计算机信息系统安全等级保护网络技术要求

计算机信息系统安全等级保护应用系统技术要求

《信息安全技术虹膜识别产品测评方法》

编制说明

1工作简要过程

1．1任务来源

本标准对依据《GB/T 20979-2007 信息安全技术虹膜识别技术要求》开发的虹膜识别产品提出了测试和评价标准。

本标准由全国信息安全标准化技术委员会（安标委）提出，由安标委秘书处第五工作组负责组织实施，由北京凯平艾森（Arithen）信息技术有限公司负责具体编制工作。

1．2采用国际和国外标准情况

本标准编制过程中，主要参考了以下国外和国际标准：

美国国防部标准：《可信计算机系统安全评估准则》（TCSEC）；

国际信息安全标准：ISO/IEC 15408-X：1999

Information technology—security techniques—Evaluation criteria for IT security /

Common Criteria for Information Technology Security Evaluation（简称CC）（IT安全

评估准则/ 信息技术安全性评估公共准则）

国际生物识别测试标准：ISO/IEC JTC 1/SC 37 ISO/IEC 19795- 2006/2007 Biometric

计算机信息系统安全等级保护应用系统技术要求

《信息安全技术虹膜识别产品测评方法》

编制说明

1工作简要过程

1．1任务来源

本标准对依据《GB/T 20979-2007 信息安全技术虹膜识别技术要求》开发的虹膜识别产品提出了测试和评价标准。

本标准由全国信息安全标准化技术委员会（安标委）提出，由安标委秘书处第五工作组负责组织实施，由北京凯平艾森（Arithen）信息技术有限公司负责具体编制工作。

1．2采用国际和国外标准情况

本标准编制过程中，主要参考了以下国外和国际标准：

美国国防部标准：《可信计算机系统安全评估准则》（TCSEC）；

国际信息安全标准：ISO/IEC 15408-X：1999

Information technology—security techniques—Evaluation criteria for IT security /

Common Criteria for Information Technology Security Evaluation（简称CC）（IT安全

评估准则/ 信息技术安全性评估公共准则）

国际生物识别测试标准：ISO/IEC JTC 1/SC 37 ISO/IEC 19795- 2006/2007 Biometric

信息系统终端计算机系统安全等级技术要求

1 范围

本标准规定了对终端计算机系统进行安全等级保护所需要的安全技术要求，并给出了每一个安全保护等级的不同技术要求。

本标准适用于按GB 17859—1999的安全保护等级要求所进行的终端计算机系统的设计和实现，对于GB 17859—1999的要求对终端计算机系统进行的测试、管理也可参照使用。

2 规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单,不包括勘误的内容,或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。

GB 17859--1999 计算机信息系统安全保护等级划分准则

GB/T 20271--2006 信息安全技术 信息系统通用安全技术要求

GB/T 20272—2006 信息安全技术 操作系统安全技术要求

3 术语和定义 3.1 术语和定义

GB 17859-1999 GB/T 20271—2006 GB/T 20272--2006确立的以及下列术语和定义适用于本标准。

3.1.1

终端计算机

一种个

信息系统终端计算机系统安全等级技术要求

1 范围

本标准规定了对终端计算机系统进行安全等级保护所需要的安全技术要求，并给出了每一个安全保护等级的不同技术要求。

本标准适用于按GB 17859—1999的安全保护等级要求所进行的终端计算机系统的设计和实现，对于GB 17859—1999的要求对终端计算机系统进行的测试、管理也可参照使用。

2 规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单,不包括勘误的内容,或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。

GB 17859--1999 计算机信息系统安全保护等级划分准则

GB/T 20271--2006 信息安全技术 信息系统通用安全技术要求

GB/T 20272—2006 信息安全技术 操作系统安全技术要求

3 术语和定义 3.1 术语和定义

GB 17859-1999 GB/T 20271—2006 GB/T 20272--2006确立的以及下列术语和定义适用于本标准。

3.1.1

终端计算机

一种个

教育行业信息系统安全等级保护

定级工作指南

（试行）

1 总则

本指南依据国家信息安全等级保护相关政策和标准，结合教育行业信息化工作的特点和具体实际，对教育行业信息系统进行分类，提出安全等级保护的定级思路，给出建议等级，明确工作流程。

本指南适用于各级教育行政部门及其直属事业单位、各级各类学校的非涉密信息系统安全等级保护定级工作。

信息系统的定级工作应在信息系统设计阶段完成，与信息系统建设同步实施。

2 定级依据

《中华人民共和国计算机信息系统安全保护条例》（国务院第147号令）

《信息系统安全等级保护定级指南》（GB/T 22240-2008）《信息系统安全等级保护实施指南》（GB/T 25058-2010）《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861号）

《信息安全等级保护管理办法》（公通字〔2007〕43号）

3 信息系统的类型划分

信息系统的类型划分是进行信息系统安全等级划分的前提和基础。按照信息系统的主管单位、业务对象、部署模式对教育行业信息系统进行分类，形成信息系统分类表（附件1）。

3.1按信息系统主管单位划分

按照信息系统主管单位的不同，信息系统分为“教育行政部门及其直属事业单位信息系统”（简称“部门信息系统”）和“学

备案表编号：

信息系统安全等级保护

备案表

备 案 单 位： （盖章） 备 案 日 期：

受理备案单位： （盖章） 受 理 日 期：

中华人民共和国公安部监制

填 表 说 明

一、 制表依据。根据《信息安全等级保护管理办法》（公通字[2007]43号）之规定，制作本

表；

二、 填表范围。本表由第二级以上信息系统运营使用单位或主管部门（以下简称“备案单

位”）填写；本表由四张表单构成，表一为单位信息，每个填表单位填写一张；表二为信息系统基本信息，表三为信息系统定级信息，表二、表三每个信息系统填写一张；表四为第三级以上信息系统需要同时提交的内容，由每个第三级以上信息系统填写一张，并在完成系统建设、整改、测评等工作，投入运行后三十日内向受理备案公安机关提交；表二、表三、表四可以复印使用；

三、 保存方式。本表一式二份，一份由备案单位保存，一份由受理备案公安机关存档； 四、 本表中有选择的地方请在选项左侧“

中注明详细内容；

五、 封面中备案表编号（由受理备案的

目 次

前言 ................................................................................ III 引言 ................................................................................. IV 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 1 4 等级保护实施概述 ................................................................... 1 4.1 基本原则

《信息系统安全等级保护定级报告》

一、马尔康县人民检察院门户网站信息系统描述

（一）该信息系统于2014年4月上线。目前该系统由马尔康县人民检察院办信息股负责运行维护。九龙县县政府办是该信息系统业务的主管部门，信息股为该信息系统定级的责任单位。

（二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对门户网站信息进行采集、加工、存储、传输、检索等处理的人机系统。

服务器托管在九龙县电信公司机房

（三）该信息系统业务主要包含：等业务。

二、马尔康县人民检察院门户网站信息系统安全保护等级确定

（一）业务信息安全保护等级的确定 1、业务信息描述

该信息系统业务主要包含：九龙新闻、信息公开、在线下载、旅游在线、县长信箱等业务。

2、业务信息受到破坏时所侵害客体的确定

该业务信息遭到破坏后，所侵害的客体是社会秩序和公众利

— 9 —

益。

侵害的客观方面（客观方面是指定级对象的具体侵害行为，侵害

形式以及对客体的造成的侵害结果）表现为：一旦信息系统的业务

信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对社会秩序和公众利益造成影响和损害，可以表现为：发布虚假信息，影响公共利益，造成不良影响，引起法律纠

《信息系统安全等级保护定级报告》

一、XXX信息系统描述

简述确定该系统为定级对象的理由。从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。

二、XXX信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）

（一）业务信息安全保护等级的确定

1、业务信息描述

描述信息系统处理的主要业务信息等。

2、业务信息受到破坏时所侵害客体的确定

说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定

说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4、业务信息安全等级的确定

依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。

（二）系统服务安全保护等级的确定

1、系统服务描述

描述信息系统的服务范围、服务对象等。

2、系统服务受

医院信息系统安全等级保护定级报告

一、 医院信息系统描述

（一） 医院于2008年起逐步建立基于医院信息管理、电子 病历的信息系统，该信息系统由医院负责系统管理运维，医院为该信息系统定级的责任单位。

（二） 该信息系统使用了7台HP服务器，安装有Window 2003 Server操作系统，Mysql数据库，用于医院信息管理系统的运行。使用了5台HP服务器，安装有Window 2003 Server操作系统，用于新农合即时结报平台的运行。医院在内外网

之间搭建有天融信防火墙，门诊二楼安有用于无线终端连接内

网的两个无线AP，各科室配有连接医院内网的终端计算机。 （三） 该信息系统主要包含：医院信息管理系统（HIS），电子病历系统、LIS、卫生统计直报系统、医院门户网站等系统组成。

二、 医院信息系统安全保护等级的确定 （一） 业务信息安全保护等级的确定 1、 业务信息描述

本信息系统主要处理的业务有医院信息管理的日常运行、在院患者的日常管理、医院院务公开、对外宣传等工作。旨在保障医院业务正常运行，提高工作效率，增强院务透明度，扩大医院社会影响力。

2、 业务信息受到破坏时所侵害客体的确定

该业务信息遭到破坏后，所侵害的客体是患者、法人和医院