机房建设等级保护二级要求

乌鲁瓦提水利枢纽管理局机房系统安全建设解决方案深信服科技有限公司2019年目录1背景概述 (3)1.1建设背景 (3)1.2文件要求 (3)1.3参考依据 (3)2阀门监控系统安全防护意义 (4)3安全防护总体要求 (4)3.1系统性 (4)3.2动态性 (4)3.3安全防护的目标及重点 (5)3.4安全防护总体策略 (5)3.5综合安全防护要求 (6)3.5.1安全区划分原则 (6)3.6综合安全防护基本要求 (7)3.6.1主机与网络设备加固 (7)3.6.2入侵检测 (7)3.6.3安全审计 (7)3.6.4恶意代码、病毒防范 (7)4需求分析 (8)4.1安全风险分析 (8)4.2安全威胁的来源 (9)5设计方案 (10)5.1拓扑示意 (11)5.2安全部署方案 (11)5.2.1下一代防火墙 (11)5.2.2终端安全检测响应系统（杀毒） (12)5.2.3日志审计系统 (14)5.2.4运维审计系统 (17)5.2.5安全态势感知系统 (19)6方案优势与总结 (21)6.1安全可视 (21)6.2融合架构 (21)6.3运维简化 (22)1背景概述1.1 建设背景随着我国信息化的大力发展，信息网络已经由几个孤立的网络发展成一个多连接的信息共享的复杂网络，也正是由于网络的接入共享为不法黑客的入侵系统带来机会，严重影响系统的正常稳定运行和输送。

1.2 文件要求根据《中华人民共和国网络安全法》，水利相关单位是国家关键信息基础设施和网络安全重点保护单位。

监控、数据调度系统网络空间大，涉及单位多，安全隐患分布广，一旦被攻破将直接威胁安全生产。

为进一步提高阀门监控系统及调度数据网的安全性，保障阀门监控系统安全，确保安全稳定运行，需满足以下文件要求及原则。

➢满足调度数据网已投运设备接入的要求；➢满足生产调度各种业务安全防护的需要；➢满足责任到人、分组管理、联合防护的原则；➢提高信息安全管理水平，降低重要网络应用系统所面临的的安全风险威胁，保证信息系统安全、稳定的运行，使信息系统在等级保护测评环节基本符合国家信息安全等级保护相应级别系统的安全要求。

二级等保机房建设标准
二级等保机房是指符合国家信息安全等级保护标准中二级等级要求的机房。

其建设标准主要包括以下方面：
1. 安全区域划分：机房应划分为机房核心区、辅助区和管理区等不同的安全区域，不同区域之间应设置物理隔离措施，保证机房内部的安全性。

2. 安全出入口：机房应设置至少两个安全出入口，并设置门禁控制系统和安全监控系统，确保机房内部的人员和设备进出安全可控。

3. 环境控制：机房应设置恒温恒湿系统，保持机房内部的温度和湿度在合适的范围内，避免机房内部设备受到环境的影响。

4. 供电和电源保护：机房应设置双路电源供电系统，并设置UPS等电源保护设备，确保机房内部设备的稳定供电。

5. 网络安全：机房应设置防火墙、入侵检测系统等网络安全设备，并进行安全策略的制定和实施，保证机房网络的安全性。

6. 数据备份和恢复：机房应设置数据备份和恢复设备，并进行定期备份，以确保机房内部数据的安全性和可靠性。

7. 安全管理：机房应设置专门的安全管理人员，负责机房的安全管理工作，并制定相应的安全管理制度和应急预案，
以应对突发事件。

以上是二级等保机房的建设标准的主要内容，具体实施应根据实际情况进行细化和完善。

网络安全等级保护(等保2.0)3级建设内容设计方案物理环境安全设计旨在保护计算机网络通信的电磁兼容工作环境，防止非法用户进入计算机控制室并防止偷窃和破坏活动发生。

在物理位置选择上，应选择具有防震、防风、防雨等能力的建筑内场地，避免设在建筑物的顶层或地下室以确保机房的防水防潮效果。

在UPS电池放置时，应考虑楼板的承重能力。

对机房划分区域进行管理，并在重要区域前设置交付或安装等过渡区域。

进入机房的人员必须经过申请和审批流程，并受到限制和监控。

机房的各出入口应配置电子门禁系统和视频监控系统来控制、鉴别和记录进入机房的人员相关信息。

设备或主要部件应固定，并设置不易除去的标记以防盗窃和破坏。

为了防止非法用户和不法分子非法接近网络并使用网络中的主机盗取信息、破坏网络和主机系统、破坏网络中的数据的完整性和可用性，必须采用有效的区域监控、防盗报警系统，阻止非法用户的各种临近攻击。

必须制定严格的出入管理制度和环境监控制度，以保障区域监控系统和环境监控系统的有效运行。

在地板方面，应安装防静电地板并采用必要的接地防静电措施，在上架、调试触摸设备时应佩戴防静电手环等措施消除静电避免静电引起设备故障和事故。

合理规划设备安装位置，应预留足够的空间作安装、维护及操作之用。

房间装修必需使用阻燃材料，耐火等级符合国家相关标准规定，同时设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火。

在机房建设阶段，对机房窗户、屋顶和墙壁进行处理，防止液体渗透。

按照新风系统防止机房内水蒸气结露。

在机房内部按照水浸传感器，实时对机房进行防水检测和报警。

严格按照国家的相关标准将各类机柜、设施和设备等通过接地系统安全接地。

在配电方面设置相应的防雷保安器或过压保护装置等。

网络安全设计为保障通信传输网络的安全性，需要采用多种措施。

首先，对网络传输设备进行加密和认证，确保数据传输的安全性。

其次，采用虚拟专用网络（VPN）技术，对外部网络进行隔离，防止未经授权的访问。

管理大概80，外网大概40，服务器数外网网络边界进行访问控制，基本的终端数量：内网大概80，外网大概40，服务器数量：11网络现况：电信宽带30MB（互联网），电信专网4MB（一门诊）、10MB（城北门诊）,医保电信ADSL，电子远程药品监空系统移动光缆（带宽不详）现有应用系统：HIS、LIS、PACS 、EMR、物资资产财务、CA认证、医保数据备份：没有现有网络安全产品：防火墙1台（网神）在互联网出口处；服务器及内网终端安装Mcafee杀毒软件终端安全管理产品：没有分支机构远程连接：有2个分门诊，使用Radmin 、飞秋、远程桌面等局域网内部远程工具终端使用操作系统：WinXP、win8、win sever 2003、win sever 2008操作系统补丁更新：服务器与内网终端没有更新过终端杀毒软件：服务器、内网终端安装华军软件及功能：1)外网防火墙(对外网网络边界进行访问控制，基本的入侵防护的，可考虑原有网神防火墙利旧，需确认原有网神防火墙是否满足需求)2)内网防火墙(对内部网络边界进行访问控制，基本的入侵防护等)3)终端企业版杀毒软件(服务器及终端主机的防病毒统一管理、可进行终端个体的漏洞扫描及补丁更新)4)终端安全产品(对终端的信息安全进行防护，后期可根据需求增加和调整功能模块) 5)上网行为管理设备(对外网终端的上网行为进行监测，必要时进行管控)后期三级等保可考虑增加设备：1)入侵防御设备(IPS)：网络边界处2)防病毒网关(多功能安全网关)：网络边界处3)入侵检测设备(IDS)：内网核心交换机处4)堡垒主机(运维网关、安全管理平台)：核心交换机处5)网闸(信息交换与隔离系统)：内外网边界处6)数据库审计(综合审计类产品)：新：服务器与内网终端没有更新处5)网闸(信息交换系统运维管理。

浅谈等级保护中机房建设和管理实行计算机信息安全等级保护是为了进一步加强和规范计算机信息系统安全，保护我国信息化发展'维护国家信息安全、提高信息安全保障能力和水平。

是维护国家安全、社会稳定和公共利益的保障制度。

信息安全等级保护是对信息系统分等级实行安全保护，对信息系统中发生的信息安全事件分等级响应、处置，对设备设施、运行环境、系统软件以及网络系统按等级管理。

信息网络安全管理工作要坚持从实际出发、保障重点的原则，区分不同情况，分级、分类，分阶段进行信息网络安全建设和管理。

按照《计算机信息系统安全保护等级划分准则》的规定，我国实行五级信息安全等级保护：第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。

在信息安全等级保护中定为三级以下的系统占较大比例。

所以下文的机房是以存放信息安全等级第二级及以下的系统为设计标准，对如何建设和管理机房展开简单谈论。

1 机房的物理位置要求机房的环境要求满足信息系统业务和安全管理需求。

例如机房楼层具有足够承受能力、具有基本的防震、防风和防雨等能力。

对存放信息安全等级保护鼍级系统的机房要求更严格，值得存放二级系统的机房借鉴。

例如要求机房避免设在强电场、强磁场，强震动源、强噪声源、重度环境污染、易发生火灾、水灾、易遭受雷击的地区，要求机房内的显示器、打印机等有敏感信息输出的设备应避免无关人员看到。

除信息安全等级保护所要求的这些外，本人认为在机房设计时还应考虑对周围环境的影响。

例如机房排风口吹出来的废气、空调室外机的噪音和散热、机房隔音，施工等都可能给机房周围其他人带来困扰，在设计初期都应纳入考虑范围。

2 机房的访问控制首先在管理上应先制订机房出入的管理制度等，指定专人在机房所有出入口值守，对进入的人员登记在案并进行身份鉴别，对来访人员须经批准、登记、限制和监控其活动范围。

在一些条件较差的机房要求做到专人值守出入口较为困难，可以加强出入口防盗设施，增加视频监控并由保安监控室负责监控非法出入。

全国信息安全标准化技术委员会关于印发《信息安全技术信息系统安全等级保护基本要求》国家标准报批稿的通知文章属性•【制定机关】全国信息安全标准化技术委员会•【公布日期】2007.06.27•【文号】信安字[2007]12号•【施行日期】2007.06.27•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】标准化正文全国信息安全标准化技术委员会关于印发《信息安全技术信息系统安全等级保护基本要求》国家标准报批稿的通知（信安字〔2007〕12号）各有关单位：《信息安全技术信息系统安全等级保护基本要求》国家标准基本成熟，通过了全国信息安全标准化技术委员会的审查，已形成国家标准报批稿，正在报批过程中。

为推动正在进行的全国信息系统安全等级保护工作，经信安标委主任办公会议同意，现将该国家标准报批稿先印发给你们，供在工作中参考。

特此通知。

全国信息安全标准化技术委员会二00七年六月二十七日附件：《信息安全技术信息系统安全等级保护基本要求》信息安全技术信息系统安全等级保护基本要求GB/T 0000-0000Information security technology-Baseline for classified protection of information system前言本标准的附录A和附录B是规范性附录。

本标准由公安部和全国信息安全标准化技术委员会提出。

本标准由全国信息安全标准化技术委员会归口。

本标准起草单位：公安部信息安全等级保护评估中心。

本标准主要起草人：马力、任卫红、李明、袁静、谢朝海、曲洁、李升、陈雪秀、朱建平、黄洪、刘静、罗峥、毕马宁。

引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。

d） 应与从事关键岗位的人员签署保密协议。

（G2）员负责人员录用；
b） 应规范人员录用过程,对被录
试验收结果，形成测试验收报告；
c） 应组织相关部门和相关人员Array商提供技术支持和服务承诺,必要
的与其签订服务合同。

商 选择(G2)合国家的有关规定;
b） 应与选定的安全服务商签订
使用的行为。

（G2）产清单，包括资产责任部门、重
要程度、所处位置等内容；
型、采购、发放和领用等过程进
行规范化管理；
c） 应对终端计算机、工作站、
便携机、系统和网络等设备的操
（G2）备(包括备份和冗余设备）、线路
等指定专门的部门或人员定期进
均得到授权和批准。

份；
d） 应定期对网络系统进行漏洞扫描，对发现的网络系统安全漏Array f） 应定期对运行数据和审计日志进行分析,以便及时发现异常行为。

志管理和日常操作流程等方面作出规定；
e） 应依据操作手册对系统进行
急预案培训，应急预案的培训至少每年举办一次。

信息安全等级保护二级信息安全等级保护二级备注：其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求.一、物理安全1、应具有机房和办公场地的设计/验收文档机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施2、应具有有来访人员进入机房的申请、审批记录；来访人员进入机房的登记记录3、应配置电子门禁系统三级明确要求；电子门禁系统有验收文档或产品安全认证资质,电子门禁系统运行和维护记录4、主要设备或设备的主要部件上应设置明显的不易除去的标记5、介质有分类标识；介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放6、应具有摄像、传感等监控报警系统；机房防盗报警设施的安全资质材料、安装测试和验收报告；机房防盗报警系统的运行记录、定期检查和维护记录；7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告；机房监控报警系统的运行记录、定期检查和维护记录8、应具有机房建筑的避雷装置；通过验收或国家有关部门的技术检测；9、应在电源和信号线上增加有资质的防雷保安器；具有防雷检测资质的检测部门对防雷装置的检测报告10、应具有自动检测火情、自动报警、自动灭火的自动消防系统；自动消防系统的运行记录、检查和定期维护记录；消防产品有效期合格；自动消防系统是经消防检测部门检测合格的产品11、应具有除湿装置；空调机和加湿器；温湿度定期检查和维护记录12、应具有水敏感的检测仪表或元件；对机房进行防水检测和报警；防水检测装置的运行记录、定期检查和维护记录13、应具有温湿度自动调节设施；温湿度自动调节设施的运行记录、定期检查和维护记录14、应具有短期备用电力供应设备如UPS；短期备用电力供应设备的运行记录、定期检查和维护记录15、应具有冗余或并行的电力电缆线路如双路供电方式16、应具有备用供电系统如备用发电机；备用供电系统运行记录、定期检查和维护记录二、安全管理制度1、应具有对重要管理操作的操作规程,如系统维护手册和用户操作规程2、应具有安全管理制度的制定程序：3、应具有专门的部门或人员负责安全管理制度的制定发布制度具有统一的格式,并进行版本控制4、应对制定的安全管理制度进行论证和审定,论证和审定方式如何如召开评审会、函审、内部审核等,应具有管理制度评审记录5、应具有安全管理制度的收发登记记录,收发应通过正式、有效的方式如正式发文、领导签署和单位盖章等----安全管理制度应注明发布范围,并对收发文进行登记.6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定,审定周期多长.安全管理制度体系的评审记录7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全管理制度进行检查,对需要改进的制度进行修订.应具有安全管理制度修订记录三、安全管理机构1、应设立信息安全管理工作的职能部门2、应设立安全主管、安全管理各个方面的负责人3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位分工明确,各司其职,数量情况管理人员名单、岗位与人员对应关系表4、安全管理员应是专职人员5、关键事物需要配备2人或2人以上共同管理,人员具体配备情况如何.6、应设立指导和管理信息安全工作的委员会或领导小组最高领导是否由单位主管领导委任或授权的人员担任7、应对重要信息系统活动进行审批如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等,审批部门是何部门,审批人是何人.审批程序：8、应与其它部门之间及内部各部门管理人员定期进行沟通信息安全领导小组或者安全管理委员会应定期召开会议9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,定期：10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录如会议记录/纪要,信息安全工作决策文档等11、应与公安机关、电信公司和兄弟单位等的沟通合作外联单位联系列表12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制.13、聘请信息安全专家作为常年的安全顾问具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录14、应组织人员定期对信息系统进行安全检查查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况15、应定期进行全面安全检查安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格,安全检查报告,检查结果通告记录四、人员安全管理1、何部门/何人负责安全管理和技术人员的录用工作录用过程2、应对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核,技能考核文档或记录3、应与录用后的技术人员签署保密协议协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容4、应设定关键岗位,对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗位安全协议.5、应及时终止离岗人员的所有访问权限离岗人员所有访问权限终止的记录6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等交还身份证件和设备等的登记记录7、人员离岗应办理调离手续,是否要求关键岗位调离人员承诺相关保密义务后方可离开具有按照离岗程序办理调离手续的记录,调离人员的签字8、对各个岗位人员应定期进行安全技能考核；具有安全技能考核记录,考核内容要求包含安全知识、安全技能等.9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同,审查内容是否包括操作行为和社会关系等.10、应对各类人员普通用户、运维人员、单位领导等进行安全教育、岗位技能和安全技术培训.11、应针对不同岗位制定不同的培训计划,并按照计划对各个岗位人员进行安全教育和培训安全教育和培训的结果记录,记录应与培训计划一致12、外部人员进入条件对哪些重要区域的访问须提出书面申请批准后方可进入,外部人员进入的访问控制由专人全程陪同或监督等13、应具有外部人员访问重要区域的书面申请14、应具有外部人员访问重要区域的登记记录记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等五、系统建设管理1、应明确信息系统的边界和安全保护等级具有定级文档,明确信息系统安全保护等级2、应具有系统建设/整改方案3、应授权专门的部门对信息系统的安全建设进行总体规划,由何部门/何人负责4、应具有系统的安全建设工作计划系统安全建设工作计划中明确了近期和远期的安全建设计划5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定配套文件的论证评审记录或文档6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本8、应按照国家的相关规定进行采购和使用系统信息安全产品9、安全产品的相关凭证,如销售许可等,应使用符合国家有关规定产品10、应具有专门的部门负责产品的采购11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单12、应具有产品选型测试结果记录和候选产品名单及更新记录产品选型测试结果文档13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册14、对程序资源库的修改、更新、发布应进行授权和批准15、应具有程序资源库的修改、更新、发布文档或记录16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测17、软件安装之前应检测软件中的恶意代码该软件包的恶意代码检测报告,检测工具是否是第三方的商业产品18、应具有软件设计的相关文档和使用指南19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试第三方测试机构出示的系统安全性测试验收报告23、应具有工程测试验收方案测试验收方案与设计方案或合同要求内容一致24、应具有测试验收报告25、应指定专门部门负责测试验收工作具有对系统测试验收报告进行审定的意见26、根据交付清单对所交接的设备、文档、软件等进行清点系统交付清单27、应具有系统交付时的技术培训记录28、应具有系统建设文档如系统建设方案、指导用户进行系统运维的文档如服务器操作规程书以及系统培训手册等文档.29、应指定部门负责系统交付工作30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容31、选定的安全服务商应提供一定的技术培训和服务32、应与安全服务商签订的服务合同或安全责任合同书11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单12、应具有产品选型测试结果记录和候选产品名单及更新记录产品选型测试结果文档13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册14、对程序资源库的修改、更新、发布应进行授权和批准15、应具有程序资源库的修改、更新、发布文档或记录16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测17、软件安装之前应检测软件中的恶意代码该软件包的恶意代码检测报告,检测工具是否是第三方的商业产品18、应具有软件设计的相关文档和使用指南19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试第三方测试机构出示的系统安全性测试验收报告23、应具有工程测试验收方案测试验收方案与设计方案或合同要求内容一致24、应具有测试验收报告25、应指定专门部门负责测试验收工作具有对系统测试验收报告进行审定的意见26、根据交付清单对所交接的设备、文档、软件等进行清点系统交付清单27、应具有系统交付时的技术培训记录28、应具有系统建设文档如系统建设方案、指导用户进行系统运维的文档如服务器操作规程书以及系统培训手册等文档.29、应指定部门负责系统交付工作30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容31、选定的安全服务商应提供一定的技术培训和服务32、应与安全服务商签订的服务合同或安全责任合同书六、系统运维管理1、应指定专人或部门对机房的基本设施如空调、供配电设备等进行定期维护,由何部门/何人负责.2、应具有机房基础设施的维护记录,空调、温湿度控制等机房设施定期维护保养的记录3、应指定部门和人员负责机房安全管理工作4、应对办公环境保密性进行管理工作人员离开座位确保终端计算机退出登录状态、桌面上没有包含敏感信息的纸档文件5、应具有资产清单覆盖资产责任人、所属级别、所处位置、所处部门等方面6、应指定资产管理的责任部门或人员7、应依据资产的重要程度对资产进行标识8、介质存放于何种环境中,应对存放环境实施专人管理介质存放在安全的环境防潮、防盗、防火、防磁,专用存储空间9、应具有介质使用管理记录,应记录介质归档和使用等情况介质存放、使用管理记录10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包如采用防拆包装置、选择安全的物理传输途径、双方在场交付等环节的控制11、应对介质的使用情况进行登记管理,并定期盘点介质归档和查询的记录、存档介质定期盘点的记录12、对送出维修或销毁的介质如何管理,销毁前应对数据进行净化处理.对带出工作环境的存储介质是否进行内容加密并有领导批准.对保密性较高的介质销毁前是否有领导批准送修记录、带出记录、销毁记录13、应对某些重要介质实行异地存储,异地存储环境是否与本地环境相同防潮、防盗、防火、防磁,专用存储空间14、介质上应具有分类的标识或标签15、应对各类设施、设备指定专人或专门部门进行定期维护.16、应具有设备操作手册17、应对带离机房的信息处理设备经过审批流程,由何人审批审批记录18、应监控主机、网络设备和应用系统的运行状况等19、应有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警20、应具有日常运维的监控日志记录和运维交接日志记录21、应定期对监控记录进行分析、评审22、应具有异常现象的现场处理记录和事后相关的分析报告23、应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理24、应指定专人负责维护网络安全管理工作25、应对网络设备进行过升级,更新前应对现有的重要文件是否进行备份网络设备运维维护工作记录26、应对网络进行过漏洞扫描,并对发现的漏洞进行及时修补.27、对设备的安全配置应遵循最小服务原则,应对配置文件进行备份具有网络设备配置数据的离线备份28、系统网络的外联种类互联网、合作伙伴企业网、上级部门网络等应都得到授权与批准,由何人/何部门批准.应定期检查违规联网的行为.29、对便携式和移动式设备的网络接入应进行限制管理30、应具有内部网络外联的授权批准书,应具有网络违规行为如拨号上网等的检查手段和工具.31、在安装系统补丁程序前应经过测试,并对重要文件进行备份.32、应有补丁测试记录和系统补丁安装操作记录33、应对系统管理员用户进行分类比如：划分不同的管理角色,系统管理权限与安全审计权限分离等34、审计员应定期对系统审计日志进行分析有定期对系统运行日志和审计数据的分析报告35、应对员工进行基本恶意代码防范意识的教育,如告知应及时升级软件版本对员工的恶意代码防范教育的相关培训文档36、应指定专人对恶意代码进行检测,并保存记录.37、应具有对网络和主机进行恶意代码检测的记录38、应对恶意代码库的升级情况进行记录代码库的升级记录,对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报.是否出现过大规模的病毒事件,如何处理39、应具有恶意代码检测记录、恶意代码库升级记录和分析报告40、应具有变更方案评审记录和变更过程记录文档.41、重要系统的变更申请书,应具有主管领导的批准42、系统管理员、数据库管理员和网络管理员应识别需定期备份的业务信息、系统数据及软件系统备份文件记录43、应定期执行恢复程序,检查和测试备份介质的有效性44、应有系统运维过程中发现的安全弱点和可疑事件对应的报告或相关文档45、应对安全事件记录分析文档46、应具有不同事件的应急预案47、应具有应急响应小组,应具备应急设备并能正常工作,应急预案执行所需资金应做过预算并能够落实.48、应对系统相关人员进行应急预案培训应急预案培训记录49、应定期对应急预案进行演练应急预案演练记录50、应对应急预案定期进行审查并更新51、应具有更新的应急预案记录、应急预案审查记录.。

管理要求项安全管理机构岗位设置人员配备授权和审批沟通和合作审核和检查安全管理制度管理制度制定和发布制定和发布评审和修订人员安全管理人员录用人员离岗人员考核安全意识教育和培训第三方人员访问管理系统定级安全方案设计产品采购自行软件开发外包软件开发系统建设管理工程实施测试验收系统交付系统备案安全测评安全服务商选择环境管理资产管理介质管理设备管理系统运维管理监控管理网络安全管理系统安全管理恶意代码防范管理密码管理变更管理备份与恢复管理安全事件处置应急预案管理二级等保1）应设立信息安全管理工作的职能部门，设立安全主管人、安全管理各个方面的负责人岗位，定义各负责人的职责；2）应设立系统管理人员、网络管理人员、安全管理人员岗位，定义各个工作岗位的职责；3）应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。

1）应配备一定数量的系统管理人员、网络管理人员、安全管理人员等；2）安全管理人员不能兼任网络管理员、系统管理员、数据库管理员等。

1）应授权审批部门及批准人，对关键活动进行审批；2）应列表说明须审批的事项、审批部门和可批准人。

1）应加强各类管理人员和组织内部机构之间的合作与沟通，定期或不定期召开协调会议，共同协助处理信息安全问题；2）信息安全职能部门应定期或不定期召集相关部门和人员召开安全工作会议，协调安全工作的实施；3）应加强与兄弟单位、公安机关、电信公司的合作与沟通，以便在发生安全事件时能够得到及时的支持。

1）应由安全管理人员定期进行安全检查，检查内容包括用户账号情况、系统漏洞情况、系统审计情况等。

1）应制定信息安全工作的总体方针、政策性文件和安全策略等，说明机构安全工作的总体目标、范围、方针、原则、责任等；2）应对安全管理活动中重要的管理内容建立安全管理制度，以规范安全管理活动，约束人员的行为方式；3）应对要求管理人员或操作人员执行的重要管理操作，建立操作规程，以规范操作行为，防止操作失误。

机房等保分级标准本标准规定了机房等保分级的基本要求，包括物理安全、网络安全、系统安全、应用安全和安全管理等方面。

1.物理安全物理安全是机房安全的基础，包括以下方面：1.1门禁系统：机房应设置门禁系统，控制进出人员，防止未经授权人员进入。

1.2监控系统：机房应安装监控摄像头，对机房内的重要区域进行实时监控，并保存监控记录。

1.3电力保障：机房应配备稳定的电力保障设施，保证机房设备正常运行。

1.4消防系统：机房应设置有效的消防系统，包括灭火器、喷淋系统等，确保机房安全。

2.网络安全网络安全是保障机房安全的重要措施，包括以下方面：2.1防火墙：机房应部署防火墙，对进出网络的数据包进行过滤,防止恶意攻击。

3.2入侵检测/防御系统：机房应安装入侵检测/防御系统，实时监测并阻止网络攻击。

4.3安全扫描：定期对机房网络进行安全扫描，发现漏洞并及时修复。

5.4数据加密：对重要数据传输应采用加密措施，保证数据的安全性。

3.系统安全系统安全是保障机房安全的核心，包括以下方面：3.1操作系统安全：使用安全的操作系统，及时更新系统补丁,防止病毒和恶意软件的侵入。

3.2数据库安全：使用安全的数据库管理系统，对数据库进行定期备份，保证数据的安全性。

3.3病毒防护：安装有效的病毒防护软件，定期进行全面扫描,防止病毒的传播。

3.4访问控制：对系统用户进行身份认证和权限管理，确保只有授权用户可以访问相应的数据和资源。

4.应用安全应用安全是保障机房安全的关键，包括以下方面：4.1应用程序安全：应用程序应避免存在已知的安全漏洞，防止黑客利用漏洞进行攻击。

4.2数据传输安全：通过加密、哈希等技术手段保护数据在传输过程中的安全性。

信息系统安全等级保护二级具体要求第二级基本要求6.1 技术要求6.1.1 物理安全6.1.1.1 物理位置的选择（G2）机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。

6.1.1.2 物理访问控制（G2）本项要求包括：a) 机房出入口应安排专人值守，控制、鉴别和记录进入的人员；b) 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。

6.1.1.3 防盗窃和防破坏（G2）本项要求包括：a) 应将主要设备放置在机房内；b) 应将设备或主要部件进行固定，并设置明显的不易除去的标记；c) 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；d) 应对介质分类标识，存储在介质库或档案室中；e) 主机房应安装必要的防盗报警设施。

GB/T 22239—200886.1.1.4 防雷击（G2）本项要求包括：a) 机房建筑应设置避雷装置；b) 机房应设置交流电源地线。

6.1.1.5 防火（G2）机房应设置灭火设备和火灾自动报警系统。

6.1.1.6 防水和防潮（G2）本项要求包括：a) 水管安装，不得穿过机房屋顶和活动地板下；b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。

6.1.1.7 防静电（G2）关键设备应采用必要的接地防静电措施。

6.1.1.8 温湿度控制（G2）机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。

6.1.1.9 电力供应（A2）本项要求包括：a) 应在机房供电线路上配置稳压器和过电压防护设备；b) 应提供短期的备用电力供应，至少满足关键设备在断电情况下的正常运行要求。

6.1.1.10 电磁防护（S2）电源线和通信线缆应隔离铺设，避免互相干扰。

6.1.2 网络安全6.1.2.1 结构安全（G2）a) 应保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；b) 应保证接入网络和核心网络的带宽满足业务高峰期需要；c) 应绘制与当前运行情况相符的网络拓扑结构图；d) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。

信息安全等级保护（二级）建设方案目录1.项目概述 (5)1.1. 项目建设目标 (5)1.2. 项目参考标准 (6)1.3. 方案设计原则 (9)2. 系统现状分析 (10)2.1. 系统定级情况说明 (10)2.2. 业务系统说明 (11)2.3. 网络结构说明 (11)3. 安全需求分析 (12)3.1. 物理安全需求分析 (12)3.2. 网络安全需求分析 (12)3.3. 主机安全需求分析 (13)3.4. 应用安全需求分析 (13)3.5. 数据安全需求分析 (13)3.6. 安全管理制度需求分析 (14)4. 总体方案设计 (14)4.1. 总体设计目标 (14)4.2. 总体安全体系设计 (14)4.3. 总体网络架构设计 (18)4.4. 安全域划分说明 (18)5. 详细方案设计技术部分 (19)5.1. 物理安全 (19)5.2. 网络安全 (19)5.2.1.安全域边界隔离技术 (19)5.2.2.入侵防范技术 (20)5.2.3.网页防篡改技术 (20)5.2.4.链路负载均衡技术 (20)5.2.5.网络安全审计 (20)5.3. 主机安全 (21)5.3.1.数据库安全审计 (21)5.3.2.运维堡垒主机 (22)5.3.3.主机防病毒技术 (23)5.4. 应用安全 (23)6. 详细方案设计管理部分 (24)6.1. 总体安全方针与安全策略 (24)6.2. 信息安全管理制度 (25)6.3. 安全管理机构 (26)6.4. 人员安全管理 (26)6.5. 系统建设管理 (27)6.6. 系统运维管理 (27)6.7. 安全管理制度汇总 (30)7. 咨询服务和系统测评 (31)7.1. 系统定级服务 (31)7.2. 风险评估和安全加固服务 (32)7.2.1.漏洞扫描 (32)7.2.2.渗透测试 (32)7.2.3.配置核查 (32)7.2.4.安全加固 (32)7.2.5.安全管理制度编写 (35)7.2.6.安全培训 (35)7.3. 系统测评服务 (35)8. 项目预算与配置清单 (35)8.1. 项目预算一期（等保二级基本要求） (35)8.2. 利旧安全设备使用说明 (37)1.项目概述1.1.项目建设目标为了进一步贯彻落实教育行业信息安全等级保护制度，推进学校信息安全等级保护工作，依照国家《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全保护等级定级指南》等标准，对学校的网络和信息系统进行等级保护定级，按信息系统逐个编制定级报告和定级备案表，并指导学校信息化人员将定级材料提交当地公安机关备案。

5.1 概述非常感谢xx能够给我们这次机会，使我们有幸为xx安全等保机房改造项目提供设计说明。

我们将通过业界最佳性能的多厂家产品，设计经过实践验证的、高性能的机房解决方案。

经过对据等保机房建设要求的深刻理解，本次机房建设遵从信息安全等级保护二级的要求和规范进行详细设计，本方案采用的新材料、设备、工艺和技术，其目的是为了更好地保证机房的温度、湿度、洁净度、照度、防静电、防干扰、防震动、防雷电、及时监控等，能充分满足计算机设备的安全可靠地运行，延长计算机系统使用寿命的要求，同时又要给系统管理员创造一个舒适、典雅的环境。

因此，在设计上要求充分考虑设备布局、功能划分、整体效果、装饰风格，体现现代机房的特点和风貌。

5.2 机房设计原则xx安全等保机房改造的设计必须满足当前各项业务需求应用，又面向未来快速增长的发展需求，因此必须是高质量的、灵活的、开放的。

我们在进行xx 安全等保机房改造设计时，遵循以下设计原则：实用性和先进性采用先进成熟的技术和设备，满足当前xx安全网站的业务要求，兼顾未来的业务要求，尽可能采用先进技术、设备和材料，以适应高速的数据传输需要，使整个系统在一段时间内保持技术的先进性，并具有良好的发展潜力，以适应未来业务的发展和技术上升的需要。

安全可靠性为保证各项业务的应用，网络必须具有高可靠性，决不能出现单点故障。

要对xx安全等保机房改造的布局、结构设计、设备选型、日常维护等各方面进行高可靠性的设计和建设。

在关键设备采用硬件备份、冗余等可靠性技术基础上，采用相关的软件技术提供较强的管理机制、控制手段和事故监控与安全保密等技术措施提高电脑机房的安全可靠性。

灵活性和扩展性xx安全等保机房改造项目必须具有良好的灵活性和可扩展性，能够根据业务不断深入发展的需要，扩大设备容量和提高办公化质量的功能。

标准化xx安全等保机房改造系统的结构设计，基于国标标准和国家颁布的有关标准，包括各种建设、机房设计标准，电力电气保障标准，坚持统一规范的原则，从而为未来的业务的发展，设备增容奠定基础。