下载文档原格式
因为每个单位、每个企业的信息系统、重要程度、应对威胁的能力、具有的安全保护能力等方面的不同,所以需要按照等级保护对象受到破坏时,对客体造成侵害的程度分别进行不同等级的保护。
相信关注过等保这块内容应该都知道信息系统的安全等级被分为五个等级,他们分别是第一级自主保护、第二级指导保护、第三极监督保护、第四级强制保护、第五级专控保护。
今天就给大家介绍一下其中我们接触可能会比较多一点的第三级等级保护,以及它的相关标准。
三级等保是指信息系统收到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
三级信息系统适用于地级市以上的国家机关、企业、事业单位的内部重要信息系统,重要领域、重要部门跨省、跨市或全国(省)联网运行的用于生产、调度、管理、作业、指挥等方面的重要信息系统,跨省或全国联网运行的重要信息系统在省、地市的分支系统,中央各部委、省(区、市)门户网站和重要网站,跨省联接的网络系统等。
第三级安全保护能力需达到:在统一安全策略下防护系统免受外来有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难和其他相应程度的威胁所造成的主要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭受攻击损害后,能较快恢复绝大部分功能。
三级等保在系统开发过程中的作用:在系统开发过程中,要考虑评测指标,满足相关安全要求,例如身份鉴别的要求、访问控制的要求、安全审计的要求等等。
通过满足安全评测指标,排除系统的安全隐患,提升系统的安全等级。
安畅网络是中国市场专业的云托管服务商(Cloud MSP),在数据中心和云计算领域有近十年的专业交付和管理经验,目前正服务于2000多家企业级客户并与全球多家超大规模公有云服务商建立了战略合作关系。
在云计算驱动产业变革的今天,安畅以客户需求为驱动,积极投资于核心技术研发和团队组织的云原生技能,致力于成为IT新生态和产业互联网的新一代连接器。
安全等保第三级基本要求安全等级保护是指根据国家有关法律、法规和标准,将信息系统按照其重要程度和安全需求划分为不同的安全等级,并采取相应的安全措施进行保护。
安全等级保护的目的是为了确保信息系统的安全性和可靠性,防范各种安全威胁和风险,维护国家和社会稳定。
安全等级保护第三级是指对涉密信息系统进行安全保护的最基本要求。
涉密信息系统是指经国家有关部门批准的,属于国家秘密的信息系统。
安全等级保护第三级要求涉密信息系统的保护达到相对高的水平,能够抵御一定的安全威胁和攻击。
安全等级保护第三级的基本要求如下:1.信息系统的管理要求(1)制定并实施信息系统安全管理制度,明确责任和权限;(2)建立信息系统安全责任制,明确相关人员的安全职责与义务;(3)建立健全安全保密工作机构,确保信息系统安全工作的专业化、规范化和持续性;(4)建立信息系统安全风险评估制度,定期评估系统的安全风险程度,并采取相应的风险控制措施;(5)对信息系统的维护与运行管理进行监督,确保系统的正常运行和安全可靠。
2.信息系统的物理安全要求(1)建立完善的物理安全保护设施,包括门禁系统、监控摄像设备等;(2)对涉密信息系统所在的机房、机柜等场所进行严格的控制和管理;(3)对进入物理安全控制区域的人员进行身份鉴别和审查,并记录相关信息;(4)严格控制物理接口和通信线路的接入,防止非授权的数据传输和泄露。
3.信息系统的网络安全要求(1)建立防火墙、入侵检测系统等网络安全设备,保护信息系统不受网络攻击;(2)对网络设备进行安全配置和管理,限制非授权访问和操作;(3)建立网络安全事件响应机制,及时发现和应对安全事件;(4)对涉密信息系统进行网络监测和审计,检测是否存在异常行为和攻击行为。
4.信息系统的安全防护要求(1)建立完善的身份认证和访问控制机制,确保只有授权用户才能访问系统;(2)对涉密信息进行数据加密,保护数据的机密性和完整性;(3)建立信息系统的备份和恢复机制,确保数据的可用性和可恢复性;(4)对信息系统进行病毒和恶意代码的防护,确保系统不受恶意软件的侵害。
国家信息安全等级保护第三级系统要求
国家信息安全等级保护第三级系统是指重要或较重要的、对国家利益具有直接影响的信息系统。
相应的系统要求如下:
1. 系统安全性要求:确保系统运行时的安全性,包括系统隔离、数据防泄密、系统及网络拒绝服务攻击防护等。
2. 安全管理要求:确保系统的安全管理能力,包括安全策略制定、安全意识培训、安全事件管理等。
3. 访问控制要求:实施严格的访问控制措施,包括用户身份验证、用户权限管理、终端设备管理等。
4. 数据保密性要求:保护系统中的敏感信息,确保数据的保密性,包括数据加密、访问控制、备份与恢复等。
5. 流程审批要求:建立完整的流程审批机制,确保系统操作与管理的合规性与规范性。
6. 系统运维要求:确保系统的正常运行和维护,包括系统漏洞及时修复、安全补丁更新、监控与审计等。
7. 系统监测要求:建立有效的系统监测与预警机制,及时发现并应对潜在的安全威胁。
8. 应急响应要求:建立应急响应机制,对安全事件做出及时响应,包括安全事件处置、调查与追溯等。
9. 安全审计要求:进行定期的安全审计,确保系统的合规性与安全性。
10. 系统备份与恢复要求:建立完善的系统备份与恢复机制,确保系统数据的安全性与可恢复性。
11. 系统通信安全要求:对系统的通信过程进行加密与防护,确保数据在传输过程中的安全性。
12. 隐私保护要求:保护用户、个人等相关主体的隐私信息,确保相关信息的保密性与安全性。
以上是国家信息安全等级保护第三级系统的一些基本要求,具体的要求可能会根据不同国家的政策和法规而有所差异。
等保三级技术要求等保三级是指国家相关部门对信息系统安全等级保护的要求,是我国信息系统安全保护体系的最高等级。
按照等保三级的技术要求,需要从以下几个方面进行保护。
1.网络安全网络安全是等保三级中最关键的要求之一、主要包括构建安全稳定的网络架构、加强网络边界防护、实现入侵检测和防御、加强对敏感数据的加密传输等措施。
同时,需要定期进行安全评估、漏洞扫描和安全事件响应等工作。
2.主机安全主机是信息系统的核心组成部分,主机安全是很重要的一个环节。
需要进行系统安全加固,包括对操作系统进行合理配置、安装防病毒软件、做好基线配置、禁止不必要的系统服务等。
同时,还要加强对系统日志的监控和审计。
3.应用安全应用安全是保护信息系统的另一个关键方面。
需要加强对应用软件的开发过程中的安全性要求,对开发的应用软件进行静态和动态的安全测试,确保应用没有安全漏洞。
同时,对应用软件进行合理的权限控制,防止恶意用户进行非法操作。
4.数据库安全数据库是存储和管理信息系统中大量重要数据的核心组件。
数据库安全主要包括对数据库的访问控制、加密存储、备份和恢复、监控和审计等方面的要求。
需要加强对数据库的访问权限管理,确保只有合法用户可以访问数据库。
5.物理安全物理安全是信息系统安全中容易被忽视的一个方面。
需要保护信息系统所在的机房或服务器房的物理安全,避免未经授权的人员进入。
此外,还需要有合理的灾备措施,确保在灾害事件发生时能够及时恢复信息系统的正常运行。
6.安全管理安全管理是等保三级中的一个重要要求,需要建立完善的安全管理制度,包括信息安全政策、安全组织体系、安全培训和安全审计等。
同时,还需要建立健全的安全应急响应机制,能够及时处置安全事件,减少损失。
7.安全监测与响应等保三级还要求建立一套有效的安全监测和响应机制。
这包括加强对网络和主机的实时监测,及时发现和处置潜在的安全威胁。
同时,还需要建立应急响应组织,能够快速、有效地对安全事件进行响应和处置。
理咨询服务,帮助用户建立全面的1.2.1.1 管理制度(G3) 本项要求包括:a )应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等;b )应对安全管理活动中的各类管理内容建立安全管理制度;c )应对要求管理人员或操作人员执行的日常管理操作建立操作规程;d )应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。
1.2.1.2 制定和发布(G3) 本项要求包括:a )应指定或授权专门的部门或人员负责安全管理制度的制定;b )安全管理制度应具有统一的格式,并进行版本控制;c )应组织相关人员对制定的安全管理制度进行论证和审定;d )安全管理制度应通过正式、有效的方式发布;e )安全管理制度应注明发布范围,并对收发文进行登记。
1.2.1.3 评审和修订(G3) 本项要求包括:a )信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定;b )应定期或不定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订。
理咨询服务,帮助用户建立1.2.2.1 岗位设置(G3) 本项要求包括:a )应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;b )应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责;c )应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权;d )应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
1.2.2.2 人员配备(G3) 本项要求包括:a )应配备一定数量的系统管理员、网络管理员、安全管理员等;b )应配备专职安全管理员,不可兼任;c )关键事务岗位应配备多人共同管理。
1.2.2.3 授权和审批(G3) 本项要求包括:a )应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等;b )应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度;c )应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息;d )应记录审批过程并保存审批文1.2.3.1人员录用(G3)安全管理咨询服务,协助用户本项要求包括:建立人员安全管理制度,涵盖a)应指定或授权专门的部门或人员人员录用、离岗、考核、教育, 负责人员录用;以及对外部来访人员进行合理b)应严格规范人员录用过程,对被管理等各个方面。
信息系统等保三级的要求随着信息技术的飞速发展,信息系统的安全问题日益凸显,为了保障信息系统的安全性和可靠性,我国自2007年开始实施信息系统安全等级保护制度,其中等保三级是其中较高的安全等级要求。
本文将详细介绍信息系统等保三级的要求。
一、引言信息系统等保三级是指在等级保护制度中的第三级别,要求对信息系统进行全面的安全保护。
等保三级的要求主要包括物理安全、网络安全、主机安全、应用安全等方面。
二、物理安全要求物理安全是信息系统保护的基础,等保三级要求在物理环境上采取一系列措施来保护信息系统,包括:机房的选址和建设、门禁系统的设置、监控设备的安装和使用等。
机房的选址应远离容易受到自然灾害和人为破坏的地区,建设时应考虑防水、防火、防雷等安全措施。
门禁系统应采用双因素认证,如刷卡加密码,确保只有授权人员才能进入机房。
监控设备应全面覆盖机房各个区域,保证能够及时监控异常情况。
三、网络安全要求网络安全是信息系统保护的关键,等保三级要求在网络层面上加强安全措施,包括:网络拓扑结构的设计、网络设备的配置、网络流量的监测等。
网络拓扑结构应采用多层次的架构,设置DMZ区域来隔离内外网,确保内部网络的安全。
网络设备的配置应采用安全策略,限制不必要的服务和端口,禁止默认密码,加强访问控制等。
网络流量的监测应使用入侵检测系统和防火墙等技术手段,及时发现和阻止网络攻击。
四、主机安全要求主机安全是信息系统保护的重要组成部分,等保三级要求对主机进行全面的安全管理,包括:主机配置的安全性、主机访问的控制、主机运行的监测等。
主机配置的安全性要求禁用不必要的服务和端口,关闭不需要的服务,更新补丁和安全软件等。
主机访问的控制要求采用严格的权限管理机制,确保只有授权人员可以访问主机。
主机运行的监测要求使用安全审计系统和日志管理系统等技术手段,记录主机的运行状态和安全事件。
五、应用安全要求应用安全是信息系统保护的最后一道防线,等保三级要求对应用进行全面的安全测试和加固,包括:应用开发的安全性、应用访问的控制、应用数据的加密等。
1 第三级基本要求(共290小项)1.1 技术要求(共136小项)1.1.1 物理安全(共32小项)1.1.1.1 物理位置的选择(G3)本项要求包括:a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
1.1.1.2 物理访问控制(G3)本项要求包括:a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员;b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;c)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;d)重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
1.1.1.3 防盗窃和防破坏(G3)本项要求包括:a)应将主要设备放置在机房内;b)应将设备或主要部件进行固定,并设置明显的不易除去的标记;c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;d)应对介质分类标识,存储在介质库或档案室中;e)应利用光、电等技术设置机房防盗报警系统;f)应对机房设置监控报警系统。
1.1.1.4 防雷击(G3)本项要求包括:a)机房建筑应设置避雷装置;b)应设置防雷保安器,防止感应雷;c)机房应设置交流电源地线。
1.1.1.5 防火(G3)本项要求包括:a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;c)机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
1.1.1.6 防水和防潮(G3)本项要求包括:a)水管安装,不得穿过机房屋顶和活动地板下;b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;d)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
1.1.1.7 防静电(G3)本项要求包括:a)主要设备应采用必要的接地防静电措施;b)机房应采用防静电地板。
1 第三级基本要求(共290小项)1.1 技术要求(共136小项)1.1.1 物理安全(共32小项)1.1.1.1 物理位置的选择(G3)本项要求包括:a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑;b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
1.1.1.2 物理访问控制(G3)本项要求包括:a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员;b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动围;c)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;d)重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
1.1.1.3 防盗窃和防破坏(G3)本项要求包括:a)应将主要设备放置在机房;b)应将设备或主要部件进行固定,并设置明显的不易除去的标记;c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;d)应对介质分类标识,存储在介质库或档案室中;e)应利用光、电等技术设置机房防盗报警系统;f)应对机房设置监控报警系统。
1.1.1.4 防雷击(G3)本项要求包括:a)机房建筑应设置避雷装置;b)应设置防雷保安器,防止感应雷;c)机房应设置交流电源地线。
1.1.1.5 防火(G3)本项要求包括:a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;c)机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
1.1.1.6 防水和防潮(G3)本项要求包括:a)水管安装,不得穿过机房屋顶和活动地板下;b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;c)应采取措施防止机房水蒸气结露和地下积水的转移与渗透;d)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
1.1.1.7 防静电(G3)本项要求包括:a)主要设备应采用必要的接地防静电措施;b)机房应采用防静电地板。
等保三级安全要求等保三级安全要求是指根据中国政府制定的等级保护制度,对信息系统进行安全评估和等级划分,以确保信息系统的安全性。
等保三级安全要求是最高的安全等级,适用于国家重要信息系统和关键信息基础设施。
本文将介绍等保三级安全要求的相关内容,包括安全管理、安全技术和安全保障措施。
一、安全管理等保三级安全要求对信息系统的安全管理提出了严格要求。
首先,要建立完善的安全管理组织机构,明确责任和权限,确保安全工作的有效进行。
其次,要制定完善的安全管理制度和规范,包括安全策略、安全管理流程、安全审计等,确保安全措施的全面实施。
同时,要进行安全培训和教育,提高员工的安全意识和技能水平,防范安全事故的发生。
二、安全技术等保三级安全要求对信息系统的安全技术提出了严格要求。
首先,要进行整体安全设计,包括系统的安全架构、安全策略和安全功能的设计,确保系统具备防护、检测和响应能力。
其次,要进行系统安全评估和风险评估,及时发现系统存在的安全漏洞和风险,并采取相应的安全措施加以解决。
同时,要进行安全审计和监控,对系统的安全运行状态进行实时监测和记录,及时发现和处理安全事件。
三、安全保障措施等保三级安全要求对信息系统的安全保障措施提出了严格要求。
首先,要确保系统的物理安全,包括机房的安全设施和访问控制、设备的防护和监控等,防止未经授权的人员和设备接触系统。
其次,要确保系统的网络安全,包括网络的安全隔离、入侵检测和入侵防御等,防止网络攻击和数据泄露。
同时,要确保系统的数据安全,包括数据的加密、备份和恢复等,防止数据丢失和泄露。
等保三级安全要求是最高的安全等级,要求对信息系统进行全面的安全管理、安全技术和安全保障措施。
只有严格按照等保三级安全要求进行设计和实施,才能确保信息系统的安全性,保护国家重要信息系统和关键信息基础设施的安全。
按照方便管理和控制的原则为各子网、网段分配地址段;f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;g)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。
1.1.2.2 访问控制(G3)本项要求包括:a) 应在网络边界部署访问控制设b) 备,启用访冋控制功能;应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能C )力,控制粒度为端口级;应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、d) TELNET、SMTP、POP3 等协议命令级的控制;应在会话处于非活跃一定时间或e) 会话结束后终止网络连接;应限制网络最大流量数及网络连重要网段与其他网段之间采用防火墙或网闸进行隔离。
在多个业务共用的网络设备上配置QOS在网络边界部署防火墙。
f ) 接数;重要网段应采取技术手段防止地g) 址欺骗;应按用户和系统之间的允许访问h) 规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;应限制具有拨号访问权限的用户数量。
1.1.2.3 安全审计(G3)本项要求包括:a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;精品文库进行限制;C)网络设备用户的标识应唯一;d) 主要网络设备应对同一用户选择采用动态电子令牌身份认证系e)f)g)两种或两种以上组合的鉴别技术来进行身份鉴别;身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;h)应实现设备特权用户的权限分离。
1.1.3 主机安全1.1.3.1 身份鉴别(S3)本项要求包括:a)b)C)d)e)应对登录操作系统和数据库系统的用户进行身份标识和鉴别;操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
统(如RSA SecurlD)。
采用操作系统和数据库系统安全评估和加固服务。
采用动态电子令牌身份认证系统(如RSA SecurlD)。
精品文库1.1.3.2 访问控制(S3)本项要求包括:采用安全操作系统(如一些国产Linux操作系统或B1级操作a)b) 应启用访问控制功能,依据安全策略控制用户对资源的访问;应根据管理用户的角色分配权系统)或在C2级操作系统中安装内核加固软件(如浪潮SSR服务器安全加固系统-适用c)d)e)f )g) 限,实现管理用户的权限分离, 仅授予管理用户所需的最小权限;应实现操作系统和数据库系统特权用户的权限分离;应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;应及时删除多余的、过期的帐户, 避免共享帐户的存在。
应对重要信息资源设置敏感标记;应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;1.1.3.3 安全审计(G3本项要求包括:a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和b) 数据库用户;审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全c) 相关事件;审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;d)应能够根据记录数据进行分析, 并生成审计报表;e)应保护审计进程,避免受到未预期的中断;Windows )。
服务器开启日志功能;重要客户端安装终端安全管理软件进行审计。
采用专业的日志审计系统。
服务器采用安全操作系统或安装内核加固软件,对审计进程进行守护,防止进程中断;重要客户端的终端安全管理代理精品文库精品文库精品文库a) 应提供访问控制功能,依据安全策略控制用户对文件、数据库表进行应用系统二次开发,并结合采用第三方身份认证和访问b) 等客体的访问;访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们C )之间的操作;应由授权主体配置访问控制策d) 略,并严格限制默认帐户的访问权限;应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
e)应具有对重要信息资源设置敏感标记的功能;f)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;1.1.4.3 安全审计(G3)本项要求包括:a)b) 应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;应保证无法单独中断审计进程c) 无法删除、修改或覆盖审计记录; 审计记录的内容至少应包括事件的日期、时间、发起者信息、类d) 型、描述和结果等;应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。
控制系统。
借助安全操作系统或内核加固软件提供的强制访问控制功能实现。
采用网络审计结合日志审计实现;应用服务器采用安全操作系统或安装内核加固软件,对审计进程进行守护,防止进程中断。
1.1.4.4 剩余信息保护(S3)本项要求包括:a)应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;b)应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。
1.1.4.5 通信完整性(S3)应采用密码技术保证通信过程中数据的完整性。
1.1.4.6 通信保密性(S3)本项要求包括:a) 在通信双方建立连接之前,应用系统应利用密码技术进行会话初b) 始化验证;应对通信过程中的整个报文或会话过程进行加密。
1.147 抗抵赖(G3)本项要求包括:a)应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能;b)应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。
1.1.4.8 软件容错(A3)本项要求包括:a)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;b)应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。
同主机安全。
采用SSL或IP SEC技术,结合基于数字证书的PKI体系。
进行应用系统二次开发。
1.1.4.9 资源控制(A3)本项要求包括:进行应用系统二次开发或采用第三方应用监控系统。
a) 当应用系统的通信双方中的一方b) 在一段时间内未作任何响应,另一方应能够自动结束会话;应能够对系统的最大并发会话连c) 接数进行限制;应能够对单个帐户的多重并发会d) 话进行限制;应能够对一个时间段内可能的并e) 发会话连接数进行限制;应能够对一个访问帐户或一个请求进程占用的资源分配最大限额f ) 和最小限额;应能够对系统服务水平降低到预先规定的最小值进行检测和报g) 警.冃>应提供服务优先级设定功能,并在安装后根据安全策略设定访问帐户或请求进程的优先级,根据优先级分配系统资源。
1.1.5 数据安全及备份恢复1.1.5.1 数据完整性(S3)本项要求包括:a)应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;b)应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施。
1.1.5.2 数据保密性(S3)本项要求包括:a)应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要采用SSL或IP SEC技术,结合基于数字证书的PKI体系。
利用安全操作系统或安装内核加固软件提供的文件完整性保护功能或数据库系统提供的完整性保护功能。
采用SSL或IP SEC技术,结合基于数字证书的PKI体系。
精品文库1.2.1 安全管理制度1.2.1.1 管理制度(G3) 本项要求包括: 安全管理咨询服务,帮助用户 建立全面的信息安全管理制度 a) 应制定信息安全工作的总体方针 和安全策略,说明机构安全工作 的总体目标、范围、原则和安全 体系,包括制定安全策略、管 理制度和操作规程等,并协助 用户对管理制度进行发布、评 审和修订。
b) 框架等; 应对安全管理活动中的各类管理 C )内容建立安全管理制度;应对要求管理人员或操作人员执 行的日常管理操作建立操作规 d) 程; 应形成由安全策略、管理制度、 操作规程等构成的全面的信息安全管理制度体系。
121.2 制定和发布(G3) 本项要求包括: a) 应指定或授权专门的部门或人员 b) 负责安全管理制度的制定; 安全管理制度应具有统一的格 c) 式,并进行版本控制; 应组织相关人员对制定的安全管 d) 理制度进行论证和审定; 安全管理制度应通过正式、有效 e) 的方式发布; 安全管理制度应注明发布范围, 并对收发文进行登记。
评审和修订(G3) 本项要求包括: 1.2.1.3a )信息安全领导小组应负责定期组 织相关部门和相关人员对安全管 理制度体系的合理性和适用性进行审定; b )应定期或不定期对安全管理制度 进行检查和审定,对存在不足或 需要改进的安全管理制度进行修 订。
精品文库1.2.2 安全管理机构1.2.2.1 岗位设置(G3)本项要求包括:a) 应设立信息安全管理工作的职能b) 部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;应设立系统管理员、网络管理员、C )安全管理员等岗位,并定义各个工作岗位的职责;应成立指导和管理信息安全工作d) 的委员会或领导小组,其最高领导由单位主管领导委任或授权;应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
1.222 人员配备(G3)本项要求包括:a) 应配备一定数量的系统管理员、b)c) 网络管理员、安全管理员等;应配备专职安全管理员,不可兼任;关键事务岗位应配备多人共同管理。
1.2.2. 3 授权和审批(G3)本项要求包括:a) 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批b) 准人等;应针对系统变更、重要操作、物理访问和系统接入等事项建立审C) 批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度;应定期审查审批事项,及时更新需授权和审批的项目、审批部门d) 和审批人等信息;应记录审批过程并保存审批文安全管理咨询服务,帮助用户建立全面的安全管理组织机构,包括在岗位设置、人员配备、职责定义等方面提供合理建议。
精品文库部门内部的合作与沟通 ,定期或 不定期召开协调会议,共同协作 处理信息安全问题; 应加强与兄弟单位、公安机关、 电信公司的合作与沟通;应加强与供应商、业界专家、专 与沟通;应建立外联单位联系列表,包括 外联单位名称、合作内容、联系 人和联系方式等信息;应聘请信息安全专家作为常年的 安全顾问,指导信息安全建设, 参与安全规划和安全评审等。
