二级等保标准
- 格式:docx
- 大小:21.88 KB
- 文档页数:6
下载文档原格式
合集下载
二级等保标准
二级等保标准信息安全是当今社会发展的重要组成部分,随着网络技术的不断发展,信息安全问题也日益突出。
为了保障国家重要信息基础设施和关键信息系统的安全,我国制定了《信息安全等级保护管理办法》,并根据实际情况对信息系统进行分级保护。
其中,二级等保标准是信息系统安全等级保护的重要标准之一。
二级等保标准是指对国家重要信息基础设施和关键信息系统的安全保护等级要求。
按照《信息安全等级保护管理办法》的规定,二级等保标准主要适用于对国家安全、经济安全、社会稳定和公民合法权益具有重要影响的信息系统。
这些信息系统一旦遭受到破坏或泄露,将对国家和社会造成严重损失,因此需要按照二级等保标准进行安全保护。
二级等保标准主要包括以下几个方面的内容:首先,二级等保标准对信息系统的安全防护措施提出了具体要求。
包括对网络安全、数据安全、系统安全等方面的要求,要求信息系统具有较强的抗攻击能力和安全防护能力,能够有效地防范各类安全威胁。
其次,二级等保标准对信息系统的安全管理提出了要求。
要求建立健全的安全管理制度,明确安全管理的责任和权限,加强对系统的安全监控和审计,及时发现和处理安全事件,确保信息系统的安全稳定运行。
再次,二级等保标准对信息系统的安全保密提出了要求。
要求对系统中的重要数据和关键信息进行加密和保护,防止未经授权的访问和泄露,保障信息的机密性和完整性。
最后,二级等保标准对信息系统的应急响应能力提出了要求。
要求建立健全的安全应急预案,加强安全事件的处置和应急响应能力,及时有效地应对各类安全威胁和攻击,最大程度地减少安全事件对系统造成的损失。
总之,二级等保标准是我国信息安全等级保护体系中的重要组成部分,对国家重要信息基础设施和关键信息系统的安全保护起着至关重要的作用。
各相关单位和组织应当严格按照二级等保标准的要求,加强对信息系统的安全保护,提高信息系统的安全防护能力和安全管理水平,确保信息系统的安全稳定运行,为国家的安全和稳定作出应有的贡献。
二级等保标准
二级等级保护要求一、技术要求技术要求项二级等保实现方式物理1)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
机房建设物理位安全置的选择物理访 1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;问控制 2)应批准进入机房的来访人员,限制和监控其活动范围。
防盗窃1)应将主要设备放置在物理受限的范围内;和防破2)应对设备或主要部件进行固定,并设置明显的不易除去的标记;坏3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;4)应对介质分类标识,存储在介质库或档案室中;5)应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。
防雷击1)机房建筑应设置避雷装置;2)应设置交流电源地线。
防火1)应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
防水和1)水管安装,不得穿过屋顶和活动地板下;防潮2)应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;3)应采取措施防止雨水通过屋顶和墙壁渗透;4)应采取措施防止室内水蒸气结露和地下积水的转移与渗透。
防静电1)应采用必要的接地等防静电措施温湿度1)应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行控制所允许的范围之内。
电力供1)计算机系统供电应与其他供电分开;应2)应设置稳压器和过电压防护设备;3)应提供短期的备用电力供应(如UPS 设备)。
电磁防1)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;护2)电源线和通信线缆应隔离,避免互相干扰。
网络结构安1)网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需门禁管理系统机房建设防雷系统消防系统机房建设静电地板机房动力环境监控系统UPS防电磁排插,防电磁机柜设备做好双机冗余安全全与网要;段划分2)应设计和绘制与当前运行情况相符的网络拓扑结构图;3)应根据机构业务的特点,在满足业务高峰期需要的基础上,合理设计网络带宽;4)应在业务终端与业务服务器之间进行路由控制,建立安全的访问路网络访问控制拨号访问控制网络安全审计径;5)应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;6)重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。
二级等保标准
二级等级保护要求一、技术要求技术要求项二级等保实现方式物理1)机房和办公场所应选择在拥有防震、防风和防雨等能力的建筑内。
机房建设物理位安全置的选择物理访 1)机房进出口应有专人值守,鉴别进入的人员身份并登记在案;问控制 2)应同意进入机房的来访人员,限制和监控其活动范围。
防盗窃1)应将主要设备搁置在物理受限的范围内;和防破2)对付设备或主要零件进行固定,并设置显然的不易除去的标志;坏3)应将通讯线缆铺设在隐蔽处,如铺设在地下或管道中等;4)对付介质分类表记,储存在介质库或档案室中;5)应安装必需的防盗报警设备,以防进入机房的盗窃和破坏行为。
防雷击1)机房建筑应设置避雷装置;2)应设置交流电源地线。
防火1)应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的优异状态。
防水和1)水管安装,不得穿过屋顶和活动地板下;防潮2)对付穿过墙壁和楼板的水管增添必需的保护措施,如设置套管;3)应采纳措施防范雨水经过屋顶和墙壁浸透;4)应采纳措施防范室内水蒸气结露和地下积水的转移与浸透。
防静电1)应采纳必需的接地等防静电措施温湿度1)应设置温、湿度自动调理设备,使机房温、湿度的变化在设备运转控制所同意的范围以内。
电力供1)计算机系统供电应与其余供电分开;应2)应设置稳压器和过电压防范设备;3)应供应短期的备用电力供应(如UPS 设备)。
电磁防1)应采纳接地方式防范外界电磁搅乱和设备寄生耦合搅乱;护2)电源线和通讯线缆应隔断,防范相互搅乱。
网络结构安1)网络设备的业务办理能力应具备冗余空间,要求满足业务巅峰期需门禁管理系统机房建设防雷系统消防系统机房建设静电地板机房动力环境监控系统UPS防电磁排插,防电磁机柜设备做好双机冗余技术要求项二级等保实现方式安全全与网要;段区分2)应设计和绘制与当前运转状况切合的网络拓扑结构图;3)应依据机构业务的特色,在满足业务巅峰期需要的基础上,合理设计网络带宽;4)应在业务终端与业务服务器之间进行路由控制,建立安全的接见路网络访问控制拨号访问控制网络安全审计径;5)应依据各部门的工作职能、重要性、所涉及信息的重要程度等要素,区分不一样的子网或网段,并依照方便管理和控制的原则为各子网、网段分配地址段;6)重要网段应采纳网络层地址与数据链路层地址绑定措施,防范地址欺骗。
二级等保范围
二级等保范围摘要:1.概述2.二级等保的定义与范围3.二级等保的申请流程4.二级等保的评定标准5.二级等保的重要性6.结语正文:1.概述随着信息技术的飞速发展,信息安全问题日益凸显。
为了保障信息系统的安全,我国制定了一系列的信息安全等级保护制度。
其中,二级等保是信息安全等级保护制度的重要组成部分,旨在对信息系统进行全面的安全保护。
2.二级等保的定义与范围二级等保,全称为二级信息系统安全等级保护,是指对信息系统中的敏感信息和关键信息进行保护的一种安全等级。
它主要针对的是地方各级政府机关、金融机构、大型企事业单位的信息系统。
二级等保的范围包括信息系统的物理安全、主机安全、数据安全、网络安全、应用安全和安全管理等方面。
3.二级等保的申请流程二级等保的申请流程分为以下几个步骤:(1)申报单位向所在地的信息安全等级保护工作部门提交申请。
(2)所在地的信息安全等级保护工作部门对申报单位的申请材料进行初审,并将初审结果报送上级信息安全等级保护工作部门。
(3)上级信息安全等级保护工作部门对申报单位的申请材料进行审核,并组织专家对申报单位的信息系统进行现场评估。
(4)专家组根据现场评估结果,提出评估报告,上级信息安全等级保护工作部门根据评估报告,做出最终的审核决定。
4.二级等保的评定标准二级等保的评定标准主要包括以下几个方面:(1)物理安全:包括机房的安全、设备的安全、信息的安全等。
(2)主机安全:包括操作系统的安全、数据库的安全、应用程序的安全等。
(3)数据安全:包括数据的完整性、数据的机密性、数据的可用性等。
(4)网络安全:包括网络的访问控制、网络的入侵检测、网络的隔离等。
(5)应用安全:包括应用程序的安全性、用户的身份认证、访问控制等。
(6)安全管理:包括安全策略、安全培训、安全审计等。
5.二级等保的重要性二级等保对于我国的信息安全具有重要的意义。
首先,二级等保可以提高信息系统的安全性,防止信息泄露、篡改和破坏,保障信息系统的正常运行。
等保定级标准 数据量
等保定级标准数据量一、等保定级标准等保定级标准是国家对信息系统安全等级保护的规范性文件,包括基本要求、技术要求和管理要求三个方面,为五个等级的划分提供了标准和依据。
等保定级标准主要包括以下几个等级:1.第一级(自主保护级):适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害。
2.第二级(指导保护级):适用于较为重要的信息系统,其受到破坏后,会对社会秩序和公共利益造成一定损害。
3.第三级(监督保护级):适用于重要的信息系统,其受到破坏后,会对社会秩序和公共利益造成严重损害。
4.第四级(强制保护级):适用于特别重要的信息系统,其受到破坏后,会对国家安全造成严重损害。
5.第五级(专控保护级):适用于极端重要的信息系统,其受到破坏后,会对国家安全造成极其严重的损害。
二、数据量与等保定级的关系数据量的大小是影响信息系统等保定级的重要因素之一。
在等保定级标准中,数据量的要求主要涉及以下几个方面:1.数据保密性:随着数据量的增加,数据保密性的要求也相应提高。
不同等级的保护要求对应不同的数据保密性级别。
例如,第一级要求数据的保密性达到一般水平,而第五级则要求数据的保密性达到最高级别。
2.数据完整性:数据量的增加意味着数据来源和用途的多样化,因此需要更高的数据完整性保障。
在高等级的等保标准中,数据完整性的要求也相应提高。
3.数据可用性:随着数据量的增加,对数据可用性的要求也更高。
在等保定级标准中,不同等级的保护要求对应不同的数据可用性级别。
例如,第一级要求数据可用性达到基本可用水平,而第五级则要求数据可用性达到最高级别。
总的来说,等保定级标准是根据信息系统的等级来划分的,而数据量的大小是影响信息系统等级的重要因素之一。
随着数据量的增加,对数据保密性、完整性和可用性的要求也相应提高,从而需要更高等级的等保标准来保障信息系统的安全。
二级等保标准和解决方法
二级等保标准和解决方法一、二级等保标准。
1.1 安全制度方面。
在二级等保标准里啊,安全制度那可是相当重要的一块。
就像盖房子得先有个稳固的地基一样,企业或者单位得有一套比较完善的安全管理制度。
这可不是随便写写的东西,得涵盖人员管理、设备管理、数据管理等各个方面。
比如说人员管理这块,得规定好谁能接触到重要的数据,不同级别的人员权限是啥,这就好比一个大家庭里,每个人都有自己的职责范围,不能乱了套。
1.2 技术层面要求。
技术方面要求也不少呢。
网络安全防护得做到位,防火墙那是必须要有的,就像给家里装个防盗门一样,防止那些不怀好意的家伙从网络上偷偷溜进来。
入侵检测系统也不能少,这就像是家里的警报器,一旦有可疑的人或者行为,马上就能发现。
还有数据备份恢复的要求,数据可是宝贝啊,万一丢了或者损坏了,那可不得了,得有个可靠的备份恢复机制,就像给自己的宝贝东西找个备胎一样,以防万一。
二、常见问题。
2.1 安全意识淡薄。
很多时候啊,最大的问题就是安全意识淡薄。
有些单位的人觉得网络安全离自己很远,就像“事不关己,高高挂起”一样。
他们在日常工作中不注意一些小细节,比如说随便用个弱密码,就像把自己家的钥匙放在门口的垫子下面一样,让坏人很容易就找到。
这种想法可不行,网络安全威胁无处不在,得时刻保持警惕。
2.2 技术措施不到位。
还有些单位虽然知道安全重要,但是技术措施不到位。
可能防火墙设置得不合理,或者入侵检测系统没及时更新规则,就像拿着一把破旧的武器去打仗,怎么能打得赢呢?这技术措施要是跟不上,就等于给黑客留下了可乘之机。
2.3 安全制度执行不力。
安全制度有了,但是执行不力也是个大问题。
就像交通规则一样,写得明明白白的,但是有些人就是不遵守。
在单位里,可能有人不按照规定的权限操作,或者数据备份不按时做,这样安全制度就成了一纸空文,没有任何意义。
三、解决方法。
3.1 加强安全意识培训。
要解决这些问题啊,首先得加强安全意识培训。
软件等保二级基本要求
软件等保二级基本要求软件等级保护(Software Security Protection,以下简称等保)是指国家对软件产品(包括系统软件、应用软件、数据库及其他与计算机信息系统安全有关的软件)的安全达到的标准要求和控制要求。
等保二级是等保的一种等级分类,是对软件产品安全性的基本要求。
下面将详细解释等保二级的基本要求。
一、密码要求:密码是保证信息安全的重要手段。
在等保二级基本要求中,包括了对密码的安全性要求。
具体要求包括:密码应该由至少8个字符组成,包含大小写字母、数字和特殊字符;密码应该经过定期变更,一般要求为90天;密码不应该与用户账号、个人信息或常见字词相关;不能出现弱密码或强迫用户使用密码的规则。
二、用户管理:用户管理是保证信息安全的一个重要环节。
在等保二级基本要求中,用户管理的要求包括:系统应该实行企业级用户账号管理,包括账号的新增、设置、变更和删除;对于离职用户,应该及时取消其访问权限;用户账号过期应该自动停用,并及时对停用的账号进行删除;对于敏感操作,应该限制访问权限,包括对重要信息的修改、删除和备份等操作。
三、访问控制:访问控制是保证信息安全的核心要求之一、在等保二级基本要求中,访问控制要求包括:对不同等级的用户实行不同的访问控制策略,包括不同用户组别、角色和权限的划分;对于重要信息和敏感数据,应该将访问权限控制在最小范围内;对于系统管理员等特权用户,应该特别加强访问控制,实行严格审计和监控。
四、事件响应:事件响应是保证信息安全的一个重要环节。
在等保二级基本要求中,事件响应的要求包括:建立完善的事件响应机制和流程,包括事件的收集、处理、跟踪和报告等过程;建立事件监测和预警机制,及时发现和应对安全事件;对于重要的安全事件,应该及时通知相关人员,采取紧急措施并进行快速恢复。
五、日志管理:日志管理是保证信息安全的一个重要手段。
在等保二级基本要求中,日志管理的要求包括:对于重要系统和应用软件,应该记录关键操作和事件的日志,包括用户登陆、系统配置变更、异常访问、安全事件等;日志应该具备完整性和不可篡改性;对于日志的存储,需要建立合理的存储周期和备份机制。
等保二级和三级的认定标准
等保二级和三级的认定标准# 等保二级和三级的认定标准## 一、前言嘿,朋友!你有没有听说过等保呀?等保呢,就是信息安全等级保护的简称。
随着咱们现在网络越来越发达,各种各样的信息系统那是多得数都数不过来。
这些信息系统里可都是有很多重要的数据呢,比如说企业的财务数据、政府部门的政务信息、还有咱们老百姓的一些个人隐私信息之类的。
为了保护这些信息的安全,等保就应运而生啦。
它就像是一个信息安全的守门员,按照不同的标准来给信息系统的安全程度定个等级,这样就能有针对性地保护好这些信息啦。
今天呢,咱们就来好好唠唠等保二级和三级的认定标准,这可对很多单位和组织都非常重要哦。
## 二、适用范围(一)等保二级适用范围等保二级适用的范围还是挺广的。
一般来说呢,像一些小型的企业、或者是普通的商业网站,只要涉及到一定量的用户信息或者是商业数据的,就可能适用等保二级。
比如说,一个小型的电商网站,虽然它可能规模不是特别大,但是它有用户注册登录的功能,存储了用户的姓名、地址、联系方式这些基本信息,还涉及到商品的库存、订单这些商业数据。
这种情况下,这个电商网站就应该按照等保二级的标准来进行安全保护。
说白了,就是只要你的信息系统有点重要的数据,但是规模和影响力又不是超级大的那种,等保二级就比较适合你。
(二)等保三级适用范围等保三级的适用范围可就更上一层楼啦。
像一些中型规模的企业,特别是涉及到金融、医疗、教育等重要行业的信息系统,往往需要达到等保三级的标准。
比如说银行的网上银行系统,这里面可是涉及到大量用户的资金信息啊,像账户余额、交易记录这些,那可都是非常敏感的数据。
还有医院的信息系统,里面有病人的病历、诊断结果、用药信息等隐私信息。
学校的教育管理系统,包含学生的成绩、学籍信息等重要数据。
这些系统一旦出了安全问题,那影响可就大了去了。
所以它们就得按照等保三级的标准来建设和保护自己的信息系统。
## 三、术语定义(一)信息系统这个就很好理解啦,简单说就是由计算机硬件、软件、网络设备、数据等组成的一个有机整体,这个整体是用来处理信息的。
二级等保标准
二级等保标准二级等保标准是指信息系统安全等级保护的一种标准,它是指在信息系统安全等级保护工作中,对于等级较高的信息系统所需要满足的安全保护要求。
二级等保标准的制定,是为了保障信息系统的安全性,防范各种安全威胁,确保信息系统的正常运行和数据的安全性。
在当前信息化时代,信息系统的安全性问题日益突出,因此,制定并执行二级等保标准显得尤为重要。
首先,二级等保标准要求建立健全的安全管理制度。
安全管理制度是信息系统安全保护的基础,它包括安全责任制、安全管理制度、安全技术规范等内容。
只有建立了健全的安全管理制度,才能有效地提高信息系统的安全等级,确保信息系统的安全运行。
其次,二级等保标准要求加强对信息系统的安全防护能力。
信息系统的安全防护能力是指系统对外界威胁的抵御能力,包括对网络攻击、病毒攻击、恶意代码攻击等的防范能力。
只有加强了信息系统的安全防护能力,才能有效地保障信息系统的安全性,避免系统遭受各种安全威胁。
另外,二级等保标准要求建立完善的安全监控和应急响应机制。
安全监控和应急响应是信息系统安全保护工作中的重要环节,它包括对系统运行状态的实时监控和对安全事件的及时响应。
只有建立了完善的安全监控和应急响应机制,才能及时发现安全事件并做出相应的处置,有效地减少安全事件对系统造成的损害。
最后,二级等保标准要求对信息系统进行定期的安全评估和风险评估。
安全评估和风险评估是保障信息系统安全的重要手段,它可以及时发现系统存在的安全隐患和风险,并采取相应的措施加以解决。
只有对信息系统进行定期的安全评估和风险评估,才能及时发现问题并加以解决,确保信息系统的安全性。
综上所述,二级等保标准是信息系统安全等级保护工作中的重要标准,它要求建立健全的安全管理制度、加强安全防护能力、建立完善的安全监控和应急响应机制,以及进行定期的安全评估和风险评估。
只有严格执行二级等保标准,才能有效地提高信息系统的安全等级,确保信息系统的安全运行,保障数据的安全性。
等保二级制度要求标准
等保二级制度要求标准
等保二级制度要求标准主要包括以下几个方面:
1. 物理安全:包括物理位置的选择、物理访问控制和防盗、防火、防水、防雷、温湿度控制、电力供应、防静电和电磁防护等。
2. 网络安全:包括结构安全、安全审计、访问控制、边界完整性检查、恶意代码防范、入侵防范和网络设备防护等。
3. 主机安全:包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控制等。
4. 应用安全:包括身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等。
5. 数据安全:包括数据完整性和保密性、数据的备份和恢复。
6. 基本管理要求:通过等级保护工作发现单位信息系统存在的安全隐患和不足,进行安全整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险,维护单位良好的形象。
此外,二级等保测评标准是信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
如需更多详细信息,可以查看国家信息安全等级保护网发布的相关文件。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙
数据保密性
1)网络设备、操作系统、数据库管理系统和应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据应采用加密或其他有效措施实现传输保密性;
2)网络设备、操作系统、数据库管理系统和应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据应采用加密或其他保护措施实现存储保密性;
3)当使用便携式和移动式设备时,应加密或者采用可移动磁盘存储敏感信息。
上网行为管理设备
边界完整性检查
1)应能够检测内部网络中出现的内部用户未通过准许私自联到外部网络的行为(即“非法外联”行为)。
IDS入侵检测
网络入侵防范
1)应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等入侵事件的发生。
IPS入侵防御
6)重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。
设备做好双机冗余
网络访问控制
1)应能根据会话状态信息(包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力。
防火墙
防毒墙,杀毒软件
资源控制
1)应限制单个用户的会话数量;
2)应通过设定终端接入方式、网络地址范围等条件限制终端登录。
VPN
应用安全
身份鉴别
1)应用系统用户的身份标识应具有唯一性;
2)应对登录的用户进行身份标识和鉴别;
3)系统用户身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等;
4)应具有登录失败处理功能,如:结束会话、限制非法登录次数,当登录连接超时,自动退出。
VPN
软件容错
1)应对通过人机接口输入或通过通信接口输入的数据进行有效性检验;
2)应对通过人机接口方式进行的操作提供“回退”功能,即允许按照操作的序列进行回退;
3)在故障发生时,应继续提供一部分功能,确保能够实施必要的措施。
VPN
资源控制
1)应限制单个用户的多重并发会话;
2)应对应用系统的最大并发会话连接数进行限制;
消防系统
防水和防潮
1)水管安装,不得穿过屋顶和活动地板下;
2)应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;
3)应采取措施防止雨水通过屋顶和墙壁渗透;
4)应采取措施防止室内水蒸气结露和地下积水的转移与渗透。
机房建设
防静电
1)应采用必要的接地等防静电措施
静电地板
温湿度控制
1)应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
拨号访问控制
1)应在基于安全属性的允许远程用户对系统访问的规则的基础上,对系统所有资源允许或拒绝用户进行访问,控制粒度为单个用户;
2)应限制具有拨号访问权限的用户数量。
VPN
网络安全审计1)应对网络源自统中的网络设备运行状况、网络流量、用户行为等事件进行日志记录;
2)对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信息。
6)权限分离应采用最小授权原则,分别授予不同用户各自为完成自己承担任务所需的最小权限,并在它们之间形成相互制约的关系;
7)应严格限制默认用户的访问权限。
防火墙
安全审计
1)安全审计应覆盖到应用系统的每个用户;
2)安全审计应记录应用系统重要的安全相关事件,包括重要用户行为和重要系统功能的执行等;
3)安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等;
访问控制
1)应依据安全策略控制用户对客体的访问;
2)自主访问控制的覆盖范围应包括与信息安全直接相关的主体、客体及它们之间的操作;
3)自主访问控制的粒度应达到主体为用户级,客体为文件、数据库表级;
4)应由授权主体设置用户对系统功能操作和对数据访问的权限;
5)应实现应用系统特权用户的权限分离,例如将管理与审计的权限分配给不同的应用系统用户;
二级等级保护要求
一、技术要求
技术要求项
二级等保
实现方式
物理安全
物理位置的选择
1)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
机房建设
物理访问控制
1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;
2)应批准进入机房的来访人员,限制和监控其活动范围。
门禁管理系统
防盗窃和防破坏
1)应将主要设备放置在物理受限的范围内;
5)应严格限制默认用户的访问权限。
VPN防火墙
强制访问控制
无
数据库审计系统
安全审计
1)安全审计应覆盖到服务器上的每个操作系统用户和数据库用户;
2)安全审计应记录系统内重要的安全相关事件,包括重要用户行为和重要系统命令的使用等;
3)安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等;
1)网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要;
2)应设计和绘制与当前运行情况相符的网络拓扑结构图;
3)应根据机构业务的特点,在满足业务高峰期需要的基础上,合理设计网络带宽;
4)应在业务终端与业务服务器之间进行路由控制,建立安全的访问路径;
5)应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;
5)应具有登录失败处理功能,如:结束会话、限制非法登录次数,当网络登录连接超时,自动退出。
维护堡垒机
主机系统安全
身份鉴别
1)操作系统和数据库管理系统用户的身份标识应具有唯一性;
2)应对登录操作系统和数据库管理系统的用户进行身份标识和鉴别;
3)操作系统和数据库管理系统身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等;
4)应具有登录失败处理功能,如:结束会话、限制非法登录次数,当登录连接超时,自动退出。
VPN
自主访问控制
1)应依据安全策略控制主体对客体的访问;
2)自主访问控制的覆盖范围应包括与信息安全直接相关的主体、客体及它们之间的操作;
3)自主访问控制的粒度应达到主体为用户级,客体为文件、数据库表级;
4)应由授权主体设置对客体访问和操作的权限;
堡垒机
数据备份和恢复
1)应提供自动机制对重要信息进行有选择的数据备份;
2)应提供恢复重要信息的功能;
3)应提供重要网络设备、通信线路和服务器的硬件冗余
数据存储备份
3)应对一个时间段内可能的并发会话连接数进行限制。
VPN
代码安全
1)应对应用程序代码进行恶意代码扫描;
2)应对应用程序代码进行安全脆弱性分析。
防火墙
数据安全
数据完整性
1)应能够检测到系统管理数据、鉴别信息和用户数据在传输过程中完整性受到破坏;
2)应能够检测到系统管理数据、鉴别信息和用户数据在存储过程中完整性受到破坏。
2)应对设备或主要部件进行固定,并设置明显的不易除去的标记;
3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;
4)应对介质分类标识,存储在介质库或档案室中;
5)应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。
机房建设
防雷击
1)机房建筑应设置避雷装置;
2)应设置交流电源地线。
防雷系统
防火
1)应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
4)审计记录应受到保护避免受到未预期的删除、修改或覆盖等。
数据库审计系统
系统保护
1)系统应提供在管理维护状态中运行的能力,管理维护状态只能被系统管理员使用。
数据存储备份,
剩余信息保护
1)应保证操作系统和数据库管理系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;
4)审计记录应受到保护避免受到未预期的删除、修改或覆盖等。
日志审计系统
剩余信息保护
1)应保证用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;
2)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
VPN
通信完整性
1)通信双方应约定单向的校验码算法,计算通信数据报文的校验码,在进行通信时,双方根据校验码判断对方报文的有效性。
VPN加密
抗抵赖
无
VPN
通信保密性
1)当通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;
2)在通信双方建立连接之前,利用密码技术进行会话初始化验证;
3)在通信过程中,应对敏感信息字段进行加密。
机房动力环境监控系统
电力供应
1)计算机系统供电应与其他供电分开;
2)应设置稳压器和过电压防护设备;
3)应提供短期的备用电力供应(如UPS设备)。
UPS
电磁防护
1)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;
2)电源线和通信线缆应隔离,避免互相干扰。
防电磁排插,防电磁机柜
网络安全
结构安全与网段划分
2)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
VPN
入侵防范
无
网管系统,IPS入侵防御系统
恶意代码防范
1)服务器和重要终端设备(包括移动设备)应安装实时检测和查杀恶意代码的软件产品;
2)主机系统防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;
恶意代码防范
1)应在网络边界及核心业务网段处对恶意代码进行检测和清除;
数据保密性
1)网络设备、操作系统、数据库管理系统和应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据应采用加密或其他有效措施实现传输保密性;
2)网络设备、操作系统、数据库管理系统和应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据应采用加密或其他保护措施实现存储保密性;
3)当使用便携式和移动式设备时,应加密或者采用可移动磁盘存储敏感信息。
上网行为管理设备
边界完整性检查
1)应能够检测内部网络中出现的内部用户未通过准许私自联到外部网络的行为(即“非法外联”行为)。
IDS入侵检测
网络入侵防范
1)应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等入侵事件的发生。
IPS入侵防御
6)重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。
设备做好双机冗余
网络访问控制
1)应能根据会话状态信息(包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力。
防火墙
防毒墙,杀毒软件
资源控制
1)应限制单个用户的会话数量;
2)应通过设定终端接入方式、网络地址范围等条件限制终端登录。
VPN
应用安全
身份鉴别
1)应用系统用户的身份标识应具有唯一性;
2)应对登录的用户进行身份标识和鉴别;
3)系统用户身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等;
4)应具有登录失败处理功能,如:结束会话、限制非法登录次数,当登录连接超时,自动退出。
VPN
软件容错
1)应对通过人机接口输入或通过通信接口输入的数据进行有效性检验;
2)应对通过人机接口方式进行的操作提供“回退”功能,即允许按照操作的序列进行回退;
3)在故障发生时,应继续提供一部分功能,确保能够实施必要的措施。
VPN
资源控制
1)应限制单个用户的多重并发会话;
2)应对应用系统的最大并发会话连接数进行限制;
消防系统
防水和防潮
1)水管安装,不得穿过屋顶和活动地板下;
2)应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;
3)应采取措施防止雨水通过屋顶和墙壁渗透;
4)应采取措施防止室内水蒸气结露和地下积水的转移与渗透。
机房建设
防静电
1)应采用必要的接地等防静电措施
静电地板
温湿度控制
1)应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
拨号访问控制
1)应在基于安全属性的允许远程用户对系统访问的规则的基础上,对系统所有资源允许或拒绝用户进行访问,控制粒度为单个用户;
2)应限制具有拨号访问权限的用户数量。
VPN
网络安全审计1)应对网络源自统中的网络设备运行状况、网络流量、用户行为等事件进行日志记录;
2)对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信息。
6)权限分离应采用最小授权原则,分别授予不同用户各自为完成自己承担任务所需的最小权限,并在它们之间形成相互制约的关系;
7)应严格限制默认用户的访问权限。
防火墙
安全审计
1)安全审计应覆盖到应用系统的每个用户;
2)安全审计应记录应用系统重要的安全相关事件,包括重要用户行为和重要系统功能的执行等;
3)安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等;
访问控制
1)应依据安全策略控制用户对客体的访问;
2)自主访问控制的覆盖范围应包括与信息安全直接相关的主体、客体及它们之间的操作;
3)自主访问控制的粒度应达到主体为用户级,客体为文件、数据库表级;
4)应由授权主体设置用户对系统功能操作和对数据访问的权限;
5)应实现应用系统特权用户的权限分离,例如将管理与审计的权限分配给不同的应用系统用户;
二级等级保护要求
一、技术要求
技术要求项
二级等保
实现方式
物理安全
物理位置的选择
1)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
机房建设
物理访问控制
1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;
2)应批准进入机房的来访人员,限制和监控其活动范围。
门禁管理系统
防盗窃和防破坏
1)应将主要设备放置在物理受限的范围内;
5)应严格限制默认用户的访问权限。
VPN防火墙
强制访问控制
无
数据库审计系统
安全审计
1)安全审计应覆盖到服务器上的每个操作系统用户和数据库用户;
2)安全审计应记录系统内重要的安全相关事件,包括重要用户行为和重要系统命令的使用等;
3)安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等;
1)网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要;
2)应设计和绘制与当前运行情况相符的网络拓扑结构图;
3)应根据机构业务的特点,在满足业务高峰期需要的基础上,合理设计网络带宽;
4)应在业务终端与业务服务器之间进行路由控制,建立安全的访问路径;
5)应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;
5)应具有登录失败处理功能,如:结束会话、限制非法登录次数,当网络登录连接超时,自动退出。
维护堡垒机
主机系统安全
身份鉴别
1)操作系统和数据库管理系统用户的身份标识应具有唯一性;
2)应对登录操作系统和数据库管理系统的用户进行身份标识和鉴别;
3)操作系统和数据库管理系统身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等;
4)应具有登录失败处理功能,如:结束会话、限制非法登录次数,当登录连接超时,自动退出。
VPN
自主访问控制
1)应依据安全策略控制主体对客体的访问;
2)自主访问控制的覆盖范围应包括与信息安全直接相关的主体、客体及它们之间的操作;
3)自主访问控制的粒度应达到主体为用户级,客体为文件、数据库表级;
4)应由授权主体设置对客体访问和操作的权限;
堡垒机
数据备份和恢复
1)应提供自动机制对重要信息进行有选择的数据备份;
2)应提供恢复重要信息的功能;
3)应提供重要网络设备、通信线路和服务器的硬件冗余
数据存储备份
3)应对一个时间段内可能的并发会话连接数进行限制。
VPN
代码安全
1)应对应用程序代码进行恶意代码扫描;
2)应对应用程序代码进行安全脆弱性分析。
防火墙
数据安全
数据完整性
1)应能够检测到系统管理数据、鉴别信息和用户数据在传输过程中完整性受到破坏;
2)应能够检测到系统管理数据、鉴别信息和用户数据在存储过程中完整性受到破坏。
2)应对设备或主要部件进行固定,并设置明显的不易除去的标记;
3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;
4)应对介质分类标识,存储在介质库或档案室中;
5)应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。
机房建设
防雷击
1)机房建筑应设置避雷装置;
2)应设置交流电源地线。
防雷系统
防火
1)应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
4)审计记录应受到保护避免受到未预期的删除、修改或覆盖等。
数据库审计系统
系统保护
1)系统应提供在管理维护状态中运行的能力,管理维护状态只能被系统管理员使用。
数据存储备份,
剩余信息保护
1)应保证操作系统和数据库管理系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;
4)审计记录应受到保护避免受到未预期的删除、修改或覆盖等。
日志审计系统
剩余信息保护
1)应保证用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;
2)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
VPN
通信完整性
1)通信双方应约定单向的校验码算法,计算通信数据报文的校验码,在进行通信时,双方根据校验码判断对方报文的有效性。
VPN加密
抗抵赖
无
VPN
通信保密性
1)当通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;
2)在通信双方建立连接之前,利用密码技术进行会话初始化验证;
3)在通信过程中,应对敏感信息字段进行加密。
机房动力环境监控系统
电力供应
1)计算机系统供电应与其他供电分开;
2)应设置稳压器和过电压防护设备;
3)应提供短期的备用电力供应(如UPS设备)。
UPS
电磁防护
1)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;
2)电源线和通信线缆应隔离,避免互相干扰。
防电磁排插,防电磁机柜
网络安全
结构安全与网段划分
2)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
VPN
入侵防范
无
网管系统,IPS入侵防御系统
恶意代码防范
1)服务器和重要终端设备(包括移动设备)应安装实时检测和查杀恶意代码的软件产品;
2)主机系统防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;
恶意代码防范
1)应在网络边界及核心业务网段处对恶意代码进行检测和清除;