网络等级保护规划

《信息系统安全等级保护实施指南》

培训教材

本教材主要通过对《信息系统安全等级保护实施指南》（以下简称《实施指南》）的主要作用、内容等进行介绍，使培训人员能够清楚了解等级保护的整个实施过程，以便各项工作的开展。

1 概述

1.1 主要作用

信息安全等级保护工作的先行工作之一是“加快制定、完善管理规范和技术标准体系”，管理规范和技术标准体系是等级保护工作的基础，在《关于信息安全等级保护工作的实施意见》（公通字[2004]66号，以下简称“66号文件”）的职责分工和工作要求中指出：

? 信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准，确定其信

息和信息系统的安全保护等级；

? 信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准对新建、改

建、扩建的信息系统进行信息系统的安全规划设计、安全建设施工；

? 信息和信息系统的运营、使用单位及其主管部门按照与信息系统安全保护等级相对

应的管理规范和技术标准的要求，定期进行安全状况检测评估；

? 国家指定信息安全监管职能部门按照等级保护的管理规范和技术标准的要求，对信

息和信息系统的安全等级保护状况进行监督检查。

从上述“66号文件”描述的内容中可以看出，信息安全等级保护工作的主要内容包

《信息系统安全等级保护实施指南》

培训教材

本教材主要通过对《信息系统安全等级保护实施指南》（以下简称《实施指南》）的主要作用、内容等进行介绍，使培训人员能够清楚了解等级保护的整个实施过程，以便各项工作的开展。

1 概述

1.1 主要作用

信息安全等级保护工作的先行工作之一是“加快制定、完善管理规范和技术标准体系”，管理规范和技术标准体系是等级保护工作的基础，在《关于信息安全等级保护工作的实施意见》（公通字[2004]66号，以下简称“66号文件”）的职责分工和工作要求中指出：

? 信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准，确定其信

息和信息系统的安全保护等级；

? 信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准对新建、改

建、扩建的信息系统进行信息系统的安全规划设计、安全建设施工；

? 信息和信息系统的运营、使用单位及其主管部门按照与信息系统安全保护等级相对

应的管理规范和技术标准的要求，定期进行安全状况检测评估；

? 国家指定信息安全监管职能部门按照等级保护的管理规范和技术标准的要求，对信

息和信息系统的安全等级保护状况进行监督检查。

从上述“66号文件”描述的内容中可以看出，信息安全等级保护工作的主要内容包

网络信息系统安全保护等级划分准则

一、范围

(GB 17859-1999)

本标准规定了计算机系统安全保护能力的五个等级，即：

第一级：用户自主保护级；

第二级：系统审计保护级；

第三级：安全标记保护级；

第四级：结构化保护级；

第五级：访问验证保护级。

本标准适用计算机信息系统安全保护技术能力等级的划分。计算机信息系统安全保护能力随着安全保护等级的增高，逐渐增强。

二、引用标准

下列标准所包含的条文，通过在本标准中引用而构成本标准的条文。本标准出版时，所示版本均为有效。所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。

GB/T 5271 数据处理词汇

三、定义

除本章定义外，其他未列出的定义见GB/T 5271。

1、可信计算机

trusted computing base of computer information system 计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。

2、客体

信息的载体。

3、主体

引起信息在客体之间流动的人、进程或设备等。

4、敏感标记

表示客体安全级别并描述客体数据敏感性的一组信息，可信计算机中把敏感标记作为强制访问控制决策

等级保护与分级保护的区别

等级保护与分级保护

一、信息系统等级保护

1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。2003年，中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)，提出实行信息安全等级保护，建立国家信息安全保障体系的明确要求。2004年9月17日，公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了《关于信息安全等级保护工作的实施意见》，明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。2006年1月17日，四部门又下发了《信息安全等级保护管理办法（试行）》，进一步确定职责分工，明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码管理部门负责密码工作、国务院信息办负责的管理职责和要求。涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求，按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。

由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的，是社会构成、行政组织体系的反映，因而这种系统结构是分层次和级别的，而其中的各种信息

等级保护与分级保护的区别

等级保护与分级保护

一、信息系统等级保护

1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。2003年，中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)，提出实行信息安全等级保护，建立国家信息安全保障体系的明确要求。2004年9月17日，公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了《关于信息安全等级保护工作的实施意见》，明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。2006年1月17日，四部门又下发了《信息安全等级保护管理办法（试行）》，进一步确定职责分工，明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码管理部门负责密码工作、国务院信息办负责的管理职责和要求。涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求，按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。

由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的，是社会构成、行政组织体系的反映，因而这种系统结构是分层次和级别的，而其中的各种信息

[键入文档标题]

解决方案

2018年6月

医院等级保护建设网络安全建设

目录

1

概述 1.1 1.2 1.3 1.4 2

背景分析

等级保护建设目标和范围 方案设计 参照标准

信息系统现状 2.1 2.2 2.3

医院网络安全现状 医院网络安全风险分析 医院网络安全需求 2.3.1 2.3.2 2.3.3 2.3.4 2.3.5 2.3.6

物理安全 网络安全 主机安全 应用安全 数据安全

安全域划分及边界防护

3 网络安全建设必要性 3.1

等级保护要求

3.2 4

医院系统面临安全威胁

网络安全建设目标 4.1 4.2

满足合规性要求 等级保护技术要求

5 安全技术体系方案设计 5.1 5.2

物理层安全 网络层安全 5.2.1 5.2.2 5.2.3 5.2.4 5.2.5 5.2.6 5.2.7 5.2.8 5.2.9 5.3

安全域划分 边界访问控制 网络审计 网络入侵防范 边界恶意代码防范 网络设备保护 主机层安全 身份鉴别 强制访问控制 主机入侵防范 主机审计 恶意代码防范 剩余信息保护 资源控制

应用层安全 5.3.1 5.3.2 5.3.3 5

网络安全等级保护基本要求 第1部分：安全通用要求

一、技术要求: 基本要求 第一级 第二级 a) 机房场地应选择在具有防震、防风和防雨等能力的建筑内； b) 机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施 a) a) ; b) ; 第三级 a) ; b) ; 第四级 物理位置的选择 / 物理访问控制 a) 机房出入口应安排专人值守或配置电子门禁系统，控制、鉴别和记录进入的人员 a) 应将机房设备或主要部件进行固定，并设置明显的不易除去的标记 a) 机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员 a) ； b) ； c) 应设置机房防盗报警系统或设置有专人值守的视频监控系统 a) ； b) 应采取措施防止感应雷，例如设置防雷保安器或过压保护装置等 a) ； b) ； c) 应对机房划分区域进行管理，区域和区域之间设置隔离防火措施。 物理和环境安全 防盗窃和防破坏 a) ； b) 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中。 a) ; b) 重要区域应配置第二道电子门禁系统，控制、鉴别和记录进入的人员 a) ; b) ; c) ; 防雷击 a) 应将各类机柜、设施和设备等通过接地系统安全接地 a) a) ; b

网络安全等级保护基本要求 第1部分：安全通用要求

一、技术要求: 基本要求 第一级 第二级 a) 机房场地应选择在具有防震、防风和防雨等能力的建筑内； b) 机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施 a) a) ; b) ; 第三级 a) ; b) ; 第四级 物理位置的选择 / 物理访问控制 a) 机房出入口应安排专人值守或配置电子门禁系统，控制、鉴别和记录进入的人员 a) 应将机房设备或主要部件进行固定，并设置明显的不易除去的标记 a) 机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员 a) ； b) ； c) 应设置机房防盗报警系统或设置有专人值守的视频监控系统 a) ； b) 应采取措施防止感应雷，例如设置防雷保安器或过压保护装置等 a) ； b) ； c) 应对机房划分区域进行管理，区域和区域之间设置隔离防火措施。 物理和环境安全 防盗窃和防破坏 a) ； b) 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中。 a) ; b) 重要区域应配置第二道电子门禁系统，控制、鉴别和记录进入的人员 a) ; b) ; c) ; 防雷击 a) 应将各类机柜、设施和设备等通过接地系统安全接地 a) a) ; b

第二级信息系统测评项权重赋值表

（此表可不提供被测评单位）

下表给出第二级（S2A2G2）信息系统安全等级保护基本要求对应的测评项权重。

序号 1 2 层面 物理安全 控制点 要求项 测评项权重 0.5 1 物理位置的选择（G2） 物理访问控制物理安全 （G2） 物理安全 3 4 5 6 7 8 9 10 11 12 13 14 15 物理安全 物理安全 物理安全 物理安全 物理安全 物理安全 物理安全 物理安全 物理安全 物理安全 物理安全 物理安全 16 物理安全 a）机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内； a）机房出入口应安排专人值守，控制、鉴别和记录进入的人员。 b）需进入机房的来访人员应经过申请物理访问控制和审批流程，并限制和监控其活动范（G2） 围。 防盗窃和防破坏a）应将主要设备放置在机房内。 （G2） 防盗窃和防破坏b）应将设备或主要部件进行固定，并（G2） 设置明显的不易除去的标记。 防盗窃和防破坏c）应将通信线缆铺设在隐蔽处，可铺（G2） 设在地下或管道中。 防盗窃和防破坏d）应对介质分类标识，存储在介质库（G2） 或档案室中。 防盗窃和防破坏e）主机房应安装必要的防盗报警设（G2） 施。 防雷击（G2

等级保护实施技术过程

等级保护实施技术环节 说明

等级保护实施技术过程

前言根据《管理办法》,信息安全等级保护的实施工作包括 信息系统定级与评审、信息系统安全建设或者改建、对信息 系统定期的等级测评与安全自查、办理备案手续并提供相关 材料、接受公安机关、国家指定的专门部门监督检查、选择 使用符合条件的信息安全产品、选择符合条件的等级保护测 评机构等，其中涉及信息系统运营使用单位/主管部门需要作 较多技术工作的环节是系统定级和系统建设或改建。 《实施指南》从系统的生命周期角度对等级保护实施过 程提供了具体的操作指导。

等级保护实施技术过程

实施指南概述实施指南介绍和描述了实施信息系统 等级保护过程中涉及的阶段、过程和需要 完成的活动，通过对过程和活动的介绍， 使读者了解对信息系统实施等级保护的流 程方法，以及不同的角色在不同阶段的作 用等。

等级保护实施技术过程

实施阶段信息系统定级 总体安全规划等级变更

安全设计与实施局部调整

安全运行维护 信息系统终止

等级保护实施技术过程

实施指南描述特点为了便于用户使用，《实施指南》 分章介绍5个实施阶段，以不同的节介绍 和描述本阶段所要进行的主要安全过程， 以及该过程所包含的活动，包括活动目 标、参与角色，活动中包含的子活