等级保护第二级(及以上)基本要求(含部分实施建议)
等级保护各级别安全要求(含扩展项)
第四级安全要求
安全通用用要求 安全扩展要求
安全的物理理环境
安全通信网网络
技术要求
安全区域边界
安全计算环境
安全管理理中心心 安全管理理制度 安全管理理机构 安全管理理人人员
管理理要求
安全建设管理理
安全运维管理理
安全物理理环境 安全通信网网络
安全区域边界
云计算安全扩展要 求
安全计算环境
安全管理理中心心 安全建设管理理 安全运维管理理 安全物理理环境
第二二级安全要求
安全通用用要求 安全扩展要求
安全的物理理环境
安全通信网网络
技术要求
安全区域边界
安全计算环境
安全管理理中心心 安全管理理制度 安全管理理机构 安全管理理人人员
管理理要求
安全建设管理理
安全运维管理理
安全物理理环境 安全通信网网络
安全区域边界
云计算安全扩展要 求
安全计算环境
安全建设管理理 安全运维管理理 安全物理理环境
第三级安全要求
安全通用用要求 安全扩展要求
安全的物理理环境
安全通信Байду номын сангаас网络
技术要求
安全区域边界
安全计算环境
安全管理理中心心 安全管理理制度 安全管理理机构 安全管理理人人员
管理理要求
安全建设管理理
安全运维管理理
安全物理理环境 安全通信网网络
安全区域边界
云计算安全扩展要 求
安全计算环境
安全管理理中心心 安全建设管理理 安全运维管理理 安全物理理环境
安全区域边界
移动互联完全扩展 要求
安全计算环境
安全建设管理理 安全运维 安全物理理环境
等级保护2
4安全计算环境
序号
名称
具体要求
2 级
3 级
1
身份鉴别
a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
5
防火
a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
c) 应对机房划分区域进行管理,区域和区域之间设置隔离防火措施。
6
防水和防潮
a) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
b) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
b) 应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
2
审计管理
a) 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计;
b) 应通过审计管理员对审计记录进行分析, 并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
7
数据完整性
应采用校验技术保证重要数据在传输过程中的完整性。
等保二级基本要求
1 第二级基本要求1.1 技术要求1.1.1 物理安全1.1.1.1 物理位置的选择(G2)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
1.1.1.2 物理访问控制(G2)本项要求包括:a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员;b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
1.1.1.3 防盗窃和防破坏(G2)本项要求包括:a)应将主要设备放置在机房内;b)应将设备或主要部件进行固定,并设置明显的不易除去的标记;c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;d)应对介质分类标识,存储在介质库或档案室中;e)主机房应安装必要的防盗报警设施。
1.1.1.4 防雷击(G2)本项要求包括:a)机房建筑应设置避雷装置;b)机房应设置交流电源地线。
1.1.1.5 防火(G2)机房应设置灭火设备和火灾自动报警系统。
1.1.1.6 防水和防潮(G2)本项要求包括:a)水管安装,不得穿过机房屋顶和活动地板下;b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
1.1.1.7 防静电(G2)关键设备应采用必要的接地防静电措施。
1.1.1.8 温湿度控制(G2)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.1.1.9 电力供应(A2)本项要求包括:a)应在机房供电线路上配置稳压器和过电压防护设备;b)应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。
1.1.1.10 电磁防护(S2)电源线和通信线缆应隔离铺设,避免互相干扰。
1.1.2 网络安全1.1.2.1 结构安全(G2)本项要求包括:a)应保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;b)应保证接入网络和核心网络的带宽满足业务高峰期需要;c)应绘制与当前运行情况相符的网络拓扑结构图;d)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
国家信息安全等级第二级保护制度
国家信息安全等级第二级保护制度国家信息安全等级保护制度(二级)一、技术要求1、物理安全1.1物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;1.2 物理访问控制(1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;(2)应批准进入机房的来访人员,限制和监控其活动范围。
1.3 防盗窃和防破坏(1)应将主要设备放置在物理受限的范围内;(2)应对设备或主要部件进行固定,并设置明显的不易除去的标记;(3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;(4)应对介质分类标识,存储在介质库或档案室中;(5)应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。
1.4 防雷击(1)机房建筑应设置避雷装置;(2)应设置交流电源地线。
1.5 防火应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
1.6 防水和防潮(1)水管安装,不得穿过屋顶和活动地板下;(2)应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;(3)应采取措施防止雨水通过屋顶和墙壁渗透;(4)应采取措施防止室内水蒸气结露和地下积水的转移与渗透。
1.7 防静电应采用必要的接地等防静电措施1.8 温湿度控制应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.9 电力供应(1)计算机系统供电应与其他供电分开;(2)应设置稳压器和过电压防护设备;(3)应提供短期的备用电力供应(如UPS设备)。
1.10 电磁防护(1)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;(2)电源线和通信线缆应隔离,避免互相干扰。
2、网络安全2.1结构安全与网段划分(1)网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要;(2)应设计和绘制与当前运行情况相符的网络拓扑结构图;(3)应根据机构业务的特点,在满足业务高峰期需要的基础上,合理设计网络带宽;(4)应在业务终端与业务服务器之间进行路由控制,建立安全的访问路径;(5)应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;(6)重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。
等级保护第二级(及以上)基本要求(含部分实施建议)
a)应明确信息系统的边界和安全保护等级;
b)应以书面的形式说明确定信息系统为某个安全保护等级的方法和理由;
c)应确保信息系统的定级结果经过相关部门的批准。
本项要求包括:
a)应根据系统的安全保护等级选择基本安全措施,并依据风险分析的结果补充和调整安全措施;
b)应以书面形式描述对系统的安全保护要求、策略和措施等内容,形成系统安全方案。
应定期对各个岗位的人员进行安全技能及安全认知的考核;
本项要求包括:
a)应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;
b)应告知相关人员,对违反违背安全策略和规定的人员进行惩戒;
c)应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训;
本项要求包括:
a)应确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备案
d)应及时删除多余的、过期的帐户,避免共享帐户的存在。
LanSecS内网安全管理系统;
LanSecS堡垒主机;
LanSecS数据库安全防护系统;
本项要求包括:
a)审计范围应覆盖到服务器的每个操作系统用户和数据库用户;
b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;
d)应对介质分类标识,存储在介质库或档案室中;
e)主机房应安装必要的防盗报警设施
本项要求包括:
a)机房建筑应设置避雷装置;
b)机房应设置交流电源地线。
本项要求包括:
机房应设置灭火设备和火灾自动报警系统
本项要求包括:
a)水管安装,不得穿过机房屋顶和活动地板下;
计算机信息系统等级保护二级基本要求
测试验收包括功能测试、性能测试、安全测试等方面,以确保系统的稳定性和安全性。
测试验收过程中需要编写相应的测试用例和测试报告,并记录测试结果和问题。
测试验收通过后,需要进行系统移交和试运行,确保系统能够正常运行并满足用户需求。
系统运维管理
岗位设置:根据系统等级保护要求,设置相应的运维岗位,并明确岗位职责。
目的:降低成本、提高开发效率、专注于核心业务。
注意事项:选择合适的软件公司或团队、确保信息安全、建立有效的沟通机制。
适用范围:适用于需要快速开发软件或缺乏足够的技术资源的企业或组织。
制定系统建设方案
采购和配置硬件和软件
开发、安装和调试系统
制定系统运行和维护计划
测试验收的目的是确保系统建设符合国家相关标准和用户需求。
培训内容应涵盖安全政策、法律法规、技术防范措施等
培训对象应包括全体员工和第三方人员
培训效果应进行评估和记录
系统建设管理
确定安全需求和目标
实施安全措施和管理
设计安全体系架构
制定安全策略和规范
采购:应确保产品符合等级保护要求,并经过安全检测和认证
使用:应建立产品管理制度,包括使用权限、配置管理、维护保养等
要求:在二级基本要求中,安全区域边界应采取有效的安全措施,如防火墙、入侵检测系统等,以防止未经授权的访问和攻击。
注意事项:在设置安全区域边界时,应充分考虑系统的实际需求和安全风险,选择合适的安全措施和技术,并进行定期的安全审计和评估。
身份鉴别:采用多因素身份鉴别技术,确保用户身份的真实性。
访问控制:根据用户角色和权限,限制对资源的访问和操作。
建立安全审计机制,记录网络运行状况和安全事件,以便分析和追溯。
二级等保标准精编WORD版
身份鉴别
1)操作系统和数据库管理系统用户的身份标识应具有唯一性;
2)应对登录操作系统和数据库管理系统的用户进行身份标识和鉴别;
3)操作系统和数据库管理系统身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等;
4)应具有登录失败处理功能,如:结束会话、限制非法登录次数,当登录连接超时,自动退出。
4)应在业务终端与业务服务器之间进行路由控制,建立安全的访问路径;
5)应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;
6)重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。
设备做好双机冗余
网络访问控制
机房建设
防静电
1)应采用必要的接地等防静电措施
静电地板
温湿度控制
1)应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
机房动力环境监控系统
电力供应
1)计算机系统供电应与其他供电分开;
2)应设置稳压器和过电压防护设备;
3)应提供短期的备用电力供应(如UPS设备)。
UPS
电磁防护
1)应将主要设备放置在物理受限的范围内;
2)应对设备或主要部件进行固定,并设置明显的不易除去的标记;
3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;
4)应对介质分类标识,存储在介质库或档案室中;
5)应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。
机房建设
防雷击
1)机房建筑应设置避雷装置;
3)安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等;
网络安全二级等保要求
网络安全二级等保要求网络安全二级等保是指在网络安全保障工作中,按照一定的等级要求对信息系统的安全进行评估和保护的一种制度。
其目的是确保信息系统的稳定性和安全性,防止信息泄露、信息被篡改以及其他安全威胁。
网络安全二级等保要求包括以下内容:1. 安全管理网络安全管理是网络安全的基础,二级等保要求要求建立完善的安全管理制度和流程,明确责任单位和责任人,制定安全规范和标准,配备专业的安全管理人员,确保信息系统的安全管理得到有效实施。
2. 安全策略与风险评估二级等保要求要求建立安全策略和风险评估体系,进行网络安全风险评估,识别安全风险,制定相应的安全对策,提供安全解决方案,并进行定期的风险评估和安全审计。
3. 身份认证和权限控制身份认证和权限控制是保障信息系统安全的重要措施。
二级等保要求要求采用严格的身份认证机制,确保用户身份的真实性;并对用户的访问权限进行细粒度的控制,确保用户只能访问其需要的信息和功能。
4. 网络安全防护二级等保要求要求建立有效的网络安全防护体系,包括网络入侵检测和防御、防火墙配置、网站安全防护、漏洞管理等措施,确保网络系统免受来自内外部的攻击。
5. 信息安全监测与应急响应二级等保要求要求建立信息安全监测与应急响应机制,通过安全事件的监测和分析,及时发现并应对安全威胁和攻击,并做好应急预案和响应措施,保障系统安全和信息不被泄露。
6. 安全培训和意识二级等保要求要求加强安全培训和意识教育,提高员工的安全意识和安全素养,加强对信息安全政策和规定的宣传,使员工能够正确使用信息系统并遵守安全规范。
综上所述,网络安全二级等保要求包括安全管理、安全策略与风险评估、身份认证与权限控制、网络安全防护、信息安全监测与应急响应以及安全培训和意识等方面。
通过落实这些要求,能够有效保护信息系统的安全,提高网络安全防护的水平。
等保2.0二级安全要求
等保2.0二级安全要求概述等保2.0是指我国信息安全等级保护标准第二版,它是我国对网络安全领域实施的一项重要规范,也是保护国家信息和网络安全的重要措施之一。
其中,等级二是最高的安全等级,要求控制的安全性最为高级,包括技术和管理两个方面。
本文将着重介绍等保2.0二级安全的技术要求,涵盖了网络与安全设备、远程访问控制、应用系统安全、密码加密、数据备份恢复等方面的内容。
网络与安全设备1.安全设备要求配置严格规范,禁用不必要的服务。
2.根据等级保护要求,管理或审计设备的日志。
3.检查配置文件的安全性,及时升级安全设备的的软件和固件。
远程访问控制1.采用实名认证、强密码、会话过期等措施来管理远程访问且禁用默认密码登录。
2.远程访问设备采用加密通信,并使用合理的安全通信协议。
3.限制暴力破解访问密码的尝试次数并保证安全设备访问日志的记录。
应用系统安全1.特别注意对数据库的保护,提高数据访问的控制。
2.处理输入的数据,对输入进行过滤及防XSS,防SQL注入等必要的攻击。
3.减轻服务器的安全风险,对敏感信息进行加密(如HTTPS),并限制软件的安装。
密码加密1.系统用户的口令要求具备一定的强度和复杂度,如长度要求、大小写字母加数字等组合方式。
2.采用加密技术存储口令,确保用户的口令不被其他人窃取或破解。
3.禁止用户直接查看系统口令,并限制口令的生命周期。
数据备份恢复1.采用定期备份数据,进行多重存储和备份,确保数据可靠性和完整性。
2.出现数据所遭受的损失或者意外阻断时,尽快采取相应备份恢复方法,并对数据在恢复过程中的完整性进行验证。
结论本文介绍了等保2.0二级安全的技术要求,这些要求基本涵盖了网络与安全设备、远程访问控制、应用系统安全、密码加密、数据备份恢复等方面的内容。
虽然这些要求的实施难度较高,但只有在这些措施的基础上,才能为我们的网络安全提供有效的保障。
网络安全等级保护管理制度
网络安全等级保护管理制度第一章总则第一条为加强网络安全等级保护管理,提升网络安全防护能力,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本制度。
第二条本制度适用于中华人民共和国境内网络定级备案、安全建设、安全运营及监督检查等工作。
第三条网络安全等级保护工作坚持“积极防御、综合防范,统一规划、分步实施,注重实效、保障安全”的原则确保网络基础设施、信息系统、数据资源和网络应用的安全。
第二章网络安全等级划分第四条网络安全等级根据网络系统的重要程度、被破坏后对国家安全、社会公共利益和公民、法人及其他组织的危害程度等因素,划分为五个等级,即一级(最低保护)、二级(次低保护)、三级(中等保护)、四级(较高保护)和五级(最高保护)。
第三章网络安全等级保护定级流程第五条网络服务提供者应定期开展网络安全等级保护定级工作,对本网络系统进行全面评估,确定网络等级。
第六条网络定级应遵循以下流程:1. 定级报告编制:网络服务提供者应编制网络安全等级定级报告,包括网络系统基本情况、安全保护需求、安全保护策略等内容。
2. 定级评审:网络服务提供者应组织相关部门和专家对定级报告进行评审,确保定级结果的科学性和准确性。
3. 定级审批:经评审合格的网络,由网络服务提供者报公安机关备案,公安机关审核并确定网络等级。
第四章安全建设管理第七条网络服务提供者应根据网络等级保护定级结果,制定相应的安全建设方案,明确安全措施和安全管理要求。
第八条安全建设应包括以下内容:1. 安全物理环境:包括网络基础设施的物理安全、环境安全等。
2. 安全通信网络:包括网络架构的设计和保护、通信传输的加密和认证等。
3. 安全区域边界:包括网络边界防护、访问控制、数据流量监控等。
4. 安全计算环境:包括数据的机密性、完整性和可用性保护等。
5. 安全管理中心:包括安全监控、安全管理和安全评估等。
第五章安全运营管理第九条网络服务提供者应建立健全网络安全运营管理体系,明确安全管理职责和流程,确保网络的安全运营。
机房等级保护第二级基本要求word版本
机房等级保护第二级基本要求1 第二级基本要求1.1 技术要求1.1.1 物理安全1.1.1.1 物理位置的选择(G2)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
1.1.1.2 物理访问控制(G2)本项要求包括:a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员;b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
1.1.1.3 防盗窃和防破坏(G2)本项要求包括:a)应将主要设备放置在机房内;b)应将设备或主要部件进行固定,并设置明显的不易除去的标记;c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;d)应对介质分类标识,存储在介质库或档案室中;e)主机房应安装必要的防盗报警设施。
1.1.1.4 防雷击(G2)本项要求包括:a)机房建筑应设置避雷装置;b)机房应设置交流电源地线。
1.1.1.5 防火(G2)机房应设置灭火设备和火灾自动报警系统。
1.1.1.6 防水和防潮(G2)本项要求包括:a)水管安装,不得穿过机房屋顶和活动地板下;b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
1.1.1.7 防静电(G2)关键设备应采用必要的接地防静电措施。
1.1.1.8 温湿度控制(G2)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.1.1.9 电力供应(A2)本项要求包括:a)应在机房供电线路上配置稳压器和过电压防护设备;b)应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。
1.1.1.10 电磁防护(S2)电源线和通信线缆应隔离铺设,避免互相干扰。
1.1.2 网络安全1.1.2.1 结构安全(G2)本项要求包括:a)应保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;b)应保证接入网络和核心网络的带宽满足业务高峰期需要;c)应绘制与当前运行情况相符的网络拓扑结构图;d)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
二级系统安全等级保护基本要求及测评要求内容
e) 应检查边界和关键网络设备,查看是否配置了对设备远程管理所产生的鉴别信息进行保护的功能;
电磁防护(S)
/
a)电源线和通信线缆应隔离铺设,避免互相干扰。
a) 应访谈物理安全负责人,询问电源线和通信线缆是否隔离铺设,是否没有出现过因电磁干扰等问题引发的故障;
b)应检查机房布线,查看是否做到电源线和通信线缆隔离。
网络
安全
结构安全(G)
a) 应保证关键网络设备的业务处理能力满足基本业务需要;
b) 应保证接入网络和核心网络的带宽满足基本业务需要;
d) 应限制具有拨号访问权限的用户数量
a) 应访谈安全管理员,询问网络访问控制措施有哪些;询问访问控制策略的设计原则是什么;
询问网络访问控制设备具备哪些访问控制功能;询问是否允许拨号访问网络;
b) 应检查边界网络设备,查看其是否根据会话状态信息对数据流进行控制,控制粒度是否为网段级;
c) 应检查边界网络设备,查看其是否限制具有拨号访问权限的用户数量;
a) 应对登录网络设备的用户进行身份鉴别;
b)应对网络设备的管理员登录地址进行限制;
c)网络设备用户的标识应唯一;
d)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
e)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
f) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
c) 应绘制与当前运行情况相符的网络拓扑结构图
a) 应保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
b) 应保证接入网络和核心网络的带宽满足业务高峰期需要;
信息安全等级保护(二级)建设设计实施方案
信息安全等级保护(二级)建设方案目录1.项目概述 (5)1.1. 项目建设目标 (5)1.2. 项目参考标准 (6)1.3. 方案设计原则 (9)2. 系统现状分析 (10)2.1. 系统定级情况说明 (10)2.2. 业务系统说明 (11)2.3. 网络结构说明 (11)3. 安全需求分析 (12)3.1. 物理安全需求分析 (12)3.2. 网络安全需求分析 (12)3.3. 主机安全需求分析 (13)3.4. 应用安全需求分析 (13)3.5. 数据安全需求分析 (13)3.6. 安全管理制度需求分析 (14)4. 总体方案设计 (14)4.1. 总体设计目标 (14)4.2. 总体安全体系设计 (14)4.3. 总体网络架构设计 (18)4.4. 安全域划分说明 (18)5. 详细方案设计技术部分 (19)5.1. 物理安全 (19)5.2. 网络安全 (19)5.2.1.安全域边界隔离技术 (19)5.2.2.入侵防范技术 (20)5.2.3.网页防篡改技术 (20)5.2.4.链路负载均衡技术 (20)5.2.5.网络安全审计 (20)5.3. 主机安全 (21)5.3.1.数据库安全审计 (21)5.3.2.运维堡垒主机 (22)5.3.3.主机防病毒技术 (23)5.4. 应用安全 (23)6. 详细方案设计管理部分 (24)6.1. 总体安全方针与安全策略 (24)6.2. 信息安全管理制度 (25)6.3. 安全管理机构 (26)6.4. 人员安全管理 (26)6.5. 系统建设管理 (27)6.6. 系统运维管理 (27)6.7. 安全管理制度汇总 (30)7. 咨询服务和系统测评 (31)7.1. 系统定级服务 (31)7.2. 风险评估和安全加固服务 (32)7.2.1.漏洞扫描 (32)7.2.2.渗透测试 (32)7.2.3.配置核查 (32)7.2.4.安全加固 (32)7.2.5.安全管理制度编写 (35)7.2.6.安全培训 (35)7.3. 系统测评服务 (35)8. 项目预算与配置清单 (35)8.1. 项目预算一期(等保二级基本要求) (35)8.2. 利旧安全设备使用说明 (37)1.项目概述1.1.项目建设目标为了进一步贯彻落实教育行业信息安全等级保护制度,推进学校信息安全等级保护工作,依照国家《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全保护等级定级指南》等标准,对学校的网络和信息系统进行等级保护定级,按信息系统逐个编制定级报告和定级备案表,并指导学校信息化人员将定级材料提交当地公安机关备案。
[实用参考]等保二级基本要求.doc
![[实用参考]等保二级基本要求.doc](https://img.taocdn.com/s3/m/f3b88e4af78a6529647d5380.png)
1 第二级基本要求1.1 技术要求1.1.1 物理安全1.1.1.1 物理位置的选择(G2)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
1.1.1.2 物理访问控制(G2)本项要求包括:a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员;b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
1.1.1.3 防盗窃和防破坏(G2)本项要求包括:a)应将主要设备放置在机房内;b)应将设备或主要部件进行固定,并设置明显的不易除去的标记;c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;d)应对介质分类标识,存储在介质库或档案室中;e)主机房应安装必要的防盗报警设施。
1.1.1.4 防雷击(G2)本项要求包括:a)机房建筑应设置避雷装置;b)机房应设置交流电源地线。
1.1.1.5 防火(G2)机房应设置灭火设备和火灾自动报警系统。
1.1.1.6 防水和防潮(G2)本项要求包括:a)水管安装,不得穿过机房屋顶和活动地板下;b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
1.1.1.7 防静电(G2)关键设备应采用必要的接地防静电措施。
1.1.1.8 温湿度控制(G2)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.1.1.9 电力供应(A2)本项要求包括:a)应在机房供电线路上配置稳压器和过电压防护设备;b)应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。
1.1.1.10 电磁防护(S2)电源线和通信线缆应隔离铺设,避免互相干扰。
1.1.2 网络安全1.1.2.1 结构安全(G2)本项要求包括:a)应保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;b)应保证接入网络和核心网络的带宽满足业务高峰期需要;c)应绘制与当前运行情况相符的网络拓扑结构图;d)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
信息系统安全等级保护二级基本要求
(G2 e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,
) 并按照方便管理和控制的原则为各子网、网段分配地址段;
f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取
可靠的技术隔离手段;
g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护
应根据安全策略设置登录终端的操作超时锁定; 应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况; 应限制单个用户对系统资源的最大或最小使用限度;
ቤተ መጻሕፍቲ ባይዱ
e) 应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。
a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别;
(G2 b) 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
) c) 应能够根据记录数据进行分析,并生成审计报表;
d) 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
(S2 a) 应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;
b) 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;
(S2 )
c) 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标 识,身份鉴别信息不易被冒用; d) 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
e) 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理
(G2 )
a) b) c)
机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
二级等保标准最新版本
数据库审计系统
系统保护
1)系统应提供在管理维护状态中运行的能力,管理维护状态只能被系统管理员使用。
数据存储藏份,
剩余信息保护
1)应保证操作系统和数据库管理系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全去除,无论这些信息是存放在硬盘上还是在内存中;
消防系统
防水和防潮
1)水管安装,不得穿过屋顶和活动地板下;
2)应对穿过墙壁和楼板的水பைடு நூலகம்增加必要的保护措施,如设置套管;
3)应采取措施防止雨水通过屋顶和墙壁渗透;
4)应采取措施防止室内水蒸气结露和地下积水的转移与渗透。
机房建立
防静电
1)应采用必要的接地等防静电措施
静电地板
温湿度控制
1)应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
2)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全去除。
VPN
入侵防范
无
网管系统,IPS入侵防御系统
恶意代码防范
1)效劳器和重要终端设备〔包括移动设备〕应安装实时检测和查杀恶意代码的软件产品;
2)主机系统防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;
平安审计
1)平安审计应覆盖到应用系统的每个用户;
2)平安审计应记录应用系统重要的平安相关事件,包括重要用户行为和重要系统功能的执行等;
3)平安相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等;
4)审计记录应受到保护防止受到未预期的删除、修改或覆盖等。
日志审计系统
操作日志
等保二级基本要求
1 第二级基本要求1.1 技术要求1.1.1 物理安全1.1.1.1 物理位置的选择(G2)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
1.1.1.2 物理访问控制(G2)本项要求包括:a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员;b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
1.1.1.3 防盗窃和防破坏(G2)本项要求包括:a)应将主要设备放置在机房内;b)应将设备或主要部件进行固定,并设置明显的不易除去的标记;c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;d)应对介质分类标识,存储在介质库或档案室中;e)主机房应安装必要的防盗报警设施。
1.1.1.4 防雷击(G2)本项要求包括:a)机房建筑应设置避雷装置;b)机房应设置交流电源地线。
1.1.1.5 防火(G2)机房应设置灭火设备和火灾自动报警系统。
1.1.1.6 防水和防潮(G2)本项要求包括:a)水管安装,不得穿过机房屋顶和活动地板下;b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
1.1.1.7 防静电(G2)关键设备应采用必要的接地防静电措施。
1.1.1.8 温湿度控制(G2)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.1.1.9 电力供应(A2)本项要求包括:a)应在机房供电线路上配置稳压器和过电压防护设备;b)应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。
1.1.1.10 电磁防护(S2)电源线和通信线缆应隔离铺设,避免互相干扰。
1.1.2 网络安全1.1.2.1 结构安全(G2)本项要求包括:a)应保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;b)应保证接入网络和核心网络的带宽满足业务高峰期需要;c)应绘制与当前运行情况相符的网络拓扑结构图;d)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
等保2.0二级要求内容
7第二级安全要求7.1安全通用要求7.1.1安全物理环境7.1.1.1物理位置选择本项要求包括:a)机房场地应选择在具有防震、防风和防雨等能力的建筑;b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
7.1.1.2物理访问控制机房出入口应安排专人值守或配置电子门禁系统。
控制、鉴别和记录进人的人员。
7.1.1.3防盗窃和防破坏本项要求包括:a)应将设备或主要部件进行固定,并设置明显的不易擦除的标识;b)应将通信线缆铺设在隐藏安全处。
7.1.1.4防雷击应将各类机柜、设施和设备等通过接地系统安全接地。
7.1.1.5防火本项要求包括:a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
7.1.1.6防水和防潮本项要求包括:a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;b)应采取措施防止机房水蒸气结露和地下积水的转移与渗透。
7.1.1.7防静电应采用防静电地板或地面并采用必要的接地防静电措施。
7.1.1.8温湿度控制应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的围之。
7.1.1.9电力供应本项要求包括:a)应在机房供电线路上配置稳压器和过电压防护设备;b)应提供短期的备用电力供应。
至少满足设备在断电情况下的正常运行要求。
7.1.1.10电磁防护电源线和通信线缆应隔离铺设,避免互相干扰。
7.1.2安全通信网络7.1.2.1网络架构本项要求包括:a)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;b)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
7.1.2.2 通信传输应采用校验技术保证通信过程中数据的完整性。
7.1.2.3可信验证可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证。
等级保护二级 技术要求
等级保护二级技术要求等级保护是一种网络安全技术,旨在对系统中的敏感信息进行保护,确保只有授权的用户才能访问和操作这些信息。
在等级保护系统中,不同级别的用户具有不同的权限和访问控制,以保证信息的安全性和机密性。
在二级保护技术中,采用了一系列的技术措施来实现等级保护的目标。
二级保护技术要求对用户进行认证和授权。
用户需要提供正确的用户名和密码才能登录系统,并且只有具有相应权限的用户才能访问和操作系统中的敏感信息。
为了增强安全性,通常会采用多因素认证,例如结合密码和生物特征等方式进行身份验证。
二级保护技术要求对用户进行访问控制。
系统管理员可以设置不同级别的用户,为每个用户分配相应的权限。
例如,高级别用户可以访问和操作更多的敏感信息,而低级别用户只能访问和操作少部分信息。
这样可以确保敏感信息只被授权的用户访问和操作,避免信息泄露和滥用。
二级保护技术要求对系统进行安全审计和监控。
安全审计可以记录用户的操作日志,包括登录时间、操作内容等信息,以便发现异常行为和及时采取相应措施。
监控系统可以实时监测系统的状态和用户的行为,及时发现并阻止潜在的安全威胁。
二级保护技术还要求对系统进行漏洞扫描和安全补丁更新。
漏洞扫描可以检测系统中存在的安全漏洞,及时发现并修复这些漏洞,以防止黑客利用漏洞进行攻击。
安全补丁更新可以及时更新系统的安全补丁,修复已知的安全漏洞,提升系统的安全性。
为了保证二级保护技术的有效性,还需要对系统进行安全培训和教育。
用户需要了解系统的安全策略和规定,遵守相关安全规范,不泄露敏感信息和密码,定期更换密码等。
同时,系统管理员也需要进行安全培训,了解最新的安全技术和威胁,及时采取相应的安全措施。
二级保护技术要求对用户进行认证和授权、访问控制、安全审计和监控、漏洞扫描和安全补丁更新以及安全培训和教育等一系列措施来保护系统中的敏感信息。
只有通过这些技术手段的综合应用,才能实现等级保护的目标,确保系统的安全性和机密性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
本项要求包括: a) 应配备一定数量的系统 管理员、网络管理员、安全 管理员等; b) 安全管理员不能兼任网 络管理员、系统管理员、数 据库管理员等; 授权和审批(G2) 本项要求包括: a) 应根据各个部门和岗位 的职责明确授权审批部门及 批准人、对系统投入运行、 网络系统接入和重要资源的 访问等关键活动进行审批; b) 应针对关键活动建立审 批流程,并由批准人签字确 认; 沟通和合作(G2) 本项要求包括: a) 应加强各类管理人员之 间、组织内部机构之间以及 信息安全职能部门内部的合 作与沟通; b) 应加强与兄弟单位、公 安机关、电信公司的合作与 沟通。 审核和检查(G2) 本项要求包括: 安全管理员应负责定期进行 安全检查,检查内容包括系 统日常运行、系统漏洞和数 据备份等情况;
能绘制拓扑结果。
d) 应根据各部门的工作职 能、重要性和所涉及信息的 重要程度等因素,划分不同 的子网或网段,并按照方便 管理和控制的原则为各子 网、网段分配地址段;
访问控制(G2)
LanSecS内网安全管
本项要求包括:
理系统:准入控制功
a) 应在网络边界部署访问控 能(a);主机防火
制设备,启用访问控制功 墙(c);违规外联
d) 应保护审计记录,避免 同上 受到未预期的删除、修改或 覆盖等。
入侵防范(G2)
本项要求包括:
a) 操作系统应遵循最小安 LanSecS内网安全管 装的原则,仅安装需要的组 理系统; 件和应用程序,并通过设置 升级服务器等方式保持系统 补丁及时得到更新。
恶意代码防范(G2) 本项要求包括: a) 应安装防恶意代码软 件,并及时更新防恶意代码 软件版本和恶意代码库; b) 应支持防恶意代码的统 一管理。
入侵防范(G2) 本项要求包括: 应在网络边界处监视以下攻 击行为:端口扫描、强力攻 击、木马后门攻击、拒绝服 务攻击、缓冲区溢出攻击、 IP碎片攻击和网络蠕虫攻击 等。
入侵检测系统
网络设备防护(G2)
本项要求包括:
a) 应对登录网络设备的用户 ;
身份认证功能,实名
访问控制(S2)
本项要求包括:
a) 应提供访问控制功能, LanSecS内网安全管
依据安全策略控制用户对文 理系统;
件、数据库表等客体的访 LanSecS数据库安全
问;
防护系统;
b) 访问控制的覆盖范围应
包括与资源访问相关的主
体、客体及它们之间的操 作; c) 应由授权主体配置访问 控制策略,并严格限制默认 帐户的访问权限; d) 应授予不同帐户为完成 各自承担任务所需的最小权 限,并在它们之间形成相互 制约的关系。
口令;
d) 应及时删除多余的、过
期的帐户,避免共享帐户的
存在。
安全审计(G2)
本项要求包括:
a) 审计范围应覆盖到服务 LanSecS内网安全管
器的每个操作系统用户和数 理系统;
据库用户;
LanSecS堡垒主机;
b) 审计内容应包括重要用 LanSecS数据库安全 户行为、系统资源的异常使 防护系统; 用和重要系统命令的使用等 系统内重要的安全相关事 件; c) 审计记录应包括事件的 日期、时间、类型、主体标 识、客体标识和结果等;
外部人员访问管理(G2) 本项要求包括: a) 应确保在外部人员访问 受控区域前得到授权或审 批,批准后由专人全程陪同 或监督,并登记备案
访问控制(S2)
LanSecS内网安全管
本项要求包括:
理系统;
a) 应启用访问控制功能, LanSecS堡垒主机;
依据安全策略控制用户对资 LanSecS数据库安全
源的访问;
防护系统;
b) 应实现操作系统和数据
库系统特权用户的权限分
离;
c) 应严格限制默认帐户的
访问权限,重命名系统默认
帐户,修改这些帐户的默认
a) 机房建筑应设置避雷装
实施建议
残留问题
置;
b) 机房应设置交流电源地 线。
防火(G2) 本项要求包括: 机房应设置灭火设备 和火灾自动报警系统
防水和防潮(G2) 本项要求包括:
a) 水管安装,不得穿过机 房屋顶和活动地板下; b) 应采取措施防止雨水通 过机房窗户、屋顶和墙壁渗 透; c) 应采取措施防止机房内 水蒸气结露和地下积水的转 移与渗透;
安全审计(G2)
本项要求包括:
a) 应提供覆盖到每个用户 LanSecS内网安全管 的安全审计功能,对应用系 理系统; 统重要安全事件进行审计; LanSecS数据库安全 b) 应保证无法删除、修改 防护系统; 或覆盖审计记录; c) 审计记录的内容至少应 包括事件的日期、时间、发 起者信息、类型、描述和结 果等;
量、主机审计;
b) 审计记录应包括:事件的 LanSecS内网安全管 日期和时间、用户、事件类 理系统:主机审计; 型、事件是否成功及其他与 审计相关的信息;
边界完整性检查(S2)
本项要求包括:
应能够对内部网络用户私自 LanSecS内网安全管
联到外部网络的行为进行检 理系统:违规外联阻
查。
断和告警;
管理要求
安全管理制度 管理制度(G2) 本项要求包括: a) 应制定信息安全工作的 总体方针和安全策略,说明
机构安全工作的总体目标、 范围、原则和安全框架等; b) 应对安全管理活动中重 要的管理内容建立安全管理 制度; c) 应对要求管理人员或操 作人员执行的日常管理操作 建立操作规程; 制定和发布(G2) 本项要求包括: a) 应指定或授权专门的部 门或人员负责安全管理制度 的制定; b) 应组织相关人员对制定 的安全管理制度进行论证和 审定; c) 应将安全管理制度以谋 合方式发布到相关人员中。 评审和修订(G2) 本项要求包括: 应定期对安全管理制度进行 评审,对踩在不足或 需求 改进的安全管理制度进行修 改。
等级保护第二级基本要求
物理安全
物理位置的选择(G2) 本项要求包括: 机房和办公场地应选 择在具有防震、防风 和防雨等能力的建筑 内;
物理访问控制(G2) 本项要求包括:
a) 机房出入口应安排专人 值守,控制、鉴别和记录进 入的人员; b) 需进入机房的来访人员 应经过申请和审批流程,并 限制和监控其活动范围;
a) 应对登录操作系统和数 LanSecS内网安全管
据库系统的用户进行身份标 理系统;
识和鉴别;
LanSecS堡垒主机;
b) 操作系统和数据库系统 LanSecS数据库安全
管理用户身份标识应具有不 防护系统;
易被冒用的特点,口令应有
复杂度要求并定期更换; c) 应启用登录失败处理功 能,可采取结束会话、限制 非法登录次数和自动退出等 措施; d) 当对服务器进行远程管 理时,应采取必要措施,防 止鉴别信息在网络传输过程 中被窃听; e) 应为操作系统和数据库 系统的不同用户分配不同的 用户名,确保用户名具有唯 一性。
断电情况下的正常运行要 求;
电磁防护(S2) 本项要求包括: 电源线和通信线缆应 隔离铺设,避免互相 干扰;
网络安全
结构安全(G2)
本项要求包括:
a) 应保证关键网络设备的 业务处理能力具备冗余空 间,满足业务高峰期需要;
b) 应保证接入网络和核心 网络带宽满足业务高峰期需 要;
c) 应绘制与当前运行情况 LanSecS内网安全管 相符的网络拓扑结构图; 理系统,安全网管功
b) 应提供用户身份标识唯 CA证书 一和鉴别信息复杂度检查功 能,保证应用系统中不存在 重复用户身份标识,身份鉴 别信息不易被冒用;
c) 应提供登录失败处理功 能,可采取结束会话、限制 非法登录次数和自动退出等 措施; d) 应启用身份鉴别、用户 身份标识唯一性检查、用户 身份鉴别信息复杂度检查以 及登录失败处理功能,并根 据安全策略配置相关参数。
数据安全及备份恢复
数据完整性(S2)
本项要求包括:
应能够检测到鉴别信息和重 要业务数据在传输过程中完 整性受到破坏。
数据保密性(S2)
本项要求包括:
应采用加密或其他保护措施 实现鉴别信息存储保密性。
备份和恢复(A2)
本项要求包括:
a) 应能够对重要信息进行 备份和恢复
b) 应提供关键网络设备、 通信线路和数据处理系统的 硬件冗余,保证系统的可用 性。;
按照设定周期自动变
e) 应具有登录失败处理功 更(d);登录失败
能,可采取结束会话、限制 处理(e);一次性
非法登录次数和当网络登录 口令,窃听者无法使
连接超时自动退出等措施; 用(f)
f) 当对网络设备进行远程管
理时,应采取必要措施防止
鉴别信息在网络传输过程中
被窃听;
主机安全
身份鉴别(S2)
本项要求包括:
人员安全管理
人员录用(G2) 本项要求包括:
a) 应指定或授权专门的部 门或人员负责人员录用; b) 应规范人员录用过程, 对被录用人的身份、背景、 专业资格等进行审查,对其 所具有的技术技能进行考 核; c) 应与从事关键岗位的人 员签署保密协议 人员离岗(G2) 本项要求包括: a) 应规范人员离岗过程, 及时终止离岗员工的所有访 问权限; b) 应取回各种身份证件、 钥匙、徽章等以及机构提供 的软硬件设备; c) 应办理严格的调离手 续。 人员考核(G2) 本项要求包括: 应定期对各个岗位的人员进 行安全技能及安全认知的考 核; 安全意识教育和培训(G2) 本项要求包括: a) 应对各类人员进行安全 意识教育、岗位技能培训和 相关安全技术培训; b) 应告知相关人员,对违 反违背安全策略和规定的人 员进行惩戒; c) 应制定安全教育和培训 计划,对信息安全基础知 识、岗位操作规程等进行培 训;