信息安全技术 信息系统安全等级保护实施指南

等级保护指南
等级保护指南是对信息系统进行等级保护的指导性文件，旨在帮助组织了解和实施等级保护制度，确保信息系统的安全性和稳定性。

等级保护指南通常包括以下内容：
信息系统等级保护概述：介绍等级保护制度的背景、目的和意义，以及信息系统等级保护的基本概念和原则。

信息系统等级划分与确定：根据信息系统的重要性和涉密程度，将信息系统划分为不同的等级，并确定相应的保护要求。

信息系统安全保护要求：针对不同等级的信息系统，提出相应的安全保护要求，包括物理安全、网络安全、应用安全等方面的要求。

信息系统安全监测与应急响应：介绍如何对信息系统的安全状况进行监测，以及在发生安全事件时如何进行应急响应和处置。

信息系统安全管理：强调信息系统的安全管理的重要性，包括人员管理、制度建设、技术防范等方面的要求。

在实施等级保护制度时，组织需要根据自身情况选择合适的等级保护指南，并根据指南的要求制定相应的安全管理制度和措施，确保信息系统的安全性和稳定性。

汤阴县人民法院信息化设备采购项目合同书合同编号：甲方：汤阴县人民法院乙方：郑州四通系统集成有限公司签订地点：汤阴县人民法院签订时间：年月日甲方：汤阴县人民法院乙方：郑州四通系统集成有限公司甲、乙双方根据年月日发布的招标编号为:汤财招标采购【2018】128号“汤阴县人民法院信息化设备采购项目”的中标公告通知书及其相关文件，并经双方协商一致，按照《中华人民共和国合同法》的有关规定达成以下合同条款：一、项目名称：汤阴县人民法院信息化设备采购项目二、项目范围：包含设备安装调试、培训、售后服务等1.合同文件的组成下列文件是构成本合同不可分割的部分：(1)乙方提交的投标文件；(2)投标供货报价一览表;(3)中标通知书；(4)合同条款;2.合同范围和条件本合同的范围和条件应与上述合同文件的规定相一致。

三、合同总价：壹佰陆拾柒万玖仟玖佰元整（￥：1679900.00）。

分项报价见合同附件（设备清单）。

四、质量要求及乙方对质量负责条件和期限：乙方应提供全新设备（包括零部件、附件、备品备件），设备必须符合产品质量标准要求。

乙方在此保证全部按照合同规定的时间和方式向甲方提供货物和服务，并负责可能的弥补缺陷。

甲方对设备规格型号有异议的应在收到货物后 3 日内以书面形式向乙方提出。

五、售后服务承诺保修期限：自交付使用之日起，乙方对整个系统提供为期三年的免费技术服务（人为因素除外，人为造成损坏的维修费用由甲方承担），系统的硬件设备的保修期依据厂家保修手册执行。

六、工期及进度：合同生效后，乙方应于年月日前按甲方要求在甲方指定的地点完成设备的安装调试，设备运送的费用由乙方负责。

甲方应在设备到达指定地点后，提供符合安装条件的场地、电源、环境等。

七、培训：为了使甲方更好地掌握系统的使用与维护方法，乙方为甲方提供现场培训计划。

鉴于本合同的有关条款，我们提供免费的现场的培训。

培训人员：甲方IT部门，行政部门等直接管理和操作的人员若干。

关于信息安全等级保护工作的实施意见【颁布单位】公安部国家保密局国家密码管理委员会办公室国务院信息化工作办公室【颁布日期】 20040915【实施日期】 20040917【文号】公通字[2004]66号【名称】关于信息安全等级保护工作的实施意见信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。

实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。

为了进一步提高信息安全的保障能力和防护水平，维护国家安全、公共利益和社会稳定，保障和促进信息化建设的健康发展，1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。

2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。

一、开展信息安全等级保护工作的重要意义近年来，党中央、国务院高度重视，各有关方面协调配合、共同努力，我国信息安全保障工作取得了很大进展。

但是从总体上看，我国的信息安全保障工作尚处于起步阶段，基础薄弱，水平不高，存在以下突出问题：信息安全意识和安全防范能力薄弱，信息安全滞后于信息化发展；信息系统安全建设和管理的目标不明确；信息安全保障工作的重点不突出；信息安全监督管理缺乏依据和标准，监管措施有待到位，监管体系尚待完善。

全国信息安全标准化技术委员会关于印发《信息安全技术信息系统安全等级保护基本要求》国家标准报批稿的通知文章属性•【制定机关】全国信息安全标准化技术委员会•【公布日期】2007.06.27•【文号】信安字[2007]12号•【施行日期】2007.06.27•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】标准化正文全国信息安全标准化技术委员会关于印发《信息安全技术信息系统安全等级保护基本要求》国家标准报批稿的通知（信安字〔2007〕12号）各有关单位：《信息安全技术信息系统安全等级保护基本要求》国家标准基本成熟，通过了全国信息安全标准化技术委员会的审查，已形成国家标准报批稿，正在报批过程中。

为推动正在进行的全国信息系统安全等级保护工作，经信安标委主任办公会议同意，现将该国家标准报批稿先印发给你们，供在工作中参考。

特此通知。

全国信息安全标准化技术委员会二00七年六月二十七日附件：《信息安全技术信息系统安全等级保护基本要求》信息安全技术信息系统安全等级保护基本要求GB/T 0000-0000Information security technology-Baseline for classified protection of information system前言本标准的附录A和附录B是规范性附录。

本标准由公安部和全国信息安全标准化技术委员会提出。

本标准由全国信息安全标准化技术委员会归口。

本标准起草单位：公安部信息安全等级保护评估中心。

本标准主要起草人：马力、任卫红、李明、袁静、谢朝海、曲洁、李升、陈雪秀、朱建平、黄洪、刘静、罗峥、毕马宁。

引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。

2023年计算机三级《信息安全技术》考试全真模拟易错、难点汇编贰（答案参考）（图片大小可自由调整）一.全考点综合测验(共50题)1.【单选题】下面对WAPI描述不正确的是：A.安全机制由WAI和WPI 两部分组成B.WAI实现对用户身份的鉴别C.WPI实现对传输的数据加密D.WAI实现对传输的数据加密正确答案：D2.【单选题】不是计算机病毒所具有的特点____A.传染性B.破坏性C.可预见性D.潜伏性正确答案：C3.【单选题】IP 欺骗( IP Spoof )是利用TCP/IP 协议中的缺陷进行攻击的A.对源IP 地址弱鉴别方式B.结束会话时的四次握手过程C.IP 协议寻址机制D.TCP寻址机制正确答案：A4.【单选题】以下哪一个数据传输方式难以通过网络窃听获取信息?A.FTP传输文件B.TELNET进行远程管理C.URL以HTTPS开头的网页容D.经过TACACS+认证和授权后建立的连接正确答案：C5.【单选题】对于信息安全管理负有责任。

B.安全管理员C.IT 管理员D.所有与信息系统有关人员正确答案：D6.【单选题】《信息系统安全等级保护实施指南》将____作为实施等级保护的第一项重要内容。

A.安全定级B.安全评估C.安全规划D.安全实施正确答案：A7.【单选题】《计算机信息网络国际联网安全保护管理办法》规定，互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构)，应当自网络正式联通之日起____日内，到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。

A.7C.30D.10正确答案：C8.【单选题】入侵检测技术可以分为误用检测和____两大类。

A.病毒检测B.详细检测C.异常检测D.漏洞检测正确答案：C9.【单选题】下列属于良性病毒的是A.黑色星期五病毒B.火炬病毒C.扬基病毒D.米开朗基罗病毒10.【单选题】以下哪个是恶意代码采用的隐藏技术A.文件隐藏B.进程隐藏C.网络连接隐藏D.以上都是正确答案：D11.【单选题】关于防火墙的描述不正确的是：A.防火墙不能防止内部攻击。

信息系统安全等级保护定级指南(总6页)-CAL-FENGHAI.-(YICAI)-Company One1-CAL-本页仅作为文档封面，使用请直接删除前言本标准由公安部和全国信息安全标准化技术委员会提出。

本标准由全国信息安全标准化技术委员会归口。

本标准起草单位：公安部信息安全等级保护评估中心。

本标准主要起草人：任卫红、曲洁、马力、朱建平、李明、李升、谢朝海、毕马宁、陈雪秀。

引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括：——GB/T BBBBB-BBBB信息系统安全等级保护基本要求；——GB/T CCCCC-CCCC信息系统安全等级保护实施指南；——GB/T DDDDD-DDDD信息系统安全等级保护测评准则。

本标准依据等级保护相关管理文件，从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面，提出确定信息系统安全保护等级的方法。

信息系统安全等级保护定级指南1?范围本标准规定了信息系统安全等级保护的定级方法，适用于为信息系统安全等级保护的定级工作提供指导。

2规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件，其最新版本适用于本标准。

GB/T 5271.8 信息技术词汇第8部分：安全GB17859-1999 计算机信息系统安全保护等级划分准则3术语和定义GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。

前言本标准由公安部和全国信息安全标准化技术委员会提出。

本标准由全国信息安全标准化技术委员会归口。

本标准起草单位：公安部信息安全等级保护评估中心。

本标准主要起草人：任卫红、曲洁、马力、朱建平、李明、李升、谢朝海、毕马宁、陈雪秀。

引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括：——GB/T BBBBB-BBBB信息系统安全等级保护基本要求；——GB/T CCCCC-CCCC信息系统安全等级保护实施指南；——GB/T DDDDD-DDDD信息系统安全等级保护测评准则。

本标准依据等级保护相关管理文件，从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面，提出确定信息系统安全保护等级的方法。

信息系统安全等级保护定级指南1 范围本标准规定了信息系统安全等级保护的定级方法，适用于为信息系统安全等级保护的定级工作提供指导。

2 规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件，其最新版本适用于本标准。

GB/T 5271.8 信息技术词汇第8部分：安全GB17859-1999 计算机信息系统安全保护等级划分准则3 术语和定义GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。

3.1等级保护对象 target of classified security信息安全等级保护工作直接作用的具体的信息和信息系统。

信息安全技术信息系统安全保护等级定级指南ICS35.020L 09中华人民共和国国家标准GB 17859-1999信息安全技术信息系统安全等级保护定级指南Information security technology-Classification guide for classified protection of information system2008-11-01实施__________________________________2008-06-19发布中国国家标准化管理委员会中华人民共和国国家质量监督检验检疫总局发布引言依据国家信息安全等级保护管理规定制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括：——GB/T 22239—2008《信息系统安全等级保护基本要求》；——国家标准《信息系统安全等级保护实施指南》；——国家标准《信息系统安全等级保护测评准则》。

本标准依据等级保护相关管理文件，从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面，提出确定信息系统安全保护等级的方法。

信息安全技术信息系统安全等级保护定级指南1 范围本标准规定了信息系统安全等级保护的定级方法，适用于为信息系统安全等级保护的定级工作提供指导。

2 规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件，其最新版本适用于本标准。

GB/T 5271.8 信息技术词汇第8部分：安全（GB/T 5271.8—2001，idt ISO/IEC 2382-8：1998）GB17859 计算机信息系统安全保护等级划分准则3 术语和定义GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。

电力信息系统安全等级保护实施指南
电力信息系统安全等级保护实施指南是为了保护电力信息系统的安全性和稳定性，避免信息泄露、数据损坏或系统被恶意攻击。

实施指南包括以下几个方面：
1. 安全评估和等级划分：对电力信息系统进行全面的安全评估，根据评估结果划分系统的安全等级，确定相应的安全保护措施。

2. 安全管理机构建设：建立健全的电力信息系统安全管理机构，包括安全责任部门、安全专职人员和安全管理制度等。

3. 安全策略和规范制定：制定电力信息系统安全策略和规范，明确安全要求和控制措施，建立技术和管理的安全防护体系。

4. 安全技术保障措施：采取各种技术手段和措施，包括网络安全设备的部署、防火墙和入侵检测系统的使用、数据备份和恢复机制的建立等。

5. 安全培训和意识提升：定期对电力信息系统的使用人员进行安全培训，增强信息安全意识和能力，防止因为人为因素导致的安全漏洞。

6. 安全监控和响应机制建立：建立完善的安全监控体系，及时发现和解决电力信息系统的安全问题，建立紧急响应预案和处置机制。

7. 定期演练和评估：定期进行安全演练和安全评估，检验和提升电力信息系统的安全性和应急响应能力，及时发现和修复安全漏洞。

以上是电力信息系统安全等级保护实施指南的主要内容，通过执行这些指南，可以有效保护电力信息系统的安全性和稳定性，保障电力行业的正常运行。

信息系统安全等级保护定级指南-标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII信息系统安全等级保护定级指南依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。

1.范围本标准规定了信息系统安全等级保护的定级方法，适用于为信息系统安全等级保护的定级工作提供指导。

2.规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件，其最新版本适用于本标准。

GB/T 信息技术词汇第8部分：安全GB17859-1999 计算机信息系统安全保护等级划分准则3.术语和定义GB/T 和GB17859-1999确立的以及下列术语和定义适用于本标准。

等级保护对象 target of classified security信息安全等级保护工作直接作用的具体的信息和信息系统。

客体object受法律保护的、等级保护对象受到破坏时所侵害的社会关系，如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益。

客观方面objective对客体造成侵害的客观外在表现，包括侵害方式和侵害结果等。

系统服务 system service信息系统为支撑其所承载业务而提供的程序化过程。

4.定级原理信息系统安全保护等级根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

电子政务信息安全等级保护实施指南一、引言随着信息技术的快速发展，电子政务已经逐渐成为政府机构重要的工作手段和服务方式。

然而，电子政务也伴随着信息安全的风险和挑战。

为了保障电子政务信息的安全，政府机构需要制定和实施信息安全等级保护措施，确保电子政务系统的安全稳定运行。

本文将详细介绍电子政务信息安全等级保护实施指南。

二、电子政务信息安全等级划分针对电子政务系统，应根据其重要程度和风险程度，将其划分为多个安全等级。

划分安全等级可参考以下因素：1.信息价值：根据电子政务系统所涉及的敏感信息、业务流程、数据量等方面的综合评估，确定其信息价值。

2.风险评估：通过对潜在威胁和风险的评估，确定系统的风险程度。

3.法规要求：根据国家相关法规和标准，确定需要达到的安全等级。

在划分安全等级时，应确保安全等级与系统的敏感性和价值相适应，以确保资源和投入的有效利用。

1.安全政策和管理措施：建立并定期修订电子政务系统的安全政策，明确责任和权限，制定信息安全管理措施，保证系统的安全运行。

2.组织与人员安全：建立信息安全保护组织机构，明确各部门和人员的职责和权限。

配备专业的信息安全管理人员，通过培训和考核提升员工的信息安全意识和技能。

3.物理安全控制：采取物理安全措施，保护电子政务系统的物理环境安全。

包括门禁控制、机房布局、监控摄像等措施，防止物理攻击和非法入侵。

4.系统与网络安全管理：建立完善的系统和网络安全管理制度，包括身份认证、访问控制、日志审计等措施，保护系统和网络免受非法入侵和恶意活动的侵害。

5.数据安全管理：制定数据安全保护政策和措施，包括数据备份、加密和恢复等，确保敏感信息的机密性和完整性。

6.应用系统安全：建立应用系统安全管理制度，包括软件开发和安全测试、安全访问控制、漏洞修复等措施，保护应用系统的安全。

7.通信与传输安全：采取安全的通信和传输措施，保护数据在传输过程中的安全。

使用加密技术、防火墙等，防止数据泄露和篡改。

信息安全技术信息系统安全等级保护实施指南前言本标准的附录A是规范性附录;本标准由公安部和全国信息安全标准化技术委员会提出;本标准由全国信息安全标准化技术委员会归口;本标准起草单位：公安部信息安全等级保护评估中心;本标准主要起草人：毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、刘静、罗峥;引言依据中华人民共和国计算机信息系统安全保护条例国务院147号令、国家信息化领导小组关于加强信息安全保障工作的意见中办发200327号、关于信息安全等级保护工作的实施意见公通字200466号和信息安全等级保护管理办法公通字200743号,制定本标准;本标准是信息安全等级保护相关系列标准之一;与本标准相关的系列标准包括：——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南；——GB/T BBBB-BBBB 信息安全技术信息系统安全等级保护基本要求;在对信息系统实施信息安全等级保护的过程中,除使用本标准外,在不同的阶段,还应参照其他有关信息安全等级保护的标准开展工作;在信息系统定级阶段,应按照GB/T AAAA-AAAA介绍的方法,确定信息系统安全保护等级;在信息系统总体安全规划,安全设计与实施,安全运行与维护和信息系统终止等阶段,应按照GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运行维护管理工作;GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准是信息系统安全等级保护的系列相关配套标准,其中GB17859-1999是基础性标准,GB/T20269-2006、GB/T20270-2006 和GB/T20271-2006等是对GB17859-1999的进一步细化和扩展,GB/T BBBB-BBBB是以GB17859-1999为基础,根据现有技术发展水平提出的对不同安全保护等级信息系统的最基本安全要求,是其他标准的一个底线子集;对信息系统的安全等级保护应从GB/T BBBB-BBBB出发,在保证信息系统满足基本安全要求的基础上,逐步提高对信息系统的保护水平,最终满足GB17859-1999、 GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等标准的要求;除本标准和上述提到的标准外,在信息系统安全等级保护实施过程中,还可参照和使用GB/T20272-2006和GB/T20273-2006等其它等级保护相关技术标准;信息系统安全等级保护实施指南1 范围本标准规定了信息系统安全等级保护实施的过程,适用于指导信息系统安全等级保护的实施;2 规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款;凡是注日期的引用文件,其随后所有的修改单不包括勘误的内容或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本;凡是不注明日期的引用文件,其最新版本适用于本标准;GB/T 信息技术词汇第8部分：安全GB17859-1999 计算机信息系统安全保护等级划分准则GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南3 术语和定义GB/T 和GB 17859-1999确立的以及下列术语和定义适用于本标准;等级测评 classified security testing and evaluation确定信息系统安全保护能力是否达到相应等级基本要求的过程;4 等级保护实施概述基本原则信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督;信息系统安全等级保护实施过程中应遵循以下基本原则：a 自主保护原则信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护;b 重点保护原则根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统;c 同步建设原则信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应;d 动态调整原则要跟踪信息系统的变化情况,调整安全保护措施;由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护;角色和职责信息系统安全等级保护实施过程中涉及的各类角色和职责如下：a 国家管理部门公安机关负责信息安全等级保护工作的监督、检查、指导；国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导；国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导；涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理；国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调;b 信息系统主管部门负责依照国家信息安全等级保护的管理规范和技术标准,督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作;c 信息系统运营、使用单位负责依照国家信息安全等级保护的管理规范和技术标准,确定其信息系统的安全保护等级,有主管部门的,应当报其主管部门审核批准；根据已经确定的安全保护等级,到公安机关办理备案手续；按照国家信息安全等级保护管理规范和技术标准,进行信息系统安全保护的规划设计；使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品和信息安全产品,开展信息系统安全建设或者改建工作；制定、落实各项安全管理制度,定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查,选择符合国家相关规定的等级测评机构,定期进行等级测评；制定不同等级信息安全事件的响应、处置预案,对信息系统的信息安全事件分等级进行应急处置;d 信息安全服务机构负责根据信息系统运营、使用单位的委托,依照国家信息安全等级保护的管理规范和技术标准,协助信息系统运营、使用单位完成等级保护的相关工作,包括确定其信息系统的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造等;e 信息安全等级测评机构负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权,协助信息系统运营、使用单位或国家管理部门,按照国家信息安全等级保护的管理规范和技术标准,对已经完成等级保护建设的信息系统进行等级测评；对信息安全产品供应商提供的信息安全产品进行安全测评;f 信息安全产品供应商负责按照国家信息安全等级保护的管理规范和技术标准,开发符合等级保护相关要求的信息安全产品,接受安全测评；按照等级保护相关要求销售信息安全产品并提供相关服务;实施的基本流程在安全运行与维护阶段,信息系统因需求变化等原因导致局部调整,而系统的安全保护等级并未改变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、调整和实施安全措施,确保满足等级保护的要求；但信息系统发生重大变更导致系统安全保护等级变化时,应从安全运行与维护阶段进入信息系统定级阶段,重新开始一轮信息安全等级保护的实施过程;5 信息系统定级信息系定级阶段的工作流程信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规范和GB/T AAAA-AAAA,确定信息系统的安全保护等级,信息系统运营、使用单位有主管部门的,应当经主管部门审核批准;信息系统分析系统识别和描述活动目标：本活动的目标是通过从信息系统运营、使用单位相关人员处收集有关信息系统的信息,并对信息进行综合分析和整理,依据分析和整理的内容形成组织机构内信息系统的总体描述性文档;参与角色：信息系统运营、使用单位,信息安全服务机构;活动输入：信息系统的立项、建设和管理文档;活动描述：本活动主要包括以下子活动内容：a 识别信息系统的基本信息调查了解信息系统的行业特征、主管机构、业务范围、地理位置以及信息系统基本情况,获得信息系统的背景信息和联络方式;b 识别信息系统的管理框架了解信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责,获得支持信息系统业务运营的管理特征和管理框架方面的信息,从而明确信息系统的安全责任主体;c 识别信息系统的网络及设备部署了解信息系统的物理环境、网络拓扑结构和硬件设备的部署情况,在此基础上明确信息系统的边界,即确定定级对象及其范围;d 识别信息系统的业务种类和特性了解机构内主要依靠信息系统处理的业务种类和数量,这些业务各自的社会属性、业务内容和业务流程等,从中明确支持机构业务运营的信息系统的业务特性,将承载比较单一的业务应用或者承载相对独立的业务应用的信息系统作为单独的定级对象;e 识别业务系统处理的信息资产了解业务系统处理的信息资产的类型,这些信息资产在保密性、完整性和可用性等方面的重要性程度;f 识别用户范围和用户类型根据用户或用户群的分布范围了解业务系统的服务范围、作用以及业务连续性方面的要求等;g 信息系统描述对收集的信息进行整理、分析,形成对信息系统的总体描述文件;一个典型的信息系统的总体描述文件应包含以下内容：1系统概述；2系统边界描述；3网络拓扑；4设备部署；5支撑的业务应用的种类和特性；6处理的信息资产；7用户的范围和用户类型；8信息系统的管理框架;活动输出：信息系统总体描述文件;信息系统划分活动目标：本活动的目标是依据信息系统的总体描述文件,在综合分析的基础上将组织机构内运行的信息系统进行合理分解,确定所包含可以作为定级对象的信息系统的个数;参与角色：信息系统运营、使用单位,信息安全服务机构;活动输入：信息系统总体描述文件;活动描述：本活动主要包括以下子活动内容：a 划分方法的选择一个组织机构可能运行一个大型信息系统,为了突出重点保护的等级保护原则,应对大型信息系统进行划分,进行信息系统划分的方法可以有多种,可以考虑管理机构、业务类型、物理位置等因素,信息系统的运营、使用单位应该根据本单位的具体情况确定一个系统的分解原则;b 信息系统划分依据选择的系统划分原则,将一个组织机构内拥有的大型信息系统进行划分,划分出相对独立的信息系统并作为定级对象,应保证每个相对独立的信息系统具备定级对象的基本特征;在信息系统划分的过程中,应该首先考虑组织管理的要素,然后考虑业务类型、物理区域等要素;c 信息系统详细描述在对信息系统进行划分并确定定级对象后,应在信息系统总体描述文件的基础上,进一步增加信息系统划分信息的描述,准确描述一个大型信息系统中包括的定级对象的个数;进一步的信息系统详细描述文件应包含以下内容：1相对独立信息系统列表；2 每个定级对象的概述；3 每个定级对象的边界；4 每个定级对象的设备部署；5 每个定级对象支撑的业务应用及其处理的信息资产类型；6 每个定级对象的服务范围和用户类型；7 其他内容;活动输出：信息系统详细描述文件;安全保护等级确定定级、审核和批准活动目标：本活动的目标是按照国家有关管理规范和GB/T AAAA-AAAA,确定信息系统的安全保护等级,并对定级结果进行审核和批准,保证定级结果的准确性;参与角色：信息系统主管部门,信息系统运营、使用单位,信息安全服务机构;活动输入：信息系统总体描述文件,信息系统详细描述文件;活动描述：本活动主要包括以下子活动内容：a 信息系统安全保护等级初步确定根据国家有关管理规范和GB/T AAAA-AAAA确定的定级方法,信息系统运营、使用单位对每个定级对象确定初步的安全保护等级;b 定级结果审核和批准信息系统运营、使用单位初步确定了安全保护等级后,有主管部门的,应当经主管部门审核批准;跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级;对拟确定为第四级以上信息系统的,运营使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审;活动输出：信息系统定级评审意见;形成定级报告活动目标：本活动的目标是对定级过程中产生的文档进行整理,形成信息系统定级结果报告;参与角色：信息系统主管部门,信息系统运营、使用单位;活动输入：信息系统总体描述文件,信息系统详细描述文件,信息系统定级结果;活动描述：对信息系统的总体描述文档、信息系统的详细描述文件、信息系统安全保护等级确定结果等内容进行整理,形成文件化的信息系统定级结果报告;信息系统定级结果报告可以包含以下内容：a 单位信息化现状概述；b 管理模式；c 信息系统列表；d 每个信息系统的概述；e 每个信息系统的边界；f 每个信息系统的设备部署；g 每个信息系统支撑的业务应用；h 信息系统列表、安全保护等级以及保护要求组合；i 其他内容;活动输出：信息系统安全保护等级定级报告;6 总体安全规划总体安全规划阶段的工作流程总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况,通过分析明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指导后续的信息系统安全建设工程实施;对于已运营运行的信息系统,需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距;安全需求分析基本安全需求的确定活动目标：本活动的目标是根据信息系统的安全保护等级,判断信息系统现有的安全保护水平与国家等级保护管理规范和技术标准之间的差距,提出信息系统的基本安全保护需求;参与角色：信息系统运营、使用单位,信息安全服务机构,信息安全等级测评机构;活动输入：信息系统详细描述文件,信息系统安全保护等级定级报告,信息系统相关的其它文档,信息系统安全等级保护基本要求;活动描述：本活动主要包括以下子活动内容：a 确定系统范围和分析对象明确不同等级信息系统的范围和边界,通过调查或查阅资料的方式,了解信息系统的构成,包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等;初步确定每个等级信息系统的分析对象,包括整体对象,如机房、办公环境、网络等,也包括具体对象,如边界设备、网关设备、服务器设备、工作站、应用系统等;b 形成评价指标和评估方案根据各个信息系统的安全保护等级从信息系统安全等级保护基本要求中选择相应等级的指标,形成评价指标;根据评价指标,结合确定的具体对象制定可以操作的评估方案,评估方案可以包含以下内容：1 管理状况评估表格；2 网络状况评估表格；3 网络设备含安全设备评估表格；4 主机设备评估表格；5 主要设备安全测试方案；6 重要操作的作业指导书;c 现状与评价指标对比通过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、渗透攻击等方式进行安全技术和安全管理方面的评估,判断安全技术和安全管理的各个方面与评价指标的符合程度,给出判断结论;整理和分析不符合的评价指标,确定信息系统安全保护的基本需求;活动输出：基本安全需求;额外特殊安全需求的确定活动目标：本活动的目标是通过对信息系统重要资产特殊保护要求的分析,确定超出相应等级保护基本要求的部分或具有特殊安全保护要求的部分,采用需求分析/风险分析的方法,确定可能的安全风险,判断对超出等级保护基本要求部分实施特殊安全措施的必要性, 提出信息系统的特殊安全保护需求;参与角色：信息系统运营、使用单位,信息安全服务机构;活动输入：信息系统详细描述文件,信息系统安全保护等级定级报告,信息系统相关的其它文档;活动描述：确定特殊安全需求可以采用目前成熟或流行的需求分析/风险分析方法,或者采用下面介绍的活动：a 重要资产的分析明确信息系统中的重要部件,如边界设备、网关设备、核心网络设备、重要服务器设备、重要应用系统等;b 重要资产安全弱点评估检查或判断上述重要部件可能存在的弱点,包括技术上和管理上的；分析安全弱点被利用的可能性;c 重要资产面临威胁评估分析和判断上述重要部件可能面临的威胁,包括外部的威胁和内部的威胁,威胁发生的可能性或概率;d 综合风险分析分析威胁利用弱点可能产生的结果,结果产生的可能性或概率,结果造成的损害或影响的大小,以及避免上述结果产生的可能性、必要性和经济性;按照重要资产的排序和风险的排序确定安全保护的要求;活动输出：重要资产的特殊保护要求;形成安全需求分析报告活动目标：本活动的目标是总结基本安全需求和特殊安全需求,形成安全需求分析报告;参与角色：信息系统运营,使用单位,信息安全服务机构;活动输入：信息系统详细描述文件,信息系统安全保护等级定级报告,基本安全需求,重要资产的特殊保护要求;活动描述：本活动主要包括以下子活动内容：a 完成安全需求分析报告根据基本安全需求和特殊的安全保护需求等形成安全需求分析报告;安全需求分析报告可以包含以下内容：1 信息系统描述；2 安全管理状况；3 安全技术状况；4 存在的不足和可能的风险；5 安全需求描述;活动输出：安全需求分析报告;总体安全设计总体安全策略设计活动目标：本活动的目标是形成机构纲领性的安全策略文件,包括确定安全方针,制定安全策略,以便结合等级保护基本要求和安全保护特殊要求,构建机构信息系统的安全技术体系结构和安全管理体系结构;参与角色：信息系统运营、使用单位,信息安全服务机构;活动输入：信息系统详细描述文件,信息系统安全保护等级定级报告,安全需求分析报告;活动描述：本活动主要包括以下子活动内容：a 确定安全方针形成机构最高层次的安全方针文件,阐明安全工作的使命和意愿,定义信息安全的总体目标,规定信息安全责任机构和职责,建立安全工作运行模式等;b 制定安全策略形成机构高层次的安全策略文件,说明安全工作的主要策略,包括安全组织机构划分策略、业务系统分级策略、数据信息分级策略、子系统互连策略、信息流控制策略等;活动输出：总体安全策略文件;安全技术体系结构设计活动目标：本活动的目标是根据信息系统安全等级保护基本要求、安全需求分析报告、机构总体安全策略文件等,提出系统需要实现的安全技术措施,形成机构特定的系统安全技术体系结构,用以指导信息系统分等级保护的具体实现;参与角色：信息系统运营、使用单位,信息安全服务机构;活动输入：信息系统详细描述文件,信息系统安全保护等级定级报告,安全需求分析报告,信息系统安全等级保护基本要求;活动描述：本活动主要包括以下子活动内容：a 规定骨干网/城域网的安全保护技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求,提出骨干网/城域网的安全保护策略和安全技术措施;骨干网/城域网的安全保护策略和安全技术措施提出时应考虑网络线路和网络设备共享的情况,如果不同级别的子系统通过骨干网/城域网的同一线路和设备传输数据,线路和设备的安全保护策略和安全技术措施应满足最高级别子系统的等级保护基本要求;b 规定子系统之间互联的安全技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求,提出跨局域网互联的子系统之间的信息传输保护策略要求和具体的安全技术措施,包括同级互联的策略、不同级别互联的策略等；提出局域网内部互联的子系统之间的信息传输保护策略要求和具体的安全技术措施,包括同级互联的策略、不同级别互联的策略等;c 规定不同级别子系统的边界保护技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求,提出不同级别子系统边界的安全保护策略和安全技术措施;子系统边界安全保护策略和安全技术措施提出时应考虑边界设备共享的情况,如果不同级别的子系统通过同一设备进行边界保护,这个边界设备的安全保护策略和安全技术措施应满足最高级别子系统的等级保护基本要求;d 规定不同级别子系统内部系统平台和业务应用的安全保护技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求,提出不同级别子系统内部网络平台、系统平台和业务应用的安全保护策略和安全技术措施;e 规定不同级别信息系统机房的安全保护技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求,提出不同级别信息系统机房的安全保护策略和安全技术措施;信息系统机房安全保护策略和安全技术措施提出时应考虑不同级别的信息系统共享机房的情况,如果不同级别的信息系统共享同一机房,机房的安全保护策略和安全技术措施应满足最高级别信息系统的等级保护基本要求;f 形成信息系统安全技术体系结构将骨干网/城域网、通过骨干网/城域网的子系统互联、局域网内部的子系统互联、子系统的边界、子系统内部各类平台、机房以及其他方面的安全保护策略和安全技术措施进行整理、汇总,形成信息系统的安全技术体系结构;活动输出：信息系统安全技术体系结构;整体安全管理体系结构设计。

信息系统安全等级保护定级指南依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。

1.范围本标准规定了信息系统安全等级保护的定级方法，适用于为信息系统安全等级保护的定级工作提供指导。

2.规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件，其最新版本适用于本标准。

GB/T 5271.8 信息技术词汇第8部分：安全GB17859-1999 计算机信息系统安全保护等级划分准则3.术语和定义GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。

3.1等级保护对象target of classified security信息安全等级保护工作直接作用的具体的信息和信息系统。

3.2客体object受法律保护的、等级保护对象受到破坏时所侵害的社会关系，如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益。

3.3客观方面objective对客体造成侵害的客观外在表现，包括侵害方式和侵害结果等。

3.4系统服务system service信息系统为支撑其所承载业务而提供的程序化过程。

4.定级原理4.1信息系统安全保护等级根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

信息安全等级保护（二级）建设方案目录1.项目概述 (5)1.1. 项目建设目标 (5)1.2. 项目参考标准 (6)1.3. 方案设计原则 (9)2. 系统现状分析 (10)2.1. 系统定级情况说明 (10)2.2. 业务系统说明 (11)2.3. 网络结构说明 (11)3. 安全需求分析 (12)3.1. 物理安全需求分析 (12)3.2. 网络安全需求分析 (12)3.3. 主机安全需求分析 (13)3.4. 应用安全需求分析 (13)3.5. 数据安全需求分析 (13)3.6. 安全管理制度需求分析 (14)4. 总体方案设计 (14)4.1. 总体设计目标 (14)4.2. 总体安全体系设计 (14)4.3. 总体网络架构设计 (18)4.4. 安全域划分说明 (18)5. 详细方案设计技术部分 (19)5.1. 物理安全 (19)5.2. 网络安全 (19)5.2.1.安全域边界隔离技术 (19)5.2.2.入侵防范技术 (20)5.2.3.网页防篡改技术 (20)5.2.4.链路负载均衡技术 (20)5.2.5.网络安全审计 (20)5.3. 主机安全 (21)5.3.1.数据库安全审计 (21)5.3.2.运维堡垒主机 (22)5.3.3.主机防病毒技术 (23)5.4. 应用安全 (23)6. 详细方案设计管理部分 (24)6.1. 总体安全方针与安全策略 (24)6.2. 信息安全管理制度 (25)6.3. 安全管理机构 (26)6.4. 人员安全管理 (26)6.5. 系统建设管理 (27)6.6. 系统运维管理 (27)6.7. 安全管理制度汇总 (30)7. 咨询服务和系统测评 (31)7.1. 系统定级服务 (31)7.2. 风险评估和安全加固服务 (32)7.2.1.漏洞扫描 (32)7.2.2.渗透测试 (32)7.2.3.配置核查 (32)7.2.4.安全加固 (32)7.2.5.安全管理制度编写 (35)7.2.6.安全培训 (35)7.3. 系统测评服务 (35)8. 项目预算与配置清单 (35)8.1. 项目预算一期（等保二级基本要求） (35)8.2. 利旧安全设备使用说明 (37)1.项目概述1.1.项目建设目标为了进一步贯彻落实教育行业信息安全等级保护制度，推进学校信息安全等级保护工作，依照国家《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全保护等级定级指南》等标准，对学校的网络和信息系统进行等级保护定级，按信息系统逐个编制定级报告和定级备案表，并指导学校信息化人员将定级材料提交当地公安机关备案。