信息安全技术-网络安全等级保护基本要求(表格版)
- 格式:xlsx
- 大小:43.10 KB
- 文档页数:30
网络安全等级保护20-通用要求-表格版一、技术要求:基本要求第一级第二级a)机房场地应选择在具有防震、防风和防雨等能力的建筑内;b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施a)a);b);第三级a);b);第四级物理位置的选择/物理访问控制a)机房出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员a)应将机房设备或主要部件进行固定,并设置明显的不易除去的标记a)机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员a);b);c)应设置机房防盗报警系统或设置有专人值守的视频监控系统a);b)应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等a);b);c)应对机房划分区域进行管理,区域和区域之间设置隔离防火措施。
物理和环境安全防盗窃和防破坏a);b)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中。
a);b)重要区域应配置第二道电子门禁系统,控制、鉴别和记录进入的人员a);b);c);防雷击a)应将各类机柜、设施和设备等通过接地系统安全接地a)a);b);a)机房应设置灭火设备防火a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料a);b);c);a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透防水和防潮a);b)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透a)应安装防静电地板并采用必要的接地防静电措施防静电/a)机房应设置必要的温、湿度控制设施,使机房温、湿度的变化在设备运行所允许的范围之内a)应在机房供电线路上配置稳压器和过电压防护设备温湿度控制a)机房应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内a);b)应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求a)电源线和通信线缆应隔离铺设,避免互相干扰a)应保证网络设备的业务处理能力满足业务高峰期需要;b)应保证接入网络和核心网络的带宽满足业务高峰期需要;c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;d)应避免将重要网络区域部署在网络边界处且没有边界防护措施。
信息系统安全等级保护基本要求-表格信息系统安全等级保护基本要求一、技术要求:标记说明:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);通用安全保护类要求(简记为G)基本要求第一级第二级第三级第四级a) a) a) 机房和办公场地应选择在b) b) 机房场地应避免设在建筑物物理位置的选择具有防震、防风和防雨等能力/ 的高层或地下室,以及用水设备(G) 的建筑内的下层或隔壁a) a) a) 机房出入应安排专人负责,a) 机房出入口应安排专人值守b) b) 需进入机房的来访人员应经控制、鉴别和记录进入的人员并配置电子门禁系统,控制、c) 应对机房划分区域进行管过申请和审批流程,并限制和鉴别和记录进入的人员理,区域和区域之间设置物理隔监控其活动范围 b)离装置,在重要区域前设置交付c) 物理访问控制(G)或安装等过渡区域; d) 重要区域应配置第二道电子物理d) 重要区域应配置电子门禁系门禁系统,控制、鉴别和记录安全统,控制、鉴别和记录进入的人进入的人员员a) a) a) a) 应将主要设备放置在机房b) b) b) 内; c) c) c) 应将通信线缆铺设在隐蔽b) 应将设备或主要部件进行固防盗窃和防破坏d) d) 处,可铺设在地下或管道中; 定,并设置明显的不易除去的(G) e) e) 应利用光、电等技术设置机d) 应对介质分类标识,存储在标记f) 房防盗报警系统; 介质库或档案室中;f) 应对机房设置监控报警系统 e) 主机房应安装必要的防盗报警设施a) a) a) a) 机房建筑应设置避雷装置b) b) b) 机房应设置交流电源地线防雷击(G) c) c) 应设置防雷保安器,防止感应雷a) a) 机房应设置灭火设备 a) 机房应设置火灾自动报警a) 机房应设置火灾自动消防b) 系统系统,能够自动检测火情、自c) 动报警,并自动灭火;b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建防火(G)筑材料;c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开a) a) a) 应对穿过机房墙壁和楼板的a) 水管安装,不得穿过机房屋b) b) 水管增加必要的保护措施; 顶和活动地板下 c) c) b) b) 应采取措施防止雨水通过机防水和防潮(G) d) d) 应安装对水敏感的检测仪表c) 应采取措施防止机房内水蒸房窗户、屋顶和墙壁渗透或元件,对机房进行防水检测和气结露和地下积水的转移与渗报警透a) a) 关键设备应采用必要的接a) 主要设备应采用必要的接地b) 地防静电措施防静电措施; / 防静电(G) c) 应采用静电消除器等装置,b) 机房应采用防静电地板减少静电的产生机房应设置必要的温、湿度控机房应设置温、湿度自动调节机房应设置温、湿度自动调节设机房应设置温、湿度自动调节制设施,使机房温、湿度的变设施,使机房温、湿度的变化施,使机房温、湿度的变化在设设施,使机房温、湿度的变化温湿度控制(G) 化在设备运行所允许的范围之在设备运行所允许的范围之内备运行所允许的范围之内在设备运行所允许的范围之内内a) a) a) a) 应在机房供电线路上配置稳b) 应提供短期的备用电力供b) 应提供短期的备用电力供b) 应提供短期的备用电力供压器和过电压防护设备应,至少满足关键设备在断电应,至少满足主要设备在断电情应,至少满足设备在断电情况电力供应(A)情况下的正常运行要求况下的正常运行要求; 下的正常运行要求c) c) 应设置冗余或并行的电力电d) 缆线路为计算机系统供电;d) 应建立备用供电系统a) b) 电源线和通信线缆应隔离a) 应采用接地方式防止外界电b) 铺设,避免互相干扰磁干扰和设备寄生耦合干扰;c) 应对关键区域实施电磁屏蔽 / b) 电磁防护(S)c) 应对关键设备和磁介质实施电磁屏蔽a) 应保证关键网络设备的业a) 应保证关键网络设备的业务a) 应保证主要网络设备的业务a) 应保证网络设备的业务处理务处理能力满足基本业务需处理能力具备冗余空间,满足处理能力具备冗余空间,满足业能力具备冗余空间,满足业务要; 业务高峰期需要; 务高峰期需要; 高峰期需要b) b) 应保证接入网络和核心网b) 应保证接入网络和核心网络b) 应保证网络各个部分的带宽c) 络的带宽满足基本业务需要; 的带宽满足业务高峰期需要; 满足业务高峰期需要; d) d) d) 应绘制与当前运行情况相c) 应在业务终端与业务服务器e) e) 应根据各部门的工作职能、符的网络拓扑结构图之间进行路由控制建立安全的f) 重要性和所涉及信息的重要程访问路径 g) 度等因素,划分不同的子网或d) 结构安全(G) e) 网段,并按照方便管理和控制f )应避免将重要网段部署在网的原则为各子网、网段分配地络边界处且直接连接外部信息址段系统,重要网段与其他网段之间网络采取可靠的技术隔离手段; 安全g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机a) a) a) a) 应在网络边界部署访问控制b) 应能根据会话状态信息为数b) 应能根据会话状态信息为数b) 应不允许数据带通用协议通设备,启用访问控制功能;据流提供明确的允许/拒绝访问据流提供明确的允许/拒绝访问过; b) 应根据访问控制列表对源地的能力,控制粒度为网段级。
网络安全等级保护基本要求第1部分:安全通用要求一、技术要求:二、管理要求的管理职责件报告和后期恢复的管理职责等;c) 应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训不同的处理程序和报告程序。
应急预案管理/ a) 应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容;b) 应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障;c) 应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练a) 应规定统一的应急预案框架,并在此框架下制定不同事件的应急预案,包括启动预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容;b) ;c) ;d) 应定期对原有的应急预案重新评估,修订完善。
a) ;b) ;c) ;d) ;外包运维管理/ a) 应确保外包运维服务商的选择符合国家的有关规定;b) 应与选定的外包运维服务商签订相关的协议,明确约定外包运维的范围、工作内容a) ;b) ;c) 应确保选择的外包运维服务商在技术和管理方面均具有按照等级保护要求开展安全运维工作的能力,并将能力要求在签订的协议中明确;d) 应在与外包运维服务商签订的协议中明确所有相关的安全要求。
如可能涉及对敏感信息的访问、处理、存储要求,对IT基础设施中断服务的应急保障要求等。
a) ;b) ;c) ;d) ;。
【最新整理,下载后即可编辑】
网络安全等级保护基本要求第1部分:安全通用要求
一、技术要求:
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
二、管理要求
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】。
8.5.1 安全物理环境8.5.1.1 室外控制设备物理防护8.5.2.1 网络架构8.5.2.2 通信传输8.5.3.1 访问控制8.5.3.2 拨号使用控制8.5.3.3 无线使用控制8.5.4 安全计算环境8.5.4.1 控制设备安全8.5.5.1 产品采购和使用8.5 工业控制系统安全扩展要求8.5.2 安全通信网络8.5.3 安全区域边界8.5.5 安全建设管理8.5.5 安全建设管理8.5.5.2 外包软件开发a) 室外控制设备应放置千采用铁板或其他防火材料制作的箱体或装置中并紧固;箱体或装置具有透风、散热、防盗、防雨和防火能力等;b)室外控制设备放置应远离强电磁千扰、强热源等环境,如尤法避免应及时做好应急处置及检修,保证设备正常运行。
a) 工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用单向的技术隔离手段;b)工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段;c)涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备组网,在物理层面上实现与其他数据网及外部公共信息网的安全隔离。
在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。
a) 应在工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越区域边界的E-Mail_ Web、Telnet、Rlogin、FTP等通用网络服务;b)应在工业控制系统内安全域和安全域之间的边界防a) 工业控制系统确需使用拨号访问服务的,应限制具有拨号访问权限的用户数屈,并采取用户身份鉴别和访问控制等措施;b)拨号服务器和客户端均应使用经安全加固的操作系统,并采取数字证书认证、传输加密和访问控制等措a)应对所有参与无线通信的用户(人员、软件进程或者设备)提供唯一性标识和鉴别;b)应对所有参与无线通信的用户(人员、软件进程或者设备)进行授权以及执行使用进行限制;c)应对无线通信采取传输加密的安全措施,实现传输报文的机密性保护;d) 对采用无线通信技术进行控制的工业控制系统,应能识别其物理环境中发射的未经授权的无线设备,报告未经授权试图接入或干扰控制系统的行为。