当前位置:文档之家 › 等级保护2.0三级测评要求(含云安全扩展要求)

等级保护2.0三级测评要求(含云安全扩展要求)

  • 格式:xlsx
  • 大小:68.99 KB
  • 文档页数:5

下载文档原格式

  / 5

合集下载

等保2.0测评详细指标及工控扩展指标

等保2.0测评详细指标及工控扩展指标

等保2.0测评详细指标(1-3级)PS:一级指标没有整理成表格,二三级整理成表格,看的会清晰一点。

一级测评要求指标一.技术安全大类1.安全的物理环境物理访问控制:机房出入口应安排专人值守或配置电子门禁系统,控制,鉴别和记录进入的人员。

防盗窃和破坏:应将设备或主要部件进行固定,并设置明显的不易除去的标识。

防雷击:应将各类机柜,设施和设备等通过基地系统安全接地。

防火:机房应该设置灭火设备。

防水和防潮:应采取措施防止雨水通过机房窗户,屋顶和墙壁渗透。

温湿度控制:应设置必要的温湿度调节设施,使机房温湿度的变化在设备运行所允许的范围之内。

电力供应:应在机房供电线路上配置稳压器和过电压防护设备。

2.安全的通信网络通信传输:应采用检验技术保证通信过程中数据的完整性。

可信验证:可给予可信根对通信设备的系统引导程序,系统程序等进行可信验证,并在检测到其可信性受到破坏后进行报警。

3.安全的计算环境身份鉴别:1.应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份辨别信息具有复杂度要求并定期更换。

2.应具有登陆失败处理功能,应配置并启用结束会话,限制非法登录次数和挡登录连接超时自动退出等相关措施。

访问控制:1.应对登录的用户分配账户和权限2.应重命名或删除默认账户,修改默认账户的默认口令。

3.应及时删除或停用多余的,过期的账户,避免共享账户的存在。

入侵防范:1.应遵循最小安装的原则,仅安装需要的组件和应用程序。

2.应关闭不需要的系统服务,默认共享和高危端口。

恶意代码防范:应安装放恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库。

可信验证:可基于可信根对计算机设备的系统引导程序,系统程序等进行可信验证,并在检测到其可信性受到破坏后进行报警。

数据完整性:应采用检验技术保证重要数据在传输过程中的完整性。

数据备份恢复:应提供重要数据的本地数据备份与恢复功能。

4.安全的区域边界边界防护:应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。

等级保护测评项目测评方案-2级和3级标准

等级保护测评项目测评方案-2级和3级标准

等级保护测评项目测评方案-2级和3级标准信息安全等级保护测评项目测评方案广州华南信息安全测评中心二〇一六年目录第一章概述 (3)第二章测评基本原则 (4)一、客观性和公正性原则 (4)二、经济性和可重用性原则 (4)三、可重复性和可再现性原则 (4)四、结果完善性原则 (4)第三章测评安全目标(2级) (5)一、技术目标 (5)二、管理目标 (6)第四章测评内容 (9)一、资料审查 (10)二、核查测试 (10)三、综合评估 (10)第五章项目实施 (12)一、实施流程 (12)二、测评工具 (13)2.1 调查问卷 (13)2.2 系统安全性技术检查工具 (13)2.3 测评工具使用原则 (13)三、测评方法 (14)第六章项目管理 (15)一、项目组织计划 (15)二、项目成员组成与职责划分 (15)三、项目沟通 (16)3.1 日常沟通,记录和备忘录 (16)3.2 报告 (16)3.3 正式会议 (16)第七章附录:等级保护评测准则 (19)一、信息系统安全等级保护 2 级测评准则 (19)1.1 基本要求 (19)1.2 评估测评准则 (31)二、信息系统安全等级保护 3 级测评准则 (88)基本要求 (88)评估测评准则 (108)第一章概述2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)以及2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。

”2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中又再次指出,“通过深化信息安全等级保护,全面推动重要信息系统安全整改和测评工作,增强信息系统安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,提高信息安全保障能力,维护国家安全、社会稳定和公共利益,保障和促进信息化建设”。

等保2.0测评项基本要求(云计算安全扩展要求二级 三级对比)

等保2.0测评项基本要求(云计算安全扩展要求二级 三级对比)

可能存在的敏感资源被非法访
a) 应确保云服务客户数据、用 a) 应确保云服务客户数据、
户个人信息等存储于中国境 用户个人信息等存储于中国
内,如需出境应遵循国家相关 境内,如需出境应遵循国家
安全
规定;
相关规定;
计算
b) 应确保只有在云服务客户授 b) 应确保只有在云服务客户
环境
权下,云服务商或第三方才具 授权下,云服务商或第三方
固的操作系统镜像或操作系统 加固的操作系统镜像或操作
安全加固服务;
系统安全加固服务;
镜像和 b) 应提供虚拟机镜像、快照完 b) 应提供虚拟机镜像、快照
快照保 整性校验功能,防止虚拟机镜 完整性校验功能,防止虚拟
护 像被恶意篡改;
机镜像被恶意篡改;
c) 应采取密码技术或其他技术
手段防止虚拟机镜像、快照中
数据完 有云服务客户数据的管理权 才具有云服务客户数据的管
整性和 限;
理权限;
保密性 c) 应使用校验码或密码技术确 c) 应确保虚拟机迁移过程中
保虚拟机迁移过程中重要数据 重要数据的完整性,并在检
的完整性,并在检测到完整性 测到完整性受到破坏时采取
受到破坏时采取必要的恢复措 必要的恢复措施。
d) 应支持云服务客户部署密钥
网络之间的隔离;
拟网络之间的隔离;
c) 应具有根据云服务客户业务 c) 应具有根据云服务客户业
需求提供通信传输、边界防护 务需求提供通信传输、边界
安全 通信 网络
网络架 构
、入侵防范等安全机制的能
力; d) 应具有根据云服务客户业务
防护、入侵防范等安全机制 的能力;
需求自主设置安全策略的能
力,包括定义访间路径、选择

等保2.0云计算安全扩展要求及分析

等保2.0云计算安全扩展要求及分析

等保2.0云计算安全扩展要求及分析等保2.0是我国信息安全等级保护标准的升级版,对云计算安全提出了更高的要求。

云计算是指通过网络将数据和计算资源进行集中和共享,以提供便捷和高效的计算服务。

云计算的特点也决定了它的安全风险较大,因此等保2.0对云计算安全提出了一系列的要求和扩展。

等保2.0要求云计算服务提供商具有完备的安全管理体系和风险评估机制。

云计算服务提供商需要建立健全的安全管理组织架构,明确安全责任和权限划分,确保安全管理层面的合规和有效性。

云计算服务提供商还需要对其云计算环境进行全面的风险评估,识别和分析潜在的安全风险,并制定相应的安全保护措施。

等保2.0要求云计算服务提供商采取多种技术手段确保云计算环境的安全。

云计算的大规模和高复杂性给安全管理带来了极大的挑战,因此云计算服务提供商需要采取多种技术手段来确保云计算环境的安全。

建立安全隔离机制,确保不同租户之间的数据和计算资源的隔离;采用安全加密通信协议,保护数据在传输过程中的机密性和完整性;建立入侵检测和响应系统,及时发现和应对安全事件。

等保2.0还要求云计算服务提供商加强对云计算应用的审计和监管能力。

云计算应用的审计和监管是保障云计算环境安全的重要手段。

云计算服务提供商需要建立完备的审计机制,对云计算环境的操作和访问进行记录和监控,并建立相应的审计和监管体系。

云计算服务提供商还应该与监管部门和第三方安全评估机构进行密切合作,接受外部的审计和评估,提高云计算环境的安全性和可信度。

等保2.0要求云计算服务提供商建立完善的安全事件响应机制和应急预案。

面对日益复杂和多变的安全威胁,及时有效地响应安全事件成为云计算服务提供商的重要任务。

云计算服务提供商需要建立完善的安全事件响应机制和应急预案,明确责任人和处理流程,及时调取和分析相关的安全日志和数据,采取相应的应对措施,最大程度地减少安全事件对云计算环境的影响。

等保2.0网络安全等级保护三级—基本要求

等保2.0网络安全等级保护三级—基本要求


控制点要求项安全物理环境1022安全通信网络38安全区域边界620安全计算环境1134安全管理中心
4
12
安全管理制度47安全管理机构514安全管理人员412安全建设管理1034安全运维管理
1448(总计)71211安全物理环境21安全通信网络15安全区域边界38安全计算环境719安全管理中心14安全建设管理28安全运维管理
11(总计)1746安全物理环境11安全区域边界38安全计算环境25安全建设管理24安全运维管理
11(总计)919安全物理环境14安全区域边界23安全计算环境410安全运维管理
13(总计)820安全物理环境12安全通信网络24安全区域边界38安全计算环境15安全建设管理
22(总计)
9
21
工业控制系统安全扩
展要求
说明:
此文档为网络安全等级保护三级基本要求绿色部分为比二级增加的要求项版本:
v0.1 完成基本要求的填充v0.1.1 添加与二级要求的对比
安全通用要求
云计算安全扩展要求
移动互联安全扩展要

物联网安全扩展要求。

等级保护2.0——云计算安全扩展要求(上)

等级保护2.0——云计算安全扩展要求(上)

等级保护2.0——云计算安全扩展要求(上)概述云计算安全扩展要求是在安全通⽤要求的基础上针对云计算的特点提出特殊保护要求。

也就是说,在云计算环境中为了满⾜等保2.0的保准要求,既要满⾜安全通⽤要求,也要满⾜针对云计算提出的特殊保护要求。

云计算安全扩展要求也分为技术要求和管理要求两⼤类。

安全物理环境云计算安全扩展要求安全物理环境中的基础设施位置要求云计算基础设施位于中国境内。

这是对提供云计算服务的云服务商提出的要求,由于在云计算环境中,数据的实际存储位置往往是不受客户控制的,客户的数据可能存储在境外数据中⼼,这就改变了数据和业务的司法管辖关系,需要注意的是,有些国家的政府可能依据本国法律要求云服务商提供可以访问这些数据中⼼的途径,甚⾄要求云服务商提供位于他国数据中⼼的数据。

这使得客户的业务和数据隐私安全不能得到有效的保障。

安全通信⽹络——⽹络架构应保证云计算平台不承载⾼于其安全保护等级的业务应⽤系统】解读:云计算环境中云服务商提供的云平台与客户的业务系统是需要分别单独定级的,那么云计算平台的等级保护等级必然不能低于其承载的客户业务系统的安全保护等级。

【应实现不同云客户虚拟⽹络之间的隔离】解读:除私有云外,整个云计算平台是由多个客户共享的,因此云服务商提供的云计算平台应具备隔离不同客户系统的能⼒,使得客户的虚拟⽹络在逻辑上实现独享。

【应具有根据云服务客户业务需求提供通信传输、边界防护、⼊侵防范等安全机制的能⼒】解读:云服务商在保证云计算平台达到相应等级的安全防护⽔平外,还应将相应的安全防护机制提供给客户。

【应具有根据云服务客户业务需求⾃主设置安全策略的能⼒,包括定义访问路径、选择安全组件、配置安全策略】解读:客户的业务系统也是根据其对应的安全保护级别来部署安全防护措施,因此云计算平台应将相应的安全能⼒提供给客户,使⽤户可以根据需求进⾏⾃主选择、部署、配置。

【应提供开放接⼝或开放性安全服务,允许云服务客户接⼊第三⽅安全产品或在云计算平台选择第三⽅安全服务】解读:这⾥是对云计算平台的兼容性提出的要求,有些客户可能根据其特殊的安全需求,需要引⼊云平台提供的安全防护之外的安全技术或产品,云计算平台应提供相应的开放接⼝供产品或服务的接⼊。

等保2.0标准介绍

等保2.0标准介绍

等保定级对象(以云计算中心为例)
系统定 级对象
云上系 统安全 由客户
负责
平台定 级对象
云平台 安全由 云服务 商负责
云服务方和云租户对计算资源拥有不同的控制范围,控 制范围则决定了安全责任的边界。
云计算系统与传统信息系统保护对象差异
层面
云计算系统保护对象
传统信息系统保护对象
物理和环境安全 机房及基础设施
GB/T25070.1-XXXX 安全通用要求 GB/T25070.2-XXXX 云计算安全要求 GB/T25070.3-XXXX 移动互联安全要求 GB/T25070.4-XXXX 物联网安全要求 GB/T25070.5-XXXX 工业控制安全要求
等保2.0由一个单一标准演变为一个系列标准
等级保护安全框架
技术要求
安全通信 网络
网络架构
安全区域 边界
访问控制
入侵防范
安全审计
安全计算 环境
身份鉴别
访问控制
入侵防范 镜像和快照
保护 数据完整性和
保密性 数据备份恢复
剩余信息保护
GB/T 22239.2云计算安全扩展要求细则
安全管理中心 集中管控
管理要求
安全建设管理 云服务商选择
供应链管理
安全运维 管理
云计算环境 管理
应用和数据安全
应用系统、云应用开发平台、中间件、 应用系统、中间件、配置文 云业务管理系统、配置文件、镜像文件、件、业务数据、用户隐私、 快照、业务数据、用户隐私、鉴别信息 鉴别信息等 等
系统安全建设管 云计算平台接口、云服务商选择过程、 N/A

SLA、供应链管理过程等
目录
1 概述
2 安全通用要求 3 云计算安全扩展要求 4 移动互联安全扩展要求 5 物联网安全扩展要求 6 工业控制安全要求

等保2.0测评手册之云计算安全扩展要求

等保2.0测评手册之云计算安全扩展要求

控制点安全要求要求解读基础设施位置应保证云计算基础设施位于中国境内云服务商对机房选址时,应确保机房位于中国境内、确保云计算服务器及运行关键业务和数据的物理设备等基础设施位位于中国境内a)应保证云计算平台不承载高于其安全保护等级的业务应用系统云服务方侧的云计算平台单独作为定级对象定级,云租户侧等级保护对象也应作为单独的定级对象定级,云平台的等级要不低于云上租户的业务应用系统最高级b)应实现不同云服务客户虚拟网络之间的隔离同一个物理主机上的虚拟机间可能通过硬件背板、不同物理机上的虛拟机可能通过网络进行通信,这些通信流量对传统的网络安全控制而言是不可见的,无法进行监控或封堵,为防止多租户间的相互影响及恶意攻击,确保租户安全及云平台安全,应对不同的云服务客户网络间进行有效的网络隔离,以保证云服务客户的访问与其他租户能够实现有效隔离c)应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范制等安全机制的能力为应对源自各个层面的攻击,云服务商应该为云服务客户提供通信传输、边界防护、入侵防范等安全防护措施,云服务客户可根据业务安全防护需求选择适当的安全防护措施,提升业务系统的安全防护能力以应对外来的威胁攻击d)应具有根据云服务客户业务需求自主设置安全策略的能力,包括定义访问路径、选择安全组件、配置安全策略云服务客户可以根据自身的业务需求,在云服务商提供的安全组件上自定义安全策略,如定义安全访问路径、选择安全组件、配置安全策略e)应提供开放接口或开放性安全服务,允许云服务客户接入第三方安全产品或云计算平台选择第三方安全服务API(Application Ppogramming Interface,应用程序编程接口)是一些预先定义的函数,目的是提供应用程序与开发人员基于某软件或硬件的以访问一组例程的能力,而又无需访问源码,或理解为内部工作机制的细节,API本身是抽象,仅定义了一个接口,云计算目前面临的互操作性问题的重要原因就是缺乏标准化和被广泛认可接受的API标准,因而云服务商应提供开放和公开的APIs,允许第三方安全产品或服务接入a)应在虚拟化部署访问控制机制,并设置访问控制机则位于云平台边界外,云平台缺乏或缺失控制和管理的网络环境,被认为是不可信网络,与之对应的是可信网络,在可信与不可信网络间实施有效的安全控制,对,网络安全来说至关重要。

等级保护测评-云计算安全扩展要求

等级保护测评-云计算安全扩展要求

云计算安全扩展要求一.安全物理环境基础设施位置应保证云计算基础设施位千中国境内。

二.安全通信网络网络架构本项要求包括:a) 应保证云计算平台不承载高千其安全保护等级的业务应用系统;b) 应实现不同云服务客户虚拟网络之间的隔离;c) 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力;d) 应具有根据云服务客户业务需求自主设置安全策略的能力,包括定义访间路径、选择安全组件、配置安全策略;e) 应提供开放接口或开放性安全服务,允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务。

三.安全区域边界1 访问控制本项要求包括:a) 应在虚拟化网络边界部署访问控制机制,并设置访问控制规则;b) 应在不同等级的网络区域边界部署访问控制机制,设置访问控制规则。

2 入侵防范本项要求包括:a) 应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;b) 应能检测到对虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;c) 应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流最;d) 应在检测到网络攻击行为、异常流量情况时进行告警。

3 安全审计本项要求包括:a) 应对云服务商和云服务客户在远程管理时执行的特权命令进行审计,至少包括虚拟机删除、虚拟机重启;b) 应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计。

四.安全计算环境1 身份鉴别当远程管理云计算平台中设备时,管理终端和云计算平台之间应建立双向身份验证机制。

2 访问控制本项要求包括:a) 应保证当虚拟机迁移时,访问控制策略随其迁移;b) 应允许云服务客户设置不同虚拟机之间的访问控制策略。

3 入侵防范本项要求包括:a) 应能检测虚拟机之间的资源隔离失效,并进行告警;b) 应能检测非授权新建虚拟机或者重新启用虚拟机,并进行告警;c) 应能够检测恶意代码感染及在虚拟机间蔓延的情况,并进行告警。

【精品】安全等级保护2级和3级等保要求

【精品】安全等级保护2级和3级等保要求
主机系统安全
身份鉴别
1)操作系统和数据库管理系统用户的身份标识应具有唯一性;
2)应对登录操作系统和数据库管理系统的用户进行身份标识和鉴别;
3)操作系统和数据库管理系统身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等;
4)应具有登录失败处理功能,如:结束会话、限制非法登录次数,当登录连接超时,自动退出。
1)应在网络边界处应监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等入侵事件的发生;
2)当检测到入侵事件时,应记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警。
恶意代码防范
1)应在网络边界及核心业务网段处对恶意代码进行检测和清除;
3)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过度区域;
4)应对重要区域配置电子门禁系统,鉴别和记录进入的人员身份并监控其活动。
防盗窃和防破坏
1)应将主要设备放置在物理受限的范围内;
2)应对设备或主要部件进行固定,并设置明显的不易除去的标记;
3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;
1)操作系统和数据库管理系统用户的身份标识应具有唯一性;
2)应对登录操作系统和数据库管理系统的用户进行身份标识和鉴别;
3)应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;
4)操作系统和数据库管理系统用户的身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等;
5)应具有登录失败处理功能,如:结束会话、限制非法登录次数,当登录连接超时,自动退出;
6)应实现操作系统和数据库管理系统特权用户的权限分离;

等保2.0云计算安全扩展要求及分析

等保2.0云计算安全扩展要求及分析

等保2.0云计算安全扩展要求及分析等保2.0是指《信息安全技术等级保护管理规定》第二版,是我国信息安全领域的重要法规之一。

其中,对于云计算安全方面的要求和标准也有相应的规定。

在此基础上,等保2.0提出了云计算安全扩展要求,以更好地保障云计算系统的安全。

一、扩展要求1. 安全管理制度云计算服务提供商应建立健全的安全管理制度,包括安全策略、安全组织架构、安全宣传教育、安全培训、安全检查等。

同时,应将安全常态化管理纳入到日常运营中,确保安全管理制度的有效实施。

2. 安全技术措施云计算服务提供商应在系统设计、开发、维护等多个环节中,采取多种安全技术措施,包括身份认证、数据加密、访问控制、漏洞修复等,确保系统的完整性、可靠性和保密性。

云计算服务提供商应实现安全权限管理,对于用户的身份认证、权限分配、访问控制等进行有效管理。

同时,应建立完善的审计机制,对用户操作进行记录,及时发现和排查安全问题。

云计算服务提供商应建立健全的安全运营管理措施,包括安全备份、灾难恢复、入侵检测等。

同时,应加强安全监察和风险评估,及时发现和处理安全事件。

二、分析等保2.0云计算安全扩展要求从安全管理、技术措施、权限管理和运营管理等多个方面对云计算系统的安全进行了规范和要求。

这是符合当前云计算应用现状的,也是保障用户安全的必要措施之一。

通过建立健全的安全管理制度,云计算服务提供商能够对自身安全进行有效管理,避免安全事故的发生;通过多种安全技术措施的应用,能够保证系统的完整性和保密性,减少安全漏洞的存在;通过安全权限管理的实现,能够对用户进行有效的管理,及时发现和处理安全问题;通过安全运营管理的完善,能够加强监察和风险评估,及时掌握系统的安全状况。

综上所述,等保2.0云计算安全扩展要求是对云计算安全保障的必要要求,在云计算应用领域具有重要的意义和作用。

云计算服务提供商应根据此标准,采取相应的措施,确保云计算系统的安全可靠性。

信息安全技术 网络安全等级保护测评要求-云计算安全扩展要求

信息安全技术 网络安全等级保护测评要求-云计算安全扩展要求

信息安全技术网络安全等级保护测评要求第2部分:云计算安全扩展要求1 范围本部分规定了对不同等级的等级保护对象是否符合GB/T 22239.2-20XX所进行的测试评估活动的要求,包括对第二级等级保护对象、第三级等级保护对象和第四级等级保护对象进行安全测试评估的要求。

本部分略去对第一级等级保护对象、第五级等级保护对象进行安全测评评估的要求。

本部分规定了不同等级的保护对象的云计算安全扩展测评要求,除使用本部分外,还需参考通用测评要求。

本部分适用于信息安全测评服务机构、等级保护对象的主管部门及运营使用单位对等级保护对象安全等级保护状况进行的安全测试评估。

信息安全监管职能部门依法进行的信息系统安全等级保护监督检查可以参考使用。

2 规范性引用文件下列文件对于本部分的应用是必不可少的。

凡是注日期的引用文件,仅注日期的版本适用于本部分。

凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本部分。

GB/T 25069-2010 信息安全技术术语GB17859-1999 计算机信息系统安全保护等级划分准则GB/T 22239.1-20XX 信息安全技术网络安全等级保护基本要求第1部分:安全通用要求GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南GB/T 28448.1-20XX 信息安全技术网络安全等级保护测评要求第1部分:通用测评要求GB/T 28449-20XX 信息安全技术信息系统安全等级保护测评过程指南GB/T 22239.2-20XX 信息安全技术网络安全等级保护基本要求第2部分:云计算安全扩展要求GB/T 25070.2-20XX 信息安全技术网络安全等级保护安全设计技术要求第2部分:云计算信息安全等级保护安全设计技术要求3 术语与定义GB/T 25069-2010、GB/T 28448.1-20XX和GB/T 22239.2-20XX界定的以及下列术语和定义适用于本部分。

等级保护2.0三级通用要求测评方法

等级保护2.0三级通用要求测评方法

安全物理环境物理位置选择测评单元(L3-PES1-01)该测评单元包括以下要求:a)测评指标:机房场地应选择在具有防震、防风和防雨等能力的建筑内。

b)测评对象:记录类文档和机房。

c)测评实施包括以下内容:1)应核查所在建筑物是否具有建筑物抗震设防审批文档;2)应核查机房是否不存在雨水渗漏;3)应核查门窗是否不存在因风导致的尘土严重;4)应核查屋顶、墙体、门窗和地面等是否不存在破损开裂。

d)单元判定:如果1)~4)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。

测评单元(L3-PES1-02)该测评单元包括以下要求:a)测评指标:机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。

b)测评对象:机房。

c)测评实施:应核查机房是否不位于所在建筑物的顶层或地下室,如果否,则核查机房是否采取了防水和防潮措施。

d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。

物理访问控制测评单元(L3-PES1-03)该测评单元包括以下要求:a)测评指标:机房出人口应配置电子门禁系统,控制、鉴别和记录进入的人员。

b)测评对象:机房电子门禁系统。

c)测评实施包括以下内容:1)应核查出人口是否配置电子门禁系统;2)应核查电子门禁系统是否可以鉴别、记录进入的人员信息。

d)单元判定;如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。

防盗窃和防破坏。

测评单元(L3-PES1-04)该测评单元包括以下要求:a)测评指标:应将设备或主要部件进行固定,并设置明显的不易除去的标识。

b)测评对象:机房设备或主要部件。

c)测评实施包括以下内容:1)应核查机房内设备或主要部件是否固定;2)应核查机房内设备或主要部件上是否设置了明显且不易除去的标识。

d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。

二级和三级信息系统安全等级保护测评要求

二级和三级信息系统安全等级保护测评要求

二级和三级信息系统安全等级保护测评要求下载提示:该文档是本店铺精心编制而成的,希望大家下载后,能够帮助大家解决实际问题。

文档下载后可定制修改,请根据实际需要进行调整和使用,谢谢!本店铺为大家提供各种类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you! In addition, this shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!二级和三级信息系统安全等级保护测评要求详解1. 引言信息系统在现代社会中起着至关重要的作用,因此保障信息系统的安全性尤为重要。

1 等保2.0三级要求的通用要求

1 等保2.0三级要求的通用要求

1 等保2.0三级要求的通用要求等保2.0三级从8.1.2安全通信网络、8.1.4安全计算环境、8.1.9安全建设管理、8.1.10安全运维管理四个域对密码技术与产品提出了要求,主要涉及以下八处密码技术:8.1.2.2通信传输a)应采用校验技术或密码技术保证通信过程中数据的完整性;b)应采用密码技术保证通信过程中数据的保密性。

8.1.4.1身份鉴别d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

8.1.4.7数据完整性a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

8.1.4.8数据保密性a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。

8.1.9.2安全方案设计b)应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计,设计内容应包含密码技术相关内容,并形成配套文件;8.1.9.3产品采购和使用b)应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求;8.1.9.7测试验收b)应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容。

8.1.10.9密码管理b)应使用国家密码管理主管部门认证核准的密码技术和产品。

2等保2.0与0054标准中对密码技术的要求分析将等保2.0中对密码技术与产品的要求,细化映射到《GM/T 0054-2018 信息系统密码应用基本要求》标准(简称“0054标准”)中对密码的技术要求,如下表所示:1等保2.0与0054标准对数据完整性的密码技术要求分析等保2.0在8.1.2安全通信网络、8.1.4安全计算环境中提出,可以采用密码技术来保证数据的完整性,其中主要保护的主体是8.1.2安全通信网络中通信数据、8.1.4安全计算环境中包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息。

等级保护2.0三级测评要求(含云安全扩展要求)

等级保护2.0三级测评要求(含云安全扩展要求)

8.1.9.6 工程实施
8.1.9.5.3 测评单元(L3CMS1-20)
8. 1.9.6. 1 测评单元(L3CMS1-21)
8.1.9.6.2 测评单元(L3CMS1-22)
8. 1.9.6.3 测评单元(L3CMS1-23)
8. 1.9. 7 测试验收
8.1.9.7.1 测评单元(L3CMS1-24)
8.1.1.3.2 测评单元(L3PES1-05)
8.1.1.3.3 测评单元(L3PES1-06)
8.1. 1.4 防雷击
8. 1. 1.4. 1 测评单元(L3PES1-07)
8.1.1.4.2 测评单元(L3PES1-08)
8. 1. 1.5. 1 测评单元(L3PES1-09)
8. 1.1.5 防火 8. 1. 1 安全物理环境
8.1.3.4 恶意代码和垃圾邮 件防范 8.1.3.4.2 测评单元(L3ABS1-15)
8. 1.3.5 安全审计
8.1.3.5. 1 测评单元(L3ABS1-16)
8.1.3.5.2 测评单元(L3ABS1-17)
8. 1.3.5.3 测评单元(L3ABS1-18)
8. 1.3.5.4 测评单元(L3ABS1-19)
8. 1.2. 1.7 测评单元(L3CNS1-07)
8. 1.2. 3 可信验证
8. 1.2.3. 1 测评单元(L3CNS1-08)
8.1.3.1. 1 测评单元(L3ABS1-01)
8. 1.3. 1 边界防护
8. 1.3. 1.2 测评单元(L3ABS1-02)
8.1.3.1.3 测评单元(L3ABS1-03)
8. 1.3.6 可信验证
8. 1.3.6.1 测评单元(L3ABS1-20)

等级保护2.0三级通用要求测评方法

等级保护2.0三级通用要求测评方法

安全物理环境物理位置选择测评单元(L3-PES1-01)该测评单元包括以下要求:a)测评指标:机房场地应选择在具有防震、防风和防雨等能力的建筑内。

b)测评对象:记录类文档和机房。

c)测评实施包括以下内容:1)应核查所在建筑物是否具有建筑物抗震设防审批文档;2)应核查机房是否不存在雨水渗漏;3)应核查门窗是否不存在因风导致的尘土严重;4)应核查屋顶、墙体、门窗和地面等是否不存在破损开裂。

d)单元判定:如果1)~4)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。

测评单元(L3-PES1-02)该测评单元包括以下要求:a)测评指标:机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。

b)测评对象:机房。

c)测评实施:应核查机房是否不位于所在建筑物的顶层或地下室,如果否,则核查机房是否采取了防水和防潮措施。

d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。

物理访问控制测评单元(L3-PES1-03)该测评单元包括以下要求:a)测评指标:机房出人口应配置电子门禁系统,控制、鉴别和记录进入的人员。

b)测评对象:机房电子门禁系统。

c)测评实施包括以下内容:1)应核查出人口是否配置电子门禁系统;2)应核查电子门禁系统是否可以鉴别、记录进入的人员信息。

d)单元判定;如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。

防盗窃和防破坏。

测评单元(L3-PES1-04)该测评单元包括以下要求:a)测评指标:应将设备或主要部件进行固定,并设置明显的不易除去的标识。

b)测评对象:机房设备或主要部件。

c)测评实施包括以下内容:1)应核查机房内设备或主要部件是否固定;2)应核查机房内设备或主要部件上是否设置了明显且不易除去的标识。

d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
8. 1.2. 1.7 测评单元(L3CNS1-07)
8. 1.2. 3 可信验证
8. 1.2.3. 1 测评单元(L3CNS1-08)
8.1.3.1. 1 测评单元(L3ABS1-01)
8. 1.3. 1 边界防护
8. 1.3. 1.2 测评单元(L3ABS1-02)
8.1.3.1.3 测评单元(L3ABS1-03)
测评领域
测评项
测评单元
8.1.1.1 物理位置选择
8.1.1.1 物理位置选择
8. 1. 1. 1.2 测评单元(L3PES1-02)
8. 1. 1.2 物理访问控制
8. 1. 1.2. 1 测评单元(L3PES1-03)
8. 1. 1.3. 1 测评单元(L3PES1-04)
8. 1. 1.3 防盗窃和防破坏
8. 1.4.4. 1 测评单元(L3CES1-17;
8.1.4 安全计算环境
8. 1.4.4.2 测评单元(L3CES1-18)
8.1.4.4 入侵防范
8. 1.4.4.3 测评单元(L3CES1-19)
8.1.4.4.4 测评单元(L3CES1-20)
8.1.4.4.5 测评单元(L3CES1-21)
8.1.4.7.2 测评单元(L3CES1-26)
8.1.4.8. 1 测评单元(L3CES1-27)
8.1.4.8 数据保密性
8.1.4.8.2 测评单元(L3CES1-28)
8. 1.4.2. 7 测评单元(L3CES1-11)
8. 1.4.3. 1 测评单元(L3CES1-12)
8.1.4.3 安全审计
8.1.4.3.2 测评单元(L3CES1-13)
8.1.4.3.3 测评单元(L3CES1-14)
8.1.4.3.4 测评单元(L3CES1-15)
8.1.4 安全计算环境
8. 1.4. 1.4 测评单元(L3CES1-05)
8.1.4.2.2 测评单元(L3CES1-06)
8.1.4.2.3 测评单元(L3CES1-07)
8.1.4.2 访问控制
8.1.4.2.4 测评单元(L3CES1-08)
8.1.4.2.5 测评单元(L3CES1-09)
8.1.4.2.6 测评单元(L3CES1-10)
8.1.3.4 恶意代码和垃圾邮 件防范 8.1.3.4.2 测评单元(L3ABS1-15)
8. 1.3.5 安全审计
8.1.3.5. 1 测评单元(L3ABS1-16)
8.1.3.5.2 测评单元(L3ABS1-17)
8. 1.3.5.3 测评单元(L3ABS1-18)
8. 1.3.5.4 测评单元(L3ABS1-19)
8. 1.2. 1 网络架构
8. 1.2. 1 网络架构
8. 1.2.1.3 测评单元(L3CNS1-03)
8.1.2 安全通信网络
8. 1.2. 1.4 测评单元(L3CNS1-04)·
8. 1.2. 1.5 测评单元(L3CNS1-05)
8. 1.2. 2 通信传输
8. 1.2. 1.6 测评单元(L3CNS1-06)
8.1.4.4.6 测评单元(L3CES1-22)
8. 1.4.5 恶意代码防范
8. 1.4.5.1 测评单元(L3CES1-23)
8.1.4.6 可信验证
8.1.4.6.1 测评单元(L3CES1-24)
8.1.4.7.1 测评单元(L3CES1-25)
8.1.4.7 数据完整性
8.1.4.7 数据完整性
8. 1. 1. 10 电磁防护
8. 1. 1.9.3 测评单元(L3PES1-20)
8. 1.1 . 10. 1 测评单元(L3PES1-21)
8.1.1.10.2 测评单元(L3PES1-22)
8. 1.2. 1. 1 测评单元(L3CNS1-01)
8. 1.2. 1.2 测评单元(L3CNS1-02)
8.1.1.7 防静电 8. 1. 1.8 温湿度控制
8.1.1.7.1 测评单元(L3PES1-15)
8.1.1.7.2 测评单元(L3PES1-16)
8. 1. 1.8. 1 测评单元(L3PES1-17)
8. 1. 1.9. 1 测评单元(L3PES1-18)
8. 1. 1.9 电力供应
8. 1. 1.9.2 测评单元(L3PES1-19)
8.1.3.2.5 测评单元(L3ABS1-09)
8. 1.3.3. 1 测评单元(L3ABS1-10)
8. 1.3.3 入侵防范
8. 1.3.3.2 测评单元(L3ABS1-11)
8. 1.3.3.3 测评单元(L3ABS1-12)
8. 1.3.3.4 测评单元(L3ABS1-13)
8.1.3.4. 1 测评单元(L3ABS1-14)
8. 1.3.6 可信验证
8. 1.3.6.1 测评单元(L3ABS1-20)
8.1.4.1. 1 测评单元(L3CES1-01)
8. 1.4. 1.2 测评单元(L3CES1-02)
8.1.4.1 身份鉴别
8. 1.4. 1.3 测评单元(L3CES1-03)
8. 1.4. 1.4 测评单元(L3CES1-04)
8. 1.3. 1.4 测评单元(L3ABS1-04)
8. 1.3. 2.1 测评单元(L3ABS1-05)
8. 1.3. 2.2 测评单元(L3ABS1-06)
8. 1.3. 2 访问控制
8.1.3.2.3 测评单元(L3ABS1-07)
ห้องสมุดไป่ตู้
8.1.3 安全区域边界
8.1.3.2.4 测评单元(L3ABS1-08)
8.1.1.3.2 测评单元(L3PES1-05)
8.1.1.3.3 测评单元(L3PES1-06)
8.1. 1.4 防雷击
8. 1. 1.4. 1 测评单元(L3PES1-07)
8.1.1.4.2 测评单元(L3PES1-08)
8. 1. 1.5. 1 测评单元(L3PES1-09)
8. 1.1.5 防火 8. 1. 1 安全物理环境
8. 1. 1.5.2 测评单元(L3PES1-10)
8. 1. 1.5.3 测评单元(L3PES1-ll)
8. 1.1.6.1 测评单元(L3PES1-12)
8. 1. 1.6 防水和防潮
8. 1. 1.6 防水和防潮
8. 1.1.6.2 测评单元(L3PES1-13)
8. 1. 1.6.3 测评单元(L3PES1-14)