等保5级

1.1.1.1.1第一级自主性保护级由公民、法人和社会组织参照国家标准自主进行保护。主要适用于一般信息系统。第一级安全的信息系统具备对信息和系统进行基本保护的能力。在技术方面，第一级要求设置基本的安全功能，使信息免遭非授权的泄露和破坏，能保证基本安全的系统服务。基本安全的功能是指：对计算机、网络的设备、环境和介质采用基本的防护措施，确保其为信息系统的安全运行提供支持，防止由于物理原因造成信息的泄漏和破坏；通过份区域保护，采用以口令方式为主的身份鉴别、粗粒度的自主访问控制、数据的备份和完整性保护、主机方式的病毒防护、适当的操作系统和数据库的安全配置等安全防护机制，提供对系统和信息基本的安全控制；按照模块化结构的方法设计和实现安全子系统，并进行基本的自身安全保护，确保安全子系统的安全功能具有所要求的安全性。在安全管理方面，自主性保护级要求“根据机构自身安全需求，为信息系统正常运行提供基本的安全管理保障”。“基本的安全管理保障”是指：信息系统应根据自身安全需求，确定安全策略和防护目标，并基于安全策略在某些控制环节制订相应的管理规定；在信息系统的工程建设中进行适当的安全管理，使建设成果达到预期设计的安全要求；在包括机房门禁管理、设备和资源管理等方面做到事事有人管；规定了管理员在病毒防护管理、服务器维护、用户账户维护等系统日常工作中的基本操作要求，以维护系统正常运行；采取常用的防御性控制措施，具备基本的应急响应流程和恢复方法。1.1.1.1.2第二级指导性保护级在政府职能部门指导下，有公民、法人和社会组织按照国家标准自主进行保护。主要适用于企事业单位的内部信息系统。第二级安全的信息系统具备对信息和系统进行比较完整的系统化的安全保护能力。在技术方面，第二级要求采用系统化的设计方法（即：把各种安全机制，设计成一个安全子系统），按照木桶原理，实现比较完整的安全保护，并通过安全审计机制，使其它安全机制间接的相连接，使信息免遭非授权的泄漏和破坏，保证一定安全的系统服务。系统化设计和比较完整的安全功能是本级安全的重要特征，主要是指：对计算机、网络的设备、环境和介质采用一定的防护措施，确保其为信息系统的安全运行提供支持，防止由于物理原因造成信息的泄漏和破坏；通过对区域计算环境内各组成部分采用入侵防范、安全审计、数据的备份于恢复极重要设备的冗余设计、数据的完整性保护、集中统一的病毒监控体系、高强度口令的身份鉴别、细粒度的自主访问控制、存储和传输数据的加密保护、严格的系统和数据库安全配置、重要系统的客体重用等安全机制，实现对局域计算环境内信息的安全保护和系统安全运行的支持；采用分区域保护和边界防护（如防火墙、网络隔离部件、信息过滤、边界完整性检查等），实现不同安全等级区域之间安全互操作的控制；按照系统化的要求和层次化结构的方法设计和实现安全子系统，在完整的系统化的安全保护基础上，采用了基本的审计、入侵防范等检测手段，使系统实现初步的动态安全性。在安全管理方面，指导性保护级的要求“建立必要的信息系统安全管理制度，对岸”管理和执行过程进行计划、管理和跟踪。根据实际安全需求，明确机构和人员的相应责任。“必要的信息系统安全管理”是指：按照国家标准的要求，确定信息系统的安全方针和策略，明确机构和人员在安全方面的职责；在机房管理、设备管理、访问控制管理、病毒防护、应急管理、工程建设管理等必要的环节，将管理意图以管理制度、操作规范、计划和流程等文件化方式加以固化；加强对管理制度、操作规范、计划和流程的执行情况的跟踪和检查；加强对系统以外人员的管理；加强系统安全风险管理要求，基本实现全系统的风险管理。1.1.1.1.3第三级监督性保护级在政府职能部门的监督下，由信息系统主管部门运营、使用单位，按国家标准严格落实各项保护措施进行保护。第三级安全的信息系统具备对信息和系统进行基于安全策略强制的安全保护能力。在技术方面，第三级要求按照确定的安全策略，实施强制性的安全保护，使数据信息免遭非授权的泄漏和破坏，保证较高安全的系统服务。完整的安全策略模型和由系统进行的强制性的安全保护是本级的重要特征，前者是从设计角度确保安全功能的安全性达到预期目标，后者是指安全策略是由系统统一执行，并加强于所有安全域之上的。这些安全技术主要包括：对计算机、网络的设备、环境和介质采用较严格的防护措施，确保其为信息系统的安全运行提供硬件支持，防止由于硬件原因造成信息的泄漏和破坏；通过对局域计算环境内各组成部分采用网络安全监控、安全审计、数据、设备及系统的备份与恢复、集中统一的病毒监控体系、两种鉴别方式组合实现的强身份鉴别、细粒度的自主访问控制、满足三级要求的操作系统和数据库、较高强度密码支持的存储和传输数据的加密保护、客体重用等安全机制，实现对局域网计算环境内信息的安全保护和系统安全运行的支持；采用分区域保护和边界防护（如应用级防火墙、网络隔离部件、信息过滤和边界完整性检查等），在不同区域边界统一制定边界访问控制策略，实现不同安全等级区域之间安全互操作的较严格控制；按照系统化的要求和层次化结构的方法设计和实现安全子系统，增强各层面的安全防护能力，通过安全管理中心，在统一安全策略下对系统安全事件集中审计、集中监控和数据分析，并做出响应和处理，从而构建较为全面的动态安全体系。在安全管理方面，监督性保护级要求“建立完整的信息系统安全管理体系，对安全管理过程进行规范化的定义，并对过程执行实施监督和检查。根据实际安全需求，建立安全管理机构，配备专职安全管理人员，落实各级领导及相关人员的责任。”“完整的信息系统安全管理体系”是指：在信息系统的安全方针和策略的指导下，在策略、组织、人员、风险、工程、运行、应急与安全时间处理等安全管理的各个环节建立相应的管理制度和工作规范；通过建立安全管理机构，配备专职安全管理人员为安全管理提供必要组织保证和人员保证，目的在于落实各级领导及相关人员的责任；各项管理制度明确管理目标、人员职责、关键控制点和管理手段；具备对管理制度执行情况的监督和检查机制，加强集中统一管理，注重引入自动化的管理工具，丰富管理和监督检查手段。1.1.1.1.4第四级强制性保护在政府职能部门的强制监督和检查下，信息系统主管部门和运营、使用单位、按国家标准和安全需求，严格落实各项措施进行保护。第四级安全的信息系统具备对信息和系统进行基于安全策略强制的安全保护能力。在技术方面，第四级要求按照确定的安全策略，整体的实施强制性的安全保护。采用结构化设计方法，按照完整的安全策略模型，实现各层面相结合的强制性安全保护，使数据信息免遭非授权的泄漏和破坏，保证高安全的系统服务。第四级的技术要求，采用以结构化设计为代表的一系列措施来保证其安全性达到所要求的目标。实现这些安全功能和提供安全保证的安全技术主要包括：对计算机、网络的设备、环境和介质采用严格的防护措施，确保其为信息系统的安全运行提供支持，防止由于物理原因造成信息的泄漏和破坏；通过局域计算环境内各组成部分采用网络安全监控、安全审计、全方位的备份与故障恢复、集中统一的病毒监控体系、基于密码技术或生物特征的强身份鉴别和多充鉴别、强访问控制、高强度密码支持的存储和传输数据的加密保护、严格的客体重用等安全机制，实现对局域计算环境内信息的安全保护和系统安全运行的支持；采用分区域保护和边界防护（如高等级的防火墙、信息过滤、边界完整检查和其他隔离部件），实现不同安全等级区域之间安全互操作的严格控制；按照结构化的方法设计和实现安全子系统，使在不同层面实现的访问控制、身份鉴别、审计、加密等安全机制的交互作用最小化，从而使复杂性降低，充分实现系统安全设计要求。在安全管理方面，强制性保护级要求“建立持续改进的信息系统安全管理体系，在对安全管理过程进行规范化定义，并对过程执行实施监督和检查的基础上，具有对缺陷自我发现、纠正和改正的能力。根据实际安全需求，采取安全隔离措施，限定信息系统规模和应用范围。建立安全管理机构，配备专职安全管理人员，落实各级领导及相关人员的责任。”“持续改进的信息系统安全管理体系”是指：在维护完整的信息系统安全管理体系的基础上，建立系统的自我完善机制，具备对不断变化的系统状态自我发现和解决问题能力：通过采用安全隔离措施，限定信息系统的规模和应用范围，增强信息系统的安全性，以达到所要求的安全目标。1.1.1.1.5第五级专控性保护级由信息系统的主管部门和使用单位根据安全需求，对信息系统进行专门控制和保护，政府职能部门予以协助。主要适用于国家最重要核心部门的专用信息系统。第五级安全的信息系统提供对信息和系统进行基于可验证安全策略强制的安全保护能力。在技术方面，第五级要求按照的安全策略，在整体的实施强制性的安全保护的基础上，通过可验证设计增强系统的安全性，使其具有抗渗透能力，使数据信息免遭非授权的泄露和破坏，保证最高安全的系统服务。在结构化设计的基础上，采用核心可验证设计是本级的重要特征。实现这些安全功能和提供安全保证的安全技术主要包括：对计算机、网络的设备、环境和本质采用最严格的防护措施，确实其为信息系统的安全运行提供硬件支持，防止由于硬件原因造成信息的泄露和破坏；通过局域计算环境内各组成部分采用网络安全监控、安全审计、全方位的备份与故障恢复、集中统一的病毒监控体系、基于密码技术或生物特征的强身份鉴别、细力度的自主访问控制、全面的强制访问控制、最高强度密码支持的全程数据和加密保护、严格的客体重用等安全机制，实现对局域计算环境内信息的安全保护和系统安全运行的支持；采用物理隔离措施，实现最严格控制的边界保护；用结构化的方法设计和实现安全子系统，使作为安全子系统核心的“访问监督器”和“前端过滤器”足够小，达到可验证，并具有抗渗透能力，确保安全子系统的安全功能具有所要求的安全性。在安全管理方面，专控性保护级要求“由信息系统的主管部门和使用单位根据安全需求，建立核心部门的专用信息系统安全管理体系，对安全管理过程进行规范化的定义，并对过程执行实施监督和检查，具有对缺陷自我发现、纠正和改进的能力。采取安全隔离措施，限定信息系统规模和应用范围。建立安全管理机构，配备专职安全管理人员，落实各级领导及相关人员的责任。“建立完善的信息系统安全管理制度，从工程管理和系统管理方面，对执行过程进行规范化的定义和管理，并严格执行：根据实际安全需求，采取安全隔离措施，限定信息系统规模和应用范围，建立安全管理机构，配备专职安全管理人员，落实各级领导及相关人员的责任。确保安全功能达到预期目标。”“核心部门的专用信息系统安全管理体系”是指：针对核心部分专门的安全需求，在严格限定的信息系统规模和应用范围内，制定相应的安全策略和安全管理体系；管理体系中各项管理制度管理目标、人员职责、关键控制点和管理手段定义明确，具有良好的可操作性和可检查性；管理体系具有自我完善机制，对不断变化的系统状态具有自我发现和解决问题能力。