理****密码管理***变更管理***备份与恢复管理****安全事件处置****应急预案管理***合计1013131346各级级系系统统安安全全保保护护要要求求-系统统运运维维管管理理一级级系系统统运运维维管管理理要要求求：：主要要对对机机房房运运行行环环境境、、资资产产的的隶隶属属管管理理、、介介质质的的保保存存、、设设备备维维护护使使用用管管理理等等方方面面提提出出基基本本管管理理要要求求，，使使得得系系统统在在这这些些方方面面的的管管理理下下能能够够基基本本运运行行正正常常。。二级级系系统统运运维维管管理理要要求求：：在控控制制点点上上增增加加了了密码码管管理理、、变变更更管管理理、、应应急急预预案案管管理理，同同时时加加强强了了其其他他各各方方面面的的要要求求，，主主要要表表现现在在：：对对环环境境的的关关注注扩扩展展到到办办公公环环境境的的保保密密性性管管理理；；同同时时提提出出资资产产标标识识管管理理；；对对介介质质和和设设备备的的出出入入使使用用加加强强控控制制；；网网络络和和系系统统安安全全方方面面进进行行制制度度化化管管理理；；对对系系统统内内发发生生的的安安全全事事件件进进行行分分类类、、分分级级等等。。三级级系系统统运运维维管管理理要要求求：：在控控制制点点上上增增加加了了监控控管管理理和和安安全全管管理理中中心心，对对介介质质、、设设备备、、密密码码、、变变更更、、备备份份与与恢恢复复等等都都采采用用制制度度化化管管理理，，并并更更加加注注意意过过程程管管理理的的控控制制，，其其中中对对介介质质的的管管理理重重点点关关注注了了介介质质保保密密性性和和可可用用性性管管理理；；安安全全事事件件根根据据等等级级分分级级响响应应，，同同时时加加强强了了对对应应急急预预案案的的演演练练和和审审查查等等。。四级级系系统统运运维维管管理理要要求求：：将机机房房环环境境管管理理和和办办公公环环境境管管理理提提到到同同等等重重要要的的程程度度，，二二者者统统一一管管理理；；对对介介质质的的管管理理主主要要关关注注了了对对介介质质销销毁毁时时的的保保密密管管理理；；应应急急响响应应重重点点关关注注了了灾灾难难恢恢复复计计划划的的制制定定等等。。47等级级保保护护的的设设计计实实施施运营营、、使使用用单单位位/安全全服服务务商商安全全规规划划设设计计技术术体体系系设设计计管理理体体系系设设计计分期期/分步步安安全全实实施施物理理环环境境安安全全建建设设机房房、、办办公公环环境境安安全全建建设设网络络安安全全建建设设安全全域域划划分分、、边边界界设设备备设设置置、、边边界界访访问问控控制制、、边边界界数数据据过过滤滤网络络传传输输加加密密、、网网络络协协议议保保护护、、网网络络防防病病毒毒等等主机机安安全全防防护护操作作系系统统配配置置和和加加固固、、桌桌面面保保护护等等应用用系系统统安安全全开开发发或或改改造造身份份鉴鉴别别、、访访问问控控制制、、安安全全审审计计、、传传输输加加密密等等48实施施方方案案的的设设计计过过程程包包括括结构构框框架架设设计计功能能要要求求设设计计性能能要要求求设设计计部署署方方案案设设计计制定定安安全全策策略略实实现现计计划划管理理措措施施实实现现内内容容设设计计形成成系系统统建建设设的的安安全全实实施施方方案案等级级保保护护实实施施方方案案49系统统建建设设的的安安全全实实施施方方案案包包含含以以下下内内容容本期期建建设设目目标标和和建建设设内内容容技术术实实现现框框架架信息息安安全全产产品品或或组组件件功功能能及及性性能能信息息安安全全产产品品或或组组件件部部署署安全全策策略略和和配配置置配套套的的安安全全管管理理建建设设内内容容工程程实实施施计计划划项目目投投资资概概算算。。安全全实实施施方方案案内内容容5050提纲纲等级级保保护护总总体体介介绍绍1等级级保保护护定定级级介介绍绍等级级保保护护设设计计实实施施2等级级保保护护系系统统测测评评4351测评评原原则则客观观性性和和公公证证性性原原则则经济济性性和和可可重重用用性性原原则则可重重复复性性和和可可再再现现性性原原则则结果果完完善善性性原原则则52测评评内内容容安全全控控制制测测评评主要要测测评评信信息息安安全全等等级级保保护护要要求求的的基基本本安安全全控控制制在在信信息息系系统统中中的的实实施施配配置置情情况况采用用工工作作单单元元方方式式安全全技技术术评评测测和和安安全全管管理理评评测测系统统整