GB 22239-2008(等保)阅读笔记

每一个等级的页数:

G1A1S1:4

2:8

3:14

4:15

5:1

可以看到三级和四级的页数最多。

如何进行等级保护分级是GB 17859-1999制定的。

本标准规定了计算机系统安全保护能力的五个等级,即:

第一级:用户自主保护级;

第二级:系统审计保护级;

第三级:安全标记保护级;

第四级:结构化保护级;

第五级:访问验证保护级。

具体可以参考链接

分类

S:保护数据在存储、传输、处理过程中不被泄露、破坏和免受未授权的修改信息安全类要求。

A:保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用服务保证类要求。

G(General): 通用安全保护类要求

如何阅读主要条目:

  1. 注意每一个高等级(Lvl 3)的条目,都是在低等级(Lvl 2)条目上附加的。即高等级有的条目,其对应低等级一定有。
  2. 高等级条目中,相对于低等级的新增的新条目,会用加黑的方式表示。

  1. 以下的每一级均已那一级的基准来描述,例如第二级就是S2A2G2,第三级是S3A3G3。实际定级情况下,可能会有不同组合,例如

    第二级组合可能为S1A2G2, S2A2G2, S2A1G2;

    第三级的定级可能S1A3G3, S2A3G3, S3A3G3, S3A2G3, S3A1G3

    . 根据信息系统的定级结果对基本安全要求进行调整。根据系统服务保证性等级选择相应等级的系统服务保证类(A 类)基本安全要求;根据业务信息安全性等级选择相应等级的业务信息安全类(S 类)基本安全要求。 G与定级本身相同,A和S必须有一个等于G。

第一级

技术要求

物理安全

物理访问控制 G1
防盗窃和防破坏 G1
防雷击 G1
防火 G1
防水和防潮 G1
温湿度控制 G1
电力供应 A1
物理位置选择(G2), 电磁防护(S2),防静电(G2)

网络安全

结构安全 G1
访问控制 G1
网络设备防护 G1
安全审计(G2), 边界完整性检查(S2), 入侵防范(G2),
恶意代码防范(G3)

主机安全

身份鉴别 S1
访问控制 S1
入侵防范 G1
恶意代码防范 G1
安全审计(G2), 资源控制(A2)
剩余信息保护(S3)
可信路径(S4)

应用安全

身份鉴别 S1
访问控制 S1
通信完整性 S1
软件容错 A1
安全审计 G2, 通信保密性 S2, 资源控制 A2(会话资源等)
剩余信息保护 S3, 抗抵赖 G3
安全标记 S4,可信路径 S4

数据安全及备份恢复

数据完整性 S1
备份和恢复 A1
数据保密性(S2

管理要求(G1)

安全管理制度

管理制度;制定和发布。

评审和修订(G2)

安全管理机构

岗位设置;人员配备;授权和审批;沟通和合作。

审核和检查(G2)

人员安全管理

人员录用;人员离岗;安全意识教育和培训;外部人员访问管理。

人员考核(G2);

系统建设管理

系统定级;安全方案设计;产品采购和使用;自行软件开发;外包软件开发;工程实施;测试验收;系统交付;安全服务商选择。

系统备案(G3);等级测评(G3)

系统运维管理

环境管理;资产管理;介质管理;设备管理;网络安全管理;系统安全管理;恶意代码防范管理;备份与恢复管理;安全事件处置。

密码管理(G2);变更管理(G2);应急预案管理(G2)

监控管理和安全管理中心(G3)

第二级(只看在前两个基础上新增的控制小类)

技术要求

主要会增加安全审计资源控制XX保密性

物理安全

物理位置选择 G2
防静电 G2
电磁防护 S2

网络安全

安全审计 G2
边界完整性检查 S2
入侵防范 G2

主机安全

安全审计 G2
资源控制 A2

应用安全

安全审计 G2
通信保密性 S2
资源控制 A2

数据安全及备份恢复

数据保密性 S2

管理要求(G2)

系统建设管理

其中系统定级中,明确要求应该明确信息系统的边界和安全保护等级,并以书面形式说明信息系统确定为某个安全保护等级的方法和理由;且结果经过相关部门的批准。

第三级