信息系统安全等级保护应依据信息系统的安全保护等级情况保证它们具有相应等级的基本安全保护能力,不同安全保护等级的信息系统要求具有不同的安全保护能力。
基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类。技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现;管理类安全要求与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。
基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出;基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出,基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。
信息系统等级保护安全技术设计包括各级系统安全保护环境的设计及其安全互联的设计。各级系统安全保护环境由相应级别的安全计算环境、安全区域边界、安全通信网络和(或)安全管理中心组成。定级系统互联由安全互联部件和跨定级系统安全管理中心组成。
第三级系统安全保护环境设计示例:根据“一个中心”管理下的“三重保护”体系框架,构建安全机制和策略,形成定级系统的安全保护环境。该环境分为如下四部分:安全计算环境、安全区域边界、安全通信网络和安全管理中心。每个部分由1个或若干个子系统(安全保护部件)组成,子系统具有安全保护功能独立完整、调用接口简洁、与安全产品相对应和易于管理等特征。安全计算环境可细分为节点子系统和典型应用支撑子系统;安全管理中心可细分为系统管理子系统、安全管理子系统和审计子系统。
山东新潮信息技术有限公司
地址:山东省济南市高新区汉峪金谷a三区4号楼16层
电话:0531-83532886
传真:0531-83532000