信息安全等级保护安全建设整改工作指南信息安全等级保护

信息安全等级保护安全建设整改工作指南信息安全
等级保护
信息安全等级爱护安全
建设整改工作指南
中华人民共和国公安部
二〇〇九年十月
前言
为便于信息安全等级爱护安全建设整改工作相关单位全面了解和把握安全建设整改工作所依据的技术标准规范，以及安全建设整改工作的目标、内容和方法，公安部编写了«信息安全等级爱护安全建设整改工作指南»，供参考。

本指南包括总那么、安全治理制度建设、安全技术措施建设三个部分，附录是信息安全等级爱护要紧标准简要说明。

由于时刻仓促，体会不足，不妥之处，敬请批判指正。

目录
1 总那么 (1)
1.1 工作目标 (1)
1.2 工作内容 (1)
1.3 工作流程 (2)
1.4 标准应用 (3)
1.5 安全爱护能力目标 (5)
2 安全治理制度建设 (6)
2.1 落实信息安全责任制 (7)
2.2 信息系统安全治理现状分析 (7)
2.3 确定安全治理策略，制定安全治理制度 (8)
2.4 落实安全治理措施 (8)
2.4.1 人员安全治理 (8)
2.4.2 系统运维治理 (8)
2.4.2.1 环境和资产安全治理 (8)
2.4.2.2 设备和介质安全治理 (9)
2.4.2.3 日常运行爱护 (9)
2.4.2.4 集中安全治理 (9)
2.4.2.5 事件处置与应急响应 (9)
2.4.2.6 灾难备份 (9)
2.4.2.7 安全监测 (10)
2.4.2.8 其他安全治理 (10)
2.5 系统建设治理 (10)
2.6 安全自查与调整 (10)
3 安全技术措施建设 (10)
3.1 信息系统安全爱护技术现状分析 (11)
3.1.1 信息系统现状分析 (11)
3.1.2 信息系统安全爱护技术现状分析 (12)
3.1.3 安全需求论证和确定 (12)
3.2 信息系统安全技术建设整改方案设计 (12)
3.2.1 确定安全技术策略，设计总体技术方案 (12)
3.2.1.1 确定安全技术策略 (12)
3.2.1.2 设计总体技术方案 (12)
3.2.2 安全技术方案详细设计 (13)
3.2.2.1 物理安全设计 (13)
3.2.2.2 通信网络安全设计 (13)
3.2.2.3 区域边界安全设计 (13)
3.2.2.4 主机系统安全设计 (13)
3.2.2.5 应用系统安全设计 (14)
3.2.2.6 备份和复原安全设计 (14)
3.2.3 建设经费预算和工程实施打算 (14)
3.2.3.1 建设经费预算 (14)
3.2.3.2 工程实施打算 (14)
3.2.4 方案论证和备案 (15)
3.3 安全建设整改工程实施和治理 (15)
3.3.1 工程实施和治理 (15)
3.3.2 工程监理和验收 (15)
3.3.3 安全等级测评 (15)
附录：信息安全等级爱护要紧标准简要说明 (17)
1 总那么
1.1 工作目标
信息系统运营使用单位在做好信息系统安全等级爱护定级备案工作基础上，按照国家有关规定和标准规范要求，开展信息安全等级爱护安全建设整改工作。

通过落实安全责任制，开展治理制度建设、技术措施建设，落实等级爱护制度的各项要求，使信息系统安全治理水平明显提高，安全爱护能力明显增强，安全隐患和安全事故明显减少，有效保证信息化健康进展，爱护国家安全、社会秩序和公共利益。

1.2 工作内容
信息系统运营使用单位在开展信息安全等级爱护安全建设整改工作中，应按照国家有关规定和标准规范要求，坚持治理和技术并重的原那么，将技术措施和治理措施有机结合，建立信息系统综合防护体系，提高信息系统整体安全爱护能力。

要依据«信息系统安全等级爱护差不多要求»〔以下简称«差不多要求»〕，落实信息安全责任制，建立并落实各类安全治理制度，开展人员安全治理、系统建设治理和系统运维治理等工作，落实物理安全、网络安全、主机安全、应用安全和数据安全等安全爱护技术措施，具体内容如图1所示。

图1：信息系统安全建设整改要紧内容
需要说明的是：不同级别信息系统安全建设整改的具体内容应依照信息系统定级时的业务信息安全等级和系统服务安全等级，以及信息系统安全爱护现状确定。

信息系统安全建设整改工作具体实施能够依照实际情形，将安全治理和安全技术整改内容一并实施，或分步实施。

1.3 工作流程
信息系统安全建设整改工作分五步进行。

第一步：制定信息系统安全建设整改工作规划，对信息系统安全建设整改工作进行总体部署；第二步：开展信息系
统安全爱护现状分析，从治理和技术两个方面确定信息系统安全建设整改需求；第三步：确定安全爱护策略，制定信息系统安全建设整改方案；第四步：开展信息系统安全建设整改工作，建立并落实安全治理制度，落实安全责任制，建设安全设施，落实安全措施；第五步：开展安全自查和等级测评，及时发觉信息系统中存在安全隐患和威逼，进一步开展安全建设整改工作。

该流程如图2所示。

图2：信息系统安全建设整改工作差不多流程
1.4 标准应用
信息系统安全建设整改工作应依据«差不多要求»，并在不同时期、针对不同技术活动参照相应的标准规范进行。

等级爱护有关标准在信息系统安全建设整改工作中的作用如图3所示。

图3：等级爱护相关标准间的关系
需要说明的是，〔一〕«运算机信息系统安全爱护等级划分准那么»及配套标准是«差不多要求»的基础。

«运算机信息系统安全爱护等级划分准那么»〔GB17859，以下简称«划分准那么»〕是等级爱护的基础性标准，«信息系统通用安全技术要求»等技术类标准、«信息系统安全治理要求»等治理类标准和«操作系统安全技术要求»等产品类标准是在«划分准那么»基础上研究制定的。

«差不多要求»以技术类标准和治理类标准为基础，依照现有技术进展水平，从技术和治理两方面提出并确定了不同安全爱护等级信息系统的最低爱护要求，即基线要求。

〔二〕«差不多要求»是信息系统安全建设整改的依据。

信息系统安全建设整改应以落实«差不多要求»为要紧目标。

信息系统运营使用单位应依照信息系统安全爱护等级选择«差不多要求»中相应级别的安全爱护要求作为信息系统的差不多安全需求。

当信息系统有更高安全需求时，可参考«差不多要求»中较高级别爱护要求或«信息系统通用安全技术要求»、«信息系统安全治理要求»等其他标准。

行业主管部门能够依据«差不多要求»，结合行业特点和信息系统实际出台行业细那么，行业细那么的要求应不低于«差不多要求»。

〔三〕«定级指南»为定级工作提供指导。

«信息系统安全等级爱护定级指南»为信息系统定级工作提供了技术支持。

行业主管部门能够依照«定级指南»，结合行业特点和信息系统实际情形，出台本行业的定级细那么，保证行业内信息系统在不同地区等级的一致性，以指导本行业信息系统定级工作的开展。

〔四〕«测评要求»等标准规范等级测评活动。

等级测评是评判信息系统安全爱护状况的重要方法。

«信息系统安全等级爱护测评要求»为等级测评机构开展等级测评活动提供了测评方法和综合评判方法。

«信息系统安全等级爱护测评过程指南»对等级测评活动提出规范性要求，以保证测评结论的准确性和可靠性。

〔五〕«实施指南»等标准指导等级爱护建设。

«信息系统安全等级爱护实施指南»是信息系统安全等级爱护建设实施的过程操纵标准，用于指导信息系统运营使用单位了解和把握信息安全等级爱护工作的方法、要紧工作内容以及不同的角色在不同时期的作用。

«信息系统等级爱护安全设计技术要求»对信息系统安全建设的技术设计活动提供指导，是实现«差不多要求»的方法之一。

1.5 安全爱护能力目标
各级信息系统应通过安全建设整改分别达到以下安全爱护能力目标：
第一级信息系统：通过安全建设整改，信息系统具有抵御一样性攻击的能力，防范常见运算机病毒和恶意代码危害的能力；系统遭到损害后，具有复原系统要紧功能的能力。

第二级信息系统：通过安全建设整改，信息系统具有抵御小规模、较弱强度恶意攻击的能力，抗击一样的自然灾难的能力，防范一样性运算机病毒和恶意代码危害的能力；具有检测常见的攻击行为，并对安全事件进行记录的能力；系统遭到损害后，具有复原系统正常运行状态的能力。

第三级信息系统：通过安全建设整改，信息系统在统一的安全爱护策略下具有抵御大规模、较强恶意攻击的能力，抗击较为严峻的自然灾难的能力，防范运算机病毒和恶意代码危害的能力；具有检测、发觉、报警、记录入侵行为的能力；具有对安全事件进行响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快复原正常运行状态的能力；关于服务保证性要求高的系统，应能快速复原正常运行状态；具有对系统资源、用户、安全机制等进行集中控管的能力。

第四级信息系统：通过安全建设整改，信息系统在统一的安全爱护策略下具有抵御敌对势力有组织的大规模攻击的能力，抗击严峻的自然灾难的能力，防范运算机病毒和恶意代码危害的能力；具有检测、发觉、报警、记录入侵行为的能力；具有对安全事件进行快速响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快复原正常运行状态的能力；关于服务保证性要求高的系统，应能赶忙复原正常运行状态；具有对系统资源、用户、安全机制等进行集中控管的能力。

2 安全治理制度建设
按照国家有关规定，依据«差不多要求»，参照«信息系统安全治理要求»等标准规范要求，开展信息系统等级爱护安全治理制度建设工作。

工作流程见图4。

图4：信息系统安全治理建设整改工作流程
2.1 落实信息安全责任制
明确领导机构和责任部门，设立或明确信息安全领导机构，明确主管领导，落实责任部门。

建立岗位和人员治理制度，依照职责分工，分别设置安全治理机构和岗位，明确每个岗位的职责与任务，落实安全治理责任制。

建立安全教育和培训制度，对信息系统运维人员、治理人员、使用人员等定期进行培训和考核，提高相关人员的安全意识和操作水平。

具体依据«差不多要求»中的〝安全治理机构〞内容，同时能够参照«信息系统安全治理要求»等。

2.2 信息系统安全治理现状分析
在开展信息系统安全治理建设整改之前，通过开展信息系统安全治理现状分析，查找信息系统安全治理建设整改需要解决的问题，明确信息系统安全治理建设整改的需求。

能够依据«差不多要求»等标准，采取对比检查、风险评估、等级测评等方法，分析判定目前所采取的安全治理措施与等级爱护标准要求之间的差距，分析系统已发生的事件或事故，分析安全治理方面存在的问题，形成安全治理建设整改的需求并论证。

2.3 确定安全治理策略，制定安全治理制度
依照安全治理需求，确定安全治理目标和安全策略，针对信息系统的各类治理活动，制定人员安全治理制度、系统建设治理制度、系统运维治理制度、定期检查制度等，规范安全治理人员或操作人员的操作规程等，形成安全治理体系。

具体依据«差不多要求»中的〝安全治理制度〞内容，同时能够参照«信息系统安全治理要求»等。

2.4 落实安全治理措施
2.4.1 人员安全治理
人员安全治理要紧包括人员录用、离岗、考核、教育培训等内容。

规范人员录用、离岗、过程，关键岗位签署保密协议，对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训，对关键岗位的人员进行全面、严格的安全审查和技能考核。

对外部人员承诺访问的区域、系统、设备、信息等进行操纵。

具体依据«差不多要求»中的〝人员安全治理〞内容，同时能够参照«信息系统安全治理要求»等。

2.4.2 系统运维治理
2.4.2.1 环境和资产安全治理
明确环境〔包括主机房、辅机房、办公环境等〕安全治理的责任部门或责任人，加强对人员出入、来访人员的操纵，对有关物理访问、物品进出和环境安全等方面作出规定。

对重要区域设置门禁操纵手段，或使用视频监控等措施。

明确资产〔包括介质、设备、设施、数据和信息等〕安全治理的责任部门或责任人，对资产进行分类、标识，编制与信息系统相关的软件资产、硬件资产等资产清单。

具体依据«差不多要求»中的〝系统运维治理〞内容，同时能够参照«信息系统安
全治理要求»等。

2.4.2.2 设备和介质安全治理
明确配套设施、软硬件设备治理、爱护的责任部门或责任人，对信息系统的各种软硬件设备采购、发放、领用、爱护和修理等过程进行操纵，对介质的存放、使用、爱护和销毁等方面作出规定，加强对涉外修理、敏锐数据销毁等过程的监督操纵。

具体依据«差不多要求»中的〝系统运维治理〞内容，同时能够参照«信息系统安全治理要求»等。

2.4.2.3 日常运行爱护
明确网络、系统日常运行爱护的责任部门或责任人，对运行治理中的日常操作、账号治理、安全配置、日志治理、补丁升级、口令更新等过程进行操纵和治理，制订相应的治理制度和操作规程并落实执行。

具体依据«差不多要求»中的〝系统运维治理〞内容，同时能够参照«信息系统安全治理要求»等。

2.4.2.4 集中安全治理
第三级〔含〕以上信息系统应按照统一的安全策略、安全治理要求，统一治理信息系统的安全运行，进行安全机制的配置与治理，对设备安全配置、恶意代码、补丁升级、安全审计等进行治理，对与安全有关的信息进行聚拢与分析，对安全机制进行集中治理。

具体依据«差不多要求»中的〝系统运维治理〞内容，同时能够参照«信息系统等级爱护安全设计技术要求»和«信息系统安全治理要求»等。

2.4.2.5 事件处置与应急响应
按照国家有关标准规定，确定信息安全事件的等级。

结合信息系统安全爱护等级，制定信息安全事件分级应急处置预案，明确应急处置策略，落实应急指挥部门、执行部门和技术支撑部门，建立应急和谐机制。

落实安全事件报告制度，第三级〔含〕以上信息系统发生较大、重大、专门重大安全事件时，运营使用单位按照相应预案开展应急处置，并及时向受理备案的公安机关报告。

组织应急技术支撑力量和专家队伍，按照管急预案定期组织开展应急演练。

具体依据«差不多要求»中的〝系统运维治理〞内容，同时能够参照«信息安全事件分类分级指南»和«信息安全事件治理指南»等。

2.4.2.6 灾难备份
要对第三级〔含〕以上信息系统采取灾难备份措施，防止重大事故、事件发生。

识别需要定期备份的重要业务信息、系统数据及软件系统等，制定数据的备份策略和复原策略，建立备份与复原治理相关的安全治理制度。

具体依据«差不多要求»中的〝系统运维治理〞内容和«信息系统灾难复原规范»。

2.4.2.7 安全监测
开展信息系统实时安全监测，实现对物理环境、通信线路、主机、网络设备、用户行为和业务应用等的监测和报警，及时发觉设备故障、病毒入侵、黑客攻击、误用和误操作等安全事件，以便及时对安全事件进行响应与处置。

具体依据«差不多要求»中的〝系统运维治理〞。

2.4.2.8 其他安全治理
对系统运行爱护过程中的其它活动，如系统变更、密码使用等进行操纵和治理。

按国家密码治理部门的规定，对信息系统中密码算法和密钥的使用进行分级治理。

2.5 系统建设治理
制定系统建设相关的治理制度，明确系统定级备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等内容的治理责任部门、具体治理内容和操纵方法，并按照治理制度落实各项治理措施。

具体依据«差不多要求»中的〝系统建设治理〞内容。

2.6 安全自查与调整
制定安全检查制度，明确检查的内容、方式、要求等，检查各项制度、措施的落实情形，并不断完善。

定期对信息系统安全状况进行自查，第三级信息系统每年自查一次，第四级信息系统每半年自查一次。

经自查，信息系统安全状况未达到安全爱护等级要求的，应当进一步开展整改。

具体依据«差不多要求»中的〝安全治理机构〞内容，同时能够参照«信息系统安全治理要求»等。

信息系统安全治理建设整改工作完成后，安全治理方面的等级测评与安全技术方面的测评工作一并进行。

3 安全技术措施建设
按照国家有关规定，依据«差不多要求»，参照«信息系统通用安全技术要求»、«信息系统等级爱护安全设计技术要求»等标准规范要求，开展信息系统安全技术
建设整改工作。

工作流程见图5。

图5：信息系统安全技术建设整改工作流程
3.1 信息系统安全爱护技术现状分析
了解把握信息系统现状，分析信息系统的安全爱护状况，明确信息系统安全技术建设整改需求，为安全建设整改技术方案设计提供依据。

3.1.1 信息系统现状分析
了解把握信息系统的数量和等级、所处的网络区域以及信息系统所承载的业务应用情形，分析信息系统的边界、构成和相互关联情形，分析网络结构、内部区域、区域边界以及软、硬件资源等。

具体可参照«信息系统安全等级爱护实施。

指南»中〝信息系统分析〞的内容。

3.1.2 信息系统安全爱护技术现状分析
在开展信息系统安全技术建设整改之前，应通过开展信息系统安全爱护技术现状分析，查找信息系统安全爱护技术建设整改需要解决的问题，明确信息系统安全爱护技术建设整改的需求。

可采取对比检查、风险评估、等级测评等方法，分析判定目前所采取的安全技术措施与等级爱护标准要求之间的差距，分析系统已发生的事件或事故，分析安全技术方面存在的问题，形成安全技术建设整改的差不多安全需求。

在满足信息系统安全等级爱护差不多要求基础上，能够结合行业特点和信息系统安全爱护的专门要求，提出专门安全需求。

具体可参照«差不多要求»、«信息系统安全等级爱护测评要求»和«信息系统安全等级爱护测评过程指南»等标准。

3.1.3 安全需求论证和确定
安全需求分析工作完成后，将信息系统的安全治理需求与安全技术需求综合形成安全需求报告。

组织专家对安全需求进行评审论证。

3.2 信息系统安全技术建设整改方案设计
在安全需求分析的基础上，开展信息系统安全建设整改方案设计，包括总体设计和详细设计，制定工程预算和工程实施打算等，为后续安全建设整改工程实施提供依据。

3.2.1 确定安全技术策略，设计总体技术方案
3.2.1.1 确定安全技术策略
依照安全需求分析，确定安全技术策略，包括业务系统分级策略、数据信息分级策略、区域互连策略和信息流操纵策略等，用以指导系统安全技术体系结构设计。

3.2.1.2 设计总体技术方案
在进行信息系统安全建设整改技术方案设计时，应以«差不多要求»为差不多目标，能够针对安全现状分析发觉的问题进行加固改造，缺什么补什么；也能够进行总体的安全技术设计，将不同区域、不同层面的安全爱护措施形成有机的安全爱护体系，落实物理安全、网络安全、主机安全、应用安全和数据安全等方面差不多要求，最大程度发挥安全措施的爱护能力。

在进行安全技术设计时，可参
考«信息系统等级爱护安全设计技术要求»，从安全运算环境、安全区域边界、安全通信网络和安全治理中心等方面落实安全爱护技术要求。

3.2.2 安全技术方案详细设计
3.2.2.1 物理安全设计
从安全技术设施和安全技术措施两方面对信息系统所涉及到的主机房、辅助机房和办公环境等进行物理安全设计，设计内容包括防震、防雷、防火、防水、防盗窃、防破坏、温湿度操纵、电力供应、电磁防护等方面。

物理安全设计是对采纳的安全技术设施或安全技术措施的物理部署、物理尺寸、功能指标、性能指标等内容提出具体设计参数。

具体依据«差不多要求»中的〝物理安全〞内容，同时能够参照«信息系统物理安全技术要求»等。

3.2.2.2 通信网络安全设计
对信息系统所涉及的通信网络，包括骨干网络、城域网络和其他通信网络〔租用线路〕等进行安全设计，设计内容包括通信过程数据完整性、数据保密性、保证通信可靠性的设备和线路冗余、通信网络的网络治理等方面。

通信网络安全设计涉及所需采纳的安全技术机制或安全技术措施的设计，对技术实现机制、产品形状、具体部署形式、功能指标、性能指标和配置参数等提出具体设计细节。

具体依据«差不多要求»中〝网络安全〞内容，同时能够参照«网络基础安全技术要求»等。

3.2.2.3 区域边界安全设计
对信息系统所涉及的区域网络边界进行安全设计，内容包括对区域网络的边界爱护、区域划分、身份认证、访问操纵、安全审计、入侵防范、恶意代码防范和网络设备自身爱护等方面。

区域边界安全设计涉及所需采纳的安全技术机制或安全技术措施的设计，对技术实现机制、产品形状、具体部署形式、功能指标、性能指标和配置策略和参数等提出具体设计细节。

具体依据«差不多要求»中的〝网络安全〞内容，同时能够参照«信息系统等级爱护安全设计技术要求»、«网络基础安全技术要求»等。

3.2.2.4 主机系统安全设计
对信息系统涉及到的服务器和工作站进行主机系统安全设计，内容包括操作系统或数据库治理系统的选择、安装和安全配置，主机入侵防范、恶意代码防范、
资源使用情形监控等。

其中，安全配置细分为身份鉴别、访问操纵、安全审计等方面的配置内容。

具体依据«差不多要求»中的〝主机安全〞内容，同时能够参照«信息系统等级爱护安全设计技术要求»、«信息系统通用安全技术要求»等。

3.2.2.5 应用系统安全设计
对信息系统涉及到的应用系统软件〔含应用/中间件平台〕进行安全设计，设计内容包括身份鉴别、访问操纵、安全标记、可信路径、安全审计、剩余信息爱护、通信完整性、通信保密性、抗抵赖、软件容错和资源操纵等。

具体依据«差不多要求»中的〝应用安全〞内容，同时能够参照«信息系统等级爱护安全设计技术要求»、«信息系统通用安全技术要求»等。

3.2.2.6 备份和复原安全设计
针对信息系统的业务数据安全和系统服务连续性进行安全设计，设计内容包括数据备份系统、备用基础设施以及相关技术设施。

针对业务数据安全的数据备份系统可考虑数据备份的范畴、时刻间隔、实现技术与介质以及数据备份线路的速率以及相关通信设备的规格和要求；针对信息系统服务连续性的安全设计可考虑连续性保证方式〔设备冗余、系统级冗余直至远程集群支持〕与实现细节，包括相关的基础设施支持、冗余/集群机制的选择、硬件设备的功能/性能指标以及软硬件的部署形式与参数配置等。

具体依据«差不多要求»中的〝数据安全和备份复原〞内容，同时能够参照«信息系统灾难复原规范»等。

3.2.3 建设经费预算和工程实施打算
3.2.3.1 建设经费预算
依照信息系统的安全建设整改内容提出详细的经费预算，包括产品名称、型号、配置、数量、单价、总价和合计等，同时应包括集成费用、等级测评费用、服务费用和治理费用等。

关于跨年度的安全建设整改或安全改建，提供分年度的经费预算。

3.2.3.2 工程实施打算
依照信息系统的安全建设整改内容提出详细的工程实施打算，包括建设内容、工程组织、时期划分、项目分解、时刻打算和进度安排等。

关于跨年度的安全建设整改或安全改建，要对安全建设整改方案明确的要紧安全建设整改内容进行适当的项目分解，比如分解成机房安全改造项目、网络安全建设整改项目、系。