GAT 708-2007 信息安全技术信息系统安全等级保护体系框架
ICS 35.020
L09
GA
中华人民共和国公共安全行业标准
GA/T 708-2007
信息安全技术
信息系统安全等级保护体系框架
Information security technology-
Architecture framework of security classification protection for
inf...
ICS 35.020
L09
GA
中华人民共和国公共安全行业标准
GA/T 708-2007
信息安全技术
信息系统安全等级保护体系框架
Information security technology-
Architecture framework of security classification protection for
information system
2007-08-13 发布 2007-10-01 实施
中华人民共和国公安部 发 布
GA/T 708-2007
I
目 次
前 言 .............................................................................................................................................. III
引 言 .............................................................................................................................................. IV
1 范围............................................................................................................................................. 1
2 规范性引用文件 ......................................................................................................................... 1
3 术语和定义 ................................................................................................................................. 1
4 信息系统安全等级保护体系简介 ............................................................................................. 2
4.1 信息系统安全等级保护体系的组成 ...................................................................................... 2
4.2 信息系统安全等级保护体系概要说明 .................................................................................. 2
5 信息系统安全等级保护法律法规和政策依据 ......................................................................... 3
5.1 法律法规和政策分类 .............................................................................................................. 3
5.2 信息系统安全等级保护的现有政策法规 .............................................................................. 3
6 信息系统安全等级保护标准体系 ............................................................................................. 3
6.1 标准的分类 .............................................................................................................................. 3
6.2 标准的具体组成 ...................................................................................................................... 4
6.2.1 基础性标准 ........................................................................................................................... 4
6.2.2 系统设计指导类标准 ........................................................................................................... 4
6.2.3 系统实施指导类标准 ........................................................................................................... 4
6.2.4 要求类标准 ........................................................................................................................... 4
6.2.5 检查/测评类标准 .................................................................................................................. 5
6.2.6 各应用领域实施指导
................................................................................................... 7
6.3 标准所涉及的
.................................................................................................................. 7
6.4 各类标准的作用及编写要求 .................................................................................................. 8
6.4.1 基础性标准 ......................................................................................................................... 8
6.4.2 系统设计指导类标准 ......................................................................................................... 8
6.4.3 要求类标准 ......................................................................................................................... 8
6.4.4 检查/测评类标准 ............................................................................................................. 10
6.4.5 实施指导类标准 ............................................................................................................... 11
6.4.6 各应用领域实施指导方案 ............................................................................................... 11
7 信息系统安全等级保护管理体系 ........................................................................................... 12
7.1 信息系统安全工程管理 ........................................................................................................ 12
7.1.1 目标..................................................................................................................................... 12
7.1.2 内容..................................................................................................................................... 12
7.1.3 工程管理分等级要求 ......................................................................................................... 13
7.2 安全系统运行管理 ................................................................................................................ 14
7.2.1 目标..................................................................................................................................... 14
7.2.2 内容..................................................................................................................................... 14
7.2.3 运行管理分等级要求 ......................................................................................................... 15
7.3 信息系统安全监督检查和管理 ............................................................................................ 16
8 信息系统安全等级保护技术体系 ........................................................................................... 16
8.1 信息系统安全的基本属性 .................................................................................................... 16
8.2 信息系统安全的组成与相互关系 ........................................................................................ 17
GA/T 708-2007
II
8.3 信息系统的安全等级 ............................................................................................................ 18
8.3.1 五个安全等级 ..................................................................................................................... 18
8.3.2 安全保护等级的确定 ......................................................................................................... 20
8.4 信息系统安全等级保护基本框架 ........................................................................................ 22
8.4.1 信息系统安全保护总体框架 ............................................................................................. 22
8.4.2 信息系统安全等级保护的基本原理和方法 ..................................................................... 22
8.5 信息系统安全等级保护基本技术 ........................................................................................ 24
8.5.1 标识与鉴别技术 ................................................................................................................. 24
8.5.2 访问控制技术 ..................................................................................................................... 25
8.5.3 存储和传输数据的完整性保护技术 ................................................................................. 25
8.5.4 存储和传输数据的保密性保护技术 ................................................................................. 25
8.5.5 边界隔离与防护技术 ......................................................................................................... 26
8.5.6 系统安全运行及可用性保护技术 ..................................................................................... 26
8.5.7 密码技术 ............................................................................................................................. 26
8.6 信息系统安全等级保护支撑平台 ........................................................................................ 26
8.6.1 信息系统密码基础设施平台 ............................................................................................. 26
8.6.2 信息系统应用安全支撑平台设计 ..................................................................................... 27
8.6.3 信息系统灾难备份与恢复平台 ......................................................................................... 27
8.6.4 信息系统安全事件应急响应与管理平台 ......................................................................... 28
8.6.5 信息系统安全管理平台 ..................................................................................................... 29
8.7 等级化安全信息系统构建技术 ............................................................................................ 30
附录 A(资料性附录)基本概念说明 ......................................................................................... 31
A.1 业务应用软件系统及其子系统 ........................................................................................... 31
A.2 信息系统及其子系统 ........................................................................................................... 31
A.3 关于安全域 ........................................................................................................................... 31
附录 B(资料性附录)实施等级保护的方法 ............................................................................. 33
B.1 全系统同一安全等级安全保护 ........................................................................................... 33
B.2 分系统不同安全等级安全保护 ........................................................................................... 33
B.3 虚拟系统不同安全等级安全保护 ....................................................................................... 33
参考文献......................................................................................................................................... 35
GA/T 708-2007
III
前 言
(略)
GA/T 708-2007
IV
引 言
信息系统安全等级保护通过三大功能和五个环节,对国家、社会、集团和个人所建立和使用
的信息系统,分等级实施必要的安全保护。
实现信息系统安全等级保护的三大功能是:
——防范与保护功能:从物理、网络、系统、应用和管理等组成部分,实现整体防范与保护;
——监督与检查功能:各单位自我检查与政府职能部门监督检查相结合,从技术和管理两个
方面,确保信息系统的安全性达到确定安全等级的要求;
——响应与处置功能:信息系统拥有者,对系统的安全事件应有快速响应与处置的能力,并
在发现重大问题时能及时向主管部门反映,与有关单位沟通。
实现信息系统安全等级保护的五个环节是指:
——政策、法规环节:制定完善的信息安全等级保护政策、法规,建立专门的管理机构,明
确实施的程序和方法;
——规范化技术与管理环节:制定符合国情的信息系统安全等级保护技术和管理标准,并按
标准要求实施安全管理,进行安全技术和产品的研究和开发;
——系统构建过程控制环节:按照谁主管谁负责的要求,对安全信息系统的构建过程进行全
方位控制,并通过检测机构严格的检测评估,确保所构建的安全信息系统达到所需要的
安全性要求;
——系统运行过程控制环节:按照谁运营谁负责的要求,对安全信息系统的运行过程进行全
方位控制,并通过职能部门的监督检查,确保所运行的安全信息系统达到所设计的安全
性要求;
——系统监督、检查环节:信息安全相关职能部门,依照法律、法规和标准,制定完善信息
安全监管规章制度,开展信息安全等级保护专项管理工作。督促安全等级保护责任制的
落实,监督、检查并指导信息系统所属部门和单位的信息系统安全等级保护的建设和管
理,对安全技术产品实行监管,对安全检测机构实施监管。建立非盈利的覆盖全国的系
统安全等级保护执法检查与检测支持体系,使用统一标准对运行中的安全信息系统进行
检查、检测、评估,确保其实际运行过程中的安全性达到设计的目标要求。
本标准是对信息系统安全等级保护各个组成部分及其相互关系的描述,首先对信息系统安全
等级保护的组成部分的主要内容及其相互关系做简要说明,然后对每一个组成部分的主要内容做
比较详细的说明。
GA/T 708-2007
1
信息安全技术
信息系统安全等级保护体系框架
1 范围
本标准规定了按照信息安全等级保护的要求从技术角度对信息系统实施安全等级保护的体
系框架。
本标准适用于按照信息系统安全等级保护所规定的五个安全保护等级的要求对信息系统实
施安全等级保护所进行的技术活动及其相关的管理活动。
2 规范性引用文件
下列文件中的有关条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,
其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标
准达成
的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版
本适用于本标准。
GB 17859-1999 计算机信息系统安全保护等级划分准则
3 术语和定义
GB 17859—1999确立的以及下列术语和定义适用于本标准。
3.1
安全信息系统 security information system
采用具有相应安全强度/等级的信息安全产品、信息安全技术和管理
,以系统化方法
设计和实现的,按照信息系统安全等级保护的要求具有一级/二级/三级/四级/五级安全性的信
息系统。
3.2
信息安全系统 information security system
信息系统安全子系统的简称。一个信息系统的安全子系统是指由该信息系统中所有安全装
置组成的系统。在 GB 17859-1999中,将系统内保护装置的总体称为 TCB(可信计算基)。这里
用信息安全系统的称谓是为了强调对信息系统的安全应以系统化的方法进行设计。
3.3
信息安全产品 information security production
具有确定安全强度/等级,用于构建安全信息系统的信息产品。信息安全产品分为信息技
术安全产品和信息安全专用产品。信息技术安全产品是对信息技术产品附加相应的安全技术和
机制组成的产品(如安全路由器);信息安全专用产品是专门为增强信息系统的安全性而开发的
信息安全产品(如防火墙)。
3.4
局域计算环境 local computing environment
由一个或多个计算机系统(主机/服务器)组成的,以对信息系统中的数据信息进行存储、
处理为主要目的、有明确边界的计算环境。一个局域计算环境可以由一个计算机系统组成,也
可以由多个计算机系统经局域网连接组成。
3.5
安全局域计算环境 security local computing environment
具有确定安全保护等级的局域计算环境。
3.7
GA/T 708-2007
2
局域计算环境边界 local computing environment boundaries
局域计算环境与外部交换信息的所有界面的总称。
3.8
用户环境(独立用户/用户群) user environment(independent user/group user)
由一个或多个终端计算机组成的,以提供用户使用信息系统中的数据信息为主要目的环境,
也称独立用户/用户群。
3.9
安全用户环境 security user environment
具有确定安全保护等级的用户环境。
3.10
网络系统 networks system
连接局域计算环境与局域计算环境及局域计算环境与用户环境的网络设备、设施所组成的
系统。
3.11
安全网络系统 security networks system
具有确定安全保护等级的网络系统。
3.12
安全域 security area
信息系统中执行相同安全策略的区域。在实施等级保护的信息系统中,安全域可以是具有
相同安全等级的信息系统或子系统。
3.13
密码基础设施 cryptograph infrastructures
为信息系统中的各种密码机制提供支持的设施。密码基础设施所提供的密码支持主要包括
数据的加/解密、完整性检验、身份鉴别、数字签名/验证、抗抵赖等。
4 信息系统安全等级保护体系简介
4.1 信息系统安全等级保护体系的组成
信息系统安全等级保护体系由以下部分组成:
——信息系统安全等级保护法律、法规、政策依据;
——信息系统安全等级保护标准体系;
——信息系统安全等级保护管理体系;
——信息系统安全等级保护技术体系。
4.2 信息系统安全等级保护体系概要说明
a) 信息安全等级保护的法律、法规和政策依据
信息系统安全等级保护政策、法律、法规依据是信息系统安全等级保护的基本依据和出发
点。
b) 信息系统安全等级保护标准体系
信息系统安全等级保护标准是信息安全等级保护在信息系统安全技术和安全管理方面的规
范化表示,是从技术和管理方面,以标准的形式,对信息安全等级保护的法律、法规、政策的
规定进行的规范化描述。
本标准体系从标准分类、各类标准的具体组成、标准所涉及的内容以及各类标准的编写要
求等方面规范了对信息系统实施安全等级保护所需要的各级、各类标准的名称、作用、内容及
其编写要求。
GA/T 708-2007
3
c) 信息系统安全等级保护管理体系
信息系统安全等级保护管理体系是对实现信息系统安全等级保护所采用的安全管理措施的
描述。本标准从信息系统安全等级保护安全系统工程管理、安全系统运行控制和管理、安全系
统监督检查和管理等方面,对相关问题进行了描述。
d) 信息系统安全等级保护技术体系
信息系统安全等级保护技术体系是对实现信息系统安全等级保护所采用的安全技术的描
述。本标准体系从信息系统安全的基本属性、信息系统安全的组成与相互关系、信息系统安全
的五个等级、信息系统安全等级保护的基本框架、信息系统安全等级保护基本技术、信息系统
安全等级保护支撑平台技术、等级化安全信息系统的构建技术等方面对相关的技术问题进行了
描述。
5 信息系统安全等级保护法律法规和政策依据
5.1 法律法规和政策分类
信息系统安全等级保护的法律法规和政策是对信息系统实施安全等级保护的基本依据,对
信息系统实施安全等级保护所需要的法律法规和政策包括:
a) 有关信息安全等级保护的全国性法律;
b) 有关信息安全等级保护的全国性政策、法规;
c) 有关信息安全等级保护的地区性政策、法规。
5.2 信息系统安全等级保护的现有政策法规
当前,已经发布的有关对信息系统实施安全等级保护的政策法规有:
a) 1994 年 2 月 18 日发布的国务院 147 号令:中华人民共和国计算机信息系统安全保护
条例;
b) 2003 年 8 月 26 日发布的中办发[2003]27 号文件:国家信息化领导小组关于加强信息
安全保障工作的意见;
c) 2004 年 9 月 15 日发布的公通字[2004]66 号文件:关于信息安全等级保护工作的实施
意见;
d) 2005 年 12 月 28 日发布的公信安[2005]1431 号文件:关于开展信息系统安全等级保护
基础调查工作的通知。
e) 2006 年 2 月 23 日发布的国办发[2006]11 号文件:国务院办公厅转发国家网络与信息
安全协调小组关于网络信任体系若干意见的通知;
f) 2007 年 6 月 22 日发布的公通字[2007]43 号文件:信息安全等级保护管理办法;
g) 其它与信息安全等级保护相关的政策法规。
6 信息系统安全等级保护标准体系
6.1 标准的分类
信息系统安全等级保护标准分为:
——基础性标准:作为信息系统安全等级保护的基础,并为其他标准提供支持的标准;
——系统设计指导类标准:对按等级保护的要求进行信息系统安全设计提供指导的标准;
——系统实施指导类标准:从系统角度,按信息安全等级保护的要求,以各要求类标准的
具体要求为依据,对实施信息系统安全等级保护提供指导的标准;
——要求类标准:对按等级保护的要求建设安全的信息系统,规范安全技术要求和安全管
理要求的标准;
——检查/测评类标准:对按等级保护的要求进行信息系统安全的检查/测评,提供技术和
管理方面指导的标准;
——各应用领域实施指导方案:按等级保护要求,对各个应用领域按照上述标准的要求建
GA/T 708-2007
4
设安全的信息系统的指导性方案。
6.2 标准的具体组成
6.2.1 基础性标准
基础性标准是指包括以下方面内容的标准:
a) 信息安全等级保护术语标准;
b) 信息系统安全保护等级划分的准则性标准,如 GB 17859-1999;
c) 信息安全等级保护的其他基础性标准。
6.2.2 系统设计指导类标准
对信息系统安全等级保护的设计提供指导的标准包括以下方面内容的标准:
a) 信息系统安全等级保护体系框架;
b) 信息系统安全等级保护基本模型;
c) 信息系统安全等级保护基本配置;
d) 信息系统安全等级保护设计的其他指导标准。
6.2.3 系统实施指导类标准
从系统角度,对信息系统安全等级保护的实施提供指导的标准包括以下方面内容的标准:
a) 信息系统安全等级保护定级指南;
b) 信息系统安全等级保护基本要求;
c) 信息系统安全等级保护实施指南;
d) 信息系统安全等级保护监督管理手册;
e) 信息系统安全等级保护服务指南;
f) 信息系统安全等级保护产品选购指南;
g) 信息系统安全等级保护安全意识教育培训指南;
h) 信息系统安全等级保护系统测试环境;
i) 信息系统安全等级保护系统测试方法;
j) 信息系统安全等级保护系统测试工具;
k) 信息系统安全等级保护产品测试环境;
l) 信息系统安全等级保护产品测试方法;
m) 信息系统安全等级保护产品测试工具;
n) 信息系统安全等级保护实施的其它指导标准。
6.2.4 要求类标准
6.2.4.1 系统和分系统安全技术要求
按要素/组件,对系统和分系统的安全技术要求进行描述的标准包括以下方面内容的标准:
a) 信息系统安全通用技术要求;
b) 网络安全基础技术要求;
c) 操作系统安全技术要求;
d) 数据库管理系统安全技术要求;
e) 应用软件系统安全技术要求;
f) 信息系统物理安全技术要求;
g) 其它系统和分系统安全技术要求。
6.2.4.2 信息安全产品安全技术要求
6.2.4.2.1 信息技术产品安全技术要求
按要素/组件,对信息技术产品的安全技术要求进行描述的标准包括以下方面内容的标准:
a) 网管安全技术要求;
GA/T 708-2007
5
b) 网络服务器安全技术要求;
c) 路由器安全技术要求;
d) 交换机安全技术要求;
e) 网关安全技术要求;
f) 网络互连安全技术要求;
g) 网络协议安全技术要求;
h) 电磁信息产品安全技术要求;
i) 其它信息技术产品安全技术要求。
6.2.4.2.2 信息安全专用产品安全技术要求
按要素/组件,对信息安全专用产品的安全技术要求进行描述的标准包括以下方面内容的标
准:
a) 公钥基础设施(PKI)安全技术要求;
b) 网络身份认证安全技术要求;
c) 防火墙安全技术要求;
d) 入侵检测安全技术要求;
e) 系统审计安全技术要求;
f) 网络脆弱性检测分析安全技术要求;
g) 网络及端设备隔离部件安全技术要求;
h) 防病毒产品安全技术要求;
i) 虹膜身份鉴别安全技术要求;
j) 指纹身份鉴别安全技术要求;
k) 虚拟专用网安全技术要求;
l) 通用安全模块安全技术要求;
m) 其它安全产品安全技术要求。
6.2.4.3 安全管理要求
按要素/组件,对系统的安全管理要求进行描述的标准包括以下方面内容的标准:
a) 安全系统工程管理要求;
b) 安全系统运行管理要求;
c) 商用密码管理要求;
d) 安全风险管理要求;
e) 应急处理管理要求;
f) 其它管理要求。
6.2.5 检查/测评类标准
6.2.5.1 系统和分系统安全技术检查/测评
按要素/组件,对系统和分系统安全技术的检查/测评进行描述的标准包括以下方面内容的
标准:
a) 信息系统安全技术检查/测评;
b) 网络系统安全技术检查/测评;
c) 操作系统安全技术检查/测评;
GA/T 708-2007
6
d) 数据库管理系统安全技术检查/测评;
e) 应用软件系统安全技术检查/测评;
f) 硬件系统安全技术检查/测评;
g) 其它系统安全技术检查/测评。
6.2.5.2 信息安全产品安全技术检查/测评
6.2.5.2.1 信息技术产品安全技术检查/测评
按要素/组件,对信息技术产品的安全技术的检查/测评进行描述的标准包括以下方面内容
的标准:
a) 网管安全技术检查/测评;
b) 网络服务器安全技术检查/测评;
c) 路由器安全技术检查/测评;
d) 交换机安全技术检查/测评;
e) 网关安全技术检查/测评;
f) 网络互连安全技术检查/测评;
g) 网络协议安全技术检查/测评;
h) 电磁信息产品安全技术检查/测评;
i) 其它信息技术产品安全技术检查/测评。
6.2.5.2.2 信息安全专用产品安全技术检查/测评
按要素/组件,对安全专用产品的安全技术的检查/测评进行描述的标准包括以下方面内容
的标准:
a) 公钥基础设施(PKI)安全技术检查/测评;
b) 网络身份认证安全技术检查/测评;
c) 防火墙安全技术检查/测评;
d) 入侵检测安全技术检查/测评;
e) 系统审计安全技术检查/测评;
GA/T 708-2007
7
f) 网络脆弱性检测安全技术检查/测评;
g) 网络及端设备隔离部件安全技术检查/测评;
h) 防病毒产品安全技术检查/测评;
i) 虹膜身份鉴别安全技术检查/测评;
j) 指纹身份鉴别安全技术检查/测评;
k) 虚拟专用网安全技术检查/测评;
l) 通用安全模块安全技术检查/测评;
m) 其它安全专用产品安全技术检查/测评。
6.2.5.3 安全管理检查/测评
按要素/组件,对系统的安全管理的测试/评估进行描述的标准包括以下方面内容的标准:
a) 安全系统工程管理检查/测评;
b) 安全系统运行管理检查/测评;
c) 商用密码管理检查/测评;
d) 应急处理管理检查/测评;
e) 风险管理检查/测评;
f) 其它管理检查/测评。
6.2.6 各应用领域实施指导方案
各个应用领域的安全系统实施指导方案,应由相应领域的安全管理部门组织人员,按照以
上信息系统安全等级保护标准的内容,主要是系统设计指导类标准和系统实施指导类标准的内
容,结合本领域对安全要求的特点进行制订。
6.3 标准所涉及的内容
图 1 给出了信息系统安全等级保护标准体系中的标准所涉及内容的示意图。该图反映了信
息系统安全等级保护标准应包括五个保护等级、五个安全组成部分以及构建过程控制、结果控
制、执行过程控制等方面的内容。这也是整个信息系统安全等级保护所涉及的内容。
构建过程控制 结果控制 执行过程控制
GA/T 708-2007
8
图 1 中的保护等级是指由 GB 17859-1999 所规定的五个安全保护等级,按照公通字[2007]43
号文件的规定,国家有关信息安全监管部门应对信息安全等级保护工作进行监督管理,具体要
求是:对二级系统进行指导,对三级系统进行监督、检查,对四级系统进行强制监督、检查,
对五级系统进行专门监督、检查;信息系统安全的五个组成部分是指应从物理安全、系统安全、
网络安全、应用安全和安全管理等五个方面考虑信息系统安全标准的内容。构建过程控制主要
是指应从安全系统建设、安全产品开发的过程控制方面制定相应的技术和管理要求标准;结果
控制主要是指应从安全系统建设、安全产品开发的结果控制方面制定相应的技术和管理测评标
准;执行过程控制主要是指应从政府部门的监督检查和指导方面制定相应的标准。
6.4 各类标准的作用及编写要求
6.4.1 基础性标准
基础性标准是为信息安全等级保护确定基本原则和基本要求的标准。基础标准的编写应满
足下列要求:
——安全技术要求描述:应从安全要素/组件的角度,对信息系统安全所涉及的安全功能技
术要求和安全保证技术要求有全面描述;
——分等级安全功能技术要求:应从等级划分的角度,对不同安全保护等级的各个安全要
素/组件的安全功能技术要求进行完整描述;
——分等级安全保证技术要求:应从等级划分的角度,对不同安全保护等级的各个安全保
证技术要求进行完整描述。
6.4.2 系统设计指导类标准
系统设计指导类标准是从系统角度对实现信息系统安全等级保护进行框架性说明的标准,
对从总体角度了解信息系统安全等级保护提供指导和帮助。系统设计指导类标准由信息系统安
全等级保护体系框架、信息系统安全等级保护基本模型和信息系统安全等级保护基本配置等部
分组成。其编写分别应满足下列要求:
——信息系统安全等级保护体系框架:体系框架标准的编写应明确信息系统安全等级保护
的组成及其相互关系,包括:信息系统安全等级保护的法律和政策法律依据,信息系
统安全等级保护的标准体系,信息系统安全等级保护的管理体系以及信息系统安全等
级保护的技术体系。标准应对信息系统安全等级保护的法律和政策法规依据进行明确
的说明,并对组成体系统框架的标准体系、管理体系和技术体系的具体内容进行说明;
——信息系统安全等级保护基本模型:基本模型标准的编写应在对信息系统安全的总体模
型进行说明的基础上,明确说明每一个安全保护等级的信息系统的基本模型;
——信息系统安全等级保护基本配置:基本配置标准的编写应根据每一个安全保护等级的
信息系统的基本模型,说明每一个安全保护等级的安全机制的基本配置。
6.4.3 要求类标准
6.4.3.1 系统和分系统安全技术要求
信息系统和分系统安全技术要求的作用及编写要求分别是:
a) 信息系统安全技术要求
信息系统安全技术要求标准,是对信息系统的安全技术要求从安全要素/组件角度进行详细
说明的标准,能够对从系统角度了解信息系统安全等级保护提供帮助,对构建符合等级保护要
第一级:用户自主保护级
第四级:结构化保护级
第五级:访问验证保护级
图 1 标准体系涉及内容示意图
第五级:访问验证保护
第四级:结构化保护
第三级:安全标记保护
第二级:系统审计保护
第一级:用户自主保护
信息系统安全的五个组成部分
物理
安全
网络
安全
系统
安全
应用
安全
安全
管理
GA/T 708-2007
9
求的安全信息系统提供指导。其编写应满足下列要求:
——全面安全技术要求:应对信息系统安全普遍适用的安全功能技术要求和安全保证技术
要求进行全面描述;
——分等级安全功能技术要求:应对信息系统各个安全保护等级应具有的安全功能技术要
求进行描述;
——分等级安全保证技术要求:应对信息系统各个安全保护等级应具有的安全保证技术要
求进行描述。
b) 信息系统分系统安全技术要求
信息系统分系统是指组成信息系统的各个组成部分的分系统,包括物理(硬件系统)、操作
系统、网络系统、数据库管理系统、应用软件系统等。信息系统分系统安全技术要求标准,是
对各个分系统的安全技术要求从安全要素/组件角度进行详细说明的标准,能对从系统组成了解
信息系统安全等级保护提供帮助,对构建符合安全保护等级要求的安全分系统提供指导。信息
系统各个安全分系统安全技术要求标准的编写应满足下列要求:
——全面安全技术要求:应对信息系统各个分系统各自的安全功能技术要求和安全保证技
术要求进行全面的描述;
——分等级安全功能技术要求:应对信息系统各个分系统各自的每个安全等级应具有的安
全功能技术要求进行描述;
——分等级安全保证技术要求:应对信息系统各个分系统各自的每个安全等级应具有的安
全保证技术要求进行描述。
6.4.3.2 信息安全产品安全技术要求
信息安全产品是实现信息系统安全的基础和前提。信息安全产品安全技术要求是指每一个
产品应达到的安全技术要求。信息安全产品分为信息技术产品和信息安全专用产品。其作用和
编写要求分别是:
a) 信息技术产品安全技术要求
信息技术产品安全技术要求是指对信息系统固有的信息技术产品(IT 产品)的安全技术要
求。适用于信息系统安全等级保护的信息技术产品的安全技术要求标准的编写应满足下列要求:
——全面安全技术要求:应以信息系统安全通用技术要求标准为基本依据,对信息技术产
品各自的安全功能技术要求和安全保证技术要求进行全面说明;
——分等级安全功能技术要求:信息技术产品安全功能的分等级要求,可根据各个产品的
具体情况对所需要的安全等级的安全功能技术的具体要求进行说明;可分等级,也可
不分等级或只有某些等级;
——分等级安全保证技术要求:信息技术产品安全保证的分等级要求,可根据各个产品的
具体情况对所需要的安全等级的安全保证的具体要求进行说明;按照与安全功能等级
匹配的原则,安全保证技术要求可分等级,也可不分等级或只有某些等级。
b) 信息安全专用产品安全技术要求
信息安全专用产品是指为了增强信息系统的安全性在信息系统中设置的安全产品,如防火
墙、入侵检测系统等。适用于信息系统安全等级保护的信息安全专用产品的安全技术要求标准
的编写应满足下列要求:
——外部安全功能和性能要求:对信息安全专用产品应实现的外部安全功能和性能进行全
面的说明;
—
本文档为【GAT 708-2007 信息安全技术信息系统安全等级保护体系框架】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑,
图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。