当前位置:文档之家 › 信息安全技术-网络安全等级保护基本要求(表格版)

信息安全技术-网络安全等级保护基本要求(表格版)

  • 格式:xlsx
  • 大小:43.10 KB
  • 文档页数:30

下载文档原格式

  / 30

合集下载

信息安全技术-网络安全等级保护基本要求(表格版)

信息安全技术-网络安全等级保护基本要求(表格版)
一、技术要 求: 基本要求 物理位置 的选择
第一级 /
a) 机房出入口应安排专人值守或 物理访问 配置电子门禁系统,控制、鉴别 控制 和记录进入的人员 a) 应将机房设备或主要部件进行 防盗窃和 固定,并设置明显的不易除去的 防破坏 标记 a) 应将各类机柜、设施和设备等 通过接地系统安全接地
防雷击
资源控制
/
数据完整 a) 应采用校验码技术保证重要数 性 据在传输过程中的完整性
数据保密 性
/
数据备份 a) 应提供重要数据的本地数据备 恢复 份与恢复功能
剩余信息 保护 个人信息 保护 二、管理要求 基本要求 安全策略
/ /
第一级 /
管理制度 安全策略和管 理制度
a) 应建立日常管理活动中常用的 安全管理制度
产品采购 a) 应确保信息安全产品采购和使 和使用 用符合国家的有关规定
自行软件 开发
/
安全建设管理
外包软件 开发
/
工程实施
a) 应指定或授权专门的部门或人 员负责工程实施过程的管理
工程实施
a) 应指定或授权专门的部门或人 员负责工程实施过程的管理
测试验收 a) 应进行安全性测试验收 a) 应根据交付清单对所交接的设 备、软件和文档等进行清点; b) 应对负责运行维护的技术人员 系统交付 进行相应的技能培训
b) ;
b) ;
c) 当进行远程管理时,应采取必要措施,防止鉴 c) ; 别信息在网络传输过程中被窃听。 d) 应采用两种或两种以上组合的鉴别技术 对用户进行身份鉴别。 a) ; b) ; c) ; a) ; b) ; c) ;
管理制度 安全策略和管 理制度 制定和发 布 评审和修 订
a) 应建立日常管理活动中常用的 安全管理制度

网络安全等级保护20-通用要求-表格版

网络安全等级保护20-通用要求-表格版

网络安全等级保护20-通用要求-表格版一、技术要求:基本要求第一级第二级a)机房场地应选择在具有防震、防风和防雨等能力的建筑内;b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施a)a);b);第三级a);b);第四级物理位置的选择/物理访问控制a)机房出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员a)应将机房设备或主要部件进行固定,并设置明显的不易除去的标记a)机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员a);b);c)应设置机房防盗报警系统或设置有专人值守的视频监控系统a);b)应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等a);b);c)应对机房划分区域进行管理,区域和区域之间设置隔离防火措施。

物理和环境安全防盗窃和防破坏a);b)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中。

a);b)重要区域应配置第二道电子门禁系统,控制、鉴别和记录进入的人员a);b);c);防雷击a)应将各类机柜、设施和设备等通过接地系统安全接地a)a);b);a)机房应设置灭火设备防火a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料a);b);c);a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透防水和防潮a);b)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透a)应安装防静电地板并采用必要的接地防静电措施防静电/a)机房应设置必要的温、湿度控制设施,使机房温、湿度的变化在设备运行所允许的范围之内a)应在机房供电线路上配置稳压器和过电压防护设备温湿度控制a)机房应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内a);b)应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求a)电源线和通信线缆应隔离铺设,避免互相干扰a)应保证网络设备的业务处理能力满足业务高峰期需要;b)应保证接入网络和核心网络的带宽满足业务高峰期需要;c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;d)应避免将重要网络区域部署在网络边界处且没有边界防护措施。

信息系统安全等级保护基本要求-表格

信息系统安全等级保护基本要求-表格

信息系统安全等级保护基本要求-表格信息系统安全等级保护基本要求一、技术要求:标记说明:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);通用安全保护类要求(简记为G)基本要求第一级第二级第三级第四级a) a) a) 机房和办公场地应选择在b) b) 机房场地应避免设在建筑物物理位置的选择具有防震、防风和防雨等能力/ 的高层或地下室,以及用水设备(G) 的建筑内的下层或隔壁a) a) a) 机房出入应安排专人负责,a) 机房出入口应安排专人值守b) b) 需进入机房的来访人员应经控制、鉴别和记录进入的人员并配置电子门禁系统,控制、c) 应对机房划分区域进行管过申请和审批流程,并限制和鉴别和记录进入的人员理,区域和区域之间设置物理隔监控其活动范围 b)离装置,在重要区域前设置交付c) 物理访问控制(G)或安装等过渡区域; d) 重要区域应配置第二道电子物理d) 重要区域应配置电子门禁系门禁系统,控制、鉴别和记录安全统,控制、鉴别和记录进入的人进入的人员员a) a) a) a) 应将主要设备放置在机房b) b) b) 内; c) c) c) 应将通信线缆铺设在隐蔽b) 应将设备或主要部件进行固防盗窃和防破坏d) d) 处,可铺设在地下或管道中; 定,并设置明显的不易除去的(G) e) e) 应利用光、电等技术设置机d) 应对介质分类标识,存储在标记f) 房防盗报警系统; 介质库或档案室中;f) 应对机房设置监控报警系统 e) 主机房应安装必要的防盗报警设施a) a) a) a) 机房建筑应设置避雷装置b) b) b) 机房应设置交流电源地线防雷击(G) c) c) 应设置防雷保安器,防止感应雷a) a) 机房应设置灭火设备 a) 机房应设置火灾自动报警a) 机房应设置火灾自动消防b) 系统系统,能够自动检测火情、自c) 动报警,并自动灭火;b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建防火(G)筑材料;c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开a) a) a) 应对穿过机房墙壁和楼板的a) 水管安装,不得穿过机房屋b) b) 水管增加必要的保护措施; 顶和活动地板下 c) c) b) b) 应采取措施防止雨水通过机防水和防潮(G) d) d) 应安装对水敏感的检测仪表c) 应采取措施防止机房内水蒸房窗户、屋顶和墙壁渗透或元件,对机房进行防水检测和气结露和地下积水的转移与渗报警透a) a) 关键设备应采用必要的接a) 主要设备应采用必要的接地b) 地防静电措施防静电措施; / 防静电(G) c) 应采用静电消除器等装置,b) 机房应采用防静电地板减少静电的产生机房应设置必要的温、湿度控机房应设置温、湿度自动调节机房应设置温、湿度自动调节设机房应设置温、湿度自动调节制设施,使机房温、湿度的变设施,使机房温、湿度的变化施,使机房温、湿度的变化在设设施,使机房温、湿度的变化温湿度控制(G) 化在设备运行所允许的范围之在设备运行所允许的范围之内备运行所允许的范围之内在设备运行所允许的范围之内内a) a) a) a) 应在机房供电线路上配置稳b) 应提供短期的备用电力供b) 应提供短期的备用电力供b) 应提供短期的备用电力供压器和过电压防护设备应,至少满足关键设备在断电应,至少满足主要设备在断电情应,至少满足设备在断电情况电力供应(A)情况下的正常运行要求况下的正常运行要求; 下的正常运行要求c) c) 应设置冗余或并行的电力电d) 缆线路为计算机系统供电;d) 应建立备用供电系统a) b) 电源线和通信线缆应隔离a) 应采用接地方式防止外界电b) 铺设,避免互相干扰磁干扰和设备寄生耦合干扰;c) 应对关键区域实施电磁屏蔽 / b) 电磁防护(S)c) 应对关键设备和磁介质实施电磁屏蔽a) 应保证关键网络设备的业a) 应保证关键网络设备的业务a) 应保证主要网络设备的业务a) 应保证网络设备的业务处理务处理能力满足基本业务需处理能力具备冗余空间,满足处理能力具备冗余空间,满足业能力具备冗余空间,满足业务要; 业务高峰期需要; 务高峰期需要; 高峰期需要b) b) 应保证接入网络和核心网b) 应保证接入网络和核心网络b) 应保证网络各个部分的带宽c) 络的带宽满足基本业务需要; 的带宽满足业务高峰期需要; 满足业务高峰期需要; d) d) d) 应绘制与当前运行情况相c) 应在业务终端与业务服务器e) e) 应根据各部门的工作职能、符的网络拓扑结构图之间进行路由控制建立安全的f) 重要性和所涉及信息的重要程访问路径 g) 度等因素,划分不同的子网或d) 结构安全(G) e) 网段,并按照方便管理和控制f )应避免将重要网段部署在网的原则为各子网、网段分配地络边界处且直接连接外部信息址段系统,重要网段与其他网段之间网络采取可靠的技术隔离手段; 安全g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机a) a) a) a) 应在网络边界部署访问控制b) 应能根据会话状态信息为数b) 应能根据会话状态信息为数b) 应不允许数据带通用协议通设备,启用访问控制功能;据流提供明确的允许/拒绝访问据流提供明确的允许/拒绝访问过; b) 应根据访问控制列表对源地的能力,控制粒度为网段级。

网络安全等级保护通用要求表格

网络安全等级保护通用要求表格
d)应能发现可能存在的漏洞,并在经过充分测试评估后,及时修补漏洞
a)。
b);
c);
d);
e)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
a) ;
b) ;
c) ;
d) ;
e) ;
恶意代码防范
a)应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库
a) ;
c)应能够对内部用户非授权联到外部网络的行为进行限制或检查,并对其进行有效阻断;
d);
e)应能够对连接到内部网络的设备进行可信验证,确保接入网络的设备真实可信。
访问控制
a)应在网络边界根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;
b)应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;
d)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警
a) ;
b) ;
c) ;
d) ;
恶意代码防范
/
a)应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;
b)应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新
d)应能够对重要节点的服务水平降低到预先规定的最小值进行检测和报警。
a) ;
b) ;
c) ;
d) ;
身份鉴别
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,鉴别信息具有复杂度要求并定期更换;
b)应提供并启用登录失败处理功能,多次登录失败后应采取必要的保护措施
a);
b);
c)应强制用户首次登录时修改初始口令;

网络安全等年级保护通用要求表格版

网络安全等年级保护通用要求表格版
d)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警
a) ;
b) ;
c) ;
d) ;
恶意代码防范
/
a)应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;
b)应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新
a) ;
b) ;
c) ;
a)应将各类机柜、设施和设备等通过接地系统安全接地
a)
a);
b)应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等
a) ;
b) ;
a)机房应设置灭火设备
a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料
c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;
d)应避免将重要网络区域部署在网络边界处且没有边界防护措施。
a);
b)应保证网络各个部分的带宽满足业务高峰期需要;
c);
d);
e)应提供通信线路、关键网络设备的硬件冗余,保证系统的可用性。
a);
c);
d);
e);
f)应可按照业务服务的重要程度分配带宽,优先保障重要业务。
a)应采用免受恶意代码攻击的技术措施或采用可信计算技术建立从系统到应用的信任链,实现系统运行过程中重要程序或文件完整性检测,并在检测到破坏后进行恢复。
a) ;
资源控制
/
a)应限制单个用户或进程对系统资源的最大使用限度
a);
b)应提供重要节点设备的硬件冗余,保证系统的可用性;
c)应对重要节点进行监视,包括监视CPU、硬盘、内存等资源的使用情况;

网络安全等级保护2.0-通用要求-表格版

网络安全等级保护2.0-通用要求-表格版

网络安全等级保护基本要求第1部分:安全通用要求一、技术要求:二、管理要求的管理职责件报告和后期恢复的管理职责等;c) 应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训不同的处理程序和报告程序。

应急预案管理/ a) 应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容;b) 应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障;c) 应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练a) 应规定统一的应急预案框架,并在此框架下制定不同事件的应急预案,包括启动预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容;b) ;c) ;d) 应定期对原有的应急预案重新评估,修订完善。

a) ;b) ;c) ;d) ;外包运维管理/ a) 应确保外包运维服务商的选择符合国家的有关规定;b) 应与选定的外包运维服务商签订相关的协议,明确约定外包运维的范围、工作内容a) ;b) ;c) 应确保选择的外包运维服务商在技术和管理方面均具有按照等级保护要求开展安全运维工作的能力,并将能力要求在签订的协议中明确;d) 应在与外包运维服务商签订的协议中明确所有相关的安全要求。

如可能涉及对敏感信息的访问、处理、存储要求,对IT基础设施中断服务的应急保障要求等。

a) ;b) ;c) ;d) ;。

网络安全等级保护2.0-通用要求-表格版(精编文档).doc

【最新整理,下载后即可编辑】
网络安全等级保护基本要求第1部分:安全通用要求
一、技术要求:
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
二、管理要求
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】
【最新整理,下载后即可编辑】。

(完整word版)网络安全等级保护2.0-通用要求-表格版

f)访问控制的粒度应达到主体为用户级,客体为文件、数据库表级、记录或字段级;
g)应对敏感信息资源设置安全标记,并控制主体对有安全标记信息资源的访问。
a);
b);
c);
d);
e);
f);
g)应对所有主体、客体设置安全标记,并依据安全标记和强制访问控制规则确定主体对客体的访问。
安全审计
/
a)应提供安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b) ;
c) ;
防静电
/
a)应安装防静电地板并采用必要的接地防静电措施
a);
b)应采用措施防止静电的产生,例如采用静电消除器、佩戴防静电手环等。
a) ;
b) ;
温湿度控制
a)机房应设置必要的温、湿度控制设施,使机房温、湿度的变化在设备运行所允许的范围之内
a)机房应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内
a);
b)应对关键设备实施电磁屏蔽。
a);
b)应对关键设备或关键区域实施电磁屏蔽。
网络和通信安全
网络架构
a)应保证网络设备的业务处理能力满足基本业务需要;
b)应保证接入网络和核心网络的带宽满足基本业务需要。
a)应保证网络设备的业务处理能力满足业务高峰期需要;
b)应保证接入网络和核心网络的带宽满足业务高峰期需要;
a)应采用免受恶意代码攻击的技术措施或采用可信计算技术建立从系统到应用的信任链,实现系统运行过程中重要程序或文件完整性检测,并在检测到破坏后进行恢复。
a) ;
资源控制
/
a)应限制单个用户或进程对系统资源的最大使用限度
a);
b)应提供重要节点设备的硬件冗余,保证系统的可用性;

网络安全等级保护基本要求表格版(三级)

8.5.1 安全物理环境8.5.1.1 室外控制设备物理防护8.5.2.1 网络架构8.5.2.2 通信传输8.5.3.1 访问控制8.5.3.2 拨号使用控制8.5.3.3 无线使用控制8.5.4 安全计算环境8.5.4.1 控制设备安全8.5.5.1 产品采购和使用8.5 工业控制系统安全扩展要求8.5.2 安全通信网络8.5.3 安全区域边界8.5.5 安全建设管理8.5.5 安全建设管理8.5.5.2 外包软件开发a) 室外控制设备应放置千采用铁板或其他防火材料制作的箱体或装置中并紧固;箱体或装置具有透风、散热、防盗、防雨和防火能力等;b)室外控制设备放置应远离强电磁千扰、强热源等环境,如尤法避免应及时做好应急处置及检修,保证设备正常运行。

a) 工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用单向的技术隔离手段;b)工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段;c)涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备组网,在物理层面上实现与其他数据网及外部公共信息网的安全隔离。

在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。

a) 应在工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越区域边界的E-Mail_ Web、Telnet、Rlogin、FTP等通用网络服务;b)应在工业控制系统内安全域和安全域之间的边界防a) 工业控制系统确需使用拨号访问服务的,应限制具有拨号访问权限的用户数屈,并采取用户身份鉴别和访问控制等措施;b)拨号服务器和客户端均应使用经安全加固的操作系统,并采取数字证书认证、传输加密和访问控制等措a)应对所有参与无线通信的用户(人员、软件进程或者设备)提供唯一性标识和鉴别;b)应对所有参与无线通信的用户(人员、软件进程或者设备)进行授权以及执行使用进行限制;c)应对无线通信采取传输加密的安全措施,实现传输报文的机密性保护;d) 对采用无线通信技术进行控制的工业控制系统,应能识别其物理环境中发射的未经授权的无线设备,报告未经授权试图接入或干扰控制系统的行为。

信息安全技术—网络安全等级保护基本要求

信息安全技术—网络安全等级保护 基本要求
2019年实施的中国国家标准
01 制定过程
03 内容范围 05 意义价值
目录
02 标准目次 04 引用文件
《信息安全技术—网络安全等级保护基本要求》(GB/T 22239-2019)是2019年12月1日实施的一项中国国 家标准,归口于全国信息安全标准化技术委员会。
标准目次
参考资料:
ቤተ መጻሕፍቲ ባይዱ
内容范围
《信息安全技术—网络安全等级保护基本要求》(GB/T 22239-2019)规定了第一级到第四级等级保护对象 的安全保护的基本要求,每个级别的基本要求均由安全通用要求和安全扩展要求构成。
安全要求细分为技术要求和管理要求。其中技术要求部分为“安全物理环境”、“安全通信网络”、“安全 区域边界”、“安全计算环境”、“安全管理中心”;管理要求部分为“安全管理制度”、“安全管理机构”、 “安全管理人员”、“安全建设管理”、“安全运维管理”,两者合计共分为10大类。
《信息安全技术—网络安全等级保护基本要求》(GB/T 22239-2019)规定了网络安全等级保护的第一级到 第四级等级保护对象的安全通用要求和安全扩展要求。该标准适用于指导分等级的非涉密对象的安全建设和监督 管理。
制定过程
1
修订背景
2
编制进程
3
修订依据
4
修订情况
5
起草工作
《信息安全技术—信息系统安全等级保护基本要求》(GB/T22239-2008)在中国推行信息安全等级保护制度 的过程中起到了非常重要的作用,被广泛应用于各个行业或领域指导用户开展信息系统安全等级保护的建设整改、 等级测评等工作。但是随着信息技术的发展,采用新技术、新应用构建的云计算平台、移动互联接入、物联网、 工业控制系统和大数据应用等系统的大量出现,已有10年历史的这三项标准在时效性、易用性、可操作性上需要 进一步修订完善。同时,2017年6月1日,《网络安全法》正式实施,进一步明确了网络安全等级保护制度的法律 地位,网络安全等级保护对象、保护措施要求、范围等都发生了很大的变化,需要修订原来的标准,以适应网络 安全等级保护制度要求。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

a) 应报告所发现的安全弱点和可 疑事件; b) 应明确安全事件的报告和处置 流程,规定安全事件的现场处理 、事件报告和后期恢复的管理职 安全事件 处置
应急预案 管理
/
外包运维 管理
/
第二级 a) 机房场地应选择在具有防震、防风和防雨等能 a) ; 力的建筑内; b) 机房场地应避免设在建筑物的顶层或地下室, b) ; 否则应加强防水和防潮措施 a)
等级测评
/
a) 应确保服务供应商的选择符合 国家的有关规定; b) 应与选定的服务供应商签订与 服务供应 商选择 安全相关的协议,明确约定相关
a) 应指定专门的部门或人员负责 机房安全,对机房出入进行管 理,定期对机房供配电、空调、 温湿度控制、消防等设施进行维 b) 应建立机房安全管理制度,对 有关机房物理访问,物品带进、 环境管理 带出机房和机房环境安全等方面 的管理作出规定沟通和合 作源自/安全管理机构 和人员
审核和检 查
/
人员录用
a) 应指定或授权专门的部门或人 员负责人员录用
a) 应及时终止离岗员工的所有访 人员离岗 问权限,取回各种身份证件、钥 匙、徽章等以及机构提供的软硬 安全意识 a) 应对各类人员进行安全意识教 教育和培 育和岗位技能培训,并告知相关 训 的安全责任和惩戒措施
设备和计算安 全 安全审计 /
a) 系统应遵循最小安装的原则, 仅安装需要的组件和应用程序;
入侵防范
b) 应关闭不需要的系统服务、默 认共享和高危端口 入侵防范
a) 应安装防恶意代码软件或配置 恶意代码 具有相应功能的软件,并定期进 防范 行升级和更新防恶意代码库
资源控制
/
a) 应对登录的用户进行身份标识 和鉴别,身份标识具有唯一性, 鉴别信息具有复杂度要求并定期 b) 应提供并启用登录失败处理功 能,多次登录失败后应采取必要 的保护措施 身份鉴别
a) 应提供访问控制功能,对登录 的用户分配账号和权限; b) 应重命名应用系统默认账号或 修改这些账号的默认口令; c) 应及时删除或停用多余的、过 期的账号,避免共享账号的存在
访问控制
安全审计
/
应用和数据安
安全审计
/
应用和数据安 全 a) 应提供数据有效性检验功能, 保证通过人机接口输入或通过通 软件容错 信接口输入的内容符合系统设定 要求
b) ;
b) ;
c) 当进行远程管理时,应采取必要措施,防止鉴 c) ; 别信息在网络传输过程中被窃听。 d) 应采用两种或两种以上组合的鉴别技术 对用户进行身份鉴别。 a) ; b) ; c) ; a) ; b) ; c) ;
产品采购 a) 应确保信息安全产品采购和使 和使用 用符合国家的有关规定
自行软件 开发
/
安全建设管理
外包软件 开发
/
工程实施
a) 应指定或授权专门的部门或人 员负责工程实施过程的管理
工程实施
a) 应指定或授权专门的部门或人 员负责工程实施过程的管理
测试验收 a) 应进行安全性测试验收 a) 应根据交付清单对所交接的设 备、软件和文档等进行清点; b) 应对负责运行维护的技术人员 系统交付 进行相应的技能培训
网络和通信安 全
入侵防范
/
恶意代码 防范
/
安全审计
/
安全审计
/
集中管控
/
a) 应对登录的用户进行身份标识 和鉴别,身份标识具有唯一性, 身份鉴别信息具有复杂度要求并 b) 应具有登录失败处理功能,应 配置并启用结束会话、限制非法 登录次数和当登录连接超时自动 身份鉴别 退出等相关措施
a) 应对登录的用户分配账号和权 b) 应重命名默认账号或修改默认 口令; c) 应及时删除或停用多余的、过 期的账号,避免共享账号的存在 访问控制
网络架构
通信传输
a) 应采用校验码技术保证通信过 程中数据的完整性
通信传输
a) 应采用校验码技术保证通信过 程中数据的完整性
a) 应保证跨越边界的访问和数据 边界防护 流通过边界防护设备提供的受控 接口进行通信
a) 应在网络边界根据访问控制策 略设置访问控制规则,默认情况 下除允许通信外受控接口拒绝所 b) 应删除多余或无效的访问控制 规则,优化访问控制列表,并保 证访问控制规则数量最小化; 访问控制 c) 应对源地址、目的地址、源端 口、目的端口和协议等进行检 查,以允许/拒绝数据包进出
e) 应能对远程访问的用户行为、访问互联 网的用户行为等单独进行行为审计和数据 分析 a) 应划分出特定的管理区域,对分布在网 络中的安全设备或安全组件进行管控; b) 应能够建立一条安全的信息传输路径, 对网络中的安全设备或安全组件进行管 理; c) 应对网络链路、安全设备、网络设备和 服务器等的运行状况进行集中监测; d) 应对分散在各个设备上的审计数据进行 收集汇总和集中分析; e) 应对安全策略、恶意代码、补丁升级等 安全相关事项进行集中管理; f) 应能对网络中发生的各类安全事件进行 识别、报警和分析。 a) ; a) ;
a) 应采取必要的措施识别安全漏 漏洞和风 洞和隐患,对发现的安全漏洞和 险管理 隐患及时进行修补或评估可能的 a) 应划分不同的管理员角色进行 网络和系统的运维管理,明确各 个角色的责任和权限; b) 应指定专门的部门或人员进行 账号管理,对申请账号、建立账 号、删除账号等进行控制
网络和系 统安全管 理
一、技术要 求: 基本要求 物理位置 的选择
第一级 /
a) 机房出入口应安排专人值守或 物理访问 配置电子门禁系统,控制、鉴别 控制 和记录进入的人员 a) 应将机房设备或主要部件进行 防盗窃和 固定,并设置明显的不易除去的 防破坏 标记 a) 应将各类机柜、设施和设备等 通过接地系统安全接地
防雷击
安全意识 a) 应对各类人员进行安全意识教 教育和培 育和岗位技能培训,并告知相关 训 的安全责任和惩戒措施
外部人员 a) 应确保在外部人员访问受控区 访问管理 域前得到授权或审批
定级和备 a) 应明确保护对象的边界和安全 案 保护等级
a) 应根据安全保护等级选择基本 安全方案 安全措施,依据风险分析的结果 设计 补充和调整安全措施
第三级
a) 机房出入口应配置电子门禁系统,控制 、鉴别和记录进入的人员
a) ; a) ; b) 应将通信线缆铺设在隐蔽处,可铺设在地下或 b) ; 管道中。 c) 应设置机房防盗报警系统或设置有专人 值守的视频监控系统 a) ; a) b) 应采取措施防止感应雷,例如设置防雷 保安器或过压保护装置等 a) 机房应设置火灾自动消防系统,能够自动检测 a) ; 火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐 b) ; 火等级的建筑材料 c) 应对机房划分区域进行管理,区域和区 域之间设置隔离防火措施。 a) ; a) ; b) 应采取措施防止机房内水蒸气结露和地下积水 b) ; 的转移与渗透 c) 应安装对水敏感的检测仪表或元件,对 机房进行防水检测和报警。 a) ; a) 应安装防静电地板并采用必要的接地防静电 b) 应采用措施防止静电的产生,例如采用 措施 静电消除器、佩戴防静电手环等。 a) 机房应设置温湿度自动调节设施,使机房温湿 a) ; 度的变化在设备运行所允许的范围之内 a) ; a) ; b) 应提供短期的备用电力供应,至少满足设备在 b) ; 断电情况下的正常运行要求 c) 应设置冗余或并行的电力电缆线路为计 算机系统供电。 a) 电源线和通信线缆应隔离铺设,避免互相干 扰 a) 应保证网络设备的业务处理能力满足业务高峰 期需要; b) 应保证接入网络和核心网络的带宽满足业务高 峰期需要; c) 应划分不同的网络区域,并按照方便管理和控 制的原则为各网络区域分配地址; d) 应避免将重要网络区域部署在网络边界处且没 有边界防护措施。 a) ; b) 应对关键设备实施电磁屏蔽。 a) ; b) 应保证网络各个部分的带宽满足业务高 峰期需要; c) ; d) ; e) 应提供通信线路、关键网络设备的硬件 冗余,保证系统的可用性。 a) 应采用校验码技术或加解密技术保证通 信过程中数据的完整性; a)
a) 应在网络边界或区域之间根据访问控制策略设 置访问控制规则,默认情况下除允许通信外受控 a) ; 接口拒绝所有通信; b) ; b) ;
c) ;
c) ;
d) 应能根据会话状态信息为数据流提供明确的允 d) ; 许/拒绝访问的能力,控制粒度为端口级 e) 应在关键网络节点处对进出网络的信息 内容进行过滤,实现对内容的访问控制。 a) 应在关键网络节点处检测、防止或限制 从外部发起的网络攻击行为; b) 应在关键网络节点处检测和限制从内部 发起的网络攻击行为; c) 应采取技术措施对网络行为进行分析, a) 应在关键网络节点处监视网络攻击行为 实现对网络攻击特别是未知的新型网络攻 击的检测和分析; d) 当检测到攻击行为时,记录攻击源IP、 攻击类型、攻击目的、攻击时间,在发生 严重入侵事件时应提供报警 a) 应在关键网络节点处对恶意代码进行检 测和清除,并维护恶意代码防护机制的升 级和更新; b) 应在关键网络节点处对垃圾邮件进行检 测和防护,并维护垃圾邮件防护机制的升 级和更新 a) 应在网络边界、重要网络节点进行安全审计, 审计覆盖到每个用户,对重要的用户行为和重要 a) ; 安全事件进行审计; b) 审计记录应包括事件的日期和时间、用户、事 b) ; 件类型、事件是否成功及其他与审计相关的信 c) 应对审计记录进行保护,定期备份,避免受到 c) ; 未预期的删除、修改或覆盖等。 d) 审计记录产生时的时间应由系统范围内 唯一确定的时钟产生,以确保审计分析的 正确性;
资产管理
/
a) 应确保介质存放在安全的环境 中,对各类介质进行控制和保 介质管理 护,实行存储环境专人管理,并 根据存档介质的目录清单定期盘
a) 应对各种设备(包括备份和冗 设备维护 余设备)、线路等指定专门的部 管理 门或人员定期进行维护管理