路径: 主页 > MISC > 第104页 > GA/T 708-2007 | 标准编号 | GA/T 708-2007 (GA/T708-2007) | | 中文名称 | 信息安全技术 信息系统安全等级保护体系框架 | | 英文名称 | Information security technology--Architecture framework of security classification protection for information system | | 行业 | 公安行业标准 (推荐) | | 中标分类 | L09 | | 国际标准分类 | 35.020 | | 字数估计 | 38,316 | | 发布日期 | 2007-08-13 | | 实施日期 | 2007-10-01 | | 引用标准 | GB 17859-1999 | | 发布机构 | 公安部 | | 范围 | 本标准规定了按照信息安全等级保护的要求从技术角度对信息系统实施安全等级保护的体系框架。本标准适用于按照信息系统安全等级保护所规定的五个安全保护等级的要求对信息系统实施安全等级保护所进行的技术活动及相关的管理活动。 | GA/T 708-2007
Information security technology--Architecture framework of security classification protection for information system
ICS 35.020
L09
中华人民共和国公共安全行业标准
GA/T708-2007
信息安全技术
信息系统安全等级保护体系框架
2007-08-13发布
2007-10-01实施
中华人民共和国公安部 发 布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 信息系统安全等级保护体系简介 2
4.1 信息系统安全等级保护体系的组成 2
4.2 信息系统安全等级保护体系概要说明 2
5 信息系统安全等级保护法律法规和政策依据 3
5.1 法律法规和政策分类 3
5.2 信息系统安全等级保护的现有政策法规 3
6 信息系统安全等级保护标准体系 3
6.1 标准的分类 3
6.2 标准的具体组成 4
6.2.1 基础性标准 4
6.2.2 系统设计指导类标准 4
6.2.3 系统实施指导类标准 4
6.2.4 要求类标准 4
6.2.5 检查/测评类标准 5
6.2.6 各应用领域实施指导方案 6
6.3 标准所涉及的内容 6
6.4 各类标准的作用及编写要求 7
6.4.1 基础性标准 7
6.4.2 系统设计指导类标准 7
6.4.3 要求类标准 8
6.4.4 检查/测评类标准 9
6.4.5 实施指导类标准 11
6.4.6 各应用领域实施指导方案 11
7 信息系统安全等级保护管理体系 11
7.1 信息系统安全工程管理 11
7.1.1 目标 11
7.1.2 内容 11
7.1.3 工程管理分等级要求 12
7.2 安全系统运行管理 13
7.2.1 目标 13
7.2.2 内容 13
7.2.3 运行管理分等级要求 15
7.3 信息系统安全监督检查和管理 16
GA/T708-2007
8 信息系统安全等级保护技术体系 16
8.1 信息系统安全的基本属性 16
8.2 信息系统安全的组成与相互关系 16
8.3 信息系统的安全等级 17
8.3.1 五个安全等级 17
8.3.2 安全保护等级的确定 20
8.4 信息系统安全等级保护基本框架 21
8.4.1 信息系统安全保护总体框架 21
8.4.2 信息系统安全等级保护的基本原理和方法 22
8.5 信息系统安全等级保护基本技术 24
8.5.1 标识与鉴别技术 24
8.5.2 访问控制技术 24
8.5.3 存储和传输数据的完整性保护技术 25
8.5.4 存储和传输数据的保密性保护技术 25
8.5.5 边界隔离与防护技术 25
8.5.6 系统安全运行及可用性保护技术 25
8.5.7 密码技术 26
8.6 信息系统安全等级保护支撑平台 26
8.6.1 信息系统密码基础设施平台 26
8.6.2 信息系统应用安全支撑平台设计 26
8.6.3 信息系统灾难备份与恢复平台 27
8.6.4 信息系统安全事件应急响应与管理平台 27
8.6.5 信息系统安全管理平台 28
8.7 等级化安全信息系统构建技术 29
附录A(资料性附录) 基本概念说明 30
A.1 业务应用软件系统及其子系统 30
A.2 信息系统及其子系统 30
A.3 关于安全域 30
附录B(资料性附录) 实施等级保护的方法 31
B.1 全系统同一安全等级安全保护 31
B.2 分系统不同安全等级安全保护 31
B.3 虚拟系统不同安全等级安全保护 31
参考文献 33
GA/T708-2007
前言
本标准的附录A、附录B为资料性附录。
本标准由公安部信息系统安全标准化技术委员会提出并归口。
本标准起草单位:北京江南天安科技有限公司,北京思源新创信息安全资讯有限公司。
本标准主要起草人:吉增瑞、王志强、陈冠直、景乾元、宋健平。
GA/T708-2007
引 言
信息系统安全等级保护通过三大功能和五个环节,对国家、社会、集团和个人所建立和使用的信息
系统,分等级实施必要的安全保护。
实现信息系统安全等级保护的三大功能是:
---防范与保护功能:从物理、网络、系统、应用和管理等组成部分,实现整体防范与保护;
---监督与检查功能:各单位自我检查与政府职能部门监督检查相结合,从技术和管理两个方面,
确保信息系统的安全性达到确定安全等级的要求;
---响应与处置功能:信息系统拥有者,对系统的安全事件应有快速响应与处置的能力,并在发现
重大问题时能及时向主管部门反映,与有关单位沟通。
实现信息系统安全等级保护的五个环节是指:
---政策、法规环节:制定完善的信息安全等级保护政策、法规,建立专门的管理机构,明确实施的
程序和方法。
---规范化技术与管理环节:制定符合国情的信息系统安全等级保护技术和管理标准,并按标准要
求实施安全管理,进行安全技术和产品的研究和开发。
---系统构建过程控制环节:按照谁主管谁负责的要求,对安全信息系统的构建过程进行全方位控
制,并通过检测机构严格的检测评估,确保所构建的安全信息系统达到所需要的安全性要求。
---系统运行过程控制环节:按照谁运营谁负责的要求,对安全信息系统的运行过程进行全方位控
制,并通过职能部门的监督检查,确保所运行的安全信息系统达到所设计的安全性要求。
---系统监督、检查环节:信息安全相关职能部门,依照法律、法规和标准,制定完善信息安全监管
规章制度,开展信息安全等级保护专项管理工作。督促安全等级保护责任制的落实,监督、检
查并指导信息系统所属部门和单位的信息系统安全等级保护的建设和管理,对安全技术产品
实行监管,对安全检测机构实施监管。建立非盈利的覆盖全国的系统安全等级保护执法检查
与检测支持体系,使用统一标准对运行中的安全信息系统进行检查、检测、评估,确保其实际运
行过程中的安全性达到设计的目标要求。
本标准是对信息系统安全等级保护各个组成部分及其相互关系的描述,首先对信息系统安全等级
保护的组成部分的主要内容及其相互关系做简要说明,然后对每一个组成部分的主要内容做比较详细
的说明。
GA/T708-2007
信息安全技术
信息系统安全等级保护体系框架
1 范围
本标准规定了按照信息安全等级保护的要求从技术角度对信息系统实施安全等级保护的体系
框架。
本标准适用于按照信息系统安全等级保护所规定的五个安全保护等级的要求对信息系统实施安全
等级保护所进行的技术活动及其相关的管理活动。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有
的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究
是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB 17859-1999 计算机信息系统安全保护等级划分准则
3 术语和定义
GB 17859-1999确立的以及下列术语和定义适用于本标准。
3.1
采用具有相应安全强度/等级的信息安全产品、信息安全技术和管理措施,以系统化方法设计和实
现的,按照信息系统安全等级保护的要求具有一级/二级/三级/四级/五级安全性的信息系统。
3.2
信息系统安全子系统的简称。一个信息系统的安全子系统是指由该信息系统中所有安全装置组成
的系统。在GB 17859-1999中,将系统内保护装置的总体称为TCB(可信计算基)。这里用信息安全
系统的称谓是为了强调对信息系统的安全应以系统化的方法进行设计。
3.3
具有确定安全强度/等级,用于构建安全信息系统的信息产品。信息安全产品分为信息技术安全产
品和信息安全专用产品。信息技术安全产品是对信息技术产品附加相应的安全技术和机制组成的产品
(如安全路由器);......
|