等保2.0-安全物理环境测评指导书(三级)
等保2.0基本要求-各级对比
应保证跨越边界的访问和数据流 通过边界设备提供的受控接口进 行通信。
a) 应划分不同的网络区域,并按 照方便管理和控制的原则为各网 络区域分配地址;
a) 应保证网络设备的业务处理能力满 足业务高峰期需要; b) 应保证网络各个部分的带宽满足业 务高峰期需要;
b) 应删除多余或无效的访问控制规 则,优化访问控制列表,并保证访 问控制规则数量最小化;
b) 应删除多余或无效的访问控制规 则,优化访问控制列表,并保证访问 控制规则数量最小化;
b) 应删除多余或无效的访问控制规 则,优化访问控制列表,并保证访问 控制规则数量最小化;
c) 应对源地址、目的地址、源端 口、目的端口和协议等进行检 查,以允许/拒绝数据包进出。
7.1.1.10 电磁防护
8.1.1.10 电磁防护
d)应提供应急供电设施。 9.1.1.10 电磁防护
电源线和通信线缆应隔离铺设, 避免互相干扰。
a)电源线和通信线缆应隔离铺设,避 免互相干扰;
a)电源线和通信线缆应隔离铺设,避 免互相干扰;
b)应对关键设备实施电磁屏蔽。
b)应对关键设备或关键区实施电磁屏 蔽。
c)应划分不同的网络区域,并按照方 便管理和控制的原则为各网络区域分 配地址;
a) 应保证网络设备的业务处理能力满 足业务高峰期需要; b) 应保证网络各个部分的带宽满足业 务高峰期需要;
c)应划分不同的网络区域,并按照方 便管理和控制的原则为各网络区域分 配地址;
b) 应避免将重要网络区域部署在 边界处,重要网络区域与其他网 络区域之间应采取可靠的技术隔 离手段。
c) 应安装对水敏感的检测仪表或元 件,对机房进行防水检测和报警。
网络安全等级保护(等保2.0)3级建设内容设计方案
网络安全等级保护(等保2.0)3级建设内容设计方案一、物理环境安全设计机房与配套设备安全策略的目的是保护网络中计算机网络通信有一个良好的电磁兼容工作环境,并防止非法用户进入计算机控制室和各种偷窃、破坏活动的发生。
1.1.物理位置的选择在机房位置选择上,应选择的场地具有防震、防风和防雨等能力建筑内,同时尽量避免设在建筑物的顶层或地下室以保证机房的防水防潮效果,确保机房的选择合理合规。
在UPS电池按放的位置选择要考虑到楼板的承重等因素。
1.2.物理访问控制对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;进入机房的来访人员须经过申请和审批流程,并限制和监控其活动范围,同时在机房的各出入口出配置配置电子门禁系统和视频监控系统,通过开关门记录和视频来控制、鉴别和记录机房进入的人员相关信息。
1.3.防盗窃和防破坏在防盗窃和防破坏方面,对设备或主要部件进行固定,并设置明显的不易除去的标记。
在强弱电铺设方面尽量进行隐蔽布设。
为了防止无关人员和不法分子非法接近网络并使用网络中的主机盗取信息、破坏网络和主机系统、破坏网络中的数据的完整性和可用性,必须采用有效的区域监控、防盗报警系统,阻止非法用户的各种临近攻击。
此外,必须制定严格的出入管理制度和环境监控制度,以保障区域监控系统和环境监控系统的有效运行。
对介质进行分类标识,存储在介质库或档案室中。
利用光、电等技术设置机房防盗报警系统;对机房设置监控报警系统。
1.4.防雷击严格按照国家的相关的标准将各类机柜、设施和设备等通过接地系统安全接地。
同时在配电方面设置相应的防雷保安器或过压保护装置等。
1.5.防火合理规划设备安装位置,应预留足够的空间作安装、维护及操作之用。
房间装修必需使用阻燃材料,耐火等级符合国家相关标准规定,同时设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;1.6.防水和防潮在机房建设阶段,对机房窗户、屋顶和墙壁进行处理,防止液体渗透。
等保2.0-安全物理环境测评指导书(三级)
物理环境问题
可能导致静电无法得到有效释放,静电放电可能 建议机房统一使用防静电地
会影响数据传输,并可能对精密电子元件造成损 板,以防止静电对电子设备 物理环境问题
害。
和人员造成伤害。
建议在机房中配备静电消除
机房内如果产生大量静电,会对精密电子设备造 成损害,并可能威胁人员安全。
器等装置,如离子风机,以 减少机房内静电的产生,人 员在操作电子设备时建议配
区域发生火情时,火势蔓延至其他区域,造成大 门)、防火隔断等进行消防
量损失。
区域密封隔离,以实现区域
隔离防火措施,将重要设备
与其他设备隔离开,保证机
房发生火情时火势不会蔓延
、消防气体不会溢出。
物理环境问题
建议对机房窗户、屋顶和墙
存在漏水隐患,出现漏水事故时,可能导致电子 设备损坏,影响系统运行。
壁进行防水处理,如使用防 水涂料或密封措施,保证雨 水不会通过机房窗户、屋顶
b) 应采取措施防止感应雷, 例如设置防雷保安器或过压 保护装置等。
a) 机房应设置火灾自动消防 系统,能够自动检测火情、 自动报警,并自动灭火;
机房 机房防雷设施 机房防火设施
b) 机房及相关的工作房间和 辅助房应采用具有耐火等级 的建筑材料;
机房验收类文档
8.1.1.5 防火
8.1.1.5 防火
带防静电手环。
物理环境问题
建议更换机房中的家用柜式
导致机房不能做到恒温恒湿,不利于电子设备的 稳定运行,增加了设备故障几率。
空调/中央空调为机房专用恒 温恒湿精密空调,以保证各
物理环境问题
区域内温湿度恒定。
建议在机房供电线路上设置
机房供电线路上未设置稳压器和过电压防护设 稳压器和过电压防护设备。
等级保护2.0三级测评要求(含云安全扩展要求)
8. 1.2. 3 可信验证
8. 1.2.3. 1 测评单元(L3CNS1-08)
8.1.3.1. 1 测评单元(L3ABS1-01)
8. 1.3. 1 边界防护
8. 1.3. 1.2 测评单元(L3ABS1-02)
8.1.3.1.3 测评单元(L3ABS1-03)
测评领域
测评项
测评单元
8.1.1.1 物理位置选择
8.1.1.1 物理位置选择
8. 1. 1. 1.2 测评单元(L3PES1-02)
8. 1. 1.2 物理访问控制
8. 1. 1.2. 1 测评单元(L3PES1-03)
8. 1. 1.3. 1 测评单元(L3PES1-04)
8. 1. 1.3 防盗窃和防破坏
8. 1.4.4. 1 测评单元(L3CES1-17;
8.1.4 安全计算环境
8. 1.4.4.2 测评单元(L3CES1-18)
8.1.4.4 入侵防范
8. 1.4.4.3 测评单元(L3CES1-19)
8.1.4.4.4 测评单元(L3CES1-20)
8.1.4.4.5 测评单元(L3CES1-21)
8.1.4.7.2 测评单元(L3CES1-26)
8.1.4.8. 1 测评单元(L3CES1-27)
8.1.4.8 数据保密性
8.1.4.8.2 测评单元(L3CES1-28)
8. 1.4.2. 7 测评单元(L3CES1-11)
8. 1.4.3. 1 测评单元(L3CES1-12)
8.1.4.3 安全审计
8.1.4.3.2 测评单元(L3CES1-13)
8.1.4.3.3 测评单元(L3CES1-14)
等保2.0测评项基本要求(安全通用要求二级 三级对比)
或限制;
d) 应限制无线网络的使用,
保证无线网络通过受控的边界
设备接入内部网络。
a) 应在网络边界或区域之间 a) 应在网络边界或区域之间
根据访问控制策略设置访问控 根据访问控制策略设置访问控
制规则,默认情况下除允许通 制规则,默认情况下除允许通
信外受控接口拒绝所有通信; 信外受控接口拒绝所有通信;
防破 全处;
全处;Biblioteka 坏 c)应设置机房防盗报警系统或
设置有专人值守的视频监控系
a)应将各类机柜、设施和设 a)应将各类机柜、设施和设
防雷 击
备等通过接地系统安全接地; b)应采取措施防止感应雷, 例如设置防雷保安器或过压保
备等通过接地系统安全接地;
护装置等。
a)机房应设置火灾自动消防 a)机房应设置火灾自动消防
坏后进行报警,并将验证结果 成审计记录送至安全管理中心
形成审计记录送至安全管理中 。 a) 应采用校验技术或密码技
术保证重要数据在传输过程中
的完整性,包括但不限于鉴别 a) 应采用校验技术保证重要
数据、重要业务数据、重要审 数据在传输过程中的完整性。
数据 计数据、重要配置数据、重要
完整 性
视频数据和重要个人信息等; b) 应采用校验技术或密码技
防静 电
采用必要的接地防静电措施; b) 应采取措施防止静电的产 生,例如采用静电消除器、佩
采用必要的接地防静电措施;
戴防静电手环等。
温湿 a)应设置温湿度自动调节设 a)应设置温湿度自动调节设
度控 施,使机房温湿度的变化在设 施,使机房温湿度的变化在设
制 备运行所允许的范围之内。 备运行所允许的范围之内。
e) 应提供通信线路、关键网
等保2.0测评项基本要求(物联网安全扩展要求二级 三级对比)
通信的目标地址,以避免对 通信的目标地址,以避免对
陌生地址的攻击行为。
陌生地址的攻击行为。
a) 应保证只有授权的用户
可以对感知节点设备上的软
件应用进行配置或变更;
感知节点 设备安全
b) 应具有对其连接的网关 节点设备(包括读卡器)进 行身份标识和鉴别的能力;
c) 应具有对其连接的其他
感知节点设备(包括路由节
感知节点 署、携带、维修、丢失和报 署、携带、维修、丢失和报
管理 废等过程作出明确规定,并 废等过程作出明确规定,并
进行全程管理;
进行全程管理;
c) 应加强对感知节点设备
、网关节点设备部署环境的
保密性管理,包括负责检查
和维护的人员调离工作岗位
应立即交还相关检查工具和
检查维护记录等。
20
7
知节点设备、网关节点设备 知节点设备、网关节点设备
的部署环境,对可能影响感 的部署环境,对可能影响感
知节点设备、网关节点设备 知节点设备、网关节点设备
正常工作的环境异常进行记 正常工作的环境异常进行记
b) 应对感知节点设备、网 b) 应对感知节点设备、网
关节点设备入库、存储、部 关节点设备入库、存储、部
安全 物理 环境
安全 区域 边界
安全 计算 环境
三级要求
二级要求
a) 感知节点设备所处的物 a) 感知节点设备所处的物
理环境应不对感知节点设备 理环境应不对感知节点设备
造成物理破坏,如挤压、强 造成物理破坏,如挤压、强
b) 感知节点设备在工物理环境应能正确反 态所处物理环境应能正确反
a) 应能够鉴别数据的新鲜
抗数据重 性,避免历史数据的重放攻
放
等保2.0测评项基本要求(云计算安全扩展要求二级 三级对比)
可能存在的敏感资源被非法访
a) 应确保云服务客户数据、用 a) 应确保云服务客户数据、
户个人信息等存储于中国境 用户个人信息等存储于中国
内,如需出境应遵循国家相关 境内,如需出境应遵循国家
安全
规定;
相关规定;
计算
b) 应确保只有在云服务客户授 b) 应确保只有在云服务客户
环境
权下,云服务商或第三方才具 授权下,云服务商或第三方
固的操作系统镜像或操作系统 加固的操作系统镜像或操作
安全加固服务;
系统安全加固服务;
镜像和 b) 应提供虚拟机镜像、快照完 b) 应提供虚拟机镜像、快照
快照保 整性校验功能,防止虚拟机镜 完整性校验功能,防止虚拟
护 像被恶意篡改;
机镜像被恶意篡改;
c) 应采取密码技术或其他技术
手段防止虚拟机镜像、快照中
数据完 有云服务客户数据的管理权 才具有云服务客户数据的管
整性和 限;
理权限;
保密性 c) 应使用校验码或密码技术确 c) 应确保虚拟机迁移过程中
保虚拟机迁移过程中重要数据 重要数据的完整性,并在检
的完整性,并在检测到完整性 测到完整性受到破坏时采取
受到破坏时采取必要的恢复措 必要的恢复措施。
d) 应支持云服务客户部署密钥
网络之间的隔离;
拟网络之间的隔离;
c) 应具有根据云服务客户业务 c) 应具有根据云服务客户业
需求提供通信传输、边界防护 务需求提供通信传输、边界
安全 通信 网络
网络架 构
、入侵防范等安全机制的能
力; d) 应具有根据云服务客户业务
防护、入侵防范等安全机制 的能力;
需求自主设置安全策略的能
力,包括定义访间路径、选择
等保2.0网络安全等级保护三级—基本要求
类
控制点要求项安全物理环境1022安全通信网络38安全区域边界620安全计算环境1134安全管理中心
4
12
安全管理制度47安全管理机构514安全管理人员412安全建设管理1034安全运维管理
1448(总计)71211安全物理环境21安全通信网络15安全区域边界38安全计算环境719安全管理中心14安全建设管理28安全运维管理
11(总计)1746安全物理环境11安全区域边界38安全计算环境25安全建设管理24安全运维管理
11(总计)919安全物理环境14安全区域边界23安全计算环境410安全运维管理
13(总计)820安全物理环境12安全通信网络24安全区域边界38安全计算环境15安全建设管理
22(总计)
9
21
工业控制系统安全扩
展要求
说明:
此文档为网络安全等级保护三级基本要求绿色部分为比二级增加的要求项版本:
v0.1 完成基本要求的填充v0.1.1 添加与二级要求的对比
安全通用要求
云计算安全扩展要求
移动互联安全扩展要
求
物联网安全扩展要求。
新等保2.0机会点解读 - 安全管理中心 (3级)
GB/T 22239-2019等级保护安全通用要求——技术要求技术要求安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心物理位置选择网络架构物理访问控制通信传输防盗窃和防破坏可信验证防雷击防火防水和防潮防静电温湿度控制电力供应电磁防护边界防护身份鉴别访问控制访问控制入侵防御安全审计恶意代码防范入侵防范安全审计恶意代码防范可信验证可信验证数据完整性数据保密性数据备份恢复剩余信息保护个人信息保护系统管理审计管理安全管理集中管控上一期介绍了“可信验证”,本期介绍“安全管理中心”等保1.0时期,“安全管理中心”是第三级及以上系统的要求。
位于“管理要求”-“系统运维管理”-“监控管理和安全管理中心”要求为:应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关的事项进行集中管理。
那么,此等保1.0时期的安全管理中心属于管理要求。
到2.0时则是安全技术要求。
等保2.0时期,第二级系统就开始要求建立安全管理中心。
在这里提醒大部分备案为二级的医疗教育行业客户注意。
如果你们原来二级系统没有建立安全管理中心的,现在也要开始着手建立了!等保2.0要求,第二级系统的安全管理中心包括系统管理和审计管理两方面。
第三级及以上的安全管理中心包括系统管理、审计管理、安全管理和集中管控。
2.0下的安全管理中心已不仅仅是1.0下仅对设备状态、恶意代码、补丁升级、安全审计等安全相关事项的集中管理。
2.0对安全管理中心有了更详细、严格的要求。
在2.0的安全通用要求下,第二级系统的安全管理中心控制点下共有4个要求项;第三级共计12个要求项;第四级共计13个要求项。
例如:第二级-安全管理中心系统管理:a)应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;b)应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
等保2.0标准执行之高风险判定(物理环境篇)
等保2。
0标准执行之高风险判定(物理环境篇)2019年5月13日下午,国家标准新闻发布会新闻发布厅召开,网络安全等级保护2。
0系列核心标准在千呼万唤中终于正式发布,等保2。
0时代又迈出坚实一步。
等级保护2。
0标准发布后,对广大等级保护测评机构的工作提出了更高的要求,为了更好地提升全国等级保护测评体系的技术能力,统一测评机构对网络安全风险的评判尺度,由中关村信息安全测评联盟组织,上海市信息安全测评认证中心主笔,杭州安信检测技术有限公司、江苏金盾检测技术有限公司、深圳市网安计算机安全检测技术有限公司、合肥天帷信息安全技术有限公司、山东新潮信息技术有限公司、成都安美勤信息技术股份有限公司、甘肃安信信息安全技术有限公司、江苏骏安信息测评认证有限公司、安徽祥盾信息科技有限公司等机构共同参与编写了等保测评行业指引性文件—-《网络安全等级保护测评高风险判定指引》(简称“判定指引”)。
《判定指引》凝聚着全国测评机构多年测评实践的智慧结晶,它的发布是等级保护技术领域研究成果的一次重要展示.《判定指引》的适用范围:1、用于指导测评机构在测评活动中对高风险问题的判定;2、用于行业主管部门开展的安全检查;3、作为“负面清单”供运营单位在按照等级保护2。
0标准开展系统设计、开发、建设、维护等过程中参考。
《判定指引》每条判例均包括“对应标准要求”、“判例内容”、“适用范围"、“需满足的条件”以及“补偿措施”等内容。
在判定过程中,使用者应知晓《判定指引》是基于“一般场景”假设的编制思路.因此,在具体风险判定中,应根据被测对象的实际情况来综合确定该风险严重程度是否为“高”.如初步符合“适用范围”、“需满足的条件"后,还需根据“补偿措施”所引申的方向思考是否可降低风险严重程度;鼓励根据实际情况对于补偿措施中未涉及但确实能起到降低风险等级的安全措施进行深入分析。
《网络安全等级保护测评高风险判定指引》—-物理环境篇01物理访问控制1.1 机房出入口控制措施对应要求:机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。
等保2.0第三级等保控制点及测评方式
网络架构安全通信网络无线使用控制安全计算环境控制设备安全室外设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固;箱体或装置具有透风、散热、防盗、防雨、防火等功能室外控制设备放置应该远离强电磁干扰、强热源等环境,如无法避免及时做好应急处理及检修,保证设备正常运行工业控制系统与企业其他系统之间应划分两个区域,区域之间应采用单向的技术隔离手电工业控制系统内部应根据业务特点划分不同的安全域,安全域之间应采用单向的技术隔离手电涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备组网,在屋里层面上实现与其他数据网及外部公共信息网的安全隔离在工业控制系统内使用广域网进行净值指令或相关数据交换的应用采用加密认证技术手段实现身份认证、访问控制和数据加密传输应在工业控制系统与企业其他系统部署访问控制设备,哦诶之访问控制策略,禁止任何穿越区域边界的FTP等通用服务应在工业控制系统内安全域和安全之间的边界防护机制失效时,及时进行报警工业控制系统需使用拨号访问服务的,应限制具有拨号访问权限的用户数量,并采用用户身份鉴别和访问控制等措施拨号服务器和客户端均使用经安全加固的操作系统,并采用数据证书认证、传输加密盒访问控制等措施应对所有参与无线通信的用户提供唯一标识和鉴别应对所有参与无线通信的用户进行授权以及执行使用进行限制应对无线通信采取传输加密的安全措施,实现传输报文的机密性保护对采用无线通行技术进行控制的工业控制系统,应能识别其物理中发射的内经授权的无线设备,报告未经授权师徒接入或干扰控制系统的行为控制设备本身应实现相应级别安全通用要求提供的身份验证、访问控制和安全审计等安全要求,如受条件限制控制设备无法实现上述要求,应有其上位控制或管理设备实现同等功能或同通过管理手段应在经过充分测试评估后,在不影响系统安全稳定运行的情况下对控制设备进行补丁更新、固件更新等工作应关闭或拆除控制设备的软盘驱动、光盘驱动、USB接口、串行口或多余网口等,确需保留的应通过相关的技术措施实施严格的监控管理应使用专用设备和专用软件对控制设备进行更新应保证控制设备在上线前经过安全检测,避免控制设备固件中存在恶意代码程序工业控制系统重要设备应通过专业机构的安全性检测后方可采购使用应在外包开会合同中规定针对开发单位、供应商的约束条款,包括设备及系统在生命周期内有关保密、禁止关键技术扩散和设备行业专用等方面的内容室外控制设备室外控制设备防火墙、网匣、路由器和交换机等提供访问控制功能的设备路由器和交换机等提供访问控制功能的设备工业控制系统加密认证、路由器和交换机等提供访问控制功能的设备防火墙、网匣、路由器和交换机等提供访问控制功能的设备防火墙、网匣、路由器和交换机等提供访问控制功能的设备、监控预告警拨号服务类型设备拨号服务类型设备无线通信网络及设备无线通信网络及设备无线通信网络及设备无线通信网络及设备和监测设备控制设备控制设备控制设备控制设备控制设备安全管理员和检测报告类文档外包合同1、应核查是否放置3余采用铁板会或其他防火材料制作的箱体或装置中并紧固2、应核查箱体或装置是否具有透风、散热、防盗、防雨和防火能力等1、应核查放置位置是否远离强电磁干扰和热源等环境2、应核查是否有应急处置及检修维护记录1、应核查工业控制系统和企业其他系统之间是否部署单向隔离设备2、应核查是否采用了有效的单向隔离策略实施访问控制3、应核查使用无线通信的工业控制系统边界是否采用与企业其他系统隔离强度相同的措施1、应核查工业控制系统内部是否根据业务特点划分了不同的安全域2、应核查各安全域之间访问控制设备是否配置了有效的访问控制策略1、应核查涉及实时控制和数据传输的工业控制系统是否在物理层面上独立组网1、应核查工业控制系统中使用广域网传输的控制指令或相关数据是否采用加密认证技术实现身份认证、访问控制和数据加密传输1、应核查在工业控制系统与企业其他系统之间的网络边界是否部署访问控制设备,是否配置访问控制策略2、应核查设备安全策略,是否禁止FTP等通用网络服务穿越边界1、应核查设备是否可以在策略失效的时候进行告警2、应核查是否部署监控预警系统或相关模块,在边界防护机制失效可及时告警1、应核查拨号设备是否限制具有拨号访问权限的用户数量,拨号服务器和客户端是否使用账户/口令等身份鉴别方式,是否采用控制账户权限等访问控制措施1、应核查拨号服务器和客户端是否使用经安全加固的操作系统,并采取加密、数字认书认证和访问控制等安全防护措施1、应核查无线通信的用户在登入是是否采用了身份鉴别措施2、应核查用户身份标识是否具有唯一性1、应核查无线通信过程中是否对用户进行授权,核查具体权限是否合理,核查未授权的使用是否可以被发现及告警1、应核查无线通信传输中是否加密措施保证传输报文的机密性1、应核查工业控制系统是否可以实现监测其物理环境中发射的未经授权的无线设备;监测设备应及时发出告警并可以对试图接入的无线设备进行屏蔽1、应核查设备是否具有身份鉴别、访问控制和安全审计等功能2、如控制设备不具备上述功能,则核查是否有其位控制或管理设备实现同等功能或通过管理手段控制1、应核查是否有测试报告或测试评估记录2、应核查控制面板设备版本、补丁及固定是否经过充分测试后进行了更新1、应核查控制设备是否关闭或拆除设备的软盘驱动、光盘驱动、USB接口、串行口或多余网口等2、应核查控制设备是否关闭或拆除设备的软盘驱动、光盘驱动、USB接口、串行口或多余网口等是否通过相关的措施实施仰恩的监控管理1、应核查是否使用专用设备和专用软件对控制设备进行更新1、应核查又相关部门出具或认可的控制设备的检测报告,明确控制设备固件中是否不存在恶意代码程序1、应访谈安全管理员系统使用的工业控制系统重要设备及网络安全专用产品是否通过专业机构的安全性检测2、应核查工业控制系统是否有通过专业机构出具的安全性检测报告1、应核查是否在外包开发合同中规定针对开发单位、供应商的约束条款,包括设备及系统在生命周期内有关保密、禁止关键技术扩散和设备行业专用等方面的内容。
等保2.0测评项基本要求(工业控制系统安全扩展要求二级 三级对比)
用户(人员、软件进程或者设 用户(人员、软件进程或者
备)提供唯一性标识和鉴别; 设备)提供唯一性标识和鉴
无线使 用控制
安全区 域边界
b) 应对所有参与无线通信的 b) 应对所有参与无线通信的
用户(人员、软件进程或者设 用户(人员、软件进程或者
备)进行授权以及执行使用进 设备)进行授权以及执行使
无线使 用控制
d) 应使用专用设备和专用软
件对控制设备进行更新;
e) 应保证控制设备在上线前
经过安全性检测,避免控制设
备固件中存在恶意代码程序。
产品采 a) 工业控制系统重要设备应 a) 工业控制系统重要设备应
购和使 通过专业机构的安全性检测后 通过专业机构的安全性检测
用 方可采购使用。
后方可采购使用。
安全建
a) 应在外包开发合同中规定 a) 应在外包开发合同中规定
体或装置具有透风、散热、 防盗、防雨和防火能力等; b) 室外控制设备放置应远离 强电磁干扰、强热源等环
如无法避免应及时做好应急处 境,如无法避免应及时做好
置及检修,保证设备正常运行 应急处置及检修,保证设备
a) 工业控制系统与企业其他 a) 工业控制系统与企业其他
系统之间应划分为两个区域, 系统之间应划分为两个区
设管理
外包软 件开发
针对开发单位、供应商的约束 条款,包括设备及系统在生命 周期内有关保密、禁止关键技
针对开发单位、供应商的约 束条款,包括设备及系统在 生命周期内有关保密、禁止
术扩散和设备行业专用等方面 关键技术扩散和设备行业专
21
15
域网进行控制指令或相关数 据交换的应采用加密认证技 术手段实现身份认证、访问
数据加密传输。
2020年最新等保2.0测评指导书汇编
措施,防止水灾发生后火势蔓延
2)区域间部署了防火隔离装置
离措施
机房采取了防雨水渗透的措施,如封锁了窗
a)应采取措施防止雨水通过机房窗户、 机房内需要采取防渗漏措施,防止窗户、 核查窗户、屋顶和墙壁是否采取了
户并采取了防水、屋顶和墙壁均采取了防雨
屋顶和墙壁渗透
屋顶和墙壁存在水渗透情况
防渗漏的措施
水渗透的措施
用具有耐火等级的建筑材料
料,防止火灾的发生和火势蔓延
筑材料的耐火等级
火玻璃等,但使用金属栅栏的不能算符合
1)核查是否进行了区域划分
c)应对机房划分区域进行管理,区域和 机房内需要进行区域划分并设置隔离防火
1)机房进行了区域划分,如过渡区、主机房
2)核查各区域间是否采取了防火隔
区域之间设置隔离防火措施
进行监控报警
1)核查是否安装了对水敏感的检测
1)机房内部署了漏水检测装置,如漏水检测
c)应安装对水敏感的检测仪表或元件, 机房内需要布设对水敏感的检测装置,对 装置
绳等
对机房进行防水检测和报警
渗水、漏水情况进行检测和报警
2)核查防水检测和报警装置是否开
网络安全等级保护2.0-测评指导书汇编
目录 1、安全物理环境 2、安全通信网络 3、安全区域边界 4、安全计算环境 5、安全计算环境Linux 6、安全计算环境Windows 7、Oracle 8、Mysql 9、终端设备 10、应用系统 11、安全管理中心 12、安全管理制度 13、安全管理机构 14、安全管理人员 15、安全建设管理 16、安全运维管理 17、云计算安全扩展要求 18、移动互联安全扩展要求 19、物联网安全扩展要求 20、工业控制
1) 机房内配置了防盗报警系统或专人值守
等保2.0通用部分安全区域边界(三级)测评指导书
等保2.0通用部分安全区域边界(三级)测评指导书通用部分包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理十个层面。
今天给大家分享的是通用部分【安全区域边界】(三级)测评指导书!8.1.3.1 边界防护a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;测评对象:网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件测评方法:1、应核查在网络边界处是否部署访问控制设备;2、应核查设备配置信息是否指定端口进行跨越边界的网络通信,指定端口是否配置并启用了安全策略;3、应采用其他技术手段(如非法无线网络设备定位、核查设备配置信息等)核查或测试验证是否不存在其他未受控端口进行跨越边界的网络通信。
b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制;测评对象:终端管理系统或相关设备测评方法:1、应核查是否采用技术措施防止非授权设备接入内部网络;2、应核查所有路由器和交换机等相关设备闲置端口是否已关闭。
c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制;测评对象:终端管理系统或相关设备测评方法:应核查是否采用技术措施防止内部用户存在非法外联行为。
d) 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。
测评对象:网络拓扑和无线网络设备测评方法:1、应核查无线网络的部署方式,是否单独组网后再连接到有限网络;2、应核查无线网络是否通过受控的边界防护设备接入到内部有线网络。
8.1.3.2 访问控制a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;测评对象:网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件测评方法:1、应核查在网络边界或区域之间是否部署访问控制设备并启用访问控制策略;2、应核查设备的最后一条访问控制策略是否为禁止所有网络通信。
等保2.0测评高风险判定指引-物理环境
满足条件(同时) 1、机房出入口区域无任何访问控制措施; 2、机房无电子或机械门锁,机房入口也无 专人值守; 3、办公或外来人员可随意进出机房,无任 何管控、监控措施 1、3级及以上系统所在机房; 2、机房无防盗报警系统; 3、未设置有专人值守的视频监控系统; 4、机房环境不可控; 5、如发生盗窃事件无法进行告警、追溯。
序号
控制点 测评对象
物理访问控 机房出入口
制
控制措施
控制项
机房出入口应配 置电子门禁系 统,控制、鉴别 和记录进入的人 员。
判例内容
机房出入口区域无任何访问控制措施, 机房无电子或进出 机房,无任何管控、监控措施,存在较 大安全隐患,可判高风险
防盗窃和防 破坏
机房应急供 电措施
应提供应急供电 设施
系统所在的机房必须配备应急供电措 施,如未配备,或应急供电措施无法使 用,可判高风险
电磁防护
机房电磁防 护措施
应对关键设备或 关键区域实施电 磁屏蔽
对于涉及大量核心数据的系统,如机房 或关键设备所在的机柜未采取电磁屏蔽 措施,可判高风险
适用范围
所有系统
3级及以上系 统
建议配备应急供电设施, 如备用发电设备
建议机房或重要设备或重 要设备所在的机柜采用电 磁屏蔽技术,且相关产品 或技术获得相关检测认证 资质的证明
对可用性要 求较高的3级 及以上系统
1、3级及以上系统; 2、系统可用性要求较高; 3、机房未配备冗余或并行电力线路供电来 自于同一变电站
如机房配备大容量UPS,且足够保障断 电情况下,一定时间内系统可正常运行 或保障数据存储完整的,可酌情降低风 险等级
4级系统
对于数据防 泄漏要求较 高的4级系统
1、4级系统; 2、机房未配备应急供电措施,或应急供电 措施不可用/无法满足系统正常允许需求。
等级保护2.0三级通用要求测评方法
安全物理环境物理位置选择测评单元(L3-PES1-01)该测评单元包括以下要求:a)测评指标:机房场地应选择在具有防震、防风和防雨等能力的建筑内。
b)测评对象:记录类文档和机房。
c)测评实施包括以下内容:1)应核查所在建筑物是否具有建筑物抗震设防审批文档;2)应核查机房是否不存在雨水渗漏;3)应核查门窗是否不存在因风导致的尘土严重;4)应核查屋顶、墙体、门窗和地面等是否不存在破损开裂。
d)单元判定:如果1)~4)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
测评单元(L3-PES1-02)该测评单元包括以下要求:a)测评指标:机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
b)测评对象:机房。
c)测评实施:应核查机房是否不位于所在建筑物的顶层或地下室,如果否,则核查机房是否采取了防水和防潮措施。
d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
物理访问控制测评单元(L3-PES1-03)该测评单元包括以下要求:a)测评指标:机房出人口应配置电子门禁系统,控制、鉴别和记录进入的人员。
b)测评对象:机房电子门禁系统。
c)测评实施包括以下内容:1)应核查出人口是否配置电子门禁系统;2)应核查电子门禁系统是否可以鉴别、记录进入的人员信息。
d)单元判定;如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
防盗窃和防破坏。
测评单元(L3-PES1-04)该测评单元包括以下要求:a)测评指标:应将设备或主要部件进行固定,并设置明显的不易除去的标识。
b)测评对象:机房设备或主要部件。
c)测评实施包括以下内容:1)应核查机房内设备或主要部件是否固定;2)应核查机房内设备或主要部件上是否设置了明显且不易除去的标识。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
安全等保第三级基本要求
安全漏洞防范需要全员参与,提高员工的安全意识,定期进行安全培训和演练。
企业应与安全专业机构合作,及时获取最新的安全漏洞信息和解决方案,提高自身的安 全防护能力。
定义:安全管理中心是一个集中式的安全管理和监控平台,可以对网络中的安全设备进行统一管 理和监控。
要求:需要建立完善的安全事件处置和应急响应机制,配备专业的安全人员和技术设备,确保安 全事件得到及时、准确、有效的处理。
安全管理中心应符合国家和行业的相关法规和标准要求。 安全管理中心应建立完善的安全管理制度和操作规程,确保各项安全工作的合规性。 安全管理中心应定期进行安全风险评估,识别、分析和控制安全风险,确保组织的安全性。 安全管理中心应建立安全事件应急预案,定期进行演练和培训,提高组织应对安全事件的能力。
计算安全:保护 服务器和终端设 备免受恶意软件、 病毒和其他安全 威胁的攻击,采 取有效的防病毒 措施和安全补丁 管理。
数据安全:确保 数据的机密性、 完整性和可用性, 采取加密、备份 和恢复等措施来 保护数据安全。
网络安全:通过 防火墙、入侵检 测和防御系统等 措施来保护网络 的安全性,防止 未经授权的访问 和数据泄露。
添加标题
添加标题
添加标题
添加标题
访问控制策略:根据不同的安全 域和安全级别,制定相应的访问 控制策略,包括网络访问控制、 主机访问控制等,以防止未经授 权的访问和数据泄露。
安全审计和监控:对网络进行安 全审计和监控,及时发现和处理 安全事件,保证网络的安全性和 稳定性。
设备安全:确保 网络设备(如路 由器、交换机等) 的安全性,采取 物理安全措施, 防止未经授权的 访问和破坏。
等保2.0安全计算环境(三级)测评方法及步骤
等保2.0安全计算环境(三级)测评⽅法及步骤通⽤部分包括:安全物理环境、安全通信⽹络、安全区域边界、安全计算环境、安全管理中⼼、安全管理制度、安全管理机构、安全管理⼈员、安全建设管理、安全运维管理⼗个层⾯。
如需要整套等保2.0(⼆级、三级)EXCEL格式测评指导书可以加⼊天億⽹络安全知识星球获得!今天给⼤家分享的是通⽤部分【安全计算环境】(三级)测评指导书!8.1.4.1 ⾝份鉴别a) 应对登录的⽤户进⾏⾝份标识和鉴别,⾝份标识具有唯⼀性,⾝份鉴别信息具有复杂度要求并定期更换;测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、⽹络设备(包括虚拟机⽹络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、⽹关节点设备、控制设备、业务应⽤系统、数据库管理系统、中间件和系统管理软件及系统设计⽂档等;测评⽅法:1、应核查⽤户在登陆时是否采⽤了⾝份鉴别措施;2、应核查⽤户列表确认⽤户⾝份标识是否具有唯⼀性;3、应核查⽤户配置信息或测试验证是否不存在空⼝令⽤户;4、应核查⽤户鉴别信息是否具有复杂度要求并定期更换。
b) 应具有登录失败处理功能,应配置并启⽤结束会话、限制⾮法登录次数和当登录连接超时⾃动退出等相关措施;测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、⽹络设备(包括虚拟机⽹络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、⽹关节点设备、控制设备、业务应⽤系统、数据库管理系统、中间件和系统管理软件及系统设计⽂档等;测评⽅法:1、应核查是否配置并启⽤了登录失败处理功能;2、应核查是否配置并启⽤了限制⾮法登录功能,⾮法登录达到⼀定次数后采取特定动作,如账号锁定等;3、应核查是否配置并启⽤了登录连续超时及⾃动退出功能。
c) 当进⾏远程管理时,应采取必要措施防⽌鉴别信息在⽹络传输过程中被窃听;测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、⽹络设备(包括虚拟机⽹络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、⽹关节点设备、控制设备、业务应⽤系统、数据库管理系统、中间件和系统管理软件及系统设计⽂档等;测评⽅法:应核查是否采⽤加密等安全⽅式对系统进⾏远程管理,防⽌鉴别信息在⽹络传输过程中被窃听。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
带防静电手环。
物理环境问题
建议更换机房中的家用柜式
导致机房不能做到恒温恒湿,不利于电子设备的 稳定运行,增加了设备故障几率。
空调/中央空调为机房专用恒 温恒湿精密空调,以保证各
物理环境问题
区域内温湿度恒定。
建议在机房供电线路上设置
机房供电线路上未设置稳压器和过电压防护设 稳压器和过电压防护设备。
备,导致供电线路上的电压不稳,暂态过电压将 稳压器可使用在线式工频UPS 物理环境问题
。
过电压防护设备。
0
1.应核查是否配备UPS等后备电源系统; 2.应核查UPS等后备电源系统是否满足设备在断电情况 下的正常运行要求。
机房未配备UPS或其他短期备用 电力供应设备。
0
应核查机房内是否设置了冗余或并行的电力电缆线路为 机房未采用冗余或并行的电力电
计算机系统供电。
缆线路为计算机系统供电。
0
应核查机房内电源线缆和通信线缆是否隔离铺设。
机房中电源线和通信线缆未隔离 铺设。
0
应核查机房内是否为关键设备配备了电磁屏蔽装置。
机房不具备电磁屏蔽措施,未对 关键设备实施电磁屏蔽防护。
0
问题描述
整改建议
关联威胁
在极端天气下,可能出现雨水大量渗入机房,导 致电子设备损坏,造成系统中断。
建议对机房窗户进行严格密 封,并对机房窗户、墙壁、 屋顶进行防水处理。
机房线缆 机房关键设备
测评步骤
检查结果
符合程度
1.应核查所在建筑物是否有建筑抗震设防审批文档;
2.应核查机房是否不存在雨水渗漏;
3.应核查门窗是否不存在因风导致的尘土严重;
机房存在严重的雨水渗漏痕迹。
0
4.应核查屋顶、墙体、门窗和地面等是否不存在破损开
裂。
应核查机房是否不位于所在建筑的顶层或地下室,如果 否,则核查机房是否采取了防水和防潮措施。
b) 应采取措施防止感应雷, 例如设置防雷保安器或过压 保护装置等。
a) 机房应设置火灾自动消防 系统,能够自动检测火情、 自动报警,并自动灭火;
机房 机房防雷设施 机房防火设施
b) 机房及相关的工作房间和 辅助房应采用具有耐火等级 的建筑材料;
机房验收类文档
8.1.1.5 防火
8.1.1.5 防火
冲击精密电子设备,造成设备损毁。
设备,过电压防护设备可使
用电源浪涌保护器。
如果市电不能正常供电,机房将直接断电,导致 系统服务中断。
建议机房部署短期备用电力 供应设备,如UPS、备用发电 机等。
物理环境问题
建议机房设置双路市电及UPS
机房使用单路市电供电,如果变电站或供电线缆 发生故障,将导致机房电力中断。
部分设备或机柜未设置明显的不 易除去的标记。
0
应核查机房内通信线缆是否铺设在隐蔽安全处,如桥架 通信线缆未铺设在隐蔽处,线缆
中等。
走线混乱。
0
1.应核查机房内是否配置防盗报警系统或专人值守的视 机房视频监控设备未覆盖所有重
频监控系统;
要操作区域,存在监控死角,如
0
2.应核查防盗报警系统或视频监控系统是否启用。
XXX区、XXX区部分通道等。
应核查机房内机柜、设施和设备等是否进行接地处理。
机房内部分机柜未设置安全接地 。
0
1.应核查机房内是否设置防感应雷措施;
机房供电线路未设置通过国家认
2.应核查防雷装置是否通过验收或国家相关部门的技术 证的防雷保安器,无法有效防止
0
检测。
感应雷。
1.应核查机房内是否设置火灾自动消防系统;
主机房位于建筑顶层,机房顶部 存在漏水隐患,且未设置有效的 防水和防潮措施。
0
1.应核查出入口是否配置电子门禁系统; 2.应核查电子门禁系统是否可以鉴别、记录进入的人员 信息。
未定期对对门禁系统进行维保巡 检,不具备巡检记录。
0
1.应核查机房内设备或主要部件是否固定; 2.应核查机房内设备或主要部件上是否设置了明显且不 易除去的标识。
c) 应对机房划分区域进行管 理,区域和区域之间设置隔 离防火措施。
机房管理员和机房
a) 应采取措施防止雨水通过 机房窗户、屋顶和墙壁渗 透;
8.1.1.6 防水和防潮
b) 应采取措施防止机房内水 蒸气结露和地下积水的转移 与渗透;
8.1.1.7 防静电
c) 应安装对水敏感的检测仪 表或元件,对机房进行防水 检测和报警。
和墙壁渗透。
物理环境问题
建议在机房漏水隐患区域地 在机房出现漏水事故时,可能形成积水,如水势 面周围设置拦水坝、排水沟 蔓延至机房其他区域,造成重要设备损坏。 和地漏,以防止地下积水转
移和渗透。
物理环境问题
如果机房出现漏水事故,不能第一时间报警并通 知运维人员解决,可能导致水患影响重要设备运 行。
建议在机房漏水隐患区域周 围设置水敏感的检测仪表或 元件,对机房进行防水检测 和报警。
b) 应将通信线缆铺设在隐蔽 8.1.1.3 防盗窃和防破坏 安全处;
记录类文档和机房 机房
机房电子门禁系统 机房设备或主要部件
机房通信线缆
c) 应设置机房防盗报警系统 或设置有专人值守的视频监 机房防盗报警系统或视频监控系统 控系统。
8.1.1.4 防雷击
a) 应将各类机柜、设施和设 备等通过接地系统安全接 地;
机房供电设施
8.1.1.9 电力供应
b) 应提供短期的备用电力供 应,至少满足设备在断电情 况下的正常运行要求;
机房备用供电设施
8.1.1.9 电力供应
c) 应设置冗余或并行的电力 电缆线路为计算机系统供电 。
机房
a) 电源线和通信线缆应隔离 铺设,避免互相干扰;
8.1.1.10 电磁防护
b) 应对关键设备实施电磁屏 蔽。
物理环境问题
可能导致静电无法得到有效释放,静电放电可能 建议机房统一使用防静电地
会影响数据传输,并可能对精密电子元件造成损 板,以防止静电对电子设备 物理环境问题
害。
和人员造成伤害。
建议在机房中配备静电消除
机房内如果产生大量静电,会对精密电子设备造 成损害,并可能威胁人员安全。
器等装置,如离子风机,以 减少机房内静电的产生,人 员在操作电子设备时建议配
物理环境问题
主机房位于建筑顶层,如果出现雨雪天气,天台 建议强化机房吊顶和墙壁的
积水过多,可能导致机房顶层漏水,进而影响机 防水措施,防止机房吊顶出 物理环境问题
房中重要设备运行。
现渗水、漏水事故。
未对门禁系统进行定期维护保养,导致不能及时 了解门禁系统运行情况,不能保证门禁系统长期 稳定运行。
建议对电子门禁系统进行定 期维护保养,并妥善保留相 关维保记录,以保证门禁系 统的长期安全稳定运行。
双回路供电,采用冗余或并 行的电力电缆线路为计算机 系统供电,以保证机房稳定
物理环境问题
的电力供应。
建议部署强弱电线槽或桥
架,使所有电源线和通信线
可能导致强弱电线缆互相干扰,导致传输的数据 缆均通过线槽或桥架方式走
受损。
线,保证电源线和通信线缆
隔离铺设并走线整齐,以避
免互相干扰。
物理环境问题
可能导致非授权人员通过特殊设备接收电磁信 号,并从中分析窃取重要系统数据。
机房内未进行消防分区划分,未 使用隔离防火措施进行消防隔离 。
0
应核查窗户、屋顶和墙壁是否采取了防雨水渗透的措施 。
机房内存在对外开放的窗户,未 使用双层金属密闭窗,也未对窗 户进行封闭处理。
0
1.应核查机房内是否采取了防止水蒸气结露的措施; 机房内未设置拦水坝、排水沟、
2.应核查机房内是否采取了排泄地下积水,防止地下积 地漏等防止地下积水转移和渗透
单独接地。
建议在机房配电柜内增加通
无法防止感应雷击和雷电波侵入造成的暂态过电 过国家认证的电源防雷保护
压对机房内重要设备或辅助设备造成损害。 器,或在新建机房时部署三
级以上的电源防雷措施,实
物理环境问题 物理环境问题
火灾发生时火势不能第一时间被控制并扑灭,可 能导致火势迅速蔓延至机房其他区域。
建议对机房XXX区域加装气体 消防系统,以保证机房所有 区域均具备自动消防措施。
区域发生火情时,火势蔓延至其他区域,造成大 门)、防火隔断等进行消防
量损失。
区域密封隔离,以实现区域
隔离防火措施,将重要设备
与其他设备隔离开,保证机
房发生火情时火势不会蔓延
、消防气体不会溢出。
物理环境问题
建议对机房窗户、屋顶和墙
存在漏水隐患,出现漏水事故时,可能导致电子 设备损坏,影响系统运行。
壁进行防水处理,如使用防 水涂料或密封措施,保证雨 水不会通过机房窗户、屋顶
物理环境问题
设备和机柜未设置不易除去的标记,存在设备丢 失或设备无法定位的隐患。
建议对机房内所有机柜和设 备设置明显的不易除去的标 记,以防止误操作。
物理环境问题
通信线缆被触碰而导致通信故障的可能性增大, 并且可能产生误操作或操作失误,导致线缆损 坏,影响信息系统的正常运行。
建议将通信线缆铺设在隐蔽 处,可架空铺设在地板下或 置于管道中,保证通信线缆 走线整齐。
物理环境问题
存在监控死角,导致进入机房人员行为不能被完 全记录,如果出现事故无法进行追溯。
建议增加监控摄像头数量, 保证机房重要操作区域的监 控全覆盖。
物理环境问题
建议对机房内所有机柜均进
导致静电、雷电浪涌电流无法得到有效释放,可 行接地处理,并对所有大漏
能会对精密电子设备造成损害。
电流、大交流电流设备进行
建议采取电磁屏蔽措施,如 使用电磁屏蔽机房、电磁屏 蔽机柜等,对关键设备进行 电磁屏蔽防护,以保证关键 设备的保密性。