GA/T 708-2007
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GA/T 708-2007.Information security technology-Architecture framework of security classification protection for information system.
1范围
GA/T 708规定了按照信息安全等级保护的要求从技术角度对信息系统实施安全等级保护的体系框架。
GA/T 708适用于按照信息系统安全等级保护所规定的五个安全保护等级的要求对信息系统实施安全等级保护所进行的技术活动及其相关的管理活动。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB17859-1999计算机信息系统安全保护等级划分准则
3术语和定义
GB 17859- 1999 确立的以及下列术语和定义适用于本标准。
3.1安全信息系统security information system
采用具有相应安全强度/等级的信息安全产品、信息安全技术和管理措施,以系统化方法设计和实现的,按照信息系统安全等级保护的要求具有一级/二级/三级/四级/五级安全性的信息系统。
3.2信息安全系统information security system
信息系统安全子系统的简称。一个信息系统的安全子系统是指由该信息系统中所有安全装置组成的系统。在GB17859--1999中,将系统内保护装置的总体称为TCB(可信计算基)。这里用信息安全系统的称谓是为了强调对信息系统的安全应以系统化的方法进行设计.
标准内容
ICS35.020
中华人民共和国公共安全行业标准GA/T708—2007
信息安全技术
信息系统安全等级保护体系框架Information security technology--Architecture framework of security classificationprotection for information system2007-08-13发布
数码防伪
中华人民共和国公安部
2007-10-01实施
1范围
2规范性引用文件
3术语和定义
4信息系统安全等级保护体系简介4.1信息系统安全等级保护体系的组成4.2信息系统安全等级保护体系概要说明目
5信息系统安全等级保护法律法规和政策依据5.1法律法规和政策分类….
5.2信息系统安全等级保护的现有政策法规6信息系统安全等级保护标准体系标准的分类
标准的具体组成
基础性标准
系统设计指导类标准
系统实施指导类标准
要求类标推
检查/测评类标准+
各应用领域实施指导方案
标准所涉及的内容
各类标准的作用及编写要求
基础性标准
系统设计指导类标准
6.4.3要求类标准
检查/测评类标准
6.4.5实施指导类标准·
各应用领域实施指导方案
信息系统安全等级保护管理体系7.1
信息系统安全工程管理·
目标·
工程管理分等级要求·
7.2安全系统运行管理-
自标·
运行管理分等级要求·
7.3信息系统安全监督检查和管理次
GA/T708—2007
GA/T708—2007
8信息系统安全等级保护技术体系·8.1信息系统安全的基本属性
8.2信息系统安全的组成与相互关系·8.3信息系统的安全等级…
8.3.1五个安全等级
8.3.2安全保护等级的确定
8.4信息系统安全等级保护基本框架8.4.1信息系统安全保护总体框架..8.4.2信息系统安全等级保护的基本原理和方法8.5信息系统安全等级保护基本技术..8.5.1标识与鉴别技术
8.5.2访问控制技术
8.5.3存储和传输数据的完整性保护技术:8.5.4存储和传输数据的保密性保护技术.8.5.5边界隔离与防护技术,
8.5.6系统安全运行及可用性保护技术.8.5.7密码技术
8.6信息系统安全等级保护支撑平台8.6.1信息系统密码基础设施平台…8.6.2信息系统应用安全支撑平台设计8.6.3信息系统灾难备份与恢复平台·8.6.4信息系统安全事件应急响应与管理平台8.6.5信息系统安全管理平台·
8.7等级化安全信息系统构建技术·附录A(资料性附录)基本概念说明A.1业务应用软件系统及其子系统A.2信息系统及其子系统
A.3关于安全域
附录B(资料性附录)实施等级保护的方法B.1全系统同一安全等级安全保护B.2分系统不同安全等级安全保护B.3虚拟系统不同安全等级安全保护参考文献
查标准上建标网wiz321.net
本标准的附录A.附录B为资料性附录。言
本标准由公安部信息系统安全标准化技术委员会提出并归口。GA/T708—2007
本标准起草单位:北京江南天安科技有限公司,北京思源新创信息安全资讯有限公司。本标准主要起草人:吉增瑞、王志强、陈冠直、景乾元、宋健平。m
查标准上建标网Wiz321.net
GA/T7082007
信息系统安全等级保护通过三大功能和五个环节,对国家、社会、集团和个人所建立和使用的信息系统,分等级实施必要的安全保护。实现信息系统安全等级保护的三大功能是:防范与保护功能:从物理、网络、系统、应用和管理等组成部分,实现整体防范与保护;监督与检查功能:各单位自我检查与政府职能部门监督检查相结合,从技术和管理两个方面,确保信息系统的安全性达到确定安全等级的要求:响应与处置功能:信息系统拥有者,对系统的安全事件应有快速响应与处置的能力,并在发现重大问题时能及时向主管部门反映,与有关单位沟通。实现信息系统安全等级保护的五个环节是指:一政策、法规环节:制定完善的信息安全等级保护政策、法规,建立专门的管理机构,明确实施的程序和方法。
规范化技术与管理环节:制定符合国情的信息系统安全等级保护技术和管理标准,并按标准要求实施安全管理,进行安全技术和产品的研究和开发。系统构建过程控制环节:按照谁主管谁负责的要求,对安全信息系统的构建过程进行全方位控制,并通过检测机构严格的检测评估,确保所构建的安全信息系统达到所需要的安全性要求。——系统运行过程控制环节:按照谁运营谁负责的要求,对安全信息系统的运行过程进行全方位控制,并通过职能部门的监督检查,确保所运行的安全信息系统达到所设计的安全性要求。系统监督、检查环节:信息安全相关职能部门,依照法律、法规和标准,制定完善信息安全监管规章制度,开展信息安全等级保护专项管理工作。督促安全等级保护责任制的落实,监督、检查并指导信息系统所属部门和单位的信息系统安全等级保护的建设和管理,对安全技术产品实行监管,对安全检测机构实施监管。建立非盈利的覆盖全国的系统安全等级保护执法检查与检测支持体系,使用统一标准对运行中的安全信息系统进行检查、检测、评估,确保其实际运行过程中的安全性达到设计的目标要求。本标准是对信息系统安全等级保护各个组成部分及其相互关系的描述,首先对信息系统安全等级保护的组成部分的主要内容及其相互关系做简要说明,然后对每一个组成部分的主要内容做比较详细的说明。
查标准上建标网wwiz321.net
1范围
信息安全技术
信息系统安全等级保护体系框架GA/T708—2007
本标准规定了按照信息安全等级保护的要求从技术角度对信息系统实施安全等级保护的体系框架。
本标准适用于按照信息系统安全等级保护所规定的五个安全保护等级的要求对信息系统实施安全等级保护所进行的技术活动及其相关的管理活动。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB17859—1999计算机信息系统安全保护等级划分准则3术语和定义
GB17859—1999确立的以及下列术语和定义适用于本标准。3.1
安全信息系统 security information system采用具有相应安全强度/等级的信息安全产品、信息安全技术和管理措施,以系统化方法设计和实现的,按照信息系统安全等级保护的要求具有一级/二级/三级/四级/五级安全性的信息系统。3.2
信息安全系统information securitysystem信息系统安全子系统的简称。一个信息系统的安全子系统是指由该信息系统中所有安全装置组成的系统。在GB17859一1999中,将系统内保护装置的总体称为TCB(可信计算基)。这里用信息安全系统的称谓是为了强调对信息系统的安全应以系统化的方法进行设计。3.3
信息安全产品information securityproduction具有确定安全强度/等级,用于构建安全信息系统的信息产品。信息安全产品分为信息技术安全产品和信息安全专用产品。信息技术安全产品是对信息技术产品附加相应的安全技术和机制组成的产品(如安全路由器);信息安全专用产品是专门为增强信息系统的安全性而开发的信息安全产品(如防火墙)。wwW.bzxz.Net
局域计算环境local computingenvironment由一个或多个计算机系统(主机/服务器)组成的,以对信息系统中的数据信息进行存储、处理为主要目的、有明确边界的计算环境。一个局域计算环境可以由一个计算机系统组成,也可以由多个计算机系统经局域网连接组成。
安全局域计算环境securitylocal computingenvironment具有确定安全保护等级的局域计算环境。1
GA/T708-2007
局域计算环境边界local computingenvironmentboundaries局域计算环境与外部交换信息的所有界面的总称。3.7
用户环境(独立用户/用户群)
user environment(independent user/group user)由一个或多个终端计算机组成的,以提供用户使用信息系统中的数据信息为主要目的环境,也称独立用户/用户群。
安全用户环境securityuserenvironment具有确定安全保护等级的用户环境。3.9
networkssystem
网络系统
连接局域计算环境与局域计算环境及局域计算环境与用户环境的网络设备、设施所组成的系统。3.10
安全网络系统security networks system具有确定安全保护等级的网络系统。3.11
安全域
securityarea
信息系统中执行相同安全策略的区域。在实施等级保护的信息系统中,安全域可以是具有相同安全等级的信息系统或子系统。
密码基础设施cryptographinfrastructures为信息系统中的各种密码机制提供支持的设施。密码基础设施所提供的密码支持主要包括数据的加/解密、完整性检验、身份鉴别、数字签名/验证、抗抵赖等。4信息系统安全等级保护体系简介4.1信息系统安全等级保护体系的组成信息系统安全等级保护体系由以下部分组成:信息系统安全等级保护法律、法规、政策依据;信息系统安全等级保护标准体系;一信息系统安全等级保护管理体系;信息系统安全等级保护技术体系。4.2信息系统安全等级保护体系概要说明a)信息安全等级保护的法律、法规和政策依据信息系统安全等级保护政策、法律、法规依据是信息系统安全等级保护的基本依据和出发点。b)信息系统安全等级保护标准体系信息系统安全等级保护标准是信息安全等级保护在信息系统安全技术和安全管理方面的规范化表示,是从技术和管理方面,以标准的形式,对信息安全等级保护的法律、法规、政策的规定进行的规范化描述。
本标准体系从标准分类、各类标准的具体组成、标准所涉及的内容以及各类标准的编写要求等方面规范了对信息系统实施安全等级保护所需要的各级、各类标准的名称、作用、内容及其编写要求。c)信息系统安全等级保护管理体系信息系统安全等级保护管理体系是对实现信息系统安全等级保护所采用的安全管理措施的描述。GA/T708—2007
本标准从信息系统安全等级保护安全系统工程管理、安全系统运行控制和管理、安全系统监督检查和管理等方面,对相关问题进行了描述。d)信息系统安全等级保护技术体系信息系统安全等级保护技术体系是对实现信息系统安全等级保护所采用的安全技术的描述。本标准体系从信息系统安全的基本属性、信息系统安全的组成与相互关系、信息系统安全的五个等级、信息系统安全等级保护的基本框架、信息系统安全等级保护基本技术、信息系统安全等级保护支撑平台技术,等级化安全信息系统的构建技术等方面对相关的技术问题进行了描述。5信息系统安全等级保护法律法规和政策依据5.1法律法规和政策分类
信息系统安全等级保护的法律法规和政策是对信息系统实施安全等级保护的基本依据,对信息系统实施安全等级保护所需要的法律法规和政策包括:a有关信息安全等级保护的全国性法律;b)有关信息安全等级保护的全国性政策、法规;c)有关信息安全等级保护的地区性政策,法规。5.2信息系统安全等级保护的现有政策法规当前,已经发布的有关对信息系统实施安全等级保护的政策法规有:a)1994年2月18日发布的国务院147号令:中华人民共和国计算机信息系统安全保护条例;2003年8月26日发布的中办发[2003]27号文件:国家信息化领导小组关于加强信息安全保b)
障工作的意见;
2004年9月15日发布的公通字[2004]66号文件:关于信息安全等级保护工作的实施意见;c
d)2005年12月28日发布的公信安[2005]1431号文件:关于开展信息系统安全等级保护基础调查工作的通知;
2006年2月23日发布的国办发[2006]11号文件:国务院办公厅转发国家网络与信息安全协e)
调小组关于网络信任体系若干意见的通知;2007年6月22日发布的公通字[2007]43号文件:信息安全等级保护管理办法;f
g)其他与信息安全等级保护相关的政策法规。6信息系统安全等级保护标准体系6.1标准的分类
信息系统安全等级保护标准分为:一基础性标准:作为信息系统安全等级保护的基础,并为其他标准提供支持的标准:一系统设计指导类标准:对按等级保护的要求进行信息系统安全设计提供指导的标准;一一系统实施指导类标准:从系统角度,按信息安全等级保护的要求,以各要求类标准的具体要求为依据,对实施信息系统安全等级保护提供指导的标准;一要求类标准:对按等级保护的要求建设安全的信息系统,规范安全技术要求和安全管理要求的标准;
一检查/测评类标准:对按等级保护的要求进行信息系统安全的检查/测评,提供技术和管理方面指导的标准:
各应用领域实施指导方案:按等级保护要求,对各个应用领域按照上述标准的要求建设安全的信息系统的指导性方案。
GA/T708—2007
6.2标准的具体组成
基础性标准
基础性标准是指包括以下方面内容的标准:信息安全等级保护术语标准;
信息系统安全保护等级划分的准则性标准,如GB17859一1999;b)
信息安全等级保护的其他基础性标准。6.2.2
系统设计指导类标准
对信息系统安全等级保护的设计提供指导的标准包括以下方面内容的标准:信息系统安全等级保护体系框架;a)
信息系统安全等级保护基本模型;信息系统安全等级保护基本配置;c)
信息系统安全等级保护设计的其他指导标准。d)
系统实施指导类标准
从系统角度,对信息系统安全等级保护的实施提供指导的标推包括以下方面内容的标准:a)
信息系统安全等级保护定级指南;信息系统安全等级保护基本要求;信息系统安全等级保护实施指南:信息系统安全等级保护监督管理手册;信息系统安全等级保护服务指南;信息系统安全等级保护产品选购指南;信息系统安全等级保护安全意识教育培训指南;信息系统安全等级保护系统测试环境;信息系统安全等级保护系统测试方法:信息系统安全等级保护系统测试工具:信息系统安全等级保护产品测试环境;k)
信息系统安全等级保护产品测试方法;m)
信息系统安全等级保护产品测试工具:信息系统安全等级保护实施的其他指导标准。n)
6.2.4要求类标准
系统和分系统安全技术要求
按要素/组件,对系统和分系统的安全技术要求进行描述的标准包括以下方面内容的标准:a)
信息系统安全通用技术要求;
网络安全基础技术要求;
操作系统安全技术要求;
数据库管理系统安全技术要求;应用软件系统安全技术要求:
信息系统物理安全技术要求:
其他系统和分系统安全技术要求。g)
信息安全产品安全技术要求
6.2.4.2.1信息技术产品安全技术要求按要素/组件,对信息技术产品的安全技术要求进行描述的标准包括以下方面内容的标准:网管安全技术要求;
网络服务器安全技术要求;
路由器安全技术要求;
c)品
交换机安全技术要求;
网关安全技术要求;
网络互连安全技术要求;
网络协议安全技术要求;
h)电磁信息产品安全技术要求:i)其他信息技术产品安全技术要求。6.2.4.2.2信息安全专用产品安全技术要求GA/T708—2007
按要素/组件,对信息安全专用产品的安全技术要求进行描述的标准包括以下方面内容的标准:公钥基础设施(PKI)安全技术要求;a)
网络身份认证安全技术要求;
防火墙安全技术要求;
人侵检测安全技术要求;
系统审计安全技术要求;
网络脆弱性检测分析安全技术要求;f
网络及端设备隔离部件安全技术要求;g)
防病毒产品安全技术要求;
虹膜身份鉴别安全技术要求;
指纹身份鉴别安全技术要求;
虚拟专用网安全技术要求:
通用安全模块安全技术要求;
其他安全产品安全技术要求。
6.2.4.3安全管理要求
按要素/组件,对系统的安全管理要求进行描述的标准包括以下方面内容的标准:安全系统工程管理要求;
安全系统运行管理要求;
商用密码管理要求;
安全风险管理要求;
应急处理管理要求;
f)其他管理要求。
6.2.5检查/测评类标准
6.2.5.1系统和分系统安全技术检查/测评按要素/组件,对系统和分系统安全技术的检查/测评进行描述的标准包括以下方面内容的标准:a)
信息系统安全技术检查/测评;
网络系统安全技术检查/测评:
操作系统安全技术检查/测评:
数据库管理系统安全技术检查/测评;应用软件系统安全技术检查/测评;e)
硬件系统安全技术检查/测评;
其他系统安全技术检查/测评。
6.2.5.2信息安全产品安全技术检查/测评6.2.5.2.1信息技术产品安全技术检查/测评按要素/组件,对信息技术产品的安全技术的检查/测评进行描述的标准包括以下方面内容的标准:5
GA/T708-2007
网管安全技术检查/测评;
网络服务器安全技术检查/测评;c)
路由器安全技术检查/测评;
交换机安全技术检查/测评;
网关安全技术检查/测评;
网络互连安全技术检查/测评;
网络协议安全技术检查/测评:
电磁信息产品安全技术检查/测评;h)
其他信息技术产品安全技术检查/测评。i
6.2.5.2.2信息安全专用产品安全技术检查/测评按要素/组件,对安全专用产品的安全技术的检查/测评进行描述的标准包括以下方面内容的标准:公钥基础设施(PKI)安全技术检查/测评;a)
网络身份认证安全技术检查/测评:防火墙安全技术检查/测评;
人侵检测安全技术检查/测评:
系统审计安全技术检查/测评;
网络脆弱性检测安全技术检查/测评;网络及端设备隔离部件安全技术检查/测评;防病毒产品安全技术检查/测评:虹膜身份鉴别安全技术检查/测评:i)指纹身份鉴别安全技术检查/测评;k)
虚拟专用网安全技术检查/测评;通用安全模块安全技术检查/测评;m)
其他安全专用产品安全技术检查/测评。6.2.5.3安全管理检查/测评
按要素/组件,对系统的安全管理的测试/评估进行描述的标准包括以下方面内容的标准:安全系统工程管理检查/测评;
安全系统运行管理检查/测评:
商用密码管理检查/测评;
应急处理管理检查/测评;
风险管理检查/测评;
其他管理检查/测评。
各应用领域实施指导方索
各个应用领域的安全系统实施指导方案,应由相应领域的安全管理部门组织人员,按照以上信息系统安全等级保护标准的内容,主要是系统设计指导类标准和系统实施指导类标准的内容,结合本领域对安全要求的特点进行制定。
6.3标准所涉及的内容
图1给出了信息系统安全等级保护标准体系中的标准所涉及内容的示意图。该图反映了信息系统安全等级保护标准应包括五个保护等级,五个安全组成部分以及构建过程控制,结果控制,执行过程控制等方面的内容。这也是整个信息系统安全等级保护所涉及的内容。6
构建过程控制
结果控制
第五级:访间验证保护
第四级:结构化保护
第三级:安全标记保护
第二级:系统审计保护
第一级:用户自主保护
信息系统安全的五个组成部分
图1标准体系涉及内容示意图
GA/T708—2007
执行过程控制
图1中的保护等级是指由GB17859-1999所规定的五个安全保护等级,按照公通字[2007]43号文件的规定,国家有关信息安全监管部门应对信息安全等级保护工作进行监督管理,具体要求是:对二级系统进行指导,对三级系统进行监督、检查,对四级系统进行强制监督,检查,对五级系统进行专门监督、检查:信息系统安全的五个组成部分是指应从物理安全、系统安全、网络安全、应用安全和安全管理等五个方面考虑信息系统安全标准的内容。构建过程控制主要是指应从安全系统建设、安全产品开发的过程控制方面制定相应的技术和管理要求标准;结果控制主要是指应从安全系统建设、安全产品开发的结果控制方面制定相应的技术和管理测评标准:执行过程控制主要是指应从政府部门的监督检查和指导方面制定相应的标准。
6.4各类标准的作用及编写要求
6.4.1基础性标准
基础性标准是为信息安全等级保护确定基本原则和基本要求的标准。基础标准的编写应满足下列要求:
安全技术要求描述:应从安全要素/组件的角度,对信息系统安全所涉及的安全功能技术要求和安全保证技术要求有全面描述:分等级安全功能技术要求:应从等级划分的角度,对不同安全保护等级的各个安全要素/组件的安全功能技术要求进行完整描述;一分等级安全保证技术要求:应从等级划分的角度,对不同安全保护等级的各个安全保证技术要求进行完整描述。
6.4.2系统设计指导类标准
系统设计指导类标准是从系统角度对实现信息系统安全等级保护进行框架性说明的标准,对从总体角度了解信息系统安全等级保护提供指导和帮助。系统设计指导类标准由信息系统安全等级保护体系框架、信息系统安全等级保护基本模型和信息系统安全等级保护基本配置等部分组成。其编写分别应满足下列要求:
信息系统安全等级保护体系框架:体系框架标推的编写应明确信息系统安全等级保护的组成及其相互关系,包括:信息系统安全等级保护的法律和政策法律依据,信息系统安全等级保护的标准体系,信息系统安全等级保护的管理体系以及信息系统安全等级保护的技术体系。标准应对信息系统安全等级保护的法律和政策法规依据进行明确的说明,并对组成体系统框架
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。