二级、三级等级保护要求比较一、技术要求
技术要求项二级等保三级等保
物理
安全
物理
位置
的选
择1)机房和办公场地应选择
在具有防震、防风和防雨
等能力的建筑内。
1)机房和办公场地应选择在具有防震、防
风和防雨等能力的建筑内;
2)机房场地应避免设在建筑物的高层或地
下室,以及用水设备的下层或隔壁;
3)机房场地应当避开强电场、强磁场、强
震动源、强噪声源、重度环境污染、易
发生火灾、水灾、易遭受雷击的地区。
物理访问控制1)机房出入口应有专人值
守,鉴别进入的人员身份
并登记在案;
2)应批准进入机房的来访
人员,限制和监控其活动
范围。
1)机房出入口应有专人值守,鉴别进入的
人员身份并登记在案;
2)应批准进入机房的来访人员,限制和监
控其活动范围;
3)应对机房划分区域进行管理,区域和区
域之间设置物理隔离装置,在重要区域
前设置交付或安装等过度区域;
4)应对重要区域配置电子门禁系统,鉴别
和记录进入的人员身份并监控其活动。
防盗窃和防破坏1)应将主要设备放置在物
理受限的范围内;
2)应对设备或主要部件进
行固定,并设置明显的不
易除去的标记;
3)应将通信线缆铺设在隐
蔽处,如铺设在地下或管
道中等;
4)应对介质分类标识,存储
在介质库或档案室中;
5)应安装必要的防盗报警
设施,以防进入机房的盗
窃和破坏行为。
1)应将主要设备放置在物理受限的范围
内;
2)应对设备或主要部件进行固定,并设置
明显的无法除去的标记;
3)应将通信线缆铺设在隐蔽处,如铺设在
地下或管道中等;
4)应对介质分类标识,存储在介质库或档
案室中;
5)设备或存储介质携带出工作环境时,应
受到监控和内容加密;
6)应利用光、电等技术设置机房的防盗报
警系统,以防进入机房的盗窃和破坏行
为;
7)应对机房设置监控报警系统。
防雷击1)机房建筑应设置避雷装
置;
2)应设置交流电源地线。
1)机房建筑应设置避雷装置;
2)应设置防雷保安器,防止感应雷;
3)应设置交流电源地线。
防火1)应设置灭火设备和火灾
自动报警系统,并保持灭
火设备和火灾自动报警
系统的良好状态。1)应设置火灾自动消防系统,自动检测火情、自动报警,并自动灭火;
2)机房及相关的工作房间和辅助房,其建筑材料应具有耐火等级;
3)机房采取区域隔离防火措施,将重要设备与其他设备隔离开。
防水和防潮1)水管安装,不得穿过屋顶
和活动地板下;
2)应对穿过墙壁和楼板的
水管增加必要的保护措
施,如设置套管;
3)应采取措施防止雨水通
过屋顶和墙壁渗透;
4)应采取措施防止室内水
蒸气结露和地下积水的
转移与渗透。
1)水管安装,不得穿过屋顶和活动地板下;
2)应对穿过墙壁和楼板的水管增加必要的
保护措施,如设置套管;
3)应采取措施防止雨水通过屋顶和墙壁渗
透;
4)应采取措施防止室内水蒸气结露和地下
积水的转移与渗透。
防静电1)应采用必要的接地等防
静电措施
1)应采用必要的接地等防静电措施;
2)应采用防静电地板。
温湿度控制1)应设置温、湿度自动调节
设施,使机房温、湿度的
变化在设备运行所允许
的范围之内。
1)应设置恒温恒湿系统,使机房温、湿度
的变化在设备运行所允许的范围之内。
电力供应1)计算机系统供电应与其
他供电分开;
2)应设置稳压器和过电压
防护设备;
3)应提供短期的备用电力
供应(如UPS设备)。
1)计算机系统供电应与其他供电分开;
2)应设置稳压器和过电压防护设备;
3)应提供短期的备用电力供应(如UPS设
备);
4)应设置冗余或并行的电力电缆线路;
5)应建立备用供电系统(如备用发电机),
以备常用供电系统停电时启用。
电磁防护1)应采用接地方式防止外
界电磁干扰和设备寄生
耦合干扰;
2)电源线和通信线缆应隔
离,避免互相干扰。
1)应采用接地方式防止外界电磁干扰和设
备寄生耦合干扰;
2)电源线和通信线缆应隔离,避免互相干
扰;
3)对重要设备和磁介质实施电磁屏蔽。
网络安全结构
安全
与网
段划
分
1)网络设备的业务处理能
力应具备冗余空间,要求
满足业务高峰期需要;
2)应设计和绘制与当前运
行情况相符的网络拓扑
结构图;
3)应根据机构业务的特点,
在满足业务高峰期需要
的基础上,合理设计网络
带宽;
4)应在业务终端与业务服
务器之间进行路由控制,
建立安全的访问路径;
5)应根据各部门的工作职
能、重要性、所涉及信息
的重要程度等因素,划分
不同的子网或网段,并按
照方便管理和控制的原
则为各子网、网段分配地
址段;
6)重要网段应采取网络层
地址与数据链路层地址
绑定措施,防止地址欺
骗。
1)网络设备的业务处理能力应具备冗余空
间,要求满足业务高峰期需要;
2)应设计和绘制与当前运行情况相符的网
络拓扑结构图;
3)应根据机构业务的特点,在满足业务高
峰期需要的基础上,合理设计网络带宽;
4)应在业务终端与业务服务器之间进行路
由控制建立安全的访问路径;
5)应根据各部门的工作职能、重要性、所
涉及信息的重要程度等因素,划分不同
的子网或网段,并按照方便管理和控制
的原则为各子网、网段分配地址段;
6)重要网段应采取网络层地址与数据链路
层地址绑定措施,防止地址欺骗;
7)应按照对业务服务的重要次序来指定带
宽分配优先级别,保证在网络发生拥堵
的时候优先保护重要业务数据主机。
网络
访问
控制
1)应能根据会话状态信息
(包括数据包的源地址、
目的地址、源端口号、目
的端口号、协议、出入的
1)应能根据会话状态信息(包括数据包的
源地址、目的地址、源端口号、目的端
口号、协议、出入的接口、会话序列号、
发出信息的主机名等信息,并应支持地
接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力。
址通配符的使用),为数据流提供明确的
允许/拒绝访问的能力;
2)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、
SMTP、POP3等协议命令级的控制;3)应依据安全策略允许或者拒绝便携式和移动式设备的网络接入;
4)应在会话处于非活跃一定时间或会话结束后终止网络连接;
5)应限制网络最大流量数及网络连接数。
拨号访问控制1)应在基于安全属性的允
许远程用户对系统访问
的规则的基础上,对系统
所有资源允许或拒绝用
户进行访问,控制粒度为
单个用户;
2)应限制具有拨号访问权
限的用户数量。
1)应在基于安全属性的允许远程用户对系
统访问的规则的基础上,对系统所有资
源允许或拒绝用户进行访问,控制粒度
为单个用户;
2)应限制具有拨号访问权限的用户数量;
3)应按用户和系统之间的允许访问规则,
决定允许用户对受控系统进行资源访
问。
网络安全审计1)应对网络系统中的网络
设备运行状况、网络流
量、用户行为等事件进行
日志记录;
2)对于每一个事件,其审计
记录应包括:事件的日期
和时间、用户、事件类型、
事件是否成功,及其他与
审计相关的信息。
1)应对网络系统中的网络设备运行状况、
网络流量、用户行为等进行全面的监测、
记录;
2)对于每一个事件,其审计记录应包括:
事件的日期和时间、用户、事件类型、
事件是否成功,及其他与审计相关的信
息;
3)安全审计应可以根据记录数据进行分
析,并生成审计报表;
4)安全审计应可以对特定事件,提供指定
方式的实时报警;
5)审计记录应受到保护避免受到未预期的
删除、修改或覆盖等。
边界完整性检查1)应能够检测内部网络中
出现的内部用户未通过
准许私自联到外部网络
的行为(即“非法外联”行
为)。
1)应能够检测内部网络中出现的内部用户
未通过准许私自联到外部网络的行为
(即“非法外联”行为);
2)应能够对非授权设备私自联到网络的行
为进行检查,并准确定出位置,对其进
行有效阻断;
3)应能够对内部网络用户私自联到外部网
络的行为进行检测后准确定出位置,并
对其进行有效阻断。
网络入侵防范1)应在网络边界处监视以
下攻击行为:端口扫描、
强力攻击、木马后门攻
击、拒绝服务攻击、缓冲
区溢出攻击、IP碎片攻
击、网络蠕虫攻击等入侵
事件的发生。
1)应在网络边界处应监视以下攻击行为:
端口扫描、强力攻击、木马后门攻击、
拒绝服务攻击、缓冲区溢出攻击、IP碎
片攻击、网络蠕虫攻击等入侵事件的发
生;
2)当检测到入侵事件时,应记录入侵的源
IP、攻击的类型、攻击的目的、攻击的
时间,并在发生严重入侵事件时提供报
警。
恶意代码防范1)应在网络边界及核心业
务网段处对恶意代码进
行检测和清除;
2)应维护恶意代码库的升
级和检测系统的更新;
3)应支持恶意代码防范的
统一管理。
1)应在网络边界及核心业务网段处对恶意
代码进行检测和清除;
2)应维护恶意代码库的升级和检测系统的
更新;
3)应支持恶意代码防范的统一管理。
网络设备防护1)应对登录网络设备的用
户进行身份鉴别;
2)应对网络设备的管理员
登录地址进行限制;
3)网络设备用户的标识应
1)应对登录网络设备的用户进行身份鉴
别;
2)应对网络上的对等实体进行身份鉴别;
3)应对网络设备的管理员登录地址进行限
唯一;
4)身份鉴别信息应具有不易被冒用的特点,例如口
令长度、复杂性和定期的
更新等;
5)应具有登录失败处理功能,如:结束会话、限制
非法登录次数,当网络登
录连接超时,自动退出。
制;
4)网络设备用户的标识应唯一;
5)身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更
新等;
6)应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;
7)应具有登录失败处理功能,如:结束会话、限制非法登录次数,当网络登录连
接超时,自动退出;
8)应实现设备特权用户的权限分离,例如将管理与审计的权限分配给不同的网络
设备用户。
主机系统安全身份
鉴别
1)操作系统和数据库管理
系统用户的身份标识应
具有唯一性;
2)应对登录操作系统和数
据库管理系统的用户进
行身份标识和鉴别;
3)操作系统和数据库管理
系统身份鉴别信息应具
有不易被冒用的特点,例
如口令长度、复杂性和定
期的更新等;
4)应具有登录失败处理功
能,如:结束会话、限制
非法登录次数,当登录连
接超时,自动退出。
1)操作系统和数据库管理系统用户的身份
标识应具有唯一性;
2)应对登录操作系统和数据库管理系统的
用户进行身份标识和鉴别;
3)应对同一用户采用两种或两种以上组合
的鉴别技术实现用户身份鉴别;
4)操作系统和数据库管理系统用户的身份
鉴别信息应具有不易被冒用的特点,例
如口令长度、复杂性和定期的更新等;
5)应具有登录失败处理功能,如:结束会
话、限制非法登录次数,当登录连接超
时,自动退出;
6)应具有鉴别警示功能;
7)重要的主机系统应对与之相连的服务器
或终端设备进行身份标识和鉴别。
自主1)应依据安全策略控制主1)应依据安全策略控制主体对客体的访
访问控制
体对客体的访问;
2)自主访问控制的覆盖范
围应包括与信息安全直
接相关的主体、客体及它
们之间的操作;
3)自主访问控制的粒度应
达到主体为用户级,客体
为文件、数据库表级;
4)应由授权主体设置对客
体访问和操作的权限;
5)应严格限制默认用户的
访问权限。
问;
2)自主访问控制的覆盖范围应包括与信息
安全直接相关的主体、客体及它们之间
的操作;
3)自主访问控制的粒度应达到主体为用户
级,客体为文件、数据库表级;
4)应由授权主体设置对客体访问和操作的
权限;
5)权限分离应采用最小授权原则,分别授
予不同用户各自为完成自己承担任务所
需的最小权限,并在他们之间形成相互
制约的关系;
6)应实现操作系统和数据库管理系统特权
用户的权限分离;
7)应严格限制默认用户的访问权限。
强制访问控制无1)应对重要信息资源和访问重要信息资源
的所有主体设置敏感标记;
2)强制访问控制的覆盖范围应包括与重要
信息资源直接相关的所有主体、客体及
它们之间的操作;
3)强制访问控制的粒度应达到主体为用户
级,客体为文件、数据库表级。
安全审计1)安全审计应覆盖到服务
器上的每个操作系统用
户和数据库用户;
2)安全审计应记录系统内
重要的安全相关事件,包
括重要用户行为和重要
系统命令的使用等;
3)安全相关事件的记录应
1)安全审计应覆盖到服务器和客户端上的
每个操作系统用户和数据库用户;
2)安全审计应记录系统内重要的安全相关
事件,包括重要用户行为、系统资源的
异常使用和重要系统命令的使用;
3)安全相关事件的记录应包括日期和时
包括日期和时间、类型、
主体标识、客体标识、事
件的结果等;
4)审计记录应受到保护避免受到未预期的删除、修
改或覆盖等。
间、类型、主体标识、客体标识、事件
的结果等;
4)安全审计应可以根据记录数据进行分析,并生成审计报表;
5)安全审计应可以对特定事件,提供指定方式的实时报警;
6)审计进程应受到保护避免受到未预期的中断;
7)审计记录应受到保护避免受到未预期的删除、修改或覆盖等。
系统保护1)系统应提供在管理维护
状态中运行的能力,管理
维护状态只能被系统管
理员使用。
1)系统因故障或其他原因中断后,应能够
以手动或自动方式恢复运行。
剩余信息保护1)应保证操作系统和数据
库管理系统用户的鉴别
信息所在的存储空间,被
释放或再分配给其他用
户前得到完全清除,无论
这些信息是存放在硬盘
上还是在内存中;
2)应确保系统内的文件、目
录和数据库记录等资源
所在的存储空间,被释放
或重新分配给其他用户
前得到完全清除。
1)应保证操作系统和数据库管理系统用户
的鉴别信息所在的存储空间,被释放或
再分配给其他用户前得到完全清除,无
论这些信息是存放在硬盘上还是在内存
中;
2)应确保系统内的文件、目录和数据库记
录等资源所在的存储空间,被释放或重
新分配给其他用户前得到完全清除。
入侵防范无1)应进行主机运行监视,包括监视主机的
CPU、硬盘、内存、网络等资源的使用情
况;
2)应设定资源报警域值,以便在资源使用
超过规定数值时发出报警;
3)应进行特定进程监控,限制操作人员运行非法进程;
4)应进行主机账户监控,限制对重要账户的添加和更改;
5)应检测各种已知的入侵行为,记录入侵的源IP、攻击的类型、攻击的目的、攻
击的时间,并在发生严重入侵事件时提
供报警;
6)应能够检测重要程序完整性受到破坏,并在检测到完整性错误时采取必要的恢
复措施。
恶意代码防范1)服务器和重要终端设备
(包括移动设备)应安装
实时检测和查杀恶意代
码的软件产品;
2)主机系统防恶意代码产
品应具有与网络防恶意
代码产品不同的恶意代
码库;
1)服务器和终端设备(包括移动设备)均
应安装实时检测和查杀恶意代码的软件
产品;
2)主机系统防恶意代码产品应具有与网络
防恶意代码产品不同的恶意代码库;
3)应支持恶意代码防范的统一管理。
资源控制1)应限制单个用户的会话
数量;
2)应通过设定终端接入方
式、网络地址范围等条件
限制终端登录。
1)应限制单个用户的多重并发会话;
2)应对最大并发会话连接数进行限制;
3)应对一个时间段内可能的并发会话连接
数进行限制;
4)应通过设定终端接入方式、网络地址范
围等条件限制终端登录;
5)应根据安全策略设置登录终端的操作超
时锁定和鉴别失败锁定,并规定解锁或
终止方式;
6)应禁止同一用户账号在同一时间内并发
登录;
7)应限制单个用户对系统资源的最大或最小使用限度;
8)当系统的服务水平降低到预先规定的最小值时,应能检测和报警;
9)应根据安全策略设定主体的服务优先级,根据优先级分配系统资源,保证优
先级低的主体处理能力不会影响到优先
级高的主体的处理能力。
应用安全身份
鉴别
1)应用系统用户的身份标
识应具有唯一性;
2)应对登录的用户进行身
份标识和鉴别;
3)系统用户身份鉴别信息
应具有不易被冒用的特
点,例如口令长度、复杂
性和定期的更新等;
4)应具有登录失败处理功
能,如:结束会话、限制
非法登录次数,当登录连
接超时,自动退出。
1)系统用户的身份标识应具有唯一性;
2)应对登录的用户进行身份标识和鉴别;
3)系统用户的身份鉴别信息应具有不易被
冒用的特点,例如口令长度、复杂性和
定期的更新等;
4)应对同一用户采用两种或两种以上组合
的鉴别技术实现用户身份鉴别;
5)应具有登录失败处理功能,如:结束会
话、限制非法登录次数,当登录连接超
时,自动退出;
6)应具有鉴别警示功能;
7)应用系统应及时清除存储空间中动态使
用的鉴别信息。
访问
控制
1)应依据安全策略控制用
户对客体的访问;
2)自主访问控制的覆盖范
围应包括与信息安全直
接相关的主体、客体及它
们之间的操作;
3)自主访问控制的粒度应
达到主体为用户级,客体
为文件、数据库表级;
4)应由授权主体设置用户
1)应依据安全策略控制用户对客体的访
问;
2)自主访问控制的覆盖范围应包括与信息
安全直接相关的主体、客体及它们之间
的操作;
3)自主访问控制的粒度应达到主体为用户
级,客体为文件、数据库表级;
4)应由授权主体设置用户对系统功能操作
对系统功能操作和对数
据访问的权限;
5)应实现应用系统特权用户的权限分离,例如将管
理与审计的权限分配给
不同的应用系统用户;6)权限分离应采用最小授权原则,分别授予不同用
户各自为完成自己承担
任务所需的最小权限,并
在它们之间形成相互制
约的关系;
7)应严格限制默认用户的访问权限。
和对数据访问的权限;
5)应实现应用系统特权用户的权限分离,例如将管理与审计的权限分配给不同的
应用系统用户;
6)权限分离应采用最小授权原则,分别授予不同用户各自为完成自己承担任务所
需的最小权限,并在它们之间形成相互
制约的关系;
7)应严格限制默认用户的访问权限。
安全审计1)安全审计应覆盖到应用
系统的每个用户;
2)安全审计应记录应用系
统重要的安全相关事件,
包括重要用户行为和重
要系统功能的执行等;
3)安全相关事件的记录应
包括日期和时间、类型、
主体标识、客体标识、事
件的结果等;
4)审计记录应受到保护避
免受到未预期的删除、修
改或覆盖等。
1)安全审计应覆盖到应用系统的每个用
户;
2)安全审计应记录应用系统重要的安全相
关事件,包括重要用户行为、系统资源
的异常使用和重要系统功能的执行等;
3)安全相关事件的记录应包括日期和时
间、类型、主体标识、客体标识、事件
的结果等;
4)安全审计应可以根据记录数据进行分
析,并生成审计报表;
5)安全审计应可以对特定事件,提供指定
方式的实时报警;
6)审计进程应受到保护避免受到未预期的
中断;
7)审计记录应受到保护避免受到未预期的
删除、修改或覆盖等。
剩余1)应保证用户的鉴别信息1)应保证用户的鉴别信息所在的存储空
信息保护
所在的存储空间,被释放
或再分配给其他用户前
得到完全清除,无论这些
信息是存放在硬盘上还
是在内存中;
2)应确保系统内的文件、目
录和数据库记录等资源
所在的存储空间,被释放
或重新分配给其他用户
前得到完全清除。
间,被释放或再分配给其他用户前得到
完全清除,无论这些信息是存放在硬盘
上还是在内存中;
2)应确保系统内的文件、目录和数据库记
录等资源所在的存储空间,被释放或重
新分配给其他用户前得到完全清除。
通信完整性1)通信双方应约定单向的
校验码算法,计算通信数
据报文的校验码,在进行
通信时,双方根据校验码
判断对方报文的有效性。
1)通信双方应约定密码算法,计算通信数
据报文的报文验证码,在进行通信时,
双方根据校验码判断对方报文的有效
性。
抗抵赖无1)应具有在请求的情况下为数据原发者或
接收者提供数据原发证据的功能;
2)应具有在请求的情况下为数据原发者或
接收者提供数据接收证据的功能。
通信保密性1)当通信双方中的一方在
一段时间内未作任何响
应,另一方应能够自动结
束会话;
2)在通信双方建立连接之
前,利用密码技术进行会
话初始化验证;
3)在通信过程中,应对敏感
信息字段进行加密。
1)当通信双方中的一方在一段时间内未作
任何响应,另一方应能够自动结束会话;
2)在通信双方建立连接之前,利用密码技
术进行会话初始化验证;
3)在通信过程中,应对整个报文或会话过
程进行加密;
4)应选用符合国家有关部门要求的密码算
法。
软件容错1)应对通过人机接口输入
或通过通信接口输入的
数据进行有效性检验;
2)应对通过人机接口方式
1)应对通过人机接口输入或通过通信接口
输入的数据进行有效性检验;
2)应对通过人机接口方式进行的操作提供
“回退”功能,即允许按照操作的序列
进行的操作提供“回退”
功能,即允许按照操作的
序列进行回退;
3)在故障发生时,应继续提供一部分功能,确保能够
实施必要的措施。
进行回退;
3)应有状态监测能力,当故障发生时,能实时检测到故障状态并报警;
4)应有自动保护能力,当故障发生时,自动保护当前所有状态。
资源控制1)应限制单个用户的多重
并发会话;
2)应对应用系统的最大并
发会话连接数进行限制;
3)应对一个时间段内可能
的并发会话连接数进行
限制。
1)应限制单个用户的多重并发会话;
2)应对应用系统的最大并发会话连接数进
行限制;
3)应对一个时间段内可能的并发会话连接
数进行限制;
4)应根据安全策略设置登录终端的操作超
时锁定和鉴别失败锁定,并规定解锁或
终止方式;
5)应禁止同一用户账号在同一时间内并发
登录;
6)应对一个访问用户或一个请求进程占用
的资源分配最大限额和最小限额;
7)应根据安全属性(用户身份、访问地址、
时间范围等)允许或拒绝用户建立会话
连接;
8)当系统的服务水平降低到预先规定的最
小值时,应能检测和报警;
9)应根据安全策略设定主体的服务优先
级,根据优先级分配系统资源,保证优
先级低的主体处理能力不会影响到优先
级高的主体的处理能力。
代码安全1)应对应用程序代码进行
恶意代码扫描;
2)应对应用程序代码进行
1)应制定应用程序代码编写安全规范,要
求开发人员参照规范编写代码;
2)应对应用程序代码进行代码复审,识别
安全脆弱性分析。可能存在的恶意代码;
3)应对应用程序代码进行安全脆弱性分
析;
4)应对应用程序代码进行穿透性测试。
数据安全数据
完整
性
1)应能够检测到系统管理
数据、鉴别信息和用户数
据在传输过程中完整性
受到破坏;
2)应能够检测到系统管理
数据、鉴别信息和用户数
据在存储过程中完整性
受到破坏。
1)应能够检测到系统管理数据、鉴别信息
和用户数据在传输过程中完整性受到破
坏,并在检测到完整性错误时采取必要
的恢复措施;
2)应能够检测到系统管理数据、鉴别信息
和用户数据在存储过程中完整性受到破
坏,并在检测到完整性错误时采取必要
的恢复措施;
3)应能够检测到重要程序的完整性受到破
坏,并在检测到完整性错误时采取必要
的恢复措施。
数据
保密
性
1)网络设备、操作系统、数
据库管理系统和应用系
统的鉴别信息、敏感的系
统管理数据和敏感的用
户数据应采用加密或其
他有效措施实现传输保
密性;
2)网络设备、操作系统、数
据库管理系统和应用系
统的鉴别信息、敏感的系
统管理数据和敏感的用
户数据应采用加密或其
他保护措施实现存储保
密性;
3)当使用便携式和移动式
设备时,应加密或者采用
1)网络设备、操作系统、数据库管理系统
和应用系统的鉴别信息、敏感的系统管
理数据和敏感的用户数据应采用加密或
其他有效措施实现传输保密性;
2)网络设备、操作系统、数据库管理系统
和应用系统的鉴别信息、敏感的系统管
理数据和敏感的用户数据应采用加密或
其他保护措施实现存储保密性;
3)当使用便携式和移动式设备时,应加密
或者采用可移动磁盘存储敏感信息;
4)用于特定业务通信的通信信道应符合相
关的国家规定。
可移动磁盘存储敏感信息。
数据备份和恢复1)应提供自动机制对重要
信息进行有选择的数据
备份;
2)应提供恢复重要信息的
功能;
3)应提供重要网络设备、通
信线路和服务器的硬件
冗余
1)应提供自动机制对重要信息进行本地和
异地备份;
2)应提供恢复重要信息的功能;
3)应提供重要网络设备、通信线路和服务
器的硬件冗余;
4)应提供重要业务系统的本地系统级热备
份。
二、管理要求
管理要求项二级等保三级等保
安全管理机构岗位
设置
1)应设立信息安全管理工
作的职能部门,设立安全
主管人、安全管理各个方
面的负责人岗位,定义各
负责人的职责;
2)应设立系统管理人员、网
络管理人员、安全管理人
员岗位,定义各个工作岗
位的职责;
3)应制定文件明确安全管
理机构各个部门和岗位
的职责、分工和技能要
求。
1)应设立信息安全管理工作的职能部门,
设立安全主管人、安全管理各个方面的
负责人岗位,定义各负责人的职责;
2)应设立系统管理人员、网络管理人员、
安全管理人员岗位,定义各个工作岗位
的职责;
3)应成立指导和管理信息安全工作的委员
会或领导小组,其最高领导应由单位主
管领导委任或授权;
4)应制定文件明确安全管理机构各个部门
和岗位的职责、分工和技能要求。
人员
配备
1)应配备一定数量的系统
管理人员、网络管理人
员、安全管理人员等;
2)安全管理人员不能兼任
网络管理员、系统管理
员、数据库管理员等。
1)应配备一定数量的系统管理人员、网络
管理人员、安全管理人员等;
2)应配备专职安全管理人员,不可兼任;
3)关键岗位应定期轮岗。
授权
和审
1)应授权审批部门及批准
人,对关键活动进行审
1)应授权审批部门及批准人,对关键活动
进行审批;
二级、三级等级保护要求比较一、技术要求 技术要求项二级等保三级等保 物理 安全 物理 位置 的选 择1)机房和办公场地应选择 在具有防震、防风和防雨 等能力的建筑内。 1)机房和办公场地应选择在具有防震、防 风和防雨等能力的建筑内; 2)机房场地应避免设在建筑物的高层或地 下室,以及用水设备的下层或隔壁; 3)机房场地应当避开强电场、强磁场、强 震动源、强噪声源、重度环境污染、易 发生火灾、水灾、易遭受雷击的地区。 物理访问控制1)机房出入口应有专人值 守,鉴别进入的人员身份 并登记在案; 2)应批准进入机房的来访 人员,限制和监控其活动 范围。 1)机房出入口应有专人值守,鉴别进入的 人员身份并登记在案; 2)应批准进入机房的来访人员,限制和监 控其活动范围; 3)应对机房划分区域进行管理,区域和区 域之间设置物理隔离装置,在重要区域 前设置交付或安装等过度区域; 4)应对重要区域配置电子门禁系统,鉴别 和记录进入的人员身份并监控其活动。 防盗窃和防破坏1)应将主要设备放置在物 理受限的范围内; 2)应对设备或主要部件进 行固定,并设置明显的不 易除去的标记; 3)应将通信线缆铺设在隐 蔽处,如铺设在地下或管 道中等; 4)应对介质分类标识,存储 在介质库或档案室中; 5)应安装必要的防盗报警 设施,以防进入机房的盗 窃和破坏行为。 1)应将主要设备放置在物理受限的范围 内; 2)应对设备或主要部件进行固定,并设置 明显的无法除去的标记; 3)应将通信线缆铺设在隐蔽处,如铺设在 地下或管道中等; 4)应对介质分类标识,存储在介质库或档 案室中; 5)设备或存储介质携带出工作环境时,应 受到监控和内容加密; 6)应利用光、电等技术设置机房的防盗报 警系统,以防进入机房的盗窃和破坏行 为;
国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A3) 本项要求包括: a) 应在机房供电线路上配置稳压器和过电压防护设备; b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运
一、网络安全等级保护制度是什么 网络安全等级保护制度不是新事物, 是计算机信息系统安全等级保护制度的升级版。1994年颁布的《中华人民共和国计算机信息系统安全保护条例》最早明确了对计算机信息系统实行安全等级保护, 由公安机关作为主管部门负责监管实施。此后, 公安部同其他相关部门逐步完善了等级保护制度和管理的具体内容, 主导完善了《计算机信息系统安全保护等级划分准则》(GB-17859-1999)等一系列国家标准。随着社会的发展, 网络的外延不断扩展, 出现了云计算、大数据、物联网、工业控制系统等形态, 计算机信息系统等级保护制度已经不能适应, 因此, 2017年6月1日颁布的《中华人民共和国网络安全法》确认并更新了等级保护制度的内容。并且随着网络安全法的发布,信息安全建设已经逐渐提升到国家安全战略的层面,后期哪个单位未落实等级保护制度,一旦出现问题将会受到主管部门的严厉处罚。 二、哪些单位需要做等级保护 《中华人民共和国网络安全法》强调在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护,明确关键信息基础设施的运营者负有更多的安全保护义务,并配以国家安全审查、重要数据强制本地存储等法律措施,确保关键信息基础设施的运行安全。那么哪些单位需要做等级保护呢? (一)政府机关:各大部委、各省级政府机关、各地市级政府机关、各事业单位等; (二)金融行业:金融监管机构、各大银行、证券、保险公司等; (三)电信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等; (四)能源行业:电力公司、石油公司、烟草公司; (五)企业单位:大中型企业、央企、上市公司等; (六)其它有信息系统定级需求的行业与单位。
实用标准文档 1.信息系统等级保护测评指标 等级保护的测评技术指标至少覆盖各系统等保二级、等级保三级的全部指标 1.1.等级保护二级测评基本指标 分类子类基本要求 物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建(G2)筑内 物理访问控制机房出入口应安排专人值守,控制、鉴别和记录进入的人员 需进入机房的来访人员应经过申请和审批流程,并限制和监 (G2) 控其活动范围 应将主要设备放置在机房内 应将设备或主要部件进行固定,并设置明显的不易除去的标防盗窃和防破坏记 (G2)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中 应对介质分类标识,存储在介质库或档案室中 主机房应安装必要的防盗报警设施 防雷击(G2) 机房建筑应设置避雷装置 机房应设置交流电源地线 物理安全 防火(G2)机房应设置灭火设备和火灾自动报警系统。 水管安装,不得穿过机房屋顶和活动地板下 防水和防潮(G2)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透 防静电(G2)关键设备应采用必要的接地防静电措施 温湿度控制(G2)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内 应在机房供电线路上配置稳压器和过电压防护设备 电力供应(A2)应提供短期的备用电力供应,至少满足关键设备在断电情况 下的正常运行要求 电磁防护(S2)电源线和通信线缆应隔离铺设,避免互相干扰 应保证关键网络设备的业务处理能力具备冗余空间,满足业 务高峰期需要 应保证接入网络和核心网络的带宽满足业务高峰期需要 结构安全(G2)应绘制与当前运行情况相符的网络拓扑结构图 网络安全 应根据各部门的工作职能、重要性和所涉及信息的重要程度 等因素,划分不同的子网或网段,并按照方便管理和控制的 原则为各子网、网段分配地址段 应在网络边界部署访问控制设备,启用访问控制功能 访问控制(G2)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级
网络安全等级保护建设方案 (安全通用要求) 北京启明星辰信息安全技术有限公司 Beijing Venustech Information Security Technology Co., Ltd. 二零一九年五月
目录 1.项目概述 (4) 1.1.项目概述 (4) 1.2.项目建设背景 (4) 1.2.1.法律依据 (4) 1.2.2.政策依据 (5) 1.3.项目建设目标及内容 (6) 1.3.1.建设目标 (6) 1.3.2.建设内容 (7) 1.4.等级保护对象分析与介绍 (8) 2.方案设计说明 (8) 2.1.设计依据 (8) 2.2.设计原则 (9) 2.2.1.分区分域防护原则 (9) 2.2.2.均衡性保护原则 (9) 2.2.3.技管并重原则 (9) 2.2.4.动态调整原则 (9) 2.2.5.三同步原则 (10) 2.3.设计思路 (10) 2.4.设计框架 (12) 3.安全现状及需求分析 (12) 3.1.安全现状概述 (12) 3.2.安全需求分析 (13) 3.2.1.物理环境安全需求 (13) 3.2.2.通信网络安全需求 (14) 3.2.3.区域边界安全需求 (15) 3.2.4.计算环境安全需求 (17)
3.2.5.安全管理中心安全需求 (18) 3.2.6.安全管理制度需求 (18) 3.2.7.安全管理机构需求 (19) 3.2.8.安全管理人员需求 (19) 3.2.9.安全建设管理需求 (20) 3.2.10.安全运维管理需求 (21) 3.3.合规差距分析 (22) 4.技术体系设计方案 (22) 4.1.技术体系设计目标 (22) 4.2.技术体系设计框架 (23) 4.3.安全技术防护体系设计 (23) 4.3.1.安全计算环境防护设计 (23) 4.3.2.安全区域边界防护设计 (28) 4.3.3.安全通信网络防护设计 (31) 4.3.4.安全管理中心设计 (34) 5.管理体系设计方案 (35) 5.1.管理体系设计目标 (35) 5.2.管理体系设计框架 (35) 5.3.安全管理防护体系设计 (35) 5.3.1.安全管理制度设计 (36) 5.3.2.安全管理机构设计 (36) 5.3.3.安全管理人员设计 (37) 5.3.4.安全建设管理设计 (38) 5.3.5.安全运维管理设计 (39) 6.产品选型与投资概算 (47) 7.部署示意及合规性分析 (48) 7.1.部署示意及描述 (48) 7.2.合规性分析 (48)
等级保护二级系统与三级系统 比较分析报告 2012年4月24号
目录 1.二级系统与三级系统的界定 (3) 2.二级系统与三级系统要求的防护能力差别 (3) 3.二级系统与三级系统的测评力度差别 (4) 4.二级系统与三级系统的强制测评周期区别 (4) 5.二级系统与三级系统的测评模型差别 (5) 6.二级系统与三级系统的测评指标的差别及问题解决方案(技术为例) (7) 7.二级系统与三级系统定级出现偏差的风险分析 (11)
1.二级系统与三级系统的界定 《信息系统安全等级保护定级指南》中规定: 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 2.二级系统与三级系统要求的防护能力差别 第二级系统应达到的安全保护能力: 应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段事件内恢复部分功能。 第三级系统应达到的安全保护能力: 应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。
4.二级系统与三级系统的强制测评周期区别 《信息安全等级保护管理办法》中第十四条规定: 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评。 二级系统不强制要求测评,但是要求定期找测评机构测评或进行系统自测。
7第三级基本要求 7.1技术要求 7.1.1物理安全 7.1.1.1物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 7.1.1.2物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。 7.1.1.3防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 7.1.1.4防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 7.1.1.6防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 7.1.1.7防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 7.1.1.8温湿度控制(G3)
信息安全等级保护工作流程
一、定级 一、等级划分 计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,分为五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 二、定级程序 信息系统运营、使用单位应当依据《信息系统安全等级保护定级指南》(下载专区附)确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。 跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。 对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。 三、定级注意事项 第一级信息系统:适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。
第二级信息系统:适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统,地市级以上国家机关、企事业单位网站等 第三级信息系统:一般适用于地市级以上国家机关、企事业单位内部重要的信息系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省门户网站和重要网站;跨省连接的网络系统等。例如网上银行系统、证券集中交易系统、海关通关系统、民航离港控制系统等为三级信息系统。 第四级信息系统:一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全、影响社会稳定的核心系统。例如电信骨干传输网、电力能量管理系统、银行核心业务系统、铁路票客系统、列车指挥调度系统等 第五级信息系统:适用于国家特殊领域的极端重要系统。 二、备案 一、总体要求 新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 二、备案管辖 (一)管辖原则。 备案管辖分工采取级别管辖和属地管辖相结合。 (二)中央在京单位。 隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由公安部公共信息网络安全监察局受理备案,其他信息系统由北京市公安局公共信息网络安全监察部门(简称网监部门,下同)受理备案。
等级保护2.0-北京在信国通科技有限公司 Q1:什么是等级保护? 答:等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。 Q2:什么是等级保护2.0? 答:“等级保护2.0”或“等保2.0”是一个约定俗成的说法,指按新的等级保护标准规范开展工作的统称。通常认为是《中华人民共和国网络安全法》颁布实行后提出,以2019年12月1日,网络安全等级保护基本要求、测评要求和设计技术要求更新发布新版本为象征性标志。 Q3:“等保”与“分保”有什么区别? 答:指等级保护与分级保护,主要不同在监管部门、适用对象、分类等级等方面。 监管部门不一样,等级保护由公安部门监管,分级保护由国家保密局监管。 适用对象不一样,等级保护适用非涉密系统,分级保护适用于涉及国家密秘系统。 等级分类不同,等级保护分5个级别:一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护);分级保护分3个级别:秘密级、机密级、绝密级。 Q4:“等保”与“关保”有什么区别? 答:指等级保护与关键信息基础设施保护,“关保”是在网络安全等级保护制度的基础上,实行重点保护。《中华人民共和国网络安全法》第三章第二节规定了关键信息基础设施的运行安全,包括关键信息基础设施的范围、保护的主要内容等。 目前《信息安全技术关键信息基础设施网络安全保护基本要求》正在报批中,相关试点工作已启动。 Q5:什么是等级保护测评? 答:指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密网络安全等级保护状况进行检测评估的活动。 Q6:等级保护是否是强制性的,可以不做吗? 答:《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护
信息安全等级保护测评项目 测 评 方 案 广州华南信息安全测评中心 二〇一六年
目录 第一章概述 (3) 第二章测评基本原则 (4) 一、客观性和公正性原则 (4) 二、经济性和可重用性原则 (4) 三、可重复性和可再现性原则 (4) 四、结果完善性原则 (4) 第三章测评安全目标(2级) (5) 一、技术目标 (5) 二、管理目标 (6) 第四章测评内容 (9) 一、资料审查 (10) 二、核查测试 (10) 三、综合评估 (10) 第五章项目实施 (12) 一、实施流程 (12) 二、测评工具 (13) 2.1 调查问卷 (13) 2.2 系统安全性技术检查工具 (13) 2.3 测评工具使用原则 (13) 三、测评方法 (14) 第六章项目管理 (15) 一、项目组织计划 (15) 二、项目成员组成与职责划分 (15) 三、项目沟通 (16) 3.1 日常沟通,记录和备忘录 (16) 3.2 报告 (16) 3.3 正式会议 (16) 第七章附录:等级保护评测准则 (19) 一、信息系统安全等级保护 2 级测评准则 (19) 1.1 基本要求 (19) 1.2 评估测评准则 (31) 二、信息系统安全等级保护 3 级测评准则 (88) 基本要求 (88) 评估测评准则 (108)
第一章概述 2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)以及 2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件 明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。” 2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中又再次指出,“通过深化信息安全等级保护,全面推动重要信息系统安全整改和测评工作,增强信息系统安全保护的整体性、针对性和实效性,使信息系统安全 建设更加突出重点、统一规范、科学合理,提高信息安全保障能力,维护国家安全、社会稳定和公共利益,保障和促进信息化建设”。由此可见,等级保护测评和等级保护安全整改工作已经迫在眉睫。
信息安全技术网络安全等级保护测评要求 第1部分:安全通用要求 编制说明 1概述 1.1任务来源 《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准,标准号为GB/T 28448-2012,被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。但是随着信息技术的发展,尤其云计算、移动互联网、物联网和大数据等新技术的发展,该标准在时效性、易用性、可操作性上还需进一步提高,2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。 根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划,国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办,项目编号为2013bzxd-WG5-006。 1.2制定本标准的目的和意义 《信息安全等级保护管理办法》(公通字[2007]43号)明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,而且等级测评的技术测评报告是其检查内容之一。这就要求等级测评过程规范、测评结论准确、公正及可重现。 《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)(简称《基本要求》)和《信息安全技术信息系统安全等级保护测评要求》(GB/T28448-2012)(简称《测评要求》)等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。 伴随着IT技术的发展,《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点,结合信息技术发展尤其是信息安全技术发展的特点,比如无线网络的大量使用,数据大集中、云计算等应用方式的普及等,需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力,提出新的各等级的安全保护目标。 作为《基本要求》的姊妹标准,《测评要求》需要同步修订,依据《基本要求》的更新内容对应修订相关的单元测评章节。
1 第三级基本要求(共290小项) 1.1 技术要求(共136小项) 1.1.1 物理安全(共32小项) 1.1.1.1 物理位置的选择(G3) 本项要求包括: a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设 置交付或安装等过渡区域; d)重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。 1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a)应将主要设备放置在机房内; b)应将设备或主要部件进行固定,并设置明显的不易除去的标记; c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d)应对介质分类标识,存储在介质库或档案室中; e)应利用光、电等技术设置机房防盗报警系统; f)应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a)机房建筑应设置避雷装置; b)应设置防雷保安器,防止感应雷; c)机房应设置交流电源地线。 1.1.1.5 防火(G3) 本项要求包括: a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c)机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a)水管安装,不得穿过机房屋顶和活动地板下; b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;
网络安全等级保护工作流程 2017年6月1日《网络安全法》正式实施,网络安全等级保护进入有法可依的2.0时代,网路安全等级保护系列标准于2019年5月陆续发布,12月1日起正式实施,标志着等级保护正式迈入2.0时代。 网络安全等级保护2.0时代,落实等级保护制度的五个规定基本动作仍然是:定级、备案、建设整改、等级测评、监督检查。 本文全面介绍网络安全等级保护工作流程。 网络安全等级保护基本概述 网络安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的网络资源及功能组件分等级实行安全保护,对网络中使用的安全技术和管理制度实行按等级管理,对网络中发生的信息安全事件分等级响应、处置。 为开展网络安全等级保护工作,国家制定了一系列等级保护相关标准,其中主要的标准有:
计算机信息系统安全保护等级划分准则(GB 17859-1999) 信息安全技术网络安全等级保护定级指南(GB/T22240-2020) 信息安全技术网络安全等级保护实施指南(GB/T25058-2019) 信息安全技术网络安全等级保护基本要求(GB/T22239-2019) 信息安全技术网络安全等级保护设计技术要求(GB/T25070-2019) 信息安全技术网络安全等级保护测评要求(GB/T28448-2019) 信息安全技术网络安全等级保护测评过程指南(GB/T28449-2018) 开展网络安全等级保护工作的原因 开展网络安全等级保护的原因大致可以概括为下列三点: 合规要求:落实网络安全等级保护制度,满足国家法律法规要求。
网络安全法第二十一条规定国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。 网络安全法第三十一条规定国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。 网络安全等级保护基本对各行业进行全覆盖,主要行业有:政府机关、金融行业、卫生医疗、教育行业、运营商、能源电力、企业单位及其他行业等。 安全需求:基于等级保护构建安全防护体系,推动安全保障建设,合理规避风险。 网络安全等级保护是信息系统安全领域实施的基本国策,是是国家信息安全保障工作的基本制度、基本方法。 网络运营者依据国家网络安全等级保护政策和标准,开展组织管
等保第二级要求: 技术要求 物理安全 物理位置选择(G2) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。 物理访问控制(G2) a.机房出入口应安排专人值守,控制、鉴别和记录进入的人员 b.需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围 防盗窃和防破坏 a.应将主要设备放置在机房内 b.应将设备或主要部件进行固定,并设置明显的不易除去的标记 c.应将通信线缆铺设在隐藏处,可铺设在地下或管道中 d.应对介质分类标识,存储在介质库或档案室中 e.主机房应安装必要的防盗报警设施 防雷击 a.机房建筑应设置避雷装置 b.机房应设置交流电源地线 防火 机房应设置灭火设置和火灾自动报警系统 防水和防潮 a.水管安装,不得穿过机房屋顶和活动地板下 b.采取措施防止雨水通过机房窗户、屋顶和墙壁渗透 c.采取措施防止机房内水蒸气结露和地下积水的转移与渗透 防静电 关键设备应采用必要的接地防静电措施 温湿度控制 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内 电力供应(A2) a.在机房供电线路上配置稳压器和过电压防护设备 b.提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求 电磁防护(S2) 电源线和通信线缆应隔离铺设,避免互相干扰 网络安全 结构安全(G2) a.保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要
b.保证接入网络和核心网络的带宽满足业务高峰期需要 c.绘制与当前运行情况相符的网络拓扑结构图 d.根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照 方便管理和控制的原则为各子网、网段分配地址段。 访问控制 a.在网络边界部署访问控制设备,启用访问控制功能 b.根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。 c.应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为 单个用户。 d.应限制具有拨号访问权限的用户数量 安全审计 a.对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录 b.审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 边界完整性检查(S2) 能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。 入侵防范 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。 网络设备防护 a.对登录网络设备的用户进行身份鉴别 b.对网络设备的管理员登录地址进行限制 c.网络设备用户的标识应唯一 d.身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换 e.具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措 施 f.当对网络设备进行远程管理时,采取必要措施防止鉴别信息在传输过程中被窃听 主机安全 身份鉴别(S2) a.对登录操作系统和数据库系统的用户进行身份标识和鉴别 b.操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期 更换 c.应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施 d.当对服务器进行远程管理时,采取必要措施,防止鉴别信息在传输过程中被窃听 e.为操作系统和数据库系统的不同用户,分配不同用户名,确保用户名唯一性 访问控制(S2) a.启用访问控制功能,依据安全策略控制用户对资源的访问 b.应实现操作系统和数据库系统特权用户的权限分离 c.限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令 d.及时删除多余的、过期的账户,避免共享账户的存在
信息安全等级保护(二级) 备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。 一、物理安全 1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料 具有相应的耐火等级说明、接地防静电措施) 2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录 3、应配置电子门禁系统(三级明确要求);电子门禁系统有验收文档或产品安全认证资质,电子门禁系 统运行和维护记录 4、主要设备或设备的主要部件上应设置明显的不易除去的标记 5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放 6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告; 机房防盗报警系统的运行记录、定期检查和维护记录; 7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录 8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测; 9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防雷装置的检测 报告 10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运行记录、检查和 定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检测合格的产品 11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录 12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的运行记录、定期 检查和维护记录 13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护记录 14、应具有短期备用电力供应设备(如UPS);短期备用电力供应设备的运行记录、定期检查和维护 记录 15、应具有冗余或并行的电力电缆线路(如双路供电方式) 16、应具有备用供电系统(如备用发电机);备用供电系统运行记录、定期检查和维护记录
网络安全等级保护工作须知 一、为什么要落实网络安全等级保护工作 1、法律有明确规定。《中华人民共和国网络安全法》第二十一条规定,国家实行网络安全等级保护制度。因此,不落实网络安全等级保护制度就是违法。(<中华人民共和国网络安全法>节选见附件1) 2、有效提高自身网络安全。实践证明,对网络信息系统分等级保护能够有效提高安全防护水平,降低单位网站被篡改、系统瘫痪、数据泄露或被勒索的风险(相关案例见附件2)。 3、有效保障和控制网络安全建设成本。在网络信息系统规划、建设和使用过程中同步建设安全设施,保证网络安全与网络信息系统建设相协调,可有效保障和控制网络安全建设成本,避免不必要的支出。 二、网络安全等级保护基本知识 1、等级保护对象。指网络安全等级保护工作中的对象,通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,等级保护对象覆盖全社会和所有网络信息系统,包括:非涉密的基础信息网络、信息系统、大数据应用/平台/资源、物联网、云平台/系统、工业控制系统和采用移动互联技术的系统等。 2、三同步原则。各单位应遵循网络安全与网络信息系统“同步规划、同步建设、同步使用”的原则,确保网络安全落实到位。 3、级别。根据网络信息系统在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,从第一级开始,从低到高分为五个安全保护等级。 4、工作流程。包括定级备案、安全建设、等级测评、安全整改和监督检查。 三、如何落实网络安全等级保护工作 1、自定级。单位确定网络安全等级保护对象后,参照《GA/T 1389—2017信息安全技术网络安全等级保护定级指南》自行确定网络系统的等级,填写《网络安全等
XXX信息系统 网络安全等级保护建设方案 2020年7月
1、技术方案 1.1建设背景 面对我国信息安全的严峻形势,自2006年以来,以公安部、工信部、国家保密局等单位牵头,在全国范围内陆续发布了等级保护、分级保护等信息安全政策和执行标准。2014年2月27日,中央网络安全与信息化领导小组成立,该领导小组着眼国家安全和长远发展,统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题,研究制定网络安全和信息化发展战略、宏观规划和重大政策,推动国家网络安全和信息化法治建设,不断增强安全保障能力。 2017年《中华人民共和国网络安全法》颁布实施,该法案明确规定国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改;对网络运营者不履行规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。 2019年5月13日,公安部正式发布了网络安全等级保护制度2.0标准,并于2019年12月1日开始按照2.0标准实施,该标准是在网络安全领域又一规范性条例,在操作性、指导性和强制性力度更强。 XXXX目前的主要业务系统是XX系统、XX系统等系统,系统涉及到参保结算人员的各方面信息,按照《网络安全法》和等保2.0标准对被定义成国家关键信息基础设施的网络、业务系统需要按照等级保护标准建设,XXXX需要结合实际情况,对照国家及相关监管单位要求,理清安全现状,并对现有的信息系统按照等保2.0标准二级安全要求建设。
网络安全等级保护基本要求第1 部分:安全通用要求 一、技术要求: 基本要求第一级第二级第三级第四级 a) 机房场地应选择在具有防a) ; a) ; b) ; b) ; 震、防风和防雨等能力的建筑 内; 物理位置的选择/ b) 机房场地应避免设在建筑 物的顶层或地下室,否则应加 强防水和防潮措施 a) a) 机房出入口应配置电子门禁 a) 机房出入口应安排专人值 a) ; 物理访问控制守或配置电子门禁系统,控制、 鉴别和记录进入的人员 系统,控制、鉴别和记录进入 的人员 b) 重要区域应配置第二道电 子门禁系统,控制、鉴别和记 录进入的人员 物理 和环境安全防盗窃和防破坏 a) 应将机房设备或主要部件 进行固定,并设置明显的不易 除去的标记 a) ; b) 应将通信线缆铺设在隐蔽 处,可铺设在地下或管道中。 a) ; b) ; c) 应设置机房防盗报警系统 或设置有专人值守的视频监控 系统 a) ; b) ; c) ; a) a) ; a) 应将各类机柜、设施和设 a) ; b) ; 备等通过接地系统安全接地b) 应采取措施防止感应雷,防雷击 例如设置防雷保安器或过压保 护装置等 a) 机房应设置灭火设备a) 机房应设置火灾自动消防a) ;a) ; b) ; 系统,能够自动检测火情、自b) ; c) ; 动报警,并自动灭火;c) 应对机房划分区域进行管防火 b) 机房及相关的工作房间和 理,区域和区域之间设置隔离
辅助房应采用具有耐火等级的防火措施。建筑材料
a) ; a) 应采取措施防止雨水通过a) ;a) ; 防水和防潮机房窗户、屋顶和墙壁渗透b) 应采取措施防止机房内水 蒸气结露和地下积水的转移与 b) ; c) 应安装对水敏感的检测仪 b) ; c) ; 渗透表或元件,对机房进行防水检 测和报警。 a) 应安装防静电地板并采用a) ;a) ; 防静电/ 必要的接地防静电措施b) 应采用措施防止静电的产 生,例如采用静电消除器、佩 b) ; 戴防静电手环等。 a) ; a) ; a) 机房应设置必要的温、湿a) 机房应设置温湿度自动调节 温湿度控制度控制设施,使机房温、湿度 的变化在设备运行所允许的范 围之内 设施,使机房温湿度的变化在 设备运行所允许的范围之内 a) 应在机房供电线路上配置a) ;a) ;a) ; 电力供应稳压器和过电压防护设备b) 应提供短期的备用电力供 应,至少满足设备在断电情况 b) ; c) 应设置冗余或并行的电力 b) ; c) ; 下的正常运行要求电缆线路为计算机系统供电。d) 应提供应急供电设施。 a) 电源线和通信线缆应隔离a) ;a) ; 电磁防护/ 铺设,避免互相干扰b) 应对关键设备实施电磁屏b) 应对关键设备或关键区域 蔽。实施电磁屏蔽。 a) 应保证网络设备的业务处a) 应保证网络设备的业务处a) ;a) ; 理能力满足基本业务需要;理能力满足业务高峰期需要;b) 应保证网络各个部分的带c) ; b) 应保证接入网络和核心网b) 应保证接入网络和核心网d) ; 宽满足业务高峰期需要; 络的带宽满足基本业务需要。络的带宽满足业务高峰期需c) ;e) ; 要;d) ;f) 应可按照业务服务的重要网络 和通网络架构c) 应划分不同的网络区域,e) 应提供通信线路、关键网 程度分配带宽,优先保障重要 并按照方便管理和控制的原则络设备的硬件冗余,保证系统业务。 信安 全为各网络区域分配地址;的可用性。 d) 应避免将重要网络区域部 署在网络边界处且没有边界防 护措施。 通信传输a) 应采用校验码技术保证通信a) a) 应采用校验码技术或加解a) ;
浅谈网络信息安全等级保护制度 信息网络的全球化使得信息网络的安全问题也全球化起来,任何与互联网 相连接的信息系统都必须面对世界范围内的网络攻击、数据窃取、身份假冒等 安全问题。发达国家普遍发生的有关利用计算机进行犯罪的案件,绝大部分已 经在我国出现。 目前,我国进口的计算机系统产品,其安全功能基本上是最低层次的,我 国尚没有自己的配套安全技术产品,使用的微机和网络产品从硬件、固件到软件,基本没有安全保障功能,在建的一些重要信息系统,也缺乏安全技术防范 措施。这些问题若不加紧解决,会影响国家主权和安全、信息化社会的政治安 定和社会稳定、经济和现代化建设顺利发展。 但是,当前计算机信息系统的建设者、管理者和使用者都面临着一个共同 的问题,就是他们建设、管理或使用的信息系统是否是安全的?如何评价系统 的安全性?这就需要有一整套用于规范计算机信息系统安全建设和使用的标准 和管理办法。 一、等级保护制度的意义 1994年,国务院发布了《中华人民共和国计算机信息系统安全保护条例》(以下简称《条例》),该条例是计算机信息系统安全保护的法律基础。其中 第九条规定"计算机信息系统实行安全等级保护。安全等级的划分标准和安全等 级保护的具体办法,由公安部会同有关部门制定。"公安部在《条例》发布实施 后便着手开始了计算机信息系统安全等级保护的研究和准备工作。等级管理的 思想和方法具有科学、合理、规范、便于理解、掌握和运用等优点,因此,对 计算机信息系统实行安全等级保护制度,是我国计算机信息系统安全保护工作 的重要发展思路,对于正在发展中的信息系统安全保护工作更有着十分重要的 意义。 为切实加强重要领域信息系统安全的规范化建设和管理,全面提高国家信 息系统安全保护的整体水平,使公安机关公共信息网络安全监察工作更加科学、规范,指导工作更具体、明确,公安部组织制订了《计算机信息系统安全保护 等级划分准则》(以下简称《准则》)国家标准,并于1999年9月13日由国 家质量技术监督局审查通过并正式批准发布,已于 2001年1月1日执行。该 准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检 查提供了依据,为安全产品的研制提供了技术支持,为安全系统的建设和管理 提供了技术指导,是我国计算机信息系统安全保护等级工作的基础。 二、国外等级保护的发展历程