第 一 级 ，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造 成损害，但不损害国家安全、社会秩序和公共利益。
第 二 级 ，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产 生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。
第 三 级 ， 信息系统受到破坏后，会对社会秩序和公共利益造成严重损害， 或者对国家安全造成损害。
具体包括： ² 保障基础设施安全，保障网络周边环境和物理特性引起的网络设备和线路
的持续使用。 ² 保障网络连接安全，保障网络传输中的安全，尤其保障网络边界和外部接
入中的安全。
² 保障计算环境的安全，保障操作系统、数据库、服务器、用户终端及相关 商用产品的安全。
² 保障应用系统安全，保障应用程序层对网络信息的保密性、完整性和信源 的真实的保护和鉴别，防止和抵御各种安全威胁和攻击手段，在一定程度 上弥补和完善现有操作系统和网络信息系统的安全风险。
◆ 现状评估：分析信息安全现状； ◆ 差距分析：识别企业目前的安全现状与等级保护之间的差距； ◆ 需求分析：确定信息安全战略以及相应的信息安全需求； ◆ 安全规划：规划未来 3-5 年内的需要实施的安全项目。
1.3 信 息 安 全 等 级 安全等级保护工作的实施意见》（公通字【2004】66 号） 和《关于开展信息系统安全等级保护基础调查工作的通知》（公信安【2005】 1431 号），实施符合国家标准的安全等级保护体系建设，通过对信息系统的安 全等级划分，合理调配相关资源，重点确保核心信息资产的安全性，从而使重 要信息系统的安全威胁最小化，达到系统信息安全投入的最优化。实现如下总 体安全目标：
（1）依据信息系统所包括的信息资产的安全性、信息系统主要处理的业务 信息类别、信息系统服务范围以及业务对信息系统的依赖性等指标，来划分信 息系统的安全等级。
（2）通过信息安全需求分析，判断信息系统的安全保护现状与国家等级保 护基本要求之间的差距，确定安全需求，然后根据信息系统的划分情况、信息 系统定级情况、信息系统承载业务情况和安全需求等，设计合理的、满足等级 保护要求的总体安全方案，并制定出安全实施规划，以指导后续的信息系统安 全建设工程实施。
3.3 基于等级保护的恶意代码防护体系建设方案 .............. 21 3.3.1 针对恶意代码防护在不同等级中的技术要求 ...................21 3.3.2 针对恶意代码防护在不同等级中的管理要求 ...................22 3.3.3 针对恶意代码防护在不同等级中的集中控制管理要求 ...........23 3.3.4 信息安全等级保护所需解决方案对应表 .......................23 3.3.5 安全等级解决方案与亚信安全产品等级满足情况 ...............24 3.3.6 等级保护细则要求与亚信安全解决方案对应 ...................24
第 四 级 ，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损 害，或者对国家安全造成严重损害。
第 五 级 ， 信息系统受到破坏后，会对国家安全造成特别严重损害。
1.2 信 息 安 全 等 级 保 护 方 案 的 整 体 思 路
根据对等级保护要求的理解，我们设计了基于等级保护的安全解决方案， 方案主要分为 4 个阶段来进行：
二、信息系统安全现状分析 .................................. 7 2.1 物理安全 ........................................... 8 2.2 网络安全 ........................................... 8 2.2.1 结构安全 ..................................................9 2.2.2 访问控制 .................................................10 2.2.3 安全审计 .................................................10 2.2.4 边界完整性检查 ...........................................10 2.2.5 入侵防范 .................................................11 2.2.6 恶意代码防范 .............................................11 2.2.7 网络设备防护 .............................................11 2.3 主机安全 .......................................... 12 2.3.1 身份鉴别 .................................................12 2.3.2 访问控制 .................................................13 2.3.3 安全审计 .................................................13 2.3.4 剩余信息保护 .............................................13 2.3.5 入侵防范 .................................................13 2.3.6 恶意代码防范 .............................................14 2.3.7 资源控制 .................................................14 2.4 应用安全 .......................................... 14
² 安全管理体系保障，根据国家有关信息安全等级保护方面的标准和规范要 求，结合实际，建立一套切实可行的安全管理体系。
二 、 信 息 系 统 安 全 现 状 分 析
等级保护自上而下分别为：类、控制点和项。其中，类表示《信息系统安 全等级保护基本要求》在整体上大的分类，其中技术部分分为：物 理 安 全 、网 络安全、主机安全、应用安全和数据安全及备份恢复等 5 大类，管理部分 分为：安 全 管 理 制 度 、安 全 管 理 机 构 、人 员 安 全 管 理 、系 统 建 设 管 理 和 系 统运维管理等 5 大类，一共分为 10 大类。控制点表示每个大类下的关键控制 点，如物理安全大类中的“物理访问控制”作为一个控制点。而项则是控制点 下的具体要求项，如“机房出入应安排专人负责，控制、鉴别和记录进入的人 员。”
为了加强对国家信息系统的保密管理，确保信息安全，国家明确提出了信 息系统的建设使用单位必须根据分级保护管理办法和有关标准，对信息系统分 等级实施保护。
2007 年，公安部、国家保密局、国家密码管理局、国务院信息化工作办公 室联合发布了《信息安全等级保护管理办法》。《办法》将信息系统的安全保护 等 级分为以下五级：
基于等级保护的恶意代码防护体系建设方
案
2.6 安全管理 .......................................... 16 2.6.1 安全管理体系的建设内容 ...................................16 2.6.2 安全管理机构建设 .........................................17 2.6.3 安全管理制度建设 .........................................18 2.6.4 安全标准体系建设 .........................................18 2.6.5 安全教育和培训 ...........................................18 2.6.6 应急响应计划 .............................................19
目 录
一、概述 ................................................. 4 1.1 信息安全等级保护政策要求 ............................ 4 1.2 信息安全等级保护方案的整体思路 ....................... 5 1.3 信息安全等级保护方案总体目标 ........................ 6 1.4 信息安全等级保护建设目标 ............................ 6
三、基于等级保护的恶意代码防护体系设计 .................... 19
3.1 设计原则 .......................................... 19
3.2 参考标准 .......................................... 20
（3）达到公安部关于信息系统安全保护等级保护相关要求。
1.4 信 息 安 全 等 级 保 护 建 设 目 标
按照公安部、国家保密局、国家密码管理局、国务院信息化工作办公室和 相关国家部门关于信息系统在物理、网络安全运行、主机安全、应用安全、备 份及容灾等技术方面和管理等方面的总体要求，科学合理评估网站系统风险， 协助其合理确定安全保护等级，在此基础上科学规划设计一整套完整的安全体 系建设方案。
2.5 数据安全及备份恢复 ................................. 15 2.5.1 数据完整性 ...............................................15 2.5.2 数据保密性 ...............................................16 2.5.3 备份和恢复 ...............................................16