1、基本要求規(guī)定的范圍：對(duì)象：不同安全保護(hù)等級(jí)信息系統(tǒng)內(nèi)容：基本技術(shù)要求管理要求作用：指導(dǎo)分等級(jí)信息系統(tǒng)安全建設(shè)監(jiān)督管理引用：保護(hù)等級(jí)：依重要程度、危害程度、由低到高分5級(jí)見：GBT222402008不同等級(jí)的安全保護(hù)能力：共5級(jí)基本技術(shù)要求和管理要求：信統(tǒng)安全等保應(yīng)讓系統(tǒng)有它們相應(yīng)等級(jí)的基本安全保護(hù)能力?；景踩螅缹?shí)現(xiàn)方式，分基本技術(shù)要求、基本管理要求。技術(shù)要求：立基于技術(shù)安全機(jī)制，通過在信統(tǒng)中部署軟硬件，正確配置其安全功能。管理要

2、求：聚焦于信統(tǒng)中各種角色和角色參與的活動(dòng)?？刂平巧顒?dòng)、從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實(shí)現(xiàn)?；炯夹g(shù)要求：從物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)安全，4個(gè)層面提出要求?；竟芾硪螅簭陌踩芾碇贫?、機(jī)構(gòu)、人員、系統(tǒng)建設(shè)、運(yùn)維幾方面提要求?；景踩髲母鱾€(gè)層面方面，提出系統(tǒng)的每個(gè)組件應(yīng)該滿足的安全要求。整體的安全保護(hù)能力依賴于其內(nèi)部各不同組件的安全實(shí)現(xiàn)來滿足。基本技術(shù)要求的三種類型：技術(shù)類安全要求進(jìn)一步細(xì)分為：保護(hù)數(shù)據(jù)在存儲(chǔ)、

3、傳輸、處理過程中不被泄漏、破壞、和免受未授權(quán)的修改的要求（S要求）保護(hù)系統(tǒng)正常運(yùn)行、免受對(duì)系統(tǒng)未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用的服務(wù)保護(hù)類要求（S要求）通用安全保護(hù)類要求（G要求）第一級(jí)基本要求：b.提供登錄失敗處理功能c.啟用身份鑒別和登錄失敗處理功能，根據(jù)安全策略配置相關(guān)參數(shù)訪問控制a.應(yīng)提供訪問控制功能控制用戶組用戶對(duì)系統(tǒng)功能和用戶數(shù)據(jù)的訪問b.由授權(quán)主體配置訪問控制策略，嚴(yán)格限制默認(rèn)用戶的訪問權(quán)限通信完整性（S1）應(yīng)采用約定通信

4、會(huì)話方式的方法保證通信過程中數(shù)據(jù)的完整性。軟件容錯(cuò)（A1）提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求。數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)完整性（S1）檢測(cè)重要用戶數(shù)據(jù)在傳輸過程中完整性受到破壞。備份和恢復(fù)（A1）應(yīng)能夠?qū)χ匾畔⑦M(jìn)行備份和恢復(fù)。管理要求安全管理制度管理制度（G1）建立日常管理活動(dòng)中常用的安全管理制度制定和發(fā)布（G1）a.指定或授權(quán)專門的人員負(fù)責(zé)安全管理制度的制定b.將安全管理制度以

5、某種方式發(fā)布到相關(guān)人員手中。安全管理機(jī)構(gòu)崗位設(shè)置（G1）設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，定義各個(gè)工作崗位職責(zé)。人員配備（G1）應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等。授權(quán)和審批（G1）根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批部門及批準(zhǔn)人，對(duì)系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問等關(guān)鍵活動(dòng)進(jìn)行審批。溝通和合作應(yīng)加強(qiáng)與兄弟單位、公關(guān)機(jī)關(guān)、電信公司的合作與溝通。人員安全管理人員錄用a.指定或授權(quán)專門的部門或人員負(fù)責(zé)